APR dan DNS Poisoning

1. APR atau ARP poison routing merupakan cara untuk memanipulasi pemetaan ARP Cache. APR atau ARP poison routing akan membuat paket ARP Reply Palsu. Dengan mengirimkan ARP Reply Palsu secara terus-menerus, komputer target diyakinkan agar mengirim frame yang ditujukan untuk komputer A dikirimkan terlebih dahulu ke komputer B. APR atau ARP poison routing biasanya diikuti dengan serangan untuk menangkap atau mengambil alih komunikasi yang tidak terenkripsi atau tidak memiliki digital signature.

2. Cara Mengatasi APR Attack:

- Gunakan ARPwatch untuk melihat perubahan dari MAC address yang ada di jaringan kita.
- Set statis ARP cache untuk MAC address tiap-tiap komputer
- Cobalah terapkan Virtual Private Network
- Sebagai langkah terakhir, Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address di setiap komputer.

3. DNS poisoning adalah teknik untuk memasukkan atau meracuni cache pada suatu server DNS dengan data atau informasi yang salah. Jika sebuah server DNS terkena DNS spoofing atau cache poisoning maka data atau informasi yang diberikan server DNS tersebut tidak valid lagi karena telah di-spoof atau diracuni oleh sang penyerang.

4. Cara mengatasi DNS poisoning:

- Penggunaan versi Berkeley Internet Name Domain (BIND) terbaru.
Sebagian besar versi BIND lama mempunyai bug dan dapat dieksploitasi sehingga akan menimbulkan serangan. Dengan menggunakan versi terbaru diharapkan dapat meminimalkan adanya bug dan eksploitasi yang bisa dilakukan terhadap name-server karena bug pada versi sebelumnya biasanya sudah diperbaiki pada versi yang lebih baru. Jangan lupa ketika meng-upgrade baca perubahan yang ada (release notes), karena pada beberapa versi terbaru ada perubahan konfigurasi untuk mengaktifkan fitur baru dan kinerjanya.

- Mengurangi kesalahan pada satu titik
Ada beberapa cara:
Menyediakan server DNS lebih dari satu yang otoritatif pada tiap zone (berbeda subnet, berbeda router, berbeda koneksi).
Menyediakan master name-server cadangan.
Menyediakan name-server cadangan untuk resolution.

- Pembatasan zone-transfer
Melakukan pembatasan zone-transfer hanya kepada secondary name-server atau mesin yang benar-benar mempunyai authority terhadap informasi atau data pada zone yang bersangkutan. Pada /etc/named.conf tambahkan baris allow transfer { [ip-atau-jaringan-yang-boleh-melakukan-zone-transfer]}; di bagian options atau zone

- Membatasi dynamic update
Dynamic update harus dibatasi pada server DNS kita dari permintaan update informasi host/domain. Pada /etc/named.conf tambahkan baris allow update { [ip-atau-jaringan-yang-boleh-melakukan-update]}; di bagian options atau zone.

- Pembatasan query
Membatasi query atau permintaan terhadap data atau informasi yang ada dalam database-cache atau berkas zone server DNS. Pada /etc/named.conf tambahkan baris allow query { [ip-atau-jaringan-yang-boleh-melakukan-query]}; di bagian options atau zone.

- Membatasi permintaan rekursif
Dengan pembatasan permintaan rekursif pada server DNS maka dapat meminimalkan ancaman DNS spoofing/cache poisoning. Permintaan rekursif dapat dibatasi dengan options allow-recursion.

- Membagi fungsi dua name-server.
Pembagian fungsi dari name-server yaitu:
Fungsi untuk menerima dan menjawab query akan menghindari adanya kelebihan beban pada server DNS kita terutama permintaan resolving yang banyak.
Fungsi untuk name-server jaringan internal dan eksternal untuk menghindari informasi atau data dimanfaatkan oleh orang yang tidak bertanggung jawab.
Ketika kita mencoba membuat dua server DNS, kita membutuhkan dua komputer server (perangkat keras). Dengan BIND versi 8 ke atas kita dapat membuat dua name-server dalam satu komputer sehingga kita dapat membagi name-server untuk menerima dan menjawab query atau permintaan resolving nama domain.

- Menolak permintaan versi BIND
Permintaan versi perangkat lunak BIND biasanya dilakukan penyerang untuk mengetahui versi dari BIND dan akan membandingkan dengan daftar versi yang mempunyai kelemahan. Selanjutnya si penyerang akan menyerang dengan serangan atau eksploitasi yang spesifik pada versi BIND tertentu. Kita harus menolak permintaan versi dan mencatat permintaan tersebut, yaitu dengan mengedit /etc/named.conf dan zone

- Mematikan layanan yang tidak perlu dan mem-filter lalu lintas data.
Layanan-layanan yang tidak digunakan pada host yang menjalankan name-server sebaiknya dimatikan selain itu juga perlu dilakukan pem-filteran-an lalu lintas data.
Lalu lintas atau permintaan yang menuju port 53/tcp dan port 53/udp diijinkan tetapi tetap di-filter dan dibatasi melalui konfigurasi name-server. Layanan lain pada host yang masih digunakan dapat di-filter menggunakan firewall.

- Memonitor server DNS dan berita keamanan BIND.
Seiring dengan waktu keamanan menjadi ancaman bagi sistem kita. Untuk memperkecil atau mempersempit terjadinya pemanfaatan kelemahan sistem kita terutama server DNS maka kita harus tetap memonitor server (monitor berkas catatan/log sistem) dan mengikuti informasi melalui mailing-list keamanan BIND ataupun di website keamanan/sekuriti. Di milis dan website tersebut biasanya tersedia informasi kelemahan-kelemahan yang terjadi pada suatu perangkat lunak ataupun sistem dan cara mencegahnya.