CyberFlow Logo CyberFlow BLOG
Dns Pentest

Split-DNS Yapılandırma ve Sızıntı Analizi: CyberFlow'la Güvenliğinizi Artırın

✍️ Ahmet BİRKAN 📂 Dns Pentest

Split-DNS yapılandırması ve sızıntı analizi ile organizasyonel siber güvenlik adına önemli adımlar atın. Güvenlik stratejinizi güçlendirin.

Split-DNS Yapılandırma ve Sızıntı Analizi: CyberFlow'la Güvenliğinizi Artırın

Split-DNS, iç ve dış ağa farklı yanıtlar vererek siber güvenlikte önemli bir rol oynar. Bu blogda, yapılandırma ve sızıntı analizinin temellerini keşfedin.

Giriş ve Konumlandırma

Split-DNS Temel Mantığı

Split-DNS, aynı alan adı için farklı IP adreslerinin döndürülmesi sürecidir. Bu yapılandırma, kaynak IP adresine veya coğrafi konumuna göre değişken DNS yanıtları vererek, iç ve dış ağlar için farklı veri setleri sunar. Özellikle büyük organizasyonlar, iç ve dış DNS kayıtlarını ayırarak güvenlik seviyelerini artırmayı, veri gizliliğini sağlamayı ve ağ kaynaklarını daha etkili bir şekilde yönetmeyi hedefler. Örneğin, bir şirket dışarıya açık servislerini bir IP üzerinden sağlarken, iç ağı için ayrı bir IP grubu kullanabilir. Bu tür bir ayrım, hem güvenlik sağlamakta hem de ağın yönetimini kolaylaştırmaktadır.

Görünüm (View) Farklılıkları

Split-DNS yapılandırması, genellikle "görünüm" (view) dosyaları aracılığıyla yönetilir. DNS sunucusu, gelen sorguların kaynağını analiz ederek, uygun görünümü seçer. Örneğin, bir dış istemci sorgu gönderdiğinde, DNS sunucusu dış görünüm kullanır ve sadece internete açık olan kaynakların IP adreslerini döner. Ancak, iç ağdan gelen sorgular farklı bir görünüm (iç görünüm) aracılığıyla yanıtlanır ve iç ağda bulunan kritik kaynakların IP adresleri kullanılır. Bu yapı, belirli bir alan adı için iki farklı yanıt üreterek, potansiyel saldırganların iç ağa erişim sağlamasını zorlaştırır.

# BIND'de bir görünüm yapılandırması örneği
view "internal" {
    match-clients { 192.168.0.0/24; };
    zone "example.com" {
        type master;
        file "/etc/bind/db.example.internal";
    };
};

view "external" {
    match-clients { any; };
    zone "example.com" {
        type master;
        file "/etc/bind/db.example.external";
    };
};

Dışarıdan Keşif Denemesi

Pentest (sızma testi) sırasında, dışarıdan bir saldırganın ağa erişimini test etmek önemli bir adımdır. İlk olarak, dış görünümden bir DNS sorgusu göndererek IP adresi mühürlenmeli ve bu süreçte elde edilen adresin doğruluğu kontrol edilmelidir. Bu IP, genellikle bir WAF (Web Application Firewall), yük dengeleyici veya proxy sunucusunun adresi olabilir. Çoğu zaman, saldırganlar, dış görünümden aldıkları IP adresleri ile iç ağa ait kaynaklara ulaşmayı hedefler.

Tutarsızlık Analizi

Bir organizasyonun DNS yapılandırmasında tutarsızlıklar, potansiyel siber güvenlik zaafiyetleri oluşturabilir. Eğer dış ve iç DNS kayıtları arasında tutarsızlık varsa, bu durum bir saldırganın iç ağı ifşa etmesine neden olabilir. Özellikle yanlış yapılandırılmış bir Split-DNS sunucusunda, dış sorgulara iç ağ IP adresleri dönebilir. Bu durum, "Information Disclosure" (Bilgi İfşası) olarak adlandırılan riskleri doğurur.

Risk: İç Ağ İfşası

İç ağın dışarıya açılması, şirketler açısından ciddi güvenlik riskleri taşımaktadır. Saldırganlar, iç ağ haritasını DNS kayıtları üzerinden inceleyerek, potansiyel hedefleri belirleyebilirler. İç ağda bulunan önemli sunucuların IP adresleri ya da hizmetleri (örneğin LDAP, Active Directory) sızma testi sırasında kolaylıkla elde edilebilir. İç ağın ifşası, hem veri güvenliğini tehdit eder hem de şirketin itibarını zedeler.

Sızma Testi Teknikleri

Split-DNS yapılandırmasını değerlendirmek için kullanılan birkaç teknik mevcuttur. İlgili sızma testleri, belirli araçlar kullanılarak gerçekleştirilir. Örneğin, Nmap ile yapılan DNS sorguları, sunucunun hangi tür görünüm (view) sunduğunu analiz edebilir. Ayrıca, "DNS Brute Force" ve "Recursion Testing" gibi teknikler, sızma testleri sırasında kullanılabilecek etkili yöntemlerdir.

# Nmap ile DNS sorgusu analizi
nmap -sU -p 53 --script dns-brute yourdomain.com

Split-DNS yapılandırması, sadece iç ve dış ağların sağlıklı bir şekilde hizmet vermesini sağlamakla kalmaz, aynı zamanda siber güvenlik güvenliğini de artırır. Ancak bu yapılandırmanın doğru bir şekilde yönetilmesi, dikkatli analizler ve profesyonel uygulamalar gerektirir. CyberFlow ile bu süreci en iyi hale getirmek, kuruluşunuzun siber güvenlik duruşunu önemli ölçüde güçlendirecektir.

Teknik Analiz ve Uygulama

Split-DNS Temel Mantığı

Split-DNS, bir alan adı için farklı istemci gruplarına (örneğin, iç ağ ve dış ağ) farklı DNS yanıtları döndürme işlemidir. Bu yapılandırmanın temel amacı, kurum içindeki gizli verilerin korunması ve iç ağın dışarıdan gelen sorgulardan gizlenmesidir. İç ağdaki sunucuların IP adresleri, yalnızca iç ağdan gelen sorgulara yanıt verecek şekilde yapılandırılırken, dış ağdan gelen sorgulara yalnızca internet üzerinden erişebilen hizmetlerin IP adresleri döndürülmektedir.

Görünüm (View) Farklılıkları

Split-DNS uygulamalarında, genellikle "view" diye adlandırılan yapılandırma blokları kullanılır. Bu bloklar, farklı istemci IP adreslerine göre farklı DNS yanıtları sağlar. Örneğin, BIND DNS sunucusunda aşağıdaki gibi bir yapılandırma ile iç ve dış görünümler oluşturulabilir:

view "internal" {
    match-clients { 192.168.1.0/24; };
    zone "target.com" {
        type master;
        file "internal.zone";
    };
};

view "external" {
    match-clients { any; };
    zone "target.com" {
        type master;
        file "external.zone";
    };
};

Yukarıdaki yapılandırmada, iç ağdan gelen sorgular için internal.zone dosyasındaki veriler kullanılırken, dış ağdan gelen sorgular için external.zone dosyasındaki veriler döndürülmektedir.

Dışarıdan Keşif Denemesi

Penetrasyon testlerinde, ilk adım olarak, hedef sunucunun dış IP adresi mühürlenmelidir. Genellikle, saldırgan ilk olarak bir dig komutu ile DNS sorgusu yapar:

dig portal.target.com A +short

Bu komut, dış ağdan sorgulandığında hangi IP'nin döneceğini anlamak için kullanılır. Eğer farklı konumlardan aynı sorguya farklı yanıtlar alınıyorsa, bu bir Split-DNS yapılandırmasını gösterir.

Tutarsızlık Analizi

Tutarsızlık analizi, iç ve dış DNS yanıtları arasında bir tutarsızlık olup olmadığını kontrol etmeyi içerir. İdeal olarak, birçok zafiyet, yanlış yapılandırmalar nedeniyle ortaya çıkmaktadır. Yanlış yapılandırılmış bir Split-DNS sunucusu, dışarıdan gelen bazı sorgulara iç ağ IP'si ile yanıt verebilir. Bu durumda, saldırgan için iç ağın haritasını çıkarma imkanı doğar.

Risk: İç Ağ İfşası

DNS üzerinden alınan yanıtlar, eğer düzgün korunmazsa, iç ağda kritik bilgilere ulaşmayı sağlar. Saldırganların bu tür bilgilere erişim sağlaması, veri sızıntılarına ve yetkisiz erişimlere sebep olabilir. RFC 1918 adresleri gibi özel IP'lerin ifşası, bir organizasyonun iç ağa ait yapısının saldırganlar tarafından deşifre edilmesine olanak tanır.

BIND: View Yapılandırması

BIND üzerinde Split-DNS yapılandırması yaparken, match-clients parametresi kullanarak iç ağ istemcilerini belirtebiliriz. Yapılandırma hataları, çoğunlukla bu bölümde ortaya çıkmaktadır. Örnek bir yapılandırma:

view "internal" {
    match-clients { 10.0.0.0/8; };
    zone "internal.example.com" {
        type master;
        file "internal.example.com.zone";
    };
};

view "external" {
    match-clients { any; };
    zone "external.example.com" {
        type master;
        file "external.example.com.zone";
    };
};

Burada, iç ağdan gelen IP'ler için internal.example.com yanıtı döndürülürken, dış ağdan gelen sorgulara external.example.com yanıtı sunulmaktadır.

Windows DNS: DNS Policies

Windows ortamlarında, DNS yapılandırmaları DNS Policies kullanılarak yönetilmektedir. Windows Server 2016 ve üzeri sürümlerde, IP alt ağlarına göre farklı DNS yanıtları oluşturmak mümkündür. Örneğin, bir DNS politikası oluştururken:

Add-DnsServerClientSubnet -Name "InternalSubnet" -IPv4Subnet "192.168.1.0/24"
Add-DnsServerResourceRecordA -Name "app" -ZoneName "example.com" -IPv4Address "192.168.1.10" -ClientSubnet "InternalSubnet"

Bu komutlar, belirli bir alt ağdan gelen istemcilere karşılık gelen DNS kayıtları oluşturmaktadır.

Sızma Testi Teknikleri

Split-DNS yapılandırmasındaki boşlukları bulmak için çeşitli teknikler kullanılır. Nmap ağ tarayıcısı, farklı sorgulama türlerine göre DNS sunucusunun yanıtlarını analiz edebilir. Örneğin, aşağıda verilen Nmap betiği ile bir DNS sunucusunun içindeki kayıtları keşfetme işlemi yapılabilir:

nmap -sU -p 53 --script dns-brute target.com

Bu komut, hedef sunucunun DNS kayıtlarını derinlemesine taramak için kullanılır ve potansiyel olarak iç ağ kayıtlarını sızdırabilir.

Savunma ve Hardening

Split-DNS yapılandırmasını güvenli hale getirmek için, sunucu tarafında bazı önlemler alınmalıdır. Internal görünüme erişimi sadece doğrulanmış IP'lere kısıtlamak, yanlış yapılandırılan sistemlerin risklerine karşı koruma sağlar. Ayrıca, query logging ile dış ağdan gelen şüpheli sorgular izlenmelidir.

Nihai Strateji: Gizlilik

Siber güvenlikte amaç, iç ağ topolojisinin internetten tamamen izole edilmesi ve DNS seviyesinde bile olsa ifşa edilmemesidir. Gizliliği sağlamak için Strict ACL’ler ve DNS Forwarding gibi yöntemler kullanılmalıdır. Dışa kapalı bir yapı, kurumun stratejik varlıklarını koruma altına alır.

Risk, Yorumlama ve Savunma

Yapılandırma ve sızıntı analizinde, Split-DNS sistemlerinin doğru çalışması kritik bir öneme sahiptir. Yanlış yapılandırmalar, iç ağların dışarıya ifşa olmasına ve dolayısıyla saldırganların ağ haritasını çıkarmasına olanak tanır. Bu bölümde, mevcut bulguların güvenlik anlamını, potansiyel zafiyetleri ve bu durumların etkilerini ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Split-DNS yapılandırmasında, dış ve iç ağlar için ayrı DNS görünümleri kullanmak, güvenliği artırmanın yanı sıra kötü niyetli erişimlerin önlenmesine yardımcı olur. Ancak, yapılandırma hataları, dış ağdan gelen sorgulara iç IP adresleri (örneğin, 10.x.x.x) ile yanıt verilmesine neden olabilir. Bu tür bir yanlış yanıt, potansiyel olarak iç ağ yapılandırmalarının aşikâr hale gelmesine ve saldırganların hareket alanı kazanmasına yol açar.

Örneğin, bir dış ağdan dev.local alan adı sorgulandığında, yanlış yapılandırılmış bir sunucu bu sorguya iç ağ IP adresleri ile yanıt verirse, sızdırılan bilgi saldırganlar tarafından kullanılabilir.

Örnek Yanıt:
Sorgu: dev.local
Yanıt: 10.1.2.3

Bu durumda, bir saldırgan iç ağdaki kaynakların yerini tespit edebilir ve daha fazla saldırı gerçekleştirilebilir.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmaların başında "view" bloklarının yeterince güvenlik sağlamamasından kaynaklanan zafiyetler gelmektedir. BIND sunucularında bu "view" yapılandırması, içeriden gelen taleplerle dışarıdan gelen talepler arasındaki ayrımı sağlamaktadır. Ancak, match-clients parametresinin yanlış ayarlanması halinde, dışarıdan gelen sorgular için açık olan IP havuzlarına yanıt dönebiliriz.

Örnek BIND Yapılandırması

view "internal" {
    match-clients { 192.168.1.0/24; };
    zone "example.local" {
        type master;
        file "internal.zone";
    };
};

view "external" {
    match-clients { any; };
    zone "example.com" {
        type master;
        file "external.zone";
    };
};

Bu yapılandırma hatalarının yanı sıra, Windows sunucularda kullanılan DNS Policies mekanizmasında da zafiyetler oluşabilir. Yanlış yapılandırılmış alt ağlar, sızma testlerinde iç verilerin dışa sızmasına yol açabilir.

Sızma Testi Sonuçları ve Topoloji Analizi

Sızma testleri, bir ağın savunmasını değerlendirmek için yapılan etkili bir yöntemdir. Bu testler aracılığıyla, sızan veriler ve iç ağ topolojisi hakkında değerli bilgiler elde edilebilir. Nmap gibi araçlar kullanılarak, iç ağ üzerinde DNS sorgularının nasıl ele alındığı ve hangi yanıtların döndüğü analiz edilebilir.

nmap -sU -p 53 --script dns-brute target.com

Nmap kullanarak yapılan bu tür analizler, Dışa veri sızıntısı gibi durumları tespit edebilmenizi sağlar. Böylece, sızan verilerin kapsamını belirlemiş olursunuz.

Profesyonel Önlemler ve Hardening Önerileri

Split-DNS yapılandırmasında güvenliği artırmak için aşağıda belirtilen önlemler alınmalıdır:

  1. Yapılandırma Denetimi: BIND veya Windows DNS yapılandırmalarının düzenli olarak gözden geçirilmesi.
  2. Strict ACL Kullanımı: İç ve dış DNS görünümlerine erişimin sadece doğrulanmış IP adresleri ile yapılması.
  3. DNS Forwarding: Dış sorguları izole bir sunucuya yönlendirmek, iç yapı verilerinin gizliliğini koruyacaktır.
  4. Query Logging: Şüpheli sorguların kaydedilmesi, güvenlik ekipleri için kritik bilgi sunar.
  5. Gizlilik Stratejisi: İç ağ kümelenmesinin ağ mimarisinden bağımsız olarak kısıtlanması.

Özellikle, DNS üzerinden yapılan bilgi sızıntılarını önlemek için kullandığınız sistemlerin güncel tutulması ve güvenlik yamalarının uygulanması gerekmektedir.

Sonuç

Split-DNS yapılandırma ve sızıntı analizi, siber güvenlik açısından hayati önem taşımaktadır. Yanlış yapılandırmalar, iç ağların dışa açılmasına ve bilgilerinin sızmasına yol açabilir. Yapılan analizlerin sonuçları, siber güvenlik risklerinin belirlenmesinde ve alınacak önlemlerin tanımlanmasında önemli bir rol oynamaktadır. Güvenlik stratejilerinin etkinliği, uygun yapılandırmaların ve düzenli denetimlerin yanı sıra, tatbik edilen önlemlere bağlıdır. CyberFlow ile bu alanda güvenliğinizi artırabilirsiniz.