Keamanan menjadi salah satu ancaman dibalik Quality of Service yang diberikan sebuah layanan, sehingga keamanan menjadi hal yang sangat diperhatikan. Saat ini telah banyak terjadi kasus kejahatan yang melibatkan masalah keamanan dari sebuah layanan yang ada di internet. DNS (domain name system) menjadi sasaran bagi para pelaku kejahatan, DNS Spoofing menjadi cara yang dilakukan agar memaksa user mengakses situs palsu yang dibuat pelaku kejahatan demi mendapat keuntungan tertentu. Untuk meminimalisir kejahatan terhadap DNS tersebut dapat dilakukan dengan menerapkan DNSSEC.
Apa itu DNSSEC ?
Ekstensi domain name system security (DNSSEC) adalah seperangkat protokol yang menambahkan lapisan keamanan untuk domain name system (DNS) lookup dan proses pertukaran, yang mana hal ini telah menjadi bagian integral dalam mengakses website melalui internet. Sementara DNSSEC tidak bisa melindungi bagaimana data didistribusikan atau yang dapat mengaksesnya, ekstensi DNSSEC dapat mengotentikasi asal data yang dikirim dari server DNS, memverifikasi integritas data dan otentikasi data DNS yang tidak ada.
Bagaimana DNSSEC bekerja ?
Tujuan awal DNSSEC adalah untuk melindungi client internet dari data DNS palsu dengan memverifikasi signatures digital yang ditanamkan dalam data. Jika signatures digital dalam data cocok dengan yang disimpan dalam master DNS server, kemudian data tersebut akan diteruskan ke komputer client yang membuat permintaan tersebut.
DNSSEC menggunakan sistem public key dan signatures digital untuk memverifikasi data. Publiy key ini juga dapat digunakan oleh sistem keamanan yang mengenkripsi data seperti yang dikirimkan melalui internet dan kemudian mendekripsi itu ketika diterima oleh penerima yang dimaksud. Namun, DNSSEC tidak bisa melindungi privasi atau kerahasiaan data karena tidak mencakup algoritma enkripsi. Hanya membawa kunci yang diperlukan untuk otentikasi data DNS yang dinyatakan asli atau benar-benar tidak tersedia.
Dalam implemetasi DNSSEC diperlukan beberapa jenis records yang harus dibuat untuk DNS. Jenis records tersebut adalah sebagai berikut:
a. DS
b. DNSKEY
c. NSEC
d. RRSIG
Record RRSIG adalah signature digital, dan menyimpan informasi utama yang digunakan untuk validasi data. Kunci yang terkandung dalam record RRSIG dicocokkan dengan kunci publik dalam catatan DNSKEY. Record dari NSEC dan keluarganya, termasuk NSEC, NSEC3 dan NSEC3PARAM, kemudian digunakan sebagai referensi tambahan untuk menggagalkan upaya spoofing DNS. DS record digunakan untuk memverifikasi kunci untuk subdomain.
Proses khusus yang digunakan untuk DNSSEC lookup bervariasi dengan jenis server yang digunakan untuk membuat atau mengirim query. Name server rekursif, sering dioperasikan oleh internet service provider (ISP), menggunakan proses unik untuk DNSSEC validasi.
Tidak peduli proses yang digunakan, verifikasi kunci DNSSEC membutuhkan titik awal yang disebut trust anchors. Trust anchors termasuk dalam sistem operasi atau perangkat lunak terbesar lainnya. Setelah kunci diverifikasi melalui Trust anchors, juga harus diverifikasi oleh otoritatif name server melalui chain otentikasi, yang terdiri dari serangkaian DS dan catatan DNSKEY.
Bagaimana instalasi DNSSEC ?
Sistem Operasi yang saya gunakan untuk intalasi DNSSEC yaitu CentOS jadi langkah-langkah instalasi yang lakukan merujuk pada CentOS. Let's Goo..
1. Tentunya kita harus masuk sebagai root
2. Pastikan terlebih dahulu dns server kita sudah ready, untuk instalasi dns server saya sudah bahas pada postingan sebelumnya.
3. Lalu kita masuk ke direktori /etc/named/
4. Kemudian kita buat 2 key ZSK dan KSK dengan perintah seperti dibawah ini :
5. Akan bertambah file .key dan .private jika kita ketik perintah ls
6. Kemudian kita masukkan file .key ke dalam file zachrison.my.id sebagai forwardernya
7. Kita lihat isi file named dns kita, akan terlihat ada 2 script key tang telah dimasukkan
8. Selanjutnya kita akan membuat file signer untuk domain kita dengan perintah :
--> dnssec-signzone -e +3024000 -N INCREMENT zachrison.web.id
9. Setelah itu akan muncul file file dsset-zachrison.web.id dan zachrison.web.id.signed
10. Lalu edit file di /etc/named.conf
11. Kita restart service named
12. Lalu dig domain kita dengan perintah seperti gambar dibawah ini :
13. Lalu kita lihat public key yang akan kita daftarkan ke ds record domain kita
14. Kita masukkan key nya melalui panel manage domain kita
Jika sudah selesai maka kita dapat mengecek apakah dns kita telah aktif atau tidak, untuk mengecek kita bisa menggunakan website : http://dnssec-debugger.verisignlabs.com/, lalu masukkan nama domain kita, maka hasilnya seperti berikut :
Jika tanda centang semua seperti di atas maka dnssec kita telah berhasil terpasang dengan baik...
Enjoy with it...
untuk melakukan pengujian kita dapat melakukan dengan melakukan skenario dns spoofing. penasaran bagaimana dns spoofing ? tunggu postingan saya selanjutnya yaa... π
Made with ❤️ in Jakarta..
0 komentar:
Posting Komentar