Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Domain Name System Security Extensions (DNSSEC) adalah serangkaian ekstensi yang menambahkan keamanan ke protokol Sistem Nama Domain (DNS) dengan mengaktifkan respons DNS untuk divalidasi. DNSSEC menyediakan otoritas asal, integritas data, dan penolakan keberadaan yang diautentikasi. Dengan DNSSEC, protokol DNS jauh lebih rentan terhadap jenis serangan tertentu, terutama serangan spoofing DNS.
Cara kerja DNSSEC
Zona DNS dapat diamankan dengan DNSSEC menggunakan proses yang disebut penandatanganan zona saat digunakan dengan server DNS otoritatif yang mendukung DNSSEC. Menandatangani zona dengan DNSSEC menambahkan dukungan validasi ke zona tanpa mengubah mekanisme dasar kueri dan respons DNS.
Validasi respons DNS terjadi dengan menggunakan tanda tangan digital yang disertakan dengan respons DNS. Tanda tangan digital ini terkandung dalam rekaman sumber daya terkait DNSSEC yang dihasilkan dan ditambahkan ke zona selama penandatanganan zona.
Ekstensi DNSSEC inti ditentukan dalam Permintaan Komentar (RFC) berikut.
- RFC 4033: "Pengantar dan Persyaratan Keamanan DNS"
- RFC 4034: "Catatan Sumber Daya untuk Ekstensi Keamanan DNS"
- RFC 4035: "Modifikasi Protokol untuk Ekstensi Keamanan DNS"
Gambar berikut ini memperlihatkan contoh catatan sumber daya DNS untuk zona contoso.com sebelum dan sesudah penandatanganan zona.
Untuk informasi selengkapnya tentang setiap rekaman sumber daya ini, lihat Catatan sumber daya DNSSEC.
Rekaman sumber daya DNSSEC
Tabel berikut ini memperlihatkan tipe catatan sumber daya yang digunakan dengan DNSSEC.
| Jenis catatan sumber daya | Deskripsi |
|---|---|
| Tanda tangan rekaman sumber daya (RRSIG) | Tanda tangan yang dihasilkan dengan DNSSEC terkandung dalam catatan RRSIG. Setiap rekaman RRSIG dicocokkan dengan rekaman lain di zona yang memberikan tanda tangan digital. Saat sebuah resolver mengeluarkan kueri untuk sebuah nama, satu atau beberapa rekaman RRSIG dikembalikan dalam respons. |
| Aman Berikutnya (NSEC) | Catatan NSEC digunakan untuk membuktikan tidak adanya nama DNS. Catatan NSEC mencegah serangan spoofing yang dimaksudkan untuk mengelabui klien DNS untuk percaya bahwa nama DNS tidak ada. |
| Berikutnya Aman 3 (NSEC3) | NSEC3 adalah pengganti atau alternatif untuk NSEC yang mencegah berjalannya zona. Zona walking adalah proses mengulangi kueri NSEC untuk mengambil semua nama dalam zona. Server DNS yang menjalankan sistem operasi Windows Server 2012 atau yang lebih baru mendukung NSEC dan NSEC3. Zona dapat ditandatangani dengan NSEC atau NSEC3, tetapi tidak keduanya. |
| Parameter Aman 3 Berikutnya (NSEC3PARAM) | Catatan NSEC3PARAM digunakan untuk menentukan rekaman NSEC3 mana yang akan disertakan dalam respons untuk nama DNS yang tidak ada. |
| Kunci DNS (DNSKEY) | Catatan sumber daya DNSKEY menyimpan kunci kriptografi publik yang digunakan untuk memverifikasi tanda tangan. Catatan DNSKEY digunakan oleh server DNS selama proses validasi. Rekaman DNSKEY dapat menyimpan kunci publik untuk kunci penandatanganan zona (ZSK) atau kunci penandatanganan kunci (KSK). |
| Penanda tangan Delegasi (DS) | Catatan DS adalah tipe catatan DNSSEC yang digunakan untuk mengamankan delegasi. Rekaman DS digunakan untuk membangun rantai autentikasi ke zona anak. |
Kecuali untuk catatan DS, semua rekaman ini ditambahkan ke zona secara otomatis saat ditandatangani dengan DNSSEC. Rekaman DS adalah rekaman khusus yang dapat ditambahkan secara manual ke zona induk untuk membuat delegasi aman untuk zona anak. Misalnya, zona contoso.com dapat berisi rekaman DS untuk secure.contoso.com. Namun rekaman ini harus dibuat di zona induk, atau dibuat di zona anak lalu disebarluaskan ke zona induk. Catatan DS tidak dibuat secara otomatis saat Anda menandatangani zona.
Rekaman NSEC atau NSEC3 secara otomatis ditambahkan ke zona selama penandatanganan zona. Namun, zona yang telah ditandatangani tidak dapat memiliki catatan NSEC atau NSEC3. Jenis rekaman (NSEC atau NSEC3) yang ditambahkan ke zona tergantung pada bagaimana penandatanganan zona dikonfigurasi. Dalam contoh sebelumnya, zona ditandatangani menggunakan NSEC3.
Jangkar kepercayaan
Catatan sumber daya DNSKEY dan DS juga disebut trust anchors atau trust points. Jangkar kepercayaan harus didistribusikan ke semua server DNS non-otoritatif yang melakukan validasi DNSSEC untuk respons DNS pada zona yang ditandatangani. Jika server DNS berjalan pada pengendali domain, jangkar-jangkar kepercayaan disimpan di partisi direktori hutan dalam Active Directory Domain Services (AD DS) dan dapat direplikasi ke semua pengendali domain di hutan. Pada server DNS mandiri, jangkar kepercayaan disimpan dalam file bernama TrustAnchors.dns.
Gunakan Windows PowerShell untuk melihat jangkar kepercayaan untuk zona menggunakan perintah Get-DnsServerTrustAnchor . Untuk menampilkan semua titik kepercayaan saat ini di server, gunakan perintah Get-DnsServerTrustPoint PowerShell. Server DNS yang menjalankan Windows Server 2012 atau sistem operasi yang lebih baru juga menampilkan jangkar kepercayaan yang dikonfigurasi di pohon konsol Manajer DNS di kontainer Trust Points .
Langkah selanjutnya
Untuk mempelajari selengkapnya tentang cara DNSSEC menggunakan catatan sumber daya untuk memvalidasi dan mengamankan respons DNS, lihat Memvalidasi respons DNS.