| Nama : Nanda K. | Resume DNS Security | Hari tanggal : 06 Agustus 2010 |
| Kelas : 3 TKJ A | Pelajaran : Admin Server | |
| SMKN 1 CIMAHI | Instruktur : Pak Dodi, Pak Nusirwan |
Pengertian DNS
DNS (Domain Name System) adalah sebuah sistem yang menyimpan informasi tentang nama host maupun nama domain dalam bentuk basis data tersebar (distributed database) di dalam jaringan komputer, misalkan: Internet. DNS menyediakan alamat IP untuk setiap nama host dan mendata setiap server transmisi surat (mail exchange server) yang menerima surat elektronik (email) untuk setiap domain.
Jika DNS belum di temukan kita akan kebingungan untuk mengingat IP.Sebelum Domain Name System (DNS), jaringan komputer menggunakan HOSTS.files yang berisi informasi nama komputer dan alamat IPnya. File ini dikelola terpusat dan ditiap lokasi harus dibuat copy versi terbaru dari HOSTS files. Dengan penambahan 1 komputer di jaringan, maka kita harus copy versi terbaru ke setiap lokasi. Dengan peningkatan jaringan internet, hal ini makin merepotkan. Oleh karena itu DNS merupakan solusi untuk menggantikan fungsi HOSTS files.DNS merupakan sistem database yang terdistribusi yang digunakan untuk pencarian nama komputer di jaringan yang menggunakan TCP/IP. DNS mempunyai kelebihan ukuran database yang tidak terbatas dan juga mempunyai performa yang baik. DNS merupakan aplikasi pelayanan di internet untuk menterjemahkan domain name ke alamat IP dan juga sebaliknya. DNS dapat dianalogikan sebagai pemakaian buku telefon dimana orang yang ingin kita hubungi, berdasarkan nama untuk menghubunginya dan menekan nomor telefon berdasarkan nomor dari buku telefon tersebut. Hal ini terjadi karena komputer bekerja berdasarkan angka, dan manusia lebih cenderung bekerja berdasarkan nama. Misalkan domain name yahoo.com mempunyai alamat IP 202.68.0.134, tentu mengingat nama komputer lebih mudah dibandingkan dengan mengingat alamat IP.
Domain Name Space merupakan hirarki pengelompokan domain berdasarkan nama. Domain ditentukan berdasarkan kemampuan yang ada di struktur hirarki yang disebut level yang terdiri dari :
* Root-Level Domains : merupakan level paling atas di hirarki yang diekspresikan berdasarkan periode dan dilambangkan oleh “.”.
* Top-Level Domains : berisi second-level domains dan hosts yaitu :
o com : organisasi komersial, seperti IBM (ibm.com).
o edu : institusi pendidikan, seperti U.C. Berkeley (berkeley.edu).
o org : organisasi non profit, Electronic Frontier Foundation (eff.org).
o o net : organisasi networking, NSFNET (nsf.net).
o gov : organisasi pemerintah non militer, NASA (nasa.gov).
o mil : organisasi pemerintah militer, ARMY (army.mil).
o xx : kode negara (id:Indonesia,au:Australia)
* Second-Level Domains : berisi host dan domain lain yang disebut subdomain. Contoh dapat dilihat pada gambar 1. Domain Wijaya, wijaya.com mempunyai komputer server1.wijaya.com dan subdomain ws.wijaya.com. Subdomain ws.wijaya.com juga mempunyai host client1.ws.wijaya.com.
* Host Name : domain name yang digunakan dengan host name akan menciptakan fully qualified domain name (FQDN) untuk setiap kompueter. Contohnya, jika terdapat fileserver1.wijaya.com, fileserver1 adalah host name dan wijaya.com adalah domain name.
Selain itu di sini di jelas kan bahwa pengamanan nya pun di bagi menjadi 4 yaitu:
1. Keamanan Administrasi: ini bagian dari bab ini mencakup penggunaan hak akses file,
server konfigurasi, konfigurasi BIND, dan sandboxes.
2. Zona transfer: Kecuali sistem konfigurasi multimaster sedang digunakan, transfer zona
sangat penting untuk operasi normal.
3. Dynamic update: update Dynamic master mengekspos zona file untuk korupsi mungkin,
kehancuran, atau keracunan.
4. Zona integritas: Jika penting bahwa data yang digunakan oleh salah satu zona lain DNS atau mengakhiri host benar maka DNSSEC diperlukan.
DNS Normal Data Flow
Tahap pertama dari setiap review keamanan adalah ancaman audit yang berlaku dan bagaimana mereka dinilai serius dalam situasi organisasi tertentu. Sebagai contoh, jika dynamicupdates tidak didukung (modus default BIND's), tidak akan ada ancaman update dinamis.
Klasifikasi Keamanan
Klasifikasi keamanan merupakan sarana untuk memungkinkan pemilihan solusi yang tepat dan strategi untuk menghindari risiko tersirat. Banyak metode-metode berikut ini dijelaskan.
• Ancaman Lokal (1): ancaman Lokal biasanya yang paling sederhana untuk mencegah, dan biasanya diimplementasikan hanya dengan menjaga kebijakan administrasi sistem suara. zona Semua file dan file konfigurasi lainnya DNS harus memiliki tepat membaca dan menulis akses, dan harus aman didukung atau diselenggarakan dalam repositori CVS. Stealth (atau Split) server DNS dapat digunakan untuk meminimalkan akses publik, dan BIND dapat dijalankan di kotak pasir atau penjara chroot (dijelaskan di bagian "BIND dalam Chroot Penjara" kemudian dalam bab ini).
• Server-server (2): Jika sebuah organisasi budak menjalankan DNS server, perlu untuk melaksanakan zona transfer. Seperti disebutkan sebelumnya, adalah mungkin untuk menjalankan beberapa-master server DNS, bukan dari server master-budak, dan dengan demikian menghindari masalah yang terkait. Jika zona transfer diperlukan, BIND menawarkan beberapa parameter konfigurasi yang dapat digunakan untuk mini-
mize risiko yang melekat dalam proses. TSIG dan Transaksi KEY (TKEY) juga menawarkan aman metode untuk otentikasi meminta sumber-sumber dan tujuan.Transfer fisik dapat diamankan dengan menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS).
• Server-server (3): default BIND adalah untuk menyangkal Dynamic DNS (DDNS) dari semua sumber. Jika sebuah organisasi memerlukan fitur ini, maka BIND menyediakan sejumlah konfigurasi parameter untuk meminimalkan risiko yang terkait; ini dijelaskan secara rinci nanti dalam bab. Jaringan desain arsitektur-yaitu, semua sistem yang terlibat dalam terpercaya perimeter-lebih lanjut dapat mengurangi eksposur tersebut. TSIG dan SIG (0) dapat digunakan untuk mengamankan transaksi dari sumber eksternal.
• Server-klien (4): Kemungkinan keracunan cache jauh karena spoofing IP, data antar- ception, dan hacks lainnya mungkin sangat rendah dengan situs web sederhana. Namun, jika situs tersebut profil tinggi, volume tinggi, terbuka untuk ancaman kompetitif, atau merupakan penghasil pendapatan yang tinggi, maka biaya dan kompleksitas penerapan solusi DNSSEC skala penuh mungkin bernilai-sementara. Upaya yang signifikan sedang diinvestasikan oleh pengembang perangkat lunak, Registry Operator, yang RIR, dan operator root-server, antara lain banyak, ke DNSSEC. Kita cenderung melihat signifikan trickle-down efek dalam waktu dekat dalam domain publik, serta dalam kelompok dikontrol seperti intranet dan extranet.
• Klien-klien (5): standar DNSSEC.bis mendefinisikan konsep keamanan sadar
penyelesai-suatu saat entitas-mitos yang dapat memilih untuk menangani semua validasi keamanan
langsung, dengan nama lokal server bertindak sebagai gateway komunikasi pasif.
Konfigurasi defensif
Sebuah konfigurasi defensif adalah satu di mana semua, besar khususnya yang berkaitan dengan keamanan, fitur eksplisit diidentifikasi sebagai diaktifkan atau dinonaktifkan. Konfigurasi seperti mengabaikan semua pengaturan default dan nilai-nilai. Dibutuhkan sebagai titik awal situs kebutuhan, dan setiap mendefinisikan kebutuhan, positif atau negatif, dengan menggunakan laporan konfigurasi yang sesuai atau parameter lainnya. Default adalah orang malas besar bagi kami, tetapi mereka juga dapat berbahaya jika mereka berubah. Sebagai contoh, skrg sewa BIND versi Menonaktifkan DDNS secara default. Namun, banyak DNS administrator suka menambahkan pernyataan itu memungkinkan-update ("none";); secara eksplisit dalam klausul opsi global, baik sebagai jelas indikasi bahwa fitur tersebut tidak digunakan, dan sebagai perlindungan terhadap masa depan yang rilis dapat mengubah default. Sebuah file konfigurasi yang defensif mengidentifikasi semua persyaratan juga secara eksplisit mendefinisikan diri. Yaitu, dengan memeriksa file-tanpa perlu menemukan manual atau referensi dokumentasi-fungsi tersebut adalah jelas. Pada 03:00 saat pan-demonium terjadi, file diri terdefinisi tersebut dapat efek samping berguna.
Deny All, Allow Selectively
Bahkan ketika operasi diperbolehkan, misalnya di NOTIFY atau zona transfer, itu mungkin bernilai
global menyangkal operasi dan selektif memungkinkan, seperti dalam fragmen berikut:
Remote Access
BIND rilis datang dengan alat administrasi yang disebut rndc (dijelaskan dalam Bab 9) yang mungkin
digunakan secara lokal atau jarak jauh. Di satu sisi, rndc adalah tool yang berguna, sementara di sisi lain, jika
Anda bisa masuk, sehingga dapat orang lain. BIND default adalah mengaktifkan rndc dari loopback tersebut alamat saja (127.0.0.1). Jika rndc tidak akan digunakan, harus secara eksplisit dinonaktifkan menggunakan null
klausa kontrol, seperti yang ditunjukkan di sini:
// named.conf fragment
controls {};
....
Jika rndc digunakan, maka dianjurkan bahwa klausa kontrol eksplisit digunakan, bahkan jika
akses hanya diijinkan dari localhost, seperti yang ditunjukkan di sini:
// named.conf fragment
controls {
inet 127.0.0.1 allow {localhost;} keys {"rndc-key"};
};
Menciptakan Chain Trust
Cara Menciptakan Chain Trust adalah sebagai berikut:
edit dsset-sub.example.com.
Isi filenya seperti berikut:
$TTL 86400 ; 1 day
$ORIGIN example.com.
@ IN SOA ns1.example.com. hostmaster.example.com. (
2005032902 ; serial
10800 ; refresh (3 hours)
15 ; retry (15 seconds)
604800 ; expire (1 week)
10800 ; minimum (3 hours)
)
IN NS ns1.example.com.
IN NS ns2.example.com.
IN MX 10 mail.example.com.
IN MX 10 mail1.example.com.
_ldap._tcp IN SRV 5 2 235 www
ns1 IN A 192.168.2.6
ns2 IN A 192.168.23.23
www IN A 10.1.2.1
IN A 172.16.2.1
mail IN A 192.168.2.3
mail1 IN A 192.168.2.4
$ORIGIN sub.example.com.
@ IN NS ns3.sub.example.com.
IN NS ns4.sub.example.com.
ns3 IN A 10.2.3.4 ; glue RR
ns4 IN A 10.2.3.5 ; glue RR
$INCLUDE keys/Kexample.com.+005+12513.key ; KSK
$INCLUDE keys/Kexample.com.+005+03977.key ; ZSK
$INCLUDE dsset-sub.example.com. ; DS RR
Lakukan Resign seperti berikut:
# dnssec-signzone -o example.com -t -k Kexample.com.+005+12513 \
master.example.com Kexample.com.+005+03977
master.example.com.signed
Signatures generated: 20
Signatures retained: 0
Signatures dropped: 0
Signatures successfully verified: 0
Signatures unsuccessfully verified: 0
Runtime in seconds: 0.357
Signatures per second: 53.079
Ini adalah chain trust untuk sub.example.com
sub.example.com. 86400 IN NS ns3.sub.example.com.
86400 IN NS ns4.sub.example.com.
86400 DS 64536 5 1 (
CE0711D34D21C069A4C91215C50B4F38E3D5
65D1 )
86400 RRSIG DS 5 3 86400 20050518171727 (
20050418171727 3977 example.com.
RRApmGQ3fKmzbAF7ev4G6eRpWOI= )
10800 NSEC www.example.com. (NS DS RRSIG
NSEC)
10800 RRSIG NSEC 5 3 10800 20050518171727 (
20050418171727 3977 example.com.
gNp5LyMVZ8wcH5lNgGpKNJSsfcs= )
ns3.sub.example.com. 86400 IN A 10.2.3.4
ns4.sub.example.com. 86400 IN A 10.2.3.5
www.example.com. 86400 IN A 10.1.2.1
86400 IN A 172.16.2.1
86400 RRSIG A 5 3 86400 20050518171727 (
20050418171727 3977 example.com.
srHGYT4F2T8IRQTRctl/ZzQa494= )
10800 NSEC example.com. A RRSIG NSEC
10800 RRSIG NSEC 5 3 10800 20050518171727 (
20050418171727 3977 example.com.
5dkPy1jAM2izam5W9Eri/7PdaXI= )
Tidak ada komentar:
Posting Komentar