İnsanların okuyabildiği alan adlarını sayısal IP adreslerine çevirmek, uzun süredir önemli güvenlik riskleriyle doludur. Sonuçta aramalar nadiren uçtan uca şifrelenir. Etki alanı adı aramaları sağlayan sunucular, kötü amaçlı oldukları bilinse bile hemen hemen her IP adresi için çeviri sağlar. Birçok son kullanıcı cihazı, onaylı arama sunucularını kullanmayı bırakacak ve bunun yerine kötü amaçlı sunucuları kullanacak şekilde kolayca yapılandırılabilir.
Microsoft Cuma günü bir tanıtım yaptı Bakış atmak Etki Alanı Adı Sistemi (DNS) karmaşasını çözmeyi ve böylece Windows ağlarında daha iyi güvenlik sağlamayı amaçlayan kapsamlı bir çerçeve. Buna ZTDNS (Sıfır Güven DNS) denir. İki ana avantajı şunlardır: (1) son kullanıcı istemcileri ile DNS sunucuları arasındaki şifrelenmiş ve kriptografik olarak doğrulanmış iletişimler ve (2) yöneticilerin bu sunucuların çözeceği aralıkları sıkı bir şekilde kısıtlama yeteneği.
Mayın tarlasını temizlemek
DNS’nin bir güvenlik mayın tarlası haline gelmesinin nedenlerinden biri, bu iki özelliğin birbirini dışlayabilmesidir. DNS’ye kriptografik kimlik doğrulama ve şifreleme eklemek, genellikle yöneticilerin kullanıcı cihazlarının kötü amaçlı etki alanlarına bağlanmasını önlemek veya ağ içindeki anormal davranışları tespit etmek için ihtiyaç duyduğu görünürlüğü gizler. Sonuç olarak, DNS trafiği ya açık metin olarak gönderilir ya da yöneticilerin aktarım sırasında esasen bir ağ üzerinden trafiğin şifresini çözmesine olanak tanıyacak şekilde şifrelenir. Ortada düşman saldırısı.
Yöneticiler aynı derecede çekici olmayan seçenekler arasında seçim yapmak zorunda kalıyor: (1) DNS trafiğini, kötü amaçlı etki alanlarının engellenmesi ve ağın izlenebilmesi için sunucu ve istemci makinesinin birbirlerinin kimlik doğrulamasını yapmasına imkan vermeden açık metin olarak yönlendirmek veya (2) DNS trafiğini şifreleyin ve doğrulayın ve etki alanı kontrolünden ve ağ görünürlüğünden atın.
ZTDNS, Windows DNS motorunu Windows Güvenlik Duvarı’nın temel bileşeni olan Windows Filtreleme Sistemi ile doğrudan istemci cihazlara entegre ederek onlarca yıllık bu sorunu çözmeyi amaçlamaktadır.
Hunter Strategies danışmanlık firmasının araştırma ve geliştirmeden sorumlu başkan yardımcısı Jake Williams, önceden farklı olan bu motorların birleşiminin, Windows Güvenlik Duvarı güncellemelerinin alan adı bazında yapılmasına olanak tanıyacağını söyledi. Sonuç, kuruluşların aslında müşterilere “yalnızca TLS kullanan ve yalnızca belirli etki alanlarını çözecek olan DNS sunucumuzu kullanmalarını” söylemelerine olanak tanıyan bir mekanizmadır. Microsoft bu DNS sunucusunu veya sunucularını “koruyucu DNS sunucusu” olarak adlandırır.
Varsayılan olarak güvenlik duvarı, izin verilenler listelerinde listelenenler dışındaki tüm etki alanlarına yönelik çözümleri reddeder. Ayrı bir izin verilenler listesi, müşterilerin onaylı yazılımı çalıştırmak için ihtiyaç duyduğu IP adreslerinin alt ağlarını içerecektir. İhtiyaçları hızla değişen bir kuruluşta bu işi geniş ölçekte gerçekleştirmenin anahtarı. Ağ güvenliği uzmanı Royce Williams (Jake Williams’la hiçbir ilişkisi yok) bunu “güvenlik duvarı katmanı için bir tür iki yönlü API olarak tanımladı; böylece güvenlik duvarı eylemlerini tetikleyebilirsiniz (güvenlik duvarına *giriş yaparak) ve ona bağlı harici eylemleri tetikleyebilirsiniz. güvenlik duvarında Durum bilgisi olan koruma (güvenlik duvarından *çıkış) Bu nedenle, eğer bir AV satıcısıysanız veya başka bir şeyseniz, güvenlik duvarı tekerleğini yeniden icat etmek zorunda kalmak yerine, WFP’yi aramanız yeterli.
. “Çıldırtıcı derecede alçakgönüllü bira ustası. Gururlu domuz pastırması evangelisti. Tam bir twitter bilgini. Problem çözücü. Dost düşünür.”
More Stories
Visions Of Mana, iki kat daha uzun sürebilen 30 saatlik bir RPG’dir
Sızıntılar, iddia edilen PS5 Pro cihazının adını ve tasarımını ortaya koyuyor
iPhone 17 Pro Max, iPhone 17 Pro ve diğer modellere göre daha fazla rastgele bellek ve daha iyi bir soğutma sistemiyle gelecek.