DMZ (computing)

Dalam keamanan komputer , DMZ atau Demilitarized Zone (kadang-kadang disebut sebagai jaringan perimeter) adalah fisik atau logis subnetwork yang berisi dan mengekspos layanan eksternal menghadap organisasi untuk jaringan yang lebih besar dan dipercaya, biasanya Internet. Tujuan dari DMZ adalah menambahkan lapisan tambahan keamanan untuk organisasi jaringan area lokal (LAN); seorang penyerang eksternal hanya memiliki akses langsung ke peralatan di DMZ, daripada bagian lain dari jaringan. Nama ini berasal dari istilah " zona demiliterisasi ", sebuah daerah antara negara-negara bangsa di mana operasi militer tidak diizinkan.










Dalam arti militer, DMZ ini tidak dilihat sebagai milik salah satu pihak yang berbatasan itu. Konsep ini berlaku untuk penggunaan komputasi dari metafora dalam DMZ yang, misalnya, bertindak sebagai gateway ke Internet umum, bukanlah aman seperti jaringan internal, maupun sebagai tidak aman sebagai Internet publik.

Dalam hal ini, host paling rentan terhadap serangan adalah mereka yang memberikan layanan kepada pengguna di luar jaringan area lokal , seperti e-mail , web dan Domain Name System (DNS) server. Karena peningkatan potensi host ini menderita serangan, mereka ditempatkan ke dalam sub-jaringan tertentu ini untuk melindungi sisa jaringan jika penyusup adalah untuk berhasil kompromi salah satu dari mereka.

Host di DMZ diizinkan untuk hanya memiliki konektivitas terbatas untuk host tertentu dalam jaringan internal, sebagai isi dari DMZ tidak aman seperti jaringan internal. Demikian pula komunikasi antara host di DMZ dan ke jaringan eksternal juga dibatasi, untuk membuat DMZ lebih aman dari Internet, dan cocok untuk perumahan layanan ini tujuan khusus. Hal ini memungkinkan host dalam DMZ untuk berkomunikasi dengan baik jaringan internal dan eksternal, sedangkan firewall campur tangan mengendalikan lalu lintas antara server DMZ dan klien jaringan internal, dan firewall lain akan melakukan beberapa tingkat kontrol untuk melindungi DMZ dari jaringan eksternal .

Sebuah konfigurasi DMZ menyediakan keamanan dari serangan eksternal, tetapi biasanya tidak memiliki bantalan pada serangan internal seperti mengendus komunikasi melalui analisa paket atau spoofing seperti e-mail spoofing .

Ini juga kebiasaan yang kadang-kadang baik untuk mengkonfigurasi terpisah Baris Militarized Zone (CMZ), zona militer yang sangat dipantau terdiri sebagian besar dari server web (dan server serupa yang antarmuka dengan dunia luar yaitu internet) yang tidak di DMZ tapi berisi informasi sensitif tentang mengakses server dalam LAN (seperti server database). Dalam arsitektur tersebut, DMZ biasanya memiliki firewall aplikasi dan FTP sementara CMZ host server web. (The server database bisa di CMZ atau di LAN atau VLAN yang terpisah sama sekali.)



Setiap layanan yang sedang diberikan kepada pengguna di jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah:

• Web server
   
• Mail server
   
• Server FTP
   
• VoIP server

Web server yang berkomunikasi dengan database internal memerlukan akses ke database server , yang mungkin tidak dapat diakses publik dan mungkin berisi informasi sensitif. Server web dapat berkomunikasi dengan server database baik secara langsung atau melalui aplikasi firewall untuk alasan keamanan.

E-mail pesan dan khususnya database pengguna bersifat rahasia, sehingga mereka biasanya disimpan di server yang tidak dapat diakses dari Internet (setidaknya tidak dengan cara yang tidak aman), tetapi dapat diakses dari server email yang terhubung ke Internet.

Mail server dalam DMZ melewati surat masuk ke aman internal / server mail. Hal ini juga menangani surat keluar.

Untuk keamanan, sesuai dengan standar hukum seperti HIPAA , dan alasan pemantauan, dalam lingkungan bisnis, beberapa perusahaan menginstal server proxy dalam DMZ. Ini memiliki manfaat sebagai berikut:
Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan proxy server untuk akses Internet.
Mengurangi kebutuhan bandwidth akses internet karena beberapa konten web dapat di-cache oleh server proxy.
Menyederhanakan pencatatan dan monitoring kegiatan pengguna.
Sentralisasi penyaringan konten web.

Sebuah reverse proxy server seperti server proxy, adalah perantara, tapi digunakan sebaliknya. Alih-alih menyediakan layanan kepada pengguna internal ingin mengakses jaringan eksternal, ia menyediakan akses langsung untuk jaringan eksternal (biasanya Internet) ke sumber daya internal. Misalnya, akses aplikasi back office, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan) tetapi remote user tidak akan memiliki akses langsung ke server email mereka. Hanya reverse proxy server secara fisik dapat mengakses server email internal. Ini adalah lapisan tambahan keamanan, yang sangat dianjurkan ketika sumber daya internal perlu diakses dari luar. Biasanya seperti mekanisme proxy reverse disediakan dengan menggunakan firewall lapisan aplikasi karena mereka fokus pada bentuk tertentu lalu lintas daripada mengontrol akses ke spesifik TCP dan port UDP sebagai firewall packet filter tidak.