- Keamanan Administrasi: mencakup penggunaan hak akses file, konfigurasi server, konfigurasi BIND, dan sandboxes (atau chroot jail’s).
- Zona Transfer: membatasi dan mengendalikan baik sumber dan tujuan operasi transfer dengan keamanan fisik, BIND parameter, atau eksternal
firewall. - Dynamic Update: melakukan pencarian untuk mendeteksi adanya file yang tidak bisa digunakan, hilang, atau terkena virus.
- Zone Intregrity: sangat penting, bahwa zona data yang digunakan oleh salah satu DNS lain atau end User(klient) benar (yaitu, tanggapan query belum dirusak dan kembali data hanya berasal dari pemilik zona), maka DNSSEC(DNS Security) diperlukan.
DNS Data Flow
Gambar dibawah ini mengingatkan sebagian hal yang dapat menjadi ancaman dalam jalannya data.
Tabel di bawah ini menunjukan apa saja ancaman yang akan terjadi dalam jalur data.
Klasifikasi Keamanan
Klasifikasi keamanan merupakan sarana untuk memungkinkan pemilihan solusi yang tepat untuk menghindari risiko. Banyak metode-metode berikut ini dijelaskan.
• Ancaman Lokal : ancaman lokal biasanya yang paling sederhana untuk dicegah, dan biasanya diimplementasikan hanya dengan menjaga kebijakan administrasi sistem. zona Semua file dan file konfigurasi lainnya DNS harus tepat membaca dan menulis akses, dan harus aman didukung dalam repositori CVS. Stealth (atauSplit
• Server-server: Jika sebuah organisasi dibawah menjalankan DNS server, perlu untuk dibuatnya zona transfer. Seperti disebutkan sebelumnya, adalah mungkin untuk menjalankan beberapa-master server DNS, bukan dari server master-slave, dan dengan demikian menghindari masalah. Jika zona transfer diperlukan, BIND menawarkan beberapa parameter konfigurasi yang dapat digunakan untuk mini-mize risiko yang terdapat dalam proses. TSIG dan Transaksi KEY (TKEY) juga menawarkan aman metode untuk otentikasi meminta sumber-sumber dan tujuan.Transfer fisik dapat diamankan dengan menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS).
• Server-server : default BIND adalah untuk menyangkal Dynamic DNS (DDNS) dari semua sumber. Jika sebuah organisasi memerlukan fitur ini, maka BIND menyediakan sejumlah konfigurasi parameter untuk meminimalkan risiko yang terkait; ini dijelaskan secara rinci nanti dalam bab. Jaringan desain arsitektur-yaitu, semua sistem yang terlibat dalam terpercaya perimeter-lebih lanjut dapat mengurangi eksposur tersebut. TSIG dan SIG (0) dapat digunakan untuk mengamankan transaksi dari sumber eksternal.
• Server-klien: Kemungkinan keracunan cache jauh karena spoofing IP, data antar- ception, dan hacks lainnya mungkin sangat rendah dengan situs web sederhana. Namun, jika situs tersebut profil tinggi, volume tinggi, terbuka untuk ancaman kompetitif, atau merupakan penghasil pendapatan yang tinggi, maka biaya dan kompleksitas penerapan solusi DNSSEC skala penuh mungkin bernilai-sementara. Upaya yang signifikan sedang diinvestasikan oleh pengembang perangkat lunak, Registry Operator, yang RIR, dan operator root-server, antara lain banyak, ke DNSSEC. Kita cenderung melihat signifikan trickle-down efek dalam waktu dekat dalam domain publik, serta dalam kelompok dikontrol seperti intranet dan extranet.
• Klien-klien (5): standar DNSSEC.bis mendefinisikan konsep keamanan sadar
penyelesai-suatu saat entitas-mitos yang dapat memilih untuk menangani semua validasi keamanan
langsung, dengan nama lokal server bertindak sebagai gateway komunikasi pasif.
Klasifikasi keamanan merupakan sarana untuk memungkinkan pemilihan solusi yang tepat untuk menghindari risiko. Banyak metode-metode berikut ini dijelaskan.
• Ancaman Lokal : ancaman lokal biasanya yang paling sederhana untuk dicegah, dan biasanya diimplementasikan hanya dengan menjaga kebijakan administrasi sistem. zona Semua file dan file konfigurasi lainnya DNS harus tepat membaca dan menulis akses, dan harus aman didukung dalam repositori CVS. Stealth (atau
• Server-server: Jika sebuah organisasi dibawah menjalankan DNS server, perlu untuk dibuatnya zona transfer. Seperti disebutkan sebelumnya, adalah mungkin untuk menjalankan beberapa-master server DNS, bukan dari server master-slave, dan dengan demikian menghindari masalah. Jika zona transfer diperlukan, BIND menawarkan beberapa parameter konfigurasi yang dapat digunakan untuk mini-mize risiko yang terdapat dalam proses. TSIG dan Transaksi KEY (TKEY) juga menawarkan aman metode untuk otentikasi meminta sumber-sumber dan tujuan.Transfer fisik dapat diamankan dengan menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS).
• Server-server : default BIND adalah untuk menyangkal Dynamic DNS (DDNS) dari semua sumber. Jika sebuah organisasi memerlukan fitur ini, maka BIND menyediakan sejumlah konfigurasi parameter untuk meminimalkan risiko yang terkait; ini dijelaskan secara rinci nanti dalam bab. Jaringan desain arsitektur-yaitu, semua sistem yang terlibat dalam terpercaya perimeter-lebih lanjut dapat mengurangi eksposur tersebut. TSIG dan SIG (0) dapat digunakan untuk mengamankan transaksi dari sumber eksternal.
• Server-klien: Kemungkinan keracunan cache jauh karena spoofing IP, data antar- ception, dan hacks lainnya mungkin sangat rendah dengan situs web sederhana. Namun, jika situs tersebut profil tinggi, volume tinggi, terbuka untuk ancaman kompetitif, atau merupakan penghasil pendapatan yang tinggi, maka biaya dan kompleksitas penerapan solusi DNSSEC skala penuh mungkin bernilai-sementara. Upaya yang signifikan sedang diinvestasikan oleh pengembang perangkat lunak, Registry Operator, yang RIR, dan operator root-server, antara lain banyak, ke DNSSEC. Kita cenderung melihat signifikan trickle-down efek dalam waktu dekat dalam domain publik, serta dalam kelompok dikontrol seperti intranet dan extranet.
• Klien-klien (5): standar DNSSEC.bis mendefinisikan konsep keamanan sadar
penyelesai-suatu saat entitas-mitos yang dapat memilih untuk menangani semua validasi keamanan
langsung, dengan nama lokal server bertindak sebagai gateway komunikasi pasif.
Beberapa perintah yang dapat digunakan:
- Untuk melihat proses
# PS aux |grep named
- Untuk membuat grup dan menseting runtime
# groupadd -r named
# useradd -c 'Bind daemon' -d /var/named -s /sbin/nologin -g named -r named
- Untuk mengatur hak akses
# cd /var/log
# mkdir named
# touch named/example.log
# chown named:dnsadmin named/*
# chmod 0660 named/*
# cd /var/run
# mkdir named
# touch named/named.pid
# chown named:named/*
# chmod 0664 named/*
- Untuk mempassword dir yang digunakan
# cd /var/named
# chown named:named keys/*
# chmod 04000 keys/*
- Untuk mensetting hak akses
# cd /var/named
# chown -R dnsadmin:root master/private/*
chmod -R 0660 master/private/*
Tidak ada komentar:
Posting Komentar