CyberFlow Logo CyberFlow BLOG
Dns Pentest

Rogue DNS Sunucu Kurulumuyla Siber Güvenliği Güçlendirin

✍️ Ahmet BİRKAN 📂 Dns Pentest

Rogue DNS sunucu kurulumu ile siber güvenlikteki en son teknikleri öğrenin. Etkili savunma stratejileri ve kurulum adımları hakkında bilgi edinin.

Rogue DNS Sunucu Kurulumuyla Siber Güvenliği Güçlendirin

Rogue DNS sunucuları, siber saldırganlar tarafından kullanılan önemli bir tekniktir. Bu blogda, rogue DNS kurulumu ve etkili savunma yöntemleri hakkında kapsamlı bilgiler bulacaksınız.

Giriş ve Konumlandırma

Rogue DNS Tanımı

Siber güvenlik alanında "Rogue DNS" (sahte DNS) sunucuları, saldırganlar tarafından kontrol edilen ve ağa bağlı cihazlara yanlış veya manipüle edilmemiş DNS yanıtları döndürmek amacıyla kurulmuş yetkisiz sunuculardır. Bu tür sunucular, genellikle zayıf ağ güvenliğinden yararlanarak, kurbanların internet trafiğini kontrol etme ve ağları üzerinde gözetim yapma potansiyeline sahiptir. DNS (Domain Name System), bir alan adını IP adresine çevirerek kullanıcıların internet üzerinde kaynaklara erişmesini sağlayan kritik bir sistemdir. Ancak, sahte DNS sunucularının kullanılması, bir organizasyonun siber güvenlik duruşunu ciddi şekilde tehlikeye atabilir.

Dağıtım Vektörleri

Rogue DNS sunucularının ağda etkin olabilmesi için belirli dağıtım yöntemleri uygulanmaktadır. Bu yöntemler arasında DHCP Spoofing, router hijacking ve zararlı yazılım yoluyla ağ bağlantılarının aşılması bulunmaktadır. Özellikle DHCP (Dynamic Host Configuration Protocol), ağa bağlı cihazların otomatik olarak IP adresi, alt ağ maskesi ve DNS sunucu bilgilerini aldığı bir protokoldür. Rogue DNS genellikle bu protokol üzerinden yayılır. Ağı yönetimsel olarak etkileyen bu tür saldırılar, siber güvenlik uzmanları tarafından sıkı bir şekilde takip edilmelidir.

Dnschef ile Hızlı Kurulum

Pentest operasyonları sırasında hızlı bir şekilde sahte bir DNS sunucusu oluşturmak için Dnschef aracı kullanılabilir. Dnschef, gelen tüm sorguları analiz edebilir ve yalnızca belirlenen alan adlarını sahte IP adreslerine yönlendirmeye olanak tanır. Aşağıdaki komut ile belirli bir alan adını (örneğin, target.com) sahte bir IP adresine yönlendiren bir DNS sunucusu kurabilirsiniz:

dnschef --fakeip 10.0.0.5 --fakedomains target.com

Bu komut, belirtilen sahte alan adı için IP adresini belirler ve böylece saldırganın hedeflediği web sitesinin trafiğini yönlendirmesine imkan tanır.

Bağlantı Protokolü: DHCP

DHCP, cihazların ağa bağlandığında otomatik olarak konfigürasyon almasını sağlar. Rogue DNS sunucuları, DHCP'nin zaaflarından yararlanarak bağlantı kuran cihazlara sahte DNS parametreleri atayabilir. Bu tür bir durum, kullanıcıların farkında olmadan siber saldırganların kontrolü altındaki bir DNS sunucusuna yönlendirilmesine yol açabilir. Bu noktada, ağ yöneticilerinin DHCP konfigürasyonlarını sıkı bir şekilde izlemeleri ve güvenlik önlemlerini almaları gerekmektedir.

Sahte Kayıt Stratejileri

Rogue DNS sunucuları, sahte kayıtlar yaratma stratejileri ile kurbanları manipüle eder. Bu sahte kayıtlar, hedeflerin internet trafiğini saldırganların ilgilendiği alan adlarına yönlendirirken, etkili bir sosyal mühendislik tekniği olarak da kullanabilir. Örneğin, sahte bir A kaydı oluşturarak kurbanları phishing sayfalarına yönlendirmek mümkündür. Bu tür sahtecilik yöntemleri, siber güvenlik profesyonelleri tarafından tespit edilmeli ve engellenmelidir.

Metasploit fakedns Modülü

Metasploit, sızma testleri sırasında hızlı ve geçici bir DNS sunucusu oluşturmak için fakedns yardımcı modülünü içerir. Bu modül, güvenlik testlerinin gerçekleştirilmesi sırasında DNS sorgularını yetkisiz bir şekilde yönlendirme yeteneği sunar. Aşağıdaki gibi bir komut kullanılabilir:

use auxiliary/server/fakedns

Bu komut ile Metasploit içinde sahte bir DNS sunucusu başlatılabilir.

WPAD İstismarı

Web Proxy Otomatik Keşif Protokolü (WPAD), sistemlerin proxy ayarlarını otomatik olarak bulmalarını sağlayan bir mekanizmadır. Rogue DNS sunucuları, bu sorguları manipüle ederek, kurbanların tüm trafiğini saldırganın sağladığı proxy üzerinden geçmesini sağlayabilir. Böylece, kurbanların veri trafiği üzerinde tam kontrol sağlanmış olur.

İstihbarat ve Log Analizi

Rogue DNS sunucuları sadece yönlendirme işlevi ile sınırlı kalmaz; aynı zamanda kurbanların ağ üzerindeki dijital ayak izlerini de toplar. Bu bilgiler, saldırganlar için değerli bir istihbarat kaynağı haline gelebilir. Ağ yöneticileri, bu tür aktiviteleri tespit etmek ve önlemek amacıyla log analizi yapmalı ve anomali tespit sistemleri kullanmalıdır.

Bu bölümlerde bahsedilen konular, Rogue DNS sunucularının nasıl çalıştığını ve hangi araçların mücadelede kullanılabileceğini anlamak açısından kritik öneme sahiptir. Siber güvenlik uygulamalarında etkin bir güvenlik duvarı ve izleme mekanizmalarıyla birlikte bu bilgileri kullanmak, organizasyonların siber güvenlik duruşunu güçlendirmeye yardımcı olacaktır.

Teknik Analiz ve Uygulama

Siber güvenlik alanında etkili bir çözüm olarak görülen Rogue DNS sunucusu, kötü niyetli kişiler tarafından kullanılan bir yapı olarak dikkat çekmektedir. Bu bölümde, Rogue DNS sunucusunun tanımı, kurulum yöntemleri ve uygulama aşamaları incelenecektir. Amacımız, potansiyel tehditlere karşı kendimizi nasıl koruyabileceğimizi anlamak ve gerektiğinde nasıl bu tür sistemlerle başa çıkabileceğimizi öğrenmektir.

Rogue DNS Tanımı

Rogue DNS sunucusu, saldırganın kontrol ettiği ve ağdaki kurbanlara yanlış veya manipüle edilmiş DNS yanıtları döndürmek amacıyla kurulmuş yetkisiz bir sunucudur. Bu tür sunucular, genellikle bir ağa girmeye çalışan kullanıcıları hedef alarak, DNS isteklerini kendi menfaatleri doğrultusunda yönlendirmek için kullanılır.

Dağıtım Vektörleri

Rogue DNS sunucularının kurbanlar tarafından kullanılmasını sağlamak için farklı teknikler uygulanır. En yaygın yöntemlerden bazıları şunlardır:

  • DHCP Spoofing: Ağa yeni katılan cihazlara sahte DNS sunucu adresinin otomatik olarak atanması.
  • Router Hijacking: Modem arayüzüne sızarak DNS ayarlarını değiştirerek saldırganın IP adresini kalıcı hale getirme.
  • Malware Injection: Zararlı yazılım aracılığıyla sistemin ağ bağdaştırıcısı ayarlarını manipüle etme.

Dnschef ile Hızlı Kurulum

Rogue DNS sunucusu kurulumunda Dnschef aracı oldukça faydalıdır. Pesentasyon sırasında aşağıdaki komutla Dnschef'i başlatabiliriz:

dnschef --fakeip 10.0.0.5 --fakedomains target.com

Yukarıdaki komut, target.com adıyla yapılan DNS sorgularını kullanıcı tarafından belirlenen 10.0.0.5 IP adresine yönlendirir. Bu işlem, ağ üzerindeki cihazların sahte yönlendirmeler karşısındaki hassasiyetlerini test etmek için önemlidir.

Bağlantı Protokolü: DHCP

Cihazlar, ağa bağlanırken IP, alt ağ maskesi ve DNS sunucu bilgilerini otomatik olarak DHCP (Dynamic Host Configuration Protocol) aracılığıyla alırlar. Rogue DNS genellikle bu protokol üzerinden yayılır ve cihazların yapılandırmalarını manipüle etme imkanı sunar. Cihazların ağa bağlanması sırasında sahte bir DNS sunucusuna yönlendirilmesi, saldırganın ilk adımlarından birisidir.

Sahte Kayıt Stratejileri

Rogue DNS üzerinde oluşturulan kayıtlar, siber saldırı senaryolarına göre farklılık gösterir. Örneğin:

  • Fake A Record: Kurbanı sahte bir web sitesine yönlendirme.
  • Fake MX Record: E-posta trafiğini saldırganın sunucusu üzerinden geçirme.

Bu kayıtlar kullanılarak, kullanıcıların verilerini toplama ve sahte içeriğe erişim sağlama imkanına sahip olunur.

Metasploit fakedns Modülü

Sızma testi sırasında hızlıca geçici bir DNS sunucusu ayağa kaldırmak için Metasploit’in fakedns modülü kullanılabilir. Aşağıdaki komut ile bu modül devreye alınır:

use auxiliary/server/fakedns

Bu modül, ağınızdaki cihazların DNS isteklerini sahte bir şekilde işlemeye başlar ve saldırının etkisini göstermek için kullanılır.

WPAD İstismarı

Web Proxy Otomatik Algılama Protokolü (WPAD), sistemlerin proxy ayarlarını otomatik bulmak için kullandığı bir mekanizmadır. Rogue DNS ile bu sorgular manipüle edilerek tüm trafik saldırganın proxy'sine yönlendirilir. Bu durum, kötü niyetli bir aktör için tüm trafiği izleme ve kullanıcı davranışlarını takip etme fırsatı sunar.

İstihbarat ve Log Analizi

Rogue DNS sadece yönlendirme yapmaz; aynı zamanda kurbanın ağ üzerindeki dijital ayak izlerini de toplar. Bu verilerin analizi, ağ davranışlarının daha iyi anlaşılmasına yardımcı olur. Kayıtların ve sorguların analiz edilmesi, sızma testinin etkinliği açısından kritik öneme sahiptir.

Statik Yapılandırma Analizi

Rogue DNS sunucusu oluşturulurken, mevcut DNS yapılandırmalarının incelenmesi gerekir. Örneğin, Linux ortamında DNS sunucu adreslerinin elle mühürlendiği resolv.conf dosyası, aşağıdaki komutla düzenlenebilir:

nano /etc/resolv.conf

Bu dosya, hangi DNS sunucularına bağlanacağınızı belirler. Kendi makinenizde bir DNS sunucusu kurarken, halihazırda çalışan yerel DNS servislerinin bu portu işgal etmemesi gerektiğini unutmamak önemlidir.

Port Çatışması (Conflict)

Rogue DNS sunucuları, genellikle standart 53 numaralı port üzerinden çalışır. Mevcut sistemlerde bu portun başka bir hizmet tarafından kullanılmaması gerekmektedir. Bu nedenle, yapılandırma yapmadan önce port kontrolü yapmak önemlidir.

Kurumsal Savunma ve Önleme

Rogue DNS sunucularının ağa sızmasını ve etkili olmasını engellemek amacıyla kullanılabilecek güvenlik önlemleri arasında DHCP Snooping ve Static DNS Policy bulunmaktadır. DHCP Snooping, ağdaki yalnızca güvenilir portlardan DHCP yanıtı alınmasına izin verirken, Static DNS Policy, cihazların DHCP üzerinden DNS almasını engelleyip sabit IP kullanımı zorunlu kılar.

Nihai Profesyonel Standart

Sonuç olarak, tüm DNS operasyonlarında veri bütünlüğü ve kaynağını garanti altına alan güvenlik mimarisi geliştirmek, siber tehditlerden korunma ve bir saldırının etkilerini minimize etme açısından kritik önem taşır. Bu nedenle, Rogue DNS saldırılarının nasıl işlediğini bilmek, hem savunma ve önleme stratejileri geliştirmek hem de olası bir saldırı durumunda hızlıca reaksiyon gösterebilmek için işletmeler için vazgeçilmezdir.

Risk, Yorumlama ve Savunma

Rogue DNS sunucular, siber güvenlik açısından önemli tehditler oluşturur. Bu sunucular, saldırganların ağdaki kurbanlara yanlış veya manipüle edilmiş DNS yanıtları döndürerek veri sızdırma veya kötü niyetli faaliyetlerde bulunma amacı taşır. Bu bölümde, rogue DNS sunucularının potansiyel etkileri, zafiyetleri ve bunlara karşı savunma yöntemleri üzerinde duracağız.

Elde Edilen Bulguların Yorumlanması

Rogue DNS sunucularının tespiti ve etkileri, siber güvenlik profesyonellerinin önemli bir yükümlülüğüdür. Saldırıların hedefi genellikle kullanıcıları sahte web siteleri veya phishing sayfalarına yönlendirme gibi stratejilerdir. Verilerin manipüle edilmesi, bilgisayar sistemlerine sızmak için kritik bir yol sunar. Örneğin, kullanıcı içerisindeki bir kötü yazılım, DNS sorgularını dinleyerek belirli hedeflere yönlendirme yapabilir.

Ağdaki sahte DNS sunucusunun tespit edilmesi, genellikle yanlış yapılandırmalara veya zafiyetlere dayanır. Aşağıda bazı kritik noktalar yer almaktadır:

  • Yönlendirme ve Yanlış Cevaplar: Rogue DNS, sahte IP adreslerine yönlendirme yaparak kullanıcıları sahte web sitelerine yönlendirebilir. Kurbanların bu tür saldırılardan korunması için DNS yanıtları titizlikle kontrol edilmelidir.

  • Veri Exfiltration: Rogue DNS, DNS paketleri içine gizlenmiş verileri sunucu tarafında yakalamak gibi yöntemlerle kullanıcının veri bütünlüğünü tehdit eder. Bu da bilgi hırsızlığına yol açabilir.

Yanlış Yapılandırma veya Zafiyetin Etkisi

Yanlış yapılandırmalar, ağ güvenliğini ciddi şekilde zayıflatabilir. Örneğin, DHCP Spoofing yöntemi kullanılarak sahte IP adresleri dağıtılabilir. Bu yöntemle saldırgan, ağa yeni katılan cihazlara sahte DNS sunucu adresini otomatik olarak atayabilir. Bu durum, ağ bağlantısının kontrolünü kaybetmeye ve yetkisiz erişimlere neden olabilir.

# DHCP Spoofing ile sahte DNS sunucusu oluşturma
dnschef --fakeip 10.0.0.5 --fakedomains target.com

Sızan Veri, Topoloji ve Servis Tespiti

Rogue DNS sunucusu üzerinden gerçekleştirilen saldırılardan elde edilen verilere dayanarak, saldırının topolojisini ve amacı anlamak mümkündür. Örneğin, Hostname Enumeration teknikleri kullanılarak ağdaki diğer cihazlar ve roller belirlenebilir. Bu bilgiler, saldırganların hangi sistemlerde daha fazla zafiyet olduğunu ve hangi yolları kullanarak daha fazla veri toplayabileceklerini keşfetmelerine yardımcı olur.

Ek olarak, Query Logging kullanarak sızan veriler üzerinde yapılan analizler, hangi IP adreslerinin hedef alındığını ve hangi kaynakların etkilenebileceğini ajanda altına alarak belirsizlikleri gidermeye yardımcı olabilir.

Profesyonel Önlemler ve Hardening Önerileri

Rogue DNS sunucularına karşı etkili bir savunma geliştirmek için aşağıdaki profesyonel önlemleri almak önemlidir:

  1. DHCP Snooping: Bu özellik, sadece güvenilir portlardan gelen DHCP yanıtlarına izin verir. Böylelikle rogue DNS sunucularının ağda yayılması engellenmiş olur.

  2. Static DNS Policy: Cihazların DHCP üzerinden DNS almasını engelleyip sabit IP kullanımı zorunlu hale getirilebilir. Bu sayede kullanıcılar sadece güvenilir sunuculara bağlanır.

  3. DNS over HTTPS (DoH): Trafiğin şifrelenmesi, rogue sunucuların araya girmesini zorlaştırır. Kullanıcıların verileri, HTTPS üzerinden güvenliği artırarak korunabilir.

  4. Ağ İzleme ve Trafik Analizi: Ağdaki DNS sorgularının düzenli olarak izlenmesi ve analizi, potansiyel tehditlerin belirlenmesi açısından kritik öneme sahiptir.

Sonuç Özeti

Rogue DNS sunucuları, ağ güvenliğini tehdit eden ciddi unsurlardır. Yanlış yapılandırmeler, veri sızıntıları ve kurumsal yapıların bozulmasına yol açabilir. Bu tür tehditlere karşı proaktif önlemler almak, ağın güvenliğini artırmak için şarttır. Önleme teknikleri ve düzenli izleme ile rogue DNS sunucularının etkileri en aza indirilebilir.