DNS Trust NG + RTBH > untuk akses internet yang lebih baik

Untuk akses internet yang lebih baik dan sehat Komdigi mencoba untuk menerapkan pemblokiran konten menggunakan 2 metode yaitu DNS Trust NG (Next Generation) untuk pemblokiran alamat domain dan RTBH (Remotely Triggered Black Hole) untuk pemblokiran alamat IP.

Metode ini diharapkan dapat diterapkan oleh ISP dan NAP yang beroperasi di Indonesia dan rencananya akan efektif per 2025 mendatang.

DNS TRUST NG

File master dapat diambil disini: http://download-trustng.resolver.id:40080/vzdump-qemu-dnstrustng-1.1.10.vma.zst dengan sha1sum: http://download-trustng.resolver.id:40080/vzdump-qemu-dnstrustng-1.1.10.vma.zst.sha1sum

Untuk spesifikasi router sendiri disarankan: Processor keluaran 2014; RAM 8GB & Disk 10GB.

pada prakteknya yang saya gunakan adalah 2Ghz 2core, RAM 6GB dan 10GB disk space.

    Cara install pada Proxmox:

    1. Download file diatas dari dalam host proxmox pakai wget
    2. Pindahkan file ke /var/lib/vz/dump/ atau ke direktori lain yang berisi backup proxmox
    3. Restore backup dari file menjadi VM
    4. Beri ip dhcp pada VM, sebaiknya beri ip public supaya bisa dipatch (metode push via ssh) utk update versi atau bug patch
    5. Start VM
    6. Masuk via browser ke https://ip_anda:40443 dengan login admin password trust-ng
    7. Ganti password, simpan password sebaik-baiknya
    8. Klik clients, isikan acl network ip clients yang boleh resolve, jika anda isi dengan 0.0.0.0/0 maka akan jadi open resolver, semua ip boleh query
    9. Untuk ganti ip dari dhcp menjadi statik, caranya buang centang dhcp, isikan ip dengan benar
    10. Klik Maintenance > reload untuk apply perubahan, atau biar lebih yakin lagi, klik reboot
    11. Jika semua sudah berfungsi baik, silahkan isi form Ownership untuk pendataan
    12. Done.

    Default SSH on port 7857, ketik help untuk list perintah yang ada (ping, traceroute, mtr, dig, host, nslookup, dnstop, torch, exit)

    STATUS

    1. Status Bermasalah:
      error = unbound tidak jalan
      disconnected = tidak terhubung internet (server Komdigi RTO)
      invalid = tidak bisa diremote
      delisted = diturunkan dari list dikarenakan tidak memenuhi syarat
    2. Status Normal :
      running = unbound jalan
      connected = terhubung ke internet (server kominfo reply)
      valid = bisa diremote, port 56646 harus open

    SYARAT

    1. Port 56646 harus OPEN, bisa diakses dari luar network (Komdigi sudah mengunci port ini hanya bisa diakses oleh IP tertentu saja) meskipun kalo dicek dari luar bisa jadi closed.
    2. Harus diberi beban trafik dns, bukan idle.

    PROBLEM – SOLVING

    1. Jika salah setting ip atau dhcp gagal, anda bisa masuk manage via IP Default 192.168.168.168/24
    2. Perhatian bahwa dnssec kemungkinan bermasalah dengan fitur forwarder atau safesearch, jika bermasalah disable dnssec
    3. pastikan anda uji dulu mesin trustng sebelum diberi beban trafik dns

    RTBH

    Menggunakan protokol BGP, dimana ISP/NAP menerima list IP yang diblokir dari server BGP Komdigi.

    Terdapat 3 Server RTBH Komdigi dengan IP sebagai berikut:

    1. RTBH-1: 103.158.253.146 ( berlokasi di MTen)
    2. RTBH-2: 103.163.102.122 (berlokasi di IDC)
    3. RTBH-3: 202.57.26.242 (berlokasi di Neucentrix)

    ASN: 65535

    Cara install:

    1. Login ke router
    2. Buat 3 eBGP Multihop ke masing-masing IP RTBH diatas. Remote BGP Komdigi adalah AS65535.
    3. Atur bgp filter-out ke reject/deny all
    4. Atur bgp filter-in ke accept all, set type blackhole
    5. Done.


    Done.

      Denny

      Motobike & food lovers. Father of four. Workin' on some linux & mikrotik servers. Just simply, enjoyable journey.

      Post navigation

      Leave a Comment

      Tinggalkan Balasan

      Kosmo Dapatkan notifikasi untuk setiap pembaruan terkini!
      Dismiss
      Allow Notifications