imágenes falsas
Traducir nombres de dominio legibles por humanos a direcciones IP numéricas ha estado plagado de importantes riesgos de seguridad durante mucho tiempo. Después de todo, las búsquedas rara vez están cifradas de un extremo a otro. Los servidores que brindan búsquedas de nombres de dominio brindan traducciones para casi cualquier dirección IP, incluso cuando se sabe que son maliciosas. Muchos dispositivos de usuario final se pueden configurar fácilmente para que dejen de utilizar servidores de búsqueda aprobados y utilicen en su lugar servidores maliciosos.
Microsoft presentó el viernes un Mirada En un marco integral destinado a desenredar el desorden del Sistema de nombres de dominio (DNS) para que esté mejor protegido dentro de las redes de Windows. Se llama ZTDNS (Zero Trust DNS). Dos ventajas principales son (1) las comunicaciones cifradas y autenticadas criptográficamente entre los clientes de los usuarios finales y los servidores DNS y (2) la capacidad de los administradores de restringir estrictamente los rangos que estos servidores resolverán.
Limpiar el campo minado
Una de las razones por las que DNS puede convertirse en un campo minado de seguridad es que estas dos características pueden ser mutuamente excluyentes. Agregar autenticación criptográfica y cifrado al DNS a menudo oscurece la visibilidad que los administradores necesitan para evitar que los dispositivos de los usuarios se conecten a dominios maliciosos o detecten comportamientos anómalos dentro de la red. Como resultado, el tráfico DNS se envía en texto claro o se cifra de una manera que permite a los administradores descifrarlo en tránsito a través de lo que es esencialmente un Ataque enemigo en el medio.
Los administradores deben elegir entre opciones igualmente poco atractivas: (1) enrutar el tráfico DNS en texto claro sin que el servidor y la máquina cliente puedan autenticarse entre sí para poder bloquear los dominios maliciosos y monitorear la red, o (2) cifrar y autenticar el tráfico DNS y descartarlo del control de dominio y la visibilidad de la red.
ZTDNS tiene como objetivo resolver este problema de décadas integrando el motor DNS de Windows con el sistema de filtrado de Windows, el componente central del Firewall de Windows, directamente en los dispositivos cliente.
La unión de estos motores previamente dispares permitirá que las actualizaciones del Firewall de Windows se realicen por nombre de dominio, dijo Jake Williams, vicepresidente de investigación y desarrollo de la firma consultora Hunter Strategies. El resultado es un mecanismo que permite a las organizaciones, en esencia, decirle a los clientes “que utilicen sólo nuestro servidor DNS, que utiliza TLS, y sólo resolverá ciertos dominios”, dijo. Microsoft llama a este servidor o servidores DNS un “servidor DNS protector”.
De forma predeterminada, el firewall rechazará soluciones para todos los dominios excepto aquellos que figuran en las listas permitidas. Una lista de permitidos separada contendrá subredes de direcciones IP que los clientes necesitan para ejecutar el software aprobado. La clave para realizar este trabajo a escala dentro de una organización con necesidades que cambian rápidamente. El experto en seguridad de redes Royce Williams (sin relación con Jake Williams) describió esto como “una especie de API bidireccional para la capa de firewall, de modo que puede desencadenar acciones de firewall (mediante entrada *al* firewall) y desencadenar acciones externas que dependen de en el firewall Protección con estado (salida *desde* el firewall). Entonces, en lugar de tener que reinventar la rueda del firewall si es un proveedor de AV o algo más, simplemente llame al WFP.
