Etki Alanı Adı Sistemi (DNS) özünde açık bir protokol olarak tasarlanmıştır. Bu nedenle de saldırılara karşı korunmasızdır. Windows Server 2008 DNS, çeşitli güvenlik özellikleri ekleyerek DNS altyapınızın saldırılara karşı daha fazla korunmasını sağlar. Hangi güvenlik özelliklerinin kullanılacağını belirlemeden önce, DNS güvenliğine yönelik genel tehditler ve kuruluşunuzdaki DNS güvenliği düzeyi konusunda bilgi edinmelisiniz.
DNS güvenlik tehditleri
DNS altyapınız saldırganlar tarafından aşağıdaki genel yollarla tehdit edilebilir:
-
Parmak izi: Önemli ağ kaynaklarının DNS etki alanı adlarını, bilgisayar adlarını ve IP adreslerini edinmek üzere DNS bölge verilerinin bir saldırgan tarafından ele geçirilmesidir. Saldırgan genelde bu DNS verilerini kullanarak ağ diyagramını veya "parmak izlerini" belirlemek yoluyla saldırıya başlar. DNS etki alanı ve bilgisayar adları, genelde kullanıcıların etki alanlarını ve bilgisayarları daha kolay anımsayabilmeleri için, etki alanının ya da bilgisayarın işlevini veya konumunu belirtir. Saldırgan aynı DNS ilkesinden yararlanarak ağdaki etki alanlarının ve bilgisayarların işlevini veya konumunu öğrenebilir.
-
Hizmeti reddi saldırısı: Saldırganın ağdaki bir veya daha fazla DNS sunucusuna çok sayıda yinelenen sorgu göndererek ağ hizmetlerinin kullanılamaz duruma gelmesini sağlamaya çalışmasıdır. DNS sunucusuna çok sayıda sorgu gönderildiğinde, CPU kullanımı en üst düzeyine ulaşır ve DNS Sunucusu hizmeti kullanılamaz hale gelir. Ağda tam olarak çalışır durumda bir DNS sunucusu olmadan, ağ kullanıcıları DNS'den yararlanan ağ hizmetlerini kullanamaz.
-
Verileri değiştirme: DNS'yi kullanarak ağın parmak izini ele geçirmiş bir saldırganın, oluşturduğu IP paketlerinde geçerli IP adresleri kullanmaya çalışmasıdır; böylece bu paketlerin, ağdaki geçerli bir IP adresinden gönderilmiş gibi görünmesi sağlanabilir. Buna genelde IP sızdırma adı verilir. Saldırgan geçerli bir IP adresiyle (alt ağın IP adresi aralığındaki bir IP adresiyle) ağa erişim sağlayarak verilere zarar verebilir veya başka saldırılar gerçekleştirebilir.
-
Yeniden yönlendirme: Saldırganın DNS adı sorgularını kendi denetimindeki sunuculara yeniden yönlendirmesidir. Yeniden yönlendirme yöntemlerinden biri kullanılarak, bir DNS sunucusunun DNS önbelleği, sunucuya sonradan gönderilen sorguları saldırganın denetimindeki sunuculara yönlendirebilecek hatalı DNS verileriyle kirletilebilir. Örneğin, widgets.tailspintoys.com için özgün olarak bir sorgu gerçekleştirilir ve başvuru yanıtı olarak tailspintoys.com etki alanı dışındaki bir adın kaydı sağlanırsa (malicious-user.com gibi), DNS sunucusu bu ad için yapılan sorguyu çözümlemek üzere malicious-user.com için önbelleğe alınan verileri kullanır. DNS verilerine yazma olanaklarıyla erişim sağlandığında, örneğin dinamik güncelleştirmelerin güvenli sağlanmamışsa, saldırganlar yeniden yönlendirme gerçekleştirilebilir.
DNS güvenlik tehditlerinin etkilerini azaltma
DNS, bu genel DNS güvenlik sorunlarının etkileri azaltılacak biçimde yapılandırılabilir. Aşağıdaki tabloda, DNS güvenliği ile ilgili olarak odaklanmanız gereken beş ana konu listelenmektedir.
DNS güvenlik alanı | Description |
---|---|
DNS ad alanı |
DNS güvenliğini DNS ad alanı tasarımınızla birleştirir. Daha fazla bilgi için bkz. DNS Dağıtımının Güvenliğini Sağlama. |
DNS Sunucusu hizmeti |
DNS Sunucusu hizmetinin varsayılan güvenlik ayarlarını gözden geçirin ve DNS Sunucusu hizmeti bir etki alanı denetleyicisinde çalışıyorsa Active Directory güvenlik özelliklerini uygulayın. Daha fazla bilgi için bkz. DNS Sunucusu Hizmetinin Güvenliğini Sağlama. |
DNS bölgeleri |
DNS bölgesinin varsayılan güvenlik ayarlarını gözden geçirin ve DNS bölgesi bir etki alanı denetleyicisinde barındırılıyorsa, güvenliği sağlanmış dinamik güncelleştirmeleri ve Active Directory güvenlik özelliklerini uygulayın. Daha fazla bilgi için bkz. DNS bölgelerinin güvenliğini sağlama. |
DNS kaynak kayıtları |
DNS kaynak kayıtlarının varsayılan güvenlik ayarlarını gözden geçirin ve DNS kaynak kayıtları bir etki alanı denetleyicisinde barındırılıyorsa Active Directory güvenlik özelliklerini uygulayın. Daha fazla bilgi için bkz. DNS Kaynak Kayıtlarının Güvenliğini Sağlama. |
DNS istemcileri |
DNS istemcilerinin kullandığı DNS sunucusu IP adreslerini denetleyin. Daha fazla bilgi için bkz. DNS İstemcilerinin Güvenliğini Sağlama. |
DNS güvenliğinin üç düzeyi
Aşağıdaki bölümlerde DNS güvenliğinin üç düzeyi tanımlanır.
Düşük düzeyde güvenlik
Düşük düzeyde güvenlik, herhangi bir güvenlik önlemi yapılandırılmamış olan standart bir DNS dağıtımıdır. Bu DNS güvenliği düzeyini yalnızca DNS verilerinin bütünlüğü konusunda bir endişenin bulunmadığı ağ ortamlarında veya dış bağlantı nedeniyle herhangi bir tehdit olasılığının bulunmadığı bir özel ağda kullanın. Düşük düzeyde DNS güvenliği aşağıdaki özelliklere sahiptir:
-
Kuruluşun DNS altyapısı tümüyle Internet erişimine açıktır.
-
Standart DNS çözümlemesi ağdaki tüm DNS sunucuları tarafından gerçekleştirilir.
-
Tüm DNS sunucuları Internet için kök sunucularına işaret eden kök ipuçlarıyla yapılandırılmıştır.
-
Tüm DNS sunucuları herhangi bir sunucuya bölge aktarmalarına izin verir.
-
Tüm DNS sunucuları, tüm IP adreslerini dinleyecek biçimde yapılandırılmıştır.
-
Önbellek kirliliğini önleme özelliği tüm DNS sunucularında devre dışı bırakılmıştır.
-
Tüm DNS bölgelerinde dinamik güncelleştirmelere izin verilir.
-
Kaynak ve hedef adresleri için ağdaki güvenlik duvarında Kullanıcı Datagram Protokolü (UDP) ve 53 numaralı TCP/IP bağlantı noktası açıktır.
Orta düzeyde güvenlik
Orta düzeyde güvenlik, DNS sunucularını etki alanı denetleyicilerinde çalıştırmadan ve DNS bölgelerini Active Directory Etki Alanı Hizmetleri'nde ( AD DS) depolamadan kullanılabilen DNS güvenlik özellikleri sağlar. Orta düzeyde DNS güvenliği aşağıdaki özelliklere sahiptir:
-
Kuruluşun DNS altyapısı Internet erişimine sınırlı düzeyde açıktır.
-
Tüm DNS sunucuları, adlar yerel olarak çözümlenemediğinde özel bir iç DNS sunucuları listesine işaret eden ileticiler kullanacak biçimde yapılandırılmıştır.
-
Tüm DNS sunucuları bölge aktarmalarını, bölgelerindeki ad sunucusu (NS) kaynak kayıtlarında listelenen sunucularla sınırlar.
-
DNS sunucuları belirtilen IP adreslerini dinleyecek biçimde yapılandırılmıştır.
-
Önbellek kirliliğini önleme özelliği tüm DNS sunucularında etkinleştirilmiştir.
-
DNS bölgelerinde güvenli olmayan dinamik güncelleştirmelere izin verilmez.
-
İç DNS sunucuları, güvenlik duvarı üzerinden sınırlı bir izin verilen kaynak ve hedef adresleri listesini kullanarak dış DNS sunucularıyla iletişim kurar.
-
Güvenlik duvarının önündeki dış DNS sunucuları, Internet için kök sunucularına işaret eden kök ipuçlarıyla yapılandırılır.
-
Tüm Internet ad çözümlemesi işlemleri proxy sunucular ve ağ geçitleri kullanılarak gerçekleştirilir.
Yüksek düzeyde güvenlik
Yüksek düzeyde güvenlik, orta düzeyde güvenlikle aynı yapılandırmayı kullanır. Bunun yanı sıra, DNS Sunucusu hizmeti bir etki alanı denetleyicisinde çalışıyorsa ve DNS bölgeleri AD DS'de depolanıyorsa kullanılabilen güvenlik özellikleri sunar. Yüksek düzeyde güvenlik ayrıca Internet ile DNS iletişimini tümüyle engeller. Bu, tipik yapılandırma değildir; ancak Internet bağlantısı gerekli değilse önerilir. Yüksek düzeyde DNS güvenliği aşağıdaki özelliklere sahiptir:
-
Kuruluşun DNS altyapısındaki iç DNS sunucuları Internet ile iletişim kurmaz.
-
Ağda bir iç DNS kökü ve ad alanı kullanılır, DNS bölgelerinin tüm yetkilileri ağ içinde bulunur.
-
İleticiler kullanacak biçimde yapılandırılmış DNS sunucuları, yalnızca iç DNS sunucusu IP adreslerini kullanır.
-
Tüm DNS sunucuları bölge aktarmalarını belirli IP adresleriyle sınırlar.
-
DNS sunucuları belirtilen IP adreslerini dinleyecek biçimde yapılandırılmıştır.
-
Önbellek kirliliğini önleme özelliği tüm DNS sunucularında etkinleştirilmiştir.
-
İç DNS sunucuları, iç ad alanının kök bölgesini barındıran iç DNS sunucularına işaret eden kök ipuçlarıyla yapılandırılır.
-
Tüm DNS sunucuları etki alanı denetleyicilerinde çalışır. DNS Sunucusu hizmetinde, yalnızca belirli kişilerin DNS sunucusunda yönetim görevlerini gerçekleştirmesine izin vermek üzere sınırsız erişim denetimi listesi (DACL) yapılandırılır.
-
Tüm DNS bölgeleri AD DS'de depolanır. Yalnızca belirli kişilerin DNS bölgelerini oluşturmasına, silmesine veya değiştirmesine izin vermek için DACL yapılandırılır.
-
Yalnızca belirli kişilerin DNS verilerini oluşturmalarına, silmelerine veya değiştirmelerine izin vermek üzere DNS kaynak kayıtlarında DACL'ler yapılandırılır.
-
Dinamik güncelleştirmelere izin verilmeyen üst düzey ve kök bölgeler dışındaki DNS bölgeleri için güvenli dinamik güncelleştirmeler yapılandırılır.