Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Advanced Search
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Jaki niskobudżetowy router? Zaawansowane filtrowanie ip,mac

lukzak2298 20 Oct 2009 18:26 5116 8
Reply | New topic
  • #1
    lukzak2298
    Level 18  
    Witam!

    Pracuję w pewnej firmie zajmującej się produkcją urządzeń do sterowania różnymi rzeczami. Szafy sterownicze instalujemy w całej Polsce (nie istotne). Potrzebujemy dobrać router, najlepiej niskobudżetowy, który zrealizuje następujące funkcje:

    - przekieruje połączenie z internetu na porcie np. 1001 do urządzenia za routerem
    - przekieruje tylko połączenie z określonego adresu IP o określonym MAC'u
    - chcielibyśmy żeby dało się połączyć z naszymi urządzeniami jedynie z 2 komputerów w Polsce (łączących się ze statycznego IP publicznego, znamy MACi sieciówek w tych 2 komputerach)
    - połączenie wykorzystywać ma jeden port, wszystkie inne porty mają być zablokowane

    Podłączenie naszego urządzenia:
    usługa DSL (TPSA) <-> Modem DSL <-> router <-> nasze urządzenie (port 1001)

    Brakuje nam jedynie Routera, mamy problem z dobraniem czegoś.

    Wymyśliliśmy router Linksys, jakiś taki w okolicach 200zł, ale okazało się że na nim nie można zdefiniować adresów IP i MAC'ów z których można się podłączyć z zewnątrz naszego urządzenia (z których będą przyjmowane połączenia na tym porcie 1001).

    Mam nadzieję że mnie rozumiecie. Szukam jakiegoś sprzętu do kwoty max 1000zł który zrealizuje te zadania.


    Jeżeli nieda się znaleźć nic konkretnego to w jaki sposób można skorzystać z wbudowanego w router VPNa do blokowania dostępu z zewnątrz = pozwalać nawiązać z naszym urządzeniem połączenie jedynie z tych 2 komputerów.

    Jak zabezpieczyć dostęp do naszego urządzenia przy minimalnych środkach? Bardzo proszę o pomoc.

    Pozdrawiam - Łukasz Z.
  • #2
    K4c2m4r
    Level 11  
    Dlaczego wykluczyliście tego linksysa? Domyślam się, że chodziło o popularnego WRT54G, ze zmodyfikowanym oprogramowaniem. Ewentualnie inny router tego typu np. Asus WL-500G. Należy być ostrożnym przy zakupie nowego z oryginalnym softem, bo może się okazać że nie ma już możliwości podmiany i najlepiej kupić z już wgranym tomato czy dd-wrt /open-wrt.

    Wtedy jest możliwość wykorzystania iptables zupełnie jak na zwykłym linuksowym systemie. Wtedy jest możliwość filtrowania zarówno po MAC jak i IP. Wszystko opisane jest ładnie w manualu iptables jak i w bazie google. Przy czym jakiekolwiek filtrowanie MAC przy komunikacji poza LAN nie działa. MAC zmienia się przecież z każdym fizycznym urządzeniem używanym w transmisji a więc nie ma związku z ruchem IP. Musi wystarczyć standardowe filtrowanie adresu IP/port.

    Na tym samym routerze można utworzyć sieć VPN, do której dostęp będą miały tylko określone urządzenia, doskonale nadają się do tego wspomniane wcześiniej routery. Dokładniej uruchomienie OpenVPN opisane jest na forum openlinksys.info np. http://openlinksys.info/forum/viewthread.php?forum_id=38&thread_id=8819

    Ostatecznym rozwiązaniem może być postawienie zwykłego serwerka linuksowego zamiast routera, i skonfigurowanie na nim wszystkiego gdyby były problemy dot. współpracy routera z modemem DSL.
  • #3
    lukzak2298
    Level 18  
    Mamy problem, bo musi wystarczyć router. W naszych szafach sterowniczych niema za dużo miejsca. Poza tym rozwiązanie narazie ma charakter pilotażowy i musi być niskobudżetowe.

    Proszę napisać jak dużym ryzykiem jest filtrowanie ruchu tylko po IP? Z tego co mi wiadomo to dla informatyka (żeby nie powiedzieć hackera) łatwo jest podszyć się pod jakiś adres IP...

    Domyślam się że iptables to filtrowanie IP zewnętrznych komputerów, czy tak? Który z niskobudżetowych routerów (z fabrycznym softem) obsługuje taką funkcjonalność?

    Czy obecnie upatrzony przez nas model routera RVL200 potrafi filtrować ruch z zewnątrz po IP nadawcy?

    Instrukcja do RVL200
    http://www.cisco.com/en/US/docs/routers/csbr/rvl200/administration/guide/RVL200_V10_UG_C_WEB.pdf
  • Helpful post
    #4
    K4c2m4r
    Level 11  
    Generalnie całość filtrowania w przypadku firewalli zarówno sprzętowych jak i programowych odbywa się po IP. Myślę że bez wymuszania logowania na urządzeniu docelowym (to co za routerem), bądź implementacji VPN bezpieczniej już się nie da.

    Podszyć się pod inny adres IP jest być może stosunkowo łatwo, jednak dużo trudniej jest zdobyć wiedzę pod jaki konkretnie adres się podszyć. Najbezpieczniejsze jest VPN, ponieważ pozwala zaszyfrować również adresy IP komunikujących się urządzeń, tak aby potencjalny haker nie wiedział jakie maszyny się połączyły. Konfiguracja jest dokładnie opisana w załączonej instrrukcji.

    RVL200 jak najbardziej potrafi zrobić wszystko to czego możecie oczekiwać.
  • #5
    lukzak2298
    Level 18  
    Dzięki za odpowiedź, proszę mi jeszcze napisać (upewniam się):

    - czy ten router RVL200 może filtrować wszystkie adresy IP (publiczne) z jakich są nawiązywane połączenia (za wyjątkiem 2 wybranych przezemnie) do wewnątrz mojej sieci (na 4 przekierowanych portach).

    Filtrować konkretne adresy IP routery domowe Linksysa mogą jedynie wewnętrzne adresy, zewnętrzne można filtrować tylko w przypadku logowania się do menu routera a nie wszystkich połączeń do wnętrza mojej sieci
  • #6
    K4c2m4r
    Level 11  
    Quote:
    Access rules evaluate network traffic to decide whether
    or not it is allowed to pass through the Router’s firewall.
    Access Rules look specifically at a data transmission’s
    source IP address, destination IP address, and IP protocol
    type, and you can apply each access rule according to a
    different schedule.
    With the use of custom rules, it is possible to disable all
    firewall protection or block all access to the Internet, so
    use extreme caution when creating or deleting access
    rules.
    The Router has the following default rules:
    All traffic from the LAN to the WAN is allowed.
    All traffic from the WAN to the LAN is denied.
    Custom rules can be created to override the above default
    rules, but there are four additional default rules that will
    be always active and cannot be overridden by any custom
    rules.
    HTTP service from the LAN to the Router is always
    allowed.
    DHCP service from the LAN is always allowed.
    DNS service from the LAN is always allowed.
    Ping service from the LAN to the Router is always
    allowed.


    To wycinek z instrukcji, więc wynika z niego że można wpływać na to jaki ruch będzie przenoszony z WAN na LAN czyli to co Ciebie konkretnie interesuje.

    Gdyby oczywiście okazało się, że to rozwiązanie nie działa jak powinno to pozostaje stosunkowo łatwy w konfiguracji VPN.
  • #7
    lukzak2298
    Level 18  
    ok, zgadzam się, tylko czy to VPN jest wykorzystywane do szyfrowania połączenia (dla samego zabezpieczenia transmisji?) czy ograniczania możliwości przyłączenia się do urządzenia przez innych użytkowników?

    Rozumiem że ten VPN nie wykorzystuje klucza, który użytkownik musi mieć w postaci specjalnego pliku a jedynie użytkownik musi znać hasło i login, czy tak?
  • #8
    tzok
    Moderator of Cars
    Linksysowe QuickVPN jest "takie sobie" - generowany losowo klucz i parametry tunelu IPSec są przesyłane przez ftp i uwierzytelniane certyfikatem, niemniej wszystkie routery Linksysa z QuickVPN mają możliwość zestawienia statycznego tunelu IPSec w oparciu o klucz współdzielony. Problem w tym, że IPSec nie przez każdą sieć przejdzie i po "drugiej stronie" też może być brama VPN. Neostrada ma co prawda dynamiczne IP ale klient IPSec pozwala na określenie nazwy DNS, a sam router ma klienta DynDNS do dynamicznej aktualizacji adresu IP aliasu DynDNS.

    Transmisja w tunelu jest szyfrowana i tylko osoba znająca klucz i posiadająca certyfikat ma dostęp do tunelu, albo wszystkie komputery w sieciach pomiędzy którymi jest tunel mają wzajemny dostęp do siebie (jakby były w jednej sieci). Niektóre routery mają dodatkowo możliwość stosowania filtrów MAC/IP dla tuneli (ale od drugiej strony - tzn. tylko wybrane komputery z sieci LAN mają "wyjście" przez tunel) - np. D-Link DI-824VUP+ czy DI-804HV. Ponadto te D-Linki posiadają serwery VPN L2TP i PPTP (do których oprogramowanie klienckie jest w Windowsach od czasu Win 2000).
  • #9
    lukzak2298
    Level 18  
    Ostatecznie zdecydowałem się na LinSysa RV042-EU

    Quote:
    Opis produktu
    Zaawansowany router Linksys z obsługą dwóch złącz WAN, firewallem oraz 4-portowym przełącznikiem 10/100. Bardzo przydatne urządzenie do zastosowania w małej i średniej firmie. Dzięki obsłudze kanałów VPN umożliwia dostęp do własnych zasobów za pośrednictwem szyfrowanego połączenia w każdym miejscu na ziemi.

    Specyfikacja:
    procesor Intel IXP425-266,
    pamięć DRAM 32MB,
    pamięć flash 8MB, 2 porty WAN FastEthernet 10/100 mogące pracować w konfiguracjach:
    Smart Link Backup - użytkownik definiuje łącze główne, drugie staje się łączem zapasowym w momencie awarii pierwszego,
    Load Balance - ruch jest dynamicznie rozkładany pomiędzy obydwa łącza,
    jeden z portów WAN można wykorzystać do ustawienia strefy zdemilitaryzowanej (DMZ), w której komputery znajdują się pomiędzy WAN a LAN, będąc jednocześnie chronione przed atakami DoS,
    konfiguracja IP portów WAN:
    statyczne IP,
    dynamiczne IP (klient DHCP),
    PPPoE (Point to Point Protocol over Ethernet),
    PPTP (Point to Point Tunelling Protocol
    ),
    4 portowy przełącznik LAN FastEthernet 10/100
    indywidualna konfiguracja każdego portu - szybkość 10/100, duplex, auto negocjacja, wyłączenie / włączenie portu, priorytetyzacja ruchu na każdym porcie (normalny / wysoki),
    ściana ogniowa (firewall):
    wykorzystuje mechanizm SPI (Stateful Packet Inspection) śledzący pakiety przechodzące przez router, wykrywa ataki typu DoS (Denial of Service),
    możliwość definiowania polityk dostępu (Access rules) dla różnych portów TCP/IP w zależności od interfejsu źródłowego oraz adresów IP źródła i celu wraz z możliwością określenia czasu działania danej reguły,
    blokada dostępu do zabronionych domen w określonym czasie,
    30 kanałów VPN IPSec DES/3DES,
    przepuszczanie ruchu szyfrowanego (VPN Pass-thru): IPSec, PPTP, L2TP,
    przekierowywanie portów (forwarding):
    Port range forwarding - przekierowanie poszczególnych usług TCP/IP na komputery w sieci LAN,
    Port triggering - przyporządkowywanie zakresów portów wychodzących do portów przychodzących,
    UPnP forwarding - możliwość edycji ustawień forwarding-u przez mechanizm UPnP w Windows XP,
    One-to-One NAT - przyporządkowywanie publicznych adresów IP do adresów prywatnych,
    routing statyczny i dynamiczny (RIP-1/2),
    serwer DHCP z możliwością przypisywania adresów IP do numerów MAC,
    MAC address cloning - możliwość zdefiniowania dowolnych adresów MAC dla interfejsów WAN,
    strefa zdemilitaryzowana (DMZ) dla jednego lokalnego adresu IP,
    SNMP v.1 / 2c,
    tworzenie logów systemowych:
    w pamięci routera (System / Access / Firewall / VPN),
    wysyłanie logów na serwer syslog,
    wysyłanie alarmów na podany adres e-mail,
    pobieranie aktualnego czasu z serwerów NTP,
    dynamiczny DNS dla interfejsów WAN (DynDNS.org),
    protocol binding - przypisywanie usług do konkretnego portu WAN,
    NSD - network service detection - sprawdzanie poprawności działania połączenia internetowego,
    statystyki on-line dla każdego portu:
    typ, interfejs, status, priorytet, prędkość, duplex, autonegocjacja,
    ilość wysłanych / odebranych pakietów,
    ilość wysłanych / odebranych bajtów,
    ilość wysłanych / odebranych pakietów błędnych,
    lokalne i zdalne zarządzanie przez przeglądarkę WWW, Telnet, SNMP, Setup Wizard,
    zasilacz zewnętrzny,
    metalowa obudowa o wymiarach 130 x 39 x 200 mm


    Niestety musiałem sam rozwiązać problem jak przekierować 2 porty z zewnątrz do jednego urządzenia wewnątrz sieci tak żeby dało się do tego urządzenia połączyć tylko z dwóch wybranych zewnętrznych adresów IP. Niestety bo ludzie na hotline w Cisco nie widzieli jak to zrobić. Wbrew pozorom nie jest takie intuicyjne jak mogło by się wydawać. Musiałem więc sam wyczaić jak się to robi samemu a następnie nauczyć tych (...). Więc jakby ktoś miał podobny problem to niech śmiało do nich dzwoni - już potrafią...

    Mogę podejrzewać że nie jest to urządzenie najniższych lotów, bo pracuje 24/dobę od początku listopada 2009 i nie było ani jednego zwisu/awarii. Sam jestem zaskoczony.

    Czy ktoś z szanownych Kolegów mógłby mi uzmysłowić jakim stopniem trudności cechuje się operacja podszycia się pod jakiś adres IP w sieci? Tak żeby mój router myślał że ktoś łączy się np. z mojego adresu IP i go przepuścił?


    Pozdrawiam
Reply | New topic