10.7. Domain Name Servers (DNS)

Domain Name Service (DNS, Layanan Nama Domain) adalah komponen mendasar dari Internet: ia memetakan nama host ke alamat IP (dan sebaliknya), yang memungkinkan penggunaan www.debian.org alih-alih 130.89.148.77 atau 2001:67c:2564:a119::77.

Record-record DNS disusun dalam zona; setiap zona cocok dengan suatu domain (atau subdomain) atau suatu rentang alamat IP (karena alamat IP umumnya dialokasikan dalam rentang berturutan). Sebuah server adalah otoritatif atas isi suatu zona; server sekunder, sering diwadahi pada mesin terpisah, menyediakan salinan zona utama yang diperbarui secara teratur.

Setiap zona dapat berisi record dari berbagai jenis (Record Sumber Daya), ini adalah beberapa yang paling umum:

A (catatan alamat): Alamat IPv4. Ini adalah bentuk paling umum untuk mengarahkan domain ke alamat IPv4.
CNAME (canonical name record): alias
MX (mail exchange): server surel. Informasi ini digunakan oleh server surel lain untuk menemukan tempat mengirim surel yang ditujukan ke alamat tertentu. Setiap data MX memiliki prioritas. Server dengan prioritas tertinggi (dengan angka terendah) dicoba terlebih dahulu (lihat bilah sisi KEMBALI KE DASAR SMTP); server lain dihubungi dalam urutan penurunan prioritas jika yang pertama tidak membalas.
PTR (pointer): pemetaan alamat IP ke nama. Catatan semacam itu disimpan di zona "DNS terbalik" yang dinamai menurut rentang alamat IP. Misalnya, 1.168.192.in-addr.arpa adalah zona yang berisi pemetaan terbalik untuk semua alamat dalam rentang 192.168.1.0/24.
AAAA (catatan alamat IPv6): Alamat IPv6.
NS (server nama): memetakan nama ke server nama. Setiap domain harus memiliki setidaknya satu data NS. Catatan ini menunjuk ke server DNS yang dapat menjawab pertanyaan tentang domain ini; mereka biasanya menunjuk ke server primer dan sekunder untuk domain. Catatan ini juga memungkinkan delegasi DNS; misalnya, zona falcot.com dapat menyertakan catatan NS untuk internal.falcot.com, yang berarti bahwa zona internal.falcot.com ditangani oleh server lain. Tentu saja, server ini harus mendeklarasikan zona internal.falcot.com.

10.7.1. Perangkat lunak DNS

Server nama referensi, Bind, dikembangkan dan dikelola oleh ISC (Internet Software Consortium). Disediakan di Debian oleh paket bind9. Versi 9 membawa dua perubahan besar dibandingkan dengan versi sebelumnya. Pertama, server DNS sekarang dapat dijalankan di bawah pengguna tanpa hak khusus, sehingga kerentanan keamanan di server tidak memberikan hak akses root ke penyerang (seperti yang terlihat berkali-kali dengan versi 8.x).

Selain itu, Bind mendukung standar DNSSEC untuk penandatanganan (dan karena itu otentikasi) record DNS, yang memungkinkan memblokir setiap spoofing data ini selama serangan man-in-the-middle.

10.7.2. Mengkonfigurasi bind

Berkas konfigurasi untuk bind, terlepas dari versi, memiliki struktur yang sama.

Para administrator Falcot menciptakan sebuah zona utama falcot.com untuk menyimpan informasi yang terkait dengan domain ini, dan zona 168.192.in-addr.arpa untuk pemetaan balik alamat IP pada jaringan lokal.

Kutipan-kutipan konfigurasi berikut, diambil dari berkas Falcot, dapat berfungsi sebagai titik awal untuk mengkonfigurasi sebuah server DNS:

Contoh 10.12. Kutipan dari /etc/bind/named.conf.local

zone "falcot.com" {
        type master;
        file "/etc/bind/db.falcot.com";
        allow-query { any; };
        allow-transfer {
                195.20.105.149/32 ; // ns0.xname.org
                193.23.158.13/32 ; // ns1.xname.org
        };
};

zone "internal.falcot.com" {
        type master;
        file "/etc/bind/db.internal.falcot.com";
        allow-query { 192.168.0.0/16; };
};

zone "168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/db.192.168";
        allow-query { 192.168.0.0/16; };
};

Contoh 10.13. Kutipan dari /etc/bind/db.falcot.com

; falcot.com Zone 
; admin.falcot.com. => zone contact: admin@falcot.com
$TTL    604800
@       IN      SOA     falcot.com. admin.falcot.com. (
                        20040121        ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
; The @ refers to the zone name ("falcot.com" here)
; or to $ORIGIN if that directive has been used
;
@       IN      NS      ns
@       IN      NS      ns0.xname.org.

internal IN      NS      192.168.0.2

@       IN      A       212.94.201.10
@       IN      MX      5 mail
@       IN      MX      10 mail2

ns      IN      A       212.94.201.10
mail    IN      A       212.94.201.10
mail2   IN      A       212.94.201.11
www     IN      A       212.94.201.11

dns     IN      CNAME   ns

Contoh 10.14. Kutipan dari /etc/bind/db.192.168

; Reverse zone for 192.168.0.0/16
; admin.falcot.com. => zone contact: admin@falcot.com
$TTL    604800
@       IN      SOA     ns.internal.falcot.com. admin.falcot.com. (
                        20040121        ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL

        IN      NS      ns.internal.falcot.com.

; 192.168.0.1 -> arrakis
1.0     IN      PTR     arrakis.internal.falcot.com.
; 192.168.0.2 -> neptune
2.0     IN      PTR     neptune.internal.falcot.com.

; 192.168.3.1 -> pau
1.3     IN      PTR     pau.internal.falcot.com.