Wi-Fi: Все, что Вы хотели знать, но боялись спросить - А. Щербаков
Шрифт:
Интервал:
Закладка:
Ещё одна необходимая функция, касающаяся VPN, — это возможность использования серверов VPN внутри сети. Естественно, для этого необходимо будет установить перенаправление портов, или поместить сервер в DMZ, но если маршрутизатор не знает, как обращаться со специально построенными пакетами данных VPN, клиенты не смогут подключиться к серверу. Поэтому, если необходимо установить сервер VPN за маршрутизатором внутри сети, то сначала стоит убедиться, что маршрутизатор поддерживает прохождение туннелей PPTP или IPsec внутрь.
Конечная точка (End Point). Второе название этой функции — «VPN Edge». Так называется способность маршрутизатора создавать и разрывать туннельное соединение. Благодаря ей маршрутизатор может устанавливать туннели сам, что позволяет не использовать программное обеспечение для VPN на клиентских компьютерах. Кроме того, используя два одинаковых (или почти одинаковых) маршрутизатора, можно создать туннельное соединение между двумя сетями без использования какого-либо дополнительного программного или аппаратного обеспечения.
Ранее такая возможность была доступна в устройствах стоимостью от $500, однако сегодня появляются все новые модели устройств, которые стоят дешевле $100 и поддерживают конечные точки VPN. К примеру, SMC 7004.
При выборе маршрутизатора с такой возможностью следует убедиться в наличии конечной точки PPTP, если она вам нужна (некоторые модели поддерживают конечную точку только для IPsec, а для PPTP есть лишь возможность прохождения туннелей). Кроме того, если необходима возможность доступа к сети, например, во время поездок, убедитесь в наличии в комплекте поставки клиентского приложения VPN, если оно необходимо.
Журналирование (Logging). Журналирование — это способ маршрутизатора «сказать», что он выполнял и, что более важно, чем занимались пользователи. Большинство моделей потребительского уровня обладают достаточно скромными возможностями журналирования и предоставляют лишь поверхностные возможности (в лучшем случае) для просмотра активности определённого пользователя.
Обычно в журнал заносятся три типа записей: административные, «hack attempts» (попытки взлома) и трафик пользователей. Административные записи включают в себя такие события как включение/выключение и перезагрузку маршрутизатора. Кроме того, здесь же можно встретить и список попыток административных входов. Записи «Попытки взлома» обычно включают попытки любого доступа к маршрутизатору с внешнего сегмента сети (WAN). Эти попытки обычно не направлены именно на ваш маршрутизатор, а являются результатом сканирования портов всей подсети. Модели с брандмауэрами на базе просмотра содержимого (SPI) могут также определять и записывать потенциально опасные атаки, например Denial of Service (DoS) — отказ в обслуживании, fragmented packet — фрагментированные пакеты и другие, не менее опасные атаки. И, наконец, записи трафик пользователей включают запросы HTTP, FTP и других сервисов Интернет.
Как и упоминалось ранее, интерфейс журналов у большинства моделей чрезвычайно прост, обычно представляет собой просто список событий. Некоторые модели позволяют стирать или сохранять журнал в файл, в то время как другие сохраняют лишь определённое количество событий, а когда журнал переполнится, наиболее старые события будут удаляться, уступая место новым. Ещё один тип журналирования — это журналирование URL или web-трафика: в данном случае запоминается количество посещений какого-то web-адреса сервера, без указания точных адресов страниц, поэтому если вам необходимо отслеживать и адреса страниц, то следует озаботиться выбором модели с поддержкой жур-налирования на внешний сервер.
Для журналирования на сервер используются два метода. Поддержка Syslog позволяет задать адрес машины в локальной сети, на которой запущен сервер или домен syslog. Этот сервис изначально появился в системах unix, а сейчас есть также версии для Windows и MacOS. После установки сервер Syslog позволит маршрутизатору передавать копии журналов, которые затем могут обрабатываться различными программами.
Второй метод — это SNMP trap. Он поддерживается в популярной серии маршрутизаторов Linksys, и для него также существует множество программ. Для работы используется передача данных по протоколу SNMP.
И, наконец, некоторые маршрутизаторы (обычно с брандмауэрами SPI) поддерживают отправку предупреждений и сообщений об атаках по электронной почте. Это позволяет маршрутизатору отправлять сообщение при обнаружении попыток взлома из Интернета, или отсылку некоторых сообщений журнала по расписанию. Весьма удобно, особенно для тех, кто вечно забывает регулярно просматривать журналы событий.
Маршрутизация (Routing). Существуют модели, позволяющие выполнять обычную маршрутизацию (не-NAT). То есть вместо того, чтобы позволять нескольким компьютерам использовать один IP-адрес для доступа в Интернет, маршрутизатор может передавать трафик на компьютеры в локальной сети, имеющие реальные IP-адреса (выданные провайдером). Одна из ключевых функций здесь состоит в том, что компьютеры с реальными IP-адресами могут напрямую связываться со всеми другими компьютерами в Интернете. Естественно, при этом необходимо защищать каждую машину индивидуально.
Есть ещё два типа особенностей, относящихся к маршрутизации. Статическая маршрутизация требует указания информации о подключённых подсетях.
Динамическая маршрутизация использует протокол RIP (Routing Information Protocol) для автоматического получения маршрутов от других устройств, использующих этот протокол.
Блокирование запросов ping снаружи (Discard WAN ping, Stealth mode). Одна из основных возможностей всех программ-сканеров портов — это отсылка на исследуемые адреса запроса ping и последующее ожидание ответа. Изначально запросы ping используются для диагностики связи с удалённым компьютером, но теперь ping используют и для обнаружения активных компьютеров. Вы можете блокировать запросы ping — в результате ваш маршрутизатор не будет на них отвечать.
Удалённое администрирование (Remote Administration). При наличии этой возможности можно разрешить административный вход из внешнего сегмента (WAN или Интернет). Её очень удобно использовать в том случае, если вы часто находитесь в разъездах, и вам необходимо часто изменять настройки маршрутизатора, или если вы отвечаете за работу сразу нескольких маршрутизаторов, расположенных в разных местах. Если такой доступ недостаточно защищён, то он представляет потенциальную опасность — ведь любой злоумышленник тоже может получить доступ к вашей локальной сети, поэтому следует выбирать маршрутизаторы, обеспечивающие максимальную защиту административного доступа. Как минимум, стоит ограничить административный доступ, разрешив его только с одного IP-адреса или с группы адресов. Ещё лучше будет возможность задания номера порта, используемого для подключения к консоли администрирования — но данная функция встречается относительно редко. То есть для получения доступа злоумышленнику необходимо будет узнать не только IP-адрес маршрутизатора, но и порт, используемый консолью администрирования.
Сервер печати (PrintServer). Эта функция приобрела популярность благодаря старой линейке маршрутизаторов Barricade компании SMC. Она позволяет подключать принтер с параллельным портом к маршрутизатору, а не к компьютеру сети. Таким образом, печать не зависит от работы или доступности какого-то одного компьютера, и, кроме того, вы можете установить принтер в более удобное место. Большинство моделей с серверами печати имеют небольшое количество памяти (ограничивая размер печатаемых файлов), могут не работать с MacOS, и не поддерживают функции двунаправленной передачи данных по LPT-порту. В целом, сервер печати — вещь полезная, особенно с учётом того, что он совсем незначительно увеличивает стоимость устройства.
MTU. Этот параметр позволяет изменять параметр Maximum Transmission Unit для маршрутизатора. Наиболее интересно это может показаться для тех, кто использует соединение PPPoE, или для тех, кто пытается настроить соединение VPN, или то и другое одновременно. Необходимость изменять этот параметр вызвана настройками сетей некоторых провайдеров. Подробнее узнать о том, к чему приводят такие изменения можно на сайте speedguide.net, тем не менее, мы считаем, что вам не стоит изменять этот параметр до тех пор, пока провайдер или производитель не посоветуют это сделать.
Адреса ресторанов и клубов, где есть Wi-Fi
• 938 22 18, просп. Вернадского, 6, влад. 1, м. Университет, пн-вс 12.00 и до последнего клиента
• 209 59 51, Петровка, 30/7, вход с Петровского бульвара, м. Чеховская круглосуточно
• «5 Оборотов», 299 26 00, Садовая-Триумфальная, 22/31, м. Маяковская, вс-чт 12.00-0.00, пт-сб 12.00-5.00
• «Б2», 209 99 09, 209 99 18, Б.Садовая, 8, м. Маяковская, пн-вс 12.00 и до последнего клиента
• «Вермель», 959 33 03, Раушская наб., 4/5, м. Третьяковская, пн-пт 12.00-5.00, сб-вс 18.00-6.00