istilah DMZ (demilitarized zone)

DMZ, atau zona demiliterisasi adalah fisik atau logis subnetwork yang berisi dan menghadapkan’s eksternal layanan suatu organisasi ke jaringan tidak dipercaya lebih besar, biasanya Internet. The term is normally referred to as a DMZ by information technology professionals. Istilah ini biasanya disebut sebagai DMZ oleh para profesional teknologi informasi. It is sometimes referred to as a perimeter network . Hal ini kadang-kadang disebut sebagai jaringan perimeter. The purpose of a DMZ is to add an additional layer of security to an organization’s local area network (LAN); an external attacker only has access to equipment in the DMZ, rather than any other part of the network. Tujuan dari DMZ adalah menambahkan lapisan tambahan keamanan untuk sebuah organisasi jaringan area lokal (LAN); seorang penyerang eksternal hanya memiliki akses ke peralatan dalam DMZ, daripada bagian lain dari jaringan.

Layanan yang termasuk dalam DMZ

Generally, any service that is being provided to users on the external network could be placed in the DMZ. Umumnya, setiap layanan yang disediakan kepada pengguna di jaringan eksternal dapat ditempatkan dalam DMZ. The most common of these services are web servers, mail servers, FTP servers, VoIP servers and DNS servers. Yang paling umum dari layanan ini web server, mail server, FTP server, VoIP server dan server DNS. In some situations, additional steps need to be taken to be able to provide secure services. Dalam beberapa situasi, langkah tambahan perlu diambil untuk dapat memberikan pelayanan yang aman.

Web servers may need to communicate with an internal database to provide some specialized services. Web server mungkin perlu untuk berkomunikasi dengan database internal untuk memberikan beberapa layanan khusus. Since the database server is not publicly accessible and may contain sensitive information, it should not be in the DMZ. Karena database server tidak boleh diakses publik dan mungkin berisi informasi sensitif, itu tidak harus dalam DMZ. Generally, it is not a good idea to allow the web server to communicate directly with the internal database server. Umumnya, ini bukan ide yang baik untuk memungkinkan web server untuk berkomunikasi langsung dengan server database internal. Instead, an application firewall can be used to act as a medium for communication between the web server and the database server. Sebaliknya, sebuah firewall aplikasi yang dapat digunakan untuk bertindak sebagai media komunikasi antara web server dan database server. This may be more complicated, but provides another layer of security. Ini mungkin lebih rumit, tetapi memberikan satu lapisan keamanan.

Because of the confidential nature of e-mail , storing it in the DMZ is a poor idea, and it is also a poor idea to store the user database there. Karena sifat kerahasiaan dari e-mail , menyimpan dalam DMZ adalah ide yang buruk, dan juga ide buruk untuk menyimpan database pengguna di sana. Instead, e-mail should be stored on an internal e-mail server placed in a hidden area inside the DMZ (an area that cannot be accessed from the internet, but can be accessed from the e-mail server). Sebaliknya, e-mail harus disimpan pada internal server e-mail yang ditempatkan di daerah tersembunyi di dalam DMZ (daerah yang tidak dapat diakses dari internet, tetapi bisa diakses dari server e-mail). Some people place the internal e-mail server in a LAN area, which is not good practice, because it does not allow for the best performance. Beberapa orang menempatkan server e-mail internal di daerah LAN, yang tidak praktek yang baik, karena tidak memungkinkan untuk kinerja terbaik. Also it can be a security problem, because although this configuration provides security from external attacks, it does not protect from internal attacks (for example communication could be sniffed or spoofed ). Juga bisa menjadi masalah keamanan, karena walaupun konfigurasi ini memberikan keamanan dari serangan eksternal, itu tidak melindungi dari serangan internal (untuk komunikasi misalnya bisa mengendus atau palsu ).

The mail server inside the DMZ should pass incoming mail to the secured/internal mail servers and this mail server should pass outgoing mail to the external mail servers. Mail server di dalam DMZ harus melalui surat yang masuk ke server mail dijamin / internal dan hal ini harus melewati mail server surat keluar ke server mail eksternal.

For security, legal compliance and also monitoring reasons, in a business environment, some enterprises install a proxy server within the DMZ. Untuk keamanan, kepatuhan hukum serta monitoring alasan, dalam lingkungan bisnis, beberapa perusahaan memasang proxy server dalam DMZ. This has the following consequences: Ini memiliki konsekuensi sebagai berikut:

  • Obliges the internal users (usually employees) to use the proxy to get Internet access. Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan proxy untuk mendapatkan akses internet.
  • Allows the company to reduce Internet access bandwidth requirements because some of the web content may be cached by the proxy server. Memungkinkan perusahaan untuk mengurangi kebutuhan akses Internet bandwidth karena beberapa konten web dapat di-cache oleh server proxy.
  • Simplifies the recording and monitoring of user activities and block content violating acceptable use policies. Menyederhanakan pencatatan dan monitoring kegiatan pengguna dan konten blok melanggar kebijakan penggunaan yang dapat diterima.

A reverse proxy server provides the same service as a proxy server, but the other way around. Sebuah reverse proxy server menyediakan layanan yang sama sebagai server proxy, tetapi sebaliknya. Instead of providing a service to internal users, it provides indirect access to internal resources from an external network (usually the Internet). Alih-alih memberikan layanan kepada pengguna internal, menyediakan akses langsung ke sumber daya internal dari jaringan eksternal (biasanya Internet). A back office application access, such as an email system, can be provided to external users (to read emails while outside the company) but the remote user does not have direct access to his email server. Sebuah aplikasi akses back office, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan) tetapi remote user tidak memiliki akses langsung ke server email-nya. Only the reverse proxy server can physically access the internal email server. Hanya reverse proxy server secara fisik dapat mengakses server email internal. This is an extra layer of security, which is particularly recommended when internal resources need to be accessed from the outside. Ini adalah lapisan tambahan keamanan, yang sangat dianjurkan ketika sumber daya internal yang perlu diakses dari luar. Usually such a reverse proxy mechanism is provided by using an application layer firewall as they focus on the specific shape of the traffic rather than controlling access to specific TCP and UDP ports as a packet filter firewall does. Biasanya seperti mekanisme proxy reverse disediakan dengan menggunakan firewall lapisan aplikasi karena mereka fokus pada bentuk tertentu lalu lintas daripada mengendalikan akses ke spesifik TCP dan port UDP sebagai firewall packet filter tidak.

Firewall DMZ (Demilitarized Zone) – atau jaringan perimeter adalah jaringan security boundary yang terletak diantara suatu jaringan corporate / private LAN dan jaringan public (Internet). Firewall DMZ ini harus dibuat jika anda perlu membuat segmentasi jaringan untuk meletakkan server yang bisa diakses public dengan aman tanpa harus bisa mengganggu keamanan system jaringan LAN di jaringan private kita. Perimeter (DMZ) network didesign untuk melindungi server pada jaringan LAN corporate dari serangan hackers dari Internet

Gambar berikut ini menunjukkan diagram dari firewall yang menggunakan dua jaringan DMZ.

 

 

 

 

 

External Firewall Dengan Dua DMZ

Jika ada kebutuhan untuk menggunakan jaringan segmentasi, anda bisa menerapkan beberapa jaringan DMZ dengan kebijakan tingkat keamanan yang berbeda. Seperti terlihat pada diagram diatas, anda membangun aplikasi untuk keperluan extranets, intranet, dan web-server hosting dan juga gateway untuk keperluan remote akses.

Perhatikan diagram DMZ diatas, traffic user dari internet hanya dapat mengakses web-server yang diletakkan pada jaringan DMZ2. Mereka tidak bisa mengakses server SQL yang diletakkan pada jaringan DMZ1. Akan tetapi kedua server baik web-server (yang ada di DMZ2) dan SQL-server (yang ada di DMZ1) mempunyao alses untuk bisa saling berkomunikasi. User dari internet tidak boleh mengakses SQL sever maupun mengakses jaringan internal / private kita. Maka anda harus menerapkan kebijakan keamanan pada firewall yang memenuhi kebutuhan tersebut.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: