إن ترجمة أسماء النطاقات التي يمكن قراءتها بواسطة الإنسان إلى عناوين IP رقمية كانت منذ فترة طويلة محفوفة بالمخاطر الأمنية. ففي نهاية المطاف، نادرًا ما تكون عمليات البحث مشفرة من طرف إلى طرف. توفر الخوادم التي توفر عمليات بحث عن اسم المجال ترجمات لأي عنوان IP، حتى لو كان معروفًا أنها ضارة. ويمكن تكوين العديد من أجهزة المستخدم النهائي بسهولة للتوقف عن استخدام خوادم البحث المعتمدة واستخدام خوادم ضارة بدلاً من ذلك.
عرضت مايكروسوفت يوم الجمعة ينظر خلسة في إطار عمل متقن، يهدف نظام اسم المجال (DNS) إلى حل الارتباك بحيث يتم قفله بشكل أفضل داخل شبكات Windows. وهذا ما يسمى ZTDNS (DNS ذو الثقة الصفرية). ميزتان رئيسيتان هما (1) الاتصالات المشفرة والمصادق عليها تشفيريًا بين عملاء المستخدم النهائي وخوادم DNS و(2) قدرة المسؤولين على التحكم بإحكام في المجالات التي تحلها هذه الخوادم.
إزالة الألغام
أحد الأسباب التي تجعل DNS يمثل حقل ألغام أمني هو أن هاتين الميزتين يمكن أن تكونا متنافيتين. غالبًا ما تؤدي إضافة مصادقة التشفير والتشفير إلى DNS إلى حجب الرؤية التي يحتاجها المسؤولون لمنع أجهزة المستخدم من الاتصال بالمجالات الضارة أو اكتشاف السلوك الشاذ داخل الشبكة. ونتيجة لذلك، يتم إرسال حركة مرور DNS بنص واضح أو مشفرة للسماح للمسؤولين بفك تشفيرها. هجوم العدو في الوسط.
يُترك للمسؤولين الاختيار بين خيارات غير سارة بنفس القدر: (1) حركة مرور DNS المباشرة بنص واضح مع عدم وجود وسيلة للخادم وجهاز العميل لمصادقة بعضهما البعض، بحيث يمكن حظر النطاقات الضارة وإمكانية مراقبة الشبكة، أو (2) تشفير ومصادقة حركة مرور DNS، مما يسمح بالتحكم في المجال وإزالة الرؤية للشبكة.
تهدف ZTDNS إلى حل هذه المشكلة المستمرة منذ عقود من خلال دمج محرك Windows DNS، وهو مكون أساسي لجدار حماية Windows، مع جدار حماية Windows مباشرة على الأجهزة العميلة.
قال جيك ويليامز، نائب الرئيس للبحث والتطوير في شركة Hunter Strategies الاستشارية، إن اتحاد هذه المحركات المتباينة سابقًا سيسمح بتحديث جدار حماية Windows على أساس اسم المجال الواحد. والنتيجة، في جوهرها، هي آلية تسمح للمؤسسات بإخبار العملاء “باستخدام خادم DNS الخاص بنا، ويستخدم TLS، ويحل نطاقات معينة فقط.” تطلق Microsoft على خادم أو خوادم DNS هذا اسم “خادم DNS الآمن”.
افتراضيًا، يرفض جدار الحماية الحلول لجميع النطاقات باستثناء تلك المدرجة في القوائم البيضاء. تحتوي القائمة البيضاء المنفصلة على الشبكات الفرعية لعناوين IP التي يجب على العملاء تشغيل البرامج المعتمدة عليها. المفتاح للقيام بهذا العمل هو داخل منظمة ذات احتياجات سريعة التغير. أطلق عليها خبير أمن الشبكات رويس ويليامز (ليس له أي علاقة بجيك ويليامز) اسم “واجهة برمجة تطبيقات ثنائية الاتجاه لطبقة جدار الحماية، بحيث يمكنك تشغيل إجراءات جدار الحماية (عبر الإدخال *إلى* جدار الحماية)، وإطلاق إجراءات خارجية بناءً على جدار الحماية. الحالة (* الإخراج من جدار الحماية). لذا، فبدلاً من إعادة اختراع عجلة جدار الحماية سواء كنت بائع منتجات AV أو أي شيء آخر، فإنك تنضم إلى برنامج الأغذية العالمي.