Pada DNS original/biasa, tidak ada yang namanya security/keamanan. untuk itulah dibuat DNSSEC yang menambahkan keamanan pada DNS ini.
Cara kerja DNSSEC ini ialah, pemilik domain akan membuat file key, yang akan diupload ke registrar domain mereka ( misalkan Go Daddy ) untuk membuat sebuah chain-of-trust ( rantai kepercayaan ). rantai kepercayaan ini dibuat untuk memastikan key pada domain yang terdaftar cocok dengan key pada server si domain.
Jadi gini deh gan, misalakan saya adalah pemilik dari domain, nah saya ingin membuat key pada domain saya, terus saya upload ke Go Daddy, sehingga saya berhasil membuat chain of trust.
Ketika client mengakses domain terserah.net client akan mengakses ke server Go Daddy dulu (registrar terserah.com) untuk menanyakan apakah ada domain terserah.net.
Maka Server Go Daddy akan menghubungi server terserah.net dan memastikan kecocokan key. yang dicocokin adalah key yang didaftarin di server Go Daddy dan key yang ada di server nya si terserah.net.
Nah ternyata cocok nihh, si server Go Daddy akan mengumpulkan info tadi (bahwa key sudah cocok) dan disatukan dengan info ketersediaan domain terserah.net. baru dah si server Go Daddy memastikan bahwa semuanya sudah cocok dan benar.
nah baru deh server terserah.net ngasih jawaban (reply) ke client tadi melalui server Go Daddy.
Berikut topologi yang saya buat:
Konfigurasi Server:
1)Pertama masuk terlebih dahulu ke direktori /var/named/
cd /var/named/
2)Kemudian lakukan generate key ZSK (Zone Signing Key)
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 terserah.net
Setelah itu lakukan generate key KSK (Key Signing Key)
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -f KSK terserah.net
Jika sudah generate ZSK dan KSK akan menghasilkan 4 file yaitu 2 file .key dan 2 file .private. Untuk melihatnya lakukan perintah
ls
3) Selanjutnya jalankan script seperti gambar di bawah ini, script ini berfungsi untuk meletakan file KSK dan ZSK kedalam file forward.tkj
for key in `ls Kterserah.net*.key`; do echo "\$INCLUDE $key">> forward.tkj; done
4)Lalu bukalah zona forward dan pastikan kalau terdapat key KSK dan ZSK.5) Kemudian, buat file zone.signed dan file ds record
dnssec-signzone -t -g -o terserah.net forward.tkj /var/named/Kterserah.net*.private
6) Pastikan kembali sudahkah terdapat file ds record dan file zone.signed
ls
7)Lalu edit file named.conf
vi /etc/named.conf
8)Cari sysntak seperti gambar berikut, dan pastikan konfigurasinya sama seperti pada gambar dibawah ini9) Scrool kebawah, pada zona domain yang sudah di buat, edit file zona forwardnya, dan arahkah ke file zone.signed yang sudah dibuat pada tahap sebelumnya
10)Restart named agar konfigurasi yang anda lakukan dapat berjalan dengan baik
systemctl restart named
11) lakukan dig pada domain tersebut
dig DNSKEY terserah.net @172.16.11.239 +multiline
12)Maka outputnya akan seperti ini13)Untuk melihat file DS Record lakukan perintah berikut
cat dsset-terserah.net
Jika sudah didapat, DS Recordnya tinggal dimasukan ke panel input DS Record yang ada di registar domain, tetapi jika tempat membeli domain tidak menyediakan panel DS Record, kita bisa meminta tolong untuk memasukannya ke tempat registart domain kitaMembuat Script Otomatis Untuk Sign Key
1) Buat file dengan format .sh disini saya memubatnya dengan nama zonesigner.sh.Untuk membuat file zonesigner.sh terserah dimana saja, pada contoh ini saya memebuatnya di directory /var/named/
vi zonesigner.sh
2) Setelah itu isikan file tersebut dengan script seperti gambar dibawah ini3) Lalu set filenya agar bisa di eksekusi
chmod +x zonesigner.sh
4)Maka outputnya akan seperti ini ketika file tersebut di eksekusi
./zonesigner.sh terserah.net forward.tkj
1) Edit file named.conf yang berada di directory /etc/
2)Tambahan zone baru untuk domain tersebut, disini saya membuat domainnya dengan nama tambahanterserah.sch.id, Untuk file forwardnya, langsung saka arahkah ke zone signer yang nantinya akan kita buat
3)Cek konfigurasi yang barusan anda buat dengan memasukkan script berikut, jika tidak ada output apapun berarti konfigurasi yang anda lakukan sudah berhasil
named-checkconf /etc/named.conf
5)Edit file zona forward yang sudah di copy tadi
vi tambahanterserah.terserah
Lalu sesuaikan nama domainnya
6)Lalukan pengeditan pada file reverse.tkj
vi reverse.tkj
7)Edit menjadi seperti gambar berikut ini(masukkan nama domainnya)8)Sama seperti langkah sebelumnya:lakukan generate key KSK dan ZSK pada domain tersebut
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 terserah.sch.id
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -f KSK terserah.sch.id
9)Jika sudah generate ZSK dan KSK akan menghasilkan 4 file yaitu 2 file .key dan 2 file .private. Untuk melihatnya lakukan perintah
ls
10)Selanjutnya jalankan script seperti gambar di bawah ini, script ini berfungsi untuk meletakan file KSK dan ZSK kedalam file tambahanterserah.terserah
for key in `ls Ktambahanterserah.shc.id*.key`; do echo "\$INCLUDE $key">> tambahanterserah.terserah; done
12)Kemudian, buat file zone.signed dan file ds record
dnssec-signzone -t -g -o tambahanterserah.sch.id tambahanterserah.terserah /var/named/Ktambahanterserah.sch.id*.private
13)Kemudian, buat file zone.signed dan file ds record
dnssec-signzone -t -g -o tambahanterserah.sch.id tambahanterserah.terserah /var/named/Ktambahanterserah.sch.id*.private
14)Restart named agar konfigurasi yang anda lakukan dapat berjalan dengan baik15)Untuk melihat file DS Record lakukan perintah berikut
cat dsset-tambahanterserah.sch.id.
16)Seperti pada tahap sebelumnya, untuk membuat script otomatis untuk sign key maka buat file dengan ekstensi .sh disini saya membuatnya dengan nama zonesignertambahan.sh. jika kalian tidak mau nulis script dari ulang lagi, maka cukup copy file zonesigner yang sudah di buat sebelumnya17)Seperti pada tahap sebelumnya, untuk membuat script otomatis untuk sign key maka buat file dengan ekstensi .sh disini saya membuatnya dengan nama zonesignertambahan.sh. jika kalian tidak mau nulis script dari ulang lagi, maka cukup copy file zonesigner yang sudah di buat sebelumnya
cp zonesigner.sh zonesignertambahan.sh
18)Lakukan pengeditan domain zonesigner yang baru dicopy tersebut.19)Jalankan perintah berikut, agar file zonesigner tersebut bisa di eksekusi
chmod +x zonesignertambahan.sh
20)Maka outputnya akan seperti ini ketika file tersebut di eksekusi
./zonesignertambahan.sh tambahanterserah.sch.id tambahanterserah.terserah
Mengenai Pengujian dengan Windows akan saya lakukan di waktu yang akan datangSekian dan terimakasih
0 komentar:
Posting Komentar