Oye, Microsoft nos está preparando un nuevo bebé llamado DNS de confianza ceroo ZTDNS para los amigos cercanos. Entonces, ¿qué es esto? Bueno, es simplemente un sistema para proteger DNS en nuestro querido Windows.
Para aquellos que se perdieron un episodio, el DNS es un poco como la guía telefónica de Internet. Permite que lindos nombres de dominio como korben.info se traduzcan en direcciones IP mucho menos atractivas. El problema es que hasta ahora, el DNS era en cierto modo el eslabón débil en materia de seguridad. Las comunicaciones no estaban cifradas, lo que abrió la puerta a multitud de amenazas como espionaje, secuestro de tráfico o incluso “ Suplantación de DNS“. Es más, según un estudio de ciscomás del 70% de los ataques de phishing utilizan técnicas de suplantación de DNS para engañar a sus víctimas.
¡Pero eso fue antes! Con ZTDNS, Microsoft promete cambiar el juego. Todas las comunicaciones entre los clientes de Windows y los servidores DNS ya estarán cifradas y autenticadas mediante protocolos. DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT)lo que debería hacerles la vida más difícil a los desagradables ciberdelincuentes que quisieran meterse en nuestros pequeños asuntos.
A continuación, y aquí es donde se pone realmente interesante, ZTDNS permitirá a los administradores de red controlar con precisión qué dominios pueden resolver los servidores DNS. Básicamente, si un dominio no está en la lista blanca, el cliente de Windows simplemente no podrá conectarse a él.
Pero cuidado, montar algo como esto no va a ser divertido. ¡Tendrás que planificar tu mudanza cuidadosamente para evitar estropearlo todo, como bloquear el acceso a servicios importantes sin saberlo! Pero bueno, ese es el precio a pagar para reforzar la seguridad y acercarnos poco a poco a un ” Confianza cero » donde no confiamos en nadie por defecto.
Entonces, concretamente, ¿cómo funcionará?
Bueno, los servidores DNS deberán admitir protocolos de cifrado como DoH o DoT. Eso es bueno, ZTDNS está diseñado para ser compatible con todo eso. No hay necesidad de reinventar la rueda.
Luego, cuando un cliente Windows necesite resolver un nombre de dominio, chateará con uno de los famosos servidores DNS “protectores” y si el dominio está autorizado, el servidor le dará la dirección IP correspondiente. Y listo, el firewall de Windows se actualizará dinámicamente para autorizar la conexión a esta IP. En cambio, por lo demás, ¡no es nada! ¡El tráfico se bloqueará directamente!
Bueno, después todavía tenemos que admitir que habrá cosas que perjudicarán debido a ZTDNS. Todos los protocolos de red algo exóticos que no utilizan DNS, como DNS de multidifusión (mDNS) por ejemplo, será cortado. Lo mismo ocurre con los archivos compartidos en la red local o las impresoras que utilizan protocolos de descubrimiento arcaicos. ¡Existe el riesgo de que se produzca mucho ruido en las cabañas!
Pero, afortunadamente, los ingenieros de Microsoft no nacieron de la nada y han planeado bastantes mecanismos para “mitigar” estos problemas. Por ejemplo, podremos definir excepciones para autorizar ciertos rangos de direcciones IP sin pasar por DNS. O incluso favorecer soluciones más modernas y seguras, como la impresión a través de Impresión universal que pasa muy bien a través del DNS.
Otra cosa a tener en cuenta es que es posible que determinadas aplicaciones un tanto especiales ya no funcionen del todo con ZTDNS. Aquellos que utilizan direcciones IP codificadas o mecanismos de resolución caseros están muertos. Pero bueno, esta será una oportunidad para limpiar y modernizar todo.
Microsoft también ha proporcionado un modo de “Auditoría” que inicialmente le permite ver qué bloquearía ZTDNS, sin interrumpir la producción. De esta manera podemos analizar con tranquilidad los flujos de la red e identificar aplicaciones o flujos problemáticos. ¡Esta es una buena manera de anticipar posibles problemas antes de cambiar al modo de bloqueo!
Bueno, después de eso, tampoco deberíamos esconder la cara. Incluso con ZTDNS, seguirán existiendo posibles vulnerabilidades de seguridad. Conexiones VPN o SASE/SSE por ejemplo, que encapsulan el tráfico en un túnel cifrado, siempre pueden pasar desapercibidos si no tenemos cuidado. ¡Sin mencionar las tecnologías de virtualización que cortocircuitan completamente la pila de red de Windows!
Pero bueno, nada es perfecto y hay que empezar por algún lado… ZTDNS ya representa un gran paso adelante en el fortalecimiento de la seguridad de la red de los sistemas Windows y con un poco de rigor y constancia, los administradores de sistemas podrán sacarle el máximo partido. .
Por ahora, ZTDNS se encuentra en versión preliminar privada en Microsoft. Aún no sabemos exactamente cuándo llegará a nuestro Home Sweet Homes. Mientras tanto te invito a que le eches un vistazo el artículo del blog Techcommunity que detalla los detalles técnicos de la bestia. Es denso, pero vale la pena sumergirse en él si desea estar informado.
2024-05-07 06:00:00
#ZTDNS #Microsoft #refuerza #seguridad #DNS #para #Windows