Konfigurasi Dns Security Extension (DNSSEC) ~ Sam

Konsep dasar :

Pada DNS original/biasa, tidak ada yang namanya security/keamanan. untuk itulah dibuat DNSSEC yang menambahkan keamanan pada DNS ini.
Cara kerja DNSSEC ini ialah, pemilik domain akan membuat file key, yang akan diupload ke registrar domain mereka ( misalkan Go Daddy ) untuk membuat sebuah chain-of-trust ( rantai kepercayaan ). rantai kepercayaan ini dibuat untuk memastikan key pada domain yang terdaftar cocok dengan key pada server si domain.
Jadi gini deh gan, misalakan saya adalah pemilik dari domain, nah saya ingin membuat key pada domain saya, terus saya upload ke Go Daddy, sehingga saya berhasil membuat chain of trust.
Ketika client mengakses domain terserah.net client akan mengakses ke server Go Daddy dulu (registrar terserah.com) untuk menanyakan apakah ada domain terserah.net.
Maka Server Go Daddy akan menghubungi server terserah.net dan memastikan kecocokan key. yang dicocokin adalah key yang didaftarin di server Go Daddy dan key yang ada di server nya si terserah.net.
Nah ternyata cocok nihh, si server Go Daddy akan mengumpulkan info tadi (bahwa key sudah cocok) dan disatukan dengan info ketersediaan domain terserah.net. baru dah si server Go Daddy memastikan bahwa semuanya sudah cocok dan benar.
nah baru deh server terserah.net ngasih jawaban (reply) ke client tadi melalui server Go Daddy.

Berikut topologi yang saya buat:

Konfigurasi Server:

1)Pertama masuk terlebih dahulu ke direktori /var/named/

cd /var/named/

2)Kemudian lakukan generate key ZSK (Zone Signing Key)

dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 terserah.net

Setelah itu lakukan generate key KSK (Key Signing Key)

dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -f KSK terserah.net

Jika sudah generate ZSK dan KSK akan menghasilkan 4 file yaitu 2 file .key dan 2 file .private. Untuk melihatnya lakukan perintah

3) Selanjutnya jalankan script seperti gambar di bawah ini, script ini berfungsi untuk meletakan file KSK dan ZSK kedalam file forward.tkj

for key in `ls Kterserah.net*.key`; do echo "\$INCLUDE $key">> forward.tkj; done

4)Lalu bukalah zona forward dan pastikan kalau terdapat key KSK dan ZSK.

5) Kemudian, buat file zone.signed dan file ds record

dnssec-signzone -t -g -o terserah.net forward.tkj /var/named/Kterserah.net*.private

6) Pastikan kembali sudahkah terdapat file ds record dan file zone.signed

7)Lalu edit file named.conf

vi /etc/named.conf

8)Cari sysntak seperti gambar berikut, dan pastikan konfigurasinya sama seperti pada gambar dibawah ini

9) Scrool kebawah, pada zona domain yang sudah di buat, edit file zona forwardnya, dan arahkah ke file zone.signed yang sudah dibuat pada tahap sebelumnya

10)Restart named agar konfigurasi yang anda lakukan dapat berjalan dengan baik

systemctl restart named

11) lakukan dig pada domain tersebut

dig DNSKEY terserah.net @172.16.11.239 +multiline

12)Maka outputnya akan seperti ini

13)Untuk melihat file DS Record lakukan perintah berikut

cat dsset-terserah.net

Jika sudah didapat, DS Recordnya tinggal dimasukan ke panel input DS Record yang ada di registar domain, tetapi jika tempat membeli domain tidak menyediakan panel DS Record, kita bisa meminta tolong untuk memasukannya ke tempat registart domain kita

Membuat Script Otomatis Untuk Sign Key

1) Buat file dengan format .sh disini saya memubatnya dengan nama zonesigner.sh.Untuk membuat file zonesigner.sh terserah dimana saja, pada contoh ini saya memebuatnya di directory /var/named/

vi zonesigner.sh

2) Setelah itu isikan file tersebut dengan script seperti gambar dibawah ini

3) Lalu set filenya agar bisa di eksekusi

chmod +x zonesigner.sh

4)Maka outputnya akan seperti ini ketika file tersebut di eksekusi

./zonesigner.sh terserah.net forward.tkj

Membuat Domain tambahan

1) Edit file named.conf yang berada di directory /etc/

2)Tambahan zone baru untuk domain tersebut, disini saya membuat domainnya dengan nama tambahanterserah.sch.id, Untuk file forwardnya, langsung saka arahkah ke zone signer yang nantinya akan kita buat

3)Cek konfigurasi yang barusan anda buat dengan memasukkan script berikut, jika tidak ada output apapun berarti konfigurasi yang anda lakukan sudah berhasil

named-checkconf /etc/named.conf

4)Buat zona forward untuk domain tersebut,lalu copy script yang terdapat pada file forward.tkj ke dalam domain yang baru.

5)Edit file zona forward yang sudah di copy tadi

vi tambahanterserah.terserah

Lalu sesuaikan nama domainnya

6)Lalukan pengeditan pada file reverse.tkj

vi reverse.tkj

7)Edit menjadi seperti gambar berikut ini(masukkan nama domainnya)

8)Sama seperti langkah sebelumnya:lakukan generate key KSK dan ZSK pada domain tersebut

dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 terserah.sch.id

dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -f KSK terserah.sch.id

9)Jika sudah generate ZSK dan KSK akan menghasilkan 4 file yaitu 2 file .key dan 2 file .private. Untuk melihatnya lakukan perintah

10)Selanjutnya jalankan script seperti gambar di bawah ini, script ini berfungsi untuk meletakan file KSK dan ZSK kedalam file tambahanterserah.terserah

for key in `ls Ktambahanterserah.shc.id*.key`; do echo "\$INCLUDE $key">> tambahanterserah.terserah; done

11)Lakukan pengecekan pada file tambahanterserah.sch.id dan pastikan sudah terdapat file KSK dan ZSK

12)Kemudian, buat file zone.signed dan file ds record

dnssec-signzone -t -g -o tambahanterserah.sch.id tambahanterserah.terserah /var/named/Ktambahanterserah.sch.id*.private

13)Kemudian, buat file zone.signed dan file ds record

dnssec-signzone -t -g -o tambahanterserah.sch.id tambahanterserah.terserah /var/named/Ktambahanterserah.sch.id*.private

14)Restart named agar konfigurasi yang anda lakukan dapat berjalan dengan baik

15)Untuk melihat file DS Record lakukan perintah berikut

cat dsset-tambahanterserah.sch.id.

16)Seperti pada tahap sebelumnya, untuk membuat script otomatis untuk sign key maka buat file dengan ekstensi .sh disini saya membuatnya dengan nama zonesignertambahan.sh. jika kalian tidak mau nulis script dari ulang lagi, maka cukup copy file zonesigner yang sudah di buat sebelumnya

17)Seperti pada tahap sebelumnya, untuk membuat script otomatis untuk sign key maka buat file dengan ekstensi .sh disini saya membuatnya dengan nama zonesignertambahan.sh. jika kalian tidak mau nulis script dari ulang lagi, maka cukup copy file zonesigner yang sudah di buat sebelumnya

cp zonesigner.sh zonesignertambahan.sh