Sejauh yang saya mengerti, dengan menggunakan DMZ Anda mengekspos semua port komputer host ke Internet. Apa gunanya itu?
Sejauh yang saya mengerti, dengan menggunakan DMZ Anda mengekspos semua port komputer host ke Internet. Apa gunanya itu?
Jawaban:
DMZ baik jika Anda ingin menjalankan server rumah yang dapat diakses dari luar jaringan rumah Anda (mis. Server web, ssh, vnc atau protokol akses jarak jauh lainnya). Biasanya Anda ingin menjalankan firewall pada mesin server untuk memastikan hanya port yang diinginkan secara khusus yang diizinkan mengakses dari komputer publik.
Alternatif untuk menggunakan DMZ adalah mengatur port forwarding. Dengan penerusan port, Anda hanya dapat mengizinkan port tertentu melalui router Anda dan Anda juga dapat menentukan beberapa port untuk pergi ke mesin yang berbeda jika Anda memiliki beberapa server yang berjalan di belakang router Anda.
Tolong hati-hati. DMZ di lingkungan perusahaan / profesional (dengan firewall kelas atas) tidak sama dengan router nirkabel di rumah (atau router NAT lainnya untuk digunakan di rumah). Anda mungkin harus menggunakan router NAT kedua untuk mendapatkan keamanan yang diharapkan (lihat artikel di bawah).
Dalam episode 3 dari Keamanan Sekarang podcast oleh Leo Laporte dan guru keamanan Steve Gibson subjek ini berbicara tentang. Dalam transkrip lihat di dekat "masalah yang sangat menarik karena itulah yang disebut" DMZ, "Zona Demiliterisasi, seperti yang disebut pada router.".
Dari Steve Gibson, http://www.grc.com/nat/nat.htm :
"Seperti yang Anda bayangkan, mesin" DMZ "router, dan bahkan mesin" port forwarded "perlu memiliki keamanan yang substansial atau akan merayap dengan jamur internet dalam waktu singkat. Itu masalah besar dari sudut pandang keamanan. Mengapa? .. router NAT memiliki switch Ethernet standar yang menghubungkan SEMUA port sisi LAN-nya. Tidak ada yang "terpisah" tentang port yang menampung mesin "DMZ" khusus. Ini ada di LAN internal! Ini berarti bahwa apa pun yang mungkin merangkak ke dalamnya melalui port router yang diteruskan, atau karena itu adalah host DMZ, memiliki akses ke setiap mesin lain di LAN pribadi internal. (Itu benar-benar buruk.) "
Dalam artikel tersebut ada juga solusi untuk masalah ini yang melibatkan menggunakan router NAT kedua. Ada beberapa diagram yang sangat bagus untuk menggambarkan masalah dan solusinya.
block all traffic from #4 to #1,#2,#3yang tidak mungkin dengan switch L2.
Sebuah DMZ atau "de-militer zona" adalah di mana Anda dapat mengatur server atau perangkat lain yang perlu diakses dari luar jaringan Anda.
Apa yang ada di sana? Server web, server proxy, server email, dll.
Dalam sebuah jaringan, host yang paling rentan terhadap serangan adalah mereka yang memberikan layanan kepada pengguna di luar LAN, seperti email, web, dan server DNS. Karena meningkatnya potensi host ini dikompromikan, mereka ditempatkan ke dalam subnetwork mereka sendiri untuk melindungi seluruh jaringan jika penyusup ingin berhasil. Host di DMZ memiliki konektivitas terbatas ke host tertentu di jaringan internal, meskipun komunikasi dengan host lain di DMZ dan ke jaringan eksternal diperbolehkan. Ini memungkinkan penghuni di DMZ untuk menyediakan layanan ke jaringan internal dan eksternal, sementara firewall yang mengintervensi mengontrol lalu lintas antara server DMZ dan klien jaringan internal.
Dalam jaringan komputer, DMZ (zona demiliterisasi), juga kadang-kadang dikenal sebagai jaringan perimeter atau subnetwork yang disaring, adalah subnet fisik atau logis yang memisahkan jaringan area lokal internal (LAN) dari jaringan tidak dipercaya lainnya, biasanya internet. Server, sumber daya, dan layanan yang menghadap eksternal terletak di DMZ. Jadi, mereka dapat diakses dari internet, tetapi sisa LAN internal tetap tidak terjangkau. Ini memberikan lapisan keamanan tambahan ke LAN karena membatasi kemampuan peretas untuk secara langsung mengakses server dan data internal melalui internet.