Krypterad DNS har blivit ett huvudbry både för säkerhetsmedvetna privatpersoner och organisationer. Tekniker som DNS över HTTPS (DOH) och DNS över TLS (DOT) skyddar trafiken mellan en enhet och en DNS-server med kryptering så att internetoperatörer längs vägen inte kan övervaka vilka domäner användaren kontaktar. Det kan göra mycket nytta, speciellt för användare i länder där internetoperatörerna lyder under myndigheter som gärna håller koll på vad användarna gör på nätet.
Problemet är att det idag nästan är omöjligt att skydda sig mot program som kringgår systemets inställda DNS-server och istället använder egna. Firefox har till exempel en inbyggd inställning för krypterad DNS. Där finns inget problem eftersom det är användaren själv som gör inställningen, men det finns inget som hindrar ett skadeprogram från att göra samma sak. En användare som har en Pi-Hole-server på nätverket för att filtrera bort reklam, spårning och domäner förknippade med bedrägerier och skadeprogram vill så klart att alla enheter på nätet ska tvingas skicka sina DNS-förfrågningar till den, men med krypterad DNS kan enskilda program ignorera det och till exempel visa reklam eller spårningsdata.
Microsoft har börjat utveckla en ny teknik som ska råda bot på det här problemet, rapporterar Ars Technica. Den kallas Zero Trust DNS (ZTDNS) och går ut på att slå ihop Windows DNS-system med den inbyggda brandväggen.
Med ZTDNS kan en organisation eller privatanvändare ställa in systemet att ansluta till en säker DNS-server för DNS-uppslagningar, och blockera trafik till alla IP-adresser tills dessa har tagits emot som svar på en DNS-uppslagning. Servern kan antingen vitlista vissa domäner och förbjuda alla andra eller svartlista vissa och tillåta alla andra.
Illustration: Microsoft
Säg till exempel att en användare med ZTDNS vill besöka sweclockers.com. När hen har skrivit in adressen i webbläsaren och trycker retur ber programmet systemet om vilken IP-adress den ligger på. Systemet skickar i sin tur en förfrågning till DNS-servern. Om sweclockers.com är en godkänd domän svarar servern med nuvarande IP-adress och då låser brandväggen upp anslutningar till den adressen.
Med standardinställningar kommer ZTDNS blockera all trafik utom till den inställda DNS-servern samt för DHCP och NDP så att datorn kan ansluta till olika lokala nätverk.
