e
sv

DNSSEC Nedir? Neden Kıymetlidir?

dnssec nedir neden kiymetlidir PRivCEBV | Tekno Deha
avatar

Kaan Çabuk

  • e0

    Mutlu

  • e0

    Eğlenmiş

  • e0

    Şaşırmış

  • e0

    Kızgın

  • e 0

    Üzgün

Tekno deha olarak bizim de kullandığımız DNSSEC nedir? Nasıl çalışır? Çayınızı yahut kahvenizi alın, bu yazımızda bu iki sorunun yanıtını vermekteyiz.

DNS nedir? DNS nasıl çalışır?

DNSSEC’i anlayabilmemiz için, evvel DNS’in ne olduğunu bilmeliyiz.

DNS, “Domain Name Server” sözlerinin kısaltmasıdır. Kısaca DNS; alan isimlerini, sitenin gerçek IP adresine çeviren bir sistemdir. DNS hakkında daha fazla bilgi sahibi olmak için “DNS Nedir” isimli makalemizi okuyabilirsiniz.

DNS makalemize ek olarak, DNS bölgelerini anlamamız gerekli. DNS, farklı farklı bölgelere bölünmüştür. Bu bölgeler, DNS alan ismindeki açıkça yönetilen bölgelerden farklıdır. DNS bölgesi, belli bir kuruluş ya da yönetici tarafından yönetilen bir bölgedir.

Örneğin, google.com alan ismi için hayali bir bölge grafiği yapalım.

“google.com” için hayali bir bölge grafiği.

DNS neden inançlı değil?

DNS, 1980’li yıllarda tasarlanan bir sistemdir ve o vakitler Internet günümüze nazaran çok daha küçüktü ve DNS sistemi, güvenlik ön planda tutularak tasarlanmadı. DNS çözücü, yetkili nameserver’a (authoritative nameserver) sorgu gönderdiği vakit yetkili nameserver’dan gelen karşılığı teyit etmesinin tek yolu, çözücünün sorguyu gönderdiği o adresten yanıtın gelmesidir. Lakin bu inançlı bir yol değil; zira o adres verisi çarçabuk manipüle edilebilir.

cyber sec | Tekno Deha

DNS’in dizaynı gereği, manipüle edilmiş bir data, çözücü tarafından kolaylıkla algılanamaz. Bir saldırgan kendisini kolay kolay yetkili nameserver kılığına sokarak, kendi sitesinin sunucusuna yönlendirebilir. Öbür bir deyişle kullanıcı, haberi olmadan öteki bir siteye yönlendirilebilir ve bu da hiç te âlâ olmayan sonuçlar doğurabilir.

Bir öbür DNS açığı ise çözücüler hakkında. Çözücüler, yetkili nameserver’lardan aldıkları sitenin ana sunucusu hakkındaki bilgileri, alan ismi bilgisini daha süratli çözebilmek ismine depolarlar. Bir istemci, çözücünün depoladığı bir DNS verisini sorgularsa, çözücü çabucak karşılık verir. Şayet bir saldırgan, çözücü tarafından onaylanmış bir DNS cevabı verirse, bir “DNS önbellek zehirlenmesi” (DNS cache poisoning) saldırısı gerçekleştirmiş olur ve çözücü, sorgu gönderen öteki aygıtları da makûs maksatlı kişinin kurmuş olduğu sayfaya yönlendirir.

Bu akınların bir banka sitesine gerçekleştirildiğini göz önüne alalım. Bir kullanıcı, sakin bir biçimde banka sitesine girip süreç yapmak istiyor. Lakin o da ne; bankamız DNSSEC kullanmadığı için makus hedefli bir kişi, “DNS önbellek zehirlenmesi” tekniği ile o bankanın sitesine girmek isteyen şahısları, o şahısların haberi olmadan kendi sitesine çekiyor! Kullanıcılar, bilgilerini girerek süreç yapmak istiyorlar ve süreçlerinin yapılamadığı hakkında bir yanılgı ile karşılaşıyorlar. Maalesef kullanıcılarımızın dataları, çoktan makûs maksatlı bireylerin eline geçmiş oldu.

DNSSEC nedir?

Açılımı “DNS Security Extensions” olan DNSSEC, az evvelki gördüğümüz senaryo üzere senaryoların önlenmesi hedefiyle, IETF tarafınca bulundu. İsminden de anlaşıldığı üzere, bu sefer asıl maksat güvenlik olarak belirlendi ve 90’lı yıllarda çalışmalara başlandı.

DNSSEC, DNS’in doğrulamasını “açık anahtarlı şifreleme” (public-key cryptography) ile arttırdı. DNSSEC ile birlikte DNS sorgu ve karşılıkları değil, DNS verisinin kendisi, bilgi sahibi tarafından şifrelenmekte.

DNSSEC’te, her DNS bölgesinin açık/gizli anahtar eşleşmesi bulunmaktadır. Bölge yöneticisi, bölgenin özel anahtarını (private key) kullanarak bölgedeki DNS verisini imzalar ve o datanın üzerinde dijital imza oluşturur. Özel anahtar, bölge sahibi tarafınca bâtın tutulur. Ancak açık anahtar (public key), erişen herkesin erişimine açıktır. Rastgele bir çözücü şayet o bölgede DNS sorgusu yaparsa, o da açık anahtarı döndürecektir ve bu bilgi de DNS verisinin doğrulanmasında kullanılacaktır. Şayet anahtar geçerli ise, DNS verisi de geçerli demektir ve kullanıcıya DNS verisi geri döndürülür. Değilse de, kullanıcıya yanılgı iletisi gösterilir ve temas otomatik olarak kesilir.

DNSSEC, DNS protokolüne 2 adet kıymetli özellik ekler:

  • Çözücü, bilginin geldiği yeri kriptografik şifre ile doğrular. Şayet şifre geçerli değil ise sunucu ile ilişkiyi keser. Buna “data origin authentication” (veri kaynağı doğrulaması) denmektedir.
  • “Data integrity protection” (veri içeriği koruması) ile de çözücü, gelen datanın gelirken değiştirilmediğini ve bölgenin özel şifresi ile şifrelendiğini bilir.

security | Tekno Deha

DNSSEC anahtarlarına emniyetli mi?

Her bölgenin kendine has bir anahtarı var ve bu anahtar aracılığı ile de çözücü, o bölgenin verisini doğrulamakta. Ancak çözücü, bu anahtarın emniyetli olduğunu nasıl anlıyor?

Bir bölgenin açık anahtarı imzalıdır. Lakin açık anahtar, bölgenin zımnî anahtarıyla değil, bir üst bölgenin (parent zone) kapalı anahtarı ile imzalıdır. Örnek verecek olursak, “teknodeha.com” adresinin açık anahtarı, “.net” üst bölgesi tarafınca şifrelenir. Her bölgenin şifrelemesi, bir üst bölge tarafından yapılır ama yalnızca kök bölgenin (root zone) şifrelemesi yapılamaz, zira rastgele bir üst bölgesi bulunmamakta.

Kök bölgesinin açık anahtarı, DNS verisini doğrulamak ismine kıymetli bir nokta. Şayet bir çözücü, kök bölgesinin açık anahtarına güveniyorsa, kök bölge tarafından imzalanan başka anahtarlara da güvenecektir, az evvelki örneğimizdeki “.net” alt bölgesi üzere. Ve şayet “.net” alt bölgesine güvenilirse de “teknodeha.com” alt bölgesine de güvenilecektir.

Bu stil zincirleme imzalamalara itimat zinciri (chain of trust), bu zincirin başındaki anahtara ise destek noktası (trust anchor) denmektedir. Bir çözücüde, destek noktası listesi bulunmaktadır. Bu destek noktaları ise farklı farklı bölgeler için çözücünün güvendiği açık anahtarlardır. Birden fazla çözücü yalnızca bir adet destek noktasına nazaran konfigüre edilmiştir; o da kök bölgenin açık anahtarıdır.

DNS hiyerarşisinin en üstündeki kök bölgesinin anahtarına güvenerek; çözücü, tüm bölgeler imzalı olduğu sürece DNS alan ismindeki her lokasyona güvenlik zinciri oluşturabilir.

Özet

DNSSEC, yaşadığımız çağ içerisinde bilgi güvenliği ismine atılmış çok kıymetli bir adım. Bilhassa neredeyse her şeyin Internet ile yapıldığı çağımızda, “DNS Spoofing” üzere atak teknikleri büyük bir risk arz ediyordu ve DNSSEC ile bunun önüne geçildi.

 

Emsal makaleler için buraya tıklayabilirsiniz.

okuyucu yorumlarıOKUYUCU YORUMLARI

Sıradaki içerik:

DNSSEC Nedir? Neden Kıymetlidir?