CyberFlow Logo CyberFlow BLOG
Dns Pentest

DNS Sorgularında Logging ve Monitoring: Siber Güvenlikte İlk Adım

✍️ Ahmet BİRKAN 📂 Dns Pentest

DNS sorguları için loglama ve izleme analizi, siber güvenlik stratejilerinin temellerini oluşturur. Anomali tespiti ve metrikler hakkında bilgi edinin.

DNS Sorgularında Logging ve Monitoring: Siber Güvenlikte İlk Adım

Siber güvenlikte gözden kaçırılmaması gereken bir alan olan DNS sorgularında logging ve monitoring, saldırıları önlemek için kritik öneme sahiptir. Detaylı bilgi ve öneriler bu blog yazısında.

Giriş ve Konumlandırma

Siber güvenlik alanında, etkili bir savunma stratejisi oluşturmanın temel adımlarından biri de doğru bilgi toplama ve analizidir. Bu bağlamda, DNS sorgularının loglanması ve izlenmesi, hedef sistemler üzerinde yapılan siber saldırıların tespit edilmesi ve önlenmesi için kritik öneme sahiptir. DNS (Domain Name System), kullanıcıların alan adlarını IP adreslerine dönüştüren bir sistem olduğundan, bu süreçte ortaya çıkan verilerin doğru bir şekilde kaydedilmesi, siber güvenlik uzmanları için büyük bir avantaj sunar.

DNS sorgularının loglanması, her bir sorgunun kaydedilmesi anlamına gelir; yani sorgunun kimden geldiği, hangi alan adının sorulduğu ve sorgunun ne zaman yapıldığı gibi bilgiler toplanır. Bu veriler, bir sistemin ne kadar güvenli olduğunu değerlendirmek için gereken görünürlüğün sağlanmasında ilk adım olarak kabul edilir. Loglama işlemi sadece bir kayıt tutma faaliyeti değil, aynı zamanda potansiyel tehditleri tespit etme ve analiz etme sürecinin de başlangıcını temsil eder.

Neden Önemlidir?

Günümüzde işletmelerin siber güvenlik teşkilatları, DNS loglarına dayalı analitik yöntemler geliştirerek güvenlik duvarlarını güçlendirmekte ve olası saldırılara karşı daha hazırlıklı hale gelmektedir. Bu tür loglama mekanizmaları, sadece saldırıların tespitine olanak tanımakla kalmaz; aynı zamanda geçmişteki aktivitelerin incelenerek daha akıllı güvenlik politikalarının oluşturulmasına da yardımcı olur.

Örneğin, sıkça tekrar eden NXDOMAIN (Alan adı mevcut değil) yanıtları, bir subdomain brute-force saldırısının veya diğer saldırı tekniklerinin olabileceğini gösterebilir. Bu tür anormallikler, siber güvenlik profesyonelleri tarafından yüksek öncelikli olaylar olarak değerlendirilmelidir. Loglar, sadece geçmişte meydana gelen olayları değil, aynı zamanda potansiyel olarak gerçekleştirilebilecek tehditler hakkında da bilgi sunmaktadır.

Savunma Açısından Bağlam

DNS loglama ve izleme, savunma stratejileri açısından kritik bir bileşen olarak ön plana çıkmaktadır. Siber savunmanın etkili bir şekilde gerçekleştirilmesi için, herhangi bir anomali veya olağan dışı etkinlik tespit edildiğinde hızlıca yanıt verilmesi gerekmektedir. Bunun için; toplanan logların yalnızca saklanmaması, aynı zamanda anlamlı veriler elde edilmesi amacıyla analiz edilmesi şarttır. Örneğin, bir "top talker" olarak kaydedilen IP adresinin neden aniden bu kadar yüksek bir sorgu hacmi oluşturduğu sorgulanmalıdır. Böyle bir IP’nin kötü niyetli bir botnet tarafından kontrol ediliyor olması muhtemeldir.

Bununla birlikte, logların sadece sorgu detaylarını içermemesi önemlidir. Örneğin, "kim hangi kaydı değiştirdi" bilgisi, saldırganların DNS kayıtlarını değiştirmiş olabileceğini ve trafiği kendi istedikleri yönlere yönlendirmiş olabileceğini gösterebilir. Bu tür kayıtların tutulması, siber güvenliğin sürekli iyileştirilmesi sürecinde önemli bir yere sahiptir.

Teknik İçeriğe Geçiş

Gelecek bölümlerde, DNS sorgularının loglanması ve izlenmesine dair teknik detaylar ele alınacaktır. Öncelikle sorgu loglamasının temelleri, ardından BIND ve Windows DNS gibi farklı platformlarda loglama yapılandırmaları üzerinde durulacaktır. Anomali tespitine yönelik izleme metrikleri, SIEM (Security Information and Event Management) entegrasyonu ve olası savunma ve müdahale stratejileri hakkında da bilgi verilecektir. Bu sayede, okuyuculara hem teorik bilgiler sunulacak hem de pratik yöntemler ile desteklenecek bir içerik oluşturulacaktır.

Siber güvenlikte, "göremediğiniz şeyi koruyamazsınız" kuralı geçerlidir. DNS sorgularının logging ve monitoring süreçleri, bu görünürlüğü sağlayarak bir sistemin güvenliğini artırmanın temel araçları arasında yer almaktadır.

Teknik Analiz ve Uygulama

Sorgu Loglaması (Query Logging)

DNS (Alan Adı Sistemi) sunucuları, ağ üzerindeki istemcilerden gelen sorguları işleyerek, alan adları ile IP adresleri arasındaki ilişkiyi sağlamakta önemli bir rol oynamaktadır. Sorgu loglaması, DNS sunucusuna gelen her bir sorgunun kaydedilmesi işlemi olup, siber güvenlik açısından görünürlüğün ilk adımıdır. Her bir sorgunun kaydı, saldırıların tespiti, ağ trafiği analizleri ve güvenlik olaylarının yönetilmesi için kritik veriler sunmaktadır.

Sorgu logları, genellikle şu bilgileri içerir:

  • Sorgunun kaynağı (IP adresi)
  • Sorgulanan alan adı
  • Sorgunun zaman damgası

Bu verilerin toplanması, potansiyel tehditlerin veya anomalilerin belirlenmesine olanak tanır.

Log Kaynakları

Farklı DNS servisleri, operasyonel verileri çeşitli dosyalarda veya sistemlerde tutmaktadır. Örneğin, BIND (Berkeley Internet Name Domain) sunucusu, named.conf dosyası içinde özel log yapılandırmaları ile loglamayı yönetir. Bu yapılandırmaların doğru şekilde yapılması, sistemin performansını optimize ederken, doğru verilerin toplanmasını sağlar.

BIND: Loglama Yapılandırması

BIND üzerinde sorgu loglarını aktif hale getirmek için logging bloğu içinde kategori ve kanal tanımlanmalıdır. Aşağıda, örnek bir BIND loglama yapılandırması gösterilmektedir:

logging {
  channel query_log {
    file "/var/log/named/query.log";
    severity info;
    print-time yes;
  };
  
  category queries { query_log; };
};

Bu yapılandırma, DNS sunucusuna gelen sorguları kaydederken, belirlenen dosyada yazılmasını sağlar. Ancak, loglama yapılandırmasının yanlış yapılması durumunda disk alanının hızla dolması gibi sorunlar ortaya çıkabilir. Bu nedenle, log dosyalarının boyutunu ve yönetim stratejisini iyi planlamak önemlidir.

Anomali Tespiti: NXDOMAIN Spikes

Sistem yöneticilerinin dikkat etmesi gereken bir diğer önemli nokta, NXDOMAIN yanıtlarının anormal artışlarıdır. NXDOMAIN, sorgulanan alan adının mevcut olmadığı anlamına gelir. Kısa bir süre içinde çok sayıda NXDOMAIN yanıtı, bir subdomain brute force saldırısını veya rasgele isimler üzerinden tünelleme girişimini gösterebilir. Bu tür anomalilerin izlenmesi, güvenlik önlemlerinin alınması için kritik öneme sahiptir.

Monitoring Metrikleri

Gerçek zamanlı izleme (monitoring) esnasında, yalnızca log içeriği değil, sorgu hacmi ve türü de takip edilmelidir. Bu bağlamda, aşağıdaki metrikler siber güvenlik etkinliklerinin değerlendirilmesinde kullanılır:

  • Queries Per Second (QPS): DDoS saldırılarının tespitinde kullanılır.
  • Error Rates: Sunucu yapılandırma hatalarının izlenmesi.

Güvenlik yöneticileri, bu metrikler sayesinde şüpheli yoğunlukları ve olası saldırıları zamanında tespit edebilir.

Windows DNS: Analytical Logs

Windows ortamında verilen loglar, standart loglar olarak sınırlı bilgi sağlamaktadır. Derinlemesine analiz için "Analytic" logların aktif edilmesi gerekmektedir. Windows DNS üzerinde analitik logları etkin hale getirmek için şu PowerShell komutu kullanılabilir:

Enable-PSTrace -Name Microsoft-Windows-DNSServer

Bu komut, logların daha kapsamlı şekilde toplanmasına yardımcı olurken, olayların detaylı analizine olanak tanır.

SIEM Entegrasyonu

DNS logları, tek başına yeterli olmayabilir; bu logların birleştirilip analiz edildiği merkezi platformlara ihtiyaç duyulur. Güvenlik Bilgisi ve Olay Yönetimi (SIEM) sistemleri, bu log verilerini toplamak, analiz etmek ve güvenlik olaylarını yönetmekte önemli rol oynamaktadır. Temelde, SIEM sistemleri:

  • Logları merkezi bir yerde toplar.
  • Anomali tespiti yapmak için analiz eder.
  • Güvenlik olaylarına yanıt verir.

Tünelleme Tespiti (Tunneling)

DNS Tunneling saldırıları, loglar üzerinde kendini belli eden spesifik parmak izlerine sahiptir. Genellikle, belirli bir DNS sorgusunda büyük TXT kayıtlarının bulunması veya yüksek entropy subdomain'lerin varlığı, potansiyel bir tünelleme girişimini işaret edebilir. Bu nedenle, log analizleri sırasında bu tür kalıplara dikkat edilmelidir.

Sorgu Kaynağı: Top Talkers

Ağda en çok DNS sorgusu yapan IP adreslerinin belirlenmesi "Top Talkers" analizi olarak adlandırılmaktadır. Bir sunucunun aniden yüksek sorgu oluşturması, o cihazın bir botnet ağının parçası olabileceğini işaret edebilir. Bu analiz, şüpheli cihazları tespit etmede etkili bir yöntemdir.

Audit Logs: Yapılandırma Takibi

Audit logları, sadece trafik izlenmesi için değil, "kim hangi kaydı değiştirdi" bilgisinin kaydedilmesi bakımından da önemlidir. Özellikle, bir saldırganın MX kaydını değiştirip trafiği yönlendirmesi gibi olayların tespiti bu loglar ile gerçekleştirilir. Bu nedenle, loglama uygulamaları arasında audit logların da dahil edilmesi kritik öneme sahiptir.

Savunma ve Müdahale

Monitoring sırasında tespit edilen bir anomaliye karşı otomatik yanıt mekanizmalarının geliştirilmesi, saldırılara karşı etkili bir savunma yöntemi olabilir. Örneğin, belirli bir IP adresinden gelen şüpheli trafikte anormal bir artış gözlemlendiğinde, ilgili IP adresinin geçici olarak engellenmesi veya daha derin bir inceleme yapılması gibi adımlar atılabilir.

Nihai Hedef: Visibility

Unutulmamalıdır ki, siber güvenlikte "göremediğiniz şeyi koruyamazsınız" kuralı geçerlidir. Monitoring, ağın dijital gözleri olarak tanımlanabilir ve anlık durumun görünürlüğünü sağlarken olası saldırıları da önceden tespit etme şansı verir. Bu nedenle, DNS sorgularında aktif loglama ve izleme uygulamaları, siber güvenlik stratejilerinin temel taşını oluşturmaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

DNS sorgularında loglama ve izleme, siber güvenlikte kritik bir ilk adımdır. Bu süreç, ağda meydana gelen aktivitelerin derinlemesine analizini sağlarken olası tehditleri belirlemenin yolu olarak da işlev görür. Ancak, logların doğru şekilde yorumlanmaması ya da yanlış yapılandırılması büyük risk faktörleri oluşturabilir. Bu yazıda, DNS sorgularındaki riskler, yorumlama süreci ve güvenlik savunmalarını ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

DNS logları, ağın görünürlüğünü artırmanın yanı sıra, potansiyel güvenlik tehditlerini anlamanın temel taşlarını sunar. Örneğin, anormal sorgu patter'ları veya belirli alan adlarına yönelik ani bir ilgi artışı, siber saldırı girişimlerinin göstergeleri olabilir. Aşağıdaki yapı içerisinde yapılan sorguların loglanması, olası kötü niyetli faaliyetlerin tespitinde hayati öneme sahiptir:

timestamp: 2023-10-03T12:00:00Z
source_ip: 192.168.1.10
requested_domain: malicious.com
response_code: NXDOMAIN

Bu tür loglar, yapılan sorguların etkinliği ve meydana gelen hataların izlenmesine yardımcı olur. Bu bilgiler, saldırıların sıklığını ve türünü tespit etmek için kritik veriler sağlar.

Yanlış Yapılandırma ve Zafiyetler

Loglama sürecinde yanlış yapılandırmalar, ciddi zayıflıklar doğurabilir. Örneğin, DNS sunucusunun loglama mekanizmasının kötü yapılandırılması, gereksiz disk alanı tüketimiyle birlikte önemli verilerin kaybolmasına veya yetersiz analizlere yol açabilir. Aşağıdaki örnekle, BIND üzerinde bir loglama yapılandırmasının nasıl hatalı olabileceği açıklanmaktadır:

logging {
    category queries { query_log; };
    channel query_log {
        file "/var/log/named/query.log";
        severity info;
        // Yanlış yapılandırma: Max size belirtilmemiş! 
    };
};

Bu örnek, logların belirli bir maksimum boyuta ulaştığında döngüsünü başlatmadan ilkelerinin yeterince sağlam olmadığını göstermektedir. Bunun sonucunda, kritik verilerin kaybolması ve geçmiş sorguların analiz edilmemesi durumu gerçekleşir.

Sızan Veri ve Hizmet Tespiti

Bir saldırganın, DNS sunucusunu hedef alarak veri sızdırma girişiminde bulunması, özellikle tünelleme teknikleri ile gerçekleştirilebilir. Analiz edilen log verileri, tünelleme aktivitelerinin tespiti için kritik bir kaynak oluşturmaktadır. Gelen NXDOMAIN yanıtları, genellikle belirli bir IP adresinin subdomain brute force saldırısı gerçekleştirdiğinin bir göstergesidir.

Aşağıda, DNStunneling ile ilgili bazı anomali tespiti metrikleri yer almaktadır:

  • NXDOMAIN Spikes: Yüksek frekanslı NXDOMAIN sorguları.
  • Frequent Null Queries: Boş sorguların artışı, C2 iletişimi için taşıyıcı olabilir.
  • Large TXT Records: DNS yanıtları içinde gizlenmiş şifreli veri paketleri.

Bu tür bulgular, bir ağın topolojisi hakkında daha fazla bilgi edinmeye yardımcı olurken, mümkün olan en kısa sürede önlemler almayı gerektirir.

Profesyonel Önlemler ve Hardening Önerileri

DNS loglama ve izleme süreçlerinin etkin kullanımı için aşağıda önerilen önlemler dikkate alınmalıdır:

  1. Loglama Politikalarının Güncellenmesi: Her DNS sunucusu için kapsamlı ve doğru log politikalarının oluşturulması, güvenlik yönetimini güçlendirir.

  2. SIEM Entegrasyonu: Tüm logların merkezi bir SIEM sistemi ile entegre edilmesi, kapsamlı bir analiz ve yanıtlama süreci sağlar.

  3. Logların İyileştirilmesi: Sadece sorgu logları değil, aynı zamanda MX kayıt değişiklikleri, IP değişiklikleri gibi kritik verilere dair Audit Log’lar da yapılandırılmalıdır.

  4. Düzenli Denetimler: Periyodik olarak yapılan güvenlik denetimleri, yapılandırma hatalarını ve zafiyetleri önceden tespit etme imkanı sağlar.

Sonuç Özeti

DNS sorgularında loglama ve izleme, siber güvenlikte kritik bir ilk adım olarak öne çıkmaktadır. Yukarıda ele alınan risklerin yorumlanması ve uygun savunma önlemlerinin alınması, potansiyel tehditlerin önlenmesinde hayati bir role sahiptir. Doğru yapılandırmalar ve düzenli monitoring ile ağlar, daha güvenli bir yapı kazanabilir ve saldırılara karşı dirençli hale gelebilir. Unutulmamalıdır ki, "göremediğiniz şeyi koruyamazsınız" kuralı, siber güvenlik alanında geçerliliğini korumaktadır.