İçindekiler:
Nisan ayında, Hollandalı bir hacker şimdiye kadar görülen en büyük dağıtılmış hizmet reddi saldırısı nedeniyle tutuklandı. Saldırı, bir anti-spam kuruluşu olan Spamhaus'a gerçekleştirildi ve Avrupa Birliği'nin BT güvenlik kurumu ENISA'ya göre, Spamhaus'un altyapısındaki yük, önceki kaydın üç katı olan saniyede 300 gigabite ulaştı. Aynı zamanda büyük İnternet tıkanıklığına neden oldu ve dünya çapında İnternet altyapısını tıkadı.
Tabii ki, DNS saldırıları nadiren nadirdir. Ancak Spamhaus davasındaki hacker sadece hedefine zarar vermek istese de, saldırının daha büyük sonuçları, birçok kişinin İnternet altyapısında büyük bir kusur dediğini işaret etti: Alan Adı Sistemi. Sonuç olarak, çekirdek DNS altyapısına yapılan son saldırılar, teknisyenleri ve işadamlarını benzer şekilde çözüm arayışına soktu. Peki ya sen? Kendi işletmenizin DNS altyapısını güçlendirmek için hangi seçeneklere sahip olduğunuzu ve DNS kök sunucularının nasıl çalıştığını bilmek önemlidir. Öyleyse bazı sorunlara ve işletmelerin kendilerini korumak için neler yapabileceğine bakalım. (DNS'de DNS hakkında daha fazla bilgi edinin: Tümünü Yönetmek için Bir Protokol.)
Mevcut Altyapı
Etki Alanı Adı Sistemi (DNS), İnternet'in unuttuğu bir zamandır. Ama bu eski haberleri yapmıyor. Sürekli değişen siber saldırı tehdidiyle DNS, yıllar boyunca büyük bir inceleme altına girdi. DNS, emekleme döneminde, DNS sorgularını gönderen veya alan kişinin kimliğini doğrulamak için hiçbir kimlik doğrulama yöntemi sunmadı.
Aslında uzun yıllardır temel ad sunucuları veya kök sunucuları kapsamlı ve çeşitli saldırılara maruz kalmıştır. Bugünlerde coğrafi olarak çeşitlidirler ve bütünlüklerini korumak için devlet kurumları, ticari kurumlar ve üniversiteler de dahil olmak üzere farklı kurumlar tarafından işletilmektedirler.
Endişe verici bir şekilde, bazı saldırılar geçmişte bir şekilde başarılı olmuştur. Örneğin, kök sunucu altyapısına yönelik sakat bir saldırı 2002'de meydana geldi (bu konuda bir rapor okuyun). Çoğu İnternet kullanıcısı için belirgin bir etki yaratmasa da, 13 işletim kök sunucusunun dokuzunu etkileyen son derece profesyonel ve hedefli olduğu için FBI ve ABD İç Güvenlik Bakanlığı'nın dikkatini çekti. Bir saatten uzun süre devam etseydi, uzmanlar sonuçların felaket olabileceğini ve İnternet'in DNS altyapısının unsurlarını işe yaramaz hale getirebileceğini söyledi.
İnternet altyapısının böylesine ayrılmaz bir parçasını yenmek başarılı bir saldırgana büyük bir güç verecektir. Sonuç olarak, o zamandan beri kök sunucu altyapısının güvenliğini sağlama konusuna önemli zaman ve yatırımlar uygulanmıştır. (Kök sunucuları ve hizmetlerini burada gösteren bir haritayı kontrol edebilirsiniz.)
DNS'nin güvenliğini sağlama
Çekirdek altyapının yanı sıra, kendi işletmenizin DNS altyapısının hem saldırı hem de başarısızlığa karşı ne kadar sağlam olabileceğini düşünmek de aynı derecede önemlidir. Örneğin, ad sunucularının tamamen farklı alt ağlarda veya ağlarda bulunması yaygındır (ve bazı RFC'lerde belirtilmiştir). Başka bir deyişle, ISS A'da tam bir kesinti varsa ve birincil ad sunucunuz çevrimdışı kalırsa, ISS B, anahtar DNS verilerinizi isteyen herkese sunmaya devam edecektir.
Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC), işletmelerin kendi ad sunucusu altyapılarını güvence altına almasının en popüler yollarından biridir. Bunlar, ad sunucularınıza bağlanan makinenin söylediği gibi olmasını sağlayan bir eklentidir. DNSSEC ayrıca, isteklerin nereden geldiğini belirlemeye ve verilerin kendisinin yolda değiştirilmediğini doğrulamaya izin verir. Bununla birlikte, Alan Adı Sisteminin kamuya açık olması nedeniyle, kullanılan şifreleme, verilerin gizliliğini sağlamaz veya altyapının bazı bölümlerinde bazı açıklamaların başarısız olması durumunda kullanılabilirliği hakkında herhangi bir kavramı yoktur.
Bu mekanizmaları sağlamak için RRSIG, DNSKEY, DS ve NSEC kayıt türleri dahil bir dizi yapılandırma kaydı kullanılır. (Daha fazla bilgi için 12 DNS Kaydı Açıklaması'na bakın.)
RRISG, hem sorguyu gönderen makine hem de gönderen makine için DNSSEC mevcut olduğunda kullanılır. Bu kayıt, istenen kayıt türüyle birlikte gönderilir.
İmzalı bilgiler içeren bir DNSKEY şöyle görünebilir:
ripe.net bir DNSKEY kaydı var 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
DS veya yetki verilen imzalayan kayıt, bir ebeveynin ve bir alt bölgenin ek bir rahatlık derecesi ile iletişim kurabilmesi için güven zincirinin kimliğinin doğrulanmasına yardımcı olmak için kullanılır.
NSEC veya sonraki güvenli girişler, esasen DNS girişleri listesindeki bir sonraki geçerli girişe atlar. Varolmayan bir DNS girişini döndürmek için kullanılabilecek bir yöntemdir. Bu, yalnızca yapılandırılmış DNS girişlerinin orijinal olarak güvenilir olması için önemlidir.
Sözlük tarzı saldırıları azaltmaya yardımcı olan geliştirilmiş bir güvenlik mekanizması olan NSEC3, Mart 2008'de RFC 5155'te onaylanmıştır.
DNSSEC Alımı
Birçok destekçi DNSSEC dağıtımına yatırım yapmış olsa da, eleştirmenleri olmadan değil. Sorguların ele geçirilebileceği ve yanlış beslenebileceği ortadaki adam saldırıları gibi saldırıları önlemeye yardımcı olma yeteneğine rağmen, DNS sorguları üretenlere farkında olmadan, mevcut İnternet altyapısının belirli bölümleriyle uyumluluk sorunları olduğu iddia edilmektedir. Ana sorun, DNS'in genellikle daha az bant genişliğine sahip Kullanıcı Datagram Protokolü (UDP) kullanmasıdır; oysa DNSSEC, daha fazla güvenilirlik ve hesap verebilirlik için verilerini ileri geri iletmek için daha ağır İletim Kontrol Protokolünü (TCP) kullanır. Eski DNS altyapısının, haftanın yedi günü, günde 24 saat milyonlarca DNS isteği ile dolup taşan büyük kısımları trafikte artış sağlayamayabilir. Yine de, birçok kişi DNSSEC'nin İnternet altyapısını güvence altına almak için önemli bir adım olduğuna inanıyor.
Hayatta hiçbir şey garanti edilmese de, kendi risklerinizi düşünmek için biraz zaman ayırmak gelecekte birçok maliyetli baş ağrısını önleyebilir. Örneğin DNSSEC'i dağıtarak, temel DNS altyapınızın bölümlerine olan güveninizi artırabilirsiniz.
