.png)
Con DNS Zero Trust, Microsoft quiere proteger el acceso a la red en Windows 11
Microsoft ha presentado Zero Trust DNS, también conocido como ZTDNS, una nueva característica diseñada para fortalecer la seguridad de la red a través de DNS. Se integrará en Windows más adelante. Echemos un vistazo a este anuncio.
Microsoft quiere fortalecer la implementación y el uso de DNS en Windows para que pueda alinearse con el modelo de seguridad Zero Trust. Un modelo que implica autenticar y verificar la actividad de la red, ya sea en el perímetro interno o externo. Con DNS Zero Trust, Microsoft quiere luchar contra el abuso de DNS y ofrecer una mejor protección contra las amenazas cibernéticas.
ZTDNS para integrar Windows 11
"ZTDNS será útil para cualquier administrador que intente usar nombres de dominio como un identificador fuerte para el tráfico en la red", dijo Microsoft en un comunicado Su artículo. Dentro de Windows, ZTDNS integrará el cliente DNS del sistema operativo, así como la plataforma de filtrado de Windows (WFP).
​
En la práctica, el objetivo es obligar a la máquina con Windows 11 a comunicarse solo con servidores DNS confiables y seguros, mediante el uso de la función DNS a través de HTTPS (DoH) o DNS sobre TLS (DoT). Esto garantiza que los intercambios de DNS entre la máquina y el servidor DNS estén cifrados.
Además, la máquina no podrá comunicarse con otro servidor DNS: "Windows bloquea todo el tráfico IPv4 e IPv6 saliente, excepto las conexiones a servidores DNS, así como el tráfico DHCP, DHCPv6 y NDP necesario para descubrir la información de conectividad de red", se lee.
La consulta DNS sirve como validación para permitir o denegar el acceso a un host. ZTDNS bloqueará los flujos sospechosos o inusuales. "Cuando las aplicaciones y los servicios intentan enviar tráfico IPv4 o IPv6 a una dirección IP que no ha sido aprendida por ZTDNS (y que no está en la lista de excepciones manuales), el tráfico se bloquea", dijo Microsoft.
Selección estricta de servidores DNS
La lista de "servidores DNS de protección", es decir, servidores DNS protegidos y de confianza, solo puede contener servidores DNS DoH o compatibles con DoT. Para desarrollar su mecanismo de seguridad ZTDNS, Microsoft se basó en los protocolos existentes al tiempo que garantizaba la interoperabilidad.
​
Al respecto, se precisa: "En cualquier caso, ZTDNS no introduce nuevos protocolos de red, lo que lo convierte en un enfoque interoperable prometedor para el bloqueo basado en nombres de dominio. - Microsoft menciona Windows 11 en sus diferentes esquemas, pero por el momento, un posible soporte por parte de Windows 10 o por Servidor de Windows no se menciona.
​
Con efecto inmediato, Zero Trust DNS está disponible para personas seleccionadas como parte de una versión preliminar privada. Posteriormente, DNS de Confianza cero debería estar disponible para los miembros del programa Windows Insiders