Insieme alla scelta del sistema operativo anche la configurazione di rete ha una sua importanza basilare e da questo punto di vista la soluzione che offre le migliori garanzie in termini di sicurezza rimane quella di isolare il server Web dalla rete interna.
Nell'ipotesi di una compromissione dell'host questa pratica è infatti di ausilio nell'impedire il verificarsi di due conseguenze molto gravi:
- l'accesso agli host della LAN da parte dell'aggressore;
- il monitoraggio del traffico proveniente dalla rete con la conseguente
cattura di eventuali informazioni riservate;
Generalmente il raggiungimento di un tale livello di isolamento diventa
possibile attraverso la configurazione e l'uso di una zona demilitarizzata,
detta anche DMZ, cioè di una topologia in grado di segmentare logicamente la
rete separando i sistemi interni (considerati di fiducia) da quelli esterni
accessibili al pubblico che, in quanto privi di tale fiducia, devono rimanere
isolati.
Naturalmente l'esistenza di una DMZ non rappresenta da sola una
garanzia sufficiente ma deve essere accompagnata dalla presenza di adeguati
dispositivi di controllo degli accessi (router e firewall) in modo tale da:
- bloccare tutto il traffico UDP, ICMP e TCP non strettamente necessario;
- bloccare tutte le connessioni TCP che traggono origine dallo stesso server Web;
- bloccare il traffico tra il server Web e la rete interna;
- disabilitare il source routing e scartare i datagrammi IP che abbiano impostata questa opzione (il source routing è una funzione del meccanismo di instradamento dei pacchetti IP che permette alla sorgente di influenzare il percorso che il pacchetto seguirà nel suo attraversamento delle reti);
Il blocco delle connessioni in uscita dal server http non può comunque essere
adottato nel caso in cui quest'ultimo si avvalga di servizi esterni erogati da
altri server (ad esempio un database per la generazione dinamica dei contenuti,
un server SMTP per la posta in uscita, etc...).
Quando ciò accade è tuttavia
conveniente collocare anche gli host dei servizi di supporto all'interno di una
sottorete e separare quest'ultima sia dalla rete interna che da quella esterna
mediante l'utilizzo di dispositivi di controllo degli accessi in modo tale
da:
- bloccare qualsiasi tipo di traffico tra la rete Internet e questi host;
- impedire ogni forma di traffico diretto tra gli utenti ed i servizi di supporto;
- disabilitare le funzioni di IP forwarding (inoltro del traffico IP) tra server Web e server di supporto;
Qualora non sia possibile servirsi di una zona demilitarizzata, fermo
restando i rischi di un possibile accesso agli host della LAN, è sempre
possibile ricorrere a dispositivi come hub e switch in grado di suddividere il
traffico della rete separando quello del Web da quello interno ed,
eventualmente, criptare quest'ultimo così da renderlo comunque incomprensibile
all'aggressore anche in caso di avvenuta compromissione del
server.