A. PENGERTIAN
Dalam keamanan komputer , zona DMZ atau demiliterisasi (kadang-kadang disebut sebagai jaringan perimeter ) adalah subnetwork fisik atau logis yang berisi dan menghadapkan layanan eksternal yang dihadapi organisasi ke jaringan yang tidak tepercaya, biasanya jaringan yang lebih besar seperti Internet. Tujuan DMZ adalah menambahkan lapisan keamanan tambahan ke jaringan area lokal organisasi (LAN); sebuah node jaringan eksternal hanya dapat mengakses apa yang terpapar di DMZ, sedangkan jaringan organisasi lainnya firewall . DMZ berfungsi sebagai jaringan kecil yang terisolasi yang berada di antara Internet dan jaringan pribadi. Nama DMZ ini berasal dari istilah " zona demiliterisasi ", wilayah antara negara-negara bagian di mana operasi militer tidak diizinkan.
B. DASAR PEMIKIRAN
Dalam pengertian militer, sebuah DMZ tidak dipandang sebagai milik salah satu pihak yang berbatasan dengannya. Konsep ini berlaku untuk penggunaan metafora penggunaan metafora dalam DMZ yang, misalnya, bertindak sebagai pintu gerbang ke Internet publik, tidak seaman jaringan internal, dan juga tidak aman seperti internet publik.
Dalam kasus ini, host yang paling rentan terhadap serangan adalah mereka yang memberikan layanan kepada pengguna di luar jaringan area lokal , seperti server e-mail , Web dan Domain Name System (DNS). Karena potensi peningkatan host ini mengalami serangan, mereka ditempatkan di subnetwork spesifik ini untuk melindungi jaringan lainnya jika ada yang mengalami gangguan.
Host di DMZ diizinkan untuk hanya memiliki konektivitas terbatas ke host tertentu di jaringan internal, karena konten DMZ tidak seaman jaringan internal. Demikian pula komunikasi antara host di DMZ dan ke jaringan eksternal juga dibatasi, untuk membuat DMZ lebih aman daripada Internet, dan cocok untuk perumahan layanan tujuan khusus ini. Hal ini memungkinkan host di DMZ untuk berkomunikasi dengan jaringan internal dan eksternal, sementara firewall yang mengganggu mengontrol lalu lintas antara server DMZ dan klien jaringan internal, dan firewall lain akan melakukan beberapa tingkat kontrol untuk melindungi DMZ dari jaringan eksternal. .
Konfigurasi DMZ memberikan keamanan dari serangan eksternal, namun biasanya tidak menimbulkan serangan internal seperti sniffing communication melalui packet analyzer atau spoofing seperti spoofing e-mail .
Kadang juga praktik yang baik untuk mengonfigurasi Zona Militarized Terpisah yang terpisah (CMZ), zona strategis yang dimonitor sangat ketat yang sebagian besar terdiri dari server Web (dan server serupa yang terhubung ke dunia luar yaitu Internet) yang tidak berada dalam DMZ namun berisi informasi sensitif tentang mengakses server di dalam LAN (seperti server database). Dalam arsitektur seperti itu, DMZ biasanya memiliki aplikasi firewall dan FTP sementara CMZ menjadi tuan rumah server Web. (Server database bisa berada di CMZ, di LAN, atau di VLAN yang terpisah sama sekali.)
Setiap layanan yang diberikan kepada pengguna di jaringan eksternal dapat ditempatkan di DMZ. Layanan yang paling umum adalah:
Server webServer email
Server FTP
Server VoIP
Server web yang berkomunikasi dengan database internal memerlukan akses ke server basis data , yang mungkin tidak dapat diakses oleh publik dan mungkin berisi informasi sensitif. Server web dapat berkomunikasi dengan server database baik secara langsung atau melalui firewall aplikasi untuk alasan keamanan.
Pesan e-mail dan khususnya database pengguna bersifat rahasia, sehingga biasanya disimpan di server yang tidak dapat diakses dari Internet (setidaknya tidak dengan cara yang tidak aman), namun dapat diakses dari server email yang terpapar Internet.
Server surat di dalam DMZ melewati surat masuk ke server surat aman / internal. Ini juga menangani surat keluar.
Demi keamanan, sesuai dengan standar hukum seperti HIPAA , dan alasan pemantauan, di lingkungan bisnis, beberapa perusahaan memasang server proxy di dalam DMZ. Ini memiliki keuntungan sebagai berikut:
- Kewajiban pengguna internal (biasanya karyawan) menggunakan server proxy untuk akses internet.
- Mengurangi kebutuhan bandwidth akses Internet karena beberapa konten web dapat di-cache oleh server proxy.
- Menyederhanakan pencatatan dan pemantauan aktivitas pengguna.
- Penyaringan konten web terpusat.
Server proxy balik , seperti server proxy, adalah perantara, namun digunakan sebaliknya. Alih-alih memberikan layanan kepada pengguna internal yang ingin mengakses jaringan eksternal, ia menyediakan akses tidak langsung untuk jaringan eksternal (biasanya Internet) ke sumber internal. Misalnya, akses aplikasi kantor belakang, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email saat berada di luar perusahaan) namun pengguna jarak jauh tidak memiliki akses langsung ke server email mereka. Hanya server proxy reverse yang bisa mengakses server email internal secara fisik. Ini adalah lapisan keamanan ekstra, yang sangat disarankan saat sumber daya internal perlu diakses dari luar. Biasanya mekanisme reverse proxy seperti ini disediakan dengan menggunakan firewall lapisan aplikasi karena mereka berfokus pada bentuk lalu lintas yang spesifik daripada mengendalikan akses ke port TCP dan UDP tertentu seperti firewall packet filter .
C. ARSITEKTUR
Ada banyak cara untuk merancang jaringan dengan DMZ. Dua metode yang paling mendasar adalah dengan firewall tunggal, juga dikenal sebagai model berkaki tiga, dan dengan dual firewall. Arsitektur ini dapat diperluas untuk menciptakan arsitektur yang sangat kompleks tergantung pada kebutuhan jaringan.
Firewall tunggal
Firewall tunggal dengan setidaknya 3 antarmuka jaringan dapat digunakan untuk membuat arsitektur jaringan yang berisi DMZ. Jaringan eksternal terbentuk dari ISP ke firewall pada antarmuka jaringan pertama, jaringan internal terbentuk dari antarmuka jaringan kedua, dan DMZ terbentuk dari antarmuka jaringan ketiga. Firewall menjadi satu titik kegagalan untuk jaringan dan harus bisa menangani semua lalu lintas yang menuju DMZ serta jaringan internal. Zona biasanya ditandai dengan warna - misalnya ungu untuk LAN, hijau untuk DMZ, berwarna merah untuk Internet (dengan warna lain yang sering digunakan untuk zona nirkabel).
Dual firewall
Pendekatan yang paling aman, menurut Colton Fralick, [1] adalah menggunakan dua firewall untuk membuat DMZ. Firewall pertama (disebut juga "front-end" atau "perimeter" [2] firewall) harus dikonfigurasi agar lalu lintas hanya ditujukan ke DMZ saja. Firewall kedua (juga disebut "back-end" atau "internal" firewall) hanya memungkinkan lalu lintas dari DMZ ke jaringan internal.
Pengaturan ini dianggap [1] lebih aman karena dua perangkat perlu dikompromikan. Bahkan ada lebih banyak perlindungan jika kedua firewall tersebut disediakan oleh dua vendor yang berbeda, karena hal itu membuat kecil kemungkinan kedua perangkat menderita kerentanan keamanan yang sama. Misalnya, kesalahan konfigurasi yang tidak disengaja [ meragukan ] cenderung terjadi dengan cara yang sama di antara antarmuka konfigurasi dari dua vendor yang berbeda, dan lubang keamanan yang ditemukan ada dalam satu sistem vendor cenderung tidak terjadi pada yang lain. Salah satu kelemahan dari arsitektur ini adalah bahwa hal itu lebih mahal, baik untuk membeli, dan mengelola. [3]Praktik penggunaan berbagai firewall dari vendor yang berbeda kadang-kadang digambarkan sebagai komponen strategi pertahanan " pertahanan secara mendalam ".
D. DMZ Host
Beberapa router rumah merujuk ke host DMZ . Host DMZ host rumah adalah satu alamat (misalnya, alamat IP) pada jaringan internal yang memiliki semua lalu lintas yang dikirim ke sana yang tidak diteruskan ke host LAN lainnya. Menurut definisi ini bukan DMZ sejati (zona demiliterisasi), karena hanya saja tidak memisahkan host dari jaringan internal. Artinya, host DMZ dapat terhubung ke host di jaringan internal, sedangkan host dalam DMZ nyata dicegah untuk terhubung dengan jaringan internal oleh firewall yang memisahkannya, kecuali jika firewall mengizinkan koneksi.
Firewall memungkinkan ini jika host di jaringan internal pertama-tama meminta koneksi ke host di dalam DMZ. Host DMZ tidak menyediakan keuntungan keamanan yang disediakan oleh subnet dan sering digunakan sebagai metode yang mudah untuk meneruskan semua port ke perangkat firewall / NAT lainnya. Taktik ini (membangun host DMZ) juga digunakan dengan sistem yang tidak berinteraksi dengan baik dengan aturan firewall normal atau NAT. Hal ini dapat terjadi karena tidak ada aturan forwarding yang dapat diformulasikan sebelumnya (nomor port TCP atau UDP bervariasi), berbeda dengan jumlah tetap atau rentang tetap). Ini juga digunakan untuk protokol jaringan yang routernya tidak memiliki pemrograman untuk menangani ( terowongan 6in4 atau GRE adalah contoh prototipikal).
E. REFERENSI
https://en.wikipedia.org/wiki/DMZ_(computing)&prev=search
Anak kedua dari dua bersaudara yang sudah punya cita-cita dan masih ragu dengan yang namanya cinta.
ConversionConversion EmoticonEmoticon