Firewall DMZ –
memberikan suatu segmentasi jaringan jika anda perlu hosting public resources
seperti web server dengan aman
Pendahuluan
Untuk
menghubungkan jaringan private / business kita dengan jaringan public seperti
jaringan Internet, tentulah kita harus mengatur aliran traffic paket dengan
menggunakan perangkat Firewall yang diperkuat dengan policy keamanan.
Dengan firewall, semua traffic dipaksa melalui satu check point tunggal yang
terkosentrasi dimana semua traffic di kendalikan, di-authentikasi, di filter,
dan di log menurut policy yang diterapkan pada firewall tersebut. Dengan cara
ini, kita bisa mengurangi secara significant akan tetapi tidak menghilang kan
traffic yang tidak kita harapkan yang akan mencapai jaringan private kita.
Keamanan
public resources
Kemudian
bagaimana kalau kita akan meletakkan beberapa public resources (seperti server
web) yang memang disediakan untuk bisa diakses oleh user umum dari internet
dengan aman? Kita bisa menyediakan fasilitas web-server atau mail-server yang
bisa diakses oleh public tanpa harus membiarkan mereka bisa leluasa masuk atau
mengakses jaringan private corporate kita dengan jalan memberikan segmentasi
pada system firewall kita dengan suatu jaringan perimeter atau lebih dikenal
dengan Firewall dengan DMZ (Demilitarized Zones). Lihat juga firewall
external – standard.
Apa
itu DMZ
Firewall DMZ
(Demilitarized Zone) – atau jaringan perimeter adalah jaringan security
boundary yang terletak diantara suatu jaringan corporate / private LAN dan
jaringan public (Internet). Firewall DMZ ini harus dibuat jika anda perlu
membuat segmentasi jaringan untuk meletakkan server yang bisa diakses public
dengan aman tanpa harus bisa mengganggu keamanan system jaringan LAN di
jaringan private kita. Perimeter (DMZ) network didesign untuk melindungi server
pada jaringan LAN corporate dari serangan hackers dari Internet.
Gambar berikut
ini menunjukkan diagram dari firewall yang menggunakan dua jaringan DMZ.
Jika ada
kebutuhan untuk menggunakan jaringan segmentasi, anda bisa menerapkan beberapa
jaringan DMZ dengan kebijakan tingkat keamanan yang berbeda. Seperti terlihat
pada diagram diatas, anda membangun aplikasi untuk keperluan extranets,
intranet, dan web-server hosting dan juga gateway untuk keperluan remote akses.
Perhatikan
diagram DMZ diatas, traffic user dari internet hanya dapat mengakses web-server
yang diletakkan pada jaringan DMZ2. Mereka tidak bisa mengakses server SQL yang
diletakkan pada jaringan DMZ1. Akan tetapi kedua server baik web-server (yang
ada di DMZ2) dan SQL-server (yang ada di DMZ1) mempunyao alses untuk bisa
saling berkomunikasi. User dari internet tidak boleh mengakses SQL sever maupun
mengakses jaringan internal / private kita. Maka anda harus menerapkan
kebijakan keamanan pada firewall yang memenuhi kebutuhan tersebut.
Implementasi
Firewall DMZ
dapat diimplementasikan tepat pada border corporate LAN yang lazim mempunyai
tiga jaringan interface:
- Interface Internet: interface ini berhubungan langsung dengan Internet dan IP addressnyapun juga IP public yang terregister.
- Interface Private atau Interface intranet: adalah interface yang terhubung langsung dengan jaringan corporate LAN dimana anda meletakkan server-server yang rentan terhadap serangan.
- Jarinagn DMZ: Interface DMZ ini berada didalam jaringan Internet yang sama sehingga bisa diakses oleh user dari Internet. Resources public yang umumnya berada pada firewall DMZ adalah web-server, proxy dan mail-server.
Wireless
Router dengan Fitur DMZ
Ada banyak
wireless router yang biasa dipakai untuk jaringan rumahan atau kantoran kecil yang
dilengkapi dengan fitur DMZ seperti WRT610N dari Linksys. Wireless router yang
dilengkapi dengan fitur DMZ ini memungkinkan anda untuk meletakkan satu
computer yang bisa diexpose ke Internet dengan tujuan tertentu seperti untuk
online gaming atau video-conference. DMZ hosting ini meneruskan semua ports
pada saat yang bersamaan kepada satu PC. Fitur forward port ini lebih aman
sebab dia hanya membuka port-port yang ingin anda buka saja, sementara hosting
DMZ membuka semua port dari satu komputer, mengexpose komputer kepada internet.
Misal pada
WRT610N Linksys anda bisa mengkonfigure satu PC atau game console untuk
keperluan Online gaming, sehingga terpisah dari
jaringan komputer private anda. Anda bisa mengakses utilitas
Web-based dari WRT610 ini dan masuk ke menu Application > DMZ untuk bisa
meng-enable fitur DMZ ini. Enable dulu fitur DMZ ini dan kemudian lakukan
konfigurasi nya. Pilih IP address atau masukkan IP address tertentu secara
manual dari komputer yang ada di internet yang dibolehkan masuk mengakses PC
yang ada pada jaringan. Anda juga perlu memasukkan IP address atau MAC address
dari PC / Game console yang anda ingin diexpose di Internet dan bisa diakases
dari Internet.
Sumber : www.sysneta.com
No comments:
Post a Comment