Việc dịch tên miền mà con người có thể đọc được thành địa chỉ IP dạng số từ lâu đã tiềm ẩn nhiều rủi ro bảo mật đáng kể. Suy cho cùng, các tìm kiếm hiếm khi được mã hóa nối đầu. Các máy chủ cung cấp dịch vụ tra cứu tên miền cung cấp bản dịch cho hầu hết mọi địa chỉ IP — ngay cả khi chúng được biết là độc hại. Nhiều thiết bị của người dùng cuối có thể dễ dàng được cấu hình để ngừng sử dụng các máy chủ tìm kiếm được phê duyệt và thay vào đó sử dụng các máy chủ độc hại.

Microsoft hôm thứ Sáu đã giới thiệu một Nhìn thoáng qua Trong một khuôn khổ toàn diện nhằm mục đích gỡ rối sự lộn xộn của Hệ thống tên miền (DNS) để nó được bảo mật tốt hơn trong các mạng Windows. Nó được gọi là ZTDNS (DNS không tin cậy). Hai ưu điểm chính là (1) thông tin liên lạc được mã hóa và xác thực bằng mật mã giữa máy khách người dùng cuối và máy chủ DNS và (2) khả năng quản trị viên hạn chế chặt chẽ phạm vi mà các máy chủ này sẽ giải quyết.

Rà phá bãi mìn

Một trong những lý do khiến DNS có thể trở thành một bãi mìn bảo mật là vì hai tính năng này có thể loại trừ lẫn nhau. Việc thêm xác thực bằng mật mã và mã hóa vào DNS thường che khuất khả năng hiển thị mà quản trị viên cần để ngăn thiết bị của người dùng kết nối với các miền độc hại hoặc phát hiện hành vi bất thường trong mạng. Kết quả là lưu lượng DNS được gửi ở dạng văn bản rõ ràng hoặc được mã hóa theo cách cho phép quản trị viên giải mã nó khi truyền qua những gì về cơ bản là một Kẻ thù tấn công ở giữa.

Quản trị viên được quyền lựa chọn giữa các tùy chọn kém hấp dẫn như nhau: (1) định tuyến lưu lượng DNS ở dạng văn bản rõ ràng mà không có cách nào để máy chủ và máy khách xác thực lẫn nhau để có thể chặn các tên miền độc hại và có thể giám sát mạng hoặc (2) mã hóa và xác thực lưu lượng DNS và loại bỏ Kiểm soát miền và khả năng hiển thị mạng.

ZTDNS nhằm mục đích giải quyết vấn đề đã tồn tại hàng thập kỷ này bằng cách tích hợp công cụ DNS của Windows với Hệ thống lọc Windows – thành phần cốt lõi của Tường lửa Windows – trực tiếp vào các thiết bị khách.

Jake Williams, phó chủ tịch nghiên cứu và phát triển của công ty tư vấn Hunter Strategies cho biết, sự kết hợp của các công cụ khác nhau trước đây này sẽ cho phép thực hiện các bản cập nhật Tường lửa của Windows trên cơ sở tên miền. Kết quả là một cơ chế cho phép các tổ chức, về bản chất, yêu cầu khách hàng “chỉ sử dụng máy chủ DNS của chúng tôi, sử dụng TLS và sẽ chỉ giải quyết một số miền nhất định”, ông nói. Microsoft gọi các máy chủ DNS này là “máy chủ DNS bảo vệ”.

Theo mặc định, tường lửa sẽ từ chối các giải pháp cho tất cả các miền ngoại trừ những miền được liệt kê trong danh sách cho phép. Một danh sách cho phép riêng biệt sẽ chứa các mạng con chứa địa chỉ IP mà khách hàng cần để chạy phần mềm được phê duyệt. Chìa khóa để hoàn thành công việc này trên quy mô lớn trong một tổ chức có nhu cầu thay đổi nhanh chóng. Chuyên gia an ninh mạng Royce Williams (không liên quan đến Jake Williams) đã mô tả đây là “một loại API hai chiều cho lớp tường lửa, do đó bạn có thể kích hoạt các hành động tường lửa (bằng cách nhập *vào* tường lửa) và kích hoạt các hành động bên ngoài phụ thuộc vào trên tường lửa Bảo vệ trạng thái (đầu ra *từ* tường lửa). Vì vậy, thay vì phải phát minh lại bánh xe tường lửa nếu bạn là nhà cung cấp AV hoặc nhà cung cấp khác, chỉ cần gọi WFP.