Ogni impresa, che gestisce un mail server o un proprio sito web aziendale, si trova di fronte allo stesso problema: i computer che offrono servizi web o e-mail devono essere rag­giun­gi­bi­li tramite Internet. Allo stesso tempo, il personale che lavora sulla LAN (Local Area Network) ha bisogno di un accesso veloce a queste risorse. Ma la gestione sulla stessa rete comporta un alto rischio alla sicurezza. Server web, mail server, server DNS o proxy, ai quali si deve accedere da una rete pubblica, sono dei facili obiettivi per gli hacker. Se questi “bastion host” (computer bastioni) sono collegati di­ret­ta­men­te con la LAN, esiste il rischio che un server corrotto com­pro­met­ta l’intera rete aziendale. Le reti pe­ri­me­tra­li, chiamate anche DMZ, nelle quali si mettono al sicuro i server in pericolo offrono una soluzione a questo dilemma.

Che cos’è una DMZ?

Con DMZ, dall’inglese de­li­mi­ta­ri­zed zone (zona de­mi­li­ta­riz­za­ta), si indica una rete di computer, che funge tra due reti da zona cu­sci­net­to con un proprio indirizzo IP e le delimita mediante regole di accesso rigide. I server all’interno di una DMZ, seppur si trovino fi­si­ca­men­te sempre nelle aziende, non sono però collegati di­ret­ta­men­te ai di­spo­si­ti­vi connessi alla rete locale. La funzione di massima pro­te­zio­ne prevede che la zona DMZ tra la LAN e Internet sia protetta at­tra­ver­so un firewall separato dalle altre due zone. Invece sono più con­ve­nien­ti le ar­chi­tet­tu­re di rete, nelle quali tutte le reti sono collegate ad un solo firewall con tre con­nes­sio­ni separate: si parla in questo caso di una DMZ protetta.

Una DMZ con due firewall

Per pro­teg­ge­re una rete aziendale contro attacchi ad una rete di co­mu­ni­ca­zio­ne geo­gra­fi­ca (WAN), di regola si usa una zona DMZ con due firewall (può trattarsi di com­po­nen­ti hardware in­di­pen­den­ti o di un firewall su di un router). Il firewall esterno protegge la zona DMZ della rete pubblica, che attiva il firewall interno tra la DMZ e la rete aziendale.

Immagine: Una DMZ con due firewall
Rap­pre­sen­ta­zio­ne sche­ma­ti­ca di una zona de­mi­li­ta­riz­za­ta (DMZ) con due firewall (fonte: https://commons.wikimedia.org/wiki/File%3ADMZ_network_diagram_2_firewall.svg)

Questa ar­chi­tet­tu­ra di sicurezza su due livelli permette di con­fi­gu­ra­re un percorso statico per regolare il traffico dati tra le reti come segue:

Gli utenti si trovano… Accesso alla DMZ Accesso alla LAN Accesso a Internet
… su Internet (WAN) permesso Non con­sen­ti­to -
… nella LAN permesso - permesso
… nella DMZ - Non con­sen­ti­to Non con­sen­ti­to

Mentre gli utenti possono accedere alla LAN sia dal server nella DMZ sia dalla WAN, l’accesso a Internet è con­sen­ti­to solo dalla zona DMZ. Il traffico dati fuori dalla DMZ viene bloccato da entrambi i firewall.

Si consiglia l’uso di firewall di diversi pro­dut­to­ri, al­tri­men­ti agli hacker ba­ste­reb­be sfruttare una nota falla di sicurezza per superare entrambi i firewall. Per prevenire gli attacchi di un server com­pro­mes­so ad altri di­spo­si­ti­vi all’interno della DMZ, questi si possono separare l’uno dall’altro at­tra­ver­so ulteriori firewall o con una seg­men­ta­zio­ne delle reti VLAN (Virtual Local Area Network).

Una DMZ con un solo firewall

Una DMZ si può rea­liz­za­re a basso costo mediante un solo firewall dalle alte pre­sta­zio­ni (o con un router com­pren­si­vo di firewall) con tre con­nes­sio­ni separate: una per Internet, una per la LAN e una terza per la DMZ. In una DMZ protetta di questo tipo vengono con­trol­la­te dallo stesso firewall tutte le porte, in­di­pen­den­ti l’una dall’altra, per le quali si può ve­ri­fi­ca­re il Single Point of Failure nella rete. Inoltre, il firewall deve essere in grado di far fronte in una struttura di questo tipo sia al traffico pro­ve­nien­te da Internet sia agli accessi alla LAN.

Immagine: Una DMZ con un solo firewall
In una DMZ protetta c’è un solo firewall a sor­ve­glia­re le con­nes­sio­ni. Lo stesso controlla anche il traffico che proviene da Internet e gli accessi a partire dalla LAN (fonte: https://commons.wikimedia.org/wiki/File%3ADMZ_network_diagram_2_firewall.svg)

Host esposto

Molti router nella fascia di prezzo più bassa pro­muo­vo­no l’uso di un supporto DMZ, ma spesso questo comporta solo la pos­si­bi­li­tà di con­fi­gu­ra­re un computer nella rete locale come host esposto. Il router pre­de­fi­ni­to inoltra a questo tutte le richieste pro­ve­nien­ti da Internet, che non ap­par­ten­go­no alle con­nes­sio­ni già esistenti. Il computer è così rag­giun­gi­bi­le per gli utenti da Internet. Un host esposto non svolge però la funzione di pro­te­zio­ne di una vera DMZ perché non è separato dalla LAN.

Vai al menu prin­ci­pa­le