Pazar, Ocak 28, 2007

70-296 Sınav Notları (7.Bölüm)

7.İsim Çözümleme Stratejisinin Planlanması


İsim Çözümleme için ön gereksinimler

Anlaşılabilir bilgisayar isimleri sadece insanlar içindir. Bilgisayarlar, uygulamalar ve routerlar aralarında IP adresleri ve diğer notasyon şekillerini kullanarak anlaşırlar. Bilgisayar dilindeki (!) adres tanımlarını insanların anlayacağı türlere çevirmek için WINS ve DNS gibi sistemler kullanılır.

DNS isimlendirmesindeki sınırlama ; üst veya alt etki alan adlarının en fazla 63 karakter, toplam FQDN ismin ise 255 karakterden uzun olamamasıdır.

Tüm ağ ortamındaki isim çözümlemesi işlemini tek bir DNS sunucusuyla halletmek mümkün olabilir. İç ağ ortamına kurulan bir DNS sunucusu istemcilerden gelen isteklere cevap verir ve cevabını bilemediği Iterative sorguları bir Internet DNS sunucusuna gönderir ve aldığı cevapları istemcilere teslim eder. (Şekil 1)

Bir NetBIOS ağı Windows 2003 ortamına terfi ettiriliyorsa muhtemelen NetBIOS çözümlemesi için bir WINS server kullanılıyordur. Aynı şekilde Windows 2003 ortamına istemcilerin NetBIOS isimlerinin çözümlenmesi için aynı WINS sunucusunun DNS sunucusu ile entegre çalışması yöntemi uygulanabilir.

İç ağ ortamınaki DNS alanlarının oluşturulması için aşağıdaki tavsiyeler göz önüne alınmalıdır :

- Kısa etki alanı adları seçin. Uzun adların toplamınan uzun FQDN’ler oluşur.

- Etki alanı hiyerarşisini kabul edilebilir sınırlar içinde tutun. Çok fazla derine inen hiyerarşiler yönetim zorlukları oluşturur.

- Bir strateji belirleyin ve hep onu uygulayın. Yapılanma politik hiyerarşiye veya coğrafi yerleşime göre olabilir. Ama aynı anda ikisini de birleştirerek uygulamak kötü sonuçlar verebilir.

- İsimleri kısa tutmak için anlaşılmaz kısaltmalar seçmeyin.

- Okunması zor isimlerden etki alanı adı oluşturmayın. Albeequeue.hdomain.com gibi

İç ve dış (Internet) etki alanlarının isimlendirmesini kombine etmek için aşağıdaki yöntemler kullanılabilir.



Her iki tarafa da aynı etki alanı adını vermek : Bu Microsoft tarafından tavsiye edilen bir yöntem değildir. Zira iç ağdaki bir host, yanlışlıkla Internette bulunan benzer bir sistemle karışabilir ve bu durum isim çözümlemesi sorunlarına yol açabilir.



Farklı etki alanı adları kullanmak : Bu daha az karışık bir yöntemdir. Ancak farklı iki isim altında iki etki alanının yönetilmesi gibi daha fazla yönetimsel çaba gerektiren bir yoldur.



Bir alt etki alanı (subdomain) kullanmak : Bu Microsoft tarafından tavsiye edilen yöntemdir. Kurumu Internette contoso.com etki alanıyla temsil ederken ve hostları bu alana yerleştirirken, aynı zamanda iç sistemler için de local.contoso.com alt alanı kullanılabilir, iç ve dış sistemler birbirinden böylece ayrılabilir.



Hostlar için uygulanacak isim stratejileri ve öneriler :



Kolayca hatırlanabilecek isimler seçin.
Organizasyon içinde aynı ismi bir kereden fazla kullanmayın.
DNS tarafından desteklenen karakterleri isimlerde kullanın. a-z, 0-9, -


Pentium III 700 Mhz işlemcisi olan bir W2K3 DNS sunucusu saniyede 10,000 isim sorgusuna cevap verebilir. Bu nedenle sistemde birden fazla DNS sunucusunun istenme nedeni olarak yoğun istemci trafiğinden daha geçerli nedenlere sahip olmak gerekir.



Yedeklemeyi sağlamak. Sunucunun devre dışı kalması halinde isim çözümlemesinin kesintiye uğramasını engellemek için 2.sunucu kurulabilir.
Performans artışı : Dağıtılmış yük performans arttırabilir.
Yük dağıtımı : Farklı subnetlere dağıtılmış DNS sunucuları çözümlemeyi daha da kolaylaştırabilir.
WAN trafiğinin azaltılması.
Yetkilerin dağıtılması : Farklı noktalardaki sistem yöneticilerine kendi sorumlu oldukları alt etki alanlarının isim yönetimini verebilmek için bu noktalara DNS sunucuları kurulabilir.


DNS sunucularını kurumun ihtiyaçlarına uygun olarak farklı şekillerde kurmak mümkündür :



Caching-only Servers

Bir DNS sunucusu için mutlaka yönettiği DNS alanının yetkili sunucusu olması gerekli değildir. Kurulduğu andan itibaren bir W2K3 DNS sunucusu kök Internet sunucularının (Root Hints) bilgilerini bulundurduğu için Internet isim çözümlemesi yapabilecek durumdadır. Üzerinde herhangi bir etki alanına ait alan bilgileri ve kayıtları olmayan sunuculara Caching-only servers denir. Bu sunucular Internet isim çözümlemesi yapmak için kullanılabilirler.

Aynı şekilde bir AD etki alanının caching only sunucusu olarak da kullanılabilir. Geçen isim sorgularını etki alanının gerçek DNS sunucusuna yönlendirerek bu görevi yerine getirebilir.

Caching-only sunucu ilk kurulduğunda belleğinde kayıt barındırmaz. Buradaki kayıtlar, kendisine yönlendirilmiş istemciler sorguda bulundukça oluşur ve birikir. Dönemsel olarak geçerliliğini yitirmiş kayıtlar silinir.

Alan transferi yapmadan WAN üzerindeki DNS trafiğini azaltmanın tek yolu WAN’ ın diğer uçlarında caching-only sunucu kullanmaktır ve etkili bir yöntemdir.



Forwarder

Forwarder, kendisine doğrudan DNS sorguları yönlendirilmiş sunuculara verilen addır. Mevcut DNS sunucusunun cevaplayamayacağı sorguları iletmesi ve cevap alması için bu yöntem kullanılabilir. Birden fazla forwarder kullanmak da mümkündür.

Forwarder ile DNS sorgularının yaratacağı trafiği kontrol altına almak ve yönlendirmek mümkündür. Örnekte, yavaş Internet bağlantısı olan şubenin DNS sorgularının daha hızlı çıkışı olan Genel Müdürlüğe yönlendirilmesi ve sorgu sonucunu alan bölgedeki istemcinin kendi Internet çıkışını kullanması gibi.






Başka bir örnekte ise güvenlik duvarlarından dışarı çıkışına izin verilen sunucu ve istemci sayısını kontrol altına almak için forwarder kullanılabilir. Böylece tek bir forwarder Internette sorgulama yapacak ve cevaplarını geri döndürecektir.



Forwarderları zincirleme olarak kullanmak da mümkündür.



Şartlı Yönlendirme (Conditional Forwarding)

Windows 2003 Server ile gelen yeni özelliklerden biri de DNS sunucularındaki şartlı yönlendirmedir. Bu sayede forwarder tanımlarken farklı etki alanları için farklı forwarder sunucuları tanımlamak mümkündür. Örneğin, contoso.com etki alanından sorgu yapmak için doğrudan bu alanın DNS sunucusunu forwarder olarak kullanabilir, fabrikam.com etki alanı için de sadece bu alana ait forwarder kullanılabilir. Bu sayede tüm sorgular için temel sorgu davranışı olan uzun yoldan isim çözümleme yerine doğrudan cevabı iletecek kaynağa yöneltilmek mümkün olabilir.



Alan Yaratmak

Bir alan (zone) isim uzayının belirli bir parçasını temsil eden ve DNS sunucusu üzerinde yaratılan bir kontrol ünitesidir. DNS isimuzayı sistem yöneticileri tarafından farklı sunucularda saklanması veya farklı kişiler tarafından yönetilebilmesi için alanlara bölünür. Bir alan mutlaka tam bir etki alanı ve/veya alt etki alanını içerir. Örneğin bir ana etki alanı (parent domain) ve alt etki alanı (child domain) bir alanda bulunabilir, ancak ana etki alanları olmaksızın farklı iki alt etki alanı bir alanda bulunamaz.






Etki alanının birden çok alana bölmek ve aynı DNS sunucusu üzerinde yönetmek mümkündür ancak çoğu zaman buna gerek duyulmaz. Windows 2003 DNS sunucusu 3 farklı tipte alanı destekler :



Temel Alan (Primary Zone) : Temel alan, alan veritabanının gerçek dosyasını saklar. Sistem yöneticileri değişiklik ve silme, yazma işlemlerini burada yaparlar. Eğer alan, AD’ye entegre değilse diğer bir çok DNS sistemi ile uyumlu olan bir metin (text) dosyası içinde kayıtları tutar.



İkincil Alan (Secondary Zone) : Temel Alanın bir kopyasıdır. Bu alandaki kayıtların üzerinde değişiklik yapılamaz, ancak temel alanda yapılan değişiklikler zone transfer adı verilen bir işlemle ikincil alana aktarılarak kayıtlar güncellenebilir. Her DNS ortamında bir ikincil alan bulunması tavsiye edilmektedir.



Stub Zone : Alandaki yetkili sunucuları belirlemek için gerekli Host (A) kayıtları ve alanda bulunan tüm Start of Authority (SOA) ve Name Server (NS) kayıtlarını içeren bir kopya alandır.



Bir Windows 2003 DNS sunucusur hem birincil hem de ikincil alanları barındırabilir ve hizmet verebilir. Sırf ikincil alanları bulundursun diye sunucu kurmak gereksizdir. İkincil alanlar ağdaki DNS sunucularına dağıtılarak hata toleransı ve ağ trafiğinin düzenlenmesine yardımcı olabilirler.



Windows 2003 DNS alanları standart kurulumda değişiklik yapılmadıkça metin dosyaları olarak tutulurlar. Ancak DNS alanlarını Active Directory ile entegre etmek mümkündür. Bu düzenleme ile DNS alanlarının güvenliği, alan transferlerinin (zone tranfers) otomatik yapılması gibi faydalar sağlanır.



Active Directory replikasyon sırasında sadece son dağıtımdan bu yana değişmiş kayıtları replike ettiği için ağın bant genişliğinin de verimli kullanıldığını söylemek mümkündür.



Active Directory ortamlarında replikasyon otomatik gerçekleştiği için ikincil alanların oluşturulması şart değildir. Ayrıca AD-Entegre ikincil alanlar oluşturulmasına AD izin vermemektedir. Ancak mutlaka ikincil alan oluşturulması isteniyorsa metin tabanlı ikincil alan dosyası oluşturmak ve bunu bağımsız bir sunucuda tutmak mümkündür.



DNS sunucuları için gerekli güvenlik ayarlarının yapılmaması halinde iç sistemler hakkında bilgi toplanması ve içeri sızılmasına yardımcı olması mümkün olabilir. Bu nedenle alınacak bazı önlemler bulunmaktadır. Bunların arasında en katı olanı iç ağda bir kök DNS sunucu oluşturmak ve Internet’le bağlantısını kesmek, DNS trafiğini şifrelemek ve DNS sunucularına yönetici erişimini kontrol altına almak olabilir. Ancak bu yöntemle Internet erişiminin ve Internet hostlarının isim çözümlemesinin de önüne engeller konulduğundan ortaya başka sıkıntılar çıkabilir.



Etki alanları Internet’e kayıt edildiği takdirde DNS sunucularının da Internet’ten ulaşılabilir durumda olması kaçınılmazdır. Bu durumda sunucuların teorik olarak saldırılara açık olduğu söylenebilir. Saldırı durumunda sunucuların bloke olması ve isim çözümlemenin durması ihtimaline karşın, birden çok DNS sunucusu kurmak ve arızalanın yerine kullanıcıları otomatik olarak diğerine yönlendirmek tercih edilebilir.



Diğer bir yöntem olarak iç ağ ile dış ağa bakan DNS sunucuları birbirinden ayrılabilir. Dış DNS sunucusu iç sunucunun forwarder’ı olarak tanımlanır. Böylece hiçbir Internet sistemi iç ağdaki DNS sunucusu ile doğrudan konuşamayacaktır. Split-Brain olarak tanımlanabilecek bu yöntem de bir güvenlik önlemi olarak kullanılabilir.






Başka bir yöntem de DNS sunucusunun birden fazla IP adresi olması halinde hangi adresten gelen çözümleme isteklerine cevap vereceğine izin vermektir. Internet ve iç ağa aynı anda bağlı bir DNS sunucusunda sadece iç ağdan gelen çözümleme taleplerine cevap verecek şekilde ayarlama yapılabilir.



Yapılabilecek en etkili sızma çalışmalarından biri de DNS sunucuları arasındaki alan transferi trafiğini izlemek olacaktır. Bunu engellemenin en kolay yolu DNS alanlarını Active Directory-Entegre hale getirmek olacaktır. AD DCleri arasında transfer öncesi karşılıklı kimlik doğrulamaları yapıldığından ve trafik şifrelendiği için, impersonation ve spoofing gibi saldırı teknikleri etkisiz kalacaktır.



Diğer bir korunma yolu da alan transferine katılacak sunucuların IP adreslerini elle belirlemek ve diğer sistemleri dışarıda bırakmak olacaktır. Böylece, bir saldırganın kendi DNS sunucusunu kurmasını, ikincil alan oluşturmasını ve alan transferi talep ederek alan bilgilerini ele geçirmesini engellemek mümkündür.



Hiç yorum yok: