W niniejszym wątku postaram się opisać początkującym użytkownikom podstawową konfigurację routera na przykładzie dostępnych mi routerów Pentagram Cerberus P 6331-42 oraz TP-Link WR543G, jednak konfiguracja większości routerów przebiega na tej samej zasadzie.
Spis treści
- Konfiguracja ustawień sieci WAN
- Konfiguracja ustawień sieci LAN
- Konfiguracja ustawień sieci WLAN (sieci bezprzewodowej)
- Zabezpieczanie routera
- Opcje dodatkowe
Konfiguracja ustawień sieci WAN
Konfiguracja łącza na protokole PPPoA/PPPoE.
Z protokołu PPPoA/PPPoE korzystają dostawcy łączy dsl/adsl, np. Neostrada, Netia czy Dialog itp. W przypadku tego typu łączy należy znać login i hasło dostępu do sieci oraz mieć aktywowane łącze.
Konfiguracja w tym przypadku sprowadza się jedynie do podania loginu i hasła do sieci, adres IP przyznawany jest najczęściej dynamicznie przez serwer DHCP dostawcy łącza internetowego.
W ustawieniach dotyczących sieci WAN należy wybrać typ połączenia PPPoA/PPPoE i odnaleźć odpowiednie pola, w których należy podać login i hasło dostępu do sieci.
Jak pisałem wyżej, w większości przypadków adres IP, brama oraz DNSy dostarczane są automatycznie z serwera DHCP dostawcy internetowego, więc należy zostawić zaznaczoną opcję Dynamic IP lub Obtain an automatic IP w zależności od routera ale może się zdarzyć, że takie dane trzeba podać ręcznie, wówczas należy zaznaczyć Static IP i wypełnić zgodnie z danymi podanymi w umowie.
Szczegółowa konfiguracja dla łączy adsl Neostrada i Netia, opisana została pod poniższymi odnośnikami
Statyczne IP
W tym przypadku konfigurację należy przeprowadzić ręcznie podając adres IP, maskę podsieci, adres bramy domyślnej oraz adresy serwerów DNS. Takie dane powinny być dostarczone wraz z umową. W tym przypadku należy wybrać opcję Static IP.
Dynamiczne IP
Często dostawcy usług internetowych przypisują do komputera adres IP automatycznie z serwera DHCP, wówczas w routerze należy zaznaczyć jedynie opcję Dynamic IP i wszelkie potrzebne adresy powinny po chwili zostać pobrane z serwera dostawcy automatycznie. Czasami wymagane jest podanie nazwy serwera, tzw. hostname, jeśli w umowie takiej nazwy nie ma, należy pozostawić te pole niewypełnione.
Konfiguracja ustawień sieci LAN
Ustalanie adresu routera i adresacji dla podsieci.
Tutaj w zasadzie nie trzeba nic zmieniać, każdy router ma fabrycznie przypisany adres IP, dzięki temu można się do niego zalogować, np. przez przeglądarkę stron internetowych. Adres ten można zmienić na dowolny inny lub pozostawić taki jaki jest. Adres IP routera należy zmienić w przypadku, gdy operator dostarcza łącze za tzw. NATem i jeśli adres IP przyznawany przez dostawcę będzie z tej samej podsieci co router, tzn. jeśli adres z ustawień sieci WAN będzie taki sam, jak adres routera, może dojść do konfliktu adresów IP, wówczas należy zmienić adres routera na inny, np. na adres z innej podsieci lub innej klasy adresowej. Domyślnie ustawienia sieci LAN powinny wyglądać podobnie, jak na poniższym zrzucie ekranu.
IP Adres to adres routera w sieci LAN, w tym przypadku jest to 192.168.1.1 ale nic nie stoi na przeszkodzie, aby zmienić go na dowolny inny, np. 192.168.1.100 albo 10.0.0.1.
IP Subnet Mask to maska podsieci.
Kofiguracja DHCP.
Ustawienia można zostawić domyślnie ale można też dostosować do własnych potrzeb. Konfiguracja serwera DHCP polega na ustaleniu zakresu adresów IP przyznawanych przez serwer DHCP, niektóre routery oferują możliwość przypisana danego adresu do danego komputera, a dokładniej do danej karty sieciowej i jej adresu MAC, wówczas komputer z zarezerwowanym adresem IP będzie otrzymywał zawsze taki sam adres IP, jest to przydatne, jeśli w sieci dany komputer pełni rolę serwera i musi mieć zawsze taki sam adres. Jeśli router nie oferuje takiej możliwość, adresy komputerom, które muszą mieć zawsze taki sam adres, należy przypisać ręcznie adres spoza zakresu adresów przyznawanych automatycznie.
gdzie:
DHCP server Disable/Enable to serwer DHCP Wyłączony/Włączony;
Start IP Address - adres początkowy, czyli adres, od którego zaczyna się zakres adresów przyznawanych przez serwer DHCP;
End IP Address - adres końcowy, czyli adres, na którym kończy się zakres adresów przyznawanych przez serwer DHCP;
Reszta pól jest opcjonalna i powinno się je wypełniać głównie, jeśli takie są wymagania konfiguracji sieci przez dostawcę internetu.
Konfiguracja ustawień sieci WLAN (sieci bezprzewodowej)
Włączanie/wyłączanie rozgłaszania nazwy SSID sieci.
Opcja ta pozwala ukryć nazwę sieci bezprzewodowej, jednak pomimo tego, wiele programów do nasłuchu sieci potrafi wykryć ukrytą sieć bezprzewodową, dlatego nie należy stosować ukrywania sieci jako główne i jedyne zabezpieczenie. Wyłączanie rozgłaszania nazwy SSID jest tak naprawdę opcjonalne i ze względu na wygodę, uważam, że nie ma sensu ukrywać nazwy samej sieci, która i tak jest widoczna.
Włączanie/wyłączanie szyfrowania połączenia bezprzewodowego oraz wybór odpowiedniego zabezpieczenia.
- WEP
W obecnych czasach jest to najsłabsze zabezpieczenie i nie powinno się z niego korzystać, jedynym wyjątkiem mogą być urządzenia niekompatybilne z nowszymi zabezpieczeniami.
- WPA-TKIP
Podobnie jak szyfrowanie WEP, również szyfrowanie WPA na protokole TKIP jest słabym zabezpieczniem i powinno się z niego korzystać tylko, jeśli urządzenia w sieci nie są kompatybilne z nowszymi zabezpieczeniami.
- WPA2-AES
Obecnie najmocniejsze zabezpieczenie, dające największą pewność, oczywiście pod warunkiem, że hasło jest dość skomplikowane, tzn. jest odpowiednio długie i nie jest hasłem tak zwanym słownikowym, czyli łatwym do odgadnięcia. Hasło powinno być jak najdłuższe, składać się najlepiej z minimum 10 znaków, w tym z małych i wielkich liter, cyfr oraz tak zwanych znaków specjalnych, czyli !@#$%^&*()_±<>?[]{}, np.
~.L&]T[MW9j!9/fvC3aKQA}Y!j-_#==mL{%&s<.Q4-M{oKJ]"Sa\U+Nk$nE`
Hasło takie można sobie wygenerować przy pomocy jakiegoś programu, np. KeePass. W przypadku szyfrowania sieci bezprzewodowej, gdzie haseł nie trzeba zapamiętywać, gdyż są zapisane w systemie operacyjnym, najlepiej tworzyć hasła o długości ok. 40 znaków.
Filtracja MAC
Filtracja adresów kart sieciowych służy głównie do blokowania kart sieciowych, które z jakiś względów nie powinny mieć dostępu do sieci LAN. Filtracja MAC może odbywać się na dwa sposoby, tzw. białej i czarnej listy. W przypadku białej listy, określa się które karty sieciowe mogą mieć dostęp do sieci LAN, natomiast w przypadku czarnej listy określa się, które karty sieciowe takiego dostępu nie powinny mieć. Filtracji MAC również nie powinno się stosować jako jedyne zabezpieczenie sieci, gdyż jest ono łatwe do obejścia.
Tak przykładowo wygląda konfiguracja sieci bezprzewodowej.
W przypadku zabezpieczania sieci bezprzewodowej ważne jest wybranie odpowiedniego szyfrowania sieci i stworzenie silnego hasła, reszta zabezpieczeń, jak ukrywanie nazwy sieci, czy filtracja MAC jest opcjonalna.
Wybór kanału nadawania sieci
W Polsce/Europie korzysta się z kanałów od 1 do 13.Zabezpieczanie routera
Zmiana domyślnego hasła dostępu do panelu konfiguracyjnego routera.
Stosowanie domyślnych haseł nie jest zbyt bezpieczne, ponieważ są to hasła jawne, czyli znane całemu światu, a przynajmniej większości. W internecie istnieją bazy danych z domyślnymi hasłami do routerów danych producentów, natomiast w większości przypadków, takie dane napisane są chociażby na spodzie routera. O ile w domu nikt obcy nie zaloguje się do routera, o tyle może to bez najmniejszych problemów zrobić zdalnie albo z sieci LAN, jeśli jest podłączony lub się włamał do sieci, albo z sieci WAN, w zależności czy ustawienia routera na to pozwalają.
Hasło do routera można zmienić w ustawieniach routera i powinno to wyglądać mniej więcej tak.
Zmiana nazwy użytkownika.
Większość routerów oprócz zmiany hasła umożliwia również zmianę nazwy użytkownika, co podnosi dodatkowo bezpieczeństwo przy próbie włamania do rouetra. W większości routerów login można zmienić z poziomu przeglądarki stron internetowych www po zalogowaniu, natomiast w przypadku routera Pentagram Cerberus (w moim przypdaku model P6331-42) nazwę użytkownika można zmienić przez telnet poleceniem
sys adminname nowa_nazwa
Access Control List - ACL
Lista kontroli dostępu określa kto i na jakich zasadach ma dostęp do routera. Dzięki ACL można określić z jakiego adresu IP można uzyskać dostęp do konfiguracji routera, przez jaki protokół czy port oraz czy router może być konfigurowany tylko z sieci LAN czy z każdego miejsca na świecie. Jeśli konfiguracja ma się odbywać tylko z sieci LAN to należy wyłączyć dostęp z sieci WAN, określić IP z jakiego można mieć dostęp do routera, jeśli logowanie do routera odbywać się będzie tylko przez przeglądarkę, proponuję również zmienić port na inny, niż domyślny, np. 1423, oczywiście, jeśli router to umożliwia.
Opcje dodatkowe
DMZ
DMZ to tak zwana strefa zdemilitaryzowana, czym dokładnie jest wyjaśniał nie będę ale działa podobnie do przekierowania portów. W przeciwieństwie do przekierowania portów w przypadku DMZ, udostępniana jest nie tylko pojedyncza usługa ale cała maszyna, wówczas cały świat ma dostęp do komputera w sieci LAN bez żadnych ograniczeń.
Co w takim razie jest lepsze? W przypadku, gdy chce się udostępnić serwer dla kilku znajomych lub do korzystania z protokołu P2P lepszym wyjściem będzie przekierowanie portów, wówczas maszyna nie będzie tak obciążona oraz dostęp uzyskać można tylko do jednej lub kilku udostępnionych usług. W przypadku, gdy komputer ma być dostępny publicznie dla całego świata bez ograniczeń, lepiej wybrać DMZ, ponadto komputer w strefie zdemilitaryzowanej jest odseparowany od sieci LAN, oznacz to, że jeżeli ktoś włamie się na serwer, nie ma ułatwionego dostępu do sieci LAN.
Żeby udostępnić komputer/serwer w DMZ, wystarczy jedynie podać adres prywatny komputera.
UWAGA! W przypadku łączy adsl, dostęp do serwera, który znajduje się w DMZ, może być niedostępny z własnej sieci LAN, jednak serwer jest publicznie dostępny.
QoS - Quality of Service.
Niektóre routery oferują również funkcję kształtowania ruchu sieciowego. Kształtowanie może odbywać się przez nadawanie priorytetów usługom czy limitowanie łącza itp. Nadawanie priorytetów pozwala określać, która usługa ma pierwszeństwo przed inną, dla przykładu na komputerze nr 1 użytkownik pobiera pliki z sieci P2P, obciążając łącze i tym samym użytkownik komputera 2,3,4, przeglądający strony www odczuwają spowolnione wczytywanie się stron, w tym przypadku, nadając najniższy priorytet usłudze P2P, a najwyższy usłudze www, strony będą ładowały się szybko, gdyż pakiety sieciowe dla www będą miały pierwszeństwo przed P2P. Limitowanie łącza określa szybkość łącza dla danego użytkownika, określić tu można minimalną gwarantowaną szybkość pobierania i wysyłania.
Przekierowanie portów
Niekiedy zdarza się, że chce się udostępnić dostęp do danego komputera w sieci LAN, ponieważ znajduje się on za NATem, w związku z tym nie posiada publicznego IP, przez który można by się połączyć z komputerem i tu z pomocą przychodzi przekierowanie portów. Na czym to polega, pakiety sieciowe przychodzące na dany port, na którym działa usługa, są kierowane do komputera w sieci LAN, np. chcąc udostępnić znajomym serwer www, należy przekierować port 80, wówczas pakiety przychodzące na ten port, będą kierowane do komputera, na którym działa tenże serwer.
Żeby przekierować porty, należy odnaleźć w ustawieniach NAT opcję IP Forwarding/Port Forwarding lub VirtualServer w zależności od routera.
W ustawieniach tworzy się regułę, w której określa się usługę, port na którym działa oraz IP komputera w sieci LAN, na który mają być kierowane pakiety sieciowe zgodne z regułą.
Od teraz porty są przekierowane.
UWAGA! W przypadku łączy ADSL, dostęp do serwera, na który przekierowano porty, może być niedostępny z własnej sieci LAN, jednak przekierowanie działa.