Cara Mengkonfigurasi NSD dengan dnssec pada OpenBSD

Foto saya Penulis: Iwan Setiawan - Dibuat: · 2 min read · Label

DNSSEC adalah serangkaian fitur keamanan untuk mengautentikasi dan memvalidasi data DNS yang diminta. DNSSEC menggunakan kriptografi kunci publik dan

Sistem Nama Domain, atau DNS, adalah direktori yang mendasari Internet global. Akan tetapi, sistem DNS tidak memberikan jaminan bahwa situs daring tersebut adalah situs yang diklaimnya, atau bahwa informasi yang diberikannya valid. Menyadari kekurangan dan kelemahan ini, Internet Engineering Task Force (IETF) mengembangkan Ekstensi Keamanan Sistem Nama Domain (DNSSEC). Ekstensi ini menambahkan autentikasi dan perlindungan integritas pada protokol DNS.


1. Kenapa Menggunakan DNSSEC untuk NSD?

DNSSEC adalah serangkaian fitur keamanan untuk mengautentikasi dan memvalidasi data DNS yang diminta. DNSSEC menggunakan kriptografi kunci publik dan privat untuk menandatangani data DNS. DNSSEC bertanggung jawab untuk memverifikasi identitas setiap zona dan integritas rekaman dalam zona tersebut.


nsd dnssec openbsd


DNS asli tidak menyertakan faktor autentikasi yang kuat. Bagaimanapun, protokol ini berasal dari masa ketika Internet merupakan jaringan penelitian yang relatif kecil dengan tingkat kepercayaan yang tinggi di antara para pengguna. Tanpa fitur keamanan dalam sistem DNS, penyerang dapat dengan mudah mengelabui klien DNS agar berinteraksi dengan situs yang tidak sah. Ketika permintaan DNS dikirim ke server, resolver cukup memverifikasi bahwa respons tersebut berasal dari alamat IP yang menjadi tujuan pengiriman permintaan tersebut. Karena alamat IP mudah dipalsukan, penyerang dapat menyamar sebagai server nama yang berwenang dan mengirim data DNS palsu.

Respons palsu juga dapat memengaruhi lebih dari satu pengguna. Sebagian besar server nama rekursif menyimpan respons dalam cache. Hal ini memungkinkan respons yang lebih cepat terhadap permintaan daripada menghubungi server nama asal untuk setiap pencarian. Namun, penyerang dapat menyebabkan keracunan cache dengan menempatkan satu atau lebih entri palsu dalam cache.


2. Konfigurasi NSD

Tidak seperti unbound, yang menyelesaikan kueri keluar untuk resolusi nama domain, nsd adalah nameserver otoritatif, yang menyimpan rekaman DNS-nya sendiri. Server NSD akan menanggapi kueri masuk untuk nama zona miliknya sendiri. Oleh karena itu, sangat disarankan agar Anda mengonfigurasi nameserver primer dan sekunder sehingga jika salah satunya tidak dapat dijangkau, permintaan zona Anda akan tetap diterima.

Untuk mulai mengonfigurasi DNSSEC di OpenBSD, Anda harus menginstal NSD terlebih dahulu. Ikuti langkah-langkah di bawah ini:

Update the package repository
ns1# pkg_add -Uu
Install NSD
ns1# pkg_add nsd
Setelah Anda selesai menginstal NSD pada OpenBSD, Anda dapat memeriksa versi NSD. Pemeriksaan ini juga bertujuan untuk melihat apakah server NSD berjalan atau tidak.

Check version NSD
ns1# nsd -v
Setelah Anda yakin bahwa server NSD berjalan, Anda dapat melanjutkan dengan mengaktifkan NSD di OpennBSD.

Enbale NSD
ns1# rcctl enable nsd
ns1# rcctl start nsd
Pertama, edit berkas konfigurasi di /var/nsd/etc/nsd.conf untuk menambahkan catatan zona master seperti yang ditunjukkan (ganti dengan keterangan server Anda).

/var/nsd/etc/nsd.conf
server:
        hide-version: yes
        verbosity: 1
        database: "" # disable database
        ip-address: "NSD_SERVER_IP"

remote-control:
        control-enable: yes
        control-interface: /var/run/nsd.sock
        #zonesdir: "/var/nsd/zones/"

key:
        name: "sec_key"
        algorithm: hmac-sha256
        secret: "bWVrbWl0YXNkaWdvYXQ="

zone:
        name: "jessebarton.xyz"
        zonefile: "forward/jessebarton.xyz.forward"
        #notify: DNS_IP@53 sec_key
        #provide-xfr: DNS_IP sec_key

zone:
        name: "0.0.10.in-addr.arpa"
        zonefile: "reverse/jessebarton.xyz.reverse"
        #allow-notify: DNS_IP@53 sec_key
        #provide-xfr: DNS_IP sec_key

3. Setting PF Firewall

Kita perlu menyesuaikan PF Firewall dengan membuka port 53 sehingga dapat menerima permintaan Name Server.

/etc/pf.conf
# See pf.conf(5) and /etc/examples/pf.conf
    
set skip on lo
    
block return    # block stateless traffic
pass out                # establish keep-state
    
services = "{ 22, 53, 80, 443, 4443 }"
    
pass in proto tcp to port $services
    
pass in proto udp to port 53
    
# By default, do not permit remote connections to X11
block return in on ! lo0 proto tcp to port 6000:6010
    
# Port build user does not need network
block return out log proto {tcp udp} user _pbuild
Langkah terakhir Anda adalah memuat ulang NSD.


ns1# nsd-control reconfig
DNSSEC mengoreksi kekurangan utama dari desain DNS asli: DNSSEC mengautentikasi bahwa setiap server benar-benar sesuai dengan klaimnya. DNSSEC memverifikasi bahwa tidak ada yang mengubah data zona. DNSSEC memberikan bukti afirmatif tentang tidak adanya host dan subdomain palsu. Mengingat peran penting DNS dalam jaringan, DNSSEC tidak hanya melindungi server nama Anda, tetapi juga hampir semua aplikasi yang berjalan di semua server Anda.
Subscribe on LinkedIn Cara Mengkonfigurasi NSD dengan dnssec pada OpenBSD

Enclosures Link: Cara Mengkonfigurasi NSD dengan dnssec pada OpenBSD
Foto saya Post By Iwan Setiawan
Linux and BSD are operating systems for various platforms that focus on features, speed, and stability. These systems are derived from UNIX versions
 Location: Jl. Raya Imam Bonjol No.86, Telagamurni, Kec. Cikarang Bar., Kabupaten Bekasi, Jawa Barat 17841, Indonesia

Latitude: -6.2697727 - Longitude: 107.1165375 +62 81289065249

Labels: UnixBSD Post Comments Feed Blog Comments Feed 0 Komentar
4.94 / 169 rates
Posting Email

« Terbaru
Postingan Lebih Baru
Terlama »
Postingan Lama
Langganan: Posting Komentar (Atom)
Silahkan Berkomentar, Kakak...! Bunda...!

Posting Komentar