DNSSEC ile biraz daha güvende miyiz?

Burak Bayoğlu, TÜBİTAK-UEKAE
  

05.05.2010

 

 

5 Mayıs 2010 itibarıyla 13 kök DNS sunucudan sonuncusunun da DNSSEC
güncellemesinin yapılmasıyla tüm kök sunucular DNSSEC sorgularına cevap
verebilir duruma gelecekler. Bu durum, DNSSEC’in ne olduğu, ne olmadığı,
bizleri ne tür tehditlere karşı koruduğu konusunda bir bilgilendirme
ihtiyacı doğurdu. Yazının devamında bu sorulara yanıt vermeye
çalışacağız.

DNSSEC nedir?

DNSSEC (DNS Security Extensions), DNS protokolüne güvenlik özellikleri
eklemek üzere başlatılmış bir çalışmadır. DNS protokolünü, ağ üzerinde
erişmek istediğimiz kaynakların (sunucu, hizmet, vb.) bilgilerini
sorguladığımız ağ hizmeti olarak basitçe tanımlayabiliriz. Bu sayede,
son kullanıcılar erişmek istedikleri sunucu ya da hizmetin akılda
tutulabilir metinsel bilgisini (URL vb.) sorgulayarak  söz konusu
hedeflerin erişim bilgilerini transparan olarak öğrenmekte. Merkezi bir
telefon rehberi misali… Bağlantı kurulması sırasında gerçekleşen ilk
adımlardan birisi olarak doğru ve güvenilir bir DNS cevabı almak oldukça
önemli. Aksi takdirde kullanıcılar kasıtlı olarak tuzak hedeflere de
yönlendirilebilirler.

DNSSEC, DNS önbellek (cache) zehirleme gibi
saldırılara karşı geliştirilmiş güvenlik eklentilerinden
oluşmaktadır.Temel olarak, DNS cevaplarının kaynağının doğrulanması, DNS
veri bütünlüğünün sağlanması ve inkara edememe güvenlik hedeflerini
sağlamayı amaçlamaktadır. DNSSEC ile dört yeni kayıt tipi
tanımlanmaktadır. Bunlar, RRSIG (Resource Record Signature), DNSKEY (DNS
Public Key), DS (Delegation Signer) ve NSEC (Next Secure)’ dir. Bu yeni
kayıt tipleri RFC 4034 ile detaylı olarak tanımlanmıştır. Yeni kayıt
tiplerine (RR – Resource Record) ek olarak, iki yeni DNS başlık bilgisi
CD (Checking Disabled) ve AD (Authenticated Data) kullanılmaktadır.

İsviçre
(.se), Brezilya (.br), Bulgaristan (.bg) ve Çek Cumhuriyeti (.cz) gibi
ülkeler kendi ülke kod alanları için DNSSEC teknolojisini uygulamaya
geçirdiler. .edu, .gov, .org gibi alanlar için devam eden ya da yada
yakın zamanda tamamlanmış çalışmalar bilinmektedir. Türkiye’de (.tr
alanı) DNSSEC’in uygulamaya geçirilmesi için duyurulmuş bir takvimden
haberdar değiliz. (Bilgisi olan lütfen yorumlar kısmından katkıda
bulunsun). DNSSEC’in dünya genelindeki durumu hakkında bilgi https://www.xelerance.com/dnssec/
adresinden edinilebilir. DNSSEC projesiyle ilgili bilgi ve kaynaklara https://www.dnssec.net/
adresinden ulaşılabilir.

DNS sunuculardan istekte bulunduğumuzda, web
adreslerini IP adreslerine eşleştiren bir cevap alırız. Son kullanıcı
açısından DNS hizmetinden ne şekilde faydalanıldığı,
aşağıdaki şekilde basitçe gösterilmiştir. DNS protokolü,
isim sunuculardaki bilgilerin bütünlüğü konusunda garanti vermediği için
değiştirilmiş ya da kötü niyetli isim sunuculardan yönlendirilmiş
cevaplar, kullanıcıların yanlış sunuculara bağlanmasına ve devamında
daha
büyük bilgi kayıplarının gerçekleşmesine sebep olabilir. DNSSEC, isim
sorgularını güvenilir bir dijital imza ile kullanıma sunarak doğru
hedefe bağlanmayı garanti edebilir. Unutulmamalıdır ki tüm DNS sorgu
cevaplarının söz konusu bütünlük garantisini taşıması için sadece kök
DNS sunucuların DNSSEC uyumlu çalışması yeterli değildir. Uçtan uca bir
güvenlik için alt DNS sunucuların da benzer şekilde DNSSEC hizmeti verir
duruma gelmesi gerekir ki bu yaygınlaştırmanın tüm İnternet ağını
kapsayacak şekilde gerçekleştirilmesi halen sektörün çözüm bulması
gereken büyük bir problemdir.

dnsozet.gif

Saldırganların DNS protokolü açıklıklarından faydalanması, oldukça
etkili saldırıların gerçekleşmesine sebep olabilmektedir. Sık ziyaret
edilen hedefler için tekrar tekrar sorgulama yapmak yerine bu kayıtların
DNS belleğinde tutulması ve doğrudan DNS sunucu belleğinden
kullanıcılara cevap dönülmesi, saldırganların işini kolaylaştırmaktadır.
DNS açıklıkları kullanılarak DNS belleğine sahte IP girişleri yapılması
durumunda kullanıclar yanlış hedeflere yönleneceklerdir. DNSSEC, bu
senaryolara karşı güvenlik seviyesini artırmasından ötürü büyük önem
taşımaktadır.

DNSSEC’in tüm İnternet ağı için uygulamaya alınması, tahmin edileceği
üzere büyük bir iş gücü ve koordinasyon gerektirmektedir. Kök DNS
sunucuların ve .com, .net gibi TLD (Top Level Domain)’lerin DNSSEC
kullanmaya başlaması sadece buzdağının görünen kısmıdır. İkinci seviye
ve daha alt seviyedeki DNS sunucuların projeye katılımı hala gönüllülük
esasına dayanmaktadır. DNSSEC’den beklenen maksimum faydanın
sağlanabilmesi, ilgili tüm DNS hizmet sağlayıcıların katılımıyla mümkün
olacaktır. Ayrıca unutulmamalıdır ki her protokolde ya da uygulamada
olabileceği üzere DNSSEC için de muhtemel açıklıklar saldırganlar
tarafından kullanılabilir. Yine de DNS cevaplarının daha güvenli ve
güvenilir bir ortamdan sağlanabileceği açıktır. Açık anahtar altyapısı
(PKI) temelli tüm çözümlerde olduğu gibi güvenilir dijital imza
oluşturmak için kullanılan özel anahtarların (private key) güvenliği de
dikkat edilmesi gereken diğer bir noktadır. İmzalama ve imza doğrulamaya
yönelik anahtarların belirli aralıklarla yenilenmesi, bu anahtarların
dağıtımı gibi konular özenle ele alınmalıdır. DNS protokolüne eklenen
kriptografik işlemlerden ötürü sorgu sürelerinin uzayacak olması başka
bir yan etkidir. Tüm güvenlik çözümlerinde olması gerektiği gibi,
güvenlik seviyesini artırırken kullanım kolaylığı ve sistemlerden
faydalanma oranının fazla zarar görmemesi DNSSEC için de kritik başarı
faktörüdür. 

DNSSEC ne
değildir?

DNSSEC’in sağladığı güvenlik özellikleri yukarıda
özetlenmiştir. Kimi zaman sanıldığının aksine DNSSEC veri gizliliğini
sağlamaz ve dağıtık hizmet dışı bırakma  saldırılarına (DDoS) karşı bir
koruma aracı değildir.

https://www.bilgiguvenligi.gov.tr/guvenlik-teknolojileri/dnssec-ile-biraz-daha-guvende-miyiz.html