DNSSEC Nedir? Nasıl Kullanılır?

dnsDNSSec Nedir? DNSSec Nasıl Kullanılır? DNS (Domain Name Server) servisi bizim alan adları ile IP adreslerini eşleştirerek bizim istediğimizi web siteye sunucuya bağlanmamız sağlar. Küçük bir örnek gerekirse diyelim ki www.bgasecurity.com adresine bağlanmak istiyoruz. Biz tarayıcımıza bu adresi yazdıktan sonra tarayıcı bu adresin nerede olduğunu DNS’ e sorar ve DNS’ den alınan IP adresine bağlanır. DNSSec’ yede tamda burada bizim ihtiyacımız oluyor. İstemci ile DNS arasında olan sorgulamalar şifresiz olarak iletilir. DNSSec ise bu sorguları şifreleyerek. Bizim doğru web sitesine gittiğimizden emin oluruz. Bu sayede man-in-the-middle (ortadaki adam) saldırılarından  etkilenmemize önleyici bir işlemdir.

DNSSEC’de KSK ve ZSK nedir?

KSK ve ZSK  DNSSec tarafından kullanılan iki tür anahtardır.  ZSK (Zone Signing Key): Bölge içindeki kayıt kümelerini imzalamak ve doğrulamak için kullanılır. KSK (Key Signing Key): Bölgedeki DNSKEY kayıtlarını imzalamak için kullanılır. Bu anahtarların her ikisi de bölge dosyasında ‘DNSKEY’ kayıtları olarak saklanır.

Kök Bölge Nedir?

DNS nasıl bir çalışma mantığı olduğunu birinci soruda açıklamaya çalışmıştık. DNS’ e sorgu gönderildiğinde ilk baktığı yer kök bölgesidir. Örnek vermek gerekirse “www.bgasecurity.com”  adresini bağlanabilmek için “.com” hakkında bilgi bulabileceği kök bölgesine sorar. Yanıt aldıktan sonra “bgasecurity.com”  daki bilgileri nerede bulacağı kök tarafından tanımlanan “.com” dizin hizmetini sorar ve nihayet “.com” ile tanımlanır. Sonuç da bu işlemden sonra tam adres bilgisayarınıza verilir.

Dizin Hizmetlerini ve Kök Bölgesi Kim Tarafından Yönetir?

Dizin hizmetleri Google, VeriSign Corporation gibi şirketler tarafından yönetilir. Kök bölgesi ise ICANN tarafından yönetilir.

DNSSec’i Ortalama Kullanıcı İçin Güvenliği Nasıl Artıracaktır?

DNSSec’ in tam olarak devreye alınması, son kullanıcının belirli bir alan adına karşılık gelen gerçek web sitesine veya başka bir servise bağlanmasını sağlayacaktır. Bu İnternetin tüm güvenlik sorunlarını çözmese de, kritik bir parçasını korur. Koruyan SSL (https ) gibi diğer teknolojileri tamamlar ve bunun için henüz bir platform sağlamaz. Geliştirilmiş güvenlik iyileştirmeleri olur.

Kök imzalamaya(sign the root) neden vardır?

Kök DNS bölgesi, üst düzey etki alanı (TLD) ad sunucularını (.com, .edu, .org, vb.) sorgulama hakkında bilgi içerir. İnternet kullanıcılarının tüm TLD’ lerde alan adlarına, hatta .software ve .bank gibi yepyeni alanlara erişmelerini sağlar ve bu da onu küresel internet’ in ayrılmaz bir parçası haline getirir.

Kökü İmzaladığınızda (sign the root) Aslında Ne Olur?

DNSSec’ i kullanarak “kök imzalama” kök bölge dosyasına üst düzey etki alanı birkaç daha fazla kayıt yapabiliriz. Eklenenler ise, anahtarın ve o anahtarın geçerliliğini  gösteren bir imzadır. DNSSec kayıtlar için bir doğrulama yolu sağlar. Veri yönetimini şifrelemez veya değiştirmez ve geçerli DNS ve uygulamalarla ‘geriye dönük uyumlu’ olur. Bu, İnternet’in adresleme sisteminin dayandığı mevcut protokolleri değişmediği anlamına gelir. Her seviyede kendi imza oluşturma anahtarlarına sahip olan dijital imza ekliyor. Bu www.icann.org gibi bir alan adı için yol boyunca her organizasyonun altındaki anahtarın imzasını imzalaması gerektiği anlamına gelir. Doğrulama sırasında DNSSec, “child” anahtarlarını otomatik olarak “parent” anahtarlarla birlikte doğrulayan kök dizisine kadar bu güven zincirini izler. Her anahtar, tarafından doğrulanabilir olduğundan Üstteki kimse tüm alan adını doğrulamak için gereken tek anahtardır, en üstteki ana ve kök anahtardır.  Bununla birlikte, bu hiyerarşi, kök imzalanmış olsa bile DNSSEC’in tüm alan adlarında tam olarak konuşlandırılması, belirli bir güven zincirini tamamlamak için aşağıdaki alanların da kendi operatörleri tarafından imzalanması gerektiğinden zaman alacak bir süreç olacaktır.

Kök Bölgesindeki Dosyalar Nasıl Yönetilir?

Kök yönetimi dört payda arasında paylaşılır:

  1. Birleşik Devletler Ticaret Bakanlığı sözleşmesine göre uluslararası bir kar amacı gütmeyen bir kuruluş olan ICANN, “IANA” işlevini yerine getirir. Internet Atanan Numaralar Otoritesi için IANA standı. ICANN en üst düzey etki alanı (TLD) operatörlerinden (örneğin “com”) bilgi alır.
  2. Birleşik Devletler Ticaret Bakanlığı bünyesinde bir büro olan Ulusal Telekomünikasyon ve Bilgi Yönetimi (NTIA) – kök değişiklikleri yetkilendirir.
  3. VeriSign, Birleşik Devletler şirketlerine ABD Hükümeti tarafından, kök bölgesini ICANN tarafından sağlanan ve yetkilendirilen ve dahi Ticaret Bakanlığı tarafından yetkilendirilen ve değiştirilen bilgilerle düzenlemeyi taahhüt eder ve TLD’lerinde bilgileri nerede bulunacağı konusunda bilgi içeren kök bölge dosyasını dağıtır.
  4. Uluslararası köklü sunucu operatörleri grubunun gönüllü olarak çalışması ve İnternet üzerinden kök bölge dosyasından kök bilgilerini dağıtması için dünyanın dört bir yanında 200’den fazla sunucuya sahip olmadır.

Adres Zincirinin Diğer Bölümlerinin de DNSSEC Kullanmasını Durdurmak İçin Ne Gerek Vardır?

Hiçbir şey değil. Ancak gücünün başka bir parçasına dayanan herhangi bir zincir gibi, eğer kök bölgesini imzasız bırakırsanız, önemli bir zayıflığa sahip olacaksınız. Bazı bölümlere güvenilebilir, bazıları olmayabilir.

DNSSEC Güvenliği İçin Bir Organizasyon Tarafından İncelenmesi, Düzenlenmesi ve İmzalanması Neden Önemlidir?

DNSSec’ in doğru bir şekilde çalışması DNS bilgilerinin denetlemesindeki güvene ve bağlantılarına bağlıdır. Verilerin doğrulanasından sonra bu bilgilerin bütünlüğünü garanti etmek ve güvenliğini korumak içindir. Önemli veriler kuruluş sınırları boyunca değiştirildiğinde tanıtılabilen kötü niyetli veya kazayla sonuçlanmayan hatalardan korumaktır.  DNSSec’ in getireceği DNS güvenliği konusundaki güveni arttıkça, ICANN’ ın TLD güven ile bağlama ve kimlik doğrulamasından elde edilen güvenin imzalanmış bir kök bölge dosyasına kadar sürdürülmesi daha da önem kazanmaktadır.