Demilitarized zone

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search

Nell’ambito della sicurezza informatica, una demilitarized zone (DMZ, in italiano zona demilitarizzata), è una sottorete isolata, fisica o logica, che contiene dei servizi informatici offerti da un’azienda, accessibili sia da reti esterne non protette (WAN), che da workstation interne alla stessa azienda (intranet) e il cui scopo è quello di far usufruire questi servizi nella maniera più sicura possibile, senza compromettere la sicurezza della rete aziendale[1][2].

Descrizione[modifica | modifica wikitesto]

Nel senso militare e territoriale del termine il nome usato deriva dal termine "zona smilitarizzata", un'area tra stati nazionali in cui non è consentita alcuna operazione militare, cioè non è vista come zona appartenente a nessuna parte con cui confina[3]. Questo concetto metaforico è applicabile in ambito informatico, in quanto, una DMZ, funziona come una piccola rete isolata posizionata tra internet e la rete interna. Lo scopo della DMZ è quella di aggiungere un ulteriore livello di sicurezza ad una rete locale aziendale, dove, un nodo appartenente ad una rete esterna, può accedere soltanto ai servizi messi a disposizione senza mettere a rischio e compromettere la sicurezza dell’intera rete. Nel caso una delle macchine appartenenti alla DMZ sia sottoposta ad un attacco informatico, questo non si ripercuote sul resto della rete[4]. Per chi si connette dall'esterno dell'organizzazione, la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco". La scelta di collocare questi host in un’area come la DMZ è perché sono quelli che forniscono servizi sia ad utenti interni che esterni alla rete locale e proprio a causa dell’aumento potenziale di attacchi a servizi come server di posta elettronica, Web e Domain Name System (DNS) che vengono inseriti in tale zona[4].

Una DMZ può essere creata attraverso la definizione di policies distinte su uno o più firewall. Genericamente i firewall intermedi controllano il traffico tra i server nella DMZ, i client interni ed esterni. Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di NAT chiamata "port forwarding" o "port mapping"[5], implementata sul sistema che agisce da firewall che tipicamente sono di tipo packet filter[2].Una configurazione DMZ fornisce sicurezza dagli attacchi esterni, ma in genere non ha alcun effetto sugli attacchi interni come lo sniffing della comunicazione tramite un analizzatore di pacchetti o attacchi di spoofing.

Servizi[modifica | modifica wikitesto]

Qualsiasi servizio di rete che può essere offerto agli utenti della rete esterna ed interna può essere inserito nella DMZ. I più comuni di questi servizi sono:

Server Web[modifica | modifica wikitesto]

I server Web potrebbero dover comunicare con un database interno per fornire alcuni servizi specializzati. A volte è anche buona norma configurare una Zona Militarizzata Classificata (CMZ) separata dalla DMZ, cioè una zona militarizzata altamente monitorata che comprende per lo più server Web e server simili che si interfacciano con il mondo esterno, cioè Internet[6]. In questo modo proteggiamo i server di database mettendoli in una zona separata dalla CMZ essendo quest’ultima pubblicamente accessibile. In genere, non è una buona norma consentire al server Web di comunicare direttamente con il server database sottostante. Invece, può essere utilizzato un firewall dell'applicazione che funge da mezzo di comunicazione tra il server del database e il server web[4]. Ciò fornisce un ulteriore livello di sicurezza, sebbene più complesso. Questo tipo di configurazione ha però uno svantaggio dovuto al fatto che gli utenti della workstation non possono usare directory di rete e apportare modifiche direttamente a pagine Web o altri file e quindi costretti ad usare protocolli applicativi come FTP per caricare o scaricare le pagine[7].

Server Email[modifica | modifica wikitesto]

I messaggi di posta elettronica degli utenti sono confidenziali quindi sono generalmente memorizzati su server a cui non è possibile accedere da Internet, e quindi inserito in una zona LAN. Per far sì che il server di posta interno comunichi con server di posta esterni, viene posto un server ausiliario nella DMZ, il quale riceve email in arrivo e le inoltra al server interno principale[4][2]. In questo modo è possibile controllare la posta in arrivo sulla DMZ ad esempio tramite sandbox o antivirus prima di inoltrarla.

Server DNS[modifica | modifica wikitesto]

È possibile avere diverse configurazioni riguardante la posizione e il numero di server DNS in una DMZ. Se si dispone di un solo set di server DNS, sia per la zona interna che esterna, è necessario inserirli nella DMZ e consentire così agli utenti locali di accedervi anziché collocarli nella stessa rete interna e configurare nel firewall le richieste DNS esterne, la quale è una prassi poco sicura poiché permettiamo ad utenti esterni di accedere alla rete interna. La configurazione più comune consiste nell’usare due set di server DNS, un set di DNS interni e un set di server accessibili esternamente collocati nella DMZ, che è sicura ma accessibile solo dalla rete pubblica.[8][2]

Proxy[modifica | modifica wikitesto]

Per dare maggiore supporto e sicurezza alla struttura vengono usati dei firewall che lavorano a livello applicativo.

Server Proxy[modifica | modifica wikitesto]

Per favorire una maggiore sicurezza e conformità agli standard legali definiti ad esempio da HIPAA (The Health Insurance Portability and Accountability Act) e ragioni di monitoraggio è opportuno, in una ambientazione aziendale, la presenza di un server proxy nella DMZ[2][9]. I vantaggi introdotti sono i seguenti vantaggi:

  • Costringe gli utenti della workstation ad usare il server proxy per accedere ad internet.
  • Permette di ridurre il traffico di rete poiché alcuni contenuti Web potrebbero essere memorizzati nella cache dal server proxy.
  • Semplifica la registrazione e il monitoraggio delle attività degli utenti.
  • Filtro centralizzato dei contenuti web.
  • Web cache.

Reverse Proxy Server[modifica | modifica wikitesto]

È come un server proxy normale, fa da intermediario, ma ha lo scopo inverso. Invece di fornire un servizio agli utenti interni che desiderano accedere a una rete esterna, fornisce l'accesso indiretto per una rete esterna (di solito Internet) alle risorse interne. Questo è un ulteriore livello di sicurezza, che è particolarmente consigliato quando è necessario accedere alle risorse interne dall'esterno. Solitamente tale meccanismo di proxy inverso viene fornito utilizzando un firewall a livello di applicazione in quanto si concentrano sulla forma specifica del traffico piuttosto che sul controllo dell'accesso a specifiche porte TCP e UDP come fa un firewall che si limita solo a filtrare i pacchetti.[10][9]

Architettura[modifica | modifica wikitesto]

Una DMZ può essere progettata in modi diversi a seconda delle esigenze e dei requisiti di rete desiderati, e tipicamente è una soluzione adottata dalle grandi aziende. I Due dei metodi più comuni sono le configurazioni: con un singolo firewall, noto anche come modello a tre gambe, e con doppio firewall. Queste architetture possono essere ampliate per creare architetture molto complesse a seconda dei requisiti di rete.

Singolo firewall[modifica | modifica wikitesto]

Diagramma di una rete che utilizza una DMZ creata utilizzando un firewall a tre connessioni (three-legged firewall).

La rete dispone di un singolo firewall con almeno 3 interfacce di rete, le quali forniscono rispettivamente un collegamento con:

  • La rete esterna, dalla quale arrivano le richieste internet tramite un router (WAN).
  • La rete interna in cui vi è la workstation (intranet).
  • La DMZ che contiene i server offerti.

Il firewall che gestisce il tutto diventa l’unica possibile falla di sicurezza per la rete intera e deve essere in grado di gestire tutto il traffico diretto alla DMZ e alla rete interna. Rappresenta una configurazione poco sicura dovuta proprio alla presenza di un unico firewall.[4]

Doppio firewall[modifica | modifica wikitesto]

Diagramma di una rete che utilizza una DMZ creata utilizzando due firewall.

Un approccio più sicuro consiste nell'utilizzare due firewall per creare una DMZ. La configurazione consiste nell’usare un primo firewall esterno come prima linea di difesa e deve essere configurato per consentire solo il traffico destinato alla DMZ[11]. Il secondo firewall interno che consente solo il traffico dalla DMZ alla rete interna. La presenza di due firewall è una sicurezza aggiuntiva per la rete interna perché invece di un unico punto di sicurezza ne troviamo due. C'è ancora più protezione se i due firewall usati provengono da due diversi fornitori, perché rende meno probabile che entrambi i dispositivi soffrano delle stesse vulnerabilità di sicurezza[4]. Uno degli svantaggi di questa architettura è che è più costoso, sia da acquistare che da gestire. La pratica di utilizzare firewall diversi da diversi fornitori viene talvolta descritta come una componente di una strategia di sicurezza "difesa in profondità”[12][13] Dal punto di vista topologico si può avere una ulteriore differenziazione di questa struttura, ovvero una configurazione doppio firewall “in line” o a T. Nel primo caso abbiamo un firewall esterno ed un firewall interno e nella zona compresa tra i due si trova la DMZ, mentre nel secondo caso abbiamo un primo firewall esterno collegato ad uno switch da cui si diramano due collegamenti protetti ognuno da un firewall interno che fanno da barriera rispettivamente alla workstation e una zona in cui vi sono i dati aziendali.

Host DMZ (Pseudo DMZ)[modifica | modifica wikitesto]

Alcuni router domestici si riferiscono erroneamente alla configurazione di un host esposto come "DMZ". È possibile specificare l'indirizzo IP di un computer nella rete interna a cui tutti i pacchetti vengono inoltrati da Internet, che non può essere assegnato a un altro destinatario tramite la tabella NAT. Ciò rende l'host (anche per potenziali aggressori) accessibile da Internet. Il port forwarding delle porte effettivamente utilizzate è preferibile se possibile e questo perché il tutto ruota su questo concetto, perché è l’operazione che consente di dirigere il traffico generato da un nodo della rete verso una o più porte di comunicazione del router, e questi permette all’utente che si connette dall’esterno di raggiungere la risorsa di rete associata a quella porta senza l’impedimento di filtri che rallenti lo scambio di dati o renda la comunicazione complicata.[14]

Note[modifica | modifica wikitesto]

  1. ^ (EN) Bradley Mitchell, DMZ - De-Militarized Zone (Computer Networking), su lifewire.com. URL consultato il 17 dicembre 2017.
  2. ^ a b c d e (EN) Mick Bauer, Designing and Using DMZ Networks to Protect Internet Servers, linuxjournal.com, 1º marzo 2001. URL consultato il 17 dicembre 2017.
  3. ^ (EN) Mike Chapple, Four Tips for Securing a Network DMZ, su fedtechmagazine.com. URL consultato il 17 dicembre 2017.
  4. ^ a b c d e f (EN) tech-faq, DMZ (DeMilitarized Zone), su tech-faq.com, 11 marzo 2016. URL consultato il 17 dicembre 2017.
  5. ^ In generale in questi casi si applica la tipologia di NAT che coinvolge la traslazione dell'indirizzo IP pubblico e porta di destinazione, che vengono sostituiti, da parte dell'apparato traslatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale. Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port mapping'. Nelle implementazioni di Linux con Iptables, si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure nella 'catena POSTROUTING' con regola di SNAT.
  6. ^ (EN) Michael Hamelin, How to Design a Secure DMZ, su eweek.com, 1º settembre 2010, pp. 2. URL consultato il 17 dicembre 2017.
  7. ^ (EN) Vincent Danen, Lock IT Down: Implementing a DMZ, su techrepublic.com, 29 marzo 2001. URL consultato il 17 dicembre 2017.
  8. ^ (EN) Deb Shinder, DNS Best Practices, techgenix.com, 19 ottobre 2006. URL consultato il 17 dicembre 2017.
  9. ^ a b (EN) Enno Rey, Considerations on DMZ Design in 2016, Part 2: A Quick Digression on Reverse Proxies, insinuator.net, 8 settembre 2016. URL consultato il 17 dicembre 2017.
  10. ^ (EN) Prasanna Bidkar, Difference Between a DMZ Server & a Reverse Proxy, su smallbusiness.chron.com. URL consultato il 17 dicembre 2017.
  11. ^ Stuart Splaine, Testing Web Security: Assessing the Security of Web Sites and Applications, Wiley, 2002, pp. 368, ISBN 0-471-23281-5.
  12. ^ Luigi Cristiani, ABC della sicurezza: Defense in Depth, su techeconomy.it, 14 luglio 2015. URL consultato il 17 dicembre 2017.
  13. ^ (EN) Young, Scott, Designing a DMZ, SANS Institute, 2001, pp. 2. URL consultato il 17 dicembre 2017.
  14. ^ Come accedere da remoto al computer di casa, Fastweb. URL consultato il 17 dicembre 2017.

Voci correlate[modifica | modifica wikitesto]