A cosa serve la DMZ in un router wireless domestico?

La DMZ è buona se volete eseguire un server domestico a cui si può accedere dall'esterno della vostra rete domestica (cioè server web, ssh, vnc o altro protocollo di accesso remoto). In genere si vorrebbe eseguire un firewall sulla macchina server per assicurarsi che solo le porte che sono specificamente desiderate abbiano accesso dai computer pubblici.

Un'alternativa all'uso della DMZ è quella di impostare il port forwarding. Con il port forwarding puoi permettere solo porte specifiche attraverso il tuo router e puoi anche specificare alcune porte per andare a macchine diverse se hai più server in esecuzione dietro il tuo router.

Fate attenzione. La DMZ in un ambiente aziendale/professionale (con firewall di alto livello) non è la stessa che per un router wireless domestico (o altri router NAT per uso domestico). Potresti dover usare un secondo router NAT per ottenere la sicurezza prevista (vedi l'articolo qui sotto).

Nell’ episodio 3 del Security Now podcast di Leo Laporte e del guru della sicurezza Steve Gibson si è parlato di questo argomento. Nella trascrizione vedi vicino “questione davvero interessante perché è la cosiddetta "DMZ”, la zona demilitarizzata, come viene chiamata sui router".

Da Steve Gibson, http://www.grc.com/nat/nat.htm :

“Come si può immaginare, la macchina "DMZ” di un router, e anche una macchina “port forwarded” ha bisogno di avere una sicurezza sostanziale o sarà brulicante di funghi di Internet in poco tempo. Questo è un GRANDE problema dal punto di vista della sicurezza. Perché? … un router NAT ha uno switch Ethernet standard che interconnette TUTTE le sue porte lato LAN. Non c'è niente di “separato” nella porta che ospita la macchina speciale “DMZ”. È sulla LAN interna! Questo significa che qualsiasi cosa che potrebbe strisciare in essa attraverso una porta inoltrata del router, o a causa del suo essere l'host DMZ, ha accesso ad ogni altra macchina sulla LAN interna privata. (Questo è davvero brutto.)“

Nell'articolo c'è anche una soluzione a questo problema che comporta l'uso di un secondo router NAT. Ci sono alcuni diagrammi davvero buoni per illustrare il problema e la soluzione.

Una DMZ o “zona de-militarizzata” è dove puoi impostare server o altri dispositivi a cui è necessario accedere dall'esterno della tua rete.

Cosa appartiene a questa zona? Server web, server proxy, server di posta ecc.

In una rete, gli host più vulnerabili agli attacchi sono quelli che forniscono servizi agli utenti al di fuori della LAN, come i server e-mail, web e DNS. A causa dell'aumento del potenziale di compromissione di questi host, essi sono collocati in una propria sottorete per proteggere il resto della rete se un intruso dovesse avere successo. Gli host nella DMZ hanno una connettività limitata a specifici host nella rete interna, anche se la comunicazione con altri host nella DMZ e verso la rete esterna è consentita. Questo permette agli host nella DMZ di fornire servizi sia alla rete interna che a quella esterna, mentre un firewall intermedio controlla il traffico tra i server della DMZ e i client della rete interna.

Nelle reti di computer, una DMZ (zona demilitarizzata), a volte conosciuta anche come una rete perimetrale o una sottorete schermata, è una sottorete fisica o logica che separa una rete locale interna (LAN) da altre reti non affidabili, di solito Internet. I server, le risorse e i servizi rivolti all'esterno si trovano nella DMZ. Quindi, sono accessibili da Internet, ma il resto della LAN interna rimane irraggiungibile. Questo fornisce un ulteriore livello di sicurezza alla LAN in quanto limita la capacità degli hacker di accedere direttamente ai server interni e ai dati tramite internet.