Traducir nombres de dominio legibles por humanos a direcciones IP numéricas ha estado plagado de enormes riesgos de seguridad. Después de todo, las búsquedas rara vez están cifradas de un extremo a otro. Los servidores que proporcionan búsquedas de nombres de dominio proporcionan traducciones para prácticamente cualquier dirección IP, incluso cuando se sabe que son maliciosas. Y muchos dispositivos de usuarios finales se pueden configurar fácilmente para dejar de utilizar servidores de búsqueda autorizados y, en su lugar, utilizar servidores maliciosos.

Microsoft proporcionó el viernes una echar un vistazo en un marco integral que apunta a resolver el desorden del Sistema de nombres de dominio (DNS) para que esté mejor bloqueado en las redes de Windows. Se llama ZTDNS (Zero Trust DNS). Sus dos características principales son (1) conexiones cifradas y autenticadas criptográficamente entre clientes de usuario final y servidores DNS y (2) la capacidad de los administradores de restringir estrictamente los dominios a los que estos servidores resolverán.

Limpiar el campo minado

Una de las razones por las que el DNS ha sido un campo minado para la seguridad es que estas dos características pueden ser mutuamente excluyentes. Agregar autenticación criptográfica y cifrado al DNS a menudo oscurece la visibilidad que los administradores necesitan para evitar que los dispositivos de los usuarios se conecten a dominios maliciosos o detecten comportamientos anómalos dentro de una red. Como resultado, el tráfico DNS se envía en texto claro o se cifra de una manera que permite a los administradores descifrarlo en tránsito a través de lo que es esencialmente un El ataque del oponente en el medio..

Los administradores tienen que elegir entre opciones igualmente desagradables: (1) enrutar el tráfico DNS en texto claro, sin medios para que el servidor y el dispositivo cliente se autentiquen mutuamente, de modo que los dominios maliciosos puedan bloquearse y sea posible monitorear la red, o (2 ) cifran y autentican el tráfico DNS y eliminan el control de dominio y la visibilidad de la red.

ZTDNS tiene como objetivo resolver este problema de décadas integrando el motor DNS de Windows con la plataforma de filtrado de Windows, el componente central del Firewall de Windows, directamente en los dispositivos cliente.

Jake Williams, vicepresidente de investigación y desarrollo de la consultora Hunter Strategies, dijo que unir estos mecanismos previamente dispares permitiría realizar actualizaciones en el firewall de Windows por nombre de dominio. El resultado, dijo, es un mecanismo que permite a las organizaciones, en esencia, decirle a los clientes que «solo usen nuestro servidor DNS, que usa TLS, y solo resolverá ciertos dominios». Microsoft llama a este servidor o servidores DNS un «servidor DNS protector».

De forma predeterminada, el firewall denegará las resoluciones a todos los dominios excepto a los enumerados en las listas blancas. Una lista blanca separada contendrá subredes de direcciones IP que los clientes necesitan para ejecutar software autorizado. Es clave para que esto funcione a escala dentro de una organización con necesidades que cambian rápidamente. El experto en seguridad de redes Royce Williams (sin relación con Jake Williams) llamó a esto “una especie de API bidireccional para la capa del firewall, de modo que puede activar acciones del firewall (mediante entrada *al* firewall) y desencadenar acciones externas basadas en el estado del firewall. (salida *desde* el firewall). Entonces, en lugar de tener que reinventar la rueda del firewall si eres un proveedor de AV o algo así, puedes simplemente conectarte al WFP”.