View
311
Download
6
Category
Preview:
Citation preview
harijanto@hts.
net.id
DNS Filterin
g untuk ISP
Mekanisme FILTERING/Penapis
Menggunakan Web Proxy
Menggunakan DNS
Penapis Web Proxy
• Keunggulan: – Dapat menapis sampai level URL – Dapat menapis sampai level file • Kerugian: – Tidak robust – Tidak cocok untuk menangani traffic data ISP yang volume dan trafficnya
sangat besar – Single point of failure – Proxy bukan native Internet (tanpa proxy Internet bisa tetap berfungsi)
Penapis DNS
• Keunggulan: – DNS adalah native dari jaringan Internet , tanpa DNS Internet bisa lumpuh – DNS memang di rancang untuk dapat menangani request query FQDN
yang sangat cepat dengan primary dan secondary DNS yang Robust –Mesin DNS dapat bekerja menggunakan backend SQL Database • Kerugian: – DNS hanya mengenal FQDN maka DNS tida dapat menapis sampai level
URL / File seperti Web Proxy – Resiko SQL injection jika sistem keamanan tidak di jaga dengan baik dan
benar yang mengakibatkan resiko Phishing dengan Fake server (sangat berbahaya)
Kelemahan sistem Trust Positif
Kelemahan sistem Trust Positif
Belum berbasis SQL Database
Daftar blacklist dalam satu file text yang ukurannya sangat besar 12MByte dengan 476,000 lebih daftar domain blacklist tidak dapat digunakan secara langsung untuk sistem penapis oleh ISP dan masih harus di cek karena masih tercampur antara daftar alamat IP dengan URL dan FQDN
Kelemahan sistem Trust Positif
Setiap kali ingin menapis harus manual berkoordinasi dengan 300an ISP melalui email yang belum dilengkapi digital signature sehingga rawan di spoofing
Contoh email update blacklist
DNS Penapis berbasis data SQL
Untuk ISP yang paling cocok digunakan adalah DNS Penapis berbasis data SQL, setidaknya ada dua mesin DNS yang dapat mengunakan basis data SQL yaitu:
▪ Bind RPZ https://dnsrpz.info/ ▪ PowerDNS https://www.powerdns.com/
Selain Bind RPZ dan PowerDNS, beberapa ISP ada yang menggunakan unbound, pilihan mana yang terbaik ? Semua tergantung pada selera dan keyakinan masing-‐masing
DNS Penapis berbasis data SQL
• PowerDNS sangat mudah di install, di configure dan memiliki kinerja yang cukup baik walaupun sebagian ISP masih lebih mengandalkan Bind RPZ tapi prinsipnya kedua mesin DNS tersebut sudah memiliki kemampuan bekerja dengan backend SQL server seperti MySQL , PostgreSQL dll.
• Dan yang terpenting semuanya tersedia secara opensource dan tidak membutuhkan license yang mahal karena keduanya ada GPL (General Public License)
DNS Nasional
DNS nasional pertama kali di presentasikan di APRICOT 2015 Fukuoka Jepang oleh ID-‐SIRTII
Dengan kondisi infrastruktur yang ada di Indonesia dimana terdapat 300 lebih ISP dengan 40 lebih NAP maka DNS nasional sangat tidak cocok mengapa?
DNS Nasional
• Pro – Pemerintah bisa melakukan filtering secara terpusat karena DNS memang
bisa bekerja secara hierarchy dimana ada master dan slave • Kontra – Apakah bisa menjamin mampu melayani seluruh request user Internet dari
300 lebih ISP yang tersebar di nusantara? Mau berapa server DNS yang akan di deploy? Sudah ada study capacity planing?
– Dengan semakin banyaknya CDN (Content Delivery Network) seperti Google Cache , Akamai dll apakah DNS Nasional bisa memberikan jawaban IP yang pasti best-path ke jaringan ISP yang melakukan query ? Dalam beberapa kasus justru memforward DNS ISP misal ke DNS Nawala mengakibatkan waktu akses ke web site tertentu menjadi tidak responsive.
Blacklist berbasis data SQL
• Sebaiknya KOMINFO sebagai regulator cukup menyediakan basis data SQL menjalankan master MySQL di sistem operasi Linux atau FreeBSD di lingkungan yang terjamin keamanan fisik maupun logiknya
• Kemudian ISP cukup menjalankan slave MySQL yang terhubung ke master MySQL KOMINFO melalui secure connection misal VPN / MPLS sehingga setiap kali ada perubahan di master MySQL KOMINFO langsung ter-replikasi ke slave MySQL di server ISP
Blacklist berbasis data SQL
Blacklist berbasis data SQL
• Keunggulan: – Sistem bisa di kembangkan secara robust dan aman – KOMINFO cukup memastikan bahwa master basis data SQL blacklist
berkekuatan hukum dan FQDN yang di blacklist sudah melalui mekanisme yang jelas misal dengan adanya panel konten
– KOMINFO tidak perlu mendeploy DNS Nasional yang jumlahnya pasti akan sangat banyak untuk bisa menangani kebutuhan seluruh pengguna Internet di Indonesia , bayangkan berapa CAPEX dan OPEX yang harus di sediakan KOMINFO?
– Jika sampai master basis data SQL KOMINFO tidak berfungsi slave basis data SQL di ISP masih tetap berfungsi sambil menunggu update master basis data SQL berfungsi lagi
Blacklist berbasis data SQL
Keunggulan: ▪ DNS penapis menjadi tanggung jawab ISP dengan mengacu pada blacklist berbasis data SQL dari master MySQL KOMINFO
▪ DNS penapis ISP tetap dapat melayani query FQDN sesuai best-‐path dari upstreamnya masing-‐masing sehingga akses website tetap responsive dan pengguna ISP terlindungi dari situs-‐situs negative
Contoh database SQL PowerDNS
Contoh database SQL PowerDNS
PowerDNS /etc/powerdns/pdns.conf
PowerDNS /etc/powerdns/recursor.conf
PowerDNS SQL Connection
Contoh Landing Page Blacklist Yang di tapis PowerDNS + MySQL
Kesimpulan
• PowerDNS penapis berbasis data SQL lebih cocok di kembangkan di setiap jaringan ISP dengan mengacu pada master MySQL KOMINFO
• Mekanisme Penapis terpusat di master MySQL KOMINFO, sehingga tidak perlu lagi berkirim email secara manual
• PowerDNS sangat mudah di konfigurasi cukup dengan tiga file konfigurasi
• API bisa digunakan sebagai jembatan antar sistem atau platform berbeda sehingga ISP dapat tetap menggunakan mesin DNS yang berbeda dengan PowerDNS
Reference
https://blog.mahyudd.in/2014/08/27/penerapan-powerdns-untuk-blocking-situs-porno-part-1.html
https://blog.mahyudd.in/2014/08/27/penerapan-powerdns-untuk-blocking-situs-porno-part-2.html
http://www.unixmen.com/how-to-install-powerdns-on-ubuntu-14-04/
http://opensource.telkomspeedy.com/wiki/index.php/PowerDNS
Tanya
jawab
Terima ka
sih
Recommended