Se giochi online con la tua console e sei stanco di vedere messaggi da NAT rigido, problemi di connessione o chat vocale che continua a interrompersi.Qualcuno ti avrà probabilmente detto: "Metti la console nella DMZ e tutto si sistemerà ". La verità è che sì, può risolvere molti grattacapi, ma ha anche implicazioni sulla sicurezza che dovresti comprendere prima di toccare qualsiasi cosa sul tuo router.
Impostare una DMZ per una console non è complicato. La chiave è sapere come fare. Cosa fa esattamente una DMZ e in che cosa si differenzia dall'apertura delle porte o dall'utilizzo di UPnP?, quando ha senso utilizzarlo, quando è meglio evitarlo e come influisce sulla rete se, ad esempio, si dispone di uno switch, di un sistema mesh o di un secondo router a casa.
Cos'è una DMZ e come ti aiuta con la tua console?
Su un router domestico, la funzione DMZ (zona demilitarizzata) è fondamentalmente un'opzione che rende tutto il traffico in entrata da Internet che non ha una regola specifica reindirizzare a un singolo dispositivo sulla rete locale. Tale dispositivo potrebbe essere una console, un PC, un server o anche un altro router.
Quando si posiziona la console nella DMZ, il router si comporta come se tutte le sue porte fossero aperte. Non c'è bisogno di configurare le regole di port forwarding partita per partitané dipendono dal corretto funzionamento di UPnP. Per il console per videogiochi da soggiorno (PlayStation, Xbox, Nintendo Switch), che hanno un sistema relativamente chiuso, questa esposizione è, in generale, abbastanza gestibile.
Questo comportamento è molto utile perché molti giochi online utilizzano combinazioni di porte dinamiche o scarsamente documentate e alcuni servizi come la chat vocale P2P o l'hosting di giochi richiedono che Altri giocatori possono avviare connessioni alla tua console senza restrizioni NAT.È qui che la DMZ può fare la differenza.
Tuttavia, è importante essere chiari sul fatto che Una DMZ su un router domestico non è la stessa cosa di una DMZ aziendaleIn ambito professionale, si parla di subnet e firewall multipli. Su un router domestico, la dicitura "DMZ" nel menu è solitamente solo un riferimento generico per tutto il traffico in entrata che non ha altre regole.
DMZ e NAT: perché la console si lamenta
In casa, tutti i dispositivi condividono un unico indirizzo IP pubblico. Il router esegue la traduzione tra quell'indirizzo IP pubblico e gli altri. IP privati ​​per i tuoi dispositivi grazie a NAT (Network Address Translation)Quando la console avvia una connessione a un server di gioco, tutto funziona senza intoppi, perché il router ricorda chi ha aperto ogni connessione e sa come restituire le risposte.
Il problema si verifica quando un giocatore esterno tenta di connettersi direttamente alla console, ad esempio quando si ospita una partita, si avvia una chat vocale P2P o quando una partita richiede un traffico in entrata specifico. In tal caso, se il router non ha impostato delle regole, Non sa a quale dispositivo inoltrare la connessione in arrivo su una porta specifica. e lo scarta. La console rileva questa situazione e contrassegna il NAT come rigoroso o di tipo 3, C, D, F a seconda della marca.
In termini generali, le console per videogiochi classificano la situazione in questo modo per aiutare l'utente a orientarsi:
- NAT aperto (PlayStation Tipo 1/2, Xbox aperto, Switch A/B)Le porte necessarie sono accessibili da Internet, puoi partecipare a qualsiasi gioco, ospitare stanze e usare la chat vocale con chiunque.
- NAT moderato. Puoi giocare, ma Saranno previste delle restrizioni per la connessione con utenti che hanno anch'essi delle limitazioni.Organizzare partite o usare sempre la chat può diventare una vera impresa.
- Rigorosamente naturale. Si lavora bene solo con giocatori che hanno un NAT aperto; spesso si è i primi ad abbandonare la stanza quando la partita diventa affollata o si verifica un problema.
La DMZ è uno dei modi più rapidi per passare da NAT moderato/rigoroso a NAT aperto senza aprire manualmente le porte una per unaNon migliora. né ping né velocità ma elimina molti blocchi di connessione ed errori.
Vantaggi dell'utilizzo di una DMZ per le console
Nel contesto del gioco, il grande vantaggio della DMZ è che Semplifica notevolmente la configurazione della rete.Se dedichi la DMZ del router alla tua console (e solo alla console), otterrai diversi chiari vantaggi.
Da un lato, la console ora ha tutte le porte disponibili per il traffico in entrata (ad eccezione di quelli già inoltrati ad altri dispositivi). In questo modo si elimina la dipendenza dal corretto funzionamento di UPnP, dalle regole manuali o dalla conoscenza delle porte utilizzate da ciascun titolo multigiocatore.
Inoltre, molti utenti segnalano che in alcuni giochi si verificano ritardi, errori durante l'accesso alle partite o frequenti disconnessioni. Iniziano a funzionare senza problemi non appena la console viene inserita nella DMZSoprattutto nelle mappe di piccole dimensioni, nelle gare o nelle modalità in cui c'è molta interazione diretta tra i giocatori, il cambiamento può essere molto evidente.
Da un punto di vista pratico della sicurezza, le console moderne come PlayStation, Xbox o Switch Hanno sistemi operativi chiusi, piuttosto limitati, con un firewall internoCiò riduce notevolmente la probabilità che una vulnerabilità esposta dalla DMZ diventi un problema serio per la rete domestica, a differenza di quanto accadrebbe con un PC generico.
Un altro vantaggio interessante è che la DMZ semplifica alcuni scenari avanzati. Come quando vuoi collegare il proprio router neutro dietro il router dell'operatore E non hai la modalità bridge. In tal caso, aprire la DMZ del router principale e puntarla al secondo router riduce il doppio NAT effettivo e ti evita di dover concatenare le regole delle porte su due dispositivi diversi.
Svantaggi e rischi dell'apertura di una DMZ
Il problema principale è la sicurezza. Attivando una DMZ si è esporre un dispositivo direttamente a InternetSenza il filtro delle porte normalmente applicato dal router, qualsiasi porta aperta dal dispositivo sarà accessibile dall'esterno, attirando scansioni e attacchi automatici.
Se si posiziona una console nella DMZ, il rischio è abbastanza controllato, ma se si decide di posizionare lì un PC, un server o un computer con servizi mal configurati, la superficie di attacco sparaSu un computer è facile trovare software obsoleti, servizi non necessari o configurazioni deboli che non riescono a resistere a quel livello di esposizione.
Un altro punto delicato è che La DMZ dovrebbe sempre puntare a un indirizzo IP staticoSe lasci la console o il dispositivo impostato su DHCP automatico e l'indirizzo IP cambia, il router continuerà a inviare tutto il traffico in entrata al vecchio indirizzo, che ora potrebbe essere utilizzato da un altro dispositivo connesso. Questo può creare gravi vulnerabilità di sicurezza senza che tu te ne accorga.
Vale anche la pena notare che la DMZ nazionale di solito consente solo un dispositivo alla voltaSe attivi la DMZ per la tua console, gli altri dispositivi non potranno più sfruttare questa scorciatoia.
Infine, sebbene la DMZ stessa non consumi solitamente risorse extra, se il dispositivo esposto riceve Un traffico elevato può monopolizzare la larghezza di banda disponibile, che colpisce altri dispositivi sulla rete. Non è comune, ma può accadere in caso di attacchi brute-force, scansioni intensive o traffico P2P intenso.
Quando NON è una buona idea utilizzare una DMZ
Ci sono diversi scenari in cui dovresti pensarci due volte prima di attivare questa funzione del router, perché la bilancia pende chiaramente verso il lato del rischio.
Il caso più chiaro è quello dell' dispositivi vulnerabili o obsoletiSe si intende esporre un vecchio PC, un server con software non aggiornato o un'apparecchiatura che non si aggiorna, con la DMZ si puntano i riflettori su di essi e si annuncia a Internet che sono disponibili per essere testati.
Un altro problema comune è il mancanza di segmentazione della reteIn molte case, tutto si trova sulla stessa sottorete: computer di lavoro, NAS con backup, telecamere IP, telefoni cellulari, ecc. Se un dispositivo compromesso nella DMZ riesce a "vedere" il resto della LAN, potrebbe diventare un gateway per dati molto più sensibili.
Bisogna anche stare molto attenti con il configurazione errata della DMZ stessaUn errore durante l'inserimento dell'indirizzo IP, un'assegnazione errata nel DHCP statico o un'errata interpretazione dell'interfaccia esposta possono causare l'apertura di più cose di quanto si pensi o far sì che la DMZ punti al dispositivo sbagliato.
Infine, quando è necessario accedere da remoto alle risorse della rete (ad esempio, un NAS o un computer esterno alla propria abitazione), la DMZ non è la soluzione migliore. In questi casi una VPN configurata correttamente Offre molta più sicurezza.
DMZ per il gioco online da console e PC
Nel mondo dei videogiochi, la DMZ viene quasi sempre utilizzata con un obiettivo ben preciso: Evita NAT rigidi, problemi nell'hosting delle partite e interruzioni della chat vocale.Per le console è una soluzione molto comune; per i PC è tutta un'altra storia.
Se vuoi che la tua PlayStation, Xbox o Nintendo Switch si connetta senza problemi, crei stanze, ascolti e parli con tutti i giocatori e riduca gli errori di matchmaking, inserirla nella DMZ è solitamente la soluzione migliore. più conveniente rispetto all'apertura manuale delle porte per ogni servizioÈ particolarmente utile quando non sai quali porte utilizza ogni gioco o quando l'UPnP del tuo router funziona solo parzialmente.
Tuttavia, molti esperti sconsigliano vivamente di aprire la DMZ su un computer desktop o portatile. A meno che non si disponga di un un firewall di sistema ben configurato e sapere esattamente cosa stai esponendoUn PC è molto più versatile di una console e, pertanto, ha più software, più servizi in background e, in generale, maggiori probabilità di guasti.
Se decidi di utilizzare DMZ per la console, la tua priorità dovrebbe essere quella di assicurarti che nessun altro dispositivo critico condivide quell'indirizzo IP o dipende dallo stesso intervallo non controllatoE se giochi online da un PC, di solito è meglio aprire solo le porte necessarie. Oppure usa UPnP solo occasionalmente, disattivandolo quando non ti serve.
Ci sono numerosi casi in cui alcuni titoli sono stati molto pignoli riguardo alla rete, causando micro-tagli o problemi all'avvio dei giochi, Smettono di fallire quasi istantaneamente Quando la console si trova dietro la DMZ, soprattutto quando c'è molta comunicazione diretta tra i giocatori, la differenza è evidente.
Test DMZ, firewall e VPN su PC
Oltre ai videogiochi, la DMZ viene utilizzata anche per verificare la sicurezza di un firewall o di un VPNSe si desidera verificare da Internet quali porte sono effettivamente esposte su un server o un computer, il modo più semplice è posizionarlo nella DMZ del router.
Quando il router non filtra alcuna porta per quel dispositivo, tutto ciò che vedi aperto quando esegui una scansione dall'esterno ne sarà influenzato. Dipende esclusivamente dal firewall locale del computer.Ciò consente di eseguire il debug delle regole, individuare i servizi esposti non necessari e definire con precisione ciò che si desidera rendere accessibile dall'esterno.
Alcuni protocolli VPN, come IPsec, necessitano diverse porte aperte Possono anche causare problemi se qualcosa nella catena NAT blocca parte del traffico. In questi casi, abilitare temporaneamente la DMZ verso il server VPN aiuta a escludere problemi di porta o NAT.
L'idea è semplice: si abilita la DMZ, si verifica che la VPN si connetta correttamente dall'esterno, si verificano quali porte specifiche sono coinvolte e, una volta chiarito questo, Si chiude nuovamente la DMZ e si aprono solo le porte essenziali. tramite regole di inoltro. È un modo pratico per isolare il problema senza lasciare il team indifeso a lungo termine.
Vale la pena sottolineare che, di default, la maggior parte dei router domestici ha Tutte le porte in entrata vengono chiuse se non ci sono regole di inoltro delle porte.La DMZ viola deliberatamente questa protezione e, pertanto, dovrebbe essere utilizzata solo come strumento diagnostico temporaneo o con apparecchiature altamente controllate.
Monitoraggio e analisi del traffico in una DMZ
Un altro utilizzo interessante di una DMZ, più comune in ambienti avanzati o semi-professionali, è l' monitoraggio del traffico di rete in entrata e in uscita dai servizi espostiCollocando i server visibili in un'area separata, diventa più facile analizzare cosa sta succedendo.
Una DMZ ben progettata impiega strumenti specializzati per l'acquisizione e l'analisi dei pacchetti, noti anche come sniffer o analizzatori di protocolloQuesti programmi scompongono ogni pacchetto: IP sorgente, IP destinazione, porta, protocollo e contenuto, consentendo di rilevare modelli curiosi o direttamente sospetti.
Oltre alla visualizzazione in tempo reale, molte soluzioni di monitoraggio dispongono di funzionalità per registrazione e archiviazione storicaQuesta funzionalità è molto utile per rivedere incidenti passati, studiare attacchi già verificatisi o risolvere errori di configurazione che si manifestano solo in modo intermittente.
I sistemi più avanzati non visualizzano semplicemente dati grezzi: impiegano algoritmi e persino intelligenza artificiale per distinguere il traffico normale da comportamenti anomali. Grazie a interfacce grafiche chiare, consentono all'amministratore di identificare immediatamente un picco insolito, una scansione di massa o tentativi di exploit.
Poiché la DMZ è spesso il primo posto in cui colpiscono molti attacchi, è comune combinare questi strumenti con sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS)In questo modo, non solo puoi vedere che sta succedendo qualcosa di strano, ma puoi anche automatizzare le risposte per fermare l'attacco o isolare il team interessato.
Utilizzo della DMZ nelle aziende e nelle reti professionali
Nel mondo aziendale, il concetto di DMZ va ben oltre la scatola del router del soggiorno. Qui stiamo parlando di un sottorete separata e ben protetta dove sono ubicati i servizi pubblici, come pagine web, server di posta, sistemi di autenticazione esterni o API rivolte al client.
La funzione principale di questa zona è quella di fungere da strato intermedio tra Internet e la rete interna dell'aziendaIl firewall controlla rigorosamente il traffico che può passare da Internet alla DMZ e quali connessioni sono consentite dalla DMZ alla LAN interna, dove si trovano i dati sensibili e i sistemi critici.
Con questa architettura, se un aggressore riesce a compromettere un server nella DMZ, il danno, in linea di principio, rimarrà all'interno della DMZ. contenuto all'interno di quella sottorete isolataNon ha carta bianca sui database interni, sulle attrezzature dei dipendenti o sui sistemi di gestione finanziaria.
Questo approccio aggiunge un ulteriore livello di protezione contro perdite di dati, accessi non autorizzati e attacchi di phishingViene esposto solo il servizio di cui i clienti hanno bisogno, mentre tutto il resto rimane nascosto dietro barriere aggiuntive.
Nelle aziende con elevati requisiti di sicurezza, la DMZ è spesso combinata con altre misure come la segmentazione VLAN, più firewall di diversi fornitori e una rigorosa politica di esposizione minima, il tutto con l'obiettivo di per rendere il più difficile possibile qualsiasi tentativo di intrusione.
DMZ, doppio NAT e cambio router
Nelle connessioni in fibra ottica è molto comune che il router installato dall'operatore sia funzionalità limitate, Wi-Fi scadente o configurazione molto limitataMolti utenti scelgono di acquistare un router di terze parti migliore e di collegarlo dietro il router del provider.
Il problema è che se l'apparecchiatura dell'operatore non consente la configurazione in modalità bridge o non fornisce le credenziali ONT, non si può fare altro che continuare a utilizzarla. due router che eseguono NAT uno dopo l'altroQuesta tecnica è nota come doppio NAT e complica notevolmente l'inoltro delle porte e l'ottenimento di un NAT aperto sulle console.
In questo scenario, la DMZ è una sorta di soluzione alternativa accettabile: si configura il router dell'ISP in modo che La DMZ dovrebbe puntare all'indirizzo IP WAN del router neutrale.In questo modo, tutto il traffico in entrata passa direttamente al secondo router, dove è possibile gestire più liberamente porte, UPnP e altre impostazioni.
Senza la DMZ, per aprire una porta a un PC o a una console collegata al router neutro dovresti regole della catena su entrambi i routerUna connessione dal router principale al router secondario e un'altra dal router secondario al dispositivo finale. Con la DMZ, è necessario gestire solo la seconda connessione.
Tuttavia, se sei interessato al gioco online competitivo, vale anche la pena verificare se il tuo operatore utilizza CG-NAT, condivisione di un indirizzo IP pubblico tra più clientIn tal caso, non sarà possibile ottenere un vero NAT aperto anche configurando perfettamente la rete; in molti casi è possibile richiedere di uscire da CG-NAT per ricevere il proprio IP pubblico.
Come aprire la DMZ su un router domestico
Sebbene ogni produttore abbia i propri menu, la logica generale per impostare una DMZ domestica è solitamente molto simile: Per prima cosa si imposta l'indirizzo IP del dispositivo, quindi si attiva la funzione DMZ puntando a quell'indirizzo IP.L'ordine è importante per evitare di creare confusione.
Il primo passo è identificare il modello di router in tuo possesso e Come accedere al pannello di amministrazioneL'indirizzo IP di accesso predefinito, il nome utente e la password si trovano solitamente su un adesivo sotto il dispositivo. Se non sono presenti, puoi controllare il gateway predefinito sul tuo PC o dispositivo mobile e provare le credenziali più comuni come "admin/admin", a meno che il tuo provider di servizi Internet non le abbia modificate.
Una volta all'interno del pannello, hai due opzioni per assicurarti che la console o il dispositivo non cambino il loro indirizzo IP. O È possibile configurare un indirizzo IP statico direttamente sul dispositivo.È possibile utilizzare un intervallo esterno al DHCP automatico del router oppure utilizzare l'opzione DHCP statico del router in modo che assegni sempre lo stesso indirizzo IP allo stesso indirizzo MAC.
Una volta ottenuto l'indirizzo IP garantito, è il momento di cercare la sezione DMZ. A seconda del router, potrebbe apparire in sezioni come Firewall, sicurezza, NAT, server virtuale, applicazioni e giochi o nelle impostazioni avanzate delle porte. Su modelli come alcuni dispositivi ASUS, ad esempio, il percorso tipico è WAN > DMZ.
Nel modulo DMZ, si attiva la funzione, si immette il indirizzo IP privato del dispositivo che vuoi esporre e salva le modifiche. Dopo aver applicato la configurazione, il traffico in entrata senza una regola specifica verrà inoltrato direttamente a quell'indirizzo IP.
La DMZ apre davvero tutte le porte?
Sebbene la DMZ venga spesso descritta come un'iniziativa che "apre tutto", nella pratica c'è una sfumatura importante: Le regole specifiche di port forwarding hanno la precedenza sulla DMZIn altre parole, se è già stata inoltrata una porta a un altro indirizzo IP, quella regola ha la precedenza.
La maggior parte dei router domestici utilizza internamente un sistema basato su Linux con iptables per gestire il firewall e il NAT. In queste catene di regole, Le voci di inoltro delle porte vengono elaborate prima della regola DMZ genericaSolo se nessuna porta corrisponde, il traffico viene inviato all'indirizzo IP DMZ.
Ciò significa che puoi avere, ad esempio, un server web o un NAS con porte specifiche aperte Allo stesso tempo, la console nella DMZ riceve il resto del traffico. Le porte di quel server non verranno inoltrate alla console perché le sue regole hanno la precedenza.
In ogni caso, nonostante i produttori abbiano notevolmente semplificato le interfacce di configurazione, ciò non cambia il fatto che L'attivazione della DMZ resta un'operazione delicataSe decidi di utilizzarlo, assicurati sempre che il dispositivo esposto mantenga attivo e aggiornato il proprio firewall.
Inoltre, è consigliabile controllare periodicamente i servizi e il software in esecuzione su quel computer. Questo perché Le scansioni delle porte e i tentativi di sfruttare le vulnerabilità sono costanti. su Internet, anche per connessioni domestiche apparentemente insignificanti.
Protocollo DMZ e IPv6
Quando entriamo nel mondo di IPv6, alcune regole del gioco cambiano rispetto a quelle a cui siamo abituati con IPv4. Qui Non viene utilizzato il NAT classico; ogni dispositivo ha un indirizzo globale univoco. e può essere raggiunto direttamente da Internet, a meno che non sia bloccato da un firewall.
Per impostare una zona di tipo DMZ in IPv6, è necessario, invece di NAT, segmentazione della subnet e regole del firewall ottimizzateCome minimo, saranno necessarie più di una subnet /64, perché ogni zona (LAN interna, DMZ, ecc.) deve avere la propria.
Di solito, richiederesti un blocco più grande al tuo operatore, come un /56 o un /48, che ti consentirebbe di dividerlo in multipli /64: uno per la rete interna principale, un altro per la DMZ e altri ancora per future espansioni o zone specifiche.
In questo scenario, non esiste una DMZ "tramite NAT", ma si definisce nel firewall quale traffico è consentito da Internet alla subnet DMZ e Quale traffico può essere trasferito dalla DMZ alla LAN?È un approccio più pulito e potente, ma richiede anche un po' più di conoscenza.
Come sempre, la chiave sta nelle regole del firewall. Dovrai consentire solo le porte essenziali ai server DMZ e limitare il più possibile le connessioni avviate dalla DMZ verso l'interno, applicando il principio del minimo privilegio.
Impostare una DMZ per le connessioni console può essere uno strumento molto efficace per eliminare problemi di NAT rigido, giochi che non si avviano o chat vocali instabili. Ma deve essere fatto con attenzione. Usato correttamente, diventa uno strumento utile nel tuo kit di strumenti di rete, non una porta di accesso permanente alla tua casa digitale.
