DNSSEC Açıklandı: Etki Alanınızı Nasıl Güvenli Hale Getireceğiniz ve DNS Saldırılarını Nasıl Önleyeceğiniz

DNS, internetin omurgasıdır — ancak hiçbir zaman güvenlik göz önünde bulundurularak tasarlanmamıştır. Bir kullanıcı alan adınızı tarayıcıya her yazdığında, bir DNS sorgusu ağa gönderilir ve uygun koruma olmadan, bu sorgu engellenebilir, manipüle edilebilir veya zehirlenebilir. DNSSEC (Domain Name System Security Extensions) bu boşluğu kapatan kriptografik çözümdür ve bunu düzgün yapılandırılmış bir sunucuda uygulamak, çevrimiçi varlığınızı korumak için alabileceğiniz en etkili adımlardan biridir.

Bu kapsamlı rehber her şeyi kapsar: DNS nasıl çalışır, neden savunmasızdır, DNSSEC bu güvenlik açıklarını nasıl giderir ve barındırma ortamınızda adım adım nasıl uygulanır.

İçindekiler

1. DNS Nedir ve Neden Savunmasızdır?
2. DNSSEC Nedir ve Nasıl Çalışır?
3. Temel DNSSEC Bileşenleri Açıklandı
4. Güven Zinciri: DNSSEC’in Temel Mekanizması
5. DNSSEC Uygulamasının Faydaları
6. Adım Adım DNSSEC Uygulama Rehberi
7. AlexHost VPS’de DNSSEC: Neden Önemlidir
8. Kaçınılması Gereken Yaygın DNSSEC Hataları
9. Sıkça Sorulan Sorular

1. DNS Nedir ve Neden Savunmasızdır? {#dns-vulnerabilities}

Domain Name System (DNS) internetin telefon rehberi olarak işlev görür. Bir kullanıcı www.example.com tarayıcısına girdiğinde, DNS bu insan tarafından okunabilir ana bilgisayar adını makine tarafından okunabilir bir IP adresine — örneğin, 93.184.216.34 — çevirir, böylece bağlantı kurulabilir.

Bu işlem milisaniyeler içinde, sessizce, günde milyarlarca kez gerçekleşir. Ancak işte kritik sorun: geleneksel DNS’in aldığınız yanıtın gerçek olduğunu doğrulamak için yerleşik bir mekanizması yoktur. DNS 1980’lerin başında çok daha küçük, daha güvenilir bir internet için tasarlanmıştır. Kimlik doğrulama basitçe bir öncelik değildi.

En Tehlikeli İki DNS Saldırı Vektörü

#### DNS Önbellek Zehirlenmesi

Önbellek zehirlenmesi saldırısı (DNS spoofing olarak da adlandırılır), bir saldırganın sahte DNS kayıtlarını özyinelemeli bir çözümleyicinin önbelleğine enjekte etmesi durumunda oluşur. Zehirlendikten sonra, çözümleyici kötü amaçlı IP adresini o alan adını sorgulayan her kullanıcıya sunar — onları kimlik avı sitelerine, kötü amaçlı yazılım dağıtım sayfalarına veya sahte giriş portallarına yönlendirir — kullanıcı hiçbir şey yanlış olduğunu bilmeden.

Ünlü Kaminsky Saldırısı (2008’de keşfedildi), DNS önbelleklerinin ne kadar felaket düzeyinde savunmasız olabileceğini, kaba kuvvet teknikleri kullanarak bir dakikadan kısa sürede zehirlenebileceğini göstermiştir.

#### Ortadaki Adam (MitM) DNS Saldırıları

Bir MitM DNS saldırısında, bir düşman kendisini istemci ile DNS çözümleyicisi arasına konumlandırır, DNS yanıtlarını aktarım sırasında engeller ve değiştirir. Bu, özellikle güvenli olmayan ağlarda tehlikelidir; burada trafik, herhangi bir tarayıcı uyarısı tetiklemeden saldırgan tarafından kontrol edilen altyapıya yeniden yönlendirilebilir.

#### Bu Saldırılar Neden Bu Kadar Etkilidir

• DNS yanıtları varsayılan olarak kimlik doğrulaması yapılmaz
• Çözümleyiciler yanıtları önbelleğe alır ve birçok kullanıcıya sunar
• Kullanıcıların DNS’in manipüle edildiğine dair görünür bir göstergesi yoktur
• HTTPS bile TLS el sıkışmasından önce DNS düzeyinde yeniden yönlendirmeye karşı tam olarak koruma sağlamaz

Bu tam olarak DNSSEC’in çözmek için inşa edildiği sorundur.

2. DNSSEC Nedir ve Nasıl Çalışır? {#how-dnssec-works}

DNSSEC (Domain Name System Security Extensions), DNS’e kriptografik kimlik doğrulama ekleyen bir IETF belirtim paketidir. DNS sorgularını veya yanıtlarını şifrelemez — DNS over HTTPS (DoH) bunu işler — ancak DNS verilerini dijital olarak imzalar, çözümleyicilerin aldıkları kayıtların gerçek olduğunu ve manipüle edilmediğini doğrulamasını sağlar.

DNSSEC’i her DNS kaydında kurcalamaya karşı dayanıklı bir mühür olarak düşünün. Mühür kırılmış veya eksikse, çözümleyici verilere güvenilemeyeceğini bilir.

Temel İlke: Dijital İmzalar

DNSSEC, DNS kayıtlarını imzalamak için asimetrik kriptografi (genel/özel anahtar çiftleri) kullanır:

1. Özel anahtar DNS kayıtlarını imzalar, dijital bir imza oluşturur
2. Genel anahtar DNS bölgesinin kendisinde yayınlanır
3. Çözümleyiciler yanıtı kabul etmeden önce imzayı doğrulamak için genel anahtarı kullanır
4. Doğrulama başarısız olursa, çözümleyici potansiyel olarak kötü amaçlı veri sunmak yerine bir SERVFAIL hatası döndürür

Bu, bir saldırganın bir DNS yanıtını engellese veya değiştirse bile, kriptografik imza eşleşmeyeceği ve çözümleyicinin manipüle edilen verileri reddedeceği anlamına gelir.

3. Temel DNSSEC Bileşenleri Açıklandı {#dnssec-components}

DNSSEC’i anlamak, kimlik doğrulamayı kurmak ve doğrulamak için birlikte çalışan birkaç yeni DNS kayıt türüne aşinalık gerektirir.

DNSKEY Kaydı

DNSKEY kaydı bir DNS bölgesi için genel kriptografik anahtarı içerir. İki tür vardır:

KSK, ikisinin daha hassas olanıdır — ZSK’yı imzalar, bu da sırayla diğer tüm kayıtları imzalar. Bu iki katmanlı yaklaşım, bölge operatörlerinin ZSK’ları sık sık döndürmesine izin verir ve KSK’yı değiştirmez (ve bu nedenle DS kayıtlarını üst bölgede güncellemez).

RRSIG Kaydı (Kaynak Kaydı İmzası)

DNSSEC etkinleştirilmiş bir bölgedeki her imzalı DNS kayıt seti (RRset), dijital imzayı içeren karşılık gelen bir RRSIG kaydına sahiptir. Bir çözümleyici DNSSEC imzalı bir bölgeyi sorguladığında, hem kaydı hem de RRSIG’sini alır, ardından imzayı doğrulamak için DNSKEY’i kullanır.

DS Kaydı (Delegasyon İmzalayıcı)

DS kaydı üst bölgede yayınlanır (örneğin, .com için example.com) ve alt bölgenin KSK’sinin bir karmasını içerir. Bu, güven zincirinde üst ve alt bölgeleri bağlayan kritik bağlantıdır.

NSEC / NSEC3 Kayıtları (Sonraki Güvenli)

Bu kayıtlar kimlik doğrulamalı varlık olmadığını kanıtlar — sorgulanan bir DNS kaydının gerçekten var olmadığını kanıtlarlar, saldırganların “bulunamadı” yanıtlarını taklit etmesini engeller. NSEC3, bölge numaralandırmasını önlemek için karma adları kullandığından daha güvenli bir varyantıdır.

4. Güven Zinciri: DNSSEC’in Temel Mekanizması {#chain-of-trust}

DNSSEC’in güvenlik modeli, DNS hiyerarşisinin kendisini yansıtan hiyerarşik bir güven zincirine dayanır. Bu zinciri anlamak, DNSSEC’in neden çalıştığını anlamak için gereklidir.

Root Zone (.)
    └── Signed by Root KSK (Trust Anchor)
         └── .com Zone
              └── DS record points to example.com KSK
                   └── example.com Zone
                        └── DNSKEY (KSK + ZSK)
                             └── RRSIG signs all records

Doğrulama Adım Adım Nasıl Çalışır

Adım 1 — Sorgu Başlatma

Bir kullanıcının tarayıcısı özyinelemeli bir çözümleyiciye www.example.com için sorgu gönderir. Çözümleyici, DNSSEC doğrulaması yapıyorsa, hem DNS kayıtlarını hem de ilişkili RRSIG imzalarını ister.

Adım 2 — DNSKEY’i Alma

Çözümleyici example.com için DNSKEY kayıtlarını alır ve istenen kaydın RRSIG’sini doğrulamak için ZSK’yı kullanır.

Adım 3 — KSK’yı Doğrulama

Çözümleyici daha sonra .com üst bölgesinde yayınlanan DS kaydını kontrol ederek KSK’nın kendisini doğrular.

Adım 4 — Köke Kadar İzleme

.com bölgesinin özü, kök bölgesinin DS kayıtlarına karşı doğrulanır ve kök bölgesi, DNSSEC doğrulaması yapan çözümleyicilerin önceden yapılandırılmış olduğu güvenilir bir dizi genel anahtar olan Kök Güven Çapası‘na karşı doğrulanır (ICANN tarafından korunur).

Adım 5 — Kabul Etme veya Reddetme

Zincirdeki her imza doğru şekilde doğrulanırsa, çözümleyici DNS yanıtını istemciye döndürür. Herhangi bir imza başarısız olursa veya beklenen yerde eksikse, çözümleyici SERVFAIL döndürür — kullanıcıyı potansiyel olarak kötü amaçlı verilerden korur.

5. DNSSEC Uygulamasının Faydaları {#benefits}

5.1 Önbellek Zehirlenmesi ve Spoofing’e Karşı Koruma

Bu, DNSSEC’in birincil değer önerisidir. Her DNS kaydı kriptografik olarak imzalandığından, bir saldırgan imzayı geçersiz kılmadan çözümleyicinin önbelleğine sahte kayıtlar enjekte edemez. Sofistike bir Kaminsky tarzı saldırı bile DNSSEC doğrulaması yapan çözümleyicilere karşı etkisiz hale getirilir.

5.2 Veri Bütünlüğü Güvencesi

DNSSEC, DNS kayıtlarının aktarım sırasında değiştirilmediğini garanti eder. E-posta yönlendirmesi (MX kayıtları), hizmet keşfi (SRV kayıtları) veya sertifika doğrulaması (CAA kayıtları) için DNS’e dayanan işletmeler için bu bütünlük operasyonel güvenilirlik açısından kritiktir.

5.3 Gelişmiş Güvenlik Protokolleri için Temel

DNSSEC, kimlik doğrulamalı DNS’e bağlı olan birkaç üst düzey güvenlik mekanizmasını etkinleştirir:

• DANE (DNS Tabanlı Adlandırılmış Varlıkların Kimlik Doğrulaması): TLS sertifikalarının DNS aracılığıyla doğrulanmasını sağlar, Sertifika Yetkililerine olan bağımlılığı azaltır
• SSHFP Kayıtları: SSH parmak izlerini DNS’de depolar, otomatik ana bilgisayar anahtarı doğrulamasını etkinleştirir
• DKIM ve SPF Doğrulaması: DNS tabanlı e-posta kayıtlarının manipüle edilmediğini sağlayarak e-posta kimlik doğrulamasını güçlendirir

5.4 Artan Kullanıcı ve Müşteri Güveni

DNSSEC uygulayan kuruluşlar, güvenlik en iyi uygulamalarına olan bağlılıklarını gösterir. E-ticaret siteleri, finansal hizmetler ve hassas kullanıcı verileri işleyen herhangi bir platform için DNSSEC, SSL Sertifikaları ve daha geniş güvenlik duruşunuzu tamamlayan önemli bir savunma katmanıdır.

5.5 Düzenleyici ve Uyum Uyumu

Birçok güvenlik çerçevesi ve hükümet BT standardı (NIST yönergeleri ve çeşitli ulusal siber güvenlik yetkilemeleri dahil) internet’e açık hizmetler için DNSSEC’i önerir veya gerektirir. Bunu proaktif olarak uygulamak, uyum gerekliliklerinden önde kalmanızı sağlar.

6. Adım Adım DNSSEC Uygulama Rehberi {#implementation}

Adım 1: Uyumluluğu Doğrulayın

Herhangi bir anahtar oluşturmadan önce, hem DNS barındırma sağlayıcınızın hem de alan adı kayıt şirketinizin DNSSEC’i desteklediğini doğrulayın. Spesifik olarak, şunlara ihtiyacınız vardır:

• DNSSEC imzalamayı destekleyen bir DNS sunucusu (BIND 9.7+, PowerDNS, Knot DNS, vb.)
• DS kayıt gönderimleri kabul eden bir kayıt şirketi
• TLD’nizin DNSSEC’i desteklediğinin onayı (neredeyse tüm büyük TLD’ler bunu yapar, .com, .net, .org, .io dahil)

Kendi DNS’inizi bir VPS Barındırma ortamında yönetiyorsanız, bu yapılandırma üzerinde tam kontrole sahipsiniz.

Adım 2: Kriptografik Anahtar Çiftleri Oluşturun

BIND tabanlı bir DNS sunucusunda, ZSK ve KSK oluşturmak için dnssec-keygen yardımcı programını kullanın:

# Generate the Zone Signing Key (ZSK)
dnssec-keygen -a RSASHA256 -b 1024 -n ZONE example.com

# Generate the Key Signing Key (KSK)
dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE example.com

Bu, her anahtar için iki dosya çifti üretir:

• Kexample.com.+008+XXXXX.key — genel anahtar (bölge dosyanıza eklenir)
• Kexample.com.+008+XXXXX.private — özel anahtar (güvenli tutulur, hiçbir zaman yayınlanmaz)

> Güvenlik Notu: Özel anahtarları güvenli, erişim kontrollü bir konumda saklayın. Yüksek güvenlik ortamları için bir Donanım Güvenlik Modülü (HSM) kullanmayı düşünün.

Algoritma Önerileri (2024):

• ECDSA P-256 (Algoritma 13): Yeni dağıtımlar için önerilir — daha küçük anahtar boyutları, daha hızlı doğrulama
• RSA/SHA-256 (Algoritma 8): Yaygın olarak desteklenir, iyi uyumluluk
• RSA/SHA-1 (Algoritma 5) gibi eski algoritmaları kullanmaktan kaçının — kriptografik olarak zayıf olarak kabul edilir

Adım 3: DNS Bölgenizi İmzalayın

Genel anahtarlarınızı bölge dosyanıza dahil edin, ardından bölgeyi imzalayın:

# Add key includes to your zone file
$INCLUDE /etc/bind/keys/Kexample.com.+008+XXXXX.key
$INCLUDE /etc/bind/keys/Kexample.com.+013+YYYYY.key

# Sign the zone
dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) 
  -N INCREMENT -o example.com -t db.example.com

Bu, tüm orijinal kayıtları artı bunların RRSIG imzalarını ve NSEC3 kayıtlarını içeren imzalı bir bölge dosyası (örneğin, db.example.com.signed) oluşturur.

BIND yapılandırmasını imzalı bölge dosyasını kullanacak şekilde güncelleyin:

zone "example.com" {
    type master;
    file "/etc/bind/db.example.com.signed";
};

BIND’i yeniden yükleyin:

sudo rndc reload

Adım 4: Bölge İmzalamayı Otomatikleştirin (Önerilir)

Manuel bölge imzalama hata eğilimlidir ve kayıtlar değiştirildiğinde yeniden imzalanması gerekir. Üretim ortamları için, BIND’in satır içi imzalamasını veya otomatik DNSSEC yönetimini kullanın:

# In named.conf.local — enable auto-DNSSEC
zone "example.com" {
    type master;
    file "/etc/bind/db.example.com";
    auto-dnssec maintain;
    inline-signing yes;
    key-directory "/etc/bind/keys";
};

Satır içi imzalama etkinleştirildiğinde, BIND yeni kayıtları otomatik olarak imzalar ve anahtar döndürmelerini işler.

Adım 5: DS Kayıtlarını Çıkarın ve Yayınlayın

KSK’nızdan DS kayıt verilerini çıkarın:

dnssec-dsfromkey Kexample.com.+013+YYYYY.key

Bu şuna benzer bir çıktı verir:

example.com. IN DS 12345 13 2 A1B2C3D4E5F6...

Alan adı kayıt şirketinizin kontrol paneline giriş yapın ve bu DS kaydını gönderin. Kayıt şirketi bunu üst bölgede (örneğin, .com) yayınlayacak, güven zincirini tamamlayacaktır.

> Önemli: DS kaydı küresel olarak görünür hale gelmeden önce bir yayılma gecikmesi olacaktır (tipik olarak 24–48 saat). Bu dönem boyunca imzasız bölgenizi kaldırmayın.

Adım 6: DNSSEC Yapılandırmanızı Doğrulayın

DNSSEC’in düzgün çalıştığını doğrulamak için bu araçları kullanın:

# Check DNSSEC validation with dig
dig +dnssec example.com A

# Verify the chain of trust
dig +trace +dnssec example.com

# Check DS record publication
dig DS example.com @a.gtld-servers.net

Çevrimiçi Doğrulama Araçları:

• DNSViz (dnsviz.net) — görsel güven zinciri analizi
• Verisign DNSSEC Hata Ayıklayıcı — kapsamlı doğrulama testi
• ICANN DNSSEC Çözümleyici — hızlı geçme/başarısız doğrulama kontrolü

dig yanıtlarında ad (Kimlik Doğrulamalı Veri) bayrağını arayın — bu DNSSEC doğrulamasının başarılı olduğunu doğrular.

Adım 7: Anahtar Döndürme Stratejinizi Planlayın

DNSSEC anahtarları güvenliği korumak için periyodik olarak döndürülmelidir. Önerilen döndürme aralıkları:

Anahtar döndürmeleri, geçiş sırasında güven zincirini bozmamak için ön yayın veya çift imza yöntemi kullanılarak dikkatli bir şekilde gerçekleştirilmelidir. Bu işlemi mümkün olduğunca otomatikleştirin.

7. AlexHost VPS’de DNSSEC: Neden Önemlidir {#alexhost-dnssec}

DNSSEC’i uygulamak, bunu çalıştıran altyapı kadar güvenilirdir. DNS imzalama, hesaplama açısından yoğun, gecikme açısından hassas bir işlemdir — ve barındırma ortamınızın kalitesi hem performansı hem de güvenliği doğrudan etkiler.

AlexHost VPS’nin DNSSEC Dağıtımları için İdeal Olmasının Nedenleri

AlexHost’un VPS Barındırması DNSSEC’in gerektirdiği teknik temeli sağlar:

• NVMe SSD Depolama: DNSSEC imzalama, bölge dosyaları ve anahtar depolama için sık disk G/Ç içerir. NVMe sürücüleri, ağır imzalama yükleri altında bile DNS yanıt sürelerini hızlı tutmak için düşük gecikme, yüksek verim performansı sağlar.
• Tam Kök Erişimi: DNSSEC yapılandırması, BIND veya PowerDNS’i yükleme ve yapılandırma, anahtar dizinlerini yönetme, bölge dosyalarını düzenleme ve otomatik imzalama işlerini planlama gibi derin sistem düzeyinde erişim gerektirir. AlexHost VPS bunu yapmanız için sınırsız kök erişimi verir.
• DDoS Koruması: DNS sunucuları, amplifikasyon ve yansıma DDoS saldırılarının sık hedefleridir. AlexHost’un yerleşik DDoS azaltması, DNS altyapınızı aksi takdirde çözünürlüğü kesintiye uğratabilecek hacimsel saldırılardan korur.
• Yüksek Performanslı Ağ: Düşük gecikme bağlantısı, DNSSEC doğrulamasının (DNSKEY ve DS kayıtları için ek DNS aramaları içerir) sorgu yanıt sürelerini fark edilir şekilde etkilemediğini sağlar.

Kontrol Paneli Seçenekleri

Eğer DNS yönetimine GUI tabanlı bir yaklaşım tercih ederseniz, AlexHost cPanel ile VPS ve DNSSEC yönetimi arayüzleri içeren bir dizi