Kui mängid oma konsooliga võrgus ja oled väsinud sõnumite nägemisest Range NAT, ühenduse probleemid või katkendlik häälvestlus.Keegi on sulle ilmselt öelnud: "Pane konsool demilitariseeritud tsooni ja kõik saab korda." Tõde on see, et jah, see võib lahendada palju peavalusid, kuid sellel on ka turvamõjusid, millest peaksid enne ruuteril millegi puudutamist aru saama.
DMZ-i seadistamine konsooli jaoks pole keeruline. Peamine on teada, kuidas. Mida täpselt DMZ teeb ja kuidas see erineb portide avamisest või UPnP kasutamisest?, millal on seda mõttekas kasutada, millal on seda kõige parem vältida ja kuidas see teie võrku mõjutab, kui teil on näiteks kodus kommutaator, võrgusüsteem või teine ruuter.
Mis on DMZ ja kuidas see sind konsooliga aitab?
Koduse ruuteri puhul on DMZ (demilitariseeritud tsooni) funktsioon põhimõtteliselt valik, mis muudab kogu internetist saabuv liiklus, millel puudub konkreetne reegel suunata ümber ühele seadmele kohtvõrgus. See seade võib olla konsool, arvuti, server või isegi teine ruuter.
Kui asetate oma konsooli demilitariseeritud tsooni (DMZ), käitub ruuter nii, nagu oleksid kõik selle pordid sellele avatud. Porti edastamise reegleid pole vaja mänguti seadistada.ega sõltu UPnP korrektsest toimimisest. elutoa videomängukonsoolid (PlayStation, Xbox, Nintendo Switch), millel on suhteliselt suletud süsteem, on see kokkupuude üldiselt üsna hallatav.
See käitumine on väga kasulik, kuna paljud võrgumängud kasutavad dünaamilisi või halvasti dokumenteeritud portide kombinatsioone ning mõned teenused, näiteks P2P-häälvestlus või mängude hostimine, nõuavad seda. Teised mängijad saavad teie konsooliga ühendusi luua ilma NAT-piiranguteta.Siin saab demilitariseeritud tsoon midagi muuta.
Siiski on oluline selgeks teha, et Koduse ruuteri DMZ ei ole sama mis ettevõtte DMZ.Professionaalsetes keskkondades räägitakse alamvõrkudest ja mitmest tulemüürist. Koduruuteril on menüüs olev "DMZ" tavaliselt lihtsalt kõikehõlmav valik kogu sissetuleva liikluse jaoks, millel pole muid reegleid.
DMZ ja NAT: miks konsool kurdab
Teie kodus on kõigil seadmetel üks avalik IP-aadress. Ruuter teisendab selle avaliku IP-aadressi ja teiste seadmete vahel. Privaatsed IP-aadressid teie seadmetele tänu NAT-ile (võrguaadresside teisendamine)Kui teie konsool loob ühenduse mänguserveriga, toimib kõik sujuvalt, sest ruuter mäletab, kes iga ühenduse avas, ja teab, kuidas vastuseid tagastada.
Probleem tekib siis, kui väline mängija proovib otse teie konsooliga ühendust luua, näiteks kui majutate mängu, alustate P2P-häälvestlust või kui mäng nõuab kindlat sissetulevat liiklust. Sellisel juhul, kui ruuteril pole reegleid paigas, See ei tea, millisele seadmele konkreetsesse porti saabuv ühendus edastada. ja hülgab selle. Konsool tuvastab selle olukorra ja märgib NAT-i olenevalt kaubamärgist rangeks või 3. tüüpi, C, D või F-iks.
Üldiselt liigitavad videomängukonsoolid olukordi sel viisil, et aidata kasutajal orienteeruda:
- Avatud NAT (PlayStation Type 1/2, avatud Xbox, Switch A/B)Vajalikud pordid on internetist ligipääsetavad, saad liituda mis tahes mänguga, korraldada ruume ja kasutada häälvestlust kellegagi.
- Mõõdukas NAT. Mängida saab küll, aga Teil on piirangud ühenduse loomisel kasutajatega, kellel on samuti piiratud võimalused.Mängude majutamine või pidev vestluse kasutamine võib muutuda tõeliseks katsumuseks.
- Rangelt NAT. Sa töötad hästi ainult mängijatega, kellel on avatud NAT; sageli oled esimene, kes ruumist lahkub, kui mäng rahvarohkeks läheb või tekib mingi probleem.
DMZ on üks kiiremaid viise mõõdukalt/rangelt NAT-ilt üleminekuks Avage NAT ilma porte ükshaaval käsitsi avamataSee ei parane. ei ping ega kiirusaga see kõrvaldab paljud ühenduse blokeeringud ja vead.
DMZ-i kasutamise eelised konsoolide jaoks
Mängude kontekstis on demilitariseeritud tsooni (DMZ) suurim eelis see, et See lihtsustab oluliselt võrgu seadistamist.Kui eraldate ruuteri DMZ-i oma konsoolile (ja ainult konsoolile), saate mitu selget eelist.
Ühelt poolt on konsoolil nüüd kõik pordid sissetuleva liikluse jaoks saadaval (välja arvatud need, mis on juba teistele seadmetele edastatud). See välistab sõltuvuse UPnP korrektsest toimimisest, käsitsi reeglitest või teadmisest, milliseid porte iga mitmikmängu mäng kasutab.
Lisaks teatavad paljud kasutajad, et teatud mängudes esines viivitusi, vigu mängudega liitumisel või sagedasi ühenduse katkemisi. Need hakkavad sujuvalt tööle kohe, kui konsool demilitariseeritud tsooni asetatakse.Eriti väikestel kaartidel, võistlustel või režiimides, kus mängijate vahel on palju otsest suhtlust, võib muutus olla väga märgatav.
Praktilisest turvalisuse seisukohast on tänapäevased konsoolid nagu PlayStation, Xbox või Switch Neil on suletud, üsna piiratud operatsioonisüsteemid sisemise tulemüürigaSee vähendab oluliselt tõenäosust, et demilitariseeritud tsooni (DMZ) poolt paljastatud haavatavus muutub teie koduvõrgule tõsiseks probleemiks, erinevalt sellest, mis juhtuks üldotstarbelise arvutiga.
Teine huvitav eelis on see, et demilitariseeritud tsoon lihtsustab mõningaid keerukamaid stsenaariume. Näiteks siis, kui soovite. ühendage oma neutraalne ruuter operaatori ruuteri taha Ja teil pole sillarežiimi. Sellisel juhul vähendab peamise ruuteri DMZ avamine ja selle suunamine teisele ruuterile efektiivset topelt-NAT-i ja säästab teid kahe erineva seadme pordireeglite aheldamisest.
DMZ avamise puudused ja riskid
Peamine probleem on turvalisus. DMZ aktiveerimisega olete seadme otse internetiga kokkupuutumineIlma ruuteri tavapäraselt rakendatava pordifiltrita on iga seadme avatud port väljastpoolt ligipääsetav, mis meelitab ligi automaatseid skaneeringuid ja rünnakuid.
Kui paigutate konsooli demilitariseeritud tsooni (DMZ), on risk üsna kontrolli all, kuid kui otsustate sinna paigutada arvuti, serveri või halvasti konfigureeritud teenustega arvuti, rünnakupind tulistabArvutis on lihtne leida aegunud tarkvara, ebavajalikke teenuseid või nõrku konfiguratsioone, mis sellisele koormusele vastu ei pea.
Teine tundlik punkt on see, et DMZ peaks alati osutama staatilisele IP-aadressileKui jätate oma konsooli või seadme automaatsele DHCP-le ja IP-aadress muutub, saadab ruuter kogu sissetuleva liikluse edasi vanale aadressile, mida võib nüüd kasutada mõni teine ühendatud seade. See võib tekitada tõsiseid turvaauke ilma, et te seda isegi märkaksite.
Samuti väärib märkimist, et kodumaine demilitariseeritud tsoon tavaliselt lubab ainult üks seade korragaKui aktiveerite oma konsooli jaoks DMZ-i, ei saa ülejäänud seadmed seda otseteed enam kasutada.
Lõpuks, kuigi demilitariseeritud tsoon ise tavaliselt lisaressursse ei tarbi, siis kui avatud seade saab Suur liiklus võib ribalaiust rikkuda saadaval, mõjutades teisi võrgus olevaid seadmeid. See pole tavaline, kuid võib juhtuda jõhkrate rünnakute, intensiivsete skaneeringute või suure P2P-liikluse korral.
Millal EI OLE hea mõte DMZ-i kasutada?
Enne selle ruuteri funktsiooni aktiveerimist on mitu olukorda, kus peaksite kaks korda järele mõtlema, sest kaalukauss kaldub selgelt riski poole.
Kõige selgem juhtum on see, et haavatavad või aegunud seadmedKui kavatsete paljastada vana arvuti, serveri tarkvaraga, mille tarkvara pole uuendatud, või seadmeid, mida te ei ajakohasena hoia, siis demilitariseeritud tsooniga teete seda, et juhite neile tähelepanu ja teatate internetis, et need on testimiseks saadaval.
Teine levinud probleem on võrgu segmenteerimise puuduminePaljudes kodudes on kõik samas alamvõrgus: tööarvutid, varukoopiatega NAS-id, IP-kaamerad, mobiiltelefonid jne. Kui demilitariseeritud tsoonis asuval ohustatud seadmel on võimalus ülejäänud kohtvõrku "näha", võib see saada väravaks palju tundlikumate andmete juurde.
Samuti tuleb olla väga ettevaatlik, DMZ enda vale konfiguratsioonViga IP-aadressi sisestamisel, halb määramine staatilises DHCP-s või vale tõlgendus sellest, milline liides on avatud, võib põhjustada rohkemate asjade avamist, kui arvate, või DMZ-i valele seadmele osutamise.
Lõpuks, kui teil on vaja oma võrguressurssidele (näiteks NAS-ile või arvutile väljaspool kodu) kaugjuurdepääsu saada, pole DMZ parim lahendus. Sellistel juhtudel õigesti konfigureeritud VPN See pakub palju suuremat turvalisust.
DMZ võrgumängude jaoks konsoolil ja arvutil
Videomängude maailmas kasutatakse demilitariseeritud tsooni peaaegu alati väga kindla eesmärgiga: Väldi ranget NAT-i, probleeme mängude korraldamisel ja häälvestluse katkestusi.Konsoolide puhul on see väga levinud lahendus; arvuti puhul on see hoopis teine lugu.
Kui soovid, et sinu PlayStation, Xbox või Nintendo Switch ühenduks sujuvalt, looks ruume, kuulaks ja räägiks kõigi mängijatega ning vähendaks paarismängu vigu, on selle paigutamine demilitariseeritud tsooni tavaliselt parim lahendus. mugavam kui iga teenuse jaoks portide käsitsi avamineSee on eriti kasulik, kui sa ei tea, milliseid porte iga mäng kasutab või kui sinu ruuteri UPnP töötab ainult osaliselt.
Siiski soovitavad paljud eksperdid tungivalt mitte avada demilitariseeritud tsooni laua- või sülearvutile. Kui teil pole hästi konfigureeritud süsteemi tulemüür ja tead täpselt, mida sa ohtu seadArvuti on palju mitmekülgsem kui konsool ja seetõttu on sellel rohkem tarkvara, rohkem taustateenuseid ja üldiselt suurem tõenäosus rikki minna.
Kui otsustate konsooli jaoks DMZ-d kasutada, peaks teie prioriteediks olema veenduda, et ükski teine kriitiline seade ei jaga seda IP-aadressi ega sõltu samast kontrollimatust vahemikustJa kui mängid arvutist võrgus, on tavaliselt parem avada ainult vajalikud pordid. Või kasuta UPnP-d ainult aeg-ajalt ja keela see siis, kui sa seda ei vaja.
On arvukalt juhtumeid, kus teatud mängud olid võrgu suhtes väga pirtsakad, põhjustades mängude käivitamisel mikrokatkestusi või probleeme. Nad lõpetavad peaaegu koheselt ebaõnnestumise Kui konsool asub demilitariseeritud tsooni taga, eriti kui mängijate vahel on palju otsest suhtlust, on erinevus märgatav.
DMZ, tulemüüri ja VPN-i testimine arvutis
Lisaks videomängudele kasutatakse demilitariseeritud tsooni ka auditeerida tulemüüri või muu VPNKui soovite internetist kontrollida, millised pordid serveril või arvutil tegelikult avatud on, on lihtsaim viis see ruuteri DMZ-i paigutada.
Kui ruuter ei filtreeri selle seadme ühtegi porti, mõjutab see kõike, mida väljastpoolt skannides avatuna näete. See sõltub ainult arvuti kohalikust tulemüürist.See võimaldab teil reegleid siluda, leida mittevajalikke avatud teenuseid ja täpsustada, millele soovite väljastpoolt ligipääsetava olla.
Mõned VPN-protokollid, näiteks IPsec, vajavad mitu erinevat porti avatud Ja need võivad peavalu tekitada, kui miski NAT-ahelas blokeerib osa liiklusest. Sellistel juhtudel aitab DMZ ajutine lubamine VPN-serveri suunas välistada pordi- või NAT-probleemid.
Idee on lihtne: lubate DMZ-i, kontrollite, kas VPN loob väljastpoolt korrektse ühenduse, kontrollite, millised konkreetsed pordid on kaasatud, ja kui see on selge, Sulged demilitariseeritud tsooni uuesti ja avad ainult olulised pordid. edasisaatmisreeglite kaudu. See on praktiline viis probleemi isoleerimiseks, jätmata meeskonda pikas perspektiivis kaitsetuks.
Tasub rõhutada, et vaikimisi on enamikul koduruuteritel Kõik sissetulevad pordid suletakse, kui pordi edastamise reegleid pole.DMZ rikub seda kaitset tahtlikult ja seetõttu tuleks seda kasutada ainult ajutise diagnostikavahendina või koos rangelt kontrollitud seadmetega.
Liikluse jälgimine ja analüüs demilitariseeritud tsoonis
Teine huvitav DMZ kasutusviis, mis on levinum edasijõudnute või poolprofessionaalsete keskkondade puhul, on võrguliikluse jälgimine avatud teenustesse sisenemisel ja sealt väljumiselNähtavate serverite eraldi alale paigutamine muudab toimuva analüüsimise lihtsamaks.
Hästi disainitud demilitariseeritud tsoon kasutab spetsiaalseid pakettide püüdmise ja analüüsi tööriistu, mida tuntakse ka kui nuusutajad või protokollianalüsaatoridNeed programmid jagavad iga paketi lahti: lähte-IP, siht-IP, port, protokoll ja sisu, võimaldades tuvastada kummalisi või otseselt kahtlaseid mustreid.
Lisaks reaalajas visualiseerimisele on paljudel jälgimislahendustel funktsioonid, mis aitavad ajalooline dokumentatsioon ja säilitamineSee on väga kasulik varasemate intsidentide ülevaatamiseks, juba toimunud rünnakute uurimiseks või ainult vahelduva eduga ilmnevate konfiguratsioonivigade silumiseks.
Kõige arenenumad süsteemid ei kuva lihtsalt toorandmeid: nad kasutavad algoritmid ja isegi tehisintellekt eristamaks tavalist liiklust anomaalsest käitumisest. Selgete graafiliste liideste abil on administraatoril lihtne koheselt tuvastada ebatavaline ägenemine, massskannimine või rünnakukatsed.
Kuna demilitariseeritud tsoon on sageli esimene koht, mida paljud rünnakud tabavad, on tavaline neid tööriistu kombineerida sissetungimise tuvastamise ja ennetamise süsteemid (IDS/IPS)Nii ei näe sa mitte ainult, et midagi kummalist toimub, vaid saad ka automatiseerida vastuseid rünnaku peatamiseks või mõjutatud meeskonna isoleerimiseks.
DMZ kasutamine ettevõtetes ja professionaalsetes võrgustikes
Ärimaailmas ulatub DMZ kontseptsioon palju kaugemale elutoa ruuterikarbist. Siin räägime me... eraldi ja hästi kaitstud alamvõrk, kus asuvad kommunaalteenused, näiteks veebilehed, meiliserverid, välised autentimissüsteemid või kliendipoolsed API-d.
Selle ala peamine ülesanne on toimida vahekiht interneti ja ettevõtte sisevõrgu vahelTulemüür kontrollib rangelt, milline liiklus saab internetist demilitariseeritud tsooni (DMZ) liikuda ja millised ühendused on lubatud DMZ-st sisemise kohtvõrguga, kus asuvad tundlikud andmed ja kriitilised süsteemid.
Selle arhitektuuri puhul jääb kahju põhimõtteliselt DMZ-i piiridesse, kui ründajal õnnestub DMZ-is asuv server ohtu seada. sisu selles isoleeritud alamvõrgusSellel puudub vaba voli sisemiste andmebaaside, töötajate seadmete ega finantsjuhtimissüsteemide üle.
See lähenemisviis lisab täiendav kaitsekiht andmelekete, volitamata juurdepääsu ja andmepüügirünnakute eestPaljastatud on ainult see teenus, mida kliendid vajavad, kõik muu jääb lisatõkete taha.
Kõrgete turvanõuetega ettevõtetes kombineeritakse demilitariseeritud tsooni sageli muude meetmetega, näiteks VLAN-i segmenteerimise, mitmete erinevate tootjate tulemüüride ja range minimaalse kokkupuute poliitikaga, mille eesmärk on et muuta iga sissetungikatse võimalikult raskeks.
DMZ, topelt-NAT ja ruuteri vahetus
Kiudoptiliste ühenduste puhul on väga tavaline, et operaatori paigaldatud ruuter on piiratud funktsioonidega, halb WiFi või väga piiratud konfiguratsioonPaljud kasutajad otsustavad osta parema, kolmanda osapoole ruuteri ja ühendada selle pakkuja ruuteri taha.
Probleem on selles, et kui operaatori seadmed ei luba sillarežiimis konfigureerimist või ei anna teile ONT-volitusi, olete sellega ummikus. kaks ruuterit teostavad NAT-i üksteise järelSeda tuntakse topelt-NAT-ina ja see raskendab oluliselt portide edastamist ja avatud NAT-i saamist konsoolidel.
Sellisel juhul on demilitariseeritud tsoon omamoodi vastuvõetav lahendus: konfigureerite internetiteenuse pakkuja ruuteri nii, et DMZ peaks osutama teie neutraalse ruuteri WAN IP-aadressile.Nii läheb kogu sissetulev liiklus otse teise ruuterisse, kus saate seejärel porte, UPnP-d ja muid sätteid vabamalt hallata.
Ilma demilitariseeritud tsoonita peaksite neutraalse ruuteriga ühendatud arvuti või konsooli pordi avamiseks tegema järgmist. ketireeglid mõlemal ruuterilÜks ühendus peamisest ruuterist teise ruuteriga ja teine teisest ruuterist viimase seadmega. DMZ-i abil peate haldama ainult teist ühendust.
Kui aga olete huvitatud võistlusmängudest veebis, tasub kontrollida ka seda, kas teie operaator kasutab CG-NAT, avaliku IP-aadressi jagamine mitme kliendi vahelSellisel juhul ei saa te isegi oma võrgu ideaalselt konfigureerides tõeliselt avatud NAT-i; paljudel juhtudel saate taotleda CG-NAT-ist väljumist, et saada oma avalik IP-aadress.
Kuidas avada DMZ kodusel ruuteril
Kuigi igal tootjal on oma menüüd, on koduse DMZ seadistamise üldine loogika tavaliselt väga sarnane: Esmalt määrake seadme IP-aadress ja seejärel aktiveerige DMZ-funktsioon, osutades sellele IP-aadressile.Kord on oluline, et asjad ei satuks segadusse.
Esimene samm on tuvastada, milline ruuteri mudel teil on ja Kuidas oma halduspaneelile ligi pääsedaVaikimisi ligipääsu IP-aadress, kasutajanimi ja parool asuvad tavaliselt seadme all oleval kleebisel. Kui neid seal pole, saate kontrollida oma arvuti või mobiilseadme vaikelüüsi ja proovida tüüpilisi volitusi, näiteks „admin/admin”, välja arvatud juhul, kui teie internetiteenuse pakkuja on neid muutnud.
Kui olete paneeli sees, on teil kaks võimalust, et tagada konsooli või seadme IP-aadressi püsimine. Mõlemad. Staatilise IP-aadressi saate konfigureerida otse seadmes.Võite kasutada kas ruuteri automaatse DHCP-st väljaspool olevat vahemikku või kasutada ruuteri staatilise DHCP-valikut, nii et see määrab alati samale MAC-aadressile sama IP-aadressi.
Kui teil on see garanteeritud IP-aadress olemas, on aeg otsida DMZ-osa. Sõltuvalt ruuterist võib see ilmuda sellistes osades nagu Tulemüür, turvalisus, NAT, virtuaalserver, rakendused ja mängud või täpsemate pordisätete alt. Näiteks mudelitel, nagu mõned ASUS-i seadmed, on tüüpiline tee WAN > DMZ.
DMZ vormil aktiveerite funktsiooni ja sisestate seadme privaatne IP-aadress, mida soovite avaldada ja salvestage muudatused. Pärast konfiguratsiooni rakendamist suunatakse sissetulev liiklus ilma konkreetse reeglita otse sellele IP-aadressile.
Kas demilitariseeritud tsoon avab tõesti kõik pordid?
Kuigi demilitariseeritud tsooni kirjeldatakse sageli kui "kõike avavat", on praktikas oluline nüanss: Konkreetsed pordi edastamise reeglid on DMZ-i suhtes ülimuslikudTeisisõnu, kui teil on juba port teisele IP-aadressile edastatud, on see reegel ülimuslik.
Enamik koduseid ruutereid kasutab tulemüüri ja NAT-i haldamiseks sisemiselt Linuxi-põhist süsteemi koos iptablesiga. Nendes reeglite ahelates Pordi edastamise kirjed töödeldakse enne üldist DMZ-reeglitAinult siis, kui ükski port ei sobi, saadetakse liiklus DMZ IP-aadressile.
See tähendab, et teil võib olla näiteks veebiserver või NAS, millel on avatud kindlad pordid Samal ajal võtab demilitariseeritud tsoonis asuv konsool vastu ülejäänud liiklust. Selle serveri porte konsoolile ei edastata, kuna selle reeglid on ülimuslikud.
Igal juhul, kuigi tootjad on konfiguratsiooniliideseid oluliselt lihtsustanud, ei muuda see fakti, et DMZ aktiveerimine on endiselt delikaatne operatsioonKui otsustate seda kasutada, veenduge alati, et avatud seadme tulemüür oleks aktiivne ja ajakohane.
Lisaks on soovitatav perioodiliselt üle vaadata sellel arvutil töötavad teenused ja tarkvara. Seda seetõttu, et Portide skaneerimine ja haavatavuste ärakasutamise katsed on pidevad. internetis, isegi pealtnäha tähtsusetute koduste ühenduste puhul.
DMZ ja IPv6 protokoll
IPv6 maailma sisenedes muutuvad mõned mängureeglid võrreldes sellega, millega oleme harjunud IPv4-ga. Siin on Klassikalist NAT-i ei kasutata; igal seadmel on unikaalne globaalne aadress. ja sellele pääseb otse internetist ligi, kui tulemüür seda ei blokeeri.
DMZ-laadse tsooni seadistamiseks IPv6-s on NAT-i asemel vaja alamvõrgu segmenteerimine ja peenhäälestatud tulemüürireeglidVähemalt on vaja rohkem kui ühte /64 alamvõrku, sest igal tsoonil (sisemine LAN, DMZ jne) peab olema oma.
Tavaliselt küsiksite oma operaatorilt suuremat plokki, näiteks /56 või /48, mis võimaldaks teil jaga see mitmeks /64üks peamise sisevõrgu jaoks, teine demilitariseeritud tsooni jaoks ja täiendavad tulevaste laienduste või konkreetsete tsoonide jaoks.
Selles stsenaariumis puudub DMZ "NAT-i järgi", kuid tulemüüris määratlete, milline liiklus on internetist DMZ alamvõrku lubatud ja Milline liiklus saab DMZ-st LAN-i tagasi minna?See on puhtam ja võimsam lähenemisviis, kuid nõuab ka veidi rohkem teadmisi.
Nagu ikka, peitub võti tulemüüri reeglites. Teil on vaja lubage DMZ-serveritele ainult olulisi porte ja piirata nii palju kui võimalik demilitariseeritud tsoonist sisemaale algatatud ühendusi, rakendades vähimate privileegide põhimõtet.
DMZ-i seadistamine konsooliühenduste jaoks võib olla väga tõhus vahend rangete NAT-probleemide, mittekäivituvate mängude või ebastabiilse häälvestluse kõrvaldamiseks. Kuid seda tuleb teha ettevaatlikult. Õigesti kasutades saab sellest kasulik tööriist teie võrgutööriistakomplektis, mitte püsiv tagauks teie digitaalsesse koju.
