DNS Önbellek Zehirlenmesi Önlemleri

Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü sitesinde daha ayrıntılı bilgiye ulaşabileceğinizi belirttikten sonra, konumuza girelim.

UYARI:

Teknik bilgi ile ilgilenmiyor ve son kullanıcıysanız, lütfen aşağıda yer alan; “Linux ve Windows Son Kullanıcı kısmını” okuyunuz. Bunun dışarısında kalan kısımlar ağ, sistem yönetimi v.b bilgi seviyesine sahip kullanıcılara yöneliktir.

DNS Önbellek Zehirlemelerin den korunmak için öncelikle “Özyinelemeli – Recursive ” sistemlerin yamanması gerekmektedir. İlgli bilgilere, yamalara yazının sonunda kaynak verilecektir.

Access Pointler, ADSL modem-Routerlar gibi gömülü ve yamanması süre alan veya güncellenmesi mümkün olmayan, donanımlar ve sistemler için aşağıda derlenen önlemleri almak gerekmektedir.

YEREL DNS ÖNBELLEĞİ KULLANIMI

Saldırının doğası gereği, uzakta ki DNS servisinin önbelleği etkilenmekteydi. Bu durumu engellemek için sunucu hem de istemci tarafında yerel önbellekler kullanılarak, Internet üzerinde saldırıya maruz kalan sunuculardan etkilenme oranı en aza indirgenmeye çalışılır.

ÖZYİNELEMENİN DEVRE DIŞI BIRAKILMASI

Özyineleme gerekliliği duyan fakat güvenilmeyen sistemlerin engellenmesi.

ERİŞİMİN ENGELLENMESİ

Özyinelemeli sorgu yapacak sistemler, sınırlandırılarak saldırı kaynakları azaltılabilinir. Ancak Özyinelemenin mümkün olduğu sistemlerde ve bu sistemlere erişen saldırganlar yine zehirleme yapabilirler.

TRAFİĞİN FİLİTRELENMESİ

Saldırının yapılabilemesi için IP Spoofing tekniği gerektiğinden ötürü, sahte ip adresleri engellenerek ya da başka bir kaynağa yönlendirilerek,  IP bazlı filitreleme yapılabilinir.

NAT/PAT (Network Adress Tranlation / Port Adress Translation)

PAT kullanan cihazlar, donanımlar bağlantıalrı gözlemlemek için kaynak kapı adresliğinde değişikliğe giderler. NAT ve PAT kullanan cihazların, (Router, Bazı DSL modemler v.s) kullandığı kaynak kapısı değişikliği, uygulama tarafında arttırılması ile kazanılan koruma,  port adreslerini, yeniden ve daha etkisiz biçimde değiştirerek azaltabilir. NAT ve PAT uygulamalarını optimize etmek gerekmektedir.

DNS Yönlendirmesi

DNS sunucularımızda açıklık kapatılmamış ve söz konusu tehlike devam ediyorsa, hali hazırda yamaları yapılmış ve güvenilir sunuculara yönlendirme uygun bir çözüm olacaktır.

DNSSEC Kullanımı

DNS verisinin kaynağını ve DNS verisinin bütünlüğünü (integrity) doğrulayan DNSSEC sö konusu saldırılarda aktif bir koruma sağlamaktadır.

Linux ve Windows Son Kullanıcı;

Aslında DNS temelde bir IP sorgulama sistemidir, dersek pekte yanlış olmaz. Bu bağlamda bir sonra ki yazıda kendi yerel  sistemimizde bir kaç ufak ayarla hem engelli sitelere girebiliceğiz hem de önemli ve özellikle e-posta, bankacılık işlemlerini gerçekleştirdiğimiz sistemlere, DNS sorgusunu yapmadan bağlantı kurmamızı sağlayan ayarları yapacağız.

Not:

Unutulmamalıdır ki DNS işlevi gayet önemli bir hizmet, servis olmakla beraber, güvenlik açısından çok öenmli bir noktadır. Kullanıcılar DNS hizmetlerini ya da güvenliğini ne kadar bilir tartışılır ancak, Sistem, Ağ ve Güvenlik yöneticileri, ilgili yama, güvenlik gerekliliklerini yerine getirmelidir.

Kaynaklar;

http://www.bilgiguvenligi.gov.tr
http://en.wikipedia.org/wiki/DNS_cache_poisoning
http://support.microsoft.com/default.aspx?scid=kb;en-us;241352
http://www.hackernotcracker.com/2007-01/blocking-unwanted-domain-names-creative-usage-of-the-hosts-file.html

http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/coklu-dns-servisi-arabellek-zehirleme.html
http://www.kb.cert.org/vuls/id/800113

IP FİLİTRELEME ayrıntıları ve RFC belgeleri;
http://tools.ietf.org/html/rfc2827 – RFC2827
http://tools.ietf.org/html/rfc3704
– RFC3704
http://tools.ietf.org/html/rfc3013
– RFC3013

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir