Безопасность
Стоит уделять особое внимание безопасности данных при беспроводной передаче. Здесь разработчики сделали большой шаг вперёд: кроме стандартной возможности использования WEP шифрования трафика с использованием ключей длиной до 128 бит (64 или 128) маршрутизатор поддерживает новый стандарт безопасности беспроводных сетей - WPA (Wi-Fi Protected Access) и средства аутентификации 802.1x (автоматическое распределение сертификатов сервером - обычно используется сервер RADIUS), что достаточно актуально сегодня. Причём, WPA может использовать не только 802.1x, но и PSK (Pre-Shared key). Имеется возможность совместного использования обоих средств безопасности: WEP и WPA, но в таком случае WEP будет слабым местом всей сети, поэтому такой вариант использоваться не будет.
Следует упомянуть о криптографической дыре в алгоритме шифрования WEP, из-за которой различные зашифрованные пакеты данных имеют сходство, достаточно для того, чтобы, захватив несколько таких пакетов, путём их анализа получить ключ шифрования. Стандарт WPA лишён этой проблемы и обеспечивает более высокую степень защиты данных. Этот стандарт предполагает аутентификацию, шифрование и проверку целостности переданных данных. Краткие характеристики стандартов безопасности 802.11 представлены в табл. 2.8.
Таблица 2.8 - Развитие стандартов безопасности 802.11
| Стандарт безопасности | Краткая характеристика | Достоинства | Недостатки | ||||
| WEP |
| Шифрование RC4, статичные ключи и необязательная идентификация пользователя | Обеспечение минимальной безопасности | Много дыр безопасности, необходимы дополнительные средства | |||
| WPA | Шифрование TKIP, динамичные ключи и идентификация пользователей с помощью EAP, RADIUS | Более надежный стандарт, совместимый с WEP; легко интегрируется с существующими WLAN-решениями | Промежуточное решение, которое можно использовать до принятия спецификации 802.11i | ||||
| 802.11i | Шифрование AES, WRAP, управление ключами в стандарте 802.11i, обязательная идентификация пользователей | Криптостойкий стандарт, надежный механизм управления ключами | Требуется обновлять оборудование – полная несовместимость с существующими Wi-Fi-адаптерами |
SMC2304WBR- AG может предоставить также возможность организации виртуальных серверов. Он может перенаправлять запросы, поступающие на внешний порт (или группу портов) на порт какой-либо машины, расположенной внутри сети. Кроме постоянных портов SMC2304WBR-AG также можно настроить и для работы с динамически определяемыми портами. Для этого служит раздел Special Applications.
Раздел Firewall позволяет включить или отключить встроенный брандмауэр, который защищает внутреннюю сеть от различных видов сетевых атак и, в то же время, накладывает различные ограничения.
Пункт Access Control предназначен для задания правил, разрешающих или запрещающих передачу определенного типа трафика на WAN порт устройства. Этот пункт позволяет работать с расписаниями, заданными в Shedule Rule. Традиционно можно сделать выбор из предустановок, в качестве которых предлагаются такие сервисы как HTTP, SMTP, NNTP, POP3, HTTPS, FTP и другие.
Одним из важных шагов для предотвращения доступа злоумышленников к беспроводной сети должна быть фильтрация MAC адресов. В SMC2304WBR-AG эта функция реализована, при этом список разрешенных MAC адресов может включать в себя до 32-х записей. Активизировав эту функцию и указав разрешённые MAC адреса, запрещается доступ к сети всем остальным. Также данное устройство позволяет осуществлять блокирование доступа к определенным ресурсам Интернет. Для этого можно указать URL, который желательно заблокировать или ключевое слово, по которому будет происходить блокировка.
Пункт Schedule Rule отвечает за расписания, которые можно использовать для организации ограничения доступа в Интернет для групп пользователей в зависимости от дня недели и времени суток.
На SMC2304WBR-AG
реализована функция обнаружения атак (Intrusion Detection), позволяющая определять и блокировать внешние атаки: IP Spoofing, Land Attack, Ping of Death, IP with zero length, Smurf Attack, UDP port loopback, Snork Attack, TCP null scan и TCP SYN flooding. Кроме того, можно запретить отсылку ответов на эхо-запросы PING, пришедшие на WAN порт. В случае обнаружения атаки устройство может известить системного администратора, используя электронную почту, или отреагировать на атаку самостоятельно.
Некоторым сервисам необходим неограниченный доступ в Интернет, то есть они не могут работать, находясь за брандмауэром. Для решения этой проблемы также можно воспользоваться средствами маршрутизатора. SMC2304WBR-AG позволяет организовать до восьми так называемых DMZ (демилитаризованная зона). Ресурсы, помещенные в DMZ, логически помещаются за брандмауэр и получают прямой доступ в сеть, становясь полностью доступными для клиентов извне.
В маршрутизаторе реализована поддержка DDNS. Данная функция позволяет организовать web-сайт, почтовый или FTP сервер на одном из компьютеров даже в том случае, если IP-адрес выдаётся динамически.
