Kamis, 05 Agustus 2010

Admin Server (Resume DNS Security)

Resume DNS Security
A.Pengertian DNS
Domain Name System (DNS) adalah distribute database system yang digunakan untuk pencarian nama
komputer (name resolution) di jaringan yang mengunakan TCP/IP (Transmission Control
Protocol/Internet Protocol). DNS biasa digunakan pada aplikasi yang terhubung ke Internet seperti web
browser atau e-mail, dimana DNS membantu memetakan host name sebuah komputer ke IP address.
Selain digunakan di Internet, DNS juga dapat di implementasikan ke private network atau intranet

B.Nama Server/Name Server,Zona dan Resolver

-Nama Server/Name Server dan Zona

Program yang menyimpan informasi tentang domain name space disebut server nama(name server). Server nama biasanya mempunyai informasi yang lengkap mengenai bagian-bagian dari domain name space yang disebut zona (zone), yang biasanyadiambil dari file atau dari Server nama lainnya. Server nama mempunyai otoritas (authority) untuk zona tersebut, dan Server nama juga dapat mempunyai otoritas untuk banyak zona.

-Resolver

Resolvers merupakan client yang mengakses Server nama. Umumnya resolver
melakukan :
• Query sebuah server nama.
• Menginterpretasikan respon (dapat berupa resource record atau sebuah error).
• Mengirimkan kembali informasi kepada program yang memintanya.
Dalam BIND (Berkeley Internet Name Domain), implementasi UNIX untuk sebuah server DNS, resolver hanya merupakan sebuah set library routines yang menghubungkan kedalam program seperti telnet dan ftp. Bahkan hal ini bukan merupakan proses yang terpisah dengan menggabungkan sebuah query, mengirim dan menunggu sebuah jawaban, dan untuk mengirimkan kembali query yang tidak mendapat jawaban.

Jadi
1.Sebuah program aplikasi pada host yang mengakses domain system disebut sebagai resolver
2.Resolver mengontak DNS server, yang biasa disebut name server
3.DNS server mengembalikan IP address ke resolver yang meneruskan ke aplikasi yang membutuhkan IP address.

C.Cara Kerja DNS



D.File-File yang harus di konfigurasi

• Konfigurasi named.conf
• Konfigurasi file zone
• Konfigurasi resolv.conf
• Konfigurasi hosts
• Konfigurasi sysctl.conf
• Konfigurasi host.conf

atau

Standard
n named.conf di dalam /etc
n named.ca di dalam /var/named
n named.local di dalam /var/named

Jika ingin membuat master server maka harus ada:
n file zone -> mapping dari nama ke IP
n file reverse zone -> mapping dari IP ke nama

Blok dalam named.conf
n options — List konfigurasi global dan default
n include — berisi path file lain yang diperlukan
n acl — IP address dalam access control list
n server — properties khusus untuk remote servers
n zone — informasi khusus untuk zona

E.KONFIGURASI DNS SECURITY

a.Untuk men deny(menolak koneksi)

options {
....
allow-transfer {none;}; // no transfer by default
....
};
....
zone "example.com in{
....
allow-transfer {10.0.1.2;}; // this host only
....
};

b.Jika BIND yang berjalan pada sistem Anda, statusnya dapat diinterogasi dengan mengeluarkan perintah berikut:

# ps aux |grep named

c.Dan hasil dari pencarian sebagai berikut:

named 36120 0.0 0.9 5372 4376 ?? Is 1:02PM 0:00.11 named -u named

d.untuk menetapkan waktu jalankan user id bind

# id named
uid=25(named) guid=25(named) groups=25(named)

e.Tanggapan UID sebelumnya menunjukkan sudah ada. Jika akun pengguna tidak ada, respon berikut dikembalikan:

id: named: no such user
f.Coba lagi dengan mengikat id, dan jika masih tidak ada pengguna yang valid, kemudian buat user yang unik dan kelompok, sebagai berikut:

# groupadd -r named

g. Perintah sebelumnya menambahkan grup dengan nama dengan kelompok pertama sistem account bebas(R-argumen). Kehadiran kelompok dapat dikonfirmasikan dengan vigr perintah, yang menampilkan dan memungkinkan pengeditan daftar kelompok dalam sistem (gunakan: q! untuk keluar vigr tanpa membuat perubahan).

# useradd -c 'Bind daemon' -d /var/named -s /sbin/nologin -g named -r named

h. Untuk membuat dan mengatur hak akses serta menulis file run time (log dan PID), gunakan berikut
perintah:
# cd /var/log
# mkdir named
# touch named/example.log
# chown named:dnsadmin named/*
# chmod 0660 named/*
# cd /var/run
# mkdir named
# touch named/named.pid
# chown named:named/*
# chmod 0664 named/*

h.. Set hak akses pada setiap direktori kunci, seperti ditunjukkan pada berikut

# cd /var/named
# chown named:named keys/*
# chmod 04000 keys/*

i.Set hak akses pada setiap file zona pribadi

# cd /var/named
# chown -R dnsadmin:root master/private/*
# chmod -R 0660 master/private/*
j. Set hak akses pada setiap file zona DDNS:
# cd /var/named
# chown -R named:root masters/ddns/*
# chmod -R 0660 masters/ddns

k. Set hak akses pada tampilan-private menyertakan file:
cd /var/named
chown -R dnsadmin:root views/* chmod -R 0660 views/*

Tambahan

Pada tingkat mikro, layanan DNS sangat penting untuk pengoperasian Internet. Pada mikro atau ditingkat lokal, layanan DNS sangat penting bagi operasi suatu perusahaan atau dalam pencarian website tercinta. Dalam semua kasus, investasi yang tepat dalam keamanan harus dilakukan untuk memastikan efektivitas dan keamanan dari sistem DNS. DNS yang bersifat publik system. Artikel ini memperkenalkan keamanan DNS, dengan tujuan memungkinkan pembaca untuk memilih teknik yang sesuai untuk tingkatan yang dianggap merupakan ancaman. Sayangnya, istilah DNSSEC (DNS Security) memiliki reputasi buruk karena kompleksitas yang dirasakan, dan sering digunakan untuk menutupi seluruh baigan keamanan DNS. Ada banyak aspek DNS keamanan, mulai dari yang relatif sederhana untuk mengimplementasikan untuk yang lebih kompleks. artikel ini membagi keamanan menjadi empat bagian:

1. Administrative Security: bagian dari artikel ini yang mencakup penggunaan hak akses file, konfigurasi server, konfigurasi BIND, dan sandboxes (atau chroot jail’s).

2. Transfer Zone: Kecuali sistem konfigurasi multimaster yang sedang digunakan, transfer Zone sangat penting untuk beroprasi secara Normal.

3. Dynamic Updates: selalu update mengekspos file master zone dari kemungkinan terjadi korup, kehancuran, atau keracunan.

4. Zona integrity: sangat penting, bahwa zona data yang digunakan oleh salah satu DNS lain atau end User(klient) benar (yaitu, tanggapan query belum dirusak dan kembali data hanya berasal dari pemilik zona), maka DNSSEC diperlukan.

Setiap alur data merupakan sumber potensial ancaman.

DNS Aliran Data Normal

Setiap aliran data -yaitu, setiap nomor baris dalam Gambar merupakan sumber potensi ancaman.

Dalam Tabel mendefinisikan hasil potensi ancaman pada setiap titik dan kemungkinnan solusinya.



Klasifikasi Keamanan

1. Local threats

2. Server-Server

3. Server-Client

4. Client-Clinet

Deny All, Allow Selectively

Sewaktu mengijinkan Oprasi, misal dalam notifikasi atau Zone Transfer, itu mungkin menjadi berharga dalam melarang serentak oprasi dan meng-Enable kan dengan selektif

options {

....

allow-transfer {none;}; // no transfer by default

....

};

....

zone "example.com in{

....

allow-transfer {10.0.1.2;}; // this host only

....

};

Melihat apakah Proses Bind telah beroprasi

# PS aux |grep named

Mensetting Bind untuk beroprasi secara Runtime

# groupadd -r named

# useradd -c 'Bind daemon' -d /var/named -s /sbin/nologin -g named -r named


Untuk membuat dan mengatur hak akses serta menulis file run time (log dan PID), gunakan berikut
perintah:

# cd /var/log

# mkdir named

# touch named/example.log

# chown named:dnsadmin named/*

# chmod 0660 named/*

# cd /var/run

# mkdir named

# touch named/named.pid

# chown named:named/*

# chmod 0664 named/*

Set hak akses pada setiap direktori kunci, seperti ditunjukkan pada berikut

# cd /var/named

# chown named:named keys/*

# chmod 04000 keys/*

Set hak akses pada setiap file zona pribadi

# cd /var/named

# chown -R dnsadmin:root master/private/*

# chmod -R 0660 master/private/*

Set hak akses pada setiap file zona DDNS:

# cd /var/named

# chown -R named:root masters/ddns/*

# chmod -R 0660 masters/ddns

Set hak akses pada tampilan-private menyertakan file:

#cd /var/named

#chown -R dnsadmin:root views/*

#chmod -R 0660 views/*

DNSSEC

DNSSEC mendefinisikan sebuah proses dimana name server dikonfigurasi secara suitably configured yang dapat memverifikasi dan integritas hasil query dari sebuah signed zone.

DNSKEY, dan Next Secure (NSEC) RRs, digunakan oleh DNSSEC. Untuk mengaktifkan security-aware, menerima name server untuk melakukan hal berikut :

  • Authentication bahwa data yang diterima hanya bisa berasal dari zona yang diminta.
  • Verifikasi integritas data. Data yang diterima di server nama query adalah data yang dikirim dari tanya bernama server. Isi data yang dilindungi, bukan saluran komunikasi.
  • Verifikasi bahwa jika sebuah respons negatif (NXDOMAIN) diterima untuk permintaan tuan rumah, yang menargetkan catatan tidak ada.

Island of Security


Chains of Trust


Implementasi DNSSEC

Untuk mengilustrasikan proses pelaksanaan DNSSEC, prosedur berikut ini akan dijelaskan dengan contoh:

  • Mengamankan example.com zona menggunakan ZSK terpisah dan KSK
  • Membuat terpercaya jangkar untuk example.com di server nama di ns1.example.net
  • Mengamankan zona sub.example.comMenambahkan RR DS untuk sub.example.com ke example.com untuk menciptakan zona aman delegasi dalam rantai kepercayaan
  • Rolling yang ZSK dan KSK untuk example.com

Mengamankan Zona example.com

Zona example.com, yang akan ditandai selama proses ini, adalah sebuah Island Security dan file zone seperti yang ditunjukkan di sini :



Diposting oleh di
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)