imágenes falsas
Traducir nombres de dominio legibles por humanos a direcciones IP numéricas ha estado plagado de enormes riesgos de seguridad durante mucho tiempo. Después de todo, las búsquedas rara vez están cifradas de un extremo a otro. Los servidores que proporcionan búsquedas de nombres de dominio proporcionan traducciones para prácticamente cualquier dirección IP, incluso cuando se sabe que son maliciosas. Y muchos dispositivos de usuario final se pueden configurar fácilmente para que dejen de utilizar servidores de búsqueda autorizados y, en su lugar, utilicen servidores maliciosos.
Microsoft proporcionó el viernes una ojeada en un marco integral que tiene como objetivo solucionar el desorden del Sistema de nombres de dominio (DNS) para que esté mejor bloqueado dentro de las redes de Windows. Se llama ZTDNS (DNS de confianza cero). Sus dos características principales son (1) conexiones cifradas y autenticadas criptográficamente entre clientes de usuario final y servidores DNS y (2) la capacidad de los administradores de restringir estrictamente los dominios que estos servidores resolverán.
Limpiar el campo minado
Una de las razones por las que el DNS ha sido un campo minado de seguridad es que estas dos características pueden ser mutuamente excluyentes. Agregar autenticación criptográfica y cifrado al DNS a menudo oscurece la visibilidad que los administradores necesitan para evitar que los dispositivos de los usuarios se conecten a dominios maliciosos o detecten comportamientos anómalos dentro de una red. Como resultado, el tráfico DNS se envía en texto claro o se cifra de una manera que permite a los administradores descifrarlo en tránsito a través de lo que es esencialmente un ataque adversario en el medio.
Los administradores deben elegir entre opciones igualmente poco atractivas: (1) enrutar el tráfico DNS en texto claro sin medios para que el servidor y el dispositivo cliente se autentiquen entre sí para que los dominios maliciosos puedan bloquearse y sea posible monitorear la red, o (2) cifrar y autenticar el tráfico DNS y eliminar el control de dominio y la visibilidad de la red.
ZTDNS tiene como objetivo resolver este problema de décadas integrando el motor DNS de Windows con la plataforma de filtrado de Windows (el componente central del Firewall de Windows) directamente en los dispositivos cliente.
Jake Williams, vicepresidente de investigación y desarrollo de la consultora Hunter Strategy, dijo que la unión de estos motores previamente dispares permitiría realizar actualizaciones en el firewall de Windows por nombre de dominio. El resultado, dijo, es un mecanismo que permite a las organizaciones, en esencia, decirle a los clientes “solo usen nuestro servidor DNS, que usa TLS, y solo resolverá ciertos dominios”. Microsoft llama a este servidor o servidores DNS el “servidor DNS protector”.
De forma predeterminada, el firewall denegará las resoluciones a todos los dominios excepto a los enumerados en las listas permitidas. Una lista de permitidos separada contendrá las subredes de direcciones IP que los clientes necesitan para ejecutar software autorizado. Es clave para que esto funcione a escala dentro de una organización con necesidades que cambian rápidamente. El experto en seguridad de redes Royce Williams (sin relación con Jake Williams) llamó a esto una “especie de API bidireccional para la capa de firewall, por lo que puede activar acciones de firewall (mediante entrada *al* firewall) y desencadenar acciones externas basadas en el firewall. estado (salida *desde* el firewall). Entonces, en lugar de tener que reinventar la rueda del firewall si eres un proveedor de AV o lo que sea, simplemente conéctate al WFP”.
2024-05-04 01:42:26
#Microsoft #planea #bloquear #DNS #Windows #como #nunca #antes #Así #cómo,