Getty-afbeeldingen
Het vertalen van voor mensen leesbare domeinnamen naar numerieke IP-adressen is lange tijd gepaard gegaan met grote veiligheidsrisico’s. Zoekopdrachten zijn immers zelden end-to-end gecodeerd. Servers die het opzoeken van domeinnamen mogelijk maken, bieden vertalingen voor vrijwel elk IP-adres, zelfs als bekend is dat deze kwaadaardig zijn. Veel apparaten van eindgebruikers kunnen eenvoudig worden geconfigureerd om te stoppen met het gebruik van geautoriseerde zoekservers en in plaats daarvan kwaadaardige zoekservers te gebruiken.
Microsoft heeft vrijdag een kijkje gegeven in een alomvattend raamwerk dat tot doel heeft het Domain Name System (DNS) te ontwarren, zodat het beter wordt vergrendeld binnen Windows-netwerken. Het heet ZTDNS (Zero Trust DNS). De twee belangrijkste kenmerken zijn (1) gecodeerde en cryptografisch geverifieerde verbindingen tussen eindgebruikersclients en DNS-servers, en (2) de mogelijkheid voor beheerders om de domeinen die deze servers kunnen omzetten strikt te beperken.
Het mijnenveld opruimen
Eén reden waarom DNS zo’n mijnenveld op het gebied van beveiliging is, is dat deze twee functies elkaar wederzijds kunnen uitsluiten. Het toevoegen van cryptografische authenticatie en encryptie aan DNS verdoezelt vaak de zichtbaarheid die beheerders nodig hebben om te voorkomen dat gebruikersapparaten verbinding maken met kwaadaardige domeinen of afwijkend gedrag binnen het netwerk detecteren. Als gevolg hiervan wordt DNS-verkeer in gewone tekst verzonden of zodanig gecodeerd dat beheerders het onderweg kunnen ontsleutelen via wat in wezen een ‘adversary-in-the-middle’-aanval is.
Beheerders moeten kiezen tussen even onaantrekkelijke opties: (1) DNS-verkeer in duidelijke tekst routeren zonder dat de server en het clientapparaat elkaar kunnen authenticeren, zodat kwaadaardige domeinen kunnen worden geblokkeerd en netwerkmonitoring mogelijk is, of (2) het coderen en authenticeer DNS-verkeer en verwijder domeincontrole en netwerkzichtbaarheid.
ZTDNS wil dit decennia-oude probleem oplossen door de Windows DNS-engine te integreren met het Windows Filtering Platform, een kerncomponent van Windows Firewall, rechtstreeks in clientapparaten.
Jake Williams, vice-president van onderzoek en ontwikkeling bij adviesbureau Hunter Strategies, zei dat het combineren van deze voorheen uiteenlopende mechanismen het mogelijk zou maken om Windows-firewalls per domeinnaam te updaten. Het resultaat, zo zei hij, is een mechanisme waarmee organisaties klanten in wezen kunnen vertellen dat ze “alleen onze DNS-server moeten gebruiken, die TLS gebruikt en alleen bepaalde domeinen oplost.” Microsoft noemt deze DNS-server of -servers een “beschermende DNS-server”.
Standaard weigert de firewall resoluties voor alle domeinen, behalve de domeinen die op de witte lijsten staan. Een aparte witte lijst bevat de IP-adressubnetten die clients nodig hebben om de geautoriseerde software uit te voeren. De sleutel om meer van dit werk te bereiken binnen een organisatie met snel veranderende behoeften. Netwerkbeveiligingsexpert Royce Williams (geen familie van Jake Williams) noemde dit “een soort bidirectionele API voor de firewalllaag, zodat je firewallacties kunt activeren (door *in* de firewall in te voeren) en externe, op firewalls gebaseerde acties kunt activeren. naar status (verlaat *van* de firewall). Dus in plaats van dat je het firewallwiel opnieuw moet uitvinden als je een AV-leverancier bent of wat dan ook, sluit je gewoon aan op WFP.”