DNSSec  :  the  next  step  for  secure  internet  

Indonesia  Crea7ve  Open  Source  So:ware  2015  BALI  

Tips  aman  transaksi  online  ?  

•  Cek  dan  pas7kan  alamat  nama  domain  yang  dikunjungi  benar  !!!  

•  Pas7kan  website  menggunakan  SSL  •  Jangan  lanjutkan  transaksi  jika  ada  Security  Warning  di  browser    

Ser7fikat  SSL  

Ser7fikat  SSL  

•  SSL  berfungsi  untuk  melakukan  enkripsi  proses  transaksi  online  

•  Untuk  mendapatkan  Ser7fikat  SSL,  penyedia  jasa  SSL  akan  melakukan  verifikasi  terhadap  pengelola  nama  domain  

•  Ser7fikat  SSL  hanya  berhubungan  dengan  nama  domain,  bukan  alamat  IP  !!!!!  

 

Solusi  !!!  

•  Harus  ada  metode  untuk  verifikasi  bahwa  nama  domain  dan  alamat  IP  yang  dituju  adalah  benar,  yaitu  menggunakan  DNSSec  

Apa  itu  DNS  

•  DNS  adalah  kependekan  dari  Domain  Name  System  

•  DNS  berfungsi  untuk  menerjemahkan  nama  domain  menjadi  sebuah  alamat  IP  

•  Komputer  berkomunikasi  menggunakan  alamat  IP  

•  Lebih  mudah  mengingat  huruf/kata  dari  pada  angka  

So:ware  DNS  Server  

•  Bind  •  PowerDNS  •  Unbound  •  KnotDNS  •  DNSmasq  •  NSD  

Alamat  IP  1.    IP  (Internet  Protocol)          IP  Versi  4  (12  digit)          IP  Versi  6  (32  digit)  

2.  Nama  Domain          www.pandi.id          www.bri.co.id    

IPv4  :  203.119.112.50  IPv6  :  2001:dd8:1f:1::50  Nama  Domain  :  www.pandi.id    

Struktur  DNS  

.  root  

.id  

.co.id  

bri   lazada  

.web.id   .ac.id   .my.id   pandi.id  

.com   .net   .sg  

Cara  Kerja  DNS  

DNS  Resolver  

.  

.id  

pandi.id  

203.119.112.50  

www.contoh.co.id  

203.119.112.50  

2.  pandi.id  ??  

Kerentanan  DNS  

Stub  Resolver   Resolver  

Master  

Slave  Slave  

Zone  File  

Dinamic  Updates  

Man  in  the  middle  Adack  

Cache  Poisoning  

Modified  data  

Spoofing  Master  

Spoofing  Update  

Corrupted  Data  

Zone  Transfer  

Penaggulangan  1.  

Stub  Resolver   Resolver  

Master  

Slave  Slave  

Zone  File  

Dinamic  Updates  

Man  in  the  middle  Adack  

Cache  Poisoning  

Modified  data  

Spoofing  Master  

Spoofing  Update  

Corrupted  Data  

Zone  Transfer  

DNSSec   TSIG  

DNS  Sefng  -­‐  Firewall  

Penanggulangan  2.  

•  Bagi  pengguna  akhir  gunakan  DNS  Resolver  yang  aman.  

•  Bagi  pengelola  DNS  Resolver  pas7kan  bahwa  aplikasi  dns  nya  sudah  menggunakan  patch  terbaru  dan  dikonfigurasi  dengan  benar  

•  Bagi  pemilik  nama  domain,  pergunakan  DNSSEC  

Apa  itu  DNSSec??  

•  DNSSec  digunakan  untuk  memverifikasi  apakah  data  domain  sesuai  dengan  data  di  DNS  authorita7ve  

•  Mengubah  konsep  dari  dari  “terbuka”  dan  “saling  percaya”  menjadi  “terverifikasi”  

•  Verifikasi  data  dengan  mencocokkan  kunci  yang  ada  di  zone  turunan  dengan  kunci  yang  ada  di  zone  diatasnya.    

•  DNSSec  bukan  penggan7  SSL  •  DNSSec  bukan  untuk  enkripsi  data  •  DNSSec  bukan  untuk  menaggulangi  DDos  

Alur  Sign  Zone  

 

.  

id  

pandi.id  

SIGNED  

SIGNED  

SIGNED  

Query  DNSSEC  

DNS  Resolver  

.  (root)  

.id  

pandi.id  

Pandi.or.id  

203.119.112.50  

1  

2  

3  

5  

1.  Query  .id  di  root  server,  root  server  menginformasikan  NS  .id  2.  .id  menginformasikan  DNSKEY  ke  resolver  3.  Resolver  mencocokkan  DNSKEY  di  .id  dengan  DS  Record  .id  di  root  server  4.  .id  menginformasikan  NS  .pandi.id  5.  pandi.id  mencocokkan  DNSKEY  di  .or.id  dengan  DS  record  or.id  di  zone  .id  6.  DST  …  

4  6  

Check  DNS  

Check  DNSKEY  

PANDI  –  www.pandi.id  

•  Badan  Hukum  Perkumpulan,  bersifat  Nirlaba,  didirikan  oleh  Masyarakat  dan  Pemerintah  tahun  2006  

•  Pengelola  Nama  Domain  kode  negara  Indonesia  .id  sejak  2007  

•  Menerima  Delegasi  dari  ICANN/IANA-­‐Interna7onal  Corpora7on  for  Assign  Name  &  Numbers  Tahun  2013  

SLD  domain  .id  •  ac.id    à  perguruan  7nggi  •  sch.id    à  sekolah  •  co.id    à  perusahaan  •  go.id    à  pemerintah  •  mil.id  à  militer  /  TNI  •  my.id  à  perseorangan  •  web.id  à  perseorangan  •  desa.id  à  desa  •  .id    à  ins7tusi  &  perseorangan  

Kenapa  harus  domain  .id  ?  

•  Lebih  terpercaya  karena  menggunakan  dokumen  untuk  verifikasi  penda:aran  

•  Hemat  bandwidth  karena  server  di  dalam  negeri  

•  Iden7tas  bangsa  Indonesia  (.id)  

Cara  Da:ar  Nama  Domain  .id  hdps://www.pandi.id/content/penda:aran-­‐domain  

Ak7vasi  DNSSec  

•  Pas7kan  DNS  Server  nama  domain  sudah  mendukung  DNSSec  

•  Konfigurasi  dan  Ak7qan  DNSSec  pada  domain  anda  

•  Kirimkan  DS  (Delega7on  Signer)  Record  domain  anda  melalui  Registrar  

DNSSec  Ac7ve  •  Di  cek  melalui  plugin  hdps://www.dnssec-­‐validator.cz/pages/

download.html  

DNSSec  Ac7ve  •  Di  cek  melalui  hdp://dnsviz.net/d/pandi.id/dnssec/  

Kesimpulan  :  SSL  vs  DNSSec  1  

•  DNSSec  menggunakan  ser7fikat  digital  untuk  memverifikasi  integritas  data  DNS,  sehingga  memas7kan  bahwa  alamat  IP  nama  domain  yang  dituju  adalah  benar  

•  SSL  menggunakan  ser7fikat  digital  untuk  memverifikasi  nama  domain(dilakukan  oleh  penyedia  jasa  SSL)  

•  SSL  menggunakan  ser7fikat  digital  untuk  mengenkripsi  pertukaran  data  antara  pengguna  dengan  website  yang  dituju  

Kesimpulan  :  SSL  vs  DNSSec  2  

•  SSL  dan  DNSSec  saling  melengkapi  untuk  keamanan  website  

•  Ak7qan  SSL  dan  DNSSec  untuk  meningkatkan  keamanan  transaksi  online  website  

SSL,  DNSSec  dan  domain  .id  

SECURE

Terima  Kasih  

shidiq@pandi.id  Pengelola  Nama  Domain  Internet  Indonesia  

PANDI