Lab 6.5 : KONFIGURASI DNSSEC PADA CENTOS 7 DENGAN CLIENT WINDOWS 7

Topologi

Table Addressing

Tujuan :

- Dapat memahami perngertian DNSSEC

- Dapat mengkonfigurasi DNSSEC untuk pengamanan domain

Konsep Dasar

DNSSEC merupakan pengembangan teknologi keamanan untuk validasi domain dan alamat IP yang sesuai dengan menggunakan tanda tangan digital dan enskripsi yang menggunakan kunci public. Dengan DNSSEC, kita dapat mengamankan domain kita.

 

Konfigurasi

Pada materi kali ini ada dua domain yang akan diamankan :

tkjonline.net

fitrasyahran.net

Lakukan test ping kedua domain, pastikan kedua domain berjalan dengan baik.

Kemudian masuk ke directori named, dengan menjalankan perintah :

“cd /var/named”

Kemudian buat key ZSK dan key KSK, dengan menjalankan perintah :

“dnssec-keygen –r /dev/urandom –a RSASHA256 –b 1024 tkjonline.net”

“dnssec-keygen –r /dev/urandom –a RSASHA256 –b 2048 –f  KSK tkjonline.net”

Lalu jalankan perintah “ls” untuk melihat key yang sudah dibuat.

Kemudian masukan 2 file yang berekstensi .key kedalam forward.tkj atau sesuai dengan forward yang kalian miliki. Dengan menjalankan perintah :

”cat Ktkjonline.net.+008+60481.key >> forward.tkj”
”cat Ktkjonline.net.+008+63555.key >> forward.tkj”

Dan lakukan pengecekan pada file forward, jalankan perintah “vi forward.tkj”

 

Kemudian cocokan file key dengan file private yang sudah dibuat sebelumnya, jalankan perintah :

“dnssec-signzone -t -g -o tkjonline.net forward.tkj /var/named/Ktkjonline.net*.private”

Kemudian jalankan perintah “ls” untuk melihat file sudah dibuat

Edit file /etc/named.conf dengan mengubahnya menjadi “.signed”

Kemudian restart named, jalankan perintah “systemctl restart named”

Kemudian kita lakukan perintah dig pada domain tkjonline.net

”dig DNSKEY tkjonline.net @172.16.11.40 +multiline”

Melakukan pengecekan dsset pada domain tkjonline.net dengan menjalankan perintah :

”cat dsset-tkjonline.net.”

Selanjunya kita akan membuat script otomatis untuk mensign key

Pertama, kita buat file yang berekstensi.sh, jalankan perintah “vi /var/named/zonesignertkjonline.sh” isi script seperti pada gambar dibawah ini usahakan jangan sampai salah.

Kemudian ubah filenya agar bisa dieksekusi dengan menjalankan perintah seperti pada gambar dibawah ini.

Jika sudah kemudian eksekusi file tersebut dengan perintah :

” ./zonesignertkjonline.sh tkjonline.net forward.tkj”

Maka jika tampilannya seperti pada gambar diatas dikatan berhasil.

#Konfigurasi dengan domain nama sendiri

Langkah pertama buat file KSK dan ZSKnya, hanya saja yang membedakan menggunakan domain dengan nama sendiri.

Kemudian cek dengan menjalankan perintah “ls”

Selanjutnya masukan key kedalam file fitrasyahranfwd.tkj atau forward yang kalian punya, jalankan perintah :

”cat Kfitrasyahran.net.+008+41251.key Kfitrasyahran.net.+008+59970.key >> fitrasyahranfwd.tkj”

Setelah itu coba cek dalam file fitrasyahranfwd.tkj 

Selanjutnya lakukan signzone untuk domain fitrasyahran.net, perintahnya

“dnssec-signzone -t -g -o fitrasyahran.net fitrasyahranfwd.tkj /var/named/Kfitrasyahran.net.+008+41251.private Kfitrasyahran.net.+008+59970.private”

Kemudian jalankan perintah “ls” untuk mengecek kedua file yang baru dibuat.

Edit file named.confnya, dan tambahkan .signed diakhir fitrasyahranfwd.tkj. Jalankan perintah : “vi /etc/named.conf”

Dan selanjutnya restart namednya, jalankan perintah “systemctl restart named”

Kemudian lakukan perintah dig pada domain fitrasyahranan.net

 ”dig DNSKEY fitrasyahran.net. @172.16.11.40 +multiline”

Sekarang cek kembali apakah file dsset untuk domain fitrasyahranan.net dibuat dengan benar, maka jalankan perintah :

”cat dsset-fitrasyahran.net.”

Kemudian kita buat script zonesigner untuk domain fitrasyahran.net. Untuk mempersingkat waktu, lebih baik di copy, jalnkan perintah seperti pada gambar dibawah ini.

Edit file zonesigner yang baru saja dicopy, dengan mengubah tkjonline.net menjadi nama domain fitrasyahran.net

”vi zonesignerfitrasyahran.sh”

Selanjutnya eksekusi file zonesignerfitrasyahran.sh, jalankan perintah :

“./zonesignerfitrasyahran.sh fitrasyahran.net fitrasyahranfwd.tkj”

#Test dig dnskey pada client

Pertama download terlebih dahulu aplikasi BIND untuk client, ekstrak kemudian install BINDnya, jika sudah terinstall, masuk ke lokasi BIND yang sudah terinstall di
”C:\Program Files\ISC BIND9\bin”

Jika sudah menemukan lokasinya copy dan paste pada CMDnya.

Lakukan dig kedua domain, dengan menjalankan perintah :

tkjonline.net

”dig DNSKEY tkjonline.net. @172.16.11.40 +multiline”

fitrasyahran.net

”dig DNSKEY fitrasyahran.net. @172.16.11.40 +multiline”

Kesimpulan

DNSSEC memiliki fungsi untuk melindungi atau mengamankan DNS Server.