Açılımı “DNS Security Extensions” olan DNSSEC, güvenlik kayıplarının önlenmesi amacıyla IETF tarafınca bulunmuştur. İsminden de anlaşıldığı üzere asıl amaç güvenlik olarak belirlenmiş ve 90’lı yıllarda çalışmalara başlanmıştır.

dnssec

DNSSEC, açık anahtar şifrelemesine dayalı dijital imzalar kullanarak DNS’deki kimlik doğrulamasını güçlendirmektedir. DNSSEC ile, kriptografik olarak imzalanan DNS sorguları ve yanıtları değildir bunun yerine DNS verilerinin kendisi veri sahibi tarafından imzalanır. DNSSEC’te her DNS bölgesinin açık/gizli anahtar eşleşmesi bulunmaktadır. Bölge yöneticisi, bölgenin özel anahtarını (private key) kullanarak bölgedeki DNS verisini imzalar ve o verinin üzerinde dijital imza oluşturmaktadır. Özel anahtar, bölge sahibi tarafınca gizli tutulmaktadır. Fakat açık anahtar (public key), erişen herkesin erişimine açıktır. Herhangi bir çözücü eğer o bölgede DNS sorgusu yaparsa o da açık anahtarı döndürecektir ve bu bilgi de DNS verisinin doğrulanmasında kullanılabilecektir. Eğer anahtar geçerli ise DNS verisi de geçerli demektir ve kullanıcıya DNS verisi geri döndürülür. Değilse de kullanıcıya hata mesajı gösterilir ve bağlantı otomatik olarak kesilir.

DNSSEC, DNS protokolüne 2 adet önemli özellik ekler. Bunlaqnrdan birincisi çözücü, verinin geldiği yeri kriptografik şifre ile doğrular. Eğer şifre geçerli değil ise sunucu ile bağlantıyı kesebilir. Buna “Data Origin Authentication” (Veri Kaynağı Doğrulaması) adı verilmektedir. İkincisi ise, “Data integrity protection” (Veri İçeriği Koruması) ile de çözücü, gelen verinin gelirken değiştirilmediğini ve bölgenin özel şifresi ile şifrelendiğini bilir. İlerleyen yıllarda DNSSEC’in operatörler ve bölge sahipleri tarafından daha yaygın hale gelmesi düşünülmektedir. Bu sayede, daha fazla kişinin DNSSEC’in güçlü güvenlik özelliklerinden faydalanıp, daha az kişinin mağdur olacağı düşünülüyor.

 

DNSSEC, yaşadığımız çağ içerisinde bilgi güvenliği adına atılmış çok önemli bir adım. Özellikle neredeyse her şeyin Internet ile yapıldığı çağımızda, “DNS Spoofing” gibi atak teknikleri büyük bir risk olarak görülüyor ve DNSSEC ile bunun önüne geçilebiliyor.