DNS nedir?

DNS(Domain Name System), internete bağlanmamızı sağlayan servislerden biri. Bugünlerde hepimiz interneti kullanıyoruz. İnternet, kullanıcısının gözünde milyonlarca internet sitesi, milyarlarca diğer kullanıcı ve sayısız resim, video, yazı ve benzeri demektir. Biz bir kullanıcı olarak internete bağlanmak istediğimizde girmek istediğimiz internet sitesini yazar “Enter” a basar ve internette sörf yaparız. Biz bunu yaparken internete bağlanmamızı sağlayan birçok servis kendi aralarında farklı bir dille anlaşır. Onların dili en basit haliyle 0(sıfır) ve 1(bir)lerden oluşur ve DNS servisi de tam olarak insan ve diğer internet servisleri arasında bir tercüman görevi görür. Mesela ben internet tarayıcımı açıp ve bağlanmak için http://canyoupwm.me yazdığımda kullandığım DNS servisi bu adresi 0 ve 1lerden oluşan dile çevirir ve beni bu şekilde internete bağlar.  Yukarıda DNS’in ne olduğunu ve ne iş yaptığını kabaca tanımlamış olduk.Şimdi de gelin DNS servisimizi nasıl daha güvenli hale getirebilirize bakalım.

Olası Tehditler

DNS servis tehditleri temelde iki gruba ayırılabilir. Söz konusu hackerimiz DNS hizmetinin nasıl çalıştığı üzerinden ilerleyip, biz internete bağlanırken DNS ve diğer hizmetler arasındaki trafiği manipüle ederek sistemimize sızabilir ki bu en çok karşılaşılan DNS sızma şeklidir. Bu yönteme örnek verecek olursak; varsayalım biz bağlanmak istediğimiz internet sitesini girdik ve işi DNS’e bıraktık. DNS yazdığımız internet adresini bize getirmek için diğer hizmetlerle iletişim kurarken hacker DNS hizmetimizi yanlış yönlendirip bizi kendi istediği bir sayfaya veya direk kendi istediği bir dosyaya yönlendirip sistemimize sızabilir. Diğer sızma yöntemleri ise kullanılan bazı DNS servis yazılımlarının(BIND vb.) açıklarıyla saldırmak ve DoS (denial-of-service) saldırısı ile sistemimizi meşgul etmek veya çökertmek daha sonra sızmaya çalışmaktır.DNS Hizmeti Saldırılarına Alınabilecek Önlemler DNS hizmeti konusunda alınabilecek önlemler kullanıcının profiline göre değişiklik gösteriyor. Ortalama bir PC kullanıcısı, bir server(sunucu) yöneticisi, kendi DNS sunucusuna sahip bir kullanıcı için gereken önlemler farklı seviyelerde olmak zorunda. Gelin alabileceğimiz örneklere genelden özele doğru bir bakalım.

Adres Çubuğu Kontrolü

En genel ve en kolay uygulanabilir yöntem olarak internete bağlanırken tarayıcımızın adres çubuğunda yazan internet adresinin tamamıyla doğru olduğuna dikkat etmeliyiz. Kullandığımız harflerin ve rakamların birbirine benzerliğini kullanarak bizi dolandırmak isteyen insanlar kullandığımız internet sitelerinin benzerlerini yapıp bizi kandırabilir. Bu yöntem uygulaması ve önlem alması bakımından diğerlerine göre nispeten basittir. Örnek verecek olursak;

Yukarıda adres çubuğunda yazan paypal’ın orijinal internet adresidir ve paypal kullanacağımız zaman bu adrese girmemiz gerekir.

Bu görselde gördüğümüz ise “1” ve “l” karakterlerinin benzerliği kullanılarak paypal kullanıcılarını dolandırmak amacıyla açılmış sahte bir internet adresidir.İkinci görseldeki internet sitesine girmemek ve dolandırılmamak için yapmamız gereken şey interneti kullanırken adres çubuğumuzda yazan internet adresiyle, gerçekte girmek istediğimiz internet adresinin aynı olduğunu kontrol etmek. Bu kadar basit ve basit olmasına karşın bu şekilde dolandırılan insanlar var. Bu yüzden basit olsa da göz ardı edilmemesi gereken bir önlem.

BIND(Berkeley Internet Name Domain) Kullanmak

BIND 1980’lerin başında Berkeley Üniversitesi kaynaklı tasarlanmış açık kaynaklı ve şuanda en çok kullanılan DNS servis yazılımıdır. BIND sayesinde geçen yıllarda DNS üzerinden gerçekleşen birçok tehdit engellendi ve bugün de BIND yoluna açık kaynaklı haliyle DNS tehditlerini engellemek için devam ediyor. BIND kullanmak sizi %100 güvenli yapmaz ama eski DNS açıklarını kapatmış olursunuz ve BIND yazılımını güncel olarak kullanırsanız da en son kapatılan açıklardan da etkilenmezsiniz. Aşağıdaki linklerden İngilizce olarak BIND hakkında resmi bir açıklama ve Windows için indirme linkini bulabilirsiniz.

https://www.isc.org/downloads/bind/
https://www.isc.org/downloads/

Birden Fazla DNS Servisinin Yönetimi

Eğer ihtiyaç gereği birden fazla DNS servisi kullanıyorsanız tedbir olarak, bu servisleri aynı subnet(alt ağ) üzerinden ve hatta aynı router ya da aynı özel hat üzerinden kullanmayın. Bunları farklı kullanmak size esneklik sağlar ve en azından bir DNS servisinize sızılsa bile diğer DNS servisleriniz güvende kalmaya devam edecektir.