DNSSEC: DNS Güvenlik Uzantıları ile Alan Adı Güvenliği
DNSSEC nedir, DNS zehirlenmesi saldırılarına karşı nasıl koruma sağlar, DNSSEC nasıl etkinleştirilir ve DS kayıtları nasıl yapılandırılır.
DNSSEC: DNS Güvenlik Uzantıları ile Alan Adı Güvenliği
DNSSEC (DNS Security Extensions), DNS verilerinin bütünlüğünü ve doğruluğunu kriptografik imzalarla garanti eden bir güvenlik katmanıdır.
DNS Zehirlenmesi Neden Tehlikeli?
DNS Cache Poisoning Saldırısı:
1. Saldırgan, DNS çözümleyicisine sahte A kaydı enjekte eder
2. buyukweb.com → 1.2.3.4 (saldırganın sunucusu) döner
3. Kullanıcılar gerçek site yerine sahte siteye yönlendirilir
4. Phishing, kimlik hırsızlığı, MITM saldırıları
DNSSEC Olmadan:
- DNS yanıtları imzasız
- Saldırgan sahte yanıt üretebilir
- Kullanıcı doğru sitede olduğunu bilemez
DNSSEC ile:
- Her DNS yanıtı dijital olarak imzalanır
- İmza doğrulanamıyorsa yanıt reddedilir
- Zincir güven (Chain of Trust) ile köke kadar doğrulama
DNSSEC Kayıt Türleri
RRSIG (Resource Record Signature):
- Her DNS kaydının dijital imzası
DNSKEY (DNS Public Key):
- Bölgenin açık anahtarı (imzaları doğrulamak için)
- ZSK (Zone Signing Key): Kayıtları imzalar
- KSK (Key Signing Key): ZSK'yı imzalar
DS (Delegation Signer):
- Üst bölgede (registrar) tutulan KSK'nın özeti
- Chain of Trust'ı sağlar
NSEC / NSEC3:
- Var olmayan kayıtlar için yanıt (NXDOMAIN doğrulama)
- NSEC3: Zone walking'i önlemek için karma
Chain of Trust:
Root (.) → .com → buyukweb.com
↑ DS ↑ DS ↑ DNSKEY
KSK KSK KSK
↓ imzalar
ZSK → Kayıtları imzalar
DNSSEC Kurulumu (BIND)
# BIND kurulumu
apt install bind9 bind9-utils -y
# Zone için anahtar çifti oluştur
cd /etc/bind/keys
# ZSK (Zone Signing Key) - daha kısa, sık değiştir
dnssec-keygen -a ECDSAP256SHA256 -b 256 -n ZONE buyukweb.com
# → Kbuyukweb.com.+013+xxxxx.key ve .private
# KSK (Key Signing Key) - uzun süreli, güçlü
dnssec-keygen -a ECDSAP256SHA256 -b 256 -n ZONE -f KSK buyukweb.com
# → Kbuyukweb.com.+013+yyyyy.key ve .private
# Zone dosyasına anahtarları ekle
# /etc/bind/zones/buyukweb.com.zone
$INCLUDE /etc/bind/keys/Kbuyukweb.com.+013+xxxxx.key
$INCLUDE /etc/bind/keys/Kbuyukweb.com.+013+yyyyy.key
# Zone'u imzala
dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) -N INCREMENT -o buyukweb.com -t /etc/bind/zones/buyukweb.com.zone
# named.conf.local güncelle
zone "buyukweb.com" {
type master;
file "/etc/bind/zones/buyukweb.com.zone.signed";
auto-dnssec maintain;
key-directory "/etc/bind/keys";
};
systemctl restart bind9
DNSSEC Inline Signing (BIND 9.9+)
# /etc/bind/named.conf.local
zone "buyukweb.com" {
type master;
file "/etc/bind/zones/buyukweb.com.zone";
key-directory "/etc/bind/keys";
auto-dnssec maintain;
inline-signing yes;
};
# BIND otomatik imzalar ve yönetir
DS Kaydını Registrar'a Eklemek
# KSK'nın DS kaydını al
dnssec-dsfromkey /etc/bind/keys/Kbuyukweb.com.+013+yyyyy.key
# Çıktı örneği:
# buyukweb.com. IN DS 12345 13 2 ABC123...HASH...
# Bu bilgileri registrar panelinize girin:
Key Tag: 12345
Algorithm: 13 (ECDSAP256SHA256)
Digest Type: 2 (SHA-256)
Digest: ABC123...HASH...
# Cloudflare paneli:
# DNS → DNSSEC → Enable → DS bilgilerini kopyala → Registrar'a ekle
DNSSEC Doğrulama
# DNSSEC durumu kontrol
dig +dnssec buyukweb.com A
dig +dnssec buyukweb.com DNSKEY
dig +dnssec buyukweb.com DS
# Yanıtta "ad" (Authentic Data) bayrağı olmalı
# flags: qr rd ra ad
# DNSSEC doğrulayıcı sorgulama
dig @8.8.8.8 +dnssec +multi buyukweb.com A
# DNSSEC Chain of Trust kontrolü
dnsviz.net/d/buyukweb.com → Görsel Chain of Trust
# Verisign DNSSEC analyzer
# dnssec-analyzer.verisignlabs.com
# dig ile tam doğrulama
delv @127.0.0.1 +rtrace buyukweb.com A
DNSSEC Sorunları ve Çözümleri
# Yaygın hatalar:
# 1. SERVFAIL - imza geçersiz
dig @8.8.8.8 buyukweb.com
# → SERVFAIL: DS/DNSKEY uyumsuzluğu
# 2. İmza süresi dolmuş
# Zone'u yeniden imzala
# 3. DS kaydı güncellenmemiş
# Yeni KSK oluşturup DS kaydını registrar'a ekle
# Acil DNSSEC devre dışı bırakma
# Registrar panelinden DS kaydını kaldır
# 48 saat bekle (TTL)
# Zone dosyasından DNSSEC kaldır
# DNSSEC anahtar rollover (güvenli geçiş)
# 1. Yeni ZSK oluştur
# 2. Her iki ZSK ile zone imzala
# 3. Eski ZSK kaldır
Sonuç
DNSSEC, DNS altyapınızı zehirleme saldırılarına karşı korur ve internet güvenliğinin kritik bir parçasıdır. Cloudflare ve büyük registrarlar DNSSEC'i tek tıkla etkinleştirme imkânı sunar. Buyukweb, güvenlik odaklı altyapısıyla DNSSEC kullanımını destekler ve tavsiye eder.
Ilgili Buyukweb Hizmetleri:
- VPN paketleri ile guvenli erisim
- Web hosting paketlerimizi inceleyin
- Tum hosting ve sunucu paketlerimiz
Domain ve DNS Yonetimi
Domain Secimi
Kisa, akilda kalici domain secin. .com en guclu. .com.tr yerel SEO avantaji. Benzer domainleri de alin.
DNS Kayit Tipleri
A: IPv4 yonlendirme. AAAA: IPv6. CNAME: Alias. MX: E-posta sunucusu. TXT: SPF/DKIM/DMARC. NS: Yetkili DNS. SRV: Servis kesfetme. CAA: SSL kisitlama.
DNSSEC
DNS spoofing koruması. Dijital imza ile orijinallik dogrulama.
DNS Gecisi
TTL dusurme, kayitlari guncelleme, 24-48 saat propagasyon. Her iki sunucu gecis sirasinda aktif.
Subdomain
blog., shop., api. ile hizmetleri ayirin. Wildcard DNS ile toplu yonlendirme.
Domain Guvenligi
Transfer kilidi aktif tutun. Whois gizliligi kullanin. Kayit yenilemeyi otomatiklestirin.
Sik Sorulan Sorular
Transfer nasil yapilir?
EPP kodu alin, kilidi acin, transfer baslatin, onaylayin. 5-7 gun surer.
Whois gizliligi neden onemli?
Kisisel bilgilerinizi spam ve dolandiriciliga karsi korur.
Sonuc
Domain ve DNS dijital varliginizin temelidir. Dogru yapilandirma ile tum hizmetleriniz sorunsuz calisir.
DNS Propagasyon Sureci
TTL Nasil Calisir?
Her DNS kaydi bir TTL degerine sahiptir. TTL 86400 ise degisiklik 24 saate kadar eski degerle gosterilir.
Hizli Propagasyon
- 24-48 saat once TTL'i 300'e dusurrun
- Degisikligi yapin
- Propagasyon sonrasi TTL'i normale cekin
Kontrol
whatsmydns.net ile propagasyon durumunu kontrol edin.
Domain Uzanti Rehberi
| Uzanti | Kullanim | Avantaj |
|---|---|---|
| .com | Global | En guvenilir |
| .com.tr | Turkiye | Yerel SEO |
| .net | Teknoloji | Alternatif |
| .org | Kuruluslar | Non-profit |
| .io | Startup | Modern |
| .dev | Gelistirici | HTTPS zorunlu |
| .store | E-ticaret | Magaza icin |
Ucretsiz DNS Saglayicilari
- Cloudflare DNS: Hizli, guvenli, ucretsiz CDN
- Google Cloud DNS: Guvenilir
- Hurricane Electric: IPv6 destegi mukemmel
Neden Buyukweb?
Buyukweb, 2009 yilindan bu yana Turkiye'nin guvenilir hosting firmasidir. Bursa Pendc Tier 3 veri merkezinde profesyonel barindirma hizmetleri sunmaktadir.
Teknik Altyapi Avantajlari
- NVMe SSD Diskler: Geleneksel disklere gore 10x daha hizli okuma/yazma
- LiteSpeed Web Server: Apache'ye kiyasla 10x performans artisi
- CloudLinux Izolasyonu: Her hesap icin ayri kaynak limiti
- Imunify360 Guvenlik: Otomatik malware tarama ve engelleme
- DDoS Korumasi: L3, L4, L7 katmanlarinda kapsamli koruma
Musteri Memnuniyeti
5.200'den fazla aktif musteri ile %99.8 uptime garantisi sunuyoruz. 7/24 Turkce teknik destek ekibimiz tum sorulariniza hizla yanit verir. Ucretsiz site tasima hizmeti ile mevcut hosting saglayicinizdan kolayca gecis yapabilirsiniz.
Fiyat-Performans Dengesi
Rekabetci fiyatlarla profesyonel hosting altyapisi sunuyoruz. Yillik odemede ek indirimler, ucretsiz SSL sertifikasi ve gunluk otomatik yedekleme tum paketlerde standarttir.
Kolay Yonetim
cPanel ve Plesk kontrol panelleri ile web sitenizi, e-postalarinizi ve veritabaninizi tek panelden kolayca yonetin. Softaculous ile 400'den fazla uygulamayi tek tikla kurun.
Hosting Sektoru ve Gelecek Trendleri
Dijitallesme ile birlikte hosting sektoru hizla donusuyor. Edge computing, serverless mimariler ve container teknolojileri geleneksel hosting yaklasimlarini tamamliyor. Ancak guvenilir bir fiziksel altyapi her zaman temel gereksinim olmaya devam edecek.
Yapay Zeka ve Hosting
AI destekli guvenlik sistemleri, otomatik optimizasyon araclari ve akilli izleme cozumleri hosting kalitesini artiriyor. Imunify360 gibi AI tabanli guvenlik yazilimlari, saldiri kaliplarini ogrenererek proaktif koruma sagliyor.
Surdurulebilir Hosting
Yesil enerji kullanan veri merkezleri, enerji verimli sunucular ve karbon notr barindirma hizmetleri gelecekte daha onemli hale gelecek. Verimli donanim ve akilli sogutma sistemleri ile enerji maliyetleri azaltiliyor.
5G ve Mobil Oncelik
5G teknolojisinin yayginlasmasi ile mobil trafik daha da artacak. Mobile-first hosting cozumleri, edge caching ve AMP destegi onemini koruyacak. Web sitelerinin mobilde 2 saniyenin altinda yuklenmesi standart beklenti haline geliyor.
Etiketler:
