1. DNS GÜVENLİĞİKadir AKIŞSelahattin ÇEBİ

2. İçindekilerDNS Nedir ?DNS Genel Çalışma PrensibiDNS te Güvenlik Problemleri Nelerdir ?DNS te Güvenlik Nasıl Sağlanır ?DNSSEC

3. DNS Nedir ?DNS (Domain Name System ; Etki Alanı İsim Sistemi), ağdaki bilgisayarları ve ağ hizmetlerini adlandırmak için kullanılan bir sistemdir. DNS adlandırması, Internet gibi TCP/IP ağlarında,bilgisayarları ve hizmetleri hatırlanması kolay adlarla tanımlamak için kullanılır. Kullanıcı bir uygulamaya bir DNS adı girdiğinde, DNS hizmetleri bu adı çözümleyip kaynağa ulaşılmasınısağlayan bir IP adresi bilgisini kullanıcıya temin eder.

4. DNS NEDİR ?Alan Adı Sistemi (Domanin Name System ) dir.

5. İsim çözümleme için dağıtık veritabanı sağlar.

6. İsimleri kaynak kayıtlarına çevirir.

7. Address (A)

8. Mail hosts (MX)

9. Text (TXT)

10. ve daha fazlası….

11. Kaynak kayıtları Zone’ larda yer alır..os.netzone.money.net.kids.netdop.kids.netnt.os.netmarnick.kids.netunix.os.netmac.os.netDNS Ağacı.rootdomain.net.comtop level

12. DNS Kaynak KayıtlarıSOA :Domain bilgilerini içeren DNS sunucusunu tanımlarA :Bir konak (bilgisayar) adını bir IPv4 adresi ile eşlerPTR :Bir IP adresini bir konak (host) adı ile eşlerCNAME :Belli bir host için alias adı yaratırMX :E-posta hizmeti veren sunucuları tanımlarSRV :Belli hizmetleri veren sunucuların IP bilgisini tutar.NS :Domain içindeki DNS sunucularının adlarını listelerAAAA :Bir konak (bilgisayar) adını bir IPv6 adresi ile eşler

13. DNS ÇözümlemeQuestion: www.cnn.com. www.cnn.com A ?dns.cs.umass.edulab.cs.umass.eduresolverask .com server the ip address of .com serverstub resolverwww.cnn.com A ?.comwww.cnn.com A ?xxx.xxx.xxx.xxxask cnn.com serverthe ip address of cnn.com serveradd to cachewww.cnn.com A ?xxx.xxx.xxx.xxxcnn.comwww.cnn.com

14. DNS - Veri akışıZone administratorZone filemasterresolverslavesDynamicupdatesstub resolver

15. DNS Güvenlik AçıklarıCache taklit etmeCorrupting dataMaster taklidiZone administratormasterresolverZone fileDynamicupdatesslavesstub resolverData spoofing ile cache zehirlemeİzinsiz güncellemeDataProtection

16. DNS Güvenlik Tehditleri• Alan tutma (Footprinting): Bir saldırganın DNS bölge verilerini elde etme işlemidir; bu şekilde saldırgan, hassas ağ kaynaklarının DNS etki alanı adlarını, bilgisayar adlarını ve IP adreslerini elde edebilir. Saldırgan genelde bir ağın topolojisini çıkarmak veya alanını tutmak için bu DNS verilerini kullanarak saldırıya geçer. DNS etki alanı ve bilgisayar adları, bir etki alanı veya bilgisayarın işlevini veya konumunu gösterir. Saldırgan, ağdaki etki alanlarının ve bilgisayarların işlevini veya konumunu öğrenmek için bu DNS ilkesinden yararlanır.

17. DNS Güvenlik Tehditleri• Servis dışı bırakma (Denial of service) saldırısı: Saldırganın özyinelemeli (recursive) saldırılarla ağdaki bir veya birden çok DNS sunucusunu isteklere cevap veremez hale getirme girişimidir. Sorgularla taşmış bir DNS sunucusunda CPU kullanımı sonuçta en yüksek düzeye ulaşır ve DNS Sunucusu hizmeti kullanılamaz hale gelir. Ağda tam olarak çalışan bir DNS sunucusu olmadan, ağ kullanıcıları, DNS üzerinden öğrenilen ağ hizmetlerini kullanamaz.

18. DNS Güvenlik TehditleriVeri değişikliği (Data modification): DNS'yikullanarak ağda alan tutmuş olan bir saldırganın, kendi oluşturduğu IP paketlerinde geçerli IP adreslerini kullanarak, bu paketlere ağdaki geçerli bir IP adresinden gelmiş görüntüsü verme girişimidir. Buna genel olarak IP aldatmacası denir. Saldırgan, geçerli bir IP adresiyle (alt ağın IP adresi aralığı içindeki bir IP adresi) ağa erişim sağlayarak verileri yok edebilir veya başka saldırılar düzenleyebilir.

19. DNS Güvenlik Tehditleri• Yeniden Yönlendirme (Redireciton) / Cache Zehirlenmesi : Saldırganın, DNS adlarına ilişkin sorguları kendi denetimi altındaki sunuculara yeniden yönlendirmesidir. Yeniden yönlendirme yöntemlerinden biri, DNS sunucusunun DNS önbelleğini hatalı DNS verileriyle kirletme ve böylece gelecekteki sorguları saldırganın denetimindeki sunuculara yönlendirebilme girişimidir. Örneğin, başlangıçta example.microsoft.com için bir sorgu yapıldıysa ve başvuru yanıtı, microsoft.com etki alanının dışındaki bir ad için (kötüniyetlikullanıcı.com gibi) bir kayıt sağladıysa, DNS sunucusu, o ada ilişkin sorguyu çözümlemek üzere kötüniyetli-kullanıcı.com için önbelleğe alınan verileri kullanır.Güvenli olmayan dinamik güncelleştirmelerde olduğu gibi, bir saldırganın, DNS verilerine yazma erişimi olduğunda yeniden yönlendirme gerçekleştirilebilir.

21. Aradaki Adam(Man in themiddle)

22. DNS Changer / TrojanÖzellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını kullanan sahte DNS Kayıtları oluşturuyor. Bu şekilde bulaştığı kullanıcılar mesela bir banka sitesine girdiklerini sandıkları halde onları kendi taklit ettiği sahte banka sitesine yönlendirebiliyor.

23. DNS Changer / TrojanAyrıca çoğu kullanıcı varsayılan ADSL modem şifrelerini kullanıyor. Ülkemizde hali hazırda kullanılan ADSL modemlerin varsayılan şifrelerini Google üzerinden search ettiren bir kişi çok rahatlıkla bu şifrelere erişebiliyor. Durum böyle olunca DNSChanger gibi zeki trojanların ADSL modeme girmesi ve buradan o modeme bağlanan bilgisayarlara kendini bulaştırması da zor olmuyor. DNSChanger kendi içine daha önceden yaratıcısı tarafından yerleştirilmiş Wordlisteki şifreleri tek tek deneyerek (brute-force) ilgili modeme Administrator yetkilisi olarak bağlanmaya çalışıyor ve bağlandığı zaman da o modeme bağlı tüm bilgisayarlar zararlı yazılımdan nasibini almış oluyor. Trojan kendi içerisindeki sahte web sitelerine kullanıcıları yönlendirerek kişisel bilgileri, kredi kartı bilgileri, e-posta ve MSN bilgileri gibi bilgileri sahibine gönderebiliyor. DNS Changer çoğunlukla Film, MP3 Siteleri, Forumlar ve Warez içerik barındıran web sitelerinden içerik indiren kullanıcılara bulaşıyor.

24. DNS ‘ te Güvenlik DNS hizmeti nasıl güvenli hale getirilebilir ?DNS hizmeti tehditlere karşı koyabilmek için güvenli bir şekilde yapılandırılabilir. DNS hizmetinin güvenliğinin arttırılması beş ana alanda uygulanacak tedbirler ile sağlanabilmektedir.DNS isim alanıDNS sunucusuDNS bölgeleriDNS kaynak kayıtlarıDNS istemcileri

25. DNS ‘ te Güvenlik DNS isim alanı tasarımında DNS güvenliğinin sağlanmasıDNS tehditlerine karşı uygulanabilecek ilk adım DNS güvenliği tedbirleri DNS sunucularının kurum ağı içinde yerleşimi ile ilgilidir. DNS sunucu dağıtımı tasarlanırken aşağıdaki güvenlik prensiplerine dikkat edilmesi gerekmektedir:• Ağdaki bilgisayarların Internet'teki adları çözümlemesi gerekmiyorsa , Internet'le DNS iletişiminin kaldırılması gerekir. Kurumun DNS isim alanının, güvenlik duvarının arkasındaki iç DNS sunucuları ve güvenlik duvarının önündeki dış DNS sunucuları olarak ayrılması gerekir.DNS ‘ te Güvenlik İç DNS ad alanının iç DNS sunucularında, dış DNS ad alanının Internet'e açık dış DNS sunucularında barındırılması: İç DNS sunucuları, iç ana bilgisayarların yaptığı dış adlara ilişkin sorguları çözümlemek üzere dış DNS sunucularına iletir. Dış ana bilgisayarlar Internet ad çözümlemesi için yalnızca dış DNS sunucularını kullanır.

26. Güvenlik duvarının, dış DNS sunucusuyla tek bir iç DNS sunucusu arasındaki sadece UDP ve TCP 53. port iletişimine izin verecek şekilde yapılandırılması, alan transferi ihtiyacı yoksa sadece UDP 53.port kullanımı yeterli olacaktır.

27. DNS ‘ te Güvenlik DNS Sunucu Hizmeti GüvenliğiDNS hizmetini veren DNS sunucularının güvenliğinin sağlanması için aşağıdaki güvenlik prensiplerine dikkat edilmesi gerekmektedir:• Arabirimler: Sunucusu hizmetinin dinlediği IP adresini, DNS istemcilerinin tercih edilen DNS sunucusu olarak kullandıkları IP adresi ile sınırlanması gerekmektedir.Önbelleğin Korunması: DNS sunucusunun önbelleğinin DNS sunucusunun istemediği kaynak kayıtlarıyla kirletmesinin önlenmesi gerekir.

28. DNS ‘ te Güvenlik Özyineleme (Recursion):. Özyineleme, saldırganlar tarafından DNS sunucusu servis dışı bırakmak için kullanılabilir; dolayısıyla, ağdaki bir DNS sunucusunun, özyinelemeli sorguları alması amaçlanmıyorsa, özyineleme devre dışı bırakılmalıdır. Kök ipuçları (Root Hints): DNS altyapınızda bir iç DNS kökünüz varsa iç DNS sunucularınızın, adları çözümlerken Internet üzerinden özel bilgiler göndermesini önleyecek şekilde yapılandırılması. Eski DNS Kaynak Kayıtları: Kullanılamayan ve belli bir süreden uzun zaman güncellenmeyen DNS kaynak kayıtları bir takım performans ve güvenlik sorunlarına yol açabilir.

29. DNS ‘ te Güvenlik Olay Kayıtları: DNS sunucularda gerçekleşen olayların kayıtlarının tutulması DNS güvenliğini sağlama amacıyla gerçekleşen olayların takibini yapmada ve izini sürmede önemli rol oynar.

30. Erişim Kontrol Listeleri: Etki alanı kontrolcülerinde çalışan DNS sunucularında isteğe bağlı erişim kontrol listelerinin (DACL) güvenlik ihlallerine yol açmayacak şekilde yapılandırılması gerekmektedir.

31. Dosya Sistemi: DNS sunucuları için her zaman kullanılacak dosya sistemi, etki alanları, kullanıcı hesapları ve diğer önemli güvenliközellikleri için gereken özellikleri desteklemelidir.

32. DNS ‘ te Güvenlik 3. DNS Alanlarının Güvenliği :Aktif Dizintümleşik(Active Directory Integrated) DNS:Bu durum DNS’nin güvenliğini önemli ölçüde arttıran bir yapı sunmaktadır. Aktif dizinin gelişmiş güvenlik özellikleri kullanılarak DNS alanlarına yetkisiz kişilerce erişilmesi engellenmiş olur.

33. Güvenli dinamik güncellemeler (Secure Dynamic updates): Güvenli dinamik güncelleme özelliği yetkisiz kişilerce veya yetkisiz kaynaklardan DNS isim alanı dosyalarına yanıltıcı veya yanlış bilgi girilerek DNS’e yapılabilecek saldırıları önleyen bir özelliktir.

34. Erişim Kontrol Listelerinin Güvenli Yapılandırılması Alan transferlerinde sınırlama: Bölge aktarımları ya tamamen kapatılmalı veya sadece belirli konakların alan transferi yapmasına izin verilmelidir.4. DNS Kaynak Kayıtlarının Güvenliğinin Sağlanması : Güvenlik açısından imtiyazlı haklar sadece yönetimden sorumlu yetkili gruplara veya kullanıcılara verilmelidir.5. DNS İstemcilerinin GüvenliğiStatik IP Adresli DNS Sunucu: Mümkün olan her durumda Statik IP Adresli DNS Sunucular kullanılmalıdır.Bu şekilde istemcilerin başka bir bilgisayarı DNS sunucu olarak kabul etmesi ile gerçekleşebilecek olası bir saldırı ortadan kaldırılabilir.

35. DNS istemcilerini kısıtlama: Bir DNS sunucusu yalnızca belirli IP adreslerini dinlemek üzere yapılandırılmalıdır. Bu sayede başka ağa ait istemcilerin DNS sunucusuna erişmeleri engellenecektir.DNS Protokolü Güvenli mi ?DNS hizmetiyle ilgili tüm güvenlik önlemleri tam olarak alınmış olsa da , DNS protokolü, isim sunuculardaki bilgilerin bütünlüğü ve güvenilirliği konusunda garanti vermediği için değiştirilmiş ya da kötü niyetli isim sunuculardan yönlendirilmiş cevaplar, kullanıcıların yanlış sunuculara bağlanmasına ve devamında daha büyük bilgi kayıplarının gerçekleşmesine sebep olabilirler.

36. DNSSECDNSSEC nedir?DNSSEC (DNS SecurityExtensions), DNS protokolüne güvenlik özellikleri eklemek üzere başlatılmış bir çalışmadır. DNS protokolünde doğru ve güvenilir bir DNS cevabı almak oldukça önemlidir. Aksi takdirde kullanıcılar kasıtlı olarak tuzak hedeflere yönlendirilebilirler. DNSSEC, DNS önbellek (cache) zehirleme gibi saldırılara karşı geliştirilmiş güvenlik eklentilerinden oluşmaktadır.Temel olarak, DNS cevaplarının kaynağının doğrulanması, DNS veri bütünlüğünün sağlanması ve inkar edememe güvenlik hedeflerini sağlamayı amaçlamaktadır.

37. DNSSECDNSSEC ile dört yeni kayıt tipi tanımlanmaktadır. Bunlar, RRSIG (ResourceRecordSignature), DNSKEY (DNS PublicKey), DS (DelegationSigner) ve NSEC (NextSecure)' dir. Bu yeni kayıt tipleri RFC 4034 ile detaylı olarak tanımlanmıştır.

38. DNSSECRRSIG (ResourceRecordSignature) : Her kaynak kaydının , o alanın özel anahtarıyla şifrelenmiş halidir. Her bir kaynak kaydı için bir tane SIG Kaydı vardır.

39. DNSSECDNSKEY(DNS PublicKey) : Alana ait genel anahtarın tutulduğu kaynak kaydıdır.

40. DNSSECDS (DelegationSigner) : Bir alanın genel anahtarının özetini tutar. Bu kaynak kaydı alanın bir üst alanında tutulur.Özet alınırken SHA1 veya SHA256 algoritmaları kullanılır.