1. DNS
GÜVENLİĞİ
DNS Nedir?
Türkçe karşılığı alanı adı sistemi olarak bilinir. İnternet ağını oluşturan her birim sadece
kendine ait bir IP adresine sahiptir. Bu IP adresleri kullanıcıların kullanımı için
“www.siteismi.com “ gibi kolay hatırlanır adreslere karşılık gelir. DNS sunucuları, internet
adreslerinin IP adresi karşılığını kayıt tutmaktadır. Yani 256 karaktere kadar büyüyebilen host
isimlerini IP’ye çevirmek için kullanılan bir sitemdir. İsim sunucu ve çözümleyicilerden oluşur.
2. 2
DNS Nasıl Çalışır?
Web siteleri URL ve IP adreslerine sahiptir. Kullanıcılar siteleri bulmak için URL’leri
bilgisayarlar ise IP adreslerini kullanır. DNS URL’leri IP adreslerine dönüştürür veya tam tersi
IP adreslerini URL’lere dönüştürür. Örneğin web tarayıcınızdaki adres çubuğuna
www.siteadi.com yazarsak bilgisayarımız DNS sunucusuna bir istek gönderir. DNS sunucusu
URL’yi IP adresine dönüştürerek Microsoft web sunucusunu bulabilmesini sağlar.
• A àDomain Name den IP adresine d.nüşüm yapar.
• M àBelli bir Domain’ e gelen e-postaların hangi makineye
dağıtılacağını bulur
• N àAlan adınızın sorgulanmasında kullanılacak olan isim
sunucularıdır.
• PTR àVerilen ip adresinin, isim karşılığını bulur.
• HINFO àBilgisayarın donanım ve işletim sistemi gibi bilgilerini
yazmak için kullanılır.
• TXT à Bilgi vermek amacı ile kullanılır.
DNS Güvenliği
DNS internetin çekirdek bileşenlerinden bir tanesidir. Bu yüzden saldırganlar ve kötücül
yazılım yayınlayanların hedeflerinden bir tanesidir. DNS alt yapısının çökmesi yada
saldırganlar tarafından kötüye kullanılması, büyük ölçekli hizmetlerin kesilmesi veya DNS
üzerinden dışarıya veri sızdırma olaylarıyla sonuçlanabilir.
DNS üzerinde gerçekleşen saldırılar arasında en yaygın olanları aşağıda verilmiştir;
• DNS Tünelleme
• DoS ve DDoS Saldırıları
• Ön Bellek Zehirlenmesi
• MITM Saldırıları
• APT saldırıları
3. 3
DNS Tehditleri
Saldırganlar DNS sunucularını kullanarak 4 tane saldırı türü gerçekleştirirler.
Bilgi Toplama: Hedef hakkında bilgi toplama geçerli saldırıları belirlemek, planlamak ve
yürütmek için önemlidir. Hedefin dışarıya bakan ağını nasıl düzenlediğini ve yönettiğini DNS
üzerinden bilgi toplayarak anlayabilirler.
Hizmet Dışı Bırakma: Domain sunucusuna kapasitesinden fazla talep gönderilirse DNS
sunucusunu iş görmez hale getirebilirler.
Sahte Kaynaktan Talep Gönderme: Saldırganların hedef ağdan geliyor gibi düzenleyip
göndereceği paketlere cevap veren domain sunucusu istemeden karşıdaki sunucuyu hizmet
veremez hale getirebilir.
Kayıt Yönlendirme: Kurumdan çıkan DNS taleplerini kendi kontörlündeki bir sunucuya
yönlendiren saldırgan bu sayede kullanıcıları zararlı içerik barındıran bir siteye yönlendirebilir.
DNS Tünelleme
DNS paketleri içerisinde herhangi bir TCP/UDP paketinin taşıma işlemine verilen isimdir. Bu
saldırılarda saldırganın amacı bir sunucunun DNS portu üzerinden çalıştırıp gerçek bir DNS
sunucu gözükmesini sağlayıp veri sızdırmaktır. Bu saldırılarda DNS sunucu kendisinden
sorgulanan bir DNS isteğine önce önbelleğini kontrol ederek yanıt vermek ister eğer alan adı
DNS önbelleğinde yoksa sorgulanan alan adından sorumlu DNS sunucuyu bulur ve ona sorar.
Sorgulanan alan adından yetkili DNS sunucu bu yanıtı istemciye iletir.
4. 4
Şekil.1-DNS Tünelleme
Yani DNS tünelleme bir istemci tarafından üretilen DNS paketlerinin sunucu tarafından işleme
alınması ile oluşur. Sunucu DNS portu üzerinde çalıştığı için gerçek bir DNS sunucusu gibi
görünür.
IODINE DNS Tünelleme
İodine linux sistemlerde paket yöneticilerinde bulunmaktadır.
Kurmak içi teminale;
sudo apt-get install iodined
yazmamız yeterlidir.
Şekil.2-iodined
5. 5
Server tarafında;
“iodined -fP P4ssw0rd 10.0.0.1 test.varol.me”
komutu çalıştırılır.
Burada -P parametresi ile kuracağımız bağlantıya parola atamış oluyoruz. Client tarafında
bağlanacağımız zaman aynı parolayı kullanarak bağlanacağız.
10.0.0.1 olarak girmiş olduğumuz ip Server'ımızın dns0 bacağına atanacak IP'dir. Daha sonra
gelen bağlantılar 10.0.0.2 ve üstü şeklinde IP alacaktır.
Client tarafında;
"iodine -fP P4ssw0rd SERVER_IP test.varol.me"
komutu çalıştırılır.
Server tarafında belirtmiş olduğumuz parola ile Server'ımızın IP'si girildikten sonra bağlantı
sağlanacaktır. Oluşacak dns0 bacağına 10.0.0.2 IP'si atanmıştır.
6. 6
DNSChanger Trojan
DnsChanger sadece tekil bilgisayarlara değil, ağa bağlı çalışan bilgisayarlara ve Ağ
ortamlarına da zarar veriyor. DnsChanger, bulaştığı bilgisayarlarda kendini gizleyerek, o
bilgisayarların ağ ortamlarına bağlanmasını bekliyor ve çıktığı zaman kendini ağ maskelerine
bulaştırarak sistemin DNS Kayıtlarını değiştiriyor.
Böylece kullanıcılar sahte DNS kayıtları ile Internet ortamına erişmeye başlıyorlar. Bu tür
erişimler, kullanıcılar nereye eriştiklerini farkında olmadan gerçekleşiyor ve kullanıcılar daha
önceden hazırlanan sahte web sitelerine yönlendirilebiliyor ya da her zaman kullandıkları web
sitelerinin bire-bire kopyası ile karşılaşıp, durumu anlayamadan DNSchanger’in yemi olmuş
oluyorlar.
Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça
yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını
kullanan sahte DNS Kayıtları oluşturuyor.
DNS Leak
7. 7
Anonim bir ağ ya da VPN servisi kullandığınız zaman, bilgisayarınızdan geçen tüm trafiğin bu
anonim ağ ya da servis üzerinden güvenli bir şekilde gönderildiği varsayılır. Tor veya VPN
kullanmanızdaki temel neden, trafiğinizi İSS’nizden ve diğer üçüncü kişilerden gizlemek,
anonimliğimizi arttırmaktır. Fakat bazı durumlar vardır ki, biz güvenli bir VPN bağlantısı
kurduğumuzu düşünseniz bile, İSS’niz Internet trafiğinizi izleyebilir ve çevrimiçi aktivitelerinizi
monitörleyebilir. Yani, bir nedenle sorgularınız VPN bağlantınız ya da anonim ağ yerine
İSS’nizin DNS sunucularına da yönleniyorsa, burada bir DNS sızıntısı (leak) var demektir.
Şema üzerinden anlatırsak; bir VPN tüneline sahibiz ve EFF için bir sorguda
bulundunuz. Normal olarak sorgunuz tünelden VPN servisine, VPN servisinin DNS sunucusu
ve oradan da EFF’ye ulaşmalı. Fakat, sorgunuza İSS’niz DNS sunucusu da cevap
vermektedir. Bu da şu anlama gelmektedir; İSS’niz İnternet aktivitilerimizi bir bir
kaydetmekte, sizleri rahatça izlemektedir.
Anonimliği tehdit eden en büyük tehlikelerden biri DNS sızıntısıdır. Çünkü, anonim bir ağa
bağlı olsak bile (mesela Tor), işletim sisteminiz anonim servis tarafından atanan anonim DNS
sunucuları yerine kendi varsayılan sunucularını kullanmaya devam etmektedir. Bu da
kullanıcılara sahte gizlilik hissi vermekte ve sonuçları üzücü olmaktadır.
Etkilenenler;
VPN sunucuları
Socks proxyleri (Tor gibi)
Etkilenmeyenler;
CGI Proxyleri
SSH tünel ile HTTP proxyleri
DNS Leak Testi için;
https://www.dnsleaktest.com/
DNS’i Korumak İçin Neler Yapılabilir
Bir saldırı gerçekleşmeden önce:
Proaktif olunma: DNS paketlerinizi sürekli koruma altında tutarak saldırılara hazırlıklı
olmalıyız. Güvenlik protokollerinin çoğunun DNS güvenliği konusunda yetersiz olduğunu
8. 8
unutmamalıyız. En doğrusu DNS korumasını farklı güvenlik teknolojilerine bağlamak yerine
bizzat DNS sunucusunun içinde oluşturabiliriz.
Ağın görünür olmasını sağlanmalı: Hangi cihazların ağa bağlı olduğunu ve bu cihazları
kimin kullandığını bilmek DNS saldırılarını tespit etmenin ve durdurmanın ilk şartıdır. Bu bilgi
ağlara sayısız cihazdan gelebilecek saldırı riskini uç nokta yazılımlara gerek kalmaksızın kontrol
altına alıp ortadan kaldırmasını kolaylaştırır.
Her tür tehdide karşı önlem alınmalı: DNS güvenliği DNS altyapısına yapılan saldırıları
engelleyerek, kötü amaçlı yazılım veya gelişmiş kalıcı tehdit iletişimini bozarak ve DNS
üzerinden yapılan veri hırsızlığını durdurarak hem dahili hem de harici tehditlere karşı koruma
sağlamalıdır.
Tehdit tespit edildikten sonra:
Hızlı tepki verilmeli: Ağlarında görünürlüğü sağlamış olan kuruluşlar tehditleri hızlı bir
şekilde tespit edip hızlı tepkiler verebilir. Saldırıları ve kötü niyetli iletişim girişimlerini detaylı
bir şekilde görebilmelidir.
Ağı düzgün ve sorunsuz çalışır halde tutulmalı: Hizmetler ve uygulamalar, ağ saldırı
altında olsa bile çalışır halde olmaya devam etmelidir. DNS koruma araçlarınızın siz gayrimeşru
aktiviteleri engellemeye çalışırken meşru trafiğin aksamamasını sağlaması gerekir.
Uygun çözüm bulunmalı: Kuruluşlar genellikle farklı tehdit tipleri için birçok farklı ağ
güvenliği çözümü kullanırlar. Kuruluşunuzun genel güvenlik mimarisine uygun DNS çözümleri
bulmaya çalışılmalı.