nastaveni-sitoveho-routeru-a-z-2-2
Software Článek Nastavení síťového routeru A-Z (2/2)

Nastavení síťového routeru A-Z (2/2) | Kapitola 3

Plexo

Plexo

15. 8. 2008 06:00 13

Seznam kapitol

1. ISO/OSI model 2. Firewall 3. Remote management 4. Nastavení dynDNS

Včera jsme si vysvětlili základy a na jednoduchých příkladech vysvětlili základní funkce. Dneska půjdeme trošku do hloubky a rozebereme si systém fungování sítí podle modelu ISO/OSI. Také se dozvíte jak nastavit správně priority u QoS, prohrajeme si s firewallem, DynDNS službou a samozřejmě vzdálenou správou routeru.

Reklama

Router lze také spravovat vzdáleně přes WAN port. Tato správa je ve výchozím stavu zakázána – v poli Remote Management IP adres jsou pouze nuly. Pokud je potřeba funkci aktivovat, pak se do tohoto pole zadá adresa počítače ze kterého bude vzdálená správa prováděna. Ve výchozím nastavení se správa provádí pře port 80. Ten je také možné změnit na port vyšší jak 1024 např. 8080.

Vlastní správa se pak provádí také přes webový prohlížeč zadáním IP adresy na WAN portu od poskytovatele internetu:číslo portu.

V našem případě tedy bude adresa ve formátu: http://82.16.52.37:8080

Pokud je vzdálená správa povolena, je nutností změnit si heslo pro přístup do konfigurace z výchozího. Tato změna se obvykle provádí v System tools nebo podobně – password.

Nastavení síťového routeru A-Z (2/2)
i Zdroj: PCTuning.cz

V advance security lze nastavit další nastavení integrovaného Firewallu a to konkrétně ochranu proti DoS útokům a útokům využívající protokoly ICMP, UDP a TCP.

Nastavení síťového routeru A-Z (2/2)
i Zdroj: PCTuning.cz

V poli Packet Statistic Interval se nastavuje doba, za kterou bude Firewall pravidelně provádět kontrolu příchozího provozu. Tato doba se pak použije pro vyhodnocování konkrétních útoků.

Aktivovat lze ochranu proti DoS (Denial of Service) útokům záplavového typu, který má za cíl vyřadit z provozu počítač nebo síť tím, že se snaží vygenerovat co největší provoz tak, aby zahltily linku, přes kterou je uživatel připojen k Internetu. K tomu stačí, aby útočník byl připojen k Internetu linkou s vyšší rychlostí než napadený uživatel.

  • ICMP-FLOOD útok využívá zjišťování odezvy pomocí ICMP echo paketu, který může být 65 kB velký. Pomocí zfalšování adresy dotazujícího se počítače pak může dojít k zahlcení linky těmito paketami s maximální velikostí, jelikož velikost paketu odpovědi je stejná jako velikost paketu ICMP echa. Provedení tohoto útoku je velmi snadné.
  • UDP-FLOOD útok se v současné době příliš nevyskytuje, jelikož používá k útoku dnes již prakticky nepoužívané služby echo a chargen. Pomocí těchto služeb může útočník vytvořit zacyklenou komunikaci mezi 2 počítači.
  • TCP-SYN-FLOOD útok využívá systém potvrzení spojení mezi 2 PC. Pokud chce 1. počítač navázat komunikaci odešle paket s příznakem SYN (synchronizace) po přijetí a „potvrzení“ druhým počítačem, tento vyšle paket s příznaky ACK (acknowledge) a zároveň také SYN. První počítač handshaking potvrdí odesláním paketu s příznakem ACK.

Dokud 2. počítač tento paket nedostane, drží pro komunikaci určité systémové prostředky. Pokud tedy útočící počítač (první) chce vyčerpat zdroje druhého počítače, bude mu stále zasílat pakety s příznakem SYN, ale již ne ACK. Druhému počítači pak nezbudou žádné volné zdroje pro pravou komunikaci.

Router umožňuje nastavení citlivosti filtru. U každého typu útoku lze nastavit práh – hodnotu paketů za vteřinu, kterou bude router považovat za útok. Hodnoty není vhodné nastavovat příliš nízké, jelikož by se tak mohli některé oprávněné aplikace považovat za útok. Pokud je zapnutý firewall a některá oprávněná aplikace je nefunkční či nestabilní, lze hodnoty zvýšit.

Je třeba mít na paměti, že zapnuté filtrování těchto útoků sice zvyšuje bezpečnost, ale často na úkor rychlosti. Při nastavení příliš malých hodnot Packet Statistic Interval se spotřebovává značné množství výpočetního výkonu procesoru routeru a to se může negativně projevit právě na snížení rychlosti. Typ nebo spíše výkon procesoru v routeru je tedy důležitým parametrem. Dále lze na této stránce zakázat zcela ping z WAN portu nebo i LAN/WLAN portů.

Předchozí
Další
Reklama
Reklama

Komentáře naleznete na konci poslední kapitoly.

Reklama
Reklama