Implementasi DNSSEC dengan bind 9.x dan centos 6.x

3
1295

Selamat pagi sobat sekolahlinux, kali ini saya akan menjelaskan tentang langkah-langkah dalam menerapkan dnssec pada dns server anda, buat yang belum tau apa sih itu dnssec dan apa manfaatnya silahkan cari di google atau baca disini atau disini, hehe karena sampai saat ini pun saya sendiri belum terlalu paham fungsi dnssec, yang saya tau dnssec itu untuk mengamankan dns anda atau otektikasi dns anda agar tidak disalahgunakan jadinya seperti tanda tangan digital 😀

oke langsung saja ya tutorialnya, saya beranggapan bahwa sobat sudah menginstall bind dan dns server pada centos sobat sudah berjalan dengan baik, bind yang saya gunaka adalah versi bind 9.8.x cara ini harusnya masih bisa diterapkan di versi bind yang lebih tinggi namun pada bind versi 9.9 keatas ada cara yang lebih mudah, namun pada centos 6.6 versi bind mentok di 9.8

pertama login sebagai root / su dan lalu update centos anda dan install tool dnssec

masuk ke folder tempat file zone domain anda berada

jika sudah maka tahapan selanjutnya adalah generate key ZSK (Zone Signing Key)

selanjutnya generate key KSK (Key Signing Key)

pada kedua script diatas telah saya sisipkan kode ( -r /dev/urandom ) yang mana kode itu berfungsi untuk mempercepat generate key ZSK dan KSK, tapi tentunya key yang anda generate menjadi tidak terlalu aman, jika anda ingin keamanan yang lebih kuat bisa menghilangkan kode yang sisipkan tersebut namun sebagai gantinya generated key akan memakan waktu lebih lama :D.

jika anda sudah generate ZSK dan KSK maka harusnya ada 4 file hasil generate tadi yaitu 2 file .key dan 2 file .private

selanjutnya jalankan script ini pada konsol linux anda, sript ini berfungsi untuk meletakkan file key ZSK dan KSK kedalam zone sekolahlinux.com

oke jika sudah jalankan dnssec-signzone berguna untuk membuat file zone.signed dan file ds record

jika sudah maka akan ada 2 file baru yaitu ( dsset-sekolahlinux.com. sekolahlinux.com.hosts.signed )

setelah itu kita harus merubah sedikit script di named.conf

rubah zone file sekolahlinux.com.hosts menjadi sekolahlinux.com.hosts.signed

setelah itu restart bind / named

untuk mengetesnya bisa dengan menjalankan script ini

hasilnya

selanjutkan kita akan menambahkan ds record pada registrar domain kita, ingat DS Record tidak bisa ditambahkan di hosting atau pembelian domain biasa, karena bisa jadi mereka hanyalah reseller, tapi kita bisa minta tolong ke pihak reseller terkait untuk menambahkan DS Record kita ke registrar domain kita

untuk melihat DS Record kita bisa dengan cara ini

DS record diatas sudah saya rubah hehe 😀 untuk menjaga kerahasiaan,

nah jika sudah didapat DS recordnya tinggal dimasukkan ke panel input DS record yang ada di registrar, tapi jika tempat membeli domain tidak menyediakan panel DS record, kita bisa meminta tolong untuk memasukkannya ke tempat registrar domain kita, contoh seperti dibawah:

http://manage.publicdomainregistry.com/kb/answer/1909
http://freeaccount.myorderbox.com/kb/answer/1909
https://support.godaddy.com/help/article/6115/managing-dnssec-for-your-domain-name

 

pada bind version 9.8 jika terjadi penambahan zone record pada record file sekolahlinux.com kita harus generate ulang key nya yang saya tahu tapi entah diluar sana mungkin ada cara lain, tapi daripada kita panjang-panjang menulis scriptnya kita bisa membuat dan menjalan menjalankan script ini.

pertama buat file dengan vim zonesigner.sh dan isikan script dibawah ini (catatan pembuatan file zonesigner.sh bebas bisa di folder mana saja yang penting ketika mengeksekusi harus dalam mode root) kali ini saya membuat filenya di /root/

lalu set filenya agar bisa di exekusi

cara menjalankannya dengan perintah dibawah ini

script diatas bisa juga dijalankan pada saat saat tertentu saja atau bisa juga dijalankan setiap hari di dengan crontab

untuk pengecekan apakah dnssec berjalan dengan benar bisa di check di website ini, tapi ingat sebelum di check kita harus menambahkan DS Record ke registrar dahulu seperti yang di atas

http://dnssec-debugger.verisignlabs.com/

dan sehabis itu cek disini

http://dnsviz.net/d/sekolahlinux.com/dnssec/

 

fiuhhhh akhirnya selesai juga tutorial kali ini 😀 semoga bermanfaat ya

3 COMMENTS

    • bukan sih om, lebih seperti dkim kalau di email, jadi nanti masing2 record punya tanda tangan digital om, jadi memastikan bahwa record yang diterima client benar2 dari dns server si server tersebut, CMIIW, udah lama bgt ini tutornya karena waktu itu juga implement di domain jagotekno.com

LEAVE A REPLY

Please enter your comment!
Please enter your name here