Sercanca Çözümler..

Mikrotik – DNS yönlendirme ve Ağ Güvenliği

Mikrotik – DNS yönlendirme ve Ağ Güvenliği

Günümüzde çok fazla DNS sunucusu mevcut. Bunların bazıları yasaklanan yerlere girilebilmesini sağlarken bazıları da güvenlik amaçlı yasaklanan yerlere girilmesini engeller. Mahkeme kararı ile yasaklanan yerlere girilmesinde ilk tercih her zaman DNS değiştirmedir. Genelliklerde Türk Telekom DNS adresleri (195.175.39.39-195.175.39.40) kullanılıyor. Açıkçası pek sağlam olduklarını düşünmüyorum. Bir çok kez sadece Türk Telekom DNS adresleri kullanılan sistemlerde internet erişim sorunları gördüm. Bundan yola çıkarak her zaman farklı DNS adreslerini sisteme girme konusunda dikkatli davranıyorum.Bu sayede eğer DNS sunucudan yanıt gelmez ise sıradaki DNS sunucusuna sorgu gönderilip sonuç alınıyor.

Eğer ip adresiniz statik ise tehlikede olabilirsiniz. kötü amaçlı yazılan bot programları statik ip adreslerini rastgele bulup bu ip adreslerini DNS ve Proxy sunucusu olarak kullanmaya çalışarak sisteminizi zorlamaktadır. Zorlanan sistemin güvenliği kolay kırılabilir durumda olduğu için kötü amaçlarını sonuçlandırabilirler. Hiç birşey yapamazsalar bile emin olun internetiniz yavaş çalışacaktır.

Sisteminizde güvenlik duvarı var ise işiniz çok kolay. Lan ağınızdaki tüm bilgisayarların dış DNS sunucularına ulaşmasını engelleyebilirsiniz.Dışarıdan gelen DNS ve Proxy portlarını kapabilirsiniz.

Mikrotik tarafında bu yazıdaki yöntemi uygularsanız hem DNS güvenliği hemde dış DNS sunucularına erişimi engellemektedir.Aynı zamanda dışarıdan gelen DNS ve Proxy saldırılarının önüne geçebilirsiniz.

Öncelikle Mikrotik cihazınızı yapılandırdıktan sonra aşağıdaki yöntemleri uygularsanız sisteminiz daha stabil çalışacaktır. ddos saldıraları gibi benzer saldırırları da engellemek gereklidir. Şuan için bunun üzerinde durmayacağım. Fakat başka bir yazımda bu konu üzerinde de duracağım.

1- İnternetten gelen şifre kırmaya yönelik saldırıları engelleme

Winbox menüsünde IP–>Services kısmına gelin. Bu bölümde Mikrotik cihazınıza ulaşma portlarını göreceksiniz. Bu menüde api, api-ssl, ftp, ssh, telnet, www-ssl servislerini devre dışı bırakın. Cihaza sadece web ve winbox ile erişimini kabul ettirmiş oluyoruz. Tabi herşeyden önce mikrotik cihazınızın kullanıcı adı ve şifresini değiştirin. varsayılan bırakırsanız sistemiz çok kolay şekilde kırılabilir.

Mikrotik - DNS yonlendirme ve Ag Guvenlik services

2- Dışarıdan gelen DNS ve Proxy saldırılarını engelleme

Kötü amaçlı botların sisteminizi DNS veya PROXY sunucusu gibi kullanmaya çalışarak yorduğuna değinmiştim. Aşağıdaki gibi bir önem alınırsa bu sorunun önüne geçilebilir ve sisteminiz daha stabil çalışabilir. PPPoE modunda yapılandırılmış ve internet çıkış bacağı pppoe-out1 olan bir sistemde aşağıdaki gibi önem almak isterseniz in interface kısmı pppoe-out1 olarak seçilmelidir. Başka şekilde ayarlanmış ise internet çıkış bacakları gösterilmelidir.

Bu kodu devreye aldığınız zaman internetten sisteminize gelen TCP/UDP 53 ve TCP 8080 portlarından gelen saldırılar kapatılmış olacaktır.

2- Mikrotik cihazınızın DNS sunucusu olarak ayarlanması

İç ağınızda çalışan bilgisayarlar DNS sunucusu olarak ne ayarlandı ise URL adreslerine gitmek istediklerinde o DNS adreslerinden sorgulama yapacaktır. Bu da ağınızda güvenliği engelleyecektir. Kontrolün sizde olmasını istiyorsanız DHCP üzerinden mutlaka DNS adresi olarak Mikrotik cihazınızı göstermelisiniz. Aynı zamanda IP–>DNS menüsü seçin ve DNS settings penceresi gelecek bu pencerede Allow remote Requests”  seçeneğinin başındaki kutucuğa aktif anlamındaki tik işaretini koyup sağ üst taraftan “OK” tuşuna basın.

 DNS_Settings

Mikrotik cihazınızı bu şekilde yapılandırdığınız şekilde DHCP sunucusu ağdaki bilgisayarlara DNS adresi olarak mikrotik cihazınızın adresini verecektir. Böylece bilgisayarlar DNS sorgularınızı mikrotik cihazınıza soracaktır. Sorgulanan URL,  Cache bellekte bulunmuyor ise DNS settings” penceresindeki Servers bölümüne girilen DNS sunucularından sorgulanıp Cache belleğe alacaktır.

3-Ağınızdaki bilgisayarların direkt dış DNS sunucularına gitmesini engelleme

Bu noktaya kadar olan kısımda bazı tedbirler alsak bile kişiler bilgisayarlarının DNS adreslerini değiştirdiklerinde almış olduğumuz tedbirlerin bir önemi kalmayacaktır. Bu noktada yapılması gereken ağınızdan dışarıya giden isteklerde DNS sunucuya gidenleri ya yönlendirmeniz yada drop etmeniz gerekmektedir. Drop etmek istenirse kullanıcılar internette gezemezler. Fakat yönlendirme işlemi uygulanırsa kişilerin DNS sunucusu değişse bile mikrotik cihazınıza tanımladığınız DNS adreslerine gönderebilirsiniz. Bu sayede kişiler DNS değiştirse bile sadece değiştirdiklerini sanıp kendilerini kandıracaklardır 🙂

Mikrotik cihazınızın ip adresi 192.168.2.1 , ether2 portumuzunda Local Ağ bacağı olduğunu varsayarsak aşağıdaki gibi bir konfigürasyon ile mikrotik cihazınız dışında başka yere giden tüm DNS sorguları otomatikman mikrotik cihazınıza yönlendirebilirsiniz. Aynı zamanda ağınızdaki bilgisayarların hangilerinin DNS sunucusu, mikrotik cihazınız dışında bir DNS adresi girildi ise onu dns_kullaniyor adında adres listesi oluşturmaktadır. Böylece ağınızdaki harici DNS kullanan kişilerin ip adreslerini görebilirsiniz.

Tüm bu işlemlerden sonra DNS güvenliğinin büyük kısmı sağlanmış olur. Araştırma yaparken Yandex DNS hizmetlerini keşfettim. 3 şekilde DNS hizmeti sunmakta açıkçası ilgimi çekti. sizinde ilginizi çekeceğini düşünüyorum.

Standart : 77.88.8.8 – 77.88.8.1
Güvenli : 77.88.8.88 – 77.88.8.2
Aile : 77.88.8.7 – 77.88.8.3

Açıklama için Yandex.DNS

Aile için olan DNS hizmeti bence çok güzel. URL bazında yetişkinlere yönelik siteleri açmamaktadır. Hatta güvenli arama sayesinde google arama motorunda dahi yetişkin içerikli siteler çıkmamaktadır.

Eğer sizde güvenli DNS hizmetini kullanmak isterseniz aşağıdaki kodu uygulayın.

Fark etti iseniz güvenli DNSlerin dışında bir adet Telekom DNS adresi girildi. Eğer girilmez ise Yandex.DNS sunucusunda bulunmayan Yerli bazı sitelere giriş yapamazsınız.

Basit yöntemler ile DNS güvenliğini sağlamış olduk. Başka bir yazımızda görüşmek üzere.

Esen Kalın

Sercan TEK

BİR YORUM YAZIN

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ZİYARETÇİ YORUMLARI - 8 YORUM
  1. eylül sedef dedi ki:

    bizde kendi cihazımızda uyguladık. DNS isteklerini cihaza girdiğimiz telekom DNSlerine yönlendiriyoruz. bu konuda çok başarılı geldi gözüme.

    teşekkürler

    1. Sercan TEK dedi ki:

      Mikrotik firewall olarak gayet yetenekli bir ürün. Doğru yapilandirilirsa sıkıntısız calisacaktir

  2. Mede dedi ki:

    Network konusu beklıyoruz Sercan Bey ^^

    1. Sercan TEK dedi ki:

      Takibe devam edersen bir gün oda olur 🙂

  3. Arif dedi ki:

    Merhaba, Sitede mikrotik ürünü kullanmaya yeni başladım. RB850Gx2 cihazım var. Yukarıda yazmış olduğunuz ağdakilerin direk dış DNS sunucularına gitmesini engelleme işlemlerini cihaza uyguladım. Size bu konuda danışmak istediğim diğer başsetmiş olduğunuz Yandexin Güvenli ve Aile DNSlerini belirli ip grubu na güvenli dns kullansın, farklı ip grupları aile dnslerini kullansın olarak yapabilir miyiz.

  4. Sercan TEK dedi ki:

    Merhaba,

    Yapılabilir ama deneme yapmak gerek. nat kuralı ile yazılabilir diye düşünüyorum.

  5. Arif dedi ki:

    Merhaba,
    Aşağıdaki gibi bir nat kuralı oluşturdum fakat işe yaramadı. Yine DNS Server daki dnslere gidiyor.

    /ip firewall address-list add address=10.0.99.0/24 list=AileProfili

    /ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=AileProfili to-addresses=77.88.8.7

Yayımlanan tüm yazılar Sercan TEK tarafından yazılmaktadır. İzinsiz kullanımı yasaktır.