Daftar Isi:
Pada bulan April, seorang hacker Belanda ditangkap karena apa yang disebut sebagai penolakan serangan layanan terdistribusi terbesar yang pernah ada. Serangan itu dilakukan pada Spamhaus, sebuah organisasi anti-spam, dan menurut ENISA, badan keamanan TI Uni Eropa, beban infrastruktur Spamhaus mencapai 300 gigabit per detik, tiga kali dari rekor sebelumnya. Ini juga menyebabkan kemacetan Internet yang besar, dan membuat infrastruktur Internet macet di seluruh dunia.
Tentu saja, serangan DNS jarang terjadi. Tetapi sementara peretas dalam kasus Spamhaus hanya bermaksud untuk merusak sasarannya, dampak yang lebih besar dari serangan itu juga menunjukkan apa yang oleh banyak orang disebut sebagai cacat utama dalam infrastruktur Internet: Sistem Nama Domain. Akibatnya, serangan baru-baru ini pada infrastruktur DNS inti telah membuat teknisi dan pengusaha sama-sama mencari solusi. Jadi bagaimana denganmu? Penting untuk mengetahui opsi apa yang Anda miliki untuk memperkuat infrastruktur DNS bisnis Anda sendiri serta bagaimana server root DNS beroperasi. Jadi mari kita lihat beberapa masalah, dan apa yang dapat dilakukan bisnis untuk melindungi diri mereka sendiri. (Pelajari lebih lanjut tentang DNS dalam DNS: One Protocol to Rule Them All.)
Infrastruktur yang Ada
Domain Name System (DNS) berasal dari waktu yang dilupakan Internet. Tapi itu tidak menjadikannya berita lama. Dengan ancaman serangan cyber yang terus berubah, DNS telah mendapat banyak perhatian selama bertahun-tahun. Dalam masa pertumbuhannya, DNS tidak menawarkan bentuk otentikasi untuk memverifikasi identitas pengirim atau penerima pertanyaan DNS.
Bahkan selama bertahun-tahun, server nama inti, atau server root, telah mengalami serangan yang luas dan beragam. Saat ini mereka secara geografis beragam dan dioperasikan oleh berbagai jenis lembaga, termasuk badan pemerintah, entitas komersial dan universitas, untuk menjaga integritas mereka.
Yang mengkhawatirkan, beberapa serangan telah agak berhasil di masa lalu. Serangan yang melumpuhkan pada infrastruktur server root, misalnya, terjadi pada tahun 2002 (baca laporannya di sini). Meskipun tidak membuat dampak yang nyata bagi sebagian besar pengguna Internet, itu memang menarik perhatian FBI dan Departemen Keamanan Dalam Negeri AS karena sangat profesional dan sangat bertarget, mempengaruhi sembilan dari 13 server root yang beroperasi. Seandainya itu bertahan lebih dari satu jam, para ahli mengatakan, hasilnya bisa menjadi bencana, membuat elemen infrastruktur DNS Internet semuanya tidak berguna.
Untuk mengalahkan bagian integral dari infrastruktur Internet akan memberikan penyerang yang sukses banyak kekuatan. Akibatnya, waktu dan investasi yang signifikan telah diterapkan pada masalah pengamanan infrastruktur root server. (Anda dapat melihat peta yang menunjukkan server root dan layanan mereka di sini.)
Mengamankan DNS
Selain infrastruktur inti, sama pentingnya untuk mempertimbangkan seberapa kuat infrastruktur DNS bisnis Anda sendiri terhadap serangan dan kegagalan. Sebagai contoh umum (dan dinyatakan dalam beberapa RFC) bahwa server nama harus berada di subnet atau jaringan yang sama sekali berbeda. Dengan kata lain, jika ISP A memiliki pemadaman penuh dan server nama utama Anda offline, maka ISP B akan tetap melayani data DNS utama Anda kepada siapa pun yang memintanya.
Ekstensi Keamanan Sistem Nama Domain (DNSSEC) adalah salah satu cara paling populer yang dapat dilakukan oleh perusahaan untuk mengamankan infrastruktur server nama mereka sendiri. Ini adalah add-on untuk memastikan bahwa mesin yang terhubung ke server nama Anda sesuai dengan isinya. DNSSEC juga memungkinkan otentikasi untuk mengidentifikasi dari mana permintaan berasal, serta memverifikasi bahwa data itu sendiri belum diubah dalam perjalanan. Namun, karena sifat umum Sistem Nama Domain, kriptografi yang digunakan tidak menjamin kerahasiaan data, juga tidak memiliki konsep ketersediaan jika bagian infrastruktur mengalami kegagalan dari beberapa deskripsi.
Sejumlah catatan konfigurasi digunakan untuk menyediakan mekanisme ini termasuk tipe catatan RRSIG, DNSKEY, DS dan NSEC. (Untuk info lebih lanjut, lihat 12 Catatan DNS Dijelaskan.)
RRISG digunakan kapan pun DNSSEC tersedia untuk mesin yang mengirimkan kueri dan yang mengirimkannya. Catatan ini dikirimkan bersamaan dengan jenis catatan yang diminta.
DNSKEY yang berisi informasi yang ditandatangani mungkin terlihat seperti ini:
ripe.net memiliki catatan DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Catatan DS, atau penanda tangan yang didelegasikan, digunakan untuk membantu mengautentikasi rantai kepercayaan sehingga orang tua dan zona anak dapat berkomunikasi dengan tingkat kenyamanan tambahan.
NSEC, atau aman berikutnya, entri pada dasarnya melompat ke entri yang valid berikutnya dalam daftar entri DNS. Ini adalah metode yang dapat digunakan untuk mengembalikan entri DNS yang tidak ada. Ini penting agar hanya entri DNS yang dikonfigurasi yang dipercaya sebagai asli.
NSEC3, sebuah mekanisme keamanan yang ditingkatkan untuk membantu mengurangi serangan gaya kamus, disahkan pada Maret 2008 di RFC 5155.
Penerimaan DNSSEC
Meskipun banyak pendukung telah berinvestasi dalam menggunakan DNSSEC, itu bukan tanpa kritik. Meskipun kemampuannya untuk membantu menghindari serangan seperti serangan man-in-the-middle, di mana kueri dapat dibajak dan disalahgunakan secara tidak sengaja tanpa disadari oleh mereka yang menghasilkan kueri DNS, ada dugaan masalah kompatibilitas dengan bagian tertentu dari infrastruktur Internet yang ada. Masalah utama adalah bahwa DNS biasanya menggunakan User Datagram Protocol (UDP) yang kurang bandwidth, sedangkan DNSSEC menggunakan Transmission Control Protocol (TCP) yang lebih berat untuk meneruskan data berulang-ulang untuk keandalan dan akuntabilitas yang lebih besar. Sebagian besar infrastruktur DNS lama, yang dibumbui dengan jutaan permintaan DNS 24 jam sehari, tujuh hari seminggu, mungkin tidak mampu meningkatkan lalu lintas. Meski begitu, banyak yang percaya bahwa DNSSEC adalah langkah besar menuju pengamanan infrastruktur Internet.
Meskipun tidak ada yang dijamin dalam hidup Anda, meluangkan waktu untuk mempertimbangkan risiko Anda sendiri dapat mencegah banyak sakit kepala yang mahal di masa depan. Dengan menggunakan DNSSEC, misalnya, Anda dapat meningkatkan kepercayaan Anda pada bagian-bagian infrastruktur DNS utama Anda.