Langkah demi langkah DNSSEC setup (MyNIC - Cloudflare)
Hari ini sementara menunggu kereta diservis di Pusat servis, saya ceritakan langkah-langkah setup DNSSEC MyNIC - Cloudflare kerana puas menggoogle, tidak ketemu manual atau documentasi tersebut. Saya menulis artikel ini sebagai rujukan saya pada masa akan datang dan kawan-kawan yang ingin merujuk.
Apa itu DNSSEC
Menurut Wikipedia, DNSSEC direka untuk mempertahankan aplikasi daripda menggunakan 'forged' atau manipulasi DNS data seperti ancaman "DNS cache poisoning". Semua transaksi daripada DNSSEC protected zone di'sign' secara digital. Dengan menyemak Digital SIgnature, DNS resolver boleh memastikan sama ada maklumat DNS (seperti TXT, MX, A record) tersebut sama (tidak diubah atau dimanipulasi) dengan maklumat yang dipaparkan oleh Zone Owner (pemilik). Ini dapat memastikan langkah-langkah keselamatan seterusnya untuk aplikasi lain seperti SSH fingerprints, IPSec Public Keys dan TLS Trust Anchors.
Senang cerita ia adalah protokol keselamatan untuk memastikan nama domain tersebut datang dari sumber yang betul lagi sahih ketika melayari laman sesawang domain tersebut. DNS Spoof dilakukan seperti rajah 1, manakala DNSSEC menggunakan kaedah seperti di rajah 2 untuk mengatasi ancaman DNS spoof.
Menurut Wikipedia, DNSSEC direka untuk mempertahankan aplikasi daripda menggunakan 'forged' atau manipulasi DNS data seperti ancaman "DNS cache poisoning". Semua transaksi daripada DNSSEC protected zone di'sign' secara digital. Dengan menyemak Digital SIgnature, DNS resolver boleh memastikan sama ada maklumat DNS (seperti TXT, MX, A record) tersebut sama (tidak diubah atau dimanipulasi) dengan maklumat yang dipaparkan oleh Zone Owner (pemilik). Ini dapat memastikan langkah-langkah keselamatan seterusnya untuk aplikasi lain seperti SSH fingerprints, IPSec Public Keys dan TLS Trust Anchors.
Senang cerita ia adalah protokol keselamatan untuk memastikan nama domain tersebut datang dari sumber yang betul lagi sahih ketika melayari laman sesawang domain tersebut. DNS Spoof dilakukan seperti rajah 1, manakala DNSSEC menggunakan kaedah seperti di rajah 2 untuk mengatasi ancaman DNS spoof.
(Rajah 1 -Sumber: https://www.keycdn.com/support/dns-spoofing ). Bayangkan attacker boleh memalukan sesebuah organisasi dengan mengalihkan trafik ke laman sesawang di mana kandungannya telah diubah atau laman sesawang yang mengandungi kandungan yang tidak senonoh.
(Rajah 2 - Sumber: https://www.thesecuritybuddy.com/securing-dns/dnssec-or-domain-name-system-security-extensions/)
Contohnya anda hendak login akaun anda di Lazada.com.my. Anda ingat anda login di lazada, rupanya-rupanya server lain yang sebiji macam lazada. Anda tentu tidak mahu nama pengguna dan kata laluan anda jatuh ke tangan orang lain. DNSSEC bertujuan untuk mengelakkan domain seperti lazada.com.my dari di 'spoof' oleh pihak yang tidak bertanggungjawab. Dengan menggunakan digital signature, DNS resolver menyemak tandatangan digital daripada pemilik domain tersebut (Zone Owner) dan memastikan rekod-rekod yang dipaparkan oleh DNS adalah betul. Saya akan menulis satu artikel menerangkan apa itu DNS di sini.
Ancaman DNS spoof adalah serius dan boleh mengakibatkan kerugian jutaan ringgit dalam bentuk kehilangan urusan transaksi atau pencemaran imej untuk syarikat-syarikat besar seperti AirAsia.com, Lazada, Shopee dan lain-lain. Saham syarikat juga boleh merudum apabila melibatkan kerosakan kedibiliti.
Pra-Syarat
Sebelum mengikut langkah-langkah di di bawah nanti, anda perlulah mempunyai kelayakan seperti berikut:
- Anda telah mempunyai nama domain. Sekiranya belum, bolehlah beli daripada salah satu domain (.my, .com.my, .net.my dll... dengan hujungnya .my) name reseller MyNIC seperti Exabytes.my. Untuk TLD yang lain seperti .com, .net, .biz .. boleh lah beli dengan GoDaddy.com
- Anda adalah Technical Contact untuk domain tersebut. Sekiranya belum, bolehlah melantik diri sendiri sebagai Technical Contact di MyNIC. Sila ikuti artikel ini.
- Anda telah mempunyai akaun Cloudflare. Sign Up adalah PERCUMA.
- Anda telah mengubah nameserver ke Cloudflare. Anda boleh login ke Cloudflare untuk manage DNS.
- Periksa status DNS anda di http://dnsviz.net/
DNS yang belum di 'secure' menggunakan DNSSEC statusnya lebih kurang seperti ini:
Setup DNSSEC
1. Login ke Cloudflare. Pilih nama domain dan pilih DNS. Scroll ke bawah. Klik Enable DNSSEC
2. Copy Digital Signature (DS) Record.
3. Login ke MyNIC. Pilih MyNIC Domain Management System. Klik DNSSEC --> Enable/Disable DNSSEC. Search domain name, select domain name berkenaan dan klik Enable, Agree to Term and Conditions dan Submit.
4. Update Key untuk DNSSEC. Klik Domain Name --> DNSSEC --> Update Key. Search domain name tadi, pilih dan klik Retrieve Key from server. Langkah ini untuk memuat turun Digital Signature key yang telah dicipta di Cloudflare selaku Domain Name Server.
Pra-Syarat
Sebelum mengikut langkah-langkah di di bawah nanti, anda perlulah mempunyai kelayakan seperti berikut:
- Anda telah mempunyai nama domain. Sekiranya belum, bolehlah beli daripada salah satu domain (.my, .com.my, .net.my dll... dengan hujungnya .my) name reseller MyNIC seperti Exabytes.my. Untuk TLD yang lain seperti .com, .net, .biz .. boleh lah beli dengan GoDaddy.com
- Anda adalah Technical Contact untuk domain tersebut. Sekiranya belum, bolehlah melantik diri sendiri sebagai Technical Contact di MyNIC. Sila ikuti artikel ini.
- Anda telah mempunyai akaun Cloudflare. Sign Up adalah PERCUMA.
- Anda telah mengubah nameserver ke Cloudflare. Anda boleh login ke Cloudflare untuk manage DNS.
- Periksa status DNS anda di http://dnsviz.net/
DNS yang belum di 'secure' menggunakan DNSSEC statusnya lebih kurang seperti ini:
Gambar di atas menunjukkan maklumat yang diberikan oleh nameserver domain tersebut belum di 'secure'. Maklumat-maklumat tersebut seperti A record, TXT record, NS (NameServer) record, MX (Mail eXchanger) record.
Setup DNSSEC
1. Login ke Cloudflare. Pilih nama domain dan pilih DNS. Scroll ke bawah. Klik Enable DNSSEC
2. Copy Digital Signature (DS) Record.
4. Update Key untuk DNSSEC. Klik Domain Name --> DNSSEC --> Update Key. Search domain name tadi, pilih dan klik Retrieve Key from server. Langkah ini untuk memuat turun Digital Signature key yang telah dicipta di Cloudflare selaku Domain Name Server.
Gambar di atas menunjukkan Digital Signature Key yang berjaya dimuat turun daripada DNS Cloudflare. Sekiranya langkah 1 tidak dibuat, ia akan memaparkan unable to Retrieve Key. Klik Update Key Status. Status akan bertukar kepada Pending Publish. Tunggu beberapa jam sebelum status bertukar kepada Publish.
Selepas itu boleh lah semak status DNS domain name anda di DNS Visualizer.
Sekarang DS Key saya dah published. Boleh lihat status di MyNIC.
Status di dnsvis.net juga telah berubah seperti berikut:
Sekian, selamat mencuba.
No comments:
Post a Comment