Membangun Server DMZ

Membangun Server DMZ



DMZ adalah singkatan untuk Demilitarized Zone istilah ini berasal dari bahasa militer, yang berarti daerah penyangga antara dua musuh. DMZ pada jaringan komputer dipakai ketika suatu sub network yang terpisah dari sub network internall untuk keperluan keamanan. DMZ berisi server yang dapat diakses oleh internet, seperti Web (HTTP) server, server FTP, SMTP (e-mail) server dan DNS server.

Tujuan dari DMZ adalah untuk menjaga server publik terpisah dari LAN supaya aman jika pada suatu saat server public diserang dari luar. Hal ini dikarenakan tidak ada firewall yang menjamin keamanan jaringan 100 %aman. Dalam menjaga LAN, firewall menolak traffic dari DMZ untuk ditujukan ke LAN, sama halnya dari WAN ke LAN. Pada saat Web Server diserang, LAN masih diproteksi dan penyusup harus menembus firewall untuk bisa masuk ke LAN. Konsep dari DMZ adalah misalnya jika seorang pengguna server FTP pada jaringan publik, maka cracker dapat melakukan cracking pada server FTP dengan memanfaatkan layanan Network Interconnection System (NIS), dan Network File System (NFS). Sehingga cracker tersebut dapat mengakses seluruh sumber daya jaringan, atau jika tidak, akses jaringan dapat dilakukan dengan sedikit upaya, yaitu dengan menangkap paket yang beredar di jaringan, atau dengan metoda yang lain. Namun dengan menggunakan lokasi server FTP yang berbeda, maka cracker hanya dapat mengakses DMZ tanpa mempengaruhisumber daya jaringan yang lain. Selain itu dengan melakukan pemotongan jalur komunikasi pada jaringan internal, trojan dan sejenisnya tidak dapat lagi memasuki jaringan.

Secara umum DMZ dibangun berdasarkan tiga buah konsep, yaitu: NAT (Network Address Translation), PAT (Port Addressable Translation), dan Access List. NAT berfungsi untuk menunjukkan kembali paket-paket yang datang dari “real address” ke alamat internal. Misal : jika kita memiliki IP publik 202.9.12.2, kita dapat membentuk suatu NAT langsung secara otomatis pada data-data yang datang ke jaringan privat yaitu 192.168.1.4. Kemudian PAT akan mengarahkan data yang masuk melalui port, sekumpulan port dan protokol, serta alamat IP pada port atau sekumpulan port. Sehingga dapat dilakukan kendali ketat pada setiap data yang mengalir dari dan ke jaringan. Sedangkan access list berfungsi untuk mengontrol secara tepat apa yang datang dan keluar dari jaringan. Misalnya, Administrator dapat menolak atau memperbolehkan semua paket ICMP yang datang ke seluruh alamat IP kecuali untuk sebuah paket ICMP yang tidak diinginkan.

Manfaat DMZ
  1. Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan server proxy untuk akses internet.
  2. Mengurangi persyaratan akses bandwidth internet karena beberapa konten web dapat di-cache oleh server proxy.
  3. Menyederhanakan pencatatan dan monitoring kegiatan pengguna. terpusat konten web filtering.

Sebuah reverse proxy server seperti server proxy, adalah perantara, tapi digunakan sebaliknya. Alih-alih menyediakan layanan untuk pengguna internal yang ingin mengakses jaringan eksternal, ia menyediakan akses langsung untuk jaringan eksternal (biasanya Internet) ke sumber daya internal. Misalnya, kembali akses aplikasi office, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan) tetapi remote user tidak akan memiliki akses langsung ke server email mereka. Hanya server proxy reverse fisik dapat mengakses server email internal. Ini adalah lapisan keamanan tambahan, yang sangat dianjurkan ketika sumber daya internal perlu diakses dari luar. Biasanya seperti mekanisme reverse proxy disediakan dengan menggunakan firewall lapisan aplikasi karena mereka fokus pada bentuk tertentu dari lalu lintas daripada mengendalikan akses ke spesifik TCP dan port UDP sebagai firewall packet filter tidak.


Komentar

Posting Komentar

Postingan populer dari blog ini

Troubleshooting pada Layer 2 (Data Link Layer)

Firewall