Cara Membangun Keamanan Dns Server Pada Linux Debian Atau Ubuntu

Pada artikel sebelumnya saya telah menjelaskan bagaimana mengakibatkan DNS server Mnejadi Server Sslave atau Master yang fungsinya ialah sebagai server cadangan jikalau terjadi kegagalan koneksi oleh salah satu server master. Ini sangat perlu sekali alasannya ialah membangun suatu server apalagi yang terhubung oleh jaringan Publik atau Online. Baca Disini jikalau belaum mengerti atau review ulang. sehabis semua kita bangkit DNS server tersebut kini saatnya untuk keamanan Server DNS Server. Hal ini sangat di perlukan bukan hanya pada Server DNS saja malahan yang paling penting pada Database Server. Ok Langsung saja kita mulai pembahasan ini.

Keamanan DNS Server pada Linux Debian atau Ubuntu

Kalau kita perhatikan, Salah satunya keamanan yang dipakai ketika transfer zona antara master dengan slave ialah dengan memakai alamat IP tetapi alamat IP sangat gampang sekali kalau dipalsukan. Tentu saja hal ini akan menambah kerawanan pada ketika melaksanakan transfer zona yang dilewati oleh internet alasannya ialah server DNS slave sanggup mendapatkan zona dari server palsu yang menirukan alamat IP dari server DNS master.

Cara mencegah hal ini, ialah dengan diciptakanlah TSIG (Transaction signature penanda transaksi) yang memberi jalan masuk komunikasi yang kondusif antar server dengan cara penanda transaksi. Dalam hal ini kerjanya sama menyerupai md5sum yang akan memperoses kesahan suatu data. Tetapi juga dalam hal TSIG, si peserta akan mengecek kesahan dan keutuhan paket yang dikinimkan oleh server lain dengan memakai kata kunci eksklusif (private key) dari si pengirim.

TSIG bekerja dengan cara menandatangani setiap ada transakasi DNS diantara dua kedua belah server menyerupai master dengan slave. Penandatanganan/Pengesahan transaksi ini dilakukan dengan cara melaksanakan proses hashing terhadap isi transaksi tersebut, yang dalam hal ini ialah zona yang akan kita itransfer, dengan kunci dari server master. Pada server slave, transaksi DNS yang diterima akan diverifikasi dengan cara memakai kunci yang sama. Kalau transaksi DNS valid maka server DNS slave akan mendapatkan transaksi tersebut.

Kunci yang dipakai pada semua server master dan slave untuk zona tertentu ialah sama. Untuk setiap zona, dibutuhkan satu  kunci saja  karena apabila suatu DNS server melayani beberapa zona otoritatif dari semua zona tersebut dengan memakai TSIG, maka untuk pada setiap zona di haruskan memakai kunci yang berbeda.

CATATAN TSIG akan mengandalkan sinkronisasi waktu antara server DNS master dan slave. TSIG akan memakai timestamp untuk mencegah replay attack. Jika diantara kedua server tersebut terdapat perbedaan selisih waktu yang cukupjauh, maka proses transfer akan gagal alasannya ialah tandatangan yang dikirimkan menjadi tidak valid. Hal ni ditandai dengan pesan log



tsig verifiy failure (BADTIME)



Oleh Sebab itu sangat di perlukan untuk memakai NTP pada semua host yang akan melaksanakan koneksi TSIG.

Saatnya kita akan mengamankan transaksi antar server untuk domain admin.web.id. Kita akan menciptakan kunci yang akan dipakai dan dibagikan kepada semua server di server utama DNS yaitu ns.admin.web.id. Anda sanggup memakai perintah dnssec-keygen untuk menciptakan kunci ini.

Perintah pada pola gambar diatas akan menciptakan sebagai kunci pada host ns.admin.web.id dengan

menggunakan algoritma HMAC-MD5 dari panjang kunci dalam bit. Opsi -a mengijinkan kita untuk menentukan algoritma yang digunakan. Opsi -b menentukan panjangnya kunci dalam bit dan opsi -n menetukan jenis kunci yang akan kita gunakan untuk menciptakan kunci.

Pada perintah gambar diatas kita akan menciptakan dua buah file yaitu Kns.admin.web.id.+157+19220.key dan Kns.admin.web.id.+157+19220.private.ns.admin.web.id ialah nama dari kunci tersebut. +157 mengindikasikan bahwa algoritma yang kita gunakan yaitu HMAC-MD5, dan +16728 ialah nomor

kunci acak yang kita gunakan untuk membedakan kunci lainnya yang dibentuk di host ns.admin.web.id. pada kedua file tersebut harus dan perlu dimiliki oleh root dengan mode 600.

File Kns.admin.web.id.+157+19220 private berisi ihwal kunci yang kita perlukan untuk TSIG. Berikut ini ialah isi file tersebut:

Bagian yang hanya kita butuhkan untuk TSIG ialah belahan sehabis Key:. Copy semua baris sehabis Key: . Lalu pada semua server yang akan melaksanakan koneksi TSIG mislanya server DNS master dan semua server DNS slave, tambahkan baris berikut pada file konfigurasi utama BIND yaitu named.conf.local sampai kesannya menyerupai dibawah ini.

Pada konfigurasi pola gambar diatas akan menciptakan satu buah kunci dengan nama ns.admin.web.id.

Nama kunci ini yang akan kita gunakan pada direktif server.

Lalu pada masing-masing server ini akan memberitahukan BIND untuk memakai TSIG. Hal ini dilakukan dengan cara memakai parameter keys di dalam parameter server. Dalam hal ini memberitahu BIND untuk memakai key dengan nama, Contohnya ns.admin.web.id, untuk melaksanakan koneksi

ke server tersebut. Kedua parameter tersebut di tambahkan di semua server DNS yang terkait. Berikut ini ialah konfigurasi pada server DNS master

Parameter server akan mendefinisikan alamat IP server, Dengan ini, server DNS master mendefinisikan dua buah server yaitu 202.46.1.2 dan 10.10.1.7 yang merupakan server DNS slave. Kedua server tersebut akan memakai kunci ns.admin.web.id yang sudah kita buat pada sebelumnya dan di definisikan pada parameter key. Lalu kita menciptakan konfigurasi yang sama pada kedua server slave. Berikut ini ialah konfigurasi pada server slave 202.46.1.2

Coba kita perhatikan, alamat yang dipakai pada parameter server di host 202.46.1.2 dan 10.10.1.7 berbeda, padahal kedua slave tersebut tertuju kepada server DNS master yang sama. Hal ini dikarenakan konfigurasi diatas memakai split DNS. Host 202.46.1.2 dengan memakai alamat IP publik dari

server ns.admin.web.id sedangkan host 10.10.1.7 memakai alamat internal dari server ns.admin.web.id.

Sekian, Semoga Bermanfaat

Share this post