DNSSEC nedir?
DNSSEC (DNS Security Extensions), DNS protokolüne güvenlik özellikleri eklemek üzere başlatılmış bir çalışmadır. DNS protokolünü, ağ üzerinde erişmek istediğimiz kaynakların (sunucu, hizmet, vb.) bilgilerini sorguladığımız ağ hizmeti olarak basitçe tanımlayabiliriz. Bu sayede, son kullanıcılar erişmek istedikleri sunucu ya da hizmetin akılda tutulabilir metinsel bilgisini (URL vb.) sorgulayarak söz konusu hedeflerin erişim bilgilerini transparan olarak öğrenmekte. Merkezi bir telefon rehberi misali… Bağlantı kurulması sırasında gerçekleşen ilk adımlardan birisi olarak doğru ve güvenilir bir DNS cevabı almak oldukça önemli. Aksi takdirde kullanıcılar kasıtlı olarak tuzak hedeflere de yönlendirilebilirler.
DNSSEC, DNS önbellek (cache) zehirleme gibi saldırılara karşı geliştirilmiş güvenlik eklentilerinden oluşmaktadır.Temel olarak, DNS cevaplarının kaynağının doğrulanması, DNS veri bütünlüğünün sağlanması ve inkara edememe güvenlik hedeflerini sağlamayı amaçlamaktadır. DNSSEC ile dört yeni kayıt tipi tanımlanmaktadır. Bunlar, RRSIG (Resource Record Signature), DNSKEY (DNS Public Key), DS (Delegation Signer) ve NSEC (Next Secure)’ dir. Bu yeni kayıt tipleri RFC 4034 ile detaylı olarak tanımlanmıştır. Yeni kayıt tiplerine (RR – Resource Record) ek olarak, iki yeni DNS başlık bilgisi CD (Checking Disabled) ve AD (Authenticated Data) kullanılmaktadır.
İsviçre (.se), Brezilya (.br), Bulgaristan (.bg) ve Çek Cumhuriyeti (.cz) gibi ülkeler kendi ülke kod alanları için DNSSEC teknolojisini uygulamaya geçirdiler. .edu, .gov, .org gibi alanlar için devam eden ya da yada yakın zamanda tamamlanmış çalışmalar bilinmektedir. Türkiye’de (.tr alanı) DNSSEC’in uygulamaya geçirilmesi için duyurulmuş bir takvimden haberdar değiliz. (Bilgisi olan lütfen yorumlar kısmından katkıda bulunsun). DNSSEC’in dünya genelindeki durumu hakkında bilgihttp://www.xelerance.com/dnssec/ adresinden edinilebilir. DNSSEC projesiyle ilgili bilgi ve kaynaklarahttp://www.dnssec.net/ adresinden ulaşılabilir.
DNS sunuculardan istekte bulunduğumuzda, web adreslerini IP adreslerine eşleştiren bir cevap alırız. Son kullanıcı açısından DNS hizmetinden ne şekilde faydalanıldığı, aşağıdaki şekilde basitçe gösterilmiştir. DNS protokolü, isim sunuculardaki bilgilerin bütünlüğü konusunda garanti vermediği için değiştirilmiş ya da kötü niyetli isim sunuculardan yönlendirilmiş cevaplar, kullanıcıların yanlış sunuculara bağlanmasına ve devamında daha büyük bilgi kayıplarının gerçekleşmesine sebep olabilir. DNSSEC, isim sorgularını güvenilir bir dijital imza ile kullanıma sunarak doğru hedefe bağlanmayı garanti edebilir. Unutulmamalıdır ki tüm DNS sorgu cevaplarının söz konusu bütünlük garantisini taşıması için sadece kök DNS sunucuların DNSSEC uyumlu çalışması yeterli değildir. Uçtan uca bir güvenlik için alt DNS sunucuların da benzer şekilde DNSSEC hizmeti verir duruma gelmesi gerekir ki bu yaygınlaştırmanın tüm İnternet ağını kapsayacak şekilde gerçekleştirilmesi halen sektörün çözüm bulması gereken büyük bir problemdir
Saldırganların DNS protokolü açıklıklarından faydalanması, oldukça etkili saldırıların gerçekleşmesine sebep olabilmektedir. Sık ziyaret edilen hedefler için tekrar tekrar sorgulama yapmak yerine bu kayıtların DNS belleğinde tutulması ve doğrudan DNS sunucu belleğinden kullanıcılara cevap dönülmesi, saldırganların işini kolaylaştırmaktadır. DNS açıklıkları kullanılarak DNS belleğine sahte IP girişleri yapılması durumunda kullanıclar yanlış hedeflere yönleneceklerdir. DNSSEC, bu senaryolara karşı güvenlik seviyesini artırmasından ötürü büyük önem taşımaktadır.
DNSSEC’in tüm İnternet ağı için uygulamaya alınması, tahmin edileceği üzere büyük bir iş gücü ve koordinasyon gerektirmektedir. Kök DNS sunucuların ve .com, .net gibi TLD (Top Level Domain)’lerin DNSSEC kullanmaya başlaması sadece buzdağının görünen kısmıdır. İkinci seviye ve daha alt seviyedeki DNS sunucuların projeye katılımı hala gönüllülük esasına dayanmaktadır. DNSSEC’den beklenen maksimum faydanın sağlanabilmesi, ilgili tüm DNS hizmet sağlayıcıların katılımıyla mümkün olacaktır. Ayrıca unutulmamalıdır ki her protokolde ya da uygulamada olabileceği üzere DNSSEC için de muhtemel açıklıklar saldırganlar tarafından kullanılabilir. Yine de DNS cevaplarının daha güvenli ve güvenilir bir ortamdan sağlanabileceği açıktır. Açık anahtar altyapısı (PKI) temelli tüm çözümlerde olduğu gibi güvenilir dijital imza oluşturmak için kullanılan özel anahtarların (private key) güvenliği de dikkat edilmesi gereken diğer bir noktadır. İmzalama ve imza doğrulamaya yönelik anahtarların belirli aralıklarla yenilenmesi, bu anahtarların dağıtımı gibi konular özenle ele alınmalıdır. DNS protokolüne eklenen kriptografik işlemlerden ötürü sorgu sürelerinin uzayacak olması başka bir yan etkidir. Tüm güvenlik çözümlerinde olması gerektiği gibi, güvenlik seviyesini artırırken kullanım kolaylığı ve sistemlerden faydalanma oranının fazla zarar görmemesi DNSSEC için de kritik başarı faktörüdür.
DNSSEC ne değildir?
DNSSEC’in sağladığı güvenlik özellikleri yukarıda özetlenmiştir. Kimi zaman sanıldığının aksine DNSSEC veri gizliliğini sağlamaz ve dağıtık hizmet dışı bırakma saldırılarına (DDoS) karşı bir koruma aracı değildir.
http://www.bilgiguvenligi.gov.tr/guvenlik-teknolojileri/dnssec-ile-biraz-daha-guvende-miyiz.html
Server 2012 ile birlikte DNS server’ a DNSSec özelliği eklenmiş bulunmakta bu konu ile ilgili ayrıntılı bir makaleyi ilerleyen zamanlarda paylaşıcam.
