g

n
i
r
ed
t
l
Fits.net.i

S o@h
N
D arijant
h

k
u
t
n
u

P
S
I

Mekanisme FILTERING/Penapis
Menggunakan Web Proxy
Menggunakan DNS

Penapis Web Proxy

Keunggulan:

Dapat menapis sampai level URL

Dapat menapis sampai level file

Kerugian:

Tidak robust
Tidak cocok untuk menangani traffic data ISP yang volume dan trafficnya
sangat besar
Single point of failure
Proxy bukan native Internet (tanpa proxy Internet bisa tetap berfungsi)

Penapis DNS

Keunggulan:

DNS adalah native dari jaringan Internet , tanpa DNS Internet bisa lumpuh
DNS memang di rancang untuk dapat menangani request query FQDN
yang sangat cepat dengan primary dan secondary DNS yang Robust
Mesin DNS dapat bekerja menggunakan backend SQL Database

Kerugian:

DNS hanya mengenal FQDN maka DNS tida dapat menapis sampai level
URL / File seperti Web Proxy
Resiko SQL injection jika sistem keamanan tidak di jaga dengan baik dan
benar yang mengakibatkan resiko Phishing dengan Fake server (sangat
berbahaya)

Kelemahan sistem Trust Positif

Kelemahan sistem Trust Positif

Belum berbasis SQL Database
Daftar blacklist dalam satu file text yang ukurannya sangat besar 12MByte dengan
476,000 lebih daftar domain blacklist tidak dapat digunakan secara langsung untuk
sistem penapis oleh ISP dan masih harus di cek karena masih tercampur antara
daftar alamat IP dengan URL dan FQDN

Kelemahan sistem Trust Positif

Setiap kali ingin menapis harus manual berkoordinasi dengan 300an ISP melalui email
yang belum dilengkapi digital signature sehingga rawan di spoofing

Contoh email update blacklist

DNS Penapis berbasis data SQL

Untuk ISP yang paling cocok digunakan adalah DNS Penapis berbasis data SQL,
setidaknya ada dua mesin DNS yang dapat mengunakan basis data SQL yaitu:

Bind RPZ https://dnsrpz.info/

PowerDNS https://www.powerdns.com/
Selain Bind RPZ dan PowerDNS, beberapa ISP ada yang menggunakan unbound,
pilihan mana yang terbaik ? Semua tergantung pada selera dan keyakinan
masing-masing

DNS Penapis berbasis data SQL

PowerDNS sangat mudah di install, di configure dan memiliki kinerja yang cukup
baik walaupun sebagian ISP masih lebih mengandalkan Bind RPZ tapi prinsipnya
kedua mesin DNS tersebut sudah memiliki kemampuan bekerja dengan backend
SQL server seperti MySQL , PostgreSQL dll.

Dan yang terpenting semuanya tersedia secara opensource dan tidak

membutuhkan license yang mahal karena keduanya ada GPL (General Public
License)

DNS Nasional
DNS nasional pertama kali di presentasikan di APRICOT 2015 Fukuoka Jepang oleh ID-
SIRTII
Dengan kondisi infrastruktur yang ada di Indonesia dimana terdapat 300 lebih ISP
dengan 40 lebih NAP maka DNS nasional sangat tidak cocok mengapa?

DNS Nasional

Pro

Pemerintah bisa melakukan filtering secara terpusat karena DNS memang

bisa bekerja secara hierarchy dimana ada master dan slave

Kontra

Apakah bisa menjamin mampu melayani seluruh request user Internet dari
300 lebih ISP yang tersebar di nusantara? Mau berapa server DNS yang
akan di deploy? Sudah ada study capacity planing?
Dengan semakin banyaknya CDN (Content Delivery Network) seperti
Google Cache , Akamai dll apakah DNS Nasional bisa memberikan
jawaban IP yang pasti best-path ke jaringan ISP yang melakukan query ?
Dalam beberapa kasus justru memforward DNS ISP misal ke DNS Nawala
mengakibatkan waktu akses ke web site tertentu menjadi tidak responsive.

Blacklist berbasis data SQL

Sebaiknya KOMINFO sebagai regulator cukup menyediakan basis data SQL

menjalankan master MySQL di sistem operasi Linux atau FreeBSD di lingkungan
yang terjamin keamanan fisik maupun logiknya

Kemudian ISP cukup menjalankan slave MySQL yang terhubung ke master MySQL
KOMINFO melalui secure connection misal VPN / MPLS sehingga setiap kali ada
perubahan di master MySQL KOMINFO langsung ter-replikasi ke slave MySQL di
server ISP

Blacklist berbasis data SQL

Blacklist berbasis data SQL

Keunggulan:

Sistem bisa di kembangkan secara robust dan aman

KOMINFO cukup memastikan bahwa master basis data SQL blacklist
berkekuatan hukum dan FQDN yang di blacklist sudah melalui mekanisme
yang jelas misal dengan adanya panel konten
KOMINFO tidak perlu mendeploy DNS Nasional yang jumlahnya pasti akan
sangat banyak untuk bisa menangani kebutuhan seluruh pengguna
Internet di Indonesia , bayangkan berapa CAPEX dan OPEX yang harus di
sediakan KOMINFO?
Jika sampai master basis data SQL KOMINFO tidak berfungsi slave basis
data SQL di ISP masih tetap berfungsi sambil menunggu update master
basis data SQL berfungsi lagi

Blacklist berbasis data SQL

Keunggulan:

DNS penapis menjadi tanggung jawab ISP dengan mengacu pada blacklist
berbasis data SQL dari master MySQL KOMINFO
DNS penapis ISP tetap dapat melayani query FQDN sesuai best-path dari
upstreamnya masing-masing sehingga akses website tetap responsive dan
pengguna ISP terlindungi dari situs-situs negative

Contoh database SQL PowerDNS

Contoh database SQL PowerDNS

PowerDNS /etc/powerdns/pdns.conf

PowerDNS /etc/powerdns/recursor.conf

PowerDNS SQL Connection

Contoh Landing Page Blacklist

Yang di tapis PowerDNS + MySQL

Kesimpulan

PowerDNS penapis berbasis data SQL lebih cocok di kembangkan di setiap

jaringan ISP dengan mengacu pada master MySQL KOMINFO

Mekanisme Penapis terpusat di master MySQL KOMINFO, sehingga tidak perlu lagi
berkirim email secara manual

PowerDNS sangat mudah di konfigurasi cukup dengan tiga file konfigurasi

API bisa digunakan sebagai jembatan antar sistem atau platform berbeda
sehingga ISP dapat tetap menggunakan mesin DNS yang berbeda dengan
PowerDNS

Reference
https://blog.mahyudd.in/2014/08/27/penerapan-powerdns-untuk-blocking-situsporno-part-1.html
https://blog.mahyudd.in/2014/08/27/penerapan-powerdns-untuk-blocking-situsporno-part-2.html
http://www.unixmen.com/how-to-install-powerdns-on-ubuntu-14-04/
http://opensource.telkomspeedy.com/wiki/index.php/PowerDNS

b
a
w
a
j

a ih
y
n a kas
a
T erim
T