DNS Güvenliği: DoH, DoT ve İç DNS Sertleştirme
Özet: DNS protokolünün güvenlik riskleri, DoH (DNS over HTTPS) ve DoT (DNS over TLS) farkları, KOBİ iç DNS altyapısının sertleştirilmesi rehberi.
Özet: DNS, internetin "telefon rehberi"dir; ancak varsayılan olarak şifrelenmemiş, kimliklenmemiş ve doğrulanmamış bir protokoldür. Saldırganlar DNS sorgularını dinleyerek kullanıcı davranışını izler, DNS yanıtlarını sahte göndererek phishing siteye yönlendirir, içeriden çalan zararlı yazılım komuta sunucularıyla DNS tüneli üzerinden konuşur. DoH (DNS over HTTPS) ve DoT (DNS over TLS) sorguları şifrelerken; iç DNS sertleştirme, DNS filtreleme ve DNS log izleme KOBİ ortamında temel savunma katmanlarıdır.
Çoğu IT yöneticisi DNS'i "çalışıyor, dokunma" kategorisinde tutar. Ancak modern saldırıların önemli bir kısmı DNS üzerinden yürür: ransomware komuta-kontrol sunucularıyla DNS sorguları aracılığıyla iletişim kurar, çalınan veri DNS tüneli ile sızdırılır, sahte DNS yanıtlarıyla kullanıcı banka sayfası yerine phishing sitesine yönlendirilir. DNS güvenlik kötü olduğunda diğer tüm savunma katmanlarının tahmin etmediği bir kanal açık kalır.
Bu yazıda KOBİ ölçeğinde DNS güvenliğini, DoH/DoT teknolojilerini ve iç DNS altyapısının sertleştirilmesini ele alıyoruz. Hedef kitlemiz IT sorumluları, ağ yöneticileri ve siber güvenlik mimarisini iyileştirmek isteyen karar vericiler.
DNS Nedir, Neden Saldırı Vektörü Olur?
DNS (Domain Name System), insan-okunur alan adlarını (yamanlarbilisim.com.tr) makina-okunur IP adreslerine (örnek 1.2.3.4) çeviren protokoldür. Tarayıcınız bir siteye bağlanmadan önce mutlaka DNS sorgusu yapar.
Standart DNS'in Üç Temel Zafiyeti
- Şifresiz: UDP port 53'te düz metin — herkes dinleyebilir
- Kimlikleme yok: Yanıt nereden geldi? Doğrulanamıyor
- Filtre yok: Her alan adına sorgu yapılabilir
Bu zafiyetler aşağıdaki saldırı tiplerinin temelidir.
DNS Üzerinden Yapılan Saldırılar
| Saldırı | Açıklama | Sonuç |
|---|---|---|
| DNS Spoofing/Cache Poisoning | Sahte DNS yanıtı | Kullanıcı yanlış IP'ye yönlenir |
| DNS Hijacking | DNS sunucusu ele geçirilir | Tüm sorgular saldırgan kontrolünde |
| DNS Tunneling | DNS sorgu/yanıt içine veri gizleme | Veri sızıntısı, C2 iletişim |
| DNS Amplification | DDoS için kullanım | Kurum başkasına saldırı aracı olur |
| Subdomain Enumeration | Alt alan tarama | Saldırı yüzeyi keşfi |
| Typosquatting | Benzer alan adına yönlendirme | Phishing |
DoH ve DoT: DNS'i Şifrelemek
DoH (DNS over HTTPS) ve DoT (DNS over TLS), DNS sorgularını şifreli kanalda taşır.
DoH — DNS over HTTPS
- Port: 443 (HTTPS ile aynı)
- Protokol: HTTPS içinde DNS
- Avantaj: HTTPS trafiğine karışır, kurumsal filtre tarafından ayırt edilemez
- Dezavantaj: Kurumun iç DNS politikasını bypass eder
DoT — DNS over TLS
- Port: 853 (özel)
- Protokol: TLS içinde DNS
- Avantaj: Açıkça DNS trafiği, kurumsal kontrol yapılabilir
- Dezavantaj: Tarayıcı/işletim sistemi desteği daha sınırlı
Hangi Senaryoda Hangisi?
| Kullanıcı | Tercih |
|---|---|
| Kişisel kullanıcı (mahremiyet) | DoH (Cloudflare, Quad9, Google) |
| Kurumsal ortamda son kullanıcı | DoT (kurum DNS sunucusuna) |
| Kurumsal DNS sunucusu | DoT (üst seviyedeki resolver'a) |
| Mobil uygulama gizliliği | DoH (uygulama içi) |
KOBİ İçin Önemli Uyarı
Modern tarayıcılar (Chrome, Firefox, Edge) varsayılan olarak DoH'u kendi sunucularına açabilir. Bu durumda kurumun iç DNS filtresi (zararlı alan engelleme, kategori filtreleme) bypass edilir. Çözüm:
- Tarayıcı politikası ile DoH'u kuruma yönlendirme veya kapatma
- Kurum DNS'i DoH/DoT destekli yapma — kullanıcı kurumun DNS'ini kullanır ama şifreli
- Network seviyesinde DoH trafiğini tespit edip bloke etme (iyi bir firewall ile)
İç DNS Altyapısı Sertleştirme
KOBİ'nin iç DNS sunucusu, ağdaki tüm cihazların ilk durağıdır. Sertleştirilmesi kritiktir.
1. DNS Sunucu Seçimi
Yaygın seçenekler:
- Active Directory entegre DNS: Windows Server üzerinde, AD ile entegre (KOBİ'de yaygın)
- Bind9: Linux, açık kaynak, en yaygın internet DNS yazılımı
- Unbound: Yeni nesil resolver, performanslı, sıkı varsayılanlar
- dnsmasq: Küçük ölçek, kolay
- Pi-hole: Açık kaynak, reklam/zararlı engelleme odaklı
2. Sorgu Filtreleme — DNS Filter
Zararlı alan adlarını DNS seviyesinde engelleme:
- Cisco Umbrella (eski OpenDNS): Bulut tabanlı, kategori filtre
- Quad9: Ücretsiz tehdit istihbaratı entegre DNS (9.9.9.9)
- Cloudflare for Families: Aile koruma odaklı (1.1.1.2)
- NextDNS: Yapılandırılabilir, KOBİ ölçeği makul fiyat
- AdGuard DNS Home: Reklam/tracker engelleme
İç DNS sunucusu üst seviye resolver olarak bu hizmetlerden birini kullanabilir.
3. DNSSEC
DNSSEC (DNS Security Extensions), DNS yanıtlarını dijital imzalar — yanıtın gerçekten yetkili sunucudan geldiğini doğrular. Cache poisoning saldırılarına karşı temel savunma. KOBİ tarafında genellikle resolver seviyesinde aktif edilir; alan sahibi olarak kendi alanınızda DNSSEC imzalı kayıt oluşturmak ek bir koruma katmanıdır.
4. Sorgu Logging
Tüm DNS sorguları kaydedilmelidir:
- Hangi cihaz, ne zaman, hangi alan adını sorguladı
- Anormal sorgular (rastgele görünümlü subdomain'ler — DNS tüneli işareti)
- Saatlik raporlar, yıllık arşiv
- SIEM entegrasyonu (varsa)
5. Sorgu Hız Sınırı (Rate Limiting)
Bir cihaz dakikada 1000+ DNS sorgusu yapıyorsa muhtemelen DGA (Domain Generation Algorithm) çalıştıran bir zararlı yazılım var. Rate limit hem normal kullanımı korur hem anomali yakalar.
DNS Tüneli Tespiti
DNS tüneli, saldırganın DNS sorgu/yanıtı içine veri gizleyerek dış çıkış sağlamasıdır. Firewall'ın görmediği bir kanal olduğu için saldırganın favorisidir.
Belirtileri
- Çok uzun veya rastgele görünümlü alan adı sorguları (örnek:
aXjK29p3LqMnB7vR.evil.com) - Aynı alan adına yüksek hacimli, sürekli sorgu
- TXT, NULL kayıt sorguları (normal DNS sorgusu değil)
- Aynı cihazdan dakikada onlarca farklı subdomain sorgusu
Tespit Çözümleri
- DNS log + SIEM: Anomali kuralları yazılır
- NDR araçları: Network Detection & Response, DNS davranışsal tespiti yapar
- Cisco Umbrella, Cloudflare Gateway: Bulut DNS filtresi DGA/tünel tespiti içerir
- Açık kaynak: dnstap + Zeek (eski Bro) ile manuel analiz
Bölünmüş DNS (Split-Horizon DNS)
Bazı KOBİ'lerde aynı alan adı (örnek: intranet.firma.com) iç ağdan farklı, dış ağdan farklı IP'ye çözülmelidir.
Klasik Split DNS Senaryosu
- İç ağdan
vpn.firma.com→ 10.0.0.5 (iç IP) - Dış ağdan
vpn.firma.com→ 1.2.3.4 (NAT IP)
İç DNS sunucusu kendi alanına yetkili davranır; dış DNS başka. Bu yapı, iç altyapıyı dış dünyadan gizler — iç IP'ler internet'e sızmaz.
Çalışan Cihazları İç DNS'e Yönlendirme
Çalışan kendi DNS'ini (örnek: 8.8.8.8) elle ayarlayamamalı; mutlaka iç DNS'i kullanmalı.
Yönlendirme Yöntemleri
- DHCP: DHCP üzerinden iç DNS sunucusu IP'si verilir (en yaygın)
- GPO / Configuration profile: Domain'deki cihazlarda zorunlu DNS ayarı
- Firewall kuralı: Port 53/853 dışına çıkış sadece iç DNS'ten
- DoH bloklama: Tanınan DoH endpoint'leri firewall'da engellenir
Bu yönlendirme olmazsa, çalışan cihazı zararlı alan engelleyen filtreyi atlatabilir.
Sıkça Yapılan Hatalar
Aynı yanlışlar farklı kurumlarda tekrar edilir:
- DNS sunucusunun varsayılan parolası değişmemiş
- Sorgu logging kapalı, anomali asla görülmüyor
- DNS sunucusu yamalanmamış (BIND zafiyetleri yıllık çıkar)
- Çalışan cihazları herhangi bir DNS'e bağlanabiliyor — filtre bypass kolay
- Cache poisoning saldırılarına karşı DNSSEC kapalı
- DNS sunucusu internete açık recursion yapıyor (amplification saldırı vektörü)
- DoH/DoT engelleme/yönlendirme planlanmamış
Yamanlar Bilişim Olarak Sunduğumuz Hizmetler
KOBİ ölçeğinde DNS sertleştirme desteği:
- Mevcut DNS altyapı denetimi ve risk değerlendirmesi
- İç DNS sunucu kurulumu (Bind9, Unbound, AD DNS)
- DNS filtreleme entegrasyonu (Quad9, Umbrella, NextDNS)
- DNSSEC aktivasyonu
- DoH/DoT uyumlu çözümler
- DNS sorgu logging ve SIEM entegrasyonu
- DNS tüneli tespiti kuralları
- Yıllık DNS sağlık denetimi
Sıkça Sorulan Sorular
Sonuç
DNS, "her zaman çalışıyor" varsayımıyla göz ardı edildiğinde saldırganların favori kanallarından biri haline gelir. DoH/DoT ile şifreleme, iç DNS sertleştirme, kategori filtreleme ve sorgu logging birleştiğinde KOBİ ağında DNS savunma derinliğinin temel bir katmanı haline gelir. Modern saldırıların önemli bir kısmı — ransomware C2, veri sızıntısı, phishing yönlendirmesi — bu katmanda yakalanabilir.
Yamanlar Bilişim olarak KOBİ ölçeğine uygun DNS sertleştirme tasarımı, filtreleme entegrasyonu ve sürekli izleme stratejileri sunuyoruz; "telefon rehberinizi" saldırganın değil, sizin kontrolünüzde tutuyoruz.
Sıkça Sorulan Sorular
KOBİ olarak hangi DNS sunucu yazılımını seçmeliyim?
Active Directory kullanıyorsanız Windows Server DNS doğal seçimdir. AD kullanmıyorsanız Linux üzerinde Unbound (sıkı varsayılanlar, performanslı) veya Bind9 (en yaygın, dokümantasyon bol) önerilir. Pi-hole basit ofislerde reklam/tracker engelleme için ek katman olarak güzel çalışır.
DoH u tarayıcıda kapatmalı mıyım yoksa açık mı bırakmalıyım?
Kurumsal ortamda kuruma yönlendirilmiş DoH ideal: tarayıcı DoH kullanır ama sorgular kurumun iç DNS ine gider, kurum filtresi devreye girer. Tarayıcı varsayılanı (Cloudflare, Google a gönderim) kurumsal filtreyi bypass eder — bu sınırlandırılmalıdır. Politika seviyesinde Chrome/Firefox/Edge için yapılandırılabilir.
Cisco Umbrella, Quad9, NextDNS arasında hangisi KOBİ için en iyi?
Bütçe ve ihtiyaca bağlı: Quad9 ücretsiz, temel tehdit istihbaratı; Cisco Umbrella kapsamlı kategori filtre + raporlama, daha pahalı; NextDNS uygun fiyatlı, esnek yapılandırma. Küçük KOBİ için NextDNS veya Quad9 başlangıç; orta-büyük KOBİ Umbrella ya geçebilir.
DNS tüneli tespit etmek için ek araç almak şart mı?
Şart değil; iç DNS sunucusunun loglarını düzenli analiz etmek (manuel veya basit script ile) çoğu DNS tüneli vakasını yakalar. Anormal sorgu desenlerine bakılır: çok uzun subdomain, yüksek hacim, TXT sorguları. Otomatik tespit istiyorsanız NDR çözümleri veya bulut DNS filtre içine entegre tespit kullanılır.
DNSSEC pratikte gerçekten fark yaratıyor mu?
DNSSEC cache poisoning saldırılarına karşı önemli ama tek başına yeterli değil. Kullanıcının resolver ı DNSSEC doğrulaması yapmazsa imzalı yanıt anlamsız. KOBİ tarafında: iç resolver DNSSEC doğrulaması yapsın, kendi domain iniz için DNSSEC imzalı kayıt oluşturun (registrar da etkinleştirilir). Faydası az ama sıfır değil — savunma derinliği için önerilir.
Çalışanlar VPN ile evden çalışırken DNS güvenliği nasıl yönetilir?
VPN bağlandıktan sonra cihazın DNS i kuruma yönlendirilmelidir (full tunnel veya split tunnel + DNS yönlendirme). Aksi halde evden çalışan cihaz ev DNS ini veya ISP DNS ini kullanır, kurumsal filtre bypass edilir. Modern VPN istemcileri (Cisco AnyConnect, FortiClient, OpenVPN) bu yönlendirmeyi yapılandırılabilir şekilde sunar.
Yazar
Serdar
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Siber Güvenlik alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Insider Threat: KOBİ'lerde İçeriden Tehdit Tespiti
İçeriden tehdit (insider threat) nedir, KOBİ'lerde tespit yöntemleri, ayrılan çalışan, ihmal ve kasıtlı kötü niyet senaryoları.
NDR (Network Detection & Response) KOBİ'ye Gerekir mi?
Network Detection & Response (NDR) nedir, EDR ve SIEM'den farkı, KOBİ ölçeğinde gerekli olup olmadığı ve uygun çözümlerin değerlendirilmesi.
Web Filtreleme ve URL Kontrolü: KOBİ Ofisi İçin Politika
KOBİ ofisinde web filtreleme politikası tasarımı, URL kategori yönetimi, çalışan üretkenliği ile güvenlik dengesi ve KVKK uyumu.