Ağ güvenliği IT’ler arasında en çok önemsenen konudur ama alan adı sistemi (DNS) de sık sık ihmal edilen bir zafiyettir. DNS ağ oluşturma altyapılarının en önemli bileşenlerinden birisidir ve internete bağlanan tüm cihazlar için bir gerekliliktir çünkü ağ kaynakları için hedef dizin hizmeti sunar.
Diğer yandan, DNS bir kurumun siber güvenlik savunmasındaki aracıda olabilir. Ağ geçidi işlevini gördüğü için yapısı gereği korunması zordur. 30 yıl önce ilk olarak kullanılmaya başlandığında güvenlik kaygısı göz önünde bulundurularak tasarlanmamıştır çünkü potansiyel bir hedef olabileceği kimsenin aklına gelmemiştir. Günümüzde de birçok kuruluş DNS’in korunması gereken bir şey olduğunun farkında değildir. Halbuki DNS hackleri giderek daha yaygınlaşmaktadır.
2013 yılında Ulusal Standart ve Teknoloji Enstitüsü (National Institute of Standarts and Technology/NIST) yayınlamış olduğu Güvenli Alan Adı Sistemi Oluşturma Kılavuzu’nda ilk kez DNS’in saldırı hedefi olabileceğinden bahsetmiştir: “Hostlar güvenliğin önemini kavradıkça ve uygulamalar ağ işlemleri için DNS altyapısına bağlı olmaya başladıkça, DNS altyapısı daha cazip bir hedef halini alacaktır.”
NIST’in tahminleri doğru çıkmıştır. DNS birçok saldırı için kullanılan bir numaralı protokol halini almıştır ve artık uygulama katmanı saldırılarda en çok hedef alınan hizmettir. Ayrıca DNS üzerinden yapılan veri hırsızlıkları da giderek artmaktadır. Bir DNS korumasız olarak bırakılırsa saldırganlar bundan faydalanarak kuruluşların işleyişine müdahale edebilirler.
İki tip DNS saldırısı vardır. Birincisi DNS hizmetini aksatma saldırılarıdır. Bu saldırılar belirli bir makineye ya da ağa erişimi kısıtlarlar ama kuruluşlara saatte 100.000 dolarlık zararlar verebilir ve bir ağı tamamen çevrimdışı hale getirebilirler. İkinci tip saldırı ise veri hırsızlığıdır. Burada saldırganlar DNS’i önemli bilgileri, fikri mülkiyeti, kişisel bilgileri, e-postaları, gizli dosyaları vs çalmak için kullanırlar. Her iki saldırı tipi de kuruluşların işleyişini tamamen bozma potansiyeline sahiptir.
DNS’i korumak için ne yapılabilir?
DNS mutlaka korunması gerekecek kadar hassas bir sistemdir. NIST’e göre DNS güvenliği için en önemli iki husus veri bütünlüğü ve kaynakların kimliğinin doğrulanmasıdır. Peki DNS saldırılarına karşı korunmak için ne gibi hedefler belirlenmelidir?
Bir saldırı gerçekleşmeden önce:
Proaktif olun. DNS paketlerinizi sürekli koruma altında tutarak saldırılara hazırlıklı olun. Güvenlik protokollerinin çoğunun DNS güvenliği konusunda yetersiz olduğunu unutmayın. En doğrusu DNS korumasını farklı güvenlik teknolojilerine bağlamak yerine bizzat DNS sunucusunun içinde oluşturmaktır.
Ağın görünür olmasını sağlayın. Hangi cihazların ağa bağlı olduğunu ve bu cihazları kimin kullandığını bilmek DNS saldırılarını tespit etmenin ve durdurmanın ilk şartıdır. Bu bilgi IT ekiplerinin ağlara sayısız cihazdan gelebilecek saldırı riskini uç nokta yazılımlara gerek kalmaksızın kontrol altına alıp ortadan kaldırmasını kolaylaştırır. Davranış analizlerine dayalı tehditleri tanımlamak ve gün içerisinde gelen atakları ve bilinen tehditleri tespit etmek için gerçek zamanlı işlemleri ve analizleri tercih etmelisiniz.
Her tür tehdide karşı önlem alın. DNS güvenliği DNS altyapısına yapılan saldırıları engelleyerek, kötü amaçlı yazılım veya gelişmiş kalıcı tehdit iletişimini bozarak ve DNS üzerinden yapılan veri hırsızlığını durdurarak hem dahili hem de harici tehditlere karşı koruma sağlamalıdır.
Tehdit tespit edildikten sonra:
Hızlı tepki verin. Ağlarında görünürlüğü sağlamış olan kuruluşlar tehditleri hızlı bir şekilde tespit edip hızlı tepkiler verebilir. IT yöneticileri de saldırıları ve kötü niyetli iletişim girişimlerini detaylı bir şekilde görebilmeli ve drill-down analizlerle bu tehditleri hızla tespit edip ağlarını koruyacak adımları atabilmelidir.
Ağı düzgün ve sorunsuz çalışır halde tutun. Hizmetler ve uygulamalar, ağ saldırı altında olsa bile çalışır halde olmaya devam etmelidir. DNS koruma araçlarınızın siz gayrimeşru aktiviteleri engellemeye çalışırken meşru trafiğin aksamamasını sağlaması gerekir.
Uygun çözümü bulun. Kuruluşlar genellikle farklı tehdit tipleri için birçok farklı ağ güvenliği çözümü kullanırlar. Bu araçlar da genellikle bir arada çalışmaz, yapılan harcamanın karşılığını vermez ve güvenlik randımanını düşürür. Kuruluşunuzun genel güvenlik mimarisine uygun DNS çözümleri bulmaya çalışın.
Günümüzün karmaşık tehdit ortamı da başta DNS’leri hedefleyenler olmak üzere birçok farklı saldırı tipine karşı aynı anda koruma sağlayacak farklı güvenlik önlemleri bulunuyor.