Históricamente, mejorar la seguridad del DNS a menudo ha significado sacrificar la visibilidad administrativa del tráfico de la red. Esto obliga a los administradores a elegir entre DNS no cifrados con capacidad de monitoreo pero sin protección, o DNS cifrados que ciega el monitoreo y el control. ZTDNS de Microsoft integra el motor DNS de Windows y el Firewall de Windows directamente en los dispositivos cliente para superar este problema.

El sistema ZTDNS impide que los dispositivos cliente se conecten a cualquier dirección IP, excepto aquellas de los "servidores DNS protectores" designados. Cuando un dispositivo cliente necesita resolver un nombre de dominio, se comunica con un servidor DNS protector, que opcionalmente puede usar certificados de cliente para un control de políticas detallado. Tras la resolución, ZTDNS actualiza dinámicamente el Firewall de Windows para permitir conexiones a las direcciones IP recién resueltas, mientras bloquea todo el resto del tráfico de forma predeterminada. Esto crea una poderosa herramienta de bloqueo basada en nombres de dominio.

Puede pensar en esto como una serie de procesos donde el resultado final es que solo puede visitar sitios web que han sido aprobados específicamente, creando un entorno súper seguro. Esto difiere de la resolución de DNS normal en algunos aspectos: concretamente, la forma en que está configurado actualmente su DNS significa que puede resolver cualquier URL en una dirección IP, incluso si se sabe que es maliciosa (con posibles consecuencias que van desde la descarga de malware hasta incluso un posible punto de entrada para un actor malicioso).

También existen preocupaciones potenciales sobre lo que podría suceder cuando esta tecnología realmente se implemente. Aunque es algo prometedor para su seguridad en línea, probablemente también requerirá una planificación y configuración cuidadosas por parte de los administradores para evitar interrupciones accidentales de las funciones normales de la red. Después de todo, DNS es una característica central necesaria para el acceso a Internet, y el nuevo sistema podría sobrepasar y bloquear cosas que en realidad no son dañinas y que quizás necesites usar. Lo bueno es que esto no se implementará todavía, por lo que todavía hay un poco de tiempo para descubrir cómo configurar las cosas correctamente para que su experiencia en Internet no se rompa o interrumpa accidentalmente en el proceso.

ZTDNS requiere que los servidores DNS admitan protocolos de cifrado como DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT). Microsoft destaca que ZTDNS no introduce ningún protocolo de red nuevo, lo que ayuda a que sea ampliamente compatible. ZTDNS se encuentra actualmente en "vista previa privada", según Microsoft; no está claro de inmediato si la compañía solo lo está probando internamente en este momento o si algunos usuarios seleccionados tendrán acceso a él. Microsoft no ha dado ninguna indicación de cuándo ZTDNS podría estar disponible públicamente y, por ahora, la compañía acaba de decir que los Windows Insiders tendrán acceso a él en su propio momento, con un anuncio separado planeado cuando llegue el momento.

Por ahora, si quieres leer más sobre ZTDNS y qué tener en cuenta cuando llegue el momento de una implementación en la vida real, puedes consultar la publicación del blog de Microsoft con todos los detalles.

Fuente: Microsoft vía Ars Technica