Domain Name System Security Extensions

Vikipedi, özgür ansiklopedi
Gezinti kısmına atla Arama kısmına atla

DNSSEC (İngilizce: Domain Name System Security Extensions, Türkçe: Alan Adı Sistemi Güvenlik Eklentileri), İnternet Protokolü (IP) ağlarında kullanılan Alan Adı Sistemi (DNS) tarafından sağlanan belirli türdeki bilgilerin güvenliğini sağlamaya yönelik bir İnternet Mühendisliği Görev Grubu(IETF) dökümanıdır. DNS istemcilerine (çözümleyicilerine), DNS verilerinin köken ​kimlik doğrulaması, kimlik doğrulaması reddi ve veri bütünlüğünü sağlayan, ancak kullanılabilirlik veya gizlilik sağlamayan bir DNS uzantısıdır .

Genel Bakış[değiştir | kaynağı değiştir]

Alan Adı Sistemi ( DNS ), orijinal tasarımında hiçbir güvenlik önlemi içermez. Ölçeklendirilebilir dağıtılmış bir sistem olarak tasarlanmıştır. Alan Adı Sistemi Güvenlik Eklentileri (DNSSEC) geriye dönük uyumluluğu korurken, güvenlik önlemleri eklemeye çalışır. RFC 3833, DNS ile ilgili bilinen bazı tehditleri ve DNSSEC'in bu tehditlere nasıl yanıt verdiğini belgelemektedir.

DNSSEC, sahte veya manipüle edilmiş DNS verilerinden (DNS önbellek zehirlenmesi ile oluşturulan veriler gibi ) , uygulamaları korumak için (ve bu uygulamalara hizmet eden çözümleyicileri önbelleğe almak) kullanılacak şekilde tasarlanmıştır. DNSSEC korumasıyla gelen tüm cevaplar dijital olarak imzalanmıştır. Bir DNS çözümleyici, dijital imzayı kontrol ederek, bilgilerin alan sahibi tarafından yayınlanan ve yetkili bir DNS sunucusunda sunulan bilgilerle aynı (yani, değiştirilmemiş ve tam) olup olmadığını kontrol edebilir. IP adreslerini korumak birçok kullanıcı için en öncelikli endişe olsa da, DNSSEC, DNS ‘ de yayınlanan tüm veriyi koruyabilir, metin kayıtları (TXT) gibi, e-posta değişim kayıtları (MX) gibi ve DNS'de saklanan kriptografik sertifikalara başvuru yayınlayan diğer güvenlik sistemlerini saklamak için de kullanılabilir.(örneğin: Sertifika Kayıtları (CERT records, RFC 4398), SSH parmak izleri (SSHFP, RFC 4255), IPSec açık anahtarları (IPSECKEY, RFC 4025), ve TLS Trust Anchors (TLSA, RFC 6698).

DNSSEC verinin gizliliğini sağlamaz, bütün DNSSEC cevapları doğrulanmıştır ancak şifrelenmez. DNSSEC, DoS ataklarına karşı direk olarak korumaz, ancak dolaylı olarak bazı faydalar sağlar(çünkü imza kontrolü güvenilir olmayan tarafların kullanımına izin verir, bu ancak DNS sunucusu kendinden imzalı bir sertifika kullanıyorsa doğrudur ,internet-bağlantılı DNS sunucuları için önerilmez).

DNS sunucuları arasında gönderilen toplu verileri (DNS zone transferi gibi) güvenli hale getirmek için diğer standartlar (DNSSEC olmayan) kullanılır. IETF RFC 4367 ‘ de dökümente edildiği gibi, bazı kullanıcılar ve geliştiriciler DNS adları hakkında yanlış tahminler yapmaktadır, örneğin bir şirketin genel adı artı “.com” her zaman onun alan adıdır gibi. DNSSEC yanlış denemelere karşı korumaz, sadece verinin gerçekte alan sahibinden alındığını veya uygun olmadığını doğrulayabilir.

DNSSEC özellikleri (DNSSEC-bis olarak adlandırılır) geçerli DNSSEC protokolünü detaylı olarak açıklar. Bakınız: RFC 4033, RFC 4034, and [rfc:4035 RFC 4035.] Bu yeni RFC ‘lerin yayınlanmasıyla (Mart 2005), daha önceki RFC ( RFC 2535 ) geçmişte kalmıştır.

İnternetin bir bütün olarak güvenceye alınması için DNS' in güvence altına alınmasının kritik öneme sahip olduğuna inanılmaktadır, ancak DNSSEC' in yayılması özellikle bazı zorluklar ile aksamıştır (22 Ocak 2010'dan beri):

• İnternet boyutuna göre ölçeklenebilen geriye-yönelik uyumlu bir standart tasarlama ihtiyacı,

• İstenildiğinde, "bölge(DNS zone) ayrıntılı listesi" koruması,

• Çok geniş alanda yayılmış DNS sunucuları ve çözümleyicileri (istemciler) genelinde DNSSEC uygulamalarının yayılması,

• Üst seviye alan kök anahtarlarına kimin sahip olması gerektiği konusunda uygulayıcılar arasındaki anlaşmazlık,

• DNSSEC ve DNSSEC yayılımının algılanan zorluğunu, karmaşıklığını aşmak .

Microsoft Windows' un kullandığı saplama çözümleyici ; Özellikle Windows 7 ve üstü, geçerliliği olmayan (ancak DNSSEC uyumlu) bir türdür.[1][2] DNSSEC hizmetlerine gerçek bir güvenin yerleştirilmesi için, bu saplama çözümleyici, söz konusu yinelemeli ad sunucularına (genellikle ISP tarafından denetlenir) ve kendisi ile bu ad sunucuları arasındaki iletişim kanallarına IPsec(çok fazla yayılmamış olanın kullanımıyla)[3], SIG(0), or TSIG[4]. gibi yöntemler kullanarak güvenmelidir.

İşlemler[değiştir | kaynağı değiştir]

DNSSEC , DNS sorguları için kayıtları, açık anahtar şifrelemesi ile dijital olarak imzalayarak çalışır. Doğru DNSKEY kaydı, bir güven zinciri aracılığıyla doğrulanır. Bu zincir güvenilir üçüncü taraf olan DNS kök bölgesi(DNS root zone) için bir dizi onaylanmış açık anahtarla başlar. Alan sahipleri kendi anahtarlarını oluşturur ve DNS kontrol panellerini kullanarak alan adı kayıt sitelerine yüklerler. Burası da anahtarları secDNS aracılığıyla bölge operatörüne (örn. .com için Verisign) gönderir ve bunları DNS'de imzalar ve yayınlar.

Kaynak kayıtları[değiştir | kaynağı değiştir]

DNS, çeşitli kaynak kayıtlarının kullanılmasıyla gerçekleştirilir. DNSSEC'i uygulamak için, DNSsec ile kullanılmak üzere birkaç yeni DNS kayıt türü oluşturuldu veya uyarlandı:

RRSIG (kaynak kayıt imzası)

Bir kayıt grubu için DNSSEC imzasını içerir. DNS çözümleyicileri, imzayı DNSKEY kaydında saklanan açık anahtarla doğrular.

DNSKEY

Bir DNS çözümleyicisinin RRSIG kayıtlarındaki DNSSEC imzalarını doğrulamak için kullandığı açık anahtarı içerir.   

DS (yetkili imzalayan)

Yetkili bölgenin adını tutar. Bir alt yekili bölgedeki bir DNSKEY kaydına başvurur. DS kaydı, temsilci NS kayıtları ile birlikte üst bölgeye yerleştirilir.

NSEC (bir sonraki güvenli kayıt)

Bölgedeki bir sonraki kayıt adına bir bağlantı içerir ve kaydın adı için var olan kayıt türlerini listeler. DNS çözümleyicileri, bir kayıt adının bulunmadığını doğrulamak için NSEC kayıtlarını kullanır ve DNSSEC doğrulamasının bir parçası olarak yazar.   

NSEC3 (sıradaki güvenli kayıt versiyon 3)

Bölgedeki bir sonraki kayıt adının (karıştırılmış isim sırası düzeninde) bağlantılarını içerir ve NSEC3 kaydının kendi adının ilk etiketindeki hash değerinin kapsadığı ad için varolan kayıt tiplerini listeler. Bu kayıtlar, bir kayıt adının bulunmadığını doğrulamak ve DNSSEC doğrulamasının bir parçası olarak yazmak için çözücüler tarafından kullanılabilir. NSEC3 kayıtları, NSEC kayıtlarına benzerdir, ama  NSEC3, bir bölgedeki kayıt adlarının numaralandırılmasını(sayılmasını) önlemek için kriptografik olarak karıştırılmış(hashed) kayıt adları kullanır.   

NSEC3PARAM (sıradaki güvenli kayıt versiyon 3 parametreleri)

Yetkili DNS sunucuları, varolan adlar / türler için DNSSEC isteklerine yanıtları içerecek NSEC3 kayıtlarını hesaplamak ve belirlemek için bu kaydı kullanır. DNSSEC kullanıldığında, her DNS sorgu yanıtı, istenen kayıt türüne ek olarak bir RRSIG DNS kaydı içerir. RRSIG kaydı, DNS yanıtı yanıt kümesinin dijital imzasıdır. Dijital imza, bir DNSKEY kaydında bulunan doğru ortak anahtarın yerini belirleyerek doğrulanır. NSEC ve NSEC3 kayıtları herhangi bir RR'nin varlığının kriptografik kanıtlarını sağlamak için kullanılır. DS kaydı, güven zincirini kullanarak sorgu yordamında DNSKEY'lerin kimlik doğrulamasında kullanılır. NSEC ve NSEC3 kayıtları, sahteciliğe karşı dayanıklılık için kullanılır.

Algoritmalar[değiştir | kaynağı değiştir]

DNSSEC, genişletilebilecek şekilde tasarlanmıştır, böylece mevcut algoritmalara karşı saldırılar keşfedildikçe, geriye doğru uyumlu bir şekilde yenileri eklenebilir. Aşağıdaki tablo, en çok kullanılan güvenlik algoritmalarını Nisan 2013 itibarıyla tanımlamaktadır:[5]

Algoritma alanı Algoritma Kaynak Uygulama durumu
1 RSA/MD5 Uygulanmamalı
3 DSA/SHA-1 İsteğe Bağlı
5 RSA/SHA-1 RFC 3110  Gerekli
7 RSASHA1-NSEC3-SHA1 RFC 5155 Önerilen
8 RSA/SHA-256 RFC 5702 Önerilen
10 RSA/SHA-512 Önerilen Önerilen
12 GOST R 34,10-2001 RFC 5933 İsteğe Bağlı
13 ECDSA/SHA-256 RFC 6605 Önerilen
14 ECDSA/SHA-384 Önerilen Önerilen
15 Ed25519 RFC 8080 İsteğe Bağlı
16 Ed448 RFC 8080 İsteğe Bağlı

Sorgu Prosedürü[değiştir | kaynağı değiştir]

Bir DNS sorgusunun sonuçlarından, güvenlik bilinci olan bir DNS çözümleyici, sorgulanan alan için yetkili ad sunucusunun DNSSEC'i destekleyip desteklemediğini, yanıtın güvenli olup olmadığını ve bir çeşit hata olup olmadığını belirleyebilir. Sorgu prosedürü birçok ISP’ nin ki gibi yinelemeli ad sunucuları ve ana-akım işletim sistemlerinde olan saplama çözücülerden farklıdır. Microsoft Windows ' un kullandığı saplama çözümleyici, Windows Server 2008 R2 ,Windows 7 ' de özellikle geçerliliği olmayan ama DNSSEC uyumlu bir saplama çözümleyicisidir.[2][3]

Yinelemeli ad sunucuları[değiştir | kaynağı değiştir]

Güven modeli zincirini kullanarak, üst etki alanındaki (DNS zone) bir Yetkili İmzalayıcı (DS) kaydı, bir alt etki alanındaki bir DNSKEY kaydını doğrulamak için kullanılabilir; bu, daha sonra alt etki alanlarını doğrulamak için diğer DS kayıtlarını da içerebilir. ISP ad sunucusu gibi özyinelemeli bir çözümleyicinin "www.example.com" alan adının IP adreslerini (A kaydı ve / veya AAAA kayıtları) almak istediğini varsayalım.

1. Güvenlik-tanılı bir çözümleyici, bir DNS sorgusunda "DO" ("DNSSEC OK"[6] ) işaret biti ayarladığında işlem başlar. DO biti, EDNS tarafından tanımlanan genişletilmiş bayrak bitlerinden olduğundan, tüm DNSSEC işlemleri EDNS'yi desteklemelidir. Ayrıca, DNSSEC işlemlerinin gerektirdiği daha büyük paket boyutlarına izin vermek için EDNS desteği de gereklidir.

2. Çözümleyici normal DNS sorgu işlemi yoluyla bir yanıt aldığında, yanıtın doğru olduğundan emin olmak için kontrol eder. İdeal olarak, güvenlik-tanılı çözümleyici, DNS kökündeki DS ve DNSKEY kayıtlarının doğrulanmasıyla başlayacaktır. Daha sonra, "com" bölgesinde DNSKEY kayıtlarını doğrulamak için kökte bulunan "com" üst düzey etki alanı için DS kayıtlarını kullanır. Buradan itibaren, "com" bölgesinde "example.com" alt alanı için bir DS kaydı olup olmadığına bakar ve eğer varsa, DS kaydı, "example.com" bölgesinde bulunan bir DNSKEY kaydını doğrulamak için kullanır. Son olarak, "www.example.com" için A kayıtlarının cevabında bulunan RRSIG kaydını doğrular.

Yukarıdaki örnek için bazı istisnalar vardır.

İlk olarak, "example.com" DNSSEC' i desteklemiyorsa, yanıtta RRSIG kaydı olmayacaktır ve "com" bölgesinde "example.com" için bir DS kaydı olmayacaktır. "Example.com" için bir DS kaydı varsa, ancak yanıtta RRSIG kaydı yoksa, bir şey yanlıştır ve belki ortadaki adam saldırısı vardır ve DNSSEC bilgilerinin soyulması,A kayıtlarının değiştirilmesi gerçekleşiyor olabilir. Ya da, DO işaret biti sorgusundan veya RRSIG kaydının cevabından sıyrılan yol boyunca, kırılmış ,güvenlikten habersiz bir isim sunucusu olabilir. Ya da bir yapılandırma hatası olabilir.

Sonra eğer "www.example.com" adında bir alan adı bulunmuyor ise, bu durumda cevapta bir RRSIG kaydı yerine, bir NSEC kaydı veya bir NSEC3 kaydı olacaktır. Bunlar, çözümleyicinin bir alan adının mevcut olmadığını kanıtlamasına izin veren "sonraki güvenli" kayıtlardır. NSEC / NSEC3 kayıtlarında, yukarıdaki gibi doğrulanabilen RRSIG kayıtları bulunur.

Son olarak ise "example.com" bölgesi DNSSEC' i uygulamış olabilir, ama "com" bölgesi veya kök bölgesinin uygulamamış olabilir. 15 Temmuz 2010 itibarıyla, DNSSEC' in köke dağıtımı tamamlandı.[7] .com etki alanı geçerli güvenlik anahtarlarıyla imzalanmış ve 1 Nisan 2011'de kök bölgesine güvenli temsilci eklenmiştir.[8]

Saplama çözümleyiciler[değiştir | kaynağı değiştir]

Saplama çözümleyicileri, DNS çözümleme çalışmasının çoğunu özyinelemeli bir ad sunucusuna yüklemek için yinelemeli sorgu modunu kullanan minimal DNS çözümleyicileridir.[9] Bir saplama çözümleyici, bir isteği yinelemeli ad sunucusuna iletir ve yanıttaki Kimlik Doğrulama Bilgisi (AD) biti, "yinelemeli ad sunucusunun, yanıtın Cevap ve Yetki bölümünün içindeki tüm veriler için imzaları doğrulayıp doğrulayamadığını bulmak için" ipucu "olarak kullanır.[4] Microsoft Windows' un kullandığı saplama çözümleyici , Windows Server 2008 R2 ve Windows 7, özellikle doğrulanmamış, ancak AD-bit uyumlu bir saplama çözümleyicisi kullanmaktadır.[2][3]

Doğrulayıcı saplama çözümleyicisi, sorgulama iletilerinde Devre Dışı Bırakma (CD) biti'ni ayarlayarak kendi imza doğrulamasını da gerçekleştirebilir.[4] Kendi yinelemeli kimlik doğrulamasını gerçekleştirmek için CD biti kullanır. Böyle bir doğrulanmış saplama çözümleyicisi kullanmak, İnternet hizmet sağlayıcısı veya onlarla bağlantı güvenilir olmasa bile, DNSSEC'yi uygulayan alanlar için istemciye uçtan uca DNS güvenliği sağlar.

Doğrulayıcı olmayan saplama çözümleyicinin DNSSEC hizmetlerine gerçek bir güven yer vermesi için, saplama çözümleyici söz konusu yinelenen ad sunucularına (genellikle Internet hizmet sağlayıcısı tarafından denetlenen) güvenmelidir. Kendisi ile bu isim sunucuları arasındaki iletişim kanalları IPsec, SIG (0) veya TSIG[4] gibi yöntemlerdir. IPsec kullanımı geniş çaplı yayılmamıştır.[3]

Güvenli Mekanizma ve Kimlik Doğrulama Zincirleri[değiştir | kaynağı değiştir]

DNS yanıtının doğru olduğunu kanıtlayabilmek için, en az bir anahtar veya DNS dışındaki kaynaklardan doğru olan bir DS kaydı bilmesi gerekir. Bu başlangıç noktaları, güven mekanizmaları olarak bilinir ve genellikle işletim sistemi veya başka bir güvenilen kaynak ile elde edilir. DNSSEC orijinal olarak tasarlandığında, gereken tek güven mekanizmasının DNS kökü için olduğu düşünülüyordu. Kök mekanizmalar ilk defa 15 Temmuz 2010'da yayınlandı.[10]

Kimlik doğrulama zinciri, sorgudaki alan için yetkili ad sunucusuna bir güven mekanizması ile başlayan bir dizi bağlı DS ve DNSKEY kaydıdır. Tam bir kimlik doğrulama zinciri olmadan, bir DNS sorgusunun cevabı güvenli bir şekilde doğrulanamaz.

İmzalar ve Bölge İmzalama[değiştir | kaynağı değiştir]

Yeniden gönderme saldırılarını sınırlamak için, önbelleğe alma amacıyla yalnızca normal DNS TTL değerleri değil, bir imzanın geçerliliğini sınırlamak için RRSIG kayıtlarındaki ek zaman damgaları da vardır. Kayıtların gönderildiği zamana göre TTL değerlerinden farklı olarak, zaman damgaları mutlaktır. Bu, güvenlikle ilgili tüm DNS çözümleyicilerinin, birkaç dakika içinde eşit olarak senkronize olan saatlere sahip olması gerektiği anlamına gelir.

Bu zaman damgaları, bir bölgenin düzenli olarak yeniden imzalanması ve ikincil sunuculara yeniden dağıtılması gerektiğini ya da doğrulanmış çözümleyiciler tarafından imzaların reddedileceğini ima eder.

Anahtar Yönetimi[değiştir | kaynağı değiştir]

DNSSEC, hem DNSKEY kayıtlarında hem de güven kaynaklarını oluşturmak için diğer kaynaklarda saklanan birçok farklı anahtar içerir.

Yedek anahtarlara izin vermek için, bir anahtar çevrim şeması gereklidir. Genellikle, bu, eski anahtarlara ek olarak, yeni DNSKEY kayıtlarındaki yeni anahtarları ilk kez içerir. Ardından, yaşama değerlerinin eski anahtarların saklanılmasına neden olduğunu varsaymak güvenliyse , bu yeni anahtarlar kullanılabilir. Son olarak zamanı geçmiş eski anahtarları kullanan kayıtları saklamayı varsaymak güvenliyse, eski DNSKEY kayıtları silinebilir. Bu işlem , kökte olduğu gibi, bağlayıcı mekanizmalara(anchor) güvenme anahtarlarındaki gibi şeyler için daha karmaşıktır ,öyle ki , işletim sisteminde bir güncelleştirme gerektirebilir.

DNSKEY kayıtlarındaki anahtarlar iki farklı şey için kullanılabilir ve genellikle her biri için farklı DNSKEY kayıtları kullanılır. İlk olarak, diğer DNSKEY kayıtlarını imzalamak için kullanılan anahtar imzalama anahtarları (KSK) vardır. İkincisi, diğer kayıtları imzalamak için kullanılan bölge imzalama anahtarları (ZSK) vardır. ZSK'ler belirli bir DNS bölgesi tarafından tam kontrol ve kullanım altında olduğundan, daha kolay ve daha sık değiştirilebilirler. Sonuç olarak, ZSK'ler KSK'lerden çok daha kısa olabilir ve RRSIG / DNSKEY kayıtlarının boyutunu azaltırken aynı koruma düzeyini sunmaya devam eder.

Yeni bir KSK oluşturulduğunda, DS kaydı bir üst bölgesine aktarılmalı ve orada yayınlanmalıdır. DS kayıtları, kayıtların boyutunu küçük tutmak için tam anahtar yerine KSK' nın bir mesaj özetini kullanır. Bu, çok büyük olan .com etki alanı gibi bölgeler için yararlıdır. Üst bölgedeki DS anahtarlarını güncelleme yordamı, üst bölgedeki DNSKEY kayıtlarını gerektiren önceki DNSSEC sürümlerinden de daha basittir.

DANE Çalışma Grubu[değiştir | kaynağı değiştir]

Adlandırılmış varlıkların DNS tabanlı kimlik doğrulaması (DANE), internet uygulamalarının DNSSEC tabanlı TLS, DTLS, SMTP ve S / MIME ile kriptografik olarak güvenli iletişim kurmasına olanak tanıyan protokoller ve teknikler geliştirme amacıyla bir IETF çalışma grubudur[11].

Yeni protokoller, açık anahtar altyapısına dayalı geleneksel model için ek güvenceler ve kısıtlamalar getirecektir. Ayrıca, alan sahiplerine üçüncü taraf sertifika yetkililerine[12] atıfta bulunmadan kendileri için sertifikalar vermelerini de sağlar.

Google Chrome 14' te[13] DNSSEC yerleştirilmiş sertifika desteği sağlandı, ancak daha sonra kaldırıldı.[14] Mozilla Firefox için destek, bir eklenti[15] tarafından sağlanırken, yerel destek şu anda üzerinde çalışmaya başlamak için birilerini bekliyor.[16]

Tarihçe[değiştir | kaynağı değiştir]

DNS, temel ve ciddi bir internet hizmetidir, ancak 1990 yılında Steve Bellovin sistemin içinde önemli güvenlik açıkları keşfetti. Sistemin güvenlik araştırması başladı ve 1995 yılında yayınladığı makalesinin ardından önemli ölçüde ilerleme katedildi .[17] İlk RFC 2065, 1997 yılında IETF tarafından yayınlandı ve bu spesifikasyonu uygulamaya yönelik ilk girişimler bir düzenlemeye yol açtı, (ve tamamen çalışır olduğuna inanılan) yeni düzenleme 1999 yılında RFC 2535 olarak yayınlandı. RFC 2535'e dayanan DNSSEC'i uygulamak için planlar yapıldı.

Ne yazık ki, IETF RFC 2535 dokümanı, internetin tamamına kadar ölçeklenen çok önemli sorunlara sahipti, 2001 yılında bu dokümanın büyük ağlar için kullanılamaz olduğu netleşti. Normal işlemlerde DNS sunucuları sık sık sunucu atalarıyla senkronizasyonu yitirir. Bu durum genellikle sistem için bir sorun oluşturmaz, ama DNSSEC etkinleştirildikten sonra, bu senkronize olmayan veriler ciddi bir kendi kendine oluşturulmuş Denial of Service saldırısına neden olabilir. Orijinal DNSSEC, bir alt seviyedeki DNS sunucusu için anahtar değişikliklerinde karmaşık bir altı mesaj protokolüne ve çok sayıda veri aktarımına ihtiyaç duyuyordu (DNS alt seviyedeki sunucuların tüm verilerini üst seviyeye yollaması, bu verilerin imzalaması ve ardından bu imzaların sunucuya tekrar yollanması gerekiyordu). Ayrıca, açık anahtar değişikliklerinin beklenmedik etkileri olabiliyordu. Örneğin, ".com" kayıtlarının tutulduğu sunucu açık anahtarını değiştirirse, bu sunucunun 22 milyon kayıt göndermesi gerekirdi (tutulan tüm kayıtların imzalarının güncelenmesi için). Böylece, RFC 2535'te tanımlandığı gibi DNSSEC tüm internete ölçeklendirilemedi.

IETF, DNSSEC'i RFC 2535'in DNSSEC yaklaşımından farklı kılmak için temel değişiklikler yaparak DNSSEC-bis' i oluşturdu. DNSSEC-bis yaklaşımında, ebeveyn ve çocuk bölgesi arasındaki temsil noktalarında ek bir dolaylılık seviyesi sağlamak için "yetkili imzalı (DS) kaynak kayıtları" kullanır. Yeni yaklaşımda, bir çocuğun ana açık anahtarı değiştiğinde, çocukta bulunan her bir kayıt için altı mesaj göndermesi yerine, sadece bir mesajla yeni açık anahtarını ebeveynine imzalı olarak göndermesi yeterlidir. Böylece oldukça pratik bir şekilde ebeveynler her çocuk için bir ana açık anahtar tutar. Ayrıca ebeveyn ve çocuklar arasında çok büyük boyutta veri değişimini en aza indirger. Bu, kullanıcıların anahtarları doğrularken biraz daha fazla çalışma yapması gerektiği anlamına gelir. Daha spesifik olarak, bir DNS bölgesinin KEY RRset(kaynak kayıtları anahtarı) doğrulanması, RFC 2535'de belirtilen tek imza doğrulama işlemi yerine iki imza doğrulama işlemi gerektirir (diğer RRset türleri için doğrulama imzalarının sayısı üzerinde herhangi bir etkisi yoktur). Bu durum DNSSEC dağıtımını daha pratik hale getirdiğinden, çoğu insan için daha küçük bir fiyat olarak görünür.

NXDOMAIN yanıtları ve NSEC için Kimlik Doğrulama[değiştir | kaynağı değiştir]

Kriptografik olarak bir alanın(domain) yokluğunu kanıtlamak, var olmayan bir alan için her sorguya yanıtı imzalamayı gerektirir. Bu, anahtarları çevrimiçi olarak saklayan çevrimiçi imzalama sunucuları için bir sorun değildir. Ancak DNSSEC, kayıt imzalamak için çevrimdışı bilgisayarları kullanacak şekilde tasarlanmıştır; böylece bölge imzalama anahtarları soğuk depoda tutulabilir. Bu durum, varolan her ana makine(hostname) adı sorgusuna bir yanıtın önceden üretilmesi mümkün olmadığından mevcut olmayan alanlara yönelik sorgulara yanıtları doğrulamaya çalışırken sorun oluşturur.

Bu probleme ilk çözüm, bir bölgedeki her alan çifti için NSEC kaydı oluşturmak şeklindeydi. Böylece, bir kullanıcı var olmayan k.example.com 'daki bir kaydı sorguladığında, sunucu a.example.com ve z.example.com arasında hiçbir şeyin bulunmadığını belirten bir NSEC kaydıyla yanıt verir. Ancak bu, bölge hakkında daha fazla bilgiyi, gerçek alanlarının varlığını sızdırdığı için, geleneksel kimliği doğrulanmamış NXDOMAIN hatalarından daha fazla veri sızdırmaktadır.

NSEC3 kayıtları (RFC 5155) doğrudan isimleri listelemek yerine alternatif olarak isimlerin özetleriyle(hash fonksiyonu) listelemek için oluşturulmuştur. Zaman içinde, GPU'lar ve özel donanımlar kullanılarak özet fonksiyonundaki ilerlemeler, NSEC3 yanıtlarının çevrimdışı sözlük saldırıları ile kolaylıkla aşılabileceği anlamına geliyordu. NSEC5, yetkili sunucuların bölgeyi değiştirmek üzere kullanacağı özel bir anahtar bulundurmadan NSEC yanıtlarını imzalamasına izin vermesini önermiştir. Böylece bir NSEC5KEY'in çalınması sadece bir bölgenin daha kolay sayılmasına neden olacaktır.[18]

Protokolün dağınık evrimi ve geriye dönük uyumluluğu koruma isteğinden dolayı, çevrimiçi DNSSEC imzalama sunucuları, doğrudan bir varlığının reddini(denial of existence) doğrulamak yerine bir "beyaz yalan" döndürüyor. RFC 4470 'deki teknik ana hat, etki alanı çiftlerinin istenen etki alanını çevrelediği bir NSEC kaydı döndürür. Örneğin, k.example.com için yapılan bir istek, j.example.com ve l.example.com alan adlarının arasında hiçbir şeyin bulunmadığını kanıtlayan bir NSEC kaydı dönecektir. CloudFlare, "kayıt var, ancak istenen kayıt türü bulunmuyor" mesajıyla, önemli ölçüde azaltılmış veri yükü boyutuna sahip olduğunu kanıtlayan başka bir yaklaşıma öncülük etti.[19]

Dağıtım[değiştir | kaynağı değiştir]

İnternet hassas bir altyapıya sahiptir, ancak çalışması güvenli olmayan DNS'ye bağlıdır. Bu nedenle, DNS'yi güvence altına almak için güçlü bir teşvik vardır ve DNSSEC'i kullanmak bu çabanın temel bir parçası olarak kabul edilir. Örneğin, ABD Ulusal Siber Güvenlik Stratejisi özellikle DNS'nin güvenliğini sağlamanın gerektiğine değinmiştir.[20] DNSSEC'in geniş çaplı dağıtımı, e-posta adresleri için güvenli anahtar dağıtımı gibi diğer birçok güvenlik problemini de çözebilir.

Büyük ölçekli ağlarda DNSSEC dağıtımı da oldukça zorlayıcıdır. Ozment ve Schechter, DNSSEC'in (ve diğer teknolojilerin) bir "bootstrap problemine" sahip olduğunu gözlemlemiştir. Yani kullanıcılar genellikle anında bir fayda elde ettikleri zaman bir teknolojiyi kullanırlar, ama herhangi bir kullanıcı bu teknoloji için yapacağı harcamadan daha büyük bir kazanç elde etmeden önce minimum düzeyde bir dağıtım gerekiyorsa (DNSSEC için olduğu gibi), dağıtımı zordur. DNSSEC, bir DNS hiyerarşisinin herhangi bir düzeyinde uygulanabilir, ancak diğerlerinin benimsemesini istemeden önce bir bölgede yaygın olarak bulunmalıdır. DNS sunucuları, DNSSEC'i destekleyen bir yazılımla güncelleştirilmeli, DNSSEC verileri oluşturulmalı ve DNS bölgesi verilerine eklenmelidir. Bir TCP/IP kullanan istemcinin, DNSSEC'in özelliklerini kullanabilmesi için DNS çözümleyicisinin (istemci) güncelleştirilmesi gerekir. Ek olarak, herhangi bir çözümleyici, DNSSEC kullanmaya başlamadan önce güvenebileceği en az bir ortak anahtarı olmalıdır veya anahtar elde etme yoluna sahip olmalıdır.

DNSSEC uygulaması bazı DNS sunucularına önemli yükler ekleyebilir. Ortak DNSSEC imzalı yanıtlar, 512 baytlık varsayılan UDP paketi boyutundan çok daha büyüktür. Teoride bu, birden fazla IP parçası kullanılarak çözülebilir, ama bu alandaki birçok "middlebox", bunları doğru şekilde çözemez. Bu UDP yerine TCP kullanılmasına yol açar. Yine de birçok TCP uygulaması, her bir TCP bağlantısı için çok büyük miktarda veri saklar; ağır yüklü sunucular, çok sayıda (ve muhtemelen sahte) DNSSEC isteklerine yanıt vermeye çalışarak kaynakların tükenmesine neden olabilir. Bu yüklemeyi azaltmak için TCP Çerez İşlemleri gibi bazı protokol uzantıları geliştirilmiştir.[21] Bu zorlukları çözmek ve DNSSEC'i yaymak için önemli çabalar devam ediyor, çünkü internet birçok organizasyon için hayati önem taşıyor.

Erken dağıtımlar[değiştir | kaynağı değiştir]

İnternet ülke kodu üst düzey alan adı seviyesinde DNSSEC'i ilk kullananlar Brezilya (.br), Bulgaristan (.bg), Çek Cumhuriyeti (.cz), Namibya (.na)[22] Puerto Rico (.pr) ve İsveç (.se), oldu [23]; Internet Assigned Numbers Authority (IANA) tarafından yetkilendirilmiş RIPE NCC'ye tüm geriye doğru arama kayıtlarını (in-addr.arpa) imzalattı.[24] American Registry for Internet Numbers (ARIN)'a da ters bölgeleri imzalattı.[25] Şubat 2007 İsveç'te Tele Danmark Communications(TDC), bu özelliği müşterilerine sunmaya başlayan ilk ISP oldu.[26]

IANA, Haziran 2007'de örnek imzalı kökü[ölü/kırık bağlantı] test etti. Kökün üretiminin imzalanmasından önce bu süre zarfında, birkaç alternatif güven kaynağı da vardı. IKS Jena, 19 Ocak 2006'da bir tanesini uygulamaya koydu,[27] İnternet Sistemleri Konsorsiyumu, aynı yılın 27 Mart tarihinde bir başkasının tanıtımı yaptı.,[28] ICANN ise17 Şubat 2009'da üçüncüsünü duyurdu.[29]

Çok çeşitli pilot projeler ve deneyler yapıldı. dnssec.net bu tür projelerin bir listesini tutar. Ayrıca, Dünya Çapında DNSSEC Dağıtımının bir Google Haritası Dünya Çapında DNSSEC Dağıtımının bir Google Haritası var.

2 Haziran 2009 tarihinde, Public Interest Registry .org bölgesini imzaladı.[30] PKR 26 Eylül 2008'de, ilk olarak büyük kayıt şirketlerinin ("arkadaş ve aile") güçlü bir çalışma ilişkisine sahip olduğu ilk aşamada, "erken 2009" dan başlayarak, alan adlarını imzalayabilecek ilk kişi olacağını açıklamıştır.[31] 23 Haziran 2010'da, 13 kayıt memuru, .ORG alanları için DNSSEC kayıtları sundular.[32]

VeriSign, .com ve .net alan adlarının NSEC3 denemesi amacıyla kayıt olması için bir pilot proje yürütmüştür. 24 Şubat 2009'da, DNSSEC'i 24 ay içinde tüm üst seviye alanlarına (.com, .net, .tr vb.) dağıtacağını açıkladılar[33] ve aynı yılın 16 Kasım'ında .com ve .net alanları için, uygulanmasının teknik gecikmelerden sonra, 2011'in ilk çeyreğinde imzalanacağını belirttiler.[34] Bu hedefe tam zamanlanan sürede ulaşıldı[35] ve Verisign'ın DNSSEC Başkan Yardımcısı Matt Larson, DNSSEC'i ilerletme rolüyle 2011'de InfoWorld'ün Teknoloji Liderlik Ödülü'nü kazandı.[36][37]

Kök DNS dağıtımı[değiştir | kaynağı değiştir]

DNSSEC ilk defa 15 Temmuz 2010 tarihinde kök düzeyinde dağıtıldı.[38] Kök güven istasyonunun, kökten tam bir güven zincirine sahip olan DNSSEC bölgesini doğrulamak için kullanılabildiğinden, bunun DNSSEC çözümleyicilerinin dağıtımını büyük ölçüde basitleştirmesi beklenmektedir. Güven zinciri, doğrulanması için kesintisiz olarak güvenilen bir köke kadar takip edilmesi gerektiğinden, üst bölgelerden herhangi biri güvenli değilse, güvenin sağlanması için yeniden yapılandırılması gerekir. Örneğin, "signed.example.org" bölgesi güvenliyse ancak "example.org" bölgesi güvenli değilse, ".org" bölgesi ve kök imzalanmış olsa bile, bölgeyi doğrulamak için bir güven mekanizmasının dağıtılması gerekir.

Kökün imzalanmasına dair politik meseleler, esas olarak bazı temel meselelerle ilgili sürekli bir endişe kaynağı olmuştur:

  • Diğer ülkeler, ABD’nin İnternet üzerinden kontrolü konusunda endişeli ve bu sebeple herhangi bir merkezi anahtarlamayı reddedebilir.
  • Bazı hükümetler DNSSEC destekli şifreleme anahtarı dağıtımını engellemeye çalışabilir.

Planlama[değiştir | kaynağı değiştir]

Eylül 2008'de ICANN ve VeriSign ayrı olarak birer uygulama önerisini yayınladı[39] ve Ekim ayında Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA) kamuoyuna yorum istedi.[40] Alınan yorumların son dağıtım planının tasarımını etkileyip etkilemediği belirsizdir.

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 3 Haziran 2009 tarihinde, ICANN, VeriSign ve NTIA ile birlikte 2009'un sonuna kadar kök imzalamayı planladığını duyurdu.[41]

6 Ekim 2009'da, 59. RIPE Konferans toplantısında ICANN ve VeriSign, DNSSEC'in kök bölgesi içinde dağıtımı için planlanan dağıtım zaman çizelgesini duyurdu.[42] Toplantıda, 1 Temmuz 2009 tarihinden başlayarak ayda bir kök ad sunucusuna dağıtılacağını açıkladı, 1 Temmuz 2010'da DNSSEC imzalı bir bölgeye hizmet veren son kök alan adı sunucusu bir kök bölgesi RSA / SHA256 DNSKEY ile imzalanacaktır. Artırımlı dağıtım süresi boyunca kök bölge, Deliberately Unvalidatable Root Zone (DURZ) hizmet edecektir ve 1 Temmuz 2010'da kadar dağıtılacak olan son DNSKEY kaydına kadar dağıtılmayacaktır.[43] Bu, bölge kullanımını imzalamak için kullanılan anahtarların kasten doğrulanamayacağı anlamına gelir; bu dağıtımın nedeni, DNSSEC kaynak kayıtlarını isteyen sorgulara yapılan daha büyük yanıtların neden olduğu trafik modellerindeki değişiklikleri izlemek oldu.

.org .org üst düzey alan adı Haziran 2010'da DNSSEC ile imzalandı bunu 2010, 2011 ve sonrasında .com, .net, ve .edu takip etti.[44][45] Ülke kodu üst düzey alan adları, Mayıs 2010’dan itibaren anahtarları depolayabildi.[46] Kasım 2011 itibarıyla, üst düzey alanların %25'inden fazlası DNSSEC ile imzalanmıştır.[47]

Uygulama[değiştir | kaynağı değiştir]

25 Ocak 2010'da, L (ell) kök sunucusu DURZ hizmetini vermeye başladı. Bölge, RFC 5702'de tanımlandığı gibi RSA algoritması kullanılarak oluşturulan bir SHA-2 (SHA-256) karma imzasını kullanır.[48][49][50] Mayıs 2010 itibarıyla, 13 kök sunucunun hepsi DURZ hizmeti vermeye başladı. 15 Temmuz 2010'da, ilk tam kök üretimli DNSSEC kök bölgesi, SOA 2010071501 seri numarasıyla imzalandı. Kök güvenleri IANA'dan temin edilebilir.

TLD düzeyinde dağıtım[değiştir | kaynağı değiştir]

Kökün altında, tam DNSSEC dağıtımının gerçekleştirilmesi için imzalanması gereken büyük bir üst düzey alan adı(top level domain) kümesi bulunur. Internet üst düzey alan adlarının listesi, mevcut üst düzey alan adlarından hangilerinin imzalandığına ve köke bağlı olduğuna ilişkin ayrıntılar sağlar.

DNSSEC Denetleme Doğrulaması[değiştir | kaynağı değiştir]

2006 Mart ayında, Internet Systems Consortium(ISC), DNSSEC Denetleme Doğrulaması(DNSSEC Lookaside Validation - DLV) kayıt defterini tanıttı.[51] DLV'nin amacı, bir kök güven istasyonu olmadığında DNSSEC'in dağıtımını kolaylaştırmaktı. Bu durumda bir doğrulayıcının, DNS’nin imzalı altkümelerine karşılık gelen çok sayıda güven bağı oluşturmak zorunda kalacağı düşünüldü.[52] DLV'nin amacı, doğrulayıcıların güvenilir bir üçüncü tarafa bir güven istasyonunu yönetmeye gerek kalmamasını sağlamaktı. DLV kayıt defteri, kendi listelerini sürdürme çalışmalarını yineleyen her bir doğrulayıcı yerine, güven istasyonlarının merkezi bir listesini tutmaktadır.

DLV kullanmak için, bir DLV bölgesi için bir güven çapası ile yapılandırılmış Bind veya Unbound gibi bir destekleyici gereklidir. Bu bölge DLV kayıtlarını içerir;[53] bu kayıtlar, DS kayıtlarıyla tam olarak aynı biçime sahiptir, ancak bir temsilci alt bölgeye başvurmak yerine, DNS ağacında başka bir bölgeye başvururlar. Doğrulayıcı, kökten RRset'e bir güven zinciri bulamadığında, tekrar kontrol etmeye çalışır, alternatif bir güven zinciri sağlayabilen bir DLV kaydını arar.[54]

DNSSEC yetkilerini desteklemeyen üst düzey alan adları veya kayıt şirketleri gibi güven zincirindeki boşluklar, alt düzey etki alanlarındaki yöneticilerin DLV'yi, DNS verilerinin, DLV'yi kullanmak üzere yapılandırılan çözücüler tarafından doğrulanmasını sağlamak için kullanabilir. Bu, DNSSEC dağıtımını doğru bir şekilde desteklemek için kayıt memurları ve TLD kayıtlarından baskı alarak DNSSEC dağıtımını engelleyebilirdi. DLV ayrıca DNSSEC doğrulaması için daha fazla katılımcı ve kod yolu ekleyerek karmaşıklığı artırır. Bu durum daha fazla belirsizliği ortaya çıkarmaktadır çünkü doğrulayıcı çözümleyicilerin tümü DLV'yi ya desteklememekte ya da kullanmamaktadır. Bir çözümleyiciyi sorgulayan istemciler, farklı bir doğrulayıcı çözümleyici kullanan istemciler tarafından desteklenmezken, DLV doğrulanmış yanıtları alabilir.

DLV yaygın olarak kullanılamamıştır. Mayıs 2015'e kadar, ISC'nin DLV kaydı toplam 5.000 alan adının altında ve bunların %10'dan daha azında imzasız bir ana alan adı vardı. ISC, DLV kaydını iptal etme planını açıkladı.[55] DLV desteğinin BIND'den ve doğrulama çözümleyicilerinin diğer uygulamalarından kaldırılacağı henüz belli değildir.

ABD Federal Hükümeti tarafından DNSSEC dağıtım girişimi[değiştir | kaynağı değiştir]

ABD İç Güvenlik Bakanlığı (DHS) Bilim ve Teknoloji Müdürlüğü, "DNSSEC Dağıtım Girişimi"ni destekliyor. Bu girişim, tüm sektörleri, internet ve adlandırma altyapısının güvenliğini artıracak güvenlik tedbirlerini gönüllü olarak benimsemeye teşvik ediyor, ayrıca kamu ve özel sektördeki birçok ülke ve örgütü içeren küresel, işbirlikçi çabaların bir parçası. DHS ayrıca, DNSSEC'i geliştirmek ve ABD federal hükümetine dağıtılmak için çaba sarfediyor.

30 Mart 2007'de ABD Dışişleri Bakanlığı Güvenlik Dairesi Başkanlığı'nın “DNS kökenini ABD hükümetinin elinde sağlam bir şekilde imzalamanın anahtarı olması” önerildi.[56] Ancak toplantı odasında ABD Hükümeti yetkililerinden kimse yoktu ve makaleyi başlatan yorum başka bir taraftan yapılmıştı. DHS daha sonra başkalarının ABD Hükümeti'nin böyle bir öneride bulunmuş olduğu gibi yanlış bir sonuca vardığına inandıklarını şöyle açıkladı: “ABD İç Güvenlik Bakanlığı, DNSSEC'i uygulamak için teknik bir planın geliştirilmesini finanse ediyor ve son olarak Ekim ayında, ilk taslağını yorumlar için uluslararası uzmanların uzun bir listesine dağıttı.[57][58] Taslak, temel olarak bir devlet kurumuna veya yükleniciye kaynayan Kök Bölge Anahtarının sahibi veya operatörü olabilmeleri için bir dizi seçenek ortaya koymaktadır. "Bu belgede hiçbir yerde Kök Anahtar Operatörünün kimliği ile ilgili herhangi bir öneride bulunmuyoruz," şeklinde Homeland Security'nin Siber Güvenlik Araştırma ve Geliştirme Müdürü Maughan açıklama yaptı.

ABD Federal Hükümeti'nde DNSSEC dağıtımı[değiştir | kaynağı değiştir]

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 16 Mayıs 2006 tarihinde NSS Özel Yayını 800-81 Güvenli Alan Adı Sistemi (DNS) Dağıtım Kılavuzu'nu yayınladı ve DNSSEC'in nasıl dağıtılacağı konusunda rehberlik etti. NIST, NIST SP800-53-R1'deki yeni DNSSEC Federal Bilgi Güvenliği Yönetimi Yasası (FISMA) gerekliliklerini yayınlamayı planladı ve bu dağıtım kılavuzuna başvurdu. ABD ajansları, NIST SP800-53-R1'in bu yeni FISMA gerekliliklerini yerine getirmeleri için bir yıl sonra yayınlanacaktı.[59] Ancak, NSEC3 zamanında tamamlanamadı. NIST, mümkün olduğu bilinen ancak doğru bir şekilde dağıtılması zor olan ve yukarıda belirtilen güvenlik zaaflarına sahip olan bölünmüş alan adlarını kullanmayı önerdi.

22 Ağustos 2008'de, Yönetim ve Bütçe Bürosu (OMB), ABD Federal Ajanslarının DNSSEC'yi .gov siteleri arasında dağıtmasını gerektiren bir bildiri yayınladı; .gov kökü Ocak 2009'a kadar imzalanmış olmalı ve .gov altındaki tüm alt alanların Aralık 2009'a kadar imzalanması gerekir.[60] Bildiri, .gov sitelerine odaklanırken, ABD Savunma Bilgi Sistemleri Dairesi, aynı zamanda .mil (ABD askeri) alanında da OMB DNSSEC gereksinimlerini karşılamayı planladığını açıkladı. NetworkWorld'den Carolyn Duffy Marsan, DNSSEC'in "yaygın bir şekilde dağıtılmadığını, çünkü klasik bir tavuk ve yumurta ikileminden acı çektiğini ve OMB'nin görevinin yumurtanın çatlamasına neden olmak olduğunu" söyledi.[61]

Çözümleyicilerin dağıtımı[değiştir | kaynağı değiştir]

Birkaç ISP, DNSSEC doğrulayan DNS özyineli çözümleyicilerini dağıtmaya başladı. Comcast, Amerika Birleşik Devletleri'nde 18 Ekim 2010'da yapacağını açıkladı[62][63] ve 11 Ocak 2012'de dağıtımını tamamlayan ilk büyük ISP oldu.[64]

APNIC'de yapılan bir araştırmaya göre, DNSSEC doğrulama işlemini gerçekleştiren DNS çözümleyicilerini kullanan istemcilerin oranı, Mayıs 2013'te %8,3'e yükseldi.[65] yarım müşterilerin edildi kullanarak Google genel DNS çözümleyici.

Eylül 2015'te Verisign, halka açık ücretsiz DNS çözümleme hizmetini duyurdu[66] ve basında belirtilmemiş olmasına rağmen, DNSSEC doğrulaması hizmetini de gerçekleştiriyor.

2016 yılının başında, APNIC'in araştırmasına göre, DNSSEC doğrulama işlemini gerçekleştiren DNS çözümleyicilerini kullanan müşterilerin oranının yaklaşık %15'e çıkmış olduğunu gösterdi.[67]

Google Genel DNS[değiştir | kaynağı değiştir]

Google Genel DNS, DNSSEC'yi tamamen destekleyen, ücretsiz olarak sağlanan bir genel DNS hizmetidir.

2009'daki lansmanında Google Genel DNS, DNSSEC'i desteklemiyordu. RRSIG kayıtları sorgulanabiliyor, ancak AD bayrağı (sunucunun, tüm veriler için imzaları doğrulayabilmesi anlamına gelen kimliği doğrulanmış veri) asla ayarlanamıyordu.

28 Ocak 2013'te, Google'ın DNS sunucuları, DNSSEC doğrulama bilgileri sağlamaya sessizce başladı,[68] ancak yalnızca istemcinin kendi sorgusunda DNSSEC OK (DO) işaretini açıkça belirlemesi durumunda çalışıyordu.

6 Mayıs 2013'te, Google Genel DNS, DNSSEC doğrulamasını varsayılan olarak etkinleştirdi; istemciler açıkça belirtmediği sürece tüm sorguların doğrulanacağı anlamına gelir.[69]

Sorunlar[değiştir | kaynağı değiştir]

Microsoft Exchange 2013'te MX kayıt aramasını kırdığı ve daha büyük olan #550 4.4.7QUEUE'nun neden olduğu bilinmektedir.[70]

IETF standartları[değiştir | kaynağı değiştir]

  • RFC 2535 Domain Name System Security Extensions
  • RFC 3833 A Threat Analysis of the Domain Name System
  • RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
  • RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
  • RFC 4398 Storing Certificates in the Domain Name System (DNS)
  • RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing
  • RFC 4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs)
  • RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
  • RFC 6781 DNSSEC Operational Practices, Version 2
  • RFC 6840 Clarifications and Implementation Notes for DNS Security (DNSSEC)

Araçlar[değiştir | kaynağı değiştir]

DNSSEC dağıtımı, sunucu ve istemci tarafında yazılım olmasını gerektirir. DNSSEC'yi destekleyen araçlardan bazıları şunlardır:

  • Windows 7 ve Windows Server 2008 R2, yinelemeli ad sunucusu tarafından güvenli ve güvenli olmayan yanıtlar arasında ayrım yapabilen bir "güvenlik farkındalık" saptama çözümleyicisi içerir. Windows Server 2012 DNSSEC, Active Directory ile tümleşik bölgelerle güvenli dinamik güncelleştirmeler ve buna ek olarak güven anahtarlarının diğer sunuculara Active Directory dağıtmasıyla uyumludur.[71][72]
  • BIND en popüler DNS isim sunucusudur, yeni DNSSEC-bis (DS kayıtları) protokolünü ve NSEC3 kayıtlarının desteğini içerir.
  • Drill, ldns ile birlikte bir DNSSEC-etkin "dig" benzeri bir araçtır.
  • Firefox'un Drill uzantısı, Mozilla Firefox'a bir alanın DNSSEC ile doğrulanıp doğrulanamadığını belirleme yeteneğini verir.
  • DNSSEC-Tools, her tür yönetici ve kullanıcının DNSSEC'den yararlanmalarına yardımcı olmak için kullanımı kolay araçlar sağlamayı amaçlamaktadır. Yetkili Bölgeler, Yetkili Sunucu ve Özyinelemeli Sunucu yöneticileri için olan araçların yanı sıra Uygulama Geliştiriciler için bir kitaplık ve araçlar ve ortak uygulamaları genişletmek için mevcut yamalar için araçlar sunar.
  • Phreebird, herhangi bir DNS sunucusunun üzerine DNSSEC desteği ekleyebilen bir DNS proxydir.
  • Zone Key Tool, DNSSEC kullanılan bölgelerinin bakımını kolaylaştırmak için tasarlanmış bir yazılımdır. Öncelikle küçük ila orta ölçekli bölgelere sahip ortamlar için tasarlanmıştır ve bölgenin otomatik olarak istifade edilmesinin yanı sıra tam otomatik bölge imzalama anahtarının aktarılmasını sağlar.
  • Unbound DNSSEC kavramları etrafında tasarlanacak şekilde sıfırdan yazılmış bir DNS ad sunucusudur.
  • GbDns, Microsoft Windows için kompakt, kurulumu kolay bir DNSSEC isim sunucusudur.
  • mysqlBind, DNS ASP'leri için GPL DNS yönetim yazılımı artık DNSSEC'i destekliyor.
  • OpenDNSSEC, Donanım Güvenlik Modülleri ile arabirim kurmak için PKCS#11 kullanan bir DNSSEC imzalayıcı aracıdır.
  • SecSpider, DNSSEC dağıtımını ve bölgeleri izler ayrıca izlenen genel anahtarların bir listesini sunar.
  • DNSViz ve DNSSEC Analyzer, bir alanın DNSSEC kimlik doğrulama zincirini görselleştirmek için Web tabanlı araçlardır.
  • DNSSEC/TLSA Validator, ziyaret edilen alan adının DNSSEC durumunun görselleştirilmesi için bir Mozilla Firefox eklentisidir; DNSSEC/TLSA Validator 2.1, TLSA kayıtlarının (DANE) durumunu kontrol etmek ve görselleştirmek için destek eklenmiştir.
  • DNSSHİM veya DNS Secure Hidden Master, DNSSEC destekli bölgeler için sağlama sürecini otomatikleştirmek için açık kaynaklı bir araçtır.
  • Net::DNS::SEC, Perl dili kullanılarak yazılmış bir DNS çözümleyicisidir.
  • Knot DNS, 1.4.0 sürümünde otomatik olarak DNSSEC imzalama desteğini ekledi.
  • PowerDNS, önceden imzalanmış ve canlı imzalı modlarda sürüm 3.0'dan itibaren DNSSEC'i tam olarak destekler.
  • Net_DNS2, PHP dili kullanılarak yazılmış bir DNS çözümleyicisidir.
  • DNSd, Google DNS üzerinden HTTPS sağlayan C dili kullanılarak yazılmış bir DNS çözümleyicisidir.

Ayrıca Bkz.[değiştir | kaynağı değiştir]

Kaynakça[değiştir | kaynağı değiştir]

  1. ^ Understanding DNSSEC in Windows". Microsoft. October 7, 2009. The Windows DNS client is a stub resolver...
  2. ^ a b c DNS Security Extensions (DNSSEC)". Microsoft. October 21, 2009. The DNS client in Windows Server 2008 R2 and Windows® 7 is a non-validating security-aware stub resolver.
  3. ^ a b c d Muñoz Merino, Pedro J.; García-Martínez, Alberto; Organero, Mario Muñoz; Kloos, Carlos Delgado (2006). Meersman, Robert; Tari, Zahir; Herrero, Herrero Martín, eds. Enabling Practical IPsec Authentication for the Internet(PDF). On the Move to Meaningful Internet Systems 2006: OTM 2006 Workshops. 1. Springer. Archived from the original (PDF) on 2012-04-26.
  4. ^ a b c d RFC 4033: DNS Security Introduction and Requirements". The Internet Society. March 2005: 12.
  5. ^ Domain Name System Security (DNSSEC) Algorithm Numbers". IANA. 2010-07-12. Retrieved 2010-07-17.
  6. ^ Conrad, D. "Indicating Resolver Support of DNSSEC". Internet Engineering Task Force. Retrieved 27 April 2017.
  7. ^ http://www.root-dnssec.org/
  8. ^ http://www.v3.co.uk/v3-uk/news/2039287/verisign-adds-dnssec-com-domain-boost-online-security/
  9. ^ RFC 4033: DNS Security Introduction and Requirements". The Internet Society. March 2005: 11. "RFC 1123 - Requirements for Internet Hosts -- Application and Support". IETF (Internet Engineering Task Force): 74.
  10. ^ root-anchors
  11. ^ IETF: DNS-based Authentication of Named Entities (dane)
  12. ^ Grepular: DNSSEC Will Kill Commercial CAs
  13. ^ ImperialViolet". Retrieved 2011-11-26.
  14. ^ chromium git". Retrieved 2013-03-09.
  15. ^ DNSSEC/TLSA Validator".
  16. ^ Bugzilla@Mozilla: Bug 672600 - Use DNSSEC/DANE chain stapled into TLS handshake in certificate chain validation
  17. ^ "Using the Domain Name System for System Break-Ins" by Steve Bellovin, 1995
  18. ^ "NSEC5: Provably Preventing DNSSEC Zone Enumeration". 6 Nisan 2018 tarihinde kaynağından arşivlendi.  Birden fazla |URL= ve |url= kullanıldı (yardım)
  19. ^ https://blog.cloudflare.com/dnssec-done-right/
  20. ^ U.S. National Strategy to Secure Cyberspace, p. 30 February 2003
  21. ^ Metzger, Perry; William Allen Simpson; Paul Vixie. "Improving TCP security with robust cookies" (PDF). Usenix. 7 Nisan 2018 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 2009-12-17.  Birden fazla |author1= ve |last= kullanıldı (yardım); Birden fazla |author2= ve |last2= kullanıldı (yardım); Birden fazla |author3= ve |last3= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  22. ^ https://ccnso.icann.org/de/node/7603
  23. ^ Electronic Privacy Information Center (EPIC) (May 27, 2008). DNSSEC
  24. ^ RIPE NCC DNSSEC Policy Webarşiv şablonunda hata: |url= value. Boş.
  25. ^ ARIN DNSSEC Deployment Plan
  26. ^ Eklund-Löwinder, Anne-Marie (12 February 2012). "[dns-wg] Swedish ISP TCD Song Adopts DNSSEC". dns-wg mailing list. RIPE NCC. 6 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 December 2012.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  27. ^ dns-wg archive: Signed zones list Webarşiv şablonunda hata: |url= value. Boş.
  28. ^ ISC Launches DLV registry to kick off worldwide DNSSEC deployment Webarşiv şablonunda hata: |url= value. Boş.
  29. ^ Interim Trust Anchor Repository
  30. ^ .ORG is the first open TLD signed with DNSSEC
  31. ^ Sean Michael Kerner. ".ORG the Most Secure Domain?". www.internetnews.com. 7 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2008-09-27.  Birden fazla |author= ve |last= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  32. ^ ".ORG Registrar List — with DNSSEC enabled at the top". Erişim tarihi: 2010-06-23.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  33. ^ VeriSign: We will support DNS security in 2011 Webarşiv şablonunda hata: |url= value. Boş.
  34. ^ VeriSign: Major internet security update by 2011
  35. ^ .com Domain Finally Safe
  36. ^ Verisign's Matt Larson Wins 2011 InfoWorld Technology Leadership Award
  37. ^ The InfoWorld 2011 Technology Leadership Awards
  38. ^ "Root DNSSEC Status Update, 2010-07-16". 16 July 2010. 8 Nisan 2018 tarihinde kaynağından arşivlendi.  Birden fazla |URL= ve |url= kullanıldı (yardım)
  39. ^ Singel, Ryan (October 8, 2006). "Feds Start Moving on Net Security Hole". Wired News. CondéNet. Erişim tarihi: 2008-10-09.  Birden fazla |author= ve |last= kullanıldı (yardım)
  40. ^ "Press Release: NTIA Seeks Public Comments for the Deployment of Security Technology Within the Internet Domain Name System" (Basın açıklaması). National Telecommunications and Information Administration, U.S. Department of Commerce. October 9, 2008. Erişim tarihi: 2008-10-09.  Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  41. ^ "Commerce Department to Work with ICANN and VeriSign to Enhance the Security and Stability of the Internet's Domain Name and Addressing System" (Basın açıklaması). National Institute of Standards and Technology. 3 June 2009. 
  42. ^ "DNSSEC for the Root Zone" (PDF).  Birden fazla |URL= ve |url= kullanıldı (yardım)
  43. ^ Hutchinson, James (6 May 2010). "ICANN, Verisign place last puzzle pieces in DNSSEC saga". NetworkWorld. 
  44. ^ "DNSSEC to become standard on .ORG domains by end of June". 2010-03-15 tarihinde kaynağından arşivlendi. Erişim tarihi: 2010-03-24.  Bilinmeyen parametre |deadURL= görmezden gelindi (|deadurl= kullanımı öneriliyor) (yardım); Bilinmeyen parametre |archiveURL= görmezden gelindi (|archiveurl= kullanımı öneriliyor) (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  45. ^ The Inquirer: Verisign deploys DNSSEC on .com TLD
  46. ^ More security for root DNS servers Heise Online, 24 March 2010
  47. ^ CircleID: DNSSEC Update from ICANN 42 in Dakar
  48. ^ "DNSSEC Root Zone High Level Technical Architecture" (PDF). 4 Mart 2016 tarihinde kaynağından (PDF) arşivlendi.  Birden fazla |URL= ve |url= kullanıldı (yardım)
  49. ^ RFC 5702, §2.1. "RSA public keys for use with RSA/SHA-256 are stored in DNSKEY resource records (RRs) with the algorithm number 8."
  50. ^ RFC 5702, §3.1. "RSA/SHA-256 signatures are stored in the DNS using RRSIG resource records (RRs) with algorithm number 8."
  51. ^ ISC Launches DLV registry to kick off worldwide DNSSEC deployment Webarşiv şablonunda hata: |url= value. Boş.
  52. ^ RFC 5011, "Automated Updates of DNS Security (DNSSEC) Trust Anchors"
  53. ^ RFC 4431, "The DNSSEC Lookaside Validation (DLV) DNS Resource Record"
  54. ^ RFC 5074, "DNSSEC Lookaside Validation (DLV)"
  55. ^ https://ripe70.ripe.net/wp-content/uploads/presentations/81-RIPE-DLV-timeline-20150513.pdf
  56. ^ Department of Homeland and Security wants master key for DNS Webarşiv şablonunda hata: |url= value. Boş. Heise News, 30 March 2007
  57. ^ Analysis: of Owning the keys to the Internet UPI, April 21, 2007
  58. ^ UPI Analysis: Owning the keys to the Internet March 24, 2011 - First link is dead, this is believed to be the same content
  59. ^ DNSSEC Deployment Initiative Newsletter - Volume 1, Number 2 Webarşiv şablonunda hata: |url= value. Boş. , June 2006
  60. ^ Memorandum For Chief Information Officers Webarşiv şablonunda hata: |url= value. Boş. Executive Office Of The President — Office Of Management And Budget, 22 August 2008
  61. ^ Feds tighten security on .gov Webarşiv şablonunda hata: |url= value. Boş. Network World, 22 September 2008
  62. ^ Comcast Blog - DNS Security Rollout Begins, October 18, 2010
  63. ^ Comcast DNSSEC Public Service Announcement Video Webarşiv şablonunda hata: |url= value. Boş. , October 18, 2010
  64. ^ Comcast Completes DNSSEC Deployment, January 11, 2012
  65. ^ Geoff Huston: DNS, DNSSEC and Google's Public DNS Service (CircleID)
  66. ^ Introducing Verisign Public DNS
  67. ^ Use of DNSSEC Validation for World (XA)
  68. ^ Google's Public DNS does DNSSEC validation nanog mailing list archives, 29 January 2013
  69. ^ Google Public DNS Now Supports DNSSEC Validation Google Code Blog, 1 June 2013
  70. ^ http://forums.comcast.com/t5/E-Mail-and-Xfinity-Connect-Help/Domains-unable-to-send-to-Comcast-net-from-Exchange-servers/td-p/1176693
  71. ^ Seshadri, Shyam (11 November 2008). "DNSSEC on Windows 7 DNS client". Port 53. Microsoft. 7 Kasım 2009 tarihinde kaynağından arşivlendi.  Birden fazla |URL= ve |url= kullanıldı (yardım)
  72. ^ DNSSEC in Windows Server

Dış bağlantılar[değiştir | kaynağı değiştir]