Mengerti
konsep,cara kerja serta mampu mengkonfigurasi DNS Server maupun Firewall
DASAR TEORI
Domain Name Sistem (
DNS )
Dalam berkomunikasi, antar komputer
sudah cukup dengan menggunakan alamat IP. Namun untuk manusia diperlukan sebuah
nama untuk saling kenal dan oleh karena itu DNS ada. Manusia tidak mudah
mengingat alamat IP yang terdiri dari angka dibandingkan sebuah nama. DNS
adalah sebuah aplikasi untuk menukarkan nama komputer ke alamat IP dan
sebaliknya. Contoh software untuk DNS adalah BIND (Berkeley Internet Name
Domain) untuk UNIX atau sering disebut named. Cara kerja DNS adalah sbb :
Misalkan ada client yang menanyakan "berapa alamat
IP dari www.google.co.id
?". Pertanyaan ini dilemparkan ke DNS Lokal. Dengan segera
DNS Lokal memeriksa databasenya. Kemudian ternyata www.google.co.id tidak terdapat di dalam databasenya. Lalu ia
memeriksa cache. Bila ada, jawaban langsung dikirim ke client. Tapi bila tidak
ada, maka ia akan mencari jawabannya ke Root DNS. Root DNS pasti mempunyai
database yang dimaksud dan memberikannya ke DNS Lokal dan pada akhirnya
diberikan ke client tadi. Root DNS ini memuat seluruh daftar nama yang ada di
dunia, dan Root DNS ini tidak hanya terdiri dari satu server melainkan sekitar
13 server yang diletakkan di seluruh dunia.
Nama domain di dunia dipecah
menjadi :
·
.com
(komersial)
·
.org
(organisasi)
·
.edu
(education/pendidikan)
·
.gov
(government/pemerintahan)
·
.mil
(military/militer)
·
.net
(network)
Dan
di Indonesia diubah sedikit menjadi :
·
.co.id
(komersial)
·
.or.id
(organisasi)
·
.ac.id
(academic)
·
.go.id
(government)
·
.mil.id
(militer)
·
.net.id
(layanan jaringan)
Pembagian ini berdasarkan kepada jenis institusi yang
meminta nama domain.
Selain itu, penyusunan domain dibuat bertingkat dan mempunyai hirarki tertentu. Domain-domain di seluruh dunia sangat banyak dan tidak mungkin semuanya ditampung oleh Root DNS. Root DNS hanya memegang 'kepala' dari domain tertentu.
Selain itu, penyusunan domain dibuat bertingkat dan mempunyai hirarki tertentu. Domain-domain di seluruh dunia sangat banyak dan tidak mungkin semuanya ditampung oleh Root DNS. Root DNS hanya memegang 'kepala' dari domain tertentu.
Selain
memiliki fungsi memetakan nama host ke IP address, DNS juga memiliki fasilitas reverse mapping. Reverse mapping adalah
proses memetakan IP address ke domain name. Reverse mapping juga digunakan
untuk menghasilkan keluaran yang lebih manusiawi, mudah dibaca, dan
diinterpretasikan, misalkan untuk pembacaan log
file.
Komponen DNS
Resolver : Bagian
program aplikasi yang berfungsi menjawab pertanyaan program aplikasi tentang
domain. Resolver akan menjawab
pertanyaan dengan dua cara, yaitu melihat isi cache nya, dan bertanya kepada server DNS serta mengimplementasikan
hasilnya.
Jenis DNS
DNS Server
terdiri dari tiga jenis yaitu :
1.
|
Cache
Jenis ini tidak mempunyai data nama-nama host dari domain tertentu. Ia hanya mencari jawaban dari beberapa DNS server terdekat. Setelah jawaban didapatkan, datanya disimpan dalam cache untuk keperluan mendatang. DNS server cache merupakan yang paling mudah untuk dikonfigurasi. |
2.
|
Primary
(master)
Sesuai
dengan namanya, primary atau master adalah pemegang daftar lengkap dari
sebuah domain yang dikelolanya. Server ini memegang otoritas penuh atas
domainnya. Misalkan server ns1.its-sby.edu memegang otoritas penuh atas
domain *.its-sby.edu. Otoritas penuh disini berarti server ini yang
bertanggung jawab untuk ditanyai nama-nama host berdomain its-sby.edu dan
sub-sub domain di bawahnya. Selain itu hanya server ini yang dapat membuat
sub-domain di bawah its-sby.edu.
|
3.
|
Secondary
(slave)
Server
ini adalah backup dari primary server. Sama seperti primary, secondray juga
memuat daftar lengkap sebuah domain. Hubungan antara primary dan secondary
ini kurang lebih seperti mirror. Bila ada perubahan di primary server,
secondary terus mengikutinya secara periodik. Oleh karena itu, secondary
memerlukan ijin dari primary untuk melakukan sikronisasi ini. Sikronisasi ini
lazimnya disebut Zona Transfer. Secondary ini diperlukan sebagai backup bila
primary crash atau sibuk dan untuk mempermudah pendelegasian.
|
Istilah dalam DNS
Beberapa
arti istilah yang umum pada DNS (Domain Name System) sbb :
SOA (Start Of
Authority) record
SOA (Start Of Authority)
record menandakan top dari
node pada zone. Setiap zone memiliki tepat sebuah SOA record. SOA record didesain untuk menjadi
start dari zone dan harus muncul paling
awal di setiap DNS hosts file. SOA record memiliki banyak variasi
informasi administratif yang mana
mempergunakan zone secara keseluruhan. SOA terdiri atas beberapa field-field (nama-nama
yang ada dalam parentheses adalah standard field names yang telah didefinisikan
dalam RFC1035):
·
Master NS
Merupakan
full domain name dari server name
dimana master copy dari zone
datanya sedang termaintained. Jika zone sedang dimaintain menggunakan nama
domain tertentu, maka field ini haris berisi nama host yang running pada primary name server di
domain tersebut.
·
Admin e-mail (RNAME)
Adalah e-mail address dari
administrator responsible zone.
RNAME merupakan Internet-style e-mail address (user@dom.ain).
·
Serial # (SERIAL)
Merupakan current serial number zone. serial number
ini digunakan oleh secondary name
servers untuk memdeterminasi bahwa
disitu baru saja merubah zone data.
Serial number otomatis diupdate oleh domain server ,sehingga tak perlu dirubah
secara manual.
·
Refresh (REFRESH)
Field ini
mendeterminasi seberapa sering secondary
name servers akan menegecek perubahan pada zone . default value biasanya adalah
8 jam yangmana direkomendasikan oleh RFC1035
·
Retry (RETRY)
Jika secondary name
server gagal berkomunikasi dengan primary name server, maka dia akan mengulang
berkomunikasi dengan primary lagi untuk beberapa kali dengan interval tertentu.
Interval ini adalah fraksi kecil dari
Refresh time, dan paling sedikit 1 jam. default valuenya adalah 2 jam,
yang direkomendasikan RFC1537.
·
Expire (EXPIRE)
Jika secondary name
server tidak bias melakukan kontak dengan primary name server , hal ini
kemungkinana masih bias untuk meneruskan
answer dari query menggunakan
data terakhir yang diperoleh.
Ketika tidak dapat melakukan kontak lagi dengan primary maka rentang waktu yang
ada berisi expire data,dan secondary name server tidak menjawab queriynya. Default value nya 7 hari
.
·
Minimum TTL (MINIMUM)
Adalah minimum time-to-live (TTL) untuk semua DNS data dalam zone. MINIMUM TTL juga serves sebagai default TTL ketikan ada
penambahan records baru . default valuenya adalah 1 hari( RFC1537 ).
Contoh SOA record:
name {ttl} addr-class SOA Origin Person in charge
@IN SOA volga.mynet.COM.dave.mynet.COM (
1993041403 ; Serial
3600 ; Refresh
300 ; Retry
3600000 ; Expire
259200) ; Minimum
CNAME
records
Domain
name dengan a CNAME (Canonical Name) record berlaku sebagai alias dari
domain name yang lain, canonical name. Karena
canonical name dan aliasnya
bisa berada pada
zones yang berbeda , maka CNAME
record harus selalu dimasukkan sebagai fully qualified domain name. Nixu
NameSurfer mecek canonical name tersebut
apakaha benar ada domain name, and mengelurakan warning jika domain name tidak ada.
CNAME
records sangatlah berguna untuk setting
logical names network services oleh
sebab itu mereka dapat dengan mudahnya
direlokasikan pada physical host yang
berbeda.
DNS protocol menempatkan number restrictions pada
penggunaan CNAME records:
·
Nama yangmana
didalamnya terdapat CNAME record kemungkinana tidak memiliki records yang lain.
·
records lain
yangmana merupakan "point" pada domain names, seperti NS, MX dan PTR records,
mungkin bukan merupakan point pada aliasnya. Malah, mereka akan menjadi
point secara langusng pada canonical
namenya.
MX
records
MX
( Mail eXchanger) record menggambarkan di mana e-mail menunjukkan nama domain
kiriman. MX record membuatnya mungkin untuk mengirimkan e-mail yang ditunjukkan
pada host yangmana dia sendiri tak perlu utnuk memamakai mail software ke host
yang tidak terhubung dengan jaringan ,
atau bahkan untuk mengeposkan alamat yang tidak sesuai dengan physical machine
sama sekali.
MX
record dari host perlu mendaftar satu atau lebih " mail
exchanger" ( MX) host yang akan menerima mail atas nama host itu.
Dalam
hal ini, anda dapat menggambarkan semua MX record dari suatu domain menyebut
dengan segera, dengan hanya memilih suatu isi selektor bertinju. Masing-Masing
masukan selektor mendaftar pos exchangers sebagai daftar comma-separated, dalam
urutan dari paling diutamakan ke paling sedikit lebih diutamakan.
Jika
tidak satupun dari alternatif bisa diterima, pilih dan hit OK submit tombol.
anda akan akan mendapatkan untuk nama
mail dari mail exchanger host.
Jika
tidak ada MX alternatif sudah dikenal, MX record dimasukkan pada satu set bidang masukan teks. Masing-Masing
bidang perlu berisi nama satu mail exchanger, dalam urutan dari paling utama ke
paling sedikit lebih diutamakan. Jika ada satu atau lebih
entry field daripada mail
exchanger host,maka field yang berlebih
harus ditinggalkan kosong.
Mail exchanger host harus merupakan satu di
mana penyerahan mail yang akhir akan
berlangsung ( dengan kata lain, mesin server berisi mailbox user). Yang lain
MXS akan digunakan hanya sebagai backups di dalam kasus manakala MX yang paling
utama adalah tidak menjawab. Secara khas, ini disebut sebagai " fallback
MXS" menyimpan mail temporary dan me re-send kembali kepada MX yang paling
utama manakala [i kembali life.
Masing-Masing
mail exchanger ditemani oleh suatu preference value. Value ini harus positif bilangan bulat dan sebagai
penanda prioritas mail exchanger's. mail
exchabnger yang paling disuka mempunyai nilai preference yang paling rendah.
Direkomendasikan,
Anda menggambarkan MX record untuk semua host. Jika Anda lakukan ini, anda
perlu juga meyakinkan bahwa server mail didaftarkan di dalam MX record
anda yang pertama dengan tepat diatur
untuk menerima mail yang menunjukkan mesin lain.
AAAA
records
AAAA (IPv6 address) records mendefinisikan IPv6 addresses dari hosts dan device network lain yangmana menggunakan IPv6 protocol.
Address yang ada mungkin dimasukkan dalam format yang telah
direkomendasikan RFC1884. Contohnya,
1080:0:0:0:8:800:200C:417A adalah IPv6
address valid.
case pada
IPv4 A records and IPv6 A6 records tidak serupa yangmana , Nixu
NameSurfer tidak mampu untuk mengalokasikan IPv6 addresses secara otomatis
,serta mengupdate reverse mappingnya.
TXT
records
TXT
records dapat digunakan untuk menyatukan
arbitrary text strings pada
domain name. TXT record dapat juga digunakan untuk tujuan site-specific , seperti free-format untuk dokumantasi lokasi dari sebuah host, atau
postal address domain organisasi
tertentu.
record lain bertype ( seperti untuk HINFO dan RP
record) itu mungkin digunakan untuk tujuan yang] serupa dan yang mana mungkin lebih sesuai dibanding TXT record
manakala informasi untuk didokumentasikan jadilah lebih tersusun dibanding
suatu free-format comment. Nixu Namesurfer memakai TXT record sebagai
multi-line teks area. Masing-Masing garis sesuai dengan TXT record yang
terpisah. Sebab DNS tidak memelihara order record.
Firewall
Secara umum, firewall
biasanya menjalankan fungsi:
·
Analisa dan filter
paket
Data yang dikomunikasikan lewat protokol di internet,
dibagi atas paket-paket. Firewall dapat menganalisa paket ini, kemudian
memperlakukannya sesuai kondisi tertentu. Misal, jika ada paket a maka akan
dilakukan b. Untuk filter paket, dapat dilakukan di Linux tanpa program
tambahan.
·
Bloking isi dan
protokol
Firewall dapat melakukan bloking terhadap isi paket,
misalnya berisi applet Jave, ActiveX, VBScript, Cookie.
·
Autentikasi koneksi
dan enkripsi
Firewall umumnya memiliki kemampuan untuk menjalankan
enkripsi dalam autentikasi identitas user, integritas dari satu session, dan
melapisi transfer data dari intipan pihak lain. Enkripsi yang dimaksud termasuk
DES, Triple DES, SSL, IPSEC, SHA, MD5, BlowFish, IDEA dan sebagainya.
Tipe-tipe
Firewall
1.
Network-Level
Firewall
Filter paket dilakukan biasanya dijalankan di
router. Filter ini dapat dijalankan dengan memberlakukan rule set tertentu.
Contoh tipikal dari Network-Lever
Firewall adalah TCP Wrappers. Filter paket di Linux akan dibahas pada
bagian selanjutnya.
2. Application-Proxy Firewall/Application Gateways
Berbeda dengan firewall sebelumnya yang memfilter dan bloking paket, Application-Proxy firewall meneruskan
paket yang ada ke host internal yang dituju. Firewall ini bisa dikatakan
sebagai jembatan. Application-Proxy
Firewall biasanya berupa program khusus.
Cara
kerja IPTABLES
IPTables
digunakan untuk melakukan set up, menjaga, dan memeriksa tabel aturan filter
paket IP dalam kernel Linux. Ada
Chain adalah serangkaian aturan yang
diperuntukkan bagi paket-paket tertentu yang dispesifikasikan. Dalam tiap
aturan dispesifikasikan apa yang akan dilakukan terhadap suatu paket tertentu. Jika suatu paket tidak
memenuhi kriteria pada aturan pertama yang terdapat pada suatu chain, paket
tersebut akan diperiksa menggunakan aturan berikutnya (jika ada). Namun, jika
paket tersebut memenuhi criteria yang dispesifikasikan, maka rule tersebut akan
diberi perlakuan tertentu yang telah ditentukan oleh user. Perlakuan bagi tiap
paket tersebut disebut dengan istilah target. Target tersebut dapat berupa
chain buatan user ataupun berupa nilai-nilai sebagai berikut:
ACCEPT à berarti membiarkan paket
tersebut lewat.
DROP à berarti membuang paket
tersebut.
QUEUE à berarti melewatkan paket ke
userspace (jika didukung oleh kernel).
RETURN à berarti berhenti memeriksa
chain ini dan me-resume rule berikutnya pada chain yang dipanggil sebelumnya.
Jika
akhir chain built-in dicapai, atau jika sebuah aturan dalam chain built-in
dengan target RETURN terpenuhi, target yang dispesifikasikan oleh policy chain
akan menentukan perlakuan bagi paket tersebut.
Tabel-tabel yang ada :
·
Filter
Merupakan tabel default. Terdiri dari chain
built-in:
INPUT
à untuk paket yang
datang ke box.
FORWARD
à untuk paket yang
di-routing-kan ke box.
OUTPUT
à untuk paket yang
di-generate secara lokal.
·
Mangle
Tabel ini digunakan
untuk pengubahan paket. Hingga kernel 2.4.17, tabel ini terdiri dari 2 chain built-in:
PREROUTING à untuk mengubah paket yang datang sebelum
routing.
OUTPUT à untuk
mengubah paket yang di-generate secara lokal
sebelum
routing.
Hingga kernel 2.4.18, tabel ini mempunyai 3
chain built-in, yaitu:
INPUT à untuk paket yang datang ke box.
FORWARD à untuk mengubah paket yang di-routing ke box.
POSTROUTING à untuk mengubah paket yang akan keluar.
·
Nat
Tabel ini digunakan
jika ada sebuah paket yang membuat koneksi baru. Tabel ini terdiri dari 3 chain
built-in:
PREROUTING à untuk mengubah paket yang datang.
OUTPUT à untuk
mengubah paket yang di-generate secara lokal
sebelum
routing.
POSTROUTING à untuk mengubah paket yang akan keluar.
Pilihan-pilihan pada Iptables
Pilihan
ini berisi perintah, hanya ada satu macam command yang tidak diikuti
spesifikasi rule chain.Command ini antara lain:
Symbol
|
Fungsi
|
Keterangan
|
–A
|
Spesifikasi rule chain
|
untuk menambah rule chain
|
–D
|
spesifikasi rule chain
|
untuk menghapus rule
|
–D
|
nomor rule chain
|
menghapus satu atau lebih rule pada
chain yang dipilih sesuai nomornya
|
–I
|
spesifikasi (nomor rule)
|
menambah satu atau lebih rule pada
chain yang dipilih,sesuai nomor rulenya, defaultnya 1
|
–R
|
spesifikasi (nomor rule
|
me-replace rule
|
–L
|
list chain
|
mendaftar rule pada chain yang
dipilih, jika tidak ada yang dipilih ,semua rule akan didaftar
|
–F
|
flush (chain)
|
menghapus satu demi satu rule pada
chain yang dipilih
|
–Z
|
zero
|
mereset paket dan byte counter pada
semua chain
|
–X
|
chain delete
|
menghapus chain buatan user sendiri
|
–P
|
policy target chain
|
mengeset policy untuk chain target
|
–E
|
rename-chain old-chain new-chain
|
mengubah nama user specified chain
ke user supplied nam
|
–h
|
Parameter
|
Help
|
–p
|
protocol
|
protocol dari rule atau packet untuk
check
|
–s
|
source [!] address[/mask]
|
spesifikasi source. Alamat dapat berupa sebuah nama net
work atau sebuah hostname
|
–d
|
destination [!] address[/mask]
|
spesifikasi tujuan. Alamat dapat berupa sebuah nama net work atau sebuah hostname
|
–j
|
jump target
|
menspesifikasikan target dari rule
|
–i
|
in-interface [!] name
|
Menspesifikasikan input pada
interface tertentu
|
–o
|
out-interface [!] name
|
Menspesifikasikan output pada
interface tertentu
|
[!]
–f
|
fragment
|
rule selain fragment
|
–c
|
set-counters PKTS BYTES
|
memungkinkan administrater untuk menginisialisasi packet dan byte counters sebuah rule (selama
operasi INSERT, APPEND, REPLACE )
|
No comments:
Post a Comment
silahkan membaca dan berkomentar