Routery

Bezpieczeństwo, dostęp zdalny i porty USB

Nowoczesne routery to nie tylko urządzenia pozwalające na właściwe kierowanie ruchu do i z sieci internet oraz w sieci LAN. Coraz częściej producenci domowych routerów dodają do nich funkcjonalności znane z zaawansowanych rozwiązań routingu czy też systemów IDS, IPS lub UTM. W Archerze C5400X znalazł się pakiet, który powinien być dobrze znany użytkownikom Archer C5400 czy Deco M5. To HomeCare – mechanizm, który pozwala na zwiększenie poziomu ochrony sieci LAN i zapewnieniu wydajnej obsługi połączeń internetowych.

W skład pakietu HomeCare wchodzi trzy elementy – zarówno bezpieczeństwa jak i kolejkowania ruchu:

Antywirus – bazujący na silniku TrendMicro system ochrony przed wirusami, w skład którego wchodzi trzy typy zabezpieczeń: filtr szkodliwych treści – ochrona przed stronami zawierającymi szkodliwe treści (malware, wirusy, itp.), system ochrony przed nieuprawnionym dostępem oraz kwarantanna zaatakowanych urządzeń – w przypadku pojawienia się w sieci LAN Zainfekowanego urządzenia system HomeCare automatycznie uniemożliwi komunikację urządzenia z pozostałymi hostami w sieci lokalnej.

Jak działa antywirus można przekonać się odwiedzjąc np. stronę eicar. Przy próbie pobrania pliku z próbką wirusa otrzymamy komunikat ze strony routera. Dodatkowo zdarzenie jest logowane w historii działania systemu AV.

Kolejnym elementem pakietu HomeCare jest mechanizm QoS. Rozwiązanie umożliwia przydzielenie określonego priorytetu dla ruchu sieciowego urządzeń lub protokołów. W tym drugim przypadku Archer C5400X oferuje bardzo prosty w konfiguracji mechanizm tworzenia priorytetów dla aplikacji. System QoS został podzielony na 6 kategorii: standardowy, gry, transmisja, surfowanie, rozmowy oraz inne.

W zależności od potrzeb możemy wybrać odpowiednią kategorię a router sam dostosuje mechanizmy QoS do wykonywanych czynności i wykorzystywanych protokołów. Jeśli zależy nam na bardziej precyzyjnym dopasowaniu ustawień możemy wybrać kategorię Inny i suwakami dopasować poszczególne typy ruchu sieciowego.

Jeśli nie jesteśmy pewni co do typu transmisji wykorzystywanej w danym momencie zawsze możemy uruchomić priorytetowanie ruchu dla urządzeń zamiast aplikacji. Ustawienia QoS dla urządzeń mogą być uruchamiane na stałe oraz w okienkach czasowych 1, 2 lub 4 godziny.

QoS działający nawet na wolniejszym łączu internetowym jest idealnym narzędziem do regulowania ruchu sieciowego. Dzięki niemu możemy nadać wysoki priorytet dla usług związanych z grami a zmniejszyć priorytet dla strumieniowania multimediów czy przeglądania stron WWW.

Ostatni element ochrony pakietu HomeCare to Ochrona rodzicielska. Rozwiązanie umożliwia pełną kontrolę i zabezpieczenie urządzeń i ich użytkowników przed dostępem do stron internetowych oraz usług o określonej treści. Ochrona rodzicielska pozwala na

  • tworzenie profili dla poszczególnych urządzeń

  • określenie poziomu filtrowania treści w zakresie: treści dla dorosłych, hazardu, edukacji seksualnej, rozmów online, mediów społecznościowych, Pay to Surf, multimediów, gier i pobierania danych. Poziomy są odpowiednio dopisane do grup wiekowych: małe dziecko, młody nastolatek, nastolatek, młodzież.

  • Kontroli czasu spędzonego na przeglądaniu stron oraz określenia pory nocnej (snu).

Dodatkowymi mechanizmami zabezpieczeń, które dostępne są prócz funkcjonalności HomeCare jest:

  • Firewall z opcjami aktywacji zapory SPI oraz blokady ping z WAN i LAN
  • kontrola dostępu pozwalająca na zablokowanie lub zezwolenie na dostęp urządzeniom do sieci. Zablokowane urządzenia nie będą miały możliwości wzajemnej komunikacji i dostępu do internetu
  • IP MAC Binding - pozwala na kontrolę przydziału adresów IP do określonego urządzenia z danym adresem sprzętowym MAC.

Użytkownicy, którzy chcieliby mieć zdalny dostęp do sieci LAN prócz możliwości połączenia do routera z użyciem Tether mogę także wykorzystać inną funkcjonalność dającą pełną kontrolę i wgląd do sieci. Chodzi o mechanizmy wirtualnych sieci prywatnych. Archer C5400X został wyposażony w serwer VPN pozwalający na zestawienie połączeń z wykorzystaniem protokołów:

  • PPTP
  • OpenVPN

W przypadku tego drugiego typu połączeń komunikacja odbywa się z użyciem konfiguracji opartej o certyfikat wygenerowany bezpośrednio z serwera OpenVPN. Dodatkowo możemy ograniczać dostęp do sieci na dwa sposoby:

  • Tylko sieć domowa - użytkownik zdalny ma dostęp tylko do sieci lokalnej. Trasa domyślna nie ulega zmianie
  • Sieć domowa i internet - klient ma dostęp do sieci LAN oraz internet - zmiana trasy domyślnej

Dla komunikacji PPTP konieczne będzie utworzenie kont użytkowników oraz opcjonalne ograniczanie dostępu do przeglądania sieci LAN czy zestawienia nieszyfrowanego połączenia.

Na koniec warto wspomnieć kilka zdań o funkcjach portów USB. Router umożliwia obsługę dwóch typów urządzeń: nośników USB oraz drukarek lub urządzeń wielofunkcyjnych. W tym drugim przypadku do prawidłowej komunikacji niezbędne jest dobrze znane narzędzie USB Printer Controller Utility. Pozwala ono na podłączenie drukarki w taki sposób jakby była podłączona lokalnie.

Z kolei dostęp do danych zgromadzonych na podłączonych nośnikach może odbywać się z wykorzystaniem protokołu CIFS/SMB lub FTP. Router obsługuje m.in. partycje FAT32 czy NTFS.

Dostęp do danych możemy precyzyjnie definiować na podstawie folderów dostępnych na partycjach. Dodatkowym plusem jest wsparcie dla uwierzytelnianie dodatkowym kontem użytkownika. Dzięki temu nie musimy podawać hasła uwierzytelniającego dla CIFS/SMB czy FTP z uprawnieniami konta administratora.

Na koniec ciekawostka dla użytkowników komputerów z system Mac OS. TP-link rozszerzył możliwości routera o funkcje kopii zapasowej Time Machine. Dzięki temu po podłączeniu nośnika i wskazania zasobu udostępnionego oraz limitu danych dla Time Machine możemy tworzyć kopie zapasowe komputerów Apple wprost na podłączony nośnik.