Bu makalede DNS(yeni pencere) güvenliğine, bunun işletmeleriniz için ne anlama geldiğine ve Proton VPN kullanmanın işletmenize ihtiyaç duyduğu DNS güvenliğini(yeni pencere) nasıl sağladığına bakacağız.

Alan Adı Sistemi (DNS), insan dostu alan adlarını bilgisayarların web sitelerini ve diğer internet kaynaklarını tanımlamak için kullandığı sayısal IP adreslerine(yeni pencere) çevirir. Bu nedenle, iş dahil olmak üzere hepimizin interneti kullanım şeklinde hayati bir rol oynar.

Ne yazık ki DNS, çevrim içi güvenlik ihtiyacının düşünülmesinden çok önce, 1983’te icat edildi. Varsayılan olarak DNS istekleri herkesin görmesi için düz metin olarak gönderilir ve kötü amaçlı alan adlarına yönlendirmek için kolayca ele geçirilebilir. Bu durum bireysel internet kullanıcıları için yeterince tehlikelidir, ancak bir iş bağlamında potansiyel olarak felaket olabilir.

DNS nedir?

Bilgisayarlar doğrudan internete bağlanan her aygıtı benzersiz bir sayısal IP adresiyle tanımlar. Eski IPv4 sistemi sekiz basamaklı adresler kullanır (örneğin 185.159.159.140), ancak bunlar tükenmektedir, bu nedenle daha yeni IPv6 standardı, 45 karakter uzunluğunda olabilen (örneğin 2001:db8::8a2e:370:7334) onaltılık bir sistem (hem rakamları hem de harfleri içeren) kullanır.

Bu bilgisayarlar için harikadır ancak bizim için anlamlı olan harf tabanlı adresleri (alan adlarını) hatırlamakta (protonvpn.com gibi) çok daha iyi olan insanlar için değildir. DNS, insanların anladığımız alan adlarını girmesine izin verir ve bunları bilgisayarların anladığı sayısal adreslerle eşleştirir. Özünde, alan adlarını ve IP adreslerini çapraz referanslayan bir telefon rehberi gibi davranır.

Bir alan adı girdiğinizde (örneğin bir tarayıcı arama çubuğuna), sorguyu çözen bir DNS sunucusuna bir DNS sorgusu gönderilir. Yani alan adını karşılık gelen IP adresine çevirir.

DNS’in nasıl çalıştığı hakkında ayrıntılı bilgi alın(yeni pencere)

İşletmeler için DNS ve gizlilik

DNS yararlıdır ancak büyük bir güvenlik sorunu yaratır: Şirketinizin DNS sorgularına erişimi olan herkes, internete bağlanmak için bir ofis ağı kullanan tüm personel üyeleri de dahil olmak üzere şirketin tüm tarama geçmişini etkili bir şekilde bilir.

DNS ve şirketinizin İSS’si

Varsayılan olarak, DNS sorguları internet hizmeti sağlayıcınız(yeni pencere) (İSS) tarafından çözümlenir. Ne yazık ki, İSS’ler bireylerin veya işletmelerin gizliliğini koruma işinde değildir. Çoğu hükümetin toplu casusluk programı, İSS’lerin müşterilerinin gezinme geçmişlerinin günlüklerini tutmasını zorunlu kılmasına dayanır. Ve kolay ve ucuz olduğu için çoğu İSS, bu yasal yükümlülükleri yalnızca DNS günlüklerini tutarak yerine getirir.

Bazı ülkelerde (Amerika Birleşik Devletleri gibi), İSS’lerin reklam ve analiz amaçlarıyla müşterilerin DNS kayıtlarını kullanmasına veya satmasına(yeni pencere) bile izin verilir.

DNS ve kurumsal gözetim

Çoğu DNS sorgusu DNS sunucusuna düz metin olarak gönderilir, yani bunları ele geçirebilen herhangi bir varlık tüm şirketinizin gezinme geçmişini bilecektir. Buna şirketinizin etkileşimde bulunduğu kişiler, iş ortakları, tedarikçiler, müşteriler, hükümet, sağlık ve güvenlik düzenleme kurumları ve çok daha fazlası dahildir.

Tüm bu veriler rakipler için potansiyel olarak çok değerli bilgilerdir.

İşletmeler için DNS ve güvenlik

Bilgisayar korsanları, işletmenizin gezinme geçmişini pasif bir şekilde gözetlemenin yanı sıra, çeşitli aktif saldırılar gerçekleştirmek için DNS’den yararlanabilir. Bunların çoğu DNS sunucusunun kendisini hedefler (genellikle sunucuyu aşırı yüklemeyi amaçlayan çeşitli hizmet reddi saldırıları(yeni pencere) biçimindedir), ancak şirketiniz kendi DNS sunucularını çalıştırmıyorsa (bazıları çalıştırır), bu tür saldırıların işletmeniz için bir tehdit oluşturması pek olası değildir.

Çoğu işletme için tehdit oluşturabilecek DNS tabanlı saldırılar şunlardır:

DNS kimlik sahtekarlığı

Arama sürecini hızlandırmak ve DNS sunucularındaki yükü azaltmak için sık yapılan sorgular genellikle yerel olarak DNS sunucusunda saklanır (ön belleğe alınır). Bir DNS kimlik sahtekarlığı saldırısı (DNS zehirlenmesi olarak da bilinir) gerçekleştirmek için, saldırgan DNS sunucuları ön belleğine sahte DNS kayıtları ekler.

Bu, bir aradaki adam saldırısı(yeni pencere) kullanılarak (sorguyu kullanıcının aygıtı ile DNS sunucusu arasında ele geçirerek) veya ön bellek zehirlenmesi(yeni pencere) yoluyla (kötü amaçlı girdileri ön belleğine enjekte etmek için DNS sunucusu yazılımındaki güvenlik açıklarından yararlanarak) yapılabilir.

DNS ön belleği zehirlendikten sonra, bir kullanıcı geçerli bir web sitesini ziyaret etmeye çalıştığında, bozuk DNS kaydı onları saldırganın kontrolündeki farklı bir IP adresine yönlendirir. Kimlik avı girişimlerinde olduğu gibi, bu genellikle parolaların ve kredi kartı bilgilerinin çalınması ve/veya şirketinizin bilgisayarlarına kötü amaçlı yazılım yüklenmesiyle sonuçlanır.

DNS tünelleme

Genellikle güvenlik duvarlarını ve hassas verilerin sızdırılmasını (çalınmasını) önlemeyi amaçlayan diğer güvenlik önlemlerini atlamak için bir kurumsal gözetim aracı olarak kullanılan DNS tünelleme, verileri kodlar, böylece DNS sorguları ve yanıtları içinde iletilebilir ve DNS altyapısı etkili bir şekilde gizli bir iletişim kanalı olarak kullanılır.

Ayrıca saldırganlar tarafından, tespit edilmeden komutlar göndererek ve çıktılar alarak, ele geçirilmiş sistemlerle iletişimi sürdürmek için de kullanılabilir. DNS tünelleme, DNS trafiğinin diğer trafik türlerine kıyasla güvenlik aygıtları tarafından genellikle daha az incelenmesi gerçeğinden yararlanır ve bu da onu güvenlik duvarlarını ve filtreleri atlamak için etkili bir yöntem haline getirir.

DNS güvenliği çözümleri

Çoğu İSS hiçbir DNS güvenliği önlemi uygulamaz (ve genellikle işletmenizin gizliliğini korumakla hiç ilgilenmez). Ancak, Cloudflare 1.1.1.1, Quad9 ve OpenNIC gibi üçüncü taraf DNS sağlayıcıları çok daha güçlü bir gizlilik ve güvenlik odağına sahiptir. Buna DNS’yi çok daha güvenli hale getiren teknolojilerin kullanılması da dahildir.

Güvenli DNS

Güvenli DNS (şifrelenmiş DNS olarak da bilinir), sorguyu yapan aygıt ile DNS sunucusu arasındaki DNS sorgularını şifrelemek için DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) veya DNSCrypt güvenlik protokollerini kullanır.

Bu, İSS’nizin (veya şirketinizin internet bağlantısını izleyen herhangi birinin) DNS sorgularınızı görememesini sağlar.

Güvenli DNS hakkında ayrıntılı bilgi alın(yeni pencere)

Güvenli DNS, DNS sorgularını düz metin olarak göndermeye kıyasla açıkça büyük bir gelişme olsa da, yalnızca DNS isteklerinizi değil, aynı zamanda şirketinizin tüm hassas verilerini de şifreleyen ve böylece İSS’nizin işletmenizin çevrim içi ortamda ne yaptığını görmesini tamamen engelleyen bir VPN hizmeti kullanmak kadar güvenli değildir. Ayrıca gerçek IP adresinizi personelinizin ziyaret ettiği sitelerden gizler.

DNSSEC

Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC), DNS’ye fazladan bir güvenlik katmanı eklemek için tasarlanmış bir belirtimler paketidir.

DNSSEC:

  • DNS sorgularına verilen yanıtların gerçek olmasını sağlar. Bunu, DNS verilerini imzalamak için sayısal imzalar kullanarak yapar ve bu imzalar daha sonra istemci tarafından doğrulanır. Bu, veriler üzerinde oynanmadığını ve gerçekten meşru kaynaktan geldiğini doğrulamaya yardımcı olur.
  • Verilerin iletim sırasında değiştirilmediğini garanti eder. Bunu, DNS verilerini sayısal olarak imzalayarak yapar; bu da aradaki adam saldırılarına karşı koruma sağlar ve herhangi birinin verileri değiştirmesini önler. 

Proton VPN işletmenizin DNS’sini nasıl koruyabilir

Proton VPN for Business, şirketinizin kaynaklarını güvence altına almak için ağ geçidi IP adresleri sağlamanın yanı sıra güçlü DNS güvenliği sağlar:

  • Tüm DNS istekleri, kendi güvenli DNS sunucularımız tarafından çözümlenmek üzere şifrelenmiş VPN tüneli üzerinden gönderilir (böylece güvenli DNS çözümlerine gerek kalmaz)
  • DNS sorgularınızı (veya bu konuda başka hiçbir şeyi) asla günlüklemeyiz   
  • NetShield Ad-blocker özelliğimiz, reklamlar, izleyiciler ve (daha fazla kontrol için isteğe bağlı olarak) kötü amaçlı yazılımlar barındırdığı bilinen kötü amaçlı etki alanlarına yönelik DNS sorgularını engelleyen bir DNS filtresidir 
  • DNS sunucularınız, DNS verilerinin kimliğini doğrulamak için DNSSEC kullanır (NetShield tarafından engellenen etki alanları hariç, çünkü bunları zaten çözümlemeyiz)
Proton VPN for Business edinin

Son düşünceler: İşletmeler için DNS korumasının önemi

DNS güvenliği genellikle göz ardı edilir, ancak güvenlik durumunu değerlendiren her işletme için önemli bir husus olmalıdır. Nitekim, DNS tünelleme gibi saldırılar tam da genellikle işletmelerin DNS sorgularını güvence altına almaya yeterince özen gösterilmemesi nedeniyle mevcuttur.

Proton VPN for Business ile tüm DNS sorgularının şifrelendiğinden, hiçbir DNS günlüğünün tutulmadığından ve DNS çözümlerinin DNSSEC kullanılarak doğrulandığından emin olabilirsiniz.