DNS is een van de grootste zwakke punten van onze apparaten.' netwerken. Het wordt vaak gebruikt zonder encryptie, wat een probleem is wanneer DNS verantwoordelijk is voor het omzetten van webadressen naar de vereiste server-IP-adressen. Microsoft plant nu enkele wijzigingen in Windows die DNS veiliger en minder kwetsbaar voor manipulatie kunnen maken.
Microsoft heeft een uitgebreid nieuw beveiligingssysteem onthuld, genaamd Zero Trust DNS (afgekort ZTDNS), gericht op het aanzienlijk versterken van de beveiliging van het Domain Name System (DNS) binnen Windows-netwerken. DNS, essentieel voor het vertalen van mensvriendelijke websitenamen in numerieke IP-adressen, wordt al lange tijd geplaagd door veiligheidsrisico's. ZTDNS belooft dit op te lossen door gecodeerde en geverifieerde communicatiekanalen aan te bieden tussen clientapparaten en DNS-servers, terwijl beheerders ook de mogelijkheid krijgen om strak te controleren welke domeinen deze servers kunnen oplossen.
Historisch gezien betekende het verbeteren van de DNS-beveiliging vaak het opofferen van administratieve zichtbaarheid in het netwerkverkeer. Dit dwingt beheerders om te kiezen tussen niet-versleutelde DNS met monitoringmogelijkheden maar zonder bescherming, of gecodeerde DNS die monitoring en controle verblindt. Microsoft's ZTDNS integreert de Windows DNS-engine en Windows Firewall rechtstreeks in clientapparaten om dit probleem te verhelpen.
Het ZTDNS-systeem blokkeert de verbinding van clientapparaten met welk IP-adres dan ook, behalve die van aangewezen “beschermende DNS-servers”. Wanneer een clientapparaat een domeinnaam moet omzetten, communiceert het met een beschermende DNS-server, die optioneel clientcertificaten kan gebruiken voor fijnmazig beleidscontrole. Na oplossing werkt ZTDNS de Windows Firewall dynamisch bij om verbindingen met de nieuw opgeloste IP-adressen mogelijk te maken, terwijl standaard al het andere verkeer wordt geblokkeerd. Hierdoor ontstaat een krachtige, op domeinnamen gebaseerde lockdown-tool.
Je kunt dit zien als een reeks processen met als uiteindelijk resultaat dat je alleen websites kunt bezoeken die specifiek zijn goedgekeurd, waardoor een superveilige omgeving ontstaat. Dit verschilt op een aantal punten van het reguliere DNS-omzetten: de manier waarop uw DNS momenteel is ingesteld betekent dat het elke URL kan omzetten in een IP-adres, zelfs als bekend is dat deze kwaadaardig is (met mogelijke gevolgen variërend van het downloaden van malware tot zelfs een potentieel toegangspunt voor een kwaadwillende actor).
Er zijn ook potentiële zorgen over wat er zou kunnen gebeuren als deze technologie daadwerkelijk wordt ingezet. Hoewel dit veelbelovend is voor uw online veiligheid, zal het waarschijnlijk ook een zorgvuldige planning en configuratie door beheerders vereisen om onbedoelde verstoring van de normale netwerkfuncties te voorkomen. DNS is tenslotte een kernfunctie die nodig is voor internettoegang, en het nieuwe systeem zou feitelijk niet-schadelijke dingen die u mogelijk moet gebruiken, te ver reiken en blokkeren. Het goede is dat dit nog niet wordt uitgerold, dus er is nog wat tijd om uit te zoeken hoe je de zaken goed kunt instellen, zodat je internetervaring niet per ongeluk wordt verbroken. of verstoord in het proces.
ZTDNS vereist dat DNS-servers encryptieprotocollen ondersteunen, zoals DNS over HTTPS (DoH) of DNS over TLS ( Punt). Microsoft benadrukt dat ZTDNS geen nieuwe netwerkprotocollen introduceert, wat helpt om het breed compatibel te maken. ZTDNS bevindt zich momenteel in “privé preview”, volgens Microsoft is het niet meteen duidelijk of het momenteel alleen intern door het bedrijf wordt getest of dat een paar geselecteerde gebruikers er toegang toe krijgen/krijgen. Microsoft heeft geen enkele indicatie gegeven over wanneer ZTDNS voor het publiek beschikbaar zou kunnen komen, en voorlopig heeft het bedrijf zojuist gezegd dat Windows Insiders er op hun eigen tijd toegang toe zullen krijgen, met een aparte aankondiging gepland als de tijd daar is.
Als je voorlopig meer wilt lezen over ZTDNS en waar je rekening mee moet houden als het tijd is voor een real-life implementatie, kun je de blogpost van Microsoft bekijken met alle details .
Bron: Microsoft via Ars Technica