La DMZ

Demilitarized Zone

Ogni impresa che gestisce un mail server o un proprio sito web aziendale, si trova di
fronte ad un problema: i computer che offrono servizi web o e-mail devono essere
raggiungibili tramite Internet. Allo stesso tempo, il personale che lavora sulla LAN
(Local Area Network) ha bisogno di un accesso veloce a queste risorse.
Tuttavia, la gestione sulla stessa rete comporta un alto rischio alla sicurezza. Server
web, server mail, server DNS o proxy, ai quali si deve accedere da una rete
pubblica, sono dei facili obiettivi per gli hacker.

Se questi server fossero collegati direttamente con la LAN, esisterebbe il rischio che
un server corrotto possa compromettere lintera rete aziendale; per tale motivo si
creano delle reti perimetrali chiamate DMZ, nelle quali si mettono al sicuro i server
in pericolo offrendo una soluzione a questo problema. In tutto questo si utilizzano i
Firewall.

Cos un Firewall:
Un Firewall un dispositivo che impone una
politica di controllo degli accessi tra due reti.

quindi un sistema software, basato su un

Hardware dedicato e costituisce lintermediario tra
la rete locale e la rete esterna.

Il Firewall ovviamente immune alla penetrazione,

cio tutte le funzionalit sconosciute o di dubbia
sicurezza possono essere respinte, e si pu quindi
negare o permettere laccesso dei dispositivi alle
varie reti.

La sicurezza dei Firewall

Gli apparati sui quali gira un processo firewall sono detti bastion host. Sono
particolarmente attrezzati per quanto riguarda la protezione da intrusioni, tra le quali:
IP spoofing, tecnica per cui si tenta di accedere ai servizi di una rete
falsificando lidentit dei pacchetti tramite la modifica dellindirizzo IP
Denial of Service (DDOS), che mette in difficolt un servizio, sottoponendolo
a stress eccessivo. Un esempio luso distorto di ping. Un programma pirata
invia una quantit di pacchetti ICMP con indirizzo sorgente modificato e
indirizzo destinatario di broadcast . Se il router non impostato per far fronte,
i pacchetti vengono inoltrati su tutta la rete, alcuni host rispondono e la rete si
intasa.

1
Tipologie di Firewall
Ingress firewall: Sono i firewall in cui vengono controllati i
collegamenti incoming (in arrivo), ossia i servizi offerti
dallesterno.
Egress firewall: Sono i firewall in cui sono controllati i
collegamenti outgoing, ossia quelli che vanno verso
lesterno.
Personal firewall: Sono i firewall che proteggono il singolo
host sia verso linterno che verso lesterno.
Un personal firewall pu essere un semplice programma
installato sul PC che protegge i dati. Con questo firewall il
traffico permesso dallesterno verso linterno, ma non viceversa. Quelli pi comuni
sono quelli inclusi con il sistema operativo.
Network firewall: Sono i firewall che vengono interposti tra lintera rete internet e la
LAN.
In genere sono utilizzati nelle aziende e permettono la circolazione solo di un certo
tipo di traffico sia verso linterno che verso lesterno.

Che cos una DMZ?

Con DMZ, dallinglese demilitarized zone (zona demilitarizzata), si indica una rete
di computer, con un proprio indirizzo IP, che funge da zona intermedia tra la LAN e
la WAN, e le delimita mediante regole di accesso rigide.
I server allinterno di una DMZ, seppur si trovino fisicamente sempre nelle aziende,
non sono per collegati direttamente ai dispositivi connessi alla rete locale. La
funzione di massima protezione prevede che la zona DMZ sia protetta attraverso un
firewall che la separa dalla LAN e dalla WAN.

2
 La struttura della DMZ

La politica di sicurezza attuata sulla DMZ solitamente la seguente:

Richiestoaccessoda: AccessoallaDMZ AccessoallaLAN AccessoaInternet

Internet(WAN) -

LAN -

DMZ -

La DMZ con due firewall:

Per proteggere una rete aziendale contro attacchi da una rete di comunicazione
geografica (WAN), di regola si usa una zona DMZ con due firewall (pu trattarsi di
componenti hardware indipendenti o di un firewall su di un router). Il firewall esterno
protegge la zona DMZ dalla rete pubblica ed attiva il firewall interno tra la DMZ e la
rete aziendale.

Inoltre, consigliato lutilizzo di due firewall di diversi produttori, per evitare lo

sfruttamento di una potenziale falla di sicurezza che porterebbe al superamento di
entrambi i firewall.
Per prevenire gli attacchi da un server compromesso ad altri dispositivi interni alla
DMZ i server possono essere separati luno dallaltro attraverso ulteriori firewall o
con una segmentazione delle reti VLAN (Virtual Local Area Network).

3
La DMZ con un solo firewall:
Una DMZ si pu realizzare a basso costo mediante un solo firewall dalle alte
prestazioni (o con un router comprensivo di firewall), con tre connessioni separate:
una per Internet, una per la LAN e una terza per la DMZ.
In una DMZ protetta di questo tipo vengono controllate dallo stesso firewall tutte le
porte, indipendenti luna dallaltra.

Inoltre, il firewall deve essere in grado di far fronte sia al traffico proveniente da
Internet sia agli accessi alla LAN.

Fonti:
https://www.1and1.it/digitalguide/server/sicurezza/che-cose-una-dmz/
http://it.ccm.net/contents/568-firewall