Router DLS - który wybrać?

Router DSL umożliwia tani dostęp do Internetu wielu komputerom równocześnie, a jednocześnie chroni je przed atakami z Sieci. Mnogość oferowanych funkcji sprawia jednak, że wybór jest trudny. Wyjaśnimy, które funkcje są niezbędne w różnych zastosowaniach.

Router DSL umożliwia tani dostęp do Internetu wielu komputerom równocześnie, a jednocześnie chroni je przed atakami z Sieci. Mnogość oferowanych funkcji sprawia jednak, że wybór jest trudny. Wyjaśnimy, które funkcje są niezbędne w różnych zastosowaniach.

DSL to korzystna cenowo alternatywa drogiego stałego łącza, szczególnie w małych firmach i biurach domowych. Oferowana szybkość transmisji na ogół wystarczy do małego zespołu roboczego lub wymiany danych z innym oddziałem firmy. Również w mieszkaniach, szczególnie gdy są w nich dzieci, coraz częściej można znaleźć konfiguracje z kilkoma komputerami podłączonymi do jednego routera. Router DSL dodatkowo podnosi poziom bezpieczeństwa, bo odcina bezpośredni dostęp z Sieci do komputerów znajdujących się za nim. Praktyka pokazuje, że od pierwszego zalogowania w Internecie do pierwszego skanowania portów w poszukiwaniu słabych punktów mija niewiele czasu.

Ponieważ najpopularniejsza w Polsce usługa - Neostrada - korzysta z protokołu PPPoE, urządzenie musi go obsługiwać. Aby jednak nie odcinać sobie możliwości skorzystania z usług innego dostawcy, modem DSL nie powinien być zintegrowany z routerem, lecz podłączany do portu ethernetowego. Wówczas można korzystać z routera również w przypadku zmiany technologii - choćby na modem kablowy czy z ADSL na SDSL. To szczególnie ważne w przypadku drogich routerow o rozbudowanych funkcjach.

Podstawowe funkcje

W małych sieciach wystarczy wbudowany 4-portowy przełącznik. W razie potrzeby można dołączyć kolejny.

W małych sieciach wystarczy wbudowany 4-portowy przełącznik. W razie potrzeby można dołączyć kolejny.

Obecnie wszyscy dostawcy wykorzystują protokół PPPoE do uwierzytelniania użytkowników. Oznacza to, że DSL to w gruncie rzeczy nie stałe łącze, lecz połączenie typu dial-up. Tak więc router musi obsługiwać przynajmniej ten protokół. Powinien opcjonalnie pracować ze statycznym adresem IP lub jako klient DHCP. Kropką nad i byłaby obsługa VPN do tworzenia połączeń LAN przez Internet. W przypadku połączeń z firmową siecią LAN obsługa VPN staje się obowiązkowa.

Dynamiczny adres IP utrudnia udostępnianie usług sieci LAN przez Internet, gdyż użytkownik w Internecie musi zawsze znać aktualny adres IP. Niektóre modele routerów oferują zatem obsługę dynamicznych usług DNS. Taki router łączy się z dostawcą odpowiedniej usługi i podaje mu aktualny adres IP. Adres ten jest wówczas dostępny w domenie w rodzaju testdomain.dyndns.org.

Kolejne ważne kryterium to sposób zarządzania routerem. Wśród opcji można tu wymienić: telnet, przeglądarkę internetową lub własne oprogramowanie routera. Istotne jest też to, przez jakie złącza dostępne są funkcje zarządzania oraz czy niektóre z nich (jak Internet czy WLAN) można wyłączyć lub co najmniej zabezpieczyć szyfrowaniem i uwierzytelnianiem. W niektórych urządzeniach funkcje zarządzania są ograniczone do określonego adresu IP.

Połączenia WAN

W tym urządzeniu można zastosować specjalne anteny, poprawiające jakość odbioru w sieci WLAN.

W tym urządzeniu można zastosować specjalne anteny, poprawiające jakość odbioru w sieci WLAN.

Niektórzy operatorzy internetowi z dostępem przez modem kablowy przypisują do konta użytkownika określony adres MAC, rozwiązując w ten sposób problem uwierzytelniania. To zwykle uniemożliwia zastosowanie routera, bo ma on inny adres MAC. W niektórych routerach można jednak - podobnie jak w wielu kartach sieciowych - zmienić ten adres metodą tzw. klonowania, co wymaga tylko paru kliknięć myszą.

Uboczna korzyść z klonowania adresu MAC to uniemożliwienie lub przynajmniej utrudnienie identyfikacji routera, a więc i wykorzystania luk w zabezpieczeniach.

Ponieważ większość dostawców DSL przydziela tylko jeden adres IP, aby więcej komputerów mogło go współdzielić, router musi obsługiwać NAT. W pakietach wychodzących z sieci LAN na zewnątrz przez firewall oryginalny adres źródłowy jest zastępowany adresem firewalla, a pierwotny port źródłowy - nowym portem. Oprogramowanie gromadzi te dane w tablicy i odpowiednio przekształca pakiety odpowiedzi w sposób niezauważalny dla użytkownika. W ten sposób komputery w sieci LAN są niewidoczne z Internetu.

Usługi a bezpieczeństwo

Mechanizm NAT działa dopóty, dopóki nawiązywane są połączenia z sieci LAN na zewnątrz, a więc na przykład podczas przeglądania stron internetowych czy odbierania poczty. Jeżeli jednak z zewnątrz przychodzi żądanie połączenia z komputerem w sieci LAN, sprawa nie jest prosta. Router "nie wie", o który komputer w sieci chodzi.

Problem połączeń przychodzących rozwiązuje użycie funkcji routera o nazwie Virtual Server - połączenia przychodzące do określonego portu TCP/IP router kieruje bezpośrednio do konkretnego komputera w sieci LAN. Jeżeli dodatkowo obsługuje Port Address Translation, można również określić port komputera docelowego. Na przykład wszystkie połączenia przychodzące do portu 80 kierowane są do portu 8080 komputera docelowego.

Jest jeszcze jedna kategoria aplikacji, które nie działają w przypadku zastosowania routera. Aplikacje te łączą się z portem serwera, który z kolei chce się odwołać do ściśle określonego portu klienta. To się jednak nie udaje, gdyż serwer adresuje IP routera, a ten ostatni nie wie, dokąd ma przesłać pakiet danych. Nie pomoże tu również Virtual Server, gdyż w grę mogą wchodzić różne komputery.

Niemal wszystkie routery typu SOHO wyposażone są w funkcję Special Applications, która w dużych firewallach nosi z kolei nazwę Stateful Inspection. Router obserwuje wychodzący ruch danych pod kątem żądań połączenia z określonymi portami i "zapamiętuje", z którego komputera w sieci LAN pochodzą żądania. Gdy z kolei stosowny serwer chce utworzyć połączenie w odwrotnym kierunku, router kieruje pakiet danych do odpowiedniego komputera w sieci LAN. Taki mechanizm stosuje na przykład serwer gier battle.net.

Wielu producentów routerów DSL reklamuje swoje produkty jako mające wbudowany firewall. To nie zawsze jest do końca prawda, gdyż często chodzi tu tylko o NAT. Tę funkcję musi mieć każdy router, gdyż w przeciwnym razie nie mógłby obsługiwać wielu komputerów za pomocą jednego tylko adresu IP.

NAT rzeczywiście zapewnia podstawowy poziom bezpieczeństwa, gdyż próba nawiązania połączenia z zewnątrz kończy się automatycznie niepowodzeniem - router nie wie, o który komputer wewnątrz sieci chodzi. Na tej zasadzie wirus Blaster nie powinien przedostać się do sieci LAN. Niestety, NAT nie jest pełnowartościowym firewallem. Jeżeli chcesz udostępnić pewne usługi na zewnątrz, musisz poinstruować router, by kierował pakiety do określonego portu określonego komputera w sieci LAN. Wówczas NAT nie zapewnia już żadnych dodatkowych mechanizmów ochronnych, jak choćby filtrowania pakietów czy Stateful Inspection. NAT nie zapewnia również żadnej ochrony przed trojanem, który tworzy połączenie od wewnątrz na zewnątrz.

Jeżeli chcesz połączyć oddział firmy lub biuro domowe z siecią LAN w siedzibie firmy, musisz bezwzględnie zwrócić uwagę na funkcjonalność VPN, i to w dodatku bezpośrednio w routerze, za pomocą mechanizmu IPSec. Na czym polega problem z IPSec? Gdy klient w sieci LAN, a więc za mechanizmem NAT, próbuje otworzyć tunel VPN do serwera, adres nadawcy - a więc lokalny IP klienta - i adres IP pakietu przestają się zgadzać. Serwer IPSec odrzuci więc próbę nawiązania połączenia. Dlatego też to router musi występować w roli klienta IPSec, musi też umieć obchodzić się z dwoma zewnętrznymi adresami IP: dostępu do Internetu i tunelu IPSec.

Dodatkowe funkcje routera

Jeżeli określona usługa nie funkcjonuje nawet ze Stateful Inspection, ostatnią szansą jest tzw. host DMZ. To wybrany komputer w sieci LAN, do którego router kieruje cały ruch. W tym przypadku nie działa żaden z mechanizmów zabezpieczeń routera, tak więc komputer powinien być chroniony osobnym firewallem.

Bezpieczeństwo hosta DMZ można nieco zwiększyć przez zastosowanie filtrowania pakietów w routerze. To uniemożliwi również wysyłanie danych z sieci przez trojany. Wystarczy filtrowanie w routerze portów najczęściej przez nie wykorzystywanych.

Po stronie LAN router powinien udostępniać serwer DHCP. Dzięki temu nie trzeba się zajmować przydzielaniem adresów IP klientom, ponadto zapewnia to automatycznie właściwe ustawienia DNS i bramy na komputerach. To ważne, gdyż nie można wykluczyć, że dostawca zmieni adresy serwerów DNS.

W przypadku takich funkcji, jak Virtual Server czy filtr pakietów, serwer DHCP powinien móc nadawać określonym klientom zawsze ten sam adres IP (Fixed Mapping). W ten sposób funkcje DHCP pozostają nienaruszone, a mimo to można na przykład postawić serwer internetowy na wewnętrznym adresie IP. Mechanizm mapowania, oparty na adresach MAC, wykorzystuje wiele routerów w celach kontroli dostępu do sieci LAN i WAN. Można całkowicie odciąć dostęp do Internetu niektórym komputerom. W przypadku klientów WLAN można ustalić listę adresów MAC, którym zezwala się na dostęp do Internetu. Wszystkie pozostałe komputery nie mogą nawet komunikować się z routerem. W ten sposób można na przykład zapobiec korzystaniu z Internetu przez sąsiadów na twój koszt.


Zobacz również