DNSSEC Nedir? Neden Önemlidir?

DNSSEC Nedir? Neden Önemlidir?, OkuGit.Com - Tarih, Güncel, Kadın, Sağlık, Moda Bilgileri Genel Bloğu

Technopat olarak bizim de kullandığımız DNSSEC nedir? Nasıl çalışır? Çayınızı veya kahvenizi alın, bu yazımızda bu iki sorunun cevabını vermekteyiz.

DNS nedir? DNS nasıl çalışır?

DNSSEC’i anlayabilmemiz için, önce DNS’in ne olduğunu bilmeliyiz.

DNS, “Domain Name Server” kelimelerinin kısaltmasıdır. Kısaca DNS; alan adlarını, sitenin gerçek IP adresine çeviren bir sistemdir. DNS hakkında daha fazla bilgi sahibi olmak için “DNS Nedir” adlı makalemizi okuyabilirsiniz.

DNS makalemize ek olarak, DNS bölgelerini anlamamız gerekli. DNS, farklı farklı bölgelere bölünmüştür. Bu bölgeler, DNS alan adındaki açıkça yönetilen bölgelerden farklıdır. DNS bölgesi, belirli bir kuruluş ya da yönetici tarafından yönetilen bir bölgedir.

Örneğin, google.com alan adı için hayali bir bölge grafiği yapalım.

dnssec nedir neden onemlidir 0 GgjUSwvI - DNSSEC Nedir? Neden Önemlidir?
“google.com” için hayali bir bölge grafiği.

DNS neden güvenli değil?

DNS, 1980’li yıllarda tasarlanan bir sistemdir ve o zamanlar Internet günümüze göre çok daha küçüktü ve DNS sistemi, güvenlik ön planda tutularak tasarlanmadı. DNS çözücü, yetkili nameserver’a (authoritative nameserver) sorgu gönderdiği zaman yetkili nameserver’dan gelen cevabı teyit etmesinin tek yolu, çözücünün sorguyu gönderdiği o adresten cevabın gelmesidir. Fakat bu güvenli bir yol değil; çünkü o adres verisi kolaylıkla manipüle edilebilir.

dnssec nedir neden onemlidir 1 JtCmSvOV - DNSSEC Nedir? Neden Önemlidir?

DNS’in dizaynı gereği, manipüle edilmiş bir veri, çözücü tarafından kolayca algılanamaz. Bir saldırgan kendisini kolayca yetkili nameserver kılığına sokarak, kendi sitesinin sunucusuna yönlendirebilir. Başka bir deyişle kullanıcı, haberi olmadan başka bir siteye yönlendirilebilir ve bu da hiç te iyi olmayan sonuçlar doğurabilir.

Bir diğer DNS açığı ise çözücüler hakkında. Çözücüler, yetkili nameserver’lardan aldıkları sitenin ana sunucusu hakkındaki bilgileri, alan adı bilgisini daha hızlı çözebilmek adına depolarlar. Bir istemci, çözücünün depoladığı bir DNS verisini sorgularsa, çözücü hemen cevap verir. Eğer bir saldırgan, çözücü tarafından onaylanmış bir DNS yanıtı verirse, bir “DNS önbellek zehirlenmesi” (DNS cache poisoning) saldırısı gerçekleştirmiş olur ve çözücü, sorgu gönderen diğer cihazları da kötü amaçlı kişinin kurmuş olduğu sayfaya yönlendirir.

Bu saldırıların bir banka sitesine gerçekleştirildiğini göz önüne alalım. Bir kullanıcı, sakin bir şekilde banka sitesine girip işlem yapmak istiyor. Fakat o da ne; bankamız DNSSEC kullanmadığı için kötü amaçlı bir kişi, “DNS önbellek zehirlenmesi” tekniği ile o bankanın sitesine girmek isteyen kişileri, o kişilerin haberi olmadan kendi sitesine çekiyor! Kullanıcılar, bilgilerini girerek işlem yapmak istiyorlar ve işlemlerinin yapılamadığı hakkında bir hata ile karşılaşıyorlar. Maalesef kullanıcılarımızın verileri, çoktan kötü amaçlı kişilerin eline geçmiş oldu.

DNSSEC nedir?

Açılımı “DNS Security Extensions” olan DNSSEC, az önceki gördüğümüz senaryo gibi senaryoların önlenmesi amacıyla, IETF tarafınca bulundu. İsminden de anlaşıldığı üzere, bu sefer asıl amaç güvenlik olarak belirlendi ve 90’lı yıllarda çalışmalara başlandı.

DNSSEC, DNS’in doğrulamasını “açık anahtarlı şifreleme” (public-key cryptography) ile arttırdı. DNSSEC ile birlikte DNS sorgu ve cevapları değil, DNS verisinin kendisi, veri sahibi tarafından şifrelenmekte.

DNSSEC’te, her DNS bölgesinin açık/gizli anahtar eşleşmesi bulunmaktadır. Bölge yöneticisi, bölgenin özel anahtarını (private key) kullanarak bölgedeki DNS verisini imzalar ve o verinin üzerinde dijital imza oluşturur. Özel anahtar, bölge sahibi tarafınca gizli tutulur. Fakat açık anahtar (public key), erişen herkesin erişimine açıktır. Herhangi bir çözücü eğer o bölgede DNS sorgusu yaparsa, o da açık anahtarı döndürecektir ve bu bilgi de DNS verisinin doğrulanmasında kullanılacaktır. Eğer anahtar geçerli ise, DNS verisi de geçerli demektir ve kullanıcıya DNS verisi geri döndürülür. Değilse de, kullanıcıya hata mesajı gösterilir ve bağlantı otomatik olarak kesilir.

DNSSEC, DNS protokolüne 2 adet önemli özellik ekler:

  • Çözücü, verinin geldiği yeri kriptografik şifre ile doğrular. Eğer şifre geçerli değil ise sunucu ile bağlantıyı keser. Buna “data origin authentication” (veri kaynağı doğrulaması) denmektedir.
  • “Data integrity protection” (veri içeriği koruması) ile de çözücü, gelen verinin gelirken değiştirilmediğini ve bölgenin özel şifresi ile şifrelendiğini bilir.

dnssec nedir neden onemlidir 2 AOPqfZ2E - DNSSEC Nedir? Neden Önemlidir?

DNSSEC anahtarlarına güvenilir mi?

Her bölgenin kendine has bir anahtarı var ve bu anahtar aracılığı ile de çözücü, o bölgenin verisini doğrulamakta. Fakat çözücü, bu anahtarın güvenilir olduğunu nasıl anlıyor?

Bir bölgenin açık anahtarı imzalıdır. Ancak açık anahtar, bölgenin gizli anahtarıyla değil, bir üst bölgenin (parent zone) gizli anahtarı ile imzalıdır. Örnek verecek olursak, “technopat.net” adresinin açık anahtarı, “.net” üst bölgesi tarafınca şifrelenir. Her bölgenin şifrelemesi, bir üst bölge tarafından yapılır fakat sadece kök bölgenin (root zone) şifrelemesi yapılamaz, çünkü herhangi bir üst bölgesi bulunmamakta.

Kök bölgesinin açık anahtarı, DNS verisini doğrulamak adına önemli bir nokta. Eğer bir çözücü, kök bölgesinin açık anahtarına güveniyorsa, kök bölge tarafından imzalanan diğer anahtarlara da güvenecektir, az önceki örneğimizdeki “.net” alt bölgesi gibi. Ve eğer “.net” alt bölgesine güvenilirse de “technopat.net” alt bölgesine de güvenilecektir.

Bu tarz zincirleme imzalamalara güven zinciri (chain of trust), bu zincirin başındaki anahtara ise dayanak noktası (trust anchor) denmektedir. Bir çözücüde, dayanak noktası listesi bulunmaktadır. Bu dayanak noktaları ise farklı farklı bölgeler için çözücünün güvendiği açık anahtarlardır. Çoğu çözücü sadece bir adet dayanak noktasına göre konfigüre edilmiştir; o da kök bölgenin açık anahtarıdır.

DNS hiyerarşisinin en üstündeki kök bölgesinin anahtarına güvenerek; çözücü, tüm bölgeler imzalı olduğu sürece DNS alan adındaki her lokasyona güvenlik zinciri oluşturabilir.

Özet

DNSSEC, yaşadığımız çağ içerisinde bilgi güvenliği adına atılmış çok önemli bir adım. Özellikle neredeyse her şeyin Internet ile yapıldığı çağımızda, “DNS Spoofing” gibi atak teknikleri büyük bir risk arz ediyordu ve DNSSEC ile bunun önüne geçildi.

(Visited 463 times, 1 visits today)
Admin

Admin

Yorum Yazabilirsiniz

%d blogcu bunu beğendi: