DNS یکی از بزرگترین نقاط ضعف در شبکه دستگاه های ما است. اغلب بدون رمزگذاری استفاده می شود، که زمانی که DNS مسئول تبدیل آدرس های وب به آدرس های IP سرور مورد نیاز است، مشکل ساز است. مایکروسافت اکنون در حال برنامهریزی تغییراتی در ویندوز است که میتواند DNS را ایمنتر کرده و در برابر دستکاری آسیبپذیرتر کند.
مایکروسافت یک سیستم امنیتی جامع جدید به نام Zero Trust DNS (به اختصار ZTDNS) معرفی کرده است که هدف آن تقویت قابل توجهی امنیت سیستم نام دامنه (DNS) در شبکه های ویندوز است. DNS که برای ترجمه نامهای وبسایتهای انسان پسند به آدرسهای IP عددی ضروری است، مدتهاست که با خطرات امنیتی مواجه بوده است. ZTDNS قول میدهد این مشکل را با ارائه کانالهای ارتباطی رمزگذاریشده و احراز هویت شده بین دستگاههای سرویس گیرنده و سرورهای DNS حل کند، در حالی که به مدیران این امکان را میدهد تا به شدت کنترل کنند که کدام دامنهها را آن سرورها میتوانند حل کنند.
از نظر تاریخی، افزایش امنیت DNS اغلب به معنای قربانی کردن دید مدیریتی در ترافیک شبکه است. این امر مدیران را مجبور میکند بین DNS رمزگذاری نشده با قابلیت نظارت، اما فاقد حفاظت، یا DNS رمزگذاریشده که نظارت و کنترل را کور میکند، انتخاب کنند. ZTDNS مایکروسافت موتور DNS ویندوز و فایروال ویندوز را مستقیماً در دستگاه های مشتری ادغام می کند تا بر این مشکل غلبه کند.
سیستم ZTDNS دستگاه های سرویس گیرنده را از اتصال به هر آدرس IP به جز مواردی که «سرورهای DNS محافظ» تعیین شده، مسدود می کند. هنگامی که یک دستگاه مشتری نیاز به حل یک نام دامنه دارد، با یک سرور DNS محافظ ارتباط برقرار می کند، که می تواند به صورت اختیاری از گواهی های مشتری برای کنترل خط مشی دقیق استفاده کند. پس از رزولوشن، ZTDNS به صورت پویا فایروال ویندوز را به روز می کند تا امکان اتصال به آدرس های IP تازه حل شده را فراهم کند، در حالی که به طور پیش فرض تمام ترافیک های دیگر را مسدود می کند. این یک ابزار قدرتمند قفل مبتنی بر نام دامنه ایجاد می کند.
شما می توانید این را به عنوان یک سری فرآیندها در نظر بگیرید که در آن نتیجه نهایی این است که فقط می توانید از وب سایت هایی بازدید کنید که به طور خاص تأیید شده اند و یک محیط فوق العاده امن ایجاد می کنند. این از چند جهت با حل DNS معمولی متفاوت است – یعنی روشی که DNS شما در حال حاضر تنظیم شده است به این معنی است که می تواند هر URL را در یک آدرس IP حل کند، حتی اگر مخرب بودن آن شناخته شده باشد (با پیامدهای احتمالی از دانلود بدافزار تا حتی حتی نقطه ورود بالقوه برای یک بازیگر بدخواه).
همچنین نگرانیهای بالقوهای در مورد اینکه چه اتفاقی ممکن است در زمانی که این فناوری واقعاً به کار گرفته شود، وجود دارد. اگرچه این یک چیز امیدوارکننده برای امنیت آنلاین شما است، اما احتمالاً به برنامه ریزی و پیکربندی دقیق توسط مدیران نیز نیاز دارد تا از اختلال تصادفی عملکردهای عادی شبکه جلوگیری شود. از این گذشته، DNS یک ویژگی اصلی مورد نیاز برای دسترسی به اینترنت است و سیستم جدید میتواند چیزهای غیر مضری را که ممکن است نیاز به استفاده از آنها داشته باشید بیش از حد مورد استفاده قرار دهد و مسدود کند. نکته خوب این است که این هنوز راه اندازی نشده است، بنابراین هنوز کمی زمان دارید تا بفهمید چگونه به درستی موارد را تنظیم کنید تا تجربه اینترنت شما به طور تصادفی از بین نرود یا در این فرآیند مختل نشود.
ZTDNS مستلزم آن است که سرورهای DNS از پروتکلهای رمزگذاری مانند DNS روی HTTPS (DoH) یا DNS روی TLS (DoT) پشتیبانی کنند. مایکروسافت تاکید می کند که ZTDNS هیچ پروتکل شبکه جدیدی را معرفی نمی کند که به سازگاری گسترده آن کمک می کند. به گفته مایکروسافت، ZTDNS در حال حاضر در «پیشنمایش خصوصی» است – بلافاصله مشخص نیست که آیا در حال حاضر فقط به صورت داخلی توسط شرکت آزمایش میشود یا چند کاربر منتخب به آن دسترسی خواهند داشت. مایکروسافت هیچ نشانه ای از زمان در دسترس قرار گرفتن ZTDNS به صورت عمومی ارائه نکرده است، و در حال حاضر، این شرکت فقط گفته است که Windows Insiders در زمان خود به آن دسترسی خواهند داشت، با اعلامیه جداگانه ای که در زمان فرا رسیدن زمان برنامه ریزی شده است.
در حال حاضر، اگر میخواهید درباره ZTDNS و مواردی که باید در زمان استقرار واقعی در نظر بگیرید بیشتر بخوانید، میتوانید پست وبلاگ مایکروسافت را با تمام جزئیات بررسی کنید.
منبع: مایکروسافت از طریق Ars Technica