Wydajność rzędu wielu megabitów, wysoki poziom bezpieczeństwa oraz elastyczność konfiguracji - oto dlaczego routery programowe mają przed sobą jasną przyszłość.

Pod pojęciem router rozumie się zwykle rozwiązanie sprzętowe. Nie bez powodu - router oparty na dedykowanej platformie sprzętowej ma całkiem sporo zalet, nie tylko czysto technicznych, i dlatego jest powszechnie stosowany. Sprzętowy router ma jednak także pewne mankamenty oraz ograniczenia - cena i wydajność to najważniejsze z nich, ale nie jedyne.

Jako alternatywę dla routerów sprzętowych można z powodzeniem zastosować rozwiązania programowe działające na praktycznie dowolnej platformie. Router to bowiem nic innego jak komputer z oprogramowaniem, które przekazuje pakiety IP między siecią lokalną a siecią rozległą lub Internetem.

Sprzętowi chwała, ale...

Z punktu widzenia działu IT routery w formie specjalizowanych urządzeń są rozwiązaniem atrakcyjnym - co najmniej z kilku powodów. Przede wszystkim są projektowane na potrzeby określonego zastosowania. Zazwyczaj brak w nich części ruchomych, np. wentylatorów na układach scalonych, dysków twardych i wszelkich innych elementów, które mogłyby wpływać na zwiększenie awaryjności. Jeżeli jednak elementy takie występują, są zwykle lepszej jakości niż komponenty stosowane do budowy komputerów PC.

Zaletą rozwiązań opartych na dedykowanym sprzęcie jest to, że mają jasno określonego producenta, który zapewnia wsparcie techniczne: dba o zgodność oprogramowania ze sprzętem, tworzy aktualizacje, usuwa błędy itp. To oczywiście kosztuje, co niekoniecznie należy uznać za wadę - zakup markowego routera daje administratorom szanse na interesujące szkolenia, a ponieważ te kończą się zwykle jakąś formą certyfikacji, przy okazji poprawia ich samopoczucie. Urządzenie dobrej klasy to także poczucie świętego spokoju i dobrze spełnionego obowiązku u wewnętrznego sponsora takiej inwestycji - zakup markowego rozwiązania trudno w końcu uznać za niedopełnienie obowiązków.

Dopóki wszystko działa dobrze, dopóty konserwacja i utrzymanie rozwiązań sprzętowych są mało pracochłonne. Jeśli powstaje problem, za dodatkową opłatą, ale jednak, producent zapewnia wsparcie techniczne. Co ważne - zwykle również po okresie standardowej gwarancji, którą zresztą można zazwyczaj wydłużyć. Jest jeszcze jeden, w praktyce bardzo ważny argument za routerami sprzętowymi - w przypadku kłopotów z łączem jego dostawca nie użyje raczej (w celu ukrycia własnych awarii lub błędów) argumentów w rodzaju: "u nas wszystko w porządku, to wina waszego routera; gdybyście mieli XYZ, wszystko działałoby dobrze".

Oprócz niewątpliwych zalet, routery sprzętowe mają wiele mankamentów. Są to konstrukcje zamknięte, przez co nie można dokonać żadnej ich modyfikacji czy rozbudowy przy użyciu powszechnie dostępnych podzespołów.

Naprawy trwają dłużej, ponieważ urządzenie trzeba przewieźć do serwisu. Naprawa na miejscu to zaś konieczność wykupienia dodatkowej, zwykle kosztownej, usługi wsparcia.

Routery sprzętowe z niższej półki cenowej są, co tu ukrywać, ubogie funkcjonalnie. Najczęściej występującym brakiem jest niedostatek opcji konfiguracyjnych dla usług zapory IP. W większości przypadków również wydajność nie jest rewelacyjna - zwłaszcza w porównaniu ze współczesnym sprzętem PC. Zdarza się, i to niejednokrotnie, że niewykupienie wsparcia technicznego jest równoznaczne z brakiem możliwości aktualizacji wbudowanego oprogramowania (firmware).

Routery sprzętowe mają słabsze funkcjonalnie narzędzia do diagnostyki sieci, niż te spotykane w rozwiązaniach programowych działających w systemach z serii Linux czy BSD. Na potrzeby ciągłego monitorowania pracy router sprzętowy wymaga ponadto terminalu podłączanego za pomocą złącza RS-232. Uruchamiane na platformie routera oprogramowanie do ochrony sieci LAN przed atakami oraz oprogramowanie do kształtowania ruchu jest zwykle osobno licencjonowane i z reguły kosztowne.

Uwaga na przeciąg

Typowa konfiguracja routera programowego zakłada wykorzystanie komputera klasy PC x86 wyposażonego w jeden lub dwa interfejsy Ethernet oraz ewentualnie interfejs szeregowy. W małych instalacjach w tym celu jest wykorzystywany system operacyjny Windows 2000 albo XP z włączoną usługą udostępniania połączenia internetowego.

Powszechność nie świadczy jednak o walorach użytkowych. Wykorzystanie systemów z serii Windows jako routerów jest błędem - systemy te nie mają łatwego w konfiguracji filtra pakietów. Ponadto przy użyciu domyślnych opcji udostępniania połączenia internetowego w Windows włamanie do sieci firmy jest dziecinnie proste. Jeśli ten sam komputer udostępnia pliki i drukarki (co w Polsce jest częste), można powiedzieć, że sieć firmy stoi otworem dla włamywaczy.

Jeśli z tych czy innych względów firma musi jednak korzystać z systemów Windows także na routerach, ich konfiguracja powinna być poprawna, to znaczy:

• Należy wyłączyć wszystkie usługi, które nie są konieczne do pracy routera, a zwłaszcza: Serwer, Stacja robocza, Przeglądarka komputera, Posłaniec, Instrumentacja zarządzania, Bufor wydruku, COM+, Telefonia, Pomoc NetBIOS, Rejestr zdalny, RPC itp.

• W opcjach zabezpieczeń TCP/IP należy ustawić blokowanie połączeń na porty związane z usługami sieciowymi Microsoft.

• Należy zainstalować oprogramowanie chroniące system Windows w rodzaju ZoneAlarm lub BlackIce.

• Jeśli korzysta się z usług Routing i Dostęp zdalny, nie należy lekceważyć ryzyka naruszenia bezpieczeństwa związanego z tą usługą.

• Aktualizacja systemów Windows musi być prowadzona regularnie i rygorystycznie.

Otwarty, ale bezpieczny

Zamiast "marnować" licencję na system Windows (ok. 700 zł w przypadku Windows 2000 Professional), na potrzeby routera, lepiej wykorzystać w tym celu oprogramowanie open source. Praktycznie wszystkie otwarte systemy mają wbudowany i skutecznie działający filtr pakietów. Lepsza jest funkcjonalność - w sensie liczby funkcji i opcji konfiguracyjnych, lepsze bezpieczeństwo oraz, co nie bez znaczenia, wydajność.

Szczególną uwagę warto zwrócić na dwa systemy: OpenBSD (ewentualnie FreeBSD) oraz Linux. Na rzecz OpenBSD świadczy fakt, że przez ostatnie osiem lat znaleziono tylko jeden błąd (w starej wersji), który przy domyślnej instalacji umożliwiał włamanie.

Nowo zainstalowany system OpenBSD ma wyłączone wszystkie zbędne usługi. Taka konfiguracja w zasadzie odpowiada ustawieniom prostego routera - wystarczy tylko ustawić zasady przekazywania pakietów oraz skonfigurować wbudowaną w system zaporę IP. OpenBSD nadaje się doskonale jako router/firewall zarówno do łączy zakończonych Ethernetem, jak i RS-232.

Linux obsługuje szerszą gamę urządzeń, przez co jest bardziej uniwersalny. Przy pracy jako router z zaporą ma też nieznacznie lepszą wydajność niż OpenBSD, co jednak w żaden sposób nie dyskredytuje tego ostatniego. Oba te systemy mają bardzo dobrą zaporę IP. W przypadku Linuxa z jądrem 2.4.x domyślnie stosowana jest zapora iptables, zaś system OpenBSD korzysta z zapory pf. Oprócz firewalla domyślna konfiguracja OpenBSD obejmuje gotowy do użycia mechanizm kształtowania ruchu oparty na kolejkach - coś, za co w przypadku routerów sprzętowych płaci się bardzo wymierne kwoty. Wdrożenie ułatwiają przykładowe pliki konfiguracyjne.