Demilitarized zone

Da Wikipedia, l'enciclopedia libera.
Diagramma di una rete che utilizza una DMZ creata utilizzando un firewall a tre connessioni (three-legged firewall).

Una DMZ (demilitarized zone) è un segmento isolato di LAN (una "sottorete") raggiungibile sia da reti interne sia esterne, ma caratterizzata dal fatto che gli host attestati sulla DMZ hanno possibilità limitate di connessione verso host specifici della rete interna.[1][2]

Tale configurazione viene normalmente utilizzata per permettere ai server posizionati sulla DMZ di fornire servizi all'esterno senza compromettere la sicurezza della rete aziendale interna nel caso una di tali macchine sia sottoposta ad un attacco informatico: per chi si connette dall'esterno dell'organizzazione la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco".

Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei server che necessitano di essere raggiungibili dall'esterno della rete aziendale - ed anche da internet - come, ad esempio, server mail, webserver e server DNS) che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrità.

Una DMZ può essere creata attraverso la definizione di policies distinte su uno o più firewall.

Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di NAT chiamata "port forwarding" o "port mapping"[3], implementata sul sistema che agisce da firewall.

Oltre al summenzionato firewall, di tipo packet filter (ossia che opera a livello di trasporto - layer quattro della pila ISO/OSI), è possibile implementare un differente approccio, impiegando un servizio di "reverse proxy", operante all'interno di un cosiddetto 'application layer firewall', che agisce a livello applicativo (layer sette della pila ISO/OSI).

Il "reverse proxy", invece di fornire un servizio applicativo agli utenti interni ad una rete locale -tipico del proxy comune-, provvede a fornire un accesso (indiretto) a risorse interne alla rete locale (in DMZ in questo caso), provenienti da una rete esterna (tipicamente internet).

Note[modifica | modifica sorgente]

  1. ^ (EN) Bradley Mitchell, DMZ - Demilitarized Zone, about.com. URL consultato il 20 maggio 2012.
  2. ^ (EN) Mick Bauer, Designing and Using DMZ Networks to Protect Internet Servers, linuxjournal.com, 1º marzo 2001. URL consultato il 20 maggio 2012.
  3. ^ In generale in questi casi si applica la tipologia di NAT che coinvolge la translazione dell'indirizzo IP pubblico e porta di destinazione, che vengono sostituiti, da parte dell'apparato translatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale. Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port mapping'. Nelle implementazione di Linux con Iptables, si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure nella catena POSTROUTING con regola di SNAT

Voci correlate[modifica | modifica sorgente]

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica