DNSSEC
DNSSEC

İnternet'in uçtan uca doğrulanması.

DNSSEC NEDİR?

DNSSEC'nin işlevi nedir?

DNSSEC, yetkili bölge verilerini dijital olarak imzalamak için ortak anahtar şifreleme kullanarak İnternet topluluğunu sahte DNS verilerinden korur. DNSSEC doğrulaması kullanıcıları, verilerin belirtilen kaynaktan geldiği ve aktarma sırasında değiştirilmediği konusunda temin eder. DNSSEC aynı zamanda bir alan adının mevcut olmadığını da ispatlayabilir.

DNSSEC, DNS güvenliğini geliştirse de, kapsamlı bir çözüm değildir. Dağıtılmış hizmet reddi (DDoS) saldırılarına karşı koruma sağlamaz, veri değişimlerinde gizliliği garantilemez, web sitesi verilerini şifrelemez veya IP adresi kimlik avı veya sahteciliği engellemez. DDoS azaltma, güvenlik istihbaratı, Güvenli Soket Katmanı (SSL) şifreleme, site doğrulama ve iki faktörlü kimlik doğrulaması gibi diğer koruma katmanları da İnternet'in daha güvenli hale gelmesinde büyük önem taşır. Bu yöntemler DNSSEC ile birlikte kullanılmalıdır.

DNSSEC kime yarar sağlar?

DNSSEC, İnternet altyapı ekosistemindeki her bileşeni etkiler. Etkili bir şekilde dağıtılması için, İnternet topluluğu içindeki birçok proje katılımcısının katılımı gereklidir. Tescil şirketleri, kayıt şirketleri, alan adı kayıt sahipleri, donanım ve yazılım satıcıları, İSS'ler, devlet kurumları ve İnternet kullanıcılarının hepsi, başarılı olmak ve İnternet güvenliğinde gerekli geliştirmeleri yapmak konusunda rollere sahiptir. DNSSEC'nin avantajları:

  • İnternet topluluğu için, imzalanan bölgelerdeki güvenliği geliştirmek.
  • Kayıt şirketleri için, müşterilerine etki alanı imzalama hizmetleri sunmalarını sağlamak.
  • İSS'ler için müşterilerine döndürülen verilerin güvenliğini artırmak.
  • Kullanıcıları önbellek zehirlenmesi ve ortadaki adam saldırıları gibi DNS güvenlik açıklarından korumak.

DNSSEC nasıl işler?

DNSSEC'de her bölgenin ortak/özel bir anahtar çifti vardır. Bölgenin ortak anahtarı DNS kullanılarak yayınlanır, özel anahtarı ise gizli kalır ve çevrimdışı saklanması tercih edilir. Bir bölgenin özel anahtarı, o bölgenin bireysel DNS verilerini işaretleyerek aynı zamanda DNS ile birlikte yayımlanan dijital imzaları oluşturur. DNSSEC katı bir güvenlik modeli kullanır ve bu güven zinciri üst bölgeden alt bölgeye doğru gelişir. Yüksek düzeyli (üst) bölgeler, düşük düzeyli (alt) bölgelerin ortak anahtarlarını imzalar veya onaylar. Bu bölgelerin yetkili isim sunucuları; kayıt şirketleri, İSS'ler, web barındırma şirketleri veya web sitesi operatörleri (kayıt sahipleri) tarafından yönetilebilir.

Son kullanıcı bir web sitesine erişmek istediğinde, kullanıcının işletim sistemindeki saplama çözümleyicisi, bir İSS'de bulunan tekrarlamalı bir isim sunucusundan alan adı kaydını ister. Sunucu bu kaydı istedikten sonra, bölgeyle ilgili olan DNSSEC anahtarını da ister. Bu anahtar, sunucunun aldığı bilgilerin yetkili isim sunucusundaki kayda benzer olduğunu doğrulamasını sağlar.

Tekrarlamalı isim sunucusu, adres kaydının yetkili isim sunucusu tarafından gönderildiğini ve aktarım sırasında değiştirilmediğini belirlerse, alan adını çözümler ve kullanıcı siteye erişebilir. Bu sürece doğrulama adı verilir. Adres kaydı değiştirilmişse veya belirtilen kaynaktan değilse, tekrarlamalı isim sunucusu kullanıcının sahte adrese erişimine izin vermez. DNSSEC aynı zamanda bir alan adının mevcut olmadığını da ispatlayabilir.

DNSSEC, genel İnternet güvenliği sorununu ne kadar başarıyla çözer?

İnternet güvenliği bulmacasının birçok parçası vardır. DNSSEC ortadaki adam saldırıları ve önbellek zehirlenmesi nedeniyle oluşan güvenlik endişelerini azaltabilir, ancak tam bir güvenlik çözümü değildir. DNSSEC, İnternet güvenliğine yönelik kimlik avı veya sahtecilik gibi en yaygın tehditlerin çoğunu çözememektedir. Bu nedenle SSL sertifikaları ve iki faktörlü kimlik doğrulaması gibi diğer güvenlik katmanları, İnternet'i herkes için güvenli bir yer haline getirmede oldukça önemlidir.

Kullanıcı bir saldırıdan nasıl haberdar olur?

İnternet topluluğu, kullanıcıları bir saldırıdan haberdar etmek için henüz standart bir sistem geliştirmemiştir. Olası bir çözüm, kullanıcılara kimlik doğrulaması yapılmış bir hedefe yönlendirildiklerini bildiren "DNSSEC uyumlu" tarayıcılar geliştirmektir.

Verisign, DNSSEC'nin uygulanması için ne yapar?

Verisign, 2010 Temmuz ayında İnternet Tahsisli Sayılar Otoritesi (IANA) ve ABD Ticaret Bakanlığı (DoC) ile işbirliği yaparak kök bölgede (DNS hiyerarşisinin başlangıç noktası) DNSSEC dağıtımını tamamladı. Verisign ayrıca EDUCAUSE ve DoC ile işbirliği yaparak DNSSEC'yi Temmuz 2010'da .edu üzerinde, Kasım 2010'da .net üzerinde, Mart 2011'de .com üzerinde etkinleştirdi.

Verisign’ın DNSSEC dağıtım stratejisi nedir?

DNSSEC dağıtım stratejimiz, bir sonraki bölgeye ilerlemeden önce her bir dağıtımı dersler çıkarmak amacıyla değerlendirmek için öncelikle daha küçük bölgelerle başladı. .com bölgesi en büyük bölge olduğu için, en son bu bölgeyi imzaladık. Dünyanın İnternet tabanlı ticaret ve iletişiminin böylesine büyük bir bölümünü yönlendiren etki alanını bağlamadan önce, mümkün olduğu kadar çok deneyim kazanmak istiyoruz.

DNSSEC'nin başarılı olması için yapılması gerekenler nelerdir?

DNSSEC'nin başarılı dağıtımı e-ticaret, çevrimiçi bankacılık, e-posta, VoIP ve çevrimiçi yazılım dağıtımı dahil olmak üzere birçok İnternet aktivitesine yönelik güveni artırarak global İnternet topluluğu için geniş kapsamlı faydalar sağlar. Ancak bütün İnternet topluluğu, DNSSEC'yi başarılı hale getirme konusunda sorumluluğu paylaşmaktadır. Başarı için tescil şirketlerinin, kayıt şirketlerinin, kayıt sahiplerinin, barındırma şirketlerinin, yazılım geliştiricilerin, donanım satıcılarının, hükümetin ve İnternet teknoloji uzmanlarının ve birliklerin etkin ve düzenli katılımı gerekmektedir.

DNSSEC'yi kim benimsedi ve dağıttı?

İnternet kök bölgesi, .gov, .org, .museum gibi üst düzey etki alanları (TLD'ler) ve birçok ülke kodu TLD'leri (ccTLD'ler) yönettikleri bölgeleri imzalamıştır. .edu, .net ve .com gibi diğer TLD'ler, 2010 ve 2011'de DNSSEC'yi uyguladı. Bu TLD'ler ikinci düzey DNSSEC imzalı alan adlarını kabul etmeye başladı. Comcast gibi büyük İSS'ler, kullanıcı sorgularını yanıtlayan tekrarlamalı isim sunucularında doğrulamayı etkinleştirdiler, bazı kayıt şirketleri de DNSSEC uygulamasını yol haritalarına dahil ettiler. Ek olarak, İnternet Tahsisli Adlar ve Sayılar Kurumu (ICANN) yeni TLD'ler için başvuruları kabul etmeye başladı. DNSSEC'nin uygulanması yeni TLD taleplerinin karşılanması için zorunluluk haline gelecek.

DNSSEC'nin dağıtımı yapıldıktan sonra yine de Güvenli Soket Katmanına (SSL) ihtiyacım olur mu?

Hem DNSSEC hem de SSL ortak anahtar şifrelemesine bağlı olsa da, her biri birbirinin yerine geçmeyen, ancak birbirini tamamlayan farklı işlevler yerine getirir.

DNSSEC çok basitleştirilmiş bir modelde "nerede”, SSL ise "kim" ve "nasıl" sorularıyla ilgilenir.

  • Nerede—DNSSEC, DNS veri bütünlüğünü doğrulamak için dijital imzalar kullanır, böylelikle kullanıcıların amaçlanan IP adresine ulaşması sağlanır. Kullanıcı adrese ulaşır ulaşmaz işlem tamamlanır. DNSSEC adresteki varlığın kimliğini güvence altına almaz ve kullanıcıyla site arasındaki etkileşimleri şifrelemez.
  • Kim—SSL, bir sitenin kimliğini doğrulamak için dijital sertifikalar kullanır. Bu sertifikalar itibarlı, üçüncü taraf sertifika yetkilileri (CA'lar) tarafından yayınlanır. SSL, kullanıcıları, web sitesinin sahibinin kimliği konusunda temin eder. Ancak SSL, bir kullanıcının doğru siteye eriştiğinden emin olması için bir şey yapmaz, dolayısıyla kullanıcıları yönlendiren saldırılara karşı geçerli değildir. Başka bir deyişle SSL site doğrulaması, yalnızca kullanıcı önce doğru hedefe erişirse etkilidir.
  • Nasıl —SSL ayrıca bir kullanıcıyla site arasındaki veri alışverişlerini şifrelemek için dijital sertifikalar kullanır, böylece mali işlemlerin, iletişimlerin, e-ticaretin ve diğer hassas etkileşimlerin gizliliği korunur.

DNSSEC ve SSL birlikte kullanıldığında İnternet'te güvenliği ve güvenilirliği artırır: Kullanıcılar nereye gittiklerini, kiminle etkileşime geçtiklerini ve etkileşimlerinin ne kadar gizli olduğunu güvenilir bir şekilde bilebilir.

DNSSEC kullanımı yasa veya sektör standartlarına göre gerekli midir?

ABD'de, Yönetim ve Bütçe Ofisi'nin (Office of Management and Budget, OMB) 08-23 numaralı bildirisi, Ocak 2009 itibarıyla DNSSEC'nin üst düzey .gov etki alanında dağıtılmasını ve Aralık 2009 itibarıyla ABD devlet kurumlarının DNSSEC'yi şirket dışı sitelerde dağıtmasını zorunlu hale getirmiştir. .gov tescil şirketi 2009'un başlarında imzalanmıştır. ABD Savunma Bilgileri Sistemleri Ajansı, OMB DNSSEC gereksinimlerini .mil etki alanında da karşılamayı planlamaktadır. ABD Federal Bilgi Güvenliği Yönetimi Kanunu (FISMA) yönetmelikleri, kurumlara intranet bölgelerini 2010 yılı ortasına kadar DNSSEC ile imzalamaları için çağrıda bulunmaktadır. Şu anda kamu web sitesi operatörlerinin etki alanlarını DNSSEC ile güvenceye almaları yönünde bir gereksinim bulunmamaktadır.

DNSSEC'nin geçmişi nedir?

1994: Olası standardın ilk taslağı yayınlandı
1997: RFC 2065 yayınlandı (DNSSEC bir IETF standardıdır) 

1999: RFC 2535 yayınlandı (DNSSEC standardı gözden geçirildi) 

2005: Standartların tamamı yeniden yazıldı ve yayınlandı RFC 4033 (Giriş ve Gereksinimler) RFC 4034 (Yeni Kaynak Kayıtları) RFC 4035 (Protokol Değişiklikleri) 

Temmuz 2010: Kök bölge imzalandı 

Temmuz 2010: .edu imzalandı 

Aralık 2010: .net imzalandı 

Şubat 2011: DNSSEC, .gov kaydını Verisign'a aktardı 

Mart 2011: .com imzalandı 

Mart 2011: Verisign Managed DNS hizmeti, DNSSEC uyumluluğu için tam destek vermek amacıyla geliştirildi 

Ocak 2012: Comcast, müşterilerinin DNSSEC doğrulayıcı çözümleyiciler kullandığını duyurdu 

Mart 2012: İmzalanan TLD'lerin sayısı 90'a çıktı