Bilgi Teknolojileri

Ev DNS Stack’imdeki Son Parça En Önemlisi Oldu

Ev DNS stack’imdeki son parçayı eklediğimde, bunun en önemli parçası olduğunu fark ettim. Tüm bu sürecin amacı, mahremiyetimi artırmaktı. Cloudflare’ı değiştirdim, internet servis sağlayıcımın varsayılan çözümleyicisini bıraktım ve AdGuard Home ile filtreleme, Unbound ile tam özyineleme yapan bir stack oluşturdum – yani sorgularım yetkili ad sunucularına doğrudan gitti, arada hiçbir aracı bulunmuyordu. Ancak, bu tam özyineleme kurulumunun belirli eksiklikleri olduğunu kısa sürede anladım ve bu da beni DNS güvenliği ve mahremiyetinde bir sonraki adıma geçmeye yöneltti.

DNS’nin Önemli Parçaları

Tam özyineleme, DNS sorgularınızın şifresiz olarak ağınızdan çıkması anlamına gelir. İnternet servis sağlayıcınız (İSS), trafik onların altyapısından geçtiğinde her bir domaine çözümleme yaptığınızı görebilir. Geleneksel DNS (Domain Name System) sistemi, İnternet’in adres defteri gibidir ve genellikle UDP port 53 üzerinden şifresiz iletişim kurar. Bu, sorgularınızın ve yanıtlarınızın ağdaki herkes tarafından okunabilir olduğu anlamına gelir. Bu durum, İSS’nizin veya ağınızdaki kötü niyetli bir kişinin hangi web sitelerini ziyaret ettiğinizi kolayca izlemesine olanak tanır. Ayrıca, DNS sorgularınızın manipüle edilme (DNS spoofing) riski de bulunur, bu da sizi sahte bir web sitesine yönlendirebilir.

Bu nedenle, bu yapılandırmayı değiştirmem gerekti. DNS-over-TLS (DoT), Unbound’ın zaten yapabileceği bir şeydir ve bu, sizin çözümleyici ile sorguladığı yukarı akış DNS sunucusu arasındaki bağlantıyı şifreler. Bu, DNS sorgularınızın plaintext olarak port 53 üzerinden değil, port 853 üzerindeki bir TLS (Taşıma Katmanı Güvenliği) bağlantısı içinde seyahat ettiği anlamına gelir. TLS, web sitelerini güvence altına almak için kullanılan HTTPS’nin temelini oluşturan aynı şifreleme protokolüdür. Bu sayede, İnternet servis sağlayıcınız, okunabilir bir domaine çözümleme listesi yerine yalnızca şifreli verileri bilinen bir DNS sunucusu IP’sine gönderildiğini görebilir. Bu, sorgu içeriğinizin gizli kalmasını sağlar ve ağ gözetimini önemli ölçüde azaltır. DoT, DNS sorgularınızın gizliliğini ve bütünlüğünü korurken, DNS verilerinizin üçüncü taraflarca değiştirilmesini veya izlenmesini zorlaştırır.

DNS-over-HTTPS (DoH) de benzer bir amaca hizmet eder, ancak DNS sorgularını HTTPS protokolü (genellikle port 443) üzerinden iletir. DoH, web trafiğiyle karıştığı için bazı durumlarda fark edilmesi daha zor olabilir. Her iki teknoloji de DNS mahremiyeti ve güvenliği için büyük adımlar olsa da, DoT genellikle ayrılmış bir port (853) kullandığı için ağ yöneticileri tarafından DNS trafiğinin daha kolay tanımlanmasına ve yönetilmesine olanak tanır. Her ikisi de geleneksel DNS’nin plaintext zayıflıklarını gidermeyi hedefler ve DNS sorgularınızın güvenliğini artırır.

DNS-over-TLS’nin Avantajları

DNS-over-TLS, şifreli bir bağlantı kullanır, bu da DNS sorgularınızın daha güvenli olmasını sağlar. Bu güvenlik, çeşitli tehditlere karşı koruma sağlar:

  • Pasif Gözetlemenin Önlenmesi: İSS’niz veya ağınızdaki herhangi bir kötü niyetli varlık, şifrelenmiş DNS sorgularınızın içeriğini göremez. Bu, ziyaret ettiğiniz web siteleri, kullandığınız uygulamalar ve genel çevrimiçi davranışlarınız hakkında değerli bilgilerin gizli kalmasını sağlar.
  • DNS Manipülasyonunun Önlenmesi: TLS bağlantısı, sorguların ve yanıtların iletim sırasında değiştirilmesini önleyen bir bütünlük kontrolü içerir. Bu, DNS sahtekarlığı (spoofing) ve zehirlenme saldırılarına karşı koruma sağlar, böylece sizi güvenli olmayan veya sahte sitelere yönlendiremezler.
  • Sansüre Direnç: Bazı ülkeler veya ağlar, belirli web sitelerine erişimi engellemek için DNS filtrelemesi kullanır. DoT, sorgularınızı şifreleyerek bu tür filtrelemeleri aşmayı zorlaştırabilir, böylece daha özgür bir İnternet deneyimi sunar.

Aynı zamanda, üçüncü taraf bir çözümleyici gibi Quad9’a (veya Cloudflare, Google DNS gibi diğer sağlayıcılara) DNS isteklerini iletebilir, bu da İnternet servis sağlayıcınızın ve diğer ağ casusluğunun sizi görmesini engeller. Ancak, bu bir trade-off’tur – bir varlığı diğerine güvenerek değiştiriyorsunuz. Quad9’a (veya başka bir güvenli DNS sağlayıcısına) İnternet servis sağlayıcınızdan daha fazla güveniyor musunuz? Tam özyineleme ile, hiçbir varlık tamamlayıcı sorgu geçmişinizi göremez – sorgular yüzlerce yetkili ad sunucuları arasında dağıtılır. DNS-over-TLS iletmesiyle bu değişir. İnternet servis sağlayıcısı hariç tutulur, ancak bir şirket şimdi tam resmi görüntüyü tutar. Bu üçüncü taraf sağlayıcıların gizlilik politikalarını dikkatlice incelemek ve onların veri toplama, depolama ve paylaşım uygulamalarını anlamak kritik öneme sahiptir. Güvenilir bir DoT sağlayıcısı, sıfır günlük (no-logging) politikası, şeffaf operasyonlar ve bağımsız güvenlik denetimleriyle öne çıkabilir.

Performans açısından, TLS el sıkışması ek bir gecikme ekleyebilir, ancak modern donanım ve optimize edilmiş ağlar sayesinde bu gecikme genellikle ihmal edilebilir düzeydedir ve çoğu kullanıcı için fark edilmez. Güvenlik ve mahremiyetin artırılması, küçük bir performans maliyetine değer olabilir.

AdGuard ve Unbound ile DNS Yapılandırmanızı Güncelleyin

AdGuard Home ve Unbound ile birlikte DNS yapılandırmanızı güncellemek, mahremiyetinizi artırmak için önemli bir adımdır. Şifreli bağlantı kullanmak ve üçüncü taraf bir çözümleyici ile çalışmak, İnternet servis sağlayıcınızın ve diğer ağ casusluğunun sizi görmesini engeller. Ancak, bu değişiklikleri yaparken, hangi varlığı daha fazla güveneceğinizi düşünmeniz gerekir. İşte bu yapılandırmayı nasıl güncelleyebileceğinize dair adım adım bir rehber:

1. Unbound’u Yapılandırma (DoT İletici Olarak)

Daha önce Unbound’u tam özyineleme yapacak şekilde kurduysanız, onun sorgularını yetkili ad sunucularına doğrudan (ve şifresiz) ilettiğini unutmayın. İSS’nizin bu trafiği görmesini engellemek için, Unbound’u belirli DoT sağlayıcılarına sorguları iletecek şekilde yapılandırabiliriz. Bu durumda, Unbound artık “tam özyineleme” yapmayacak, bunun yerine bir DoT iletici (forwarder) görevi görecektir. Bu, “tam resmi görüntüyü” tek bir DoT sağlayıcısına emanet ettiğiniz anlamına gelir.

Unbound yapılandırma dosyasını (genellikle `/etc/unbound/unbound.conf` veya `/etc/unbound/unbound.conf.d/my-dot-config.conf`) düzenleyin:

server:
# Genel yapılandırma
interface: 127.0.0.1
port: 5335 # Unbound’ın dinleyeceği port, AdGuard Home tarafından kullanılacak
do-ip4: yes
do-udp: yes
do-tcp: yes
access-control: 127.0.0.1 allow # Sadece AdGuard Home’un erişimine izin ver

# Performans ve güvenlik ayarları
verbosity: 1
num-threads: 1
rrset-cache-size: 128m
msg-cache-size: 64m
so-rcvbuf: 1m
so-sndbuf: 1m
harden-glue: yes
harden-dnssec-stripped: yes
harden-below-nxdomain: yes
use-caps-for-id: yes
private-address: 192.168.0.0/16
private-address: 10.0.0.0/8
private-address: 172.16.0.0/12

# DNSSEC doğrulamasını etkinleştir
auto-trust-anchor-file: “/var/lib/unbound/root.key” # Konum işletim sisteminize göre değişebilir

forward-zone:
name: “.” # Tüm sorguları ilet
forward-tls-upstream: yes # TLS üzerinden ilet
# Quad9 DoT sunucuları (ECS destekli)
forward-addr: 9.9.9.9@853#dns.quad9.net
forward-addr: 149.112.112.112@853#dns.quad9.net
# Alternatif olarak, Cloudflare (1.1.1.1) veya Google (8.8.8.8) DoT kullanılabilir
# forward-addr: 1.1.1.1@853#cloudflare-dns.com
# forward-addr: 1.0.0.1@853#cloudflare-dns.com

Açıklamalar:

  • `port: 5335`: Unbound’ın yerel olarak dinleyeceği portu belirler. AdGuard Home bu portu kullanarak Unbound’a sorgu gönderecektir. Geleneksel port 53’ü kullanmamak, sistemdeki diğer DNS servisleriyle çakışmayı önler.
  • `access-control: 127.0.0.1 allow`: Sadece yerel makineden (AdGuard Home’un çalıştığı yerden) gelen sorgulara izin verir.
  • `auto-trust-anchor-file`: DNSSEC doğrulaması için kök anahtar dosyasının yolunu belirtir. Bu dosyanın doğru bir şekilde başlatıldığından emin olun (`sudo unbound-anchor -a /var/lib/unbound/root.key`).
  • `forward-zone: “.”`: Tüm DNS sorgularını bu bölgeye yönlendirir.
  • `forward-tls-upstream: yes`: Sorguların yukarı akış sunucularına TLS üzerinden iletilmesini sağlar.
  • `forward-addr: …`: Yukarı akış DNS-over-TLS sunucularının IP adreslerini, DoT portunu (853) ve sunucu adını (TLS sertifikası doğrulaması için) belirtir. Birden fazla sunucu, yedeklilik ve yük dengeleme sağlar.

Yapılandırmayı kaydettikten sonra Unbound servisini yeniden başlatın:

sudo systemctl restart unbound

Unbound’ın doğru çalıştığından ve yerel port 5335’te dinlediğinden emin olmak için test edebilirsiniz:

dig @127.0.0.1 -p 5335 example.com

2. AdGuard Home’u Yapılandırma

Şimdi AdGuard Home’u, yukarı akış DNS sunucusu olarak yerel Unbound kurulumunuzu kullanacak şekilde yapılandırmanız gerekiyor:

  1. AdGuard Home web arayüzüne gidin (genellikle `http://:3000`).
  2. Sol menüden Ayarlar -> DNS ayarları‘na gidin.
  3. “Yukarı Akış DNS Sunucuları” bölümünde, mevcut tüm sunucuları silin (eğer kullanmayacaksanız).
  4. Yeni bir yukarı akış sunucusu eklemek için aşağıdaki adresi girin:
    127.0.0.1:5335 (Eğer Unbound ve AdGuard Home aynı makinede çalışıyorsa)
    Veya
    :5335 (Eğer Unbound farklı bir makinede çalışıyorsa)
  5. “Paralel talep çözümlemesini etkinleştir” seçeneğinin işaretli olduğundan emin olun (varsayılan olarak işaretlidir).
  6. “DNSSEC doğrulamayı etkinleştir” seçeneğini işaretleyin (Unbound DNSSEC doğrulamasını yapacağı için bu önemli bir adımdır).
  7. “Hızlı en düşük ping ile IP adreslerini seç” seçeneğini işaretlemeyin, çünkü Unbound zaten bu seçimi kendisi yapacaktır ve biz tek bir yerel upstream kullanıyoruz.
  8. Sayfanın altındaki Uygula düğmesine tıklayın.

Bu yapılandırma ile, ağınızdaki cihazlar DNS sorgularını AdGuard Home’a gönderecek, AdGuard Home filtreleme ve reklam engellemeyi uygulayacak, ardından kalan sorguları yerel Unbound servisine iletecek ve Unbound da bu sorguları belirlediğiniz DoT sağlayıcılarına şifreli bir şekilde gönderecektir. Bu zincir, hem filtreleme hem de gelişmiş mahremiyet ve güvenlik sağlar.

Peki, DNS ile Ne Yapmalısınız?

DNS’nin önemi, mahremiyetinizi korumak ve İnternet servis sağlayıcınızın sizi görmesini engellemek için kritik öneme sahiptir. DNS-over-TLS ve üçüncü taraf bir çözümleyici kullanmak, bu hedefe ulaşmak için önemli adımlardır. Ancak, hangi varlığı daha fazla güveneceğinizi düşünmeniz ve DNS yapılandırmanızı güncellemeniz gerekir. Bu denge, kişisel tehdit modelinize ve mahremiyet tercihinize bağlıdır.

Eğer önceliğiniz İSS’nizin veya ağınızdaki diğer casusların DNS sorgularınızın içeriğini görmesini engellemekse, yukarıda açıklanan AdGuard Home + Unbound + DoT sağlayıcı kombinasyonu mükemmel bir çözümdür. Bu, sorgularınızın şifreli bir tünel üzerinden tek bir güvenilir üçüncü taraf sağlayıcıya gitmesini sağlar. Bu durumda, seçtiğiniz DoT sağlayıcısının gizlilik politikalarını ve itibarını dikkatlice incelemelisiniz. Quad9 gibi sağlayıcılar, genellikle gizliliğe odaklanmış politikaları ve kötü amaçlı alan adı engelleme özellikleriyle öne çıkarlar.

Öte yandan, eğer “tam özyineleme” kavramına sıkı sıkıya bağlı kalmak ve sorgularınızı hiçbir üçüncü taraf recursive resolver’a emanet etmemek istiyorsanız, Unbound’ı tam özyineleme modunda (yetkili sunuculara doğrudan sorgu gönderecek şekilde) çalıştırmaya devam etmeniz gerekir. Ancak bu durumda, sorgularınızın çoğu (kök, TLD ve yetkili ad sunucularına gidenler) şifresiz olarak İnternet’te seyahat edecektir. Bu, İSS’nizin veya ağ dinleyicilerin bu sorguları görebileceği anlamına gelir. Bazı yetkili sunucular DoT’yi desteklese de, bu henüz yaygın değildir ve tüm sorgularınızın şifrelenmesini garanti etmez.

Nihayetinde, DNS yapılandırmanız kişisel güvenlik ve mahremiyet hedeflerinizle uyumlu olmalıdır. Her çözümün kendine özgü avantajları ve dezavantajları vardır. Teknolojiler geliştikçe (örneğin Oblivious DNS-over-HTTPS – ODoH gibi daha gelişmiş gizlilik çözümleri), bu seçenekler daha da çeşitlenecektir. Önemli olan, bilinçli bir seçim yapmak ve ağ güvenliğinizin ve mahremiyetinizin kontrolünü elinizde tutmaktır.

Sık Sorulan Sorular

DNS'nin önemi nedir?

DNS, İnternet servis sağlayıcınızın sizi görmesini engellemek ve mahremiyetinizi korumak için önemlidir.

DNS-over-TLS nedir?

DNS-over-TLS, DNS sorgularınızın şifreli olarak seyahat etmesini sağlayan bir protokoldür.

Üçüncü taraf bir çözümleyici nasıl kullanılır?

Üçüncü taraf bir çözümleyici, DNS sorgularınızı İnternet servis sağlayıcınızın görmesini engellemek için kullanılır.

Özlem Özen

Merhaba, ben Özlem Özen. İçerik üreticisi olarak dijital dünyada bilgi, deneyim ve ilham verici içerikleri insanlarla buluşturmayı hedefliyorum. Sosyal medya, yaşam, kişisel gelişim, güncel trendler ve ilgi duyduğum farklı konular üzerine içerikler üreterek takipçilerime değer katmaya çalışıyorum. İçerik üretimini yalnızca paylaşım yapmak olarak değil, insanlarla anlamlı bir bağ kurmanın bir yolu olarak görüyorum. Bu nedenle hazırladığım her içerikte samimiyet, güvenilirlik ve fayda sağlamayı ön planda tutuyorum. Sürekli öğrenmeye, kendimi geliştirmeye ve değişen dijital dünyaya uyum sağlamaya önem veriyorum. Amacım; bilgi veren, düşündüren ve ilham kaynağı olan içeriklerle daha geniş kitlelere ulaşmak ve dijital platformlarda kalıcı bir değer oluşturmak. Üretmeye, öğrenmeye ve paylaşmaya duyduğum tutkuyla içerik yolculuğuma devam ediyorum.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu