مایکروسافت یک ویژگی جدید و آینده را معرفی کرده است که هدف آن حل معمای چند دهه ای با امنیت DNS است.

این ویژگی ZTDNS یا Zero Trust Domain Name System نام دارد و در حال حاضر وارد پیش نمایش خصوصی می شود. مایکروسافت قول داده است که به محض ورود این ویژگی به برنامه Insiders، اعلامیه جداگانه ای را ارائه کند.

در یک پست وبلاگی ، مایکروسافت توضیح داد که چگونه از زمان آغاز به کار، فرآیند ترجمه نام دامنه های قابل خواندن توسط انسان به آدرس های IP، از نقطه نظر امنیتی، یک خطر بزرگ بوده است. با توجه به نحوه طراحی DNS، مدیران فناوری اطلاعات اغلب با یک انتخاب مواجه بودند: یا احراز هویت رمزنگاری و رمزگذاری را به DNS اضافه کنند و خطر از دست دادن دید در ترافیک مخرب را داشته باشند، یا ترافیک DNS را به صورت متن شفاف هدایت کنند و هیچ گزینه ای برای سرور و سرور باقی نگذارند. دستگاه مشتری برای احراز هویت یکدیگر، که به همان اندازه خطرناک است.

پروتکل جدیدی وجود ندارد

برای حل این مشکل، مایکروسافت تصمیم گرفت موتور DNS ویندوز را با بخش اصلی فایروال ویندوز - پلتفرم فیلترینگ ویندوز - به طور مستقیم در دستگاه های پایانی ادغام کند.

جیک ویلیامز، معاون تحقیق و توسعه Hunter Strategy، در اظهار نظر برای Ars Technica ، بيان کرد که یکپارچه سازی این موتورها به Windows Firewall اجازه می دهد تا بر اساس نام دامنه به روز شود. به عبارت دیگر، سازمان‌ها می‌توانند به مشتریان بگویند «فقط از سرور DNS ما استفاده می‌کنند که از TLS استفاده می‌کند و فقط دامنه‌های خاصی را حل می‌کند». مایکروسافت این سرور یا سرورهای DNS را "سرور DNS محافظ" می نامد.

برای اینکه سرورهای DNS به عنوان سرورهای DNS محافظ برای قفل کردن ZTDNS استفاده شوند، حداقل نیاز این است که از DNS روی HTTPS (DoH) یا DNS روی TLS (DoT) پشتیبانی کند، زیرا ZTDNS از استفاده از DNS متن ساده توسط ویندوز جلوگیری می کند. مایکروسافت در پست وبلاگ خود توضیح داد. "به صورت اختیاری، استفاده از mTLS در اتصالات DNS رمزگذاری شده به DNS محافظ اجازه می دهد تا سیاست های وضوح هر مشتری را اعمال کند."

برای نتیجه گیری، مایکروسافت تاکید کرد که ZTDNS شامل پروتکل های شبکه جدید نیست، که باید یک "رویکرد متقابل" را برای قفل کردن مبتنی بر نام دامنه فعال کند.

بیشتر از TechRadar Pro