ICANN’deki Türk Mühendis ile DNSSEC ve Web Güvenliği Hakkında Konuştuk
Ümit Öncel tarafından 19 Haziran 2010 tarihinde yazılmıştır.
Web güvenliği son dönemin en önemli konularından biri. Sadece kullanıcılar açısından değil, işini internet üzerinde sürdüren veya yoğun olarak web destekli uygulamalar kullanan kurum ve kuruluşlar da günümüzde internete daha bağımlı hale geldi.
Bugün aktif olan internet güvenlik yöntemleri, artan kullanım ve genişleyen, değişen internet kullanımı nedeniyle artık ihtiyaca cevap vermekte zorlanıyor. Bu durumu değiştirmek için ICANN, Verisign ile ABD Hükümeti bir araya gelerek kolları sıvadı ve DNSSEC adı verilen yeni nesil web güvenlik teknolojisini hayata geçirmek için ilk ve en önemli adımları attı.
DNSSEC ve yeni nesil web güvenliği konusunda daha detaylı bilgi almak için konuyu ICANN’de bu projenin başında yer alan Türk mühendis Mehmet Akcin’e sorduk.
İnternet ve web güvenliği konusunu yakından takip edenler, DNSSEC ile ilgili ilk adımın 5 Mayıs’ta atıldığını hatırlayacaklardır. DNSSEC konusunu teknik olarak çok detaylı bilgisi olmayanlar için kısaca şu şekilde özetlemek mümkün: Kullanıcılar için internetteki güvenliği arttırmak adına, DNSSEC teknolojisi devreye girdi. Bu teknoloji ile artık sunucular, istemcilere doğru adreste bulunduklarına dair bir anahtar gönderecekler ve böylece DNS güvenliği doğal bir şekilde arttırılmış olacak.
DNSSEC çalışma prensiplerinde 2 anahtar bulunuyor. 1. Anahtar, KSK (Key signing key) en önemli anahtardır. Bu anahtar 2. anahtar yani ZSK (Zone Signing Key)’i imzalar. 16 Haziranda gerçekleşen seremonide önümüzdeki 5 yıl boyunca kullanılacak olan KSK’lar oluşturuldu. Seremoniye 14 farklı ülkeden seçilmiş ve Vint Cerf gibi internetin en önemli isimleri yer aldı.
Özellikle “man in the middle” saldırılarına karşı çok ciddi bir önlem olan DNSSEC konusu ile bilgi almak için projenin başındaki ve bu önemli seremonin yöneticisi olan Mehmet Akcin ile konuştuk.
Ümit Öncel: Bize biraz kendiniz tanıtır mısınız?
Mehmet Akcin: 1981 İstanbul doğumluyum, 19 yaşında Porto Riko’ya bir dönemlik Exchange öğrenci olarak geldim, ardından okulumun burs teklifini kabul edip burada kaldım. Porto Riko ‘da .PR alan ismi ile ilgili ve Karaipler’deki ilk internet exchange point olan X.PR‘I kurdum. .PR’da DNSSEC ve ipv6 ile yaptığım çalışmaların başarısından sonra ICANN‘den gelen iş teklifini kabul ettim. 2006 yılından beri ICANN’de çalışmaktayım.
L-Root, yani 13 kök sunucudan birisi ve ICANN’in kendi kontrol ettiği tek sistemde, yüksek mühendis olarak çalışmaktayım. ICANN’in ROOT DNSSEC projesinin mensuplarından birisiyim. Sık sık uluslararası toplantılara katılıp ICANN, DNS, DNSSEC ve L-Root hakkında bilgileri katılımcılarla paylaşıyorum. En son Riyad’daki, Ortadoğu ağ yöneticileri grubu toplantısında bir kaç konuşma ve panel yönettim. Bu toplantının 7.si İstanbul’da yapılacak. 30′dan fazla ülkede, bir çok mühendise DNS, Anycast, IPv6 konusunda sunumlar yaptım ve hala yapmaya devam ediyorum.
Şu anda ayni zamanda .TR ile ilgili bir DNSSEC projesine de gönüllü olarak yardımcı olmaktayım.
Ü.Ö.: DNSSEC hakkında da kısaca bilgi verebilir misiniz? Ne zamandır üzerinde çalışılıyordu, ICANN’in bu çok katılımlı projedeki rolü nedir?
M.A.: DNSSEC uzun zamandır üzerinde çalışılan ve DNS güvenliğini arttıracak olan bir proje. ICANN, varolan DNS Root sistemdeki IANA fonksiyon operatörüdür. ICANN’in KÖK’ü (ROOT) DNSSEC ile imzalama projesindeki rolü, KSK yani KÖK alanı imzalayacak anahtarı imzalamaktır.
DNSSEC’in çalışma prensibinde 2 anahtar mevcut. İlki KSK, ikinci ise ZSK. ICANN KSK’den Verisign ise ZSK’den sorumlu.
Ü.Ö.: DNSSEC, teknik bilgisi çok olmayan kullanıcıların hayatında neler değiştirecek? Kullanıcıların dikkat etmeleri veya hazırlıklı olmaları gereken konular veya durumlar var mı?
KSK Seremonisinde bulunan ekip
M.A.: Çok güzel bir soru.
Evinden internete bağlanmış bir kullanıcı
www.akcin.net adresine gitmek istedi diyelim. Bu kullanıcı tarayıcısına bu adresi yazdığında, işletim sistemi network ayarlardaki DNS sunuculara
www.akcin.net‘in IP adresi nedir diye sorar. Sistem o IP adresine cevap alınca o IP’ye bağlanmaya çalışır.
DNSSEC olmadığında, kötü niyetli bir kişi sizin bilgisayarınız ile DNS Sunucusu arasına girip, DNS Sunucusunun verdiği cevabı değiştirebilir. Böylece siz
www.akcin.net‘e girdiğinizi zannederken başka bir adrese yönlendirilebilirsiniz.
DNSSEC bunun tamamen önüne geçiyor. Çünkü DNSSEC kullanan bir recursive server, başka bir server ile konuştuğunda sadece DS kayıtları uyumlu olduğunda cevap veriyor.
Bu konuda Türkçe bir dokuman hazırlamaktayım ve çok yakın zamanda bu dökümanı Türk mühendis arkadaşlar ile paylaşacağım.
Kullanmış olduğunuz internet servis sağlayıcısı sizin yerinize bu işlemi yapacaktır. DNSSEC’in en güzel kısmı kullanıcıların çok fazla bir şey yapmasına gerek duymamasıdır. Fakat ISS’larda çalışan mühendislerin ve teknik elemanların, DNS Serverlardan sorumlu olanlarına çok büyük iş düşmektedir. Bu kişilerin kullandıkları sunucu yazılımının (BIND/Unbound vb.) en son versiyonda olması çok önemlidir.
Ü.Ö.: DNSSEC projesinde kaç kişi görev alıyor ve sizin bu projedeki göreviniz nedir?
Mehmet Akcin, seremoni esnasında ROOT anahtarının 7 parçasından birini Vint Cerf'e verirken
M.A.: Bu projede yaklaşık olarak 20 kişi görev alıyor. ICANN’den 10 kadar kişi var. Benim görevim ICANN’in KSK Seremonilerindeki en yüksek kıdemli yöneticisi (Ceremony Administrator) olmak. Görevim çerçevesinde kısaca ICANN’in rolü olan KSK’in yaratılması ve ZSK’nin bu KSK ile imzalanması benim sorumluluğum.
Ü.Ö.: Sanırım Mayıs ayı başında DNSSEC için ilk testler yapıldı. Bununla ilgili verileri değerlendirme imkanınız oldu mu? Test sonrası izlenimleriniz neler?
M.A.: Bir çok farklı konuda testlerimiz halen devam ediyor, bununla birlikte dünyayı geniş çapta etkileyecek DNSSEC aktivasyonunda her hangi bir negatif etki beklenmiyor.
Ü.Ö.: Sizce web güvenliği konusunda DNSSEC’in dışında veya ardından atılması gerekli başka adımlar da var mı?
M.A.: DNSSEC sadece web değil bir çok konuda güvenlik sağlayacak. Genel anlamda güvenlik konusunda verilecek tavsiyeleri işin üstadı olan arkadaşlara bakıyorum, benim uzmanlık alanım dışında olduğu için yanlış yönlendirmek istemiyorum.
Ü.Ö.: Seremonideki göreviniz için sizi tebrik ediyoruz ve paylaştığınız tüm bilgiler için teşekkür ederiz.
Aşağıda yer alan DNSSEC seremonisi ile ilgili ICANN’in (İngilizce) videosunu izlemenizi ise özelilikle tavsiye ediyoruz. Mehmet Akcin’in yönettiği seremonin prosedürü hakkında gerçekten ilginç detayları bu videoda bulabileceksiniz.