企业宣传,产品推广,广告招商,广告投放联系seowdb

扫雷还是触雷 微软推出零信赖DNS

常年以来,将人类可读的域名网址转换为数字IP地址的DNS服务存在着渺小安保危险,由于域名解析环节很少驳回端到端加密。提供域名解析的主机会为简直任何IP地址(即使是已知的恶意地址)启动解析。许多终端用户设备的DNS性能也很容易被窜改成恶意主机。

为了控制DNS顽疾,上周五微软推出了一套安保DNS框架——零信赖DNS(ZTDNS),企业可在Windows网络外部锁定域名解析。该框架的两个关键性能是:

破解DNS安保悖论

DNS之所以成为网络安保最固执雷区之一,关键要素之一是存在一个安保悖论:在DNS解析中实施加密和身份验证会降落控制员的可见性,(不可看到和组织用户设备衔接恶意域名或检测网络内意外行为)。因此,DNS流量要么以明文方式发送,要么以准许控制员在传输环节中解密的方式启动加密,这实质上是一种两边人攻打。

控制员经常面临以下两难选用:

微软的ZTDNS经过将Windows DNS引擎与Windows挑选平台(Windows防火墙的**组件)间接集成到客户端设备中来处置这个存在了数十年的互联网安保疑问(矛盾)。

咨询公司Hunter Strategy的钻研和开发副总裁Jake Williams表示,这种引擎联合可以对Windows防火墙启动以域名为基础的更新。这发生一种机制,可让企业系统控制员将客户端DNS性能为:“只经常使用咱们的DNS主机,该主机经常使用TLS,并且只解析某些域名”。微软将这种DNS主机称为“包全性DNS主机”。

自动状况下,防火墙会拒绝解析准许列表(白名单)中列出的域名之外的其余一切域名的解析。独自的准许列表将蕴含客户端运转授权软件所需的IP地址子网。网络安保专家Royce Williams将其称为“防火墙层的一种双向API,用户可以同时触发防火墙操作(经过输入‘’),并依据防火墙形态触发外部操作(输入‘’)。因此,假设您是防病毒供应商或其余任何供应商,就不用从新发明防火墙,只有衔接到WFP即可。”

ZTDNS的上班原理

微软发布了一个ZTDNS的概念图(下图),展现ZTDNS如何融入微软的移动设备控制平台(该平台可协助控制员包全和控制获准联网的远程设备)以及与从家庭或其余远程位置衔接的设备启动交互。

微软表示,除了衔接到包全性DNS主机、DHCP、DHCPv6和NDP主机(用于网络发现)的衔接,ZTDNS会阻止客户端设备到一切其余IPv4或IPv6 IP地址的出站衔接。

微软指出:

当运行程序和服务尝试将IPv4或IPv6流量发送到未经过ZTDNS发现的IP地址(并且不在手动例外列表中)时,该流量将被阻止。这使ZTDNS成为一种很有价值的零信赖工具:它对流量是“零信赖”的,控制员可经常使用战略感知的包全性DNS主机定义基于域名的锁定。或许,可以经常使用客户端证书向主机提供影响战略的客户端标识,而不是依赖客户端IP地址,后者既不是安保的信号,也不太适用于“随时随地上班”的设备。

经过经常使用ZTDNS增强零信赖部署,控制员可以成功一切出站IPv4和IPv6流量的称号标志,而无需依赖阻拦纯文本DNS流量、卷入识别和阻止来自运行程序或恶意软件的加密DNS流量的技术军备比赛、审核行将加密的SNI,或依赖于特定供应商的网络协定。同样,控制员可以阻止不可识别关联域名或命名意外的一切流量。这象征着企业不再依赖硬编码IP地址或加密DNS主机,也不用就义端到端加密的安保长处。

关于用作ZTDNS锁定的包全性DNS主机,最低要求是支持DNS over HTTPS (DoH)或DNS over TLS (DoT),由于ZTDNS将阻止Windows经常使用纯文本DNS。此外,在加密DNS衔接上经常使用mTLS可支持对每个客户端性能细粒度的DNS解析战略。最后,ZTDNS没有引入任何新的网络协定,这使其成为基于域名锁定的一种有前景的可互操作方法。

Peculiar Ventures首席口头官瑞安·赫斯特(Ryan Hurst)表示,网络外部大规模驳回加密衔接给一些大型组织带来了艰巨,由于控制员经常使用的许多安保工具都依赖于其审核和监控纯文本流量的才干。Hurst指出:

微软的零信赖DNS处置打算的重点是:经过将DNS转变为所谓的网络战略口头点,局部复原可见性;在不失掉明文流量的状况下牢靠地控制和审核所解析的域名。当企业将ZTDNS其与进口网络过滤相联合时,可创立一个闭环,使企业可以对流量的去向和期间有必定的掌控。当出现网络攻打时,零信赖DNS还有或许被用作一种通畅或阻止攻打者在网络中横向移动的方法,在某些状况下可让数据暴露变得愈加艰巨。

然而安保专家正告说,ZTDNS引入了一种陈腐的DNS方法,除非控制员对其的设计启动严重更改,冒然部署或许会破坏关键的网络运营。企业在部署ZTDNS前须要指定一个团队来处置更新,启动严厉测试和文明转变。“为了从ZTDNS取得最大的安保价值,系统控制员须要枚举他们宿愿客户端衔接到的域名和/或IP范畴,”Jake Williams指出:“不然将造成(自我形成的)拒绝服务。”

微软官网发布了一篇文章专门引见了部署ZTDNS的留意事项(链接在文末)。目前,ZTDNS的开发曾经进入外部预览版,但微软没有泄漏外部人士何时可以对其启动评价以及何时推行经常使用。

© 版权声明
评论 抢沙发
加载中~
每日一言
不怕万人阻挡,只怕自己投降
Not afraid of people blocking, I'm afraid their surrender