DNSSEC - the next step for secure internet , ICROSS 2015
1. DNSSec
:
the
next
step
for
secure
internet
Indonesia
Crea7ve
Open
Source
So:ware
2015
BALI
2.
3. Tips
aman
transaksi
online
?
• Cek
dan
pas7kan
alamat
nama
domain
yang
dikunjungi
benar
!!!
• Pas7kan
website
menggunakan
SSL
• Jangan
lanjutkan
transaksi
jika
ada
Security
Warning
di
browser
5. Ser7fikat
SSL
• SSL
berfungsi
untuk
melakukan
enkripsi
proses
transaksi
online
• Untuk
mendapatkan
Ser7fikat
SSL,
penyedia
jasa
SSL
akan
melakukan
verifikasi
terhadap
pengelola
nama
domain
• Ser7fikat
SSL
hanya
berhubungan
dengan
nama
domain,
bukan
alamat
IP
!!!!!
6. Solusi
!!!
• Harus
ada
metode
untuk
verifikasi
bahwa
nama
domain
dan
alamat
IP
yang
dituju
adalah
benar,
yaitu
menggunakan
DNSSec
7. Apa
itu
DNS
• DNS
adalah
kependekan
dari
Domain
Name
System
• DNS
berfungsi
untuk
menerjemahkan
nama
domain
menjadi
sebuah
alamat
IP
• Komputer
berkomunikasi
menggunakan
alamat
IP
• Lebih
mudah
mengingat
huruf/kata
dari
pada
angka
9. Alamat
IP
1.
IP
(Internet
Protocol)
IP
Versi
4
(12
digit)
IP
Versi
6
(32
digit)
2.
Nama
Domain
www.pandi.id
www.bri.co.id
IPv4
:
203.119.112.50
IPv6
:
2001:dd8:1f:1::50
Nama
Domain
:
www.pandi.id
10. Struktur
DNS
.
root
.id
.co.id
bri
lazada
.web.id
.ac.id
.my.id
pandi.id
.com
.net
.sg
11. Cara
Kerja
DNS
DNS
Resolver
.
.id
pandi.id
203.119.112.50
www.contoh.co.id
203.119.112.50
2.
pandi.id
??
12. Kerentanan
DNS
Stub
Resolver
Resolver
Master
Slave
Slave
Zone
File
Dinamic
Updates
Man
in
the
middle
Adack
Cache
Poisoning
Modified
data
Spoofing
Master
Spoofing
Update
Corrupted
Data
Zone
Transfer
13. Penaggulangan
1.
Stub
Resolver
Resolver
Master
Slave
Slave
Zone
File
Dinamic
Updates
Man
in
the
middle
Adack
Cache
Poisoning
Modified
data
Spoofing
Master
Spoofing
Update
Corrupted
Data
Zone
Transfer
DNSSec
TSIG
DNS
Sefng
-‐
Firewall
14. Penanggulangan
2.
• Bagi
pengguna
akhir
gunakan
DNS
Resolver
yang
aman.
• Bagi
pengelola
DNS
Resolver
pas7kan
bahwa
aplikasi
dns
nya
sudah
menggunakan
patch
terbaru
dan
dikonfigurasi
dengan
benar
• Bagi
pemilik
nama
domain,
pergunakan
DNSSEC
15. Apa
itu
DNSSec??
• DNSSec
digunakan
untuk
memverifikasi
apakah
data
domain
sesuai
dengan
data
di
DNS
authorita7ve
• Mengubah
konsep
dari
dari
“terbuka”
dan
“saling
percaya”
menjadi
“terverifikasi”
• Verifikasi
data
dengan
mencocokkan
kunci
yang
ada
di
zone
turunan
dengan
kunci
yang
ada
di
zone
diatasnya.
• DNSSec
bukan
penggan7
SSL
• DNSSec
bukan
untuk
enkripsi
data
• DNSSec
bukan
untuk
menaggulangi
DDos
17. Query
DNSSEC
DNS
Resolver
.
(root)
.id
pandi.id
Pandi.or.id
203.119.112.50
1
2
3
5
1. Query
.id
di
root
server,
root
server
menginformasikan
NS
.id
2. .id
menginformasikan
DNSKEY
ke
resolver
3. Resolver
mencocokkan
DNSKEY
di
.id
dengan
DS
Record
.id
di
root
server
4. .id
menginformasikan
NS
.pandi.id
5. pandi.id
mencocokkan
DNSKEY
di
.or.id
dengan
DS
record
or.id
di
zone
.id
6. DST
…
4
6
Check
DNS
Check
DNSKEY
18. PANDI
–
www.pandi.id
• Badan
Hukum
Perkumpulan,
bersifat
Nirlaba,
didirikan
oleh
Masyarakat
dan
Pemerintah
tahun
2006
• Pengelola
Nama
Domain
kode
negara
Indonesia
.id
sejak
2007
• Menerima
Delegasi
dari
ICANN/IANA-‐
Interna7onal
Corpora7on
for
Assign
Name
&
Numbers
Tahun
2013
19. SLD
domain
.id
• ac.id
à
perguruan
7nggi
• sch.id
à
sekolah
• co.id
à
perusahaan
• go.id
à
pemerintah
• mil.id
à
militer
/
TNI
• my.id
à
perseorangan
• web.id
à
perseorangan
• desa.id
à
desa
• .id
à
ins7tusi
&
perseorangan
20. Kenapa
harus
domain
.id
?
• Lebih
terpercaya
karena
menggunakan
dokumen
untuk
verifikasi
penda:aran
• Hemat
bandwidth
karena
server
di
dalam
negeri
• Iden7tas
bangsa
Indonesia
(.id)
21. Cara
Da:ar
Nama
Domain
.id
hdps://www.pandi.id/content/penda:aran-‐domain
22. Ak7vasi
DNSSec
• Pas7kan
DNS
Server
nama
domain
sudah
mendukung
DNSSec
• Konfigurasi
dan
Ak7qan
DNSSec
pada
domain
anda
• Kirimkan
DS
(Delega7on
Signer)
Record
domain
anda
melalui
Registrar
23. DNSSec
Ac7ve
• Di
cek
melalui
plugin
hdps://www.dnssec-‐validator.cz/pages/
download.html
24. DNSSec
Ac7ve
• Di
cek
melalui
hdp://dnsviz.net/d/pandi.id/dnssec/
25. Kesimpulan
:
SSL
vs
DNSSec
1
• DNSSec
menggunakan
ser7fikat
digital
untuk
memverifikasi
integritas
data
DNS,
sehingga
memas7kan
bahwa
alamat
IP
nama
domain
yang
dituju
adalah
benar
• SSL
menggunakan
ser7fikat
digital
untuk
memverifikasi
nama
domain(dilakukan
oleh
penyedia
jasa
SSL)
• SSL
menggunakan
ser7fikat
digital
untuk
mengenkripsi
pertukaran
data
antara
pengguna
dengan
website
yang
dituju
26. Kesimpulan
:
SSL
vs
DNSSec
2
• SSL
dan
DNSSec
saling
melengkapi
untuk
keamanan
website
• Ak7qan
SSL
dan
DNSSec
untuk
meningkatkan
keamanan
transaksi
online
website