DNSSEC di Slackware

Implementasi DNSSEC
Anton Rahmadi @1 Februari 2009
versi 1.0 GPL


DNSSEC adalah standar IETF untuk memerangi DNSPoisoning
Implementasinya diatur dalam: RFC 4033, RFC 4034, dan RFC 4035
Lebih lanjut:
  1. http://www.nlnetlabs.nl/dnssec_howto/dnssec_howto.pdf
  2. http://ispcolumn.isoc.org/2006-09/dnssec2.html
  3. http://www.dnssec.net/

Catatan:
  • goldie adalah hostname komputer saya
  • namadomain.ac.id adalah contoh domain saya
  • Gantilah keduanya dengan nama-nama yang sesuai dengan sistem Anda
  • Proses pembuatan ZSK dan KSK bisa memakan waktu 1-2 jam, bahkan di komputer yang cepat sekalipun!


Membuat rndc-key

rndc-confgen



Mengkopikan key dan options ke /etc/rndc.conf

key "rndc-key" {
algorithm hmac-md5;
secret "u/Gooz/vzEASC9gHP8dkDQ==";
};

options {
default-key rndc-key;
default-server 127.0.0.1;
default-port 953;
};



Menambahkan key dan controls ke /etc/named.conf

key "rndc-key" {
algorithm hmac-md5;
secret "u/Gooz/vzEASC9gHP8dkDQ==";
};

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};



Melakukan cek rndc

rndc start
rndc status



Apabila terdapat kesalahan, maka lihat /var/log/syslog!
Benarkan kesalahan ini sebelum melangkah lebih lanjut


Membuat log file

mkdir /var/named/log
touch /var/named/log/dnssec



Membuat key

cd /var/named
dnssec-keygen -a hmac-md5 -b 128 -n HOST goldie.
Kgoldie+{random}+{id}.



Mengkopikan host key

more Kgoldie+{random}+{id}.key

contoh:
u6RhndOOgrjIEQAYDbpy1w==



Mengedit /etc/named.conf

options {
directory "/var/named";
pid-file "named.pid";
listen-on { any; } ;
listen-on-v6 { any; };
dnssec-enable yes ;
};
key goldie. {
algorithm hmac-md5;
secret "u6RhndOOgrjIEQAYDbpy1w==";
};
logging {
channel dnssec_log {
file "log/dnssec" size 20m;
print-time yes;
print-category yes;
print-severity yes;
severity debug 3;
};
category dnssec { dnssec_log; };
};
zone "namadomain.ac.id" IN {
file "namadomain.ac.id";
type master;
allow-update { key goldie.; };
};



Membuat signature Zone Signing Key (ZSK) untuk sebuah situs

cd /var/named
dnssec-keygen -a RSASHA1 -b 512 -n ZONE namadomain.ac.id.
Knamadomain.ac.id.+{random_1}.+{id_1}



Mengkopikan key Zone Signing Key

more Knamadomain.ac.id.+{random_1}+{id_1}.key
contoh:
AwEAAcXaw5J1oBwnbMUi0X8zZovlSy0uiWF6gecZaJZ1shMeZmfaC2tafpY2ybIfaGKYx8sBZyygEZyhPMwiTyynvoE=


Mengedit /etc/named.conf

trusted-keys {
"namadomain.ac.id." 3 5
"AwEAAcXaw5J1oBwnbMUi0X8zZovlSy0uiWF6gecZaJZ1shMeZmfaC2tafpY2ybIfaGKYx8sBZyygEZyhPMwiTyynvoE=";

"100.168.192.in-addr.arpa." 257 3 5
"AwEAAcXaw5J1oBwnbMUi0X8zZovlSy0uiWF6gecZaJZ1shMeZmfaC2tafpY2ybIfaGKYx8sBZyygEZyhPMwiTyynvoE=";
};



Membuat signature Key Signing Key (KSK) untuk sebuah situs

cd /var/named
dnssec-keygen -r/dev/random -f KSK -a RSASHA1 -b 512 -n ZONE namadomain.ac.id
Knamadomain.ac.id.+{random_1}.+{id_2}



Mengedit /var/named/namadomain.ac.id

$include Knamadomain.ac.id.+{random_1}.+{id_1}.key
$include Knamadomain.ac.id.+{random_2}.+{id_2}.key



Melakukan cek named

chmod 755 /etc/rc.d/rc.bind
/etc/rc.d/rc.bind start



Apabila terdapat kesalahan, maka lihat /var/log/message!


Melakukan pengecekan

dig +dnssec +multiline DNSKEY namadomain.ac.id

;; QUESTION SECTION:
;namadomain.ac.id. IN DNSKEY

;; ANSWER SECTION:
namadomain.ac.id. 38400 IN DNSKEY 256 3 5 (
AwEAAcXaw5J1oBwnbMUi0X8zZovlSy0uiWF6gecZaJZ1
shMeZmfaC2tafpY2ybIfaGKYx8sBZyygEZyhPMwiTyyn
voE=
) ; key id = 21516
namadomain.ac.id. 38400 IN DNSKEY 257 3 5 (
AwEAAbl+p0kJwn7/aji7ayN9NkIgmc2m3/NvbrWWlLwq
0gfPml+RCn+4pZtUeQOZLxBkd1gZRamekFmwcvh5+iAV
QD8=
) ; key id = 18991

dig +dnssec +multiline A namadomain.ac.id

Comments

Popular posts from this blog

Merakit Destilator Bioetanol Sederhana (1)

DHT11 incubator with I2C LCD (part 1)

LM35 Incubator with LCD 16x2 on Arduino