El panorama: El proceso de búsqueda de nombres de dominio es uno de los agujeros más importantes en la seguridad de la red. A pesar de ser crucial para traducir direcciones web amigables para los humanos en números IP que las computadoras puedan entender, el DNS es demasiado «abierto». Todo, desde su navegador hasta las aplicaciones y los componentes del sistema operativo, transmite solicitudes de DNS de forma clara, lo que las hace vulnerables a ataques de espionaje y secuestro.
Microsoft finalmente está haciendo algo con respecto a esta vulnerabilidad de DNS. La empresa recientemente liberado una vista previa de su nuevo marco «Zero Trust DNS» (ZTDNS) para proteger el tráfico DNS de Windows. Por lo que hemos visto, es una revisión de seguridad bastante completa.
El concepto central detrás de ZTDNS es tal como suena: nunca confíe automáticamente en ninguna solicitud de resolución de dominio hasta que esté completamente validada. Según este modelo, las PC con Windows configuradas para DNS Zero Trust se negarán rotundamente a conectarse a cualquier servidor a menos que su nombre de dominio esté aprobado explícitamente y su búsqueda de DNS esté cifrada y autenticada.
«[Zero Trust DNS] hace que el uso de direcciones IP codificadas o servidores DNS cifrados no aprobados sea irrelevante sin tener que introducir la terminación TLS y perder los beneficios de seguridad del cifrado de extremo a extremo», explica Microsoft.
Zero Trust DNS utiliza dos tecnologías de Windows existentes: el cliente DNS para manejar búsquedas y la plataforma de filtrado de Windows para hacer cumplir las políticas de red. Cuando está habilitado, ZTDNS bloquea todo el tráfico IPv4 e IPv6 saliente de forma predeterminada, excepto los servidores DNS aprobados y el mínimo necesario para el descubrimiento de redes. Por lo tanto, cualquier respuesta de DNS que contenga una dirección IP desbloquea una excepción para ese destino, lo que permite que la aplicación o servicio correspondiente se conecte. Por el contrario, los intentos de acceder a una IP no aprobada se bloquean instantáneamente.
Microsoft espera que la adopción generalizada de DNS Zero Trust ayude a bloquear el tráfico potencialmente malicioso que utiliza nombres de dominio no verificados. El marco podría eliminar categorías enteras de ataques basados en DNS y fugas de datos para empresas y entornos de alto riesgo.
Por supuesto, la función aún se encuentra en la etapa de vista previa inicial, sin un cronograma firme para un lanzamiento estable. Sin embargo, Microsoft se ha comprometido a enviarlo pronto a Windows Insiders para realizar pruebas más amplias.
Microsoft está pasando por una revisión de protección después de la Junta de Revisión de Seguridad Cibernética de EE. UU. criticado prácticas de seguridad pasadas como «inadecuadas». Las preocupaciones de la Junta surgieron después de incidentes importantes como el Hack de intercambio en línea. La revisión impulsó al director ejecutivo Satya Nadella a tomar medidas. A principios de esta semana, envió un memorando a toda la empresa. instruyendo empleados a priorizar la seguridad sobre todo lo demás.
El renovado enfoque de Microsoft explica la presentación del marco ZTDNS, potencialmente uno de los primeros cambios correspondientes a la reestructuración.