imágenes falsas
Traducir nombres de dominio legibles por humanos a direcciones IP numéricas ha presentado durante mucho tiempo numerosos riesgos de seguridad. Después de todo, las búsquedas rara vez están cifradas de un extremo a otro. Los servidores que ofrecen búsquedas de nombres de dominio proporcionan traducciones para prácticamente cualquier dirección IP, incluso cuando se sabe que son maliciosas. Y muchos dispositivos de usuario final se pueden configurar fácilmente para que dejen de utilizar servidores de búsqueda autorizados y utilicen en su lugar servidores maliciosos.
Microsoft proporcionó un vistazo en un marco integral que tiene como objetivo ordenar el desorden del Sistema de nombres de dominio (DNS) para que esté mejor bloqueado dentro de las redes de Windows. Se llama ZTDNS (Zero Trust DNS). Sus dos características principales son (1) conexiones cifradas y autenticadas criptográficamente entre clientes de usuario final y servidores DNS y (2) la capacidad de los administradores de restringir estrictamente los dominios que estos servidores resolverán.
Limpiar el campo minado
Una de las razones por las que DNS es un campo minado de seguridad es que estas dos características pueden ser mutuamente excluyentes. Agregar autenticación criptográfica y cifrado al DNS a menudo oscurece la visibilidad que los administradores necesitan para evitar que los dispositivos de los usuarios se conecten a dominios maliciosos o detecten comportamientos anómalos dentro de una red. Como resultado, el tráfico DNS se envía en texto claro o se cifra de una manera que permite a los administradores descifrarlo en tránsito a través de lo que es esencialmente un El ataque del oponente en el medio..
Los administradores deben elegir entre opciones igualmente poco atractivas: (1) enrutar el tráfico DNS en texto claro sin que el servidor y el dispositivo cliente puedan autenticarse entre sí para que los dominios maliciosos puedan bloquearse y sea posible monitorear la red, o (2) cifrar y autenticar Tráfico DNS y eliminar el control de dominio y la visibilidad de la red.
ZTDNS tiene como objetivo resolver este problema de décadas integrando el motor DNS de Windows con la plataforma de filtrado de Windows (el componente central del Firewall de Windows) directamente en los dispositivos cliente.
Jake Williams, vicepresidente de investigación y desarrollo de Hunter Strategies, dijo que unir estos motores previamente dispares permitiría que las actualizaciones del Firewall de Windows se realicen por nombre de dominio. El resultado, dijo, es un mecanismo que permite a las organizaciones, en esencia, decirle a los clientes que «sólo utilicen nuestro servidor DNS, que utiliza TLS, y sólo resolverá ciertos dominios». Microsoft llama a estos servidores DNS el «servidor DNS protector».
De forma predeterminada, el firewall denegará las resoluciones a todos los dominios excepto a los que figuran en las listas permitidas. Una lista de permitidos separada contendrá las subredes de direcciones IP que los clientes necesitan para ejecutar software autorizado. Ésta es la clave para que funcione a escala dentro de una organización con necesidades que cambian rápidamente. El experto en seguridad de redes Royce Williams (sin relación con Jake Williams) llamó a esto una «especie de API bidireccional para la capa de firewall, por lo que puede activar acciones de firewall (al ingresar *en* el firewall) y activar acciones externas basadas en firewall . estado (salida *desde* el firewall). Entonces, en lugar de tener que reinventar la rueda del firewall si es un proveedor de AV u otro proveedor, todo lo que necesita hacer es conectarse a PAM.
