Dalam keamanan komputer, sebuah zona demiliterisasi, yang diberi nama setelah penggunaan militer dari istilah dan biasanya disingkat DMZ; juga dikenal sebagai Data Management Zone atau Zona Demarkasi atau Perimeter Network, adalah fisik atau logis Sub-jaringan yang mengandung dan mengekspos sebuah organisasi layanan eksternal yang lebih besar, jaringan tidak dipercaya, biasanya Internet.
The purpose of a DMZ is to add an additional layer of security to an organization's Local Area Network (LAN); an external attacker only has access to equipment in the DMZ, rather than the whole of the network. Tujuan dari DMZ adalah menambahkan lapisan tambahan keamanan untuk sebuah organisasi Local Area Network (LAN); eksternal hanya penyerang yang memiliki akses ke peralatan di DMZ, daripada seluruh jaringan.
Dalam sebuah jaringan, maka host paling rentan terhadap serangan adalah mereka yang memberikan layanan kepada pengguna di luar LAN, seperti e-mail, web dan DNS server. Karena peningkatan potensi host ini terganggu, mereka ditempatkan dalam Sub-jaringan mereka sendiri untuk melindungi sisa jaringan jika seorang penyusup adalah untuk berhasil. Host di DMZ memiliki konektivitas terbatas host tertentu dalam jaringan internal, walaupun komunikasi dengan host lain di DMZ dan ke jaringan eksternal diperbolehkan. Hal ini memungkinkan host dalam DMZ untuk menyediakan layanan untuk baik jaringan internal dan eksternal, sedangkan firewall campur tangan mengendalikan lalu lintas antara DMZ server dan klien jaringan internal.
Layanan yang termasuk dalam DMZ
Umumnya, setiap layanan yang sedang diberikan kepada pengguna di jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah web server, mail server, ftp server, VoIP server dan DNS server. Dalam beberapa situasi, langkah- langkah tambahan perlu diambil untuk dapat memberikan layanan aman.
Web server
Web server mungkin perlu untuk berkomunikasi dengan database internal untuk menyediakan beberapa layanan khusus. Karena server database tidak dapat diakses publik dan mungkin berisi informasi sensitif, itu tidak boleh di DMZ. Umumnya, ini bukan ide yang baik untuk memungkinkan web server untuk berkomunikasi langsung dengan server database internal. Sebaliknya, sebuah server aplikasi dapat digunakan untuk bertindak sebagai media komunikasi antara web server dan database server. Ini mungkin lebih rumit, tetapi menyediakan layer keamanan lain.
E-mail server
Karena sifat rahasia e-mail, bukan ide yang bagus untuk menyimpannya dalam DMZ, juga bukan ide yang baik untuk menjaga pengguna database terbuka di zona yang sama. Sebaliknya, e-mail harus disimpan di internal server e-mail diletakkan dalam lemari besi atau daerah tersembunyi di dalam DMZ (itu berarti sebuah zona terjangkau untuk eksternal tapi dengan akses dari / ke server e-mail). Beberapa orang menempatkan internal server e-mail di wilayah LAN, yang beberapa kali bukanlah praktek terbaik, karena tidak memungkinkan untuk mendapatkan performa terbaik dalam hal lalu lintas jaringan. Juga menyiratkan masalah keamanan, karena menganggap keamanan bagi serangan eksternal, tetapi tidak untuk internal (yaitu komunikasi ini dapat mengendus atau palsu).
Mail server di DMZ harus masuk melalui mail ke diamankan / internal server mail dan server surat ini harus lewat surat keluar ke server mail eksternal. User database harus berada di tempat lain (yaitu database, LDAP, Server), dalam rangka untuk memeriksa keaslian pengguna on-the-fly.
Proxy server
Untuk keamanan, penegakan hukum dan juga alasan pemantauan, dalam lingkungan bisnis, juga dianjurkan untuk menginstal sebuah proxy server dalam DMZ. Ini memiliki keuntungan sebagai berikut:
- Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan proxy khusus ini untuk mendapatkan akses internet. Para pengguna seharusnya tidak diperbolehkan untuk browsing internet secara langsung dan melewati DMZ pertahanan.
- Memungkinkan perusahaan untuk menghemat bandwidth internet karena beberapa konten web dapat di-cache oleh server proxy.
- Memungkinkan administrator sistem untuk merekam dan memantau aktivitas pengguna dan pastikan tidak ada konten ilegal di-download atau di-upload oleh para karyawan. Di banyak negara Uni Eropa misalnya, seorang direktur perusahaan yang bertanggung jawab atas aktivitas internet karyawan.
Reverse proxy server
Sebuah reverse proxy server yang menyediakan layanan yang sama sebagai server proxy, tetapi sebaliknya. Alih-alih memberikan layanan kepada pengguna internal, tidak langsung memberikan akses ke sumber daya internal dari jaringan eksternal (biasanya Internet). Sebuah aplikasi kantor belakang akses, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan), tetapi user remote tidak memiliki akses langsung ke server email. Hanya server proxy sebaliknya secara fisik dapat mengakses server email internal. Ini adalah lapisan tambahan keamanan, yang direkomendasikan terutama ketika sumber daya internal yang perlu diakses dari luar. Biasanya mekanisme proxy reverse seperti ini disediakan dengan menggunakan aplikasi firewall lapisan ketika mereka memusatkan perhatian pada bentuk tertentu lalu lintas, bukan spesifik mengontrol akses ke TCP dan UDP port sebagai filter paket firewall tidak.
Arsitektur
Ada berbagai cara untuk merancang sebuah jaringan dengan DMZ. Dua metode yang paling dasar adalah dengan satu firewall, juga dikenal sebagai model berkaki tiga, dan dengan firewall ganda. Arsitektur-arsitektur ini dapat diperluas untuk menciptakan arsitektur yang sangat kompleks, tergantung pada persyaratan jaringan.
Single firewall
Sebuah firewall dengan minimal 3 antarmuka jaringan dapat digunakan untuk menciptakan sebuah arsitektur jaringan yang berisi DMZ. Jaringan eksternal terbentuk dari ISP ke firewall pada antarmuka jaringan pertama, jaringan internal yang terbentuk dari kedua antarmuka jaringan, dan DMZ terbentuk dari antarmuka jaringan ketiga. Firewall menjadi titik kegagalan tunggal untuk jaringan dan harus dapat menangani semua lalu lintas akan DMZ serta jaringan internal. Zona biasanya ditandai dengan warna. Hijau untuk LAN, jeruk untuk DMZ, ungu atau biru untuk zona nirkabel dan merah untuk Internet. Perhatikan bahwa gambar di bawah tidak mencerminkan warna yang tepat.
Dual Firewall
Pendekatan yang lebih aman adalah dengan menggunakan dua firewall untuk menciptakan DMZ. Firewall pertama (juga disebut sebagai "front-end" firewall) harus dikonfigurasi untuk mengizinkan lalu lintas baik ditakdirkan baik kepada DMZ serta jaringan internal. Firewall kedua (juga disebut "back-end" firewall) memungkinkan hanya lalu lintas dari DMZ ke jaringan internal. Menangani firewall pertama yang jauh lebih besar daripada jumlah lalu lintas firewall kedua.
Beberapa merekomendasikan bahwa dua firewall disediakan oleh dua vendor yang berbeda. Jika penyerang berhasil menerobos firewall pertama, akan diperlukan lebih banyak waktu untuk menerobos yang kedua jika dibuat oleh vendor yang berbeda. (Arsitektur ini, tentu saja, lebih mahal.) Praktek menggunakan firewall yang berbeda dari vendor yang berbeda kadang-kadang digambarkan sebagai "pertahanan mendalam" atau (dari sudut pandang yang berlawanan) "keamanan melalui ketidakjelasan".
DMZ host
Beberapa rumah router merujuk pada DMZ host. Sebuah rumah router DMZ host adalah host di jaringan internal yang memiliki semua port terbuka, kecuali yang port diteruskan sebaliknya. Dengan definisi ini bukan benar DMZ (zona demiliterisasi), karena ia sendiri tidak terpisah host dari jaringan internal Artinya, DMZ host dapat terhubung ke host pada jaringan internal, sedangkan host dalam DMZ nyata dihalangi dari berhubungan dengan jaringan internal oleh firewall yang memisahkan mereka, kecuali firewall memungkinkan sambungan. Firewall dapat mengizinkan ini jika sebuah host pada jaringan internal permintaan pertama sambungan ke host dalam DMZ.
matur suwon mas
ReplyDelete