Domain Name System Security Extensions (DNSSEC atau Ekstensi Keamanan DNS) adalah sekumpulan spesifikasi Internet Engineering Task Force (IETF) untuk mengamankan jenis informasi tertentu yang disediakan oleh Domain Name System (DNS) seperti yang digunakan pada jaringan Internet Protocol (IP).
DNSSEC menyediakan otentikasi asal resolver DNS dari data DNS, penolakan keberadaan ter otentikasi dan integritas data tetapi tidak ketersediaan atau kerahasiaan. DNSSEC mengotentikasi DNS menggunakan tanda tangan digital berdasarkan kriptografi kunci publik. Dengan DNSSEC, bukan pertanyaan atau respons DNS yang ditandatangani, melainkan data DNS itu sendiri yang ditandatangani oleh pemilik data.
Sebelum kita mendalami DNSSEC, penting untuk memahami apa itu DNS dan mengapa kita membutuhkan DNSSEC. Tertarik untuk mempelajari tentang Domain Name System Security Extensions (DNSSEC)? Ketahui pengertian DNSSEC,kelebihan dan kelemahan penerapan serta cara kerjanya berikut ini.
Pengertian Apa Itu DNSSEC
Memahami DNSSEC terlebih dahulu membutuhkan pengetahuan dasar tentang cara kerja sistem DNS. DNS digunakan untuk menerjemahkan nama domain seperti namadomain(dot)com menjadi alamat Internet numerik seperti kombinasi angka 198.161.0.1. Meskipun sistem alamat ini sangat efisien bagi komputer untuk membaca dan memproses data, sangat sulit bagi orang untuk mengingatnya.
Misalkan setiap kali Anda perlu memeriksa situs web, Anda harus mengingat alamat IP mesin di mana lokasinya. Orang sering menyebut sistem DNS sebagai buku telepon Internet. Untuk mengatasi masalah ini, alamat IP numerik dilampirkan ke setiap nama domain yang membuat alamat situs web yang kita ketahui sebenarnya adalah nama domain. Informasi nama domain disimpan dan diakses di server khusus, yang dikenal sebagai server nama domain, yang mengubah nama domain menjadi alamat IP dan sebaliknya. Tingkat teratas dari DNS berada di zona akar di mana semua alamat IP dan nama domain disimpan dalam database dan diurutkan berdasarkan nama domain tingkat atas, seperti .com, .net, .org, dll.
Ketika DNS pertama kali diterapkan, itu tidak diamankan, dan segera setelah digunakan, beberapa kerentanan/kekurangannya segera ditemukan. Hasilnya, sistem keamanan dikembangkan dalam bentuk ekstensi yang dapat ditambahkan ke protokol DNS yang ada. Domain Name System Security Extensions (DNSSEC) adalah sekumpulan protokol yang menambahkan lapisan keamanan ke proses pencarian dan pertukaran sistem nama domain (DNS), yang telah menjadi bagian integral dalam mengakses situs web melalui Internet.
Kelebihan dan Kelemahan DNSSEC
DNSSEC bertujuan untuk memperkuat kepercayaan pengguna di Internet dengan membantu melindungi pengguna dari pengalihan ke situs web palsu dan alamat yang tidak diinginkan. Sedemikian rupa, aktivitas berbahaya seperti keracunan cache, pharming, dan serangan man-in-the-middle dapat dicegah. Ini juga bermaksud untuk mencegah banyaknya kemungkinan serangan atau penipuan.
Disini DNSSEC berfungsi untuk mengotentikasi resolusi alamat IP dengan tanda tangan kriptografik, untuk memastikan bahwa jawaban yang diberikan oleh server DNS adalah valid dan otentik. Jika DNSSEC diaktifkan dengan benar untuk nama domain Anda, pengunjung dapat dipastikan terhubung ke situs web sebenarnya yang sesuai dengan nama domain tertentu. Meskipun DNSSEC secara dramatis meningkatkan keamanan Internet, penemuan terbaru menunjukkan bahwa hal itu dapat menyebabkan kerentanan baru, yang dikenal sebagai pencacahan zona.
Data zona DNS secara tradisional dirahasiakan karena mencakup informasi jaringan untuk situs web dan server tertentu. Siapapun yang dapat memperoleh informasi ini akan memiliki waktu yang jauh lebih sederhana untuk mempersiapkan dan melaksanakan serangan Internet. DNSSEC asli mengharuskan server DNS mengungkapkan semua data zona DNS sehingga laporan pasti dapat dibuat ketika nama domain tidak ditemukan. Namun, versi DNSSEC yang lebih baru menggunakan satu atau beberapa solusi, yang sering kali menggunakan data NSEC3.
Cara Kerja DNSSEC
Tujuan awal DNSSEC adalah untuk melindungi klien internet dari data DNS palsu dengan memverifikasi tanda tangan digital yang tertanam dalam data. Jika tanda tangan digital dalam data cocok dengan yang disimpan di server DNS master, maka data diperbolehkan untuk melanjutkan ke komputer klien yang membuat permintaan. DNSSEC menggunakan sistem kunci publik dan tanda tangan digital untuk memverifikasi data.
Kunci publik ini juga dapat digunakan oleh sistem keamanan yang mengenkripsi data saat dikirim melalui internet dan kemudian mendeskripsinya saat diterima oleh penerima yang dituju. Namun, DNSSEC tidak dapat melindungi privasi atau kerahasiaan data karena tidak menyertakan algoritma enkripsi. Tetapi hanya membawa kunci yang diperlukan untuk mengotentikasi data DNS sebagai asli atau benar-benar tidak tersedia.
Implementasi DNSSEC membutuhkan beberapa jenis record baru yang akan dibuat untuk DNS. Jenis rekaman ini adalah sebagai berikut :
- DS
- DNSKEY
- NSEC
- RRSIG
Catatan RRSIG adalah tanda tangan digital, dan menyimpan informasi kunci yang digunakan untuk validasi data yang menyertainya. Kunci yang terdapat dalam catatan RRSIG dicocokkan dengan kunci publik dalam catatan DNSKEY. Kumpulan data NSEC, termasuk NSEC, NSEC3, dan NSEC3PARAM, kemudian digunakan sebagai referensi tambahan untuk menggagalkan upaya spoofing DNS. Data DS digunakan untuk memverifikasi kunci untuk subdomain.
Proses spesifik yang digunakan untuk pencarian DNSSEC bervariasi menurut jenis server yang digunakan untuk membuat atau mengirim kueri. Server nama rekursif, sering kali dioperasikan oleh penyedia layanan Internet (ISP), menggunakan proses unik untuk validasi DNSSEC. Server yang menjalankan Microsoft Windows menggunakan apa yang disebut sebagai resolver rintisan, yang juga memerlukan proses khusus.
Apa pun proses yang digunakan, verifikasi kunci DNSSEC memerlukan titik awal yang disebut trust anchor. Kemudian trust anchor ini akan disertakan dalam sistem operasi atau perangkat lunak terpercaya lainnya. Setelah kunci diverifikasi melalui trust anchor, itu juga harus diverifikasi oleh server nama otoritatif melalui rantai otentikasi, yang terdiri dari serangkaian catatan DS dan DNSKEY.
No comments:
Post a Comment