circadianshift.net

Mari Pahami Demilitarized Zone Pada Jaringan Komputer

Kemampuan untuk mengakses dan menyediakan informasi secara cepat, tepat dan akurat saat ini memang sudah menjadi suatu kebutuhan penting bagi suatu perusahaan. Untuk menunjang hal tersebut maka diperlukan untuk menerapkan sistem informasi yang terkomputerisasi dan terintegrasi dengan baik. Salah satu teknologi informasi yang penting untuk mendukung kelancaran aktivitas bisnis perusahaan terebut adalah demilitarized zone.

Demilitarized Zone adalah suatu area yang digunakan untuk berinteraksi dengan pihak luar. Dalam hubungannya dengan jaringan komputer, DMZ merupakan suatu sub network yang terpisah dari sub network internal untuk keperluan keamanan. Nah, bagi anda yang ingin mengetahui lebih jauh lagi tentang demilitarized zone, silahkan simak penjelasan di bawah ini.

Apa Itu Demilitarized Zone?

Dalam keamanan komputer, DMZ atau demilitarized zone atau juga yang kadang-kadang disebut sebagai jaringan perimeter ini adalah fisik atau logis subnetwork yang berisi dan mengekspos layanan eksternal menghadap organisasi ke jaringan yang biasanya lebih besar dan tidak dipercaya, biasanya Internet.

Untuk menghubungkan jaringan private atau business kita dengan jaringan publik seperti jaringan Internet, tentulah kita harus mengatur aliran traffic paket dengan menggunakan perangkat Firewall yang diperkuat dengan policy keamanan. Dengan firewall, semua traffic dipaksa melalui satu check point tunggal yang terkosentrasi dimana semua traffic di kendalikan, di-authentikasi, di filter dan di log menurut policy yang diterapkan pada firewall tersebut. Dengan cara ini, kita bisa mengurangi secara significant akan tetapi tidak menghilang kan traffic yang tidak kita harapkan yang akan mencapai jaringan private kita.

Kemudian bagaimana kalau kita akan meletakkan beberapa public resources (seperti server web) yang memang disediakan untuk bisa diakses oleh user umum dari internet dengan aman? Kita bisa menyediakan fasilitas web-server atau mail-server yang bisa diakses oleh public tanpa harus membiarkan mereka bisa leluasa masuk atau mengakses jaringan private corporate kita dengan jalan memberikan segmentasi pada sistem firewall kita dengan suatu jaringan perimeter atau lebih dikenal dengan Firewall.

DMZ merupakan mekanisme untuk melindungi sistem internal dari serangan hacker atau pihak-pihak lain yang ingin memasuki sistem tanpa mempunyai hak akses. DMZ ini harus dibuat jika anda perlu membuat segmentasi jaringan untuk meletakan server yang bisa diakses publik dengan aman tanpa harus bisa mengganggu kemanan sistem jaringan LAN di jaringan private kita.

DMZ adalah suatu area bagi hackers yang digunakan untuk melindungi sistem internal yang berhubungan dengan serangan hacker (hack attack). DMZ bekerja pada seluruh dasar pelayanan jaringan yang membutuhkan akses terhadap jaringan “Internet atau dunia luar” ke bagian jaringan yang lainnya. Dengan begitu, seluruh “open port” yang berhubungan dengan dunia luar akan berada pada jaringan, sehingga jika seorang hacker melakukan serangan dan melakukan crack pada server yang menggunakan sistem DMZ, hacker tersebut hanya akan dapat mengakses hostnya saja, tidak pada jaringan internal.

Secara umum DMZ dibangun berdasarkan tiga buah konsep, yaitu: NAT (Network Address Translation), PAT (Port Addressable Translation) dan Access List. NAT berfungsi untuk menunjukkan kembali paket-paket yang datang dari “real address” ke alamat internal. Misal: jika kita memiliki “real address”202.8.90.100, kita dapat membentuk suatu NAT langsung secara otomatis pada data-data yang datang ke 192.168.100.4 (sebuah alamat jaringan internal).

Kemudian PAT berfungsi untuk menunjukan data yang datang pada particular port atau range sebuah port dan protocol (TCP/UDP atau lainnya) dan alamat IP ke sebuah particular port atau range sebuah port ke sebuah alamat internal IP. Sedangkan access list berfungsi untuk mengontrol secara tepat apa yang datang dan keluar dari jaringan dalam suatu pertanyaan. Misal: kita dapat menolak atau memperbolehkan semua ICMP yang datang ke seluruh alamat IP kecuali untuk sebuah ICMP yang tidak diinginkan.

Implementasi DMZ

Kita bisa menerapkan beberapa jaringan DMZ dengan kebijakan tingkat keamanan yang berbeda, jika seandainya kita ingin menggunakan jaringan segmentasi. Seperti terlihat pada diagram diatas, anda membangun aplikasi untuk keperluan extranets, intranet dan web-server hosting dan juga gateway untuk keperluan remote akses.

Firewall DMZ adalah sebuah jenis firewall yang memeberikan sebuah segmentasi jaringan pda sebuah hosting public resource seperti webserver dengan aman. Dengan kata lain, Firewall DMZ atau jaringan perimeter adalah jaringan security boundary yang terletak diantara suatu jaringan corporate/private LAN dan jaringan public (Internet). Firewall DMZ ini harus dibuat jika anda perlu membuat segmentasi jaringan untuk meletakkan server yang bisa diakses public dengan aman tanpa harus bisa mengganggu keamanan system jaringan LAN di jaringan private kita. Perimeter (DMZ) network didesign untuk melindungi server pada jaringan LAN corporate dari serangan hackers dari Internet.

Firewall DMZ dapat diimplementasikan tepat pada border corporate LAN yang lazim mempunyai tiga jaringan interface, yaitu:

  1. Interface Internet: interface ini berhubungan langsung dengan Internet dan IP addressnya pun juga IP public yang terregister.
  2. Interface Private atau Interface intranet: adalah interface yang terhubung langsung dengan jaringan corporate LAN dimana anda meletakkan server-server yang rentan terhadap serangan.
  3. Jaringan DMZ: Interface DMZ ini berada didalam jaringan Internet yang sama sehingga bisa diakses oleh user dari Internet. Resources public yang umumnya berada pada firewall DMZ adalah web-server, proxy dan mail-server.

Manfaat DMZ

Untuk keamanan, sesuai dengan standar hukum seperti HIPAA dan pemantauan alasan, dalam lingkungan bisnis, beberapa perusahaan menginstal server proxy dalam DMZ. Ini memiliki manfaat sebagai berikut:

  • Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan server proxy untuk akses internet.
  • Mengurangi persyaratan akses bandwidth internet karena beberapa konten web dapat di-cache oleh server proxy.
  • Menyederhanakan pencatatan dan monitoring kegiatan pengguna terpusat konten web filtering.

Sebuah reverse proxy server seperti server proxy adalah perantara, tapi digunakan sebaliknya. Alih-alih menyediakan layanan untuk pengguna internal yang ingin mengakses jaringan eksternal, ia menyediakan akses langsung untuk jaringan eksternal (biasanya Internet) ke sumber daya internal. Misalnya kembali akses aplikasi office, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan) tetapi remote user tidak akan memiliki akses langsung ke server email mereka. Hanya server proxy reverse fisik dapat mengakses server email internal. Ini adalah lapisan keamanan tambahan yang sangat dianjurkan ketika sumber daya internal perlu diakses dari luar. Biasanya seperti mekanisme reverse proxy disediakan dengan menggunakan firewall lapisan aplikasi karena mereka fokus pada bentuk tertentu dari lalu lintas daripada mengendalikan akses ke spesifik TCP dan port UDP sebagai firewall packet filter tidak.

Layanan Yang Termasuk ke Dalam DMZ

Seperti yang diketahui kalau pada umumnya setiap layanan yang sedang diberikan kepada pengguna di jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah web server, mail server, ftp server, VoIP server dan DNS server. Berikut di bawah ini adalah penjelasan dari masing-masing layananya:

  • Web Server

Web server mungkin perlu untuk berkomunikasi dengan database internal untuk menyediakan beberapa layanan khusus. Karena server database tidak dapat diakses publik dan mungkin berisi informasi sensitif, itu tidak boleh di DMZ. Umumnya, ini bukan ide yang baik untuk memungkinkan web server untuk berkomunikasi langsung dengan server database internal. Sebaliknya, sebuah server aplikasi dapat digunakan untuk bertindak sebagai media komunikasi antara web server dan database server. Ini mungkin lebih rumit, tetapi menyediakan layer keamanan lain.

  • E-mail Server

Karena sifat rahasia e-mail, bukan ide yang bagus untuk menyimpannya dalam DMZ, juga bukan ide yang baik untuk menjaga pengguna database terbuka di zona yang sama. Sebaliknya, e-mail harus disimpan di internal server e-mail diletakkan dalam lemari besi atau daerah tersembunyi di dalam DMZ (itu berarti sebuah zona terjangkau untuk eksternal tapi dengan akses dari/ke server e-mail). Beberapa orang menempatkan internal server e-mail di wilayah LAN, yang beberapa kali bukanlah praktek terbaik karena tidak memungkinkan untuk mendapatkan performa terbaik dalam hal lalu lintas jaringan. Juga menyiratkan masalah keamanan, karena menganggap keamanan bagi serangan eksternal tetapi tidak untuk internal (yaitu komunikasi ini dapat mengendus atau palsu).

Mail server di DMZ harus masuk melalui mail ke diamankan/internal server mail dan server surat ini harus lewat surat keluar ke server mail eksternal. User database harus berada di tempat lain (yaitu database, LDAP, Server), dalam rangka untuk memeriksa keaslian pengguna on-the-fly.

  • Proxy Server

Untuk keamanan, penegakan hukum dan juga alasan pemantauan, dalam lingkungan bisnis, juga dianjurkan untuk menginstal sebuah proxy server dalam DMZ. Ini memiliki keuntungan sebagai berikut:

  1. Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan proxy khusus ini untuk mendapatkan akses internet. Para pengguna seharusnya tidak diperbolehkan untuk browsing internet secara langsung dan melewati DMZ pertahanan.
  2. Memungkinkan perusahaan untuk menghemat bandwidth internet karena beberapa konten web dapat di-cache oleh server proxy.
  3. Memungkinkan administrator sistem untuk merekam dan memantau aktivitas pengguna dan pastikan tidak ada konten ilegal di-download atau di-upload oleh para karyawan. Di banyak negara Uni Eropa misalnya, seorang direktur perusahaan yang bertanggung jawab atas aktivitas internet karyawan.
  • Reverse Proxy Server

Sebuah reverse proxy server yang menyediakan layanan yang sama sebagai server proxy, tetapi sebaliknya. Alih-alih memberikan layanan kepada pengguna internal, tidak langsung memberikan akses ke sumber daya internal dari jaringan eksternal (biasanya Internet). Sebuah aplikasi kantor belakang akses, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan) tetapi user remote tidak memiliki akses langsung ke server email.

Hanya server proxy sebaliknya secara fisik dapat mengakses server email internal. Ini adalah lapisan tambahan keamanan, yang direkomendasikan terutama ketika sumber daya internal yang perlu diakses dari luar. Biasanya mekanisme proxy reverse seperti ini disediakan dengan menggunakan aplikasi firewall lapisan ketika mereka memusatkan perhatian pada bentuk tertentu lalu lintas, bukan spesifik mengontrol akses ke TCP dan UDP port sebagai filter paket firewall tidak.

Nah, demikianlah penjelasan mengenai demilitarized zone pada jaringan komputer, semoga penjelasan di atas bisa sangat bermanfaat untuk anda semua ya. Terima kasih.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.