De-Militarised Zone(DMZ) merupakan mekanisme untuk melindungi
sistem internal dari serangan hacker atau pihak-pihak lain yang ingin memasuki
sistem tanpa mempunyai hak akses. Sehingga karena DMZ dapat diakses oleh
pengguna yang tidak mempunyai hak, maka DMZ tidak mengandung rule. .Secara
esensial, DMZ melakukan perpindahan semua layanan suatu jaringan ke jaringan
lain yang berbeda. DMZ terdiri dari semua port terbuka, yang dapat dilihat oleh
pihak luar. Sehingga jika hacker menyerang dan melakukan cracking pada server
yang mempunyai DMZ, maka hacker tersebut hanya dapat mengakses host yang berada
pada DMZ, tidak pada jaringan internal. Misalnya jika seorang pengguna
bekerja di atas server FTP pada jaringan terbuka untuk melakukan akses publik
seperti akses internet, maka hacker dapat melakukan cracking pada server FTP
dengan memanfaatkan layanan Network Interconnection System (NIS), dan
Network File System (NFS). Sehingga hacker tersebut dapat mengakses seluruh
sumber daya jaringan, atau jika tidak, akses jaringan dapat dilakukan dengan
sedikit upaya, yaitu dengan menangkap paket yang beredar di jaringan, atau
dengan metoda yang lain. Namun dengan menggunakan lokasi server FTP yang
berbeda, maka hacker hanya dapat mengakses DMZ tanpa mempengaruhi sumber daya
jaringan yang lain. Selain itu dengan melakukan pemotongan jalur komunikasi
pada jaringan internal, trojan dan sejenisnya tidak dapat lagi memasuki jaringan.Makalah
ini akan membahas bagaimana memberi hak pada pengguna baik internal maupun
eksternal, pada semua layanan jaringan yang diperlukan.
DMZ adalah suatu area bagi hackers yang digunakan untuk
melindungi system internal yang berhubungan dengan serangan hacker (hack
attack). DMZ bekerja pada seluruh dasar pelayanan jaringan yang membutuhkan
akses terhadap jaringan “ Internet atau dunia luar” ke bagian jaringan yang
lainnya. Dengan begitu, seluruh “open port” yang berhubungan dengan dunia luar
akan berada pada jaringan, sehingga jika seorang hacker melakukan serangan dan
melakukan crack pada server yang menggunakan sistem DMZ, hacker tersebut hanya
akan dapat mengakses hostnya saja, tidak pada jaringan internal. Secara umum
DMZ dibangun berdasarkan tiga buah konsep, yaitu: NAT (Network Address
Translation), PAT (Port Addressable Translation), dan Access List. NAT
berfungsi untuk menunjukkan kembali paket-paket yang datang dari “real address”
ke alamat internal. Misal : jika kita memiliki “real address” 202.8.90.100,
kita dapat membentuk suatu NAT langsung secara otomatis pada data-data yang
datang ke 192.168.100.4 (sebuah alamat jaringan internal). Kemudian PAT
berfungsi untuk menunjukan data yang datang pada particular port, atau range
sebuah port dan protocol (TCP/UDP atau lainnya) dan alamat IP ke sebuah
particular port atau range sebuah port ke sebuah alamat internal IP. Sedangkan
access list berfungsi untuk mengontrol secara tepat apa yang datang dan keluar
dari jaringan dalam suatu pertanyaan. Misal : kita dapat menolak atau
memperbolehkan semua ICMP yang datang ke seluruh alamat IP kecuali untuk sebuah
ICMP yang tidak diinginkan.
Network Address Translation(NAT) berfungsi untuk mengarahkan
alamat riil, seperti alamat internet, ke bentuk alamat internal. Misalnya
alamat riil 202.8.90.100 dapat diarahkan ke bentuk alamat jaringan internal
192.168.0.1 secara otomatis dengan menggunakan NAT. Namun jika semua informasi
secara otomatis ditranslasi ke bentuk alamat internal, maka tidak ada lagi
kendali terhadap informasi yang masuk. Oleh karena itu maka muncullah
PAT.
Port Address Translation(PAT) berfungsi untuk mengarahkan data
yang masuk melalui port, sekumpulan port dan protokol, serta alamat IP pada
port atau sekumpulan post. Sehingga dapat dilakukan kendali ketat pada setiap
data yang mengalir dari dan ke jaringan.
Daftar Akses melakukan layanan pada pengguna agar dapat
mengendalikan data jaringan. Daftar Akses dapat menolak atau menerima akses
dengan berdasar pada alamat IP, alamat IP tujuan, dan tipe protokol.
Kesimpulan
DMZ adalah suatu area bagi hackers yang digunakan untuk
melindungi system internal yang berhubungan dengan serangan hacker (hack
attack). DMZ bekerja pada seluruh dasar pelayanan jaringan yang membutuhkan
akses terhadap jaringan “ Internet atau dunia luar” ke bagian jaringan yang
lainnya. Dengan begitu, seluruh “open port” yang berhubungan dengan dunia luar
akan berada pada jaringan, sehingga jika seorang hacker melakukan serangan dan
melakukan crack pada server yang menggunakan sistem DMZ, hacker tersebut hanya
akan dapat mengakses hostnya saja, tidak pada jaringan internal. Secara umum
DMZ dibangun berdasarkan tiga buah konsep, yaitu: NAT (Network Address
Translation), PAT (Port Addressable Translation), dan Access List. NAT berfungsi
untuk menunjukkan kembali paket-paket yang datang dari “real address” ke alamat
internal. Misal : jika kita memiliki “real address” 202.8.90.100, kita dapat
membentuk suatu NAT langsung secara otomatis pada data-data yang datang ke
192.168.100.4 (sebuah alamat jaringan internal). Kemudian PAT berfungsi untuk
menunjukan data yang datang pada particular port, atau range sebuah port dan
protocol (TCP/UDP atau lainnya) dan alamat IP ke sebuah particular port atau
range sebuah port ke sebuah alamat internal IP. Sedangkan access list berfungsi
untuk mengontrol secara tepat apa yang datang dan keluar dari jaringan dalam
suatu pertanyaan. Misal : kita dapat menolak atau memperbolehkan semua ICMP
yang datang ke seluruh alamat IP kecuali untuk sebuah ICMP yang tidak
diinginkan.
Untuk mencapai suatu keamanan suatu jaringan komputer yang optimal
diperlukan suatu koordinasi antara pengguna dan Administrator serta
aturan/rule atau otorisasi dalam penggunaan jaringan tsb . Dilain pihak agar
diupayakan adanya update software secara berkala serta menyesuaikan
hardwarenya dengan perkembangan teknologi terbaru.
Referensi:
http://compnetworking.about.com/cs/networksecurity/g/bldef_dmz.htm
http://compnetworking.about.com/cs/networksecurity/g/bldef_dmz.htm
Intrusion Detection within a Secured Network, Secure System
Administrating Research, 1999
Marek, Building Secure Network with DMZ’s, 2002
Spitzner, Lance, A Passive Approach to Your Network Security, “The
Secrets of Snoop”
www.cert.org
www.cert.org
Zuliansyah, Mochammad, Teknik Pemrograman Network Interface
Card pada Protokol TCP/IP, ITB, 200
http://www.esaunggul.ac.id
No comments:
Post a Comment