Differences

This shows you the differences between two versions of the page.

--- coreartikel:splitviewdns [2005/10/19 01:55] – created bang
+++ coreartikel:splitviewdns [2025/10/25 17:09] (current) – external edit 127.0.0.1
@@ Line 1: / Line 1: @@
+====== Memanfaatkan Split View pada BIND ======
+Catatan singkat ini merupakan over-simplification dari dokumen milik Team Cymru di [[http://www.cymru.com/Documents/secure-bind-template.html | sini]].
+Walaupun BIND punya track record jelek dalam masalah keamanannya, namun kita dapat meminimalisasikan resikonya dengan berbagai cara:
+  * Gunakan chroot
+  * Manfaatkan fungsi split-view
+  * Menggunakan DNSSEC/TSIG (tidak dibahas disini)
+  * Ganti BIND dengan alternatif lainnya (eg. djbdns) :)
+Apa yang akan dibahas disini adalah bagaimana mengkonfigurasikan BIND lebih maksimal yang nantinya akan:
+  * Mengurangi dan menghemat trafik kita ke internet karena hanya akan menjawab recursive query dari jaringan dalam yang lebih dipercaya daripada menjadi "tunggangan" komputer diluar yang memanfaatkan DNS server kita untuk menjawab recursive query (menjadi cache) mereka
+  * Membatasi atau mengurangi informasi mengenai host-host didalam jaringan diketahui terlalu banyak oleh pihak luar, dengan mencegah AXFR query dan hanya menyediakan informasi atau RR yang diminta (on a need to know basis)
+note:
+  * informasi ini tidak membahas bagaimana mengkonfigurasikan BIND secara mendasar, namun lebih merupakan suatu pelengkap bagaimana mengamankan dan meningkatkan kinerja BIND
+  * fungsi split-view ini hanya ada di BIND versi 9
+  * yang dikonfigurasikan disini adalah primary nameserver, walaupun untuk mengkonfigurasikan secondary/slave nameserver cukup memodifikasi beberapa baris saja
+  * DNSSEC/TSIG tidak dikonfigurasikan disini
+Fungsi view pada BIND dapat dimanfaatkan untuk membatasi informasi yang dapat diperoleh dari DNS server, antara informasi yang dapat diperoleh oleh pihak yang dipercaya (trusted/internal) dengan informasi apa yang dapat diperoleh oleh pihak luar (untrusted/external) dapat dibedakan disini
+Dengan view ini, kita dapat mengkonfigurasikan supaya BIND menjawab dan meneruskan recursive query yang berasal dari dalam (sekaligus menjadi cache/forwarder jaringan dalam) dan menolak recursive query yang berasal dari pihak luar (hanya menjawab zone/domain dimana DNS server itu ditunjuk sebagai authoritative nameserver), konfigurasi ini sering diabaikan oleh administrator, sehingga menyebabkan DNS server mereka dapat dimanfaatkan oleh pihak luar untuk menjawab recursive query yang bukan authoritative mereka dan secara langsung menggunakan sebagian bandwidth jaringan).
+AXFR query atau zone-transfer harus dibatasi hanya kepada nameserver yang berfungsi sebagai secondary/slave atau jaringan internal, deklarasikan melalui access list menjadi:
+<code>
+// acl untuk AXFR
+acl "xferzone" {
+   // ns2.example.org (secondary ns)
+.0.34.2;
+};
+</code>
+Network yang dapat melakukan recursive query dideklarasikan melalui :
+<code>
+// acl untuk internal/trusted network
+acl "trusted" {
+.0.34.0/24;
+.155.0.0/24;
+};
+</code>
+Berikutnya pada "option" kita dapat mendeklarasikan:
+<code>
+option {
+   // allow axfr only to secondary nameservers
+   zone-transfer "xferzone";
+   // allow only trusted/internal network to do recursive query
+   allow-query "trusted";
+};
+</code>
+Untuk mendeklarasikan view, gunakan keyword view pada file named.conf:
+<code>
+// view for internal trusted networks
+view "internal-net" in {
+   match-clients { trusted; };
+   recursion yes;
+   // begin zone declarations
+   zone "." in {
+      type "hint";
+      file "named.ca";
+   };
+   zone "0.0.127.in-addr.arpa." in {
+      type "master";
+      file "master/db.0.0.127.in-addr.arpa";
+   };
+   // include another zone
+   include "named-db.conf";
+}
+// view for external untrusted networks
+view "untrusted" in {
+   match-client { any; };
+   recursion no;
+   additional-from-auth no;
+   additional-from-cache no;
+   zone "." IN {
+	type hint;
+	file "named.ca";
+   };
+   include "named-db.conf";
+};
+</code>
+zone yang authoritative akan diletakkan di file tersendiri (named-db.conf):
+<code>
+zone "example.org." {
+   type master;
+   file "master/db.example.org";
+};
+zone "34.0.192.in-addr.arpa" {
+   type master;
+   file "master/db.34.0.192.in-addr.arpa";
+};
+</code>
+Sehingga isi named.conf kira-kira akan seperti ini:
+<code>
+// acl untuk AXFR
+acl "xferzone" {
+   // ns2.example.org (secondary ns)
+.0.34.2;
+};
+// acl untuk internal/trusted network
+acl "trusted" {
+.0.34.0/24;
+.155.0.0/24;
+};
+option {
+   // allow axfr only to secondary nameservers
+   zone-transfer "xferzone";
+   // allow only trusted/internal network to do recursive query
+   allow-query "trusted";
+};
+// view for internal trusted networks
+view "internal-net" in {
+   match-clients { trusted; };
+   recursion yes;
+   // begin zone declarations
+   zone "." in {
+      type "hint";
+      file "named.ca";
+   };
+   zone "0.0.127.in-addr.arpa." in {
+      type "master";
+      file "master/db.0.0.127.in-addr.arpa";
+   };
+   // include another zone
+   include "named-db.conf";
+}
+// view for external untrusted networks
+view "external-net" in {
+   match-client { any; };
+   recursion no;
+   additional-from-auth no;
+   additional-from-cache no;
+   zone "." IN {
+	type hint;
+	file "named.ca";
+   };
+   include "named-db.conf";
+};
+zone "example.org." {
+   type master;
+   file "master/db.example.org";
+};
+zone "34.0.192.in-addr.arpa" {
+   type master;
+   file "master/db.34.0.192.in-addr.arpa";
+};
+</code>
+===== Referensi: =====
+  * [[http://www.cymru.com/Documents/secure-bind-template.html | Secure BIND Template]]
+  * [[http://www.layangan.com/asfik/writings/dns-bind.html | Konsep dan konfigurasi BIND oleh Asfik]]