Una zona demilitarizzata (DMZ) è un segmento di rete separato dalle altre reti. Molte organizzazioni li utilizzano per separare le loro reti locali (LAN) da Internet. Ciò aggiunge ulteriore sicurezza tra la loro rete aziendale e l’Internet pubblico. Può anche essere utilizzato per separare una particolare macchina dal resto di una rete, spostandola al di fuori della protezione di un firewall.
Usi Frequenti
Gli elementi comuni che vengono inseriti in una DMZ sono server rivolti al pubblico. Ad esempio, se un’organizzazione mantiene il proprio sito Web su un server, tale server Web potrebbe essere collocato in un computer “Zona demilitarizzata”. In questo modo, se un attacco dannoso compromette la macchina, il resto della rete aziendale rimane al sicuro dai pericoli. Qualcuno può anche posizionare un computer su una DMZ al di fuori di una rete per verificare i problemi di connettività creati da un firewall che protegge il resto del sistema.
Configurazione e funzionalità del router
Quando si collega una LAN a Internet, un router fornisce una connessione fisica a Internet pubblica e il software firewall offre un gateway per impedire l’ingresso di dati dannosi nella rete. Una porta sul firewall spesso si connette alla rete utilizzando un indirizzo interno, consentendo al traffico inviato dagli individui di raggiungere Internet. Un’altra porta è solitamente configurata con un indirizzo pubblico, che consente al traffico Internet di raggiungere il sistema. Queste due porte consentono ai dati in entrata e in uscita di comunicare tra la rete e Internet.
Scopo di una zona demilitarizzata
Nella creazione di una DMZ, un’organizzazione aggiunge un altro segmento di rete o sottorete che fa ancora parte del sistema, ma non è connesso direttamente alla rete. L’aggiunta di una DMZ fa uso di una terza porta di interfaccia sul firewall. Questa configurazione consente al firewall di scambiare dati sia con la rete generale che con la macchina isolata utilizzando Network Address Translation (NAT). Il firewall di solito non protegge il sistema isolato, consentendogli di connettersi più direttamente a Internet.
Funzionalità NAT
Network Address Translation consente di instradare i dati ricevuti su una determinata porta o interfaccia verso una rete specifica. Ad esempio, quando qualcuno visita il sito Web di un’organizzazione, il browser viene inviato al server che ospita il sito. Se questa organizzazione mantiene il proprio server Web in una DMZ, il firewall sa che tutto il traffico inviato all’indirizzo associato al proprio sito Web deve essere passato al server che si trova nella DMZ, anziché direttamente nella rete interna dell’organizzazione.
Svantaggi e altri metodi
Poiché il computer DMZ si trova al di fuori della protezione del firewall, potrebbe essere vulnerabile agli attacchi di programmi dannosi o hacker. Le aziende e gli individui non dovrebbero archiviare dati sensibili su questo tipo di sistema e sapere che tale macchina può potenzialmente danneggiarsi e “attaccare” il resto della rete. Molti professionisti della rete consigliano il “port forwarding” per le persone che hanno problemi di rete o di connessione. Ciò fornisce un accesso specifico e mirato a determinate porte di rete, senza aprire completamente un sistema.