DNS Security

Pada bahasan ini akan dijelaskan beberapa macam security. Terbagi dalam 4 macam, yaitu :

• Administrative security

Bagian ini menggunaka file permission, konfigurasi server, BIND konfigurasi dan DMZ. Semua itu adalah teknik yang relatif sederhana dan bisa diaplikasikan pada DNS server yang berdiri sendir.

• Zona Transfer

Zona Transfer bekerja menggunkan keamanan fisik, parameter pada BIND atau eksternal Firewall. Autentikasi secara aman dari sumber dan tujuan dari zona transfer dapat atau tidak dapat diusahakan.

• Dynamic update

• Zona Integritas

Hal-hal yang diperlukan zona data yang digunakan oleh salah satu DNS yang lain.
Klasifikasi Keamanan

Klasifikasi keamanan merupakan sarana untuk memungkinkan pemilihan solusi dan stategi
untuk menghindari risiko. Beberapa metode berikut di jelaskan detail dalam bab ini dan bab 11.

• Ancaman lokal (1)

Ancaman lokal biasanya paling sederhana untuk mencegah, dan biasanya diimplementasikan hanya dengan menjaga kebijakan suara sistem administrasi. Semua Zona File dan konfigurasi DNS lainnya harus memiliki tepat membaca dan menulis akses, dan harus aman didukung atau di perlihara dalam repositori CVS. Server DNS dapat digunakan meminimalkan akses umum, dan BIND dapat dijalankan dalam sebuah sandbox atau chroot jail.

• Server-Server(2)

Jika sebuah organisasi menjalankan DNS server slave, perlu untuk melaksanakan zona transfer. seperti di sebutkan sebelumnya, mungkin untuk menjalankan beberapa master server DNS, bukan dari master-slave, dan dengan demikian menghindari masalah yang terkait. Jika zona transfer diperlukan. BIND menawrkan beberapa parameter konfigurasi yang dapat digunakan untuk meminimalkan risiko yang melekat dalam proses. TSIG dan Transaction KEY (TKEY) juga menawarkan metode aman untuk otentikasi meminta sumber-sumber dan tujuan. Kedua metode dijeelaskan secara rinci pada bagian "Securing Zone Transfers" setelah bab ini. Transfer fisik dapat diamankan dengan menggunkan Secure Socket Layer (SSL) atau Transport Layer Security (TLS).

• Server - Server (3)

Default BIND adalah untuk menyangkal Dymanic DNS (DDNS) dari semua sumber. Jika sebuah organisasi memerlukan fitur ini, maka BIND menyediakan sejumlah konfigurasi parameter untuk meminimalkan risiko yang terkait.

• Server-klien (4)

Kemungkinan keracunan cache karena IP spoofing, data hlangan dan hacker lainnya mungkin sangat rendah dengan situs web sederhana. Namun, jika situs tersebut profil tinggi, volume tinggi, terbuka untuk ancaman kompetitif, atau merupakan penghasil pendapatan yang tinggi, maka biaya dan kompleksitas penerapan solusi DNSSEC skala penuh dapat bermanfaat. Upaya yang signifikan sedang diinvertasikan oleh pengembang perangkat lunak, Registry Operator, RIR, dan operator root-server, lainya termasuk DNSSEC.

• Klien-kien (5)

Standar DNSSEC adalah mendefinisikan konsep security aware resolve - suatu mitos entitas- yang dapat memilih untuk menangani semua validasi keamanan langsung, dengan nama lokal server bertindak sebagai gateway komunikasi pasif.

Konfigurasi Defensif

Adalah satu dimana semua, khususnya yang berkaitan dengan keamanan, fitur ekplisit didefinisikan sebagai diaktifkan atau dinonaktifkan. konfigurasi seperti mengabaikan semua pengaturan default dan nilai - nilai. Dibutuhkan sebagai titik awal situs kebutuhan, dan setiap mendefinisikan kebutuhan, positif, atau negatif dengan menggunakan laporan konfigurasi yang sesuai atau parameter lainnya.

Sebuah file konfigurasi yang defensif mengidentifikasi semua persyaratan juga secara eksplisit mendefinisikan diri. Yaitu, dengan memeriksa file tanpa perlu menemukan manual atau referensi dokumentasi - fungsi tersebuat adalah jelas.

Deny All, Allow Selectively
Bahkan ketika operasi diperbolehkan, misalnya di NOTIFY atau zona transfer, itu mungkin bernilai global menyangkal operasi dan selktif memungkinkan, seperti dalam fragman berikut



Remote Access

BIND datang merilis dengan alat komunikasi yang disebut rndc (dijelakan dalam bab 9) yang mungkin digunakan secara lokal atau jarak jauh. Di satu sisi, rndc adalah tool yang berguna, sementara di sisi lain, Jika Anda bisa masuk, sehingga dapat orang lain. Default BIND adalah mengaktifkan rndc dari looback tersebut alamt saja (127.0.0.1). Jika rndc tidak dapat digunakan, harus secara eksplisit dinonaktifkan menggunakan null klausa kontrol, seperti yang ditunjukan di sisni :



Jika rndc digunakan, maka dianjurkan bahwa klausa kontrol eksplisit digunakan, bahwa jika akses hanya diijinkan dari localhost, seperti yang ditunjukan di sini :



Tabel direktori dan file permission

Post Terkait