DMZ (networking)

Nelle reti di computer, una DMZ (zona demilitarizzata), conosciuta anche come una rete perimetrale o una sottorete schermata, è una sottorete fisica o logica che separa una rete locale interna (LAN) da altre reti non fidate — di solito l’internet pubblico. I server, le risorse e i servizi rivolti all’esterno si trovano nella DMZ. Pertanto, sono accessibili da Internet, ma il resto della LAN interna rimane irraggiungibile. Questo fornisce un ulteriore livello di sicurezza alla LAN in quanto limita la capacità di un hacker di accedere direttamente ai server interni e ai dati attraverso internet.

Tutti i servizi forniti agli utenti su internet pubblico dovrebbero essere collocati nella rete DMZ. Alcuni dei più comuni di questi servizi includono i server web e i server proxy, così come i server per la posta elettronica, il sistema dei nomi di dominio (DNS), il File Transfer Protocol (FTP) e la voce su IP (VoIP).

Hacker e criminali informatici di tutto il mondo possono raggiungere i sistemi che eseguono questi servizi sui server DMZ, che devono essere temprati per resistere ad attacchi continui. Il termine DMZ deriva dalla zona cuscinetto geografica che fu creata tra la Corea del Nord e la Corea del Sud alla fine della guerra di Corea.

Architettura delle DMZ di rete

Ci sono vari modi per progettare una rete con una DMZ. I due metodi di base sono l’uso di uno o due firewall, anche se la maggior parte delle DMZ moderne sono progettate con due firewall. Questo approccio di base può essere ampliato per creare architetture più complesse.

Un singolo firewall con almeno tre interfacce di rete può essere utilizzato per creare un’architettura di rete contenente una DMZ. La rete esterna è formata collegando l’internet pubblica — tramite la connessione dell’internet service provider (ISP) — al firewall sulla prima interfaccia di rete. La rete interna è formata dalla seconda interfaccia di rete e la rete DMZ stessa è collegata alla terza interfaccia di rete.

Diversi set di regole firewall per il monitoraggio del traffico tra internet e la DMZ, la LAN e la DMZ, e la LAN e internet controllano strettamente quali porte e tipi di traffico sono permessi nella DMZ da internet, limitano la connettività a specifici host nella rete interna e impediscono connessioni non richieste sia a internet che alla LAN interna dalla DMZ.

L’approccio più sicuro per creare una rete DMZ è una configurazione a doppio firewall, in cui due firewall sono distribuiti con la rete DMZ posizionata tra loro. Il primo firewall, chiamato anche firewall perimetrale, è configurato per consentire solo il traffico esterno destinato alla DMZ. Il secondo, o interno, firewall permette solo il traffico dalla DMZ alla rete interna. Questo è considerato più sicuro perché due dispositivi devono essere compromessi prima che un attaccante possa accedere alla LAN interna.

I controlli di sicurezza possono essere sintonizzati specificamente per ogni segmento di rete. Per esempio, un sistema di rilevamento e prevenzione delle intrusioni di rete situato in una DMZ potrebbe essere configurato per bloccare tutto il traffico tranne le richieste HTTPS alla porta TCP 443.

Come funzionano le DMZ

Le DMZ sono destinate a funzionare come una sorta di zona cuscinetto tra Internet pubblica e la rete privata. Distribuire la DMZ tra due firewall significa che tutti i pacchetti di rete in entrata vengono schermati utilizzando un firewall o un altro dispositivo di sicurezza prima che arrivino ai server che l’organizzazione ospita nella DMZ.

Se un minacciatore meglio preparato passa attraverso il primo firewall, deve poi ottenere un accesso non autorizzato a quei servizi prima di poter fare danni, e quei sistemi sono probabilmente rinforzati contro tali attacchi.

Infine, supponendo che un minacciatore ben preparato sia in grado di violare il firewall esterno e prendere il controllo di un sistema ospitato nella DMZ, deve ancora superare il firewall interno prima di poter raggiungere le risorse aziendali sensibili. Mentre un aggressore determinato può violare anche l’architettura DMZ meglio protetta, una DMZ sotto attacco dovrebbe far scattare l’allarme, dando ai professionisti della sicurezza un preavviso sufficiente per evitare una violazione completa della loro organizzazione.

Benefici delle DMZ

Il vantaggio principale di una DMZ è che offre agli utenti di Internet pubblica l’accesso a determinati servizi sicuri, pur mantenendo un buffer tra questi utenti e la rete interna privata. I benefici di sicurezza di questo buffer si manifestano in diversi modi, tra cui:

Controllo dell’accesso per le organizzazioni. Le organizzazioni possono fornire agli utenti l’accesso a servizi situati al di fuori dei loro perimetri di rete attraverso internet pubblico. Una rete DMZ fornisce l’accesso a questi servizi necessari e contemporaneamente introduce un livello di segmentazione della rete che aumenta il numero di ostacoli che un utente non autorizzato deve superare prima di poter accedere alla rete privata di un’organizzazione. In alcuni casi, una DMZ include un server proxy, che centralizza il flusso del traffico internet interno – di solito dei dipendenti – e rende più semplice la registrazione e il monitoraggio di tale traffico.

Impedire agli attaccanti di eseguire la ricognizione della rete. Una DMZ, poiché agisce come un buffer, impedisce a un attaccante di essere in grado di individuare potenziali obiettivi all’interno della rete. Anche se un sistema all’interno della DMZ è compromesso, la rete privata è ancora protetta dal firewall interno che la separa dalla DMZ. Rende anche più difficile la ricognizione esterna per la stessa ragione. Anche se i server nella DMZ sono esposti pubblicamente, sono sostenuti da un altro strato di protezione. La faccia pubblica della DMZ impedisce agli aggressori di vedere il contenuto della rete privata interna. Se gli aggressori riescono a compromettere i server all’interno della DMZ, sono ancora isolati dalla rete privata dalla barriera interna della DMZ.

Protezione contro lo spoofing dell’IP. In alcuni casi, gli aggressori tentano di aggirare le restrizioni di controllo dell’accesso, camuffando un indirizzo IP autorizzato per impersonare un altro dispositivo sulla rete. Una DMZ può bloccare i potenziali spoofers IP mentre un altro servizio sulla rete verifica la legittimità dell’indirizzo IP testando se è raggiungibile.

In ogni caso, la DMZ fornisce un livello di segmentazione della rete che crea uno spazio dove il traffico può essere organizzato e i servizi pubblici possono essere accessibili a una distanza di sicurezza dalla rete privata.

A cosa servono le DMZ

Le reti DMZ sono una parte importante della sicurezza delle reti aziendali da quasi quanto i firewall sono in uso e, in gran parte, vengono distribuite per motivi simili: proteggere i sistemi e le risorse organizzative sensibili. Le reti DMZ possono essere utilizzate per isolare e mantenere i potenziali sistemi di destinazione separati dalle reti interne, oltre a ridurre e controllare l’accesso a quei sistemi al di fuori dell’organizzazione. L’uso di una DMZ è stato a lungo l’approccio per ospitare risorse aziendali per rendere almeno alcune di esse disponibili agli utenti esterni autorizzati.

Più recentemente, le imprese hanno scelto di utilizzare macchine virtuali (VM) o contenitori per isolare parti della rete o applicazioni specifiche dal resto dell’ambiente aziendale. Le tecnologie cloud hanno ampiamente rimosso la necessità per molte organizzazioni di avere server web in-house. Molte delle infrastrutture rivolte all’esterno che una volta si trovavano nella DMZ aziendale sono ora migrate nel cloud, come le applicazioni software-as-a-service (SaaS).

Esempi di DMZ

Alcuni servizi cloud, come Microsoft Azure, implementano un approccio di sicurezza ibrido in cui viene implementata una DMZ tra la rete on-premises di un’organizzazione e la rete virtuale. Questo approccio ibrido è tipicamente utilizzato in situazioni in cui le applicazioni dell’organizzazione vengono eseguite in parte in sede e in parte sulla rete virtuale. Viene anche utilizzato in situazioni in cui il traffico in uscita ha bisogno di essere controllato, o dove è richiesto un controllo granulare del traffico tra la rete virtuale e il data center on-premises.

Una DMZ può anche essere utile in una rete domestica in cui i computer e altri dispositivi sono collegati a Internet utilizzando un router a banda larga e configurati in una rete locale. Alcuni router domestici includono una funzione DMZ host, che può essere contrapposta alla sottorete DMZ più comunemente implementata nelle organizzazioni con molti più dispositivi di quelli che si trovano in una casa. La funzione DMZ host designa un dispositivo sulla rete domestica per funzionare al di fuori del firewall dove agisce come DMZ mentre il resto della rete domestica si trova all’interno del firewall. In alcuni casi, una console di gioco è scelta per essere l’host DMZ in modo che il firewall non interferisca con il gioco. Inoltre, la console è un buon candidato per un host DMZ perché probabilmente contiene meno informazioni sensibili di un PC.

A parte l’uso selettivo in casa e nel cloud, le DMZ forniscono una soluzione potenziale ai rischi di sicurezza posti dalla crescente convergenza di IT e OT (tecnologia operativa). Le apparecchiature industriali come i motori a turbina o i sistemi di controllo industriali si stanno fondendo con le tecnologie IT, il che rende gli ambienti di produzione più intelligenti ed efficienti, ma crea anche una maggiore superficie di minaccia. Molte delle apparecchiature OT che si collegano a Internet non sono progettate per gestire gli attacchi nello stesso modo in cui lo sono i dispositivi IT.

Anche l’OT compromessa è potenzialmente più pericolosa di una violazione IT. Le violazioni OT possono portare a un’interruzione dell’infrastruttura critica, una perdita di tempo prezioso per la produzione e possono persino minacciare la sicurezza delle persone, mentre una violazione IT si traduce in informazioni compromesse. L’infrastruttura IT può anche recuperare dai cyberattacchi con un semplice backup, a differenza dell’infrastruttura OT, che spesso non ha modo di recuperare il tempo di produzione perso o i danni fisici.

Per esempio, nel 2016 una società elettrica statunitense è stata attaccata da un ransomware che ha colpito i suoi dispositivi OT e ha impedito a molti dei suoi clienti di ricevere energia. L’azienda non aveva una DMZ stabilita tra i suoi dispositivi IT e OT, e i suoi dispositivi OT non erano ben equipaggiati per gestire il ransomware una volta che li aveva raggiunti. Questa violazione ha colpito profondamente l’infrastruttura dell’azienda elettrica e le moltitudini di clienti che si affidano al loro servizio.

Un DMZ avrebbe fornito una maggiore segmentazione della rete (sia all’interno della rete OT stessa che tra le reti OT e IT) e avrebbe potuto potenzialmente contenere i danni di ricaduta che il ransomware ha causato all’ambiente industriale.