upgrade dns server

| Posted in DNS, Linux Server, Security

Boss besar urusan ISP kantorku suruh aku cek DNS kantor apakah terkena dampak Dan Kaminsky DNS cache poisoning.  Kemudian kulanjutkan dengan pengecekan melalui situs :

http://www.doxpara.com/
https://www.dns-oarc.net/oarc/services/dnsentropy
https://www.dns-oarc.net/oarc/services/porttest

#dig +short porttest.dns-oarc.net TXT

#dig @4.2.2.3 +short porttest.dns-oarc.net TXT

pingin juga pakai metasploit dan exploit bailiwicked :D

Dari pengujian diatas diketahui versi Bind (the Berkeley Internet Name Domain) yang terinstall sebagai DNS Server terdapat DNS cache poisoning. Dan sudah seharusnya di patch. Akhirnya aku dijinkan eksekusi server dengan hard upgrade, bukan soft upgrade.  Kalau soft upgarde hanya mem-patch dns servernya ke versi yang sudah bebas vulnerable. Tapi aku usulkan untuk hard upgrade dalam arti sekalian sistem operasi nya dan bind nya di upgrade.  Installasi fresh dari awal. Pekerjaan ini dilakukan pada mesin Primary DNS, dan mesin Secondary DNS. Semua client kantor di Jakarta dan luar Jakarta memakai kedua DNS ini sebagai koneksi ke internet. Sehingga harus dilakukan upgrade ini untuk menghindari hal-hal yang tidak diinginkan. Sistem operasi DNS memakai Debian, dan melalui mailing list Debian Security aku juga menerima pemberiahuan akan dns cache poisoning ini :

http://lists.debian.org/debian-security-announce/2008/msg00184.html

Installasi ini dilakukan pada mesin Secondary DNS dulu dan kemudian dilanjutkan ke Primary DNS, sehingga tidak ada down time untuk DNS ke seluruh client. Aku pinginnya Secondary DNS turun mesin diganti yang baru, tapi karena semua serba mendadak jadinya pergantian mesin Secondary DNS menyusul setelah bagian gudang mengirimkan mesin baru ke NOC.  Eksekusinya malam menjelang dini hari.  Menurut pengelola ISC Bind, dalam waktu dekat mereka juga akan mengeluarkan patch kembali pada versi Bind  9.3.4-P1.1 dengan versi P2. Nampaknya harus terus memantau aktifitas di ISC Bind untuk mengetahui release-release terbaru mereka untuk DNS Server versi Bind.

Berikut proses instalasi yang sempat di dokumentasikan.

Instalasi dan Konfigurasi Hard Upgrade Primary DNSInstalasi dan Konfigurasi Hard Upgrade Secondary DNS

Write a comment