Alan Adı Kaydı Alan Adı Transferi Alan Adı Yenileme .TR Alan Adı Kaydı Whois Sorgulama Alan Adı Uzantıları
Bireysel Hosting Kurumsal Hosting Wordpress Hosting Multi Hosting
Türkiye VDS Sunucu Avrupa VDS Sunucu Özel Masaüstü Sunucu FOREX Sunucu
Türkiye Fiziksel Sunucu Avrupa Fiziksel Sunucu Yarı Fiziksel Sunucu Sunucu Barındırma Kirala Senin Olsun
Kurumsal E-posta IP Adresi Hizmeti Metro Ethernet Hizmeti Yedekleme Hizmeti
Veri sorumlusu sıfatıyla tarafımızca toplanan, saklanan ve işlenen kişisel verileriniz için KVKK'nın Veri Sorumlusunun Aydınlatma Yükümlüğü başlıklı 10.maddesi uyarınca faaliyette bulunmaktayız.
Detay Tamam

DNSSEC nedir?

dnssec

 

Web alanı, herhangi bir web sayfasının temel bir parçasıdır. Bu nedenle, güvenliği sağlamak, İnternet sitelerinden sorumlu olanları ilgilendiren bir durumdur. Bu yazıda DNSSEC nedir ve web sitesini korumaya nasıl yardımcı olduğu hakkında bilgi verecek, alan adının güvenliğini nasıl desteklediğini gözden geçireceğiz.

DNSSEC nedir?

DNSSEC (DNS Security Extensions), DNS protokolüne güvenlik özellikleri eklemek üzere başlatılmış bir çalışmadır. DNS protokolünü, ağ üzerinde erişmek istediğimiz kaynakların (sunucu, hizmet, vb.) bilgilerini sorguladığımız ağ hizmeti olarak basitçe tanımlayabiliriz. Bu sayede, son kullanıcılar erişmek istedikleri sunucu ya da hizmetin akılda tutulabilir metinsel bilgisini (URL vb.) sorgulayarak  söz konusu hedeflerin erişim bilgilerini transparan olarak öğrenmekte. Merkezi bir telefon rehberi misali… Bağlantı kurulması sırasında gerçekleşen ilk adımlardan birisi olarak doğru ve güvenilir bir DNS cevabı almak oldukça önemli. Aksi takdirde kullanıcılar kasıtlı olarak tuzak hedeflere de yönlendirilebilirler.

DNSSEC, DNS önbellek (cache) zehirleme gibi saldırılara karşı geliştirilmiş güvenlik eklentilerinden oluşmaktadır.Temel olarak, DNS cevaplarının kaynağının doğrulanması, DNS veri bütünlüğünün sağlanması ve inkara edememe güvenlik hedeflerini sağlamayı amaçlamaktadır. DNSSEC ile dört yeni kayıt tipi tanımlanmaktadır. Bunlar, RRSIG (Resource Record Signature), DNSKEY (DNS Public Key), DS (Delegation Signer) ve NSEC (Next Secure)’ dir. Bu yeni kayıt tipleri RFC 4034 ile detaylı olarak tanımlanmıştır. Yeni kayıt tiplerine (RR – Resource Record) ek olarak, iki yeni DNS başlık bilgisi CD (Checking Disabled) ve AD (Authenticated Data) kullanılmaktadır.

DNSSEC, DNS protokolüne 2 adet önemli özellik ekler:

Çözücü, bilginin geldiği yeri kriptografik şifre ile doğrular. Şayet şifre geçerli değil ise sunucu ile ilişkiyi keser. Buna “data origin authentication” (veri kaynağı doğrulaması) denmektedir.

“Data integrity protection” (veri içeriği koruması) ile de çözücü, gelen datanın gelirken değiştirilmediğini ve bölgenin özel şifresi ile şifrelendiğini bilir.

DNSSEC Nasıl Etkinleştirilir?

Özellikle kullanıcı verilerini işleyen bir web sitesi çalıştırıyorsanız, herhangi bir DNS saldırı vektörünü önlemek için DNSSEC'yi açmak isteyeceksiniz. DNS sağlayıcınız bunu yalnızca "premium" bir özellik olarak sunmadığı sürece, hiçbir dezavantajı yoktur. Bu durumda, temel güvenlik için sizi uğraştırmayacak,  uygun bir DNS sağlayıcısına geçmenizi öneririz. 

İnternet’in yaygın bir güvenliğe sahip olması adına, DNSSEC’in de yaygınlaşması gerekiyor. DNSSEC otomatik değildir; çalışması için operatörlerin çözümleyicilerinde ve bölgelerinin yetkili nameserver’larında aktifleştirilmesi gerekli. Çözücü ve yetkili nameserver operatörlerinin, DNSSEC’i aktifleştirmek için farklı farklı teşvikleri var. Fakat bu operatörler DNSSEC’i açtıkları zaman, daha fazla kullanıcı, aldıkları cevabın doğrulanmış olduğunu ve hedef adrese yönlendirildiklerini bilecek.

DNSSEC doğrulamasını çözücülerde açmak çok kolay. Aslında, çoğu yaygın çözücüde DNSSEC özelliği yıllardır bulunmakta. Çözücünün konfigürasyon dosyasında yapılacak olan bir kaç satır değişiklik ile DNSSEC ayarı aktif edilebilmekte. Aktivasyon işleminden sonra; bir kullanıcı, çözücüye imzalı bir bölgeden gelen kurcalanmış veri hakkında sorgu yaptığı zaman, kullanıcı yanıt almayacaktır, çünkü DNSSEC bu kurcalanmış veriyi kötü amaçlı olarak algılar ve kullanıcıyı korur.

DNSSEC ile bölgelerin DNS bilgilerini imzalamak birkaç adım sürer, ancak DNS bilgisini imzalayan milyonlarca bölge vardır, böylece kullanıcılar, güvenilir DNS verisine ulaştıklarına emin olurlar. Neredeyse tüm bilinen yetkili nameserver kontrol yazılımları bölge imzalamayı destekliyor ve ayrıca çoğu üçüncü parti DNS sağlayıcıları da DNSSEC’i destekliyor. Hosting sağlayıcısı için DNSSEC’i aktif hale getirmek çok kolaydır; genellikle sadece bir ayarı işaretlemekten biraz daha fazla sürer. Örneğin Cloudflare servisinde tek yapmanız gereken bir tuşa basmak.

DNSSec’in doğru bir şekilde çalışması DNS bilgilerinin denetlemesindeki güvene ve bağlantılarına bağlıdır. Verilerin doğrulanmasından sonra; bu bilgilerin bütünlüğünü garanti etmek ve güvenliğini de korumak zorundayız. DNSSec’in getireceği DNS güvenliği konusundaki güven arttıkça daha verimli kullanılabilir. ICANN yönetiminin TLD güvenliği ile bağlama ve kimlik doğrulamasından elde edilen güvencenin imzalanmış bir kök bölge dosyasına kadar izinin sürdürülmesi çok daha önemlidir.

DNSSEC, yaşadığımız çağ içerisinde bilgi güvenliği adına atılmış çok önemli bir adım. Özellikle neredeyse her şeyin Internet ile yapıldığı çağımızda, “DNS Spoofing” gibi atak teknikleri büyük bir risk arz ediyordu ve DNSSEC ile bunun önüne geçilmiştir.

Fakat birçok zaman DNSSEC hizmeti yanlış bir şekilde anlaşılmıştır. Şöyle ki; DNS servisi Ddos ataklarını önleyemez. DNS aktarımı sırasında verilerin gizliliğini sağlayamamaktadır. Ama buradaki esas ve kritik olay DNS sorguları ve cevaplarının güvenli olmasının sağlanmasıdır. Peki bizler internal Active Directory yapısı içerisinde kullanmalı mıyız? Şirketinizdeki network güvenliğinizi yüksek seviyede sağlayamıyorsanız, ve DNS sorguları karşısında bir saldırı yapılacağını düşünüyorsanız kesinlikle DNSSEC hizmetini kullanmalısınız.

 


  • DNS güvenliği, DSNSEC, DNSsec Nedir
  • Bu dökümanı 341 kullanıcı yararlı buldu.
Bu cevap yeterince yardımcı oldu mu?

Bunlar da yardımcı olabilir