DNSSEC – Domain Name System SECurity Extensions – Alan Adı Sistem Güvenliği Uzantısı

DNSSEC – Domain Name System SECurity Extensions – Alan Adı Sistem Güvenliği Uzantısı

DNS Sistem Güvenliği Uzantısı (DNSSEC), kullanıcıların sahte web sitelerine ve amaçlamadıkları adreslere yönlendirilmekten korunmasına yardımcı olarak İnternet’e duyulan güvenin artmasını sağlamak amacıyla ortaya çıkmıştır.

Neden DNSSEC Gerekli?

-Internet kullanıcılarının güvenliğini arttırır.

-DNS üzerinde güvenliği sağlar. DNS’e bir eklentidir (eski sürüm DNS hala çalışmaktadır).

-Gerçeklik doğrulamanın bir yolu olarak çalışır.

-Kimlik doğrulama, diğer güvenlik uygulamalarından (ssh, ssl, pgp, etc) önce uygulanır.

-DNS güvenliğini güçlendiren DNSSEC, e-ticaret, çevrimiçi bankacılık, e-posta, VoIP ve çevrimiçi yazılım dağıtımı da dahil olmak üzere birçok İnternet etkinliğine duyulan güveni artırır.

-DNSSEC, kullanıcıların bir kaynağa erişmeye çalışırken farkında olmadan siber suçların kurbanı olması riskini azaltır.

-DNSSEC, yeni güvenli veri işlemi türleri oluşturmak için DNS sistemini kullanma imkanı sağlar.

-İnternet’te gezinirken DNS verilerinin kaynağını doğrulayarak ve doğruluğunu kontrol ederek MITM saldırılarını (Man In the Middle- Ortadaki Adam ) ve önbellek zehirlenmesini ele almak üzere tasarlanmıştır.

DNSSEC ne yapamaz?

-DNS verileri için bir güvenlik sağlayamaz. Hiçbir şifreleme yoktur ve ayrıca DNSlerdeki veriler topluma açıktır.

-DNSSEC, denial of service (hizmet reddi) ve packets of death (ölü paket) gibi DNS sunucusu ataklarını adreslemez.

DNSSEC nasıl ortaya çıktı?

1983’te Paul Mockapetris tarafından DNS yaratıldı ve bu icadın ilk sunucusu Jeeves oldu.

DNS, icat edilmesinden 3 yıl sonra IETF Internet Standartlarına biçimlendirildi ve RCF 1034. ve 1035. maddelerinde tanımlandı.

Yıllar geçtikçe DNS’in yükselişi sürmekteydi ve bu uygulamanın açıkları ortaya çıkarılmaya başlanmıştı. 1990’ın ilk aylarında önbellek zehirlenmesi (Cache Poisoning) kanıtlanmıştı. Bunu keşfeden Steve Bellovin’dir, fakat Steven’ın keşfi ancak 5 yıl sonra ortaya çıkarılmıştı. Bu olaylar yüksek derecedeki Amerika hükümetini görevlilerini endişelendirmeye başlamış ve sonrasında internetin daha güvenli olması için yapılan çalışmaları hızlandırmıştır.

Bellovin’in DNS ile ilgili yazısı 1995’te yayınlanınca IETF içinde DNSSEC fikri ortaya çıktı ve popülerleşti.

İzleyen yıllarda IETF tarafından RFC2065, 2535yayınlandı.On yıllık periyotta 3 önemli, büyük model tekrarlandı. Bunlar ilkel model basitti, dağıtılmış anahtar yönetimi iyi ölçeklendirilmemişti.Son Model (Final Design) diye adlandırılan tasarım RFC 4033-35’te ve 2005’in Martında standart haline getirildi.2005’te İsveç (.se) DNSSEC’i kendi bölgelerinde kullanıma geçirdi.

Ek gizlilik eklentileri NSEC3 tarafından RFC5155 ile Mart 2008’de standartlaştırıldı.

DNSSEC nasıl çalışır?

DNSSEC, ortak anahtarlama özelliğini kullanır, şöyleki:

DNSSEC yetkili bölge verilerini sisteme geldiklerinde dijital imzalama yapar. Böylece dnsler internet üzerinde anahtarlı şekilde bir çeşit tasdiklenmiş, onaylanmış olarak yol alır. Bu özelliği dnssec’in bir internet sayfasının gerçekte var olup olmadığını da belirlenmesini sağlar. bilindiği üzere sahte dnslere yönlendirilerek kullanıcıların, şirketlerin veya kurumların bilgilerine erişilip zararlar verilmektedir.

Ortak anahtar şifreleme sistemini biraz açarsak dijital ortamda ortamın mührü, imzası fiziksel olarak işaretlenemez.bunun yerine işaretlerin kaynağın içine entegre edilmesi gerekir. Bu işaretlemede kaynağın tanımlanması, doğrulanması ve en önemli sayılabilecek özelliği 3. şahıs ataklara karşı gizliliğinin sağlanması için kodlanması gerekir.ortak anahtar şifreleme, geleneksel yöntemlerdeki gibi aynı şifreyi kullanmaz, bu sistem verilerin şifrelenmesi ve şifrenin çözülmesi için birbiriyle eşleşen bir şifreleme yöntemi kullanır.her anahtar dataları tek yönlü şifreler ve her anahtar diğerinin tersi işlevine sahiptir.

DNSSEC’de her bölgenin ortak-özel bir anahtar çifti vardır. Bölgeye ait ortak anahtarlar dnsle birlikte yayımlanır. Özel anahtarlar gizli tutulur ve çevrimdışı yayımlanması sağlanır. bu özel anahtarlar yereldeki dns verilerini işaretleyerek dnslerle birlikte yayımlanan dijital imzaları oluştururlar.

DNSSEC güvenlik modeli katıdır ve hiyerarşik olarak ilerler, üst katmandan alt katmana doğru. Yüksek katmandaki bölgeler, alt katmanlardaki bölgeleri kontrol eder, alt bölgelerin anahtarlarını imzalar ve onaylar. bu bölgelerin yetkili sunucular: kayıt şirketleri, ISS (internet hizmeti sağlayıcıları), web barındırma şirketleri veya web sitesi operatörleri tarafından yönetilebilir.

Son kullanıcı bir web sitesine erişmek istediğinde, kullanıcının bilgisayarındaki bir saplama çözümleyicisi, tekrarlamalı bir isim sunucusundan web sitesinin ip adresini sorar. sunucu bu kaydı istedikten sonra bölgeyle ilgili olan Dnssec anahtarını da ister. bu anahtar sayesinde sunucu aldığı ip adresin kaydının, yetkili isim sunucusundaki kayda benzer olduğunu doğrulayabilir.

Tekrarlamalı isim sunucusu, adres kaydının yetkili isim sunucusu tarafından gönderildiğini ve aktarma sırasında değiştirilmediğini belirlerse, etki alanı adını çözer ve kullanıcı siteye ulaşır. bu sürece doğrulama (authentication) denir. Adres kaydı değiştirilmişse veya belirtilen kaynaktan değilse, tekrarlamalı isim sunucusu kullanıcının sahte adrese ulaşmasına izin vermez. bu tetkiklerin sonucu olarak, dns sorguları ve yanıtları ortadaki adam yani MITM saldırılarından ve kimlik hırsızlığı ve pharming sitelerine yönlendirilen sahtekarlıklardan korunur.

DNSSEC kullanımına geçişte yaşanabilecek sorunlar:

  • DNSSEC, özellikle eski ağ cihazlarına entegrasyonunda sorun yaşatabilir. Normalde DNS paketleri UDP ile taşınır ve DNS sınırları da 512 byte ile sınırlandırılmıştır. Ama DNSSEC paketlerinin içinde dijital imzalar ve kullanıcılar arasındaki ortak anahtarlar olabilir ve bu sebeple DNSSEC paketleri standartları aşmış olur. İşte bu sebeple ağ cihazlarının güncellenmesi hatta yenilenmesi gerekebilir.
  • Ayrıca, MTU ( max transfer unit – en çok iletim birimi) boyutundaki sınırlamalar sebebiyle, UDP hep DNSSEC paketlerinin boyutunu karşılayamayabilir. Bu yüzden DNS paketleri TCP üzerinden akmaya başlar. Eğer ağ cihazları TCP üzerinden DNS akıtma işlevini desteklemiyorsa, cihaz yapılandırılması tekrar yapılandırılmalıdır.
  • Bir web siteniz varsa ve DNSSEC kullanmaya başlamak istiyorsanız bu sadece sizin istemenizle olmaz. DNSSEC, hiyerarşik bir düzende ilerler. Öncelikle etki alanınızı sağlayan genellikle kayıt şirketiniz veya ISS veya DNS barındırma hizmeti DNSSEC’i uygulamalıdır. DNSSEC’i etkinleştirebilmek için ayrıca dijital bir sertifika imzalamalısınız. Bundan sonra kayıtlara geçersiniz ve işleyiş başlar.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir