Skip to content Skip to navigation Skip to footer

Che cos’è una rete DMZ?

Una zona demilitarizzata (DMZ) è una rete perimetrale, che protegge la rete locale (LAN) interna di un'organizzazione dal traffico non attendibile. 

La DMZ indica comunemente una sottorete che si trova tra la rete Internet pubblica e le reti private. Essa espone i servizi rivolti all'esterno alle reti non attendibili e aggiunge un ulteriore livello di sicurezza, per proteggere i dati sensibili archiviati su reti interne, utilizzando firewall per filtrare il traffico.

L’obiettivo finale di una DMZ è consentire a un’organizzazione di accedere a reti non attendibili, tra cui Internet, garantendo al contempo la sicurezza della propria rete privata o LAN. Le organizzazioni in genere archiviano nella DMZ servizi e risorse rivolti all'esterno, nonché server per il sistema dei nomi di dominio (DNS), FTP (File Transfer Protocol), posta, proxy, Voce tramite protocollo Internet (VoIP) e server Web. 

Questi server e risorse sono isolati e dispongono di un accesso limitato alla rete LAN, per garantire che sia possibile accedervi tramite Internet, ma la LAN interna non può farlo. Di conseguenza, un approccio con la DMZ rende più difficile per un hacker ottenere l’accesso diretto ai dati e ai server interni di un’organizzazione tramite Internet.

 

Come funziona una rete DMZ?

Le aziende con un sito web pubblico, utilizzato dai clienti, devono rendere il proprio server web accessibile da Internet. Ciò significa mettere a rischio tutta la rete interna. Per evitare che ciò accada, un'organizzazione potrebbe pagare un'azienda di hosting per ospitare il sito Web o i suoi server pubblici su un firewall, ma ciò influirebbe sulle prestazioni. Pertanto, i server pubblici vengono ospitati su una rete separata e isolata.

Una rete DMZ fornisce una copertura tra Internet e la rete privata di un'organizzazione. La DMZ è isolata da un gateway di sicurezza, ad esempio un firewall, che filtra il traffico tra la DMZ e una rete LAN. Inoltre, essa è protetta da un altro gateway di sicurezza che filtra il traffico in entrata dalle reti esterne.

Si trova idealmente tra due firewall e la configurazione del firewall della DMZ garantisce che i pacchetti di rete in entrata siano osservati da un firewall, o da altri strumenti di sicurezza, prima che raggiungano i server ospitati nella DMZ. Questo significa che l'autore di un attacco cosi sofisticato da superare il primo firewall, deve anche accedere ai servizi rinforzati nella DMZ prima di poter danneggiare un'azienda.

Se l’autore di un attacco riesce a penetrare il firewall esterno ed a compromettere un sistema nella DMZ, deve anche superare un firewall interno prima di avere accesso ai dati aziendali sensibili. Un malintenzionato molto abile potrebbe essere in grado di violare una DMZ sicura, ma le risorse al suo interno dovrebbero far scattare molti allarmi per avvertire che una violazione è in corso.

Le organizzazioni che devono rispettare le normative, tra cui la Health Insurance Portability and Accountability Act (HIPAA), a volte installeranno un server proxy nella DMZ. Ciò consente loro di semplificare il monitoraggio e la registrazione delle attività degli utenti, centralizzare il filtraggio di contenuti web, e garantire che i dipendenti utilizzino il sistema per accedere a Internet.

 

Vantaggi dell'utilizzo di una DMZ

Il vantaggio principale di una DMZ è fornire a una rete interna un ulteriore livello di sicurezza, limitando l'accesso a dati e server sensibili. Una DMZ consente ai visitatori del sito web di ottenere determinati servizi, fornendo al contempo una copertura tra loro e la rete privata dell’organizzazione. Di conseguenza, la DMZ offre anche ulteriori vantaggi per la sicurezza, tra cui:

  1. l’attivazione del controllo degli accessi: le aziende possono fornire agli utenti l'accesso ai servizi al di fuori dei perimetri della rete tramite la rete Internet pubblica. La DMZ consente l'accesso a questi servizi implementando al contempo la segmentazione della rete, per rendere più difficile per un utente non autorizzato raggiungere la rete privata. Una DMZ può anche includere un server proxy, che centralizza il flusso di traffico interno, semplifica il monitoraggio e la registrazione di tale traffico.
  2. Prevenzione della ricognizione della rete: fornendo una copertura tra Internet e una rete privata, una DMZ impedisce agli autori degli attacchi di eseguire il lavoro di ricognizione che svolgono mentre individuano potenziali target. I server all'interno della DMZ sono esposti pubblicamente, ma sono coperti da un altro livello di sicurezza, garantito da un firewall che impedisce all’autore di un attacco di vedere all'interno della rete interna. Anche se un sistema DMZ viene compromesso, il firewall interno separa la rete privata dalla DMZ, per mantenerla sicura e rendere difficile la ricognizione esterna.
  3. Bloccare lo spoofing dell’Internet Protocol (IP): gli autori dell’attacco possono tentare di accedere ai sistemi tramite lo spoofing di un indirizzo IP, e fingersi un dispositivo approvato connesso a una rete. Una DMZ può rilevare e bloccare tali tentativi di spoofing, al contempo un altro servizio verifica la legittimità dell'indirizzo IP. La DMZ fornisce inoltre la segmentazione di rete, per creare uno spazio per organizzare il traffico e accedere ai servizi pubblici lontano dalla rete privata interna.

I servizi di una DMZ includono:

  1. Server DNS
  2. Server FTP
  3. Server di posta
  4. Server proxy
  5. Server web

Progettazione e architettura della DMZ

Una DMZ è una “rete aperta," ma esistono diversi approcci alla progettazione e all’architettura che la proteggono. Inoltre, può essere progettata in diversi modi, da un approccio a firewall singolo ad approcci a firewall doppi e multipli. La maggior parte delle moderne architetture DMZ utilizza firewall doppi, che possono essere ampliati per sviluppare sistemi più complessi.

  1. Firewall singolo: una DMZ con una progettazione a firewall singolo richiede tre o più interfacce di rete. Il primo rappresenta la rete esterna, che collega la connessione Internet pubblica al firewall. Il secondo forma la rete interna, mentre il terzo è connesso alla DMZ. Diverse regole monitorano e controllano il traffico autorizzato ad accedere alla DMZ, e limitano la connettività alla rete interna.
  2. Firewall doppio: L'implementazione di due firewall con una DMZ tra di essi è generalmente un'opzione più sicura. Il primo firewall consente solo il traffico esterno alla DMZ, mentre il secondo consente solo il traffico che va dalla DMZ alla rete interna. L’autore di un attacco dovrebbe compromettere entrambi i firewall per avere accesso alla LAN di un'organizzazione.

Le organizzazioni possono anche ottimizzare i controlli di sicurezza per diversi segmenti di rete. Ciò significa che un sistema di rilevamento delle intrusioni (IDS) o un sistema di prevenzione delle intrusioni (IPS) all'interno di una DMZ potrebbe essere configurato per bloccare qualsiasi traffico diverso dalle richieste HTTPS (Hypertext Transfer Protocol Secure) inviate alla porta 443 TCP (Transmission Control Protocol).

 

L'importanza delle reti DMZ: Come vengono utilizzate?

Le reti DMZ sono state fondamentali per proteggere le reti aziendali dall’introduzione dei firewall. Proteggono i dati sensibili, i sistemi e le risorse delle organizzazioni, tenendo separate le reti interne dai sistemi che potrebbero essere presi di mira dagli autori di attacchi informatici. Le DMZ consentono inoltre alle organizzazioni di controllare e ridurre i livelli di accesso ai sistemi sensibili.

Le aziende utilizzano sempre più contenitori e macchine virtuali (VM), per isolare le proprie reti o applicazioni particolari dalla parte restante dei propri sistemi. La crescita del cloud indica che molte aziende non hanno più bisogno di server web interni. Hanno inoltre migrato gran parte della loro infrastruttura esterna al cloud, utilizzando applicazioni SaaS (Software-as-a-Service). 

Ad esempio, un servizio cloud come Microsoft Azure consente a un’organizzazione che esegue applicazioni locali e su reti private virtuali (VPN) di adottare un approccio ibrido con la DMZ che si frappone tra entrambi. Questo metodo può essere utilizzato anche quando il traffico in uscita necessita di audit o di controllare il traffico tra un data center locale e le reti virtuali.

Inoltre, le DMZ si stanno dimostrando utili nel contrastare i rischi per la sicurezza, che sono rappresentati dai dispositivi Internet-of-Things (IoT) e dai sistemi di tecnologia operativa (OT), che rendono più intelligenti il settore manifatturiero e della produzione, ma creano una vasta superficie esposta a minacce. Questo perché le apparecchiature OT non sono state progettate per far fronte o recuperare dagli attacchi informatici nel modo in cui sono stati concepiti i dispositivi IoT, il che rappresenta un rischio sostanziale per i dati e le risorse essenziali delle organizzazioni. Una DMZ fornisce la segmentazione di rete per ridurre il rischio di un attacco che possa causare danni all'infrastruttura industriale.

Come può aiutarti Fortinet

Il firewall di nuova generazione FortiGate® (NGFW) di Fortinet contiene una rete DMZ in grado di proteggere i server e le reti degli utenti. Crea un foro nella protezione della rete, per consentire agli utenti di accedere a un server web protetto dalla zona DMZ, e concede solo l'accesso che è stato esplicitamente abilitato. Consulta il cookbook di Fortinet per scoprire ulteriori informazioni su come proteggere un server web con una DMZ.

Domande frequenti

Che cos’è una DMZ?

Una DMZ, abbreviazione che indica una zona demilitarizzata, è una rete perimetrale che consente alle organizzazioni di proteggere le proprie reti interne. Consente alle organizzazioni di fornire l'accesso a reti non attendibili, tra cui Internet, mantenendo al contempo sicure le reti private o le reti locali (LAN). Una DMZ viene utilizzata solitamente per archiviare risorse, server e servizi rivolti all'esterno.

La DMZ è sicura?

La rete DMZ in sé non è sicura. Consente agli host e ai sistemi al suo interno di essere accessibili da reti esterne non attendibili, tra cui Internet, mantenendo isolati altri host e sistemi su reti private.

Qual è il vantaggio della DMZ?

Una DMZ garantisce un ulteriore livello di sicurezza a una rete interna. Limita l'accesso a dati sensibili, risorse e server posizionando una copertura tra utenti esterni e una rete privata. Altri vantaggi includono il controllo degli accessi, la prevenzione degli autori di attacchi dall'esecuzione della ricognizione di potenziali target e la protezione delle organizzazioni dall'attacco tramite lo spoofing IP.

Dovresti usare una DMZ sul router?

Una DMZ può essere utilizzata su un router in una rete domestica. Il router diventa una rete LAN, con i computer e gli altri dispositivi connessi. Alcuni router domestici dispongono anche di una funzionalità host della DMZ, che assegna un dispositivo che deve funzionare al di fuori del firewall e fungere da DMZ. Tutti gli altri dispositivi si trovano nel firewall all'interno della rete domestica. Una console di gioco è spesso una buona opzione da utilizzare come host della DMZ. Garantisce che il firewall non influisca sulle prestazioni di gioco e probabilmente conterrà dati meno sensibili rispetto a un computer portatile o un PC.