Bilgisayar korsanları, siber ölüm zincirinde DNS hizmetlerinin kilit rolünün küçümsenmesinden yararlanıyor. Yapılan son araştırmalara göre kötü amaçlı yazılımların %91’i, bunları yaymak için DNS hizmetlerini kullanmakta. Bunun yanında ise hepimizin çok güvendiği yeni nesil güvenlik duvarları, IPS ler, Güvenli Web Ağ Geçitleri, Sandbox’lar DNS tabanlı zararlı yazılımları engellemekte pekte başarılı değiller. Bu nedenle bu yazıda, siber güvenlik çözümleri arasında pek de yeni olmayan fakat önemi yeni kavranmaya başlanan DNS güvenlik duvarı kavramından kısaca bahsetmek istedik.
En temel tanımıyla DNS Firewall, bildiğimiz firewall çözümleri gibi kullanıcıların ve sistemlerin, kötü amaçlı internet sitelerine ya da bağlantılara erişimini engelleyen bir ağ güvenliği çözümüdür. Bildiğimiz yeni nesil güvenlik duvarlarıyla arasındaki temel fark ise, DNS güvenlik duvarının farklı bir katman ve aşamada, DNS katmanında analiz ve kontrol sağlamasıdır.
Tüm internet trafiği DNS kullanır ve bu nedenle DNS hizmeti, internet servislerinin temelidir diyebiliriz. Yeni nesil güvenlik duvarları port, protokol ve/veya uygulamaya dayalı olarak belirlenen internet trafiğini engellemek veya belirli trafiklere izin vermek için oluşturulmuştur. Kullanıcıların, bir şirket ağı ya da web hizmeti için internet’i ya da iş için kritik bir uygulamayı kullanabilmeleri için, DNS hizmetinin tüm kullanıcılara açık tutması gerekmektedir. Yeni nesil güvenlik duvarı üzerinde izin verilen bir DNS protokolü kullanan kötü amaçlı bir yazılım, DNS sorgularını ve yanıtlarını yorumlayamayan bir güvenlik duvarı tarafından tespit edilemez. Bazı yeni nesil güvenlik duvarlarının DNS ile ilgili güvenlik önlemleri olmasına rağmen bunlar oldukça sınırlıdır ve çoğunlukla duruma ve isteğe göre uyarlanamaz. Bu gibi nedenlerle yeni nesil güvenlik duvarlarının DNS servisleri üzerinden kötü amaçlı yazılımların yayılmasını engellemeleri çok zordur.
DNS Güvenlik Duvarı ise internet trafiğinin her noktasında bulunan ve temel bağlantı kontrol sistemi olan DNS’i temel alarak çalışır. İnternet trafiği henüz uygulama katmanında çalışmadan, DNS katmanında kontroller gerçekleştirir ve zararlı yazılım barındıran siteleri ya da oltalama gibi yöntemleri etkili bir şekilde tespit edebilir.
Genel çalışma prensibi, DNS trafiğinizi analiz edip sınıflandırmak ve sizin belirlediğiniz kurallara göre istenmeyen ya da zararlı olan hizmetlerin engellenmesini sağlamaktır. Buradaki en önemli nokta kullandığınız DNS güvenlik duvarı ürününün/çözümünün güncel bir veritabanının olması ve zararlı olabilecek domainleri kısa sürelerde analiz ederek yüksek başarı oranıyla sınıflandırabilmesidir. Bunun yanında internet trafiğinizin gerçek zamanlı olarak kayıt altına alınması ve doğru raporlara erişebilmeniz de tehditleri görüp gerekli aksiyonları önceden almanızı oldukça kolaylaştıracaktır.
