Saturday, 26 November 2016

Konfigurasi DNSSEC (Centos7)

Kembali lagi dengan bloger mantep, kali ini saya akan menghadir sebuah tutorial yang berjudul Konfigurasi dnssec pada os cetos 7, DNSSEC ini di gunakan untuk mengaman sebuah dns yang kita buat, dengan dnssec ini dns yang kita buat akan lebih scure dan terhindar dari berbagai ancaman, meskipun sudah aman tetapi dnssec ini tidak luput dari celah system, tetapi meskipun masih tedapat celah setidak nya dnssec ini dapat menahan/mendeteksi serangan-serangan yang terjadi pada dns yang sudah kita buat sebelumnya.

Sekilas Tentang DNSSEC:
DNSSEC (Domain Name System Extension Security) Sebuah tools tambahan yang berguna untuk mengaman DNS yang ada dengan cara memberikan sebuah key/kode untuk mengverifikasi sekaligus mengamankan data dns yang kita gunakan aman sampai ditangan client, Pada awal nya dns yang kita kenal sekarang tidak mempunyai system pengaman, tetapi pada tahun 1990 di temukan beberapa celah yang serius oleh Steve Bollovin, penerapan awal dnssec ini berlansung pada tahun 1999, pada awal penerapan terdapat beberapa masalah yang di gandrungi tetapi hal tersebut terselesaikan dan  kian waktu di sempurnakan hingga saat ini, beberapa algoritma Enkripsi yang terdapat pada dnssec ini, (RSA/SHA-1, RSA/SHA-1, RSA / SHA-256, DSA / SHA-1,MD5.... dan yang lainya) 

Menurut data  DNSSEC Validation Rate by country yang di lakukan oleh APNIC Labs kurun waktu  (19/11/2016 - 25/11/2016), di indonesia tercatat hanya DNSSEC Validates nya hanya 4.23 %, saya agak ngeri apakah dns yang kita gunakan saat ini sudah terkover dnssec tersebut atau  pengaman yang lain mengingat kecil nya statistik data di tulis tersebut, apakah dns yang kita sekarang kita pakai aman atau tidak itu masih di pertanyakan heheh (jadi ngeri wkww), tapi mungkin dengan berjalan nya waktu dnssec validate akan bertambah ya hehe,  untuk keakuratan data anda bisa kunjung website nya di (LINK)

Ya dari pada ngeri dengan statistik tersebut, mending kita lupakan 😆 dan lanjut ke persiapan konfigurasi .
Pada saat saya melakukan konfigurasi saya menggunakan skema topologi tersebut (bisa anda lihat pada gambar diatas), cukup sederhana bagi pemula ya hehe, itulah sedikit gambaran topologi yang saya pergunakan, Selain topologi saya juga menyertakan keterang apa saja aplikasi pendukung yang saya gunakan pada saat mengkonfigurasi dnssec, ya ini dia aplikasi pendukung dan beberapa keterangan lain nya: 
1. Saya menggunakan Aplikasi GNS3 untuk membangun topologi 
2. Untuk virtualisai saya menggunakan VMWare workstation dengan mode adapter bridge, anda tidak harus menggunakan aplikasi virtualisasi yang sama, anda bisa menggunakan aplikasi yang lain contoh nya virtual box.
3. Menggunakan centos 7 dan os windows 10 sebagai client 
4.Saya menggunakan Address network 172.16.11.0/24 anda bisa menggunakan jenis address network yang lain nya  
5. Aplikasi BIND, DNSSEC tools untuk centos7 sudah ingklude bila mana sudah install dns bind dan BIND versi windows untuk client  saya menggunakan windows 10.
6. Untuk system operasi dasar yang saya gunakan LINUX elementry os, tetapi anda juga Bisa gunakan Os window untuk melakukan nya.   
7. Recomendasi anda sudah buat dns nya terlebih dahulu ya, karena postingan saya ini hanya menyertakan konfigurasi dnssec+verifikasi.
8. !! Kondisi Khusus semua virtualisasi yang saya bikin kali ini, terkoneksi dengan jaringan internet!!
Sudah lihat keterangan yang banyak, sekarang kita masuk ketahap konfigurasi.

Konfigurasi.

1. Untuk mempermudah tahap pengerjaan, kita masuk ke directory var/named terlebih dahulu.

2. Setelah itu kita, lakukan pengenerate kode zsk dan juga ksk setelah itu cek apakah kode tersebut sudah terbentuk, untuk perintah anda bisa lihat pada gambar di bawah ini.
Penjelasan beberapa peintah ya ada:
dnssec-keygen --> perintah tersebut di gunakan untuk menggenerate keygen nya
RSASHA256 --> Tipe Algoritama enkripsi yang anda/kita gunakan, bisa anda rubah sesuai dengan vitur yang di sediakan.
2046 dan 1024 --> Ukuran kunci yang di gunakan hitungan dalam satuan bit
KSK atau ZSK --> jenis proses generate key dengan ini proses penggenerate kode akan lebih cepat, tetapi untuk tingkat kemanan nya masih belum begitu kuat, anda bisa menghapus kode tersebut tetapi penggenerate kode nya akan semakin lama.
jempolan01.net --> nama domain yang ingin kita generate. 
3. Sekarang kita masukkan generate key ke file forward pada dns yang kita buat, untuk perintah anda bisa lihat pada gambar di bwah ini, (sesuaikan dengan dns yang anda buat).

4. Setelah itu cek pada file forward nya dengan perintah (  editing(spasi) nama file nya) contoh nano forward.blog, pastikan kode yang saya tandai tersebut ada pada folder nya bila tidak jangan di tulis manual ya wkwkw, nanti ada yang janggal loh wkwkw, bila enggak ada usahakan anda cek berulang ulang langkah sebelum nya apakah perintah sudah benar atau belum.

5. Setelah itu kita buat directory/file signed untuk dns kita nanti, untuk peritah nya anda bisa melihat pada gambar di bawah ini (sesuaikan dengan dns yang anda buat), pastikan hasil perintah tersebut KSK dan ZSK active.

6. Cek apakah folder signed sudah terbentuk, bagi anda penasaran dengan isi folder tersebut bila dibuka menggunakan editing machine seperti nano, di dalam folder tersebut terdapat kode kode yang membuat kepala anda pusing dan tidak jelas bacaan nya, nah itu dia salah satu enkripsi nya, untuk memecah nya butuh waktu yang lama wkwkw.

7. Kita perlu mengnyalakkan dnssec validation, untuk itu kita masuk mode editing pada folder named.conf yang berlokasikan di etc/named.

7. Nah untuk mana yang di ganti saya sudah tandai anda bisa mencari nya, Pastikan ketiga opsi tersebut menyala.

8. Setelah itu edit zone dns nya , kita arahkan file source yang di gunakan ke arah file signed yang sudah dibuat sebelum nya.

9. Setelah itu kita restart service named nya dengan menggunakan perintah systemctl restart named.

10. Setelah itu lakukan pengujian dengan perintah dig DNSKEY nama domain anda @alamat addres +multiline contoh ( dig DNSKEY jempolan01.net @172.16.11.178 +multiline )

11. Setelah menunggu hasil print out yang terpampang seperti ini, pastikan seperti ini karena hasil print out ini menandakan dns nya sudah terkover dengan dnssec dan telah terenkripsi dengan metode enkripsi yang sudah kita pilih sebelum nya.

12. Untuk melihat DS record nya anda bisa gunakan perintah tersebut .

Menggenerate key Secara otomatis. 

1. Untuk membuat key generate secara otomatis, hal pertama yang kita buat adalah file zonesigner.sh, untuk lokasi anda bisa tentukan dimana saja, tetapi untuk kali saya taruh file tersebut pada directory var/named, untuk membuat dan editing anda bisa gunakan perintah nano zonesigner.sh .

2. Setelah itu masukkan scrip yang tertera pada gambar di bawah ini. setelah itu save dengan CTRL+x y enter .

3. Setelah itu kita rubah mode akses nya supaya bisa di ekseskusi dan di jalankan nanti dengan cara memberikan chmod +x untuk perintah lengkap nya bisa lihat pada gambar di bawah ini.

4. Setelah itu kita ekseskusi dan hasilnya akan seperti ini,pastikan KSK dan ZSK active.

Bonus !! Membuat domain Tambahan

1. Kita buka named/conf nya, anda bisa gunakan mesin editor yang lain nya seperti contohnya vi, untuk perintah nya bisa tengok gambar di bawah ini.

2. Setelah itu kita buat domain tambahan nya, atau bisa di sebut sub domain, untuk lokasi directory forward nya kita langsung mengarah ke signed supaya nanti tidak repot rubah rubah lagi sehabis dns singzone.

3. Untuk mengecek apakah perintah/syntak pada named.conf tidak ada yang salah/tidak anda bisa gunakan perintah berikut.

4. Kita masuk pada /var/named/ gunanya untuk mempermudah tahap selanjutnya.

5. Setelah itu kita copy folder forward yang sudah ada sebelum nya, supaya tidak cape cape nulis perintah dari awal lagi, copy setelah itu beri nama dari file yang kita bikin, untuk contoh perintah nya bisa anda lihat pada gambar dibawah ini.

6. Setelah itu kita edit copy file forward tadi dengan perintah nano (spasi) nama file nya, untuk perintah lengkap nya anda bisa lihat di gambar dibawah ini.

7. Setelah itu kita rubah status domain yang sudah ada dengan domain yang anda ingin bikin tadi.

8. Setelah forward nya yang kita edit plus di tambahkan, kita masukkan juga domain yang sudah kita buat dalam reverse.

9. Setelah masuk dalam mode editing kita, daftar domain kita pada reverse.

10. Lakukan Penggenerate key KSK dan ZSK untuk domain yang baru anda buat.

11. Setelah berhasil menggenerate key, nanti akan menghasilkan 4 file 2 file private dan 2 file key (sama seperti yang pertama).
11. Sama seperti tahap sebelum nya, proses ini berguna untuk memasukkan generate key sudah kita buat dalam forward file pada dns yang kita buat.

12. Setelah itu kita cek apakah sudah masuk, kita masuk mode editing.

13. Pastikan include key terdaftar dan masuk dalam file forward.

14. Setelah itu kita daftarkan dns tadi ke dnssec nya, untuk caranya bisa lihat pada gambar di bawah ini.

15. Secara otomatis nanti file signed nya akan jadi dan terbentuk, karena tadi pada named.conf sudah sudah kaitkan dengan signed jadi tidak usah kita rubah lagi karena lokasi nya sudah ingkluede.

16. Kita restart service named nya, supaya konfigurasi kita tadi tersimpan dan terupdate.

17. Kita lihat DS record nya.

18. Sama seperti yang tadi kita buat scrip supaya dapat sing key secara otomatis, supaya tidak cape kita copy aja file nya.

19. Setelah dicopy kita edit file supaya dns yang baru dapat melakukan sing key otomatis

20. Kita ganti target dns nya, sesuaikan dengan dns baru yang anda buat sebelumnya.

21. Setelah itu kita rubah mode akses nya supaya bisa di ekseskusi dan di jalankan nanti dengan cara memberikan chmod +x

21. Setelah itu kita ekseskusi dan hasilnya akan seperti ini,pastikan KSK dan ZSK active.

Verifikasi Client.

1. Karen secara default windows tidak mempunyai bind, jadi kita harus mendownload aplikasi nya setelah itu lakukan instalasi, Download bind bisa klik LINK INI

2. Buat account name beserta pasword nya, setelah itu klik install.

3. Bind membutuhkan Microsoft visual c++ 2012, bagi yang belum ada nanti akan muncul pop  up untuk mengintall c++ nya, kita ceklist i agree dan klik install.

4. Contoh Tampilan notif setelah sudah terinstall.

5. Kita masuk kelokasi bind yang sudah terinstall, dan copy lokasi tersebut.

6. Kita seting address dns nya ke tujuan server dns yang sudah dibuat.

7. Buka cmd pada windows dan masuk pada directory bind yang sudah terinstall, untuk lokasi nya tidak usah cape cape ketik lagi kita paste saja lokasi yang sudah kita copy tadi.

8. Lakukan dig dnskey pada dns yang pertama dan lihat hasil nya.

9. Lakukan dig dnskey pada dns yang ke dua alias yang baru di buat tadi, dan lihat hasil verifikasinya.
Kesimpulan, pembuatan dnssec sangat lah penting karena dengan ini dns yang kita buat lebih scure dan terlindung dari dns biasa yang notabene tidak membawa proteksi dns, pada saat pembuatan nya kita harus teliti salah sedikit saja perintah nya, pembuatan akan gagal dan di ceklagi ke langkah sebelum nya, kalo gagal jangan lupa cek cek lagi karena saya sendiri mengalami nya, Ya sekian dari saya jempolan01 bloger mantep. 

Ya sekian untuk Postiangan kali ini semoga dapat bermanfaat 
Terimakasih bagi anda yang sudah melihat lihat isi postingan saya
Sampai ketemu di postingan selanjutnya.




























Related Posts

Konfigurasi DNSSEC (Centos7)
4/ 5
Oleh

Subscribe via email

Like the post above? Please subscribe to the latest posts directly via email.