Selasa, 20 Mei 2014

Clock Synchronization with NTP

The Network Time Protocol (NTP) is a protocol for synchronizing the clocks of computer systems over packet-switched, variable-latency data networks.
If you only wish to synchronize your clock when the machine boots up, you can use ntpdate. This may be appropriate for some desktop machines which are frequently rebooted, but for servers you should run ntpd.
1. Clock Synchronization using ntpdate
Using ntpdate at boot time is also a good idea for machines that run ntpd. The ntpd program changes the clock gradually, whereas ntpdate sets the clock, no matter how great the difference between a machine's current clock setting and the correct time.
To enable ntpdate at boot time, add the following lines to /etc/rc.conf:
ntpdate_enable="YES" # Run ntpdate to sync time on boot
ntpdate_flags="time.nist.gov" # servers: time.nist.gov, timp.mcti.ro, ticks.roedu.net
2. Clock Synchronization using ntpd
NTP is using /etc/ntp.conf file by default. Here is a configuration example:
# The following three servers will give you a random set of three NTP servers geographically close to you.
server 0.freebsd.pool.ntp.org iburst maxpoll 9
server 1.freebsd.pool.ntp.org iburst maxpoll 9
server 2.freebsd.pool.ntp.org iburst maxpoll 9
# If a server loses sync with all upstream servers, NTP clients
# no longer follow that server. The local clock can be configured
# to provide a time source when this happens, but it should usually
# be configured on just one server on a network. For more details see
# http://support.ntp.org/bin/view/Support/UndisciplinedLocalClock
# The use of Orphan Mode may be preferable.
server 127.127.1.0
fudge 127.127.1.0 stratum 10
# log file
logfile /var/log/ntpd
# Drift file. Put this in a directory which the daemon can write to.
# No symbolic links allowed.
driftfile /var/db/ntp.drift
By default, your NTP server will be accessible to all hosts on the Internet. The restrict option in /etc/ntp.conf allows you to control which machines can access your server.
If you want to deny all machines from accessing your NTP server, add the following line to /etc/ntp.conf:
restrict default ignore
Note: This will also prevent access from your server to any servers listed in your local configuration. If you need to synchronise your NTP server with an external NTP server you should allow the specific server.
If you only want to allow machines within your own network to synchronize their clocks with your server, but ensure they are not allowed to configure the server or used as peers to synchronize against, add
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
to /etc/ntp.conf.
Note: 192.168.1.0 is an IP address on your network and 255.255.255.0 is your netmask
Access Control Support Example:
# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
restrict -6 ::1
To ensure the NTP server is started at boot time, add the line ntpd_enable="YES" to /etc/rc.conf.
To start the server without rebooting your machine, run the following command:
# /etc/rc.d/ntpd start
to update clock use command
$ntpdate ntp.server

 Note:

Some Internet access providers block low-numbered ports, preventing NTP from functioning since replies never reach the machine.

Diposting oleh di Tidak ada komentar:

Memperbaiki Open DNS Server - BIND 

Terbitan Online Kecoak Elektronik
http://www.kecoak-elektronik.net

================================================================================================================


Dirangkum dari beberapa tulisan dan ditulis kembali dalam bahasa Indonesia agar mudah dicerna orang Indonesia
oleh : ceyen <ceyen@foo.kecoak.or.id> (makacih e-mailnya, Cyb3rh3b)
================================================================================================================

Perhatian :
-----------
1. Anda salah jika berpikir artikel ini untuk membobol server orang lewat kelemahan BIND.
2. Artikel ini ditujukan untuk para admin dalam mengelola DNS server (khususnya BIND).
3. Artikel ini ditulis dalam gaya tanya-jawab, yang menurut saya lebih ampuh dan tepat sasaran.
4. Baca dulu artikel ini baik-baik sebelum coba.

Latar Belakang :
----------------
1. Melihat banyaknya DNS server ISP/non-ISP di Indonesia yang menggunakan BIND.
2. Melihat sedikitnya admin DNS server di Indonesia yang "betul-betul" peduli dengan konfigurasi DNS server-nya.
3. Melihat lumayan banyak DNS server ISP di Indonesia yang "terbuka untuk umum" dalam merespon recursive query,
   istilah teknisnya Open DNS Server.

Mulai :
-------
Diasumsikan anda sedang berada di depan (atau sedang me-remote) DNS server anda, DNS server anda menggunakan BIND
versi 9. Saya sendiri sedang berada di depan DNS server saya menggunakan BIND 9.2.3 bawaan Linux Slackware 10.0.

T1. Apa itu Open DNS Server?
J1. Open DNS Server adalah DNS server yang menjawab query untuk domain yang tidak diotorisasikan kepadanya.

T2. Lantas, emang itu salah satu kerjanya DNS server ISP kan?!
J2. Tepat! tapi dapat menurunkan performa jaringan ISP jika query tersebut dapat dilakukan oleh umum dalam artian
    diluar jaringan ISP atau selain client/customer ISP tersebut. Misalnya, saya terhubung dari ISP A, namun saya
    menggunakan DNS server ISP B, nah DNS server si ISP B ini terbuka untuk umum kecuali memang ada perjanjian khusus
    dari kedua ISP ini.

    Sebagai contoh, saya terhubung lewat ISP lokal di kota saya, tapi saya bisa menggunakan DNS server ISP lain :
    (tanpa bermaksud untuk mendiskreditkan admin DNS server berikut):

    -------------
    ceyen@achilles:~$ nslookup -sil
    > server ns1.rad.net.id
    Default server: ns1.rad.net.id
    Address: 202.154.1.2#53
    > www.yahoo.com
    Server:         ns1.rad.net.id
    Address:        202.154.1.2#53

    Non-authoritative answer:
    www.yahoo.com   canonical name = www.yahoo.akadns.net.
    Name:   www.yahoo.akadns.net
    Address: 209.131.36.158
    -------------

    contoh lain :
    
    -------------
    > server ns1.pesat.net.id
    Default server: ns1.pesat.net.id
    Address: 202.95.128.180#53
    > www.yahoo.com
    Server:         ns1.pesat.net.id
    Address:        202.95.128.180#53

    Non-authoritative answer:
    www.yahoo.com   canonical name = www.yahoo.akadns.net.
    Name:   www.yahoo.akadns.net
    Address: 209.131.36.158
    -------------

    contoh lain lagi :

    -------------
    > server ns1.wasantara.net.id
    Default server: ns1.wasantara.net.id
    Address: 202.159.65.166#53
    > www.yahoo.com
    Server:         ns1.wasantara.net.id
    Address:        202.159.65.166#53

    Non-authoritative answer:
    www.yahoo.com   canonical name = www.yahoo.akadns.net.
    Name:   www.yahoo.akadns.net
    Address: 209.131.36.158
    -------------

    1 contoh lain lagi deh :

    -------------
    > server dns2.link.net.id
    Default server: dns2.link.net.id
    Address: 202.137.3.121#53
    > www.yahoo.com
    Server:         dns2.link.net.id
    Address:        202.137.3.121#53

    Non-authoritative answer:
    www.yahoo.com   canonical name = www.yahoo.akadns.net.
    Name:   www.yahoo.akadns.net
    Address: 209.131.36.158
    -------------

    Idealnya, DNS server menjawab seperti contoh berikut :

    -------------
    > server ns1.cbn.net.id
    Default server: ns1.cbn.net.id
    Address: 202.158.20.1#53
    > www.yahoo.com
    Server:         ns1.cbn.net.id
    Address:        202.158.20.1#53

    Non-authoritative answer:
    *** Can't find www.yahoo.com: No answer
    -------------

    Sampai disini jelas maksud saya?

T3. Oke, tapi seberapa besar pengaruhnya terhadap performa ISP?
J3. Coba bayangkan kalau 68% (Hi Roy!) pengguna Internet di Indonesia melakukan hal yang sama dengan yang saya
    lakukan diatas terhadap ISP tersebut?.
    Dan menurut cerita dari mulut ke telinga (kalo mulut ke mulut itu ciuman dong), teknik serangan DDoS
    (Distributed Denial of Service) saat ini dapat dilakukan dengan memanfaatkan para Open DNS Server ini sebagai
    penguat serangan. Seorang penyerang yang hanya menggunakan koneksi dial-up dapat menyengsarakan koneksi T1.
    Teknik ini lebih tepat dengan nama DRDoS (Distributed Reflector Denial of Service).

Sekarang saya yang nanya,
1. Maukah anda jika DNS server anda digunakan digunakan oleh orang lain selain client/customer anda?
2. Maukah anda jika DNS server anda dijadikan penguat serangan DDoS/DRDoS?

Jika "ya", oke sampe ketemu lagi.
Jika anda sudah tahu cara menangkalnya, beritahu admin yang lain.

Jika tidak, lanjut...

Baik, sekarang buka berkas named.conf pada DNS server anda, biasanya ada di /etc (/etc/named.conf).

Contoh named.conf berikut adalah contoh untuk DNS server yang difungsikan sebagai caching dan authoritative.
Hilangkan yang menurut anda tidak diperlukan.

----- named.conf ------
acl "xfer" {
    202.202.202.2/32; // secondary ns domain misalnya
};

acl "trusted" {
    // Disini anda tempatkan blok IP Address yang anda bolehkan melakukan recursive query
    // tambah sesuai kebutuhan

    202.202.202.0/24; // misalnya
    192.168.0.0/24; // LAN
    localhost; // Server ini
};

acl "bogon" {
    // Hapus atau comment LAN anda dari acl bogon ini

    0.0.0.0/8;
    1.0.0.0/8;
    2.0.0.0/8;
    5.0.0.0/8;
    7.0.0.0/8;
    10.0.0.0/8;
    23.0.0.0/8;
    27.0.0.0/8;
    31.0.0.0/8;
    36.0.0.0/8;
    37.0.0.0/8;
    39.0.0.0/8;
    42.0.0.0/8;
    49.0.0.0/8;
    50.0.0.0/8;
    77.0.0.0/8;
    78.0.0.0/8;
    79.0.0.0/8;
    92.0.0.0/8;
    93.0.0.0/8;
    94.0.0.0/8;
    95.0.0.0/8;
    96.0.0.0/8;
    97.0.0.0/8;
    98.0.0.0/8;
    99.0.0.0/8;
    100.0.0.0/8;
    101.0.0.0/8;
    102.0.0.0/8;
    103.0.0.0/8;
    104.0.0.0/8;
    105.0.0.0/8;
    106.0.0.0/8;
    107.0.0.0/8;
    108.0.0.0/8;
    109.0.0.0/8;
    110.0.0.0/8;
    111.0.0.0/8;
    112.0.0.0/8;
    113.0.0.0/8;
    114.0.0.0/8;
    115.0.0.0/8;
    116.0.0.0/8;
    117.0.0.0/8;
    118.0.0.0/8;
    119.0.0.0/8;
    120.0.0.0/8;
    169.254.0.0/16;
    172.16.0.0/12;
    173.0.0.0/8;
    174.0.0.0/8;
    175.0.0.0/8;
    176.0.0.0/8;
    177.0.0.0/8;
    178.0.0.0/8;
    179.0.0.0/8;
    180.0.0.0/8;
    181.0.0.0/8;
    182.0.0.0/8;
    183.0.0.0/8;
    184.0.0.0/8;
    185.0.0.0/8;
    186.0.0.0/8;
    187.0.0.0/8;
    192.0.2.0/24;
    // LAN saya 192.168.0.0/16;
    197.0.0.0/8;
    223.0.0.0/8;
    224.0.0.0/3;
};

logging {
    channel default_syslog {
        syslog local2;
        severity debug; 
    };

    channel audit_log {
        file "/var/named/named_audit.log";
        severity debug;
        print-time yes; 
    };

    category default { default_syslog; };
    category general { default_syslog; };
    category security { audit_log; default_syslog; };
    category config { default_syslog; };
    category resolver { audit_log; };
    category xfer-in { audit_log; };
    category xfer-out { audit_log; };
    category notify { audit_log; };
    category client { audit_log; };
    category network { audit_log; };
    category update { audit_log; };
    category queries { audit_log; };
    category lame-servers { audit_log; }; 
};

options {
    directory "/etc/named";
    pid-file "/var/named/named.pid";
    statistics-file "/var/named/named.stats";
    memstatistics-file "/var/named/named.memstats";
    dump-file "/var/adm/named.dump";
    zone-statistics yes;

    // mengantisipasi serangan DoS dengan menciptakan
    // bogus permintaan transfer zone
    // dapat menyebabkan terjadinya kelambatan transfer zone
    // antar authoritative server yang lain
    notify no;

    // efisiensi zone transfer
    transfer-format many-answers;

    // maksimum transfer zone dalam detik
    // tambahkan jika berkas zone anda besar
    // dan membutuhkan waktu transfer lebih dari 1 menit
    max-transfer-time-in 60;

    // tidak ada interface dynamic
    interface-interval 0;

    // hanya mengijinkan transfer zone dari IP address
    // yang ada pada acl xfer
    allow-transfer { xfer; };

    // query hanya dapat dilakukan oleh acl trusted
    // mencegah DNS server kita digunakan oleh umum
    allow-query { trusted; };

    // menolak semua yang berasal dari acl bogon
    blackhole { bogon; };
};

view "internal-in" in {

    // untuk recursion
    // dapat diakses oleh client pada acl trusted
    // tempatkan disini untuk domain internal atau uji coba

    match-clients { trusted; };
    recursion yes;
    additional-from-auth yes;
    additional-from-cache yes;

    zone "." in {
        type hint;
        file "cache.db";
    };

    zone "0.0.127.in-addr.arpa" in {
        type master;
        file "127.0.0.db";
        allow-query { any; };
        allow-transfer { none; };
    };

    zone "kecoak.lab" in {
        type master;
        file "zone/kecoak.lab.db";
    };
      
    zone "0.168.192.in-addr.arpa" in {
        type master;
        file "zone/192.168.0.db";
        allow-query { any; };
    };      
};

view "external-in" in {

    // jika DNS server difungsikan juga sebagai authoritative
    // tempatkan disini domain anda
    // dapat diakses oleh semua
    // namun tidak diijinkan recursion

    match-clients { any; };
    recursion no;
    additional-from-auth no;
    additional-from-cache no;

    zone "." in {
        type hint;
        file "cache.db";
    };

    zone "contoh1.com" in {
        type master;
        file "zone/contoh1.com.db";
        allow-query { any; };
    };

    zone "contoh2.com" in {          
        type master;
        file "zone/contoh2.com.db";            
        allow-query { any; };
    };

    zone "202.202.202.in-addr.arpa" in {
        type master;
        file "zone/202.202.202.db";
        allow-query { any; };
    }; 
};

view "external-chaos" chaos {

    // dapat dilihat oleh semua

    match-clients { any; };
    recursion no;

    zone "." {
        type hint;
        file "/dev/null";
    };

    zone "bind" {
        type master;
        file "bind.db";
  
        // ganti menjadi any jika anda bermaksud memperlihatkan versi BIND
        // misalnya ketika dilihat oleh dnsreport.com
        allow-query { trusted; };
        allow-transfer { none; };
    }; 
};
----- akhir named.conf -----

sekarang buat berkas bind.db pada /etc/named/ (sesuaikan dengan konfigurasi pada berkas named.conf diatas)
yang isinya :

----- bind.db -----
; thanks to Rob Thomas - robt_at_cymru.com
;
$TTL    1D
$ORIGIN bind.
@       1D      CHAOS   SOA     localhost. root.localhost. (
                2006070407      ; serial
                3H              ; refresh
                1H              ; retry
                1W              ; expiry
                1D )            ; minimum
        CHAOS NS        localhost.

version.bind.   CHAOS  TXT "Ini Bukan DNS server bapakmu!"
authors.bind.   CHAOS  TXT "seseorang yang lebih hebat dari saya!"
----- akhir bind.db -----


Setelah anda maksimalkan lagi dan disesuaikan dengan kebutuhan anda, restart BIND dan selesai.
O ya, jangan lupa backup dulu named.conf anda ;-)

catatan khusus:
Bagi pengguna Microsoft DNS (Windows 2000/2003) dan akan mengkonfigurasikan DNS server sebagai cache dan 
authoritative sekaligus, sepertinya anda harus meninggalkan Microsoft DNS dan melirik yang lain (mis: BIND).

Link dan bahan bacaan :
-----------------------
- DNSReport : http://www.dnsreport.com (many-many thanks to all staff at DNSReport!)
- Artikel Rob Thomas : http://www.cymru.com/Documents/secure-bind-template.html
- BIND9 Administrator Reference Manual : http://www.bind9.net/manual/bind/9.3.2/Bv9ARM.ch03.html
- Securing an Internet Name Server (CERT) : http://www.cert.org/archive/pdf/dns.pdf
- Anatomy of Recent DNS Reflector attacks : http://www.verisign.com/static/037903.pdf
- DRDoS @ grc.com : http://www.grc.com/dos/drdos.htm

Pertanyaan Newbie :
-------------------
What is DNS?

Dan Kaminsky (BlackOps @ LayerOne) :
* DNS: Domain Name System
* Mechanism for translating human-readable names into machine routable addresses
* "Like 411 for the Internet"
* As 411 usually but not always yields simple phone numbers, DNS usually but not always yields IP addresses
* A: Given name, find IP
* MX: Given name, find Mail
* PTR: Given IP, find name
* TXT: Given name, find "stuff" 
(yang ini terjemahkan sendiri)


CHANGELOG : (perubahan isi artikel ini harap ditambah disini, descending order please)
-----------
2006080501 : Sedikit perubahan penggunaan kalimat (ceyen@foo.kecoak.or.id)
2006080500 : Artikel ini mulai ditulis (ceyen@foo.kecoak.or.id)
Diposting oleh di Tidak ada komentar:

BIND dan DNS "Konsep dan Gambaran DNS/BIND"

Oleh Iwan Setiawan
http://www.duniasemu.org/writings
2003/04/08 18:49:28
Ketika kita menggunakan komputer yang terhubung ke Internet dan ingin mengakses suatu domain secara tidak langsung kita telah menggunakan fasilitas DNS.
Apakah DNS itu? Apa hubungan DNS dan BIND?
Artikel ini akan memperkenalkan anda pada DNS dan salah satu implementasinya yaitu BIND.

Domain Name System (DNS)

Sebelum berkenalan dengan BIND, kita harus tahu mengenai DNS. DNS merupakan sistem berbentuk database terdistribusi yang akan memetakan/mengkonversikan nama host/mesin/domain ke alamat IP (Internet Protocol) dan sebaliknya dari alamat IP ke nama host yang disebut dengan reverse-mapping. DNS sangat berguna sekali dalam jaringan terutama Internet, sistem ini akan memetakan nama mesin misalpikachu.indolinux.com ke alamat IP misal 202.123.45.6 selain itu juga penggunaannya sangat luas misal, untuk routing e-mail, telnet, ftp, web, dan lain-lain.
dns-work.png  reverse.png
Bagaimana jika tidak ada DNS, kepala kita bisa pecah jika harus mengingat ratusan, ribuan, bahkan jutaan alamat IP di Internet. Kita manusia lebih mudah untuk mengingat nama daripada alamat IP dengan panjang 32 bit itu. Komputer menggunakan alamat IP untuk berkomunikasi dan berinteraksi. Bagaimana menjembataninya? Disitulah gunanya Domain Name System (DNS).
Dengan adanya DNS, informasi host menjadi mungkin untuk diakses oleh komputer di jaringan maupun Internet.
Implementasi DNS pada sistem operasi Linux yang sering digunakan adalah BIND meskipun ada juga salah satu implementasi yang cukup baru dan juga banyak dipakai yaitu djbdns.
Walaupun banyak sejarah mengenai isu keamanan dan vulnerability-nya, banyak server DNS di dunia masih menggunakan BIND. Alasan yang mungkin adalah kebanyakkan para administrator server DNS tersebut lebih familiar dengan BIND daripada server DNS lain. Seperti halnya dengan penggunaan sendmail yang notabene merupakan server-mail yang punya konfigurasi cryptic daripada server-mail lain tetapi masih tetap digunakan dengan alasan familiar dan kebiasaan administratornya. Pandangan mengenai hal ini saya kembalikan pada administrator masing-masing lembaga atau perusahaan.

Sejarah DNS

Sebelum adanya DNS, pertama kali tepatnya tahun 1970-an dalam jaringan ARPAnet (cikal bakal jaringan Internet yang ada sekarang) digunakan pemetaan dengan bentuk tabel host pada berkas HOSTS.TXT.
net_HOSTSTXT.png
Jaringan dengan HOSTS.TXT pada tiap host-nya
Berkas ini berisi nama host dan alamat IP serta pemetaannya dari seluruh mesin/komputer yang terhubung dalam jaringan. Ketika ada komputer lain yang terhubung ke jaringan ARPAnet maka masing-masing komputer dalam jaringan tersebut harus memperbaharui berkas HOSTS.TXT-nya. Pada saat itu cara meng-update berkas HOSTS.TXT dengan menggunakan ftp setiap satu atau dua minggu sekali. Masalah muncul ketika jaringan ARPAnet yang tadinya kecil tersebut kemudian menjadi Internet yang semakin hari semakin besar. Kesulitan meng-update isi berkas HOSTS.TXT karena jumlah nama mesin/komputer yang harus dituliskan ke berkas tersebut sudah terlalu besar dan tidak efisien.
Lalu muncul ide untuk membuat sistem database terdistribusi yang mempunyai data mengenai pemetaan nama host ke alamat IP dan sebaliknya. Dengan adanya pendistribusian database nama host dan alamat IP, maka tiap organisasi yang memiliki jaringan di dalam domain tertentu hanya bertanggung jawab terhadap database informasi pemetaan nama host dan alamat IP pada jaringannya saja yang biasa disebut zone. Administrasi domain tersebut dilakukan secara lokal tetapi informasi itu dapat diakses oleh semua komputer di Internet.
Karena sifat database yang terdistribusi ini, maka dibutuhkan suatu mekanisme pengaksesan informasi bagi host lain pada database yang terdistribusi untuk menemukan informasi host atau jaringan yang dipunyai oleh suatu organisasi.
Dan pada tahun 1984, Paul Mockapetris mengusulkan sistem database terdistribusi ini dengan Domain Name System (DNS) yang dideskripsikan dalam RFC 882 dan 883. Sistem ini digunakan sampai sekarang pada jaringan khususnya Internet.
dist_dns.png
Sistem DNS yang terdistribusi

Struktur dan Cara Kerja DNS

Struktur database DNS sangat mirip dengan sistem-berkas/filesystem UNIX yaitu berbentuk hierarki atau pohon. Tingkat teratas pada DNS adalah root yang disimbolkan dengan titik/dot (.) sedangkan pada sistem berkas UNIX, root disimbolkan dengan slash (/).
Setiap titik cabang mempunyai label yang mengidentifikasikannya relatif terhadap root (.). Tiap titik cabang merupakan root bagi sub-tree/tingkat bawahnya. Tiap sub-tree merupakan domain dan dibawah domain terdapat sub-tree lagi bernama subdomain. Setiap domain mempunyai nama yang unik dan menunjukkan posisinya pada pohon DNS, pengurutan/penyebutan nama domain secara penuh dimulai dari domain paling bawah menuju ke root (.). Masing-masing nama yang membentuk suatu domain dipisahkan dengan titik/dot (.) dan diakhiri dengan titik yang merupakan nama absolut relatif terhadap root (.). Contoh: raichu.cs.mit.edu.
"." merupakan root domain
edu merupakan Top Level Domain
mit merupakan Second Level Domain
cs merupakan Third Level Domain
raichu merupakan nama komputer/mesin yang bersangkutan
Sistem penulisan nama secara absolut dan lengkap ini disebut FQDN (Fully Qualified Domain Name).
dns.png  unixfs.png
Hierarki/pohon DNS dan sistem berkas UNIX
Tiap organisasi yang telah mendaftar ke Network Information Center(NIC) akan mendapatkan nama domain sesuai dengan organisasi tersebut. Nama domain tersebut bisa dibagi lagi menjadi subdomain sesuai dengan kebutuhan organisasi tersebut sesuai dengan otorisasi domain. Contoh: InterNIC mempunyai semua Top Level Domain termasuk com, perusahaan indolinux akan mendaftarkan nama domainindolinux.com (komersial), maka indolinux diberikan/didelegasikan oleh InterNIC untuk mengelola domain indolinux.com yang merupakan sub domain dari com. Indolinux dapat membagi lagi domainindolinux.com ke beberapa sub domain misal pikachu.indolinux.comraichu.indolinux.com.
Setiap server DNS pada suatu jaringan mempunyai informasi tentang host-host dalam jaringan tersebut yaitu alamat IP, routing email, server ftp, server web, dsb.
Selain itu tiap host dalam otorisasi suatu domain juga bisa mendapatkan alias dari nama host-nya dalam domain di atasnya. misal: iwan.indolinux.com bisa saja mempunyai alias (canonical name)pikachu.indolinux.com, dimana kedua domain tersebut mengacu ke mesin/host yang sama.
Dengan adanya sistem berbentuk hierarki/pohon ini maka tidak ada nama host yang sama pada domain/subdomain yang sama, karena masing-masing dari node/titik-cabang mempunyai nama unik dan tidak boleh ada yang menyamainya kecuali berbeda sub-tree/sub pohon. Tidak akan ada konflik antar organisasi karena masing-masing organisasi mempunyai domain yang berbeda-beda dan ini diatur oleh InterNIC untuk TLD.
Misal: indolinux menginginkan nama mesin/host di bawah domain indolinux.com dengan nama pikachu (pikachu.indolinux.com), sedang 5leaps Software juga menginginkan nama yang sama untuk salah satuhost-nya dengan domain 5leaps.org. Disini tidak akan terjadi konflik karena masing-masing mempunyai domain sendiri-sendiri. Indolinux mempunyai pikachu.indolinux.com dan 5leaps Software mempunyaipikachu.5leaps.org.
Seperti dijelaskan di atas, tidak boleh suatu nama/label sama yang berada dalam domain sama atau mempunyai parent atau sub-tree atas yang sama karena ini akan membuat konflik pada penamaan domain. Coba bayangkan jika orang tua yang sama mempunyai dua orang anak dengan nama yang sama. Bagaimana mereka memanggil satu dari dua anak tersebut? anda pasti tahu jawabannya. Ini sangat menyulitkan.
dnskonflik.jpg
Konflik domain
Kedalaman pohon dibatasi sampai level 127, akankah anda menembus batas ini untuk domain anda? sepertinya tidak.
Sebuah nama domain adalah nama sub-tree dari domain name-space.
Suatu host diwakili dengan nama domain yang full/penuh termasuk nama mesin/komputer tersebut, dan host mengacu pada suatu host/komputer secara individu. Sedangkan domain berisi semua host yang berada dibawahnya. Individual host yang berada pada suatu domain menunjukkan informasi mengenai alamat jaringan, perangkat keras, routing mail, dsb.
Untuk membedakan nama domain dan subdomain kita ambil contoh:
  • pikachu.indolinux.com adalah subdomain dari indolinux.com.
  • stwn.raichu.domain.net adalah subdomain dari raichu.domain.net.
  • dst.

Top Level Domain (TLD)

Top Level Domain adalah domain pada level teratas di bawah root (.).
Ada tiga pengelompokkan Top Level Domain:
  1. Domain Generik
    Terdiri atas 7 domain yaitu
    1. com
      Untuk organisasi komersial. contoh: ibm.comsun.com.
    2. net
      Untuk organisasi/perusahaan penyedia layanan jaringan/Internet. contoh: internic.netnsf.net.
    3. gov
      Untuk lembaga/organisasi pemerintahan. contoh: whitehouse.govnasa.gov.
    4. mil
      Untuk badan/organisasi militer. contoh: army.mil.
    5. org
      Untuk organisasi non-komersial. contoh: linux.org.
    6. edu
      Untuk lembaga pendidikan. contoh: mit.eduberkeley.edu.
    7. int
      Untuk organisasi Internasional. contoh: nato.int.
    Selain 7 domain di atas ada lagi 7 domain baru dari ICANN (www.icann.org) yaitu:
    1. aero
      Untuk industri atau perusahaan udara.
    2. biz
      Untuk perusahaan atau lembaga bisnis.
    3. coop
      Untuk perusahaan atau lembaga kooperatif
    4. info
      Untuk penggunaan umum.
    5. museum
      Untuk museum.
    6. name
      Untuk registrasi bagi penggunaan individual/personal.
    7. pro
      Untuk para profesional seperti: akuntan, dan lain-lain.
  2. Domain Negara
    Merupakan standar pembagian geografis berdasarkan kode negara. Contoh: id untuk Indonesia, au untuk Australia, uk untuk Inggris, dan lain-lain.
    Domain negara ini dapat dan umumnya diturunkan lagi ke level-level di bawahnya yang diatur oleh NIC dari masing-masing negara, untuk Indonesia yaitu IDNIC. Contoh level bawah dari id yaitu net.id,co.idweb.id.
  3. Domain Arpa
    Merupakan domain untuk jaringan ARPAnet. Tiap domain yang tergabung ke Internet berhak memiliki name-space .in-addr.arpa sesuai dengan alamat IP-nya.

Name-Server dan Zone

Name-server adalah program server yang memiliki informasi mengenai host di bawah domain tertentu. Name-server mempunyai bagian-bagian informasi mengenai domain name-space yang dikenal denganzoneZone ini akan dimuat dari berkas yang disimpannya atau dari server DNS lain. Sebagai contoh domain id bisa dibagi menjadi beberapa zone yaitu ac.idnet.id dan dari zone tersebut bisa dibagi lagi menjadi zone-zone yang lebih kecil misal undip.ac.id, dst. Disini yang bertanggung jawab ialah organisasi/lembaga yang memiliki domain tersebut.
bagizonecom.jpg
Pembagian zone
Ada dua tipe dari name-server yaitu:
  1. Primary Master
    Primary Master name-server bertanggung jawab terhadap suatu zone dengan memuat informasi dari berkas database pada dirinya sendiri.
  2. Secondary Master (Slave)
    Secondary Master name-server memuat informasi zone dari server lain yang otoritatif pada suatu zone yang disebut Master Server. Secondary Master akan melakukan zone-transfer dari Master Serveruntuk mendapatkan data/informasi pada suatu zone yang dikelolanya.
primary-secondary.png
Primary Master dan Secondary Master server DNS
Untuk dapat bekerja name-server membutuhkan resource-record untuk domain yang dikelola. Resource-record adalah data yang mengacu/menunjukkan pada informasi mengenai host pada jaringan atau domain tertentu.

Komponen DNS

DNS sebenarnya merupakan suatu sistem server-client, jadi ada suatu mekanisme dari client untuk meminta informasi dari server yang akan memberikan informasi yang diminta sang client. Seperti yang disebutkan di atas program pada server tersebut sering disebut dengan name-server. Pada client sering disebut dengan resolver.
DNS mempunyai beberapa komponen yaitu:
  1. Resolver
    Resolver yaitu suatu rutin pustaka yang akan membuat suatu permintaan/query dan mengirimkannya lewat jaringan ke sebuah name-server. Program tersebut berjalan pada host yang menginginkan informasi mengenai suatu host di Internet. Resolver juga menginterpretasikan respon dari name-server apakah informasi yang diminta merupakan record ataupun kesalahan.
  2. Resolution
    Resolution yaitu proses pencarian name-server yang mempunyai tanggung jawab terhadap suatu domain yang akan diminta. Setelah name-server yang dicari ditemukan maka server akan memberikan informasi name-server yang bersangkutan kepada pemintanya.
  3. Caching
    Caching yaitu suatu rutin yang akan menyimpan hasil pencarian domain dalam database dari name-server yang pernah diminta. Time To Live (TTL) merupakan batas waktu dimana server DNS dapat menyimpan/caching infomasi yang pernah dicari.
resolver.png
Resolvercaching, dan resolution

BIND (Berkeley Internet Name Domain)

BIND merupakan salah satu implementasi dari DNS yang paling banyak digunakan pada server di Internet. Implementasi DNS pertama adalah JEEVES buatan Paul Mockapetris. BIND dibuat untuk sistem operasi BSD UNIX 4.3 oleh Kevin Dunlap, tapi kemudian banyak di-porting ke banyak turunan UNIX termasuk Linux.
BIND sampai sekarang masih dikoordinasi oleh Internet Software Consortium.
Program utama dari BIND adalah bernama named yaitu sebuah daemon yang bila dijalankan akan menunggu koneksi pada port 53 (default). Koneksi pada port 53 ini adalah koneksi permintaan informasi pemetaan dari nama domain/mesin ke alamat IP dan sebaliknya.
Jika sebuah server DNS mempunyai otorisasi terhadap suatu domain maka si server DNS tersebut akan memberikan informasi mengenai nama-nama mesin/domain yang berada di bawah domain yang dipegangnya.
Misal: server DNS penulis mempunyai otorisasi terhadap domain indolinux.com, maka ketika ada sebuah komputer dari Internet ingin mengakses pikachu.indolinux.com, maka sang komputer itu akan menghubungi server DNS penulis untuk mengetahui informasi alamat IP dari pikachu.indolinux.com. Sang server DNS akan menjawab permintaan/query dari komputer peminta tersebut dengan alamat IP yang sesuai kemudian komputer tersebut dapat mengakses pikachu.indolinux.com melalui alamat IP yang diberikan oleh name-server tersebut.
aksesip.png
Pencarian host pikachu.indolinux.com
Versi terakhir pada saat artikel ini dibuat adalah BIND versi 9.2.1. Sebagian besar distribusi Linux menyertakan paket BIND. Jadi anda tinggal konfigurasi dan aktifkan saja jika sudah terinstal.
BIND secara umum terdiri dari beberapa berkas yang mendukung yaitu:
  1. /etc/resolv.conf
    Berkas konfigurasi berisi domain atau alamat IP name-server yang pertama dicari oleh resolver ketika sebuah domain/nama mesin diminta untuk dipetakan ke alamat IP.
  2. /etc/nsswitch.conf
    Berkas konfigurasi sistem untuk melakukan mekanisme switch sistem database dan name-serviceSwitch dapat melalui berkas, name-server, atau NIS server.
  3. /etc/named.conf
    Berkas konfigurasi dari BIND yang utama, berisi informasi mengenai bagaimana klien DNS mengakses port 53, letak dan jenis berkas database yang diperlukan. Umumnya berisi letak berkas konfigurasiname-server root, domain, localhost/loopback, dan reverse-mapping.
  4. /var/named/named.ca
    Berkas database name-server root yang bertanggung jawab terhadap Top Level Domain di Internet. Digunakan untuk mencari domain di luar domain lokal. Nama berkas ini bisa anda definisikan sendiri tetapi tetap harus mengacu ke named.conf sebagai berkas konfigurasi utama dari BIND.
  5. /var/named/named.local
    Berkas database name-server untuk alamat loopback/host lokal/alamat diri sendiri. Nama berkas ini bisa anda definisikan sendiri tetapi tetap harus mengacu ke named.conf sebagai berkas konfigurasi utama dari BIND.
  6. /var/named/db.domain-kita.com
    Berkas database name-server untuk domain domain-kita.com yang berisi resource record, informasi nama host dan alamat IP yang berada di bawah domain domain-kita.com. Berkas ini bisa lebih dari satu tergantung jumlah domain yang kita kelola. Nama berkas ini bisa anda definisikan sendiri tetapi tetap harus mengacu ke named.conf sebagai berkas konfigurasi utama dari BIND.
  7. /etc/rndc.conf
    Berkas konfigurasi program rndc yaitu suatu program untuk administrasi dan kontrol operasi name-server BIND.
Semoga artikel ini dapat memberikan konsep dan gambaran dari Domain Name System (DNS) dan Berkeley Internet Name Domain (BIND).
Artikel selanjutnya akan membahas mengenai pembuatan server DNS resolving-caching tanpa domain.
Saran dan kritik bisa dialamatkan ke stwn[at]duniasemu[dot]org.

URL

Referensi

  • DNS HOWTO, Nicolai Langfeldt, Jamie Norrish and others
  • DNS and BIND, Third Edition, Cricket Liu & Paul Albitz
  • Halaman manual (man pages)
  • Server Linux, Ahmad Sofyan
  • TCP/IP, Onno W. Purbo, Adnan Basalamah, Ismail Fahmi, dan Achmad Husni Thamrin
Diposting oleh di Tidak ada komentar:

Rabu, 14 Mei 2014

Install Webmin di FreeBSD

Webmin adalah antarmuka berbasis web untuk sistem administrasiuntuk Unix termasuk FreeBSD. Dengan menggunakan browser yang mendukung tabel dan forms, kita bisa mengatur user accounts, Apache, DNS, file sharing, firewall dan sebagainya.Webmin terdiri dari web server sederhana, dan sejumlah programCGI yang langsung memperbarui file sistem seperti /etc/inetd.confdan /etc/master.passwd.
Instal webmin

Untuk menginstal webmin, perbarui port anda, masukkan:
# Portsnap fetch update
Instal webmin dari /usr/ports/sysutils/webmin, masukkan:
# cd /usr/ports/sysutils/webmin
# make install clean
Konfigurasi webmin

Sekarang, webmin sudah terinstal. Jika ingin menjalankan webminpada startup, masukkan:
# ee /etc/rc.conf
Tambahkan baris berikut:
webmin_enable = "YES"
Simpan dan tutup file.  
Anda perlu menjalankan /usr/local/lib/webmin /setup.sh 
untuk melakukan setup pada konfigurasi selanjutnya, masukkan:
# /usr/local/lib/webmin/setup.sh

Akses webmin memakai browser di :

https://domainanda.com:10000
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)