Routery

Sieć WiFi i bezpieczeństwo

przeczytasz w 3 min.

Jeśli rzucimy okiem na ogólną specyfikację techniczną D-Linka DIR-868L to łatwo zauważymy, że jest to rozwiązanie przeznaczone dla osób, które od routera wymagają nie tylko podstawowych możliwości sieci LAN czy WiFi. Producent wyposażył D-Linka w zaawansowane mechanizmy umożliwiające pełną konfigurację urządzenia do potrzeb współpracy urządzeń w sieci domowej jak również w internecie. Wspomnieliśmy już o obsłudze protokołu IPv6 po stronie WAN. Co ciekawe również w sieci lokalnej router obsługuje najnowszy protokół komunikacyjny. Poza tym producent przygotował bardzo rozbudowany mechanizm przekierowania portów oraz dostępu z zewnątrz sieci. Mowa tu o mechanizmach Virtual Server pozwalających na przekierowanie dowolnego portu publicznego na prywatny. Główne typy przekierowań mamy dostępne z listy rozwijalnej. Na podobnej zasadzie działa przekierowanie portów - Port Forwarding - tu zasada przekierowania jest prostsza - port przekierowywany jest jeden do jednego - ten sam port publiczny na ten sam port lokalny. Dodatkowo producent przygotował bogatą bazę predefiniowanych przekierowań, które można wybrać z listy. Z kolei w zakładce Application Rules została ukryta funkcja port triggering. Pozwala ona na czasowe otwieranie zakresu z portów dla dowolnego typu komunikacji i z dowolnego komputera hosta w sieci LAN. Wszystkie typy przekierowań zostały dodatkowo wzbogacone o możliwość ustawienia harmonogramów dla poszczególnych ustawień. Dla każdego z typów producent przewidział możliwość zastosowania do 24 różnych ustawień.

D-Link posiada również dość mocno rozbudowany mechanizm zapory sieciowej (SPI oraz NAT), dostępu do sieci LAN i kontrolowania ruchu internetowego. Jedna z podstawowych opcji to Network Filter. pozwala ona na zdefiniowanie listy hostów na podstawie ich unikalnych adresów MAC, które będą mogły lub nie będą mogły łączyć się do sieci lokalnej. Jest to ciekawe rozwiązanie pozwalające na przykład na zabezpieczenie się przed podłączeniem do naszej sieci przypadkowego klienta. Filtrowanie adresów MAC jest mechanizmem prostym do obejścia jednak w znacznym stopniu może utrudnić dostęp do naszej sieci.

Kolejnym składnikiem systemu bezpieczeństwa jest Inbound filter pozwala on na utworzenie reguł dostępu do naszej sieci LAN określonych hostów z sieci internet. Funkcja doskonale sprawdzi się w połączeniu z funkcjami Virtual Server oraz przekierowaniem portów. Dzięki niej możemy utworzyć reguły dostępowe dla hostów zewnętrznych.

Oprócz możliwości kontroli dostępu do routera i naszej sieci z zewnątrz urządzenie pozwala także na kontrolowanie ruchu po stronie sieci LAN. Przy pomocy funkcji Access Control możemy w szybki sposób ograniczyć dostęp do określonych witryn i adresów URL (z wykorzystaniem zakładki Website Filter). Dla określonych hostów możemy także całkowicie zabronić dostępu do internetu opierając zakaz o harmonogramy. Opcja przydatna np. w przypadku kontrolowania dostępu do internetu dla dzieci czy w biurze.

Mechanizmy filtrujące oraz funkcje kontroli są oczywiście dodatkiem do zapory sieciowej SPI, którą możemy skonfigurować w zakładce Firewall Settings ustawiając sposób filtrowania pakietów UDP oraz TCP oraz aktywując mechanizm kontroli nad atakami typu spoofing i blokując ruch VPN oraz VoIP.

QoS

Budując domową czy biurową sieć LAN robimy to nie tylko by móc współdzielić zasoby dyskowe czy też wymieniać dane pomiędzy urządzeniami podłączonymi do sieci. Połączenie urządzeń klienckich w sieć przy użyciu routera pozwala także na korzystanie z zasobów internetowych lub połączenie ze zdalną siecią LAN. Jeśli w sieci będzie pracowało kilka lub kilkanaście urządzeń ważnym elementem staje się płynny i bezproblemowy dostęp do określonych zasobów w sieci internet. Przy braku właściwej konfiguracji routera jeden komputer połączony z siecią P2P może skutecznie przyblokować całe pasmo dostępowe do internetu. Dzięki odpowiedniemu priorytetowaniu ruchu sieciowego przy wykorzystaniu mechanizmu QoS możemy dobrać odpowiednią konfigurację do naszych potrzeb i ustawić router tak by np. strony WWW miały wyższy priorytet niż ruch P2P. D-Link DIR-868L został wyposażony w zaawansowany ale dość prosty w konfiguracji mechanizm QoS opaty o dwa algorytmy: WFQ oraz SPQ. Ten drugi Strict Priority Queue jest jednym z najprostszych mechanizmów kolejkowania. Algorytm SPQ polega na nadaniu odpowiedniego priorytetu dla danego typu transmisji oraz adresu źródłowego i docelowego wraz z typem i zakresem portów.

Z kolei WFQ (Weighted Fair Queue) pozwala na precyzyjne alokowanie przepustowości poprzez procentowy przydział pasma i wagi dla danego priorytetu. Ustawienia priorytetów dokonujemy dla określonych hostów źródłowych i docelowych oraz protokołów i usług. D-Link pozwala na utworzenie do 18 różnych reguł QoS.

Usługa mydlink

Możliwość przekierowania portów a także zdalny dostęp do urządzenia to dość szybkie i proste rozwiązanie. Jednak w wielu przypadkach gdzie operator nie udostępnia publicznego adresu IP dla naszego abonamentu czy umowy może sprawiać problem w przypadku chęci uzyskania połączenia z routerem. W przypadku routerów D-Link problem ten rozwiązuje usługa mydlink. Pozwala ona na zestawienie połączenia z serwerem D-Link i komunikację z routerem poprzez stronę internetową lub aplikacją mobilną. By uruchomić usługę mydlink na routerze wystarczy wejść w zakładkę Mydlink Settings i zarejestrować swoje konto lub zalogować się do już istniejącego.

Możliwości systemu mydlink nie są zbyt duże jeśli chodzi o zarządzanie. Jednak w zupełności wystarczą by sprawdzić stan połączenia, historię odwiedzanych ostatnio adresów czy też zajętość pasma lub zrestartować urządzenie a także otrzymywać powiadomienia o nowo podłączonych stacjach. Mamy również możliwość blokowania klientów. Dodatkowe funkcjonalności usługi mydlink pojawią się w momencie zdalnego dostępu do zasobów o czym powiemy za chwilę. Usługa mydlink jest również przydatna w przypadku posiadania kamer IP obsługujących tą funkcjonalność. Dzięki temu nie musimy konfigurować oddzielnego dostępu i przekierowań portów. Wystarczy każdą z kamer połączyć z usługą mydlink .