DNS GÜVENLİĞİ<br />Kadir AKIŞ<br />Selahattin ÇEBİ<br />
İçindekiler<br />DNS Nedir ?<br />DNS Genel Çalışma Prensibi<br />DNS te Güvenlik Problemleri Nelerdir ?<br />DNS te Güven...
DNS Nedir ?<br />DNS (Domain Name System ; Etki Alanı İsim Sistemi), ağdaki bilgisayarları ve ağ hizmetlerini adlandırmak ...
	DNS NEDİR ?<br /><ul><li>Alan Adı Sistemi (Domanin Name System ) dir.
 İsim çözümleme için dağıtık veritabanı sağlar.
 İsimleri kaynak kayıtlarına çevirir.
Address (A)
Mail hosts (MX)
Text (TXT)
 ve daha fazlası….
 Kaynak kayıtları Zone’ larda yer alır.</li></li></ul><li>.os.net<br />zone<br />.money.net<br />.kids.net<br />dop.kids.n...
DNS Kaynak Kayıtları<br />SOA	:Domain bilgilerini içeren DNS sunucusunu tanımlar<br />A             	:Bir konak (bilgisaya...
DNS Çözümleme<br />Question: www.cnn.com<br />. <br />www.cnn.com A ?<br />dns.cs.umass.edu<br />lab.cs.umass.edu<br />res...
DNS - Veri akışı<br />Zone administrator<br />Zone file<br />master<br />resolver<br />slaves<br />Dynamic<br />updates<br...
DNS Güvenlik Açıkları<br />Cache taklit etme<br />Corrupting data<br />Master taklidi<br />Zone <br />administrator<br />m...
DNS Güvenlik Tehditleri<br />• Alan tutma (Footprinting): <br />Bir saldırganın DNS bölge verilerini elde etme işlemidir; ...
DNS Güvenlik Tehditleri<br />• Servis dışı bırakma (Denial of service) saldırısı: <br />Saldırganın özyinelemeli (recursiv...
DNS Güvenlik Tehditleri<br />Veri değişikliği (Data modification): <br />DNS'yikullanarak ağda alan tutmuş olan bir saldır...
DNS Güvenlik Tehditleri<br />• Yeniden Yönlendirme (Redireciton) / Cache Zehirlenmesi :  Saldırganın, DNS adlarına ilişkin...
Aradaki Adam(Man in themiddle)<br />
DNS Changer / Trojan<br />Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça ya...
DNS Changer / Trojan<br />Ayrıca çoğu kullanıcı varsayılan ADSL modem şifrelerini kullanıyor. Ülkemizde hali hazırda kulla...
DNS ‘ te Güvenlik <br /><ul><li> DNS hizmeti  nasıl güvenli hale getirilebilir ?</li></ul>DNS hizmeti tehditlere karşı koy...
DNS ‘ te Güvenlik <br />DNS isim alanı tasarımında DNS güvenliğinin sağlanması<br />DNS tehditlerine karşı uygulanabilecek...
 Güvenlik duvarının, dış DNS sunucusuyla tek bir iç DNS sunucusu arasındaki sadece UDP ve TCP 53. port iletişimine izin ve...
DNS ‘ te Güvenlik <br />DNS Sunucu Hizmeti Güvenliği<br />DNS hizmetini veren DNS sunucularının güvenliğinin sağlanması iç...
DNS ‘ te Güvenlik <br /><ul><li>Özyineleme (Recursion):. Özyineleme, saldırganlar tarafından DNS sunucusu servis dışı bıra...
DNS ‘ te Güvenlik <br /><ul><li> Olay Kayıtları: DNS sunucularda gerçekleşen olayların kayıtlarının tutulması DNS güvenliğ...
 Erişim Kontrol Listeleri: Etki alanı kontrolcülerinde çalışan DNS sunucularında isteğe bağlı erişim kontrol listelerinin ...
 Dosya Sistemi: DNS sunucuları için her zaman kullanılacak dosya sistemi, etki alanları, kullanıcı hesapları ve diğer önem...
DNS ‘ te Güvenlik <br />3. DNS Alanlarının Güvenliği :<br /><ul><li>Aktif Dizintümleşik(Active Directory Integrated) DNS:B...
Güvenli dinamik güncellemeler (Secure Dynamic updates): Güvenli dinamik güncelleme özelliği yetkisiz kişilerce veya yetkis...
 Erişim Kontrol Listelerinin  Güvenli Yapılandırılması</li></li></ul><li><ul><li> Alan transferlerinde sınırlama: Bölge ak...
 DNS istemcilerini kısıtlama: Bir DNS sunucusu yalnızca belirli IP adreslerini dinlemek üzere yapılandırılmalıdır. Bu saye...
DNSSEC<br />DNSSEC nedir?<br />DNSSEC (DNS SecurityExtensions), DNS protokolüne güvenlik özellikleri eklemek üzere başlatı...
DNSSEC<br />DNSSEC ile dört yeni kayıt tipi tanımlanmaktadır. Bunlar, RRSIG (ResourceRecordSignature), DNSKEY (DNS PublicK...
DNSSEC<br />RRSIG (ResourceRecordSignature) : Her kaynak kaydının , o alanın özel anahtarıyla şifrelenmiş halidir. Her bir...
DNSSEC<br />DNSKEY(DNS PublicKey) : Alana ait genel anahtarın tutulduğu kaynak kaydıdır.<br />
DNSSEC<br />DS (DelegationSigner) : Bir alanın genel anahtarının özetini tutar. Bu kaynak kaydı alanın bir üst alanında tu...
Upcoming SlideShare
Loading in...5
×

Dns security

1,972

Published on

Published in: Education, Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,972
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
63
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Dns security"

  1. 1. DNS GÜVENLİĞİ<br />Kadir AKIŞ<br />Selahattin ÇEBİ<br />
  2. 2. İçindekiler<br />DNS Nedir ?<br />DNS Genel Çalışma Prensibi<br />DNS te Güvenlik Problemleri Nelerdir ?<br />DNS te Güvenlik Nasıl Sağlanır ?<br />DNSSEC<br />
  3. 3. DNS Nedir ?<br />DNS (Domain Name System ; Etki Alanı İsim Sistemi), ağdaki bilgisayarları ve ağ hizmetlerini adlandırmak için kullanılan bir sistemdir. <br /> DNS adlandırması, Internet gibi TCP/IP ağlarında,<br />bilgisayarları ve hizmetleri hatırlanması kolay adlarla tanımlamak için kullanılır. Kullanıcı bir uygulamaya bir DNS adı girdiğinde, DNS hizmetleri bu adı çözümleyip kaynağa ulaşılmasını<br />sağlayan bir IP adresi bilgisini kullanıcıya temin eder.<br />
  4. 4. DNS NEDİR ?<br /><ul><li>Alan Adı Sistemi (Domanin Name System ) dir.
  5. 5. İsim çözümleme için dağıtık veritabanı sağlar.
  6. 6. İsimleri kaynak kayıtlarına çevirir.
  7. 7. Address (A)
  8. 8. Mail hosts (MX)
  9. 9. Text (TXT)
  10. 10. ve daha fazlası….
  11. 11. Kaynak kayıtları Zone’ larda yer alır.</li></li></ul><li>.os.net<br />zone<br />.money.net<br />.kids.net<br />dop.kids.net<br />nt.os.net<br />marnick.kids.net<br />unix.os.net<br />mac.os.net<br />DNS Ağacı<br />.<br />root<br />domain<br />.net<br />.com<br />top level<br />
  12. 12. DNS Kaynak Kayıtları<br />SOA :Domain bilgilerini içeren DNS sunucusunu tanımlar<br />A :Bir konak (bilgisayar) adını bir IPv4 adresi ile eşler<br />PTR :Bir IP adresini bir konak (host) adı ile eşler<br />CNAME :Belli bir host için alias adı yaratır<br />MX :E-posta hizmeti veren sunucuları tanımlar<br />SRV :Belli hizmetleri veren sunucuların IP bilgisini tutar.<br />NS :Domain içindeki DNS sunucularının adlarını listeler<br />AAAA :Bir konak (bilgisayar) adını bir IPv6 adresi ile eşler<br />
  13. 13. DNS Çözümleme<br />Question: www.cnn.com<br />. <br />www.cnn.com A ?<br />dns.cs.umass.edu<br />lab.cs.umass.edu<br />resolver<br />ask .com server<br /> the ip address of .com server<br />stub<br /> resolver<br />www.cnn.com A ?<br />.com<br />www.cnn.com A ?<br />xxx.xxx.xxx.xxx<br />ask cnn.com server<br />the ip address of cnn.com server<br />add to cache<br />www.cnn.com A ?<br />xxx.xxx.xxx.xxx<br />cnn.com<br />www.cnn.com<br />
  14. 14. DNS - Veri akışı<br />Zone administrator<br />Zone file<br />master<br />resolver<br />slaves<br />Dynamic<br />updates<br />stub resolver<br />
  15. 15. DNS Güvenlik Açıkları<br />Cache taklit etme<br />Corrupting data<br />Master taklidi<br />Zone <br />administrator<br />master<br />resolver<br />Zone file<br />Dynamic<br />updates<br />slaves<br />stub resolver<br />Data spoofing ile <br />cache zehirleme<br />İzinsiz güncelleme<br />Data<br />Protection<br />
  16. 16. DNS Güvenlik Tehditleri<br />• Alan tutma (Footprinting): <br />Bir saldırganın DNS bölge verilerini elde etme işlemidir; bu şekilde saldırgan, hassas ağ kaynaklarının DNS etki alanı adlarını, bilgisayar adlarını ve IP adreslerini elde edebilir. Saldırgan genelde bir ağın topolojisini çıkarmak veya alanını tutmak için bu DNS verilerini kullanarak saldırıya geçer. DNS etki alanı ve bilgisayar adları, bir etki alanı veya bilgisayarın işlevini veya konumunu gösterir. Saldırgan, ağdaki etki alanlarının ve bilgisayarların işlevini veya konumunu öğrenmek için bu DNS ilkesinden yararlanır.<br />
  17. 17. DNS Güvenlik Tehditleri<br />• Servis dışı bırakma (Denial of service) saldırısı: <br />Saldırganın özyinelemeli (recursive) saldırılarla ağdaki bir veya birden çok DNS sunucusunu isteklere cevap veremez hale getirme girişimidir. Sorgularla taşmış bir DNS sunucusunda CPU kullanımı sonuçta en yüksek düzeye ulaşır ve DNS Sunucusu hizmeti kullanılamaz hale gelir. Ağda tam olarak çalışan bir DNS sunucusu olmadan, ağ kullanıcıları, DNS üzerinden öğrenilen ağ hizmetlerini kullanamaz.<br />
  18. 18. DNS Güvenlik Tehditleri<br />Veri değişikliği (Data modification): <br />DNS'yikullanarak ağda alan tutmuş olan bir saldırganın, kendi oluşturduğu IP paketlerinde geçerli IP adreslerini kullanarak, bu paketlere ağdaki geçerli bir IP adresinden gelmiş görüntüsü verme girişimidir. Buna genel olarak IP aldatmacası denir. Saldırgan, geçerli bir IP adresiyle (alt ağın IP adresi aralığı içindeki bir IP adresi) ağa erişim sağlayarak verileri yok edebilir veya başka saldırılar düzenleyebilir.<br />
  19. 19. DNS Güvenlik Tehditleri<br />• Yeniden Yönlendirme (Redireciton) / Cache Zehirlenmesi : Saldırganın, DNS adlarına ilişkin sorguları kendi denetimi altındaki sunuculara yeniden yönlendirmesidir. Yeniden yönlendirme yöntemlerinden biri, DNS sunucusunun DNS önbelleğini hatalı DNS verileriyle kirletme ve böylece gelecekteki sorguları saldırganın denetimindeki sunuculara yönlendirebilme girişimidir. Örneğin, başlangıçta example.microsoft.com için bir sorgu yapıldıysa ve başvuru yanıtı, microsoft.com etki alanının dışındaki bir ad için (kötüniyetlikullanıcı.com gibi) bir kayıt sağladıysa, DNS sunucusu, o ada ilişkin sorguyu çözümlemek üzere kötüniyetli-kullanıcı.com için önbelleğe alınan verileri kullanır.Güvenli olmayan dinamik güncelleştirmelerde olduğu gibi, bir saldırganın, DNS verilerine yazma erişimi olduğunda yeniden yönlendirme gerçekleştirilebilir.<br />
  20. 20.
  21. 21. Aradaki Adam(Man in themiddle)<br />
  22. 22. DNS Changer / Trojan<br />Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını kullanan sahte DNS Kayıtları oluşturuyor. Bu şekilde bulaştığı kullanıcılar mesela bir banka sitesine girdiklerini sandıkları halde onları kendi taklit ettiği sahte banka sitesine yönlendirebiliyor.<br />
  23. 23. DNS Changer / Trojan<br />Ayrıca çoğu kullanıcı varsayılan ADSL modem şifrelerini kullanıyor. Ülkemizde hali hazırda kullanılan ADSL modemlerin varsayılan şifrelerini Google üzerinden search ettiren bir kişi çok rahatlıkla bu şifrelere erişebiliyor. Durum böyle olunca DNSChanger gibi zeki trojanların ADSL modeme girmesi ve buradan o modeme bağlanan bilgisayarlara kendini bulaştırması da zor olmuyor. DNSChanger kendi içine daha önceden yaratıcısı tarafından yerleştirilmiş Wordlisteki şifreleri tek tek deneyerek (brute-force) ilgili modeme Administrator yetkilisi olarak bağlanmaya çalışıyor ve bağlandığı zaman da o modeme bağlı tüm bilgisayarlar zararlı yazılımdan nasibini almış oluyor. Trojan kendi içerisindeki sahte web sitelerine kullanıcıları yönlendirerek kişisel bilgileri, kredi kartı bilgileri, e-posta ve MSN bilgileri gibi bilgileri sahibine gönderebiliyor. DNS Changer çoğunlukla Film, MP3 Siteleri, Forumlar ve Warez içerik barındıran web sitelerinden içerik indiren kullanıcılara bulaşıyor. <br />
  24. 24. DNS ‘ te Güvenlik <br /><ul><li> DNS hizmeti nasıl güvenli hale getirilebilir ?</li></ul>DNS hizmeti tehditlere karşı koyabilmek için güvenli bir şekilde yapılandırılabilir. DNS hizmetinin güvenliğinin arttırılması beş ana alanda uygulanacak tedbirler ile sağlanabilmektedir.<br />DNS isim alanı<br />DNS sunucusu<br />DNS bölgeleri<br />DNS kaynak kayıtları<br />DNS istemcileri<br />
  25. 25. DNS ‘ te Güvenlik <br />DNS isim alanı tasarımında DNS güvenliğinin sağlanması<br />DNS tehditlerine karşı uygulanabilecek ilk adım DNS güvenliği tedbirleri DNS sunucularının kurum ağı içinde yerleşimi ile ilgilidir. DNS sunucu dağıtımı tasarlanırken aşağıdaki güvenlik prensiplerine dikkat edilmesi gerekmektedir:<br />• Ağdaki bilgisayarların Internet'teki adları çözümlemesi gerekmiyorsa , Internet'le DNS iletişiminin kaldırılması gerekir.<br /><ul><li> Kurumun DNS isim alanının, güvenlik duvarının arkasındaki iç DNS sunucuları ve güvenlik duvarının önündeki dış DNS sunucuları olarak ayrılması gerekir.</li></li></ul><li>DNS ‘ te Güvenlik <br /><ul><li>İç DNS ad alanının iç DNS sunucularında, dış DNS ad alanının Internet'e açık dış DNS sunucularında barındırılması: İç DNS sunucuları, iç ana bilgisayarların yaptığı dış adlara ilişkin sorguları çözümlemek üzere dış DNS sunucularına iletir. Dış ana bilgisayarlar Internet ad çözümlemesi için yalnızca dış DNS sunucularını kullanır.
  26. 26. Güvenlik duvarının, dış DNS sunucusuyla tek bir iç DNS sunucusu arasındaki sadece UDP ve TCP 53. port iletişimine izin verecek şekilde yapılandırılması, alan transferi ihtiyacı yoksa sadece UDP 53.</li></ul>port kullanımı yeterli olacaktır.<br />
  27. 27. DNS ‘ te Güvenlik <br />DNS Sunucu Hizmeti Güvenliği<br />DNS hizmetini veren DNS sunucularının güvenliğinin sağlanması için aşağıdaki güvenlik prensiplerine dikkat edilmesi gerekmektedir:<br />• Arabirimler: Sunucusu hizmetinin dinlediği IP adresini, DNS istemcilerinin tercih edilen DNS sunucusu olarak kullandıkları IP adresi ile sınırlanması gerekmektedir.<br />Önbelleğin Korunması: DNS sunucusunun önbelleğinin DNS sunucusunun istemediği kaynak kayıtlarıyla kirletmesinin önlenmesi gerekir. <br />
  28. 28. DNS ‘ te Güvenlik <br /><ul><li>Özyineleme (Recursion):. Özyineleme, saldırganlar tarafından DNS sunucusu servis dışı bırakmak için kullanılabilir; dolayısıyla, ağdaki bir DNS sunucusunun, özyinelemeli sorguları alması amaçlanmıyorsa, özyineleme devre dışı bırakılmalıdır.</li></ul> Kök ipuçları (Root Hints): DNS altyapınızda bir iç DNS kökünüz varsa iç DNS sunucularınızın, adları çözümlerken Internet üzerinden özel bilgiler göndermesini önleyecek şekilde yapılandırılması.<br /> Eski DNS Kaynak Kayıtları: Kullanılamayan ve belli bir süreden uzun zaman güncellenmeyen DNS kaynak kayıtları bir takım performans ve güvenlik sorunlarına yol açabilir. <br />
  29. 29. DNS ‘ te Güvenlik <br /><ul><li> Olay Kayıtları: DNS sunucularda gerçekleşen olayların kayıtlarının tutulması DNS güvenliğini sağlama amacıyla gerçekleşen olayların takibini yapmada ve izini sürmede önemli rol oynar.
  30. 30. Erişim Kontrol Listeleri: Etki alanı kontrolcülerinde çalışan DNS sunucularında isteğe bağlı erişim kontrol listelerinin (DACL) güvenlik ihlallerine yol açmayacak şekilde yapılandırılması gerekmektedir.
  31. 31. Dosya Sistemi: DNS sunucuları için her zaman kullanılacak dosya sistemi, etki alanları, kullanıcı hesapları ve diğer önemli güvenlik</li></ul>özellikleri için gereken özellikleri desteklemelidir. <br />
  32. 32. DNS ‘ te Güvenlik <br />3. DNS Alanlarının Güvenliği :<br /><ul><li>Aktif Dizintümleşik(Active Directory Integrated) DNS:Bu durum DNS’nin güvenliğini önemli ölçüde arttıran bir yapı sunmaktadır. Aktif dizinin gelişmiş güvenlik özellikleri kullanılarak DNS alanlarına yetkisiz kişilerce erişilmesi engellenmiş olur.
  33. 33. Güvenli dinamik güncellemeler (Secure Dynamic updates): Güvenli dinamik güncelleme özelliği yetkisiz kişilerce veya yetkisiz kaynaklardan DNS isim alanı dosyalarına yanıltıcı veya yanlış bilgi girilerek DNS’e yapılabilecek saldırıları önleyen bir özelliktir.
  34. 34. Erişim Kontrol Listelerinin Güvenli Yapılandırılması</li></li></ul><li><ul><li> Alan transferlerinde sınırlama: Bölge aktarımları ya tamamen kapatılmalı veya sadece belirli konakların alan transferi yapmasına izin verilmelidir.</li></ul>4. DNS Kaynak Kayıtlarının Güvenliğinin Sağlanması : Güvenlik açısından imtiyazlı haklar sadece yönetimden sorumlu yetkili gruplara veya kullanıcılara verilmelidir.<br />5. DNS İstemcilerinin Güvenliği<br /><ul><li>Statik IP Adresli DNS Sunucu: Mümkün olan her durumda Statik IP Adresli DNS Sunucular kullanılmalıdır.Bu şekilde istemcilerin başka bir bilgisayarı DNS sunucu olarak kabul etmesi ile gerçekleşebilecek olası bir saldırı ortadan kaldırılabilir.
  35. 35. DNS istemcilerini kısıtlama: Bir DNS sunucusu yalnızca belirli IP adreslerini dinlemek üzere yapılandırılmalıdır. Bu sayede başka ağa ait istemcilerin DNS sunucusuna erişmeleri engellenecektir.</li></li></ul><li>DNS Protokolü Güvenli mi ?<br />DNS hizmetiyle ilgili tüm güvenlik önlemleri tam olarak alınmış olsa da , DNS protokolü, isim sunuculardaki bilgilerin bütünlüğü ve güvenilirliği konusunda garanti vermediği için değiştirilmiş ya da kötü niyetli isim sunuculardan yönlendirilmiş cevaplar, kullanıcıların yanlış sunuculara bağlanmasına ve devamında daha büyük bilgi kayıplarının gerçekleşmesine sebep olabilirler. <br />
  36. 36. DNSSEC<br />DNSSEC nedir?<br />DNSSEC (DNS SecurityExtensions), DNS protokolüne güvenlik özellikleri eklemek üzere başlatılmış bir çalışmadır. DNS protokolünde doğru ve güvenilir bir DNS cevabı almak oldukça önemlidir. Aksi takdirde kullanıcılar kasıtlı olarak tuzak hedeflere yönlendirilebilirler. <br />DNSSEC, DNS önbellek (cache) zehirleme gibi saldırılara karşı geliştirilmiş güvenlik eklentilerinden oluşmaktadır.Temel olarak, DNS cevaplarının kaynağının doğrulanması, DNS veri bütünlüğünün sağlanması ve inkar edememe güvenlik hedeflerini sağlamayı amaçlamaktadır. <br />
  37. 37. DNSSEC<br />DNSSEC ile dört yeni kayıt tipi tanımlanmaktadır. Bunlar, RRSIG (ResourceRecordSignature), DNSKEY (DNS PublicKey), DS (DelegationSigner) ve NSEC (NextSecure)' dir. Bu yeni kayıt tipleri RFC 4034 ile detaylı olarak tanımlanmıştır.<br />
  38. 38. DNSSEC<br />RRSIG (ResourceRecordSignature) : Her kaynak kaydının , o alanın özel anahtarıyla şifrelenmiş halidir. Her bir kaynak kaydı için bir tane SIG Kaydı vardır.<br />
  39. 39. DNSSEC<br />DNSKEY(DNS PublicKey) : Alana ait genel anahtarın tutulduğu kaynak kaydıdır.<br />
  40. 40. DNSSEC<br />DS (DelegationSigner) : Bir alanın genel anahtarının özetini tutar. Bu kaynak kaydı alanın bir üst alanında tutulur.Özet alınırken SHA1 veya SHA256 algoritmaları kullanılır.<br />
  41. 41. DNSSEC<br />NSEC (NextSecure) : Bir alanda bulunan kaynak kayıtlarının listesini tutar. Ayrıca Zone file da bulunan bir sonraki alanın ismini tutar. <br />
  42. 42. DNSSEC<br />İsviçre (.se), Brezilya (.br), Bulgaristan (.bg) ve Çek Cumhuriyeti (.cz) gibi ülkeler kendi ülke kod alanları için DNSSEC teknolojisini uygulamaya geçirdiler. .edu, .gov, .org gibi alanlar için devam eden ya da yada yakın zamanda tamamlanmış çalışmalar bilinmektedir.<br /><ul><li>DNSSEC, isim sorgularını güvenilir bir dijital imza ile kullanıma sunarak doğru hedefe bağlanmayı garanti edebilir.
  43. 43. DNSSEC veri gizliliği sağlamaz.
  44. 44. DoS ( Dennial of Service) ataklarına karşı savunma yapamaz.</li></li></ul><li>DNSSEC<br />5 Mayıs 2010 tarihi itibariyle tüm rootdns sunucular DNSSEC desteğine kavuştular. Tüm DNS sorgu cevaplarının söz konusu bütünlük garantisini taşıması için sadece kök DNS sunucuların DNSSEC uyumlu çalışması yeterli değildir. Uçtan uca bir güvenlik için alt DNS sunucuların da benzer şekilde DNSSEC hizmeti verir duruma gelmesi gerekir ki bu yaygınlaştırmanın tüm İnternet ağını kapsayacak şekilde gerçekleştirilmesi halen sektörün çözüm bulması gereken büyük bir problemdir.<br />
  45. 45. DNSSECDNSSEC İLE İSİM ÇÖZÜMLEME<br />
  46. 46. DNSSEC<br />Question: www.cnn.com<br />. (root)<br />www.cnn.com A ?<br />dns.cs.umass.edu<br />lab.cs.umass.edu<br />resolver<br />ask .com server<br />SIG(the ip address and PK of .com server)<br /> by its private key<br />stub<br /> resolver<br />www.cnn.com A ?<br />.com<br />www.cnn.com A ?<br />xxx.xxx.xxx.xxx<br />transaction <br />signatures<br />ask cnn.com server<br />SIG(the ip address and PK of cnn.com server)<br />by its private key<br />add to cache<br />slave servers<br />www.cnn.com A ?<br />SIG(xxx.xxx.xxx.xxx)<br />by its private key<br />transaction <br />signatures<br />www.cnn.com<br />cnn.com<br />
  47. 47. DNSSEC<br />DNSSEC sonrası bazı sistemlerde sorun yaşanabilir.<br />RFC x’e göre DNS(UDP) paketleri 512 bytedan büyük olamaz. 512 bytedan büyük DNS paketlerinde UDP’denTCP’e geçiş yapılır ya da sistem destekliyorsa EDNS0(RFC 2671) özelliği kullanılır.<br />Günümüzde çok az sayıda da olsa bazı ağ/güvenlik cihazları 512 bytedan büyük DNS(UDP) paketlerini engellemektedir.(Cisco PIX cihazlarda 512 bytedan büyük udp paketlerinin engellenmesi öntanımlı olarak gelir), DNSSEC kullanıldığında da dns cevap paketlerinin boyutu 512 byte aşabilmektedir. Bu durumda eğer 512 byte sorunlu bir ağ/güvenlik cihazı kullanılıyorsa gerekli ayarların yapılması gerekir.<br />
  48. 48. DNSSEC<br />Klasik bir DNS isteği ve cevabı :<br /># dig www.lifeoverip.net<br />; <<>> DiG 9.6.1-P1 <<>> www.lifeoverip.net<br />;; global options: +cmd<br />;; Got answer:<br />;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51212<br />;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2<br />;; QUESTION SECTION:<br />;www.lifeoverip.net.            IN      A<br />;; ANSWER SECTION:<br />www.lifeoverip.net.     9707    IN      CNAME   lifeoverip.net.<br />lifeoverip.net.         9708    IN      A       91.93.119.80<br />;; AUTHORITY SECTION:<br />lifeoverip.net.         41617   IN      NS      ns3.tekrom.com.<br />lifeoverip.net.         41617   IN      NS      ns4.tekrom.com.<br />;; ADDITIONAL SECTION:<br />ns3.tekrom.com.         9669    IN      A       70.84.223.226<br />ns4.tekrom.com.         9669    IN      A       70.84.223.227<br />;; Query time: 2 msec<br />;; SERVER: 195.175.39.40#53(195.175.39.40)<br />;; WHEN: Wed May  5 22:22:44 2010<br />;; MSG SIZE  rcvd: 144<br />
  49. 49. DNSSEC<br />DNSSEC destekli DNS sorgusu ve cevabı<br /># dig +dnssec www.ripe.net @ns3.nic.fr<br />; <<>> DiG 9.6.1-P1 <<>> +dnssec www.ripe.net @ns3.nic.fr<br />;; global options: +cmd<br />;; Got answer:<br />;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53747<br />;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 7<br />;; WARNING: recursion requested but not available<br />;; OPT PSEUDOSECTION:<br />; EDNS: version: 0, flags: do; udp: 4096<br />;; QUESTION SECTION:<br />;www.ripe.net.                  IN      A<br />;; ANSWER SECTION:<br />www.ripe.net.           172800  IN      A       193.0.6.139<br />www.ripe.net.           172800  IN      RRSIG   A 5 3 172800 20100604050008 20100505050008 47391 ripe.net. sf4Dwm+GhDpr8rugFO7irAMX+VArEGYyd0snu5j5P1Dm/JtFxAcpn2Ve JKrx0BrPd0Wz6ZriR7Hy+kkDdb7PGFYqIm/Oc0r1sPzlfkrpNziqMhpH SPYyrKhO8nGgErS/cE+2bZQ0JFGi4b0lZtm35ip2Yh7c3YyCe66c+uPz mf/a5x/lJs8qxidcjPamZ/bTz6OSRbrp<br />;; AUTHORITY SECTION:<br />ripe.net.               172800  IN      NS      ns3.nic.fr.<br />ripe.net.               172800  IN      NS      ns-pri.ripe.net.<br />ripe.net.               172800  IN      NS      sns-pb.isc.org.<br />ripe.net.               172800  IN      NS      sunic.sunet.se.<br />ripe.net.               172800  IN      RRSIG   NS 5 2 172800 20100604050008 20100505050008 <br />
  50. 50. DNSSEC<br />47391 ripe.net. 3+IKrtiq6M8Xdfq86NvnJPVugRVcWewx6wp/3YuDOgbV/tFcS3rtYudV YDwK0SlELCQTbFDwmSI6nGBc1TfYowgIhAYGozZm6Tob+Cl5d3L9hqa0 9whbwg39RrCFA4fnLNhdWo49BwgiFFNrItWDcogPtL5lrVgexALQeIAF aRq3kIAUtNVmTvKEnnlY9k0Bowd+UfwD<br />;; ADDITIONAL SECTION:<br />ns3.nic.fr.             172800  IN      A       192.134.0.49<br />ns3.nic.fr.             172800  IN      AAAA    2001:660:3006:1::1:1<br />ns-pri.ripe.net.        172800  IN      A       193.0.0.195<br />ns-pri.ripe.net.        172800  IN      AAAA    2001:610:240:0:53::3<br />ns-pri.ripe.net.        172800  IN      RRSIG   A 5 3 172800 20100604050008 20100505050008 47391 ripe.net. ITnSKVEA+i+9s8NHNgM71s3eG/f78f1m94TQhkO0zEwHyKpWHcQL6qLP 91KhTZlQDeh0Ia+1En5sX0eJNK/7dZ5HFhSoi8Ef6npROvAQns3HKziW WJAeCCK3wVzUPZWUk4bIQd+NxpqWhfkDwWIqAeII6WGIm1Hn9SHkUI3z 6E2nDmR1AzxLogH7fssUsKseV1fQvB0/<br />ns-pri.ripe.net.        172800  IN      RRSIG   AAAA 5 3 172800 20100604050008 20100505050008 47391 ripe.net. GAvzp6SrAcFrptvzb5o3sYGWjhPlLPqi5Rsju4b/QY8TkGcA09/cWL2y SjMnZOr1nivjKc9EEgscbc1kHb3xo9cS4c4S1eWUsxShQDn1Qd1qItEK L/Rt0oWVYX+/aQpgM/frp9JVXLdyi8H2IKayq76RwWkiJOiJzbUdk/+d cUSrSSuMhPvkkrZZxXfNgoDWTPTSalm2<br />;; Query time: 196 msec<br />;; SERVER: 192.134.0.49#53(192.134.0.49)<br />;; WHEN: Wed May  5 21:46:45 2010<br />;; MSG SIZE  rcvd: 1006<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×