Temel amacı daha geniş bir yelpazeye hizmet verebilme olan DNS, güvenlik tarafında barındırmadığı önlemler sebebi ile birçok farklı atak tipine maruz kalıyordu. Bunun temel sebebi herhangi bir veri bütünlüğü ya da kimlik doğrulama kontrolü sağlamamasıydı. Saldırgan DNS sunucunun önbelleğine zaman aşımı süresi çok uzun olan sahte bir kaydı soktuğu takdirde, DNS sunucu istemcilere bu sahte IP adresini gönderecektir.

İstemci ile sunucu arasında standart bir isim çözümleme işlemi aşağıdaki gibidir:

1. İstemci kendi DNS sunucusundan www.daha.net adresini sorgular ve IP adresini talep eder.

2. DNS sunucusu www.daha.net ismi için karşılık gelen 1.1.1.1 IP adresini döndürür.

3. İstemci 1.1.1.1. adresindeki web sitesine erişim sağlar.

DNS Spoofing yönteminde ise basitçe aşağıdaki işleyiş gerçekleşir.

1. Saldırgan www.daha.net adresi için 1.0.0.1 sahte IP numarası girdisini içeren DNS kaydını yüksek bir zaman aşımı süresi ile birlikte DNS sunucusuna gönderir.

2. İstemci www.daha.net adresinin IP adresini öğrenmek için DNS sunucusuna sorgu gönderir.

3. DNS sunucusunu saldırgan tarafından kendisine gönderilen bilgiye istinaden bu sitenin adresini 1.0.0.1 olarak istemciye iletir.

4. İstemci DNS sunucudan aldığı bu IP adresine yani sahte web sitesine sanki banka sitesine bağlanıyormuş gibi bağlanır.

DNSSEC bu senaryoların önüne geçilmesi için birden fazla kimlik kontrol yöntemi kullanmaktadır. Bu yöntemler aşağıda incelenmiştir:

Digital İmzalar: DNSSEC ile birlikte oluşturulan imzalar Zone temelli olarak DNS sunucu üzerinde RRSIG (resource record signature) ismiyle tutulur. Bir istemci herhangi bir isim için sorgu gönderdiğinde cevap içerisinde RRSIG gönderilir. DNSKEY ismindeki public anahtar bu imzanın doğrulanması için gereklidir. Bu anahtar ise DNS Server tarafından doğrulama işlemi sırasında elde edilir. Bu sayede sorgu gerçekleştiren istemcinin kimlik doğrulaması sorgu işlemi tamamlanana kadar kullanılır. Aynı zamanda istemcinin bu kayıtları kabul edebilmesi için DNSSEC’den anlaması bir anlamda DO (DNSSEC OK) bayrağını EDNS için yapılandırması gerekmektedir.

Zone İmzalaması: Eğer bir zone’un tamamı imzalanırsa bu zone içerisindeki tüm kayıtlar da imzalanmış olacaktır. Böylece her yeni kayıt eklenmesi işleminde tekrardan imzalama gereksinimi ortadan kalkar.

Authenticated Denial of Existence: Kayıtların imzalanmasında yaşanan problemlerden birisi de var olmayan kayıtlardır. Eğer bir istemci var olmayan bir kayıt için DNS’i sorgular ise, DNS sunucu bu kayıt için herhangi bir RRSIG olmadığı için kaynağın kimliğini doğrulayamaz. Bu sorunun önüne geçilmesi için NSEC (Next Secure) kullanılabilir. NSEC ile Zone içerisinde bir sıralama gerçekleştirilir ve her bir kayıt için NSEC kayıtları oluşturulur. Aynı zamanda bu kayıtların her biri kendinden sonraki NSEC kaydını gösterir. Sonuncu olan NSEC kaydı da ilk NSEC kaydını göstererek döngü tamamlanır. Bu sayede var olmayan bir kayıt için sorgu talebi geldiğinde DNS sunucu bu kayıt var olsaydı olması gereken sıraya göre ilgili NSEC kaydını gönderir. Bu sayede kimlik doğrulaması var olmayan kayıtlar için de sağlanabilir. Aşağıdaki resimde görüldüğü gibi var olan kayıtlar öncelikle sıralanır ve ardından bu sıra izlenerek birbirlerini gösteren NSEC kayıtları girilir.

Türkiye’de hosting artık daha.net!

Bu yazıyı yararlı buldunuz mu ?