Routery

Bezpieczeństwo sieci LAN

przeczytasz w 3 min.

Sieci LAN oraz pracujące w nich routery oprócz możliwości kierowania ruchem posiadają jeszcze jedną nieocenioną zaletę; która niekiedy też staje się wadą - to maskarada IP lub krócej NAT. Głównym zadaniem NAT-u jest nie tylko „zmiana prywatnych adresów IP na publiczne”. To przede wszystkim możliwość dostępu wielu hostów sieci LAN do internetu czy innej sieci. Do tego celu wykorzystuje się bramę, którą najczęściej jest router. Z jednej strony pozwala ona na oddzielenie prywatnej sieci LAN od sieci zewnętrznej z drugiej jednak strony powoduje wiele komplikacji w przypadku dostępu z zewnątrz do usług lub hostów znajdujących się w sieci LAN. Dlatego też w routerach stosuje się dodatkowe mechanizmy pozwalające na uzyskanie dostępu z zewnątrz. Jednym z najpopularniejszych jest przekierowanie portów, które w Vigorze 2960 kryje się w zakładce NAT - Port Redirection. Możemy utworzyć do 256 profili zawierających różne konfiguracje przekierowań. Router oferuje możliwość ustawienia przekierowania z dowolnego interfejsu WAN na dowolny adres IP w sieci LAN. Jeśli dla łącza lub łącz WAN posiadamy kilak adresów IP to funkcje przekierowania możemy ustawić dla określonego aliasu IP łącza WAN. Funkcje przekierowania nie są ograniczone do ustawienia portów jeden do jednego. Przekierowanie można ustawić również dla wielu publicznych portów na jeden prywatny a także wielu publicznych portów na wiele prywatnych. Lista przekierowań jest prezentowana w przejrzystej tabeli w zakładce Port Forwarding.

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

Ciekawym rozwiązaniem przydatnym dla osób posiadających dwa łącza WAN i kilka adresów IP jest możliwość swobodnego kierowania ruchu poprzez określone łącza oraz publiczne adresy IP. Funkcja ta to Address Mapping. Mapowanie adresów jest ściśle powiązane z konfiguracją łączy WAN. Dlatego też podczas tworzenia profili mapowania należy skonfigurować (o ile nie zrobiliśmy tego wcześniej) łącza WAN dodając aliasy IP.

DrayTek Vigor2960 admin

Następnie podczas konfiguracji Port Mapping będziemy mogli szczegółowo określić którym aliasem (a dokładniej mówiąc, którym publicznym adresem IP będzie przedstawiał dany host z sieci LAN.

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

DrayTek znacząco rozszerzył możliwości strefy zdemilitaryzowanej - DMZ. W typowych routerach domowych czy SOHO funkcja ta ogranicza się zazwyczaj do wydzielenia jednego hosta i jednego portu, na którym będzie działać strefa DMZ. W przypadku Vigora 2960 tych stref możemy ustawić aż 16. Nie ograniczają się one jedynie do podania prywatnego adresu sieci LAN hostów, które będą dostępne z zewnątrz. Podczas ustawiania profili decydujemy, dla którego łącza WAN będzie działać strefa a także (jeśli dysponujemy kilkoma publicznymi adresami IP) aliasu IP.

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

Uzupełnieniem sekcji LAN jest obsługa SIP ALG czyli obsługi i monitorowania komunikacji VoIP w sieciach z zaporą sieciową i mechanizmem NAT.

To co wyróżnia DrayTeka na tle innych konstrukcji to bardzo rozbudowana zapora sieciowa. Firewall w Vigorze 2960 to przede wszystkim system filtrowania pakietów, DoS, URL a także filtrowanie treści. Oprócz ochrony zewnętrznej router zapewnia również ochronę wewnątrz sieci poprzez filtrowanie treści, pakietów czy ochronę przed filtrowaniem nieodpowiednich połączeń.

Konfiguracja Firewalla w przypadku DrayTeka nie należy może do najłatwiejszych jednak po zrozumieniu sposoby kreowania reguł administrator ma olbrzymie możliwości dowolnego kształtowania reguł dostępowych do sieci. Zanim jednak stworzymy reguły zapory sieciowej w pierwszej kolejności warto skonfigurować profile, które w DrayTeku zostały nazwane obiektami. W sekcji Object Settings mamy pokaźną paletę konfiguracyjną. Obiekty są grupami ustawień, które następnie są wykorzystywane do reguł zapory sieciowej. Object Seetings ustawiamy pod kątem:

  • adresów IP i grup IP - ustawienia źródłowych i docelowych adresów IP, pojedynczych adresów, zakresu lub całych podsieci

DrayTek Vigor2960 admin

  • typów usług - ustawienie obiektów pod kątem usług i portów. Vigor posiada zdefiniowanych kilkadziesiąt ustawień dla typowych portów. Możemy maksymalnie zdefiniować do 96 konfiguracji. Dodatkowo możemy skorzystać z obiektów w sekcji Web Category Object, które definiuje określone usługi sieciowe i webowe, np. FTP, WWW, SMTP itd

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

  • słów kluczowych i typów plików - ustawienie monitorowania określonych wyrażeń występujących na stronach internetowych a także monitorowanie określonych rozszerzeń plików

DrayTek Vigor2960 admin

  • aplikacji IM oraz P2P - ustawienie dotyczące aplikacji P2P oraz komunikatorów internetowych. Obiekty definiujemy wybierając je z gotowych list

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

  • filtrowania stron WWW - w Web Category Object możemy definiować zakres stron i ustawiać obiekty na podstawie ich treści lub kategorii. Podobnie jak w Vigorze 2850Vn możemy skorzystać dodatkowo z usług operatorów WCF i podłączyć router do jednej z usług filtrowania stron internetowych. Zarządzanie subskrypcjami WCF odbywa się po zalogowaniu na stronie http://myvigor.draytek.com/

DrayTek Vigor2960 admin

  • czasu - ustawienie określonych obiektów i ram czasowych, które mogą być wykorzystane do tworzenia profili zapory sieciowej.

Stworzone w ten sposób obiekty wykorzystujemy następnie w tworzeniu filtrów zapory sieciowej w sekcji Firewall - Filter Setup. Czyli ze stworzonych wcześniej obiektów tworzymy poszczególne reguły dla filtrowania adresów IP, aplikacji, filtrowania stron WWW (możliwe jest także filtrowanie stron szyfrowanych). W przypadku blokady stron WWW możemy dodatkowo zdefiniować komunikat informujący użytkownika o niedozwolonej stronie. Informacja może być dowolnie konfigurowana przez administratora.

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

Uzupełnieniem systemu zapory sieciowej jest zakładka DoS Defense. Pozwala ona na uruchomienie blokad ataków na adres rozgłoszeinowy sieci, blokadę pakietów SYN, ICMP (ping), SMURF, itd. Z kolei funckją MAC Block pozwala na utworzenie reguł opartych o adresy MAC kart sieciowych oraz filtrowanie pakietów przychodzących z określonych MAC-ów.

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin

Uzupełnieniem reguł i profili zapory sieciowej jest zakładka User Management. Umożliwia ona na tworzenie reguł zapory sieciowej nie tylko na podstawie Obiektów i profili ale także na podstawie użytkowników. Użytkownicy mogą być zakładani indywidualnie na routerze lub możemy korzystać z bazy z LDAP lub Active Directory. Zaznaczając w panelu kreowania użytkownika opcję Use mOTP możemy włączyć dwuetapową weryfikację poprzez generowanie haseł dla użytkowników łączących się zdalnie poprzez VPN - IPSec, L2TP lub PPTP. Hasła generowane są przy użyciu mobilnej aplikacji. Podłączenia do lokalnej sieci LAN ułatwia użytkownikom wbudowany klient serwera RADIUS pozwalając na uwierzytelniania się klientów.

DrayTek Vigor2960 admin

DrayTek Vigor2960 admin