Lo scopo di una DMZ

Questo articolo è uno sfogo del tutto personale, non cerco consensi ma vorrei mettere i puntini sulle i su un argomento: la DMZ.

Ok, per i neofiti posso dire che la DMZ è sostanzialmente una rete separata dalla rete LAN, punto.
Non vi è dato sapere null’altro sulla DMZ in questa vita, continuate con il vostro lavoro e noi continueremo con il nostro.

Ai tecnici informatici invece va fatto un discorso più dettagliato dato che il 98,9% della gente impugna codesto titolo con lo stesso meccanismo di autocertificazione utilizzato una volta compiuti i 18 anni, quando ci si può auto-giustificare il dolce fare sega a scuola, auto-firmandosi una giustificazione.

In poche parole, se sono qui che dedico del tempo a scrivere questo straziante articolo, è perchè nessuno ha un’idea precisa su ‘sta benedetta DMZ e io mi sono veramente rotto le scatole di spiegarlo tutte le fottute volte al primo cazzone passante.

Allora, il problema principale è semplicemente che leggendo qua e la una mezza idea sulle DMZ se la son fatta un po’ tutti.
Peccato che questa mezza idea sia del tutto sbagliata e l’altra mezza è un’entità astratta secondo i più trascurabile, quindi leggete qua che vi spiego cos’è e a cosa serve una volta per tutte.
Mi ci impegno sperando di far del bene al mondo informatico, voi impegnatevi però cercando di seguire il filo del mio discorso.

Allora, cosa vuol dire DMZ? Niente di che, vuol dire demilitarized zone, mentre scrivo questo immagino la maggior parte della gente che pensa a carri armati e kalashnikov, in realtà… no, non centrano nulla, è una cosa più semplice et docile.

Dicesi DMZ un segmento di rete isolato dalla rete WAN (il cosiddetto internet) e dalla rete LAN (il cosiddetto scatola con tutti i cavi di rete attaccati o in alcuni casi anche scatola con corna se trattasi di access point).

La DMZ, al contrario di quello che i più pensano, non è un modo di proteggere i propri dati dagli hacker cattivi; no, a quello dovete pensare voi o chi per voi svilupperà o configurerà il servizio da esporre su internet.
Voi o chi per voi, non potete in nessun modo pretendere contemporaneamente di essere degli scimpanzè informatici e che la DMZ vi protegga dai mali del mondo pur essendo degli scimpanzè informatici.

In sostanza, se dovete pubblicare dei maledettissimi dati/servizi aziendali su internet, non c’è un prodotto/tecnologia/protocollo/firewall che vi possa far dormire tranquilli se non il fatto che chi crea questi servizi da esporre al mondo lo faccia utilizzando quella che chiamo: grazia.

Parlo di web service, siti web, server SMTP, server FTP e chi più ne ha più ne metta… la gente puntualmente mi dice, mettiamo apache in DMZ e il server database in LAN così sono più tranquillo.

Ma vi rendete conto che non dovreste essere tranquilli proprio per niente?
Credete veramente che i dati pubblicati sul vostro sito non siano scaricabili?
Conoscete la parola scraping?
Conoscete il termine Botnet?
Perchè se il server apache con WordPress può accedere al database in LAN, l’hacker non può una volta violato apache prendere i dati nel DB in LAN come fa WordPress?

In sostanza, quello che fate mettendo il server database in LAN non è altro che prendervi dei rischi inutili rendendolo vulnerabile anche ad attacchi in LAN e vanificando proprio lo scopo di avere una DMZ.

Perchè acciminchia dovete sbrodolare così la sicurezza della vostra rete?

Addirittura ho avuto a che fare con gente che ha messo 3 reti DMZ separate per i server web con rispettivi dati in LAN, ricordo ancora quel giorno… coniai il termine “apoteosi della monnezza”.

E’ stato ancora più interessante scoprire che quei server sulle varie DMZ avevano tutte password come Passw0rd e Password01, perchè tanto se li sfondano li mica ci sono i dati… certo.
Ma lo sapete che WordPress, Magento, Joomla e quant’altro hanno la password del database in chiaro su un file di testo?

Dove voglio arrivare…
Voglio, anzi sogno, che voi tutti capiate che la DMZ non serve a proteggere i vostri dati ma a limitare i danni in caso di attacco hacker andato a buon fine.
Insomma la DMZ non è una difesa proattiva, non so più come dirvelo, non so più come spiegarvelo.
La DMZ vi consolerà solo il giorno in cui sarete tristi per qualcosa che è andato storto ma non eviterà che nulla vada storto! Vi farà solo dire, poteva andare peggio, ecco.

Faccio un paragone per cercare di capirci, ammettiamo che la vostra politica di backup preveda che giornalmente, chi è incaricato di cambiare la cassetta dove vengono fatti i backup, debba portare a casa la cassetta con un backup valido.
Ora… se qualcuno in azienda per errore sovrascrive un file excel, mi sembra folle che la vostra strategia di backup preveda che per una stronzata di questo calibro, il tizio che cambia le cassette debba prendere la macchina e andare a casa a prendere la cassetta con i backup da ripristinare, giusto?

Allora perchè il tizio si deve portare a casa i backup tutti i giorni?

Perchè se ad esempio un incendio manda a donnine di facili costumi l’intero capannone, un backup da ripristinare per far ripartire l’azienda da una condizione che non sia lo zero assoluto potrebbe decisamente far comodo, o no?

Mi immagino il titolare, mi sembra di vederlo…
Madonna… un incendio mi ha completamente distrutto l’intero capannone, devo rifare tutto… non è possibile! Ho perso tutto!!
Aspetta un momento… aspetta un momento… aspetta un momento!!
Tizio ha una cassetta con i backup a casa quindi ho perso quasi tutto, non tutto!

Per la DMZ è la stessa identica cosa, lei serve e farà il suo dovere solo a danno arrivato, consolandovi.

Esempio con DMZ:
Quei maletti acari cattivi sono riusciti a scaricare e cancellare tutti i disegni tecnici che avevo messo sul mio server FTP in anonymous su internet, noooo che sfigaaaaa….
Beh, per fortuna che quel server è in una DMZ e da li non sono riusciti ad arrivare anche al database della contabilità che invece tengo in LAN.
Poteva andare peggio, ecco tutto quello che potrà farvi dire una DMZ.

Sono stato chiaro oppure devo spiegarla ancora e ancora?

Rispondi