manajemen domain name server menggunakan standar …

Seminar Nasional Teknologi Informasi dan Multimedia 2016STMIK AMIKOM Yogyakarta, 6-7 Februari 2016

ISSN : 2302-3805

2.2-25

MANAJEMEN DOMAIN NAME SERVER MENGGUNAKAN STANDARNATIONAL INSTITUTE OF STANDARD AND TECHNOLOGY

(NIST) 800-81r1

I Gede Putu Krisna Juliharta1), I Gede Oka Antara2), Made Henny Aryani3)

1) Sistem Informasi STMIK STIKOM Bali2)3) Sistem Komputer STMIK STIKOM BaliJl. Raya Puputan Renon No. 86 (0361) 24445

Email : [email protected] 1), [email protected] 2), [email protected] 3)

Abstrak

Internet merupakan jaringan komputer terbesardidunia, sehingga untuk menghubungi komputer atauperangkat dalam komputer berkomunikasi memerlukannama yang unik. Salah satu dapat memiliki nama yangunik adalah menggunakan domain name system (DNS).DNS dikelola oleh mesin yang bernama DNS server danmemiliki ancaman keamanan yang cukup besar. Dalampenelitian yang dibuat dilakukan perbandingan antaraDNS server standar dan DNS menggunakan NISTStandar menggunakan tiga alat yaitu nessus, openVAS,dan nmap. Untuk DNS standar NIST ada enam tahapanyang dilakukan yaitu manajemen versi, manajemenspoofing, manajemen zona tranfer, manajemen dynamicupdate, manajemen query, dan manajemen access list.Hasil yang diperoleh telah dibuktikan bahwa DNSdengan standar NIST memiliki performa yang lebih baik.

Kata kunci: Manajemen, DNS, NIST, Server

1. Pendahuluan

Internet merupakan jaringan komputer terbesardi dunia, dengan jumlah pengguna lebih dari 580 juta.Dari perspektif pengguna, setiap resource atau jaringanyang lebih kecil tentunya memiliki nama yang uniksehingga bisa dicari untuk proses komunikasi data, salahsatu nama unik tersebut disebut sebagai domain name.domain name dikelola oleh perangkat komputer yangdisebut sebagai domain name server (DNS)[1].

DNS merupakan salah satu layanan yangberisiko mengalami serangan, beberapa serangan DNSyang ditemukan adalah DNS cache snooping, DNSpoisoning, DNS spoofing, dan sebagainya tentunyatujuannya berbagai macam seperti membelokkan arahbrowsing menuju website yang salah. Salah satuancaman yaitu Cache snooping bisa digunakan untukmenentukan situs/host, siapa klien dan penggunanya, daninformasi lain yang berguna bagi penyerang. Selainbanyaknya ancama seperti yang sudah disebutkansebelumnya ancaman terhadap DNS bisa juga digunakanuntuk melihat software yang digunakan sebuah host dariresource record yang berisi alamat update software.

Metodenya bisa dengan cara mengirim requestnon-rekursif ke server DNS tentang resource record. Jika

record ada di cache, server akan memberikanjawabannya dalam query. Cache snooping bisadilakukan juga dengan mengirimkan request rekursif lalumenganalisis TTL yang dikembalikan query dan jumlahwaktu yang diperlukan server untuk merespon[2] .

Berdasarkan besarnya ancaman tersebuttentunya sudah seharusnya dilakukan proses manajemenkeamanan jaringan dengan salah satu cara melakukanpengukuran terhadap jaringan yang digunakan. Adabeberapa alat ukur yang dapat digunakan seperti nessus,openVAS, dan nmap.

Nessus sendiri merupakan sebuah programyang memang dirancang untuk security scanner yangberfungsi untuk mengaudit keamanan sebuah sistem.Menurut survey membuktikan pada tahun 2000, 2003,dan 2006 yang dilakukan oleh sectools.org, Nessusmerupakan vulnerability scanning yang memiliki licenseyang sangat mahal namun memiliki juga yang bersifatfree untuk kepentingan non komersial. Walaupun versifree namun nessus tetaplah memiliki kemampuan yangbaik sehingga wajar sectool menempatkan nessus sebagiyang terbaik sebanyak tiga kali. Nessus sendiri dibangunoleh Renuad Deraison pada tahun 1998 dengan tujuanawal memberikan referensi mengenai security toolsterkait remote security scanner yang mampu mendeteksikerentatan potensial yang ada di dalam sistem. Beberapafitur yang dapat digunakan dalam versi free saat iniadalah audit configurasi, vulnerability analysis, mobiledevice audit dan memberikan laporan[3]. Hal ini yangmenjadikan dasar untuk menggunakan nessus dalampenelitian ini, selain penggunaan openVAS yangmemiliki sama namun dikelola oleh komunitasopenscource. Tools yang ketiga yang digunakan adalahNetwork Mapper (Nmap). Nmap memiliki fungsi yangsedikit berbeda. Ia dirancang untuk memeriksa jaringanbesar secara cepat, meskipun ia dapat pula bekerjaterhadap host tunggal.

Untuk mendukung penelitian dilakukan kajianpustakan mengenai pengelolaan DNS. Dari beberapakajian selain dari NIST dan Infosec, ada dua artikelilmiah yang juga dijadikan fokus kajian. Yang pertamaberjudul, Pengelolaan dinamik domain name servermenggunakan DJNDNS oleh Arif kurniawan dan rekan[4], serta yang kedua yang berjudul implementasi danoptimasi switching DNS[5]. Kedua penelitian memilikikeunikan masing masing namun sama sama


ISSN : 2302-3805

2.2-26

menggunakan DNS sebagai topik penelitian, namun darikedua penelitian tersebut belum ada yang melakukanmanajemen DNS dengan mengukur tingkat kerentananyang dimiliki oleh DNS tersebut.

Atas dasar kajian pustaka, ancaman dan kemampuanalat ukur keamanan tersebut maka dilakukan penelitianyang berjudul manajemen Domain Name Servermenggunakan National Institute Standard andTechnology (NIST) 800-81r1. Penelitian melakukanperbandingan antara DNS standar dengan DNS yangmenggunakan tahapan manajemen sebanyak tujuhlangkah. Hasilnya berupa tabel perbandingan tingkatkeamanan antara DNS standar dan DNS yangdikonfigurasi menggunakan NIST.

2. Pembahasan

2.1 Metode Penelitian

Proses awal penelitian adalah denganmenggambarkan alur dari manajemen DNSmenggunakan NIST. Dengan tapan manajemen sebanyak7 langkah.

Gambar 1. Flow Chart Proses Pengelolaan DNS

Proses manajemen Domain Name Server(DNS) menggunakan tahapan seperti pada gambar 1Flow chart proses pengelolaan DNS. Dimulai denganinstalasi software DNS bernama BIND, dilanjutkandengan mengelola versi dari BIND hingga pengelolaanAccess List (ACL). Tahapan pada gambar 1 diatasberdasarkan manajemen BIND menggunakan standarNIST.

Gambar 2 Proses pengujian

Untuk mendapatkan hasil dalam penelitianmanajemen DNS Server Menggunakan StandarKeamanan National Institute of Standards andTechnology (NIST) diperlukan dilakukan langkahpengujian seperti pada gambar 2. Selanjutnya dilakukanproses pengujian dengan cara seperti gambar 3 dangambar 4 skenario untuk mengetahui performa dari DNSServer tanpa keamanan dan DNS Server menggunakanstandar keamanan NIST dimana terdapat komputeranalyzer masing – masing skenario agar dapatmenemukan performansi pada kedua aplikasi tersebutdan melihat kekurangan dan kelebihan pada kedua DNSServer tersebut. Skenario yang akan diterapkan dalampenelitian ini sebagai berikut :

1. Skenario pertama analisa pada DNS Server Default :

Gambar 3. Skenario pertama

Pada Gambar 3. skenario pertama dalam prosespengukuran menggunakan 1 komputer sebagai DNSServer, 1 komputer sebagai analyzer dan satu switch,switch berfungsi untuk menghubungkan komputer serverke komputer analyzer yang akan mengakses servertersebut. Untuk menguji DNS Server adalah ketikakomputer analyzer terhubung dengan DNS Serverkemudian akan di uji tingkat keamanannya olehkomputer analyzer dengan cara melakukan scanningvulnerability DNS server menggunakan tools / softwareNessus, Openvas, dan Nmap.2. Skenario kedua analisa pada DNS Servermenggunakan standar keamanan NIST :


ISSN : 2302-3805

2.2-27

Gambar 4. Skenario kedua

Pada gambar 4. skenario kedua dalam prosespengukuran menggunakan 1 komputer sebagai DNSServer, 1 komputer sebagai analyzer dan satu switch,switch berfungsi untuk menghubungkan komputer serverke komputer analyzer yang akan mengakses servertersebut. Untuk menguji DNS Server adalah ketikakomputer analyzer terhubung dengan DNS Serverkemudian akan di tes keamanannya oleh komputeranalyzer dengan cara melakukan scanning vulnerabilityDNS server menggunakan tools / software Nessus,Openvas, dan Nmap

2.2 Manajemen Domain Name Server.Tahap pertama, menggunakan versi BIND terbaru,

dimana sebagian besar versi BIND lama mempunyai bugdan dapat dieksploitasi sehingga akan menimbulkanserangan. Dengan menggunakan versi terbarudiharapkan dapat meminimalkan adanya bug daneksploitasi yang bisa dilakukan terhadap name-serverkarena bug pada versi sebelumnya biasanya sudahdiperbaiki pada versi yang lebih baru.

Tahap kedua, pengeloaan Permintaan versiperangkat lunak BIND biasanya dilakukan penyeranguntuk mengetahui versi dari BIND dan akanmembandingkan dengan daftar versi yang mempunyaikelemahan. Selanjutnya si penyerang akan menyerangdengan serangan atau eksploitasi yang spesifik padaversi BIND tertentu. Kita harus menolak permintaanversi dan mencatat permintaan tersebut, yaitu denganmengedit /etc/bind/named.conf dan zone.

Tahap Ketiga, Pengelolaan permintaan rekursif padaserver DNS dengan tujuan meminimalkan ancaman DNSspoofing/cache poisoning. Konfigurasi dilakukan padafile named.conf dan menambahkan perintah dibawah ini

Tahap keempat, melakukan pembatasan zone-transfer hanya kepada secondary name-server ataumesin yang benar-benar mempunyai authority terhadap

informasi atau data pada zone yang bersangkutan. Pada/etc/bind/named.conf tambahkan baris allow transfer {[ip-atau-jaringan-yang-boleh-melakukan-zone-transfer]}; di bagian options atau zone. Pada penelitianini dibuat sebuah kelompok ip dengan nama xfer.Kelompok ip ini akan dijelaskan pada pembahasanpengelolaan acl.

Tahap Kelima, Dynamic update harus dibatasipada server DNS kita dari permintaan update informasihost/domain. Pada /etc/bind/named.conf tambahkan barisallow update { [ip-atau-jaringan-yang-boleh-melakukan-update]}; di bagian options atau zone.

Tahap keenam, membatasi query ataupermintaan terhadap data atau informasi yang ada dalamdatabase-cache atau berkas zone server DNS. Pada/etc/bind/named.conf tambahkan baris allow query { [ip-atau-jaringan-yang-boleh-melakukan-query]}; di bagianoptions atau zone.

Pada tahap ini juga dilakukan pembagianpengelolaan name server menjadi dua yaitu jaringaninternal dan eksternal dengan tujuan untuk menghindariinformasi atau data dimanfaatkan oleh orang yang tidakbertanggung jawab.

apt-get install bind9

options {version none;

};

options {recursion no;

};

options {allow-update { xfer; };

};

options {allow-query { xfer; };

};


ISSN : 2302-3805

2.2-28

Tahap Ketujuh, Manajemen Access List (ACL).ACL dapat membatasi layanan DNS kepadahost/jaringan yang dipercaya yaitu dengan memasukkandata host dan jaringan tersebut ke dalam berkaskonfigurasi. Data atau informasi database-cache serverDNS hanya dapat diakses oleh host dan jaringan yangterpercaya sehingga mempersempit kesempatan seorangpenyusup untuk melakukan pengambilan data host danjaringan pada suatu perusahaan.

2.3 Pengujian Manajemen DomainProses terakhir dalam manajemen Domain Name

Server adalah proses pengujian untuk menghasilkanbukti bahwa dengan menggunakan standar NISTperforma DNS, lebih baik daripada menggunakankonfigurasi secara default. Proses Pengujian diantaranyamelakukan scanning antara DNS Server Default danDNS Server Standar NIST serta menggunakantools/software pengujian seperti Nessus, Openvas danNmap, terdapat perbedaan pada tingkat keamanan[6].

Perbandingan hasil scanning antara DNS ServerDefault dan DNS Server Standar NIST menggunakantool Nessus dijelaskan pada tabel 1.

Tabel 1. Perbandingan menggunakan tools Nessus

Pada tabel 1 adalah hasil dari perbandinganDNS Server Default dan DNS Standar NIST, pada hasilscanning DNS Server Default masih terdapat banyakvulnerability yang terkait dengan DNS diantaranya DNSServer Zone Transfer Information Disclosure (AXFR)(memiliki tingkat severity Medium), DNS ServerDetection, DNS Server BIND version Directive RemoteVersion Detection, DNS Server hostname.bind MapHostname Disclosure, DNS Server Version Detection.Sedangkan hasil scanning DNS Server Standar NISTvulnerability dari DNS sudah berkurang.

Perbandingan hasil scanning antara DNS ServerDefault dan DNS Server Standar NIST menggunakantool Openvas dijelaskan pada tabel 2.

Tabel 2. Perbandingan Menggunakan Tools OpenVAS

Pada tabel 2 adalah hasil dari perbandinganDNS Server Default dan DNS Standar NIST, pada hasilscanning DNS Server Default masih terdapat banyakvulnerability yang terkait dengan DNS diantaranya TCPtimestamps DNS Server Detection (memiliki tingkatserverity Low), Determine which version of BIND namedaemon is running. Sedangkan hasil scanning DNSServer Standar NIST vulnerability dari DNS sudahberkurang.

Perbandingan hasil scanning antara DNS ServerDefault dan DNS Server Standar NIST menggunakantool Nmap dijelaskan pada tabel 3

Tabel 3. Perbandingan Menggunakan Tools Nmap

Pada tabel 3 adalah hasil dari perbandinganDNS Server Default dan DNS Standar NIST, pada hasilscanning DNS Server Default port 53 masih terbuka danSIstem Operasi masih bisa terdeteksi oleh tool Nmap.Sedangkan hasil scanning DNS Server Standar NIST


ISSN : 2302-3805

2.2-29

port 53 sudah tertutup dan Sistem Operasi dari DNSServer tersebut sudah tidak terdeteksi oleh tool Nmap.

3. Kesimpulan

Berdasarkan penelitian yang dilakukan, makadapat diambil kesimpulan sebagai berikut :

1. Konfigurasi dan manajemen DNS telahdilakukan dengan baik

2. Terlihat perbedaan antara DNS Default danDNS Standar NIST dari hasil scanningvulnerability menggunakan tools Nessus, danOpenvas.

3. Pengujian DNS Default masih terdapat banyakvulnerability mengenai DNS Server.a. Pengujian menggunakan Nesus terdapat 13

vulnerability, dari 13 vulnerability terdapat5 vulnerability terkait dengan DNSdiantaranya 1 vulnerability tingkatMEDIUM dan 4 INFO mengenai DNS.

b. Pengujian menggunakan Openvas terdapat8 vulnerability, dari 8 vulnerability terdapat3 vulnerability terkait dengan DNS dan 1vulnerability level Low.

4. Dengan menggunakan DNS Standar NIST,vulnerability yang ada pada DNS Default dapatberkurang.

Daftar Pustaka[1] Ramaswamy Chandramouli, Scott Rose, “Secure Domain Name

Server Deployment Guide” NIST Special Publication 800-81r1,2010.

[2] R. Arend, R. Austein, R. Bolles, M. Larson, “DNS SecurityIntroduction and Requirements,”. RFC 4033, 2005.

[3] NN, “Network Scanning Using Nessus”.Infosec Institute,2012.[4] Arif Kurniawan, Sujoko Sumaryono, Addin Suwaswanto,

“Pengelolaan Domain Name System Berbasis DJBDNS”, JurnalPenelitian Teknik Elektro. Vol. 3, No. 3. 2010.

[5] Moh. Nuril Rohman, “Implementasi dan Optimasi SwitchingDomain Name Server Untuk Filtering Konten Dengan MikrotikScheduler” UIN Sunan kalijaga, 2013.

[6] Priandoyo, Anjar. (2006). Vulnerablity Assessment untukMeningkatkan Kesadaran Pentingnya Keamanan Informasi. JurnalSistem Informasi. Vol. 1, No. 2, pp.73-83.

Biodata Penulis

I Gede Putu Krisna Juliharta,memperoleh gelar SarjanaTeknik (S.T), Jurusan Teknik Informatika UPN VeteranYogyakarta, lulus tahun 2007. Memperoleh gelarMagister Teknik (M.T) Program Pasca Sarjana MagisterTeknik Elektro Universitas Udayana Bali, lulus tahun2010.Saat ini menjadi Dosen di STMIK STIKOM Bali.

I Gede Oka Antara, memperoleh gelar SarjanaKomputer (S.Kom), Jurusan Sistem Komputer STMIKSTIKOM Bali, lulus tahun 2015.

Made Henny Aryani, memperoleh gelar Sarjana Teknik(S.T.), JurusanTeknik informatika Universitas AtmajayaYogyakarta, lulus tahun 2006. Saat ini sedangmenempuh gelar Magister Teknik (M.T) Program Pasca

Sarjana Magister Teknik Elektro Universitas UdayanaBali, dan aktif menjadi Dosen di STMIK STIKOM Bali.


ISSN : 2302-3805

2.2-30

manajemen domain name server menggunakan standar …

Documents