Lab 6.5 Security DNSSEC di CentOS 7

DNSSEC-graphix

Topologi

1

Tabel IP Adrressing

Screenshot_1

Tujuan 

pembaca dapat memahami apa itu DNSSEC ?

pembaca dapat mengkonfigurasi sistem keamanan DNSSEC

pembaca dapat menambahkan domain baru dengan sistem keamanan DNSSEC nya

Konsep Dasar

Apa DNSSEC itu?

DNSSEC atau Domain Name System Security Extensions merupakan sebuah standart security pada dns. Secara garis besar, dnssec akan menambahkan sebuah digital singature pada record dns sehingga setiap data dns yang di respons oleh client akan dilakukan validasi terlebih dahulu untuk memastikan bahwa data yang di berikan tidak berubah.

 

Konfigurasi

pertama, masuk ke folder cd /var /named. Dan pastikan tidak terdapat satupun key yg tersedia seperti berikut.

Screenshot_1

kemudian coba kita ping domainnya, apakah domainnya berfungsi atau tidaknya, dengan melakukan ping terhadap domain yang kita miliki, seperti berikut

Screenshot_2

jika sudah masuk ke folder tersebut, kita buat key ZSK dan KSK dan lakukan generate pada key ZSK ( Zone Signing Key ) dan KSK ( Key Signing Key ) di folder cd /var/named , dengan perintah.

untuk key ZSK

” dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 -n ZONE tkjonline.net ” 

untuk key KSK

” dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -n ZONE -f KSK tkjonline.net ” 

dan jika berhasil, maka outputnya akan seperti berikut.

Screenshot_3

kemudian kita cek hasil pembuatan keynya dengan perintah ” ls /var/named/ ” dan akan muncul hasil key yang dibuat, seperti di bawah ini.

Screenshot_4

sedikit penjelasan dari fungsi -a , -b , -n ,dan -f

-a : menjelaskan pembuatan algorithma yang dibuat, di atas menggunakan algorithma RSASHA.

-b : menjelaskan jumlah biner yang dipakai untuk membuat sebuah key, biasanya tersedia dari 512 sampai dengan 2048.

-n : menjelaskan tentang  letak zona yang dibuat, misalkan zonanya adalah tkjonline.net.

-f : menjelaskan tentang pemberian flag atau bendera bahwa key tersebut adalah KSK, berfunsgi sebagai pembeda antara file ZSK dan KSK.

dan bonusnya, dalam pembuatan key diatas bisa juga tidak menggunakan perintah -r /dev/urandom, fungsi dari perintah disamping hanyalah untuk mempercepat proses generate, jika tidak memakai perintah -r /dev/urandom, kelamahannya adalah  membutuhkan waktu yg lama dalam pembuatannya, adapun kelebihannya, yaitu kemanannya menjadi lebih kuat dari sebelumnya.

okedeh itu merupakan sedikit penjelasannya biar pembaca gak bingung. Nah selanjutnya kita pindahkan key ZSK dan KSK nya ke file  forward.tkj dengan perintah

” cat Ktkjonline.net. +008+*.key >> forward.tkj ” 

Screenshot_5

maka hasil outputnya adalah seperti berikut, terdapat dua key berada di file forward.tkj

Screenshot_6

setelah itu kita jalankan perintah dnssec-signzone yang berguna untuk membuat file zone.signed dan file ds record menggunakan key .private, dengan perintah

“dnssec-signzone -t -g -o tkjonline.net forward.tkj /var/named/Ktkjonline.net.+008+*.private”

jika berhasil maka hasilnya akan seperti berikut.

Screenshot_7

kita verifikasi hasilnya dengan perintah ls, jika sudah masuk ke folder /var/named. maka hasilnya akan terdapat dua file baru yaitu

” dsset – tkjonline.net. ” dan ” forward.tkj.signed “

Screenshot_8

kemudian kita ubah script pada zone tkjonline.net nya terutama pada bagian file

“/var/named/forward.tkj”; menjadi “/var/named/forward.tkj.signed”;

Screenshot_9

setelah itu kita coba restart bindnya dengan perintah ” systemctl restart named ” 

Screenshot_10

kemudian kita dig DNSKEY nya dengan perintah

” dig DNSKEY  tkjonline.net. @192.168.137.20 +multiline ” maka akan muncul seperti berikut.

Screenshot_11

nah selanjutnya kita akan menambahkan ds record pada register domain kita, hanya saja pada domain biasa kita tidak bisa menambhakannya, karena bisa jadi mereka hanyalah reseller, nah jika kita ingin menambahkannya kita bisa meminta pertolongan ke pihak reseller terkait penambahan DS Record. untuk lebuh lanjut kunjungi site berikut.

nah jika sudah didapat DS recordnya tinggal dimasukkan ke panel input DS record yang ada di registrar, tapi jika tempat membeli domain tidak menyediakan panel DS record, kita bisa meminta tolong untuk memasukkannya ke tempat registrar domain kita, contoh seperti dibawah:


 

http://manage.publicdomainregistry.com/kb/answer/1909
http://freeaccount.myorderbox.com/kb/answer/1909
https://support.godaddy.com/help/article/6115/managing-dnssec-for-your-domain-name


 

oke dilanjut, selanjutnya kita cek DS Record yang kita miliki dengan perintah

” cat dsset-tkjonline.net “dan hasilnya akan terdapat dua DS record seperti dibawah ini.

Screenshot_12

pada bind version 9.8 jika terjadi penambahan zone record pada record file tkjoline.net kita harus generate ulang key nya yang saya tahu tapi entah diluar sana mungkin ada cara lain, tapi daripada kita panjang-panjang menulis scriptnya kita bisa membuat dan menjalankan script dibawah ini.

pertama buat file dengan vim zonesigner.sh dan isikan script dibawah ini (catatan pembuatan file zonesigner.sh bebas bisa di folder mana saja yang penting ketika mengeksekusi harus dalam mode root) kali ini saya membuat filenya di /var/named.

#!/bin/sh
PDIR=`pwd`
ZONEDIR=“/var/named” #location of your zone files
ZONE=$1
ZONEFILE=$2
DNSSERVICE=“named” #On CentOS 7 raplce with “bind9”
cd $ZONEDIR
SERIAL=`/usr/sbin/namedcheckzone $ZONE $ZONEFILE | egrep ho ‘[0-9]{10}’`
sed i ‘s/’$SERIAL‘/’$(($SERIAL+1))‘/’ $ZONEFILE
dnssecsignzone t g o $1 $2 /var/named/Ktkjonline.net*.private
service $DNSSERVICE reload
cd $PDIR
berikut versi commandnya di CentOS 7
Screenshot_13
lalu kita set filenya dengan perintah ” chmod +x zonesignertkjonline.sh “ agar bisa di eksekusi
Screenshot_14
kemudian jalankan perintah ” ./zonesignertkjonline.sh tkjonline.net forward.tkj ” dan jika berhasil maka outputnya seperti dibawah ini.
Screenshot_15
B. menambahkan domain baru dengan keamanan DNSSEC
pertama masuk ke folder /etc/named.conf lalu kita tambahkan zona baru sesuai dengan yang di inginkan seperti dibawah ini
Screenshot_16
Kemudian jika tidak ingin ribet ribet membuat isi file forwardnya, kita copy saja isi file forward.tkj ke file irfanforward.tkj
Screenshot_18
kemudian kita masuk ke file irfanforward.tkj nya dan ubah NS ( Name Server  ) nya menggunakan nama dns yang kita inginkan seperti di bawah ini
Screenshot_37
kemudian kita cek zone barunya apakah sudah benar atau tidaknya dengan perintah yang digunakan di bawah ini.
Screenshot_20
selanjutnya kita buat key ZSK dan KSK nya untuk domain baru kita dengan perintah

 

untuk key ZSK

” dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 -n ZONE irfandivi.net ”

untuk key KSK

” dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -n ZONE -f KSK irfandivi.net ”

Screenshot_22

maka sekarang jumlah keynya ada 8 seperti hasil verifikasi di bawah ini.

Screenshot_23

kemudian kita pindahkan key milik irfandivi.net ke file irfanforward.tkj dengan perintah

” cat Kirfandivi.net.+008+*.key >> irfanforward.tkj ”

Screenshot_24

kemudian kita lihat hasil verifikasinya dengan masuk ke file irfanforward.tkj maka hasilnya akan terdapat dua key milik irfandivi.net di file irfanforward.tkj

Screenshot_25

kemudian kita akan membuat file zone.signed dan dan file ds record milik irfandivi.net dengan perintah

” dnssec-signzone -t -g -o irfandivi.net irfanforward.tkj /var/named/Kirfandivi.net.+008+*.private “Screenshot_26

kemudian kita ubah script pada bagian file milik zone irfandivi.net menjadi

file “/var/named/irfanforward.tkj.signed”; 

jika sudah kita coba restart bind nya denga perintah ” systemctl restart named ” 

lalu kita jalankan perintah dig DNSKEY irfandivi.net.@192.168.137.20 +multiline

Screenshot_30

maka hasil outpunya akan seperti berikut

Screenshot_31

kemudian lihat hasil dari DS Record yang kita miliki dengan perintah

” cat dsset-irfandivi.net. ”

Screenshot_32

kemudian kita copy hasil dari zonesigner milik tkjonline ke zonesigner milik irfandivi.net, ya intinya biar gak lama nulis aja gtu. dengan perintah
” cp zonesignertkjonline.sh zonesignerirfan.sh “
Screenshot_33
kemudian kita masuk ke file zone signer milik irfandivi.net dan pada bagian /var/named/Ktkjonline nya kita ubah menjadi /var/named/Kirfandivi.net
Screenshot_35
kemudian kita set filenya agar bisa di eksekusi dengan perintah
” chmod+x zonesignerirfan.sh ” dan langsung kita lihat verifikasinya
Screenshot_34
kemudian kita jalankan perintah
” ./zonesignerirfan.sh irfandivi.net irfanforward.tkj ” untuk melihat hasil dari verifikasi bahwa pembuatan file zonesignernya berhasil atau tidaknya. jika berhasil maka hasil verifikasinya seperti berikut.
Screenshot_36
kemudian kita menuju client dan download aplikasi bind 9 untuk windows dengan cara penginstalannya yaitu
pertama kita buka isi file dari bind 9 nya dan install bindnya seperti dibawah ini
Screenshot_45
Screenshot_46
kemudian hanya centang tools only dan isikan service account name dan password nya sesuai dengan yang kita inginkan
Screenshot_47
maka jika berhasil verifikasinya akan seperti berikut.
Screenshot_49
nah langkah selanjutnya kita copy kan lokasi dari penginstallan bindnya dan paste pada cmd dengan perintah cd namalokasipenginstallan bind
Screenshot_38
Screenshot_39
Screenshot_40
lalu kita lakukan dig pada domain tkjonline dan irfandivi.net
dig tkjonline.net
Screenshot_41
hasil outputnya…
Screenshot_42
dig irfandivi.net
Screenshot_43
hasil outputnya..
Screenshot_44
selese deh hehe.. semoga mudah dipahami dan bemanfaat.
Kesimpulan
DNSSEC ini merupakan fitur keamanan untuk domain name server dalam sistem operasi centos , fungsi dari DNSSEC ini hampir sama dengan sistem keamanan dari chroot, yg fungsinya sama sama untuk mengamankan keamanan data maupun hal yg penting lainnya yang terdapat pada suatu Domain Name Server.

 

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s