Jika server DNS anda telah menggunakan DNSSEC, itu artinya semua informasi yang diberikan oleh server DNS anda telah ditandatangani secara digital dan karenanya dapat dipercaya. Dengan adanya DNSSEC, anda dapat menggunakan server DNS untuk menerbitkan informasi tambahan yang diautentikasi dan dapat diverifikasi.
DANE atau (DNS-based Authentication of Named Entities) berbasis DNS untuk alamat SMTP yang memungkinkan metode pengiriman email yang lebih aman. DANE memungkinkan server SMTP membuat koneksi TLS terenkripsi tanpa kekurangan STARTTLS. DANE digunakan untuk memastikan enkripsi yang andal untuk pengiriman email. Agar ini berfungsi sebagaimana mestinya, DANE menggunakan versi aman dari Sistem Nama Domain (DNSSEC) untuk mengambil informasi yang dipublikasikan oleh pemilik atau administrator nama domain.
Hasilnya, informasi ini memungkinkan server SMTP menentukan terlebih dahulu apakah server SMTP lain mendukung koneksi terenkripsi atau tidak sekaligus menyediakan sarana untuk memvalidasi keaslian sertifikat server email lain. Kerahasiaan email tersedia untuk umum.
1. Apa yang bisa dilakukan oleh DANE
Sistem Nama Domain (DNS) adalah protokol yang digunakan untuk menerjemahkan alamat IP menjadi nama, mirip dengan buku telepon. Lebih mudah mengingat nama domain daripada alamat IP server yang menghosting situs atau ke server email mana email akan dikirim. DNS merupakan bagian penting dari komunikasi melalui Internet. Namun, seperti banyak protokol lainnya, DNS tidak dirancang dengan mempertimbangkan keamanan.
Pembajakan DNS (DNS Hijacking)
Salah satu masalah keamanan adalah serangan pembajakan DNS. Permintaan DNS adalah permintaan yang dikirim ke server DNS yang menanyakan alamat IP domain. Beginilah sebagian besar komunikasi di Internet dimulai. Setelah jawaban atas permintaan diterima, sistem yang meminta dapat berkomunikasi langsung dengan domain tersebut. Namun, ada kemungkinan bahwa permintaan tersebut dapat dialihkan oleh pelaku jahat ke server DNS jahat, sehingga menyebabkan sistem yang meminta mengakses situs jahat tersebut.
Keracunan Cache DNS (DNS Cache Poisoning)
Jenis serangan lainnya disebut peracunan cache DNS, yang juga dikenal sebagai spoofing DNS. Jenis serangan ini memanfaatkan kerentanan dalam DNS untuk mengalihkan lalu lintas Internet dari server yang sah ke server palsu. Server DNS dapat diracuni jika berisi entri yang salah. Jika penyerang menguasai server DNS, mereka dapat mengubah informasi yang menunjukkan alamat IP mana yang akan dituju situs web. Misalnya, penyerang dapat mengubah google.com dari domain yang sah menjadi domain yang berisi situs web phishing yang berbahaya.
Dengan adanya DANE semua permasalahan sistem DNS dapat teratasi, karena server DNS anda memiliki sistem keamanan berlapis. DANE akan membentuk serangkaian mekanisme dan teknik yang memungkinkan aplikasi Internet untuk membangun komunikasi yang diamankan secara kriptografis dengan menggunakan informasi yang tersedia dalam DNS. Dengan mengikat informasi kunci ke nama domain dan melindungi pengikatan tersebut dengan DNSSEC, aplikasi dapat dengan mudah menemukan kunci yang diautentikasi untuk layanan.
2. Hash Slinger
Seperti halnya semua hal yang berkaitan dengan DNS dan TLS dan tentu saja kombinasi keduanya, semuanya menjadi terlalu rumit dengan cepat.
Oleh karena itu, kami memasang program pembantu kecil yang disebut hash-slinger. Agar program ini dapat beroperasi, kunci root tepercaya dari root DNS tingkat atas harus tersedia, untuk memeriksa semua penanda tangan dengan benar di sepanjang jalan. Alat unbound-anchor hanya melakukan itu. Keduanya ada di Repositori Perangkat Lunak Ubuntu.
Pemasangan Hash slinger di Unbound
$ sudo apt-get install unbound-anchor hash-slinger
$ sudo unbound-anchor
$ sudo wget -O /etc/unbound/dlv.isc.org.key \
http://ftp.isc.org/www/dlv/dlv.isc.org.keySetelah Hash slinger terinstal di server Ubuntu anda, perintah baru tlsa, openpgpkey dan sshfp tersedia secara otomatis pada Unbound.
a. TLSA
Dengan menggunakan catatan TLSA dalam DNS, kita dapat menyediakan informasi tentang sertifikat server. Klien yang terhubung dapat meminta DNS untuk memverifikasi sertifikat yang telah disajikan server, tanpa memerlukan pihak ketiga, seperti berbagai otoritas sertifikat komersial.
Entri TLSA dalam DNS terdiri dari nama layanan dan informasi unik yang dapat diidentifikasi dari sertifikat server (hash).
Untuk membuat RR DNS seperti itu untuk contoh server web kita, misalnya *.net, *.org, *.com dan lainnya.
Membuat TLSA
$ tlsa --create --certificate /etc/ssl/certs/example.net.cert.pem example.net
_443._tcp.example.net. IN TLSA 3 0 1 f8df4b2e...............................76a2a0e5Tiap baris yang ditampilkan dapat digunakan untuk memotong dan menempel pada file zona.
Jika Anda menggunakan server PowerDNS dengan antarmuka web poweradmin, tambahkan catatan sebagai berikut.
Name Type Content
_443._tcp TLSA 3 0 1 f8df4b2e………………………….76a2a0e5
Bidang Prioritas dan TTL dapat dikosongkan.
Ulangi hal di atas untuk setiap server web di DNS Anda yang menjawab pada port TLS 443.
$ tlsa --create --certificate /etc/ssl/certs/example.net.cert.pem www.example.net
$ tlsa --create --certificate /etc/ssl/certs/example.net.cert.pem cloud.example.netUntuk membuat rekaman jenis server non-web lainnya, nomor port harus ditambahkan ke perintah TLSA.
Untuk contoh server XMPP.
$ tlsa --create --certificate /etc/ssl/certs/example.net.cert.pem --port 5269 xmpp.example.net
$ tlsa --create --certificate /etc/ssl/certs/example.net.cert.pem --port 5222 xmpp.example.netUntuk contoh server email:
$ tlsa --create --certificate /etc/ssl/certs/example.net.cert.pem --port 25 mail.example.netMekanisme DANE memberikan fleksibilitas dalam cara informasi kunci disajikan. DANE mendukung Sertifikat dan kunci mentah. Kelompok ini akan bekerja untuk mendokumentasikan berbagai pendekatan untuk menggunakan kunci DANE, dan implikasi keamanan masing-masing. Selain itu, WG dapat mengembangkan kerangka kerja untuk memfasilitasi pencarian catatan DANE "klien" untuk tujuan otorisasi/autentikasi.
Posting Komentar
別ページに移動します