إن ترجمة أسماء النطاقات التي يمكن قراءتها بواسطة الإنسان إلى عناوين IP رقمية تحمل مخاطر أمنية طويلة الأمد. ففي نهاية المطاف، نادرًا ما تكون عمليات البحث مشفرة من طرف إلى طرف. توفر الخوادم التي توفر عمليات البحث عن أسماء النطاقات ترجمات لأي عنوان IP تقريبًا – حتى عندما يكون من المعروف أنها ضارة. ويمكن بسهولة تكوين العديد من الأجهزة الطرفية للتوقف عن استخدام خوادم البحث المعتمدة واستخدام خوادم البحث الضارة بدلاً من ذلك.
قدمت مايكروسوفت يوم الجمعة أ ألقي نظرة في إطار عمل شامل يهدف إلى تنظيف فوضى نظام أسماء النطاقات (DNS) بحيث يكون أكثر إقفالًا داخل شبكات Windows. وهذا ما يسمى ZTDNS (DNS ذو الثقة المعدومة). ميزتان رئيسيتان هما (1) الاتصالات المشفرة والمصادق عليها تشفيريًا بين عملاء المستخدم النهائي وخوادم DNS و(2) قدرة المسؤولين على تقييد النطاقات التي ستحلها هذه الخوادم بإحكام.
تطهير حقل الألغام
أحد أسباب تحول DNS إلى حقل ألغام أمني هو أن هاتين الميزتين يمكن أن تكونا متنافيتين. غالبًا ما تؤدي إضافة مصادقة التشفير والتشفير إلى DNS إلى إخفاء الرؤية التي يحتاجها المسؤولون لمنع أجهزة المستخدم من الاتصال بالمجالات الضارة أو اكتشاف سلوك غير عادي داخل الشبكة. ونتيجة لذلك، يتم إرسال حركة مرور DNS إما بنص واضح أو يتم تشفيرها بطريقة تسمح للمسؤولين بفك تشفيرها من خلال المرور عبر ما هو موجود بالفعل هجوم الخصم في الوسط.
يُترك للمسؤولين الاختيار بين خيارات غير جذابة بنفس القدر: (1) توجيه حركة مرور DNS ذات النص الواضح دون أي وسيلة للخادم وجهاز العميل لمصادقة بعضهما البعض لحظر المجالات الضارة وتمكين مراقبة الشبكة، أو (2) تشفير DNS والمصادقة عليه حركة المرور والقضاء على التحكم في المجال والرؤية على الشبكة
تهدف ZTDNS إلى حل هذه المشكلة المستمرة منذ عقود من خلال دمج محرك Windows DNS مع نظام تصفية Windows – المكون الأساسي لجدار حماية Windows – مباشرةً على الأجهزة العميلة.
وقال جيك ويليامز، نائب رئيس البحث والتطوير في شركة الاستشارات Hunter Strategies، إن توحيد المحركات المتباينة سابقًا سيسمح بإجراء تحديثات لجدار حماية Windows بناءً على اسم المجال، والنتيجة هي آلية تسمح للمؤسسات بذلك أخبر العملاء بشكل أساسي “بالاستخدام فقط على خادم DNS الخاص بنا، والذي يستخدم TLS، وسيقوم بحل مجالات معينة فقط.” تسمي Microsoft خادم أو خوادم DNS هذا بـ “خادم DNS الدفاعي”.
افتراضيًا، سيرفض جدار الحماية الحلول لجميع النطاقات باستثناء تلك المدرجة في القوائم البيضاء. ستحتوي القائمة البيضاء المنفصلة على شبكات فرعية من عناوين IP التي يحتاجها العملاء لتشغيل البرامج المرخصة. المفتاح لإنجاز هذا العمل على نطاق واسع داخل منظمة ذات احتياجات سريعة التغير. وصفها خبير أمن الشبكات رويس ويليامز (لا علاقة له بجيك ويليامز) بأنها “نوع من واجهة برمجة التطبيقات ثنائية الاتجاه لطبقة جدار الحماية، بحيث يمكنك استدعاء عمليات جدار الحماية (عن طريق الإدخال *إلى* جدار الحماية)، واستدعاء الإجراءات الخارجية بناءً على جدار الحماية (الإخراج *من* جدار الحماية). لذا بدلاً من إعادة اختراع عجلة جدار الحماية إذا كنت مزود خدمة AV أو شيء من هذا القبيل، ما عليك سوى الاتصال ببرنامج الأغذية العالمي.”