يعد DNS أحد أكبر نقاط الضعف في شبكات أجهزتنا. وغالبًا ما يتم استخدامه بدون تشفير، وهو ما يمثل مشكلة عندما يكون DNS مسؤولاً عن تحويل عناوين الويب إلى عناوين IP المطلوبة للخادم. تخطط Microsoft الآن لإجراء بعض التغييرات على Windows والتي قد تجعل DNS أكثر أمانًا وأقل عرضة للتلاعب.
كشفت شركة مايكروسوفت عن نظام أمان شامل جديد، يُدعى Zero Trust DNS (ZTDNS اختصارًا)، يهدف إلى تعزيز أمان نظام أسماء النطاقات (DNS) داخل شبكات Windows بشكل كبير. لطالما عانى نظام أسماء النطاقات، الذي يُعد ضروريًا لترجمة أسماء المواقع الإلكترونية التي يسهل على البشر التعامل معها إلى عناوين IP رقمية، من مخاطر أمنية. ويعد نظام ZTDNS بحل هذه المشكلة من خلال توفير قنوات اتصال مشفرة وموثقة بين أجهزة العميل وخوادم DNS، مع تمكين المسؤولين أيضًا من التحكم بشكل صارم في المجالات التي يمكن لهذه الخوادم حلها.
تاريخيًا، كان تعزيز أمان DNS يعني غالبًا التضحية بالرؤية الإدارية لحركة المرور على الشبكة. وهذا يجبر المسؤولين على الاختيار بين DNS غير المشفر مع إمكانية المراقبة ولكنه يفتقر إلى الحماية، أو DNS المشفر الذي يعيق المراقبة والتحكم. يدمج ZTDNS من Microsoft محرك DNS الخاص بنظام Windows وجدار حماية Windows مباشرة في أجهزة العميل للتغلب على هذه المشكلة.
يمنع نظام ZTDNS أجهزة العميل من الاتصال بأي عنوان IP باستثناء تلك الخاصة بخوادم DNS الواقية المخصصة. عندما يحتاج جهاز عميل إلى حل اسم نطاق، فإنه يتواصل مع خادم DNS الواقي، والذي يمكنه استخدام شهادات العميل بشكل اختياري للتحكم في السياسة الدقيقة. عند الحل، يقوم ZTDNS بتحديث جدار حماية Windows بشكل ديناميكي للسماح بالاتصالات بعناوين IP التي تم حلها حديثًا، مع حظر جميع حركة المرور الأخرى افتراضيًا. يؤدي هذا إلى إنشاء أداة قوية لإغلاق اسم النطاق.
يمكنك التفكير في هذا باعتباره سلسلة من العمليات حيث تكون النتيجة النهائية هي أنه يمكنك فقط زيارة مواقع الويب التي تمت الموافقة عليها خصيصًا، مما يخلق بيئة فائقة الأمان. يختلف هذا عن حل DNS العادي في عدة طرق – على وجه التحديد، الطريقة التي تم بها إعداد DNS الخاص بك حاليًا تعني أنه يمكنه حل أي عنوان URL إلى عنوان IP، حتى لو كان معروفًا أنه ضار (مع عواقب محتملة تتراوح من تنزيل البرامج الضارة وحتى نقطة دخول محتملة لممثل ضار).
هناك أيضًا مخاوف محتملة بشأن ما قد يحدث عند نشر هذه التقنية بالفعل. على الرغم من أنها شيء واعد لسلامتك عبر الإنترنت، إلا أنها قد تتطلب أيضًا تخطيطًا وتكوينًا دقيقين من قبل المسؤولين لتجنب الانقطاع العرضي لوظائف الشبكة العادية. بعد كل شيء، يعد DNS ميزة أساسية مطلوبة للوصول إلى الإنترنت، وقد يتجاوز النظام الجديد حدوده ويمنع أشياء غير ضارة قد تحتاج إلى استخدامها. الشيء الجيد هو أن هذا لن يتم طرحه حتى الآن، لذا لا يزال هناك بعض الوقت لمعرفة كيفية إعداد الأشياء بشكل صحيح حتى لا تتعطل تجربة الإنترنت الخاصة بك أو تتعطل عن طريق الخطأ في هذه العملية.
تتطلب ZTDNS أن تدعم خوادم DNS بروتوكولات التشفير مثل DNS عبر HTTPS (DoH) أو DNS عبر TLS (DoT). وتؤكد Microsoft أن ZTDNS لا تقدم أي بروتوكولات شبكة جديدة، مما يساعد في جعلها متوافقة على نطاق واسع. ZTDNS حاليًا في “معاينة خاصة”، وفقًا لمايكروسوفت – ليس من الواضح على الفور ما إذا كانت الشركة تقوم باختبارها داخليًا فقط في الوقت الحالي أو ما إذا كان عدد قليل من المستخدمين المختارين سيحصلون على حق الوصول إليها. لم تقدم Microsoft أي إشارة إلى موعد توفر ZTDNS للجمهور، وفي الوقت الحالي، قالت الشركة فقط إن مستخدمي Windows Insiders سيحصلون على حق الوصول إليها في وقتهم الخاص، مع التخطيط لإعلان منفصل عندما يحين الوقت.
في الوقت الحالي، إذا كنت تريد قراءة المزيد حول ZTDNS وما يجب مراعاته عندما يحين وقت النشر في الحياة الواقعية، فيمكنك قم بالاطلاع على تدوينة مايكروسوفت مع كل التفاصيل.
مصدر: مايكروسوفت عبر آرس تكنيكا