Routery

Kontrola, bezpieczeństwo i funkcje dodatkowe

opublikowano przez Piotr Romański w dniu 2017-11-27

Jeśli chodzi o funkcje bezpieczeństwa i kontrolę zaczniemy od czegoś lekkiego. To opcje związane ze zdalnym dostępem do sieci LAN i urządzeń w niej podłączonych. Do tego celu służy zakładka Przekierowanie portów. Router oferuje m.in.

  • Funkcje ALG – monitoruje komunikację i dynamicznie aktywuje określone ustawienia np. zapory sieciowej i NAT
  • Tunelowanie sesji PPTP, L2TP oraz IPSec
  • Strefa DMZ – router pozwala na przypisanie jednego komputera lub urządzenia do strefy DMZ, dzięki niej każdy użytkownik z internetu będzie miał swobodny dostęp do usług urządzenia podłączonego w ten sposób
  • UPnP – usługa sieciowa mająca na celu ułatwienie komunikacji pomiędzy urządzeniami oraz oferowanymi przez nie usługami.
  • I na koniec dwie funkcje związane bezpośrednio z umożliwieniem komunikacji WAN-LAN. To serwery wirtualne oraz port triggering. W pierwszym przypadku możemy zdefiniować dostęp do sieci LAN do określonego urządzenia nadającego na określonym porcie. W przypadku port triggering określamy jedynie porty dostępowe, klienci sami będą wysyłać żądanie otwarcia komunikacji z określonym hostem w sieci.

Pora przejąć kontrolę nad routerem oraz siecią. Tu do dyspozycji mamy trzy zakładki:

  • Kontrola rodzicielska
  • Zabezpieczenia
  • QoS

Kontrola rodzicielska pozwala na blokowanie stron zawierających nieodpowiednie treści. Blokada może być założona na określone urządzenie w sieci oraz opatrzona harmonogramem blokad. Warto przy tym zwrócić uwagę na aktualizację oprogramowania routera, w przypadku starszych wersji opcje kontroli rodzicielskiej zostały mocno ograniczone.

W najnowszej wersji została ona wzbogacona w dodatkowe filtry, zabezpieczenia oraz funkcje związane z harmonogramami dostępu. Poszczególne urządzenia objęte kontrolą rodzicielską możemy przypisać do filtrów i kategorii (np. dzieci, młodzież) i doprecyzować dostęp do poszczególnych stron.

A jak wygląda w praktyce działanie kontroli rodzicielskiej? Jeśli przypiszemy komputer lub urządzenie do określonej kategorii to zostanie ono objęte działaniem zasad kontroli. W przypadku próby odwiedzenia strony z treściami objętymi zakazem strona po prostu nie zostanie wyświetlona a w przeglądarce wyświetli się komunikat błędu.

Dla każdego z urządzeń objętych kontrolą rodzicielską możemy wyświetlić dodatkowy raport dostępu.

A co z aplikacjami, które np. wykorzystują dostęp do internetu – np. Skype. Tu również sprawa jest prosta. Jeśli dla określonego filtru została dodana kategoria Rozmowy online to połączenie Skype, a właściwie zalogowanie do Skype będzie niemożliwe.

Uzupełnieniem kontroli rodzicielskiej jest dodatkowa funkcja Kontrola dostępu w sekcji Zabezpieczenia. Funkcja umożliwia przydzielanie lub blokowanie dostępu urządzeniom znajdującym się w sieci LAN. Zablokowane urządzenie nie będzie miało dostępu zarówno do zasobów sieci LAN jak i internetu. Blokady można ustawić dla czarnej listy a dodatkowo utworzyć białą listę, która określi urządzenia nie objęte blokadą.

Blokada dostępu odbywa się na podstawie adresów MAC kart sieciowych. By wzmocnić ten mechanizm możemy dodatkowo aktywować wiązanie adresów IP&MAC. Skutecznie może to zablokować możliwość zmiany adresu MAC i obejścia blokady, a także uchroni przed wstrzykiwaniem pakietów ARP.

Ważnym elementem w wykorzystaniu routera w sieci domowej jest właściwe kształtowanie ruchu sieciowego. Do tego celu służy m.in. mechanizm QoS, który potrafi nadawać priorytety dla poszczególnych typów transmisji. W C5400 w wersji drugiej producent uprościł zarządzanie QoS do maksimum. W sekcji Priorytety dla aplikacji określamy z jakich usług najczęściej korzystają użytkownicy. Zostanie dla nich przydzielony najwyższy priorytet. Opcjonalnie możemy sami doprecyzować jaki typ ruchu sieciowego będzie miał określony priorytet.

Osobno możemy dodatkowo definiować priorytety dla urządzeń. Wystarczy wskazać na liście dostępne urządzenia i ustawić w nich wyższy priorytet.

Powróćmy jeszcze do zakładki Bezpieczeństwo i do dwóch ważnych elementów routera. Pierwszy z nich to Firewall. Prosty w ustawieniach system ochrony przed atakami i kontrolę nad ruchem przychodzącym z internetu. Dwie dodatkowe opcje to możliwość wysyłania zapytań ICMP na port WAN i port LAN. Można wyłączyć odpowiedzi na ping.

Trzecim elementem obok QoS i kontroli rodzicielskiej wchodzącej w skład pakietu HomeCare routera C5400 jest system antywirusowy oparty o silnik Trend Micro i zawiera trzy rodzaje ochrony:

  • Filtr szkodliwych treści – ochrona przed odwiedzaniem stron zawierających szkodliwe treści
  • System ochrony przed nieuprawnionym dostępem – aktywna ochrona aplikacji
  • Kwarantanna zaatakowanych urządzeń – blokuje dostęp dla urządzeń zarażonych lub powodujących zagrożenie.

Jak działa system antywirusowy w praktyce? Wystarczy „odwiedzić” podejrzaną stronę internetową by móc się przekonać, że router reaguje na zagrożenie. Oczywiście jeśli jest to fałszywy alarm możemy przesłać informację do Trend Micro klikając na odnośnik na dole komunikatu.

A na deser VPN, SMB i drukowanie

Nowoczesne routery do użytku domowego i w małych biurach są nie tylko urządzeniami kierującymi ruchem sieciowym. Producenci wprowadzają do tego typu rozwiązań dodatkowe możliwości, które rozszerzają funkcje i narzędzia routera. W C5400 TP-Link zawarł kilka dodatkowych możliwości, które powinny zaspokoić potrzeby użytkownika domowego.

Pierwsza funkcjonalność to obsługa urządzeń USB. Mówimy tu o wszelkiego rodzaju nośnikach pamięci USB, a także drukarkach i urządzeniach wielofunkcyjnych. W przypadku dysków USB router bez problemu obsługuje nośniki FAT32 i NTFS. Dyski mogą zawierać kilka partycji, które są prawidłowo identyfikowane.

Jeśli chodzi o dostęp do danych to możemy go realizować za pomocą wbudowanego konta administratora routera lub (co będzie lepszym pomysłem) założyć dodatkowego użytkownika. Dane mogą być udostępnianie z użyciem protokołu SMB lub FTP.

Funkcje udostępniania zostały dodatkowo wzbogacone o możliwość doprecyzowania, które dane z podłączonego nośnika będą faktycznie dostępne dla użytkowników. Oczywiście jeśli chcemy udostępniać całe partycje możemy zaznaczyć odpowiednią opcję w menu.

Ciekawym rozwiązaniem w C5400 jest możliwość udostępnienia nie tylko urządzeń drukujących, ale również urządzeń wielofunkcyjnych. Nie jest to typowe udostępnianie z użyciem protokołu IP lecz z użyciem aplikacji TP-LINK USB Printer Controller. Dzięki niej możemy połączyć się do drukarki lub urządzenia wielofunkcyjnego w taki sposób, jak byśmy fizycznie podłączali je do komputera. Potem wystarczy doinstalować sterowniki i opcjonalne oprogramowanie dodatkowe. Mechanizm ten prezentowaliśmy m.in. przy okazji prezentacji Archera C7.

Zdalny dostęp do zasobów sieci lokalnych był do niedawna domeną infrastruktury korporacyjnej. Pracownicy będący poza biurem mogli za pomocą szyfrowanego połączenia wirtualnych sieci prywatnych łączyć się z zasobami sieci firmowej.

Obecnie nic nie stoi na przeszkodzie, by uzyskiwać zdalny dostęp z użyciem VPN także do zasobów sieci domowych. Do tego celu idealnie nadaje się C5400. Urządzenie obsługuje dwa typy połączeń VPN: OpenVPN oraz PPTP. Konfiguracja na przykładzie OpenVPN sprowadza się do wygenerowania certyfikatu, zdefiniowania dostępu oraz włączenia usługi. Dodatkowo możemy zapisać gotową konfigurację OpenVPN i dołączyć ją do klienta VPN. Całość zajmuje kilka minut, z czego najdłuższym elementem jest generowanie certyfikatu.

Dodatkowo w sekcji połączenia VPN możemy na bieżąco monitorować podłączonych klientów.

Jeśli jesteśmy przy dostępie zdalnym to powróćmy jeszcze na chwilę do mobilnej aplikacji Tether. Otóż w drugiej wersji Archera C5400 producent wprowadził ciekawą funkcjonalność znaną z kamer sieciowych TP-Link. O co chodzi? O TP-Link Cloud. Możliwość dostępu do routera z poziomi aplikacji mobilnej i administrację urządzeniem tak, jak byśmy byli w swojej macierzystej sieci. Do dyspozycji są wszystkie elementy znane z klasycznego połączenia Tether z użyciem sieci WiFi.