Tag Archives: bind

Setup Domain Name Server(Linux-Bind-DNS) untuk perusahaan ISP di Jawa Tengah

Saya dikontak adik nya teman saya yang pernah saya buatin Warnet tahun 2000 an di Pekalongan. Sekarang mereka merintis usaha Internet Service Provider di Batang, Jawa Tengah dimana masih proses Uji Laik Operasi (ULO) ke Kominfo.

Singkat cerita saya bantu remote ke server IBM yang sudah mereka siapkan dengan sistem operasi Linux Ubuntu 20.04.5 LTS jadi ada 2 DNS Server pertama untuk Primary dan Secondary.

Untuk ini yang reliable dan pernah saya setup di perusahaan ISP tempat saya bekerja tahun 2006 memakai BIND 9 Internet Systems Consortium.

-Setup Linux Bind 9 Round Robin (nameserver primary dan secondary).

-Setup Bind RPZ Domain Name Service Response Policy Zones (Trustpositif Kominfo).

-Linux hardening.

Project selesai dan sudah berhasil di testing di client2 mereka. Jika ada didaerah Batang yang tertarik memakai layanan internet mereka bisa kontak mereka di https://www.tujuhlangit.net

Instalasi Apache,Postfix FROM specific IPs,Bind,MySQL,Dovecot,DKIM,ISPConfig

Instalasi Apache, Postfix FROM specific IPs, Bind, Proftpd, MySQL, Dovecot, Quota, DKIM, Mailgraph, pflogsumm,ISPConfig.

Instalasi dan konfigurasi ini dilakukan pada salah satu server Qotexxx yang berada di Data Centre CalPOP Los Angeles. Pekerjaan dilakukan secara remote menggunakan putty ke server yang dalam kondisi awal sebagai berikut :

Hardware server Intel(R) Core(TM)2 CPU(dual core) 6300 @ 1.86GHz 32-bit, Memory 2 GB, Sistem Operasi CentOS 5.x  32-bit, berisi standart system instalasi dengan kernel 2.6.18-53.el5 dan  ssh yang sudah terinstall baik. Ditambah 1 Allocated IP yang sudah up 216.240.142.1xx, dan daftar Addittional IP’s – 216.240.142.1xx-1xx yang belum dikonfigurasi. Guna addittional IP’s ini nanti untuk alokasi multi domain per IP, khususnya untuk pemakaian SMTP yang dalam hal ini menggunakan Postfix.

216.240.142.1xx- qotexxx.info
216.240.142.1ss- qoteonlxxx.info
216.240.142.1yy- qoteyyy.info
216.240.142.1zz- qotesxxx.info
216.240.142.1aa- qotesyy.info
216.240.142.1bb- qotestxxx.info

Kondisi basic installan sistem operasi dari data centre perlu di rapihkan dahulu, biasanya dapat instalasi yang kurang bersih dari pihak datacentre terhadap server tersebut. Setelah login mengunakan root, create new user baru dan disable login root melalui sshd_config dan kembali login menggunakan user biasa. Kemudian perhatikan service yang up dan matikan service yang tidak perlu seperti cupsd, sendmail,dsb. Setelah beres upgrade sistem operasi CentOS dengan yum update.

Setelah kondisi rapih, reboot servernya untuk memastikan tidak ada masalah. Jika tidak up kordinasi dengan technical support CalPOP yang 24 jam.

Berikut proses instalasi dan konfigurasi yang berhasil saya dokumentasikan dari putty saya.

Dokumentasi Instalasi dan Konfigurasi.

upgrade : bind9 packages fix cryptographic weakness

Florian Weimer dari debian-security@lists.debian.org memberitahukan ada update terbaru dari paket bind9, update paket bind9 bersamaan dengan keluarnya update ntp dan OpenSSL. Proses upgrade bind9 yang berfungsi sebagai domain name server saya upgrade untuk mesin Primary dan Secondary DNS. Berikut proses upgradenya :

Continue reading

upgrade dns server

Boss besar urusan ISP kantorku suruh aku cek DNS kantor apakah terkena dampak Dan Kaminsky DNS cache poisoning.  Kemudian kulanjutkan dengan pengecekan melalui situs :

http://www.doxpara.com/
https://www.dns-oarc.net/oarc/services/dnsentropy
https://www.dns-oarc.net/oarc/services/porttest
#dig +short porttest.dns-oarc.net TXT
#dig @4.2.2.3 +short porttest.dns-oarc.net TXT

pingin juga pakai metasploit dan exploit bailiwicked :D

Dari pengujian diatas diketahui versi Bind (the Berkeley Internet Name Domain) yang terinstall sebagai DNS Server terdapat DNS cache poisoning. Dan sudah seharusnya di patch. Akhirnya aku dijinkan eksekusi server dengan hard upgrade, bukan soft upgrade.  Kalau soft upgarde hanya mem-patch dns servernya ke versi yang sudah bebas vulnerable. Tapi aku usulkan untuk hard upgrade dalam arti sekalian sistem operasi nya dan bind nya di upgrade.  Installasi fresh dari awal. Pekerjaan ini dilakukan pada mesin Primary DNS, dan mesin Secondary DNS. Semua client kantor di Jakarta dan luar Jakarta memakai kedua DNS ini sebagai koneksi ke internet. Sehingga harus dilakukan upgrade ini untuk menghindari hal-hal yang tidak diinginkan. Sistem operasi DNS memakai Debian, dan melalui mailing list Debian Security aku juga menerima pemberiahuan akan dns cache poisoning ini :

http://lists.debian.org/debian-security-announce/2008/msg00184.html

Installasi ini dilakukan pada mesin Secondary DNS dulu dan kemudian dilanjutkan ke Primary DNS, sehingga tidak ada down time untuk DNS ke seluruh client. Aku pinginnya Secondary DNS turun mesin diganti yang baru, tapi karena semua serba mendadak jadinya pergantian mesin Secondary DNS menyusul setelah bagian gudang mengirimkan mesin baru ke NOC.  Eksekusinya malam menjelang dini hari.  Menurut pengelola ISC Bind, dalam waktu dekat mereka juga akan mengeluarkan patch kembali pada versi Bind  9.3.4-P1.1 dengan versi P2. Nampaknya harus terus memantau aktifitas di ISC Bind untuk mengetahui release-release terbaru mereka untuk DNS Server versi Bind.

Berikut proses instalasi yang sempat di dokumentasikan.

Instalasi dan Konfigurasi Hard Upgrade Primary DNS(Bind-Chroot)

Instalasi dan Konfigurasi Hard Upgrade Secondary DNS(Bind-Chroot)

Multiple DNS implementations vulnerable to cache poisoning

DNS(Domain Name System), berfungsi untuk mengatur proses penterjemahan nama domain ke nomor IP atau sebaliknya. DNS merupakan sistem yang menyimpan informasi tentang nama host dan nama domain dalam bentuk basis data tersebar (distributed database) di dalam jaringan komputer, misalkan Internet.

DNS diimplementasikan dalam sebuah system melalui software BIND (Berkeley Internet Name Domain), djbdns , Daniel J. Bernstein‘s DNS), MaraDNS, QIP (Lucent Technologies), NSD (Name Server Daemon), PowerDNS, Microsoft DNS. Perangkat lunak tersebut memakai metode DNS.

Bulan Juli 2008 dunia IT digemparkan dengan penemuan Dan Kaminsky, Director of Penetration Testing, IOactive yang mengangkat kembali kelemahan pada DNS Cache Poisoning. 3 tahun lalu kasus ini pernah diungkap oleh Ian Green dengan topik DNS Spoofing.  Cuman kali ini Dan Kaminsky sangat serius mengungkap kelemahan ini, kemudian beredar di internet exploit bailiwicked yang dapat digunakan untuk dapat meracuni nameserver cache dalam waktu 5-10 detik.  Dari rilis pemberitahuan US-CERT diberitahukan beberapa perangkat lunak DNS yang terkena dampak Racun Dan Kaminsky ini. Salah satunya ISC BIND. Dan ISC juga merilis patch softwarenya yang vulnerable melalui pemberitahun di situsnya.

Menurut Jaikumar Vijayan, Computerworld :

DNS servers are responsible for routing all Internet traffic to their correct destinations. The so-called cache-poisoning vulnerability that Kaminsky discovered could allow attackers to redirect Web traffic and e-mails to systems under their control, according security researchers. The flaw exists at the DNS protocol level and affects numerous products from multiple vendors.

Untuk memastikan ini, aku coba install Bind yang belum dipatch, pada salah satu server untuk menjadi sasaran. Lalu melalui laptop aku install Metasploit dan menjalankan expolit bailiwicked AU-EX-2008-0002.txt & CAU-EX-2008-0003.txt, untuk meracuni server Bind yang sudah kuinstall.

hasilnya :

client 202.51.212.xx query (cache) ‘com/ANY/IN’ denied: 30 Time(s)
client 202.51.212.xx query (cache) ‘gmail.com/ANY/IN’ denied: 32
Time(s)
client 202.51.212.xx query (cache) ‘hotmail.com/ANY/IN’ denied: 31
Time(s)
client 202.51.212.xx query (cache) ‘net/ANY/IN’ denied: 30 Time(s)
client 202.51.212.xx query (cache) ‘nosuch.domain/ANY/IN’ denied:
30 Time(s)
client 202.51.212.xx query (cache) ‘www.yahoo.com/ANY/IN’ denied: 31
Time(s)

ho..ho…gawat nih, ayo patch dns server anda segera, khususnya ISP(internet services provider).