Andrea Beggi

Doing what you like is freedom, liking what you do is happiness.

La DMZ: cos’è e perché si usa

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

DMZDividere la rete in zone è una tecnica che aumenta notevolmente la sicurezza. Cerchiamo di capire cos’è e come funziona la DMZ, una zona delicata ed importante per i processi di sicurezza; l’acronimo significa “zona demilitarizzata”.
La sicurezza perimetrale si occupa di proteggere una rete nei punti in cui essa è a contatto con il mondo esterno.
In base al tipo di traffico e alla funzione si identificano diverse zone. Nei casi più semplici, le uniche due zone, LAN e WAN sono attestate sui due lati del firewall.
Il lato LAN (local area network) è il segmento privato e protetto, e ad esso appartengono tutti gli host ed i server i cui servizi sono riservati all’uso interno.
La zona WAN (wide area network) è la parte esterna, e ad essa appartengono uno o più apparati di routing che sostengono il traffico da e per la rete locale, sia verso internet che verso eventuali sedi remote dell’azienda.
Non appena l’architettura della rete comincia ad evolversi, ci si trova nella necessità di esporre all’esterno alcuni servizi. Il caso più comune è la posta elettronica: l’installazione di un mail server “in casa” comporta la pubblicazione del servizio SMTP.
Quando la struttura ed il budget non sono particolarmente importanti, spesso si decide di fidarsi del firewall e delle sue tabelle di NAT.
Pubblicare direttamente la porta SMTP del server di posta non è ortodosso dal punto di vista della sicurezza, malgrado ciò è una soluzione adottata molto spesso dalle piccole aziende che non possono sostenere costi di infrastruttura troppo elevati.
Appena è possibile è fortemente consigliata la creazione di una terza zona: la DMZ. Essa è un’area in cui sia il traffico WAN che quello LAN sono fortemente limitati e controllati; in pratica, si tratta di una zona “cuscinetto” tra interno ed esterno, che viene attestata su una ulteriore interfaccia di rete del firewall, oppure viene creata aggiungendo un firewall, come nello schma qui sopra.
Generalmente si installano in DMZ i server detti front-end, a cui corrispondono i relativi back-end in LAN.
Anche in questo caso l’esempio tipico è la posta: in DMZ il server che pubblica il servizio SMTP ed eventualmente la webmail, l’antispam e l’antivirus, in LAN rimane il server che ospita il database delle caselle e gli altri servizi.
Altro caso tipico sono gli application server, che isolano un database residente in LAN ma ne offrono una interfaccia verso l’esterno.
Quali sono i vantaggi per la sicurezza?
Nel malaugurato caso in cui un servizio in LAN fosse compromesso in seguito ad una vulnerabilità, l’aggressore potrebbe raggiungere anche gli altri host della rete, dato che in LAN non esiste isolamento tra il server e gli altri nodi.
Se lo stesso problema si verificasse in DMZ, l’attaccante avrebbe grosse difficoltà a raggiungere la LAN, poiché il traffico tra i server front-end e back-end è fortemente limitato dal firewall.
In genere un server di front-end comunica solo con il suo back-end, e solo con le porte TCP e/o UDP strettamente necessarie.
Ricapitolando, la DMZ è un’area pubblica protetta, dove il traffico è strettamente regolato da entrambi i lati ed è utile per pubblicare servizi verso l’esterno minimizzando i rischi per la rete interna.
Architetture più complesse possono implicare la presenza di più zone DMZ distinte, con il relativo controllo del traffico su tutti i lati.

Tags: ,

32 Commenti

P|xeL | #

Come sempre… da manuale! ;-)
Ciao,
P|xeL

Fabrizio | #

Chiaro, semplice e lineare! Ottimo post.

Ciao,
Fabrizio

Giorgio Zarrelli | #

Bravo e molto chiaro, come al solito :-)

Aggiungerei solo che spesso si usa interporre fra l’esterno e i server pubblici uno o più proxy filtranti, di modo che il traffico sia ulteriormente raffinato da sistemi anti intrusione, anti spam e anti virus. Insomma, un cuscinetto logico in aggiunta a quello fisico.

wolly (paolo Valenti) | #

Proprio per problemi di budget, non ho mai implementato la DMZ.
Utilizzo SBS 2003 Premium edition e sia il server di posta (exchange),sia companyweb (la intranet) sono pubblicati utilizzando ISA server 2004 , nel primo caso utilizzando solo una connessione https con certificato lato server e nel secondo caso con doppio certificato lato server e lato client.
Utilizzavo prima anche ipcop ma alla fine l’ho trovato eccessivo.
Per ora molti tentativi di connessione monitorati e nessuna intrusione.
E’ un pò difficile da configurare ISA server ma in effetti è abbastanza sicuro.
Tu che ne pensi ?

ciao

wolly

Stefano | #

Sintesi concisa e ben fatta. Forse un accenno ai web services 3-tier, o più in generale n-tier, poteva essere fatto per completare il discorso, ma questo nulla toglie all’ottimo post. Bravo Andrea!

Isadora | #

Oddio, Andrea, non è per contraddirti, ma io, l’application server, lo posizionerei dietro la DMZ. Utilizzando un’architettura 3(o anche n)-tier, che separa webServer, appServer e DB è buona norma mettere il webServer, che ha la porta 80 (e talvolta la 443 per l’accesso via protocollo https) aperta verso l’esterno, nella DMZ, l’appServer, che di solito ospita la business logic e si collega al DB, all’interno. Poi magari ci sono (mega)ditte come quella in cui lavoro io, in cui la sicurezza dei dati è vitale in cui la DMZ è stratificata (cioè ha più di due firewalls) e quindi l’appServer viene posizionato nello strato più interno.

Andrea | #

Isa, di quelle robe lì ne sai sicuro più tu. Probabilmente mi sono anche spiegato male e non ho usato la terminologia corretta. Il succo di quello che volevo dire è che il DB deve stare in LAN, mentre la macchina con i servizi pubblici in DMZ, che è anche quello che dici tu, mi pare. Ho visto anche usare dei reverse proxy, una volta.
I tier vanno al di là dello scopo del post e non ne volevo parlare. Grazie per la precisazione, come al solito è bellissimo avere commentatori così.

Isadora | #

Andrea, tu sei sempre un tesoro. Cmq, sì, stiamo dicendo la stessa cosa, anche se, rileggendomi, quasi non ho capito cosa volevo dire tanto è contorto quello che ho scritto… è il motivo per cui da me evito accuratamente i post tecnici :-)

Gianmaria | #

Giusto una curiosita’ collaterale.
Qual’e’ la ragione per la quale un privato dovrebbe installare a casa propria un mail server? Il tuo era solo un esempio, ma ho conosciuto delle persone che effettivamente hanno un mail server a casa propria, che ci guadagnano?

flashmotus | #

ciao andrea, seguo il uo blog da un pò nella speranza di scoprire prima o poi un post che mi faccia comprendere finalmente qualcosa di tcp/ip, dns, varie ed eventuali.
Purtroppo nonostante le tue capacità di divulgazione questi per me rimangono argomenti ostici. Arrossendo un pò mi sono deciso a fare comunque la mia richiesta: potresti indicarmi un sw semplice (for dummies) per consentirmi di accedere dal pc in ufficio – via internet – al mio computer di casa?
grazie a presto

junior.skunk | #

Ottimo il post sull’utilizzo della DMZ.

X flashmotus non è che ti serva tantissimo software, se utilizzi un sistema operativo Microsoft come ad esempio Windows XP non ne devi installare un bit (hai già remote desktop connection) il problema è: hai un ISP (un fornitore di connettività internet) che ti dia un IP pubblico (molti lo forniscono es.Tiscali molti no es.Fastweb)? Nel caso tu abbia tale indirizzo IP ti basta un tasto destro su Risorse del Computer, Proprietà -> Connessione Remota -> Desktop Remoto con check box spuntata. Per connetterti dall’ufficio basterà andare in START -> Programmi -> Accessori -> Connessione Desktop Remoto, Inserire l’IP pubblico di casa tua e sarà fatta.
Un inciso sulla sicurezza, aggiungi una password per l’utente Administrator della macchina su cui abiliti il Desktop Remoto altrimenti al primo port scan ti fanno fuori la macchina :)>, si consiglia spesso di apportare un hack al registro di sistema per cambiare la porta d’ascolto del servizio ma questo è un altro film…
Cerca su google qualche info troverai anche altre applicazioni come dameware, realvnc, thightvnc che ti permettono utilizzare/emulare un terminale remoto.
Spero di essere stato abbastanza chiaro.

P.S.: il libro for dummies che cerchi non esiste ancora probabilmente… ma esistono le famose ricerche su google e le famose ore di lettura tra documentazioni e manuali!
ciao ciao

rob | #

come si implementa praticamente la dmz?

RanXeroX | #

Se tutti si esprimessero come te in maniera semplice e coincisa sarebbe semplice anche l’apprendimento di lunix

Aurelio | #

Ciao a tutti sono nuovo, sono un sistemista junior, e quindi, anche sapendo in generale le cose che scrivete, non ho approfondimenti su tutti gli argomenti.
Vorrei chiedere delle delucidazioni su alcuni argomenti:
– la rete DMZ è una zona “cuscinetto” ed è controllatra e protetta a cui si può collegare più client per la pubblicazioni di servizi esterni, tipo un mail server?
– la rete DMZ va in rete con la LAN e la WAN oppure è proprio un’altra rete?
Scusdate le mi domande che faccio ma ho alcune lacune che sto cercando di colmare studiando.
Grazie per risposta che arriverà e scusatemi se non sono bravo a scrivere.
Aurelio.

massimo | #

per me che so poco di reti e non sapevo cosa fosse qusto dmz sul gateway un’ottima spiegazione sopratutto per la chiaezza e la semplicita, aggiungero questo sito ai preferiti, grazie mille

Paolo | #

Molto chiaro e logico. Grazie

luciano | #

complimenti per le tue semplici ed efficaci spiegazioni, ma come si fa , se ad es metto un server sotto porta dmz, a permettere gli aggiornamenti di windows update? La domanda non è casuale visto che ho appena messo un 2008 web server sotto dmz ma con la sorpresa di non avere piu gli aggiornamenti. :-)Luciano

Matteo "roghan" Cappelli | #

Ottimo post! Semplice e piuttosto esauriente…

sergio | #

in generale vorrei dire che siti come questo sono molto utili ..siti dove in maniera più o meno semplice utilizzando nello scpecifico nomenclature tecnicha in maniera moderata , danno una spiegazione semplice e veloce perchi ha voglia di imparare e quindi di sapere …

grazie
sergio

manuel | #

come faccio a mettere il dmz in un router zyxel??..nn ci riesco proprio non mi fa entrare nelle impostazioni….

pietro | #

scusate, mi presento sono Pietro da Catania.
ho una rete wi-fi tramite una connessione ad onde radio, l’antenna ricevente è collegata ad un modem/router in comodato d’uso che non posso configurare perchè di proprietà del gestore.
alla presa LAN ho collegato uno switch ed a quest’ultimo due router wi-fi per condividere la connessione nei due piano dell’appartamento.
al piano superiore vi è un router con ip 192.168.2.1
al piano inferiore 192.168.0.1
l’indirizzo 192.168.1.1 non è possibile sceglierlo perchè è il router del gestore.
poichè avevo problemi di connessione con utorrent e playstation network il gestore mi ha creato una dmz sullìip 192.168.1.200.
alchè ho settato la wan del router al 2° piano su quell’indirizzo (lasciando invariato l’ip 192.168.2.1).
da quello che ho capito a questo punto tutti i computer passano per il router ma questo ha accesso aperto ad internet…quindi posso settare le porte sul mio router e non su quello del gestore della connessione che oltretutto è off-limits.

pietro | #

spero di essere stato chiaro..

Andrea | #

Di solito quando crei la DMZ devi anche specificare le porte che sono permesse. Devi chiedere al gestore.

nico | #

potreste aiutarmi a configurare il DVR telecamere per essere visto da remoto?
ho da poco cambiato gestore telefonico da telecom a fastweb e non riesco + a visualizzare il DVR

Marco | #

Salve Andrea,
ho trovato molto utile la vostra spiegazione sul DMZ.
Ora però volevo chiederVi una informazione se possibile.
Io prima avevo un router TP-LINK base senza tanti fronzoli.
Ho un’adsl con Wind Infostrada ed una ip-camera che tramite un server dyndns.org controllo da remoto.
Tutto perfettamente funzionante.
Una settimana fa mi si è fuso il router causa un problema di corrente e sono andato a comprarne un altro. Modello TD-W8968 e configurato funziona perfettamente.
Ho solo il problema che dalla mia rete interna non riesco ad accedere alla telecamera utilizzando il dyndns. Questo non viene visto, mentre se mi collego dall’esterno funziona perfettamente. Questo mi porta a dover sull’iphone, all’interno ad utilizzare l’indirizzo 192.168.x.x e dall’esterno il dyndns, cosa che prima col vecchio router andava. Cosa devo fare? Grazie mille per una Vs risposta.

Alex | #

Ciao! Grazie per le informazioni, volevo chiedere nel mio caso che vorrei impostarlo sull’IP della PS3, il MDZ sarebbe da applicare nel caso avessi aperto delle porte per giocare online perché aprire le porte del modem comporta dei rischi?

Giulio | #

Chiedo un consiglio , se qualcuno mi può aiutare sarei felice.

Ho un serverino, principalmente ssh, amule, torrent, VNC per vari utilizzi.
Ho sempre usato il NAT e DNS dinamici e non ho avuto problemi.

Se volessi inserirlo in DMZ, oltre ad aggiungerlo come DMZ server sul router, posso togliere le regole di NAT?
Sì -> NON VA
No -> Entrando via SSH e pingando un’altra macchina della rete interna la raggiungo -> non è isolato.

Why?

stefano | #

salve c’è nessuno che puo aiutarmi per poter vedere su linea fastweb con router technicolor tg788 da remoto l’impianto di tvcc collegato alla rete lan? grazie