Sieť: Zabezpečenie routeru 1. časť


Dnešný post bude nadväzovať na seriál o sieťach z roku 2016.  Je určený skôr začiatočníkom, ako aj celý seriál.
Je síce pravda, že sú to už dva roky od vzniku tej série blogov, ale v podstate by sa zmenil len nákupný zoznam a ten je možné ľahko aktualizovať.

Opäť budeme brať do úvahy len SOHO (Small office – Home office) sieť ktorej vzorom bude sieť z predošlých častí.

01_net_logikaObr. Logická štruktúra vzorovej siete

Ide o sieť pripojenú cez káblový modem. Postavenú na Ipv4 kvôli prehľadnejšiemu a ľahšie zapamätateľnému značeniu s prefixom 192.168.1.x a maskou 255.255.255.0

01a_siet

Obr. Informácia o mojich nastavenia LAN. Aktivované Ipv4 aj Ipv6

Nasleduje router (1Gbps) (192.168.0.1), ktorý zároveň robí funkciu DHCP, IDS/IPS a firewallu. Nasleduje 1Gbps switch ktorý pripája káblovú sieť (192.168.0.20 -192.168.0.50).
Druhá línia je wifi router (10.0.0.10 – 10.0.0.99) ktorý sa bude starať o bezkáblové zariadenia.
Na grafe chýba prepojenie NAS a tlačiarne / tlačiarní, tie sú pre dnešnú časť nepodstatné a budeme sa im venovať v ďaľšej časti)

02_HW_lan_dmzObr. Optimálne logicky rozdelená sieť

Na začiatku musím upozorniť, že výber routeru je dosť dôležitý pre stabilitu siete a tiež možnosť použiť jeho funkcie na zabezpečenie siete a tiež preto že cez ten bude prechádzať celková komunikácia siete.
Osobne preferujem z cenovo dostupných zariadení routery firmy TP Link. v prípade, že nemá daný výrobok tak D-Link, Airlive či Zyxel.
Snažím sa vyhýbať výrobcom ako Netis, Tenda, Edimax či Strong, pri ktorých mi kolísal signál na wifi pri Netis MD101 dokonca padala sieť štyroch počítačov na LAN a akého koľvek zariadenia na wifi.

Pre najlacnejšie 100Mbps riešenie odporúčam kúpu minimálne TP-Link TL-WR740ND

Obr. Router TP-LINK WR740ND s predinštalovaným firmwarom a s OpenWRT.

Má relatívne široké možnosti nastavenia zabezpečenia a nastavení aj pri základnom firmvéri.

Optimálne je v súčasnosti použiť 1Gbps domácu sieť. Tam stačí TP-Link Archer C2 AC750.

Čiže čo potrebujeme od routeru?
1. Podporu LAN minimálne 2 porty,
2. Wifi, optimálne dual band (2,4 a 5 GHz).
3. Integrovaný firewall
4. Podpora filtrovania DoS
5. Rozšírené možnosti nastavenia bezpečnosti, stačí parental control

04_guest_lan

Obr. rozšírené možnosti nastavenia pre hostí (guest) kde mám zakázané prístupy na USB storage (router ma usb port) a do LAN. Guesti nie sú izolovaní, o to sa stará Wifi router D-Link

05_secure_basicObr. Základné nastavenia, zapnutý firewall, aktívna VPN, pre prístup na NAS a aktívne ALG pre preklad adries (NAT je aktívny)

06_secure_adv

Obr. Rozšírené nastavenia bezpečnosti, Aktívna ochrana pred DoS plus nastavené limity na zahodenie pokusov o pripojenie. Taktiež zakázaný PING z internetu .

07_parental_ctrObr. Takzvaná rodičovská kontrola. Tieto nastavenia umožňujú nastaviť pravidlá pre prístup počítačov do siete v určitých časoch alebo blokovanie stránok. Nastavenie nie je tak pohodlné ako cez server či politiky ale je plne funkčné.

Pre bežné používanie nie je nutné robiť segmentáciu siete ale…
Niekedy, napríklad pri používaní IP kamier, pripájanie mobilov či pri práci z domu, je segmentácia viac než žiadúca.
V podstate ide o logickú infraštruktúru, ktorú je dobre si pripraviť už pri plánovaní a rozhodnúť sa aj či sa budú dané siete vidieť.
A hlavne, to musí podporovať router.
Každopádne, z osobnej skúsenosti, pri optimálnom riešení treba počítať s jedným routerom a jedným prepínačom (switchom) pre štandardný panelák alebo malú firmu.
Dôvody sú jednoduché. Pri takejto konfigurácií môžete sieť rozdeliť logicky na hlavnom routeri. V prípade nutnosti verejnej časti siete, bude stačiť lacný sekundárny router.

U mňa sú v súčasnosti 2 routery a 2 switche.
Oba routery sú ako wifi AP, jeden je hlavný pre “domácich” a jeden je pre návštevy v DMZ.
Môj hlavný router (TP-Link Archer AC750) má aktivovanú wifi sieť aj pre prístup na NAS a tým pádom plní úlohu kombinovaného routeru.
Celú LAN rozdeľujem na 3 segmenty, sieť wifi pre prácu, v podstate pre notebooky. Sieť pre návštevy a mobily (DMZ) a na lokálnu káblovú sieť.

Dôvod je jednoduchý, mobilné telefóny sa neúmerne často prihlasovali na router, aj keď IP adresu mali. A od návštev je neželané aby mi behali po NAS či súkromnej časti siete so zdielanými priečinkami.

Riešené to je jednoducho.

Router prideľuje IP adresy dvom AP pre wifi, ktoré sú súčasťou siete.
Pre návštevy je D-Link DIR-605L, ten cudzím zariadeniam prideľuje IP adresu mimo rozsah lokálnej siete. Má zapnutý firewall, DoS filter a dostáva IP z hlavného routeru TP-Link Archer AC750, ale má vyhradenú inú wlan (10.10.0.x)

Takže krátke zhrnutie:

08_lan_suhrnObr.  Návrh LAN

Výhodou zariadení od TP-Link je ich unifikované rozhranie, ktoré je len s drobnými zmenami pri rôznych modeloch. Čo urobí popis nastavení ľahším pre iné typy.

Takže pri otvorení linky nastavení routeru, defaultne 192.168.0.1 a prihlásení sa do účtu dostanete okno so stavom routeru.

09_tplinkguiObr. Grafické rozhranie TP-Link AC750. Stav routeru a sietí

V hlavnom okne sú informácie o stave, ako je verzia routeru a jeho firmvéru, IP a MAC adresy LAN a wifi a taktiež informácie o WAN, alebo inak o údajoch pre pripojenie k internetu.

Pre zabezpečenie routeru sú pre nás dôležité hlavne údaje o wireless a LAN.
V pravej časti sú vždy vysvetlivky ku skratkám a nastaveniam daných parametrov a v ľavom okne je menu, pomocou ktorého sa bude router nastavovať. Prvá položka je Status, ktorú máte na obrazovke, nasleduje položka pre rýchle nastavenie, Quick setup, tú taktiež ignorujte, keďže potrebujeme upraviť dané nastavenia.

RH: Nezabudnite po zmene pred prechodom na inú položku vždy kliknúť na save.

Nasleduje položka Network – Sieť. Tá má 3 položky, WAN, LAN a MAC clone.
Položka WAN informuje a umožňuje spravovať pripojenie do internetu na porte WAN, momentálne je pre nás nepodstatná, rovnako ako položka MAC clone.
Zaujíma nás iba položka LAN.

10_lanObr. Nastavenie LAN, kde manuálne pridelíte Ipv4 adresu a masku podsiete pre router

V tomto podmenu nastavíte manuálne Ipv4 adresu a masku podsiete akou sa bude router hlásiť počítačom. Pre počítače to bude Gateway, brána pre pripojenie.
V našom prípade je to IP Adress: 192.168.0.1 a Subnet Mask: 255.255.255.0
Pokiaľ budete mať v sieti IPTV alebo NAS, odporúčam zakliknúť aj Enable IGMP Snooping.

Archer AC750 má DualBand wifi, čiže je tu aj položka na nastavenie pre zapnutie buď iba jedného, alebo oboch pásiem.

11_dualband.Obr. Povolenie wifi pásiem

Následne sú dve položky s wifi, jedna pre 2,4GHz a jedna pre 5GHz.
Nastavenie kanálov záleží hlavne na zahltení pásiem v okolí.
To si môžete zistiť napríklad programom Wifi analyzer na Androide. Vždy dajte najmenej zahltený kanál.
Pokiaľ nemáte istotu, alebo sú rovnako vyťažené pásma nechajte auto.
Taktiež si pomenujte prístupový bod pre ľahšie zapamätanie. Predsa len názov siete (SSID) tp-link_c95E_5G sa ťažko pamätá a môžu byť v okolí viaceré.

Obr. Nastavenie 2,4GHz pásma, najvoľnejší je 5 kanál. Nastavenie 5GHz pásma na automatický výber kanálu, v okolí sú totiž len dve zariadenia na 5GHz

Nasledujúce položky sú pre obe siete rovnaké, ale musíte ich vyplniť samostatne.

Prvou je WPS, ktoré odporúčam nechať deaktivované

14a_wpsObr. Nastavenie pripojenia cez WPS, vyžaduje 8 miestny PIN (default 8-1) osobne odporúčam nepoužívať, a ak áno tak treba dať zložitý PIN, ale ten je ľahko odhadnuteľný.

Ďalšou položkou je zabezpečenie.
Odporúčam tu použiť silné heslo pre WPA2-PSK. Pokiaľ tak urobíte a pravidelne budete aktualizovať heslo, nemalo by dôjsť k narušeniu siete.

14b_wifisecurObr. Nastavenie zabezpečenia pre prístup do siete

Predošlú položku zabezpečenia viete vylepšiť, ak sa do siete pripája obmedzené množstvo zariadení, je možné ich pripájanie poistiť cez filtrovanie MAC adresy každého pripojeného zariadenia.

14c_wifimacObr. Filtrovanie MAC adries, nezabudnite zakliknúť položku že špecifikované zariadenia majú oprávnenia k prístupu, štandardne je totiž nastavené zákaz vypísaných zariadení.

Položka rozšírených nastavení sa nás týkať dnes nebude, dôležita je len pre wifi siete 802.11 b/g .
Posledná položka je štatistika pripojených zariadení.
To v prípade ak niečo v sieti vyťažuje pripojenie.

14d_wifistatObr. Štatistika pripojenia v sieti.

Ďalšou položkou je nastavenie hosťovského prístupu, Guest network, v prípade ak máte povolené cudzie zariadenia.
Môžete im vyhradiť čas prístupu, kam majú možnosť pristupovať a vyhradiť im pásmo a podobne.

15_wifiguestObr. Nastavenie hosťovskej siete

Osobne dávam prednosť použiť iný router s inou sieťou pre hostí, ale i toto nastavenie je bezpečné.

Ďalšou položkou je nastavenie DHCP serveru pre pridelovanie IP adries v LAN.
Je dobré nastaviť rozsah IP adries pre pridelovanie podľa počtu počítačov. V tomto prípade 192.168.0.20 až 192.168.0.50

Obr. Nastavenie rozsahu adries pre pripájané zariadenia. Pripojené zariadenia cez DHCP

Položka USB nastavenia je v menu iba v prípade, že máte router s USB portom.
Na ňom môžete prevádzkovať napríklad externý disk na zdielanie (odporúčam ale radšej NAS) alebo zdieľanie tlačiarne cez Printserver

Ďaľšou položkou je NAT, preklad adries, tej sa ale budeme venovať v druhej časti.

Linky na pôvodné články z Linux mint pod licenciou CC0
Sieť: Plánovanie LAN do bytu alebo domu 
Sieť: plánovanie nákupu 
Sieť: Topológia fyzická aj logická
Sieť: Využitie LAN v domácnosti 
Sieť: Využitie LAN v domácnosti – Kamery 
Sieť: Vychytávky

Alebo priamo u mňa

Upozornenie.

Tento blog je zverejnený iba na tomto blogu, a pre jeho šírenie je nutné mať súhlas autora vrátane uvedenia zdroja.

©Redhawk 2018

Reklamy
This entry was posted in HW, Nezaradené and tagged , , . Bookmark the permalink.

Pridaj komentár

Zadajte svoje údaje, alebo kliknite na ikonu pre prihlásenie:

WordPress.com Logo

Na komentovanie používate váš WordPress.com účet. Odhlásiť sa /  Zmeniť )

Google+ photo

Na komentovanie používate váš Google+ účet. Odhlásiť sa /  Zmeniť )

Twitter picture

Na komentovanie používate váš Twitter účet. Odhlásiť sa /  Zmeniť )

Facebook photo

Na komentovanie používate váš Facebook účet. Odhlásiť sa /  Zmeniť )

Connecting to %s