DNS (Domain Name System) adalah metode dengan sejarah panjang yang dapat menetapkan nama domain ke komputer dengan alamat IP sehingga komputer tersebut memiliki nama karakter, misalnya komputer dengan alamat IP 207.46.193.254 adalah server Microsoft www. microsoft.com. DNS dirancang dengan baik dan berfungsi dengan sangat baik hampir sepanjang waktu. Namun, selalu ada beberapa situasi yang tidak memuaskan dan itu akan terjadi, menyebabkan pusing kepala administrator. Jadi bagaimana menemukan petunjuk kegagalannya? Apa saja area sistem DNS Anda yang kurang ideal?
Apakah ada pola yang bisa diikuti? Jawabannya adalah ya. Berikut tujuh dosa server DNS untuk referensi Anda:
1. Gunakan BIND versi lama.
Bind, sebagai software server DNS open source, saat ini merupakan software server DNS yang paling banyak digunakan di dunia. Hampir sebagian besar versi BIND yang lebih lama memiliki kerentanan yang serius dan terkenal. Penyerang dapat mengeksploitasi kerentanan ini untuk mematikan server nama DNS kami dan membahayakan host yang menjalankannya. Oleh karena itu, Anda harus memastikan untuk menggunakan BIND terbaru dan melakukan patch tepat waktu.
2. Tempatkan semua server nama domain penting di subnet yang sama.
Dalam hal ini, kegagalan suatu peralatan, seperti switch atau router, atau kegagalan koneksi jaringan akan mencegah pengguna Internet mengakses situs web Anda atau mengirimi Anda email.
3. Izinkan rekursi ke kueri yang tidak sah.
Jika diatur ke situasi berikut:
(rekursi ya|tidak; [ya] izinkan rekursi { address_match_list }; [semua host] |
Itu tidak aman. Di sini, opsi rekursi menentukan apakah nama menanyakan server nama domain lain atas nama klien. Server nama umumnya tidak diatur untuk mematikan rekursi. Setidaknya kita harus mengizinkan rekursi untuk klien kita sendiri, tetapi menonaktifkan rekursi untuk kueri eksternal. Karena jika Anda dapat menangani kueri rekursif untuk klien mana pun, Anda akan membuat server nama terkena peracunan cache dan serangan penolakan layanan.
4. Izinkan server nama sekunder yang tidak sah untuk melakukan transfer zona.
Transfer Zona mengacu pada proses penyalinan file database zona antara beberapa server DNS. Jika Anda memberikan layanan transfer zona ke kueri arbitrer, Anda akan memaparkan server nama domain kepada penyerang, sehingga menyebabkan server mogok.
5. Tidak ada penerus DNS yang digunakan.
Penerusan DNS adalah server yang melakukan kueri DNS atas nama layanan DNS lainnya. Banyak perangkat lunak server nama, termasuk Server DNS Microsoft dan beberapa server nama BIND yang lebih lama, tidak cukup melindungi dirinya dari peracunan cache, dan perangkat lunak server DNS lainnya juga memiliki kerentanan yang dapat dieksploitasi oleh respons jahat. Namun banyak administrator mengizinkan server nama ini untuk menanyakan server nama lain di Internet secara langsung, tanpa menggunakan penerus sama sekali.
6. Salah mengatur nilai Start of Authority (SOA).
SOA menandai awal data zona dan mendefinisikan parameter yang mempengaruhi seluruh zona. Banyak administrator menetapkan nilai zona terlalu rendah, yang dapat menyebabkan gangguan sistem ketika kueri flush atau transfer zona mulai gagal. Sejak RFC mendefinisikan ulang SOA, beberapa orang telah mengatur ulang TTL cache negatif, menyebabkannya menjadi terlalu tinggi.
7. Catatan NS tidak cocok dalam otorisasi dan data zona.
Beberapa administrator menambah atau menghapus server nama utama tetapi lupa membuat perubahan terkait pada data delegasi zona mereka (yang disebut data delegasi). Hal ini akan memperpanjang waktu yang diperlukan untuk menyelesaikan nama domain dan mengurangi fleksibilitas.
Tentu saja, ini hanyalah beberapa kesalahan umum yang mungkin dilakukan administrator, namun ini dapat menjadi referensi dasar untuk mengonfigurasi server DNS Anda.