Artikel ini mengasumsikan bahwa Anda telah melalui Apa itu DNS dan bagaimana cara kerjanya? Domain Name System (DNS) adalah elemen penting dari sistem Internet. Dalam istilah awam, Tanpa DNS, tidak ada Internet. Tapi Awalnya DNS dikembangkan tanpa banyak keamanan di tempat. Misalnya, DNS rentan terhadap DNS Cache Poisoning (serangan DNS Spoofing); di mana penyerang dapat menyuntikkan beberapa entri yang tidak valid ke sistem DNS yang lemah dan data palsu ini dapat digunakan untuk mengarahkan lalu lintas web ke situs palsu (Pelajari lebih lanjut tentang Keracunan Cache DNS dan bagaimana hal itu dapat memengaruhi internet). Selain DNS Spoofing, sistem DNS juga rentan terhadap DDOS dan serangan man in the middle.
Untuk mengatasi masalah keamanan DNS, Ekstensi Keamanan Sistem Nama Domain (DNSSEC) diperkenalkan. DNSSEC tidak dirancang untuk mengakhiri serangan tersebut di atas, tetapi untuk memastikan mereka dapat dideteksi oleh pengguna akhir atau resolver (Resolver yang mendukung keamanan). Artinya, resolver yang sadar keamanan akan dapat memvalidasi respons yang diterima dari server DNS dan mengidentifikasi apakah informasi itu benar atau tidak.
Menyebarkan DNSSEC bukanlah pekerjaan yang mudah, meskipun implementasinya mudah. Ini melibatkan pemilik zona seperti .net, .com, .edu, .in dll. perlu menerapkan DNSSEC untuk zona mereka. Tidak berhenti di situ, berbagai organisasi, institusi, Internet Service Provider (ISP) perlu menyebarkan DNSSEC di server DNS mereka sendiri. Dan akhirnya, akhir pasti harus melakukan sesuatu; perbarui resolver mereka untuk memahami protokol DNSSEC dan tambahkan beberapa kunci tepercaya. Kunci tepercaya ini disebut sebagai kunci berlabuh, yang harus dikonfigurasi dalam resolver. Jika semua ini dilakukan, pengguna akhir (seperti saya dan Anda) akan dapat mendeteksi serangan.
DNSSEC menyediakan otentikasi asal data dan perlindungan integritas data ke DNS. Ini menggunakan Kriptografi Kunci Publik seperti Secure Shell (SSH) dan Internet Protocol Security (IPSec).
Secara teknis DNSSEC…
DNSSEC menambahkan sifat siptografik ke Sistem Nama Domain (DNS) yang ada untuk memastikan keaslian dan integritas respons DNS. Ketika saya mengatakan sifat kriptografi, itu berarti tanda tangan kriptografi diterbitkan untuk catatan A di DNS. Misalnya, RRSIG (Resource Record Signature) diterbitkan untuk A Record, organisasi sumber mengizinkan resolver untuk memverifikasi bahwa record A yang diterima adalah asli dan benar.
Izinkan saya meminta bantuan dari CISCO , di mana fungsionalitas DNSSEC dijelaskan seperti di bawah ini,
“Komputer klien dengan penyelesai rintisan tertanam menyetel bit DNSSEC OK (DO) ke 1 dalam kueri keluar ketika ingin menggunakan DNSSEC untuk memverifikasi keaslian informasi DNS. Saat server DNS berkemampuan DNSSEC menerima kueri dengan DO=1, server menggunakan catatan RRSIG yang disimpan atau diterima secara lokal untuk memverifikasi keaslian informasi DNS secara kriptografis. Hasil verifikasi dikomunikasikan ke stub resolver menggunakan bit Authenticated Data (AD) dalam respons DNS; di mana AD=1 menunjukkan data DNS asli, dan AD=0 menunjukkan bahwa verifikasi DNSSEC gagal ” – Kredit :CISCO
Apa perbedaan antara DNS dan DNSSEC?
Seperti yang saya katakan sebelumnya, DNSSEC adalah ekstensi keamanan untuk DNS yang ada. Artinya, DNS dapat hidup tanpa DNSSEC (tentu saja, dengan sedikit kerentanan), tetapi DNSSEC tidak dapat hidup tanpa DNS.
Perbedaan utama lainnya adalah ukuran catatan. Ukuran pesan DNSSEC lebih besar dari pesan DNS (tanpa mengaktifkan DNSSEC). Karena DNSSEC akan membawa flag seperti DO, AD, dan flag header terkait DNSSEC lainnya.
Sekarang, Anda tahu Apa itu DNSSEC dan mengapa penting untuk mengaktifkannya di DNS Anda. Mari kita lihat cara menerapkan DNSSEC di sistem DNS Anda yang ada dalam beberapa hari ke depan.
BACA:Bagaimana cara menyiapkan DNSSEC di Bind?
BACA:Bagaimana cara mengidentifikasi domain yang ditandatangani DNSSEC atau tidak?