DNS Spoofing

          DNS spoofing adalah salah satu dari serangan man-in-the-middle yang dapat memaksa korban untuk akses ke webiste palsu yang dibuat oleh pelaku kejahatan, jadi seolah-olah user mengakses website aslinya padahal tidak. Sebagai contoh, misalkan permintaan user alamat IP dari mail.yahoo.com, yang seharusnya menjadi XX.XX.XX.XX. Tapi penyerang akan menanggapi permintaan DNS sebelum respon yang sebenarnya tiba dengan alamat palsu dari YY.YY.YY.YY. sistem pengguna akan membuat permintaan koneksi ke YY.YY.YY.YY, berpendapat mail.yahoo.com yang terletak pada alamat IP. Jadi secara efektif, pengguna diarahkan ke website yang sama sekali berbeda dari yang mana ia awalnya kunjungi.

Komunikasi DNS yang normal terjadi ketika sistem meminta IP dari situs website tertentu dan server DNS merespon kembali dengan alamat IP yang sebenarnya dari situs website itu. Sistem kemudian menghubungkan ke situs website melalui alamat IP yang diterima sebagai tanggapan. Dengan DNS spoofing, penyerang memotong permintaan DNS dan mengirimkan respon yang tidak mengandung sebenarnya IP yang sebenarnya, tetapi alamat IP palsu.

Berikut skenario dalam melakukan dns spoofing yang saya lakukan.

Seorang attacker akan melakukan spoofing terhadap sebuah client, attacker akan melakukan manipulasi terhadap domain yang diakses oleh client, attacker mengetahui apa saja yang di akses oleh client dengan menggunakan aplikasi wireshark, sehingga jika dilihat pada aplikasi wireshark akan muncul seperti berikut:

Dari gambar diatas bisa didapat informasi mengenai domain apa aja yang di buka oleh client, untuk gambar diatas yang ter-capture salah satu domain yaitu www.zachrison.web.id. Setelah domain didapat langkah selanjutnya melakukan spoofing dengan aplikasi Ettercap. Tahapan spoofing dengan menggunakan ettercap 

1. Pertama-tama konfigurasi file etter.dns yang terdapat pada folder aplikasi ettercap, dalam file etter.dns ini konfigurasi domain name serta alamat ip yang ingin dialihkan.

2. Selanjutnya jalankan aplikasi ettercapnya

3. Lalu pilih plugin spoofing yang tersedia pada ettercap

4. Scan host yang sedang terhubung satu jaringan

5. Lalu pilih host yang diinginkan (client) , mulai spoofing

6. Spoofing akan berjalan.

Jika spoofing berjalan lancar maka pada saat client mengakses sebuah domain www.zachrison.my.id melalui browser yang akan muncul website palsu yang di buat oleh attacker, sebagai contoh seperti berikut :

mudah bukan ?, sekian yang dapat saya bagikan dari percobaan yang telah saya lakukan. :) 

Implementasi DNSSEC (Domain Name System Security) 🔐

      Keamanan menjadi salah satu ancaman dibalik Quality of Service yang diberikan sebuah layanan, sehingga keamanan menjadi hal yang sangat diperhatikan. Saat ini telah banyak terjadi kasus kejahatan yang melibatkan masalah keamanan dari sebuah layanan yang ada di internet. DNS (domain name system) menjadi sasaran bagi para pelaku kejahatan, DNS Spoofing menjadi cara yang dilakukan agar memaksa user mengakses situs palsu yang dibuat pelaku kejahatan demi mendapat keuntungan tertentu. Untuk meminimalisir kejahatan terhadap DNS tersebut dapat dilakukan dengan menerapkan DNSSEC.

Apa itu DNSSEC ?

Ekstensi domain name system security (DNSSEC) adalah seperangkat protokol yang menambahkan lapisan keamanan untuk domain name system (DNS) lookup dan proses pertukaran, yang mana hal ini telah menjadi bagian integral dalam mengakses website melalui internet. Sementara DNSSEC tidak bisa melindungi bagaimana data didistribusikan atau yang dapat mengaksesnya, ekstensi DNSSEC dapat mengotentikasi asal data yang dikirim dari server DNS, memverifikasi integritas data dan otentikasi data DNS yang tidak ada.

Bagaimana DNSSEC bekerja ?

Tujuan awal DNSSEC adalah untuk melindungi client internet dari data DNS palsu dengan memverifikasi signatures digital yang ditanamkan dalam data. Jika signatures digital dalam data cocok dengan yang disimpan dalam master DNS server, kemudian data tersebut akan diteruskan ke komputer client yang membuat permintaan tersebut.

DNSSEC menggunakan sistem public key dan signatures digital untuk memverifikasi data. Publiy key ini juga dapat digunakan oleh sistem keamanan yang mengenkripsi data seperti yang dikirimkan melalui internet dan kemudian mendekripsi itu ketika diterima oleh penerima yang dimaksud. Namun, DNSSEC tidak bisa melindungi privasi atau kerahasiaan data karena tidak mencakup algoritma enkripsi. Hanya membawa kunci yang diperlukan untuk otentikasi data DNS yang dinyatakan asli atau benar-benar tidak tersedia.

Dalam implemetasi DNSSEC diperlukan beberapa jenis records yang harus dibuat untuk DNS. Jenis records tersebut adalah sebagai berikut:

a. DS

b. DNSKEY

c. NSEC

d. RRSIG

Record RRSIG adalah signature digital, dan menyimpan informasi utama yang digunakan untuk validasi data. Kunci yang terkandung dalam record RRSIG dicocokkan dengan kunci publik dalam catatan DNSKEY. Record dari NSEC dan keluarganya, termasuk NSEC, NSEC3 dan NSEC3PARAM, kemudian digunakan sebagai referensi tambahan untuk menggagalkan upaya spoofing DNS. DS record digunakan untuk memverifikasi kunci untuk subdomain.

Proses khusus yang digunakan untuk DNSSEC  lookup bervariasi dengan jenis server yang digunakan untuk membuat atau mengirim query. Name server rekursif, sering dioperasikan oleh internet service provider (ISP), menggunakan proses unik untuk DNSSEC validasi.

Tidak peduli proses yang digunakan, verifikasi kunci DNSSEC membutuhkan titik awal yang disebut trust anchors. Trust anchors termasuk dalam sistem operasi atau perangkat lunak terbesar lainnya. Setelah kunci diverifikasi melalui Trust anchors, juga harus diverifikasi oleh otoritatif name server melalui chain otentikasi, yang terdiri dari serangkaian DS dan catatan DNSKEY.

Bagaimana instalasi DNSSEC ?

Sistem Operasi yang saya gunakan untuk intalasi DNSSEC yaitu CentOS jadi langkah-langkah instalasi yang lakukan merujuk pada CentOS. Let's Goo..

1. Tentunya kita harus masuk sebagai root

2. Pastikan terlebih dahulu dns server kita sudah ready, untuk instalasi dns server saya sudah bahas pada postingan sebelumnya.

3. Lalu kita masuk ke direktori /etc/named/

4. Kemudian kita buat 2 key ZSK dan KSK dengan perintah seperti dibawah ini :

5. Akan bertambah file .key dan .private jika kita ketik perintah ls

  

6. Kemudian kita masukkan file .key ke dalam file zachrison.my.id sebagai forwardernya

  

7.  Kita lihat isi file named dns kita, akan terlihat ada 2 script key tang telah dimasukkan

8. Selanjutnya kita akan membuat file signer untuk domain kita dengan perintah :

    --> dnssec-signzone -e +3024000 -N INCREMENT zachrison.web.id

9. Setelah itu akan muncul file file dsset-zachrison.web.id dan zachrison.web.id.signed

10. Lalu edit file di /etc/named.conf

11. Kita restart service named

12. Lalu dig domain kita dengan perintah seperti gambar dibawah ini : 

13. Lalu kita lihat public key yang akan kita daftarkan ke ds record domain kita

14. Kita masukkan key nya melalui panel manage domain kita

Jika sudah selesai maka kita dapat mengecek apakah dns kita telah aktif atau tidak, untuk mengecek kita bisa menggunakan website : http://dnssec-debugger.verisignlabs.com/, lalu masukkan nama domain kita, maka hasilnya seperti berikut :

Jika tanda centang semua seperti di atas maka dnssec kita telah berhasil terpasang dengan baik...

Enjoy with it...

untuk melakukan pengujian kita dapat melakukan dengan melakukan skenario dns spoofing. penasaran bagaimana dns spoofing ? tunggu postingan saya selanjutnya yaa... 🙂

Made with ❤️ in Jakarta..