Category Archives: DNS

Setup Domain Name Server(Linux-Bind-DNS) untuk perusahaan ISP di Jawa Tengah

Saya dikontak adik nya teman saya yang pernah saya buatin Warnet tahun 2000 an di Pekalongan. Sekarang mereka merintis usaha Internet Service Provider di Batang, Jawa Tengah dimana masih proses Uji Laik Operasi (ULO) ke Kominfo.

Singkat cerita saya bantu remote ke server IBM yang sudah mereka siapkan dengan sistem operasi Linux Ubuntu 20.04.5 LTS jadi ada 2 DNS Server pertama untuk Primary dan Secondary.

Untuk ini yang reliable dan pernah saya setup di perusahaan ISP tempat saya bekerja tahun 2006 memakai BIND 9 Internet Systems Consortium.

-Setup Linux Bind 9 Round Robin (nameserver primary dan secondary).

-Setup Bind RPZ Domain Name Service Response Policy Zones (Trustpositif Kominfo).

-Linux hardening.

Project selesai dan sudah berhasil di testing di client2 mereka. Jika ada didaerah Batang yang tertarik memakai layanan internet mereka bisa kontak mereka di https://www.tujuhlangit.net

Install DNS,DHCP,Webserver,Proxy,FTP,DDOS protection,IDS

Kelebihan OS Linux adalah dapat menempatkan beberapa services runing bersamaan dalam satu server. Tujuan membuat satu server linux berisi DNS, DHCP, Webserver, Proxy, FTP, IDS, DDOS protection, MRTG, Webmin adalah :

– Distro Centos 5.5 sebagai sistem operasi Linux yang free dan mudah diinstall.

– DNS menggunakan BIND ISC untuk nameserver(primary DNS) domain perusahaan ini. Primary DNS disini menghandle NS,MX,Web perusahaan. Untuk settingan MX di pointing ke server mail server perusahaan ini beda mesin menggunakan Zimbra.

– DHCP menggunakan DHCP dari ISC berfungsi untuk pemberian intenet address ototmatis ke seluruh komputer karyawan di perusahaan ini yang sudah tersambung dalam jaringan local area network(LAN)

– Webserver mengunakan Apache, berfungsi sebagai tempat file-file website domain perusahaan yang dapat diakses menggunakan www atau http, Apache juga dapat diset untuk meng host domain-domain lain yang dimiliki perusahaan ini.

– Proxy menggunakan SQUID sebagai cache proxy gateway akses browsing semua komputer karyawan. Untuk access filtering digunakan SQUIDGUARD dan Shalla’s Blacklists

– IDS sebagai security intrusion detection dalam hal ini menggunakan The Advanced Intrusion Detection Environment (AIDE)

– DDOS protection untuk menghadapin serangan baik dari incoming dan outgoing. Untuk ini digunakan APF(Advanced Policy-based Firewall), BFD(Brute Force Detection), mod_dosevasive, dan mod_security.

– FTP menggunakan VSFTP yang berfungsi sebagai file transfer ke webserver prusahaan jika untuk mengupdate website perusahaan.

– MRTG menggunakan mrtg untuk visual monitoring bandiwdth management baik pada server ini, server lain,dan router. Data dari mrtg bisa di capture dan diberikan ke ISP jika didapat kapasitas Bandwidth yang disewa jauh dibawah rata-rata.

Cukup bicara teori, sekarang dilanjutkan ke instalasi dan konfigurasi, yang dalam artikel ini sistem operasi Linux  distro Centos 5.5 sudah diinstall minimalis.

[root@ns1 gtoms]# uname -a
Linux ns1.xyz.co.id 2.6.18-194.11.1.el5 #1 SMP Tue Aug 10 19:09:06 EDT 2010 i686 i686 i386 GNU/Linux

[root@ns1 gtoms]# cat /etc/redhat-release
CentOS release 5.5 (Final)
Continue reading

Project Internet Sharing, DNS, Webserver : Linux Based dengan Proxy Squid, DHCP, Apache, dan Bind

Hari libur Imlek ini kusempatkan menulis tutorial yang pernah saya implementasikan akhir bulan lalu.  Project ini di sebuah perusahaan Publishing dan Media Marketing Group di daerah Jakarta Selatan yang dimiliki orang bule.  Project ini bertahap, dari pergantian sistem internet sharing sampai pergantian sistem mailserver di kantor mereka.

Kali ini saya tulis mengenai Project Internet Sharing mengunakan Linux Based dengan Proxy SquidDHCP, Bandwidth Management. Sistem baru ini saya tawarkan untuk menggantikan sistem lama yang mengunakan router hardware yang menurut IT Staffnya  sering hang dan feature didalamnya sangat terbatas. Dengan sistem baru diharapkan lebih powerful untuk menjembatani IT Staff dengan user. Setelah aku memahami topology jaringan disana lalu aku membuat penawaran. Mereka menerima model penawaran dari internet sharing dan mailserver, setelah cocok dalam harga akhirnya saya mulai pekerjaan ini, perusahaan ini telah membeli server baru untuk menambah kekuatan sistem ini.  Pekerjaan untuk instalasi dan konfigurasi dilakukan secara remote. Sistem operasi menggunakan Linux Centos sudah diinstall default oleh IT nya dan saya tinggal mengkonfigurasi secara remote menggunakan Putty untuk kebutuhan internet sharing ini. IT stafnya juga meminta tambahan agar server ini diisi DNS untuk domain kantor dan Apache sebagai webserver untuk hosting website kantor. Berikut Instalasi dan konfigurasinya :

Continue reading

upgrade : bind9 packages fix cryptographic weakness

Florian Weimer dari debian-security@lists.debian.org memberitahukan ada update terbaru dari paket bind9, update paket bind9 bersamaan dengan keluarnya update ntp dan OpenSSL. Proses upgrade bind9 yang berfungsi sebagai domain name server saya upgrade untuk mesin Primary dan Secondary DNS. Berikut proses upgradenya :

Continue reading

membandingkan kecepatan penyebaran DNS ISP

Teman ku menelpon bahwa nameserver domain nya sudah diganti mengarah ke salah satu hosting di Gedung Cyber Jakarta. Dan minta tolong dicek.  Registrant Domainnya berada di pacnames.com di luar negeri USA.

Untuk itu aku langsung cek kurang dari setengah jam pasca pergantian nameserver(NS) domainnnya ke nameserver baru, menggunakan beberapa ISP (internet service provider) di Jakarta dan server Hosting ThePlanet.com US.

Berikut hasilnya :

Continue reading

upgrade dns server

Boss besar urusan ISP kantorku suruh aku cek DNS kantor apakah terkena dampak Dan Kaminsky DNS cache poisoning.  Kemudian kulanjutkan dengan pengecekan melalui situs :

http://www.doxpara.com/
https://www.dns-oarc.net/oarc/services/dnsentropy
https://www.dns-oarc.net/oarc/services/porttest
#dig +short porttest.dns-oarc.net TXT
#dig @4.2.2.3 +short porttest.dns-oarc.net TXT

pingin juga pakai metasploit dan exploit bailiwicked :D

Dari pengujian diatas diketahui versi Bind (the Berkeley Internet Name Domain) yang terinstall sebagai DNS Server terdapat DNS cache poisoning. Dan sudah seharusnya di patch. Akhirnya aku dijinkan eksekusi server dengan hard upgrade, bukan soft upgrade.  Kalau soft upgarde hanya mem-patch dns servernya ke versi yang sudah bebas vulnerable. Tapi aku usulkan untuk hard upgrade dalam arti sekalian sistem operasi nya dan bind nya di upgrade.  Installasi fresh dari awal. Pekerjaan ini dilakukan pada mesin Primary DNS, dan mesin Secondary DNS. Semua client kantor di Jakarta dan luar Jakarta memakai kedua DNS ini sebagai koneksi ke internet. Sehingga harus dilakukan upgrade ini untuk menghindari hal-hal yang tidak diinginkan. Sistem operasi DNS memakai Debian, dan melalui mailing list Debian Security aku juga menerima pemberiahuan akan dns cache poisoning ini :

http://lists.debian.org/debian-security-announce/2008/msg00184.html

Installasi ini dilakukan pada mesin Secondary DNS dulu dan kemudian dilanjutkan ke Primary DNS, sehingga tidak ada down time untuk DNS ke seluruh client. Aku pinginnya Secondary DNS turun mesin diganti yang baru, tapi karena semua serba mendadak jadinya pergantian mesin Secondary DNS menyusul setelah bagian gudang mengirimkan mesin baru ke NOC.  Eksekusinya malam menjelang dini hari.  Menurut pengelola ISC Bind, dalam waktu dekat mereka juga akan mengeluarkan patch kembali pada versi Bind  9.3.4-P1.1 dengan versi P2. Nampaknya harus terus memantau aktifitas di ISC Bind untuk mengetahui release-release terbaru mereka untuk DNS Server versi Bind.

Berikut proses instalasi yang sempat di dokumentasikan.

Instalasi dan Konfigurasi Hard Upgrade Primary DNS(Bind-Chroot)

Instalasi dan Konfigurasi Hard Upgrade Secondary DNS(Bind-Chroot)

Multiple DNS implementations vulnerable to cache poisoning

DNS(Domain Name System), berfungsi untuk mengatur proses penterjemahan nama domain ke nomor IP atau sebaliknya. DNS merupakan sistem yang menyimpan informasi tentang nama host dan nama domain dalam bentuk basis data tersebar (distributed database) di dalam jaringan komputer, misalkan Internet.

DNS diimplementasikan dalam sebuah system melalui software BIND (Berkeley Internet Name Domain), djbdns , Daniel J. Bernstein‘s DNS), MaraDNS, QIP (Lucent Technologies), NSD (Name Server Daemon), PowerDNS, Microsoft DNS. Perangkat lunak tersebut memakai metode DNS.

Bulan Juli 2008 dunia IT digemparkan dengan penemuan Dan Kaminsky, Director of Penetration Testing, IOactive yang mengangkat kembali kelemahan pada DNS Cache Poisoning. 3 tahun lalu kasus ini pernah diungkap oleh Ian Green dengan topik DNS Spoofing.  Cuman kali ini Dan Kaminsky sangat serius mengungkap kelemahan ini, kemudian beredar di internet exploit bailiwicked yang dapat digunakan untuk dapat meracuni nameserver cache dalam waktu 5-10 detik.  Dari rilis pemberitahuan US-CERT diberitahukan beberapa perangkat lunak DNS yang terkena dampak Racun Dan Kaminsky ini. Salah satunya ISC BIND. Dan ISC juga merilis patch softwarenya yang vulnerable melalui pemberitahun di situsnya.

Menurut Jaikumar Vijayan, Computerworld :

DNS servers are responsible for routing all Internet traffic to their correct destinations. The so-called cache-poisoning vulnerability that Kaminsky discovered could allow attackers to redirect Web traffic and e-mails to systems under their control, according security researchers. The flaw exists at the DNS protocol level and affects numerous products from multiple vendors.

Untuk memastikan ini, aku coba install Bind yang belum dipatch, pada salah satu server untuk menjadi sasaran. Lalu melalui laptop aku install Metasploit dan menjalankan expolit bailiwicked AU-EX-2008-0002.txt & CAU-EX-2008-0003.txt, untuk meracuni server Bind yang sudah kuinstall.

hasilnya :

client 202.51.212.xx query (cache) ‘com/ANY/IN’ denied: 30 Time(s)
client 202.51.212.xx query (cache) ‘gmail.com/ANY/IN’ denied: 32
Time(s)
client 202.51.212.xx query (cache) ‘hotmail.com/ANY/IN’ denied: 31
Time(s)
client 202.51.212.xx query (cache) ‘net/ANY/IN’ denied: 30 Time(s)
client 202.51.212.xx query (cache) ‘nosuch.domain/ANY/IN’ denied:
30 Time(s)
client 202.51.212.xx query (cache) ‘www.yahoo.com/ANY/IN’ denied: 31
Time(s)

ho..ho…gawat nih, ayo patch dns server anda segera, khususnya ISP(internet services provider).

Guide to Domain Name Status Codes

ACTIVE: The registry sets this status. The domain can be modified by the registrar. The domain can be renewed. The domain will be included in the zone if the domain has been delegated to at least one name server.

REGISTRY-LOCK: The registry sets this status. The domain can not be modified or deleted by the registrar. The registry must remove the REGISTRY-LOCK status for the registrar to modify the domain. The domain can be renewed. The domain will be included in the zone if the domain has been delegated to at least one name server. Continue reading