Anasayfa » nasıl » DNSSEC İnternetin Güvenliğinin Sağlanmasına Nasıl Yardımcı Olur ve SOPA Neredeyse Yasadışı Yaptı

    DNSSEC İnternetin Güvenliğinin Sağlanmasına Nasıl Yardımcı Olur ve SOPA Neredeyse Yasadışı Yaptı

    Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC), İnternet'in zayıf noktalarından birinin oluşturulmasına yardımcı olacak bir güvenlik teknolojisidir. SOPA'nın geçemediği için şanslıyız, çünkü SOPA, DNSSEC'yi yasa dışı kılardı.

    DNSSEC, İnternet'in gerçekten bulunmadığı bir yere kritik güvenlik sağlar. Etki alanı adı sistemi (DNS) iyi çalışıyor, ancak işlemin hiçbir noktasında doğrulama yok, bu da saldırganlar için delik açıyor.

    Mevcut İşler Durumu

    DNS'nin geçmişte nasıl çalıştığını açıkladık. Özetle, “google.com” veya “howtogeek.com” gibi bir etki alanına her bağlandığınızda, bilgisayarınız DNS sunucusuyla bağlantı kurar ve bu etki alanı adı için ilgili IP adresini arar. Bilgisayarınız daha sonra bu IP adresine bağlanır.

    Önemli olarak, DNS aramasıyla ilgili bir doğrulama işlemi yoktur. Bilgisayarınız DNS sunucusuna bir web sitesiyle ilişkili adres soruyor, DNS sunucusu bir IP adresi ile yanıt veriyor ve bilgisayarınız “tamam!” Diyor ve mutlu bir şekilde bu web sitesine bağlanıyor. Bilgisayarınızın geçerli bir cevap olup olmadığını kontrol etmeyi durdurması.

    Saldırganların bu DNS isteklerini yeniden yönlendirmesi veya kötü yanıtlar vermek üzere tasarlanmış kötü amaçlı DNS sunucuları kurması mümkündür. Örneğin, herkese açık bir Wi-Fi ağına bağlıysanız ve howtogeek.com'a bağlanmayı denerseniz, bu ortak Wi-Fi ağındaki kötü amaçlı bir DNS sunucusu tamamen farklı bir IP adresi verebilir. IP adresi sizi bir kimlik avı web sitesine götürebilir. Web tarayıcınızın, bir IP adresinin gerçekte howtogeek.com ile ilişkili olup olmadığını kontrol etmenin gerçek bir yolu yoktur; sadece DNS sunucusundan aldığı cevaba güvenmek zorundadır.

    HTTPS şifrelemesi bazı doğrulamalar sağlar. Örneğin, bankanızın web sitesine bağlanmayı denediğinizi ve adres çubuğunuzda HTTPS ve kilit simgesini gördüğünüzü varsayalım. Bir sertifika yetkilisinin web sitesinin bankanıza ait olduğunu doğruladığını biliyorsunuz..

    Bankanızın web sitesine güvenli bir erişim noktasından eriştiyseniz ve DNS sunucusu bir sahtekar kimlik avı sitesinin adresini iade ettiğinde, kimlik avı sitesi bu HTTPS şifrelemesini gösteremez. Bununla birlikte, phishing sitesi HTTPS yerine düz HTTP kullanmayı tercih edebilir, çoğu kullanıcının farkı farketmeyeceği ve çevrimiçi bankacılık bilgilerini yine de gireceği üzerine oynanan bahis.

    Bankanızın “Bunlar web sitemiz için yasal IP adresleri” demesine imkan yok.

    DNSSEC Nasıl Yardımcı Olur?

    DNS araması aslında birkaç aşamada gerçekleşir. Örneğin, bilgisayarınız www.howtogeek.com adresini sorduğunda, bilgisayarınız bu aramayı birkaç aşamada gerçekleştirir:

    • Önce bulabileceği “kök bölge dizinini” sorar .com.
    • Daha sonra bulabileceği .com dizinini sorar howtogeek.com.
    • Daha sonra nerede bulacağını howtogeek.com'a sorar www.howtogeek.com.

    DNSSEC “kökü imzalamayı” içerir. Bilgisayarınız .com'u bulabileceği kök bölgesine sormaya gittiğinde, kök bölgesinin imzalama anahtarını kontrol edebilir ve doğru bilgiyle meşru kök bölgesi olduğunu doğrulayabilir. Kök bölge daha sonra bilgisayarınızın .com diziniyle iletişim kurmasını ve meşru olmasını sağlamak için imzalama anahtarı veya .com ve konumu hakkında bilgi sağlar. .Com dizini, howtogeek.com için imzalama anahtarı ve bilgileri sağlar; böylece howtogeek.com ile iletişim kurabilir ve yukarıdaki bölgeler tarafından onaylandığı gibi gerçek howtogeek.com'a bağlı olduğunuzu doğrulayabilir..

    DNSSEC tamamen kullanıma sunulduğunda, bilgisayarınız DNS yanıtlarının meşru ve doğru olduğunu onaylayabilecektir, ancak şu anda hangilerinin sahte ve hangilerinin gerçek olduğunu bilmenin bir yolu yoktur..

    Şifrelemenin burada nasıl çalıştığı hakkında daha fazla bilgi edinin..

    SOPA Ne Yapacaktı

    Peki, daha iyi SOPA olarak bilinen Çevrimiçi Korsanlığı Durdurma Yasası tüm bunlarla nasıl başa çıktı? Peki, SOPA’yı izlerseniz, İnternet’i anlamayan insanlar tarafından yazıldığını fark edersiniz, bu yüzden çeşitli şekillerde “İnternet’i kırar”. Bu onlardan biri.

    DNSSEC'nin alan adı sahiplerinin DNS kayıtlarını imzalamalarına izin verdiğini unutmayın. Dolayısıyla, örneğin, piratebay.se, ilişkilendirildiği IP adreslerini belirtmek için DNSSEC'yi kullanabilir. Bilgisayarınız bir DNS araması yaptığında - bunun google.com veya piratebay.se için olup olmadığına - DNSSEC, bilgisayarın, alan adı sahiplerinin doğruladığı doğru yanıtı aldığını belirlemesine izin verir. DNSSEC sadece bir protokoldür; “iyi” ve “kötü” web siteleri arasında ayrım yapmaya çalışmaz.

    SOPA, İnternet servis sağlayıcılarının “kötü” web siteleri için DNS aramalarını yönlendirmelerini istedi. Örneğin, bir İnternet servis sağlayıcısının aboneleri piratebay.se sitesine erişmeye çalışırsa, ISS'nin DNS sunucuları, Korsan Körfezi'nin engellenmiş olduğunu bildiren başka bir web sitesinin adresini döndürür.

    DNSSEC ile, böyle bir yeniden yönlendirme, DNSSEC'nin önlemek için tasarlandığı ortadaki bir saldırının ayırt edilemez olmasını sağlar. DNSSEC'yi dağıtan ISS'ler, Korsan Koyu'nun asıl adresine cevap vermek zorunda kalacak ve böylece SOPA'yı ihlal ediyor olacaktı. SOPA'yı barındırmak için, DNSSEC'in İnternet servis sağlayıcılarının ve hükümetlerin, alan adının sahiplerinin izni olmadan alan adı DNS isteklerini yönlendirmelerine izin verecek büyük bir delik açması gerekecektir. Bunun güvenli bir şekilde yapılması imkansız değilse de zor olacak, saldırganlar için yeni güvenlik delikleri açacak.


    Neyse ki, SOPA öldü ve umarım geri gelmeyecek. DNSSEC şu anda konuşlandırılıyor ve bu sorun için gecikmiş bir düzeltme var.

    Resim Kredisi: Khairil Yusof, Flickr'da Jemimus, Flickr'da David Holmes