Getty Images
Die Übersetzung von für Menschen lesbaren Domänennamen in numerische IP-Adressen ist seit langem mit großen Sicherheitsrisiken behaftet. Schließlich sind Suchvorgänge selten Ende-zu-Ende-verschlüsselt. Die Server, die die Suche nach Domänennamen bereitstellen, liefern Übersetzungen für praktisch jede IP-Adresse – selbst wenn diese als bösartig bekannt ist. Und viele Endbenutzergeräte können einfach so konfiguriert werden, dass sie keine autorisierten Suchserver mehr verwenden und stattdessen bösartige Server verwenden.
Microsoft hat am Freitag einen Einblick in ein umfassendes Framework gegeben, das darauf abzielt, das Chaos im Domain Name System (DNS) zu beseitigen, damit es besser in Windows-Netzwerken geschützt ist. Es heißt ZTDNS (Zero Trust DNS). Seine beiden Hauptmerkmale sind (1) verschlüsselte und kryptografisch authentifizierte Verbindungen zwischen Endbenutzer-Clients und DNS-Servern und (2) die Möglichkeit für Administratoren, die Domänen, die diese Server auflösen, streng einzuschränken.
Räumung des Minenfeldes
Einer der Gründe, warum DNS so ein Sicherheitsminenfeld darstellt, liegt darin, dass sich diese beiden Funktionen gegenseitig ausschließen können. Das Hinzufügen kryptografischer Authentifizierung und Verschlüsselung zu DNS verschleiert oft die Transparenz, die Administratoren benötigen, um zu verhindern, dass Benutzergeräte eine Verbindung zu bösartigen Domänen herstellen oder anomales Verhalten innerhalb eines Netzwerks erkennen. Infolgedessen wird der DNS-Verkehr entweder im Klartext gesendet oder er ist so verschlüsselt, dass Administratoren ihn während der Übertragung entschlüsseln können, was im Wesentlichen einen Adversary-in-the-Middle-Angriff darstellt.
Administratoren haben die Wahl zwischen ebenso unattraktiven Optionen: (1) DNS-Verkehr im Klartext weiterleiten, ohne dass Server und Client-Gerät sich gegenseitig authentifizieren können, sodass bösartige Domänen blockiert werden können und eine Netzwerküberwachung möglich ist, oder (2) verschlüsseln und Authentifizieren Sie den DNS-Verkehr und machen Sie die Domänenkontrolle und Netzwerksichtbarkeit überflüssig.
ZTDNS zielt darauf ab, dieses jahrzehntealte Problem zu lösen, indem es die Windows-DNS-Engine mit der Windows-Filterplattform – der Kernkomponente der Windows-Firewall – direkt in Client-Geräte integriert.
Jake Williams, Vizepräsident für Forschung und Entwicklung beim Beratungsunternehmen Hunter Strategies, sagte, die Vereinigung dieser zuvor unterschiedlichen Engines würde es ermöglichen, Aktualisierungen der Windows-Firewall auf Basis jedes Domänennamens vorzunehmen. Das Ergebnis, sagte er, ist ein Mechanismus, der es Unternehmen im Wesentlichen ermöglicht, Kunden mitzuteilen, „nur unseren DNS-Server zu verwenden, der TLS verwendet und nur bestimmte Domänen auflöst“. Microsoft nennt diesen DNS-Server oder diese DNS-Server den „schützenden DNS-Server“.
Standardmäßig verweigert die Firewall Auflösungen für alle Domänen mit Ausnahme derjenigen, die in Zulassungslisten aufgeführt sind. Eine separate Zulassungsliste enthält IP-Adress-Subnetze, die Clients zum Ausführen autorisierter Software benötigen. Der Schlüssel dazu, dass dies in einem Unternehmen mit sich schnell ändernden Anforderungen maßstabsgetreu funktioniert. Der Netzwerksicherheitsexperte Royce Williams (kein Bezug zu Jake Williams) bezeichnete dies als „eine Art bidirektionale API für die Firewall-Ebene, sodass Sie sowohl Firewall-Aktionen (durch Eingabe *in* die Firewall) als auch externe Aktionen basierend auf der Firewall auslösen können.“ state (Ausgabe *von* der Firewall). Anstatt also als AV-Anbieter oder was auch immer das Firewall-Rad neu erfinden zu müssen, schließen Sie sich einfach an WFP an.“