Belge Gerektirmez
başlayan fiyatlarla
başlayan fiyatlarla
başlayan fiyatlarla
Sonradan pişman olmamak için
Web alanı, herhangi bir web sayfasının temel bir parçasıdır. Bu nedenle, güvenliği sağlamak, İnternet sitelerinden sorumlu olanları ilgilendiren bir durumdur. Bu yazıda DNSSEC nedir ve web sitesini korumaya nasıl yardımcı olduğu hakkında bilgi verecek, alan adının güvenliğini nasıl desteklediğini gözden geçireceğiz.
DNSSEC nedir?
DNSSEC (DNS Security Extensions), DNS protokolüne güvenlik özellikleri eklemek üzere başlatılmış bir çalışmadır. DNS protokolünü, ağ üzerinde erişmek istediğimiz kaynakların (sunucu, hizmet, vb.) bilgilerini sorguladığımız ağ hizmeti olarak basitçe tanımlayabiliriz. Bu sayede, son kullanıcılar erişmek istedikleri sunucu ya da hizmetin akılda tutulabilir metinsel bilgisini (URL vb.) sorgulayarak söz konusu hedeflerin erişim bilgilerini transparan olarak öğrenmekte. Merkezi bir telefon rehberi misali… Bağlantı kurulması sırasında gerçekleşen ilk adımlardan birisi olarak doğru ve güvenilir bir DNS cevabı almak oldukça önemli. Aksi takdirde kullanıcılar kasıtlı olarak tuzak hedeflere de yönlendirilebilirler.
DNSSEC, DNS önbellek (cache) zehirleme gibi saldırılara karşı geliştirilmiş güvenlik eklentilerinden oluşmaktadır.Temel olarak, DNS cevaplarının kaynağının doğrulanması, DNS veri bütünlüğünün sağlanması ve inkara edememe güvenlik hedeflerini sağlamayı amaçlamaktadır. DNSSEC ile dört yeni kayıt tipi tanımlanmaktadır. Bunlar, RRSIG (Resource Record Signature), DNSKEY (DNS Public Key), DS (Delegation Signer) ve NSEC (Next Secure)’ dir. Bu yeni kayıt tipleri RFC 4034 ile detaylı olarak tanımlanmıştır. Yeni kayıt tiplerine (RR – Resource Record) ek olarak, iki yeni DNS başlık bilgisi CD (Checking Disabled) ve AD (Authenticated Data) kullanılmaktadır.
DNSSEC, DNS protokolüne 2 adet önemli özellik ekler:
Çözücü, bilginin geldiği yeri kriptografik şifre ile doğrular. Şayet şifre geçerli değil ise sunucu ile ilişkiyi keser. Buna “data origin authentication” (veri kaynağı doğrulaması) denmektedir.
“Data integrity protection” (veri içeriği koruması) ile de çözücü, gelen datanın gelirken değiştirilmediğini ve bölgenin özel şifresi ile şifrelendiğini bilir.
DNSSEC Nasıl Etkinleştirilir?
Özellikle kullanıcı verilerini işleyen bir web sitesi çalıştırıyorsanız, herhangi bir DNS saldırı vektörünü önlemek için DNSSEC'yi açmak isteyeceksiniz. DNS sağlayıcınız bunu yalnızca "premium" bir özellik olarak sunmadığı sürece, hiçbir dezavantajı yoktur. Bu durumda, temel güvenlik için sizi uğraştırmayacak, uygun bir DNS sağlayıcısına geçmenizi öneririz.
İnternet’in yaygın bir güvenliğe sahip olması adına, DNSSEC’in de yaygınlaşması gerekiyor. DNSSEC otomatik değildir; çalışması için operatörlerin çözümleyicilerinde ve bölgelerinin yetkili nameserver’larında aktifleştirilmesi gerekli. Çözücü ve yetkili nameserver operatörlerinin, DNSSEC’i aktifleştirmek için farklı farklı teşvikleri var. Fakat bu operatörler DNSSEC’i açtıkları zaman, daha fazla kullanıcı, aldıkları cevabın doğrulanmış olduğunu ve hedef adrese yönlendirildiklerini bilecek.
DNSSEC doğrulamasını çözücülerde açmak çok kolay. Aslında, çoğu yaygın çözücüde DNSSEC özelliği yıllardır bulunmakta. Çözücünün konfigürasyon dosyasında yapılacak olan bir kaç satır değişiklik ile DNSSEC ayarı aktif edilebilmekte. Aktivasyon işleminden sonra; bir kullanıcı, çözücüye imzalı bir bölgeden gelen kurcalanmış veri hakkında sorgu yaptığı zaman, kullanıcı yanıt almayacaktır, çünkü DNSSEC bu kurcalanmış veriyi kötü amaçlı olarak algılar ve kullanıcıyı korur.
DNSSEC ile bölgelerin DNS bilgilerini imzalamak birkaç adım sürer, ancak DNS bilgisini imzalayan milyonlarca bölge vardır, böylece kullanıcılar, güvenilir DNS verisine ulaştıklarına emin olurlar. Neredeyse tüm bilinen yetkili nameserver kontrol yazılımları bölge imzalamayı destekliyor ve ayrıca çoğu üçüncü parti DNS sağlayıcıları da DNSSEC’i destekliyor. Hosting sağlayıcısı için DNSSEC’i aktif hale getirmek çok kolaydır; genellikle sadece bir ayarı işaretlemekten biraz daha fazla sürer. Örneğin Cloudflare servisinde tek yapmanız gereken bir tuşa basmak.
DNSSec’in doğru bir şekilde çalışması DNS bilgilerinin denetlemesindeki güvene ve bağlantılarına bağlıdır. Verilerin doğrulanmasından sonra; bu bilgilerin bütünlüğünü garanti etmek ve güvenliğini de korumak zorundayız. DNSSec’in getireceği DNS güvenliği konusundaki güven arttıkça daha verimli kullanılabilir. ICANN yönetiminin TLD güvenliği ile bağlama ve kimlik doğrulamasından elde edilen güvencenin imzalanmış bir kök bölge dosyasına kadar izinin sürdürülmesi çok daha önemlidir.
DNSSEC, yaşadığımız çağ içerisinde bilgi güvenliği adına atılmış çok önemli bir adım. Özellikle neredeyse her şeyin Internet ile yapıldığı çağımızda, “DNS Spoofing” gibi atak teknikleri büyük bir risk arz ediyordu ve DNSSEC ile bunun önüne geçilmiştir.
Fakat birçok zaman DNSSEC hizmeti yanlış bir şekilde anlaşılmıştır. Şöyle ki; DNS servisi Ddos ataklarını önleyemez. DNS aktarımı sırasında verilerin gizliliğini sağlayamamaktadır. Ama buradaki esas ve kritik olay DNS sorguları ve cevaplarının güvenli olmasının sağlanmasıdır. Peki bizler internal Active Directory yapısı içerisinde kullanmalı mıyız? Şirketinizdeki network güvenliğinizi yüksek seviyede sağlayamıyorsanız, ve DNS sorguları karşısında bir saldırı yapılacağını düşünüyorsanız kesinlikle DNSSEC hizmetini kullanmalısınız.
2005 yılından günümüze kadar Domain / Alanadı ve Veri Merkezi tarafında da Sunucu Barındırma, Sanal Sunucu ve Hosting hizmetlerinde bizi tercih ettiğiniz için teşekkür ederiz. Sizlerin memnuniyeti bizim için çok önemlidir. Şimdi Profesyonel Web sitenizi %30 indirim ile hemen web tasarım teklifinizi alın.
1
Copyright © 2005 - 2021 | Tüm hakları saklıdır.
Fiyatlarımıza %20 KDV dahil değildir.