DNS yinelemeli çözümleyicileri ile yetkili ad sunucuları arasındaki iletişim büyük ölçüde güvenli olmadığından, yol üzerindeki ve yol dışındaki saldırılara karşı savunmasızdır.
Çok sayıda güvenlik önerisi ortaya atılmış olmasına rağmen, bunlar sıklıkla uygulama zorluklarıyla karşılaşmakta veya yeterli güvenlik özelliklerinden yoksun kalmaktadır.
Bu kalıcı güvenlik açığı, önceki çözümlerin kusurlarını giderecek yeni ve geniş çapta uygulanabilen güvenli bir şemaya olan ihtiyacı ortaya koyuyor.
Bunun sonucunda Carleton Üniversitesi’ndeki siber güvenlik araştırmacıları yakın zamanda DNSSEC’in güvenliğini ve dezavantajlarını ele alan güvenli bir model olan “DNSSEC+”ı tanıttı.
DNSSEC+ Güvenli Model
DNS, 1980’lerin sonlarında alan adı çözümlemesi için tanıtıldı. İki aşaması vardır: saplama çözücüden özyinelemeli çözümleyiciye ve özyinelemeli çözümleyiciden yetkili ad sunucularına.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Verimli ve ölçeklenebilir olmasına rağmen orijinal tasarım, güvenliği ve gizliliği göz ardı ederek, farklı saldırılarda istismar edilen güvenlik açıklarına yol açıyordu.
Birçok güvenli DNS yaklaşımı önerilmiştir; ancak bunların çoğu Aşama 1’e yöneliktir veya benimsenme zorluklarıyla karşılaşılmaktadır.
DNSSEC hariç, Aşama 2’nin çözümü, zayıf güvenlik ve gizlilik özellikleri veya dağıtılabilirlik endişeleri nedeniyle gerçek dünyada düşük kabul görmüştür.
Aşağıda DNSSEC Sorunlarından bahsettik:
- Yansıma Amplifikasyonu
- İmzalanmamış Kayıtlar
- Süresi Dolmuş Bölge
- Bölge Sayımı
- Bayat Kayıtlar
DNSSEC+, güçlü yanlarını güçlendirirken zayıf noktalarını en aza indirirken diğer 2. Aşama planlarından bazı iyi şeyleri de bünyesine katarak ve performansını iyileştirirken hala karşılaştırılabilir tutarak bu zorlukları ele alan yeni bir tekliftir; böylece insanlar bunu pratik olarak benimseyebilir.
Kayıtların gerçek zamanlı olarak imzalanmasını ve isim sunucuları zinciri içerisinde özel anahtarların tekrarlanmasının önlenmesini sağlamak amacıyla DNSSEC+ kullanılmaktadır.
Kısa ömürlü imzalar aracılığıyla ad sunucusu örneklerini yetkilendiren merkezi bir anahtar sunucusu sunar ve bu da “mantıksal olarak merkezileştirilmiş, ancak fiziksel olarak dağıtılmış” yaklaşımdan “devredilmiş sunucular” modeline geçişe yardımcı olur.
Bu sistem DNSSEC’e benzer ters ağaç güven zincirini korur ve bununla da kalmaz, aynı zamanda DNS yanıtları için gerçek zamanlı bütünlük koruması da sağlar.
DNSSEC+’ın gizliliği zorunlu kılan ve hem sorgu hem de yanıt gizliliğini sağlayan gizliliksiz olmak üzere iki modu vardır.
Ancak bu güvenlik geliştirmeleri ek ağ gidiş-dönüşleri gerektirmez veya sorgu ve yanıt şifrelemesi için ayrı simetrik anahtarlar kullanmaz.
Tasarım, pratik kabulü artırabilecek verimliliği korurken mevcut DNS güvenlik şemalarındaki önemli güvenlik açıklarını ele alıyor.
DNSSEC+, DNSSEC güven modelini temel alarak koruma özelliklerini geliştiren 2. Aşama güvenli bir DNS planıdır.
Daha az güvenli Aşama 2 önerileriyle aynı performansı sunmak için tek yönlü yolculuk verimliliğini korur.
Bu tasarım, güvenilmeyen ad sunucuları konusunda endişe duyduğu için bölgelerdeki uzun vadeli anahtar kopyalarını önler. Mevcut bölge dosya yapılarını ve arama işlevlerini koruyarak DNSSEC+, vanilla DNS ile tamamen uyumlu kalır.
Tam DNS çözümleme güvenliğine ulaşmak için DNSSEC+, istemciden yetkili ad sunucusuna kadar tüm yolu kapsayan güvenli bir aşama 1 protokolüyle birleştirilmelidir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access