DNSSEC: Penjelasan dan Cara Kerja

Pernahkah kamu mencoba untuk mengakses sebuah website, namun justru diarahkan ke sebuah website lain? Seperti yang kamu ketahui, ini merupakan tugas DNS (Domain Name System) untuk menerjemahkan alamat domain ke alamat IP address website yang dituju, agar kamu dapat mengakses website tersebut. Nah, tetapi DNS sangat rentan terhadap masalah keamanan pada infrastrukturnya yang dapat menyebabkan kamu diarahkan ke website yang bukan seharusnya. Oleh karena itu, DNSSEC mengambil peran untuk mencegah terjadinya hal tersebut.

Lantas, bagaimanakah cara kerja DNSSEC dalam meningkatkan keamanan saat mengakes sebuah website? Apabila kamu ingin mengetahui jawabannya, maka kamu berada di artikel yang tepat. Kali ini akan dibahas mengenai penjelasan beserta cara kerja dari DNSSEC. Yuk, mari kita simak artikelnya hingga akhir!

Apa itu DNSSEC?

Sebelum membahas tentang DNSSEC (Domain Name System Security Extension), kamu harus paham terlebih dahulu mengenai apa itu DNS (Domain Name System). DNS dapat diibaratkan seperti buku telefon, yang berisikan daftar nama domain beserta IP address-nya. Ketika kamu akan mengakses sebuah website dengan memasukkan nama domainnya, maka DNS akan menerjemahkan nama domain tersebut ke IP address. Untuk kemudian dihubungkan ke lokasi server disimpannya IP address tersebut.  Penjelasan mengenai DNS secara lebih lengkap dapat ditemukan pada artikel, Apa itu DNS (Domain Name System)?.

Perlu kamu ketahui, DNS akan memberikan semua IP address yang diminta tanpa melakukan konfirmasi apapun. Tentunya hal tersebut sangatlah membahayakan, karena dapat memungkinkan terjadinya bebagai serangan seperti DNS spoofing atau serangan man-in-the-middle. Lalu, apa kaitannya dengan DNSSEC? Mengutip dari website Cloudflare, DNSSEC digunakan untuk menambah lapisan keamanan pada DNS, sehingga dapat melindungi pengguna internet dari kemungkinan terjadinya redirect ke halaman web lain atau bahkan palsu.  Lantas, bagaimanakah cara kerja dari DNSSEC untuk melindungi pengguna internet? Yuk, mari kita simak di pembahasan berikutnya!

Manfaat dan Cara Kerja dari DNSSEC

Penggunaan DNSSEC ini sangatlah bermanfaat, yaitu untuk memastikan bahwa kamu terhubung dengan website yang benar dan sesuai dengan nama domain yang dicari. Sehingga dapat menghindari terjadinya pengarahan ke website palsu. Nah, hal ini dilakukan oleh DNSSEC dengan menggunakan public key dan digital signature.

Selanjutnya, DNSSEC akan menambahkan jenis record baru atau dikenal sebagai digital signatures, yang disimpan di name server DNS bersamaan dengan jenis DNS record lainnya, seperti A, CNAME, dan MX. Sehingga dengan adanya pengecekan pada digital signature tersebut, kamu dapat memastikan bahwa DNS record yang diminta berasal dari name server yang asli (tidak dilakukan perubahan oleh siapapun).

Berikut beberapa jenis dan fungsi dari record baru yang ditambahkan oleh DNSSEC.

  • RRSIG (Resource Record Signature) – Berisikan digital signature yang digunakan untuk otentikasi data
  • DNSKEY – Berisikan public signing key yang digunakan oleh resolver untuk verifikasi DNSSEC signature
  • DS (Delegation Signer) – Digunakan untuk verifikasi keaslian child zones pada DNSSEC zone
  • NSEC dan NSEC3 – Digunakan untuk memastikan denial-of-existence pada sebuah DNS record
  • CDNSKEY dan CDS – Digunakan untuk melakukan permintaan update oleh child zone pada DS record di parent zone

Kemudian, record ini akan saling berinteraksi satu sama lain untuk menambahkan lapisan perlindungan pada DNS. Berikut penjelasan mengenai cara kerjanya.

1. RRSet

Langkah pertama yang dilakukan, adalah dengan mengelompokkan semua jenis record yang sama ke dalam sebuah RRSet (Resource Record Set). Contoh, apabila terdapat 4 AAA record, maka semua record tersebut akan digabung menjadi satu dalam sebuah AAA RRSet. Nah, AAA RRSet ini akan ditandatangani secara digital, sehingga dengan melakukan pengelompokkan akan jauh lebih mempermudah prosesnya dibandingkan dengan melakukannya satu per satu pada setiap jenis record yang sama.

Cara kerja DNSSEC

2. Zone-Signing Key

Selanjutnya, DNSSEC memiliki sepasang zone-signing key (ZSK), yaitu private dan public key pada setiap zone-nya. Digital signature dibuat untuk setiap RRSet menggunakan private ZSK dan disimpan pada name server sebagai RRSIG record. Kemudian, akan dilakukan juga penambahan public ZSK pada DNSKEY record untuk verifikasi digital signature. RRSet, RRSIG, dan public ZSK akan saling berinteraksi untuk melakukan validasi ketika resolver meminta jenis record tertentu. Misal, dilakukan permintan pada jenis record AAA, maka name server akan memberikan RRSIG yang sesuai. Lalu, resolver juga akan meminta public key untuk melakukan validasi terhadap permintaan tersebut.

Cara kerja DNSSEC

3. Key Signing Key

Selain ZSK, DNSSEC juga memiliki key signing key (KSK), yang berfungsi untuk memvalidasi ZSK itu sendiri sebagaimana ZSK melindungi keseluruhan RRSet, seperti yang dijelaskan sebelumnya. Sama halnya dengan public ZSK, name server akan melakukan penambahan public KSK pada DNSKEY record lainnya, sehingga menghasilkan DNSKEY RRSet. Untuk public KSK dan ZSK, keduanya akan ditandatangani oleh private KSK. Nah, kemudian resolver dapat menggunakan public KSK untuk memvalidasi public ZSK.

4. Delegation Signer Record

Untuk memastikan bahwa rangkaian proses di atas sudah tervalidasi, maka akan dibuatlah delegation signer record (DS record). Caranya, dengan melakukan hash pada DNSKEY berisikan public KSK, yang kemudian diberikan kepada parent zone untuk dibuat sebagai DS record. Dengan DS record ini, resolver dapat mengetahui bahwa DNSSEC pada child zone tersebut aktif (enabled). Untuk melakukan pengecekan validitas dari public KSK yang dimiliki child zone, maka resolver akan melakukan hash pada DS record tersebut dan membandingkannya dengan DS record yang dimiliki oleh parent zone. Apabila sesuai, maka resolver dapat memastikan bahwa keseluruhan record yang terdapat pada child zone aman. Well, inilah cara untuk mendapatkan kepercayaan atau dikenal sebagai chain of trust pada DNSSEC.

Cara kerja DNSSEC

5. Chain of Trust

Selanjutnya, bagaimana cara mempercayai DS record? Sama seperti RRSet lainnya, DS record juga ditandatangani, yang berarti DS record memiliki RRSIG yang sesuai pada parent zone. Untuk proses validasi yang terjadi juga sama seperti proses validasi pada record lainnya, hingga akhirnya berada pada tahap chain of trust.

Kesimpulan

Dari penjelasan artikel di atas, dapat disimpulkan bahwa DNSSEC memiliki peran yang cukup penting dalam melindungi DNS. Sehingga, kamu dapat terhindar dari berbagai serangan, seperti DNS spoofing dan man-in-the-middle.

Untuk kamu yang sudah melakukan pembelian domain melalui Wide Host Media, kamu dapat mengaktifkan DNSSEC melalui halaman client area. Dengan begitu, keamanan website-mu akan menjadi lebih terjamin. Bagi yang belum memiliki domain, silakan kunjungi website Wide Host Media untuk mendapatkan berbagai macam domain keren yang dapat meningkatan brand awareness dan trafik website-mu.

Semoga artikel ini bermanfaat.