La DMZ (Demilitarized Zone) è un concetto chiave nella sicurezza informatica e nella protezione delle reti. Rappresenta un’area di rete separata e isolata, posizionata tra una rete interna protetta e una rete esterna, solitamente Internet. Il principale obiettivo del DMZ è quello di fornire un livello aggiuntivo di sicurezza separando le risorse di rete critiche e sensibili dalla rete esterna non fidata.
Nel contesto di un’architettura di rete, il DMZ è progettato per ospitare i servizi che devono essere accessibili dall’esterno, come server web, server di posta elettronica, server FTP e altri servizi pubblicamente accessibili. Questi servizi sono esposti nella DMZ, consentendo alle persone o alle organizzazioni esterne di accedervi senza fornire loro l’accesso diretto alla rete interna.
Il posizionamento delle risorse nella DMZ offre diversi vantaggi in termini di sicurezza. Innanzitutto, protegge la rete interna isolando i servizi pubblici e limitando l’esposizione diretta agli attacchi esterni. Se un server nella DMZ viene compromesso, l’accesso alla rete interna rimane protetto perché il DMZ funge da zona cuscinetto.
Inoltre, il DMZ consente di applicare regole di sicurezza più rigorose tra la rete interna e quella esterna. Ciò significa che le comunicazioni tra i sistemi nella DMZ e quelli nella rete interna possono essere attentamente controllate e filtrate, riducendo il rischio di accessi non autorizzati.
Per garantire un livello aggiuntivo di sicurezza, i dispositivi di sicurezza come i firewall sono spesso implementati all’interno del DMZ. Questi firewall consentono di monitorare e controllare il traffico in entrata e in uscita tra la rete interna, il DMZ e la rete esterna.
È importante notare che la configurazione e la progettazione di un DMZ devono essere basate sulle specifiche esigenze e requisiti di sicurezza di un’organizzazione. Le politiche di sicurezza e le regole di accesso devono essere attentamente definite e implementate per garantire una protezione efficace.
Una DMZ è una sottorete che si trova dietro il firewall ma è aperta al pubblico. Collocando i servizi pubblici in una DMZ, è possibile aggiungere un ulteriore livello di sicurezza alla LAN. Il pubblico può collegarsi ai servizi della DMZ, ma non può penetrare nella LAN. La DMZ deve essere configurata in modo da includere tutti gli host che devono essere esposti alla WAN (come i server web o di posta elettronica).
Esempio con 1 IP pubblico
In questo scenario, l’azienda dispone di un indirizzo IP pubblico, 209.165.200.225, che viene utilizzato sia per l’indirizzo IP pubblico del dispositivo di sicurezza sia per l’indirizzo IP pubblico del server web. L’amministratore configura la porta configurabile come porta DMZ. Una regola del firewall consente il traffico HTTP in entrata verso il server Web all’indirizzo 172.16.2.30. Gli utenti di Internet inseriscono il nome di dominio associato all’indirizzo IP 209.165.200.225 e possono quindi collegarsi al server Web. Lo stesso indirizzo IP viene utilizzato per l’interfaccia WAN.
Esempio con 2 IP pubblici
In questo scenario, l’ISP ha fornito due indirizzi IP statici: 209.165.200.225 e 209.165.200.226. L’indirizzo 209.165.200.225 è utilizzato per l’indirizzo IP pubblico del dispositivo di sicurezza. L’amministratore configura la porta configurabile come porta DMZ e crea una regola del firewall per consentire il traffico HTTP in entrata verso il server web all’indirizzo 172.16.2.30. La regola del firewall specifica un indirizzo IP esterno di 209.165.200.226. Gli utenti di Internet inseriscono il nome di dominio associato all’indirizzo IP 209.165.200.226 e possono quindi collegarsi al server Web.