Giris

Merhaba sevgili okuyucular,

DNS, MS Windows Server 2003 ' ten bu yana bir çok değişim gösterdi. Bu deği��imlerin sonunucusu olan DNSSEC, belki de DNS tarafında yapılmış en farklı değişiklik diyebiliriz. Bugüne dek DNS' in kendi içinde bir kimlik doğrulama methodu ve güvenlik yöntemi bulunmuyordu. DNSSEC ile birlikte, authoritive ve non-authoritive DNS sunucularında artık gelen-giden trafiği şifreleyebiliyor ve kimlik doğrulamasından geçirebiliyoruz. Peki DNSSEC nasıl çalışıyor?

DNSSEC Nasil Calisir

DNSSEC ile birlikte artık, eskiden güvenlik içermeyen bir takım kayıtlara ( A,AAA,MX,SOA,PTR gibi ) artık belli kriptolama methodlarıyla oluşturulmuş dijital imzalar eşlik eder. DNS içerisindeki herhangi bir zone dijital olarak imzalandığında, DNS' e gelen sorgu, bu dijital imza ile karşılaştırılır. Sorguyu gönderen bilgisayar, sunucudaki kimlik doğrulama methoduna uygun değilse, DNS sorguyu reddeder. Aynı konfigürasyon istemci tarafında da var ise ( dnssec zone sign ), sorgu içeri girer ve DNS cevabı döndürür.

Dijital Imzalar ( Digital Signatures )

Zone imzalamadan sornaki aşamada, imzalanan zone içinde RRSIG ( imzalı kaynak kayıtları ) denilen kayıtlar oluşur. DNS, kimlik doğrulama ve public key işlemlerini bu kayıtlar sayesinde yapar. 

Zone Imzalama ( Zone Signing )

Bir Zone imzalandığında, bir sonraki kayıtlar için imzalama zorunluluğunu ortadan kaldırmış olur. DNS' e yeni girilen kayıtlar artık imzalanmaya muhtaç değillerdir. Yalnızca imzalanmayan bir zone içerisinde kayıt varsa, bu zonedaki kayıtların ayrıca imzalanması gerekmektedir.

Trust Anchors

Bu bölüm, DNS içerisinde imzalanan zone' lara ait public keyleri içerisinde barındırır. DNSSEC içerisinde kimlik doğrulama yapan bölümdür de diyebiliriz. Çünkü Trust Anchors' lar bir DC üzeridne ise Active Directory Partition Zone ' da tutulur. DNS' in bulunduğu makine bir DC ( domain controller ) değil ise, TrustAnchors.Dns adlı bir partitionda tutulurlar. Ayrıca Trust Anchors, DNS Management Console üzerinden yapılandırılabildiği gibi, PowerShell ile komut satırından da yapılandırılabilir.

DNSSEC Destekleyen Isletim Sistemleri

Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 ve Windows Server 2012 R2 işletim sistemleri, DNSSEC ile birlikte çalışabilir. DNS sunucusunda DNSSSEC yapılandırıldıysa, İstemci DNS sunucusuna bir sorgu gönderdiğinde, bu sorgu ahahtarlama ve şifreleme ile DNSSEC tarafından DNS sunucusuna iletilir ve sorguya cevap dönülür. Aksi bir durumda ( istemci tarafında DNSSEC kapalı ise ) DNS sorguya cevap dönmez.

Name Resolution Policy Table ( NRPT )

Burası, istemciler ile sunucular arasındaki DNSSEC kurallarının barındırıldığı tablodur. Tablo içerisinde DNSSEC' in açıldığı istemci ve sunucularda, sorgu esnasındaki özel aksiyonlar belirtilir. Group Policy Management ekranında ayarlanan bölüm burasıdır diyebiliriz. "İstemcilere DNSSEC' e göre sorgu gönder" komutu veriyoruz.

DNSSEC Yapılandırma

Ön Şartlar
- Domain Controller
- Authoritive bir DNS Zone
- DNS Zone İçerisinde Oluşturulmuş bir DNSSEC Master Key
- İmzalanmasını İstediğimiz bir DNS Zone

DNSSEC Icin Alt Zone Olusturma

Forward Lookup Zone - Sağ Click - New Zone - sec.ayazgan.com ( senaryomuza göre )

Resource Kaydi Eklemek

Dnssec.ayazgan.com zone' u içerisine, DC' mizi gösteren bir Host kaydı ekliyoruz.

DNSSEC Validasyonu Olmadan Sorgu Kontrolu

PowerShell' i açıyoruz ve aşağıdaki komutu veriyoruz :



Görüldüğü gibi, girdiğimiz host kaydının sorgusunu, Zone imzası olmadan alabildik.

Zone Imzalamak ve Trust Anchors Yapilandirmasi

Dnssec.ayazgan.com zone' una sağ tıklıyoruz ve DNSSEC - Sign the Zone ' a basıyoruz ve Next diyoruz. Bir sonraki ekranda, aşağıdaki gibi devam ediyoruz :



Next ve Finish ile işlemi bitirip, Forward Lookup Zone' larda Refresh ' e tıkladığımızda, karşımıza resource recordların oluşturulduğu aşağıdaki ekran çıkmalıdır :



Zone imzalama işlemi bu kadar. Trust Anchors' un herkesçe görülebilmesi için ise, C:\Windows\System32\dns klasörünü paylaşıma açıyor ve Everyone için Read yetkisini veriyoruz :



Hemen ardından, Trust Anchors' un içerisine DNSSEC kayıtlarını import etmek için ise, DNS Management Console üzerinde Trust Anchors' a sağ tıklayıp, Import DNSKEY diyerek, açılan browse ekranında \\DCWT.ayazgan.com\dns\keyset-dnssec.ayazgan.com pathini gösteriyoruz.



Trust Anchors' un doğruluğunu görmek için ise, aşağıdaki komut setini kullanarak yaptığımız konfigürasyonu teyit ediyoruz :



Yaptığımız Trust Anchors' u kaldırmak için sırasıyla aşağıdaki komutları girip, sistemi eski haline çevirebiliriz : 

remove-dnsservertrustanchor –name dnssec.ayazgan.com
get-dnsservertrustanchor dnssec.ayazgan.com
remove-dnsserverzone –name trustanchors

DNSSEC Group Policy Konfigurasyonu ( DNSSEC GPO Configuration )

GP Management Console üzerinde Create a new GPO in this domain diyerek policymize bir isim veriyoruz. Computer Configuration - Policies - Windows Settings - Name Resolution Policy yolunu takip ediyoruz. 

Create Rules bölümünde, namespace olarak Suffix' i bırakıp, karşısına oluşturduğumuz imzalanmış zone' u yazıyoruz, DNSSEC Validation ekranını Enable ediyoruz. ve Create diyoruz.
  
Önemli İstersek bu trafiği bir dijital sertifika ile de besleyerek daha da güçlendirebiliriz. Tabi bunu yaptıktan sonra, buraya eklediğimiz sertifikayı istemci makinelere GPO yardımıyla deploy etmek de gerekecektir. Örneğimizde sertifika kullanmayacağız :



Create ' e bastıktan sonra Scroll barı aşağı çekip baktığımızda NRPT ( Name Resolution Policy Table ) ekranı aşağıdaki gibi olacaktır : 



Bu işlemler bittikten sonra, aşağıdaki iki komutu sırasıyla çalıştırıyoruz  :

Gpupdate /force
Get-dnsclientnrptpolicy

DNSSEC Validasyon Kontrol

DNSKEY Kontrolu

SOA Record Kontrol

Sonuc

DNSSEC tarafındaki konfigürasyon bitmiştir. Sistemi eski haline geri çevirmek için, dnssec için oluşturulan Zone 'a sağ tıklayıp, Unsign Zone ve Clear Cache yapabiliriz. Böylelikle tekrar kimlik doğrulama ve anahtarlama işlemlerini kaldırmış oluruz. Fakat önermiyoruz. Çünkü DNSSEC, Microsoft' un DNS tarafında uzun yıllardır üzerinde durmadığı bir durumdu.  

Hep birlikte, DNSSEC konfigürasyonunun sunucu tarafında nasıl yapıldığını ve Group Policy ile istemci tarafına nasıl dağıtıldığını inceledik.

Faydalı olması dileğyile.

Teşekkürler