ADVERTISEMENT

Tutorial ini merupakan kelanjutan dari tutorial Instalasi dan Konfigurasi Knot Resolver #1. Di seri pertama sudah dibahas bagaimana melakukan instalasi dan konfigurasi dasar dari Knot Resolver serta melakukan pengujian kueri DNS. Di seri kedua ini akan dibahas bagaimana mengaktifkan DNS-over-TLS (DoT) di Knot Resolver.

Daftar Isi:

DNS-over-TLS (DoT)

Intinya, DoT (RFC 7858) adalah standar untuk mengenkripsi kueri DNS agar tetap aman dan privat. DoT menggunakan protokol Transport Layer Security (TLS) untuk melindungi lalu lintas DNS dari jenis serangan tertentu.

Ketika DoT diaktifkan di Knot Resolver, secara default sertifikat TLS akan dibuat sendiri. Untuk penerapan di level produksi, sebaiknya menggunakan sertifikat TLS yang ditandatangani oleh CA (Certificate Authority) terpercaya.

Konfigurasi

sudo su

cd /etc/knot-resolver

vi kresd.conf

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

-- CONTACT
-- Name		: Muhammad Hanif
-- Web		: hanifmu.com
-- Telegram	: https://t.me/muhammad_hanif
-- Email	: [email protected]

-- Network interface configuration
net.listen('127.0.0.1', 53, { kind = 'dns' })
net.listen('127.0.0.1', 853, { kind = 'tls' })

-- Load useful modules
modules = {
	'policy'
}

-- Cache size
cache.size = 1 * GB

-- Forward to upstream servers (8.8.8.8 and 1.1.1.1) using DoT
policy.add(policy.all(policy.TLS_FORWARD({
        {'8.8.8.8', hostname='dns.google'},
        {'1.1.1.1', hostname='cloudflare-dns.com'}
})))

Penjelasan:

  • DoT di Knot Resolver akan berjalan di 127.0.0.1 pada port 853.
  • Kueri DNS ke upstream server (Google dan Cloudflare) menggunakan DoT.

Pengujian

Pastikan DoT di Knot Resolver sudah running di 127.0.0.1 port 853.

netstat -tupln

netstat -tupln | grep kresd

Untuk pengujiannya digunakan tools yaitu kdig.

kdig hanifmu.com @127.0.0.1 +tls
Referensi:

ADVERTISEMENT