Cara Konfigurasi DNSSEC Pada Windows Server 2012

Thursday, March 05, 2020

PENDAHULAN
Halo semuanya!!! Salam sobat networkers, bertemu lagi dengan saya di blog ini tentunya.  Pada pertemuan kita kali ini saya akan melanjutkankan dari postingan saya sebelumnya tentang Konfigurasi DNS Server Pada Windows Server 2012, sekarang saya akan melanjutkannya dengan konfigurasi DNSSEC. Sebelum memulai konfigurasi mari kita bahas dulu pengertian dari DNSSEC ini. 


PENGERTIAN DAN CARA KERJA DNSSEC
merupakan singkatan dari Domain Name System Securitty Extensions. DNSSEC menambahkan informasi dan sebuah pesan khusus yang dapat digunakan untuk memverifikasi bahwa data yang diminta cocok dengan informasi yang asli. DNSSEC tidak membuat sebuah saluran aman, DNSSEC tidak mengenkripsi atau menyembunyikan data. Teknologi tersebut dirancang dengan kompabilitas terhadap sistem lama. Sistem standar yang selama ini kita gunakan tetap berjalan saja dengan sebelumnya. 

Pada ilmu kemanan jaringan, Ada metode hacking yang disebut DNS Spoofing, Cara kerja metode ini Attacker berada diantara pengakses website dan DNS Server, Attacker akan mengganti informasi Alamat IP yang diberikan oleh DNS Server saat pengakses memintanya, Sehingga pengakses akan berkomunikasi dengan Alamat IP yang salah, Server yang dibuat Attacker biasanya dibuat semirip mungkin dengan Website aslinya. 

DNSSEC berfungsi untuk mencegah DNS Spoofing karena dengan DNSSEC, Setiap pengakses meminta menerjemahkan domain ke DNS Server, DNS Server akan menyertakan kode di setiap infoemasi Alamat IP yang diberikan kepada pengakses untuk menandakan bahwa informasi tersebut berasar dari DNS Server dan bukan dari Attacker.

Cara  Kerja DNSSEC Kunci yang disediakan untuk umum disimpan di DNSKEY. Resolver yang melakukan validasi menggunakan DNSKEY untuk mendekripsi RRSIG dan membandingkan hasilnya dengan informasi dari hash tersebut untuk memastikan keaslianya. Sebuah hash dari DNSKEY disimpan sebagai DS. informasi tersebut tersimpan di zona induk. Resolver kemudian mengambil dari induk DS, RSSIG, dan kunci publik (DNSKEY) hash dari kunci publik yersebut juga di induk. Hal tersebut membentuk rantai kepercayaan. 



KONFIGURASI DNSSEC
  • Langkah pertama klik kanan pada dns yang kalian buat di forward lookup zone kemudian pilih DNSSEC lali klik Sign the zone. 


  • Akan ada pop up yang akan menambahkan security pada DNS protokol. Klik Next.

  • Ada tiga opsi dengan zone ini,  pilih Customize zone signing parameters.

  • Authentikasi pertama menggunakan KSK (Key Signing Key)  untuk membuat tanda tangan digital pada zone. Klik next.

  • Selanjutnya kita  akan menambahkan KSK dengan  parameter Key menggunakan algorithm dan panjang Key.

  • Disini saya menggunakan algorithm kriptografi dengan RSA/SHA1 dengan panjang Key 2048 bits.  Klik oke untuk menyimpan.

  • Setelah KSK tersimpan kita klik next.

  • Selanjutnya Authentikasi zone baru dengan menggunakan ZKS (Zone Signing Key). Klik next.

  • Klik Add untuk menambah ZSK.

  • Pemilihan algorithm yang di gunakan adalah dengan RSA/RSHA-256 dan panjang key 1024 bits. Klik OK untuk menyimpan.

  • ZSK sudah dibuat dan tersimpan,  klik next.

  • Selanjutnya pulih NSEC sebagai record dari zone sebagai authentikasi.

  • Aktifkan trust anchors untuk mendistribusikan zone supaya key semua muncul pada trust point dan sebagai satuan representatif buat public key.

  • Parameter DNSSEC secara keseluruhan akan ditampilkan seperti gambar berikut ini. Klik next untuk melanjutkan.

  • DNSSEC sudah berhasil dikonfigurasi dengan KSK dan ZSK sesuai dengan algoritma yang digunakan. Klik next.

  • Konfigurasi telah selesai dan berhasil,  klik finish.

Verifikasi
Tahapan verifikasi sebagai berikut :
  • Sebelum konfigurasi DNSSEC, pada forward lookup zone belum terenkripsi seperti berikut.

  • Sekarang kita refresh zone tersebut maka DNS akan memunculkan DNSKEY seperti berikut.
 

  • Pada trust point juga akan  muncul DNSKEY berserta informasi algorithm yang digunakan.

Pengujian
  • Untuk menguji DNSSEC kita bisa menggunakan tools bind9 yang bisa diunduh gratis pada link berikut https://www.isc.org/downloads/ pilih bind lalu pilih current stable.

  • Download file bind9 untuk 64bit dan berekstensi file Zip.

  • Ekstrak file zip yang sudah didownload, lalu masuk ke folder tersebut.

  • Klik kanan pada installer.exe lalu klik run as administrator.

  • Rubah target  direktorinya menjadi C:\Program Files\dig lalu centang tools only pada bagian options kemudian klik install

  • Akan muncul pop up Microsoft Visual C++ 2012 centang I agree kemudian klik install.
  • Kemudian buka search, cari system environment variables.

  • Setelah membuka system variabel, Klik "Environtment Variables.."

  • edit Path dengan mendambakan  ";C:\Program Files\dig\bin\. Lalu klik Ok untuk menyimpan.

  • Terakhir buka CMD atau powershell kemudi jalankan command "dig (domain kalian)  +dnssec +multi"  contoh : "dog www.kevinsetyaone.com +dnssec +multi"
 

  • Kita juga bisa menggunakan clients Linux yang sudah terinstall dnsutils untuk pengujian menggunakan tools dig dengan command yang sama seperti Windows Server sebelumnya. Seperti contoh berikut.

PENUTUP 
Oke sobat begitulah KonfigurasiNya, Mudah bukan?? Kalau masih bingung tanyakan saya di kolom komen dan pastinya postingan saya ini jauh dari kata “Sempurna” maka dari itu kurang atau lebihNya saya mohon maaf. Semoga postingan saya tadi bermanfaat bagi sobat yang sedang belajar Konfigurasi Konfigurasi DNSSEC Pada Windows Server 2012, Sobat bisa share postingan ini jika bermanfaat dan Jangan sungkan-sungkan untuk berbagi ilmu yang kita miliki ya sobat. Salam Sobat Networkers.

You Might Also Like

0 comments