DNS (Domain Name System), internetin telefon rehberi gibi çalışır ve alan adlarını IP adreslerine çevirir. Ancak bu sistemin bazı yapılandırmaları, güvenlik açısından risk yaratabilir. Bu risklerden biri de “DNS recursion” yani DNS yinelemesidir.
Bu yazıda, DNS recursion’ın ne olduğunu, neden kapatılması gerektiğini ve Windows Server üzerinde nasıl devre dışı bırakılacağını anlatıyoruz.
DNS Recursion Nedir?
DNS recursion, bir DNS sunucusunun, gelen sorguyu kendi yetkili alanı dışında bir sunucuya yönlendirerek cevabı alıp istemciye iletmesidir. Yani, eğer DNS sunucusu sorgulanan kayıt için yetkili değilse bile, cevabı başka sunuculardan bulmaya çalışır.
Bu özellik bazı durumlarda faydalı olabilir ancak genellikle güvenlik açısından önerilmez.
Neden DNS Recursion Kapatılmalı?
Eğer DNS sunucunuz yalnızca iç ağınızdaki cihazlara hizmet veriyorsa, recursion özelliği büyük bir saldırı yüzeyi oluşturur. Özellikle DNS amplification (DNS yansıtmalı DDoS) gibi saldırılarda, açık recursion özelliği kötüye kullanılabilir.
Bu nedenle:
Güvenlik amacıyla
Sunucu kaynaklarını korumak için
Kötüye kullanımı engellemek adına
recursion kapatılmalıdır.
DNS Recursion Nasıl Kapatılır? (Windows Server)
Aşağıdaki adımlar Windows Server 2016, 2019 ve 2022 sürümleri için geçerlidir:
1. DNS Yönetim Konsolunu Açın
Başlat> Server Manager > Tools > DNS yolunu izleyin.
2. DNS Sunucusuna Sağ Tıklayın
Sol menüden DNS sunucu adınıza sağ tıklayın.
Properties (Özellikler) seçeneğini tıklayın.
3. Advanced (Gelişmiş) Sekmesine Geçin
Açılan pencerede Advanced sekmesine tıklayın.
4. “Disable recursion (also disables forwarders)” Seçeneğini İşaretleyin
Bu seçeneği işaretleyerek recursion özelliğini devre dışı bırakın.
Uyarı: Bu seçenek kapatıldığında, aynı zamanda “forwarder” özelliği de çalışmaz hale gelir. Yani DNS sunucusu artık dış sunuculardan çözümleme yapamaz.
5. Ayarları Kaydedin ve DNS Servisini Yeniden Başlatın
Apply ve OK butonuna tıklayarak yaptığınız değişiklikleri kaydedin.
Ardından sol panelde DNS sunucu adına tekrar sağ tıklayın.
All Tasks > Restart seçeneğine tıklayarak DNS servisini yeniden başlatın.
Bu adım, yapılan değişikliklerin tam olarak uygulanabilmesi için gereklidir.
Alternatif: PowerShell ile DNS Recursion Kapatma
Komut satırı üzerinden işlem yapmak isterseniz aşağıdaki PowerShell komutunu kullanabilirsiniz:
1 | Set-DnsServerRecursion -Enable $false |
Bu komut, DNS sunucusunda recursion’ı tamamen devre dışı bırakır.
Sonuç
DNS recursion, yapılandırmaya bağlı olarak faydalı olabilse de, çoğu sunucu ortamında özellikle dışa açık sistemlerde ciddi güvenlik açıklarına neden olabilir. Bu nedenle sadece yetkili olduğu alanlar için hizmet veren DNS sunucularında bu özellik mutlaka kapatılmalıdır.
Windows Server kullanıyorsanız, yukarıdaki adımlarla kolayca bu özelliği devre dışı bırakabilir ve sistem güvenliğinizi bir adım daha ileri taşıyabilirsiniz.
Ekstra Güvenlik Önerisi: DNS sorgularının kimlerden geldiğini sınırlandırmak için IP filtreleme veya güvenlik duvarı kuralları da tanımlamanızı öneririz.
