DNSSEC Nedir?

DNSSECDNSSEC sayısal verinin dijital imza ile doğrulanmasına dayanan, bilişim güvenliğini tamamlayan teknolojilerdendir. DNS sisteminin güvenlik eksiklerini tamamlamak için geliştirilmiştir. DNSSEC doğrulamasının yapılabilmesi için kök alandan son alan adına kadar tüm basamakların DNSSEC uyumlu olması gerekmektedir. Kökün imzalanmış olması, güven zincirinin ön şartıdır (.tr henüz DNSSEC uyumlu değil). DNSSEC mekanizmasında trafik kriptolanmaz, ziyaret edilen alan adının işaret ettiği IP adreslerinin doğruluğu kanıtlanır.

DNSSEC son kullanıcının kullandığı alan adının doğru web sayfasına veya servislere karşılık gelen IP adresine ait olduğunu güvence altına alır. Bu Internet’in tüm güvenlik problemlerini çözmez fakat kritik bir bölümün güvenliğini kontrol altına alır. SSL (https) gibi diğer teknolojilerle birlikte kullanıldığında güvenliği iyileştirilmiş bir platform sağlar.

DNSSEC yapısı, KSK “Key Signing Key” (uzun süreli anahtar) ve ZSK “Zone Signing Key” (kısa süreli anahtar) olmak üzere iki anahtar çiftinden oluşur. Yeterli miktarda veri toplanarak kriptografik anahtarlar çözümlenebilir, bu yüzden DNS kayıtları otomatik olarak belirli aralıklarla yeniden imzalanır. DNSSEC‘de asimetrik veya açık anahtar kriptografisi kullanılmaktadır ve saldırganlar kaba kuvvet saldırısı ile anahtarları imzalayan anahtar çiftinin gizli yarısını ele geçirilebilir. DNSSEC bu tür saldırılara karşı sistemi güçlendirmek için rutin DNS kayıtlarını imzalarken ZSK anahtar çiftini, imzaları doğrularken KSK anahtar çiftini kullanır. ZSK düzenli olarak değiştirilerek saldırılara karşı sistem güçlendirilir. KSK anahtar çifti daha uzun aralıklarla yenilenir (güncel uygulamada yıldar bir). KSK ZSK‘yı, ZSK DNS kayıtlarını imzalar. KSK sadece alan adındaki DNS kayıtlarını doğrulamak için gereklidir. KSK‘nın bir örneği DS “Delegation Signer” kaydı biçiminde bir üst alan adına kaydedilir. Üst alan adı, alt alandan gelen DS kayıtlarını kendi ZSK‘sı ile imzalar.

DNSSEC açık anahtar altyapısı (Certificate Authority) ICANN bünyesinde barındırıyor. Fakat KSK‘ları imzalayan kök sertifikalar gönüllü katılımcılar tarafından yönetiliyor. Küresel kabul için kök anahtarların yönetiminin kimde olduğu önemli bir nokta. ICANN katılımcıların kimler olacağına müdahale etmiyormuş ve ticari kararların bu seçimi etkilememesi gerektiğine inanmaktaymış.

PKI altyapısını kullanan sistemlerde yaşanan güvenli anahtar değiş tokuşu problemine, DNSSEC çözüm sağlayabilecek yetenekte. Yakın gelecekte kriptolu e-posta gönderimi gibi konularda standart haline geleceğini düşünüyorum. Bu konuda “Şifreli e-posta neden yaygınlaşmıyor?” yazım ilginizi çekebilir.

ozcan.com NS suncularını, bu yazıyı yazdığım tarihte DNSSEC uyumlu hale getirdim. BURAYA tıklayarak, kontrol aracını deneyebilirsiniz.  Başka bir yazıda BIND9 ile DNSSEC kullanımını inceleyeceğiz.

Hamdi ÖZCAN – ozcan.com



Yorumlar

Bir yanıt yazın

(gerekli)