DNSSEC di Slackware
Implementasi DNSSEC
Anton Rahmadi @1 Februari 2009
versi 1.0 GPL
DNSSEC adalah standar IETF untuk memerangi DNSPoisoning
Implementasinya diatur dalam: RFC 4033, RFC 4034, dan RFC 4035
Lebih lanjut:
Catatan:
Membuat rndc-key
Mengkopikan key dan options ke /etc/rndc.conf
Menambahkan key dan controls ke /etc/named.conf
Melakukan cek rndc
Apabila terdapat kesalahan, maka lihat /var/log/syslog!
Benarkan kesalahan ini sebelum melangkah lebih lanjut
Membuat log file
Membuat key
Mengkopikan host key
Mengedit /etc/named.conf
Membuat signature Zone Signing Key (ZSK) untuk sebuah situs
Mengkopikan key Zone Signing Key
Mengedit /etc/named.conf
Membuat signature Key Signing Key (KSK) untuk sebuah situs
Mengedit /var/named/namadomain.ac.id
Melakukan cek named
Apabila terdapat kesalahan, maka lihat /var/log/message!
Melakukan pengecekan
Anton Rahmadi @1 Februari 2009
versi 1.0 GPL
DNSSEC adalah standar IETF untuk memerangi DNSPoisoning
Implementasinya diatur dalam: RFC 4033, RFC 4034, dan RFC 4035
Lebih lanjut:
- http://www.nlnetlabs.nl/dnssec_howto/dnssec_howto.pdf
- http://ispcolumn.isoc.org/2006-09/dnssec2.html
- http://www.dnssec.net/
Catatan:
- goldie adalah hostname komputer saya
- namadomain.ac.id adalah contoh domain saya
- Gantilah keduanya dengan nama-nama yang sesuai dengan sistem Anda
- Proses pembuatan ZSK dan KSK bisa memakan waktu 1-2 jam, bahkan di komputer yang cepat sekalipun!
Membuat rndc-key
rndc-confgen
Mengkopikan key dan options ke /etc/rndc.conf
key "rndc-key" {
algorithm hmac-md5;
secret "u/Gooz/vzEASC9gHP8dkDQ==";
};
options {
default-key rndc-key;
default-server 127.0.0.1;
default-port 953;
};
Menambahkan key dan controls ke /etc/named.conf
key "rndc-key" {
algorithm hmac-md5;
secret "u/Gooz/vzEASC9gHP8dkDQ==";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
Melakukan cek rndc
rndc start
rndc status
Apabila terdapat kesalahan, maka lihat /var/log/syslog!
Benarkan kesalahan ini sebelum melangkah lebih lanjut
Membuat log file
mkdir /var/named/log
touch /var/named/log/dnssec
Membuat key
cd /var/named
dnssec-keygen -a hmac-md5 -b 128 -n HOST goldie.
Kgoldie+{random}+{id}.
Mengkopikan host key
more Kgoldie+{random}+{id}.key
contoh:
u6RhndOOgrjIEQAYDbpy1w==
Mengedit /etc/named.conf
options {
directory "/var/named";
pid-file "named.pid";
listen-on { any; } ;
listen-on-v6 { any; };
dnssec-enable yes ;
};
key goldie. {
algorithm hmac-md5;
secret "u6RhndOOgrjIEQAYDbpy1w==";
};
logging {
channel dnssec_log {
file "log/dnssec" size 20m;
print-time yes;
print-category yes;
print-severity yes;
severity debug 3;
};
category dnssec { dnssec_log; };
};
zone "namadomain.ac.id" IN {
file "namadomain.ac.id";
type master;
allow-update { key goldie.; };
};
Membuat signature Zone Signing Key (ZSK) untuk sebuah situs
cd /var/named
dnssec-keygen -a RSASHA1 -b 512 -n ZONE namadomain.ac.id.
Knamadomain.ac.id.+{random_1}.+{id_1}
Mengkopikan key Zone Signing Key
more Knamadomain.ac.id.+{random_1}+{id_1}.key
contoh:
AwEAAcXaw5J1oBwnbMUi0X8zZovlSy0uiWF6gecZaJZ1shMeZmfaC2tafpY2ybIfaGKYx8sBZyygEZyhPMwiTyynvoE=
Mengedit /etc/named.conf
trusted-keys {
"namadomain.ac.id." 3 5
"AwEAAcXaw5J1oBwnbMUi0X8zZovlSy0uiWF6gecZaJZ1shMeZmfaC2tafpY2ybIfaGKYx8sBZyygEZyhPMwiTyynvoE=";
"100.168.192.in-addr.arpa." 257 3 5
"AwEAAcXaw5J1oBwnbMUi0X8zZovlSy0uiWF6gecZaJZ1shMeZmfaC2tafpY2ybIfaGKYx8sBZyygEZyhPMwiTyynvoE=";
};
Membuat signature Key Signing Key (KSK) untuk sebuah situs
cd /var/named
dnssec-keygen -r/dev/random -f KSK -a RSASHA1 -b 512 -n ZONE namadomain.ac.id
Knamadomain.ac.id.+{random_1}.+{id_2}
Mengedit /var/named/namadomain.ac.id
$include Knamadomain.ac.id.+{random_1}.+{id_1}.key
$include Knamadomain.ac.id.+{random_2}.+{id_2}.key
Melakukan cek named
chmod 755 /etc/rc.d/rc.bind
/etc/rc.d/rc.bind start
Apabila terdapat kesalahan, maka lihat /var/log/message!
Melakukan pengecekan
dig +dnssec +multiline DNSKEY namadomain.ac.id
;; QUESTION SECTION:
;namadomain.ac.id. IN DNSKEY
;; ANSWER SECTION:
namadomain.ac.id. 38400 IN DNSKEY 256 3 5 (
AwEAAcXaw5J1oBwnbMUi0X8zZovlSy0uiWF6gecZaJZ1
shMeZmfaC2tafpY2ybIfaGKYx8sBZyygEZyhPMwiTyyn
voE=
) ; key id = 21516
namadomain.ac.id. 38400 IN DNSKEY 257 3 5 (
AwEAAbl+p0kJwn7/aji7ayN9NkIgmc2m3/NvbrWWlLwq
0gfPml+RCn+4pZtUeQOZLxBkd1gZRamekFmwcvh5+iAV
QD8=
) ; key id = 18991
dig +dnssec +multiline A namadomain.ac.id
Comments