Demilitarized zone: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Nessun oggetto della modifica Etichette: Possibile modifica di prova o impropria Vandalismo quasi certo Modifica visuale: commutato |
|||
| (10 versioni intermedie di 7 utenti non mostrate) | |||
Riga 1:
{{Nota disambigua|l'area di confine in cui sono proibite attività militari|Zona demilitarizzata}}
Nell’ambito delle [[reti informatiche]] e della [[sicurezza informatica]], una '''demilitarized zone''' o '''DMZ''' (in [[Lingua italiana|italiano]] '''zona demilitarizzata''') è una sottorete fisica o logica che contiene ed espone dei servizi ad una rete esterna non ritenuta sicura, come ad esempio Internet. Lo scopo di una DMZ è di proteggere la rete LAN di un'organizzazione.
Line 7 ⟶ 5:
Nel senso militare e territoriale del termine il nome usato deriva dal termine "[[zona demilitarizzata]]", un'area tra stati nazionali in cui non è consentita alcun'operazione militare, cioè è vista come zona non appartenente ad alcuna parte confinante.<ref name="fedtech">{{cita web|lingua=en|url=https://fedtechmagazine.com/article/2012/05/four-tips-securing-network-dmz-fed |titolo=Four Tips for Securing a Network DMZ| autore=Mike Chapple | accesso=17 dicembre 2017}}</ref>. Questo concetto metaforico è applicabile in ambito informatico, in quanto una DMZ funziona come una piccola rete di confine posizionata tra Internet e la rete interna. Lo scopo della DMZ è quello di aggiungere uno strato di sicurezza ad una rete locale aziendale, nel quale un nodo appartenente ad una rete esterna può accedere soltanto ai servizi messi a disposizione, senza mettere a rischio e compromettere la sicurezza della rete locale interna. Nel caso una delle macchine appartenenti alla DMZ subisca un [[attacco informatico]], questo non si ripercuote sul resto della rete<ref name="techfaq">{{cita web|lingua=en|url=http://www.tech-faq.com/dmz.html |titolo=DMZ (DeMilitarized Zone) |autore=tech-faq |data=11 marzo 2016|accesso=17 dicembre 2017}}</ref>. Per chi si connette dall'esterno dell'organizzazione, la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco". La scelta di collocare determinati [[host]] in un’area come la DMZ è fatta quando tali host forniscono servizi sia ad utenti esterni che interni alla rete locale e a causa dell’aumento potenziale di attacchi a servizi come [[server]] di posta elettronica, Web e [[Domain Name System]] (DNS) essi vengono inseriti in tale zona<ref name="techfaq"/>, evitando così che una eventuale loro compromissione si propaghi alla rete interna.
Una DMZ può essere creata attraverso la definizione di policy distinte su uno o più [[firewall]]. Genericamente i firewall intermedi controllano il traffico tra i server nella DMZ, i client interni ed esterni. Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di [[Network address translation|NAT]] chiamata "[[port forwarding]]" o "port mapping"<ref group="N">In generale in questi casi si applica la tipologia di NAT che coinvolge la traslazione dell'indirizzo IP pubblico e porta di destinazione, che vengono sostituiti, da parte dell'apparato traslatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale. Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port mapping'.
Nelle implementazioni di [[Linux]] con [[Iptables]], si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure nella 'catena POSTROUTING' con regola di SNAT.</ref>, implementata sul sistema che agisce da firewall che tipicamente è di tipo [[Firewall#Packet filter firewall o stateless firewall|packet filter]]<ref name="linuxjournal">{{cita web|url=https://www.linuxjournal.com/article/4415|titolo=Designing and Using DMZ Networks to Protect Internet Servers|autore=Mick Bauer|editore=linuxjournal.com|data=1º marzo 2001|lingua=en|accesso=17 dicembre 2017}}</ref>. Una configurazione DMZ fornisce protezione dagli attacchi esterni, ma in genere non ha alcun effetto sugli attacchi interni, come lo [[sniffing]] della comunicazione tramite un analizzatore di pacchetti o attacchi di [[spoofing]].
Line 14 ⟶ 12:
===Server web===
I server web potrebbero dover comunicare con un database interno per fornire alcuni servizi specializzati. A volte è anche buona norma configurare una Zona Militarizzata Classificata (CMZ) separata dalla DMZ, cioè una zona militarizzata altamente sorvegliata che comprende per lo più server Web e server simili che si interfacciano con il mondo esterno, cioè Internet<ref name="eweek">{{cita web|lingua=en|url=http://www.eweek.com/security/how-to-design-a-secure-dmz|titolo=How to Design a Secure DMZ|autore=Michael Hamelin |data=1º settembre 2010|accesso=17 dicembre 2017 |p=2}}</ref>. In questo modo proteggiamo i server di [[database]] mettendoli in una zona separata dalla DMZ essendo quest’ultima pubblicamente accessibile. In genere, non è una buona norma consentire al server Web di comunicare direttamente con il sottostante server di database. È opportuno utilizzare un firewall a [[livello di applicazione]], che funge da mezzo di comunicazione tra il server del database e il server web<ref name="techfaq"/>. Ciò fornisce un ulteriore livello di sicurezza, sebbene aumenti la complessità della rete. Questo tipo di configurazione ha poi uno svantaggio: gli utenti della [[workstation]] (gli utenti locali) non possono usare [[directory]] di rete e apportare modifiche direttamente a pagine Web o altri file e sono quindi costretti ad usare protocolli applicativi come [[File Transfer Protocol|FTP]] per caricare o scaricare le pagine<ref name="tech-republic">{{cita web|lingua=en|url=https://www.techrepublic.com/article/lock-it-down-implementing-a-dmz/ |titolo=Lock IT Down: Implementing a DMZ |autore=Vincent Danen |data=29 marzo 2001|accesso=17 dicembre 2017}}</ref>.
===Server e-mail===
Line 42 ⟶ 40:
===Singolo firewall===
La rete dispone di un singolo firewall con almeno tre interfacce di rete, le quali forniscono rispettivamente un collegamento con:
* La rete esterna, dalla quale arrivano le richieste internet tramite un router (WAN).
* La rete interna, in cui vi è la workstation ([[intranet]]).
* La DMZ, che contiene i servizi offerti.
Line 56 ⟶ 52:
Un approccio più sicuro consiste nell'utilizzare due firewall per creare una DMZ. La configurazione consiste nell’usare un primo firewall esterno come prima linea di difesa, che deve essere configurato per consentire solo il traffico destinato alla DMZ<ref name="ebookdualfirewall">{{Cita libro|url=https://books.google.com/books?id=2eQ2yxTA3tUC&pg=PA296&dq=dual+firewall+dmz&hl=en&sa=X&ved=0ahUKEwjP6YuczNPJAhXF6iYKHZ6jBq8Q6AEIPTAC#v=onepage&q=dual%20firewall%20dmz&f=false |titolo=Testing Web Security: Assessing the Security of Web Sites and Applications |editore=Wiley |autore=Stuart Splaine |anno=2002 |p=368 | isbn=0-471-23281-5}}</ref>. Il secondo firewall è interno e consente solo il traffico dalla DMZ alla rete interna. La presenza di due firewall è una sicurezza aggiuntiva per la rete interna perché invece di un unico punto di sicurezza ne troviamo due. C'è ancora più protezione se i due firewall usati provengono da due diversi fornitori, perché questo rende meno probabile che entrambi i dispositivi soffrano delle stesse [[vulnerabilità informatica|vulnerabilità di sicurezza]]<ref name="techfaq"/>.
Uno degli svantaggi di questa architettura è che è più costosa, sia al momento dell'acquisto che nella gestione. La pratica di utilizzare firewall diversi da diversi fornitori viene talvolta descritta come una componente di una strategia di sicurezza "difesa in profondità”<ref name="techeconomy">{{cita web |url=http://www.techeconomy.it/2015/07/14/abc-sicurezza-defense-in-depth/ |titolo=ABC della sicurezza: Defense in Depth |autore=Luigi Cristiani |data=14 luglio 2015 |accesso=17 dicembre 2017 |dataarchivio=20 giugno 2017 |urlarchivio=https://web.archive.org/web/20170620012421/http://www.techeconomy.it/2015/07/14/abc-sicurezza-defense-in-depth/ |urlmorto=sì }}</ref><ref name="sans">{{Cita web|lingua=en |url=https://www.sans.org/reading-room/whitepapers/firewalls/designing-dmz-950 |titolo=Designing a DMZ |editore=SANS Institute |data=2001 | accesso=17 dicembre 2017 |autore=Young, Scott |p=2}}</ref>
Dal punto di vista topologico si può avere un'ulteriore differenziazione di questa struttura, ovvero una configurazione doppio firewall “in line” oppure a T. Nel primo caso abbiamo un firewall esterno ed un firewall interno e nella zona compresa tra i due si trova la DMZ, mentre nel secondo caso abbiamo un primo firewall esterno collegato ad uno [[switch]] da cui si diramano due collegamenti protetti ognuno da un firewall interno che fanno da barriera rispettivamente alla workstation e ad una zona in cui vi sono i dati aziendali.
== Host DMZ (Pseudo DMZ) ==
Alcuni [[router]] domestici si riferiscono impropriamente alla configurazione di un host esposto come "DMZ". Questi router consentono di specificare l'[[indirizzo IP]] di un computer della rete interna a cui vengono inoltrati tutti i pacchetti ricevuti da Internet, per i quali non sia esplicitamente assegnato a un altro destinatario tramite la tabella NAT. Ciò rende l'host (anche per potenziali aggressori) accessibile da Internet. Evidentemente, in base alla definizione, questa non è una vera DMZ.
Line 66 ⟶ 61:
==Note==
;Annotazioni
<references group="N"/>
;Fonti
<references/>
Line 71 ⟶ 69:
* [[Firewall]]
* [[Sicurezza informatica]]
== Altri progetti ==
{{interprogetto|preposizione=sulla}}
== Collegamenti esterni ==
* {{FOLDOC|De-Militarised Zone}}
{{Portale|sicurezza informatica|telematica}}
| |||