La traduzione di nomi di dominio leggibili in indirizzi IP numerici è stata a lungo irta di notevoli rischi per la sicurezza. Dopotutto, le ricerche raramente sono crittografate end-to-end. I server che forniscono ricerche di nomi di dominio forniscono traduzioni per quasi tutti gli indirizzi IP, anche quando sono noti per essere dannosi. Molti dispositivi degli utenti finali possono essere facilmente configurati per smettere di utilizzare server di ricerca approvati e utilizzare invece server dannosi.
Microsoft venerdì ha introdotto a Occhiata In un quadro completo volto a districare il disordine del Domain Name System (DNS) in modo che sia meglio protetto all’interno delle reti Windows. Si chiama ZTDNS (Zero Trust DNS). Due vantaggi principali sono (1) le comunicazioni crittografate e autenticate tramite crittografia tra i client degli utenti finali e i server DNS e (2) la capacità degli amministratori di limitare rigorosamente gli intervalli che questi server risolveranno.
Ripulire il campo minato
Uno dei motivi per cui il DNS può diventare un campo minato per la sicurezza è che queste due funzionalità possono escludersi a vicenda. L’aggiunta dell’autenticazione crittografica e della crittografia al DNS spesso oscura la visibilità di cui gli amministratori hanno bisogno per impedire ai dispositivi degli utenti di connettersi a domini dannosi o rilevare comportamenti anomali all’interno della rete. Di conseguenza, il traffico DNS viene inviato in chiaro o crittografato in modo da consentire agli amministratori di decrittografarlo in transito su quello che è essenzialmente un Attacco nemico al centro.
Gli amministratori possono scegliere tra opzioni altrettanto poco attraenti: (1) instradare il traffico DNS in chiaro senza che il server e la macchina client possano autenticarsi a vicenda in modo che i domini dannosi possano essere bloccati e la rete possa essere monitorata, oppure (2) crittografare e autenticare il traffico DNS ed eliminare il controllo del dominio e la visibilità della rete.
ZTDNS mira a risolvere questo problema vecchio di decenni integrando il motore DNS di Windows con il sistema di filtraggio di Windows, il componente principale di Windows Firewall, direttamente nei dispositivi client.
L’unione di questi motori precedentemente disparati consentirà di effettuare aggiornamenti di Windows Firewall in base al nome del dominio, ha affermato Jake Williams, vicepresidente della ricerca e sviluppo presso la società di consulenza Hunter Strategies. Il risultato è un meccanismo che consente alle organizzazioni, in sostanza, di dire ai clienti “di utilizzare solo il nostro server DNS, che utilizza TLS, e risolverà solo determinati domini”, ha affermato. Microsoft chiama questo server o server DNS un “server DNS protettivo”.
Per impostazione predefinita, il firewall rifiuterà le soluzioni per tutti i domini tranne quelli elencati negli elenchi consentiti. Un elenco consentito separato conterrà le sottoreti di indirizzi IP di cui i client hanno bisogno per eseguire il software approvato. La chiave per svolgere questo lavoro su larga scala all’interno di un’organizzazione con esigenze in rapida evoluzione. L’esperto di sicurezza di rete Royce Williams (nessuna relazione con Jake Williams) lo ha descritto come “una sorta di API bidirezionale per il livello firewall, in modo da poter attivare azioni firewall (tramite input *al* firewall) e attivare azioni esterne che dipendono sul firewall Protezione stateful (output *dal* firewall). Quindi, invece di dover reinventare la ruota del firewall se sei un fornitore di antivirus o qualcos’altro, chiama semplicemente il WFP.