DMZ

 

Network Solutions

 

La DMZ: cos’è e perché si usa
Dividere la rete in zone è una tecnica che aumenta notevolmente la sicurezza. Cerchiamo di capire cos’è e come funziona la DMZ, una zona delicata ed importante per i processi di sicurezza; l’acronimo significa “zona demilitarizzata”.
La sicurezza perimetrale si occupa di proteggere una rete nei punti in cui essa è a contatto con il mondo esterno.
In base al tipo di traffico e alla funzione si identificano diverse zone. Nei casi più semplici, le uniche due zone, LAN e WAN sono attestate sui due lati del firewall.
Il lato LAN (local area network) è il segmento privato e protetto, e ad esso appartengono tutti gli host ed i server i cui servizi sono riservati all’uso interno.
La zona WAN (wide area network) è la parte esterna, e ad essa appartengono uno o più apparati di routing che sostengono il traffico da e per la rete locale, sia verso internet che verso eventuali sedi remote dell’azienda.
Non appena l’architettura della rete comincia ad evolversi, ci si trova nella necessità di esporre all’esterno alcuni servizi. Il caso più comune è la posta elettronica: l’installazione di un mail server “in casa” comporta la pubblicazione del servizio SMTP.
Quando la struttura ed il budget non sono particolarmente importanti, spesso si decide di fidarsi del firewall e delle sue tabelle di NAT.
Pubblicare direttamente la porta SMTP del server di posta non è ortodosso dal punto di vista della sicurezza, malgrado ciò è una soluzione adottata molto spesso dalle piccole aziende che non possono sostenere costi di infrastruttura troppo elevati.
Appena è possibile è fortemente consigliata la creazione di una terza zona: la DMZ. Essa è un’area in cui sia il traffico WAN che quello LAN sono fortemente limitati e controllati; in pratica, si tratta di una zona “cuscinetto” tra interno ed esterno, che viene attestata su una ulteriore interfaccia di rete del firewall, oppure viene creata aggiungendo un firewall, come nello schma qui sopra.
Generalmente si installano in DMZ i server detti front-end, a cui corrispondono i relativi back-end in LAN.
Anche in questo caso l’esempio tipico è la posta: in DMZ il server che pubblica il servizio SMTP ed eventualmente la webmail, l’antispam e l’antivirus, in LAN rimane il server che ospita il database delle caselle e gli altri servizi.
Altro caso tipico sono gli application server, che isolano un database residente in LAN ma ne offrono una interfaccia verso l’esterno.
Quali sono i vantaggi per la sicurezza?
Nel malaugurato caso in cui un servizio in LAN fosse compromesso in seguito ad una vulnerabilità, l’aggressore potrebbe raggiungere anche gli altri host della rete, dato che in LAN non esiste isolamento tra il server e gli altri nodi.
Se lo stesso problema si verificasse in DMZ, l’attaccante avrebbe grosse difficoltà a raggiungere la LAN, poiché il traffico tra i server front-end e back-end è fortemente limitato dal firewall.
In genere un server di front-end comunica solo con il suo back-end, e solo con le porte TCP e/o UDP strettamente necessarie.
Ricapitolando, la DMZ è un’area pubblica protetta, dove il traffico è strettamente regolato da entrambi i lati ed è utile per pubblicare servizi verso l’esterno minimizzando i rischi per la rete interna.
Architetture più complesse possono implicare la presenza di più zone DMZ distinte, con il relativo controllo del traffico su tutti i lati.