Tutorial ini merupakan kelanjutan dari tutorial Instalasi dan Konfigurasi Knot Resolver #1. Di seri pertama sudah dibahas bagaimana melakukan instalasi dan konfigurasi dasar dari Knot Resolver serta melakukan pengujian kueri DNS. Di seri kedua ini akan dibahas bagaimana mengaktifkan DNS-over-TLS (DoT) di Knot Resolver.
Daftar Isi:
DNS-over-TLS (DoT)
Intinya, DoT (RFC 7858) adalah standar untuk mengenkripsi kueri DNS agar tetap aman dan privat. DoT menggunakan protokol Transport Layer Security (TLS) untuk melindungi lalu lintas DNS dari jenis serangan tertentu.
Ketika DoT diaktifkan di Knot Resolver, secara default sertifikat TLS akan dibuat sendiri. Untuk penerapan di level produksi, sebaiknya menggunakan sertifikat TLS yang ditandatangani oleh CA (Certificate Authority) terpercaya.
Konfigurasi
sudo su
cd /etc/knot-resolver
vi kresd.conf
|
|
Penjelasan:
- DoT di Knot Resolver akan berjalan di 127.0.0.1 pada port 853.
- Kueri DNS ke upstream server (Google dan Cloudflare) menggunakan DoT.
Pengujian
Pastikan DoT di Knot Resolver sudah running di 127.0.0.1 port 853.
netstat -tupln
netstat -tupln | grep kresd
Untuk pengujiannya digunakan tools yaitu kdig.
kdig hanifmu.com @127.0.0.1 +tls