NEXT 12/2008 - Prawidłowe ustawienia

Współczesne sieci bywają bardzo rozbudowane, dlatego wymagają stosowania wielu różnych mechanizmów i usług. W artykule pokazujemy, jak korzystać z tych podstawowych, aby wszystko sprawnie działało.

Nawet prosta sieć podłączona do internetu wymaga usługi rutingu (wymiany pakietów między siecią lokalną a globalną), serwera DNS, DHCP, filtra pakietów, zapory stanowej, niekiedy też filtrów treści. W najprostszych przypadkach wszystkie te usługi udostępni jeden wielofunkcyjny ruter.

Protokół DHCP

Podczas konfiguracji sieci nieocenione usługi świadczy serwer DHCP. Każdy komputer podłączony do sieci otrzymuje adres IP i maskę podsieci, a także parametry niezbędne do połączenia z internetem: adres domyślnej bramy internetowej (rutera) i serwera DNS. Jednak protokół DHCP może utrudniać zapanowanie nad większą siecią, ponieważ zbyt łatwo będzie do niej podłączyć dowolne urządzenie. Poza tym dynamiczne przydzielanie adresów IP urządzeniom sieciowym, np. punktom dostępowym czy drukarkom, powoduje, że trudno je później odnaleźć w sieci. Dlatego w sieciach firmowych często nie ma serwerów DHCP – każdy punkt w sieci ma ręcznie ustawiony (przez administratora) adres IP. Ponadto statyczne adresy IP są pożądane podczas korzystania z filtrów czy przekierowania portów.

Istnieje pośrednia metoda przypisywania adresów IP. To tzw. rezerwacja adresów polegająca na powiązaniu danego adresu MAC z adresem IP. Na podstawie tego pierwszego serwer DHCP przydziela danemu urządzeniu dynamicznie adres IP, ale zawsze jest to ten sam adres (nie ma wygasania dzierżawy adresu, tak jak w normalnej konfiguracji DHCP). Z takiej opcji pozwalają skorzystać niemal wszystkie domowe rutery, a także serwery DHCP uruchamiane np. na Linuksie).

Skuteczne szyfrowanie

Podstawą zabezpieczeń sieci WiFi jest obecnie szyfrowanie WPA lub WPA2 (oba w wersji PSK, czyli Pre-Shared Key). Jedynym wymaganiem jest jednokrotne ustawienie w interfejsie konfiguracyjnym rutera frazy służącej do generowania kolejnych kluczy szyfrujących. W urządzeniach korzystających z sieci wymagane jest podanie tej samej frazy. Bezpieczeństwo zapewnia m.in. to, że klucze generowane na podstawie frazy są dynamiczne, zmienne w czasie.

Mimo niezwykłej łatwości korzystania ze współczesnych metod szyfrowania producenci sprzętu oferują kolejne rozwiązania. Dwa lata temu organizacja WiFi Alliance wprowadziła rozwiązanie WiFi Protected Setup (WPS) standaryzujące zabezpieczenia tego typu. Dzięki WPS w urządzeniach sieciowych pojawiły się dodatkowe możliwości szyfrowania. Jednym z nich jest numer PIN, który służy do skojarzenia dwóch urządzeń (podłączania karty sieciowej do punktu dostępowego). Zamiast frazy służącej do generowania kluczy szyfrujących, korzysta się z 8-cyfrowego numeru. Drugą metodą jest przycisk na obudowie rutera i ewentualnie karty sieciowej (tzw. Push Button), który umożliwia połączenie urządzeń praktycznie bez uruchamiania programu konfiguracyjnego.

Kierowanie pakietami

Prawidłowa konfiguracja sieci nie oznacza jeszcze, że wszystkie aplikacje będą działały w niej bez zastrzeżeń. Świetnym przykładem są wszystkie programy peer to peer. Ich zasada działania jest taka, że każdy z programów działających na dowolnym komputerze powinien mieć bezpośredni dostęp do portów otwartych przez aplikację na dowolnym innym komputerze w internecie. Jeśli choćby jeden z nich jest za ruterem, porty otwarte przez niego nie są dostępne dla innych, łączność zostaje ograniczona.

Rozwiązaniem problemu jest funkcja przekierowania portów, tzw. Port Forwarding lub Virtual Server. Wszystkie pakiety trafiające z internetu do rutera, na określony jego port, są kierowane do komputera (adresu IP), do portu o tym samym lub innym numerze. Dzięki temu dana usługa (wspomniana aplikacja P2P, czy też dowolne oprogramowanie serwerowe) jest widoczna w internecie tak, jakby działała na maszynie bezpośrednio podłączonej do sieci.

Szczególną odmianą przekierowania portów jest DMZ (z ang. DeMilitarized Zone). W tym przypadku do określonego komputera nie są kierowane wybrane pakiety przychodzące z internetu, lecz cały ruch sieciowy. To dobre rozwiązanie dla wielofunkcyjnego serwera (WWW, FTP, poczta) działającego w sieci lokalnej, który ma być jednocześnie dostępny z zewnątrz sieci. Należy przy tym pamiętać, że skierowanie całego ruchu sieciowego do jednego komputera powoduje, iż jest on narażony na wszelkie ataki, bo praktycznie jest pozbawiony ochrony firewalla.

Niektóre aplikacje sieciowe mają specyficzne wymagania co do konfiguracji ruterów, np. wysyłają dane z jednego portu, a oczekują na dane zwrotne zupełnie na innym porcie. W takim przypadku funkcja Port Forwarding się nie sprawdza, ale mimo to nowe aplikacje współpracują idealnie ze współczesnymi ruterami, a to dzięki architekturze UPnP. Pozwala ona programom samodzielnie ustawiać odpowiednie mapowanie portów na ruterze i dynamicznie przekierowywać porty. Oczywiście ruter musi obsługiwać UPnP i mieć tę funkcję włączoną. W wielu przypadkach jest domyślnie wyłączona, ponieważ potencjalnie zagraża bezpieczeństwu – źle napisana aplikacja może otworzyć zbyt wiele portów.

Filtry IP, MAC, URL

Nieocenioną korzyść mogą dać wszelkie rodzaje filtrów, których zadaniem jest eliminacja z sieci zbędnego ruchu. Przede wszystkim może to być filtr IP, który jest jednocześnie filtrem usług sieciowych. Klasyczna postać reguły filtrowania zawiera adresy IP (źródłowe i docelowe), numery portów, kierunek przesyłania danych, protokół, akcję (zezwolenie lub zablokowanie), harmonogram itd.

Przy konfiguracji adresów IP z wykorzystaniem protokołu DHCP filtry tego typu przestają mieć sens, bo adresy IP poszczególnych komputerów zmieniają się. Dlatego też pożądana jest ich statyczna konfiguracja, a także – w niewielkich sieciach – wspomaganie w postaci filtru MAC. Ten ostatni powinien zawierać listę adresów z dozwolonym dostępem do sieci. Należy jednak pamiętać, że w niektórych ruterach filtr MAC dotyczy tylko klientów bezprzewodowych, zupełnie nie mając wpływu na sieć LAN.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Optymalna konfiguracja »
  jak dobrać podzespoły do komputera
• Wycisnąć wszystko, co się da »
  poradnik podkręcania
• Zanim zaczniesz dzwonić »
  konfiguracja bramki VoIP
• Konfiguracja systemu »
  Windows 7 instalacja i spolszczenie
• Przyjazne środowisko pracy »
  tips & tricks