Getty Images
İnsanların okuyabildiği alan adlarını sayısal IP adreslerine çevirmek, uzun süredir önemli güvenlik riskleriyle doludur. Sonuçta aramalar nadiren uçtan uca şifrelenir. Etki alanı adı aramaları sağlayan sunucular, kötü amaçlı oldukları bilinse bile hemen hemen her IP adresi için çeviri sağlar. Birçok son kullanıcı cihazı, onaylı arama sunucularını kullanmayı bırakacak ve bunun yerine kötü amaçlı sunucuları kullanacak şekilde kolayca yapılandırılabilir.
Microsoft Cuma günü bir tanıtım yaptı Bakış atmak Etki Alanı Adı Sistemi (DNS) karmaşasını çözmeyi ve böylece Windows ağlarında daha iyi güvenlik sağlamayı amaçlayan kapsamlı bir çerçeve. Buna ZTDNS (Sıfır Güven DNS) denir. İki ana avantajı şunlardır: (1) son kullanıcı istemcileri ile DNS sunucuları arasındaki şifrelenmiş ve kriptografik olarak doğrulanmış iletişimler ve (2) yöneticilerin bu sunucuların çözeceği aralıkları sıkı bir şekilde kısıtlama yeteneği.
Mayın tarlasını temizlemek
DNS’nin bir güvenlik mayın tarlası haline gelmesinin nedenlerinden biri, bu iki özelliğin birbirini dışlayabilmesidir. DNS’ye kriptografik kimlik doğrulama ve şifreleme eklemek, genellikle yöneticilerin kullanıcı cihazlarının kötü amaçlı etki alanlarına bağlanmasını önlemek veya ağ içindeki anormal davranışları tespit etmek için ihtiyaç duyduğu görünürlüğü gizler. Sonuç olarak, DNS trafiği ya açık metin olarak gönderilir ya da yöneticilerin aktarım sırasında esasen bir ağ üzerinden trafiğin şifresini çözmesine olanak tanıyacak şekilde şifrelenir. Ortada düşman saldırısı.
Yöneticiler aynı derecede çekici olmayan seçenekler arasında seçim yapmak zorunda kalıyor: (1) DNS trafiğini, kötü amaçlı etki alanlarının engellenmesi ve ağın izlenebilmesi için sunucu ve istemci makinesinin birbirlerinin kimlik doğrulamasını yapmasına imkan vermeden açık metin olarak yönlendirmek veya (2) DNS trafiğini şifreleyin ve doğrulayın ve etki alanı kontrolünden ve ağ görünürlüğünden atın.
ZTDNS, Windows DNS motorunu Windows Güvenlik Duvarı’nın temel bileşeni olan Windows Filtreleme Sistemi ile doğrudan istemci cihazlara entegre ederek onlarca yıllık bu sorunu çözmeyi amaçlamaktadır.
Hunter Strategies danışmanlık firmasının araştırma ve geliştirmeden sorumlu başkan yardımcısı Jake Williams, önceden farklı olan bu motorların birleşiminin, Windows Güvenlik Duvarı güncellemelerinin alan adı bazında yapılmasına olanak tanıyacağını söyledi. Sonuç, kuruluşların aslında müşterilere “yalnızca TLS kullanan ve yalnızca belirli etki alanlarını çözecek olan DNS sunucumuzu kullanmalarını” söylemelerine olanak tanıyan bir mekanizmadır. Microsoft bu DNS sunucusunu veya sunucularını “koruyucu DNS sunucusu” olarak adlandırır.
Varsayılan olarak güvenlik duvarı, izin verilenler listelerinde listelenenler dışındaki tüm etki alanlarına yönelik çözümleri reddeder. Ayrı bir izin verilenler listesi, müşterilerin onaylı yazılımı çalıştırmak için ihtiyaç duyduğu IP adreslerinin alt ağlarını içerecektir. İhtiyaçları hızla değişen bir kuruluşta bu işi geniş ölçekte gerçekleştirmenin anahtarı. Ağ güvenliği uzmanı Royce Williams (Jake Williams’la hiçbir ilişkisi yok) bunu “güvenlik duvarı katmanı için bir tür iki yönlü API olarak tanımladı; böylece güvenlik duvarı eylemlerini tetikleyebilirsiniz (güvenlik duvarına *giriş yaparak) ve ona bağlı harici eylemleri tetikleyebilirsiniz. güvenlik duvarında Durum bilgisi olan koruma (güvenlik duvarından *çıkış) Bu nedenle, eğer bir AV satıcısıysanız veya başka bir şeyseniz, güvenlik duvarı tekerleğini yeniden icat etmek zorunda kalmak yerine, WFP’yi aramanız yeterli.
. “Çıldırtıcı derecede alçakgönüllü bira ustası. Gururlu domuz pastırması evangelisti. Tam bir twitter bilgini. Problem çözücü. Dost düşünür.”
More Stories
Android 15, bazı cihazlarda bekleme pil ömrünü 3 saate kadar artırır
Motorola’nın yaklaşmakta olan Razr serisi herkes için daha büyük ön tarafa bakan ekranlara sahip olabilir
Yeni Assassin’s Creed Shadows Samurai oyunu Asyalı değil diye deli gibi davranmayalım