.png)
{CentOS7} {Lab 6.4} Security DNS BIND dengan DNSSEC
Assalamualaikum wr wb
Pada kesempatan kali ini saya akan melanjutkan materi tentang Admin Server yaitu tentang DNSSEC. DNSSEC atau Domain Name System Security Extensions adalah satu set ekstensi untuk DNS yang menyediakan :
- Otentikasi asal data DNS
- Integritas Data
- Penolakan dikonfirmasi keberadaan
Materi DNSSEC ini adalah lanjutan dari materi konfigurasi DNS pada postingan sebelumnya, jadi anda harus melihat dan mengkonfigurasi postingan yang sebelumnya terlebih dahulu. anda bisa lihat disini https://harusbermanfaat.blogspot.co.id/2016/10/konfigurasi-domain-name-server-di.html
Persiapan :
- buatlah topologi seperti ini
- berikut table addressingnya
Konfigurasi Server :
1.) Masuk ke folder tempat file zone domain yang telah dibuat sebelumnya.
cd /var/named
2.) Kemudian lakukan generate key atau pembuatan key yaitu key ZSK dan key KSK
Jika sudah selesai membuat key, anda dapat melihat hasilnya dengan perintah ls
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 pandutama.net
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -f KSK pandutama.net
Pada kedua script tersebut tersebut terdapat kode "-r /dev/urandom kode tersebut berfungsi untuk mempercepat pembuatan key ZSK dan KSK, akan tetapi key terseubut masih tidak terlalu aman. jika ingin keamanan yang kuat maka anda bisa menghilangkan kode script itu, tetapi jika dihilangkan pembuatan key akan memakan waktu yang lebih lama.3.) Selanjutnya jalankan script dibawah ini, script ini berfungsi untuk meletakan file key ZSK dan KSK kedalam file forward.tkj
4.) Setelah itu jalankan perintah dnssec-signzone yang berguna untuk membuat file zone.signed dan file ds record.
dnssec-signzone -t -g -o pandutama.net forward.tkj /var/named/Kpandutama.net*.private
5.) Jika sudah maka akan terdapat dua file baru yaitu ds record dan zone.signed
ls
2.) Setelah itu edit file named.conf
3.) Cari script seperti ini, dan pastikan scirptnya sama seperti gambar dibawah ini.
4.) Kemudian dibagian zone pandutama.net edit file zonenya menjadi forward.tkj.signed
Kira-kira seperti ini penampakannya.
5.) Kemudian restart bind agar konfigurasinya berjalan dengan baik
6.) Lakukan pengetesan dengan menjalankan perintah berikut
dig DNSKEY pandutama.net. @172.16.2.101 +multiline
Maka hasilnya akan seperti ini
7.) Untuk melihat DS record kita apakah sudah terbuat dengan benar atau tidak bisa dengan cara ini.
cat dsset-pandutama.net.
"Jika sudah didapat DS Recordnya tinggal dimasukan ke panel input DS Record yang ada di registrar, tapi jika tempat membeli domain tidak meyediakan panel DS record, kita bisa minta tolong untuk memasukkannya ke tempat registrar domain kita."
Membuat Script Otomatis untuk Sign Key :
1.) Pertama kita akan membuat file yang harus berekstensi .sh untuk tempat foldernya bisa dimana saja asalkan sudah masuk pada mode root. seperti disini saya menginstallnya di folder /var/named/
nano zonesigner.sh
2.) lalu masukan script ini kedalam file tersebut, Tapi anda harus ingat, jangan sampai ada kesalahan dalam penulisan script ini!
3.) Jika sudah dibuat filenya, selanjutnya beri akses permission chmod agar file tersebut dapat di eksekusi user.
chmod +x zonesigner.sh
4.) Kemudian eksekusi file tersebut dengan perintah dibawah ini, dan hasilnya akan seperti ini.
./zonesigner.sh pandutama.net forward.tkj
Membuat DNSSEC dengan domain sendiri :
1.) Edit file named yang terletak pada directory /etc/
2.) Kemudian tambahkan zona baru yaitu domain yang ingin anda buat. disini saya membuat domain dengan nama harusbermanfaat.xyz (namanya terserah anda). kemudian typenya adalah master, dan letak zone filenya ada pada /var/named/tambahan.oke.signed
3.) Kemudian cek apakah pada saat konfigurasi domain tambahannya ada yang salah atau tidak, jika saat masukan script ini tidak ada reaksi apa apa berarti konfigurasi tadi tidak terdapat kesalahan.
named-checkconf /etc/named.conf
4.) Masuk ke folder /var/named, kemudian copy file forward kedalam file tambahan.oke
tambahan.oke ini adalah letak zone file domain saya yang baru.
5.) Edit file tambahan.oke
6.) Karna kita mengcopy file forward.tkj jadi file yang baru ini sudah ada isinya, anda cukup mengedit nama domainnya saja *lihat tulisan warna kuning.
7.) Kemudian edit file reverse.tkj
8.) Masukan domain tambahan berserta PTR(point to record)nya. *sesuaikan dengan domain yang baru anda
9.) Selanjutnya kita buat key ZSK dan KSK untuk domain harusbermanfaat.xyz
dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 harusbermanfaat.xyz
10.) Lihat apakah key tersebut berhasil dibuat dengan perintah ls
Jika berhasil maka ada 4 file baru yaitu 2 file key dan 2 file private
11.) Selanjutnya jalankan perintah ini agar key ZSK dan KSK diletakan pada file tambahan.oke
for key in `ls Kharusbermanfaat.xyz*.key`; do echo "\INCLUDE $key">> tambahan.oke; done
12.) Setelah itu cek pada file tambahan.oke apakah key tersebut ada atau tidak.
13.) Kemudian lakukan pembuatan file zone.signed dan file ds record
dnssec-signzone -t -g -o harusbermanfaat.xyz tambahan.oke /var/named/Kharusbermanfaat/xyz*.private
14.) Kemudian cek dengan perintah ls apakah pembuatan file zone.signed dan ds record berhasil dibuat.
15.) Setelah jalankan kembali named agar konfigurasi diatas berjalan dengan baik.
systemctl restart named
16.) Untuk melihat ds record pada domain yang baru bisa dengan perintah ini.
cat dsset-harusbermanfaat.xyz.
17.) Seperti pada tahap sebelumnya, kita akan membuat file berekstensi .sh disini saya membuat file .sh dengan nama zonesignertambahan.sh Agar tidak repot mengetik dan tidak salah dalam penulisan scriptnya. maka anda cukup lakukan copy file zonesigner.sh kedalam zonesignertambahan.sh
cp zonesigner.sh zonesignertambahan.sh
18.) Kemudian edit file zonesignertambahan.sh
19) Edit pada bagian dnssec-signzone. sesuaikan dengan nama key.private domain anda yang baru.
20.) Kemudian beri akses permission chmod agar file tersebut dapat dieksekusi.
21.) Untuk mengeksekusi file tersebut, bisa dengan perintah berikut ini. Maka hasil akan seperti ini.
./zonesignertambahan.sh harusbermanfaat.xyz tambahan.oke
Pengujian pada Client :
1.) Untuk pengujian di client kita butuh aplikasi BIND, anda dapat download terlebih dahulu disini . Tujuan kita butuh aplikasi BIND adalah untuk dapat melakukan perintah dig pada cmd kita. karena secara defalut perintah dig tidak tersedia di cmd. Jika sudah didownload, Extract kemudian install filenya.
2.) Berikut adalah pop up apabila aplikasi BIND berhasil di install.
3.) Kemudian copy letak file installannya. Secara default file BIND di install pada directory C:\Program Files\ISC BIND 9\bin
4.) Setting preferred DNS Server adalah IP address Server sehingga client sudah terhubung dengan server
5.) Buka CMD, kemudian pindah ke directory installah paket BIND yang tadi sudah kita copy letaknya. caranya ketikan perintah cd lalu klik kanan pilih paste.
6.) Maka hasil copy dan perpindahan foldernya akan seperti ini.
7.) Lakukanlah pengecekan dengan perintah dig pada domai pandutama.net dan juga harusbermanfaat.xyz dengan perintah masing masing seperti ini.
3.) Kemudian copy letak file installannya. Secara default file BIND di install pada directory C:\Program Files\ISC BIND 9\bin
4.) Setting preferred DNS Server adalah IP address Server sehingga client sudah terhubung dengan server
5.) Buka CMD, kemudian pindah ke directory installah paket BIND yang tadi sudah kita copy letaknya. caranya ketikan perintah cd lalu klik kanan pilih paste.
ketik cd --> klik kanan --> paste
6.) Maka hasil copy dan perpindahan foldernya akan seperti ini.
7.) Lakukanlah pengecekan dengan perintah dig pada domai pandutama.net dan juga harusbermanfaat.xyz dengan perintah masing masing seperti ini.
dig DNSKEY pandutama.net. @172.16.2.101 *multiline
dig DNSKEY pandutama.net. @172.16.2.101 *multiline
Alhamdulillah telah selelsai, terima kasih atas kunjungan anda!
Mohon maaf apabila terdapat kesalahan.
Sampai ketemu postingan selanjutnya ^^
Related Posts
0 comments: