Routery

Oprogramowanie cz. 2

Kontrola rodzicielska

Funkcją na którą warto zwrócić uwagę gdy ma się małe dzieci, powinna być „Kontrola rodzicielska”. Jest to jedyna opcja w menu, która nie posiada żadnego podmenu.

Zerknijmy zatem na poniższy screen i zobaczmy cóż ona oferuje.

Menu kontroli rodzicielskiej w routerach Lanberg

Kontrola rodzicielska, zarówno w routerze Lanberg RO-120GE, jak i RO-175GE oferuje dokładnie te same opcje i działa w oparciu o adres IP lub MAC urządzenia, którego ma dotyczyć. Wykorzystanie do konfiguracji kontroli rodzicielskiej adresu IP w połączeniu z serwerem DHCP może nie przynieść pożądanego efektu, ponieważ taki adres z czasem może ulec zmianie. W takim przypadku należy albo zastosować rezerwację adresu IP w zakładce serwera DHCP, albo przy kontroli rodzicielskiej posługiwać się adresem fizycznym (MAC) urządzenia.

Taka kontrola rodzicielska pozwoli zapanować nad tym, aby dziecko nie przesiadywało na telefonie po nocach, ale niestety nie zabezpieczy go przed dostępem do nieuprawnionych treści. W tym celu warto zajrzeć do kolejnego menu, które opiszemy w tej chwili.

Zapora sieciowa → Filtrowanie URL

Dobry filtr URL to dość skomplikowane narzędzie, które przy znacznym rozbudowaniu potrafi znacząco obciążyć podzespoły routera. W podstawowym zakresie powinien umożliwiać działanie w dwóch trybach:

  • Białej listy – zezwala na dostęp do stron jawnie zdefiniowanych,
  • Czarnej listy – blokuje dostęp tylko do stron jawnie zdefiniowanych.

Tak jest też w przypadku routerów Lanberg. Dzięki tej opcji można ustawić, aby dziecko mogło korzystać jedynie z kilku, ustawionych przez rodziców, stron (biała lista). Ewentualnie w przypadku starszego dziecka, można przeprowadzić operację zabraniającą mu dostępu do konkretnych stron (czarna lista).

Niestety nie ma tutaj możliwości korzystania z symboli wieloznacznych, co w skrócie skutkuje tym, że jeżeli chcielibyśmy zabronić dostępu do stron zawierających a adresie słowo "benchmark", np. strony https://www.benchmark.pl (czego oczywiście stanowczo odradzamy;)), i np. do https://pl.wikipedia.org/wiki/Benchmark to dla każdej z nich należałoby stworzyć osobną regułę. Natomiast przy pomocy symboli wieloznacznych można by było ustawić jedną regułę, która blokowałaby dostęp do wszelkich adresów zawierających w adresie wspomniane słowo.

Filtrowanie URL

Można napisać, szkoda, że tego typu funkcji brakuje, bo o ile analiza treści stron pod kątem słów kluczowych może wymagać dość sprawnego procesora (i może być skomplikowana w przypadku połączeń szyfrowanych), o tyle w przypadku adresów URL, nie powinna być znaczącym wyzwaniem obliczeniowym dla mocy routera. W każdym razie, producent ma tutaj pole do popisu. Jeżeli nie w przypadku niższego modelu (słabszy procesor), to w modelu RO-175GE pozostaje czekać na aktualizację firmware’u, który przyniesie tego typu funkcję.

Pokrótce inne funkcjonalności

Powyższej przedstawionych zostało kilka funkcjonalności, które wg w sugestywnej opinii autora niniejszego tekstu warto było przedstawić. Aby jednak całkiem nie pominąć pozostałych funkcji routera, z jakże bogatego ich wachlarza, poniżej zostanie opisanych kilka kolejnych.

Wcześniej, przy opisie systemów sieci bezprzewodowych, wspominana została możliwość definiowania dostępu do nich na podstawie adresów MAC. Można tam było tworzyć listę zezwalającą, bądź blokującą zdefiniowane adresy fizyczne urządzeń. W menu „Zapora Sieciowa” → „Filtrowanie adresów MAC” została umieszczona funkcja służąca wyłącznie do blokowania podanych adresów w zakresie sieci LAN. Trzeba przyznać, że połączenie wymienionych opcji daje dość spore pole tworzenia polis dostępowych.

Kolejnymi opcjami wchodzącymi w skład „Zapory sieciowej” są funkcje filtrowania i przekierowywania portów.

Filtrowanie portów

Zapewne większość czytelników niniejszego portalu wie doskonale do czego służy przekierowywanie portów w routerze, natomiast „filtrowanie portów” może stanowić tutaj pewną zagadkę. Otóż pod tym pojęciem – jak zresztą widać na screenie powyżej – producent rozumie filtrowanie portów od strony sieci LAN do WAN. Innymi słowy, dzięki tej opcji istnieje możliwość zablokowania niepożądanego ruchu wychodzącego z sieci. Blokowanie ruchu wychodzącego jest ułatwione poprzez możliwość tworzenia zakresów dla wprowadzanych portów.

Ale bezpieczeństwo routera to nie tylko wyżej wymienione funkcje dot. polis dla urządzeń dostępowych, czy filtrowania portów. Funkcją, która może zaskakiwać – raz poprzez swoją obecność, drugi raz poprzez całkiem wysoką selektywność ustawień – jest „Atak DoS”. Proszę spojrzeć na poniższy screen. Można nie tylko ją włączyć i mieć nadzieję, że funkcja w „automagiczny” sposób będzie chronić nasz router przed atakiem DoS, ale też można ustawić ilość pakietów / s, które spowodują jej zadziałanie. W tym menu ukryta została także funkcja wykrywania skanowania portów TCP/UDP w połączeniu z możliwością ustawienia jej czułości pomiędzy wartością niską, a wysoką i blokowaniem sprawcy ataku przez podaną ilość sekund.

Blokada przed atakami DoS

Wykrycie ataku jest zapisywane w logach, które ustawia się w zakładce „Zarządzanie” → „Log systemowy”.

Na screenie poniżej widać wspominaną zakładkę oraz sposób zapisywania w logach wykrytego ataku skanowania portów.

Konfiguracja logowania zdarzeń

Czy czegoś w takiej konfiguracji brakuje? Tak –zdalnego powiadamiania użytkownika o takim zdarzeniu. Czy to e-mailem, czy chociażby wiadomością push do przeglądarki. Nie każdy przecież codziennie zagląda do logów routera.

Na szczęście dzięki możliwości eksportu logów do zdalnego serwera Syslog, ten problem można obejść. Realnym przykładem może być tutaj wykorzystanie serwera Synology z zainstalowaną usługą „Centrum logów”. Wystarczy skonfigurować na nim import logów z routera, a następnie powiadamianie użytkownika po wykryciu określonego słowa kluczowego. Od tego momentu niecne poczynania wobec routera spowodują wysłanie użytkownikowi - za pośrednictwem serwera Synology - odpowiedniego powiadomienia.

Pakiet Centrum Logów w serwerze Synology DS-916+

Na kolejnej stronie sprawdzimy i porównamy wydajność routerów w sieciach WiFi i poprzez łącze gigabitowe.