Routery

Bezpieczeństwo i administracja

opublikowano przez Piotr Romański w dniu 2016-04-17

Synology bazując na doświadczeniu zdobytym przy okazji tworzenia systemów dla DiskStation i RackStation dość mocno rozwinął mechanizmy bezpieczeństwa, kontroli i optymalizacji połączeń sieciowych. Wspomniany system filtrowania adresów MAC jest tylko drobnym szczegółem. Bardziej zaawansowane mechanizmy znajdziemy w 3 zakładkach:

  • Bezpieczeństwo,
  • Kontrola rodzicielska,
  • Sterowanie Ruchem,
  • oraz w aplecie Doradca ds. zabezpieczeń (które znane jest z systemu DSM).

W sekcji Bezpieczeństwo definiujemy przede wszystkim elementy dostępu do routera. Ustawiamy czas wylogowania sesji administracyjnej do SRM, możemy również ustawić pomijanie sprawdzania adresu IP w przypadku korzystania z łączenia do routera z wykorzystaniem proxy. Router oferuje również blokadę osadzania interfejsu SRM w ramkach iFrame a także wzocnioną ochronę przed atakami Cross-Site Request Forgery oraz ochronę przed atakami DoS. Dodatkowo możemy zabronić lub zezwolić na ruch VPN poprzez router. W przypadku dostępu zdalnego do routera określamy blokowanie dostępu do Synology dla usłg SSH, FTP, WebDAV czy aplikacji Synology. Opcjonalnie możemy od razu określić listę hostów, które będą blokowane, a które są dozwolone.

Bardzo mocno rozbudowana została obsługa zapory sieciowej. Po pierwsze w przypadku konfiguracji routera do obsługi serwera plików czy serwera druku router sam proponuje dodanie wyjątków do zapory. Po drugie mechanizm zapory sieciowej jest żywcem wzięty z DSM a co za tym idzie jest mocno konfigurowalny. Możemy tworzyć reguły dostępowe na podstawie aplikacji, portów, adresów źródłowych i docelowych a także całych podsieci. Podobnie jak w przypadku serwerów NAS Synology możemy wzmocnić bezpieczeństwo wykorzystując certyfikaty dla usług SSL routera – tworzenie certyfikatów wykonujemy w zakładce Bezpieczeństwo – Certyfikaty.

O doskonale pracującej zaporze sieciowej może świadczyć fakt, w którym w trakcie testów napotkaliśmy problem ze sprawdzeniem liczby sesji UDP jakie router może nawiązać. Pomimo wielu prób nie udało nam się zmusić urządzenia do współpracy. Dopiero odpowiednia konfiguracja roli dostępowej na zaporze sieciowej pozwoliła na przeprowadzeni testu. Tu należy się słowo wyjaśnienia: zazwyczaj w routerach domowych z wbudowaną zaporą sieciową rzadko spotykamy się z aż tak restrykcyjnym podejściem do bezpieczeństwa. Jednak pomimo trudności należy pochwalić Synology za sposób konfiguracji zapory.

Przy okazji omawiania elementów bezpieczeństwa warto wspomnieć o sposobie zarządzania dostępem do danych zgromadzonych na udostępnionych nośnikach sieciowych. W przypadku serwerów NAS przywileje dostępowe do poszczególnych zasobów są określane na podstawie kont użytkowników (nie wszyscy muszą mieć dostęp do wszystkich zasobów). W przypadku routerów bardzo często ograniczenie dostępu do danych jest określane na koncie administratora lub dostęp o zasobów jest anonimowy (dla wszystkich lub konta gość). W RT1900ac mechanizm przydzielania uprawnień jest dokładnie taki sam jak w serwerach NAS Synology. Możemy tworzyć konta użytkowników i na ich podstawie przydzielać dostęp nie tylko do poszczególnych dysków udostępnionych ale także folderów współdzielonych.

W sekcji Kontrola rodzicielska znajdziemy dwie opcje związane z dostępem użytkowników do zasobów internetowych. Harmonogram to miejsce, w którym określamy dostęp do internetu dla poszczególnych urządzeń. Dla przykładu smartfon lub tablet dziecka może korzystać z internetu tylko w okresie kiedy jesteśmy w domu lub określone godziny lub dni tygodnia. Opcję harmonogramu możemy wzmocnić dodatkowo o mechanizmy Filtru sieciowego. Filtr podobnie jak zapora jest mocno konfigurowalny. Możemy określić z góry dozwolone witryny internetowe, które będą dostępne dla użytkowników. Dla poszczególnych urządzeń podłączonych do routera możemy definiować filtrowanie adresów URL oraz według kategorii. Kategorie podłączamy do poszczególnych urządzeń osobno w zakładce Harmonogram, klikając ikonę kłódki obok podłączonego urządzenia. Konfigurację kategorii możemy ustawić w oparciu o 3 grupy:

  • Podstawowa – blokuje dostęp do znanych złośliwych stron np. zawierających szkodliwe oprogramowanie lub stron phishingowych,
  • Chroniony - blokuje dostęp do stron zawierających złośliwe oprogramowanie oraz treści przeznaczone dla dorosłych,
  • Niestandardowy – blokuje strony na podstawie ustawień użytkownika.

Ostatnim elementem, który pozwoli szybko ocenić stopień zaawansowania ochrony routera jest Doradca ds. zabezpieczeń. Narzędzie znane jest z serwerów NAS Synology, którego działanie polega na przeskanowaniu urządzenia pod kątem „słabych punktów”. Następnie wyświetlany jest poglądowy raport, z którego można przejść do bardziej szczegółowych wyników. W zależności od sposobu wykorzystania routera skanowanie może być wykonywane na 3 sposoby: ochrona routera dla użytku domowego, ochrona routera dla użytku biznesowego, własne ustawienia aspektów bezpieczeństwa.

Ciekawe opcje znajdziemy w menu Sterowanie ruchem, który pozwala na poprawę parametrów pracy urządzeń sieciowych a także dopasowanie pasma do konkretnych zastosowań. Każde podłączone urządzenie widoczne jest w menu Sterowanie ruchem. W zależności od rodzaju połączenia możemy m.in. aktywować mechanizm formowania wiązki, który wzmacnia sygnał w kierunku danego urządzenia. Router obsługuje do 6 urządzeń z aktywnym formowaniem wiązki. Opcja Zablokuj pozwala zabronić dostępu dla urządzenia do internetu z jednoczesnym zezwoleniem na komunikację wewnątrz sieci LAN.

Możemy również definiować mechanizmy QoS bazując na gwarantowanej i maksymalnej szybkości pobierania oraz wysyłania danych. Dzięki temu w prosty sposób możemy np. ograniczyć połączenie z sieciami P2P czy użytkownikami, którzy wysycają łącze. Na koniec określamy do 3 urządzeń, które mają uzyskać wysoki lub niski priorytet podczas wysyłania lub odbierania danych pomiędzy LAN i internetem. Możemy również zerknąć do zakładki Monitor, w której na bieżąco śledzimy podłączone urządzenia wysycające pasmo.

Producent dołożył wiele starań, by praca administracyjna z routerem posiadała kompletny zestaw narzędzi pozwalający na sprawną kontrolę. Pierwszym z nich są Narzędzia sieciowe – prosty zestaw funkcji, które umożliwią szybką diagnozę połączeń i stanu routera. W zestawie komenda ping, traceroute oraz Wake On LAN. Nie możemy również zapomnieć o Centrum logów – czyli głównym miejscu gdzie znajdziemy wszelkie niezbędne informacje dotyczące zdarzeń na routerze i w sieci. Logi mogą być nie tylko przeglądane w interfejsie SRM ale wysyłane na serwer Syslog a sam router może również pełnić rolę serwera Syslog. Nie możemy zapomnieć o obsłudze protokołu SNMP, które może na bieżąco może monitorować poszczególne parametry routera.

Kolejne narzędzia znajdują się w Centrum sieciowe – Administracja. Tu przede wszystkim znajdziemy funkcje bezpośrednio związane z samym routerem:

  • Tryb działania – ustawienia RT1900ac jako router WiFi, punkt dostępowy lub klient AP
  • Aktualizacja i przywracanie – mechanizm aktualizacji oprogramowania SRM, tworzenie i przywracanie kopii konfiguracji
  • Konto Synology -  zarządzanie kontem Quick Connect oraz DDNS
  • Ustawienia SRM – określenie portów dostępowych dla interfejsu SRM i dostęp z zewnątrz
  • Usługa – aktywacja obsługi SSH, SNMP oraz NTP
  • Opcje regionalne – ustawienie strefy czasowej, lokalizacji routera, strony kodowej
  • LED – ciekawa funkcja, która obecna jest w serwerach Synolgoy  (tu mogliśmy płynnie sterować jasnością) pozwala na wyłączenie diod kontrolnych routera, dodatkowo możemy oprzeć wyłączanie diod o harmonogram.

Router został wyposażony w kompleksowy mechanizm powiadomień. Możemy otrzymywać informacje o zdarzeniach nie tylko na adres mail  ale również opcje wysyłki na SMS i  powiadomienia push do aplikacji. Jakby tego było mało producent przygotował mobilną aplikację DS Router, która umożliwia szybkie zarządzanie i przegląd niektórych funkcji routera.