DNS, modern saldırı yüzeyinin merkezidir – tüm seviyeleri koruyor musunuz?

   Mart 18, 2025  Posted in Mix


Olgun bir kuruluşsanız, 65.000 IP adresinden (A /16 ağına eşdeğer) harici bir IP bloğunu yönetebilirsiniz. Buna karşılık, Apple gibi çok büyük kuruluşlar şaşırtıcı 16,7 milyon IP adresini veya daha fazlasını (A /8 ağı hakkında) idare edebilir. Ancak, çoğumuz için durum böyle değil. IP adresleri sabit varlıklardır ve pahalı olabilir, bu nedenle modern kuruluşların çoğunda internete maruz bıraktıkları her hizmet için çok sayıda doğrudan atanmış IP adresi yoktur.

Bunun yerine, maruziyeti alan adı sistemi (DNS) aracılığıyla yapılandırmak yaygındır. Bir kuruluşun 100.000’den fazla DNS kaydına sahip olması nadir değildir. Güvenlik duvarı kurallarındaki değişiklikler genellikle bilgi güvenliği yönetim sistemi (ISMS) süreçleri ile sıkı bir şekilde düzenlenirken, DNS kayıtlarında yapılan değişiklikler genellikle çok daha az gözetim ile yapılır. Örneğin, geliştirme ekipleri DNS kayıtlarını doğrudan Terraform veya benzeri kod olarak altyapıyı kullanarak güncelleyebilir, çünkü DNS’nizi dikkatlice yönetmek önemlidir, çünkü yetersiz kontrolden çok sayıda risk ortaya çıkabilir.

DNS’iniz üzerinde tam kontrole sahip olduğunuza inansanız bile, DNS kökünden gerçek yazılım aramasına kadar yol boyunca ortaya çıkabilecek birçok risk vardır.

DNS seviyeleri

Temel DNS araması, son sorguyu tamamlamak için birlikte çalışan birkaç temel bileşeni içerir:

  1. Kök Sunucular: Dünya çapında DNS bilgileri için yetkili kaynak olarak hizmet veren 13 kök sunucu bulunmaktadır. (Eğlenceli Gerçek: Bu sunucuların çoğunluğu NATO ülkelerinde bulunmaktadır.)
  2. Üst düzey etki alanı (TLD): Bunlar .com, .io ve diğerleri gibi farklı alan uzantılarını yönetir.
  3. Kayıt Şirketleri: Bu, alan adınızı satın almaya gittiğiniz yerdir.
  4. DNS sağlayıcıları: Genellikle barındırma hizmetleri, içerik dağıtım ağları (CDN’ler) veya kayıt memurları ile ilişkili olan bu sağlayıcılar DNS yönetimini kolaylaştırır.
  5. Bölgeler: Bu, satın aldığınız etki alanı için yapılandırma ayarlarını ifade eder.
  6. Yazılımınız DNS sorguları gönderir: Bu, birbirleriyle bağlantı kurmak isteyen makineler arasında iletişimi sağlayan DNS’nin uygulanmasıdır.

DN’ler birçok seviyede kırılabilir – ve tespit etmek zor olabilir

DNS başlangıçta, güven üzerine inşa edilmiş bir ağ üzerine sadece az sayıda bilgisayar bağlandığında farklı bir zaman için inşa edildi. Aynı şey, SMTP ve BGP dahil olmak üzere bugün hala kullanılmakta olan diğer birçok protokol için de geçerlidir.

Orijinal uygulamasından bu yana, DNSSEC gibi teknik güvenliği artırmaya yardımcı olan birkaç geliştirme yapılmıştır. DNSSEC, özgünlüklerini sağlamak için mevcut DNS kayıtlarına kriptografik imzalar ekler.

Bununla birlikte, DNS yönetimi genellikle manuel bir süreç olmaya devam eder ve bu da basit yazım hatalarından kaynaklanabilecek sorunlara yol açar. Sorunun birleştirilmesi, DNS ile ilgili birçok tür güvenlik açıklarının ağdan algılanamaması veya bir evreleme ortamında test edilememesidir.

DNS LEVIP

İletişim kurmak bir DNS araması ile başlar. Bilgiler yerel olarak önbelleğe alınabilirken, değilse, aşağıdaki adımlar söz konusu olacaktır.

  • Adım 1: Yerel DNS önbellek/Stub-ReSolver’ınızı kontrol edin. Bilgi varsa, 9. adıma geçin. Değilse, 2. adıma devam edin.
  • Adım 2: Çözücü, üst düzey etki alanı (TLD) hakkında bilgi için kök sunucusunu sorgular.
  • Adım 3: TLD hakkında bilgi alın ve ardından 4. Adım’a geçin.
  • Adım 4: Çözücü, TLD sunucusundan belirli etki alanı hakkında bilgi ister.
  • Adım 5: Etki alanı hakkında bilgi edinin ve 6. Adıma geçin.
  • Adım 6: Çözücü, Detectify.com ile ilgili bilgiler için etki alanını sorgular.
  • Adım 7: Detecticy.com hakkında bilgileri alın ve ardından 8. adıma geçin.
  • Adım 8: DNS Çözücü, etki alanı ile ilgili kayıt bilgilerine yanıt verir.
  • Adım 9: Detectify.com uygulamasını çalışan sunucuya bağlayın.
  • Adım 10: Son teknoloji güvenlik testinin tadını çıkarın!

Her seviyede DNS sorunları

Kök

  • Çıkarımlar:
    • Kök sunucu düzeyinde, uygulamalar için güvenlik sonuçları sınırlıdır – 13 kök sunucusu çok az sayıda kamuya açık olarak bildirilen güvenlik olaylarına sahiptir.
    • Bununla birlikte, yukarıda listelenen sorgu işlemi, Border Gateway Protokolü (BGP) manipülasyonu yoluyla kaçırmaya karşı savunmasız olabilir ve birkaç ülke bilgi erişimini bu şekilde kontrol etmeye çalışır.
  • Gerçek dünya örneği: Facebook bir kez kendilerini kendi hizmetlerinden etkili bir şekilde kilitlemelerine neden olan yanlış BGP bilgileri yayınladı.
  • Eylemler: Bu konular Facebook, Google veya Microsoft gibi büyük teknoloji devleri dışındaki kuruluşlar için daha az alakalı görünse de, kritik altyapı işletenlerin, Facebook olayı tarafından kanıtlandığı gibi, bu altyapıya erişimin nasıl manipüle edilebileceğini veya bozulabileceğini düşünmesi çok önemlidir.

Üst düzey alanlar (TLDS)

Kayıt şirketleri

  • Sonuçlar: Uygulamanız için kayıt şirketlerini yönetme söz konusu olduğunda, özellikle bazı üst düzey alanların (TLD’ler) sadece bir kayıt şirketi olduğu için önemli güvenlik sonuçları vardır. Kayıt şirketinizle olan güveninizi ve ilişkilerinizi değerlendirmek önemlidir, çünkü sorunlar süresi dolmuş veya yenilenmeyen alan adlarından, alan adlarındaki yanlış yazmalardan veya haydut alan adlarını kaydeden çalışanlardan kaynaklanabilir.
  • Gerçek Dünya Örneği öyle Kayıt Müdürü’ne fatura ödememek için kesinti ile karşılaşan İsveç Ulaştırma İdaresi.
  • Eylemler:
    • Riskleri azaltmak için, alan adlarının son kullanma tarihlerini özenle izlemek ve ödeme bilgilerinin güncel kalmasını sağlamak çok önemlidir.
    • Potansiyel tehditlerden ve aksamalardan kaçınmak için alan adlarını yönetmek için katı bir süreç uygulayın.

DNS sağlayıcıları

  • Çıkarımlar: DNS sağlayıcıları uygulamaların güvenliğinde önemli bir rol oynar ve yanlış yazılmış isim sunucusu (NS) işaretçilerinin önemli etkileri olabilir.
  • Gerçek dünya örneği: Örneğin, Mastercard’ın yıllarca akamai alanına yanlış yazılmış bir işaretçi vardı.
  • Eylemler: Yanlış yapılandırılmış DNS ayarlarıyla ilişkili potansiyel riskler göz önüne alındığında, otomasyon bu tür hataları önlemek ve uygulamaları korumak için değerli bir araç olabilir.

Bölgeler ve alt alanlar

  • Çıkarımlar: Bölgelerin ve alt alanların sonuçlarını anlamak, başvurunuzun güvenliği için kritik öneme sahiptir.
    • Yanlış yazılmış bölgeler ve süresi dolmuş temel bulut kaynakları (potansiyel olarak alt alan devralmalarına yol açar) önemli bir risk oluşturmaktadır.
    • MX, DKIM, DMARC ve SPF gibi e -posta güvenlik mekanizmaları bölge bilgileri içinde kontrol edilir ve uygun bölge yönetiminin önemini kanıtlar.
  • Eylem:
    • Uzaklaştırılmış bir bölgenin yetkisiz sertifika verilmesine yol açabileceği göz önüne alındığında, hem DN’lerde hem de bulut kaynak durumlarındaki hızlı değişiklikler nedeniyle daha büyük bölgeler için otomatik kontrollerin uygulanması tavsiye edilir.
    • Canlı olarak devam eden tüm konfigürasyonların kapsamlı bir şekilde değerlendirilmesini ve doğru olmasını sağlayarak potansiyel güvenlik açıklarını azaltmaya yardımcı olacak değişiklikler için bir dört göz prensibi benimseyin.
    • Doğrudan size verilmemiş olsalar bile, sahip olduğunuz alanlarla ilgili sertifika sorunları için SSL şeffaflık günlüklerine dikkat edin.

Yazılım DNS sorguları

  • Çıkarımlar: Önemli olan sadece kendi alanlarınızın yapılandırması değildir. Çoğu durumda, modern bir uygulama önemli miktarda dış kaynak yükler. Bu sürecin güvenliği daha sonra kaynağın yüklendiği alana bağlıdır. Bu, uygulamalarınızın pratik saldırı yüzeyini önemli ölçüde artırır.
  • Eylemler: Temel kaynakların durum alanlarını izleyin. Yüklendiğini doğrulamak için SRI özelliklerinden yararlanın

Hadi özetleyelim

DNS zincirindeki birçok bileşen kırılabilir ve tespit edilmesi zordur. Birkaç yüzden fazla DNS girişiyle uğraşırken, otomasyon bir ihtiyaç haline gelir. DNS ile ilgili güvenlik açıklarının şiddeti, sadece bilgilendiriciden son derece kritik olana kadar önemli ölçüde değişebilir. Geleneksel güvenlik açığı yönetim sistemleri genellikle bu tür yanlış yapılandırma güvenlik açıklarını göz ardı eder.

Alt alan devralmaları son derece bağlamsaldır; Diğer sistemlerden ödün veremezseniz veya devralınma yoluyla kullanıcı verilerine (çerezler gibi) doğrudan erişemezseniz, bunlar genellikle şiddetli kabul edilmez. Bununla birlikte, kök (apeks) bölgesi için birçok ad sunucusundan (NS) delegasyondan birini kontrol ederseniz, durum en şiddetli SQL enjeksiyonundan daha kötüdür. Zamanla, bu, alt alanları da dahil olmak üzere savunmasız alan için hedeflenen tüm trafiğe erişmenizi sağlayabilir.

Otomasyon, saldırı yüzeyiniz genişledikçe bu riskleri yönetmek için çok önemlidir. Tespit etmenin nasıl yardımcı olabileceğini öğrenin. 2 haftalık ücretsiz bir denemeye başlayın veya Uzmanlarımızla konuşun.

Müşteriyi zaten tespit ederseniz, Ne var ne yok En son ürün güncellemeleri, iyileştirmeler ve yeni güvenlik açığı testleri için sayfa.



Source link