Terdapat kelemahan pada sisi keamanan DNS yang membuat dapat dibobol, hal ini yang membuat para expert menemukan solusi lain yaitu menggunakan DNSSEC untuk pengamanannya.
Apa itu DNSSEC ?
Kepanjangan DNSSEC adalah Domain Name System Security Extension, hal ini dapat diartikan adalah penambahan keamanan pada sistem DNS yang sudah ada saat ini. Sistem DNS ini dibuat untuk memudahkan manuasia mengakses suatu alamat website, dengan adanya DNS maka kita tidak perlu menghafal ip address untuk dapat mengakses website google.com misalnya.
Lalu bagaimana jika ada pihak-pihak nakal yang dengan sengaja melakukan DNS Hijacking yang membuat google.com diarahkan ke suatu website server lain? Inilah bahaya yang dihadapi. Sistem DNS masi rentan terhadap DNS Spoofing, dimana serangan hacker mengganti record DNS sehingga membuat kamu salah mengakses website. Lebih bahaya lagi jika website tersebut adalah sebuah toko online yang banyak isi transaksi keuangan. dimana kamu bertransaksi menggunakan informasi kartu kredit dan memasukan informasi bank anda kedalam server yang salah. Keadaan ini sudah nyata ada dan pernah terjadi pada layanan provider besar lainnya.
Dengan adanya DNSSEC, dia mencoba mencegah terjadinya kejadian serupa. Caranya dengan memanfaatkan Digital Signature Technology (DS). Semua record pada sistem DNS dilengkapi dengan tanda tangan digital bersandi khusus. Artinya terdapat verifikasi keaslian informasi yang dikirimkan dari server ke end user, sehingga apabila terjadi ketidak sesuaian maka pada authoritative DNS server bisa dengan segera dicegah.
Cara Kerja DNSSEC
pada DNS Management, kamu telah belajar tentang apa itu A, TXT, CNAME, MX, AAAA record dan lain-lainnya. Di sini DNSSEC memiliki beberapa record yang digunakan yaitu :
- RRSIG : berisi signature digital dengan sandi khusus
- DNSKey : menyimpan public signing key yang akan dipergunakan untuk proses otentikasi informasi.
- DS (Delegation Signer) : hash DNSKey yang disimpan pada parent zone. Bertujuan memastikan semua record dari childzone tertentu dapat dipercaya.
- NSEC (Next Secure Record) : Bertujuan memastikan informasi sebuah record DNS tidak ditemukan.
Berikut penjelasan sederhana step by step kerja DNSSEC :
- RRSET
pengelompokan semua record yang sejenis dalam satu tempat bernama RRSet. Contoh A record akan dikelompokan tersendiri sesama A record. - Zone Signing key (ZSK)
Selanjutnya DNS server authoritative akan memberikan tanda khusus bernama ZSK berpasangan untuk setiap RRSet. (terdapat public dan private key) - Key Signing Key (KSK)
RRSet divalidasi oleh ZSK, dan ZSK sendiri juga perlu di validasi oleh KSK. Hal ini bertujuan untuk menunjukan bahwa sistem DNSSEC aman. - Delegation Signer (DS)
Selanjutnya DS akan melakukan validasi bahwa sebuah zone itu aman. Cara kerjanya ketika sebuah child zone terbentuk, akan dibuat sebuah duplikasi hash dari public KSK zone, dan akhirnya setelah diberikan kepada parent zone maka dibuatlah DS record. - Chain of Trust
Memastikan sebuah proses valid dibutuhkan pencocokan data dengan sistem parent atasnya. Sama dengan DS record, semua proses akan terus terjadi hingga masuk kepada root server.
Kelebihan menggunakan DNSSEC
Tidak dipungkiri bahwa penggunaan DNSSEC ini sangat membantu dalam pengamanan DNS Record kamu. berikut kelebihan yang dapat kamu peroleh
- Memberikan kemanan lebih
- Memastikan informasi yang ada adalah benar
Kapan memerlukan DNSSEC ?
Jika website kamu berkaitan erat dengan aktivitas online yg sensitif, maka hal ini sangat penting untuk jadi pertimbangan dalam melakukan aktivasi DNSSEC
- Website yang berkaitan dengan pembayaran, keuangan.
- Website yang berinformasikan dan menyimpan data penting (dokumen rahasia)
- Website yang menyimpan informasi pribadi atau client area
- Website yang rentan terkena serang (website yang diketahui public secara luas)
Kesimpulan
Apakah kamu sudah paham tentang DNSSEC ? seberapa penting menggunaan DNSSEC ? Penggunaan DNSSEC ini gratis dan tidak ada salahnya jika secara default kita menggunakannya, mengingat semakin hari dunia digital internet akan semakin berkembang pesat. dimana setiap orang pasti ada yang memiliki tujuan positif dan negatif, hal ini dapat dicegah agar tidak terjadi DNS Hacking dengan menerapkan sistem DNSSEC. Hubungi provider kamu lebih lanjut untuk mengetahui apakah fitur DNSSEC sudah dapat di implementasi atau belum. Pastikan registrar domain kamu juga sudah mendukung DNSSEC.