DNSSEC – Yeni Nesil İnternet Güvenliği

Merhabalar,

DNSSEC (DNS Security Extensions),  kısaca tanımlamak istersek kullanıcıları gitmek istedikleri yere götürecek, DNS protokolüne yeni güvenlik sistemleri ekleyen bir çalışmadır. DNS’den bahsedecek olursak, DNS site adreslerinin IP adresindeki karşılığını aklında tutar ve biz bu site adresini adres çubuğuna yazdığımızda (www.ilkerguven.com olarak), bu adresi kayıtlı olan IP numarasıyla eşleştirir. Yani DNS bizi evimize götürecek olan köprüdür diyebiliriz.

Peki her şey bu kadar net ve ortadayken kullanıcıların güvenliğini ne sağlayacak?
İşte burada devreye DNSSEC giriyor. Yazılan adresle bağlantı kurulurken ilk aşamada karşı taraftan doğru bir cevap almak gerekir. DNSSEC karşıdan gelen bu DNS cevabının doğru ve güvenilir olmasını sağlıyor.

DNSSEC temel olarak ön bellek zehirlenmesine karşı geliştirilmiş koruma olanakları sağlamaktadır. DNS kaynağının doğruluğunu kontrol etme, DNS veri bütünlüğünü sağlama gibi… Yukarıda bahsettiğim gibi DNS sunucularından bir istekte bulunduğumuzda yazılan web adresi ile IP adresini eşleştirir. Fakat DNS sunucusu bu eşleştirme için bir garanti sağlamaz. Bu durumda değiştirilmiş bir sunucu için istek yaptığımızda DNS bu sunucunun değiştirildiğini denetlemediği için kullanıcı aslında gitmek istediği yere değilde  değiştirilmiş adrese yönlendirilecektir. DNSSEC ise eşleştirme işlemini dijital bir imza yardımı ile yaparak kullanıcının doğru adrese gitmesini garanti ediyor.

Tarayıcılar sık ziyaret edilen siteler için sürekli sorgulama yapmaz bu adımı atlayarak doğrudan DNS ile iletişime geçer ve sunucudan cevap talebinde bulunur. Bu durum kötü niyetli kişilerin ekmeğine yağ sürmektedir. Fakat DNSSEC bu tür saldırıları engelleyebilmektedir.

DNSSEC sistemi sadece kullanıcı güvenliğini düşünmüyor, kullanıcının yanında internet güvenliğini de sağlıyor. Olası bir doğal afet, DNSSEC sistemine yapılacak saldırılar, terörist saldırısı gibi durumlarda internetin kapanma ihtimaline karşı 7 kişide bulunan özel anahtarlar ile tekrar devreye sokulabilmesine olanak sağlıyor.  Bu işlem için yedi kişiden beşinin ABD’de ki bir merkezde toplanması ve DNSSEC tarafından verilen bir giriş kodu ile interneti yeniden yükleme işlemine başlaması mümkün.

DNSSEC ile birlikte ufakta olsa bazı sorunlar gelebilir. DNS eşleştirmedeki güvenliği sağlayabilmek için bir dijital imza kullanacak dedik. Bu imzanın boyutu her ne kadar küçük olsa da, her istemci-sunucu arasındaki iletişimde gönderilecek olması ve bazı durularda boyutunun 2 mb olması üstelik bunun tüm internet ağında olması genel bir yavaşlamaya sebebiyet verebilir nitelikte.

DNSSEC veri gizliliği sağlamayacak ya da sistemi devre dışı bırakmak amacıyla yapılan (DDOS) saldırısına karşı koruma sağlamayacaktır. Sadece kullanıcıyı istediği yere götürecektir.

İlker GÜVEN

Posted in BT Dünyası, Güvenlik and tagged , , , , , .

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak.

Güvenlik Sorusu *

Şu HTML etiketlerini ve özelliklerini kullanabilirsiniz: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>