Demilitarized zone

Una DMZ (demilitarized zone) è un segmento isolato di LAN (una "sottorete") raggiungibile sia da reti interne sia esterne, ma caratterizzata dal fatto che gli host attestati sulla DMZ hanno possibilità limitate di connessione verso host specifici della rete interna.^[1]^[2]

Descrizione

Tale configurazione viene normalmente utilizzata per permettere ai server posizionati sulla DMZ di fornire servizi all'esterno senza compromettere la sicurezza della rete aziendale interna, nel caso una di tali macchine sia sottoposta ad un attacco informatico: per chi si connette dall'esterno dell'organizzazione, la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco".

Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei server che necessitano di essere raggiungibili dall'esterno della rete aziendale - ed anche da Internet - come, ad esempio, server mail, webserver e server DNS) che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrità.

Una DMZ può essere creata attraverso la definizione di policies distinte su uno o più firewall.

Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di NAT chiamata "port forwarding" o "port mapping"^[3], implementata sul sistema che agisce da firewall.

Oltre al summenzionato firewall, di tipo packet filter (ossia che opera a livello di trasporto - layer quattro della pila ISO/OSI), è possibile implementare un differente approccio, impiegando un servizio di "reverse proxy", operante all'interno di un cosiddetto 'application layer firewall', che agisce a livello applicativo (layer sette della pila ISO/OSI).

Il "reverse proxy", invece di fornire un servizio applicativo agli utenti interni ad una rete locale -tipico del proxy comune-, provvede a fornire un accesso (indiretto) a risorse interne alla rete locale (in DMZ in questo caso), provenienti da una rete esterna (tipicamente Internet).

Note

^ (EN) Bradley Mitchell, DMZ - Demilitarized Zone, su compnetworking.about.com, about.com. URL consultato il 20 maggio 2012.
^ (EN) Mick Bauer, Designing and Using DMZ Networks to Protect Internet Servers, su linuxjournal.com, 1º marzo 2001. URL consultato il 20 maggio 2012.
^ In generale in questi casi si applica la tipologia di NAT che coinvolge la traslazione dell'indirizzo IP pubblico e porta di destinazione, che vengono sostituiti, da parte dell'apparato traslatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale. Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port mapping'. Nelle implementazioni di Linux con Iptables, si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure nella 'catena POSTROUTING' con regola di SNAT.

Voci correlate

Portale Sicurezza informatica

Portale Telematica

[1] (EN) Bradley Mitchell, DMZ - Demilitarized Zone, su compnetworking.about.com, about.com. URL consultato il 20 maggio 2012.

[2] (EN) Mick Bauer, Designing and Using DMZ Networks to Protect Internet Servers, su linuxjournal.com, 1º marzo 2001. URL consultato il 20 maggio 2012.

[3] In generale in questi casi si applica la tipologia di NAT che coinvolge la traslazione dell'indirizzo IP pubblico e porta di destinazione, che vengono sostituiti, da parte dell'apparato traslatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale. Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port mapping'. Nelle implementazioni di Linux con Iptables, si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure nella 'catena POSTROUTING' con regola di SNAT.

[1]

[2]

[3]