Zone di confine

Sicurezza

Nell’architettura di sicurezza aziendale la presenza di una DMZ (zona demilitarizzata) può aumentare sicurezza e flessibilità

Il concetto di Dmz è collegato ai firewall, dispositivi hardware o software preposti al controllo del traffico in transito da e per Internet, con il compito di bloccare quello ritenuto pericoloso o che non rispetta alcune politiche di sicurezza definite in fase di configurazione. Attualmente i firewall software stanno riscuotendo maggiore preferenza da perte degli utilizzatori “non aziendali”, in quanto permettono, con spese relativamente contenute, di proteggere il proprio Pc o la propria rete in modo sufficiente. Ovviamente, perché il grado di sicurezza garantito sia ottimale, i firewall dovranno essere configurati in modo accurato e aggiornati costantemente. I firewall software, a tutti gli effetti, sono dei Processi che si instaurano a livello Kernel e “controllano” il “traffico” di rete in entrata e in uscita, autorizzandone o meno il transito in base a “Policies”, cioè delle regole. Invece, i Firewall Hardware sono impiegati nelle grosse strutture aziendali, risiedono nei “router” o in appositi Server e sono governati da un proprio Hardware e Firmware. Generalmente sono in grado di offrire un livello di protezione maggiore essendo anche più “complessi” dei loro “cugini” software. Terra di nessuno

Il termine Dmz (DeMilitarized Zone, in italiano si potrebbe anche dire: “terra di nessuno”), indica una parte di una rete locale destinata a fornire servizi all’esterno. Normalmente i firewall prevedono l’utilizzo e la gestione di diverse porte di comunicazione. Il caso classico per la reaIizzazione di una struttura di sicurezza con Dmz prevede l’utilizzo di un firewall con tre diverse porte di rete. La configurazione Dmz serve per separare la rete Lan dai sistemi che erogano servizi pubblici come per esempio i Web server, Ftp server, Mail server. Essendo i servizi Web e Mail i più attaccati e vulnerabili, con una soluzione DMZ si è in grado di confinare i danni causati da un eventuale attacco solo ai servizi menzionati, limitando il più possibile gli eventuali danni che potrebbero colpire l’intera rete aziendale. In pratica quindi una Dmz è un segmento isolato di Lan (una “sottorete”) raggiungibile sia da reti interne sia esterne che permette, però, connessioni esclusivamente verso l’esterno: gli host attestati sulla Dmz non possono connettersi alla rete aziendale interna. Tale configurazione è utilizzata per permettere ai server posizionati sulla Dmz di fornire servizi all’esterno senza compromettere la sicurezza della rete aziendale interna nel caso una di tali macchine sia sottoposta a un attacco informatico: per chi si connette dall’esterno dell’organizzazione la Dmz è una sorta di “strada senza uscita” o “vicolo cieco”. Una Dmz può essere creata attraverso la definizione di policies distinte su uno o più firewall. Naturalmente non finiremo mai di ribadire il fatto che la sicurezza assoluta non esiste e quindi, anche l’esistenza di una Dmz non rappresenta da sola una garanzia sufficiente ma deve essere accompagnata dalla presenza di adeguati dispositivi di controllo degli accessi opportunamente protetti e configurati. Conclusioni Nel caso in cui abbiate deciso di proteggere il vostro sistema informatico aziendale con un firewall e, la vostra azienda preveda l’utilizzo di alcuni servizi pubblici verso Internet come per esempio Mail, Ftp e Web, il ricorso a una configurazione comprendente una Dmz potrebbe aumentare il livello di sicurezza dell’intera struttura informatica. In ogni caso, qualora non sia possibile servirsi di una zona demilitarizzata, fermo restando i rischi di un possibile accesso agli host della Lan, è sempre possibile ricorrere a dispositivi come hub e switch in grado di suddividere il traffico della rete separando quello del Web da quello interno ed, eventualmente, criptare quest’ultimo così da renderlo comunque incomprensibile all’aggressore anche in caso di avvenuta compromissione del server.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore