Če igrate na spletu s svojo konzolo in ste naveličani prejemanja sporočil od Strogi NAT, težave s povezavo ali glasovni klepet, ki se nenehno prekinja.Verjetno vam je že kdo rekel: "Postavite konzolo v DMZ in vse bo popravljeno." Resnica je, da lahko reši številne glavobole, vendar ima tudi varnostne posledice, ki jih morate razumeti, preden se dotaknete česar koli na usmerjevalniku.
Nastavitev DMZ za konzolo ni zapletena. Ključno je vedeti, kako. Kaj točno počne DMZ in kako se razlikuje od odpiranja vrat ali uporabe UPnP?, kdaj ga je smiselno uporabljati, kdaj se mu je najbolje izogniti in kako vpliva na vaše omrežje, če imate na primer stikalo, mrežni sistem ali drugi usmerjevalnik doma.
Kaj je DMZ in kako vam pomaga pri konzoli?
Na domačem usmerjevalniku je funkcija DMZ (demilitarizirano območje) v bistvu možnost, ki omogoča ves dohodni promet iz interneta, ki nima določenega pravila preusmeritev na eno samo napravo v lokalnem omrežju. Ta naprava je lahko konzola, računalnik, strežnik ali celo drug usmerjevalnik.
Ko konzolo postavite v DMZ, se usmerjevalnik obnaša, kot da so vsa njegova vrata odprta zanj. Ni treba konfigurirati pravil za posredovanje vrat za vsako igro posebej.niti se ne zanašati na pravilno delovanje UPnP. Za igralne konzole za dnevno sobo (PlayStation, Xbox, Nintendo Switch), ki imajo relativno zaprt sistem, je ta izpostavljenost na splošno precej obvladljiva.
To vedenje je zelo uporabno, ker številne spletne igre uporabljajo dinamične ali slabo dokumentirane kombinacije vrat, nekatere storitve, kot sta glasovni klepet P2P ali gostovanje iger, pa to zahtevajo. Drugi igralci lahko vzpostavijo povezave z vašo konzolo brez omejitev NAT.Tukaj lahko DMZ naredi razliko.
Vendar je pomembno, da je jasno, da Demilitarizirano območje (DMZ) na domačem usmerjevalniku ni isto kot poslovno DMZ.V profesionalnem okolju ljudje govorijo o podomrežjih in več požarnih zidovih. Na domačem usmerjevalniku je »DMZ« v meniju običajno le skupni element za ves dohodni promet, ki nima nobenih drugih pravil.
DMZ in NAT: zakaj se konzola pritožuje
V vašem domu si vse naprave delijo en sam javni IP-naslov. Usmerjevalnik prevaja med tem javnim IP-naslovom in ostalimi. Zasebni IP-ji za vaše naprave zahvaljujoč NAT-u (prevajanje omrežnih naslovov)Ko vaša konzola vzpostavi povezavo z igralnim strežnikom, vse poteka gladko, saj si usmerjevalnik zapomni, kdo je odprl posamezno povezavo, in ve, kako vrniti odgovore.
Težava nastane, ko se zunanji igralec poskuša neposredno povezati z vašo konzolo, na primer, ko gostite igro, začnete glasovni klepet P2P ali ko igra zahteva določen dohodni promet. V tem primeru, če usmerjevalnik nima vzpostavljenih pravil, Ne ve, na katero napravo naj posreduje povezavo, ki prispe na določena vrata. in ga zavrže. Konzola zazna to situacijo in označi NAT kot strog ali tipa 3, C, D, F, odvisno od znamke.
Na splošno igralne konzole razvrščajo situacijo na ta način, da se uporabnik lažje orientira:
- Odprti NAT (PlayStation tip 1/2, odprt Xbox, stikalo A/B)Do potrebnih vrat lahko dostopate prek interneta, pridružite se lahko kateri koli igri, gostite sobe in uporabljate glasovni klepet s komer koli.
- Zmeren NAT. Lahko igraš, ampak Imeli boste omejitve pri povezovanju z uporabniki, ki so prav tako omejeni.Gostovanje iger ali stalna uporaba klepeta lahko postane prava preizkušnja.
- Strogo NAT. Dobro sodeluješ le z igralci, ki imajo odprt NAT; pogosto boš prvi, ki zapusti sobo, ko se igra napolni ali ko pride do kakršnih koli težav.
Demilitarizirano območje (DMZ) je eden najhitrejših načinov za prehod iz zmernega/strogega NAT-a na Odprite NAT brez ročnega odpiranja vrat enega za drugimNe izboljša se. niti ping niti hitrostvendar odpravlja številne blokade in napake v povezavi.
Prednosti uporabe DMZ za konzole
V kontekstu iger je velika prednost DMZ ta, da To močno poenostavi nastavitev omrežja.Če DMZ usmerjevalnika namenite svoji konzoli (in samo konzoli), pridobite več očitnih prednosti.
Po eni strani ima konzola zdaj vsa vrata so na voljo za dohodni promet (razen tistih, ki so že posredovani na druge naprave). To odpravlja odvisnost od pravilnega delovanja UPnP, ročnih pravil ali poznavanja vrat, ki jih uporablja posamezna igra za več igralcev.
Poleg tega mnogi uporabniki poročajo, da so se pri nekaterih igrah pojavljale zakasnitve, napake pri pridružitvi tekmam ali pogoste prekinitve povezave. Začnejo gladko delovati takoj, ko je konzola postavljena v DMZ.Še posebej na majhnih zemljevidih, v dirkah ali v načinih, kjer je veliko neposredne interakcije med igralci, je sprememba lahko zelo opazna.
Z vidika praktične varnosti so sodobne konzole, kot so PlayStation, Xbox ali Switch Imajo zaprte, precej omejene operacijske sisteme z notranjim požarnim zidomTo močno zmanjša verjetnost, da bo ranljivost, ki jo razkrije DMZ, postala resen problem za vaše domače omrežje, za razliko od tega, kar bi se zgodilo pri splošnem računalniku.
Druga zanimiva prednost je, da DMZ poenostavlja nekatere napredne scenarije. Na primer, ko želite priključite svoj nevtralni usmerjevalnik za usmerjevalnikom operaterja In nimate načina mostu. V tem primeru odpiranje DMZ glavnega usmerjevalnika in njegova usmeritev na drugi usmerjevalnik zmanjša efektivni dvojni NAT in vam prihrani veriženje pravil vrat na dveh različnih napravah.
Slabosti in tveganja odprtja DMZ
Glavna težava je varnost. Z aktiviranjem DMZ ste neposredno izpostavljanje naprave internetuBrez filtra vrat, ki ga usmerjevalnik običajno uporablja, bodo vsa vrata, ki jih ima naprava odprta, dostopna od zunaj, kar bo pritegnilo avtomatizirane preglede in napade.
Če konzolo postavite v DMZ, je tveganje dokaj nadzorovano, če pa se odločite, da tja postavite računalnik, strežnik ali računalnik s slabo konfiguriranimi storitvami, napadalna površina streljaV računalniku je enostavno najti zastarelo programsko opremo, nepotrebne storitve ali šibke konfiguracije, ki ne morejo prenesti te ravni izpostavljenosti.
Druga občutljiva točka je, da DMZ mora vedno kazal na statični IP-naslovČe konzolo ali napravo pustite nastavljeno na samodejni DHCP in se naslov IP spremeni, bo usmerjevalnik še naprej pošiljal ves dohodni promet na stari naslov, ki ga morda zdaj uporablja druga povezana naprava. To lahko povzroči resne varnostne ranljivosti, ne da bi se tega sploh zavedali.
Prav tako je treba omeniti, da domača DMZ običajno dovoljuje samo ena naprava naenkratČe aktivirate DMZ za svojo konzolo, ostale naprave ne morejo več uporabljati te bližnjice.
Končno, čeprav DMZ sama po sebi običajno ne porablja dodatnih virov, če izpostavljena naprava prejme Velik promet lahko preobremeni pasovno širino na voljo, kar vpliva na druge naprave v omrežju. To ni pogosto, vendar se lahko zgodi, če pride do napadov z grobo silo, intenzivnih pregledov ali veliko prometa P2P.
Kdaj uporaba DMZ ni dobra ideja
Obstaja več scenarijev, v katerih morate dvakrat premisliti, preden aktivirate to funkcijo usmerjevalnika, ker tehtnica se očitno nagiba k tveganju.
Najbolj jasen primer je tisti, ranljive ali zastarele napraveČe boste razkrili star računalnik, strežnik z neposodabljeno programsko opremo ali opremo, ki je ne posodabljate, boste z DMZ nanje postavili žaromet in internetu sporočili, da so na voljo za testiranje.
Druga pogosta težava je pomanjkanje segmentacije omrežjaV mnogih domovih je vse v istem podomrežju: službeni računalniki, NAS z varnostnimi kopijami, IP kamere, mobilni telefoni itd. Če ima ogrožena naprava v DMZ način, da "vidi" preostali del lokalnega omrežja, lahko postane prehod do veliko bolj občutljivih podatkov.
Prav tako morate biti zelo previdni z napačna konfiguracija same DMZNapaka pri vnosu IP-naslova, slaba dodelitev v statičnem DHCP-ju ali napačna interpretacija, kateri vmesnik je izpostavljen, lahko povzroči, da odprete več stvari, kot si mislite, ali pa pustite, da DMZ kaže na napačno napravo.
Nenazadnje, ko morate oddaljeno dostopati do virov v omrežju (na primer do NAS ali računalnika zunaj doma), DMZ ni najboljša rešitev. V teh primerih pravilno konfiguriran VPN Ponuja veliko večjo varnost.
DMZ za spletne igre s konzole in računalnika
V svetu videoiger se DMZ skoraj vedno uporablja z zelo specifičnim ciljem: Izogibajte se strogemu NAT-u, težavam pri gostovanju tekem in prekinitvam glasovnega klepeta.Za konzole je to zelo pogosta rešitev; za osebne računalnike je povsem druga zgodba.
Če želite, da se vaša konzola PlayStation, Xbox ali Nintendo Switch brezhibno poveže, ustvari sobe, posluša in se pogovarja z vsemi igralci ter zmanjša število napak pri iskanju igralcev, je namestitev v DMZ običajno najboljša rešitev. bolj priročno kot ročno odpiranje vrat za vsako storitevTo je še posebej uporabno, če ne veste, katera vrata uporablja posamezna igra ali če UPnP vašega usmerjevalnika deluje le delno.
Vendar pa mnogi strokovnjaki močno odsvetujejo odpiranje DMZ na namiznem ali prenosnem računalniku. Razen če imate dobro konfiguriran sistemski požarni zid in natančno veste, kaj izpostavljateOsebni računalnik je veliko bolj vsestranski kot konzola in ima zato več programske opreme, več storitev v ozadju in na splošno večjo verjetnost okvare.
Če se odločite za uporabo DMZ za konzolo, morate najprej zagotoviti, da nobena druga kritična naprava si ne deli tega naslova IP ali ni odvisna od istega nenadzorovanega območjaIn če igrate na spletu z računalnika, je običajno bolje odpreti le potrebna vrata. Ali pa UPnP uporabljajte le občasno in ga onemogočite, ko ga ne potrebujete.
Obstaja veliko primerov, ko so bile nekatere igre zelo izbirčne glede omrežja, kar je povzročalo mikroprekinitve ali težave pri zagonu iger, Skoraj v trenutku prenehajo odpovedovati Ko se konzola nahaja za DMZ, še posebej, ko je veliko neposredne komunikacije med igralci, je razlika opazna.
Testiranje DMZ, požarnega zidu in VPN-ja na računalniku
Poleg videoiger se DMZ uporablja tudi za preverite varnost požarnega zidu ali VPNČe želite prek interneta preveriti, katera vrata so dejansko izpostavljena na strežniku ali računalniku, je najlažji način, da jih postavite v DMZ usmerjevalnika.
Ko usmerjevalnik ne filtrira nobenih vrat do te naprave, bo to vplivalo na vse, kar vidite odprto pri skeniranju od zunaj. Odvisno je izključno od lokalnega požarnega zidu računalnika.To vam omogoča odpravljanje napak v pravilih, iskanje nepotrebnih izpostavljenih storitev in natančno nastavitev tistega, kar želite imeti dostopno od zunaj.
Nekateri VPN protokoli, kot je IPsec, potrebujejo odprtih več različnih vrat In lahko povzročijo glavobole, če nekaj v verigi NAT blokira del prometa. V teh primerih začasna omogočitev DMZ do strežnika VPN pomaga odpraviti težave z vrati ali NAT.
Ideja je preprosta: omogočite DMZ, preizkusite, ali se VPN pravilno poveže od zunaj, preverite, katera vrata so vključena, in ko vam je to jasno, Ponovno zaprete DMZ in odprete samo bistvena vrata. s pravili posredovanja. To je praktičen način za izolacijo težave, ne da bi ekipa dolgoročno ostala brez obrambe.
Poudariti velja, da ima večina domačih usmerjevalnikov privzeto Vsa dohodna vrata so zaprta, če ni pravil za posredovanje vrat.Demilitarizirana zona namerno krši to zaščito in jo je zato treba uporabljati le kot začasno diagnostično orodje ali z visoko nadzorovano opremo.
Spremljanje in analiza prometa v DMZ
Druga zanimiva uporaba DMZ, ki je pogostejša v naprednih ali polprofesionalnih okoljih, je spremljanje omrežnega prometa, ki vstopa in izstopa iz izpostavljenih storitevZ namestitvijo vidnih strežnikov na ločeno območje je lažje analizirati, kaj se dogaja.
Dobro zasnovana DMZ uporablja specializirana orodja za zajemanje in analizo paketov, znana tudi kot snifferji ali analizatorji protokolovTi programi razčlenijo vsak paket: izvorni IP, ciljni IP, vrata, protokol in vsebino, kar omogoča odkrivanje nenavadnih ali neposredno sumljivih vzorcev.
Poleg vizualizacije v realnem času imajo številne rešitve za spremljanje funkcije za zgodovinski zapis in shranjevanjeTo je zelo uporabno za pregled preteklih incidentov, preučevanje napadov, ki so se že zgodili, ali odpravljanje napak v konfiguraciji, ki se pojavljajo le občasno.
Najnaprednejši sistemi ne prikazujejo zgolj surovih podatkov: uporabljajo algoritmi in celo umetna inteligenca za razlikovanje med običajnim prometom in nenavadnim vedenjem. Z jasnimi grafičnimi vmesniki skrbniku olajšajo takojšnjo prepoznavanje nenavadnega porasta, množičnega skeniranja ali poskusov izkoriščanja.
Ker je DMZ pogosto prvo mesto, na katerega so usmerjeni številni napadi, je običajno, da se ta orodja kombinirajo z sistemi za zaznavanje in preprečevanje vdorov (IDS/IPS)Na ta način ne le vidite, da se dogaja nekaj nenavadnega, ampak lahko tudi avtomatizirate odzive, da ustavite napad ali izolirate prizadeto ekipo.
Uporaba DMZ v podjetjih in profesionalnih omrežjih
V poslovnem svetu koncept DMZ daleč presega okvir usmerjevalnika v dnevni sobi. Tukaj govorimo o ločeno in dobro zaščiteno podomrežje, kjer se nahajajo javne službe, kot so spletne strani, poštni strežniki, zunanji sistemi za preverjanje pristnosti ali API-ji, usmerjeni k odjemalcem.
Glavna funkcija tega območja je delovati kot vmesna plast med internetom in notranjim omrežjem podjetjaPožarni zid strogo nadzoruje, kateri promet lahko prehaja iz interneta v DMZ in katere povezave so dovoljene iz DMZ v notranji LAN, kjer se nahajajo občutljivi podatki in kritični sistemi.
Pri tej arhitekturi, če napadalcu uspe ogroziti strežnik v DMZ, bo škoda načeloma ostala znotraj DMZ. vsebina znotraj tega izoliranega podomrežjaNima proste roke nad notranjimi bazami podatkov, opremo zaposlenih ali sistemi za finančno upravljanje.
Ta pristop dodaja dodatna plast zaščite pred uhajanjem podatkov, nepooblaščenim dostopom in napadi lažnega predstavljanjaIzpostavljena je le točno tista storitev, ki jo stranke potrebujejo, vse ostalo pa ostaja za dodatnimi ovirami.
V podjetjih z visokimi varnostnimi zahtevami se DMZ pogosto kombinira z drugimi ukrepi, kot so segmentacija VLAN, več požarnih zidov različnih proizvajalcev in stroga politika minimalne izpostavljenosti, vse z namenom čim bolj otežiti vsak poskus vdora.
DMZ, dvojni NAT in sprememba usmerjevalnika
Pri optičnih povezavah je zelo pogosto, da usmerjevalnik, ki ga namesti operater, omejene funkcije, slab Wi-Fi ali zelo omejena konfiguracijaMnogi uporabniki se odločijo za nakup boljšega usmerjevalnika drugega proizvajalca in ga priključijo za usmerjevalnikom ponudnika.
Težava je v tem, da če oprema operaterja ne omogoča konfiguracije v načinu mostu ali vam ne posreduje poverilnic ONT, ste obtičali pri tem. dva usmerjevalnika, ki drug za drugim izvajata NATTo se imenuje dvojni NAT in močno otežuje posredovanje vrat in pridobivanje odprtega NAT-a na konzolah.
V tem primeru je DMZ nekakšna sprejemljiva rešitev: usmerjevalnik ponudnika internetnih storitev konfigurirate tako, da DMZ mora kazati na WAN IP naslov vašega nevtralnega usmerjevalnika.Na ta način ves dohodni promet preide neposredno na drugi usmerjevalnik, kjer lahko nato bolj svobodno upravljate vrata, UPnP in druge nastavitve.
Brez DMZ bi morali za odprtje vrat za računalnik ali konzolo, priključeno na nevtralni usmerjevalnik, verižna pravila na obeh usmerjevalnikihEna povezava od glavnega usmerjevalnika do sekundarnega usmerjevalnika in druga od sekundarnega usmerjevalnika do končne naprave. Z DMZ morate upravljati le drugo povezavo.
Če pa vas zanimajo tekmovalne spletne igre, je vredno preveriti tudi, ali vaš operater uporablja CG-NAT, deljenje javnega IP-naslova med več odjemalciČe je tako, ne boste mogli dobiti pravega odprtega NAT-a, tudi če popolnoma konfigurirate svoje omrežje; v mnogih primerih lahko zahtevate izhod iz CG-NAT-a, da prejmete svoj javni IP.
Kako odpreti DMZ na domačem usmerjevalniku
Čeprav ima vsak proizvajalec svoje menije, je splošna logika za nastavitev domačega DMZ običajno zelo podobna: Najprej nastavite IP-naslov naprave in nato aktivirate funkcijo DMZ tako, da pokažete na ta IP-naslov.Red je pomemben, da se izognemo neredu.
Prvi korak je ugotoviti, kateri model usmerjevalnika imate in Kako dostopati do administratorske ploščePrivzeti dostopni IP-naslov, uporabniško ime in geslo so običajno na nalepki pod napravo. Če jih tam ni, lahko preverite privzeti prehod v računalniku ali mobilni napravi in poskusite s tipičnimi poverilnicami, kot je »admin/admin«, razen če jih je vaš ponudnik internetnih storitev spremenil.
Ko ste enkrat znotraj plošče, imate dve možnosti, da zagotovite, da konzola ali naprava ne spremeni svojega IP-naslova. Statični IP-naslov konfigurirate neposredno na napravi.Uporabite lahko obseg zunaj samodejnega DHCP-ja usmerjevalnika ali pa uporabite statično možnost DHCP usmerjevalnika, tako da vedno dodeli isti naslov IP istemu naslovu MAC.
Ko imate zagotovljen IP-naslov, je čas, da poiščete razdelek DMZ. Odvisno od usmerjevalnika se lahko prikaže v razdelkih, kot so Požarni zid, varnost, NAT, virtualni strežnik, aplikacije in igre ali v naprednih nastavitvah vrat. Pri modelih, kot so na primer nekatere naprave ASUS, je tipična pot WAN > DMZ.
V obrazcu DMZ aktivirate funkcijo, vnesete zasebni IP-naslov naprave, ki jo želite razkriti in shranite spremembe. Po uporabi konfiguracije bo dohodni promet brez določenega pravila posredovan neposredno na ta IP-naslov.
Ali DMZ res odpre vsa vrata?
Čeprav DMZ pogosto opisujejo kot »odpiranje vsega«, obstaja v praksi pomemben odtenek: Posebna pravila za posredovanje vrat imajo prednost pred DMZZ drugimi besedami, če že imate vrata, preusmerjena na drug IP-naslov, ima to pravilo prednost.
Večina domačih usmerjevalnikov interno uporablja sistem, ki temelji na Linuxu, z iptables za upravljanje požarnega zidu in NAT-a. V teh verigah pravil, Vnosi za posredovanje vrat se obdelajo pred splošnim pravilom DMZ.Samo če se nobena vrata ne ujemajo, se promet pošlje na IP-naslov DMZ.
To pomeni, da lahko imate na primer spletni strežnik ali NAS z odprtimi določenimi vrati Hkrati konzola v DMZ prejema preostali promet. Vrata tega strežnika ne bodo posredovana konzoli, ker imajo njena pravila prednost.
Kakorkoli že, čeprav so proizvajalci močno poenostavili konfiguracijske vmesnike, to ne spremeni dejstva, da Aktiviranje DMZ ostaja občutljiva operacijaČe se odločite za njegovo uporabo, vedno preverite, ali ima izpostavljena naprava aktiven in posodobljen požarni zid.
Poleg tega je priporočljivo občasno pregledovati storitve in programsko opremo, ki se izvaja v tem računalniku. To pa zato, ker Skeniranje vrat in poskusi izkoriščanja ranljivosti so stalni. na internetu, tudi za na videz nepomembne domače povezave.
DMZ in protokol IPv6
Ko vstopimo v svet IPv6, se nekatera pravila igre spremenijo v primerjavi s tistimi, ki smo jih vajeni pri IPv4. Tukaj Klasični NAT se ne uporablja; vsaka naprava ima edinstven globalni naslov. in je dostopen neposredno iz interneta, razen če ga blokira požarni zid.
Za nastavitev cone, podobne DMZ, v IPv6 potrebujete namesto NAT-a, segmentacija podomrežja in natančno nastavljena pravila požarnega ziduPotrebno bo vsaj več kot eno podomrežje /64, ker mora imeti vsako območje (notranji LAN, DMZ itd.) svojega.
Običajno bi od operaterja zahtevali večji blok, na primer /56 ali /48, kar bi vam omogočilo razdeli ga na več /64: eden za glavno notranje omrežje, drugi za DMZ in dodatni za prihodnje širitve ali določena območja.
V tem scenariju ni DMZ "z NAT-om", vendar v požarnem zidu določite, kateri promet je dovoljen iz interneta v podomrežje DMZ in Kakšen promet lahko gre iz DMZ nazaj v LAN?To je čistejši in močnejši pristop, vendar zahteva tudi nekoliko več znanja.
Kot vedno, ključ je v pravilih požarnega zidu. Morali boste dovoli samo bistvena vrata za strežnike DMZ in čim bolj omejiti povezave, vzpostavljene iz DMZ v notranjost, pri čemer uporabiti načelo najmanjših privilegijev.
Nastavitev DMZ za konzolne povezave je lahko zelo učinkovito orodje za odpravljanje težav s strogim NAT-om, iger, ki se ne zaženejo, ali nestabilnega glasovnega klepeta. Vendar je treba to storiti previdno. Če ga pravilno uporabljate, postane uporabno orodje v vašem omrežnem naboru orodij in ne stalna zadnja vrata v vaš digitalni dom.
