Nastavenie DMZ na zlepšenie pripojenia konzoly

Ak hráte online na konzole a už vás nebaví zobrazovať správy od Prísne NAT, problémy s pripojením alebo hlasový chat, ktorý sa neustále prerušuje.Pravdepodobne vám už niekto povedal: „Dajte konzolu do DMZ a všetko bude opravené.“ Pravdou je, že áno, môže to vyriešiť mnoho bolestí hlavy, ale má to aj bezpečnostné dôsledky, ktorým by ste mali porozumieť skôr, ako sa čohokoľvek dotknete na svojom routeri.

Nastavenie DMZ pre konzolu nie je zložité. Kľúčom je vedieť ako. Čo presne robí DMZ a ako sa líši od otvárania portov alebo používania UPnP?, kedy má zmysel ho používať, kedy je najlepšie sa mu vyhnúť a ako ovplyvňuje vašu sieť, ak máte napríklad prepínač, sieťový systém alebo druhý router doma.

Čo je DMZ a ako vám pomôže s konzolou?

Na domácom routeri je funkcia DMZ (Demilitarizovaná zóna) v podstate možnosť, ktorá umožňuje všetka prichádzajúca prevádzka z internetu, ktorá nemá špecifické pravidlo presmerovať na jedno zariadenie v lokálnej sieti. Týmto zariadením môže byť konzola, počítač, server alebo dokonca iný smerovač.

Keď umiestnite konzolu do DMZ, router sa správa, akoby boli pre ňu otvorené všetky jeho porty. Nie je potrebné konfigurovať pravidlá presmerovania portov hru po hreani sa nespoliehať na správne fungovanie UPnP. Pre herné konzoly do obývačky (PlayStation, Xbox, Nintendo Switch), ktoré majú relatívne uzavretý systém, je táto expozícia vo všeobecnosti celkom zvládnuteľná.

Toto správanie je veľmi užitočné, pretože mnoho online hier používa dynamické alebo zle zdokumentované kombinácie portov a niektoré služby, ako napríklad P2P hlasový chat alebo hosting hier, to vyžadujú. Ostatní hráči sa môžu pripojiť k vašej konzole bez obmedzení NAT.A práve v tom môže demilitarizovaná zóna priniesť zmenu.

Je však dôležité mať jasno v tom, že Demilitarizovaná zóna na domácom routeri nie je to isté ako firemná DMZ.V profesionálnom prostredí sa hovorí o podsieťach a viacerých firewalloch. Na domácom routeri je „DMZ“ v ponuke zvyčajne len univerzálnym označením pre všetku prichádzajúcu prevádzku, ktorá nemá žiadne iné pravidlá.

DMZ a NAT: prečo sa konzola sťažuje

Vo vašej domácnosti zdieľajú všetky zariadenia jednu verejnú IP adresu. Router prekladá túto verejnú IP adresu do ostatných. Súkromné ​​IP adresy pre vaše zariadenia vďaka NAT (Network Address Translation)Keď vaša konzola iniciuje pripojenie k hernému serveru, všetko prebehne hladko, pretože router si pamätá, kto otvoril každé pripojenie a vie, ako vrátiť odpovede.

Problém nastáva, keď sa externý hráč pokúša pripojiť priamo k vašej konzole, napríklad keď hostujete hru, začínate P2P hlasový chat alebo hra vyžaduje špecifickú prichádzajúcu prevádzku. V takom prípade, ak router nemá nastavené pravidlá, Nevie, na ktoré zariadenie má presmerovať pripojenie prichádzajúce na konkrétny port. a zahodí ho. Konzola túto situáciu zistí a označí NAT ako striktný alebo typu 3, C, D, F v závislosti od značky.

Vo všeobecnosti herné konzoly klasifikujú situáciu týmto spôsobom, aby sa používateľ lepšie zorientoval:

• Otvorený NAT (PlayStation typ 1/2, otvorený Xbox, Switch A/B)Vaše potrebné porty sú prístupné z internetu, môžete sa pripojiť k akejkoľvek hre, hostiť miestnosti a používať hlasový chat s kýmkoľvek.
• Mierny NAT. Môžeš hrať, ale Budete mať obmedzenia na pripojenie sa k používateľom, ktorí sú tiež obmedzení.Hostovanie hier alebo neustále používanie chatu sa môže stať skutočnou skúškou.
• Prísne NAT. Dobre spolupracujete iba s hráčmi, ktorí majú otvorený NAT; často budete prvý, kto opustí miestnosť, keď sa v hre zaplní veľa ľudí alebo sa vyskytne nejaký problém.

Demilitarizovaná zóna (DMZ) je jedným z najrýchlejších spôsobov, ako prejsť z mierneho/prísneho NATu na... Otvorte NAT bez manuálneho otvárania portov jeden po druhomNezlepšuje sa to. ani ping, ani rýchlosťale eliminuje to veľa blokov a chýb v pripojení.

Výhody použitia DMZ pre konzoly

V hernom kontexte je veľkou výhodou DMZ to, že Výrazne to zjednodušuje nastavenie siete.Ak vyhradíte DMZ routera pre vašu konzolu (a iba pre konzolu), získate niekoľko jasných výhod.

Na jednej strane má konzola teraz všetky porty dostupné pre prichádzajúcu prevádzku (okrem tých, ktoré už boli presmerované na iné zariadenia). Tým sa eliminuje závislosť od správneho fungovania UPnP, manuálnych pravidiel alebo znalosti portov, ktoré jednotlivé hry pre viacerých hráčov používajú.

Okrem toho mnohí používatelia hlásia, že v niektorých hrách dochádzalo k oneskoreniu, chybám pri pripájaní sa k zápasom alebo k častým odpojeniam. Hneď po umiestnení konzoly do DMZ začnú fungovať hladko.Obzvlášť na malých mapách, v pretekoch alebo v režimoch, kde dochádza k veľkej priamej interakcii medzi hráčmi, môže byť zmena veľmi badateľná.

Z praktického hľadiska bezpečnosti moderné konzoly ako PlayStation, Xbox alebo Switch Majú uzavreté, dosť obmedzené operačné systémy s interným firewallomVďaka tomu sa výrazne znižuje pravdepodobnosť, že zraniteľnosť odhalená DMZ sa stane vážnym problémom pre vašu domácu sieť, na rozdiel od toho, čo by sa stalo v prípade bežného počítača.

Ďalšou zaujímavou výhodou je, že DMZ zjednodušuje niektoré pokročilé scenáre. Napríklad, keď chcete Pripojte svoj vlastný neutrálny router za router operátora A nemáte režim bridge. V takom prípade otvorenie DMZ hlavného routera a jeho nasmerovanie na druhý router znižuje efektívny dvojitý NAT a ušetrí vám nutnosť reťaziť pravidlá portov na dvoch rôznych zariadeniach.

Nevýhody a riziká otvorenia DMZ

Hlavným problémom je bezpečnosť. Aktiváciou DMZ sa priame vystavenie zariadenia internetuBez filtra portov, ktorý router bežne používa, bude akýkoľvek port, ktorý má zariadenie otvorený, prístupný zvonku, čo priláka automatizované skenovanie a útoky.

Ak umiestnite konzolu do DMZ, riziko je pomerne kontrolované, ale ak sa rozhodnete umiestniť tam počítač, server alebo počítač so zle nakonfigurovanými službami, útočná plocha strieľaV počítači je ľahké nájsť zastaraný softvér, nepotrebné služby alebo slabé konfigurácie, ktoré neznesú takúto úroveň vystavenia.

Ďalším citlivým bodom je, že DMZ by mala vždy ukazovať na statickú IP adresuAk necháte konzolu alebo zariadenie nastavené na automatické DHCP a IP adresa sa zmení, smerovač bude naďalej odosielať všetku prichádzajúcu prevádzku na starú adresu, ktorú teraz môže používať iné pripojené zariadenie. To môže spôsobiť vážne bezpečnostné zraniteľnosti bez toho, aby ste si to vôbec uvedomovali.

Za zmienku tiež stojí, že domáca DMZ to zvyčajne umožňuje iba jedno zariadenie narazAk aktivujete DMZ pre vašu konzolu, ostatné zariadenia už túto skratku nebudú môcť využívať.

Nakoniec, hoci samotná DMZ zvyčajne nespotrebúva dodatočné zdroje, ak exponované zariadenie dostane Vysoká prevádzka môže obmedziť šírku pásma dostupné, čo ovplyvňuje ostatné zariadenia v sieti. Nie je to bežné, ale môže sa to stať, ak dôjde k útokom hrubou silou, intenzívnemu skenovaniu alebo veľkému množstvu P2P prevádzky.

Kedy nie je vhodné používať DMZ

Existuje niekoľko scenárov, kedy by ste si mali dvakrát premyslieť aktiváciu tejto funkcie smerovača, pretože rovnováha sa jednoznačne prikláňa k rizikovej strane.

Najjasnejším prípadom je ten, zraniteľné alebo zastarané zariadeniaAk chcete vystaviť starý počítač, server s neaktualizovaným softvérom alebo zariadenie, ktoré neaktualizujete, s DMZ ich upriamite pozornosť a oznámite internetu, že sú k dispozícii na testovanie.

Ďalším častým problémom je nedostatok segmentácie sieteV mnohých domácnostiach je všetko v rovnakej podsieti: pracovné počítače, NAS so zálohami, IP kamery, mobilné telefóny atď. Ak má napadnuté zariadenie v DMZ spôsob, ako „vidieť“ zvyšok siete LAN, mohlo by sa stať bránou k oveľa citlivejším údajom.

Tiež musíte byť veľmi opatrní s nesprávna konfigurácia samotnej DMZChyba pri zadávaní IP adresy, nesprávne priradenie v statickom DHCP alebo nesprávna interpretácia toho, ktoré rozhranie je odhalené, môže spôsobiť, že otvoríte viac vecí, ako si myslíte, alebo že DMZ bude smerovať na nesprávne zariadenie.

Nakoniec, keď potrebujete vzdialene pristupovať k zdrojom vo vašej sieti (napríklad k NAS alebo počítaču mimo vášho domu), DMZ nie je najlepším riešením. V týchto prípadoch správne nakonfigurovaná VPN Ponúka oveľa väčšiu bezpečnosť.

DMZ pre online hranie z konzoly a PC

Vo svete videohier sa DMZ takmer vždy používa s veľmi špecifickým cieľom: Vyhnite sa prísnemu NATu, problémom s hosťovaním zápasov a prerušeniam hlasového chatu.Pre konzoly je to veľmi bežné riešenie; pre PC je to úplne iný príbeh.

Ak chcete, aby sa vaša konzola PlayStation, Xbox alebo Nintendo Switch bezproblémovo pripájala, vytvárala miestnosti, počúvala a rozprávala so všetkými hráčmi a znižovala počet chýb pri vytváraní zápasov, umiestnenie do DMZ je zvyčajne najlepším riešením. pohodlnejšie ako manuálne otváranie portov pre každú službuJe to obzvlášť užitočné, keď neviete, ktoré porty používa každá hra, alebo keď UPnP vášho routera funguje len čiastočne.

Mnohí odborníci však dôrazne neodporúčajú otvárať DMZ na stolnom alebo prenosnom počítači. Pokiaľ nemáte dobre nakonfigurovaný systémový firewall a presne viete, čo vystavujete rizikuPočítač je oveľa všestrannejší ako konzola, a preto má viac softvéru, viac služieb na pozadí a vo všeobecnosti väčšiu šancu na zlyhanie.

Ak sa rozhodnete použiť DMZ pre konzolu, vašou prioritou by malo byť zabezpečenie toho, aby žiadne iné kritické zariadenie nezdieľa túto IP adresu ani nie je závislé od rovnakého nekontrolovaného rozsahuA ak hráte online z počítača, je zvyčajne lepšie otvoriť iba potrebné porty. Alebo používať UPnP iba ​​príležitostne a vypnúť ho, keď ho nepotrebujete.

Existuje množstvo prípadov, kedy boli určité tituly veľmi vyberavé, pokiaľ išlo o sieť, čo spôsobovalo mikrosekundy alebo problémy pri spúšťaní hier. Prestanú zlyhávať takmer okamžite Keď sa konzola nachádza za DMZ, najmä keď medzi hráčmi prebieha veľa priamej komunikácie, rozdiel je badateľný.

Testovanie DMZ, firewallu a VPN na PC

Okrem videohier sa DMZ používa aj na auditovať bezpečnosť firewallu alebo VPNAk chcete z internetu skontrolovať, ktoré porty sú na serveri alebo počítači skutočne dostupné, najjednoduchší spôsob je umiestniť ich do DMZ routera.

Keď smerovač nefiltruje žiadne porty k danému zariadeniu, bude to ovplyvnené všetkým, čo vidíte otvorené pri skenovaní zvonku. Závisí to výlučne od lokálneho firewallu počítača.To vám umožňuje ladiť pravidlá, lokalizovať nepotrebné exponované služby a doladiť to, čo chcete mať prístupné zvonku.

Niektoré VPN protokoly, ako napríklad IPsec, vyžadujú otvorených niekoľko rôznych portov A môžu spôsobiť problémy, ak niečo v reťazci NAT blokuje časť prevádzky. V takýchto prípadoch dočasné povolenie DMZ smerom k VPN serveru pomáha vylúčiť problémy s portom alebo NAT.

Myšlienka je jednoduchá: povolíte DMZ, otestujete, či sa VPN zvonku správne pripája, overíte, ktoré konkrétne porty sú zapojené, a keď si to ujasníte, Znovu zatvoríte DMZ a otvoríte iba nevyhnutné porty. prostredníctvom pravidiel preposielania. Je to praktický spôsob, ako izolovať problém bez toho, aby tím zostal dlhodobo bezbranný.

Stojí za to zdôrazniť, že väčšina domácich smerovačov má štandardne Všetky prichádzajúce porty sú zatvorené, ak neexistujú žiadne pravidlá presmerovania portov.Demilitarizovaná zóna zámerne porušuje túto ochranu, a preto by sa mala používať iba ako dočasný diagnostický nástroj alebo s prísne kontrolovanými zariadeniami.

Monitorovanie a analýza dopravy v DMZ

Ďalším zaujímavým využitím DMZ, bežnejším v pokročilom alebo poloprofesionálnom prostredí, je monitorovanie sieťovej prevádzky vstupujúcej a vystupujúcej z exponovaných služiebUmiestnením viditeľných serverov do samostatnej oblasti je jednoduchšie analyzovať, čo sa deje.

Dobre navrhnutá DMZ využíva špecializované nástroje na zachytávanie a analýzu paketov, známe aj ako sniffery alebo analyzátory protokolovTieto programy rozkladajú každý paket: zdrojovú IP adresu, cieľovú IP adresu, port, protokol a obsah, čo umožňuje detekciu kurióznych alebo priamo podozrivých vzorcov.

Okrem vizualizácie v reálnom čase má mnoho monitorovacích riešení funkcie pre historický záznam a uchovávanieToto je veľmi užitočné na kontrolu minulých incidentov, štúdium útokov, ktoré už nastali, alebo ladenie konfiguračných chýb, ktoré sa prejavujú len občas.

Najpokročilejšie systémy nezobrazujú iba surové dáta: používajú algoritmy a dokonca aj umelú inteligenciu rozlíšiť bežnú prevádzku od anomálneho správania. Vďaka prehľadnému grafickému rozhraniu umožňuje správcovi okamžite identifikovať nezvyčajný nárast, hromadné skenovanie alebo pokusy o zneužitie.

Keďže DMZ je často prvým miestom, na ktoré sa mnohé útoky zameriavajú, je bežné kombinovať tieto nástroje s systémy detekcie a prevencie narušenia (IDS/IPS)Takto nielenže vidíte, že sa deje niečo zvláštne, ale môžete tiež automatizovať reakcie na zastavenie útoku alebo izoláciu postihnutého tímu.

Používanie DMZ v podnikoch a profesionálnych sieťach

V korporátnom svete ide koncept DMZ ďaleko za rámec routerovej skrinky v obývačke. Tu hovoríme o... samostatná a dobre chránená podsieť, kde sa nachádzajú verejné inžinierske siete, ako sú webové stránky, poštové servery, externé autentifikačné systémy alebo klientske rozhrania API.

Hlavnou funkciou tejto oblasti je fungovať ako medzivrstva medzi internetom a internou sieťou spoločnostiFirewall prísne kontroluje, aká prevádzka môže prechádzať z internetu do DMZ a aké pripojenia sú povolené z DMZ do internej LAN siete, kde sa nachádzajú citlivé údaje a kritické systémy.

Pri tejto architektúre, ak sa útočníkovi podarí ohroziť server v DMZ, poškodenie v zásade zostane v rámci DMZ. obsah v rámci tejto izolovanej podsieteNemá voľnú ruku nad internými databázami, vybavením zamestnancov ani systémami finančného riadenia.

Tento prístup pridáva dodatočná vrstva ochrany pred únikmi údajov, neoprávneným prístupom a phishingovými útokmiOdhalená je iba presná služba, ktorú zákazníci potrebujú, zatiaľ čo všetko ostatné zostáva za dodatočnými bariérami.

V spoločnostiach s vysokými bezpečnostnými požiadavkami sa DMZ často kombinuje s inými opatreniami, ako je segmentácia VLAN, viacero firewallov od rôznych dodávateľov a prísna politika minimálnej expozície, a to všetko s cieľom... čo najviac sťažiť akýkoľvek pokus o vniknutie.

DMZ, dvojitý NAT a zmena routera

V prípade optických pripojení je veľmi bežné, že router nainštalovaný operátorom je obmedzené funkcie, slabé Wi-Fi alebo veľmi obmedzená konfiguráciaMnoho používateľov sa rozhodne kúpiť si lepší router od tretej strany a pripojiť ho za router poskytovateľa.

Problém je v tom, že ak zariadenie operátora neumožňuje konfiguráciu v režime mosta alebo vám neposkytne prihlasovacie údaje ONT, zostanete s ním viazaní. dva routre vykonávajúce NAT jeden po druhomToto sa nazýva dvojitý NAT a značne to komplikuje presmerovanie portov a získanie otvoreného NATu na konzolách.

V takomto scenári je DMZ akýmsi prijateľným riešením: nakonfigurujete router poskytovateľa internetových služieb tak, aby Demilitarizovaná zóna by mala ukazovať na IP adresu siete WAN vášho neutrálneho smerovača.Týmto spôsobom všetka prichádzajúca prevádzka prechádza priamo do druhého routera, kde potom môžete voľnejšie spravovať porty, UPnP a ďalšie nastavenia.

Bez DMZ by ste museli na otvorenie portu pre počítač alebo konzolu pripojenú k neutrálnemu routeru pravidlá reťazenia na oboch routerochJedno pripojenie z hlavného smerovača do sekundárneho smerovača a ďalšie zo sekundárneho smerovača do koncového zariadenia. S DMZ stačí spravovať iba druhé pripojenie.

Ak vás však zaujímajú súťažné online hry, oplatí sa overiť si, či váš operátor používa CG-NAT, zdieľanie verejnej IP adresy medzi viacerými klientmiAk áno, nebudete môcť získať skutočne otvorený NAT, ani keď dokonale nakonfigurujete svoju sieť; v mnohých prípadoch môžete požiadať o ukončenie CG-NAT, aby ste získali svoju vlastnú verejnú IP adresu.

Ako otvoriť DMZ na domácom routeri

Hoci každý výrobca má svoje vlastné menu, všeobecná logika nastavenia domácej DMZ je zvyčajne veľmi podobná: Najprv nastavíte IP adresu zariadenia a potom aktivujete funkciu DMZ zadaním tejto IP adresy.Poriadok je dôležitý, aby sa predišlo neporiadku.

Prvým krokom je zistiť, aký model routera máte a Ako získať prístup k administračnému paneluPredvolená prístupová IP adresa, používateľské meno a heslo sa zvyčajne nachádzajú na nálepke pod zariadením. Ak tam nie sú, môžete skontrolovať predvolenú bránu na svojom počítači alebo mobilnom zariadení a vyskúšať bežné prihlasovacie údaje, ako napríklad „admin/admin“, pokiaľ ich váš poskytovateľ internetových služieb nezmenil.

Keď sa dostanete do panela, máte dve možnosti, ako zabezpečiť, aby konzola alebo zariadenie nezmenilo svoju IP adresu. Buď Statickú IP adresu nakonfigurujete priamo na zariadení.Môžete použiť rozsah mimo automatického DHCP smerovača alebo použiť statickú možnosť DHCP smerovača, aby vždy priradil rovnakú IP adresu rovnakej MAC adrese.

Keď už máte túto garantovanú IP adresu, je čas vyhľadať sekciu DMZ. V závislosti od smerovača sa môže zobraziť v sekciách ako Firewall, zabezpečenie, NAT, virtuálny server, aplikácie a hry alebo v rámci rozšírených nastavení portu. Na modeloch, ako sú napríklad niektoré zariadenia ASUS, je typická cesta WAN > DMZ.

Vo formulári DMZ aktivujete funkciu, zadáte súkromná IP adresa zariadenia, ktoré chcete odhaliť a uložte zmeny. Po použití konfigurácie bude prichádzajúca prevádzka bez konkrétneho pravidla presmerovaná priamo na danú IP adresu.

Naozaj otvára DMZ všetky porty?

Hoci sa DMZ často opisuje ako „otváranie všetkého“, v praxi existuje jeden dôležitý detail: Špecifické pravidlá presmerovania portov majú prednosť pred DMZInými slovami, ak už máte port presmerovaný na inú IP adresu, toto pravidlo má prednosť.

Väčšina domácich smerovačov interne používa systém založený na Linuxe s iptables na správu firewallu a NAT. V týchto reťazcoch pravidiel, Záznamy presmerovania portov sa spracujú pred generickým pravidlom DMZ.Prevádzka sa odošle na IP adresu DMZ, iba ak sa nezhoduje žiadny port.

To znamená, že môžete mať napríklad webový server alebo NAS s otvorenými špecifickými portami A zároveň konzola v DMZ prijíma zvyšok prevádzky. Porty tohto servera nebudú presmerované do konzoly, pretože jej pravidlá majú prednosť.

V každom prípade, hoci výrobcovia výrazne zjednodušili konfiguračné rozhrania, to nemení nič na skutočnosti, že Aktivácia DMZ zostáva chúlostivou operáciouAk sa rozhodnete ho použiť, vždy sa uistite, že exponované zariadenie má aktívny a aktuálny vlastný firewall.

Okrem toho je vhodné pravidelne kontrolovať služby a softvér spustený na danom počítači. Je to preto, lebo Skenovanie portov a pokusy o zneužitie zraniteľností sú neustále. na internete, a to aj pri zdanlivo nevýznamných domácich pripojeniach.

DMZ a protokol IPv6

Keď vstúpime do sveta IPv6, niektoré pravidlá hry sa zmenia v porovnaní s tým, na čo sme zvyknutí s IPv4. Tu Klasický NAT sa nepoužíva; každé zariadenie má jedinečnú globálnu adresu. a je možné sa k nim pripojiť priamo z internetu, pokiaľ ich neblokuje firewall.

Na nastavenie zóny podobnej DMZ v IPv6 potrebujete namiesto NAT, segmentácia podsiete a jemne vyladené pravidlá firewalluMinimálne bude potrebných viac ako jedna podsieť /64, pretože každá zóna (interná LAN, DMZ atď.) musí mať svoju vlastnú.

Zvyčajne by ste od operátora vyžiadali väčší blok, napríklad /56 alebo /48, čo by vám umožnilo rozdeliť ho na viacero /64jeden pre hlavnú internú sieť, ďalší pre DMZ a ďalšie pre budúce rozšírenia alebo špecifické zóny.

V tomto scenári neexistuje DMZ „prostredníctvom NAT“, ale vo firewalle definujete, aká prevádzka je povolená z internetu do podsiete DMZ a Aká prevádzka môže ísť z DMZ späť do LAN?Je to čistejší a výkonnejší prístup, ale vyžaduje si aj trochu viac vedomostí.

Ako vždy, kľúčom sú pravidlá firewallu. Budete musieť povoliť iba nevyhnutné porty pre DMZ servery a čo najviac obmedziť pripojenia iniciované z DMZ do vnútrozemia, pričom sa uplatňuje princíp najmenších privilégií.

Nastavenie DMZ pre pripojenia konzol môže byť veľmi účinným nástrojom na odstránenie problémov so striktným NAT, hier, ktoré sa nespúšťajú, alebo nestabilného hlasového chatu. Musí sa to však robiť opatrne. Pri správnom použití sa stane užitočným nástrojom vo vašej sieťovej súprave nástrojov, nie trvalými zadnými vrátkami do vášho digitálneho domova.