İnsanların okuyabildiği alan adlarını sayısal IP adreslerine çevirmek, uzun süredir önemli güvenlik riskleriyle doludur. Sonuçta aramalar nadiren uçtan uca şifrelenir. Etki alanı adı aramaları sağlayan sunucular, kötü amaçlı oldukları bilinse bile hemen hemen her IP adresi için çeviri sağlar. Birçok son kullanıcı cihazı, onaylı arama sunucularını kullanmayı bırakacak ve bunun yerine kötü amaçlı sunucuları kullanacak şekilde kolayca yapılandırılabilir.
Microsoft Cuma günü bir tanıtım yaptı Bakış atmak Etki Alanı Adı Sistemi (DNS) karmaşasını çözmeyi ve böylece Windows ağlarında daha iyi güvenlik sağlamayı amaçlayan kapsamlı bir çerçeve. Buna ZTDNS (Sıfır Güven DNS) denir. İki ana avantajı şunlardır: (1) son kullanıcı istemcileri ile DNS sunucuları arasındaki şifrelenmiş ve kriptografik olarak doğrulanmış iletişimler ve (2) yöneticilerin bu sunucuların çözeceği aralıkları sıkı bir şekilde kısıtlama yeteneği.
Mayın tarlasını temizlemek
DNS’nin bir güvenlik mayın tarlası haline gelmesinin nedenlerinden biri, bu iki özelliğin birbirini dışlayabilmesidir. DNS’ye kriptografik kimlik doğrulama ve şifreleme eklemek, genellikle yöneticilerin kullanıcı cihazlarının kötü amaçlı etki alanlarına bağlanmasını önlemek veya ağ içindeki anormal davranışları tespit etmek için ihtiyaç duyduğu görünürlüğü gizler. Sonuç olarak, DNS trafiği ya açık metin olarak gönderilir ya da yöneticilerin aktarım sırasında esasen bir ağ üzerinden trafiğin şifresini çözmesine olanak tanıyacak şekilde şifrelenir. Ortada düşman saldırısı.
Yöneticiler aynı derecede çekici olmayan seçenekler arasında seçim yapmak zorunda kalıyor: (1) DNS trafiğini, kötü amaçlı etki alanlarının engellenmesi ve ağın izlenebilmesi için sunucu ve istemci makinesinin birbirlerinin kimlik doğrulamasını yapmasına imkan vermeden açık metin olarak yönlendirmek veya (2) DNS trafiğini şifreleyin ve doğrulayın ve etki alanı kontrolünden ve ağ görünürlüğünden atın.
ZTDNS, Windows DNS motorunu Windows Güvenlik Duvarı’nın temel bileşeni olan Windows Filtreleme Sistemi ile doğrudan istemci cihazlara entegre ederek onlarca yıllık bu sorunu çözmeyi amaçlamaktadır.
Hunter Strategies danışmanlık firmasının araştırma ve geliştirmeden sorumlu başkan yardımcısı Jake Williams, önceden farklı olan bu motorların birleşiminin, Windows Güvenlik Duvarı güncellemelerinin alan adı bazında yapılmasına olanak sağlayacağını söyledi. Sonuç, kuruluşların müşterilere “yalnızca TLS kullanan ve yalnızca belirli etki alanlarını çözecek olan DNS sunucumuzu kullanmalarını” söylemelerine olanak tanıyan bir mekanizmadır. Microsoft bu DNS sunucusunu veya sunucularını “koruyucu DNS sunucusu” olarak adlandırır.
Varsayılan olarak güvenlik duvarı, izin verilenler listelerinde listelenenler dışındaki tüm etki alanları için çözümleri reddeder. Ayrı bir izin verilenler listesi, müşterilerin onaylı yazılımı çalıştırmak için ihtiyaç duyduğu IP adreslerinin alt ağlarını içerecektir. İhtiyaçları hızla değişen bir kuruluşta bu işi geniş ölçekte gerçekleştirmenin anahtarı. Ağ güvenliği uzmanı Royce Williams (Jake Williams’la hiçbir ilişkisi yok) bunu “güvenlik duvarı katmanı için bir tür iki yönlü API olarak tanımladı; böylece güvenlik duvarı eylemlerini tetikleyebilirsiniz (güvenlik duvarına *giriş yaparak) ve ona bağlı harici eylemleri tetikleyebilirsiniz. güvenlik duvarında Durum bilgisi olan koruma (güvenlik duvarından *çıkış) Bu nedenle, eğer bir AV satıcısıysanız veya başka bir şeyseniz, güvenlik duvarı tekerleğini yeniden icat etmek zorunda kalmak yerine, WFP’yi aramanız yeterli.
“Kahve meraklısı. İçine kapanık. Gururlu problem çözücü. Kaşif. Arkadaş canlısı müzik tutkunu. Zombi inek.”
More Stories
Kara Cuma’nın erken saatlerinde en iyi iPad fırsatları
Apple, Vision Pro’nun iki ülkeye daha yayılacağını duyurdu
Android telefon kullanan çocuklar yakında Google Cüzdan’ın dokun-öde hizmetini kullanabilecek