SEKOLAH TINGGI SANDI NEGARA 201

CARA MEMPERKUAT KEAMANAN

DARI DMZ (DEMILITARIZED ZONES)
Aji Setiyo Sukarno (0706100712)

TK III Teknik Rancang Bagun Peralatan Sandi

tyocentaury@yahoo.com

www.tyocentaury.wordpress.com

Abstraksi

Untuk menghubungkan jaringan private / business dengan jaringan public seperti jaringan
Internet, tentulah kita harus mengatur aliran traffic paket dengan menggunakan perangkat
Firewall yang diperkuat dengan policy keamanan. Dengan firewall, semua traffic dipaksa
melalui satu check point tunggal yang terkosentrasi dimana semua traffic di kendalikan, di-
authentikasi, di filter, dan di log menurut policy yang diterapkan pada firewall tersebut. Dengan
cara ini, kita bisa mengurangi secara significant akan tetapi tidak menghilang kan traffic yang
tidak kita harapkan yang akan mencapai jaringan private kita. Namun jika yang kita miliki
adalah public resource maka untuk keamanannya kita dapat menggunakan Firewall dengan
DMZ (Demilitarized Zones) namun apakah DMZ itu aman? Atau perlunya meningkatkan
keamanan dari DMZ itu sendiri, hal inilah yang akan dibahas dalam pada tulisan ini.

Pendahuluan
Firewall DMZ (Demilitarized Zone) – atau jaringan perimeter adalah jaringan security
boundary yang terletak diantara suatu jaringan corporate / private LAN dan jaringan public
(Internet). Firewall DMZ ini harus dibuat jika anda perlu membuat segmentasi jaringan untuk
meletakkan server yang bisa diakses public dengan aman tanpa harus bisa mengganggu
keamanan system jaringan LAN di jaringan private kita. Perimeter (DMZ) network didesign
untuk melindungi server pada jaringan LAN corporate dari serangan hackers dari Internet.

Firewall merupakan suatu cara atau mekanisme yang diterapkan baik terhadap hardware,
software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring,
membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada
jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen
tersebut dapat merupakan sebuah workstation, server, router, atau local area network (LAN).

1
 SEKOLAH TINGGI SANDI NEGARA 201
0

INTERNET INTERNAL

Firewall

Gambar 1 - Firewall

Firewall mempunyai beberapa tugas :

• Mengimplementasikan kebijakan keamanan di jaringan (site security policy). Jika aksi
tertentu tidak diperbolehkan oleh kebijakan ini, maka firewall harus mengagalkannya.
Dengan demikian, semua akses ilegal antar jaringan (tidak diotorisasikan) akan ditolak.
• Melakukan filtering dengan mewajibkan semua traffik yang ada untuk dilewatkan
melalui firewall bagi semua proses pemberian dan pemanfaatan layanan informasi. Aliran
paket data dari/menuju firewall, diseleksi berdasarkan IP address, nomor port atau
tujuannya, dan disesuaikan dengan kebijakan security.
• Mencatat insiden-insiden yang mencurigakan berupa usaha-usaha menembus
kebijakan keamanan.
• Merencanakan sistem firewall pada jaringan, berkaitan erat dengan jenis fasilitas apa
yang akan disediakan bagi para pemakai, sejauh mana level resiko-security yang bisa
diterima, serta berapa banyak waktu, biaya dan keahlian yang tersedia (faktor teknis dan
ekonomis).

Firewall umumnya terdiri dari bagian filter (disebut juga screen atau choke) dan bagian
gateway (gate). Filter berfungsi untuk membatasi akses, mempersempit kanal, atau untuk
memblok kelas trafik tertentu. Terjadinya pembatasan akses, berarti akan mengurangi fungsi
jaringan.

2
 SEKOLAH TINGGI SANDI NEGARA 201
0

IP Intern et IP D M Z IP L A N
20 2.46.1.0/30 202.46.1.8/2 9 192.16 8.1.0/24

IN T E R N E T DMZ LAN

F irew all F irew a ll

Luar D alam

S E R V E R P U B L IK SER V ER LA N

Gambar 2 - Topologi DMZ

Topologi yang baik untuk jaringan yang aman, mengunakan 2 firewal. Firewall pertama
(luar) merupakan firewall yang melindungi jaringan luar (internet) dengan Demiliterized Zone
(DMZ) dan LAN, sedangkan firewall kedua (dalam) melindung jaringan LAN dari jaringan
internet dan DMZ. Untuk mendeteksi adanya penyusup dari luar maka perlu ditrambahkan
aplikasi IDS yang bisa menjadi satu dengan firewall.1

Pembahasan

DE-MILITARISED ZONE (DMZ)

De-Militarised Zone(DMZ) merupakan mekanisme untuk melindungi sistem internal dari
serangan hacker atau pihak-pihak lain yang ingin memasuki sistem tanpa mempunyai hak
akses. Sehingga karena DMZ dapat diakses oleh pengguna yang tidak mempunyai hak, maka
DMZ tidak mengandung rule.

Secara esensial, DMZ melakukan perpindahan semua layanan suatu jaringan ke jaringan
lain yang berbeda. DMZ terdiri dari semua port terbuka, yang dapat dilihat oleh pihak luar.
Sehingga jika hacker menyerang dan melakukan cracking pada server yang mempunyai DMZ,
maka hacker tersebut hanya dapat mengakses host yang berada pada DMZ, tidak pada
jaringan internal.

1
TUTORIAL INTERAKTIF SISTEM KEAMANAN JARINGAN BERBASIS OPEN SOURCE Direktorat Sistem Informasi, Perangkat Lunak Dan Konten
Direktorat Jenderal Aplikasi Telematika Departemen Komunikasi Dan Informatika 2006

3
 SEKOLAH TINGGI SANDI NEGARA 201
0

Misalnya jika seorang pengguna bekerja di atas server FTP pada jaringan terbuka untuk
melakukan akses publik seperti akses internet, maka hacker dapat melakukan cracking pada
server FTP dengan memanfaatkan layanan Network Interconnection System (NIS), dan
Network File System(NFS). Sehingga hacker tersebut dapat mengakses seluruh sumber daya
jaringan, atau jika tidak, akses jaringan dapat dilakukan dengan sedikit upaya, yaitu dengan
menangkap paket yang beredar di jaringan, atau dengan metoda yang lain.

Namun dengan menggunakan lokasi server FTP yang berbeda, maka hacker hanya dapat
mengakses DMZ tanpa mempengaruhi sumber daya jaringan yang lain. Selain itu dengan
melakukan pemotongan jalur komunikasi pada jaringan internal, trojan dan sejenisnya tidak
dapat lagi memasuki jaringan.

Secara umum DMZ dibangun berdasarkan tiga buah konsep, yaitu : NAT (Network
Address Translation), PAT (Port Addressable Translation), dan Access List. NAT berfungsi
untuk menunjukkan kembali paket-paket yang datang dari “real address” ke alamat internal.
Misal : jika kita memiliki “real address” 203.8.90.100, kita dapat membentuk suatu NAT
langsung secara otomatis pada data-data yang datang ke 192.168.100.1 (sebuah alamat
jaringan internal). Kemudian PAT berfungsi untuk menunjukan data yang datang pada
particular port, atau range sebuah port dan protocol (TCP/UDP atau lainnya) dan alamat IP ke
sebuah particular port atau range sebuah port ke sebuah alamat internal IP. Sedangkan access
list berfungsi untuk mengontrol secara tepat apa yang datang dan keluar dari jaringan dalam
suatu pertanyaan. Misal : kita dapat menolak atau memperbolehkan semua ICMP yang datang
ke seluruh alamat IP kecuali untuk sebuah ICMP yang tidak diinginkan.

Konsep NAT, PAT, dan Daftar Akses

Network Address Translation (NAT) berfungsi untuk mengarahkan alamat riil, seperti
alamat internet, ke bentuk alamat internal. Misalnya alamat riil 203.8.90.100 dapat diarahkan ke
bentuk alamat jaringan internal 192.168.0.1 secara otomatis dengan menggunakan NAT.
Namun jika semua informasi secara otomatis ditranslasi ke bentuk alamat internal, maka tidak
ada lagi kendali terhadap informasi yang masuk. Oleh karena itu maka muncullah PAT.

Port Address Translation (PAT) berfungsi untuk mengarahkan data yang masuk melalui
port, sekumpulan port dan protokol, serta alamat IP pada port atau sekumpulan post. Sehingga
dapat dilakukan kendali ketat pada setiap data yang mengalir dari dan ke jaringan.

Daftar Akses melakukan layanan pada pengguna agar dapat mengendalikan data
jaringan. Daftar Akses dapat menolak atau menerima akses dengan berdasar pada alamat IP,
alamat IP tujuan, dan tipe protokol.

Implementasi
Firewall DMZ dapat diimplementasikan tepat pada border corporate LAN yang lazim
mempunyai tiga jaringan interface:
4
 SEKOLAH TINGGI SANDI NEGARA 201
0

1. Interface Internet: interface ini berhubungan langsung dengan Internet dan IP

addressnyapun juga IP public yang terregister.

2. Interface Private atau Interface intranet: adalah interface yang terhubung langsung
dengan jaringan corporate LAN dimana anda meletakkan server-server yang rentan
terhadap serangan.

3. Jaringan DMZ: Interface DMZ ini berada didalam jaringan Internet yang sama sehingga
bisa diakses oleh user dari Internet. Resources public yang umumnya berada pada
firewall DMZ adalah web-server, proxy dan mail-server.

Wireless Router dengan Fitur DMZ

Ada banyak wireless router yang biasa dipakai untuk jaringan rumahan atau kantoran kecil
yang dilengkapi dengan fitur DMZ seperti WRT610N dari Linksys. Wireless router yang
dilengkapi dengan fitur DMZ ini memungkinkan anda untuk meletakkan satu computer yang
bisa diexpose ke Internet dengan tujuan tertentu seperti untuk online gaming atau video-
conference. DMZ hosting ini meneruskan semua ports pada saat yang bersamaan kepada satu
PC. Fitur forward port ini lebih aman sebab dia hanya membuka port-port yang ingin anda buka
saja, sementara hosting DMZ membuka semua port dari satu komputer, mengexpose komputer
kepada internet.

Misal pada WRT610N Linksys anda bisa mengkonfigure satu PC atau game console
untuk keperluan Online gaming, sehingga terpisah dari jaringan private anda. Anda bisa
mengakses utilitas Web-based dari WRT610 ini dan masuk ke menu Application > DMZ untuk
bisa meng-enable fitur DMZ ini. Enable dulu fitur DMZ ini dan kemudian lakukan konfigurasi
nya. Pilih IP address atau masukkan IP address tertentu secara manual dari komputer yang ada
di internet yang dibolehkan masuk mengakses PC yang ada pada jaringan. Anda juga perlu
memasukkan IP address atau MAC address dari PC / Game console yang anda ingin diexpose
di Internet dan bisa diakases dari Internet.

Meningkatkan Keamanan DMZ

Port Router
Menutup semua Port Router dan Firewall secara default merupakan pertahanan lini depan
pertama dalam keamanan jaringan kita, semua aliran traffic yang masuk inbound ke pada
jaringan kita – dianggap sebagai ancaman. Dan hanya traffic melalui port router dan port
firewall tertentu yang secara specific dibuka saja yang boleh masuk dan lewat mengakses
network resources – seperti kalangan remote user yang Go for business reason lewat koneksi
VPN.Diagram berikut ini menjelaskan secara sederhana bagaimana port router dan port firewall
dikonfigure. Misalkan saja pada DMZ ada Exchange server yang menggunakan port router 25
sebagai SMTP untuk aliran inbund ke server Exchange kita, maka hanya port 25 saja yang

5
 SEKOLAH TINGGI SANDI NEGARA 201
0

secara explicit dibuka melalui router dan firewall. Sementara misalkan public user masuk
melalui port 80 (untuk WEB) di DENY karena memang tidak ada WEB server pada DMZ dan
port 80 di blok.

Diagram aliran port firewall port router

Konfigurasi Chaining / PassThrough

Saat ini, pada perancangan DMZ membutuhkan proxy untuk semua layanan yang
mungkin, sehingga server exchange tidak mengirim dan menerima mail secara langsung,
namun dengan proxy semua yang berkaitan dengan mail akan melalui server sendmail. Hal ini
berarti bahwa tidak ada pengguna internet yang dapat langsung mengakses melalui layanan
internal apapun. Selain itu, kita dapat mengeksekusi multi nilai pada perangkat yang berbeda
untuk meningkatkan proteksi. Misalnya dengan mengaktifkan pemindai virus sendmail pada
mail server DMZ dan Norton AntiVirus untuk exchange dan servernya.

Daftar akses mempunyai kompleksitas yang bervariasi tergantung pada layanan yang
diaktifkan. Misalnya permintaan untuk menyediakan informasi web untuk kepentingan umum,
membutuhkan persetujuan dari Proxy pada DMZ hanya dari proxy internal, dan Proxy DMZ dan
menginisilisasi semua koneksi ke luar. Proxy DMX tidak perlu menerima request persetujuan
dari sumber yang lain, sehingga hacker seharusnya tidak dapat mengakses server.

Alarm dan Tripwire

Terdapat banyak metode untuk mencegah hacker, namun masih terlalu banyak wilayah
komputerisasi yang dapat dijelajahi. Sehingga, adu kekuatan antara administrator dan hacker
tidak akan reda dalam waktu singkat, bahkan diperkirakan akan terus berjalan seiring dengan
perkembangan teknologi. Pada makalah ini akan dibahas tiga metode utama, yaitu:

6
 SEKOLAH TINGGI SANDI NEGARA 201
0

1. SysLog Logging
2. Pendeteksi serangan Tripwire
3. Cron Jobs
Pada firewall PIX, log semua kesalahan otorisasi dan koneksi ke server SysLog pada
jaringan internal. Sehingga dengan log yang disimpan, dapat diketahui bagaimana metode yang
digunakan hacker untuk memasuki sistem.

Tripwire merupakan daemon yang baik bagi sistem dan dapat memonitor kumpulan file
yang diubah atau dimodifikasi. Jika hacker mencoba memasuki sistem, maka apapun yang
dilakukan akan selalu memodifikasi file. Sehingga administrator dapat memonitor setiap
perubahan pada file, dan dapat menentukan kompromi yang diambil. Catat aktifitas tersebut
pada server SysLog, atau bahkan eksekusi script yang bersesuaian dengan file tersebut.

Tripwire mempunyai satu kelemahan. Proses tripwire bekerja pada sistem dengan
interval tertentu, dan para hacker telah mengetahui kelemahan ini, dan jika mereka telah
memperoleh hak akses root, maka mereka akan menonaktifkan proses. Oleh karena itu perlu
dibangun sebuah script (cron job) yang selalu mencari pada proses yang sedang aktif untuk
memastikan tripwire sedang aktif. Jika diketahui tripwire telah dinonaktifkan maka script akan
mengirimkan email dan sms ke administrator dan mesin dishutdown. Proses ini pun mempunyai
resiko data dan program menjadi rusak. Namun jika terdapat mail exchanger ISP cadangan,
dan server DNS cadangan, maka sebelum dishutdown, program dan data diselamatkan ke
server cadangan.

Pemasangan Honey pot

Pemasangan Honeypot dapat mengamankan DMZ namun juga dapat menjadi ancaman
bagi DMZ. Dari segi pengamanannnya honeypot dapat mengecoh dari penyerang namun,
harus dipertimbangkan penempatan dari honeypot itu sendiri karena dapat mengancam DMZ
itu sendiri. Sebagai contoh jika honeypot ditempatkan dalam DMZ maka akan memperlemah
DMZ. Karena bila honeypot telah disusupi / diambil alih, maka tidak tertutup kemungkinan
honeypot tersebut akan digunakan untuk menyerang sistem lain yang terdapat pada DMZ
bahkan terdapat kemungkinan honeypot tersebut akan digunakan untuk menyerang firewall
yang terdapat pada gateway.

7
 SEKOLAH TINGGI SANDI NEGARA 201
0

Kesimpulan

Dari tulisan diatas maka dapat disimpulkan :

1. DMZ merupakan jaringan security boundary yang terletak diantara suatu jaringan
corporate / private LAN dan jaringan public (Internet).

2. Firewall DMZ ini harus dibuat jika anda perlu membuat segmentasi jaringan untuk
meletakkan server yang bisa diakses public dengan aman tanpa harus bisa
mengganggu keamanan system jaringan LAN di jaringan private.

3. Perimeter (DMZ) network didesign untuk melindungi server pada jaringan LAN corporate
dari serangan hackers dari Internet.

4. Untuk meningkatkan keamanan DMZ dapat melakukan langkah berikut :

a. Mengamankan port

b. Konfigurasi Chaining / PassThrough

c. Alarm dan Tripwire

d. Pemasangan honeypot

PUSTAKA

[1] Zuliansyah, Mochammad, Teknik Pemrograman Network Interface Card pada Protokol
TCP/IP, ITB, 2002.

[2] Arif, Fazmah ,Honeypot Sebagai Alat Bantu Pendeteksian Serangan pada Jaringan
Komputer,ITB

[3] Andriana,Giva, membangun sistem keamanan jaringan dengan de-militarised zone

(DMZ),ITB

[4] http://adimaulana.wordpress.com/category/tech-tips/

[5] http://www.sysneta.com/tag/dmz-de-militarized-zone