মাইক্রোসফ্ট উইন্ডোজ ডিএনএস লক ডাউন করার পরিকল্পনা করছে যেমনটি আগে কখনও হয়নি। এখানে কিভাবে.

By infobangla May4,2024

গেটি ইমেজ

মানব-পাঠযোগ্য ডোমেন নামগুলিকে সংখ্যাসূচক আইপি ঠিকানাগুলিতে অনুবাদ করা দীর্ঘ নিরাপত্তা ঝুঁকিতে পরিপূর্ণ। সর্বোপরি, লুকআপগুলি খুব কমই এন্ড-টু-এন্ড এনক্রিপ্ট করা হয়। ডোমেন নাম লুকআপ প্রদানকারী সার্ভারগুলি কার্যত যেকোনো IP ঠিকানার জন্য অনুবাদ প্রদান করে-এমনকি যখন তারা দূষিত বলে পরিচিত হয়। এবং অনেক শেষ-ব্যবহারকারী ডিভাইস সহজেই অনুমোদিত লুকআপ সার্ভারগুলি ব্যবহার বন্ধ করতে এবং এর পরিবর্তে দূষিতগুলি ব্যবহার করতে কনফিগার করা যেতে পারে।

শুক্রবার মাইক্রোসফট একটি প্রদান করেছে উঁকি একটি বিস্তৃত কাঠামোতে যার লক্ষ্য ডোমেন নেম সিস্টেম (DNS) জগাখিচুড়ি বাছাই করা যাতে এটি উইন্ডোজ নেটওয়ার্কগুলির মধ্যে আরও ভালভাবে লক করা থাকে। একে ZTDNS (শূন্য বিশ্বাস DNS) বলা হয়। এর দুটি প্রধান বৈশিষ্ট্য হল (1) শেষ-ব্যবহারকারী ক্লায়েন্ট এবং ডিএনএস সার্ভারের মধ্যে এনক্রিপ্ট করা এবং ক্রিপ্টোগ্রাফিকভাবে প্রমাণীকৃত সংযোগ এবং (2) প্রশাসকদের এই সার্ভারগুলি যে ডোমেনগুলি সমাধান করবে তা শক্তভাবে সীমাবদ্ধ করার ক্ষমতা।

মাইনফিল্ড পরিষ্কার করা হচ্ছে

ডিএনএস-এর এমন একটি নিরাপত্তা মাইনফিল্ড হওয়ার একটি কারণ হল এই দুটি বৈশিষ্ট্য পারস্পরিকভাবে একচেটিয়া হতে পারে। ডিএনএস-এ ক্রিপ্টোগ্রাফিক প্রমাণীকরণ এবং এনক্রিপশন যুক্ত করা প্রায়শই ব্যবহারকারীর ডিভাইসগুলিকে দূষিত ডোমেনে সংযোগ করা বা নেটওয়ার্কের মধ্যে অস্বাভাবিক আচরণ সনাক্ত করা থেকে প্রশাসকদের দৃশ্যমানতাকে অস্পষ্ট করে। ফলস্বরূপ, ডিএনএস ট্র্যাফিক হয় স্পষ্ট পাঠ্যে পাঠানো হয় বা এটি এমনভাবে এনক্রিপ্ট করা হয় যা প্রশাসকদের ট্রানজিটের মাধ্যমে এটিকে ডিক্রিপ্ট করতে দেয় যা মূলত একটি প্রতিপক্ষের মধ্যম আক্রমণ.

প্রশাসকদের সমানভাবে অপ্রাসঙ্গিক বিকল্পগুলির মধ্যে বেছে নেওয়ার জন্য বাকি রয়েছে: (1) সার্ভার এবং ক্লায়েন্ট ডিভাইসের জন্য একে অপরকে প্রমাণীকরণের কোনও উপায় ছাড়াই পরিষ্কার পাঠ্যে DNS ট্র্যাফিক রুট করুন যাতে ক্ষতিকারক ডোমেনগুলি ব্লক করা যায় এবং নেটওয়ার্ক পর্যবেক্ষণ সম্ভব হয়, বা (2) এনক্রিপ্ট এবং DNS ট্র্যাফিককে প্রমাণীকরণ করুন এবং ডোমেন নিয়ন্ত্রণ এবং নেটওয়ার্ক দৃশ্যমানতা দূর করুন।

ZTDNS-এর লক্ষ্য হল Windows DNS ইঞ্জিনকে Windows ফিল্টারিং প্ল্যাটফর্মের সাথে একীভূত করার মাধ্যমে এই দশক-পুরাতন সমস্যাটির সমাধান করা—যেটি Windows Firewall-এর মূল উপাদান—সরাসরি ক্লায়েন্ট ডিভাইসগুলিতে।

জ্যাক উইলিয়ামস, কনসালটেন্সি হান্টার স্ট্র্যাটেজিসের রিসার্চ অ্যান্ড ডেভেলপমেন্টের ভিপি বলেছেন, এই পূর্বে ভিন্ন ভিন্ন ইঞ্জিনগুলির মিলন প্রতি-ডোমেন নামের ভিত্তিতে উইন্ডোজ ফায়ারওয়ালে আপডেট করার অনুমতি দেবে। তিনি বলেন, ফলাফলটি এমন একটি প্রক্রিয়া যা সংস্থাগুলিকে, সারমর্মে, ক্লায়েন্টদের বলতে দেয় “শুধুমাত্র আমাদের ডিএনএস সার্ভার ব্যবহার করে, যেটি টিএলএস ব্যবহার করে এবং শুধুমাত্র নির্দিষ্ট কিছু ডোমেনের সমাধান করবে।” মাইক্রোসফ্ট এই DNS সার্ভার বা সার্ভারকে “প্রতিরক্ষামূলক DNS সার্ভার” বলে।

ডিফল্টরূপে, ফায়ারওয়াল অনুমতি তালিকায় গণনা করা ছাড়া সমস্ত ডোমেনের রেজোলিউশন অস্বীকার করবে। একটি পৃথক অনুমতি তালিকায় IP ঠিকানা সাবনেট থাকবে যা ক্লায়েন্টদের অনুমোদিত সফ্টওয়্যার চালানোর জন্য প্রয়োজন। দ্রুত পরিবর্তিত প্রয়োজনের সাথে একটি সংস্থার অভ্যন্তরে এই কাজটি করার মূল চাবিকাঠি। নেটওয়ার্কিং নিরাপত্তা বিশেষজ্ঞ রয়েস উইলিয়ামস (জেক উইলিয়ামসের সাথে কোন সম্পর্ক নেই) এটিকে “ফায়ারওয়াল স্তরের জন্য একটি দ্বিমুখী API বলে অভিহিত করেছেন, যাতে আপনি উভয়ই ফায়ারওয়াল অ্যাকশন ট্রিগার করতে পারেন (ইনপুট * থেকে * ফায়ারওয়াল) এবং ফায়ারওয়ালের উপর ভিত্তি করে বাহ্যিক ক্রিয়াগুলি ট্রিগার করতে পারেন। রাজ্য (আউটপুট * থেকে * ফায়ারওয়াল)। সুতরাং আপনি যদি একজন AV বিক্রেতা বা যাই হোক না কেন ফায়ারওয়াল হুইলটি পুনরায় উদ্ভাবন করার পরিবর্তে, আপনি কেবল WFP এর সাথে যুক্ত হন।”

Source link

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *