صور جيتي
إن ترجمة أسماء النطاقات التي يمكن قراءتها بواسطة الإنسان إلى عناوين IP رقمية كانت منذ فترة طويلة محفوفة بمخاطر أمنية كبيرة. ففي النهاية، نادرًا ما تكون عمليات البحث مشفرة من طرف إلى طرف. توفر الخوادم التي توفر عمليات البحث عن أسماء النطاقات ترجمات لأي عنوان IP تقريبًا — حتى عندما يكون من المعروف أنها ضارة. ويمكن بسهولة تكوين العديد من أجهزة المستخدم النهائي للتوقف عن استخدام خوادم البحث المعتمدة واستخدام خوادم ضارة بدلاً من ذلك.
قدمت Microsoft يوم الجمعة نظرة خاطفة على إطار عمل شامل يهدف إلى حل فوضى نظام اسم المجال (DNS) بحيث يتم تأمينه بشكل أفضل داخل شبكات Windows. يطلق عليه ZTDNS (DNS ذو الثقة الصفرية). ميزتان رئيسيتان هما (1) الاتصالات المشفرة والمصادق عليها تشفيريًا بين عملاء المستخدم النهائي وخوادم DNS و(2) قدرة المسؤولين على تقييد النطاقات التي ستحلها هذه الخوادم بإحكام.
تطهير حقل الألغام
أحد أسباب تحول DNS إلى حقل ألغام أمني هو أن هاتين الميزتين يمكن أن تكونا متنافيتين. غالبًا ما تؤدي إضافة مصادقة التشفير والتشفير إلى DNS إلى حجب الرؤية التي يحتاجها المسؤولون لمنع أجهزة المستخدم من الاتصال بالمجالات الضارة أو اكتشاف السلوك الشاذ داخل الشبكة. ونتيجة لذلك، يتم إرسال حركة مرور DNS إما بنص واضح أو يتم تشفيرها بطريقة تسمح للمسؤولين بفك تشفيرها أثناء النقل من خلال ما يعد في الأساس هجومًا للخصم في الوسط.
يُترك للمسؤولين الاختيار من بين خيارات غير جذابة بنفس القدر: (1) توجيه حركة مرور DNS بنص واضح مع عدم وجود وسيلة للخادم وجهاز العميل لمصادقة بعضهما البعض حتى يمكن حظر المجالات الضارة وإمكانية مراقبة الشبكة، أو (2) تشفير و مصادقة حركة مرور DNS والتخلص من التحكم في المجال ورؤية الشبكة.
تهدف ZTDNS إلى حل هذه المشكلة المستمرة منذ عقود من خلال دمج محرك Windows DNS مع نظام تصفية Windows – المكون الأساسي لجدار حماية Windows – مباشرةً في الأجهزة العميلة.
قال جيك ويليامز، نائب الرئيس للبحث والتطوير في شركة Hunter Strategies الاستشارية، إن اتحاد هذه المحركات المتباينة سابقًا سيسمح بإجراء تحديثات لجدار حماية Windows على أساس اسم كل مجال. وقال إن النتيجة هي آلية تسمح للمؤسسات، في جوهرها، بإخبار العملاء “باستخدام خادم DNS الخاص بنا فقط، والذي يستخدم TLS، وسوف يحل نطاقات معينة فقط”. تطلق Microsoft على خادم أو خوادم DNS هذا اسم “خادم DNS الواقي”.
افتراضيًا، سيرفض جدار الحماية الحلول لجميع المجالات باستثناء تلك المذكورة في قوائم السماح. ستحتوي قائمة السماح المنفصلة على شبكات فرعية لعناوين IP التي يحتاجها العملاء لتشغيل البرامج المعتمدة. المفتاح لإنجاز هذا العمل على نطاق واسع داخل مؤسسة ذات احتياجات سريعة التغير. وصف خبير أمن الشبكات رويس ويليامز (لا علاقة له بجيك ويليامز) هذا بأنه “نوع من واجهة برمجة التطبيقات ثنائية الاتجاه لطبقة جدار الحماية، بحيث يمكنك تشغيل إجراءات جدار الحماية (عن طريق الإدخال *إلى* جدار الحماية)، وتشغيل إجراءات خارجية تعتمد على جدار الحماية الحالة (الإخراج *من* جدار الحماية). لذا فبدلاً من الاضطرار إلى إعادة اختراع عجلة جدار الحماية إذا كنت بائعًا للمركبات السمعية والبصرية أو أي شيء آخر، ما عليك سوى الاتصال ببرنامج الأغذية العالمي.
