Ако играете онлайн с конзолата си и сте уморени да виждате съобщения от Строг NAT, проблеми с връзката или гласов чат, който непрекъснато прекъсва.Някой вероятно ви е казвал: „Сложете конзолата в DMZ и всичко ще се оправи.“ Истината е, че да, това може да реши много главоболия, но има и последици за сигурността, които трябва да разберете, преди да докоснете каквото и да било по вашия рутер.
Настройването на DMZ за конзола не е сложно. Ключът е да знаете как. Какво точно прави DMZ и как се различава от отварянето на портове или използването на UPnP?, кога има смисъл да се използва, кога е най-добре да се избягва и как се отразява на мрежата ви, ако например имате комутатор, мрежова система или втори рутер у дома.
Какво е DMZ и как ви помага с вашата конзола?
На домашен рутер, функцията DMZ (Демилитаризирана зона) е основно опция, която прави целият входящ трафик от интернет, който няма конкретно правило пренасочване към едно устройство в локалната мрежа. Това устройство може да бъде конзола, компютър, сървър или дори друг рутер.
Когато поставите конзолата си в DMZ, рутерът действа така, сякаш всичките му портове са отворени за него. Няма нужда да конфигурирате правилата за пренасочване на портове за всяка игра поотделно.нито пък разчитат на правилното функциониране на UPnP. За конзоли за видеоигри в хола (PlayStation, Xbox, Nintendo Switch), които имат относително затворена система, това излагане е като цяло доста управляемо.
Това поведение е много полезно, защото много онлайн игри използват динамични или лошо документирани комбинации от портове, а някои услуги като P2P гласов чат или хостинг на игри изискват това Други играчи могат да инициират връзки към вашата конзола без NAT ограничения.Ето къде демилитаризираната зона може да промени нещата.
Важно е обаче да е ясно, че Демилитаризираната зона (DMZ) на домашен рутер не е същата като бизнес DMZ.В професионална среда хората говорят за подмрежи и множество защитни стени. На домашен рутер „DMZ“ в менюто обикновено е просто общ списък за целия входящ трафик, който няма други правила.
DMZ и NAT: защо конзолата се оплаква
Във вашия дом всички устройства споделят един публичен IP адрес. Рутерът преобразува този публичен IP адрес в останалите. Частни IP адреси за вашите устройства благодарение на NAT (Превод на мрежови адреси)Когато вашата конзола инициира връзка с игрови сървър, всичко протича гладко, защото рутерът помни кой е отворил всяка връзка и знае как да върне отговорите.
Проблемът възниква, когато външен играч се опитва да се свърже директно с вашата конзола, например, когато хоствате игра, стартирате P2P гласов чат или игра изисква специфичен входящ трафик. В този случай, ако рутерът няма установени правила, Не знае към кое устройство да пренасочи връзката, пристигаща на определен порт. и го отхвърля. Конзолата открива тази ситуация и маркира NAT като строг или тип 3, C, D, F в зависимост от марката.
Най-общо казано, конзолите за видеоигри класифицират ситуацията по следния начин, за да помогнат на потребителя да се ориентира:
- Отворен NAT (PlayStation тип 1/2, отворен Xbox, Switch A/B)Необходимите ви портове са достъпни от интернет, можете да се присъедините към всяка игра, да хоствате стаи и да използвате гласов чат с всеки.
- Умерен NAT. Можеш да играеш, но Ще имате ограничения за свързване с потребители, които също са ограничени.Хостингът на игри или постоянното използване на чата може да се превърне в истинско изпитание.
- Строго естествено. Работите добре само с играчи, които имат отворен NAT; често ще бъдете първият, който ще напусне стаята, когато играта стане претъпкана или има някакъв проблем.
Демилитаризираната зона (DMZ) е един от най-бързите начини за преминаване от умерен/строг NAT към... Отворете NAT без ръчно отваряне на портове един по единНе се подобрява. нито пинг, нито скоростно елиминира много блокажи и грешки във връзката.
Предимства на използването на DMZ за конзоли
В контекста на игрите, голямото предимство на демилитаризираната зона е, че Това значително опростява настройката на мрежата.Ако посветите DMZ на рутера на вашата конзола (и само на конзолата), получавате няколко ясни предимства.
От една страна, конзолата вече има всички портове са налични за входящ трафик (с изключение на тези, които вече са пренасочени към други устройства). Това елиминира зависимостта от правилното функциониране на UPnP, ръчните правила или знанието кои портове използва всяко мултиплейър заглавие.
Освен това много потребители съобщават, че в определени игри са възниквали забавяния, грешки при присъединяване към мачове или чести прекъсвания на връзката. Те започват да работят гладко веднага щом конзолата бъде поставена в демилитаризираната зона (DMZ).Особено на малки карти, в състезания или в режими, където има много директно взаимодействие между играчите, промяната може да бъде много забележима.
От практическа гледна точка на сигурността, съвременните конзоли като PlayStation, Xbox или Switch Те имат затворени, доста ограничени операционни системи с вътрешна защитна стенаТова значително намалява вероятността уязвимост, разкрита от DMZ, да се превърне в сериозен проблем за вашата домашна мрежа, за разлика от това, което би се случило с универсален компютър.
Друго интересно предимство е, че DMZ опростява някои напреднали сценарии. Например, когато искате свържете собствения си неутрален рутер зад рутера на оператора И нямате bridge режим. В този случай, отварянето на DMZ на основния рутер и насочването му към втория рутер намалява ефективния двоен NAT и ви спестява необходимостта от верижно свързване на правила за портове на две различни устройства.
Недостатъци и рискове от отварянето на демилитаризирана зона
Основният проблем е сигурността. Чрез активиране на DMZ вие директно излагане на устройство към интернетБез филтъра за портове, който рутерът обикновено прилага, всеки порт, който устройството е отворило, ще бъде достъпен отвън, привличайки автоматизирани сканирания и атаки.
Ако поставите конзола в демилитаризираната зона (DMZ), рискът е сравнително контролиран, но ако решите да поставите там компютър, сървър или компютър с лошо конфигурирани услуги, атакуващата повърхност стреляНа компютър е лесно да се намери остарял софтуер, ненужни услуги или слаби конфигурации, които не могат да издържат на това ниво на излагане.
Друг чувствителен момент е, че DMZ винаги трябва да сочи към статичен IP адресАко оставите конзолата или устройството си настроени на автоматичен DHCP и IP адресът се промени, рутерът ще продължи да изпраща целия входящ трафик към стария адрес, който вече може да се използва от друго свързано устройство. Това може да създаде сериозни уязвимости в сигурността, без дори да го осъзнавате.
Също така е важно да се отбележи, че вътрешната демилитаризирана зона обикновено позволява само едно устройство едновременноАко активирате DMZ за вашата конзола, останалите устройства вече няма да могат да се възползват от този пряк път.
Накрая, въпреки че самата DMZ обикновено не консумира допълнителни ресурси, ако изложеното устройство получи Високият трафик може да претовари честотната лента налични, засягайки други устройства в мрежата. Това не е често срещано, но може да се случи, ако има атаки с груба сила, интензивни сканирания или голям P2P трафик.
Кога НЕ е добра идея да се използва DMZ
Има няколко сценария, при които трябва да помислите два пъти, преди да активирате тази функция на рутера, защото балансът очевидно се накланя към рисковата страна.
Най-ясният случай е този на уязвими или остарели устройстваАко ще излагате на показ стар компютър, сървър с неактуализиран софтуер или оборудване, което не актуализирате, това, което правите с DMZ, е да ги насочите към светлините на прожекторите и да обявите в интернет, че са достъпни за тестване.
Друг често срещан проблем е липса на сегментация на мрежатаВ много домове всичко е в една и съща подмрежа: служебни компютри, NAS с резервни копия, IP камери, мобилни телефони и т.н. Ако компрометирано устройство в DMZ има начин да „вижда“ останалата част от локалната мрежа, то може да се превърне в портал към много по-чувствителни данни.
Също така трябва да бъдете много внимателни с неправилна конфигурация на самата DMZГрешка при въвеждане на IP адреса, лошо присвояване в статичния DHCP или неправилно тълкуване на това кой интерфейс е изложен, може да доведе до отваряне на повече неща, отколкото си мислите, или до това да оставите DMZ да сочи към грешното устройство.
И накрая, когато имате нужда от отдалечен достъп до ресурси във вашата мрежа (например NAS или компютър извън дома ви), DMZ не е най-доброто решение. В тези случаи правилно конфигурирана VPN Предлага много повече сигурност.
Демилитаризирана зона (DMZ) за онлайн игри от конзола и компютър
В света на видеоигрите, DMZ почти винаги се използва с много специфична цел: Избягвайте стриктно NAT, проблеми с хостването на мачове и прекъсвания от гласов чат.За конзолите това е много често срещано решение; за персонални компютри е съвсем различна история.
Ако искате вашата PlayStation, Xbox или Nintendo Switch да се свързва безпроблемно, да създава стаи, да слуша и говори с всички играчи и да намалява грешките при подбор на играчи, поставянето ѝ в DMZ обикновено е най-доброто решение. по-удобно от ръчното отваряне на портове за всяка услугаТова е особено полезно, когато не знаете кои портове използва всяка игра или когато UPnP на вашия рутер работи само частично.
Въпреки това, много експерти силно съветват да не отваряте DMZ на настолен или преносим компютър. Освен ако нямате добре конфигурирана системна защитна стена и да знаете точно какво излагате на рискКомпютърът е много по-гъвкав от конзолата и следователно има повече софтуер, повече фонови услуги и като цяло по-голям шанс за неуспех.
Ако решите да използвате DMZ за конзолата, вашият приоритет трябва да бъде да се уверите, че никое друго критично устройство не споделя този IP адрес или не зависи от същия този неконтролиран диапазонИ ако играете онлайн от компютър, обикновено е по-добре да отваряте само необходимите портове. Или използвайте UPnP само от време на време, като го деактивирате, когато не ви е необходим.
Има многобройни случаи, в които определени заглавия са били много придирчиви към мрежата, причинявайки микро прекъсвания или проблеми при стартиране на игри, Те спират да се провалят почти мигновено Когато конзолата е разположена зад демилитаризираната зона, особено когато има много директна комуникация между играчите, разликата е забележима.
Тестване на DMZ, защитна стена и VPN на компютър
Освен видеоигрите, демилитаризираната зона се използва и за... одит на сигурността на защитна стена или VPNАко искате да проверите от интернет кои портове са действително открити на сървър или компютър, най-лесният начин е да го поставите в DMZ на рутера.
Когато рутерът не филтрира никакви портове към това устройство, всичко, което виждате отворено при сканиране отвън, ще бъде засегнато. Зависи изключително от локалната защитна стена на компютъра.Това ви позволява да отстранявате грешки в правилата, да локализирате ненужни открити услуги и да настройвате фино това, което искате да бъде достъпно отвън.
Някои VPN протоколи, като например IPsec, се нуждаят няколко различни порта са отворени И те могат да причинят главоболия, ако нещо във веригата за прехвърляне на адреси (NAT) блокира част от трафика. В тези случаи временното активиране на DMZ към VPN сървъра помага да се изключат проблеми с портовете или NAT.
Идеята е проста: активирате DMZ, тествате дали VPN се свързва правилно отвън, проверявате кои конкретни портове са включени и след като сте наясно с това, Затваряте отново DMZ и отваряте само основните портове. чрез правила за пренасочване. Това е практичен начин да се изолира проблемът, без да се оставя екипът беззащитен в дългосрочен план.
Струва си да се подчертае, че по подразбиране повечето домашни рутери имат Всички входящи портове са затворени, ако няма правила за пренасочване на портове.Демилитаризираната зона (DMZ) умишлено нарушава тази защита и следователно трябва да се използва само като временен диагностичен инструмент или с високо контролирано оборудване.
Мониторинг и анализ на трафика в демилитаризирана зона (DMZ)
Друго интересно приложение на DMZ, по-често срещано в напреднали или полупрофесионални среди, е наблюдение на мрежовия трафик, влизащ и излизащ от открити услугиЧрез поставянето на видими сървъри в отделна област, става по-лесно да се анализира какво се случва.
Добре проектираната DMZ използва специализирани инструменти за заснемане и анализ на пакети, известни още като снифери или анализатори на протоколиТези програми разделят всеки пакет: IP адрес на източника, IP адрес на местоназначението, порт, протокол и съдържание, което позволява откриването на любопитни или директно подозрителни модели.
В допълнение към визуализацията в реално време, много решения за мониторинг имат функции за исторически записи и съхранениеТова е много полезно за преглед на минали инциденти, изучаване на вече случили се атаки или отстраняване на грешки в конфигурацията, които се появяват само периодично.
Най-модерните системи не просто показват сурови данни: те използват алгоритми и дори изкуствен интелект да разграничат нормалния трафик от аномално поведение. С ясни графични интерфейси, те улесняват администратора незабавно да идентифицира необичаен пик, масово сканиране или опити за експлоатация.
Тъй като демилитаризираната зона (DMZ) често е първото място, което попадат много атаки, е обичайно тези инструменти да се комбинират с... системи за откриване и предотвратяване на прониквания (IDS/IPS)По този начин не само виждате, че се случва нещо странно, но можете и да автоматизирате реакциите, за да спрете атаката или да изолирате засегнатия екип.
Използване на DMZ в бизнеса и професионалните мрежи
В корпоративния свят концепцията за DMZ далеч надхвърля рутерната кутия в хола. Тук говорим за... отделна и добре защитена подмрежа, където са разположени комуналните услуги, като например уеб страници, пощенски сървъри, външни системи за удостоверяване или клиентски API.
Основната функция на тази област е да действа като междинен слой между интернет и вътрешната мрежа на компаниятаЗащитната стена стриктно контролира какъв трафик може да преминава от интернет към DMZ и какви връзки са разрешени от DMZ към вътрешната локална мрежа (LAN), където се намират чувствителните данни и критичните системи.
С тази архитектура, ако атакуващ успее да компрометира сървър в демилитаризираната зона (DMZ), щетите по принцип ще останат в рамките на DMZ. съдържание в рамките на тази изолирана подмрежаНяма пълна свобода на действие по отношение на вътрешни бази данни, оборудване на служителите или системи за финансово управление.
Този подход добавя допълнителен слой защита срещу изтичане на данни, неоторизиран достъп и фишинг атакиСамо точната услуга, от която клиентите се нуждаят, е изложена на показ, докато всичко останало остава зад допълнителни бариери.
В компании с високи изисквания за сигурност, DMZ често се комбинира с други мерки, като сегментиране на VLAN, множество защитни стени от различни доставчици и строга политика за минимално излагане, всичко това с цел... да се направи всеки опит за проникване възможно най-труден.
DMZ, двоен NAT и смяна на рутер
При оптичните връзки е много често срещано рутерът, инсталиран от оператора, да бъде ограничени функции, лош Wi-Fi или много ограничена конфигурацияМного потребители избират да си купят по-добър рутер от трета страна и да го свържат зад рутера на доставчика.
Проблемът е, че ако оборудването на оператора не позволява конфигурация в мостов режим или не ви предоставя ONT идентификационните данни, вие сте ограничени до него. два рутера, изпълняващи NAT един след другТова е известно като двоен NAT и значително усложнява пренасочването на портове и получаването на отворен NAT на конзоли.
В този сценарий DMZ е приемливо решение: конфигурирате рутера на интернет доставчика така, че Демилитаризираната зона (DMZ) трябва да сочи към WAN IP адреса на вашия неутрален рутер.По този начин целият входящ трафик преминава директно към втория рутер, където можете да управлявате портове, UPnP и други настройки по-свободно.
Без DMZ, за да отворите порт към компютър или конзола, свързана към неутралния рутер, ще трябва правила за верига и на двата рутераЕдна връзка от главния рутер към вторичния рутер и друга от вторичния рутер към крайното устройство. С DMZ е необходимо да управлявате само втората връзка.
Ако обаче се интересувате от състезателни онлайн игри, си струва да проверите дали вашият оператор използва CG-NAT, споделяне на публичен IP адрес между множество клиентиАко е така, няма да можете да получите истински отворен NAT, дори ако конфигурирате мрежата си перфектно; в много случаи можете да поискате да излезете от CG-NAT, за да получите свой собствен публичен IP адрес.
Как да отворите DMZ на домашен рутер
Въпреки че всеки производител има свои собствени менюта, общата логика за настройване на домашна DMZ обикновено е много сходна: Първо задавате IP адреса на устройството и след това активирате DMZ функцията, като посочите този IP адрес.Редът е важен, за да се избегне объркването.
Първата стъпка е да определите кой модел рутер имате и Как да получите достъп до администраторския си панелIP адресът за достъп по подразбиране, потребителското име и паролата обикновено се намират на стикер отдолу на устройството. Ако не са там, можете да проверите шлюза по подразбиране на вашия компютър или мобилно устройство и да опитате типични идентификационни данни като „admin/admin“, освен ако вашият доставчик на интернет услуги не ги е променил.
След като влезете в панела, имате две опции, за да се уверите, че конзолата или устройството няма да променят IP адреса си. Или Конфигурирате статичен IP адрес директно на устройството.Можете да използвате диапазон извън автоматичния DHCP на рутера или да използвате статичната DHCP опция на рутера, така че той винаги да присвоява един и същ IP адрес на един и същ MAC адрес.
След като имате този гарантиран IP адрес, е време да потърсите секцията DMZ. В зависимост от рутера, тя може да се появи в секции като Защитна стена, сигурност, NAT, виртуален сървър, приложения и игри или в разширените настройки на порта. При модели като някои устройства на ASUS, например, типичният път е WAN > DMZ.
Във формуляра DMZ активирате функцията, въвеждате частен IP адрес на устройството, което искате да разкриете и запазете промените. След прилагане на конфигурацията, входящият трафик без конкретно правило ще бъде пренасочен директно към този IP адрес.
Наистина ли DMZ отваря всички портове?
Въпреки че демилитаризираната зона често се описва като „отваряща всичко“, на практика има един важен нюанс: Специфичните правила за пренасочване на портове имат предимство пред DMZ (демилитаризираната зона).С други думи, ако вече имате пренасочен порт към друг IP адрес, това правило има приоритет.
Повечето домашни рутери използват вътрешно Linux-базирана система с iptables за управление на защитната стена и NAT. В тези вериги от правила, Записите за пренасочване на портове се обработват преди общото DMZ правилоСамо ако няма съвпадащ порт, трафикът се изпраща към DMZ IP адреса.
Това означава, че можете да имате например уеб сървър или NAS с отворени специфични портове И в същото време, конзолата в демилитаризираната зона получава останалия трафик. Портовете на този сървър няма да бъдат пренасочени към конзолата, защото нейните правила имат приоритет.
Във всеки случай, въпреки че производителите значително са опростили интерфейсите за конфигуриране, това не променя факта, че Активирането на DMZ остава деликатна операцияАко решите да го използвате, винаги се уверявайте, че изложеното устройство поддържа собствената си защитна стена активна и актуална.
Освен това е препоръчително периодично да преглеждате услугите и софтуера, работещи на този компютър. Това е така, защото Сканирането на портове и опитите за използване на уязвимости са постоянни. в интернет, дори за на пръв поглед незначителни домашни връзки.
DMZ и IPv6 протокол
Когато навлезем в света на IPv6, някои правила на играта се променят в сравнение с това, с което сме свикнали с IPv4. Ето тук Класическият NAT не се използва; всяко устройство има уникален глобален адрес. и може да бъде достъпен директно от интернет, освен ако не е блокиран от защитна стена.
За да настроите DMZ-подобна зона в IPv6, вместо NAT, ви е необходима сегментиране на подмрежата и фино настроени правила на защитната стенаКато минимум ще е необходима повече от една /64 подмрежа, защото всяка зона (вътрешна LAN, DMZ и т.н.) трябва да има своя собствена.
Обикновено бихте поискали по-голям блок от вашия оператор, като например /56 или /48, което би ви позволило да разделете го на няколко /64един за основната вътрешна мрежа, друг за демилитаризираната зона и допълнителни за бъдещи разширения или специфични зони.
В този сценарий няма DMZ „чрез NAT“, но вие дефинирате в защитната стена какъв трафик е разрешен от интернет към DMZ подмрежата и Какъв трафик може да се върне от DMZ обратно към LAN?Това е по-чист и по-мощен подход, но изисква и малко повече знания.
Както винаги, ключът се крие в правилата на защитната стена. Ще трябва разрешавайте само важни портове към DMZ сървърите и да ограничат максимално връзките, инициирани от демилитаризираната зона към вътрешността на страната, прилагайки принципа на най-малките привилегии.
Настройването на DMZ за конзолни връзки може да бъде много ефективен инструмент за елиминиране на проблеми със строг NAT, игри, които не стартират, или нестабилен гласов чат. Но трябва да се прави внимателно. Използвана правилно, тя се превръща в полезен инструмент във вашия мрежов набор от инструменти, а не в постоянна задна врата към вашия дигитален дом.
