Cloudflare, Gizlilik ve Hız Odaklı DNS'i 1.1.1.1'in incelemesi - Tecrübeli Teknoloji Güncesi
Bilgi Güvenliği

Cloudflare, Gizlilik ve Hız Odaklı DNS’i 1.1.1.1’in incelemesi

CDN odaklı olarak gelişen bir internet şirketi olan Cloudflare in sunduğu

Cloudflare DNS adresleri : 1.1.1.1  – 1.0.0.1

DNS adreslerini uzun süredir kullanıyorum. 1 Nisan 2018 de bu DNS’ler kullanılmaya başlandı. Yıllar önce google DNS lerini (8.8.8.8) kullanırken farkettiğim, gizli sekmede olsam bile ilgimi çeken reklam göstermesinden sonra OpenDNS kullanmaya başlamıştım. Yani sizin Ip adresinizle ilişkili DNS sorgularını Google dan yaptığınızda yine sizin olduğunu bilip ya da aynı Ip adresindeki aynı DNS i kullanan diğer kullanıcıların bilgisayarlarında size özel reklamlar gösterilebiliyor.

OpenDNS’ in sunduğu bir çok güzel özellik var ancak o da yanında güvenlik açıklarını barındırıyor. Şöyleki sabit bir Ip adresinden ya da herhangi bir bir Ip adresinden diyelim, OpenDNS üyeliği açıp IP adresinizle ilişkilendirdiğinizde daha sonrada o IP adresini herhangi bir zamanda OpenDNS hesabınızda görebiliyor ve hareketlerini takip edebiliyorsunuz. Yani 10 yıl önce çalıştığım yerdeki OpenDNS IP’lerini kullananların ve o ağda meydana gelen DDOS vb. hareketleri görebildiğimi farkettikten sonra OpenDNS’ i de üzülerek listemden çıkarmıştım. Son kullanıcılar pek dikkat etmese hatta varlığından bir haber olsa da bazı hacker adayları için bu bilgiler gerçekten önemlidir. OpenDNS ile irtibata geçip doğrulama yöntemlerini gözden geçirmeleri gerektiğini ilettim ama yıllar sonra hala bir değişiklik yok. Müsait bir zamanda bu konuyla ilgili de uzunca bir yazı hazırlamak lazım.

Her neyse asıl konumuz Cloudflare DNS’ leri. Ping atarak sırasıyla Cloudflare, Google ve OpenDNS için hızlarına bakalım.

dns-ping-karsilastirma

Ping hız testimizin sonuçları hız sırasıyla:

  1. Cloudflare : Ortalama 21ms
  2. OpenDns : Ortalama 35ms
  3. Google : Ortalama 68ms

DNS’ in hızlı olması ne demek?

En kestirme şekliyle DNS’in hızlı olması demek sizin internette gezinme hızınızın artması demektir diyebiliriz. Kabaca internette gezinme işlemi cihazınızda şöyle gerçekleşir.

Siz adres çubuğuna bir şeyler yazıp git dediğinizde DNS sunucuya bu istek iletilir, örneğin tecrubeliyim.com sitesine gitmek isteyelim.

  • Tarayıcınız bu isteği DNS sunucuya iletir
  • DNS sunucusu bu alan adına karşılık gelen IP adresini size gönderir
  • Tarayıcınız o IP adresine gider.
  • IP adresinden ulaştığınız sunucunun yerel DNS servisi sizi ilgili sitenin bulunduğu dizine yönlendirir

Yani bir git gel söz konusudur. Bu da yol ne kadar hızlı ve kısa ise sizinde site ile iletişime geçme süreniz o kadar kısalır anlamına gelir. Yukarıdaki ping testinde yer alan sonuçlar 21ms-68ms arası son kullanıcı açısından öyle hissedilir bir etki de değildir. 1000ms’ nin bir saniye olduğunu düşünürsek 1/10 sn içerisinde tüm işlemler gerçekleşmiş olur. Bu da bizim için hissedilir bir etki değildir. Tabii ki tercihim hızlı olandan yanadır.

Peki Güvenlik Konusu

DNS söz konusu ise genelde gizlilik ve sansür akla gelmeli hatta özellikle dikkate alınmalıdır. Cihazımızda yaptığımız isteklerin yukarıda bahsettiğimiz gibi DNS sağlayıcılar tarafından bilindiği ve bu bilgileri kullanabildiğini gördük. Özellikle Google bunu da gelirini artırmak için reklam amaçlı kullanıyor.

İster HTTP olsun ister HTTPS yani ssl ile güvenliği sağlanmış bir siteye giriyor olun hiç farketmiyor. Hatta DNS sızmalarına karşı hizmet sağlayan bazı VPN servisleri içinde bu gizlilik açığı geçerlidir. Özellikle ABD’ de internet hizmet sağlayıcılar bu bilgileri satabilir ki satıyorlardır. Bunun için en kestirme çözüm DNS sağlayıcısını değiştirmek ve güvenli bir VPN hizmeti kullanmaktır.

DNS ile sansür, uygulanması kolay olduğu için uzun süredir ülkemizde de oldukça yaygındır. Basit bir şekilde baypas edilebildiği için güçlü değildir. Bu işlemin temelinde DNS de kayıtlı olan ve sansür uygulanacak internet sitesinin IP adresi değiştirilir ve istenilen başka bir sayfaya, genelde bizim gördüğümüz “… mahkeme kararı ile engellenmiştir” şeklinde bir sayfaya yönlendirilir.

Cloudflare ise bu konuda IP adreslerinden gelen sorguları hiç bir zaman kaydetmediklerini ve diğer log kayıtlarının ise 24 saatte bir silindiği (wipe) konusunda söz veriyor.

Şirket bunu yani şeffaflığını göstermek için de KPMG isimli bir denetim şirketiyle; kaynak kodlarını ve uygulamalarını denetlemesi ve oluşturdukları raporları kamuya açık olarak yayınlaması için anlaşmış durumda. Benim için bu girişim bile güvenilirlik konusunda Cloudflare için ekstra puan demek.

Cloudflare DNS servisi; TLS üzerinden DNS (DNS-over-TLS) ve HTTPS üzerinden DNS (DNS-over-HTTPS) teknolojilerini de destekliyor. Bu  iki teknoloji de açık kaynaktır ve şifrelenmemiş bağlantılardan gelen DNS sorgularını sınırlamaya ve ortadan kaldırmayı amaçlar.

Bu konu için HTTPS üzerinden DNS daha umut verici çünkü hızlı ayrıştırmalı ve şifreli. Günümüze kadar bu konuda sadece Google, HTTPS üzerinden DNS’yi destekliyordu. Ancak bilinen nedenlerden dolayı, Chrome dışı tarayıcılar ve Android olmayan işletim sistemleri rakip bir firmaya istek gönderen hizmetler oluşturmak konusunda doğal olarak isteksizlerdi. Bu sayede yani bağımsız olarak oluşan ve bu protokolü destekleyen servislerin çoğalması ile tarayıcılar, uygulamalar, yönlendiriciler, işletim sistemlerinden vs. daha fazla özellikler görmeye başlayabiliriz.

Not: https://1.1.1.1 adresine giderseniz tüm platformlar (windows,linux,mac, android, ios hatta router) için DNs ayarlarınızı nasıl değiştireceğinizi ve Cloudflare’in yeni WARP VPN i (yakın zamanda bununla ilgili de bilgi güvenliği odaklı bir yazı hazırlayalım) için gerekli ayarları bulabilirsiniz.

 

Son Söz

Cloudflare, dünya üzerindeki en büyük internet alt yapılarından birinin işletmecisi ve sunduğu DNS hizmeti hali hazırdaki en hızlı hizmetlerden ve aynı alt yapıyı kullanıyor olması şirketin bu hızdaki tartışmasız en büyük avantajını oluşturuyor.

Aynı zamanda IP adresinizi kaydetmediği ve 24 saatlik log kaydı silme politikası ve TLS üzerinden DNS ile HTTPS üzerinden DNS özellikleri sayesinde şu an için bu alandaki tek rakibi Google.

Tercih size kalmış. Huzurlu günler dilerim.

Cloudflare DNS Adresleri : 1.1.1.1  ve 1.0.0.1

Google DNS Adresleri : 8.8.8.8 ve 8.8.4.4.

OpenDNS Adresleri:208.67.222.222 ve 208.67.220.220

Ekstra (Güncelleme)

Cloudflare 1.1.1.1 DNS adresine ek olarak hem mallware engelleme hem de mallware ve yetişkin içerikleri engelleyen iki ayrı DNS hizmeti daha sunuyor

Mallware Korumalı DNS için : 1.1.1.2 ve 1.0.0.2 adreslerini kullanabilirsiniz. Mallware ve Yetişkin İçerik Engelleyen DNS adresleri: 1.1.1.3 ve 1.0.0.3 adreslerini hem mallware hem de yetişkin içerikleri engellemek için kullanabilirsiniz.

Harun Kocaman

Baba Matematikçi ve Bilişim Yüksek Mühendisi

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu
Web Doktoru