DFL-860E Настройка безопасности Wi-Fi в корпоративной сети

Роутер — оборудование, которое подключается к интернету и раздаёт его другим устройствам. В зависимости от используемой модели, подключение осуществляется через WAN порт (оптоволоконное соединение) или через ADSL (телефонная линия). Раздача интернета происходит по LAN-кабелю либо через сеть Wi-Fi.

Проброс портов

Проброс, или перенаправление портов (Port Forwarding) – обязательное условие для доступа через Интернет к подключенным через роутер сетевым устройствам.

Если проброс портов не настроен, возникает ситуация, когда обратившись напрямую по адресу роутера или через сервис DDNS доступны только вход в админчасть и ничего более.

Переход по локальному адресу камеры, регистратора или локального сервера также ничего не дает – видны только папки или пустая страница. Только назначение отдельных портов и настройка перенаправления в роутере, дает возможность «достучаться» до нужной камеры или компьютера.

Разделение сетей на основе VLAN

Чтобы пакеты из Wi-Fi маршрутизатора гарантированно не ходили в корпоративную локальную сеть необходимо их изолировать. Как минимум на уровне виртуальных сетей. Как известно пакеты сети VLAN1 никогда не попадут в сеть VLAN2 и наоборот. То есть все будет работать так, как буд-то это два отдельно стоящих коммутатора не связанных между собой. А как писалось выше, встроенный в шлюз DFL-860E коммутатор поддерживает VLAN на уровне портов. Что собственно нам и надо. Поэтому модернизированная структурная схема будет выглядеть примерно так:

Настройка DFL-860E

Как это задумано в DFL-860E вначале создадим предопределенные переменные, а потом будем их использовать для настройки. Выделяем IP адресацию для новой VLAN подсети. Которая должна отличаться от основной сети. К примеру такую (основная сеть использует адресацию ): Затем в интерфейсах VLAN настраиваем новую виртуальную подсеть. Обратите внимание, что не надо заполнять значение основного шлюза. Настраиваем правило доступа LAN-to-WAN для VLAN8 и размещаем его в самом верху. И теперь самое главное — настраиваем VLAN на каждом порту. Порты на которых такая настройка не произведена автоматически попадают в VLAN1. В интерфейсе DFL-860E это можно сделать следующим образом: Теперь можно осуществить коммутацию, а именно подключить Wi-Fi маршрутизатор к 8-му порту встроенного коммутатора DFL-860E.

Что получили. Изолированную сеть VLAN8 на 8-м порту встроенного коммутатора. VLAN8 имеет неограниченный доступ к порту WAN1 основного шлюза корпоративной сети DFL-860E. IP-адресация этой подсети отличается от основной адресации корпоративной сети. Порту номер 8 встроенного коммутатора присвоили статический IP адрес. Будем его использовать в качестве адреса шлюза по-умолчанию для WAN порта Wi-Fi маршрутизатора.

DMZ в виртуальной среде

При построении сети внутри облака может возникнуть вопрос организации демилитаризованной зоны (DMZ), достаточно часто используемой в физических сетях.

Отличается ли DMZ в физической реализации от реализации ее в виртуальной среде публичного облака в модели IaaS?

Разберем все по порядку и начнем, пожалуй, с определения, важного для понимания сути вопроса. Итак, демилитаризованная зона (DMZ) — это сегмент сети, содержащий общедоступные сервисы и отделяющий их от внутренних, частных сетей организации

Итак, демилитаризованная зона (DMZ) — это сегмент сети, содержащий общедоступные сервисы и отделяющий их от внутренних, частных сетей организации.

Читайте также:  Купить накрутку ботов Ютуб недорого и безопасно для канала и стрима

На рисунке 3 сеть Public network 1, по сути, можно назвать демилитаризованной зоной.

В физической реализации демилитаризованная зона находится между локальной сетью компании и публичной сетью Интернет, располагаясь в сетевом пространстве брандмауэра. В DMZ разрешен предопределенный тип трафика, а необходимость ее построения заключается в требованиях предоставления доступа к публичным сервисам компании, таким как почта, терминальные серверы, веб-серверы и прочее.

Априори такой тип организации сети, по сравнению с внутренними изолированными сетями, считается более уязвимым в плане безопасности. Поскольку обращение к сегменту DMZ происходит из незащищенной сети Интернет, возможны попытки организации различных видов атак.

При организации DMZ в физической среде, как и в среде виртуальной, существуют различные сценарии. По сути, создается выделенная логическая подсеть, на границах которой должны размещаться средства безопасности, такие как брандмауэр.

Возможен сценарий использования Front End / Back End брандмауэра. Пример такой схемы представлен на рисунке 4.

Рисунок 4. DMZ в сценарии Front End / Back End брандмауэра

В таком сценарии мы видим наличие двух фаерволов на границе каждой сети. При попытке атаки зоны DMZ из публичной, небезопасной сети Интернет, злоумышленник на своем пути встречает «защиту» в виде пограничного фаервола.

Внутренняя сеть компании отделена от DMZ дополнительной «подушкой безопасности» в виде пограничного внутреннего фаервола. Такой сценарий считается не очень бюджетным, поскольку подразумевает наличие минимум двух брандмауэров, что влечет за собой дополнительные расходы. Зато в плане безопасности такой сценарий является рекомендуемым.

Более простым сценарием с DMZ является наличие одного брандмауэра, как продемонстрировано на рисунке 5. Такая модель носит название трехногой топологии и очень часто встречается на практике в силу своей бюджетности. Такая топология считается менее безопасной.

Рисунок 5. DMZ в сценарии «трехногой» конфигурации

Какие проблемы может вызвать двойной NAT

Когда в вашей сети есть двойной NAT, вы можете столкнуться с проблемами с услугами, для которых требуется поддержка UPnP (Universal Plug-and-Play) или ручная переадресация портов. Это будет включать онлайн-игры на компьютерах или консолях, удаленный рабочий стол на компьютеры, подключение к VPN-серверу или доступ к каналам камеры безопасности. Такие службы иногда требуют, чтобы определенные порты открывались в брандмауэре маршрутизатора и направлялись на определенный компьютер или устройство в сети.

На этом снимке экрана показано, как я настроил свой маршрутизатор для перенаправления портов, чтобы я мог использовать удаленный SSH (Secure Shell) на сервере в локальной сети. Я не могу этого сделать, если мой шлюз также выполняет NAT (преобразование сетевых адресов).

Какие проблемы может вызвать двойной NAT

Проблема с двойным NAT заключается в том, что если первый маршрутизатор в вашей сети не настроен для переадресации портов, входящий трафик прекратится там, даже если на втором маршрутизаторе настроен порт вперед. Даже если первый маршрутизатор имеет порт вперед, он не может перенаправить трафик на устройство, подключенное ко второму маршрутизатору. Он может перенаправлять только трафик на компьютеры и устройства, напрямую подключенные к этому первому маршрутизатору, который может быть либо беспроводным, либо проводным.

Двойной NAT также может усложнить любые ручные или автоматические элементы управления качеством обслуживания (QoS), которые определяют приоритетность трафика в вашей внутренней сети, чтобы обеспечить чувствительный к задержкам трафик (игра, голос или видео), которому присваивается более высокий приоритет, чем данные, связанные с файловыми передачами. Это особенно важно, если у вас есть устройства, подключенные к обоим маршрутизаторам, оба из которых имеют разные элементы управления QoS.

На этом снимке экрана отображаются параметры QoS (Quality of Service) моего маршрутизатора, которые я настроил для назначения приоритета VoIP (Voice over Internet Protocol).

Какие проблемы может вызвать двойной NAT

Процесс настройки

Настройка осуществляется в несколько этапов.

Читайте также:  Как узнать с кем переписывается человек в Инстаграме

Отключение DHCP сервера

Исправление ошибки «Получение IP-адреса» при подключении Андроид к вайфай

Для корректной работы всех подключений, в сетевом оборудовании имеется свой DHCP сервер. Он присваивает IP-адрес новым устройствам из заданного диапазона адресов. Для правильной работы в режиме свитча эту функцию необходимо отключить. Сделать это можно следующим способом.

  • В панели управления — найти меню настроек и в нем пункт «DHCP».
  • В разделе «Настройки DHCP» поставить галочку «отключить».
  • Сохранить изменения

Важно! Если роутер старый, то на нём может отсутствовать функция DHCP. В таком случае просто перейти к следующим настройкам.

Отключение Wi-Fi

Роутеры, используемые как свитчи, с Wi-Fi сетью не раздают интернет. Стоит отключить эту функцию.

  1. В панели управления перейти на вкладку «Беспроводной режим».
  2. Выбрать «Настройки беспроводного режима».
  3. Убрать галочку с пункта «Включить беспроводное вещание».
  4. Сохранить изменения.

Настройка IP

IP-адрес роутера должен отличаться от адресов всех подключённых устройств. При совпадении IP, отправленный пакет данных с одного компьютера может не дойти до адресата.

  1. В настройках выбрать в разделе «Сеть» пункт «LAN».
  2. В поле «IP-адрес» ввести свободный.
  3. Выбрать маску подсети.
  4. Нажать «Сохранить».

После этого адрес настроек изменится. Ввести новый назначенный адрес (если перенаправление не произошло автоматически) и заново пройти авторизацию.

Настройка динамического DNS

Данная функция на маршрутизаторе соединяется с адресом сервиса-провайдера и позволяет перевести доменные имена в соответствующие адреса.

  1. В админ панели перейти на вкладку «Динамический DNS».
  2. В окне «Функции DDNS» убрать галочку с пункта «Включить DDNS», либо выбрать «Отключить» (зависит от модели оборудования).
  3. Применить изменения нажав на «Сохранить».

Настройка WAN

Использование роутера в качестве свича не позволяет использовать WAN порт. В настройках только следует указать IP-адрес другой подсети.

Настройки безопасности

Многие роутеры используют встроенный firewall для фильтрации сетевого трафика. Как правило, в режиме свитча он может блокировать некоторые соединения по локальной сети. Эту функцию требуется отключить.

  1. Во вкладке «Безопасность» выбрать «Настройки базовой защиты».
  2. Выключить «Межсетевой экран».
  3. «Сохранить».

Важно! В зависимости от прошивки, настройки безопасности могут находиться в разделе DMZ

Отключение DMZ

DMZ функция позволяет открывать доступ к необходимым сегментам сети извне. Создаётся специальная зона, в которую вносятся адреса устройств, и они становятся полностью доступны для удалённого управления. При этом оставшаяся часть сети скрыта. Если эта функция присутствует на маршрутизаторе, то её также необходимо отключить.

  1. В разделе переадресация выбрать пункт DMZ.
  2. Выбрать текущее состояние «Отключить».
  3. Применить изменения.

Изменить режим на «шлюз» или «свитч»

Если в веб-интерфейсе настроек присутствует выбор режима работы устройства, то в этом пункте установить режим на «шлюз» или «свитч».

После выполнения всех настроек сохранить и перезагрузить маршрутизатор.

Почему Universal Plug and Play небезопасен

Компьютерные технологии призваны облегчать работу различных современных гаджетов. Но при их использовании существуют риски:

  • Доступ глобальной сети.

Изначально планировалось использовать этот умный сервис для связи домашних компьютерных гаджетов только на локальном уровне внутри одной сети. Эта система настолько прижилась в IT-мире, но и многие модифицированные роутеры теперь включают UPnP в прошивку по умолчанию, тем самым давая доступ к самому маршрутизатору и всем подключенным к нему девайсам сети Интернет. Этим могут воспользоваться компьютерные злоумышленники (получить доступ к чужому ПК, использовать подключенные устройства для рассылки спама и вирусов).

Почему Universal Plug and Play небезопасен
  • Ошибки программирования устройств.

Не все электронные гаджеты поспевают за обновлениями программных обеспечений. UPnP совершенствуется разработчиками каждый год, но мошенники находят уязвимые места в программах подключенных устройств и тем самым обходят защиту UPnP и подключаются к персональным устройствам пользователя из его локальной сети.

Параметры конфигурации брандмауэра на AVM FRITZ! Коробочные маршрутизаторы

В случае маршрутизаторов AVM у нас также есть достаточно настраиваемый межсетевой экран. Чтобы получить доступ к брандмауэру, нужно перейти в меню с тремя вертикальными точками и выбрать «Расширенный вид». В главном меню мы идем в « Интернет / Фильтры «В этом разделе у нас будет все, что связано с брандмауэром и QoS.

Параметры конфигурации брандмауэра на AVM FRITZ! Коробочные маршрутизаторы

На вкладке «Списки» мы можем активировать брандмауэр в скрытом режиме, чтобы не отвечать эхо-ответом на любой эхо-запрос, отправленный на порт WAN. Другими интересными вариантами конфигурации являются блокировка порта 25, который является типичным для отправки электронных писем без какого-либо шифрования. AVM позволяет нам напрямую блокировать его, чтобы защитить себя. Мы также можем активировать фильтрацию NetBIOS и даже Teredo, то есть, если мы не используем эти сервисы, лучше всего заблокировать их для безопасности.

Читайте также:  Наиболее распространенные проблемы iPhone 11 Pro и способы их решения

Хотя это не сам брандмауэр, нахождение в среде NAT может привести к тому, что у нас будут открытые порты, которые мы на самом деле не используем. Всегда настоятельно рекомендуется закрывать любой тип порта, который не используется, поскольку он может быть шлюзом для киберпреступников.

Параметры конфигурации брандмауэра на AVM FRITZ! Коробочные маршрутизаторы

То же самое и с FRITZ! Box Services, если мы не хотим «определять местонахождение» маршрутизатора и получать к нему удаленный доступ через его общедоступный IP-адрес, лучшее, что мы можем сделать, это отключить этот доступ, помните, что мы также можем получить доступ через VPN а затем получить доступ к частному IP шлюза по умолчанию.

Как вы можете видеть, мы можем создать несколько VPN-подключений, как VPN с удаленным доступом, так и VPN типа Site-to-Site с этими маршрутизаторами AVM, все из которых всегда используют протокол IPsec, в настоящее время он не поддерживает ни OpenVPN, ни Wireguard.

Параметры конфигурации брандмауэра на AVM FRITZ! Коробочные маршрутизаторы

Поэтому настоятельно рекомендуется, чтобы, если у нашего маршрутизатора были службы, доступные для Интернета, мы «выставляли» только те, которые мы собираемся использовать, а не все, потому что для безопасности всегда необходимо закрывать и блокировать все порты. Кроме тех, которые не у нас нет другого выбора, кроме как открыть.

Настройка DMZ на роутере

Роутеры позволяют добавить в DMZ только одно устройство. Роутер должен получать «белый» IP-адрес. Только в этом случае будет возможен доступ к нему из глобальной сети . Информацию об этом можно получить у вашего интернет провайдера. Некоторые провайдеры бесплатно выдают внешний IP-адрес, но зачастую за эту услугу требуется дополнительная плата.

Установка статического IP-адреса

Добавить в DMZ можно только компьютер, имеющий статический IP-адрес. Поэтому первым делом меняем его. Для этого открываем свойства сетевого подключения и в настройках TCP/IP прописываем статический IP-адрес в диапазоне адресов вашей сети. Например, если у вашего роутера IP , то для компьютера можно указать Маска подсети стандартная – А в поле «Шлюз» нужно указать адрес вашего роутера.

Следует обратить внимание, что IP-адрес, заданный компьютеру не должен быть в диапазоне адресов, раздаваемых .

На этом настройка компьютера завершена и можно переходить к настройкам роутера.

Настройка роутера

Первым делом DMZ на роутере нужно включить, поскольку по умолчанию она всегда отключена.

Настройка DMZ на роутере

Находим соответствующий пункт меню в веб-интерфейсе устройства :

  • На роутерах Asus нужная вкладка так и называется – DMZ.
  • На роутерах TP-Link откройте пункт «Переадресация», а в нём будет подпункт DMZ.
  • У D-Link ищите пункт «Межсетевой экран».

В любом случае на вкладке настроек нужно поставить галочку в поле «Включить». А рядом найти поле, которое называется «Адрес узла DMZ» или «Адрес видимой станции» (в зависимости от модели роутера могут быть другие варианты). В это поле вписываем статический адрес компьютера или другого устройства, которое нужно добавить в DMZ. В нашем случае это

Сохраните настройки и перезапустите роутер. На этом всё: все порты на выбранном ПК открыты. Любая программа, которая использует входящие подключения, будет думать, что выходит в сеть напрямую. Все остальные программы будут работать в штатном режиме.

Ниже приведен пример настройки маршрутизатора с англоязычным интерфейсом.

Создание DMZ удобный способ упростить работу нужных программ, однако следует иметь в виду, что открытый доступ к ПК повышает риски сетевых атак и заражения вирусами.

Поэтому на устройстве, используемом в качестве узла DMZ, нужно обязательно установить файервол и антивирусную программу.