Routery

Bezpieczeństwo i Centrum pakietów

Omawiając możliwości RT2600ac nie wspomnieliśmy słowem o bezpieczeństwie. Pora to nadrobić.  Cofnijmy się na chwilę do sekcji Centrum sieciowe, do zakładki Bezpieczeństwo. Znajdziemy w niej podstawowe opcje związane z dostępem do routera:

  • czas wylogowania,
  • ochronę przed Cross-Site Request Forgery
  • osadzenie SRM w ramkach iFrame,
  • ochronę przed atakami DoS,
  • przepuszczanie ruchu VPN.

Podobnie jak w serwerach Synology tak i w RT2600ac znalazła się opcja związana z blokowaniem dostępu do routera w przypadku zbyt wielu nieudanych prób logowania z użyciem SSH, FTP, WebDAV oraz aplikacji Synology.

Dwie środkowe zakładki to jedne z ważniejszych w zestawie. Pierwsza z nich to  Zapora sieciowa. Dzięki niej możemy znacząco zwiększyć bezpieczeństwo routera nie tylko pod kątem ruchu wychodzącego, ale przede wszystkim przychodzącego. Mechanizm zapory sieciowej jest dobrze znany użytkownikom NAS-ów. W nich również zaimplementowano możliwość dodawania reguł opartych na adresach IP oraz portach.

Druga z zakładek to Usługa. Umożliwia definiowanie praw dostępu do internetu poprzez zaporę sieciową dla poszczególnych usług NAS-a, np. FTP, NTP, usługa plików Windows.

Tworząc system ochrony nie należy zapomnieć o kontroli dostępu do internetu z wnętrza sieci LAN. Tym zajmie się Kontrola rodzicielska. Mechanizm jest podzielony na 3 elementy. Pierwszy z nich to Filtr sieciowy. Pozwala on na przydzielenie do określonych urządzeń w sieci LAN profili filtrowania treści internowanych. Router oferuje trzy takie profile: Basic – blokuje strony potencjalnie niebezpieczne. Protected – blokuje strony nieodpowiednie dla dzieci i młodzieży. Custom – możemy samodzielnie określić typy stron blokowanych. Dodatkowo możemy dodać niestandardowe adresy, które nie będą filtrowane.

Kolejny mechanizm to tzw. Bezpieczne wyszukiwanie. Pozwala ono na blokowanie nieodpowiednich stron zawierających treści związane z przemocą lub strony dla dorosłych, które pojawiły się w wyszukiwaniu Google.

Na koniec skuteczny mechanizm na skrócenie czasu przebywania dzieci w intrenecie – w sekcji Czas dostępu do internetu możemy zdefiniować ramy czasowe, w których z danego urządzenia można korzystać z internetu. Wystarczy w oknie harmonogramu zaznaczyć godziny i dni.

Połączenie mechanizmów kształtowania ruchu oraz funkcji bezpieczeństwa i kontroli rodzicielskiej w wykonaniu Synology, pozwoli na uruchomienie bezpiecznego miejsca do surfowania w sieci i optymalizacji łącza. Kolejny plus to brak konieczności dokupowania urządzeń czy też oprogramowania, które zabezpieczy dostęp do zasobów internetowych.

Po co w routerze Synology podłączony nośnik danych? Odpowiedź jest prosta – by udostępniać dane. Jednak w Synology to nie tylko miejsce na przechowywanie plików czy kopii zapasowych. Można go zaprząc do pracy z Centrum pakietów i jednym z narzędzi, które dodatkowo zwiększy bezpieczeństwo sieci LAN. To Intrusion Prevention. Pakiet jest na razie w wersji beta jednak można sprawdzić jego możliwości. To rozwiązanie oparte o darmowy zestaw reguł Emerging Threat. Jeśli chcemy wykorzystać szerzej możliwości pakietu możemy nabyć płatną subskrypcję.

Co potrafi Intrusion Prevention? Można go określić jako mechanizm IDS i IPS chroniący sieć i jej urządzenia za pomocą:

  • kontroli ruchu internetowego w celu wykrywania i blokowania złośliwych pakietów,
  • rejestrowania zdarzeń w sieci i analizy statystyczne dotyczące złośliwych źródeł,
  • wysyłanie powiadomień o alertach,
  • zezwalanie na ręczne i automatyczne aktualizacje zwiększające poziom ochrony.

Intrusion Prevention może pracować w trybie wykrywania oraz prewencji na określonych interfejsach sieciowych. W pierwszym przypadku narzędzie będzie badać ruch internetowy w celu wykrywania szkodliwych pakietów, ale nie będzie zapobiegało ich przesyłaniu. W trybie prewencji będzie badać wszystkie pakiety w ruchu internetowym w celu wykrywania szkodliwych pakietów i natychmiast zapobiegało ich przesyłaniu dalej.

W changelogu DSM w wersji 6.1 znaleźliśmy informację o porzuceniu przez Synology implementacji pakietu Intrusion Prevention w serwerach. Miejmy nadzieję, że to działanie, które nie obejmie swym zasięgiem routerów i producent będzie kontynuował prace nad tym pakietem.

Pozostaje nam jeszcze jedno narzędzie również znane z serwerów Synology, a tyczące się bezpieczeństwa. To Doradca ds. zabezpieczeń. Pozwala na przeskanowanie ustawień routera pod kątem ewentualnych luk lub braków w konfiguracji. Dokładność skanowania jest określona na podstawie sposobu użytkowania routera – do zadań domowych lub biznesowych.

Doradca obejmuje 5 kategorii – szkodliwe oprogramowanie, konto, sieć, ustawienia oraz aktualizacje. Proces trwający kilka minut kończy się wyświetleniem wyników i szczegółowym raportem pozwalającym na szybkie wprowadzenie zmian w systemie RT2600ac.

Powróćmy teraz do Centrum pakietów. Zdradziliśmy już, że router zawiera pakiet Intrusion Prevention. Użytkownicy NAS-ów Synology zapytają z pewnością, czy RT2600ac posiada również tak wiele pakietów jak serwery sieciowych pamięci masowych? Otóż nie. Pakietów jest na razie 8, co nie oznacza, że Synology nie udostępni kolejnych usług – jest to wielce prawdopodobne z uwagi na dość mocny procesor oraz 512 MB pamięci RAM.  Mając odrobinę czasu na routerze można zainstalować np. serwer PLEX. Niestety musimy wykonać to samodzielnie i ręcznie przejść cały proces instalacji.

Na co możemy liczyć? Rozrywka, chmura i narzędzia sieciowe, a dokładniej:

  • serwer multimediów – możliwość przekształcenia routera w centrum UPnP/DLNA,
  • Download Station – narzędzia chyba nie trzeba przedstawiać. Pakiet służy do pobierania plików z internetu z użyciem wielu protokołów sieciowych, m.in.: http, FTP czy P2P,

  • Intrusion Prevention – wspominany wcześniej pakiet bezpieczeństwa,
  • VPN Server – dobrze znany użytkownikom NAS-ów serwer VPN obsługujący OpenVPN, L2TP oraz PPTP,
  • VPN Plus Server – znacznie rozbudowany system VPN. Pozwala m.in. na kontrolowanie i raportowanie o stanie użycia łącza. Obsługuje m.in. Synology VPN  (usługa VPN obsługująca uwierzytelnianie i szyfrowanie przy użyciu protokołu SSL (Secure Sockets Layer)) z mechanizmem SSL VPN oraz WebVPN. Oczywiście prócz powyższych oferuje także SSTP, OpenVPN, L2TP oraz PPTP,

  • Cloud Station Server – pozwala na przekształcenie routera w centrum prywatnej chmury,
  • DNS Server – kolejny pakiet zaczerpnięty z serwerów Synology. Mechanizm rozwiazywania nazw,
  • RADIUS Server – świetny pakiet pozwalający na skorzystanie z uwierzytelniania Enterprise.

Jak łatwo zauważyć już sam „goły” router zawiera sporo możliwości konfiguracyjnych. Jeśli dołożymy do niego wspominane pakiety, to przy pomocy jednego urządzenia możemy nie tylko kierować odpowiednio ruch sieciowy, lecz także uzyskiwać dostęp zdalny, przechowywać pliki w chmurze i cieszyć się multimediami.