rumah > iOS > Contoh pengaturan port dmz. Apa itu DMZ dan bagaimana cara mengkonfigurasinya di router. Video tentang pengaturan Host DMZ di router


Contoh pengaturan port dmz. Apa itu DMZ dan bagaimana cara mengkonfigurasinya di router. Video tentang pengaturan Host DMZ di router





Kivshenko Alexei, 1880

Artikel ini berisi ikhtisar lima pilihan untuk memecahkan masalah pengorganisasian akses ke layanan jaringan perusahaan dari Internet. Tinjauan ini memberikan analisis opsi untuk keselamatan dan kelayakan, yang akan membantu spesialis pemula dan berpengalaman memahami esensi masalah, menyegarkan dan mensistematisasikan pengetahuan mereka. Materi dalam artikel dapat digunakan untuk membenarkan keputusan desain Anda.

Saat mempertimbangkan opsi, mari kita ambil contoh jaringan tempat Anda ingin mempublikasikan:

  1. Server surat perusahaan (Web-mail).
  2. Server terminal perusahaan (RDP).
  3. Layanan ekstranet untuk rekanan (Web-API).

Opsi 1: Jaringan datar

Dalam opsi ini, semua node jaringan perusahaan berada dalam satu jaringan yang umum untuk semua (“Jaringan Internal”), di mana komunikasi di antara mereka tidak dibatasi. Jaringan terhubung ke Internet melalui router/firewall perbatasan (selanjutnya disebut JIKA).

Host mengakses Internet melalui NAT, dan akses ke layanan dari Internet melalui Port forwarding.

Kelebihan dari opsi ini:

  1. Persyaratan fungsionalitas minimum JIKA(dapat dilakukan di hampir semua router, bahkan router rumah).
  2. Persyaratan pengetahuan minimum untuk spesialis yang menerapkan opsi.
Kerugian dari opsi ini:
  1. Tingkat keamanan minimal. Jika terjadi peretasan di mana Penyusup memperoleh kendali atas salah satu server yang dipublikasikan di Internet, semua node dan saluran komunikasi jaringan perusahaan lainnya tersedia baginya untuk serangan lebih lanjut.
Analogi dengan kehidupan nyata
Jaringan seperti itu dapat diibaratkan sebuah perusahaan dimana staf dan klien berada dalam satu ruang bersama (ruang terbuka).


hrmaksimum.ru

Pilihan 2. DMZ

Untuk menghilangkan kelemahan yang disebutkan sebelumnya, node jaringan yang dapat diakses dari Internet ditempatkan di segmen yang dirancang khusus - zona demiliterisasi (DMZ). DMZ diatur menggunakan firewall yang memisahkannya dari Internet ( JIKA) dan dari jaringan internal ( DFW).


Dalam hal ini, aturan pemfilteran firewall terlihat seperti ini:
  1. Dari jaringan internal Anda dapat memulai koneksi ke DMZ dan ke WAN (Wide Area Network).
  2. Dari DMZ Anda dapat memulai koneksi ke WAN.
  3. Dari WAN Anda dapat memulai koneksi ke DMZ.
  4. Memulai koneksi dari WAN dan DMZ ke jaringan internal dilarang.


Keuntungan dari opsi ini:
  1. Peningkatan keamanan jaringan terhadap peretasan layanan individual. Bahkan jika salah satu server diretas, Penyusup tidak akan dapat mengakses sumber daya yang terletak di jaringan internal (misalnya, printer jaringan, sistem pengawasan video, dll.).
Kerugian dari opsi ini:
  1. Memindahkan server ke DMZ saja tidak meningkatkan keamanannya.
  2. Firewall tambahan diperlukan untuk memisahkan DMZ dari jaringan internal.
Analogi dengan kehidupan nyata
Versi arsitektur jaringan ini mirip dengan pengorganisasian area kerja dan klien di sebuah perusahaan, di mana klien hanya dapat berada di area klien, dan staf dapat berada di area klien dan kerja. Segmen DMZ justru merupakan analogi dari zona klien.


autobam.ru

Opsi 3. Membagi layanan menjadi Front-End dan Back-End

Seperti disebutkan sebelumnya, menempatkan server di DMZ sama sekali tidak meningkatkan keamanan layanan itu sendiri. Salah satu opsi untuk memperbaiki situasi ini adalah dengan membagi fungsionalitas layanan menjadi dua bagian: Front-End dan Back-End. Selain itu, setiap bagian terletak di server terpisah, di mana interaksi jaringan diatur. Server Front-End, yang mengimplementasikan fungsionalitas interaksi dengan klien yang berlokasi di Internet, ditempatkan di DMZ, dan server Back-End, yang mengimplementasikan fungsionalitas lainnya, dibiarkan di jaringan internal. Untuk interaksi di antara mereka aktif DFW buat aturan yang memungkinkan inisiasi koneksi dari Front-End ke Back-End.

Sebagai contoh, pertimbangkan layanan email perusahaan yang melayani klien baik dari dalam jaringan maupun dari Internet. Klien dari dalam menggunakan POP3/SMTP, dan klien dari Internet bekerja melalui antarmuka Web. Biasanya, pada tahap implementasi, perusahaan memilih metode paling sederhana dalam menerapkan layanan dan menempatkan semua komponennya di satu server. Kemudian, ketika kebutuhan untuk memastikan keamanan informasi terwujud, fungsionalitas layanan dibagi menjadi beberapa bagian, dan bagian yang bertanggung jawab untuk melayani klien dari Internet (Front-End) dipindahkan ke server terpisah, yang berinteraksi melalui jaringan dengan server yang mengimplementasikan fungsionalitas yang tersisa (Back -End). Dalam hal ini, Front-End ditempatkan di DMZ, dan Back-End tetap berada di segmen internal. Untuk komunikasi antara Front-End dan Back-End aktif DFW buat aturan yang memungkinkan inisiasi koneksi dari Front-End ke Back-End.

Keuntungan dari opsi ini:

  1. Secara umum, serangan yang ditujukan terhadap layanan yang dilindungi dapat “tersandung” di Front-End, yang akan menetralisir atau secara signifikan mengurangi kemungkinan kerusakan. Misalnya, serangan seperti TCP SYN Flood atau pembacaan http lambat yang ditujukan pada suatu layanan akan mengakibatkan server Front-End menjadi tidak tersedia, sedangkan Back-End akan terus berfungsi normal dan melayani pengguna.
  2. Secara umum, server Back-End mungkin tidak memiliki akses ke Internet, yang jika diretas (misalnya, dengan menjalankan kode berbahaya secara lokal), akan menyulitkan pengelolaannya dari jarak jauh dari Internet.
  3. Front-End sangat cocok untuk menghosting firewall tingkat aplikasi (misalnya, firewall aplikasi Web) atau sistem pencegahan intrusi (IPS, misalnya snort).
Kerugian dari opsi ini:
  1. Untuk komunikasi antara Front-End dan Back-End aktif DFW aturan dibuat yang memungkinkan inisiasi koneksi dari DMZ ke jaringan internal, yang menciptakan ancaman terkait dengan penggunaan aturan ini dari node lain di DMZ (misalnya, melalui penerapan serangan spoofing IP, keracunan ARP, dll.)
  2. Tidak semua layanan dapat dibagi menjadi Front-End dan Back-End.
  3. Perusahaan harus menerapkan proses bisnis untuk memperbarui aturan firewall.
  4. Perusahaan harus menerapkan mekanisme untuk melindungi terhadap serangan dari Penyusup yang telah memperoleh akses ke server di DMZ.
Catatan
  1. Dalam kehidupan nyata, bahkan tanpa membagi server menjadi Front-End dan Back-End, server dari DMZ sering kali perlu mengakses server yang terletak di jaringan internal, sehingga kelemahan yang ditunjukkan dari opsi ini juga berlaku untuk opsi yang dipertimbangkan sebelumnya.
  2. Jika kita mempertimbangkan perlindungan aplikasi yang berjalan melalui antarmuka Web, bahkan jika server tidak mendukung pemisahan fungsi menjadi Front-End dan Back-End, penggunaan server proxy terbalik http (misalnya, nginx) sebagai a Front-End akan meminimalkan risiko yang terkait dengan serangan penolakan layanan. Misalnya, serangan banjir SYN dapat membuat http reverse proxy tidak tersedia sementara Back-End terus bekerja.
Analogi dengan kehidupan nyata
Opsi ini pada dasarnya mirip dengan organisasi kerja, di mana asisten - sekretaris - digunakan untuk pekerja dengan beban tinggi. Kemudian Back-End akan dianalogikan dengan pegawai yang sibuk, dan Front-End akan dianalogikan dengan seorang sekretaris.


juta.kz

Opsi 4: Amankan DMZ

DMZ adalah bagian dari jaringan yang dapat diakses dari Internet, dan sebagai akibatnya, memiliki risiko maksimum untuk dikompromikan oleh host. Desain DMZ dan pendekatan yang digunakan di dalamnya harus memberikan kemampuan bertahan hidup maksimum dalam kondisi di mana Penyusup telah menguasai salah satu node di DMZ. Sebagai kemungkinan serangan, mari kita pertimbangkan serangan yang rentan terhadap hampir semua sistem informasi yang beroperasi dengan pengaturan default:

Perlindungan terhadap serangan DHCP

Meskipun DHCP dimaksudkan untuk mengotomatisasi konfigurasi alamat IP untuk workstation, di beberapa perusahaan ada kasus ketika alamat IP untuk server dikeluarkan melalui DHCP, tetapi ini adalah praktik yang agak buruk. Oleh karena itu, untuk melindungi dari Rogue DHCP Server, kelaparan DHCP, disarankan untuk menonaktifkan DHCP sepenuhnya di DMZ.

Perlindungan terhadap serangan banjir MAC

Untuk melindungi terhadap banjir MAC, port switch dikonfigurasikan untuk membatasi intensitas maksimum lalu lintas siaran (karena serangan ini biasanya menghasilkan lalu lintas siaran). Serangan yang melibatkan penggunaan alamat jaringan tertentu (unicast) akan diblokir oleh pemfilteran MAC, yang telah kita bahas sebelumnya.

Perlindungan terhadap serangan banjir UDP

Perlindungan terhadap serangan jenis ini mirip dengan perlindungan terhadap banjir MAC, hanya saja pemfilteran dilakukan pada tingkat IP (L3).

Perlindungan terhadap serangan banjir TCP SYN

Untuk melindungi dari serangan ini, opsi berikut dapat dilakukan:
  1. Perlindungan pada node jaringan menggunakan teknologi TCP SYN Cookie.
  2. Perlindungan tingkat firewall (tunduk pada subnet DMZ) dengan membatasi intensitas lalu lintas yang berisi permintaan TCP SYN.

Perlindungan terhadap serangan terhadap layanan jaringan dan aplikasi Web

Tidak ada solusi universal untuk masalah ini, namun praktik yang sudah ada adalah menerapkan proses manajemen kerentanan perangkat lunak (identifikasi, instalasi patch, dll., misalnya), serta penggunaan sistem deteksi dan pencegahan intrusi (IDS/IPS).

Perlindungan terhadap serangan bypass otentikasi

Seperti kasus sebelumnya, tidak ada solusi universal untuk masalah ini.
Biasanya, jika sejumlah besar upaya otorisasi gagal, akun diblokir untuk menghindari tebakan data otentikasi (misalnya, kata sandi). Namun pendekatan ini cukup kontroversial, dan inilah alasannya.
Pertama, Penyusup dapat melakukan pemilihan informasi otentikasi dengan intensitas yang tidak mengarah pada pemblokiran akun (ada kasus ketika kata sandi dipilih selama beberapa bulan dengan interval antara upaya beberapa puluh menit).
Kedua, fitur ini dapat digunakan untuk serangan penolakan layanan, di mana penyerang dengan sengaja melakukan upaya otorisasi dalam jumlah besar untuk memblokir akun.
Pilihan paling efektif terhadap serangan kelas ini adalah penggunaan sistem IDS/IPS, yang, ketika mendeteksi upaya menebak kata sandi, tidak akan memblokir akun, tetapi sumber dari mana tebakan ini terjadi (misalnya, memblokir alamat IP dari Penyusup).

Daftar terakhir tindakan perlindungan untuk opsi ini:

  1. DMZ dibagi menjadi subnet IP dengan subnet terpisah untuk setiap node.
  2. Alamat IP diberikan secara manual oleh administrator. DHCP tidak digunakan.
  3. Pada antarmuka jaringan tempat node DMZ terhubung, pemfilteran MAC dan IP, pembatasan intensitas lalu lintas siaran dan lalu lintas yang berisi permintaan TCP SYN diaktifkan.
  4. Negosiasi otomatis jenis port dinonaktifkan pada switch dan penggunaan VLAN asli dilarang.
  5. Cookie TCP SYN dikonfigurasi pada node DMZ dan server jaringan internal yang terhubung dengan node ini.
  6. Manajemen kerentanan perangkat lunak diterapkan untuk node DMZ (dan sebaiknya seluruh jaringan).
  7. Sistem deteksi dan pencegahan intrusi IDS/IPS sedang diterapkan di segmen DMZ.
Keuntungan dari opsi ini:
  1. Tingkat keamanan yang tinggi.
Kerugian dari opsi ini:
  1. Peningkatan persyaratan untuk fungsionalitas peralatan.
  2. Biaya tenaga kerja untuk implementasi dan dukungan.
Analogi dengan kehidupan nyata
Jika sebelumnya kita membandingkan DMZ dengan area klien yang dilengkapi sofa dan sandaran, maka DMZ yang aman akan lebih mirip mesin kasir lapis baja.


valmax.com.ua

Opsi 5. Sambungkan kembali

Langkah-langkah perlindungan yang dipertimbangkan dalam versi sebelumnya didasarkan pada fakta bahwa ada perangkat di jaringan (switch/router/firewall) yang mampu mengimplementasikannya. Namun dalam praktiknya, misalnya, saat menggunakan infrastruktur virtual (switch virtual seringkali memiliki kemampuan yang sangat terbatas), perangkat seperti itu mungkin tidak ada.

Dalam kondisi ini, banyak serangan yang telah dibahas sebelumnya menjadi tersedia bagi Pelanggar, yang paling berbahaya adalah:

  • serangan yang memungkinkan Anda mencegat dan mengubah lalu lintas (Keracunan ARP, overflow tabel CAM + pembajakan sesi TCP, dll.);
  • serangan yang terkait dengan eksploitasi kerentanan di server jaringan internal tempat koneksi dapat dimulai dari DMZ (yang dimungkinkan dengan melewati aturan pemfilteran DFW karena spoofing IP dan MAC).
Fitur penting berikutnya, yang belum pernah kami pertimbangkan sebelumnya, namun tetap menjadi kurang penting, adalah bahwa stasiun kerja otomatis (AWS) pengguna juga dapat menjadi sumber (misalnya, ketika terinfeksi virus atau Trojan) dari efek berbahaya. di server.

Oleh karena itu, kita dihadapkan pada tugas untuk melindungi server jaringan internal dari serangan Penyusup baik dari DMZ maupun dari jaringan internal (infeksi workstation dengan Trojan dapat diartikan sebagai tindakan Penyusup dari jaringan internal ).

Pendekatan yang diusulkan di bawah ini bertujuan untuk mengurangi jumlah saluran yang dapat digunakan oleh Penyusup untuk menyerang server, dan setidaknya ada dua saluran tersebut. Yang pertama adalah aturan tentang DFW, memungkinkan akses ke server jaringan internal dari DMZ (meskipun dibatasi oleh alamat IP), dan yang kedua adalah port jaringan terbuka di server tempat permintaan koneksi diharapkan.

Anda dapat menutup saluran ini jika server jaringan internal sendiri yang membuat koneksi ke server di DMZ dan melakukannya menggunakan protokol jaringan yang aman secara kriptografis. Maka tidak akan ada pelabuhan terbuka atau aturan DFW.

Namun masalahnya adalah layanan server biasa tidak tahu cara bekerja dengan cara ini, dan untuk menerapkan pendekatan ini perlu menggunakan terowongan jaringan, yang diimplementasikan, misalnya, menggunakan SSH atau VPN, dan di dalam terowongan, izinkan koneksi dari server. di DMZ ke server jaringan internal.

Skema umum pengoperasian opsi ini adalah sebagai berikut:

  1. Server SSH/VPN diinstal pada server di DMZ, dan klien SSH/VPN diinstal pada server di jaringan internal.
  2. Server jaringan internal memulai pembangunan terowongan jaringan ke server di DMZ. Terowongan ini dibangun dengan otentikasi timbal balik antara klien dan server.
  3. Server dari DMZ, di dalam terowongan yang dibangun, memulai koneksi ke server di jaringan internal, melalui mana data yang dilindungi dikirimkan.
  4. Firewall lokal dikonfigurasikan pada server jaringan internal untuk menyaring lalu lintas yang melewati terowongan.

Penggunaan opsi ini dalam praktiknya telah menunjukkan bahwa membangun terowongan jaringan menggunakan OpenVPN akan lebih mudah, karena ia memiliki properti penting berikut:

  • Lintas platform. Anda dapat mengatur komunikasi di server dengan sistem operasi berbeda.
  • Kemungkinan membangun terowongan dengan otentikasi timbal balik antara klien dan server.
  • Kemungkinan menggunakan kriptografi bersertifikat.
Sepintas, skema ini mungkin terlihat terlalu rumit dan karena Anda masih perlu memasang firewall lokal di server jaringan internal, akan lebih mudah untuk membuat server dari DMZ, seperti biasa, terhubung ke jaringan internal. server, tetapi melakukannya dengan koneksi terenkripsi. Memang, opsi ini akan menyelesaikan banyak masalah, tetapi tidak akan mampu memberikan hal utama - perlindungan terhadap serangan kerentanan server jaringan internal yang dilakukan dengan melewati firewall menggunakan spoofing IP dan MAC.

Keuntungan dari opsi ini:

  1. Pengurangan arsitektur jumlah vektor serangan pada server jaringan internal yang dilindungi.
  2. Memastikan keamanan dengan tidak adanya penyaringan lalu lintas jaringan.
  3. Melindungi data yang dikirimkan melalui jaringan dari tampilan dan modifikasi yang tidak sah.
  4. Kemampuan untuk secara selektif meningkatkan tingkat keamanan layanan.
  5. Kemampuan untuk menerapkan sistem proteksi dua sirkuit, di mana sirkuit pertama disediakan menggunakan firewall, dan sirkuit kedua diatur berdasarkan opsi ini.
Kerugian dari opsi ini:
  1. Penerapan dan pemeliharaan opsi perlindungan ini memerlukan biaya tenaga kerja tambahan.
  2. Ketidakcocokan dengan sistem deteksi dan pencegahan intrusi jaringan (IDS/IPS).
  3. Beban komputasi tambahan di server.
Analogi dengan kehidupan nyata
Arti utama dari opsi ini adalah bahwa orang yang dipercaya menjalin hubungan dengan orang yang tidak dipercaya, yang serupa dengan situasi ketika, ketika mengeluarkan pinjaman, Bank sendiri memanggil calon peminjam kembali untuk memeriksa datanya. Tambahkan tanda

Semakin sulit membayangkan perusahaan mana pun yang tidak memiliki jaringan lokal dan akses Internet. Teknologi umum yang membantu meningkatkan pekerjaan, menyediakan akses cepat ke informasi, pertukaran dokumen dan data. Ini di satu sisi. Di sisi lain, dengan meluasnya penggunaan Internet, terdapat kebutuhan untuk memecahkan masalah perlindungan informasi dan jaringan lokal secara keseluruhan. Masalah ini muncul terutama ketika perusahaan memiliki layanan Internet yang dapat diakses publik (server web dan ftp, layanan email, toko online), yang berlokasi di jaringan lokal umum.

Akses ke server tersebut paling sering diberikan secara gratis, yaitu, setiap pengguna dapat, tanpa otentikasi menggunakan login dan kata sandi, mendapatkan akses ke sumber daya yang dihosting di server web, ke bagian server ftp, server email akan menerima email dari server email serupa lainnya. Dan tidak ada jaminan bahwa kode berbahaya tidak akan berakhir di server bersama dengan email, dan di antara ratusan pengguna tidak akan ada seseorang yang, karena alasan apa pun, ingin mendapatkan akses tidak hanya ke layanan publik, tetapi juga ke layanan publik. jaringan lokal organisasi. Dan jika jaringan dibangun di atas konsentrator sederhana (hub), dan bukan di atas sakelar (switch), maka jaringan tersebut akan menghadapi bahaya besar.

Dengan meretas salah satu komputer, seorang peretas dapat memperoleh akses ke seluruh jaringan

Apa itu? Setelah memperoleh akses ke setidaknya satu komputer di jaringan lokal, seorang peretas dapat memperoleh kata sandi hingga kata sandi administrator, yang memungkinkan dia mendapatkan akses ke informasi apa pun yang beredar atau disimpan di jaringan, mengubah kata sandi akses sedemikian rupa sehingga database tidak akan dapat diakses, atau akan dihapus begitu saja dari layanan. Selain itu, setelah memperoleh akses ke server web, dapat digunakan untuk melakukan serangan DoS, yang dapat memblokir fungsionalitas semua sumber daya internal perusahaan.

Oleh karena itu, pendekatan untuk membangun sistem yang mencakup server publik harus berbeda dengan pendekatan untuk membangun sistem yang berbasis server internal. Hal ini ditentukan oleh risiko spesifik yang timbul karena ketersediaan server untuk publik. Solusinya adalah dengan memisahkan jaringan lokal dan server publik menjadi beberapa bagian yang terpisah. Tempat di mana layanan publik akan ditempatkan disebut “zona demiliterisasi” ( DMZ - Zona Demiliterisasi).

DMZ - zona perhatian khusus

Inti dari DMZ adalah tidak secara langsung termasuk dalam jaringan internal atau eksternal, dan akses ke DMZ hanya dapat dilakukan sesuai dengan aturan firewall yang telah ditentukan. Tidak ada pengguna di DMZ - hanya server yang berlokasi di sana. Zona demiliterisasi biasanya berfungsi untuk mencegah akses dari jaringan eksternal ke host-host di jaringan internal dengan cara memindahkan semua layanan yang memerlukan akses dari luar dari jaringan lokal ke zona khusus. Faktanya, zona ini akan menjadi subnet terpisah dengan alamat publik, dilindungi (atau dipisahkan) dari jaringan publik dan perusahaan oleh firewall.

Saat membuat zona seperti itu, administrator jaringan perusahaan menghadapi tugas tambahan. Penting untuk memastikan diferensiasi akses ke sumber daya dan server yang berlokasi di DMZ, untuk memastikan kerahasiaan informasi yang dikirimkan ketika pengguna bekerja dengan sumber daya ini, dan untuk memantau tindakan pengguna. Mengenai informasi yang mungkin ada di server, dapat dikatakan sebagai berikut. Mengingat layanan publik dapat diretas, informasi yang paling tidak penting harus ditempatkan di layanan tersebut, dan informasi berharga apa pun harus ditempatkan secara eksklusif di jaringan lokal, yang tidak dapat diakses dari server publik.

Di server yang berlokasi di DMZ, tidak boleh ada informasi apa pun tentang pengguna, klien perusahaan, atau informasi rahasia lainnya, tidak boleh ada kotak surat pribadi karyawan - semua ini harus “disembunyikan” dengan aman di bagian jaringan lokal yang dilindungi. Dan untuk informasi yang akan tersedia di server publik, perlu disediakan pengarsipan cadangan dengan frekuensi sesedikit mungkin. Selain itu, server email disarankan untuk menggunakan setidaknya model layanan dua server, dan server web harus terus memantau status informasi agar dapat mendeteksi dan menghilangkan konsekuensi peretasan secara tepat waktu.

Penggunaan firewall adalah wajib saat membuat DMZ

Firewall digunakan untuk melindungi penetrasi melalui zona demiliterisasi ke dalam jaringan perusahaan. Ada layar perangkat lunak dan perangkat keras. Program perangkat lunak memerlukan mesin yang menjalankan UNIX atau Windows NT/2000. Untuk memasang firewall perangkat keras, Anda hanya perlu menghubungkannya ke jaringan dan melakukan konfigurasi minimal. Biasanya, layar perangkat lunak digunakan untuk melindungi jaringan kecil di mana tidak perlu membuat banyak pengaturan terkait alokasi bandwidth yang fleksibel dan pembatasan lalu lintas berdasarkan protokol untuk pengguna. Jika jaringan besar dan diperlukan kinerja tinggi, penggunaan firewall perangkat keras akan lebih menguntungkan. Dalam banyak kasus, bukan hanya satu, tetapi dua firewall digunakan - satu melindungi zona demiliterisasi dari pengaruh eksternal, yang kedua memisahkannya dari bagian internal jaringan perusahaan.

Namun selain fakta bahwa memindahkan server publik ke zona demiliterisasi akan melindungi jaringan perusahaan sampai batas tertentu, perlu dipikirkan secara matang dan memastikan perlindungan untuk DMZ itu sendiri. Dalam hal ini, perlu untuk menyelesaikan masalah-masalah seperti:

  • perlindungan terhadap serangan terhadap server dan peralatan jaringan;
  • perlindungan server individu;
  • kontrol email dan konten lainnya;
  • audit tindakan pengguna.

Bagaimana permasalahan ini dapat diselesaikan? Dianjurkan untuk "membagi" server email, yang digunakan untuk korespondensi eksternal dan internal perusahaan, menjadi dua komponen - komponen publik, yang sebenarnya akan menjadi server relay dan akan berlokasi di DMZ, dan yang utama satu, terletak di dalam jaringan perusahaan. Komponen utama memastikan sirkulasi surat internal, menerima korespondensi eksternal dari repeater dan mengirimkannya ke sana.

Salah satu tantangan utamanya adalah memastikan akses yang aman ke sumber daya publik dan aplikasi dari intranet perusahaan. Meskipun firewall dipasang di antara wilayah tersebut dan zona demiliterisasi, firewall tersebut harus “transparan” agar dapat berfungsi. Ada beberapa opsi untuk memberikan kesempatan ini kepada pengguna. Yang pertama adalah penggunaan akses terminal. Dengan organisasi interaksi antara klien dan server ini, tidak ada kode program yang dikirimkan melalui koneksi yang dibuat, yang dapat berisi virus dan inklusi berbahaya lainnya. Dari klien terminal ke server terdapat aliran kode dari penekanan tombol keyboard dan status mouse pengguna, dan sebaliknya, dari server ke klien, gambar biner dari layar sesi server browser pengguna atau klien email adalah diterima. Pilihan lainnya adalah menggunakan VPN (Virtual Private Network). Berkat kontrol akses dan perlindungan kripto informasi, VPN memiliki keamanan jaringan pribadi, dan pada saat yang sama memanfaatkan semua keunggulan jaringan publik.

Pengamanan server dan peralatan di DMZ harus dilakukan dengan sangat hati-hati

Untuk melindungi dari serangan terhadap server dan peralatan jaringan, sistem deteksi intrusi khusus digunakan. Komputer tempat sistem seperti itu diinstal menjadi yang pertama dalam jalur aliran informasi dari Internet ke DMZ. Sistem dikonfigurasikan sehingga ketika serangan terdeteksi, mereka dapat mengkonfigurasi ulang firewall untuk memblokir akses sepenuhnya. Untuk tujuan kontrol tambahan, tetapi tidak permanen, perangkat lunak khusus digunakan - pemindai keamanan yang memeriksa keamanan jaringan, server dan layanan, serta database. Untuk melindungi dari virus, perangkat lunak anti-virus dan alat kontrol konten dipasang di zona demiliterisasi.

Solusi perangkat lunak dan teknis untuk mengatur dan melindungi DMZ ditawarkan oleh berbagai perusahaan. Ini adalah asing dan Rusia. Diantaranya misalnya Computer Associates, D-Link, Informzashita, Trend Micro dan masih banyak lagi yang lainnya.

Dengan meluasnya penggunaan Internet, ada kebutuhan untuk memecahkan masalah perlindungan informasi dan jaringan lokal secara keseluruhan. Masalah ini muncul terutama ketika perusahaan memiliki layanan Internet yang dapat diakses publik (server web dan ftp, layanan email, toko online), yang berlokasi di jaringan lokal umum.

Akses ke server tersebut paling sering diberikan secara gratis, yaitu, setiap pengguna dapat, tanpa otentikasi menggunakan login dan kata sandi, mendapatkan akses ke sumber daya yang dihosting di server web, ke bagian server ftp, server email akan menerima email dari server email serupa lainnya. Dan tidak ada jaminan bahwa kode berbahaya tidak akan berakhir di server bersama dengan email, dan di antara ratusan pengguna tidak akan ada seseorang yang, karena alasan apa pun, ingin mendapatkan akses tidak hanya ke layanan publik, tetapi juga ke layanan publik. jaringan lokal organisasi. Dan jika jaringan dibangun di atas konsentrator sederhana (hub), dan bukan di atas sakelar (switch), maka jaringan tersebut akan menghadapi bahaya besar.

Dengan meretas salah satu komputer, seorang peretas dapat memperoleh akses ke seluruh jaringan

Apa itu? Setelah memperoleh akses ke setidaknya satu komputer di jaringan lokal, seorang peretas dapat memperoleh kata sandi hingga kata sandi administrator, yang memungkinkan dia mendapatkan akses ke informasi apa pun yang beredar atau disimpan di jaringan, mengubah kata sandi akses sedemikian rupa sehingga database tidak akan dapat diakses, atau akan dihapus begitu saja dari layanan. Selain itu, setelah memperoleh akses ke server web, dapat digunakan untuk melakukan serangan DoS, yang dapat memblokir fungsionalitas semua sumber daya internal perusahaan.

Oleh karena itu, pendekatan untuk membangun sistem yang mencakup server publik harus berbeda dengan pendekatan untuk membangun sistem yang berbasis server internal. Hal ini ditentukan oleh risiko spesifik yang timbul karena ketersediaan server untuk publik. Solusinya adalah dengan memisahkan jaringan lokal dan server publik menjadi beberapa bagian yang terpisah. Tempat di mana layanan publik akan ditempatkan disebut “zona demiliterisasi” ( DMZ - Zona Demiliterisasi).

Gambar 13.2 – Skema jaringan lokal dengan zona demiliterisasi

Inti dari DMZ adalah tidak secara langsung termasuk dalam jaringan internal atau eksternal, dan akses ke DMZ hanya dapat dilakukan sesuai dengan aturan firewall yang telah ditentukan. Tidak ada pengguna di DMZ - hanya server yang berlokasi di sana. Zona demiliterisasi biasanya berfungsi untuk mencegah akses dari jaringan eksternal ke host-host di jaringan internal dengan cara memindahkan semua layanan yang memerlukan akses dari luar dari jaringan lokal ke zona khusus. Faktanya, zona ini akan menjadi subnet terpisah dengan alamat publik, dilindungi (atau dipisahkan) dari jaringan publik dan perusahaan oleh firewall.



Saat membuat zona seperti itu, administrator jaringan perusahaan menghadapi tugas tambahan. Penting untuk memastikan diferensiasi akses ke sumber daya dan server yang berlokasi di DMZ, untuk memastikan kerahasiaan informasi yang dikirimkan ketika pengguna bekerja dengan sumber daya ini, dan untuk memantau tindakan pengguna. Mengenai informasi yang mungkin ada di server, dapat dikatakan sebagai berikut. Mengingat layanan publik dapat diretas, informasi yang paling tidak penting harus ditempatkan di layanan tersebut, dan informasi berharga apa pun harus ditempatkan secara eksklusif di jaringan lokal, yang tidak dapat diakses dari server publik.

Di server yang terletak di DMZ, tidak boleh ada informasi apa pun tentang pengguna, klien perusahaan, atau informasi rahasia lainnya, tidak boleh ada kotak surat pribadi karyawan - semua ini harus “disembunyikan” dengan aman di bagian jaringan lokal yang aman. Dan untuk informasi yang akan tersedia di server publik, perlu disediakan pengarsipan cadangan dengan frekuensi sesedikit mungkin. Selain itu, server email disarankan untuk menggunakan setidaknya model layanan dua server, dan server web harus terus memantau status informasi agar dapat mendeteksi dan menghilangkan konsekuensi peretasan secara tepat waktu.

Penggunaan firewall adalah wajib saat membuat DMZ

Firewall digunakan untuk melindungi penetrasi melalui zona demiliterisasi ke dalam jaringan perusahaan. Ada layar perangkat lunak dan perangkat keras. Program perangkat lunak memerlukan mesin yang menjalankan UNIX atau Windows NT/2000. Untuk memasang firewall perangkat keras, Anda hanya perlu menghubungkannya ke jaringan dan melakukan konfigurasi minimal. Biasanya, layar perangkat lunak digunakan untuk melindungi jaringan kecil di mana tidak perlu membuat banyak pengaturan terkait alokasi bandwidth yang fleksibel dan pembatasan lalu lintas berdasarkan protokol untuk pengguna. Jika jaringan besar dan diperlukan kinerja tinggi, penggunaan firewall perangkat keras akan lebih menguntungkan. Dalam banyak kasus, bukan hanya satu, tetapi dua firewall digunakan - satu melindungi zona demiliterisasi dari pengaruh eksternal, yang kedua memisahkannya dari bagian internal jaringan perusahaan.



Namun selain fakta bahwa memindahkan server publik ke zona demiliterisasi akan melindungi jaringan perusahaan sampai batas tertentu, perlu dipikirkan secara matang dan memastikan perlindungan untuk DMZ itu sendiri. Dalam hal ini, perlu untuk menyelesaikan masalah-masalah seperti:

· perlindungan terhadap serangan terhadap server dan peralatan jaringan;

· perlindungan server individu;

· kontrol email dan konten lainnya;

· audit tindakan pengguna.

Bagaimana permasalahan ini dapat diselesaikan? Dianjurkan untuk "membagi" server email, yang digunakan untuk korespondensi eksternal dan internal perusahaan, menjadi dua komponen - komponen publik, yang sebenarnya akan menjadi server relay dan akan berlokasi di DMZ, dan yang utama satu, terletak di dalam jaringan perusahaan. Komponen utama memastikan sirkulasi surat internal, menerima korespondensi eksternal dari repeater dan mengirimkannya ke sana.

Salah satu tantangan utamanya adalah memastikan akses yang aman ke sumber daya publik dan aplikasi dari intranet perusahaan. Meskipun firewall dipasang di antara wilayah tersebut dan zona demiliterisasi, firewall tersebut harus “transparan” agar dapat berfungsi. Ada beberapa opsi untuk memberikan kesempatan ini kepada pengguna. Yang pertama adalah penggunaan akses terminal. Dengan organisasi interaksi antara klien dan server ini, tidak ada kode program yang dikirimkan melalui koneksi yang dibuat, yang dapat berisi virus dan inklusi berbahaya lainnya. Dari klien terminal ke server terdapat aliran kode dari penekanan tombol keyboard dan status mouse pengguna, dan sebaliknya, dari server ke klien, gambar biner dari layar sesi server browser pengguna atau klien email adalah diterima. Pilihan lainnya adalah menggunakan VPN (Virtual Private Network). Berkat kontrol akses dan perlindungan kripto informasi, VPN memiliki keamanan jaringan pribadi, dan pada saat yang sama memanfaatkan semua keunggulan jaringan publik.

Pengamanan server dan peralatan di DMZ harus dilakukan dengan sangat hati-hati

Untuk melindungi dari serangan terhadap server dan peralatan jaringan, sistem deteksi intrusi khusus digunakan. Komputer tempat sistem seperti itu diinstal menjadi yang pertama dalam jalur aliran informasi dari Internet ke DMZ. Sistem dikonfigurasikan sehingga ketika serangan terdeteksi, mereka dapat mengkonfigurasi ulang firewall untuk memblokir akses sepenuhnya. Untuk tujuan kontrol tambahan, tetapi tidak permanen, perangkat lunak khusus digunakan - pemindai keamanan yang memeriksa keamanan jaringan, server dan layanan, serta database. Untuk melindungi dari virus, perangkat lunak anti-virus dan alat kontrol konten dipasang di zona demiliterisasi.


Jaringan Global

Wide Area Networks (WAN), juga disebut jaringan komputer teritorial, berfungsi untuk menyediakan layanannya kepada sejumlah besar pelanggan akhir yang tersebar di wilayah yang luas - dalam suatu wilayah, wilayah, negara, benua, atau seluruh dunia. Karena panjangnya saluran komunikasi, membangun jaringan global memerlukan biaya yang sangat besar, yang meliputi biaya kabel dan pengerjaan pemasangannya, biaya peralatan switching dan peralatan amplifikasi perantara yang menyediakan bandwidth saluran yang diperlukan, serta pengoperasian biaya untuk terus-menerus memelihara jaringan yang tersebar agar berfungsi dengan baik di area peralatan jaringan yang luas.

Pelanggan umum jaringan komputer global adalah jaringan lokal perusahaan yang berlokasi di berbagai kota dan negara yang perlu bertukar data satu sama lain. Komputer individu juga menggunakan layanan jaringan global.

WAN biasanya dibuat oleh perusahaan telekomunikasi besar untuk menyediakan layanan berbayar kepada pelanggan. Jaringan seperti ini disebut publik atau publik. Ada juga konsep seperti operator jaringan dan penyedia layanan jaringan. Operator jaringan adalah perusahaan yang menjaga pengoperasian normal jaringan. Penyedia layanan, sering juga disebut penyedia layanan, adalah perusahaan yang menyediakan layanan berbayar kepada pelanggan jaringan. Pemilik, operator, dan penyedia layanan dapat merupakan satu perusahaan, atau dapat mewakili perusahaan yang berbeda.

Lebih jarang lagi, jaringan global sepenuhnya dibuat oleh beberapa perusahaan besar untuk kebutuhan internalnya. Dalam hal ini, jaringan tersebut disebut privat. Seringkali ada opsi perantara - jaringan perusahaan menggunakan layanan atau peralatan jaringan area luas publik, tetapi melengkapi layanan atau peralatan ini dengan layanan atau peralatannya sendiri.

Tergantung pada komponen apa yang harus disewa, biasanya membedakan jaringan yang dibangun menggunakan:

Saluran khusus;

Peralihan sirkuit;

Peralihan paket.

Kasus terakhir sesuai dengan skenario kasus terbaik, di mana jaringan packet-switched tersedia di semua lokasi geografis yang perlu digabungkan menjadi jaringan perusahaan yang umum. Dua kasus pertama memerlukan pekerjaan tambahan untuk membangun jaringan packet switching berdasarkan dana sewa.

Saluran khusus

Sirkuit khusus (atau disewakan) dapat diperoleh dari perusahaan telekomunikasi, yang memiliki sirkuit jarak jauh, atau dari perusahaan telepon, yang biasanya menyewa sirkuit di dalam kota atau wilayah.

Anda dapat menggunakan jalur sewaan dengan dua cara. Yang pertama adalah membangun dengan bantuan mereka jaringan teritorial dari teknologi tertentu, misalnya Frame Relay, di mana jalur sewaan berfungsi untuk menghubungkan sakelar paket perantara yang terdistribusi secara geografis.

Opsi kedua adalah menghubungkan hanya jaringan lokal yang terhubung melalui jalur khusus, tanpa memasang sakelar paket transit yang beroperasi menggunakan teknologi jaringan global. Opsi kedua adalah yang paling sederhana dari sudut pandang teknis, karena didasarkan pada penggunaan router atau jembatan jarak jauh di jaringan lokal yang saling berhubungan dan tidak adanya protokol teknologi global seperti X.25 atau Frame Relay. Paket jaringan atau lapisan tautan yang sama ditransmisikan melalui saluran global seperti di jaringan lokal.

Ini adalah metode kedua dalam menggunakan saluran global yang menerima nama khusus "layanan saluran khusus", karena metode ini sebenarnya tidak menggunakan teknologi apa pun dari jaringan global yang sebenarnya dengan peralihan paket.

Saluran khusus sangat aktif digunakan di masa lalu dan digunakan saat ini, terutama ketika membangun koneksi tulang punggung penting antara jaringan lokal besar, karena layanan ini menjamin throughput saluran yang disewa. Namun, dengan banyaknya titik yang secara geografis berjauhan dan jadwal campuran yang intensif di antara titik-titik tersebut, penggunaan layanan ini menyebabkan biaya tinggi karena banyaknya saluran yang disewa.

Saat ini, terdapat banyak pilihan saluran khusus - dari saluran frekuensi suara analog dengan bandwidth 3,1 kHz hingga saluran digital teknologi SDN dengan throughput 155 dan 622 Mbit/s.

Singkatan DMZ adalah singkatan dari DeMilitarized Zone, yaitu “Zona Demiliterisasi”. Tidak terduga dan tidak jelas apa hubungannya dengan router. Namun nyatanya, ini adalah hal yang sangat berguna dalam beberapa kasus. Hal ini akan dibahas dalam artikel ini.

Tujuan dan kegunaan DMZ

DMZ adalah segmen jaringan yang dibuat untuk layanan dan program yang memerlukan akses langsung ke Internet. Akses langsung diperlukan untuk torrent, pesan instan, game online, dan beberapa program lainnya. Dan Anda tidak dapat melakukannya tanpanya jika Anda ingin memasang kamera pengawasan video dan memiliki akses ke sana melalui Internet.

Jika komputer tempat program berjalan terhubung ke Internet secara langsung, melewati router, maka DMZ tidak perlu digunakan. Namun jika koneksi dilakukan melalui router, maka program tersebut tidak dapat “dijangkau” dari Internet, karena semua permintaan akan diterima oleh router dan tidak diteruskan ke dalam jaringan lokal.

Untuk mengatasi masalah ini biasanya digunakan port forwarding pada router. Ada informasi tentang ini di situs web kami. Namun, hal ini tidak selalu mudah dan beberapa orang lebih memilih untuk membuat DMZ. Jika Anda mengatur DMZ di router Anda dan menambahkan node jaringan yang diinginkan ke dalamnya, misalnya, PC yang menjalankan server game atau DVR yang terhubung dengan kamera IP, node ini akan terlihat dari jaringan eksternal seolah-olah itu terhubung langsung ke Internet. Tidak ada yang berubah untuk perangkat lain di jaringan Anda - perangkat tersebut akan berfungsi sama seperti sebelumnya.

Anda harus berhati-hati dengan semua pengaturan ini. Karena penerusan porta dan DMZ merupakan lubang keamanan potensial. Untuk meningkatkan keamanan, perusahaan besar seringkali membuat jaringan terpisah untuk DMZ. Untuk memblokir akses dari jaringan DMZ ke komputer lain, digunakan router tambahan.

Menyiapkan DMZ di router

Router hanya mengizinkan satu perangkat untuk ditambahkan ke DMZ. Router harus menerima alamat IP “putih”. Hanya dalam kasus ini dimungkinkan untuk mengaksesnya dari jaringan global. Informasi tentang ini dapat diperoleh dari penyedia Internet Anda. Beberapa penyedia menyediakan alamat IP eksternal secara gratis, namun layanan ini sering kali memerlukan biaya tambahan.

Menetapkan Alamat IP Statis

Hanya komputer dengan alamat IP statis yang dapat ditambahkan ke DMZ. Oleh karena itu, hal pertama yang kami lakukan adalah mengubahnya. Untuk melakukan ini, buka properti koneksi jaringan dan dalam pengaturan TCP/IP tetapkan alamat IP statis dalam rentang alamat jaringan Anda. Misalnya, jika router Anda memiliki IP 192.168.0.1, maka Anda dapat menentukan 192.168.0.10 untuk komputer Anda. Subnetmask standarnya adalah 255.255.255.0. Dan di bidang "Gateway" Anda perlu menentukan alamat router Anda.

Harap dicatat bahwa alamat IP yang diberikan ke komputer tidak boleh berada dalam kisaran alamat yang didistribusikan.

Pada titik ini, pengaturan komputer selesai dan Anda dapat melanjutkan ke pengaturan router.

Menyiapkan perute

Langkah pertama adalah mengaktifkan DMZ di router, karena DMZ selalu dinonaktifkan secara default.

Temukan item menu yang sesuai di antarmuka web perangkat:

  • Pada router Asus, tab yang diperlukan disebut DMZ.
  • Pada router TP-Link, buka item “Forwarding”, dan akan ada sub-item DMZ.
  • Di D-Link, cari item “Firewall”.

Bagaimanapun, pada tab pengaturan Anda perlu mencentang kotak "Aktifkan". Dan di sebelahnya, temukan bidang bernama “Alamat Host DMZ” atau “Alamat Stasiun Terlihat” (tergantung pada model router, mungkin ada opsi lain). Di kolom ini kita memasukkan alamat statis komputer atau perangkat lain yang perlu ditambahkan ke DMZ. Dalam kasus kami ini adalah 192.168.0.10.

Simpan pengaturan dan mulai ulang router. Itu saja: semua port pada PC yang dipilih terbuka. Program apa pun yang menggunakan koneksi masuk akan mengira ia mengakses jaringan secara langsung. Semua program lain akan bekerja seperti biasa.

Di bawah ini adalah contoh pengaturan router dengan antarmuka bahasa Inggris.

Membuat DMZ adalah cara mudah untuk menyederhanakan pekerjaan program yang diperlukan, namun perlu diingat bahwa akses terbuka ke PC meningkatkan risiko serangan jaringan dan infeksi virus.

Oleh karena itu, perlu dipasang program firewall dan antivirus pada perangkat yang digunakan sebagai host DMZ.

Keterangan

Zona demiliterisasi atau DMZ adalah segmen jaringan dengan pengalamatan label putih, dipisahkan oleh firewall dari Internet dan jaringan lokal organisasi. Server yang perlu diakses dari Internet, seperti mail atau server web, biasanya ditempatkan di DMZ. Karena server di jaringan DMZ dipisahkan dari jaringan lokal oleh firewall, jika diretas, penyerang tidak akan bisa mendapatkan akses ke sumber daya jaringan lokal.

Pengaturan

Zona demiliterisasi dibuat dalam modul “penyedia dan jaringan”. Saat membuatnya, Anda harus menentukan alamat IP Server Kontrol Internet dan masker jaringan DMZ, serta memilih antarmuka jaringan untuk DMZ. Untuk alasan keamanan, antarmuka jaringan terpisah biasanya digunakan untuk DMZ.

Secara default, server yang berlokasi di DMZ tidak memiliki akses ke Internet dan jaringan lokal, sehingga aksesnya harus dikonfigurasi menggunakan aturan firewall.

Kotak centang "NAT dari jaringan lokal" memungkinkan Anda mengontrol terjemahan alamat lokal ke jaringan DMZ. Secara default, ini dinonaktifkan, mis. layanan NAT untuk antarmuka jaringan DMZ tidak berfungsi, alamat diterjemahkan tanpa perubahan.

Penting: NAT sendiri untuk jaringan DMZ dinonaktifkan pada antarmuka eksternal ICS, jadi alamat IP “putih” harus digunakan untuk mengatasinya. Menyiapkan jaringan DMZ masuk akal jika Anda perlu mengontrol akses eksternal ke server di jaringan lokal yang memiliki alamat IP “putih”. Dalam semua kasus lainnya, jaringan lokal biasa dikonfigurasi.