La traduction de noms de domaine lisibles par l’homme en adresses IP numériques présente depuis longtemps de nombreux risques de sécurité. Après tout, les recherches sont rarement chiffrées de bout en bout. Les serveurs fournissant des recherches de noms de domaine fournissent des traductions pour pratiquement toutes les adresses IP, même lorsqu’elles sont connues pour être malveillantes. Et de nombreux appareils d’utilisateurs finaux peuvent facilement être configurés pour cesser d’utiliser des serveurs de recherche autorisés et utiliser à la place des serveurs malveillants.
Microsoft a donné vendredi un aperçu d’un cadre complet visant à régler le problème du système de noms de domaine (DNS) afin qu’il soit mieux verrouillé au sein des réseaux Windows. Cela s’appelle ZTDNS (Zero Trust DNS). Ses deux fonctionnalités principales sont (1) les connexions cryptées et authentifiées cryptographiquement entre les clients des utilisateurs finaux et les serveurs DNS et (2) la possibilité pour les administrateurs de restreindre étroitement les domaines que ces serveurs résoudront.
Déminer le champ de mines
L’une des raisons pour lesquelles le DNS constitue un tel champ de mines en matière de sécurité est que ces deux fonctionnalités peuvent s’exclure mutuellement. L’ajout d’une authentification cryptographique et d’un chiffrement au DNS obscurcit souvent la visibilité dont les administrateurs ont besoin pour empêcher les appareils des utilisateurs de se connecter à des domaines malveillants ou détecter un comportement anormal au sein d’un réseau. En conséquence, le trafic DNS est soit envoyé en texte clair, soit crypté de manière à permettre aux administrateurs de le déchiffrer en transit via ce qui est essentiellement une attaque d’adversaire au milieu.
Les administrateurs doivent choisir entre des options tout aussi peu attrayantes : (1) acheminer le trafic DNS en texte clair sans aucun moyen pour le serveur et l’appareil client de s’authentifier mutuellement afin que les domaines malveillants puissent être bloqués et que la surveillance du réseau soit possible, ou (2) chiffrer et authentifiez le trafic DNS et supprimez le contrôle de domaine et la visibilité du réseau.
ZTDNS vise à résoudre ce problème vieux de plusieurs décennies en intégrant le moteur DNS Windows à la plate-forme de filtrage Windows (le composant principal du pare-feu Windows) directement dans les appareils clients.
Jake Williams, vice-président de la recherche et du développement chez Hunter Strategy, a déclaré que l’union de ces moteurs auparavant disparates permettrait d’effectuer des mises à jour du pare-feu Windows sur une base par nom de domaine. Le résultat, a-t-il déclaré, est un mécanisme qui permet aux organisations, en substance, de dire aux clients « d’utiliser uniquement notre serveur DNS, qui utilise TLS, et ne résoudra que certains domaines ». Microsoft appelle ce ou ces serveurs DNS le « serveur DNS protecteur ».
Par défaut, le pare-feu refusera les résolutions à tous les domaines, à l’exception de ceux énumérés dans les listes vertes. Une liste verte distincte contiendra les sous-réseaux d’adresses IP dont les clients ont besoin pour exécuter des logiciels autorisés. C’est la clé pour que cela fonctionne à grande échelle au sein d’une organisation dont les besoins évoluent rapidement. L’expert en sécurité réseau Royce Williams (aucun lien avec Jake Williams) a appelé cela une « sorte d’API bidirectionnelle pour la couche de pare-feu, de sorte que vous pouvez à la fois déclencher des actions de pare-feu (en entrant *dans* le pare-feu) et déclencher des actions externes basées sur le pare-feu. état (sortie *de* le pare-feu). Ainsi, au lieu d’avoir à réinventer la roue du pare-feu si vous êtes un fournisseur audiovisuel ou autre, il vous suffit de vous connecter au PAM.