Router – niedoceniana rola w zakresie bezpieczeństwa sieci lokalnej.
Celem tego artykułu jest poruszenie często niedocenianej roli routera w zakresie bezpieczeństwa informatycznego, jaką spełnia w sieci lokalnej.
Router to urządzenie z odpowiednim oprogramowaniem, które umożliwia komunikację między urządzeniami w naszej sieci lokalnej (jak serwer, komputer, drukarka sieciowa itd.) oraz realizuje dla nich dostęp do Internetu. Funkcję routera może spełniać też część systemu operacyjnego serwera, zarówno opartego o Linux jak i MS Windows w wersji Server.
Nazwa router, wzięła się od funkcji - routingu, czyli wyznaczaniu drogi dla pakietów danych przepływających w sieci komputerowej.
Nas będzie interesować funkcja pośredniczenia w wymianie informacji miedzy np. komputerem w naszej sieci lokalnej a jakimś serwerem w Internecie, np. pocztowym czy WWW, która nazywa się NAT (ang. Network Address Translation).
Skutkiem ubocznym tej funkcji jest podstawowa ale i wysoce skuteczna ochrona sieci lokalnej przed atakami z Internetu. NAT po prostu "chowa" nasze komputery, drukarki i serwery przed dostępem z Internetu, chyba, że to my zainicjujemy komunikację lub na nią zezwolimy lub zrobi to system czy aplikacja na naszym komputerze lub serwerze a nie ktoś czy coś z Internetu, co ma miejsce przy atakach np. typu DDoS (ang. Distributed Denial of Service) lub jest skutkiem działania wirusa.
Brak tej funkcjonalności powodował by, że z Internetem podłączone mogło by być tylko jedno urządzenie z naszej sieci lokalnej, tak jak ma to miejsce w przypadku korzystania z modemu, który już takiej separacji nie oferuje.
Czasem celowo stosuje się wyjątki (tzw. przekierowania portów), które omijają funkcję NAT dla konkretnego urządzenia np. rejestratora wideo, serwera, ale te przekierowanie trzeba najpierw skonfigurować na routerze. Konfigurując taki wyjątek, powinno się mieć świadomość co się z tym wiąże i konfigurować to tylko z braku innej opcji, ponieważ jest to robienie sporej wyrwy w zabezpieczeniu naszej sieci lokalnej.
Routery posiadają również szereg wspomagających mechanizmów wspomagających bezpieczeństwo sieci, które jednak nie będę tutaj omawiać, ponieważ są poboczne.
Jako urządzenie - router, może pełnić także inne przydatne funkcje.
Najbardziej popularną jest funkcja przełącznika sieciowego (ang. switch), przekazującego pakiety z i do routera od i do konkretnego urządzenia w sieci lokalnej, zarówno tego wpiętego do niego kablem LAN oraz w wariancie bezprzewodowym, jako punkt dostępowy WiFi (ang. Access Point). Inną bardzo częstą funkcją routera jako urządzenia jest modem np. ADSL, VDSL, czy światłowodowy, który służy do transmisji danych między dostawcą Internetu a naszym routerem.
Za sprawą dodatkowo rozbudowanego oprogramowania wewnętrznego (ang. firmware), routery też mogą mieć zastosowanie jako: serwer VPN (Virtual Private Network), budżetowy serwer plików NAS (Network Attached Storage) lub serwer FTP (File Transfer Protocol).
Mimo, że firmware routera to najczęściej uproszczona wersja systemu operacyjnego Linux, która nie ma rozbudowanej zapory sieciowej (firewall) czy programu antywirusowego, nie jest zbytnio podatny na ataki inne niż powodujące nadmierne obciążenie - DOS (ang. denial of service). Nie znaczy to, że hakerzy nie doszukują się luk, by następnie wykorzystać je do przeprowadzania ataków i opracowywania wirusów.
Bywają też ataki bardziej bezpośrednie, tj. z pominięciem sieci Internet, bezpośrednio na bezprzewodowy punkt dostępowy WiFi.
Dobrze jest zatem wybrać taki router, w którym jest szansa, że firmware będzie rozwijany dłużej jak okres gwarancji na urządzenie a znalezione luki na bieżąco łatane.
Można też wybrać taki router, który umożliwia zastosowanie alternatywnego firmware opensource, jak choćby Tomato czy DD-WRT, a to dlatego, że społeczność entuzjastów dba o częste aktualizacje, nawet jeśli producent danego routera, już dawno o nim zapomniał.
Same aktualizacje to czasem nie wszystko, bo zmieniane są standardy czy protokoły, które wymagają ponownego wdrożenia / skonfigurowania (jak choćby w przypadku VPN).
Warto też czasem zaglądać w logi routera, by wiedzieć czy dochodzi do ataków lub innych nieprawidłowości o ile router oferuje cokolwiek przydatnego w tej kwestii.
Pieczę nad okresową aktualizacją i monitorowaniem stanu routera, zapewnić może umowa na obsługę informatyczną, którą oferujemy we Wrocławiu.
Umowa serwisowa może być też rozszerzona o gwarantowany Czas Reakcji lub Czas Naprawy. Nie w każdym przypadku sprawdzi się wizyta w Media Mexpert i zakup routera za 100 zł, a następnie naciskanie "Next", na każdej planszy konfiguratora. Czasem jest to kilka godzin pracy informatyka, by odtworzyć konfigurację, chyba, że mamy zrobioną kopię, zaś sprzęt i wersja oprogramowania będzie ta sama.
Jeszcze większej uwagi w zakresie monitorowania i administrowania wymagają serwery, które pełnią dodatkowo funkcje związane z routingiem, szczególnie te wyposażone w systemy MS Windows Server.