Security DNS dengan Bind
Pada tingkat mikro, layanan DNS sangat penting untuk pengoperasian Internet. Pada mikro atau ditingkat lokal, layanan DNS sangat penting bagi operasi suatu perusahaan atau dalam pencarian website tercinta. Dalam semua kasus, investasi yang tepat dalam keamanan harus dilakukan untuk memastikan efektivitas dan keamanan dari sistem DNS. DNS yang bersifat publik system. Artikel ini memperkenalkan keamanan DNS, dengan tujuan memungkinkan pembaca untuk memilih teknik yang sesuai untuk tingkatan yang dianggap merupakan ancaman. Sayangnya, istilah DNSSEC (DNS Security) memiliki reputasi buruk karena kompleksitas yang dirasakan, dan sering digunakan untuk menutupi seluruh baigan keamanan DNS. Ada banyak aspek DNS keamanan, mulai dari yang relatif sederhana untuk mengimplementasikan untuk yang lebih kompleks. artikel ini membagi keamanan menjadi empat bagian:
1. Administrative Security: bagian dari artikel ini yang mencakup penggunaan hak akses file, konfigurasi server, konfigurasi BIND, dan sandboxes (atau chroot jail’s).
2. Transfer Zone: Kecuali sistem konfigurasi multimaster yang sedang digunakan, transfer Zone sangat penting untuk beroprasi secara Normal.
3. Dynamic Updates: selalu update mengekspos file master zone dari kemungkinan terjadi korup, kehancuran, atau keracunan.
4. Zona integrity: sangat penting, bahwa zona data yang digunakan oleh salah satu DNS lain atau end User(klient) benar (yaitu, tanggapan query belum dirusak dan kembali data hanya berasal dari pemilik zona), maka DNSSEC diperlukan.
Setiap alur data merupakan sumber potensial ancaman.
DNS Aliran Data Normal
Setiap aliran data -yaitu, setiap nomor baris dalam Gambar merupakan sumber potensi ancaman.
Dalam Tabel mendefinisikan hasil potensi ancaman pada setiap titik dan kemungkinnan solusinya.
Klasifikasi Keamanan
1. Local threats
2. Server-Server
3. Server-Client
4. Client-Clinet
Deny All, Allow Selectively
Sewaktu mengijinkan Oprasi, misal dalam notifikasi atau Zone Transfer, itu mungkin menjadi berharga dalam melarang serentak oprasi dan meng-Enable kan dengan selektif
options {
....
allow-transfer {none;}; // no transfer by default
....
};
....
zone "example.com in{
....
allow-transfer {10.0.1.2;}; // this host only
....
};
Melihat apakah Proses Bind telah beroprasi
# PS aux |grep named
Mensetting Bind untuk beroprasi secara Runtime
# groupadd -r named
# useradd -c 'Bind daemon' -d /var/named -s /sbin/nologin -g named -r named
Untuk membuat dan mengatur hak akses serta menulis file run time (log dan PID), gunakan berikut
perintah:
# cd /var/log
# mkdir named
# touch named/example.log
# chown named:dnsadmin named/*
# chmod 0660 named/*
# cd /var/run
# mkdir named
# touch named/named.pid
# chown named:named/*
# chmod 0664 named/*
Set hak akses pada setiap direktori kunci, seperti ditunjukkan pada berikut
# cd /var/named
# chown named:named keys/*
# chmod 04000 keys/*
Set hak akses pada setiap file zona pribadi
# cd /var/named
# chown -R dnsadmin:root master/private/*
# chmod -R 0660 master/private/*
Set hak akses pada setiap file zona DDNS:
# cd /var/named
# chown -R named:root masters/ddns/*
# chmod -R 0660 masters/ddns
Set hak akses pada tampilan-private menyertakan file:
#cd /var/named
#chown -R dnsadmin:root views/*
#chmod -R 0660 views/*
DNSSEC
DNSSEC mendefinisikan sebuah proses dimana name server dikonfigurasi secara suitably configured yang dapat memverifikasi dan integritas hasil query dari sebuah signed zone.
DNSKEY, dan Next Secure (NSEC) RRs, digunakan oleh DNSSEC. Untuk mengaktifkan security-aware, menerima name server untuk melakukan hal berikut :
- Authentication bahwa data yang diterima hanya bisa berasal dari zona yang diminta.
- Verifikasi integritas data. Data yang diterima di server nama query adalah data yang dikirim dari tanya bernama server. Isi data yang dilindungi, bukan saluran komunikasi.
- Verifikasi bahwa jika sebuah respons negatif (NXDOMAIN) diterima untuk permintaan tuan rumah, yang menargetkan catatan tidak ada.
Island of Security
Chains of Trust
Implementasi DNSSEC
Untuk mengilustrasikan proses pelaksanaan DNSSEC, prosedur berikut ini akan dijelaskan dengan contoh:
- Mengamankan example.com zona menggunakan ZSK terpisah dan KSK
- Membuat terpercaya jangkar untuk example.com di server nama di ns1.example.net
- Mengamankan zona sub.example.comMenambahkan RR DS untuk sub.example.com ke example.com untuk menciptakan zona aman delegasi dalam rantai kepercayaan
- Rolling yang ZSK dan KSK untuk example.com
Mengamankan Zona example.com
Zona example.com, yang akan ditandai selama proses ini, adalah sebuah Island Security dan file zone seperti yang ditunjukkan di sini :
Tidak ada komentar:
Posting Komentar