Het vertalen van voor mensen leesbare domeinnamen naar numerieke IP-adressen is lange tijd gepaard gegaan met aanzienlijke veiligheidsrisico’s. Zoekopdrachten zijn immers zelden end-to-end gecodeerd. Servers die het opzoeken van domeinnamen mogelijk maken, bieden vertalingen voor vrijwel elk IP-adres, zelfs als bekend is dat deze kwaadaardig zijn. Veel apparaten van eindgebruikers kunnen eenvoudig worden geconfigureerd om te stoppen met het gebruik van goedgekeurde zoekservers en in plaats daarvan kwaadaardige servers te gebruiken.
Microsoft heeft vrijdag een Oogopslag In een alomvattend raamwerk gericht op het ontwarren van de chaos van het Domain Name System (DNS), zodat deze beter beveiligd is binnen Windows-netwerken. Het heet ZTDNS (Zero Trust DNS). Twee belangrijke voordelen zijn (1) gecodeerde en cryptografisch geauthenticeerde communicatie tussen eindgebruikersclients en DNS-servers en (2) de mogelijkheid voor beheerders om de reikwijdten die deze servers kunnen oplossen nauwgezet te beperken.
Het mijnenveld opruimen
Een van de redenen waarom DNS een mijnenveld op het gebied van beveiliging kan worden, is dat deze twee functies elkaar wederzijds kunnen uitsluiten. Het toevoegen van cryptografische authenticatie en encryptie aan DNS vertroebelt vaak de zichtbaarheid die beheerders nodig hebben om te voorkomen dat gebruikersapparaten verbinding maken met kwaadaardige domeinen of afwijkend gedrag binnen het netwerk detecteren. Als gevolg hiervan wordt DNS-verkeer in gewone tekst verzonden of zodanig gecodeerd dat beheerders het tijdens de overdracht kunnen ontsleutelen via wat in wezen een Vijandelijke aanval in het midden.
Beheerders moeten kiezen tussen even onaantrekkelijke opties: (1) DNS-verkeer in duidelijke tekst routeren zonder dat de server en de clientmachine elkaar kunnen authenticeren, zodat kwaadaardige domeinen kunnen worden geblokkeerd en het netwerk kan worden gecontroleerd, of (2) versleutel en authenticeer DNS-verkeer en verwijder het van domeincontrole en netwerkzichtbaarheid.
ZTDNS streeft ernaar dit decennia-oude probleem op te lossen door de Windows DNS-engine met het Windows Filtering System – het kernonderdeel van Windows Firewall – rechtstreeks in clientapparaten te integreren.
Door de combinatie van deze voorheen ongelijksoortige motoren kunnen Windows Firewall-updates per domeinnaam worden uitgevoerd, zegt Jake Williams, vice-president van onderzoek en ontwikkeling bij adviesbureau Hunter Strategies. Het resultaat is een mechanisme waarmee organisaties in essentie hun klanten kunnen vertellen “dat ze alleen onze DNS-server moeten gebruiken, die TLS gebruikt, en alleen bepaalde domeinen zal oplossen”, zei hij. Microsoft noemt deze DNS-server of -servers een ‘beschermende DNS-server’.
Standaard weigert de firewall oplossingen voor alle domeinen, behalve de domeinen die in de acceptatielijsten staan vermeld. Een aparte acceptatielijst bevat subnetten met IP-adressen die clients nodig hebben om goedgekeurde software uit te voeren. De sleutel om dit werk op schaal gedaan te krijgen binnen een organisatie met snel veranderende behoeften. Netwerkbeveiligingsexpert Royce Williams (geen familie van Jake Williams) beschreef dit als “een soort tweerichtings-API voor de firewalllaag, zodat u firewallacties kunt activeren (door *in* de firewall in te voeren) en externe acties kunt activeren die afhankelijk zijn op de firewall Stateful bescherming (uitvoer *van* de firewall). Dus in plaats van dat u het firewallwiel opnieuw hoeft uit te vinden als u een AV-leverancier bent of iets anders, kunt u gewoon WFP bellen.
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’