Anasayfa » Genel » DNSSEC (DNS Security Extensions)

DNSSEC (DNS Security Extensions)

İnternet’in adresleme sistemi olan Alan Adı Sistemi (DNS), internet altyapısının en önemli bileşenidir. Bu bileşen olmadan internet çalışmaz. Yalnız ilk tasarlandığında herhangi bir güvenlik önlemi barındırmadan tasarlanmıştır. Dolayısıyla ortadaki adam (MITM – man in the middle) saldırılarına ve önbellek zehirlenmesine karşı güvenlik riski taşır. Bu durumda, internet trafiği sahte web sitelerine ve istenmeyen adreslere yönlendirilebilir.

DNSSEC bu tehditlerin önüne geçilmesi için bir çok kimlik kontrol yöntemi kullanmaktadır.

– Dijital İmzalar

– Trust Anchors

– Authenticated Denial of Existence

– Zone İmzalanması

– DNSSEC İstemciler

– NRPT (Name Resolution Policy Table)

 

dnssec-01

DNSSEC Takvimi ¹

1990 DNS’de büyük bir hata fark edildi ve DNS’nin güvenli hale getirilmesi için görüşmeler başladı.
1995 DNSSEC, IETF’nin resmi gündemlerinden biri haline geldi.
1999 DNSSEC protokolü (RFC2535) tamamlandı ve DNSSEC özelliğine sahip ilk uygulama olarak BIND9 geliştirildi.
2001 Anahtar yönetimi, DNSSEC dağıtımını büyük ağlar için imkansız hale getiren işletimsel sorunlara yol açtı. IETF, protokolü yeniden yazmaya karar verdi.
2005 Çeşitli RFCs 4033, 4034, 4035’ler için DNSSEC standartları yeniden yazıldı. Ekim ayında, İsveç (.se) bölgesinde DNSSEC etkinleştirildi.
2007 Temmuz ayında ccTLD .pr (Porto Riko) DNSSEC’i etkinleştirdi. Eylül ayında .br (Brezilya), Ekim ayında .bg (Bulgaristan) da DNSSEC’i etkinleştirdi.
2008 NSEC3 standardı (RFC 5155) yayınlandı. Eylül ayında ccTLD .cz (Çek Cumhuriyeti) DNSSEC’i etkinleştirdi.
2009 Verisign ve EDUCAUSE, bazı.EDU kayıt sahipleri için DNSSEC test ortamına ev sahipliği yaptı. Verisign ve ICANN’in iç kullanımı için kök bölge imzalandı. ICANN ve Verisign, KSK ile ZSK’yi imzaladı.
2010 İlk kök sunucu, DURZ (bilinçli olarak doğrulanamaz kök bölge) yöntemini kullanarak imzalanmış kökü sunmaya başladı. Tüm kök sunucular DURZ yöntemini kullanarak imzalanmış kökü sunmaya başladı. ICANN, Culpeper, VA, ABD’de ilk KSK etkinliğini düzenledi. ICANN kök bölge güvenli noktasını yayınladı ve kök operatörleri imzalanmış kök bölgeye gerçek anahtarlarla hizmet sunmaya başladı. İmzalanmış kök bölge kullanılabilir hale geldi. Verisign ve EUDCAUSE, DNSSEC’i .EDU etki alanı için etkinleştirdi. Verisign, DNSSEC’i .NET etki alanı için etkinleştirdi.
2011 Şubat ayında DNSSEC, .GOV kaydını Verisign’a aktardı. Mart’ta .COM imzalandı ve Verisign Managed DNS hizmeti, DNSSEC uyumluluğu için tam destek vermek amacıyla geliştirildi. Kök bölgede 59 TLD güvenli noktalarla imzalandı.
2012 Ocak ayında Comcast, müşterilerinin DNSSEC doğrulayıcı çözümleyiciler kullandığını duyurdu. Mart itibarı ile imzalanan TLD’lerin sayısı 90’a çıktı.

 

DNSSEC yapılandırılmasını sunucu üzerinde gerçekleştirelim…

– Windows Server 2012 DNS sunucusu üzerinde DNSSEC Zone imzalamasını gerçekleştirmek için bir forward lookup zone oluşturalım. Bizimkisi dnssec.sistemciningunlugu.com isimli olacak.

dnssec-02

– Bu alanda DC için Host (A) kaydı oluşturalım.

dnssec-02a

– DNSSEC kullanımı için bu alanı imzalamamız gerekmektedir. Bunun için zone’a sağ tıklayıp DNSSEC > Sign the Zone seçilir.

dnssec-03

 – Costumize zone signing parametres seçilir. Default settings seçilirse, birazdan yapılacak güvenlik parametrelerinden standart olanlar direkt seçilecektir. Eğer daha önceden yapılandırılmış bir alanınız varsa, o alanı parametrelerini kullanmak için existing zone seçilebilir.

dnssec-04

– Aşağıdaki ekranda ise Key Master sunucusu  seçilir. Bu sunucu, imzalanan alan için gerekli olan kripto anahtarları saklar.

dnssec-05

– Oluşturulan anahtar için anahtar uzunlukları seçilir.

dnssec-06

dnssec-07

– Aynı zamanda alan için anahtar uzunlukları belirtilir.

dnssec-08

dnssec-09

– DNSSEC içerinde kullanılan NSEC ve NSEC3 (Next Secure) aktif edilebilir.

dnssec-10

Trust Anchor dağıtımı aktif edilebilir.

dnssec-11

– DNSSEC imzalama ve yoklama değerleri belirlenir.

dnssec12

– Böylece alan imzalama işlemi tamamlanmış oluyor. Finish‘e tıklayıp bitirebiliriz.

dnssec-13

– Alan imzalaması bittikten sonra oluşan ikon ve yeni kayıtlar görüntülenebilir.

dnssec-14

Bu işlemden sonra oluşturulan her kayıt otomatik olarak işaretlenmiş olacaktır. İstemciler üzerinde DNSSEC’le imzalanmış zone’un sorgulanması için NRPT (Name Resolution Policy Table) kullanılır. NRPT ise Group Policy kullanılarak istemcilere dağıtılabilir. Bunu da gerçekleştirelim. Hemen group policy’de yeni bir policy oluşturuyoruz.

dnssec-15

Policy’i oluşturacağınız OU’yu belirleyip yeni policy oluşturduktan sonra sağ tıklayıp Edit diyoruz.

dnssec-16

Computer Configuration > Policies > Windows Settings > Name Resolution Policy  Create Rules altında Suffix seçilir ve daha önce oluşturduğumuz dnssec.sistemciningunlugu.com yazılır. DNSSEC sekmesi altında Enable DNSSEC in this rule tiki atılır. Ardından DNSSEC Settings altında Validation da seçilir. Son olarak Create deyip policy oluşturulur.

Bu işlemden sonra imzalanmış zone sorgulanabilir ve güvenli bir şekilde istemcilere sunulur. DNSSEC işleminden sonra MITM ataklarıdan şu an için çekinmeye gerek yok.

Sonraki yazılarda görüşmek üzere ;

 

1 – http://www.verisigninc.com/tr_TR/innovation/dnssec/index.xhtml

Furkan Kartal
Şu kadar yıldır bu sektörün içindeyim diye bir girişi istesem de yapamam. Dolayısıyla server, firewall, network, client gibi konularda yeterince bilgi sahibi ve kendini geliştirmek için sürekli çalışan bir insan evladıyım.

Yoruz Yaz

1 Yorum on "DNSSEC (DNS Security Extensions)"

Bildir
avatar
Sıralama:   En Yeniler | Eskiler | Beğenilenler
Mehmet IŞIK
Ziyaretçi

Aklınıza sağlık, güzel bir paylaşım olmuş.

x

Check Also

Cisco Prime İnfrastructure 3.0 Network Discovery

Merhabalar, Daha önce Cisco Network Assistant yazısında ufak bir bilgi olarak geçtiğim ve bir önceki yazıda ...

Watch Dragon ball super