DNSSEC merupakan singkatan dari Domain Name System Security Extensions bisa diartikan sebagai ekstensi keamanan sebuah DNS, ia merupakan sekumpulan dari IETF atau Internet Engineering Task Force yang berfungsi sebagai pengaman jenis informasi tertentu yang sudah disediakan oleh DNS (Domain Name System) seperti pada penggunaan jaringan IP atau internet protocol.
DNS atau Domain Name System sendiri adalah sebuah sistem yang diciptakan untuk mempermudah pencarian pada sistem komputer. DNS merupakan system yang mampu merubah URL di website menjadi bentuk sebuah IP Address. Tanpa adanya DNS pengguna harus mengetik IP Address dengan lengkap bila ingin mengunjungi suatu website.
DNSSEC melakukan otentikasi DNS menggunakan tanda tangan digital yang didasarkan pada kriptografi kunci publik, namun bukan pertanyaan ataupun respon dari DNS yang ditandatangani oleh DNSSEC melainkan berupa dara dari DNS itu sendiri yang akan ditandatangani oleh si pemilik data. Untuk mengetahui seperti apa DNSSEC lebih lanjut, berikut ulasan dari keseluruhannya.
Pengertian Apa Itu DNSSEC
Memahami DNSSEC terlebih dahulu membutuhkan pengetahuan dasar tentang cara kerja sistem DNS. DNS digunakan untuk menerjemahkan nama domain seperti namadomain(dot)com menjadi alamat Internet numerik seperti kombinasi angka 198.161.0.1. Meskipun sistem alamat ini sangat efisien bagi komputer untuk membaca dan memproses data, sangat sulit bagi orang untuk mengingatnya.
Misalkan setiap kali Anda perlu memeriksa situs web, Anda harus mengingat alamat IP mesin di mana lokasinya. Orang sering menyebut sistem DNS sebagai buku telepon Internet. Untuk mengatasi masalah ini, alamat IP numerik dilampirkan ke setiap nama domain yang membuat alamat situs web yang kita ketahui sebenarnya adalah nama domain. Informasi nama domain disimpan dan diakses di server khusus, yang dikenal sebagai server nama domain, yang mengubah nama domain menjadi alamat IP dan sebaliknya. Tingkat teratas dari DNS berada di zona akar di mana semua alamat IP dan nama domain disimpan dalam database dan diurutkan berdasarkan nama domain tingkat atas, seperti .com, .net, .org, dll.
Ketika DNS pertama kali diterapkan, itu tidak diamankan, dan segera setelah digunakan, beberapa kerentanan/kekurangannya segera ditemukan. Hasilnya, sistem keamanan dikembangkan dalam bentuk ekstensi yang dapat ditambahkan ke protokol DNS yang ada. Domain Name System Security Extensions (DNSSEC) adalah sekumpulan protokol yang menambahkan lapisan keamanan ke proses pencarian dan pertukaran sistem nama domain (DNS), yang telah menjadi bagian integral dalam mengakses situs web melalui Internet.
Kelebihan dan Kelemahan dari DNSSEC
DNSSEC bertujuan untuk memperkuat kepercayaan pengguna di Internet dengan membantu melindungi pengguna dari pengalihan ke situs web palsu dan alamat yang tidak diinginkan. Sedemikian rupa, aktivitas berbahaya seperti keracunan cache, pharming, dan serangan man-in-the-middle dapat dicegah. Ini juga bermaksud untuk mencegah banyaknya kemungkinan serangan atau penipuan.
Disini DNSSEC berfungsi untuk mengotentikasi resolusi alamat IP dengan tanda tangan kriptografik, untuk memastikan bahwa jawaban yang diberikan oleh server DNS adalah valid dan otentik. Jika DNSSEC diaktifkan dengan benar untuk nama domain Anda, pengunjung dapat dipastikan terhubung ke situs web sebenarnya yang sesuai dengan nama domain tertentu. Meskipun DNSSEC secara dramatis meningkatkan keamanan Internet, penemuan terbaru menunjukkan bahwa hal itu dapat menyebabkan kerentanan baru, yang dikenal sebagai pencacahan zona.
Data zona DNS secara tradisional dirahasiakan karena mencakup informasi jaringan untuk situs web dan server tertentu. Siapapun yang dapat memperoleh informasi ini akan memiliki waktu yang jauh lebih sederhana untuk mempersiapkan dan melaksanakan serangan Internet. DNSSEC asli mengharuskan server DNS mengungkapkan semua data zona DNS sehingga laporan pasti dapat dibuat ketika nama domain tidak ditemukan. Namun, versi DNSSEC yang lebih baru menggunakan satu atau beberapa solusi, yang sering kali menggunakan data NSEC3.
Cara Kerja dari DNSSEC
Di DNS terdapat berbagai macam jenis record, seperti CNAME,MX dan lain sebagainya. Sementara pada DNSSEC pula ditambahkan beberapa record yang bisa digunakan seperti RRSIG yang berisi tanda tangan digital dengan sandi khususnya, DNSKey yang menyimpan publik signing key yang nantinya akan digunakan pada proses otentikasi informasi, Delegation Signer yang tersimpan dalam parent zone memiliki tugas untuk memastikan semua catatan yang terdapat pada childzone tertentu dapat dipercaya, dan juga ada NSEC atau Next Secure Record yang memiliki tugas untuk memastikan bahwa informasi yang ada pada sebuah record DNS tidak ditemukan. Lantas bagaimana DNSSEC bekerja? Berikut ulasannya.
RRSet
Ini merupakan wadah yang digunakan oleh DNSSEC untuk mengelompokkan semua record yang sama, ini merupakan langkah awal yang akan dilakukan oleh DNSSEC terlebih dahulu. Tujuan dari langkah ini adalah agar proses penggunaan signature nantinya menjadi mudah.
Zone Signing Key
Di tahap selanjutnya DNS server authoritative akan memberi tanda khusus yang bernama Zone Signing Key atau disingkat dengan ZSK, yang mana akan berpasangan dengan masing-masing RRSet nya ada yang private key dan juga public key. ZSK sendiri menggunakan metode asimetri, sama halnya dengan yang diterapkan oleh keamanan SSL. Kerjanya seperti berikut ketika RRSet mendapatkan signature untuk publik key, informasi tersebut akan disimpan pada RRSIG record. Sementara public zone signing key akan disimpan dalam DNSKey record.
Key Signing Key
Key Signing Key yang disingkat dengan KSK ini perlu memvalidasi ZSk seperti yang dilakukan oleh ZSK ke RRSet, hal ini bertujuan untuk menunjukkan bahwa sistem yang ada di DNSSEC aman terutama pada zona-zona tertentu. Jika proses validasi tersebut berjalan lancar, maka bisa diartikan bahwa seluruh DNS zone yang ada aman dan dapat dipercaya seluruh sumber informasinya.
Delegation Signer atau DS
Untuk memvalidasi bahwa zone yang ada sudah aman dengan bukti dari proses sebelumnya sudah valid, DNSSEC akan memanfaatkan sistem hirarki dari DNS. Sehingga bisa diasumsikan bahwa jika parent zone sudah disebut berstatus aman, maka childzone yang mengikutinya juga akan aman.
Chain of Trust
Selanjutnya semua tahapan proses yang terjadi pada DNSSEC akan sama, tentunya untuk memastikan semua proses yang terjadi sudah valid Anda butuh untuk melakukan pencocokan data yang ada dengan sistem parent nya. Hal ini sama dengan yang terjadi pada DS record, semua proses yang terjadi akan terus berulang hingga masuk ke root dari server. Hal inilah yang kemudian dipahami sebagai pengertian dari Chain of Trust, yang merupakan dasar dari sistem DNSSEC itu sendiri.
Kesimpulan dan Penutup
DNS pada awal mula ia diterapkan, tidak ada unsur keamanan apapun di dalamnya. Sehingga beberapa kerentanan dan penyusupan ditemukan, karena hal ini kemudian sistem keamanannya pun dikembangkan ke dalam bentuk ekstensi sehingga bisa untuk ditambahkan pada protokol DNS itu sendiri. Setelahnya sistem tersebut dilakukan pemeriksaan, modifikasi hingga akhirnya disetujui sebagai standar dari Internet Engineering Task Force atau disingkat dengan IETF.
No comments:
Post a Comment