İçeriğe Atla
Teknoloji · 13 dk okuma · görüntülenme
100%

Kurumsal Ağlarda DoH/DoT/DoQ: Politika ve Görünürlük

DoH/DoT/DoQ ile şifreli DNS dünyasında kurumsal politika ve görünürlük için kontrollü geçiş, telemetry ve runbook yaklaşımı.

#dns #guvenlik #network #operations #policy #observability
DoH/DoT/DoQ trafiğinin kontrol noktaları ve DNS görünürlüğünü gösteren kapak görseli

Kurumsal ağlarda “DNS kontrolü” yıllarca basit bir varsayıma dayanıyordu: istemci UDP/53 (ve bazen TCP/53) ile kurum resolver’ına gider; proxy/firewall/DNS filtreleme katmanı trafiği görür, kayıt tutar, gerektiğinde engeller. DoH (DNS over HTTPS), DoT (DNS over TLS) ve DoQ (DNS over QUIC) bu varsayımı değiştirir.

Bu değişiklik “DNS’i şifreledik, bitti” değildir. Kurum açısından iki soruyu aynı anda doğurur:

  1. Politika: İstemciler “kendi resolver’ını” seçip kurum politikasını bypass edebilir mi?
  2. Görünürlük: DNS sinyali kaybolursa incident triage, threat hunting ve egress kontrolü nasıl yapılır?

Bu yazıda ürün bağımsız, operasyon odaklı bir çerçeve sunuyorum: DoH/DoT/DoQ’yu yasaklamak veya serbest bırakmak ikilemine sıkışmadan, kontrollü geçiş tasarlamak.

DoH/DoT/DoQ trafiğinin kontrol noktaları ve DNS görünürlüğünü gösteren kapak görseli
Şifreli DNS, sadece gizlilik değil; ağ politikası ve gözlemlenebilirlik tasarımıdır.

1) Tehdit modeli: DoH/DoT/DoQ neyi değiştiriyor?

Kurumsal tarafta değişenler:

  • DNS telemetry (domain, query tipi, NX ratio, resolver davranışı) artık “ağ cihazı” tarafından kolay okunamayabilir.
  • Bazı istemci uygulamaları hardcoded resolver veya “secure DNS” ayarıyla kurum resolver’ını bypass eder.
  • DoH trafiği HTTPS içine gömüldüğü için, sıradan port engelleme ile ayrıştırmak zorlaşır (özellikle büyük sağlayıcı endpoint’leri).

Değişmeyenler:

  • Kurum hâlâ egress sınırından sorumludur: “hangi endpoint’e hangi cihaz neden gidiyor?”
  • Incident anında hâlâ aynı soru sorulur: “Bu istemci hangi domaine gitti, ne zaman gitti, hangi IP’ye çözüldü?”

2) Kurumsal hedefi seç: kontrol mü, uyumluluk mu, kullanıcı deneyimi mi?

DoH/DoT/DoQ politikası tek cümlelik “aç/kapat” kararı değil. Tipik hedefler:

  • Güvenlik: Malware / phishing domain’leri engelle, DNS tunneling sinyallerini gör.
  • Uyumluluk: Kayıt tut, olayda delil üret.
  • Performans: Edge resolver cache verimini artır, gecikmeyi düşür.
  • Mahremiyet: İç ağda bile DNS metadata’sını minimize et.

Bu hedefler çakışabilir. Bu yüzden “tek ürün” yerine tasarım prensibi koyun.

3) Mimari seçenekler: 3 pratik model

Model A — Kurum içi resolver + açık DoH/DoT/DoQ kapalı (strict)

  • Egress’te 853/TCP (DoT) ve 784/UDP (DoQ) gibi portları kontrol etmek nispeten kolaydır.
  • DoH (443) ise “HTTPS” içinde olduğu için daha zordur; burada yaklaşım çoğu zaman known DoH endpoint listesi + SNI/ALPN politikası gibi tekniklere kayar (ürüne göre değişir).

Risk: Eğer politikayı “tam engel” ile uygularsanız, yanlış eşik müşteri kaybına (veya operasyon bypass kültürüne) yol açabilir.

Model B — Kurum resolver’ı DoH/DoT sunar (managed)

İstemcilere “secure DNS” açma ihtiyacı doğduğunda en iyi çözüm: kurumun kendi resolver katmanının DoH/DoT desteği.

Kazanç:

  • Şifreli taşıma + kurum politikası aynı anda sağlanır.
  • DNS telemetry ve audit kaybolmaz; “görünürlük” korunur.

Model C — Split policy: yönetilen cihazlar vs yönetilmeyen cihazlar

  • Yönetilen cihazlar: kurum resolver + kimlik/politika (MDM/EDR ile)
  • Yönetilmeyen: misafir ağ, BYOD → ayrı politika, ayrı resolver

Bu model “herkesi aynı kurala sokma” hatasını engeller.

4) Görünürlük: DNS log’u yoksa bile sinyal üretebilirsin

DNS log’u kaybolduğunda elinizde kalan veri:

  • Egress firewall/proxy log’ları (IP/port, SNI, cert metadata)
  • NetFlow/IPFIX/sFlow (akış düzeyi)
  • Endpoint telemetry (EDR, browser policy event’leri)
  • Resolver tarafında (varsa) query log’ları

Ama hedefiniz şu olmalı: DNS’i tekrar görünür yapmak için “paketi çözmek” değil, karar vermeye yetecek sinyali üretmek.

Pratikte şu metrikler çok değerli:

  • doh_requests_total (tanımlı endpoint’lere giden 443 trafiği)
  • dns_fail_open_events (politika bypass / fallback)
  • nx_ratio ve “domain entropy” (tunneling şüphesi için proxy sinyali)

5) Operasyon runbook’u: DoH/DoT/DoQ incident’inde ne kontrol ederim?

5.1 Belirti: “Bazı kullanıcılar siteye giremiyor”

  • DNS mi, TLS mi? (SNI/sertifika hatası mı, resolve edememe mi?)
  • İstemci “secure DNS” açık mı? (browser/OS policy)
  • Kurum resolver’ı mı kullanıyor, public DoH mu?
  • Egress politikası DoH endpoint’lerini yanlış mı sınıflandırdı?

5.2 Belirti: “DNS log’ları kayboldu / SIEM korelasyonu bozuldu”

  • DNS sinyali hangi katmandan toplanıyordu? (resolver mı, firewall mı, proxy mi?)
  • Yeni bir istemci güncellemesi DoH’u default açtı mı?
  • “Managed DoH” (kurum endpoint’i) var mı? Yoksa planla.

5.3 Belirti: “Şüpheli veri sızdırma / DNS tunneling”

  • Domain entropy / query pattern anomali var mı?
  • Akış hacmi normal DNS profilinden sapıyor mu? (bytes/query)
  • İstemci bazında DoH trafiği patladı mı?

6) Kapanış: Şifreli DNS’i düşman değil, tasarım girdisi yap

DoH/DoT/DoQ’yu “ya yasakla ya serbest bırak” diye ele almak çoğu kurumda ya bypass kültürü üretir ya da görünürlük kaybına yol açar. Doğru yaklaşım:

  • Kurum resolver’ını kontrol düzlemi yap
  • Yönetilen cihazlarda “managed secure DNS” modeline yönel
  • Görünürlük için “paket çözme” yerine karar sinyali üret
  • Runbook ve metrikleri ilk günden kur

Şifreli DNS dünyasında başarı, DNS’i gizlemek değil; DNS davranışını operasyonel olarak yönetilebilir kılmaktır.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

Yeni yazılardan haberdar olun

Haftada bir yeni içerikler ve kaynaklar doğrudan e-postanıza gelsin.

Spam yok. Yalnızca yeni ve önemli içerikler için e-posta gönderilir.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Teknoloji

Kurumsal Ağlarda IPv6: Dual‑Stack’ten IPv6‑Only’e Geçiş Yol Haritası

IPv6’yı “sadece adres” olarak değil; DNS, güvenlik, gözlemlenebilirlik ve operasyonel reflekslerle birlikte devreye almak için sahada uygulanabilir bir plan.

Teknoloji

BMC (iDRAC/iLO/IPMI) Hardening ve Yönetim Segmentasyonu

BMC (iDRAC/iLO/IPMI) yüzeyini segmentasyon, kimlik, audit ve break-glass ile güvenli ve denetlenebilir şekilde işletme modeli.

Teknoloji

DNS RPZ ile Kurumsal DNS Firewall: Tehdit Bloklama ve Operasyon

Recursive resolver katmanında RPZ ile tehdit domainlerini bloklayıp, istisna ve gözlemlenebilirlikle sürdürülebilir bir DNS güvenlik kontrolü kurun.