Domain Güvenliği: DNSSEC ve Koruma Yöntemleri
Domain güvenliği, DNS hijacking, cache poisoning ve yetkisiz transfer gibi saldırılara karşı koruma gerektirir. DNSSEC (DNS Security Extensions), DNS kayıtlarını dijital imza ile korur ve sahtecilik saldırılarını önler. Ancak DNSSEC tek başına yeterli değil; registrar kilidi, iki faktörlü kimlik doğrulama ve düzenli izleme de şart.
Domain ele geçirildiğinde site, e-posta ve tüm servisler saldırganın kontrolüne geçer.
DNSSEC Nedir?
DNSSEC, DNS kayıtlarına dijital imza ekler. Sorgu yapıldığında yanıt imza ile birlikte gelir; alıcı imzayı doğrular ve kaydın sahte olmadığını anlar.
İmza olmadan DNS yanıtları doğrulanamaz. Saldırgan trafiği dinleyip sahte yanıt gönderebilir; kullanıcı yanlış IP'ye yönlendirilir, phishing sitesine düşer.
Sistem hiyerarşik çalışır: root DNS sunucuları TLD'leri imzalar, TLD'ler domain'leri, domainler alt domainleri. Böylece güven zinciri oluşur. Ama bu zincir kırılırsa? Domain erişilemez hale gelir. DNSSEC'in en büyük riski yanlış yapılandırmadır.
DNSSEC Nasıl Çalışır?
Dört ana kayıt türü var:
DNSKEY: Public key içerir. Kaydı imzalamak için kullanılan anahtarın açık kısmı.
RRSIG: Kaydın dijital imzası. Her kayıt türü (A, MX, TXT) için ayrı RRSIG oluşturulur.
DS: Delegation Signer kaydı. Üst seviye domain'de tutulur, alt domain'in DNSKEY'ini doğrular.
NSEC/NSEC3: Var olmayan kayıtları kanıtlar. NXDOMAIN yanıtının sahte olmadığını gösterir.
DNS sağlayıcısı bu kayıtları otomatik oluşturur. DS kaydını registrar'a eklersiniz, güven zinciri tamamlanır.
DNSSEC Aktif Etme
DNS sağlayıcınız DNSSEC desteklemeli. Cloudflare, Route 53, Google Cloud DNS gibi servisler sunar.
Adımlar:
DNS panelinde DNSSEC'i açın. Sağlayıcı DNSKEY ve DS kayıtlarını oluşturur.
DS kaydını kopyalayın. Format genellikle şöyle:
12345 8 2 A1B2C3D4E5F6...Registrar paneline girin, DNSSEC bölümünü bulun.
DS kaydını ekleyin: key tag, algorithm, digest type ve digest değerlerini girin.
Yayılmayı bekleyin. Propagation 24-48 saat sürebilir.
Doğrulama için dig komutu kullanın:
dig example.com +dnssecYanıtta RRSIG kayıtları görünüyorsa çalışıyor demektir. Görünmüyorsa? DS kaydı yanlış girilmiş veya henüz yayılmamış olabilir. 48 saat sonra hala sorun varsa registrar desteğine başvurun.
DNSSEC Riskleri ve Dikkat Edilecekler
Yanlış yapılandırma domain'i erişilemez yapar. İmza doğrulaması başarısız olursa DNS çözümleyicileri SERVFAIL döner. Kullanıcı sitenize ulaşamaz; siz de sorunu hemen fark edemeyebilirsiniz çünkü kendi DNS önbelleğiniz hala çalışıyor olabilir.
Anahtarlar düzenli yenilenmeli. Süresi dolduğunda imza geçersiz olur. Çoğu DNS sağlayıcısı otomatik yeniler ama kontrol edin; özellikle manuel DNSSEC yönetimi yapıyorsanız.
Kayıt değiştiğinde RRSIG de güncellenmeli. Otomatik yapılır genellikle. Manuel yönetim riskli; bir A kaydı değiştirip RRSIG'i unutursanız imza uyuşmaz, domain çöker.
Devre dışı bırakırken DS kaydını registrar'dan silin. DS varken DNSSEC kapalıysa domain erişilemez. Bu hatayı yapanlar çok; DNSSEC'i kapatıp DS'yi unutuyorlar.
Registrar Kilidi (Domain Lock)
Registrar kilidi, domain transfer ve nameserver değişikliğini engeller. Yetkisiz transfer yapılamaz.
Registrar panelinde "Domain Lock", "Transfer Lock" veya "Registrar Lock" bölümünü bulun, açın. Transfer veya nameserver değişikliği yapacaksanız önce kilidi kaldırın, işlem bitince tekrar açın.
İki Faktörlü Kimlik Doğrulama (2FA)
Registrar ve DNS sağlayıcısı hesaplarında 2FA açın. Şifre çalınsa bile hesap korunur. Google Authenticator, Authy veya SMS tabanlı 2FA kullanabilirsiniz.
Adımlar registrar'a göre değişir. Genellikle hesap ayarlarında "Security" veya "Two-Factor Authentication" bölümü var. QR kodu tarayın, kodu girin. Yedek kodları güvenli yerde saklayın; telefon kaybedince bunlara ihtiyacınız olacak.
2FA kaybedilirse hesaba erişim zorlaşır. Registrar desteğine başvurarak sıfırlanabilir ama süreç zaman alır; bazen kimlik doğrulama belgesi isterler.
Güçlü Şifre ve Şifre Yönetimi
Registrar ve DNS hesapları için güçlü ve benzersiz şifre kullanın. En az 16 karakter: büyük-küçük harf, rakam, özel karakter.
Aynı şifreyi birden fazla serviste kullanmayın. Bir servis hack'lendiğinde diğer hesaplar da risk altına girer.
Şifre yöneticisi kullanın: 1Password, Bitwarden, LastPass. Güçlü şifreler oluşturur, güvenli saklar. Şifreleri hatırlamanıza gerek kalmaz; ama master şifreyi unutursanız her şeyi kaybedersiniz.
Şifreyi düzenli değiştirin. 6 ayda bir veya güvenlik ihlali şüphesinde. Eski şifreleri tekrar kullanmayın.
WHOIS Privacy (Gizlilik Koruması)
WHOIS privacy, domain sahibinin kişisel bilgilerini gizler. WHOIS sorgusu yapıldığında gerçek ad, adres ve telefon yerine registrar'ın bilgileri görünür.
Açık bırakırsanız kişisel bilgileriniz herkese açık olur. Spam, phishing ve sosyal mühendislik saldırıları riski artar.
Bazı TLD'ler WHOIS privacy'yi desteklemez. Örneğin .us, .ca gibi ülke kodlu domainler kişisel bilgi gerektirebilir. TLD seçerken kontrol edin.
DNS Hijacking Koruması
DNS hijacking, saldırganın DNS kayıtlarını yetkisiz değiştirmesidir. Domain başka bir IP'ye yönlendirilir, saldırgan kontrolü ele geçirir.
Koruma için öncelik sırası:
Önce registrar kilidi. Yetkisiz nameserver değişikliğini engeller; en temel savunma.
Sonra 2FA. Hesap ele geçirilmesini zorlaştırır.
DNS değişiklik bildirimleri. Kayıt değiştiğinde e-posta alın; yetkisiz değişikliği hemen fark edersiniz.
Düzenli WHOIS ve DNS kontrolleri. Beklenmedik değişiklik varsa hemen müdahale edin.
Güvenilir DNS sağlayıcısı. Cloudflare, Route 53 gibi güvenlik odaklı servisler tercih edin. Küçük, bilinmeyen sağlayıcılar daha az güvenli olabilir.
DNS İzleme ve Uyarı Sistemleri
DNS izleme servisleri kayıtları sürekli kontrol eder, değişiklik olduğunda bildirim gönderir. Yetkisiz değişiklik anında fark edilir.
DNSMonitor, Uptime Robot, Pingdom gibi servisler DNS izleme sunar. Domain'inizi ekleyin, bildirim ayarlarını yapın.
A kaydı, MX kaydı, nameserver değişikliklerini takip eder. Değişiklik tespit edildiğinde e-posta veya SMS gönderir.
Domain Transfer Kilidi
Domain transfer kilidi, domain'in başka bir registrar'a transfer edilmesini engeller. Transfer talebi reddedilir.
Transfer kilidi registrar lock ile aynı değil. Registrar lock nameserver değişikliğini de engeller; transfer kilidi yalnızca transfer işlemini.
Her ikisini de açın. Maksimum koruma için registrar lock, transfer lock ve 2FA birlikte kullanın.
Yedekleme ve Kurtarma Planı
DNS kayıtlarının yedeğini düzenli alın. Zone file export özelliği kullanarak tüm kayıtları indirin. Yedek güvenli yerde saklayın.
Domain ele geçirildiğinde kurtarma planı olsun. Registrar desteğiyle iletişim bilgileri, domain sahipliği kanıtları (fatura, WHOIS geçmişi) hazır tutun.
Kurtarma süreci registrar'a göre değişir. ICANN kuralları domain sahibini korur ama süreç günler sürebilir. Hızlı kurtarma için registrar'ın acil destek hattını bilin.
Kontrol listesi: Registrar kilidi açık mı? 2FA çalışıyor mu? Şifre 16+ karakter mi? WHOIS privacy açık mı? DNS değişiklik bildirimleri geliyor mu? DNSSEC çalışıyor mu? Ayda bir kontrol edin.