DMZ – Demilitarized Zone

La “terza zona” per pubblicare servizi senza esporre la LAN

Sicurezza perimetrale: separa WAN, DMZ e LAN con regole di filtro precise.
Esempio
Cos’è la DMZ e perché si usa

La sicurezza perimetrale protegge la rete nei punti in cui entra in contatto con l’esterno (Internet). Un metodo molto efficace consiste nel dividere la rete in zone con livelli di fiducia diversi.

LAN (zona privata)
  • postazioni utenti, server interni, risorse sensibili
  • zona ad alta fiducia
  • accesso solo per utenti autorizzati
WAN (zona esterna)
  • Internet / reti remote
  • zona non fidata
  • traffico potenzialmente ostile

Spesso però servono servizi raggiungibili da tutti (es. sito web). Metterli direttamente nella LAN è rischioso. Si introduce quindi la DMZ (Demilitarized Zone), una terza zona intermedia in cui:

  • il traffico da WAN verso DMZ è consentito solo verso i servizi pubblicati (porte specifiche);
  • il traffico da DMZ verso LAN è ancora più limitato (solo ciò che serve davvero);
  • un attacco su un server pubblico non deve diventare automaticamente accesso alla LAN.
In pratica, la DMZ è una zona cuscinetto: rende pubblici i servizi senza “aprire” direttamente la rete interna.
Quali servizi mettere in DMZ (e cosa lasciare in LAN)

In DMZ si collocano i server che devono essere raggiungibili dall’esterno. Esempi tipici:

Web / Reverse proxy
  • HTTP/HTTPS verso Internet
  • eventuale reverse proxy verso servizi interni
  • log e controlli concentrati
Mail (SMTP pubblico)
  • server SMTP esposto per ricevere email
  • antispam/antivirus e caselle in LAN (o zona più protetta)
  • riduce il rischio sulla rete interna

Caso classico front-end / back-end:

  • Front-end in DMZ: è ciò che vede Internet (interfaccia web/app).
  • Back-end / Database in LAN: contiene i dati sensibili.
  • Il front-end comunica col back-end solo sulle porte necessarie (es. 3306, 5432, ecc. a seconda del DB).
Regola d’oro: mai esporre direttamente il database su Internet.
Schema concettuale LAN - DMZ - WAN
Tipi di DMZ: vicolo cieco e zona cuscinetto

Esistono due implementazioni principali, in base al numero di firewall e al livello di isolamento.

DMZ a vicolo cieco (1 firewall)
  • un firewall con almeno 3 interfacce: WAN / DMZ / LAN
  • semplice da gestire
  • adatta a reti piccole/medie
DMZ a zona cuscinetto (2 firewall)
  • firewall esterno: WAN ↔ DMZ
  • firewall interno: DMZ ↔ LAN
  • isolamento maggiore (un secondo ostacolo verso la LAN)
Schema DMZ a zona cuscinetto con due firewall (placeholder)
Regole firewall tipiche (principio del minimo privilegio)

In una DMZ le regole devono essere esplicite: si consente solo ciò che serve. Tutto il resto va bloccato.

WAN → DMZ
  • consenti solo porte pubbliche (es. 80/443)
  • DNAT/port forwarding se necessario
  • log degli accessi
DMZ → LAN
  • solo traffico indispensabile (es. front-end → DB)
  • limitare per IP + porta
  • meglio “deny all” e poi eccezioni
LAN → DMZ
  • accesso admin (SSH/RDP) solo da PC autorizzati
  • gestione e manutenzione
  • monitoraggio centralizzato
Nota: in laboratorio (Packet Tracer) spesso la DMZ si realizza con un router/firewall e ACL sulle interfacce. L’idea resta la stessa: separare le zone e filtrare per direzione e porte.
Riepilogo rapido (da ripetere a voce)
  • La DMZ è una terza zona tra WAN e LAN per pubblicare servizi in modo sicuro.
  • I server pubblici (web, SMTP, proxy) stanno in DMZ, non in LAN.
  • Traffico WAN→DMZ limitato alle porte dei servizi; DMZ→LAN ancora più limitato.
  • Due modelli: vicolo cieco (1 firewall) e zona cuscinetto (2 firewall).
  • Principio base: consenti solo ciò che serve, tutto il resto si blocca.