Ne Aramıştınız?

DNSSEC Nedir? Siber Güvenliğinizi Sağlamak için Yeterli midir?

İnternetin adres defteri olarak tanımlayabileceğimiz DNS, internet üzerindeki alan adlarını IP adreslerine çeviren bir sistemdir.

İçerik Başlıkları
DNSSEC

DNS, web tarayıcılarının isteklerini doğru kaynaklara iletmek için kullanılan bir yönlendirici olup yapılabilecek saldırılara karşı savunmasızdır. Bu durum, internet kullanıcılarının güvenliği açısından ciddi riskler oluşturur. İşte tam da bu nedenle DNSSEC çıkmıştır. Peki, DNSSEC nedir ve nasıl çalışır? Siber güvenlik açısından önemi nedir?

DNSSEC Nedir?

DNSSEC, "Domain Name System Security Extensions" kısaltmasıdır ve Türkçede "Alan Adı Sistemi Güvenlik Uzantıları" demektir. Başka bir deyişle, DNS'in güvenliğini artırmak için geliştirilmiş bir güvenlik protokolüdür.

İnternet genelinde yer alan alan isimlerini IP adresine çeviren DNS, web tarayıcılarının isteklerini doğru kaynaklara yönlendirmek için kullanılır. Fakat DNS, verilerin güvenliği açısından hassas bir noktadır. Çünkü üzerinde yapılacak saldırılar, kullanıcıların güvenliğini riske atabilir. Böyle bir riske karşın DNSSEC, internet kullanıcılarına daha güvenli bir çevre sunan ve verilerin güvenli bir şekilde iletilmesini sağlayan sistemlerden biridir.

DNSSEC’in, kullanımının yaygınlaşması için geniş çapta benimsenmesi gerekmektedir. Çünkü tüm DNS sunucularının DNSSEC'i desteklemesi ve doğrulama işlemlerinin yapısal olarak entegre edilmesi gerekir. Böylece internetin temel altyapısı daha güvenli hale gelebilir ve kullanıcıların verileri daha iyi korunabilir.

DNSSEC Nasıl Çalışır?

DNSSEC, DNS'in güvenliğini sağlamak için çeşitli kriptografik yöntemler kullanır. Bu işleyişi anlamak için öncelikle DNS'in nasıl çalıştığını gözden geçirmek gerekir.

İnternet üzerindeki herhangi bir cihazda internete erişim DNS ile başlar. Örneğin, bir kullanıcının telefonundaki bir tarayıcıya bir web sitesi adı girdiğini düşünelim. Tarayıcı, cihazın işletim sisteminin bir parçası olan "stub resolver" kullanarak web sitesinin alan adını İnternet Protokolü (IP) adresine çevirmek için işlemi başlatır. Stub resolver, uygulamanın DNS verileri talebini daha karmaşık bir DNS istemcisi olan "recursive resolver"a ileten çok basit bir DNS istemcisidir. Birçok ağ işletmecisi, ağlarındaki cihazların gönderdiği DNS taleplerini karşılamak için recursive resolver'lar çalıştırır.

Recursive resolver, stub resolver tarafından gönderilen DNS sorgusunun yanıtını takip eder ve çözer. Bu süreç, recursive resolver'ın birden fazla yetkili ad sunucusuna kendi DNS sorgularını iletmesi aracılığı ile gerçekleşir. DNS verileri, her bir alan adı için yetkili bir ad sunucusu bünyesinde depolanır. Böylece bir alan adının DNS bilgileri "zone" olarak isimlendirilir. Bazı kuruluşlar kendi ad sunucularını kullanarak kendi bölgelerini yayınlarken, genellikle kuruluşlar ilgili işlevi üçüncü taraflara dış kaynak olarak verirler. Alan adı sahiplerini temsil eden çeşitli kuruluşlar vardır; bunlar arasında kayıt kuruluşları, kayıt defterleri, web barındırma şirketleri ve ağ sunucusu sağlayıcıları yer alır.

DNSSEC, DNS verilerinin bütünlüğünü ve kimlik doğrulamasını sağlamak için dijital imzalar ve açık anahtarlı altyapı (PKI) kullanır. Bu işleyiş, aşağıdaki adımlarla daha iyi anlaşılabilir:

  • Alan adı sahibi, DNSSEC'i etkinleştirmek istediği alan adı için bir anahtar çifti oluşturur. Bu çift, bir özel anahtar (private key) ve buna bağlı bir genel anahtar (public key) içerir.
  • Alan adının DNS kayıtlarını içeren zone dosyasının alan adı, sahibi tarafından imzalanması gerekir. Söz konusu süreç özel anahtar kullanılarak dijital bir imzanın oluşturulması anlamına gelir.
  • İmzalanmış zone dosyası yetkili ad sunucusuna (authority server) yüklenir ve kök DNS sunucusuna kadar olan hiyerarşik yapıya doğru dağıtılır.
  • Bir DNS istemcisi, DNS sorgusunu yapan recursive resolver'a gönderir.
  • Recursive resolver, istemcinin DNS sorgusunu aldıktan sonra ilgili DNS kaydını sorgular ve yanıtı yetkili ad sunucusundan alır.
  • DNSSEC etkinse, recursive resolver alınan DNS kaydının imzasını doğrular. Bunun için kaydın genel anahtarı kullanılarak imza çözümlenir ve kaydın bütünlüğü ve orijinalliği doğrulanır.
  • Yanıtın doğrulandığına ve güvenilir olduğuna karar veren recursive resolver, yanıtı stub resolver'a iletir ve ardından kullanıcının tarayıcısına geri döner.
  • Tarayıcı, aldığı IP adresine göre ilgili web sitesine yönlendirme yapar ve kullanıcı web sitesini görüntüler.

Neden DNS Tek Başına Güvenli Değildir?

DNS tek başına güvenli değildir. Çünkü ilk tasarımında güvenlik birincil bir husus olarak ele alınmamıştır. İlk olarak, DNS'in tasarlandığı dönemde internet çok daha küçüktü ve güvenlik tehditleri günümüzdekine göre daha azdı. Bu nedenle DNS'in güvenlik açıklarının giderilmesine odaklanılmamıştır.

DNS'in güvenlik açıkları arasında DNS yanıt sahteciliği (DNS spoofing) ve önbellek zehirlenmesi (cache poisoning) gibi saldırılar bulunur. DNS yanıt sahteciliği, bir saldırganın, özyinelemeli bir çözümleyiciye sahte bir DNS yanıtı göndererek kullanıcıyı yanıltmasını sağlar. Bu saldırıda, saldırgan, sahte bir yanıtta yer alan IP adresini değiştirerek kullanıcıyı potansiyel olarak kötü niyetli bir siteye yönlendirebilir.

Önbellek zehirlenmesi saldırısı ise DNS özyinelemeli çözümleyicinin önbelleğini hedefler. Saldırgan, sahte bir yanıt göndererek çözümleyicinin önbelleğini zehirleyebilir ve yanıtı kontrol eden güvenilir bir kaynaktan geldiği yanılsamasını yaratabilir. Çözümleyici, sahte yanıtı önbelleğinde tutar ve sahte bilgiyi gelecekteki sorgulara da yanıt olarak verir. Bu güvenlik açıkları, saldırganların kullanıcıları sahte web sitelerine yönlendirerek kimlik avı saldırılarına zemin hazırlamasına olanak tanır.

Kullanıcılar, sahte bir web sitesine kimlik bilgilerini girmeleri durumunda saldırganların bilgilere erişmesine ve kötü niyetli amaçlar için kullanmasına olanak tanımış olurlar. Bu nedenle DNS'in güvenliğini sağlamak için DNSSEC gibi güvenlik uzantıları geliştirilmiştir. DNSSEC, DNS kayıtlarının dijital olarak imzalanması ve doğrulanmasıyla bütünlüğünü ve güvenilirliğini sağlar. Böylece kullanıcılar DNS yanıtlarının sahte olmadığını ve doğrulandığını bilirler.

Siz de siber güvenliğinizin tam koruma altında olmasını isterseniz, Berqnet uzmanlarından destek alabilir, uzun vadeli ağ güvenliğini Firewall ve SASE ürünleriyle sağlayabilirsiniz. SASE (Secure Access Service Edge), şube ve merkezlerin güvenli bir şekilde bulut üzerinden ve tek bir platformdan yönetilmesini mümkün kılar. Böylece karmaşık siber güvenlik ve ağ süreçlerini kolaylaştırırken maliyet etkin bir çözüm sunar. Firewall ise ağınızı güvenilmeyen dış ağlardan gelen zararlı trafiğe ve saldırılara karşı korumayı hedefler. Bu korumayı sağlamak için firewall, özel olarak belirlenen kuralları işleyerek internet trafiğini denetler. Daha detaylı bilgi almak ve işletmenize özel çözümlerden faydalanmak için siz de iletişime geçebilirsiniz.

Sıkça Sorulan Sorular

DNSSEC'i kullanmak için özyinelemeli çözümleyicilerin yapılandırma dosyalarında DNSSEC doğrulamasını etkinleştirmek gereklidir. Alan adı sahipleri, yetkili sunucularında DNSSEC'i etkinleştirerek DNS verilerini imzalar. Bu imzalar, DNS verilerinin doğrulanmasını sağlar ve güvenliği artırır.

DNSSEC'in kullanılması, kullanıcıların DNS yanıtlarının doğrulanabilmesini sağlar. Böylece kullanıcılar, ziyaret ettikleri web sitelerinin kimliklerini doğrulayabilir ve zararlı veya sahte sitelere yönlendirme riskini azaltabilirler. DNSSEC, DNS üzerindeki saldırıların tespit edilmesine [AE1] yardımcı olarak güvenlik seviyesini yükseltir.

 [AE1]Hem tespit edilmesine hem de öncelenmesine mi?

DNSSEC'i etkinleştirmek için aşağıdaki adımlar izlenir. İlk olarak, özyinelemeli çözümleyicilerin yapılandırma dosyalarında DNSSEC doğrulamasını etkinleştirmek için değişiklikler yapılır. Bu adımda DNSSEC desteği aktif hale getirilir. Daha sonra alan adı sahipleri yetkili sunucularında DNSSEC'i etkinleştirerek DNS verilerini imzalar.

DNSSEC, DNS protokolüne iki önemli özellik ekler. İlk olarak, çözümleyici (resolver), bilginin geldiği kaynağı kriptografik olarak doğrular. Bu işlem verinin kaynağının güvenilirliğini sağlar. Eğer kriptografik doğrulama başarısız olursa, çözümleyici sunucu ile olan ilişkiyi keser. Söz konusu özellik "veri kaynağı doğrulaması" olarak adlandırılır.

İkinci olarak da "veri içeriği koruması" sağlanır. Çözümleyici, gelen verinin değiştirilmediğini ve bölgenin özel şifresiyle şifrelendiğini doğrular. Böylece verinin bütünlüğü ve güvenilirliği sağlanır. Verilerin değiştirilmediğinden emin olmak için kriptografik mekanizmalar kullanılır. DNSSEC, bu iki özellik sayesinde DNS trafiğinin güvenliğini artırır. Çözücüler, gelen verilerin doğruluğunu ve bütünlüğünü sağlayarak güvenli bir DNS çözümlemesi gerçekleştirir.

3 Temmuz 2023
Hızlı Teklif Alın