Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC), DNS yanıtlarının doğrulanmasına olanak tanıyarak Etki Alanı Adı Sistemi (DNS) protokolüne güvenlik ekleyen bir uzantı paketidir. DNSSEC kaynak yetkilisi, veri bütünlüğü ve kimliği doğrulanmış varlık reddi sağlar. DNSSEC ile DNS protokolü, özellikle DNS kimlik sahtekarlığı saldırıları olmak üzere bazı saldırı türlerine karşı çok daha az duyarlıdır.
DNSSEC nasıl çalışır?
DNS bölgeleri, DNSSEC'i destekleyen yetkili bir DNS sunucusuyla kullanıldığında bölge imzalama adı verilen bir işlem kullanılarak DNSSEC ile güvenli hale getirilebilir. DNSSEC ile bölge imzalamak, DNS sorgusunun ve yanıtının temel mekanizmasını değiştirmeden bölgeye doğrulama desteği ekler.
DNS yanıtlarının doğrulanması, DNS yanıtlarına dahil edilen dijital imzalar kullanılarak gerçekleşir. Bu dijital imzalar, bölge imzalama sırasında oluşturulan ve bölgeye eklenen DNSSEC ile ilgili kaynak kayıtlarında bulunur.
Temel DNSSEC uzantıları aşağıdaki Açıklama İsteğinde (RFC' ler) belirtilir.
- RFC 4033: "DNS Güvenliğine Giriş ve Gereksinimler"
- RFC 4034: "DNS Güvenlik Uzantıları için Kaynak Kayıtları"
- RFC 4035: "DNS Güvenlik Uzantıları için Protokol Değişiklikleri"
Aşağıdaki şekilde, contoso.com bölgesinin, bölge imzalandıktan önce ve sonra DNS kaynak kayıtlarının bir örneği gösterilmektedir.
Bu kaynak kayıtlarının her biri hakkında daha fazla bilgi için bkz. DNSSEC kaynak kayıtları.
DNSSEC kaynak kayıtları
Aşağıdaki tabloda DNSSEC ile kullanılan kaynak kaydı türleri gösterilmektedir.
| Kaynak kayıt türü | Description |
|---|---|
| Kaynak kaydı imzası (RRSIG) | DNSSEC ile oluşturulan imzalar RRSIG kayıtlarında yer alır. Her RRSIG kaydı, dijital imza sağladığı bölgedeki başka bir kayıtla eşleştirilir. Çözümleyici bir ad için bir sorgu verdiği zaman yanıtta bir veya daha fazla RRSIG kaydı döndürülür. |
| Sonraki Güvenli (NSEC) | NSEC kaydı, DNS adının var olmadığını kanıtlamak için kullanılır. NSEC kayıtları, DNS istemcisini bir DNS adının var olmadığını düşünmesi için kandırmaya yönelik kimlik sahtekarlığı saldırılarını önler. |
| NSEC3 (Sonraki Güvenli 3) | NSEC3, bölge yürüyüşlerini engelleyen NSEC'in yerine veya alternatifidir. Bölge taraması, bir bölgedeki tüm adları elde etmek için NSEC sorgularının tekrarlanması işlemidir. Windows Server 2012 veya üzeri işletim sistemi çalıştıran bir DNS sunucusu hem NSEC hem de NSEC3'ü destekler. Bir bölge NSEC veya NSEC3 ile imzalanabilir, ancak ikisi birden imzalanamaz. |
| Sonraki Güvenli 3 Parametresi (NSEC3PARAM) | NSEC3PARAM kaydı, var olmayan DNS adlarına yönelik yanıtlara hangi NSEC3 kayıtlarının dahilleneceğini belirlemek için kullanılır. |
| DNS Anahtarı (DNSKEY) | DNSKEY kaynak kaydı, imzayı doğrulamak için kullanılan bir genel şifreleme anahtarını depolar. DNSKEY kaydı, doğrulama işlemi sırasında bir DNS sunucusu tarafından kullanılır. DNSKEY kayıtları, bölge imzalama anahtarı (ZSK) veya anahtar imzalama anahtarı (KSK) için ortak anahtarları depolayabilir. |
| Temsilci İmzalayıcısı (DS) | DS kaydı, bir delegasyonun güvenliğini sağlamak için kullanılan bir DNSSEC kayıt türüdür. DS kayıtları, alt bölgelere kimlik doğrulama zincirleri oluşturmak için kullanılır. |
DS kaydı dışında, bu kayıtların tümü DNSSEC ile imzalandığında otomatik olarak bir bölgeye eklenir. DS kaydı, bir alt bölge için güvenli temsilci oluşturmak üzere üst bölgeye el ile eklenebilen özel bir kayıttır. Örneğin, contoso.com bölgesi secure.contoso.com için bir DS kaydı içerebilir. Ancak, bu kaydın ya üst bölgede oluşturulması ya da bir alt bölgede oluşturulup ardından üst bölgeye yayılması gerekir. Bölge dosyasını imzaladığınızda DS kaydı otomatik olarak oluşturulmaz.
NSEC veya NSEC3 kayıtları, bölge imzalama sırasında otomatik olarak bir bölgeye eklenir. Ancak, imzalı bir bölgede hem NSEC hem de NSEC3 kayıtları olamaz. Bölgeye eklenen kayıt türü (NSEC veya NSEC3), bölge imzalamanın nasıl yapılandırıldığına bağlıdır. Önceki örnekte, bölge NSEC3 kullanılarak imzalanır.
Güven yer işaretleri
DNSKEY ve DS kaynak kayıtları , güven bağlantı noktaları veya güven noktaları olarak da adlandırılır. İmzalı bir bölge için DNS yanıtları için DNSSEC doğrulaması gerçekleştiren tüm yetkisiz DNS sunucularına bir güven bağlantısı dağıtılmalıdır. DNS sunucusu bir etki alanı denetleyicisinde çalışıyorsa, güven bağlantıları Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) orman dizini bölümünde depolanır ve ormandaki tüm etki alanı denetleyicilerine çoğaltılabilir. Tek başına DNS sunucularında güven bağlantıları adlı TrustAnchors.dnsbir dosyada depolanır.
Get-DnsServerTrustAnchor komutunu kullanarak bir bölgenin güven tutturucularını görüntülemek için Windows PowerShell kullanın. Bir sunucudaki tüm geçerli güven noktalarını görüntülemek için Get-DnsServerTrustPoint PowerShell komutunu kullanın. Windows Server 2012 veya sonraki bir işletim sistemi çalıştıran bir DNS sunucusu, Güven Noktaları kapsayıcısında DNS Yöneticisi konsol ağacında yapılandırılmış güven tutturucularını da görüntüler.
Sonraki Adımlar
DNSSEC'in DNS yanıtlarını doğrulamak ve güvenliğini sağlamak için kaynak kayıtlarını nasıl kullandığı hakkında daha fazla bilgi edinmek için bkz. DNS yanıtlarını doğrulama.