Routery

Bezpieczeństwo i funkcje dodatkowe

przeczytasz w 4 min.

Ponieważ router z WiFi w sieci domowej stanowi najczęściej jedyny element komunikacji z internetem ważne jest by zadbać o bezpieczeństwo komunikacji sieciowej.

TP-Link Archer C4000 został wyposażony m.in. w:

  • zaporę sieciową SPI,
  • możliwość blokowania odpowiedzi ICMP na porcie LAN i WAN,
  • kontrolę dostępu - zablokowane urządzenie nie może komunikować się z internetem ani z innymi urządzeniami w sieci LAN,
  • wiązanie adresów IP i MAC – pozwala na skuteczne zablokowanie możliwości obejścia blokad kontroli dostępu czy kontroli rodzicielskiej,
  • mechanizm ALG - umożliwiając włączenie filtrowania NAT, m.in. dla protokołów FTP, TFTP, SIP czy VPN.

Router Archer został także wyposażony w pakiet HomeCare, który zawiera 3 dodatkowe mechanizmy zabezpieczające: kontrolę rodzicielską, QoS oraz antywirus.

Kontrola rodzicielska umożliwia nałożenie na poszczególne urządzenia w sieci odpowiednich filtrów uniemożliwiających dostęp do określonych stron czy tez kategorii stron internetowych oraz usług. Na początku wybieramy nazwę dla profilu filtrowania a następnie dodajemy urządzenie objęte kontrolą rodzicielską.

W kolejnym kroku ustawiamy poziom filtrowania. TP-Link podzielił filtry na 4 kategorie wiekowe:

  • Małe dziecko – 0-7 lat
  • Młody nastolatek – 8-12 lat
  • Nastolatek – 13-17 lat
  • Młodzież - > 17 lat

W zależności od wyboru filtra możemy definiować odpowiednie treści dla poszczególnych poziomów lub samodzielnie dodać określone usługi i protokoły

Następnie definiujemy ramy czasowe oraz porę snu. W trakcie połączenia z siecią router nalicza czas spędzony w internecie przez urządzenie objęte kontrolą a następnie pozwala zablokować dostęp, jeśli ustawiona wartość została przekroczona. Dodatkowo określając pory snu blokujemy możliwość dostępu do internetu w godzinach nocnych.

Zaletą rozwiązania jest nie tylko jego intuicyjność. Dzięki przejrzystym raportom możemy przejrzeć jakie strony zostały odwiedzone prze urządzenie objęte kontrolą i w razie potrzeby możemy określony adres dodatkowo zablokować.

Kolejny element ułatwiający zarządzanie siecią i komunikacją w internecie jest mechanizm QoS. Quality of Service przydziela priorytety dla określonych rodzajów transmisji danych lub urządzeń, aby móc zagwarantować nieprzerwaną komunikację w obrębie dostępnego łącza internetowego.

W Archerze C4000 funkcja QoS została podzielona na dwie sekcje. Możemy nadawać priorytety dla aplikacji lub urządzeń. W pierwszym przypadku mamy do dyspozycji 5 kategorii aplikacji:

  • Standardowo
  • Gry
  • Transmisja
  • Surfowanie
  • Rozmowy

W zależności od sposobu wykorzystania sieci przez użytkowników zaznaczamy odpowiednią kategorię QoS. Jeśli chcemy precyzyjniej zdefiniować QoS wybieramy kategorię Inny i nadajemy odpowiednią wagę dla poszczególnych kategorii.

W przypadku wykorzystania QoS dla urządzeń mechanizm aktywacji jest równie prosty. Wystarczy wskazać, które urządzenie będzie miało priorytet nad innymi klientami obecnymi w sieci (nie definiujemy priorytetów kategorii). Priorytet można nadać na stałe lub na okres 1, 2 lub 4 godzin.

Ostatnim elementem pakietu HomeCare jest oparty o silnik Trend Micro system bezpieczeństwa składający się z trzech elementów:

  • Filtr szkodliwych treści – blokada szkodliwych treści znajdujących się w bazie Trend Micro,
  • System ochrony przed nieuprawnionym dostępem – ochrona systemu i aplikacji przed szkodliwymi działaniami z ich strony,
  • Kwarantanna zaatakowanych urządzeń – blokuje zainfekowane urządzenia podłączone do sieci.

W przypadku wykrycia złośliwych działań zarówno z internetu jak i wewnątrz sieci LAN system zarejestruje zdarzenie w historii. Oczywiście w zależności od typu ataku antywirus uniemożliwi dostęp do zainfekowanego zasobu.

Jeśli w sieci LAN i internet aktywnie wykorzystujemy usługi czy systemy znajdujące się w sieci LAN to ważnym mechanizmem routera będzie serwer VPN – czyli zdalny, szyfrowany dostęp do zasobów LAN. Archer C4000 oferuje dwa typy połączeń VPN – OpenVPN oraz PPTP. W pierwszym przypadku konfiguracja dostępu odbywa się z wykorzystaniem jednego pliku konfiguracyjnego a logowanie odbywa się za pomocą certyfikatów. Wygenerowany plik OVPN możemy zaimportować do klienta OpenVPN i uzyskać dostęp zdalny do sieci LAN.

W przypadku serwera VPN PPTP również nie powinno być problemów z  jego konfiguracją. Wystarczy określić zakres adresacji dla podsieci VPN. Opcjonalnie można określić zasady dostępu do sieci LAN i włączyć szyfrowanie połączenia. Panel konfiguracyjny umożliwia utworzenie do 16 kont użytkowników VPN.

Jeśli nie posiadamy możliwości zestawienia połączeń do serwera VPN idealnym rozwiązaniem do zdalnego zarządzania routerem i jego funkcjami będzie usługa TP-Link Cloud. Jej zaletą jest nie tylko zdalne monitorowanie routera. Jeśli posiadamy więcej urządzeń obsługujących TP-Link Cloud będą one dostępne w mobilnej aplikacji Tether.

Aby móc zarządzać routerem zdalnie wystarczy go powiązać z kontem TP-Link Cloud a następnie zalogować się do Tether za pomocą danych uwierzytelniających.

W aplikacji mobilnej Tether należy wybrać określone urządzenie – w naszym przypadku C4000 i uruchomić interfejs. Z jego poziomu możemy uzyskać dostęp do niemal wszystkich ważniejszych funkcji routera:

  • Podglądu na informacje dot. połączonych klientów
  • Ustawień sieci WiFi
  • Zarządzania HomeCare
  • Zarządzania połączeniem WAN
  • Zarządzania siecią gościnną
  • Zarządzania diodami – możliwość włączenia trybu nocnego
  • Ustawienia trybu pracy – router lub punkt dostępowy
  • Możliwości aktualizacji oprogramowania, restartu urządzenia lub przywrócenia ustawień fabrycznych

Jednym z ostatnich elementów, o których warto pamiętać w przypadku użytkowania Archera C4000 są dwa porty USB. Jeden z nich w wersji wolniejszej USB 2.0, drugi USB 3.0. Mamy cztery możliwości ich wykorzystania:

  • Podłączenie nośnika USB i współdzielenie zasobów dyskowych poprzez protokół SMB i FTP
  • Podłączenie drukarki lub urządzenia wielofunkcyjnego z w wykorzystaniem aplikacji TP-Link USB Printer Controller
  • Uruchomienie serwera multimediów DLNA i korzystanie z materiałów multimedialnych na podłączonych nośnikach
  • Wykorzystanie nośnika w funkcji przestrzeni dyskowej na kopie zapasowe Time Machine z systemów Mac OS.

W przypadku współdzielenia zasobów dyskowych poprzez CIFS/SMB i FTP warto pamiętać, że router rozpoznaje nośniki z wieloma partycjami dyskowymi. Niewielką niedogodnością jest brak bardziej zaawansowanych mechanizmów uwierzytelniania przy podłączaniu zasobów sieciowych. Możemy to zrobić, albo z wykorzystaniem konta admina – w tym przypadku mamy dostęp do odczytu i zapisu albo jako konto visit – gdzie uprawnienia ograniczone są do odczytu. Opcjonalnie można wyłączyć uwierzytelnianie. Należy wtedy mieć na uwadze fakt, że dostęp do danych będzie miała każda osoba, która podłączy się do naszej sieci LAN.

Plusem jest możliwość precyzyjnego określenia współdzielonego zasobu. Zatem jeśli na podłączonym nośniku mamy nasze prywatne dane, to udostępniając dysk dla innych użytkowników warto wskazać lub założyć inny folder i dla niego przyznać odpowiedni dostęp.