A tradução de nomes de domínio legíveis por humanos em endereços IP numéricos há muito tempo apresenta riscos de segurança significativos. Afinal, as pesquisas raramente são criptografadas de ponta a ponta. Os servidores que fornecem pesquisas de nomes de domínio fornecem traduções para quase todos os endereços IP, mesmo quando são conhecidos por serem maliciosos. Muitos dispositivos de usuários finais podem ser facilmente configurados para parar de usar servidores de pesquisa aprovados e, em vez disso, usar servidores maliciosos.
A Microsoft apresentou na sexta-feira um Olhar Em uma estrutura abrangente que visa desembaraçar a confusão do Sistema de Nomes de Domínio (DNS) para que ele fique mais protegido nas redes Windows. É chamado ZTDNS (DNS de confiança zero). Duas vantagens principais são (1) comunicações criptografadas e autenticadas criptograficamente entre clientes de usuários finais e servidores DNS e (2) a capacidade dos administradores de restringir rigorosamente os intervalos que esses servidores resolverão.
Limpando o campo minado
Uma das razões pelas quais o DNS pode se tornar um campo minado de segurança é que esses dois recursos podem ser mutuamente exclusivos. Adicionar autenticação criptográfica e criptografia ao DNS muitas vezes obscurece a visibilidade que os administradores precisam para evitar que os dispositivos dos usuários se conectem a domínios maliciosos ou detectem comportamento anômalo na rede. Como resultado, o tráfego DNS é enviado em texto não criptografado ou criptografado de uma forma que permite aos administradores descriptografá-lo em trânsito através do que é essencialmente um Ataque inimigo no meio.
Os administradores têm que escolher entre opções igualmente pouco atraentes: (1) rotear o tráfego DNS em texto não criptografado, sem nenhuma maneira de o servidor e a máquina cliente se autenticarem, para que domínios maliciosos possam ser bloqueados e a rede possa ser monitorada, ou (2) criptografar e autenticar o tráfego DNS e descartar o controle de domínio e a visibilidade da rede.
O ZTDNS visa resolver esse problema de décadas integrando o mecanismo DNS do Windows com o Sistema de Filtragem do Windows – o componente principal do Firewall do Windows – diretamente nos dispositivos clientes.
A união desses mecanismos anteriormente díspares permitirá que as atualizações do Firewall do Windows sejam feitas por nome de domínio, disse Jake Williams, vice-presidente de pesquisa e desenvolvimento da empresa de consultoria Hunter Strategies. O resultado é um mecanismo que permite às organizações, em essência, dizer aos clientes “para usarem apenas o nosso servidor DNS, que usa TLS, e só resolverá determinados domínios”, disse ele. A Microsoft chama esse ou mais servidores DNS de “servidor DNS protetor”.
Por padrão, o firewall rejeitará soluções para todos os domínios, exceto aqueles listados nas listas de permissões. Uma lista de permissões separada conterá sub-redes de endereços IP que os clientes precisam para executar software aprovado. A chave para realizar esse trabalho em escala dentro de uma organização com necessidades em rápida mudança. O especialista em segurança de rede Royce Williams (sem parentesco com Jake Williams) descreveu isso como “uma espécie de API bidirecional para a camada de firewall, para que você possa acionar ações de firewall (por entrada *para* o firewall) e acionar ações externas que dependem no firewall Proteção estável (saída *do* firewall). Então, em vez de ter que reinventar a roda do firewall se você for um fornecedor de antivírus ou qualquer outra coisa, basta ligar para o WFP.