Demilitarized zone: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 11:13, 18 giu 2018 modifica 79.31.28.208 (discussione) →Server NTONIO Etichetta: Modifica visuale ← Differenza precedente		Versione attuale delle 12:22, 11 giu 2024 modifica annulla 93.37.193.194 (discussione) →Singolo firewall Etichetta: Modifica visuale
(48 versioni intermedie di 30 utenti non mostrate)
Riga 1: {{Nota disambigua\|l'area di confine in cui sono proibite attività militari\|Zona demilitarizzata}} Nell’ambito della sicurezza [[informatica]], una '''demilitarized zone''' ('''DMZ''', in [[Lingua italiana\|italiano]] '''zona demilitarizzata'''), è una sottorete isolata, fisica o logica, che contiene dei servizi informatici offerti da un’azienda, accessibili sia da reti esterne non protette ([[Wide_Area_Network\|WAN]]), che da workstation interne alla stessa azienda ([[intranet]]) e il cui scopo è quello di far usufruire questi servizi nella maniera più sicura possibile, senza compromettere la sicurezza della rete aziendale<ref name="lifewire"> Nell’ambito delle [[reti informatiche]] e della [[sicurezza informatica]], una '''demilitarized zone''' o '''DMZ''' (in [[Lingua italiana\|italiano]] '''zona demilitarizzata''') è una sottorete fisica o logica che contiene ed espone dei servizi ad una rete esterna non ritenuta sicura, come ad esempio Internet. Lo scopo di una DMZ è di proteggere la rete LAN di un'organizzazione. {{cita web\|lingua=en\|url=https://www.lifewire.com/demilitarized-zone-computer-networking-816407 \|titolo=DMZ - De-Militarized Zone (Computer Networking)\| autore=Bradley Mitchell \| accesso=17 dicembre 2017}}</ref><ref name="linuxjournal">{{cita web\|lingua=en\|url=http://www.linuxjournal.com/article/4415\|titolo=Designing and Using DMZ Networks to Protect Internet Servers\|editore=linuxjournal.com\|autore=Mick Bauer\|data=1º marzo 2001\|accesso=17 dicembre 2017}}</ref>. == Descrizione == Nel senso militare e territoriale del termine il nome usato deriva dal termine "[[~~Zona~~zona demilitarizzata~~\|zona smilitarizzata~~]]", un'area tra stati nazionali in cui non è consentita ~~alcuna~~ alcun'operazione militare, cioè ~~non~~ è vista come zona non appartenente aad ~~nessuna~~alcuna parte ~~con cui confina~~confinante.<ref name="fedtech">{{cita web\|lingua=en\|url=https://fedtechmagazine.com/article/2012/05/four-tips-securing-network-dmz-fed \|titolo=Four Tips for Securing a Network DMZ\| autore=Mike Chapple \| accesso=17 dicembre 2017}}</ref>. Questo concetto metaforico è applicabile in ambito informatico, in quanto, una DMZ, funziona come una piccola rete ~~isolata~~di confine posizionata tra ~~internet~~Internet e la rete interna. Lo scopo della DMZ è ~~quella~~quello di aggiungere ~~un ulteriore~~uno ~~livello~~strato di sicurezza ad una rete locale aziendale, ~~dove,~~nel quale un nodo appartenente ad una rete esterna, può accedere soltanto ai servizi messi a disposizione, senza mettere a rischio e compromettere la sicurezza ~~dell’intera~~della rete locale interna. Nel caso una delle macchine appartenenti alla DMZ ~~sia sottoposta ad~~subisca un [[attacco informatico]], questo non si ripercuote sul resto della rete<ref name="techfaq">{{cita web\|lingua=en\|url=http://www.tech-faq.com/dmz.html \|titolo=DMZ (DeMilitarized Zone) \|autore=tech-faq \|data=11 marzo 2016\|accesso=17 dicembre 2017}}</ref>. Per chi si connette dall'esterno dell'organizzazione, la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco". La scelta di collocare ~~questi~~determinati [[host]] in un’area come la DMZ è ~~perché~~fatta ~~sono~~quando ~~quelli~~tali ~~che~~host forniscono servizi sia ad utenti ~~interni~~esterni che ~~esterni~~interni alla rete locale e ~~proprio~~ a causa dell’aumento potenziale di attacchi a servizi come [[server]] di posta elettronica, Web e [[Domain Name System]] (DNS) ~~che~~essi vengono inseriti in tale zona<ref name="techfaq"/>, evitando così che una eventuale loro compromissione si propaghi alla rete interna. Una DMZ può essere creata attraverso la definizione di ~~policies~~policy distinte su uno o più [[firewall]]. Genericamente i firewall intermedi controllano il traffico tra i server nella DMZ, i client interni ed esterni. Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di [[Network address translation\|NAT]] chiamata "[[port forwarding]]" o "port mapping"<ref group="N">In generale in questi casi si applica la tipologia di NAT che coinvolge la traslazione dell'indirizzo IP pubblico e porta di destinazione, che vengono sostituiti, da parte dell'apparato traslatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale. Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port mapping'. Nelle implementazioni di [[Linux]] con [[Iptables]], si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure nella 'catena POSTROUTING' con regola di SNAT.</ref>, implementata sul sistema che agisce da firewall che tipicamente ~~sono~~è di tipo [[Firewall#Packet filter firewall o stateless firewall\|packet filter]]<ref name="linuxjournal">{{cita web\|url=https://www.linuxjournal.com/article/4415\|titolo=Designing and Using DMZ Networks to Protect Internet Servers\|autore=Mick Bauer\|editore=linuxjournal.com\|data=1º marzo 2001\|lingua=en\|accesso=17 dicembre 2017}}</ref>. Una configurazione DMZ fornisce ~~sicurezza~~protezione dagli attacchi esterni, ma in genere non ha alcun effetto sugli attacchi interni, come lo [[sniffing]] della comunicazione tramite un analizzatore di pacchetti o attacchi di [[spoofing]]. ==Servizi== Qualsiasi servizio di rete che può essere offerto agli utenti della rete esterna ed interna può essere inserito nella DMZ. I più comuni di questi servizi sono: il [[server web]], [[server di posta elettronica]], [[server FTP]] e [[server DNS]]. * [[===Server ~~Web]]~~web=== I server ~~Web~~web potrebbero dover comunicare con un database interno per fornire alcuni servizi specializzati. A volte è anche buona norma configurare una Zona Militarizzata Classificata (CMZ) separata dalla DMZ, cioè una zona militarizzata altamente ~~monitorata~~sorvegliata che comprende per lo più server Web e server simili che si interfacciano con il mondo esterno, cioè Internet<ref name="eweek">{{cita web\|lingua=en\|url=http://www.eweek.com/security/how-to-design-a-secure-dmz\|titolo=How to Design a Secure DMZ\|autore=Michael Hamelin \|data=1º settembre 2010\|accesso=17 dicembre 2017 \|ppp=2}}</ref>. In questo modo proteggiamo i server di [[database]] mettendoli in una zona separata dalla ~~CMZ~~DMZ essendo quest’ultima pubblicamente accessibile. In genere, non è una buona norma consentire al server Web di comunicare direttamente con il sottostante server ~~database~~di ~~sottostante~~database. ~~Invece,~~È ~~può~~opportuno ~~essere utilizzato~~utilizzare un firewall ~~dell'~~a [[livello di applicazione]], che funge da mezzo di comunicazione tra il server del database e il server web<ref name="techfaq"/>. Ciò fornisce un ulteriore livello di sicurezza, sebbene ~~più~~aumenti ~~complesso~~la complessità della rete. Questo tipo di configurazione ha ~~però~~poi uno svantaggio ~~dovuto al fatto che~~: gli utenti della [[workstation]] (gli utenti locali) non possono usare [[directory]] di rete e apportare modifiche direttamente a pagine Web o altri file e sono quindi costretti ad usare protocolli applicativi come [[File Transfer Protocol\|FTP]] per caricare o scaricare le pagine<ref name="tech-republic">{{cita web\|lingua=en\|url=https://www.techrepublic.com/article/lock-it-down-implementing-a-dmz/ \|titolo=Lock IT Down: Implementing a DMZ \|autore=Vincent Danen \|data=29 marzo 2001\|accesso=17 dicembre 2017}}</ref>. ▼ * [[Server_di_posta_elettronica\|Server Email]] * [[Server FTP]] * [[Server DNS]] ===Server ~~Web~~e-mail=== I messaggi di posta elettronica degli utenti sono confidenziali, quindi sono generalmente memorizzati su un server a cui non è possibile accedere da Internet, e quindi inserito in una zona LAN. Per far sì che il server di posta interno comunichi con server di posta esterni, viene posto un server ausiliario nella DMZ, il quale riceve le email in arrivo e le inoltra al server interno principale<ref name="techfaq"/><ref name="linuxjournal"/>. In questo modo è possibile controllare la posta in arrivo sulla DMZ, ad esempio tramite [[sandbox]] o antivirus, prima di inoltrarla.▼ ▲I server Web potrebbero dover comunicare con un database interno per fornire alcuni servizi specializzati. A volte è anche buona norma configurare una Zona Militarizzata Classificata (CMZ) separata dalla DMZ, cioè una zona militarizzata altamente monitorata che comprende per lo più server Web e server simili che si interfacciano con il mondo esterno, cioè Internet<ref name="eweek">{{cita web\|lingua=en\|url=http://www.eweek.com/security/how-to-design-a-secure-dmz\|titolo=How to Design a Secure DMZ\|autore=Michael Hamelin \|data=1º settembre 2010\|accesso=17 dicembre 2017 \|pp=2}}</ref>. In questo modo proteggiamo i server di [[database]] mettendoli in una zona separata dalla CMZ essendo quest’ultima pubblicamente accessibile. In genere, non è una buona norma consentire al server Web di comunicare direttamente con il server database sottostante. Invece, può essere utilizzato un firewall dell'applicazione che funge da mezzo di comunicazione tra il server del database e il server web<ref name="techfaq"/>. Ciò fornisce un ulteriore livello di sicurezza, sebbene più complesso. Questo tipo di configurazione ha però uno svantaggio dovuto al fatto che gli utenti della [[workstation]] non possono usare directory di rete e apportare modifiche direttamente a pagine Web o altri file e quindi costretti ad usare protocolli applicativi come [[File Transfer Protocol\|FTP]] per caricare o scaricare le pagine<ref name="tech-republic">{{cita web\|lingua=en\|url=https://www.techrepublic.com/article/lock-it-down-implementing-a-dmz/ \|titolo=Lock IT Down: Implementing a DMZ \|autore=Vincent Danen \|data=29 marzo 2001\|accesso=17 dicembre 2017}}</ref>. ~~===Server Email===~~ ▲I messaggi di posta elettronica degli utenti sono confidenziali quindi sono generalmente memorizzati su server a cui non è possibile accedere da Internet, e quindi inserito in una zona LAN. Per far sì che il server di posta interno comunichi con server di posta esterni, viene posto un server ausiliario nella DMZ, il quale riceve email in arrivo e le inoltra al server interno principale<ref name="techfaq"/><ref name="linuxjournal"/>. In questo modo è possibile controllare la posta in arrivo sulla DMZ ad esempio tramite [[sandbox]] o antivirus prima di inoltrarla. ===Server DNS=== È possibile avere diverse configurazioni ~~riguardante~~riguardanti la posizione e il numero di server DNS in una DMZ. Se si dispone di un solo set di server DNS, sia per la zona interna che esterna, è necessario inserirli nella DMZ e consentire così agli utenti locali di accedervi anziché collocarli nella stessa rete interna e configurare nel firewall le richieste DNS esterne, la quale è una prassi poco sicura poiché permettiamo ad utenti esterni di accedere alla rete interna. La configurazione più comune consiste nell’usare due set di server DNS, un set di DNS interni e un set di server accessibili esternamente collocati nella DMZ, che è sicura ma accessibile solo dalla rete pubblica.<ref name="techgenix">{{cita web\|lingua=en\|url=http://techgenix.com/dns-best-practices-389/\|titolo=DNS Best Practices\| editore=techgenix.com \|autore=Deb Shinder\|data=19 ottobre 2006\|accesso=17 dicembre 2017}}</ref><ref name="linuxjournal"/> == Proxy == Per dare maggiore supporto e sicurezza alla struttura vengono usati dei firewall che lavorano a livello applicativo. Le impostazioni proxy di rete consentono la connessione a Internet mentre si eseguono attività come l'attivazione del servizio o l'accesso alle opzioni di supporto. ===Server Proxy=== Per favorire una maggiore sicurezza e conformità agli standard legali definiti ad esempio da HIPAA (The Health Insurance Portability and Accountability Act) e ragioni di monitoraggio è opportuno, in ~~una~~ un'ambientazione aziendale, la presenza di un [[Application-level gateway\|server proxy]] nella DMZ<ref name="linuxjournal"/><ref name="insinuator">{{cita web\|lingua=en\|url=https://insinuator.net/2016/09/considerations-on-dmz-design-in-2016-part-2-a-quick-digression-on-reverse-proxies/\|titolo=Considerations on DMZ Design in 2016, Part 2: A Quick Digression on Reverse Proxies \|editore=insinuator.net\|autore=Enno Rey\|data=8 settembre 2016\|accesso=17 dicembre 2017}}</ref>. I vantaggi introdotti sono i seguenti ~~vantaggi~~: * Costringe gli utenti della workstation ad usare il server proxy per accedere ad internet. * Permette di ridurre il traffico di rete poiché alcuni contenuti Web potrebbero essere memorizzati nella cache dal server proxy. Line 40 ⟶ 37: ==Architettura== Una DMZ può essere progettata in modi diversi a seconda delle esigenze e dei requisiti di rete desiderati, e tipicamente è una soluzione adottata dalle grandi aziende. I Due ~~dei~~tra ~~metodi~~le configurazioni più comuni sono ~~le configurazioni~~: con un singolo firewall, noto anche come modello a tre gambe, e con doppio firewall. Queste architetture possono essere ampliate per creare architetture molto complesse a seconda dei requisiti di rete. ===Singolo firewall=== La rete dispone di un singolo firewall con almeno 3tre interfacce di rete, le quali forniscono rispettivamente un collegamento con: ▼ ~~[[File:Demilitarized Zone Diagram it.png\|thumb\|Diagramma di una rete che utilizza una DMZ creata utilizzando un firewall a tre connessioni (three-legged firewall).]]~~ ▲La rete dispone di un singolo firewall con almeno 3 interfacce di rete, le quali forniscono rispettivamente un collegamento con: * La rete esterna, dalla quale arrivano le richieste internet tramite un router (WAN). * La rete interna, in cui vi è la workstation ([[intranet]]). * La DMZ, che contiene i ~~server~~servizi offerti. Il firewall che gestisce il tutto diventa l’unica possibile falla di sicurezza per la rete intera e deve essere in grado di gestire tutto il traffico diretto alla DMZ e alla rete interna. Rappresenta una configurazione poco sicura ~~dovuta~~, proprio ~~alla~~a causa della presenza di un unico firewall.<ref name="techfaq"/> ===Doppio firewall=== [[File:DMZ network diagram 2 firewall.svg\|thumb\|Diagramma di una rete che utilizza una DMZ creata utilizzando due firewall.]] Un approccio più sicuro consiste nell'utilizzare due firewall per creare una DMZ. La configurazione consiste nell’usare un primo firewall esterno come prima linea di difesa, eche deve essere configurato per consentire solo il traffico destinato alla DMZ<ref name="ebookdualfirewall">{{Cita libro\|url=https://books.google.com/books?id=2eQ2yxTA3tUC&pg=PA296&dq=dual+firewall+dmz&hl=en&sa=X&ved=0ahUKEwjP6YuczNPJAhXF6iYKHZ6jBq8Q6AEIPTAC#v=onepage&q=dual%20firewall%20dmz&f=false \|titolo=Testing Web Security: Assessing the Security of Web Sites and Applications \|editore=Wiley \|autore=Stuart Splaine \|anno=2002 \|ppp=368 \| isbn=0-471-23281-5}}</ref>. Il secondo firewall è interno ~~che~~e consente solo il traffico dalla DMZ alla rete interna. La presenza di due firewall è una sicurezza aggiuntiva per la rete interna perché invece di un unico punto di sicurezza ne troviamo due. C'è ancora più protezione se i due firewall usati provengono da due diversi fornitori, perché questo rende meno probabile che entrambi i dispositivi soffrano delle stesse [[~~Vulnerabilità~~vulnerabilità informatica\|vulnerabilità di sicurezza]]<ref name="techfaq"/>. Uno degli svantaggi di questa architettura è che è più ~~costoso~~costosa, sia daal ~~acquistare~~momento dell'acquisto che danella ~~gestire~~gestione. La pratica di utilizzare firewall diversi da diversi fornitori viene talvolta descritta come una componente di una strategia di sicurezza "difesa in profondità”<ref name="techeconomy">{{cita web \|url=http://www.techeconomy.it/2015/07/14/abc-sicurezza-defense-in-depth/ \|titolo=ABC della sicurezza: Defense in Depth \|autore=Luigi Cristiani \|data=14 luglio 2015 \|accesso=17 dicembre 2017 \|dataarchivio=20 giugno 2017 \|urlarchivio=https://web.archive.org/web/20170620012421/http://www.techeconomy.it/2015/07/14/abc-sicurezza-defense-in-depth/ \|urlmorto=sì }}</ref><ref name="sans">{{Cita web\|lingua=en \|url=https://www.sans.org/reading-room/whitepapers/firewalls/designing-dmz-950 \|titolo=Designing a DMZ \|editore=SANS Institute \|data=2001 \| accesso=17 dicembre 2017 \|autore=Young, Scott \|ppp=2}}</ref> Dal punto di vista topologico si può avere ~~una~~ un'ulteriore differenziazione di questa struttura, ovvero una configurazione doppio firewall “in line” ooppure a T. Nel primo caso abbiamo un firewall esterno ed un firewall interno e nella zona compresa tra i due si trova la DMZ, mentre nel secondo caso abbiamo un primo firewall esterno collegato ad uno [[switch]] da cui si diramano due collegamenti protetti ognuno da un firewall interno che fanno da barriera rispettivamente alla workstation e ad una zona in cui vi sono i dati aziendali. == Host DMZ (Pseudo DMZ) == Alcuni [[router]] domestici si riferiscono impropriamente alla configurazione di un host esposto come "DMZ". Questi router consentono di specificare l'[[indirizzo IP]] di un computer della rete interna a cui vengono inoltrati tutti i pacchetti ricevuti da Internet, per i quali non sia esplicitamente assegnato a un altro destinatario tramite la tabella NAT. Ciò rende l'host (anche per potenziali aggressori) accessibile da Internet. Evidentemente, in base alla definizione, questa non è una vera DMZ. ~~Alcuni~~Volendo ~~router~~accedere ~~domestici~~da ~~si riferiscono erroneamente~~remoto alla ~~configurazione di un host esposto come "DMZ". È possibile specificare l'[[indirizzo IP]] di un computer nella rete interna a cui tutti i pacchetti vengono inoltrati da Internet~~LAN, ~~che non può essere assegnato a un altro destinatario tramite la tabella NAT. Ciò rende l'host (anche per potenziali aggressori) accessibile da Internet. Il~~il port forwarding delle porte effettivamente utilizzate è preferibile se possibile e questo perché il ~~tutto~~port ~~ruota su questo concetto, perché~~forwarding è l’operazione che consente di dirigere il traffico generato da un nodo della rete verso una o più porte di comunicazione del [[router]], e ~~questi~~questo permette all’utente che si connette dall’esterno di raggiungere la risorsa di rete associata a quella porta senza l’impedimento di filtri che rallenti lo scambio di dati o renda la comunicazione complicata.<ref name="fastweb">{{cita web \| url=http://www.fastweb.it/internet/come-accedere-da-remoto-al-computer-di-casa/\| titolo=Come accedere da remoto al computer di casa \| editore=Fastweb \| accesso=17 dicembre 2017}}</ref> ==Note== ;Annotazioni <references group="N"/> ;Fonti <references/> Line 68 ⟶ 69: * [[Firewall]] * [[Sicurezza informatica]] == Altri progetti == {{interprogetto\|preposizione=sulla}} == Collegamenti esterni == * {{FOLDOC\|De-Militarised Zone}} {{Portale\|sicurezza informatica\|telematica}}