Demilitarized zone: differenze tra le versioni

Nel senso militare e territoriale del termine il nome usato deriva dal termine "[[zona demilitarizzata]]", un'area tra stati nazionali in cui non è consentita alcun'operazione militare, cioè è vista come zona non appartenente ad alcuna parte confinante.<ref name="fedtech">{{cita web|lingua=en|url=https://fedtechmagazine.com/article/2012/05/four-tips-securing-network-dmz-fed |titolo=Four Tips for Securing a Network DMZ| autore=Mike Chapple | accesso=17 dicembre 2017}}</ref>. Questo concetto metaforico è applicabile in ambito informatico, in quanto una DMZ funziona come una piccola rete isolatadi confine posizionata tra Internet e la rete interna. Lo scopo della DMZ è quello di aggiungere un ulterioreuno livellostrato di sicurezza ad una rete locale aziendale, dovenel quale un nodo appartenente ad una rete esterna può accedere soltanto ai servizi messi a disposizione, senza mettere a rischio e compromettere la sicurezza dell’interadella rete locale interna. Nel caso una delle macchine appartenenti alla DMZ sia sottoposta adsubisca un [[attacco informatico]], questo non si ripercuote sul resto della rete<ref name="techfaq">{{cita web|lingua=en|url=http://www.tech-faq.com/dmz.html |titolo=DMZ (DeMilitarized Zone) |autore=tech-faq |data=11 marzo 2016|accesso=17 dicembre 2017}}</ref>. Per chi si connette dall'esterno dell'organizzazione, la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco". La scelta di collocare questideterminati [[host]] in un’area come la DMZ è perchéfatta sonoquando quellitali chehost forniscono servizi sia ad utenti interniesterni che esterniinterni alla rete locale e proprio a causa dell’aumento potenziale di attacchi a servizi come [[server]] di posta elettronica, Web e [[Domain Name System]] (DNS) cheessi vengono inseriti in tale zona<ref name="techfaq"/>, evitando così che una eventuale loro compromissione si propaghi alla rete interna.

Una DMZ può essere creata attraverso la definizione di policy distinte su uno o più [[firewall]]. Genericamente i firewall intermedi controllano il traffico tra i server nella DMZ, i client interni ed esterni. Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di [[Network address translation|NAT]] chiamata "[[port forwarding]]" o "port mapping"<ref group="N">In generale in questi casi si applica la tipologia di NAT che coinvolge la traslazione dell'indirizzo IP pubblico e porta di destinazione, che vengono sostituiti, da parte dell'apparato traslatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale. Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port mapping'.

Nelle implementazioni di [[Linux]] con [[Iptables]], si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure nella 'catena POSTROUTING' con regola di SNAT.</ref>, implementata sul sistema che agisce da firewall che tipicamente sonoè di tipo [[Firewall#Packet filter firewall o stateless firewall|packet filter]]<ref name="linuxjournal">{{cita web|url=https://www.linuxjournal.com/article/4415|titolo=Designing and Using DMZ Networks to Protect Internet Servers|autore=Mick Bauer|editore=linuxjournal.com|data=1º marzo 2001|lingua=en|accesso=17 dicembre 2017}}</ref>. Una configurazione DMZ fornisce sicurezzaprotezione dagli attacchi esterni, ma in genere non ha alcun effetto sugli attacchi interni, come lo [[sniffing]] della comunicazione tramite un analizzatore di pacchetti o attacchi di [[spoofing]].

I server web potrebbero dover comunicare con un database interno per fornire alcuni servizi specializzati. A volte è anche buona norma configurare una Zona Militarizzata Classificata (CMZ) separata dalla DMZ, cioè una zona militarizzata altamente monitoratasorvegliata che comprende per lo più server Web e server simili che si interfacciano con il mondo esterno, cioè Internet<ref name="eweek">{{cita web|lingua=en|url=http://www.eweek.com/security/how-to-design-a-secure-dmz|titolo=How to Design a Secure DMZ|autore=Michael Hamelin |data=1º settembre 2010|accesso=17 dicembre 2017 |p=2}}</ref>. In questo modo proteggiamo i server di [[database]] mettendoli in una zona separata dalla DMZ essendo quest’ultima pubblicamente accessibile. In genere, non è una buona norma consentire al server Web di comunicare direttamente con il sottostante server databasedi sottostantedatabase. Invece,È puòopportuno essere utilizzatoutilizzare un firewall dell'a [[livello di applicazione]], che funge da mezzo di comunicazione tra il server del database e il server web<ref name="techfaq"/>. Ciò fornisce un ulteriore livello di sicurezza, sebbene piùaumenti la complessità complessodella rete. Questo tipo di configurazione ha peròpoi uno svantaggio dovuto al fatto che: gli utenti della [[workstation]] (gli utenti locali) non possono usare [[directory]] di rete e apportare modifiche direttamente a pagine Web o altri file e sono quindi costretti ad usare protocolli applicativi come [[File Transfer Protocol|FTP]] per caricare o scaricare le pagine<ref name="tech-republic">{{cita web|lingua=en|url=https://www.techrepublic.com/article/lock-it-down-implementing-a-dmz/ |titolo=Lock IT Down: Implementing a DMZ |autore=Vincent Danen |data=29 marzo 2001|accesso=17 dicembre 2017}}</ref>.

I messaggi di posta elettronica degli utenti sono confidenziali, quindi sono generalmente memorizzati su un server a cui non è possibile accedere da Internet, e quindi inserito in una zona LAN. Per far sì che il server di posta interno comunichi con server di posta esterni, viene posto un server ausiliario nella DMZ, il quale riceve le email in arrivo e le inoltra al server interno principale<ref name="techfaq"/><ref name="linuxjournal"/>. In questo modo è possibile controllare la posta in arrivo sulla DMZ, ad esempio tramite [[sandbox]] o antivirus, prima di inoltrarla.

È possibile avere diverse configurazioni riguardanteriguardanti la posizione e il numero di server DNS in una DMZ. Se si dispone di un solo set di server DNS, sia per la zona interna che esterna, è necessario inserirli nella DMZ e consentire così agli utenti locali di accedervi anziché collocarli nella stessa rete interna e configurare nel firewall le richieste DNS esterne, la quale è una prassi poco sicura poiché permettiamo ad utenti esterni di accedere alla rete interna. La configurazione più comune consiste nell’usare due set di server DNS, un set di DNS interni e un set di server accessibili esternamente collocati nella DMZ, che è sicura ma accessibile solo dalla rete pubblica.<ref name="techgenix">{{cita web|lingua=en|url=http://techgenix.com/dns-best-practices-389/|titolo=DNS Best Practices| editore=techgenix.com |autore=Deb Shinder|data=19 ottobre 2006|accesso=17 dicembre 2017}}</ref><ref name="linuxjournal"/>

* La rete interna, in cui vi è la workstation ([[intranet]]).

* La DMZ, che contiene i servizi offerti.

Il firewall che gestisce il tutto diventa l’unica possibile falla di sicurezza per la rete intera e deve essere in grado di gestire tutto il traffico diretto alla DMZ e alla rete interna. Rappresenta una configurazione poco sicura dovuta, proprio allaa causa della presenza di un unico firewall.<ref name="techfaq"/>

Un approccio più sicuro consiste nell'utilizzare due firewall per creare una DMZ. La configurazione consiste nell’usare un primo firewall esterno come prima linea di difesa, eche deve essere configurato per consentire solo il traffico destinato alla DMZ<ref name="ebookdualfirewall">{{Cita libro|url=https://books.google.com/books?id=2eQ2yxTA3tUC&pg=PA296&dq=dual+firewall+dmz&hl=en&sa=X&ved=0ahUKEwjP6YuczNPJAhXF6iYKHZ6jBq8Q6AEIPTAC#v=onepage&q=dual%20firewall%20dmz&f=false |titolo=Testing Web Security: Assessing the Security of Web Sites and Applications |editore=Wiley |autore=Stuart Splaine |anno=2002 |p=368 | isbn=0-471-23281-5}}</ref>. Il secondo firewall è interno chee consente solo il traffico dalla DMZ alla rete interna. La presenza di due firewall è una sicurezza aggiuntiva per la rete interna perché invece di un unico punto di sicurezza ne troviamo due. C'è ancora più protezione se i due firewall usati provengono da due diversi fornitori, perché questo rende meno probabile che entrambi i dispositivi soffrano delle stesse [[vulnerabilità informatica|vulnerabilità di sicurezza]]<ref name="techfaq"/>.

Uno degli svantaggi di questa architettura è che è più costosocostosa, sia daal acquistaremomento dell'acquisto che danella gestiregestione. La pratica di utilizzare firewall diversi da diversi fornitori viene talvolta descritta come una componente di una strategia di sicurezza "difesa in profondità”<ref name="techeconomy">{{cita web |url=http://www.techeconomy.it/2015/07/14/abc-sicurezza-defense-in-depth/ |titolo=ABC della sicurezza: Defense in Depth |autore=Luigi Cristiani |data=14 luglio 2015 |accesso=17 dicembre 2017 |dataarchivio=20 giugno 2017 |urlarchivio=https://web.archive.org/web/20170620012421/http://www.techeconomy.it/2015/07/14/abc-sicurezza-defense-in-depth/ |urlmorto=sì }}</ref><ref name="sans">{{Cita web|lingua=en |url=https://www.sans.org/reading-room/whitepapers/firewalls/designing-dmz-950 |titolo=Designing a DMZ |editore=SANS Institute |data=2001 | accesso=17 dicembre 2017 |autore=Young, Scott |p=2}}</ref>

Dal punto di vista topologico si può avere un'ulteriore differenziazione di questa struttura, ovvero una configurazione doppio firewall “in line” ooppure a T. Nel primo caso abbiamo un firewall esterno ed un firewall interno e nella zona compresa tra i due si trova la DMZ, mentre nel secondo caso abbiamo un primo firewall esterno collegato ad uno [[switch]] da cui si diramano due collegamenti protetti ognuno da un firewall interno che fanno da barriera rispettivamente alla workstation e ad una zona in cui vi sono i dati aziendali.

AlcuniVolendo routeraccedere domesticida si riferiscono erroneamenteremoto alla configurazione di un host esposto come "DMZ". È possibile specificare l'[[indirizzo IP]] di un computer nella rete interna a cui tutti i pacchetti vengono inoltrati da InternetLAN, che non può essere assegnato a un altro destinatario tramite la tabella NAT. Ciò rende l'host (anche per potenziali aggressori) accessibile da Internet. Ilil port forwarding delle porte effettivamente utilizzate è preferibile se possibile e questo perché il tuttoport ruota su questo concetto, perchéforwarding è l’operazione che consente di dirigere il traffico generato da un nodo della rete verso una o più porte di comunicazione del [[router]], e questiquesto permette all’utente che si connette dall’esterno di raggiungere la risorsa di rete associata a quella porta senza l’impedimento di filtri che rallenti lo scambio di dati o renda la comunicazione complicata.<ref name="fastweb">{{cita web | url=http://www.fastweb.it/internet/come-accedere-da-remoto-al-computer-di-casa/| titolo=Come accedere da remoto al computer di casa | editore=Fastweb | accesso=17 dicembre 2017}}</ref>