blog posts

DNSSEC nedir?

DNSSEC nedir?

En son savunma çabalarından biri Alan Adı Sistemidir (DNS). www.yahoo.com gibi web sitelerinin kullanıcı dostu adlarını trafiği yönlendirmek için gereken sayısal IP adreslerine (72.13.36.126 gibi) dönüştürmek için İnternette kullanılan bir protokol. DNS protokolü, İnternet’in daha küçük ve daha güvenilir bir kullanıcı tabanına sahip olduğu ve güvenliğin daha az önemli bir konu olduğu, tamamen farklı bir zamanda tasarlandı, bu nedenle İnternet Mühendisliği Görev Gücü (IETF) bunun için bir dizi güvenlik uzantısı tasarladı. Bu uzantılara topluca Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC) adı verilir ve bu iki belirli DNS saldırısı türünü azaltır.

 

DNSSEC

 

giriiş

Bazen internet güvenliği dünyası bir satranç oyununa çok benziyor. Bir tarafta sürekli zayıf noktalar arayan hackerlar ve suçlular, diğer tarafta ise kaynakları desteklemek ve korumak için sürekli taktikler geliştiren güvenlik uzmanları var. Bazen silahlı bir mücadele, her iki tarafın birbirine saldırdığı ve daha akıllı taktikler kullanmak ve stratejilerini sürekli geliştirmek için kendini savunduğu hiç bitmeyen bir savaş gibi olur.Her iki taraf da kusurların ve savunmasız noktaların farkındaysa, çok zor olur. Bu kusuru kötüye kullanmak veya ortadan kaldırmak için.

 

DNSSEC

İş dünyasının gerektirdiği kapsamda araştırmacılar ve akademisyenler arasında İnternet’in evrimi ile birlikte, bazı güvenlik araştırmacıları, bilgisayar korsanlarının ilk önce bu kusurları bulmasını önlemek için özel faaliyetlerini akıllı bir şekilde İnternet güvenlik açıklarını keşfetmeye odakladılar. Böylece bu araştırmacılardan biri, DNS protokolündeki bir güvenlik açığını hedef almanın mümkün olduğu bir yol buldu ve gösterdi. Güvenlik açıklarından yararlanma hızı ve kolaylığı ve bunun sonucunda ortaya çıkan tanıtım, DNSSEC’yi kullanma ihtiyacı konusunda artan bir istek ve farkındalık gösteriyor.

 

DNSSEC nasıl çalışır?

Ağ hangi güvenlik açıklarını destekliyor? Teknoloji ve güvenlik endüstrilerinin yeterli güvenlik ve desteği sağlamak için yapması gereken bir sonraki hamle nedir? IDG’nin Kasım 2010 tarihli araştırma raporuna göre, 400 teknik ve güvenlik uzmanının katıldığı bir ankette, yanıt verenlerin yalnızca %50’si DNSSEC’ye aşinaydı. Son oyun, DNSSEC’yi genişletmek için farklı gruplar arasında koordineli bir çaba gerektirdiğinde, biraz açıktır. Hangi çabaları içeriyor ve kim yapıyor ve bu endüstrilerin doğru uygulanmasından ne gibi avantajlar bekleyebilirler?

 

DNSSEC, DNS’yi nasıl korur?

Burada öncelikle DNS’nin arka planı ile ilgili bazı açıklamalar ele alınacaktır.DNS, aşağıdaki öğeleri uygulayarak istemci/sunucu modelini kullanır.
SAPLAMA ÇÖZÜCÜ. DNS istemcisinin DNS bilgilerini aradığı yer burasıdır. İnternete bağlanan hemen hemen tüm cihazlarda bulabilirsiniz.

YETKİLİ AD SUNUCUSU Bu, DNS bilgilerini dünyaya tutan gövdeyi ifade eder.
TEKRARLAMALI AD SUNUCUSU Saplama çözümleyici, DNS sorgularını mutlaka DNS yer değiştirmelerini gerçekleştiren özyinelemeli bir ad sunucusuna gönderir. Her tür cihazdan DNS sorgularını kabul eder ve DNS sorgularını birkaç yetkili sunucuya göndererek yanıtları izler. Müşteriler adına yaptığı talepler, tekrar eden birkaç adım gerektirebileceğinden.

Özyinelemeli ad sunucusu, tüm yanıtların sonuçlarını hatırlar veya saklar, böylece yanıt hızını artırmak için bu saklanan bilgileri kullanabilir.İnternete bağlanmak için birçok cihazın olduğu her yerde DNS çözümlemesi gerektiren özyinelemeli ad sunucuları kullanılır.

Örneğin, ISS’ler geniş bant kullanıcılarının sorgularını kontrol etmek için özyinelemeli ad sunucuları kullanır ve şirketler bunları ağ cihazlarından soruları yanıtlamak için kullanır.

Güvenliği artırmak için DNSSEC, DNS içinde depolanan bilgilere dijital bir imza ekler. Bu dijital imza, bilgilerin gerçekliğini doğrulamak için kontrol edilir ve doğrulanır – örneğin, DNS’de web sitesi adını aradıktan sonra elde edilen IP adresinin kullanıcıyı istenen hedefe yönlendirdiğini kontrol etmek için DNSSEC, DNS verilerinin Tamam olmasını sağlar.

Bu şekilde, İnternet trafiği (e-posta, bir e-ticaret sitesi veya diğer İnternet hizmetleri arasındaki alışverişler) uygun sunuculara yönlendirilir ve yetkisiz sitelere yönlendirilmez DNSSEC, ortadaki adam saldırılarına ve önbellek zehirlenmesine karşı koruma sağlar. Bir suçlu, son kullanıcıları yanlış yönlendirmek için zararlı veya zehirli veriler enjekte etmeye çalışır.

 

DNSSEC’yi kullanma:

Ortak bir çaba
DNSSEC dağıtımının başarılı olması için İnternet ve DNS ekosistemindeki herkesin bu grup çalışmasına katılması gerekir. Bu kişiler çoğunlukla kayıtlardır – edu ve org gibi belirli üst düzey alan adlarını denetleyen operatörler. Diğer katılımcılar arasında, son kullanıcılarla etkileşime giren ISP’ler gibi ikinci düzey alan adlarını kaydeden ve yöneten kayıt şirketleri vardır. Ancak tüm hikaye bu değil, önemli uygulamalar için ağ cihazı üreticileri ve yönetim araçları ve tarayıcılar üreten yazılım şirketleri de dahil olmak üzere diğer ana bileşenlerden gelen güvenlik güncellemeleri de bu akışa giriyor.

ICANN (İnternet Tahsisli İsimler ve Numaralar Kurumu, Verisign) ve Amerika Birleşik Devletleri Elektronik Ticaret Derneği, İnternet Faaliyetleri Derneği ile işbirliği içinde Temmuz 2010’da tüzüğü imzalayarak bu süreci başlattı. Belirli ülkelerden en az 50 üst düzey alan adı, bugüne kadar DNSSEC’yi imzaladı ve daha birçoğu da yolda.

 

Zincirin daha aşağısında, beklendiği gibi ilerleme daha azdı. Haziran 2010’daki Forrester Research’e göre, hala bazı teknik endişeler var

Kuruluşların DNS bilgilerini nasıl imzaladığı ve DNSSEC için gereken anahtarları nasıl yönettiği. Aslında, DNSSEC’nin genişletilmesi ve kullanılması bir gecede gerçekleşmez. Bazı büyük oyuncular, özellikle donanım üreticileri, DNSSEC’nin bazı DNS yanıt paketlerinin 512 baytlık standart DNS mesaj boyutu sınırını aşmasına neden olduğu endişesini dile getirdi. Böyle bir durumda, DNSSEC paketlerinin kaybolması muhtemeldir.

Test, başarılı dağıtım ve kullanım için temel bir ilkedir. CMU’da (Carnegie Mellon Üniversitesi), bir ekip DNSSEC üzerinde bir deney yaptı ve bu deneyde kayıt defteri Educause, Versign ise .edu alanı için destek hizmeti sağladı. Bu testin amacı, dijital anahtar değiştirilirken herhangi bir sorun olup olmayacağını kontrol etmekti.

Bazıları DNSSEC’nin kimlik doğrulamayı etkinleştirmek ve sağlamak için daha fazla karmaşıklık eklediğini. DNS’ye bütünlük kattığını savundu, ancak aynı zamanda güvenliği iyileştirmenin hiçbir zaman ücretsiz olmayacağını da vurguladı.
Ocak 2010’da yayınlanan bir makalede, Educause vurguluyor. DNSSEC’yi dağıtmak ve tam olarak dağıtmak, İnternet’in her köşesinde çok büyük miktarda çalışma gerektirecektir; sözleşme imzalama ve TLD’ler hikayenin yalnızca küçük bir parçasıdır.

 

DNSSEC’yi kullanma nedenleri

Peki şirketler neden DNSSEC kullanmalı? Bunun için birçok nedeni vardır. Bu nedenlerden biri, DNSSEC’nin iyi ağ kullanıcılarını, mevcut İnternet güvenliğini iyileştiren teknolojilerin ve sistemlerin kullanımına öncelik veren kullanıcıları içermesidir. Bunu eğlence ve profesyonel gurur için kullanan profesyoneller de var.

Şirketler müşterilerine güven vermek isterler. ve müşterilerin İnternet varlıklarına ve hizmetlerine aynı düzeyde güven ile erişmelerini sağlar. IDG Research’e göre, ankete katılanların yüzde 71’i bunun çok kritik (yüzde 24) veya çok önemli (yüzde 47) olduğunu düşünüyor. iş yaptıkları sitelerin DNSSEC’yi kullanabildiğini. Sadece %6’sı bunu önemsiz olarak değerlendirmiştir.

Bloor Research tarafından Eylül 2010’da yayınlanan bir raporda, DNSSEC’nin yaygın olarak kullanılmasının İnternet güvenliğini açıkça artıracağı. Müşterilere sunulan hizmetlere daha yüksek düzeyde güven ve kuruluşlara markalarını ve operasyonlarını destekleyebilme olanağı sağlayacağı belirtilmektedir. .
DNSSEC hızlandıkça kullanımı daha kolay olacaktır. Daha ucuz satıcılar tarafından sunulan paketler ve hatta açık kaynak özellikleri sunan daha fazla satıcı göreceksiniz. Bazı güvenlik ürünleri sağlayıcıları, bulut modelinde bir hizmet olarak DNSSEC sağlayacak ve giriş engelini daha da azaltacaktır.