DNS (Domain Name Server) servisi alan adları ile IP adreslerini eşleştirerek bağlanmak istediğimiz web sayfasını gösteren bir protokoldür. Tarayıcımıza www.bgasecurity.com adresini yazdıktan sonra tarayıcı bu adresin nerede host edildiğini ilk olarak DNS protokolü ile sorgular ve ardından DNS sorgusu ile gelen IP adresine bağlantı sağlayarak web sayfasını görüntüler. Bu işlem sırasında gelen ve giden veri açık olarak iletilir ve okunabilir durumdadır. Bu sebeple araya girebilecek üçüncü kişiler hangi web sayfasına gitmek istediğinizi kısacası hangi alan adına bağlanmak istediğinizi görebilir. Aynı zamanda araya giren kişiler man-in-the-middle saldırısı ile size iletilen DNS sorgusu cevabını değiştirerek, farklı bir yere yönlendirilmenizi sağlayabilir.
DNSSec ise bu noktada DNS sisteminin güvenlik eksikliklerini tamamlayarak karşımıza çıkmıştır. DNSSec; istemci ile DNS sunucusu arasında gelen ve giden verinin şifreli olarak iletilmesini sağlar. Bu sayede doğru web sayfasına giderek, araya girebilecek üçüncü kişilere karşı güvenli bir iletişim katmanı oluşturulur.
DNSSEC’de KSK ve ZSK nedir?
DNSSEC kullanıcının bağlanmak istediği web sayfasına veya servislere karşılık gelen IP adresine ait bilgiyi doğrulamaktadır. Bu sayede güvenli bir iletişim sağlanmaktadır.
DNSSEC yapısı, KSK “Key Signing Key” ve ZSK “Zone Signing Key” isimleri verilen iki çift anahtardan oluşmaktadır. Yeterli miktarda veri toplanabilirse kriptografik anahtarlar çözülebilir. Bu duruma karşı DNS anahtarları belirli aralıklarla yeniden imzalanmaktadır. DNSSEC brute force gibi saldırılara karşı güvenliği sağlamak için DNS kayıtlarını ZSK anahtar çiftini, imzaları doğrularken ise KSK anahtar çiftini kullanır.
ZSK düzenli olarak değiştirilerek saldırılara karşı sistemi güçlendirilir.
KSK anahtar çifti daha uzun aralıklarla (genel olarak yılda bir) yenilenir.
KSK ZSK‘yı, ZSK DNS kayıtlarını imzalar. KSK‘ya yalnızca alan adındaki DNS kayıtlarını doğrulamak için ihtiyaç duyulur.
KSK‘nın bir kopyası “Delegation Signer” kaydı biçiminde bir üst alan adına kaydedilir. Üst alan adı, alt alandan gelen Delegation Singer kayıtlarını kendi ZSK‘sı ile imzalar.
DNSSEC açık anahtar altyapısı (Certificate Authority) ICANN bünyesinde barındırıyor. Diğer bir yandan KSK‘ları imzalayan kök sertifikalar gönüllü (internet üzerindeki gönüllü topluluklar) katılımcılar tarafından yönetilmektedir.
Kök Bölge Nedir?
DNS’ e sorgu gönderildiğinde ilk kontrol edilen yer kök bölgesidir. Örnek vermek gerekirse “bgasecurity.com” adresini bağlanabilmek için “.com” hakkında bilgi bulabileceği kök bölgesine DNS sorgusu iletilir. Yanıt aldıktan sonra “bgasecurity.com” daki bilgileri nerede bulacağı kök tarafından tanımlanan “.com” dizin hizmetini sorar ve nihayet “.com” ile tanımlanır. Sonuç da bu işlemden sonra tarayıcının veriyi alacağı tam adres iletilmiş olur.
Kök Bölgesi Kim Tarafından Yönetir?
Dizin hizmetleri Google, VeriSign Corporation gibi şirketler tarafından yönetilir. Kök bölgesi ise ICANN tarafından yönetilir. ICANN bu noktada kök bölgesi yetkisini güvenilir firmalara vermektedir.
Son Kullanıcı İçin DNSSec Güvenliği Nasıl Artıracaktır?
DNSSec’ in tam olarak devreye alınması ile daha güvenli bir iletişim sağlanarak man-in-the-middle gibi saldırı türlerine karşı koruma sağlanabilir. Bu noktada interneti güvenli bir hale getiremesek dahi kritik bir parçasını yani DNS sorgusu tarafını daha güvenli bir hale getirmiş olur.
Kök Bölgesindeki Dosyalar Nasıl Yönetilir?
Kök yönetimi dört payda arasında paylaşılır:
- Birleşik Devletler Ticaret Bakanlığı sözleşmesine göre uluslararası ve kar amacı gütmeyen bir kuruluş olan ICANN, “IANA” bu görevi yerine getirir. İnternet Atanan Numaralar Otoritesi için IANA standı. ICANN en üst düzey etki alanı (TLD) operatörlerinden (örneğin “com”) bilgi alır.
- Birleşik Devletler Ticaret Bakanlığı bünyesinde bir büro olan Ulusal Telekomünikasyon ve Bilgi Yönetimi (NTIA) – kök değişiklikleri yetkilendirir.
- VeriSign, Birleşik Devletler şirketlerine ABD Hükümeti tarafından, kök bölgesini ICANN tarafından sağlanan ve yetkilendirilen ve dahi Ticaret Bakanlığı tarafından yetkilendirilen ve değiştirilen bilgilerle düzenlemeyi taahhüt eder ve TLD’lerinde bilgileri nerede bulunacağı konusunda bilgi içeren kök bölge dosyasını dağıtır.
- Uluslararası köklü sunucu operatörleri grubunun gönüllü olarak çalışması ve İnternet üzerinden kök bölge dosyasından kök bilgilerini dağıtması için dünyanın dört bir yanında 200’den fazla sunucuya sahip olmadır.
DNSSEC’in Bir Organizasyon Tarafından İncelenmesi, Düzenlenmesi ve İmzalanması Neden Önemlidir?
DNSSec’in doğru bir şekilde çalışması DNS bilgilerinin denetlemesindeki güvene ve bağlantılarına bağlıdır. Verilerin doğrulanmasından sonra; bu bilgilerin bütünlüğünü garanti etmek ve güvenliğini de korumak zorundayız. DNSSec’in getireceği DNS güvenliği konusundaki güven arttıkça daha verimli kullanılabilir. ICANN’ın TLD güvenliği ile bağlama ve kimlik doğrulamasından elde edilen güvencenin imzalanmış bir kök bölge dosyasına kadar izinin sürdürülmesi çok daha önemlidir.
