Alan adı güvenliğini sağlamak, her alan adı sahibinin öncelikli meselesi olmalıdır. Bununla birlikte, alan adı portföyüne sahip yatırımcılar ve ticari faaliyet yürüten işletmeler için bu önem derecesi katlanarak artar. Alan adınızı korumaya başlarken atmanız gereken ilk ve en temel adım, alan adınızın yönetim yapısına doğrudan entegre edilmiş olan bir güvenlik özelliğini kullanmaktır. Bu özellik EPP kodu olarak bilinir.
EPP (Extensible Provisioning Protocol) kodu, ICANN tarafından tanımlanan alan adı yönetim protokolünün bir parçasıdır. Teknik olarak bu kod, bir domainin transfer edilmesi sırasında kimlik doğrulama amacıyla kullanılır. Yani domain üzerinde işlem yapmaya çalışan kişinin yetkili olup olmadığını kanıtlayan bir anahtar gibidir.
Eğer EPP kodu yoksa ya da başka birisi tarafından bir şekilde ele geçirilmişse, saldırgan kişi farklı bir kayıt operatörü üzerinden transfer talebi (transfer request) oluşturabilir. Genellikle domainler 5 gün içerisinde transferi onaylanır. Transfer tamamlandıktan sonra domainin geri alınması çoğu zaman hukuki süreçler, ICANN şikayeti veya uzun itiraz prosedürleri gerektirir. Geri dönüş de garanti değil.
Yapabileceğiniz bazı önlemler var. Alan adınızı yetkisiz erişim, transfer veya yönetim değişikliklerine karşı korumak için uygulayabileceğiniz temel ve ileri düzey güvenlik önlemleri var.
EPP Yetki Kodu Yönetimi
Diğer adıyla transfer kodu olarak adlandırılan EPP kodu, her alan adına atanan benzersiz bir kod. EPP kodları standart bir güvenlik yöntemi olarak sunulur. Kayıt operatörünüzün alan adı yönetim bölümünden bu kodu alabiliyorsunuz. Ancak kimseyle paylaşmamalısınız.
EPP kodu harf ve rakamlardan oluşan rastgele bir dize olarak görünür. Genellikle 16-32 karakter arasındadır. Yönettiğiniz her alan adının kendine özgü bir yetki kodu vardır. Transfer etmek için alan adı sahipliğini doğrulamak amacıyla bu koda ihtiyaç bulunur. Kısacası EPP kodu sizin için bir tapu gibidir. Domain farklı bir kayıt operatörüne taşınabilir ve size her defasında bu kod sorulacaktır.
EPP kodlarının koruduğu en büyük tehdit omain hijacking yöntemiyle ele geçirme olayıdır. Kötü niyetli bir kişinin alan adının kontrol paneline yetkisiz erişim sağlaması neticesinde alan adınızın DNS ayarlarını değiştirmesiyle gerçekleşir. Tabi bunları yapabilen bir kişi başka bir yere de transfer edebilir.
ICANN tarafından uygulanan yönetmeliğe göre EPP kodları yalnızca ilgili alan adındaki WHOIS bilgilerinde listelenen kişiye verilir. Uygulamada alan adı yönetim hesabınıza erişebilen herkesin alan adlarınızın transfer kodlarını alabileceği anlamına gelir. Bu sebeple yönetim paneline erişim için ekstra güvenlik önlemleri gerekmektedir.
EPP auth code değiştirme işlemi yapabiliyorsanız, alan adını transfer etme niyetiniz olmasa bile, bu kodu düzenli olarak değiştirmek (örneğin 6 ayda bir) yetkisiz transfer girişimlerini engeller. Eğer kod çalınır veya sızdırılırsa, kısa sürede geçersiz hale gelir.
Transfer Kilidi (Registrar Lock)
Transfer kilidi (clientTransferProhibited durumu) aslında domain için atanan durumlardan birisidir. Alan adınız bu durumdayken, transfer isteği başlatılamaz. Çünkü domain durumunda transfer için sınırladırılmış. Saldıranın elinde transfer kodu olsa bile farklı bir yere transfer etmek istediğinde
Transfer yapmak istediğinizde bu kilidi sizin manuel olarak kaldırmanız gerekir. Transfer işlemi biter bitmez kilidi tekrar etkinleştirmek kritik bir güvenlik adımıdır.
clientTransferProhibited (müşteri transferi yasaklandı anlamına gelir), alan adınızın yetkisiz transferlere karşı korunmasını sağlayan standart bir EPP (Extensible Provisioning Protocol) durum kodudur. Bu durum ICANN tarafından belirlenmiş güvenlik protokollerinin bir parçasıdır.
Alan adı kaçırma (domain hijacking) girişimlerini engeller. Bir saldırgan, hesabınıza erişim sağlasa bile, bu kilidi kaldırmadan transferi başlatamaz. Bu kilit aktif olduğunda, alan adınız güvenli bir kasada tutuluyor gibidir. Transfer gibi hassas işlemlerin gerçekleştirilebilmesi için kasayı açma (kilidi kaldırma) yetkisi tamamen size aittir. Kayıt operatörü seviyesinde bir güvenlik önlemidir.
Alan adı clientTransferProhibited durumundayken, yeni kayıt operatörünün (transferi gerçekleştirmek isteyen) eski kayıt operatörüne (alan adının şu anki yöneticisi) bir transfer isteği göndermesi durumunda EPP protokolü üzerinden dönecek standart hata mesajı ve kodu şudur:
EPP Result Code: 2304 EPP Message: Object status prohibits operation Reason: Transfer prohibited by status: clientTransferProhibited
Bu hata mesajını alan yeni kayıt operatörü, transfer işlemini durdurur ve alan adı sahibine (yani size) kilidi kaldırması gerektiğini bildiren bir uyarı gönderir. Bu mekanizma sayesinde, transfer kilidini kaldırmayı unutan veya haberi olmayan bir alan adı sahibi, transferin başladığını bu hata sayesinde öğrenir ve hemen gerekli müdahaleyi yapabilir.
Kayıt operatörünüzün sunduğu özelliklere bağlı olarak, dilerseniz bir alan adının iletişim bilgilerinin veya DNS ayarlarının değiştirilmesini de engelleyebilirsiniz. Örneğin “clientUpdateProhibited” durumu tam olarak bu işi gerçekleştirir. Silinmesini de engellemek için “clientDeleteProhibited” durumu atanır. Kayıt operatörünüz bu işlemleri gerçekleştirebilir.
Registry Lock
Alan adınıza bir registry lock (kayıt otoritesi kilidi) uygulamak, alan adınız üzerinde herhangi bir değişiklik veya transfer yapılmadan önce iki katmanlı ek güvenlik sağlar. Bu özellik aktifken alan adınızın hiçbir özelliği değiştirilemez ve yenileme işlemleri dışında transfer veya silme işlemleri gerçekleştirilemez.
Bahsettiğimiz registry lock, sıradan bir “transfer kilidi” değildir. Teknik olarak “registrar lock (clientTransferProhibited)” kayıt operatörü seviyesindedir. Ancak “registry lock” ise TLD’yi yöneten registry (ana kayıt operatörü) seviyesinde uygulanır. Bu aktifken NS değiştirilemez, transfer edilemez veya silinemez. Yani saldırgan registrar hesabınıza erişse bile ikinci bir duvara çarpar.
Bir güncelleme yapmak için süreç şöyle ilerler:
Domain sahibi registrar tarafında kimliğini doğrular
Registrar bilgileri registry tarafına iletir
Registry ek güvenlik kontrolleri yapar
Registry lock geçici olarak kaldırılır
İstenen işlem (transfer, güncelleme vb.) yapılır
Her registry bu hizmeti sunmaz. Bu bir opsiyonel güvenlik servisidir. Örneğin Verisign (.com) veya Centralnic (.xyz) bu hizmeti sunmaktadır.
WHOIS Gizliliği
WHOIS verileri bir domain tescil edilirken alan adıyla ilişkilendirilen iletişim bilgilerini ifade eder ve bu bilgiler herkese açık bir kayıt olarak tutulur. Eğer bir alan adını WHOIS gizlilik koruması olmadan kayıt ederseniz veya kayıt sonrası bu özelliği aktifleştirmezseniz başka birisi WHOIS sorgulama araçları kullanarak alan adınızı kolayca sorgulayabilir ve bilgilerinize ulaşabilir.
Kişisel bilgilerinizin açık olması alan adı ele geçirme (domain hijacking) girişimlerine davetiye çıkarabilir.
Tabi günümüzde bu yöntem artık pek çalışmıyor çünkü GDPR kurallarından ötürü herkese açık bir şekilde yayınlanmayabilir. Bu durumda iletişim bilgilerinde olan her yer “REDACTED” olarak görülecektir. Bu durumda gözükmezse ve WHOIS gizliliği aktifleştirilirse, kayıt operatörünün varsayılan bilgileri gözükür.
Gizlilik koruması etkinleştirildiğinde, alan adlarınız üzerinde WHOIS sorgusu yapan kişiler genellikle alan adının oluşturulma (tescil) tarihi ve sona erme (expire) tarihi gibi teknik bilgileri görebilir. Adınız, e-posta adresiniz, fiziksel adresiniz ve ülke bilginiz ise tamamen gizli kalır.
Two-Factor Authentication – 2FA
İki faktörlü kimlik doğrulama (2FA) artık bir opsiyon değil zorunluluk haline geldi. Bu sistem bir alan adı yöneticisinin hesabına erişmeden önce ek bir doğrulama adımı olarak bir anahtar (passkey) veya kod girilmesini şart kılar.
Alan adı yönetiminizi yaptığınız kayıt operatörü hesap güvenliği, belki de en başta gelen önceliklerdendir. Bu hesaba yetkisiz erişim alan adınızın çalınmasına yol açabilir. 2FA (Google Authenticator, SMS vb.) etkinleştirildiğinde şifreniz çalınsa bile saldırgan hesabınıza erişemez.
Google Authenticator gibi uygulama tabanlı 2FA, SMS ve e-postaya göre daha güvenlidir.
SMS tabanlı 2FA en zayıf yöntemdir. SIM swap (SIM kart kopyalama), SS7 protokol açıkları ve operatör kaynaklı yönlendirmeler nedeniyle saldırganlar SMS kodlarını ele geçirebilir. E-posta tabanlı 2FA SMS’ten biraz daha iyidir ancak e-posta hesabı ele geçirilirse 2FA da fiilen devre dışı kalır. Ayrıca e-posta genellikle aynı cihazda açık olduğu için ikinci faktör olma özelliği zayıflar.
Google Authenticator (ve benzeri TOTP uygulamaları) ise kodları cihaz üzerinde, zaman tabanlı olarak üretir ve kodlar ağ üzerinden iletilmez. Bu nedenle SIM swap, e-posta ele geçirme ve phishing saldırılarına karşı çok daha dayanıklıdır. Alan adı, finans veya kurumsal sistemler gibi yüksek riskli hesaplar için uygulama tabanlı 2FA açık ara en güvenli ve önerilen seçenektir.
DNSSEC
Bir alan adında DNS yönetimi için en güvenli yöntemdir. Bilindiği üzere DNS, web sitesi adresi gibi kullanıcı dostu bilgileri alır, bunları makine tarafından okunabilir koda dönüştürür ve tarayıcınızda talep ettiğiniz içeriğin doğru konumda çözülmesi için ilgili kaynağa veya sunucuya yönlendirir.
DNSSEC, DNS kayıtlarınızın kriptografik olarak imzalanmasını sağlayarak alan adınıza ek bir güvenlik katmanı sağlar. Eğer alan adınızı, DNS adlandırma sisteminin gücünden faydalanmak için kullanmayı planlıyorsanız DNSSEC, mutlaka etkinleştirmeniz gereken önemli bir özelliktir.
DNSSEC, DNS kayıtlarının gerçekten doğru kaynaktan geldiğini ve yol üzerinde değiştirilmediğini doğrulamak için çalışır. Alan adı sahibi, DNS bölgesindeki (zone) kayıtları özel anahtarla (private key) kriptografik olarak imzalar. Bu imzalar DNS sunucularında RRSIG kayıtları olarak yayınlanır. TLD (domain uzantısı) tarafında ise alan adının açık anahtarına karşılık gelen özet bilgi (DS – Delegation Signer) tutulur. Bir kullanıcı alan adınıza eriştiğinde, DNS çözümleyici (resolver) bu imzayı ve anahtar zincirini kök DNS’ten başlayarak TLD ve alan adına kadar doğrular. Buna chain of trust (güven zinciri) denir.
ICANN güncel olarak DNSSEC deployment raporu yayınlar. Buradan hangi uzantıların ve hangi sağlayıcıların DNSSEC desteklediğini görebilirsiniz: https://dnssec-deployment.icann.org/dctld/
.cz TLD için bir örnek görebilirsiniz.
Bu doğrulama başarılı olursa resolver gerçekten yetkili DNS sunucusundan geldiğini kabul eder. Eğer imza geçersizse DNS yanıtı reddedilir ve kullanıcı hedef siteye yönlendirilmez. Bu sayede DNSSEC, cache poisoning, man-in-the-middle ve sahte yönlendirme saldırılarını engeller. DNS hijacking gibi saldırılara karşı güçlü bir kalkan sağlar.
Domain portföyünüzde tam koruma için DNSSEC tek başına kullanılmamalı. Belirttiğim gibi 2FA, registrar lock veya registry lock, hesap güvenliği ve WHOIS gizliliği ile birlikte kullanılmalıdır.
SPF Kaydı
Alan adınızı e-posta hesapları için kullanıyorsanız, SPF kaydı üçüncü kişilerin alan adınızı kullanarak sahte veya zararlı e-postalar göndermesinin önüne geçen temel bir güvenlik mekanizmasıdır. SPF sayesinde, alan adınız adına e-posta göndermeye hangi sunucuların yetkili olduğu açıkça tanımlanır ve bu yetki DNS üzerinden ilan edilir.
Gelen bir e-postanın gerçekten izin verilen bir kaynaktan gelip gelmediğini SPF kaydına bakarak kontrol edilir. Yetkisiz bir sunucudan gönderilen mesajlar doğrulamadan geçemez ve güvenilmez olarak değerlendirilir.
Doğru yapılandırılmış bir SPF kaydı, yalnızca kötü niyetli e-postaları engellemekle kalmaz aynı zamanda alan adınızdan gönderilen e-postaların spam klasörüne düşme riskini de azaltır. Bu da e-posta itibarınızı korumanıza yardımcı olur.
IP Kısıtlaması
IP kısıtlaması, registrar hesabına sadece önceden tanımlanmış IP adreslerinden erişilmesine izin verilmesi anlamına gelir. Bu sayede kullanıcı adı, parola ve hatta 2FA bilgileri ele geçirilse bile, saldırgan yetkili IP aralığından gelmiyorsa hesaba giriş yapamaz. Bu kimlik bilgisi hırsızlığı (credential theft), phishing ve brute-force saldırılarına karşı çok güçlü bir ek katman oluşturur.
Eğer alan adınızı yönettiğiniz konum (ev veya ofis) sabit bir IP adresine sahipse, bu özelliği etkinleştirerek hesabınıza sadece bu IP adreslerinden giriş yapılabilmesini sağlarsınız.
Dinamik IP kullanılan ortamlarda yönetimi zor olabilir ve yanlış yapılandırıldığında meşru erişimi de engelleyebilir. Doğru uygulandığında IP kısıtlaması, domain hijacking riskini kayda değer biçimde düşürür.
Sonuç olarak alan adınızı korumak için birçok seçeneğiniz var. Burada önemli bir husus alan adı kayıt operatörünüzün nasıl hizmet verdiğiyle de ilgili. Günümüzde bu özelliklerin çoğunu genellikle her operatör destekler.
Emeğinize, bilginize sağlık. Oldukça anlaşılır ve domainleri olan herkesin bilmesi gereken türde faydalı bir yazı olmuş.
Teşekkürler