IT

Apa DNSSEC?

Pengertian DNS

Pengertian DNSSEC pertama membutuhkan pengetahuan dasar tentang bagaimana sistem DNS bekerja.

DNS digunakan untuk menerjemahkan nama domain (seperti example.com ) menjadi alamat Internet numerik (seperti 198.161.0.1).

Meskipun ini alamat sistem ini sangat efisien untuk komputer untuk membaca dan mengolah data, adalah sangat sulit bagi orang untuk mengingat. Mari kita mengatakan bahwa setiap saat ketika anda perlu memeriksa situs web, anda harus mengingat alamat IP dari mesin yang mana itu terletak. Orang-orang sering menyebut sistem DNS “phone book dari Internet”.

Untuk memecahkan masalah ini, alamat IP numerik yang melekat untuk setiap nama domain. Alamat-alamat situs yang kita tahu adalah benar-benar nama domain.

Nama Domain informasi disimpan dan diakses pada server khusus, yang dikenal sebagai domain name server, yang mengubah nama domain menjadi alamat IP dan sebaliknya.

Top level DNS berada di zona akar di mana semua alamat IP dan nama domain yang disimpan dalam database dan diurutkan berdasarkan nama domain tingkat atas, seperti .com, .net, .org, dll.

Ketika DNS pertama kali dilaksanakan, itu tidak berhasil, dan segera setelah dimasukkan ke dalam penggunaan, beberapa kerentanan yang ditemukan. Akibatnya, sistem keamanan yang dikembangkan dalam bentuk ekstensi yang bisa ditambahkan ke DNS yang ada protokol.

Domain name system security extensions (DNSSEC) adalah satu set protokol yang menambahkan lapisan keamanan untuk sistem nama domain (DNS) lookup dan proses pertukaran, yang telah menjadi bagian integral dalam mengakses situs web melalui Internet.

Keuntungan dari DNSSEC
 
DNSSEC bertujuan untuk memperkuat kepercayaan di Internet dengan membantu untuk melindungi pengguna dari pengalihan ke situs-situs penipuan dan alamat yang tidak diinginkan. Sedemikian rupa, kegiatan berbahaya seperti cache keracunan, pharming, dan man-in-the-middle serangan dapat dicegah.

DNSSEC mengotentikasi resolusi alamat IP dengan tanda kriptografi, untuk memastikan bahwa jawaban yang diberikan oleh server DNS yang valid dan otentik. Dalam kasus DNSSEC diaktifkan dengan benar untuk nama domain anda, pengunjung dapat dipastikan bahwa mereka menghubungkan ke situs web yang sebenarnya yang sesuai dengan nama domain tertentu.

Bagaimana DNSSEC Bekerja

Tujuan asli dari DNSSEC adalah untuk melindungi klien Internet dari pemalsuan DNS data dengan memverifikasi tanda tangan digital yang tertanam dalam data.

Ketika pengunjung masuk ke nama domain di browser, resolver memverifikasi tanda tangan digital.

Jika tanda tangan digital dalam mencocokkan data mereka yang disimpan dalam master DNS server, kemudian data diperbolehkan untuk mengakses komputer client yang melakukan permintaan.

DNSSEC tanda tangan digital menjamin bahwa anda berkomunikasi dengan situs atau lokasi Internet anda bermaksud untuk mengunjungi.

DNSSEC menggunakan sistem kunci publik dan tanda tangan digital untuk memverifikasi data. Itu hanya menambahkan catatan baru ke DNS bersama catatan-catatan yang ada. Ini baru rekor jenis, seperti RRSIG dan DNSKEY, dapat diambil dengan cara yang sama seperti yang umum catatan seperti A, CNAME, dan MX.

Ini rekor baru yang digunakan untuk digital “tanda” sebuah domain, yang menggunakan metode yang dikenal sebagai kriptografi kunci publik.

Ditandatangani nameserver yang memiliki kunci publik dan swasta untuk masing-masing zona. Ketika seseorang membuat sebuah permintaan, mengirimkan informasi yang ditandatangani dengan kunci pribadi; penerima kemudian membuka dengan kunci publik. Jika pihak ketiga yang mencoba untuk mengirim informasi yang tidak dapat dipercaya, tidak membuka dengan baik dengan kunci publik, sehingga penerima akan mengetahui informasi yang palsu.

Perhatikan bahwa DNSSEC tidak memberikan kerahasiaan data karena tidak termasuk algoritma enkripsi. Itu hanya membawa kunci-kunci yang diperlukan untuk otentikasi data DNS sebagai asli atau benar-benar tidak tersedia.

Juga, DNSSEC tidak melindungi terhadap Serangan DDoS.

Kunci yang digunakan oleh DNSSEC

Ada dua jenis kunci yang digunakan oleh DNSSEC:

· Zona penandatanganan kunci ( ZSK ) – digunakan untuk menandatangani dan memvalidasi catatan individu set dalam zona.
· Kunci kunci penandatanganan ( KSK ) – digunakan untuk menandatangani DNSKEY catatan di zona.

Kedua kunci ini disimpan sebagai “DNSKEY” record pada zone file.

Melihat catatan DS

Catatan DS singkatan dari Delegasi Penandatangan , dan berisi sebuah string unik dari kunci publik serta metadata tentang kunci, seperti apa algoritma ini menggunakan.

Masing-masing DS record terdiri dari empat bidang: KeyTag, Algoritma, DigestType dan Mencerna dan itu terlihat seperti berikut:

Kita dapat memecah komponen yang berbeda dari catatan DS untuk melihat informasi apa yang masing-masing memegang bagian:

  • Example.com. – nama domain yang DS adalah untuk.
  • 3600 – TTL, waktu yang merekam dapat tetap berada dalam cache.
  • DI singkatan dari internet.
  • 2371 – Kunci Tag, ID dari kunci.
  • 13 – jenis algoritma. Masing-masing diperbolehkan algoritma di DNSSEC memiliki nomor tertentu. Algoritma 13 ECDSA dengan P-256 kurva menggunakan SHA-256.
  • 2 – Intisari Jenis, atau fungsi hash yang digunakan untuk menghasilkan digest dari kunci publik.
  • Panjang string pada akhirnya adalah Digest atau hash dari kunci publik.


Semua catatan DS harus sesuai dengan RFC 3658.

Anda dapat selalu menggunakan DNSSEC Debugger dalam rangka untuk mengetahui apakah ada masalah dengan pengaturan nama domain.

Tinggalkan Balasan