Konfigurasi DNS Security di Centos (Bind9)
Hai toung society..Kemarin kita membahas tentang master dan slave..Dan pada artikel kali ini Author akan menshare DNSSEC..Pada sebuah domain pastilah dibutuhkannya security untuk mengamankan domain itu sendiri.
Konsep Dasar
DNSSEC atau Domain Name Server Secutiry Extensions adalah sebuah rangkaian dari Internet Engineering Task Force (IETF) berupa ekstensi sebuah domain untuk mengamankan beberapa jenis informasi yang diberikan oleh domain name server seperti yang digunakan di Internet Jaringan Protokol (IP).
DNSSEC ,domain name server ekstension security akan memberikan tanda tangan digital kepada sebuah nama domain DNS untuk menjaga keaslian data ketika si client merequest.DNSSEC adalah suatu set ekstensi yang untuk menyediakan:
- Otentikasi asal data
- Intergritasi Data
- Penolakan dikomfirmasi keberadaan
Topologi
Konfigurasi
1. Pertama kita install dahulu paket untuk DNSSEC nya.
yum install dnssec-tools -y
2. Selanjutnya kita ke folder named yang berada di direktori /var --Karena pada folder ini adalah tempat konfigurasi domain, jadi kita akan mengkonfigurasi DNSSEC pada folder dimana domain dikonfigurasi.
cd /var/named
3. Selanjutnya kita akan membuat ZKS Key untuk domain kita.
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 1frekuensi.com
4. Buat juga file KSK key nya..
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2024 -f KSK 1frekuensi.com
5. Untuk melihat hasil file nya,masukan perintah ls lalu akan ada file ZKS dan KSK untuk mengkonfigurasi DNSSEC.
6. Lalu masukan semua file key yang berekstensi .key kedalam file konfigurasi zone domain kamu.Pada kasus ini file domain Author adalah forward.tkj.
for key in `ls K1frekuensi.com*.key`; do echo "\$INCLUDE $key">> forward.tkj; done
7. Lalu masukan juga file private yang sudah kita bikin tadi.
dnsses-signzone -t -g -o 1frekuensi.com forward.tkj /var/named/K1frekuensi.com*.private
8. Lalu coba cek lagi dengan perintah ls ,dan lihatlah,pasti ada file baru disana.
9. Lalu ubah konfigurasi DNSSEC yang berada pada /etc/named.conf seperti yang ada pada ini.
10. Lalu tambahkan ekstensi pada lokasi file zone domain kamu supaya mengarah ke file DNSSEC yang ada di bawah ini.
11. Lalu restart service dns nya,dengan perintah seperti ini.
systemctl restart named
12. Lalu untuk vertifikasi nya lakukan perintah seperti ini. Maka hasilnya akan keluar kode-kode unik yang bisa dibilang tanda tangan digital.
13. Pada perintah gambar ini adalah untuk memastikan bahwa kita sudah mempunyai 2 file yang penting,yaitu DNS Record.
DNS Record ini adalah hasil dari domain yang kita sign tadi. Pada DNS Record ini mempunyai 2 baris.Pada baris pertama itu adalah dari file ZKS dan yang kedua adalah dari file SKS.
ZKS dan SKSpada DNSSET ini berfungsi untuk membagun chain of trust, atau rantai kepercayaan ini digunakan untuk memastikan ketika domain kita diakses, dia aka mencocokan dengan zone domain yang berada pada server domain.
cat dsset-1frekuensi.com.
Jika kita mempunyai web beneran danserver beneran.DNS Record itu akan di daftarkan di penyedia hosting.Tapi karena kita hanya simulasi saja jadi kita tidak bisa mendaftarknnya.Disini Author hanya menyontohkan menambahkan script.--Buat apa skripnya min? --Jadi setiap key yang kita buat tadi itu hanya berlaku selama 30 hari,jika masa nya sudah habis kita harus mengkonfigurasi ulang,kan capek.jadi fungsi script ini untuk menggenerate key supaya ga kada luarsa.Oke kita lanjutkan konfigurasi kita.
14. Pertama kita buat dulu file untuk menaro script nanti.Untuk nama file bebas asalkan berekstensi .sh.
nano /tmp/zonesigner.sh
15. Lalu masukan script ini..
#!/bin/sh
PDIR=`pwd`
ZONEDIR="/var/named"
ZONE=$1
ZONEFILE=$2
DNSSERVICE="named"
cd $ZONEDIR
SERIAL=`/usr/sbin/named-checkzone $ZONE $ZONEFILE | egrep -ho '[0-9]{10}'`
sed -i 's/'$SERIAL'/'$(($SERIAL+1))'/' $ZONEFILE
dnssec-signzone -t -g -o $1 $2 /var/named/Ktkjonline.net*.private
systemctl $DNSSERVICE reload
cd $PDIR
16. Lalu ubah script tadi menjadi sebuah aplikasi (executable), dengan perintah seperti gambar ini.
chmod +x zonesigner.sh
17. Lalu jalankan script dengan perintah seperti ini..Jika berjalan dengan baik akan keluar seperti itu.
./zonesigner.sh 1frekuensi.com forward.tk
Cara Menambahkan Domain Baru
1. Pertama kita buat dulu zone domain baru kita di folder named.conf di direktori /etc dengan perintah nano /etc/named.conf
2. Lalu kita buat folder forward untuk domain baru kita.Agar lebih cepat, copy saja folder forward yang sudah ada,tapi nanti akan kita ganti sedikit isinya.
3. Lalu ubah folder hasil copy tadi. Ubah nama domain yang sebelumnya menjadi domain kita yang baru.
4. Lalu pada folder reverse kita tambahkan domain baru kirta.
5. Lalu restart service DNS nya.
6. Disini file ZKS dan SKS masih punya nya si domain 1frekuensi.com.Nah disini belum ada file ZKS dan SKS untuk domain baru kita.Maka dari itu ayo kita bikin..
7. Untuk menambahkan file nya sama seperti sebelumnya.Tapi pada bagian domain saja yang di bedakan.
8. Coba sekarang lihat isi dari file named,pasti akan ada file ZKS dan SKS untuk domain baru kita.
9. Lalu masukan semua file .key domain kita kedalam file forward domain baru.
10. Lalu masukan lagi file .key nya.
11. Coba sekarang cek kedalam file forward domain baru.Pasti semua file sudah masuk kedalamnya.
12. Sekarang kita sign zone domain kita dengan perintah seperti, jika perintah benar akan muncul seperti ini.
2. Lalu kita buat folder forward untuk domain baru kita.Agar lebih cepat, copy saja folder forward yang sudah ada,tapi nanti akan kita ganti sedikit isinya.
cp /var/named/forward.tkj /var/named/reverse.tkj
nano /var/named/akmal.tkj
3. Lalu ubah folder hasil copy tadi. Ubah nama domain yang sebelumnya menjadi domain kita yang baru.
4. Lalu pada folder reverse kita tambahkan domain baru kirta.
5. Lalu restart service DNS nya.
systemctl restart named
6. Disini file ZKS dan SKS masih punya nya si domain 1frekuensi.com.Nah disini belum ada file ZKS dan SKS untuk domain baru kita.Maka dari itu ayo kita bikin..
7. Untuk menambahkan file nya sama seperti sebelumnya.Tapi pada bagian domain saja yang di bedakan.
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 akmalrifqi.sch.id
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2024 -f KSK akmalrifqi.sch.id
9. Lalu masukan semua file .key domain kita kedalam file forward domain baru.
for key in `ls K1frekuensi.com*.key`; do echo "\$INCLUDE $key">> akmal.tkj; done
10. Lalu masukan lagi file .key nya.
cat Kakmalrifqi.sch.id. +008+*.key >> akmal.tkj
11. Coba sekarang cek kedalam file forward domain baru.Pasti semua file sudah masuk kedalamnya.
12. Sekarang kita sign zone domain kita dengan perintah seperti, jika perintah benar akan muncul seperti ini.
dnsses-signzone -t -g -o akmalrifqi.sch.id akmal.tkj /var/named/Kakmalrifqi.sch.id. +008+*.private
13. Lalu tambahkan ekstensi signed di lokasi zone file domain kita.Ini supaya domain kita diarahkan kedalam file forward yang sudah lebih secure.
14. Lalu restart service DNS.
systemctl restart named
15. Lalu coba vertifikasi dengan perintah dig DNSKEY..Jika berhasil akan muncul kode kode unik lagi.
16. Dan ini DNS Record kita..Seperti tadi kita tidak bisa mendaftarkan DNS Record ini lagi..Tapi Author akan melakukan penambahan script lagi untuk domain baru kita ini.
17. Agar tidak kelamaan ngetik,copy saja file script sebelumnya,dan berinama file script bebas asalkan berekstensi .sh
cp /tmp/zonesigner.sh /tmp/akmal.sh
18. Lalu kita ubah sedikit konfigurasi script copyan tadi.Disini hanya mengubah file private saja.Ubah dari domain sebelumnya menjadi domain kita yang baru.
19. Lalu ubah lagi script tadi menjadi aplikasi dengan perintah chmod.Dan coba jalankan skrip tadi, dan hasilnya seharusnya seperti ini. Jika sudah seperti ini maka kita sukses menambahkan domain.
Nah itu dia Bagaimana Caranya Konfigurasi DNSSEC di Centos dengan Bind 9.Jika kamu mengalami masalah atau belum paham bisa ditanyakan di kolom komentar.Mohon maaf jika ada penjelasan atau gambar yang salah,dan tolong bantu Author untuk mengoreksi dan merevisi nya juga.Sampai disini dulu perjumpaan kita..Sampai jumpa..Assalamualaikum..
Comments
Post a Comment