Microsoft, uzun zamandır alan adlarını IP adreslerine dönüştürmeyi büyük güvenlik riskleriyle dolu bir süreç olarak görmekteydi. Sonuçta DNS sistemi neredeyse uçtan uca şifrelenmiyor ve bir çok DNS saldırı vektörünün radarında.
Microsoft yeni yaptığı duyuruda uzun süredir üzerinde çalıştığı yeni DNS konsepti ZTDNS (Zero Trust DNS) tanıttı
ZTDNS (Zero Trust DNS)
İki temel özelliği;
Son kullanıcı istemcileri ile DNS sunucuları arasında şifreli ve kriptografik olarak doğrulanmış bağlantılar ve bu sunucuların çözeceği alan adlarını restrict etme yeteneği.
İKİ TARAFI KESKİN BIÇAK!
DNS şifrelemesin de iki uç nokta var. Birincisi DNS tarafiği şifrenmediğinde trafiğin düz metin olarak iletilmesi ve trafiğin okuma riski, diğer ise trafiğin şifrelendikten sonra trafiğin izlenmesi ve analiz edilmesindeki zorlıklar.
İşte ZTDNS, yıllardır süregelen sorunu çözmeyi amaçlıyor ve Windows DNS motorunu, Windows Güvenlik Duvarı’nın temel bileşeni olan Windows Filtreleme Platformu ile doğrudan istemci cihazlara entegre ediyor. Bu da windows güvenlik duvarına alan adı bazı kurallar yazmasına izin verecek. Sonuç olarak organizasyonlarda, istemcilere “yalnızca TLS kullanan DNS sunucumuzu kullanın ve yalnızca belirli alan adlarını çözecek şekilde” ayarlamayar yapılabilecek.
Nasıl Çalışıyor?
Microsoft, ZTDNS’in mobil cihaz yönetim platformuna nasıl entegre edileceğini gösteren bir çizim yayınladı.
Bu sistem, DNS yapılandırmasını kullanan uygulamaların ve hizmetlerin, çözülen IP adreslerine bağlanmasına izin verileceği anlamına geliyor. Yani, DNS trafiğinin şifrelenmesi ve doğrulanması durumunda sistem çözülen IP adreslerine güvenilir bir şekilde bağlanılmasına izin veriyor.
Uygulamalar ve hizmetler, ZTDNS tarafından öğrenilmemiş (ve manuel istisna listesinde olmayan) bir IP adresine IPv4 veya IPv6 trafiği göndermeye çalıştığında bu trafiği engelliyor.
Geçiş Nasıl Olacak?
- Düz metin DNS trafiğinin kesilmesi: ZTDNS, şifreli DNS trafiğini belirlemek ve engellemek için ek önlemler gerektirebilir.
- Şifreli SNI’nın incelemesi: Yakında şifreli hale gelecek SNI’yi incelemek veya belirli bir üreticiye özgü ağ protokollerine güvenmek yerine, tüm trafiği engellemek gerekebilir.
- Tanımlanamayan alan adları veya adlandırılmış istisnalar: Belirli alan adları veya istisnalar tanımlanamadığında, trafiği engellemekte zorluklar yaşanabilir.
ZTDNS, Windows’un düz metin DNS kullanımını engelleyen DNS üzerinden HTTPS (DoH) veya TLS (DoT) desteği sağlamakta. Opsiyonel olarak şifreli DNS bağlantılarında mTLS kullanımı da mümkün, bu da her bir istemci için politika uygulamasına olanak tanıyor.
Microsoft ,ZTDNS için ayrı bir gönderi yayınladı. ZTDNS önizlemeye giriyor. Microsoft zaman genel kullanıma sunacağı ile ilgili henüz bir açıklama yapmadı.