Securing DNS 20120516 by ID-SIRTII team in Medan
Upcoming SlideShare
Loading in...5
×
 

Securing DNS 20120516 by ID-SIRTII team in Medan

on

  • 397 views

 

Statistics

Views

Total Views
397
Views on SlideShare
397
Embed Views
0

Actions

Likes
0
Downloads
12
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Securing DNS 20120516 by ID-SIRTII team in Medan Securing DNS 20120516 by ID-SIRTII team in Medan Presentation Transcript

  • Securing Bind DNS Id-SIRTII/CC – 2012 Document Revision 20120515
  • INTERNET
  • DNS
  • DNS“Semacam buku telepon yang terdapat di Internet”Spesifikasi Fungsi ;- Domain server- Mapping ip address ke hostname- Mapping kotak surat (@contoh.net)- Filtering (DNSBL/spam filter, Domain Filter)- Infrastruktur Distribusi
  • KOMUNIKASI DNS
  • HIRARKI DNS • com domain •net edu com • • apnic.net domain google apnic • isisun tislabs • moon • training www • ftp wwwnet ns2 ns1domain
  • KOMPONEN DNS1. DNS AUTHORITATIVE ; - Memberikan jawaban Dari Recussor - Administrasi nama domain - Database Record Resource (RR)2. DNS RECURSIVE ; - Pencari jawaban dari client - Memberi jawaban yang tepat ke client
  • RECORD RESOURCE DNSRecord Resource Database pada DNS AuthoritativeA HOSTNAMEPTR Reverse Address MappingCNAME AliasesMX Mail Exchange DomainNS Authoritative DNS
  • MODEL DNS AUTHORITATIVE NS2 secondary NS1 NS3 Primary secondary NS4 secondary
  • MODEL DNS AUTHORITATIVEPrimary DNS ;1. Menyimpan database RR domain2. Update database RR domainSecondary DNS ;1. Backup dari DNS Primary2. Menyimpan database RR domain
  • SERANGAN DNS1. DNS Reflector / Amplification
  • SERANGAN DNS- Penyerang mengirimkan permintaan DNS Query ke DNSResolverB. DNS Resolver akan meminta jawaban query ke DNSAuthoritativeC. Masalah besar jika permintaan dari Bot NetworkD. Efek ; DNS Resource, Traffic Resource, Internet Down
  • SERANGAN DNS2. DNS Cache Poisoning
  • SERANGAN DNS1. Penyerang meracuni query cache DNS Server2. User akan menggunakan fasilitas e-banking3. User meminta DNS query untuk mencari domain e-banking4. DNS Menjawab permintaan, tapi memberikan jawabansalah5. User akan membuka fasilitas e-banking yang salah.
  • SERANGAN DNS3. Distributed Denial Of Service - Salah satu teknik serangan dari DOS - Permintaan request / layanan yang secara bersamaan sehingga Resource sebuah Server mengalami gangguan. - Melibatkan Bot Network
  • SERANGAN DNS4. Bind SpoofingSecara umum, bind paling banyak digunakan olehbanyak system administrator Query yang dihasilkan mudah untuk ditebak http://www.trusteer.com/list-context/publications/bind-9-dns-cache-poisoning Source UDP Port mudah ditebak Hasil dari spoofing ada DNS Cache Poisoning
  • Preventive Bind DNS1. Menggunakan Bind versi terbaru Versi terbaru Bind Software ; Bind 9.9.0 Bind 9.8.2 Bind 9.7.5 Versi terbaru dari bind dapat dilihat di ; http://www.isc.org/software/bind
  • Preventive Bind DNS2. Preventive Bind Server Infrastruktur Hindari untuk menggunakan 1 subnet Hindari untuk menggunakan 1 router Hindari untuk menggunakan 1 leases line/backbone Menggunakan slave server yang berada jauh secara jaringan Menggunakan metode DNS Proxying
  • Preventive Bind DNSContoh Implementasi DNS Proxying NS1 DNS NS2 NS3
  • Preventive Bind DNSDNS adalah nameserver yang hanya sebagai primary dnsDNS tidak listing di registarNS 1 – NS 3 adalah nameserver yang terdaftar di Registar
  • Preventive Bind DNS3. Filter Traffic Bind DNS Server Gunakan host anda hanya untuk server bind. Filter semua traffic, kecuali UDP dan TCP port 53 - Router - Firewall Host Contoh filter iptables (Linux Firewall); # iptables -A INPUT -p tcp -m tcp –-dport 53 -j ACCEPT # iptables -A INPUT -p udp -m udp –-dport 53 -j ACCEPT # iptables -P INPUT DROP
  • Preventive Bind DNS4. Membatasi database zona transfer named.confTujuan untuk mengindari crackers untuk melihat contentDatabase Zona ( Resource Records), Host demographicContoh :options {allow-transfer { 206.168.119.178; };};
  • Preventive Bind DNS5. Authentifikasi Transfer Zone named.conf Komunikasi antar server pada saat transfer database zona domain dengan menggunakan transfer signature (Tsig) Contoh di primary server : key dilarang-mengintip { algorithm hmac-md5; secret “mZiMNOUYQPMNwsDzrX2ENw==”; }; zone “contoh.com” { type master; file “db.contoh.com”; allow-transfer { key dilarang-mengintip; }; };
  • Preventive Bind DNSContoh di slave server named.confkey dilarang-mengintip {algorithm hmac-md5;secret “mZiMNOUYQPMNwsDzrX2ENw==”;};server 208.8.5.250 {transfer-format many-answers;keys { dilarang-mengintip.; };};zone “contoh.com” {type slave;file “bak.contoh.com”;allow-transfer { none; };};
  • Preventive Bind DNS6. Mengamankan server dari serangan cache poisoning Dengan menerima request query dari internet, bind server akan mudah dicari kelemahannya Mematikan opsi recursive dari internet; Contoh options { recursion no; };
  • Preventive Bind DNSMembatasi layanan queryContoh :acl internal { 206.168.119.176/29; };options {directory “/var/named”;allow-query { internal; };};zone “contoh.com” {type master;file “db.contoh.com”;allow-query { any; };};
  • Preventive Bind DNS7. Menjalankan aplikasi bind di lingkungan chroot dan Dijalankan oleh user selain root (named) Chroot adalah metode direktori virtual Jika terjadi incident, maka attacker tidak sampai memasuki sistem utama Contoh struktur chroot : /var/named/chroot/etc /var/named/chroot/var/named/data .......
  • Preventive Bind DNS8. DNS Security Extension (DNSSEC) Tindakan preventive dari serangan cyber Memastikan proses query yang valid Semacam SSL authentication DNS
  • Preventive Bind DNS8.1 Deploy DNSSec Enable DNSSec pada authoritative servers ; options { dnssec­enable yes; }; Enable DNSSec pada resursive servers ; options { dnssec­enable yes; dnssec­validation yes; }; “ Package ssl harus ada pada server ”
  • Preventive Bind DNSDNSSec membutuhkan 2 key yaitu ZSK dan KSK;ZSK = berfungsi sebagai signature data pada zoneKSK = berfungsi sebagai signature dari zona sign key (ZSK)Membuat KSK ;#dnssec-keygen -r /dev/random -f KSK -a RSASHA1 -b 2048-n ZONE contoh.comMembuat ZSK ;#dnssec-keygen -r /dev/random -a RSASHA1 -b 1024 -nZONE contoh.comDari perintah diatas, masing – masing menghasilkan 2 fileyaitu.key dan .private
  • Preventive Bind DNSMemasukan hasil dari zsk dan ksk kedalam database zonadomain;$INCLUDE *.keySigning database zona domain;#dnssec-signzone -l dlv.isc.org -r /dev/random -ocontoh.com -k Kcontoh.com.+005+aaaaa contoh.com.db Kcontoh.com.+005+bbbbb.keyaaaaa adalah KSK key dan bbbbb adalah ZSK keyHasil dari signing diatas adalah contoh.signed
  • Preventive Bind DNSMengaktifkan statement trusted-keys ;Contoh pada named.conf; trusted-keys { dlv.isc.org. 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+ju oZrW3euWEn4MxDCE1+lLy2brhQv5rN32RKtMzX6Mj70jdzeND4XknW58 dnJNPCxn8+jAGl2FZLK8t+1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0 PG73Te9fZ2kJb56dhgMde5ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTw FlgPe+jnGxPPEmHAte/URkY62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOw IeU/Rw/mRx/vwwMCTgNboMQKtUdvNXDrYJDSHZws3xiRXF1Rf+al9Um Z fSav/4NWLKjHzpT59k/VStTDN0YUuWrBNh"; };
  • Preventive Bind DNSEnable logging bind DNS ;Contoh ;logging { channel dnssec_log { file "log/dnssec" size 20m; print-time yes; print-category yes; print-severity yes; severity debug 3; }; category dnssec { dnssec_log; };};
  • Preventive Bind DNSUpdate nama zona database pada named.confContoh ;rubahzone “zonename” { file “dir/zonefile”;};denganzone “zonename” { file “dir/zonefile.signed”;};
  • Preventive Bind DNS9. Referensi- https://dlv.isc.org- DNS ATTACKS “ HIMANSHU PRABHAKAR”- Security challenges in DNS “Philippe Camacho“- Introduction to DNSSEC “ Tom Daly”- http://www.cymru.com
  • Terimakasih