DNS Nedir?

Günümüzde internet kullanımı için gerekli olan bir çok kavram ve  bu kavramları açıklayan bir çok teknolojiler vardır. Bu kavramlardan en önemlilerinden biri DNS’dir.Web sayfalarının erişimi için ilk zamanlar IP adreslerinin kullanımı pek pratik ve akılda tutulur bir yöntem değildi. Bugün www ve diğer isim bazlı web erişimleri için kullanılan en akıllı ve uygulanabilir protokol DNS’dir.

DNS, (Domain Name server) internet ve intranet ortamlarında isim bazlı dolaşan servisleri, IP adreslerine dönüştüren metod ve teknolojidir. Kısaca bir adlandırma ve adların karşılıklarını bulma ve eşleştirme serviside diyebiliriz.

DNS Nasıl çalışır?

DNS sistemi, isim sunucuları ve çözümleyicilerinden oluşur. İsim sunucuları olarak düzenlenen bilgisayarlar, host isimlerine karşılık gelen IP adresi bilgilerini tutarlar. Çözümleyiciler ise DNS istemcileridir. DNS istemcileride, DNS sunucusu ya da sunucuların adresleri bulunur.

Bir DNS istemci bir bilgisayarın ismine karşılık IP adresini bulmak istediği zaman isim sunucusuna başvurur. İsim sunucusu, yani DNS sunucusu eğer kendi veritabanında öyle bir isim varsa, bu isme karşılık gelen IP adresini istemciye gönderir. DNS veritabanına kayıtların elle tek tek girilmesi gerekir.

DNS güvenliği neden gereklidir.

DNS 40 yıl önce kurgulanmış ve o zaman ki ihtiyaçlara göre ortaya atılmış bir protokoldür ancak beraberinde birçok tehditede açık durumdadır. Hemen hemen tüm web trafiği için gerekli olan standart DNS’dir.DNS ele geçirme ve exploit saldırıları gibi DNS istismarları için bir çok yöntem vardır. Bu saldırılar, bir web sitesinin gelen trafiği sitenin sahte bir kopyasına yönlendirebilir, hassas kullanıcı bilgilerini toplayabilir ve işletmeleri zor durumda bırakabilir. DNS tehditlerine karşı korunmanın en iyi bilinen yollarından biri DNSSEC protokolünü benimsemektir.

DNS saldırı yöntemlerinden bazıları aşağıdaki gibidir;

- DNS spoofing: DNS sunucularının ön belleklerine zarar vererek istismar edilme yöntemidir.

- DNS Tunneling: TCP, SSH,HTTP gibi protokollerin kullanıldığı servis tiplerini taklit ederek, ve klasik Firewall sistemleri atlatıp farklı bir lokasyona DNS protokolü üzerinden tunnel kurup bilgi taşıma yöntemidir.

- DNS hijacking: DNS’i ele geçirmek için saldırgan, sorguları farklı domain name sunucusuna yönlendirir. Bu, kötü amaçlı yazılımlarla veya bir DNS sunucusunun yetkisiz olarak değiştirilmesiyle yapılabilir. Sonuç olarak DNS sahteciliğine benzer olsa da, bu temelde farklı bir saldırıdır çünkü bir çözümleyicinin önbelleğinden ziyade domain name sunucusundaki web sitesinin DNS kaydını hedef alır.

- Man-in-the-middle:Kötü niyetli üçüncü tarafların iki taraf arasındaki iletişimi izinsiz, gizlice dinleyerek ve her iki tarafıda taklit edip bilgilerin aktarıldığı yöntemdir.

- NXDOMAIN attack: Bir saldırganın bir DNS sunucusunu Rasgele DNS sorguları gönderdiği ve Normal bir trafik için bir Daniel of service  (DoS) yani hizmet reddi saldırısı düzenleyip var olmayan kayıtları istendiği bir tür DNS saldırı yöntemidir.

- Phantom domain attack: Bir DNS çözümleyicisine yapılan NXDOMAIN saldırısına benzer bir etkiye sahiptir. Saldırgan, isteklere çok yavaş yanıt veren veya hiç yanıt vermeyen bir grup "hayalet" etki alanı sunucusu konumlandırır. Çözümleyiciye doğru daha sonra bu etki alanlarına yönelik bir DoS saldırısı yapılır ve çözümleyici yanıtları beklemekle meşgul olur, bu da yavaş performansa ve hizmet reddine neden olur.

- Random subdomain attack: Saldırgan çalışan bir sitenin rastgele, var olmayan birkaç alt etki alanı (Subdomain) için DNS sorguları gönderir. Amaç, alan adının yetkili ad sunucusu için bir hizmet reddi (DoS) oluşturmak ve web sitesini ad sunucusundan aramayı imkansız hale getirmektir.

- Domain lock-up attack: Saldırganlar, diğer meşru çözümleyicilerle TCP bağlantıları oluşturmak için özel etki alanları ve çözümleyiciler kurarak bu saldırı biçimini kullanır. Hedeflenen çözümleyiciler istek gönderdiğinde, bu etki alanları, çözümleyicinin kaynaklarını bağlayarak yavaş rastgele paket akışlarını geri gönderir ve böylece sistemin performansını etkiler.

- Botnet-based CPE attack:  Bu saldırılar, CPE cihazları (Customer Premise Equipment yani modemler, yönlendiriciler, aktif network cihazları vb.) ele geçirerek ,bir siteye veya etki alanına karşı rastgele alt etki alanı (subdomain) saldırıları gerçekleştirmek için kullanılan bir botnet'in parçası haline getirilmiş bir saldırı yöntemidir.

DNS saldırılarından korunma yöntemleri nelerdir?

Kurumlar ve şirketler genellikle alt yapılarındaki  Güvenlik duvarlarına (Firewall) güvenir. Ancak klasik ve Gelecek nesil güvenlik duvarlarınında yapabilecekleri sınırlıdır. Nasılsa bir otomobilin kamyon kadar yük taşıması beklenmiyorsa, bir kamyonundan bir otomobil kadar hız yapması beklenmemelidir. Tamda bu araya DNS security çözümleri girmektedir. Bu çözümler on primeses veya cloud üzerinden hizmet verebilmektedir. Bu çözümler dns sunucularınızın önünde birer koruma duvarı gibi konumlandırıp gelecek saldırıları engellemektedir. Ayrıca Cloud servisleri olarak kullanacağınız entegre DNS sunucuları ile iç yapınızda bir alt yapıya ihtiyaç duymadan korunabilirsiniz.

Bazı DNS güvenliği çözümleri;

DNS içerik kontrol sistemleri Nedir?

Kurumlar , içerik ve web sitesi kontrollerini genellikle güvenlik duvarları üzerindeki Web filtering  veya Web proxy çözümlerini kullanarak sağlamaktadır. Çoğu zaman yeterli gelse bile tam olarak pratik bir çözüm değildir. 

Web proxy veya Firewall sistemlerinin yeterli gelmemesinin birkaç nedeni vardır.Bunlar;

1. DNS tunneling vb. gibi saldırı veya zafiyetten yararlanma yöntemlerini çoğu zaman tespit edememeleri.

2. Dolaşan (Romaing client) kullanıcılar için etkin bir içerik kontrolü desteklememeleri veya hiç desteği olmamaları.

3. Karmaşık konfigürasyon, entegrasyon ve alt yapıya ihtiyaç duymaları.

4. DNS trafiğinin açık (unencrypted) bir şekilde iletmeleri güvenlik açığı oluşturur.

DNS içerik kontrol sistemi nasıl çalışır?

Kullanıcılar gerek Client gerekse Server sistemlerinin DNS bölümlerine , DNS içerik kontrolü servisi veren ürün yada hizmetlere ait DNS çözümleyici IP adreslerini yazarak, içerik kontrolü yapabilirler. Böylece klasik web filtering çözümlerinde olduğu gibi, Botnet, malware, warez, hacker gibi başlıklara sahip kategorilerdeki sitelere erişimler kısıtlanabilir.

Sabit yada hareketli bir kullanıcının her nerde olursa olsun, DNS erişimleri üzerinden güvenliği sağlanmaktadır. DNS trafiği şifrelenmekte, doğrulanmakta ve içerik kontrolü yapılmaktadır.

DNS içerik kontrol sistemleri Çözümleri nelerdir?

DNS trafiği üzerinden içerik kontrol sistemleri yavaş yavaş Firewall sistemleri üzerinde (Paloalto, Fortigate vs.) gelmeye başladı. Bu çözümlere ek olarak yerli ve konusunda eski ve tecrübeli marka ve modellerde mevcutdur. Genellikle DNS içerik kontrol sistemleri pratikliğinin yanında cloud üzerinden hizmet vermesi bir takım alt yapı maliyetlerinide düşürmektedir. Klasik Proxy ve Web filtering çözümleri ile olan karşılaştırması aşağıdaki gibidir.