Üst düzey alan adlarının sayısı büyük ölçüde arttıkça, Internet Atanmış Adlar ve Sayılar Şirketi (Internet Corporation for Assigned Names and Numbers – ICANN), “Alan Adı Sistemi (DNS)” aracılığıyla iç ağ hedeflerine yönelik trafik riskini azaltmanın yollarını araştırıyor.
ICANN tarafından JAS Global Advisors firmasına yaptırılan bir yeni rapor, bazı tavsiyeler içeriyor[1]. Sorunu çözmek için 2ci seviye yönlendirilmiş domainleri engellemek için, ağ operatörlerine olağanüstü koşullarda IP adresi olarak Ağ operatörlerini uyarmaktan, IP adresi olarak 127.0.53.53’E yönlendirmeye kadar bazı önlemler veriliyor.
Bu yılın başında üst düzey alan adlarına, 100’den fazla yeni uzantı eklendi. Yeni gTLD programı “.com”, “.net” vs gibi üst düzey alan uzantılarının sayısını 1400’e çıkarmayı hedefliyor.
Ancak bu bir risk getiriyor, yeni üst düzey uzantıların bazılarının kurumsal intranetlerde hedef belirlemek için işletmeler tarafından zaten kullanılan alan adları ile aynı olması durumu var. Geçen yıl Ağustos ayında yayınlanan ve ICANN tarafından yaptırılan bir rapora göre, yeni gTLD’lerin çarpışma potansiyelinin “önemli” olduğu ortaya çıktı[2]. Raporda şöyle diyor :
“Bu çalışma için analiz edilen veriler, 2013 yılında kök sunuculardan alınan isteklerin % 3’ünde yeni gTLD olarak önerilen dizelerin gözüktüğü anlaşıldı.”
Raporda, GTLD sürecinde uygulanan 1409 dizeden sadece 42’sinin, Alan Adı Sistemi Yöneylem Analizi ve Araştırması tarafından gerçekleştirilen 2013 ‘İnternet Hayatında Gün’ veri yakalama alıştırması sırasında TLD pozisyonunda görülmediği açıklandı.
Raporun ardından, ICANN yönetim kurulu ekim ayında “Yeni gTLD çarpışma oluşum yönetimi” başlıklı bir politikayı onayladı[3]. Politika, “gTLD isim çarpışması olay yönetimi çerçevesi” geliştirmek için bir çalışmanın başlatılması getirdi. Yani sorunun çözümünü erteledi.
Politika, sorunlu ikinci düzey alanlar da dahil olmak üzere önerilen gTLD’ler için ad çarpışma değerlendirmeleri geliştirmeyi zorunlu kıldı ve belirli SLD’lerin geçici veya kalıcı olarak engellenmesi, deneme delegasyonları veya bir SLD’nin kullanılabilir hale getirilmesi gibi sorunlardan kaçınmak için atılacak bazı potansiyel adımlar içeriyordu.
Yeni gTLD’lerin operatörleri, herhangi bir yeni alan adını etkinleştirmeden önce en az 120 gün beklemek zorunda kalacaklardı (ancak yine de dönem boyunca kayıtları kabul edebiliyorlar). Yeni gTLD’nin çalışmaya başlamasından sonra olası SLD’nin engellenmesi de dahil olmak üzere olası çarpışmaları izlemek için bir süreç uygulanacaktır.
JAS Global Advisors’ın yeni taslak raporu, yönetim çerçevesinin çarpışma sorunuyla başa çıkması için öneriler ortaya koyuyor. Rapor, dahili kullanım için .corp ve .home dosyalarının yanı sıra .mail ve .home adreslerini kalıcı olarak ayırmak gibi öneriler içeriyor [4].
Rapor aynı zamanda, ICANN’in Yeni gTLD Programı ile doğrudan ilişkili olmayan veya genel olarak son sistemleri etkileme potansiyeli olan yeni TLD’lerle” ilişkili olmayan bir güvenlik açığına dikkat çekiyor. “Etkilenen satıcılarla kapsamlı tartışmalardan sonra, JAS raporunun tamamında yer alan deneysel yöntemlerin ve verilerin yayınlanmasının, güvenlik açığının keşfedilmesini hızlandırabileceği ve / veya güvenlik açığının keşfedildikten sonra sömürülmesini kolaylaştırabileceğinden endişe duyuluyor.
Ayrıca rapor, yalnızca “DNS ad alanı çarpışmasının insan hayatı için açık ve mevcut bir tehlike oluşturduğuna dair makul bir inancın olduğu durumlarda” uygulanacak acil müdahale seçeneklerini öneriyor.
Acil durum müdahale seçenekleri “hiçbir koşulda” bir TLD’nin kök düzeyindeki yetkisizleştirmeyi içermemeli, ancak yeni gTLD programının bir parçası olarak kurulan Acil Arka Uç Kayıt Operatörü (EBERO) sisteminin kullanılmasını içerebilir.
EBERO sistemi, ICANN’in TLD’leri geçici olarak devredebileceği bir kayıt defteri operatörleri grubu. Örneğin, potansiyel olarak korkunç sonuçları olan bir (ikinci seviye) SLD çarpışma sorunu varsa ve bir kayıt operatörü harekete geçmeyi reddederse, ICANN’in bir EBERO’nun TLD’yi devralması olabilir ve bir SLD’nin devredışı bırakılması dahil önlemler alın.
Raporda ayrıca, alan adının sona erme biçiminin yönetilmesine benzer bir “kontrollü kesinti” politikası da öneriliyor:
“Süresi Dolmuş Kayıt Kurtarma Politikası, sona erme tarihinden önce kapsamlı bildirim, ardından” Vade Sonu Tescili tarafından belirtilen mevcut DNS çözüm yolu ile ( ‘RAE’) kesintiye uğratılmalıdır ‘. Kayıt ettirene son bir hatırlatma yapmak hedefleniyor.”
Bu “kontrollü kesinti” için JAS, 127/8 geridöngü aralığı içinde bir adres döndürmeyi öneriyor:
“127/8 içindeki bir adresle yanıt vermek, bir NXDOMAIN veya başka bir yanıta bağlı olarak herhangi bir uygulamayı kesintiye uğratır, ancak önemli olarak trafiğin istekte bulunanın ağı ve kötü niyetli bir oyuncunun araya girme yeteneğini engeller. “
Rapor, yerel ana bilgisayar için tanıdık 127.0.0.1 geri döngü adresi yerine “127.0.53.53” öneriyor. Sonuç çok olağandışı olduğundan, bir ad çakışması sorununun farkında olmayan günlüklerde ve sistem yöneticilerinde işaretlenmesi büyük olasılıkla adres sorunları hakkında bilgi için çevrimiçi arama yapacaktır.
“JAS tarafından yapılan çok sayıda deney, çok çeşitli uygulama katmanı yazılımlarının ‘başarısız bağlantı girişimi olan 127.0.53.53’ e benzeyen bir şey günlüğe kaydettiğini doğruladı. işletim sistemleri, RFC 1122’yi (varyasyonlara rağmen) doğru şekilde uygular ve trafiği ağda değil ana sistemde tutar. “
[1] Mitigating the Risk of DNS Namespace Collisions