Setiap jaringan yang memiliki koneksi internet berisiko dikompromikan. Meskipun ada beberapa langkah yang dapat Anda ambil untuk mengamankan LAN Anda, satu-satunya solusi nyata adalah dengan menutup LAN Anda ke lalu lintas masuk, dan membatasi lalu lintas keluar.
Namun beberapa layanan seperti web atau server FTP memerlukan koneksi masuk. Jika Anda memerlukan layanan ini, Anda perlu mempertimbangkan apakah penting bahwa server ini adalah bagian dari LAN, atau apakah mereka dapat ditempatkan di jaringan terpisah secara fisik yang dikenal sebagai DMZ (atau zona demiliterisasi jika Anda lebih suka nama yang tepat). Idealnya semua server di DMZ akan menjadi server yang berdiri sendiri, dengan login dan kata sandi unik untuk setiap server. Jika Anda memerlukan server cadangan untuk mesin dalam DMZ maka Anda harus memperoleh mesin khusus dan menjaga solusi cadangan terpisah dari solusi cadangan LAN.
Konsep dasar aplikasi web, cara kerjanya dan protokol HTTP
DMZ akan datang langsung dari firewall, yang berarti ada dua rute masuk dan keluar dari DMZ, lalu lintas ke dan dari internet, dan lalu lintas ke dan dari LAN. Lalu lintas antara DMZ dan LAN Anda akan diperlakukan sama sekali secara terpisah untuk lalu lintas antara DMZ Anda dan Internet. Lalu lintas masuk dari internet akan dialihkan langsung ke DMZ Anda.
Karena itu, jika ada peretas yang melakukan kompromi terhadap mesin di dalam DMZ, maka satu-satunya jaringan yang akan mereka akses adalah DMZ. Peretas akan memiliki sedikit atau tidak ada akses ke LAN. Ini juga akan menjadi kasus bahwa infeksi virus atau kompromi keamanan lainnya dalam LAN tidak akan dapat bermigrasi ke DMZ.
Agar DMZ menjadi efektif, Anda harus menjaga lalu lintas antara LAN dan DMZ seminimal mungkin. Dalam sebagian besar kasus, satu-satunya lalu lintas yang diperlukan antara LAN dan DMZ adalah FTP. Jika Anda tidak memiliki akses fisik ke server, Anda juga akan memerlukan semacam protokol manajemen jarak jauh seperti layanan terminal atau VNC.
Server basis data
Jika server web Anda memerlukan akses ke server basis data, maka Anda harus mempertimbangkan di mana menempatkan basis data Anda. Tempat paling aman untuk menemukan server database adalah membuat jaringan lain yang secara fisik terpisah disebut zona aman, dan untuk menempatkan server database di sana.
Zona Aman juga merupakan jaringan terpisah secara fisik yang terhubung langsung ke firewall. Zona aman menurut definisi adalah tempat paling aman di jaringan. Satu-satunya akses ke atau dari zona aman adalah koneksi basis data dari DMZ (dan LAN jika diperlukan).
Pengecualian terhadap aturan
Dilema yang dihadapi oleh insinyur jaringan adalah tempat meletakkan server email. Ini membutuhkan koneksi SMTP ke internet, namun juga memerlukan akses domain dari LAN. Jika Anda menempatkan server ini di DMZ, lalu lintas domain akan membahayakan integritas DMZ, menjadikannya sekadar perpanjangan dari LAN. Karenanya menurut pendapat kami, satu-satunya tempat Anda dapat meletakkan server email adalah pada LAN dan mengizinkan lalu lintas SMTP ke server ini. Namun kami akan merekomendasikan untuk tidak mengizinkan segala bentuk akses HTTP ke server ini. Jika pengguna Anda memerlukan akses ke email mereka dari luar jaringan, akan jauh lebih aman untuk melihat beberapa bentuk solusi VPN. (dengan firewall menangani koneksi VPN. Server VPN berbasis LAN memungkinkan lalu lintas VPN ke jaringan sebelum diautentikasi, yang tidak pernah merupakan hal yang baik.) Bagaimana Server Web Bekerja Semua orang menyukainya ketika banyak lalu lintas masuk melalui situs web mereka. Bahkan, banyak yang melakukan apa saja untuk mencapai lalu lintas itu dengan harapan bahwa seseorang akan menemukan apa yang ada di situs mereka menarik dan akan melakukan pembelian dari situs tersebut. Itulah idenya, kan? Tentu saja, tetapi fakta bahwa lalu lintas semua jenis mungkin tidak terlalu bermanfaat jika tidak ditargetkan lalu lintas. Namun, ada beberapa cara lalu lintas dibawa ke situs dan dua di antaranya adalah DOS Attack dan Digg Traffic. Ada perbedaan aktual antara keduanya sejauh bagaimana mereka membawa lalu lintas ke situs web. Katakan saja yang satu lebih jahat dari yang lain.
Serangan DOS
Dos Attack membuat server web memohon belas kasihan karena dibanjiri dengan lalu lintas yang sebenarnya bisa dianggap tidak berguna. Ada berbagai jenis Serangan DOS seperti Teardrop dan Ping of Death. Apa yang dilakukan adalah mengeksploitasi keterbatasan protokol TCP / IP. Namun, ada perbaikan perangkat lunak yang administrator kelola ke sistem mereka untuk mengurangi kerusakan yang dilakukan oleh Serangan DOS. Tapi sama seperti virus komputer, selalu ada serangan baru yang dibuat oleh peretas. Apa yang dilakukan serangan ini adalah menjaga situs web agar tidak berfungsi dengan benar dan biasanya menargetkan situs besar seperti situs bank dan kartu kredit. Serangan Teardrop mengirimkan fragmen IP dengan muatan besar yang tumpang tindih dengan mesin yang mereka targetkan. Banyak sistem operasi rentan terhadap jenis serangan ini dan dapat merusak seluruh sistem.
Ada juga serangan yang disebut Serangan Smurf di mana ia membanjiri internet dengan mengirimkan paket informasi untuk dikirim ke host komputer di jaringan tertentu. Ini adalah salah satu metode di mana tampaknya situs web menerima banyak lalu lintas, tetapi tidak ada lalu lintas yang sah. SYN Flood adalah hal lain yang membanjiri server agar muncul sebagai lalu lintas yang sah.
Lalu Lintas Digg
Digg sebenarnya adalah cara yang sah untuk menghasilkan lalu lintas ke situs web. Ini berbasis komunitas dan menggunakan artikel untuk mendapatkan traffic. Ini menggabungkan blogging, bookmark sosial, dan sindikasi dengan kontrol editorial oleh pengguna. Situs web dan cerita berita dikirimkan oleh pengguna dan sistem peringkat berbasis pengguna digunakan untuk mempromosikan situs web. Dapat terjadi bahwa server web tidak siap untuk mengelola lalu lintas masuk yang tinggi dan pada akhirnya membuat crash situs untuk waktu yang singkat. Namun, Digg telah menemui beberapa kontroversi karena konon para pengguna terlalu banyak mengontrol konten. Bahkan ada pengguna yang telah dituduh mengoperasikan apa yang disebut :Bury Brigade: di mana pengguna menandai artikel sebagai SPAM, yang dapat mengubur cerita yang sah ini di bawah yang ingin dipromosikan oleh pengguna, apakah itu sah atau tidak.
Perbedaannya
Perbedaannya agak bersih karena serangan DOS adalah cara peretas membanjiri sistem dengan lalu lintas palsu dan benar-benar dapat menonaktifkan penggunaan situs web. Ini bukan cara yang sah untuk mendapatkan lalu lintas, sedangkan Digg adalah metode yang sah. Namun, bahkan Digg telah menemui kontroversi di mana lalu lintas dapat diarahkan jauh dari artikel yang sah karena :Bury Brigades,: yang dapat menghambat kemampuan seseorang untuk mempromosikan melalui sistem Digg. Namun seperti halnya sistem apa pun di internet, selalu ada cara untuk mengkompromikan niat aslinya dan Digg tidak terkecuali. Serangan DOS, di sisi lain, masih melakukan apa yang dimaksudkan untuk dilakukan dan itu adalah menyerang web dengan jahat.