Microsoft berencana untuk mengamankan DNS Windows dengan cara yang belum pernah ada sebelumnya. Begini caranya.

Menerjemahkan nama domain yang dapat dibaca manusia menjadi alamat IP numerik telah lama menimbulkan risiko keamanan yang signifikan. Lagi pula, pencarian jarang dienkripsi secara end-to-end. Server yang menyediakan pencarian nama domain menyediakan terjemahan untuk hampir semua alamat IP — meskipun alamat tersebut diketahui berbahaya. Banyak perangkat pengguna akhir dapat dengan mudah dikonfigurasi untuk berhenti menggunakan server pencarian yang disetujui dan sebagai gantinya menggunakan server jahat.

Microsoft pada hari Jumat memperkenalkan a Lirikan Dalam kerangka komprehensif yang bertujuan untuk mengurai kekacauan Sistem Nama Domain (DNS) sehingga lebih aman dalam jaringan Windows. Ini disebut ZTDNS (Zero Trust DNS). Dua keuntungan utama adalah (1) komunikasi terenkripsi dan diautentikasi secara kriptografis antara klien pengguna akhir dan server DNS dan (2) kemampuan administrator untuk membatasi secara ketat rentang yang akan diselesaikan oleh server ini.

Membersihkan ladang ranjau

Salah satu alasan mengapa DNS bisa menjadi ladang ranjau keamanan adalah karena kedua fitur ini bisa saling eksklusif. Menambahkan autentikasi dan enkripsi kriptografi ke DNS sering kali mengaburkan visibilitas yang diperlukan administrator untuk mencegah perangkat pengguna terhubung ke domain berbahaya atau mendeteksi perilaku anomali dalam jaringan. Akibatnya, lalu lintas DNS dikirim dalam bentuk teks biasa atau dienkripsi sedemikian rupa sehingga memungkinkan administrator untuk mendekripsinya saat transit melalui apa yang pada dasarnya adalah a Serangan musuh di tengah.

Administrator dibiarkan memilih di antara opsi-opsi yang sama tidak menariknya: (1) merutekan lalu lintas DNS dalam teks yang jelas tanpa ada cara bagi server dan mesin klien untuk mengautentikasi satu sama lain sehingga domain jahat dapat diblokir dan jaringan dapat dipantau, atau (2) mengenkripsi dan mengautentikasi lalu lintas DNS dan membuang Dari kontrol domain dan visibilitas jaringan.

ZTDNS bertujuan untuk memecahkan masalah yang sudah berlangsung puluhan tahun ini dengan mengintegrasikan mesin DNS Windows dengan Sistem Penyaringan Windows – komponen inti Windows Firewall – langsung ke perangkat klien.

Penggabungan mesin-mesin yang sebelumnya berbeda ini akan memungkinkan pembaruan Windows Firewall dibuat berdasarkan nama per-domain, kata Jake Williams, wakil presiden penelitian dan pengembangan di perusahaan konsultan Hunter Strategies. Hasilnya adalah mekanisme yang memungkinkan organisasi, pada dasarnya, memberi tahu pelanggan “untuk hanya menggunakan server DNS kami, yang menggunakan TLS, dan hanya akan menyelesaikan domain tertentu,” katanya. Microsoft menyebut server atau server DNS ini sebagai “server DNS pelindung.”

Secara default, firewall akan menolak solusi untuk semua domain kecuali yang tercantum dalam daftar yang diizinkan. Daftar izin terpisah akan berisi subnet alamat IP yang dibutuhkan klien untuk menjalankan perangkat lunak yang disetujui. Kunci untuk menyelesaikan pekerjaan ini dalam skala besar dalam organisasi dengan kebutuhan yang berubah dengan cepat. Pakar keamanan jaringan Royce Williams (tidak ada hubungannya dengan Jake Williams) menggambarkan hal ini sebagai “semacam API dua arah untuk lapisan firewall, sehingga Anda dapat memicu tindakan firewall (dengan memasukkan *ke* firewall), dan memicu tindakan eksternal yang bergantung pada pada firewall Perlindungan stateful (keluaran *dari* firewall). Jadi, daripada harus menemukan kembali roda firewall jika Anda adalah vendor AV atau yang lainnya, cukup hubungi WFP.