Konfigurasi DNSSEC Bind pada Centos 7


Konfigurasi DNSSEC Bind pada Centos 7 - Pada artikel ini saya akan menjelaskan bagaimana cara melakukan konfigurasi DNSSEC pada server DNS.

Apa DNSSEC itu?  

DNSSEC atau Domain Name System Security Extensions merupakan sebuah standart security pada dns. Secara garis besar, dnssec akan menambahkan sebuah digital singature pada record dns sehingga setiap data dns yang di respons oleh client akan dilakukan validasi terlebih dahulu untuk memastikan bahwa data yang di berikan tidak berubah. 

Bagi anda yang ingin tau lebih detailnya bisa membaca manual pada link berikut.
Manual book : Bind DNSSEC Guide
Mari kita mulai, disini saya asumsi bahwa anda sudah memiliki dns server yang aktif dan masih menggunakan domain centz7-zone.net. Anda bisa membacanya pada artikel konfigurasi DNS Server Bind Chroot pada Centos 7.   

Konfigurasi DNSSEC pada Bind

Konfigurasi masih pada environment chroot, langkah pertama buat public key ZSK (Zone Signing Key) dan KSK (Key Signing Key) pada direktori dnssec-keys.
[root@dmz1 ~]# cd /var/named/chroot/etc/pki/dnssec-keys
Generate file ZSK
[root@dmz1 dnssec-keys]# dnssec-keygen -r /dev/urandom -a RSASHA256 -b 1024 centz7-zone.net
Generate file KSK
[root@dmz1 dnssec-keys]# dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -f KSK centz7-zone.net
Pada script diatas saya menggunakan option -r /dev/urandom untuk mempercepat proses generate tapi sebagai gantinya key tersebut tidak sepenuhnya aman. Jika anda ingin key yang benar-benar aman anda bisa menjalankannya tanpa option tersebut hanya membutuhkan waktu yang sangat lama.

Dari hasil generate, anda akan mendapatkan 4 buah file masing-masing 2 buah file key dan file private.
Kcentz7-zone.net.+008+29896.key
Kcentz7-zone.net.+008+29896.private
Kcentz7-zone.net.+008+34743.key
Kcentz7-zone.net.+008+34743.private
Selanjutnya masuk ke direktori dimana file zone berada.
[root@dmz1 ~]# cd /var/named/chroot/var/named/
Tambahkan file *.key pada direktory dnssec-keys pada akhir file zone.
Sehingga tampak seperti di bawah ini.


Jalankan dnssec-signzone untuk membuat file *.signed dan file ds recordnya.
[root@dmz1 named]# dnssec-signzone -A -K /var/named/chroot/etc/pki/dnssec-keys -N INCREMENT -o centz7-zone.net -t centz.zone
Dari hasil tadi akan ada file dsset-centz7-zone.net. dan centz.zone.signed, file ini lah yang akan kita gunakan pada record domain di file named.rfc1912.zones.

Ubah:
zone "centz7-zone.net" IN {
type master;
file "centz.zone";
allow-update { none; };
};
Menjadi:
zone "centz7-zone.net" IN {
type master;
file "centz.zone.signed";
allow-update { none; };
};
Pastikan juga file di /var/named/chroot/etc/named.conf  sudah mengaktifkan option untuk dnssec.
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
Jika sudah sekarang restart namednya.
[root@dmz1 ~]# systemctl restart named-chroot
Anda juga bisa melihat pada status daemonnya.


Sekarang cek recordnya.
[root@dmz1 ~]# dig dnskey www.centz7-zone.net +multiline
Hasilnya :


Cek DNSSECnya.
[root@dmz1 ~]# dig +dnssec centz7-zone.net +m
Hasilnya :


Selanjutnya anda hanya perlu menambahkan DS Record (delegation signer) pada file dsset-centz7-zone.net. ke register dimana tempat anda membeli domain. Jika pada dashbord domain anda tidak ada menu untuk menambahkan DS Record coba anda hubungi CS nya, karena memang kebanyakan penjual domain & hosting di indonesia hanyalah reseller.


Pada artikel ini saya juga tidak bisa mencontohkannya karena domain centz7-zone.net hanya local domain bukan domain aktif yang sudah di register. 

Nah, salah satu perusahaan domain yang sudah support manage DS Record adalah GoDaddy.

Ref:
How to self-manage DNSSEC on GoDaddy
DNSSEC complete how to - Sign the zone 
Untuk pengecekan apakah dnssec yang kita buat sudah aktif sepenuhnya di internet, anda bisa menggunakan tools online di bawah ini. Tapi ingat, anda harus menambahkan DS recordnya terlebih dahulu.
http://dnssec-debugger.verisignlabs.com/ 
http://dnsviz.net/
Mungkin itu saja artikel saya kali ini mengenai konfigurasi dnssec bind pada centos 7, kurang lebihnya mohon maaf dan selamat mencoba..!!!


EmoticonEmoticon