DNS Spoofing
Penyerang memalsukan jawaban DNS agar domain terlihat mengarah ke alamat IP yang salah.
Real life DNSSEC implementation
DNSSEC Demo - Kelompok 3
Implementasi DNSSEC pada Website Berbasis Vercel dan Cloudflare
DNSSEC digunakan untuk memvalidasi keaslian dan integritas data DNS, sehingga resolver dapat mendeteksi jawaban DNS palsu sebelum user diarahkan ke website.
DNSSEC Status
Authenticated
AD flag
1
Root Zone
2
TLD Zone
3
Registrar DS
4
Cloudflare DNS
Konsep Dasar
Apa itu DNSSEC?
DNSSEC adalah Domain Name System Security Extensions, lapisan keamanan tambahan untuk DNS yang bekerja dengan validasi kriptografis.
Problem DNS
Masalah pada DNS Biasa
DNS tradisional cepat dan sederhana, tetapi tidak membawa bukti kriptografis untuk membedakan jawaban asli dan jawaban palsu.
DNS Cache Poisoning
Cache resolver dapat diisi data DNS palsu sehingga banyak user menerima jawaban yang keliru.
Website Palsu
User berisiko diarahkan ke halaman tiruan yang dibuat untuk mencuri data atau kredensial.
Tanpa Bukti Kriptografis
Pada DNS biasa, resolver tidak punya bukti digital bahwa jawaban benar-benar berasal dari authoritative DNS.
Implementasi
Arsitektur Implementasi
Website demo ini menggambarkan alur validasi DNSSEC dari sisi user sampai aplikasi berhasil ditampilkan oleh hosting.
1
User
2
DNS Resolver
3
Validasi DNSSEC
4
Cloudflare DNS
5
Vercel Hosting
6
Website Kelompok 3
Validasi
Cara Kerja DNSSEC
DNSSEC membuat resolver mengecek tanda tangan dan chain of trust sebelum menganggap jawaban DNS sebagai valid.
1
User membuka domain website.
2
Resolver meminta record DNS.
3
Authoritative DNS mengirim record DNS + RRSIG.
4
Resolver mengecek DNSKEY.
5
Resolver mengecek DS record di parent zone.
6
Resolver membangun chain of trust.
7
Jika valid, website ditampilkan.
8
Jika tidak valid, jawaban DNS ditolak.
Record Penting
Komponen DNSSEC
Beberapa record dan konsep berikut menjadi fondasi validasi DNSSEC pada domain.
RRSIG
Tanda tangan digital untuk record DNS.
DNSKEY
Public key untuk verifikasi tanda tangan.
DS Record
Penghubung trust dari parent zone ke child zone.
Chain of Trust
Rantai kepercayaan dari root, TLD, sampai domain.
NSEC/NSEC3
Bukti bahwa record atau domain tidak ada.
Perbandingan
DNS Biasa vs DNSSEC
Perbedaan utamanya ada pada validasi digital yang membuat resolver tidak sekadar percaya pada jawaban DNS.
DNS Biasa
- Tidak ada validasi tanda tangan digital
- Rentan spoofing/cache poisoning
- Resolver langsung percaya jawaban DNS
DNSSEC
- Ada validasi tanda tangan digital
- Bisa mendeteksi jawaban palsu
- Resolver mengecek DNSKEY, DS record, dan chain of trust
Demo Terminal
Testing DNSSEC
Validasi dapat diuji dari terminal menggunakan dig melalui resolver publik yang mendukung DNSSEC.
terminal
dig domain-kelompok.my.id A @1.1.1.1 +dnssec
dig domain-kelompok.my.id DNSKEY +dnssec
dig domain-kelompok.my.id DS +shortIndikator hasil valid
- Jika DNSSEC valid, hasil response memiliki flag "ad".
- "ad" berarti Authenticated Data.
- Artinya resolver berhasil memvalidasi jawaban DNS.
Evaluasi
Kelebihan dan Kekurangan
DNSSEC meningkatkan kepercayaan terhadap jawaban DNS, tetapi tetap memiliki batasan teknis yang perlu dipahami.
Kelebihan
- Mencegah manipulasi jawaban DNS
- Membantu mencegah cache poisoning
- Menjamin integritas data DNS
- Mendukung chain of trust
Kekurangan
- Tidak mengenkripsi query DNS
- Konfigurasi lebih rumit
- Salah DS record bisa menyebabkan domain error/SERVFAIL
- Response DNS lebih besar
Kesimpulan
DNSSEC memvalidasi jawaban DNS dengan chain of trust
DNSSEC merupakan teknologi keamanan DNS yang bekerja dengan tanda tangan digital dan chain of trust. DNSSEC tidak menyembunyikan query DNS, tetapi memastikan jawaban DNS berasal dari sumber yang sah dan tidak dimodifikasi. Dalam implementasi ini, website di-hosting di Vercel, DNS dikelola Cloudflare, dan DS record dipasang di registrar agar validasi DNSSEC dapat berjalan.