Rutery szerokopasmowe (bez modemu)

NetGear FR314

Przejdźmy teraz do urządzeń nie zawierających modemu DSL. Urządzenie NetGear FR314 można instalować między modemem DSL (lub kablowym) a pecetem. Ruter zawiera cztery porty 10/100Base-T, które komunikują się z pecetem bezpośrednio albo za pośrednictwem huba.

Kreator konfigurowania wymusza wpisanie hasła, konfiguruje serwer DHCP (na podstawie informacji podanych przez dostawcę usługi) i chroni automatycznie urządzenie przed próbami włamania. Dokumentacja elektroniczna oferuje podstawowe informacje.

Filtry zapory są ustawiane za pomocą specjalnej strony administracyjnej (technologia przeglądarki). Można tu na przykład blokować określone adresy URL, wpisując odpowiednie słowa kluczowe. Aby sprawdzić, ile jest warte nasze ustawienie, można najpierw uaktywnić funkcję Log only i przekonać się, czy dostęp jest rzeczywiści blokowany. Dopiero w kolejnym kroku można tę opcję włączyć. Użytkownik może tu też ustawiać różne parametry wykorzystujące czas.

Zasady kontroli (stateful inspection) są ustawiane za pomocą webowego interfejsu zarządzania. Producent zastosował pola wyboru (do zaznaczenia), dzięki czemu użytkownik może szybko blokować dowolną usługę, np. protokół NNTP (Network News Transfer Protocol) lub pakiety "ping".

Serwery proxy można ustawiać dla ośmiu podstawowych protokołów wspieranych przez urządzenie (HTTP, FTP, SMTP, Post Office Protocol 3, DNS, NNTP, Ping i Key Exchange). Aby utworzyć nową zasadę, należy wpisać nazwę zasady, podać zakres portów IP i wybrać z wyświetlanych okienek menu protokół i usługę.

Pliki dziennika dla rutera i zapory można łatwo konfigurować i szybko przeglądać. Aby wyświetlić potrzebny raport (np. zawierający informacje o liczbie odwołań do witryny webowej i adresach, skąd były generowane), wystarczy kliknąć myszką tylko dwa razy.

ZyWall 10

Drugi ruter szerokopasmowy jest dziełem firmy ZyXel. W skład pakietu wchodzą pokolorowane kable i podręczna broszura Read me. Ruter zawiera jeden port Ethernet 10/100Base-T, do którego można podłączyć pojedynczy pecet lub hub (możliwość obsługi do 32 systemów).

Instalacja przebiega wyjątkowo sprawnie, ponieważ ZyWall 10 dostarcza klientom adresy IP (urządzenie zawiera serwer DHCP), a w przypadku trasowania do szerokopasmowego połączenia transluje adresy IP. Ruter zmusza użytkownika do zmiany pierwszego domyślnego hasła.

Zapora jest włączana przy pierwszym uruchomieniu urządzenia i chroni sieć przed niebezpieczeństwami, takimi jak ataki typu "denial-of-service" (odmowa świadczenia usług) oraz blokuje automatycznie nadchodzące żądania BootP.

Filtr zawiera wiele gotowych do użycia wpisów, a użytkownik może do niego wprowadzać własne wpisy, definiując pojedyncze adresy IP lub zakres adresów IP. Zasady filtrowania pakietów są tworzone przez klikanie list zawierających powszechnie blokowane typy pakietów.

Inspekcja połączeń to większe bezpieczeństwo pracy

Czy ruter SOHO wspierający protokół NAT (Network Address Translation) zapewni nam bezpieczną pracę? NAT to doskonałe rozwiązanie sprawdzające się w tych środowiskach sieciowych, w których używamy wielu zakresów adresów IP lub gdy dysponujemy zbyt ubogą pulą adresów IP. Po zastosowaniu protokołu NAT bezpieczeństwo niewątpliwie wzrasta, ponieważ wewnętrzne adresy IP nie mogą być przeglądane z zewnątrz, co znakomicie utrudnia życie wszelakiej maści włamywaczom. Wydaje się jednak, że sam protokół NAT to za mało.

NAT ma swoje wady. Po zastosowaniu tego protokołu niektóre aplikacje (na przykład klienci FTP i połączenia VPN) mogą mieć kłopoty. Niektóre protokoły "peer-to-peer" i systemy wideokonferencji oparte na technologii H.323 wymagają specjalnego konfigurowania protokołu NAT. Inny problem może się pojawić wtedy, gdy dwie sieci komunikują się ze sobą przy użyciu połączenia VPN i obie strony wykorzystują protokół NAT do konwertowania pokrywających się adresów (na przykład, gdy obie sieci wykorzystują adresy IP z popularnego zakresu 10.0.0.0).

I tu z pomocą może przyjść opcja stateful inspection (inspekcja połączeń), idąca krok dalej, nie ograniczając się do prostych mechanizmów filtrujących pakiety IP, które są powszechnie implementowane w zaporach. Wadą zapór jest to, że automatycznie pozostawiają otwarte porty o określonych numerach (które obsługują popularne protokoły, takie jak FTP).

Podstawą działania mechanizmu stateful inspection jest śledzenie i analiza przechodzących przez dany węzeł połączeń, co pozwala skutecznie kontrolować ich legalność. Filtr opcji stateful inspection cały czas przechowuje w pamięci informacje na temat aktualnego stanu każdego połączenia, wiedząc przy tym, jakie kolejne stany są dozwolone z punktu widzenia zarówno protokołu, jak i polityki bezpieczeństwa.