1. DNS GÜVENLİĞİ Kadir AKIŞ Selahattin ÇEBİ

2. İçindekiler DNS Nedir ? DNS Genel Çalışma Prensibi DNS te Güvenlik Problemleri Nelerdir ? DNS te Güvenlik Nasıl Sağlanır ? DNSSEC

3. DNS Nedir ? DNS (Domain Name System ; Etki Alanı İsim Sistemi), ağdaki bilgisayarları ve ağ hizmetlerini adlandırmak için kullanılan bir sistemdir. DNS adlandırması, Internet gibi TCP/IP ağlarında, bilgisayarları ve hizmetleri hatırlanması kolay adlarla tanımlamak için kullanılır. Kullanıcı bir uygulamaya bir DNS adı girdiğinde, DNS hizmetleri bu adı çözümleyip kaynağa ulaşılmasını sağlayan bir IP adresi bilgisini kullanıcıya temin eder.

5. İsim çözümleme için dağıtık veritabanı sağlar.

6. İsimleri kaynak kayıtlarına çevirir.

7. Address (A)

8. Mail hosts (MX)

9. Text (TXT)

10. ve daha fazlası….

12. DNS Kaynak Kayıtları SOA :Domain bilgilerini içeren DNS sunucusunu tanımlar A :Bir konak (bilgisayar) adını bir IPv4 adresi ile eşler PTR :Bir IP adresini bir konak (host) adı ile eşler CNAME :Belli bir host için alias adı yaratır MX :E-posta hizmeti veren sunucuları tanımlar SRV :Belli hizmetleri veren sunucuların IP bilgisini tutar. NS :Domain içindeki DNS sunucularının adlarını listeler AAAA :Bir konak (bilgisayar) adını bir IPv6 adresi ile eşler

13. DNS Çözümleme Question: www.cnn.com . www.cnn.com A ? dns.cs.umass.edu lab.cs.umass.edu resolver ask .com server the ip address of .com server stub resolver www.cnn.com A ? .com www.cnn.com A ? xxx.xxx.xxx.xxx ask cnn.com server the ip address of cnn.com server add to cache www.cnn.com A ? xxx.xxx.xxx.xxx cnn.com www.cnn.com

14. DNS - Veri akışı Zone administrator Zone file master resolver slaves Dynamic updates stub resolver

15. DNS Güvenlik Açıkları Cache taklit etme Corrupting data Master taklidi Zone administrator master resolver Zone file Dynamic updates slaves stub resolver Data spoofing ile cache zehirleme İzinsiz güncelleme Data Protection

16. DNS Güvenlik Tehditleri • Alan tutma (Footprinting): Bir saldırganın DNS bölge verilerini elde etme işlemidir; bu şekilde saldırgan, hassas ağ kaynaklarının DNS etki alanı adlarını, bilgisayar adlarını ve IP adreslerini elde edebilir. Saldırgan genelde bir ağın topolojisini çıkarmak veya alanını tutmak için bu DNS verilerini kullanarak saldırıya geçer. DNS etki alanı ve bilgisayar adları, bir etki alanı veya bilgisayarın işlevini veya konumunu gösterir. Saldırgan, ağdaki etki alanlarının ve bilgisayarların işlevini veya konumunu öğrenmek için bu DNS ilkesinden yararlanır.

17. DNS Güvenlik Tehditleri • Servis dışı bırakma (Denial of service) saldırısı: Saldırganın özyinelemeli (recursive) saldırılarla ağdaki bir veya birden çok DNS sunucusunu isteklere cevap veremez hale getirme girişimidir. Sorgularla taşmış bir DNS sunucusunda CPU kullanımı sonuçta en yüksek düzeye ulaşır ve DNS Sunucusu hizmeti kullanılamaz hale gelir. Ağda tam olarak çalışan bir DNS sunucusu olmadan, ağ kullanıcıları, DNS üzerinden öğrenilen ağ hizmetlerini kullanamaz.

18. DNS Güvenlik Tehditleri Veri değişikliği (Data modification): DNS'yikullanarak ağda alan tutmuş olan bir saldırganın, kendi oluşturduğu IP paketlerinde geçerli IP adreslerini kullanarak, bu paketlere ağdaki geçerli bir IP adresinden gelmiş görüntüsü verme girişimidir. Buna genel olarak IP aldatmacası denir. Saldırgan, geçerli bir IP adresiyle (alt ağın IP adresi aralığı içindeki bir IP adresi) ağa erişim sağlayarak verileri yok edebilir veya başka saldırılar düzenleyebilir.

19. DNS Güvenlik Tehditleri • Yeniden Yönlendirme (Redireciton) / Cache Zehirlenmesi : Saldırganın, DNS adlarına ilişkin sorguları kendi denetimi altındaki sunuculara yeniden yönlendirmesidir. Yeniden yönlendirme yöntemlerinden biri, DNS sunucusunun DNS önbelleğini hatalı DNS verileriyle kirletme ve böylece gelecekteki sorguları saldırganın denetimindeki sunuculara yönlendirebilme girişimidir. Örneğin, başlangıçta example.microsoft.com için bir sorgu yapıldıysa ve başvuru yanıtı, microsoft.com etki alanının dışındaki bir ad için (kötüniyetlikullanıcı.com gibi) bir kayıt sağladıysa, DNS sunucusu, o ada ilişkin sorguyu çözümlemek üzere kötüniyetli-kullanıcı.com için önbelleğe alınan verileri kullanır.Güvenli olmayan dinamik güncelleştirmelerde olduğu gibi, bir saldırganın, DNS verilerine yazma erişimi olduğunda yeniden yönlendirme gerçekleştirilebilir.

21. Aradaki Adam(Man in themiddle)

22. DNS Changer / Trojan Özellikle kablosuz ağ ortamlarının olduğu topluma açık paylaşım ağlarında sıklıkla ve rahatça yayılan DnsChanger, bulaştığı bilgisayarlarda 85.255.114.13, 85.255.112.174 numaralarını kullanan sahte DNS Kayıtları oluşturuyor. Bu şekilde bulaştığı kullanıcılar mesela bir banka sitesine girdiklerini sandıkları halde onları kendi taklit ettiği sahte banka sitesine yönlendirebiliyor.

23. DNS Changer / Trojan Ayrıca çoğu kullanıcı varsayılan ADSL modem şifrelerini kullanıyor. Ülkemizde hali hazırda kullanılan ADSL modemlerin varsayılan şifrelerini Google üzerinden search ettiren bir kişi çok rahatlıkla bu şifrelere erişebiliyor. Durum böyle olunca DNSChanger gibi zeki trojanların ADSL modeme girmesi ve buradan o modeme bağlanan bilgisayarlara kendini bulaştırması da zor olmuyor. DNSChanger kendi içine daha önceden yaratıcısı tarafından yerleştirilmiş Wordlisteki şifreleri tek tek deneyerek (brute-force) ilgili modeme Administrator yetkilisi olarak bağlanmaya çalışıyor ve bağlandığı zaman da o modeme bağlı tüm bilgisayarlar zararlı yazılımdan nasibini almış oluyor. Trojan kendi içerisindeki sahte web sitelerine kullanıcıları yönlendirerek kişisel bilgileri, kredi kartı bilgileri, e-posta ve MSN bilgileri gibi bilgileri sahibine gönderebiliyor. DNS Changer çoğunlukla Film, MP3 Siteleri, Forumlar ve Warez içerik barındıran web sitelerinden içerik indiren kullanıcılara bulaşıyor.

26. Güvenlik duvarının, dış DNS sunucusuyla tek bir iç DNS sunucusu arasındaki sadece UDP ve TCP 53. port iletişimine izin verecek şekilde yapılandırılması, alan transferi ihtiyacı yoksa sadece UDP 53.port kullanımı yeterli olacaktır.

27. DNS ‘ te Güvenlik DNS Sunucu Hizmeti Güvenliği DNS hizmetini veren DNS sunucularının güvenliğinin sağlanması için aşağıdaki güvenlik prensiplerine dikkat edilmesi gerekmektedir: • Arabirimler: Sunucusu hizmetinin dinlediği IP adresini, DNS istemcilerinin tercih edilen DNS sunucusu olarak kullandıkları IP adresi ile sınırlanması gerekmektedir. Önbelleğin Korunması: DNS sunucusunun önbelleğinin DNS sunucusunun istemediği kaynak kayıtlarıyla kirletmesinin önlenmesi gerekir.

30. Erişim Kontrol Listeleri: Etki alanı kontrolcülerinde çalışan DNS sunucularında isteğe bağlı erişim kontrol listelerinin (DACL) güvenlik ihlallerine yol açmayacak şekilde yapılandırılması gerekmektedir.

31. Dosya Sistemi: DNS sunucuları için her zaman kullanılacak dosya sistemi, etki alanları, kullanıcı hesapları ve diğer önemli güvenliközellikleri için gereken özellikleri desteklemelidir.

33. Güvenli dinamik güncellemeler (Secure Dynamic updates): Güvenli dinamik güncelleme özelliği yetkisiz kişilerce veya yetkisiz kaynaklardan DNS isim alanı dosyalarına yanıltıcı veya yanlış bilgi girilerek DNS’e yapılabilecek saldırıları önleyen bir özelliktir.

36. DNSSEC DNSSEC nedir? DNSSEC (DNS SecurityExtensions), DNS protokolüne güvenlik özellikleri eklemek üzere başlatılmış bir çalışmadır. DNS protokolünde doğru ve güvenilir bir DNS cevabı almak oldukça önemlidir. Aksi takdirde kullanıcılar kasıtlı olarak tuzak hedeflere yönlendirilebilirler. DNSSEC, DNS önbellek (cache) zehirleme gibi saldırılara karşı geliştirilmiş güvenlik eklentilerinden oluşmaktadır.Temel olarak, DNS cevaplarının kaynağının doğrulanması, DNS veri bütünlüğünün sağlanması ve inkar edememe güvenlik hedeflerini sağlamayı amaçlamaktadır.

37. DNSSEC DNSSEC ile dört yeni kayıt tipi tanımlanmaktadır. Bunlar, RRSIG (ResourceRecordSignature), DNSKEY (DNS PublicKey), DS (DelegationSigner) ve NSEC (NextSecure)' dir. Bu yeni kayıt tipleri RFC 4034 ile detaylı olarak tanımlanmıştır.

38. DNSSEC RRSIG (ResourceRecordSignature) : Her kaynak kaydının , o alanın özel anahtarıyla şifrelenmiş halidir. Her bir kaynak kaydı için bir tane SIG Kaydı vardır.

39. DNSSEC DNSKEY(DNS PublicKey) : Alana ait genel anahtarın tutulduğu kaynak kaydıdır.

40. DNSSEC DS (DelegationSigner) : Bir alanın genel anahtarının özetini tutar. Bu kaynak kaydı alanın bir üst alanında tutulur.Özet alınırken SHA1 veya SHA256 algoritmaları kullanılır.

41. DNSSEC NSEC (NextSecure) : Bir alanda bulunan kaynak kayıtlarının listesini tutar. Ayrıca Zone file da bulunan bir sonraki alanın ismini tutar.

43. DNSSEC veri gizliliği sağlamaz.

45. DNSSECDNSSEC İLE İSİM ÇÖZÜMLEME

46. DNSSEC Question: www.cnn.com . (root) www.cnn.com A ? dns.cs.umass.edu lab.cs.umass.edu resolver ask .com server SIG(the ip address and PK of .com server) by its private key stub resolver www.cnn.com A ? .com www.cnn.com A ? xxx.xxx.xxx.xxx transaction signatures ask cnn.com server SIG(the ip address and PK of cnn.com server) by its private key add to cache slave servers www.cnn.com A ? SIG(xxx.xxx.xxx.xxx) by its private key transaction signatures www.cnn.com cnn.com

47. DNSSEC DNSSEC sonrası bazı sistemlerde sorun yaşanabilir. RFC x’e göre DNS(UDP) paketleri 512 bytedan büyük olamaz. 512 bytedan büyük DNS paketlerinde UDP’denTCP’e geçiş yapılır ya da sistem destekliyorsa EDNS0(RFC 2671) özelliği kullanılır. Günümüzde çok az sayıda da olsa bazı ağ/güvenlik cihazları 512 bytedan büyük DNS(UDP) paketlerini engellemektedir.(Cisco PIX cihazlarda 512 bytedan büyük udp paketlerinin engellenmesi öntanımlı olarak gelir), DNSSEC kullanıldığında da dns cevap paketlerinin boyutu 512 byte aşabilmektedir. Bu durumda eğer 512 byte sorunlu bir ağ/güvenlik cihazı kullanılıyorsa gerekli ayarların yapılması gerekir.

48. DNSSEC Klasik bir DNS isteği ve cevabı : # dig www.lifeoverip.net ; <<>> DiG 9.6.1-P1 <<>> www.lifeoverip.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51212 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;www.lifeoverip.net. IN A ;; ANSWER SECTION: www.lifeoverip.net. 9707 IN CNAME lifeoverip.net. lifeoverip.net. 9708 IN A 91.93.119.80 ;; AUTHORITY SECTION: lifeoverip.net. 41617 IN NS ns3.tekrom.com. lifeoverip.net. 41617 IN NS ns4.tekrom.com. ;; ADDITIONAL SECTION: ns3.tekrom.com. 9669 IN A 70.84.223.226 ns4.tekrom.com. 9669 IN A 70.84.223.227 ;; Query time: 2 msec ;; SERVER: 195.175.39.40#53(195.175.39.40) ;; WHEN: Wed May 5 22:22:44 2010 ;; MSG SIZE rcvd: 144

49. DNSSEC DNSSEC destekli DNS sorgusu ve cevabı # dig +dnssec www.ripe.net @ns3.nic.fr ; <<>> DiG 9.6.1-P1 <<>> +dnssec www.ripe.net @ns3.nic.fr ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53747 ;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 7 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.ripe.net. IN A ;; ANSWER SECTION: www.ripe.net. 172800 IN A 193.0.6.139 www.ripe.net. 172800 IN RRSIG A 5 3 172800 20100604050008 20100505050008 47391 ripe.net. sf4Dwm+GhDpr8rugFO7irAMX+VArEGYyd0snu5j5P1Dm/JtFxAcpn2Ve JKrx0BrPd0Wz6ZriR7Hy+kkDdb7PGFYqIm/Oc0r1sPzlfkrpNziqMhpH SPYyrKhO8nGgErS/cE+2bZQ0JFGi4b0lZtm35ip2Yh7c3YyCe66c+uPz mf/a5x/lJs8qxidcjPamZ/bTz6OSRbrp ;; AUTHORITY SECTION: ripe.net. 172800 IN NS ns3.nic.fr. ripe.net. 172800 IN NS ns-pri.ripe.net. ripe.net. 172800 IN NS sns-pb.isc.org. ripe.net. 172800 IN NS sunic.sunet.se. ripe.net. 172800 IN RRSIG NS 5 2 172800 20100604050008 20100505050008

50. DNSSEC 47391 ripe.net. 3+IKrtiq6M8Xdfq86NvnJPVugRVcWewx6wp/3YuDOgbV/tFcS3rtYudV YDwK0SlELCQTbFDwmSI6nGBc1TfYowgIhAYGozZm6Tob+Cl5d3L9hqa0 9whbwg39RrCFA4fnLNhdWo49BwgiFFNrItWDcogPtL5lrVgexALQeIAF aRq3kIAUtNVmTvKEnnlY9k0Bowd+UfwD ;; ADDITIONAL SECTION: ns3.nic.fr. 172800 IN A 192.134.0.49 ns3.nic.fr. 172800 IN AAAA 2001:660:3006:1::1:1 ns-pri.ripe.net. 172800 IN A 193.0.0.195 ns-pri.ripe.net. 172800 IN AAAA 2001:610:240:0:53::3 ns-pri.ripe.net. 172800 IN RRSIG A 5 3 172800 20100604050008 20100505050008 47391 ripe.net. ITnSKVEA+i+9s8NHNgM71s3eG/f78f1m94TQhkO0zEwHyKpWHcQL6qLP 91KhTZlQDeh0Ia+1En5sX0eJNK/7dZ5HFhSoi8Ef6npROvAQns3HKziW WJAeCCK3wVzUPZWUk4bIQd+NxpqWhfkDwWIqAeII6WGIm1Hn9SHkUI3z 6E2nDmR1AzxLogH7fssUsKseV1fQvB0/ ns-pri.ripe.net. 172800 IN RRSIG AAAA 5 3 172800 20100604050008 20100505050008 47391 ripe.net. GAvzp6SrAcFrptvzb5o3sYGWjhPlLPqi5Rsju4b/QY8TkGcA09/cWL2y SjMnZOr1nivjKc9EEgscbc1kHb3xo9cS4c4S1eWUsxShQDn1Qd1qItEK L/Rt0oWVYX+/aQpgM/frp9JVXLdyi8H2IKayq76RwWkiJOiJzbUdk/+d cUSrSSuMhPvkkrZZxXfNgoDWTPTSalm2 ;; Query time: 196 msec ;; SERVER: 192.134.0.49#53(192.134.0.49) ;; WHEN: Wed May 5 21:46:45 2010 ;; MSG SIZE rcvd: 1006