DNSSEC: Pengertian, Kelebihan dan Cara Kerjanya

Apa Itu DNSSEC?
DNSSEC adalah singkatan dari Domain Name System Security Extension.

Dari namanya, Anda pasti sudah dapat menebak bahwa DNSSEC dibuat khusus untuk menambahkan keamanan pada sistem DNS yang sudah ada.

Sistem DNS dibuat untuk memudahkan komunikasi antara manusia dengan komputer. Dengan adanya DNS, Anda tak perlu lagi mengetikkan 157.240.20.35 untuk bisa mengakses Facebook.com.

Lalu, bagaimana jika saat Anda mengetikkan Facebook.com Anda tidak dibawa ke IP address yang benar?

Itulah bahaya yang dihadapi. Sistem DNS masih rentan terhadap DNS Spoofing. Yaitu, serangan hacker yang mengganti catatan pada DNS sehingga membuat Anda mengakses website yang salah.

Bayangkan jika Anda salah masuk ke toko online palsu dan bertransaksi menggunakan kartu kredit atau memasukkan informasi bank Anda.

Keadaan ini bukanlah isapan jempol semata. Faktanya, pernah terjadi insiden pada tahun 2014. Beberapa email yang seharusnya menggunakan layanan Gmail dan Yahoo! justru masuk ke server asing milik para hacker.

DNSSEC mencoba mencegah terjadinya kejadian serupa. Caranya dengan memanfaatkan digital signature technology. Semua catatan pada sistem DNS dilengkapi dengan tanda tangan digital bersandi khusus.

Apa artinya? Verifikasi keaslian informasi yang dikirimkan dari server ke klien lebih mudah dilakukan. Jadi, apabila tidak sesuai dengan catatan pada authoritative DNS server bisa langsung dicegah.

Dengan prosedur ini, penggunaan DNSSEC akan memastikan informasi yang Anda terima memang benar dari sumber resmi. Dan, dipastikan tidak terjadi perubahan informasi yang disusupi aktivitas hacker.

Bagaimana penjelasan prosesnya?

Cara Kerja DNSSEC
Pada penjelasan DNS, Anda sudah belajar berbagai macam record DNS seperti A, AAA, CNAME, MX, dan lainnya.

DNSSEC menambahkan beberapa record untuk digunakan, yaitu:

  • RRSIG berisi signature digital dengan sandi khusus
  • DNSKey menyimpan public signing key yang akan digunakan pada proses otentikasi informasi.
  • DS atau Delegation Signer adalah hash
  • DNSKey yang tersimpan di parent zone. Tugasnya memastikan semua catatan dari childzone tertentu bisa dipercaya.
  • NSEC atau Next Secure Record bertugas memastikan informasi bahwa sebuah record DNS tidak ditemukan.
    Nah, sebelum masuk ke cara kerja DNSSEC, mari ingat kembali cara kerja DNS. Dimulai dari request melalui browser, DNS resolver bertugas mencari informasi yang diperlukan.

Proses berjalan dari mencari di cache lokal, menghubungi ISP, hingga meminta bantuan root DNS server. Proses ini dilanjutkan hingga ke top level domain server dan authoritative name server.

Semua langkah ini membutuhkan verifikasi DNSSEC key yang sesuai dengan DNS Zone-nya.

Inilah penjelasannya:

RRSet
Pertama, DNSSEC system akan mengelompokkan semua record yang sama dalam satu wadah bernama RRSet. Tujuannya untuk memudahkan proses penggunaan signature. Misalnya, AAA record dikelompokkan sendiri, lalu ditandatangani secara digital dengan sandi khusus yang sama.

Zone Signing Key (ZSK)
Selanjutnya, DNS server authoritative akan memberikan tanda khusus bernama Zone Signing Key (ZSK) berpasangan pada tiap RRSet. Ada private key dan public key.

ZSK menggunakan metode asimetris seperti yang diterapkan dalam keamanan SSL.

Ketika RRSet mendapatkan signature untuk public key, informasinya akan disimpan pada RRSIG record. Di sisi lain, public zone singing key disimpan di DNSKey record.

Pada praktiknya, saat DNS resolver meminta suatu jenis DNS. Katakanlah AAA record, maka authoritative name server di DNS zone tersebut akan memberikan AAA record dan RRSIG record.

Artinya, DNS resolver harus meminta DNSKey record kepada DNS server yang berisi public ZSK untuk bisa memvalidasi bahwa request tersebut valid.

Key Signing Key (KSK)
Selain validasi yang dilakukan ZSK terhadap RRSet, ZSK sendiri perlu divalidasi oleh Key Signing Key (KSK). Tujuannya, untuk menunjukkan bahwa sistem DNSSEC aman, terutama di zone tertentu.

Penjelasannya begini. Masih menggunakan contoh proses di atas. Ternyata, DNS server memberikan baik ZSK dan KSK. Jadi, ZSK untuk memverifikasi RRSIG atas permintaan RRSet AAA. Setelah berhasil, ZSK sendiri akan tervalidasi jika cocok dengan public KSK.

Dengan demikian, apabila proses validasi berjalan sempurna, bisa diartikan bahwa seluruh DNS zone tersebut aman atau dapat dipercaya sumber informasinya.

Delegationn Signer (DS)
Lalu, siapa yang akan memvalidasi bahwa sebuah zone itu aman meskipun sudah ada bukti berbagai proses di atas yang valid?

DNSSEC akan memanfaatkan sistem hirarki DNS dengan asumsi bahwa jika parent zone tersebut aman, maka child zone yang dimiliki juga aman.

Caranya, ketika sebuah child zone terbentuk akan dibuat sebuah duplikat hash dari public KSK zone tersebut. Nantinya, setelah diberikan kepada parent zone, akan dibuatlah DS (Delegation Signer) record.

Prosesnya hampir sama, pada saat DNS resolver diminta untuk menghubungi sebuah child zone, parent zone akan membekalinya dengan sebuah DS record. Yang harus dilakukan kemudian adalah mencocokan public KSK dari child zone dengan DS record. Jika sama, maka semua records di child zone aman.

Chain of Trust
Semua tahapan proses yang terjadi selanjutnya sama.

Untuk memastikan sebuah proses valid dibutuhkan pencocokan data dengan sistem di atasnya (parent). Begitu juga yang terjadi dengan DS record. Semua proses akan terus terjadi hingga masuk kepada root server.

Inilah yang kemudian dipahami sebagai Chain of Trust yang menjadi dasar dari sistem DNSSEC.

Kelebihan DNSSEC
Nah, setelah mengetahui cara kerja dari DNSSEC, tidak dapat dipungkiri bahwa sistem ini memiliki kelebihan sebagai berikut:

Memberikan Keamanan Ekstra
Penggunaan DNSSEC menjanjikan tingkat keamanan yang lebih tinggi. Jadi, akan mempersulit upaya hacker untuk dapat menyusup ke sistem DNS yang sudah ada.

Hal ini terutama karena diberlakukannya digital signature yang harus dilewati dengan proses pencocokan keys. Apalagi mengingat penggunaan teknik asimetris yang diterapkan, langkah peretasan akan semakin sulit dilakukan.

Memastikan Informasi Benar
Tak perlu lagi khawatir dengan informasi yang diterima. Sebab, proses di dalam DNSSEC memastikan informasi tersebut valid.

Berbagai verifikasi yang dilakukan melalui chain of trust memastikan informasi tersebut berasal dari website yang benar. Jadi, untuk aktivitas yang sensitif yang terkait data pribadi dan privasi bisa dilakukan dengan aman.

Siapa yang Membutuhkan DNSSEC?
Pada dasarnya, semua website membutuhkan keamanan dalam setiap aktivitas online yang dilakukan. Namun, ada beberapa jenis website yang paling membutuhkan penerapan DNSSEC ini.

1. Website yang Terkait Keuangan
Jika Anda memiliki website yang memproses transaksi keuangan seperti toko online, penggunaan DNSSEC sangat disarankan.

Selain untuk memastikan transaksi yang dilakukan aman, kepercayaan konsumen akan menentukan apakah mereka akan berbelanja lagi di toko online Anda.

2. Website yang Terkait Informasi Kesehatan
Semua informasi yang terkait dengan kesehatan harus valid. Jika tidak, bisa mengancam nyawa manusia.

Oleh karena itu, dengan penerapan DNSSEC akan memastikan tidak ada penyusup yang memanipulasi informasi yang Anda bagikan. Apalagi, jika informasi yang keliru tersebut terkait dengan kredibilitas Anda di dunia kesehatan.

3. Website yang Banyak Menyimpan Informasi Pribadi
Tak jarang website yang dikelola dengan menyimpan informasi dari pengguna. Salah satu contohnya adalah website membership seperti kelas online.

Dengan perlindungan DNSSEC, Anda bisa membantu melindungi data konsumen sekaligus kredibilitas online Anda. Jangan sampai terjadi pencurian data yang dilakukan oleh peretas dengan mudah.

4. Website yang Rentan Serangan Online Vandalism
Hacker banyak menyerang website yang banyak diketahui publik. Salah satunya, website pemerintah. Masih ingat dengan insiden deface pada website KPU beberapa waktu lalu?

Penutup
Nah, Anda sudah paham bahwa peran DNSSEC sangat penting dalam meningkatkan keamanan sistem DNS. Dengan DNSSEC, website Anda akan jauh lebih aman dan terhindar dari serangan hacker.

Untuk langkah tambahan, tidak ada salahnya untuk menerapkan langkah tambahan mengamankan website. Anda bisa dapatkan tips dan panduan lengkapnya di ebook