Rete DMZ

Nella sicurezza informatica, una rete DMZ (a volte chiamata "zona demilitarizzata") funziona come una sottorete contenente i servizi esposti e rivolti verso l'esterno di un'organizzazione. Agisce come il punto esposto a una rete non attendibile, comunemente internet.

L'obiettivo di una DMZ è aggiungere un ulteriore livello di sicurezza alla rete locale di un'organizzazione. Un nodo di rete protetto e monitorato che si affaccia all'esterno della rete interna può accedere a ciò che è esposto nella DMZ, mentre il resto della rete dell'organizzazione è al sicuro dietro un firewall.

Quando implementata correttamente, una rete DMZ offre alle organizzazioni una protezione extra nel rilevare e mitigare le violazioni della sicurezza prima che raggiungano la rete interna, dove sono conservati beni preziosi.

Scopo di una DMZ

La rete DMZ esiste per proteggere gli host più vulnerabili agli attacchi. Questi host di solito coinvolgono servizi che si estendono agli utenti al di fuori della rete locale, i più comuni esempi sono e-mail, server web e server DNS. A causa del potenziale aumentato di attacco, vengono collocati nella sottorete monitorata per aiutare a proteggere il resto della rete nel caso vengano compromessi.

Gli host nella DMZ hanno permessi di accesso strettamente controllati ad altri servizi all'interno della rete interna, perché i dati che passano attraverso la DMZ non sono così sicuri. Inoltre, le comunicazioni tra gli host nella DMZ e la rete esterna sono anche limitate per contribuire ad aumentare la zona di confine protetta. Questo consente agli host nella rete protetta di interagire con la rete interna ed esterna, mentre il firewall separa e gestisce tutto il traffico condiviso tra la DMZ e la rete interna. Tipicamente, un firewall aggiuntivo sarà responsabile di proteggere la DMZ dall'esposizione a tutto ciò che si trova sulla rete esterna.

Tutti i servizi accessibili agli utenti che comunicano da una rete esterna possono e devono essere collocati nella DMZ, se utilizzata. I servizi più comuni sono:

• I server Web: I server Web responsabili della comunicazione con un server di database interno potrebbero dover essere posizionati in una DMZ. Questo aiuta a garantire la sicurezza del database interno, che spesso memorizza informazioni sensibili. I server Web possono quindi interagire con il server di database interno tramite un firewall per applicazioni o direttamente, pur rientrando nell'ambito delle protezioni della DMZ.
• I server di posta: i singoli messaggi di posta elettronica, così come il database utente costruito per memorizzare le credenziali di accesso e i messaggi personali, sono di solito memorizzati su server senza accesso diretto a Internet. Pertanto, un server di posta elettronica sarà costruito o posizionato all'interno della DMZ per interagire con e accedere al database di posta elettronica senza esporlo direttamente a traffico potenzialmente dannoso.
• Server FTP: Questi possono ospitare contenuti critici sul sito di un'organizzazione e consentire l'interazione diretta con i file. Pertanto, un server FTP dovrebbe essere sempre parzialmente isolato dai sistemi interni critici.

Una configurazione DMZ fornisce sicurezza aggiuntiva dagli attacchi esterni, ma di solito non ha rilevanza sugli attacchi interni come l'analisi delle comunicazioni tramite un analizzatore di pacchetti o lo spoofing tramite e-mail o altri mezzi.

design DMZ

Esistono numerosi modi per costruire una rete con una DMZ. I due metodi principali sono un singolo firewall (a volte chiamato modello a tre gambe) o firewall doppi. Ciascuno di questi sistemi può essere ampliato per creare architetture complesse progettate per soddisfare i requisiti di rete:

• Firewall singolo: Un approccio modesto all'architettura di rete prevede l'utilizzo di un singolo firewall, con un minimo di 3 interfacce di rete. La DMZ verrà posizionata all'interno di questo firewall. Il livello di operazioni è il seguente: il dispositivo di rete esterno stabilisce la connessione dall'ISP, la rete interna è collegata dal secondo dispositivo e le connessioni all'interno della DMZ sono gestite dal terzo dispositivo di rete.
• Doppio firewall: L'approccio più sicuro è utilizzare due firewall per creare una DMZ. Il primo firewall (denominato firewall "frontend") è configurato per consentire solo il traffico destinato alla DMZ. Il secondo firewall (denominato firewall "backend") è responsabile solo del traffico che viaggia dalla DMZ alla rete interna. Un modo efficace per aumentare ulteriormente la protezione è utilizzare firewall costruiti da fornitori separati, poiché è meno probabile che abbiano le stesse vulnerabilità di sicurezza. Sebbene più efficace, questo schema può risultare più costoso da implementare su una rete di grandi dimensioni.

Su molte reti domestiche, i dispositivi abilitati a Internet sono costruiti attorno a una rete locale che accede a Internet tramite un router a banda larga. Tuttavia, il router funge sia da punto di connessione che da firewall, automatizzando il filtraggio del traffico per garantire che solo i messaggi sicuri entrino nella rete locale. Quindi, su una rete domestica, una DMZ può essere costruita aggiungendo un firewall dedicato, tra la rete locale e il router. Sebbene più costosa, questa struttura può aiutare a proteggere meglio i dispositivi interni da attacchi sofisticati proteggendo meglio i dispositivi interni da possibili attacchi dall'esterno.

Le DMZ sono una parte essenziale della protezione della rete sia per gli utenti individuali che per le grandi organizzazioni. Forniscono un ulteriore livello di sicurezza alla rete di computer limitando l'accesso remoto ai server interni e alle informazioni, che possono essere molto dannosi se compromessi.