Do redakcyjnego laboratorium trafił nowy router firmy TP-Link: Archer C5400. Ma gigabitowy przełącznik oraz moduł sieci bezprzewodowej obsługujący techniki MU-MIMO i Beamforming. (Zadaniem tej drugiej jest kontrolowanie i korygowanie rozgłaszanego sygnału tak, by najdalej oddalonym urządzeniom zapewnić optymalne – stabilne i szybkie – połączenie). Router został wyposażony w osiem anten, które pozwalają mu rozgłaszać trzy niezależne sieci: jedną na częstotliwości 2,4 GHz i dwie w paśmie 5 GHz. Przyjęte rozwiązanie pozwala osiągnąć łączną prędkość dochodzącą do 5334 Mb/s: w paśmie 2,4 GHz – do 1000 Mb/s, a w dwóch pasmach 5 GHz – do 2167 Mb/s. Trzy odrębne sieci pozwalają na rozłożenie ruchu sieciowego, a tym samym przydzielenie każdej z sieci bezprzewodowych do odrębnych zadań, na przykład do strumieniowania multimediów czy obsługi gier. Dodatkowo router wykorzystuje technikę Smart Connect, która automatycznie dobiera najlepsze pasmo dla każdego z podłączonych do sieci urządzeń. Parametry techniczne na papierze wyglądają ciekawie; czas ocenić, jak urządzenie sprawdza się w praktyce.
TP-Link Archer C5400 – specyfikacja, konstrukcja
Oto podstawowe dane techniczne testowanego urządzenia:
TP-Link Archer C5400 – dane techniczne | |
---|---|
SoC | Broadcom BCM4709C, 2 rdzenie, 1,4 GHz Procesory pomocnicze dla każdej rozgłaszanej sieci: Broadcom BCM4366 |
RAM | 512 MB |
Flash | 256 MB |
Porty | 4 porty LAN 10/100/1000 Mb/s 1 port WAN 10/100/1000 Mb/s 1 port USB 3.0 1 port USB 2.0 |
Przyciski | wyłącznik sieci bezprzewodowej wyłącznik wyłącznik diod WPS reset |
Antena | 8 anten |
Zasilanie | 12 V / 5 A |
Wymiary (S × G × W) | 230 mm × 230 mm × 43 mm |
Standardy bezprzewodowe | IEEE 802.11ac/n/a 5 GHz (2 osobne sieci) IEEE 802.11b/g/n 2,4 GHz |
Prędkość transmisji | 5 GHz 1 – do 2167 Mb/s 5 GHz 2 – do 2167 Mb/s 2,4 GHz – do 1000 Mb/s |
Funkcja Guest Network | sieć dla gości 2,4 GHz sieć dla gości 5 GHz × 2 |
Funkcja Quality of Service | WMM, kontrola przepustowości |
Sieć WAN | dynamiczne IP / statyczne IP / PPPoE / PPTP / L2TP / kabel BigPond |
Zarządzanie | zarządzanie dostępem zarządzanie lokalne zarządzanie zdalne |
DHCP | serwer, klient, lista klientów DHCP rezerwacja adresów |
Przekierowanie portów | serwery wirtualne, Port Triggering, UPnP, DMZ |
Dynamiczny DNS | DynDns, NO-IP |
VPN (tylko serwer) | PPTP, L2TP, IPSec |
Protokoły | IPv4 oraz IPv6 |
Kontrola dostępu | kontrola rodzicielska, zarządzanie lokalne, lista hostów, harmonogram dostępu, zarządzanie regułami |
Udostępnianie urządzeń USB | Samba / serwer FTP / serwer mediów / serwer druku |
Zawartość opakowania | Archer C5400 zasilacz kabel Ethernet RJ45 instrukcja szybkiej instalacji |
Gwarancja | 36 miesięcy |
Cena | ok. 1100 zł |
Budowa i jakość wykonania
Router ma podstawę w kształcie kwadratu o ściętych rogach. W obudowę wpasowano składane prostokątne anteny. Na froncie umieszczono trzy przyciski. Jeden włącza i wyłącza funkcję rozgłaszania sieci bezprzewodowych, drugi aktywuje WPS, a trzeci włącza i wyłącza diody informujące o stanie urządzenia.
Lewa strona routera zawiera listwę, na której umieszczono diody pokazujące stan urządzenia i to, które funkcje są włączone. Informują m.in. o zasilaniu, włączeniu funkcji rozgłaszania sieci WiFi (dla każdej z sieci osobno), wykorzystaniu interfejsów Ethernet, uzyskaniu pełnego dostępu do sieci internet, wykorzystaniu funkcji WPS czy urządzeniach podłączonych za pośrednictwem interfejsu USB.
Solidna konstrukcja jest w całości wykonana z wysokiej jakości czarnego plastiku. Nic się nie ugina ani nie trzeszczy, a poszczególne części są bardzo dobrze spasowane.
Technika MU-MIMO pozwala zwiększyć wydajność komunikacji między urządzeniami z użyciem kilku działających jednocześnie anten (żeby można było wykorzystać zalety tego rozwiązania, również karta sieciowa musi je obsługiwać). Router może wysyłać pakiety danych do czterech urządzeń w tym samym czasie.
Cztery gigabitowe porty Ethernet umożliwiają podłączenie urządzeń, które nie obsługują komunikacji bezprzewodowej. Jeśli takich klientów jest więcej, trzeba użyć dodatkowego przełącznika, który zwiększy liczbę dostępnych interfejsów działających w standardzie Ethernet. Na ogół jednak w domowych warunkach taka liczba portów jest wystarczająca.
Router ma też dwa porty USB, pozwalające podłączyć takie urządzenia zewnętrzne, jak: dysk twardy, pendrive, drukarka, dzięki czemu może on pełnić funkcję serwera wydruku albo serwera plików. Oczywiście, nie stanie się on w pełni funkcjonalnym NAS-em, ale niektórym tyle w zupełności wystarczy.
Sprzęt jest pokaźnych rozmiarów (autor tych słów jeszcze nie testował tak dużego routera): mierzy 230 mm × 230 mm × 43 mm. Na szczęście producent umożliwił zamontowanie go w pozycji pionowej, na przykład za pomocą kołków przykręconych do ściany.
Sercem urządzenia jest dwurdzeniowy procesor taktowany z częstotliwością 1,4 GHz (Broadcom BCM4709C), któremu towarzyszą trzy procesory pomocnicze: dwa odpowiedzialne za obsługę sieci bezprzewodowej w standardzie 5 GHz oraz jeden zapewniający działanie sieci WiFi w paśmie 2,4 GHz (Broadcom BCM4366). Zastosowano też 512 MB pamięci operacyjnej (RAM) oraz 256 MB pamięci flash.
Po zdjęciu dolnej części obudowy widać, że wszystkie układy routera zostały zamknięte w metalowych osłonach. Takie ekranowanie służy eliminowaniu zakłóceń wynikających z emisji sygnału radiowego wysokich częstotliwości. Warto pochwalić za to producenta, ponieważ ekranowanie układów wysokiej częstotliwości nie jest standardem w routerach konsumenckich. Na spodzie laminatu zamontowano również złącza anten, do których za pomocą cienkich koncentrycznych przewodów podłączone są zewnętrzne anteny routera.
Po pozbyciu się metalowych osłon zyskujemy dostęp do wszystkich układów elektronicznych sterujących działaniem sprzętu.
Do górnej części laminatu został przytwierdzony potężny radiator (złożony z dwóch części), którego zadaniem jest odprowadzanie ciepła z układów scalonych.
Po zdjęciu radiatora oczom ukazuje się serce urządzenia, czyli SoC.
TP-Link Archer C5400 – interfejs użytkownika
Konfiguracja urządzenia może przebiegać dwutorowo, w zależności od zaawansowania użytkownika. Konfigurację można przeprowadzić w tradycyjny sposób, z wykorzystaniem przeglądarki WWW, bądź z użyciem specjalnego narzędzia Tether (dostępnego dla urządzeń z systemem Android lub iOS). Całość przebiega bardzo sprawnie, co jest zasługą głównie intuicyjnego interfejsu, zawierającego bardzo dobrze opisany system pomocy. Dzięki temu użytkownicy, którzy po raz pierwszy mają do czynienia z tego typu urządzeniem, powinni bez problemu poradzić sobie z konfiguracją ustawień. Nie jest przy tym wymagana, i nawet nie pomoże, znajomość produktów TP-Linka, bo w tym modelu całkowicie zmienił się interfejs.
Z interfejsem można się zapoznać przed zakupem, gdyż producent zapewnia emulator routera, dostępny na jego stronie WWW.
Po podłączeniu routera i poprawnym zalogowaniu (adres: 192.168.0.1, login i hasło w fabrycznej konfiguracji: admin) zostajemy przeniesieni do ekranu, na którym zmieniamy domyślne dane uwierzytelniające. Po zmianie loginu i hasła zostaje uruchomiony kreator szybkiej konfiguracji. Kreator pozwala w sześciu krokach skonfigurować podstawowe ustawienia routera.
Krok 1. – ustawienie strefy czasowej.
Krok 2. – konfiguracja trybu połączenia z siecią internet (dostępna funkcja automatycznego wykrycia typu połączenia).
Krok 3. – włączenie/wyłączenie funkcji klonowania adresu MAC.
Krok 4. – określenie nazw i liczby rozgłaszanych sieci bezprzewodowych.
Krok 5. – podsumowanie przeprowadzonej konfiguracji.
Krok 6. – test ustawień.
Po odpowiedzeniu na wszystkie pytania kreatora (oczywiście, jeśli wszystko zostało wykonane poprawnie) router powinien uzyskać połączenie z internetem. Zakończenie kreatora (bądź przerwanie jego działania) przenosi na ekran Mapa sieci. Na tym ekranie znajdują się informacje o wszystkich podłączonych urządzeniach, stanie portów USB oraz aktywnych sieciach Wi-Fi, a ponadto można tu przeprowadzić test prędkości łącza internetowego.
Pierwsze wrażenie po uruchomieniu interfejsu konfiguracyjnego urządzenia było zaskakujące. Szata graficzna odbiega od powszechnie stosowanych rozwiązań. Tę zmianę liczymy na plus, gdyż interfejs zyskał na przejrzystości i funkcjonalności. Ponieważ zastosowany interfejs jest nowatorski, opiszemy go bardzo dokładnie.
Uwaga! Test routera przeprowadziliśmy po aktualizacji oprogramowania układowego do najnowszej wersji, 1.2.0 Build 20170630 rel.49653(4555). Wtedy też powstały opisy. Tych, którzy liczyli na test z wykorzystaniem oprogramowania alternatywnego, musimy rozczarować, bo w dniu, w którym urządzenie było testowane, takie oprogramowanie nie było dostępne (i nie wiadomo, czy w ogóle tego typu narzędzie powstanie).
Sprzęt można skonfigurować na dwa sposoby: z wykorzystaniem ustawień podstawowych (są przeznaczone dla użytkowników mniej obeznanych z konfiguracją routera) albo zaawansowanych.
Dalszy opis powstał na podstawie opcji zaawansowanych, gdyż zapewniają większe możliwości konfiguracji niż podstawowy tryb, w którym są dostępne tylko niezbędne ustawienia.
Po wybraniu z górnego menu opcji Zaawansowane ukazuje się interfejs urządzenia wzbogacony o bardziej szczegółowe informacje.
Wszystkie opcje ustawiamy z wykorzystaniem menu pionowego. Wszystkie zostały zebrane w grupy – kliknięcie na wybraną opcję główną udostępnia dodatkowe.
Pierwszą grupą są opcje związane z siecią. Kryją się pod przyciskiem Sieć.
Na pierwszej karcie, Internet, zebrano opcje związane z konfiguracją dostępu do sieci internet. Można ustawić typ połączenia, a także klonowanie adresu MAC (opcja przydatna, gdy ISP przyznaje dostęp do swojej sieci kartom sieciowym o zarejestrowanych adresach fizycznych).
Karta LAN pozwala ustawić adres IP routera, a także, przez określenie maski podsieci – maksymalną pulę adresów IP możliwych do wykorzystania po stronie sieci lokalnej. Dodatkowo umożliwia agregację łączy, czyli połączenie ze sobą wielu portów fizycznych routera w jedną logiczną całość. Dzięki temu zabiegowi otrzymujemy grupę portów, przez które będą przesyłane dane, przy czym tak utworzona grupa jest widoczna od strony systemu jako pojedynczy interfejs. Celem jest przede wszystkim zwiększenie przepustowości łącza i rozłożenie obciążenia.
Opcje zawarte na karcie IPTV służą do konfiguracji usługi IPTV (ang. Internet Protocol Television), pozwalającej odbierać sygnał telewizyjny przy wykorzystaniu protokołu IP.
Karta Serwer DHCP zawiera opcje związane z konfiguracją serwera DHCP. To kluczowa usługa w sieci, ponieważ pozwala na automatyczną konfigurację sieciową nowo przyłączanych hostów (dzięki niej są dostarczane takie informacje, jak: adres IP, maska sieci, brama domyślna, adresy serwerów DNS). Dodatkowo można ustawić powiązanie: adres MAC – adres IP tak, żeby dany komputer mógł otrzymać ten sam co wcześniej adres IP pomimo upłynięcia okresu jego dzierżawy.
Czego zabrakło? Możliwości konfiguracji adresu IP innego serwera DHCP, tak żeby router pełnił tylko funkcję przekaźnika pakietów DHCP. W standardowej konfiguracji rozgłoszenia DHCP nie są przekazywane pomiędzy różnymi sieciami, gdyż zasięg ich działania obejmuje tylko domenę rozgłoszeniową, a przecież może dojść do sytuacji, w której przydzielaniem adresów IP zajmuje się już inne urządzenie. Właśnie wtedy opcja konfiguracji przekaźnika bywa przydatna: pakiety DHCP z żądaniem dostarczenia konfiguracji sieciowej są przekazywane w kierunku właściwego serwera DHCP.
Ustawienia sieciowe można dostosować także na karcie zawierającej opcje związane z dynamicznym DNS-em. Pozwala ona uzyskać dostęp zdalny do urządzenia z wykorzystaniem połączenia nawiązywanego od strony internetu. Żeby połączenie doszło do skutku, router musi mieć przyznany zewnętrzny adres IP. Ze względu na wyczerpanie puli wolnych adresów IP (dotyczy wersji 4. protokołu) adres przydzielany routerowi ciągle się zmienia. Za powiązanie aktualnie wykorzystywanego adresu IP ze stałym adresem domenowym odpowiedzialne są takie zewnętrzne usługi, jak NO-IP i DynDNS. Automatycznie wiążą adres IP przydzielany routerowi przez dostawcę internetu z domeną określoną podczas rejestracji. Zabieg ten powoduje, że router zawsze jest dostępny pod stałym adresem domenowym, na przykład mojrouter.dyndns.org. Korzyścią z zastosowania tej funkcji jest dostęp do routera i działających na nim usług (np. serwera FTP czy VPN) z dowolnego miejsca na świecie (o ile jest dostępne łącze internetowe). Korzystanie z usług powiązania adresu IP z adresem DNS świadczonych przez obie wymienione firmy wiąże się z opłatą abonamentową. Na szczęście producent urządzenia po rejestracji zapewnia tę usługę bezpłatnie.
Karta Routing zaawansowany jest wykorzystywana w sytuacjach, gdy sieć jest podzielona na odrębne podsieci, do których dostęp jest możliwy poprzez inny router. Mówiąc prościej, opcji na tej karcie użyjemy, gdy trzeba nawiązać komunikację z hostem leżącym w innej przestrzeni adresowej IP. Żeby host mógł taką komunikację prowadzić, router musi znać drogę do sieci, w której znajduje się docelowy host. Omawiana karta pozwala skonfigurować „drogowskaz”, który pozwoli routerowi ustalić drogę tak, żeby komunikacja była możliwa. Router opiera się na tzw. routingu statycznym: sami musimy wspomniany drogowskaz skonfigurować (drogę do sieci zewnętrznych określa administrator).
Zaskoczeniem było to, że przy tej klasie urządzenia nie wprowadzono przynajmniej najprostszego protokołu routingu dynamicznego (routery same budują drogowskazy, czyli wymieniają pomiędzy sobą informacje o sieciach, do których znają drogę), jakim jest RIPv2 (z wykorzystaniem tego protokołu spotkaliśmy się nawet w urządzeniach niższej klasy).
Karta Tryb pracy pozwala określić tryb, w którym urządzenie będzie działać w zarządzanej sieci. Można je skonfigurować do działania w dwóch trybach: router bądź punkt dostępowy. Wybór trybu decyduje o możliwości konfiguracji określonych usług. Jeśli urządzenie ma być bramą pomiędzy domową siecią a siecią usługodawcy internetowego, wybierz Router. Jeśli zaś router już działa w lokalnej sieci, a celem jest wyłącznie zwiększenie obszaru, na którym sieć będzie dostępna, należy skonfigurować sprzęt do działania w trybie Punkt dostępowy.
Grupa opcji dostępna po rozwinięciu zakładki Sieć bezprzewodowa służy do konfiguracji ustawień rozpowszechnianych sieci Wi-Fi.
Na karcie Ustawienia sieci bezprzewodowej konfigurujemy podstawowe parametry sieci Wi-Fi. Router rozpowszechnia trzy sieci bezprzewodowe, których ustawienia są dostępne w oddzielnych sekcjach. Opcje, na które mamy wpływ, to m.in. nazwa sieci Wi-Fi, użyte szyfrowanie, tryb działania, kanał i moc transmisji. Dodatkowa opcja Inteligentne połączenia włącza funkcję Smart Connect, odpowiedzialną za taki dobór parametrów połączenia, żeby było ono jak najlepszej jakości (tryb działania, szerokość użytego kanału oraz kanał są ustawiane automatycznie).
Karta WPS umożliwia nawiązanie połączenia z routerem przy wykorzystaniu mechanizmu WPS. Dostępne opcje to użycie PIN-u bądź przycisku.
Harmonogram sieci bezprzewodowej pozwala ustalić godziny, w których dostęp do urządzenia będzie zapewniony z wykorzystaniem łączności bezprzewodowej.
Na karcie Statystyki są dostępne informacje o nawiązanych połączeniach wraz ze statystyką liczby wysłanych/odebranych pakietów.
Karta Sieć dla gości umożliwia konfigurację dodatkowych sieci bezprzewodowych, które będą działać niezależnie od sieci podstawowych. Ideą sieci gości jest udzielenie dostępu do internetu postronnym użytkownikom (np. gościom restauracji, hotelu) bez dostępu do właściwej sieci LAN, jak również bez możliwości komunikacji pomiędzy hostami typu gość (omawiany router pozwala ustawić te opcje).
Router pozwala utworzyć trzy odrębne gościnne sieci Wi-Fi. Sposób dostępu do sieci i użyte zabezpieczenia są określane wspólnie – obowiązują wszystkich.
Ciekawą metodą uwierzytelnienia użytkowników jest funkcja Portal. Po wybraniu tej metody można określić widok strony internetowej (możliwość ustalenia firmowego logo czy tła strony), która zostanie wyświetlona użytkownikowi próbującemu uzyskać dostęp do sieci bezprzewodowej. Za pośrednictwem tej strony gość po podaniu hasła otrzymuje dostęp do sieci.
Karta Przekierowanie portów po wybraniu zakładki ALG pozwala utworzyć połączenie obejmujące translację adresów dla określonych protokołów.
Na karcie Serwery wirtualne konfigurujemy dostęp z sieci zewnętrznej do usług uruchomionych na urządzeniach podłączonych do sieci lokalnej.
Karta Port Triggering pozwala otworzyć wybrane porty w sytuacji, w której działanie danego programu jest uzależnione od otrzymania informacji zwrotnych od hosta zdalnego na określonych portach przychodzących.
Karta DMZ pozwala wskazać adres IP hosta, do którego nastąpi przekierowanie całego ruchu sieciowego z interfejsu WAN. Strefa DMZ wystawia jednego nieistniejącego wirtualnego hosta na potencjalne ataki. Warto uruchomić tę funkcję ze względów bezpieczeństwa.
Opcje na karcie UPnP pozwalają włączyć funkcję automatycznej identyfikacji urządzeń multimedialnych (takich, jak telewizor i konsola), a także umożliwia im komunikowanie się między sobą.
Grupa kart Ustawienia USB pozwala skonfigurować urządzenia zewnętrzne podłączane do routera za pośrednictwem interfejsu USB.
Router został wyposażony w dwa porty USB, działające w standardach USB 2.0 (świetnie nadaje się do zadań serwera wydruku – do portu podłączamy drukarkę) oraz USB 3.0 (odpowiedni do zadań związanych z wymianą plików – podłączamy pendrive bądź zewnętrzny dysk twardy).
Po umieszczeniu wtyczki w interfejsie USB routera można za pomocą przycisku Skanuj wykryć podłączone urządzenie.
Do routera został podłączony pendrive i jak widać na poniższym zrzucie ekranowym, router poprawnie go wykrył. Omawiana karta dodatkowo umożliwia bezpieczne usunięcie podłączonego nośnika danych. Warto korzystać z tej opcji, by nie uszkodzić struktury systemu plików na podłączonym nośniku (na przykład w wyniku usunięcia pendrive'a podczas zapisu). W takim przypadku konsekwencją będą problemy z odczytaniem plików na innym urządzeniu (podczas testów zdarzyło się to dwa razy, właśnie w rezultacie zbyt szybkiego usunięcia nośnika z portu).
Karta Dostęp określa metody dostępu do nośnika danych: tradycyjne otoczenie sieciowe, FTP lokalne bądź FTP z wykorzystaniem sieci internet (żeby móc wykorzystać tę metodę dostępu do swoich plików, trzeba skonfigurować opcje zawarte w opisanej już karcie Dynamiczny DNS – przecież niezbędny będzie adres routera).
Dodatkowo określamy tu, czy dostęp do plików ma podlegać uwierzytelnieniu i za pomocą jakiego konta uwierzytelnienie będzie przebiegać (można użyć konta domyślnego lub skonfigurować konto wykorzystywane tylko do tego celu), a także które foldery będą udostępniane.
Karta Serwer druku umożliwia dodanie do zarządzanej sieci usługi drukowania z urządzeń korzystających z sieci. Plusem takiego rozwiązania jest możliwość drukowania z komputerów podłączonych do routera.
To już wszystkie opcje dostępne dla urządzeń wykorzystujących interfejs USB. Router nie pozwala, niestety, podłączać zewnętrznych modemów GSM, co oznacza, że nie można skonfigurować dostępu do internetu z użyciem tych urządzeń (naprawdę szkoda, zwłaszcza że pierwsza wersja routera miała taką możliwość).
Dzięki opcjom zawartym na karcie Kontrola rodzicielska można dostosować parametry dostępu do sieci internet za pomocą zdefiniowanych filtrów czy określić czas korzystania z urządzenia podłączonego do routera.
Filtr z ograniczeniami definiujemy za pomocą minikreatora, obejmującego trzy karty.
W pierwszej kolejności należy wpisać nazwę tworzonego filtru i wskazać urządzenie, do którego będzie miał zastosowanie.
W drugim kroku kreator umożliwia skorzystanie ze wstępnie zdefiniowanych profili zależnych od wieku dziecka. Wybrany profil można zmodyfikować przez dodanie dalszych kryteriów albo wzbogacić go o słowa kluczowe, na podstawie których będzie stosowana blokada odwiedzanych stron internetowych.
Ostatni krok to określenie ram czasowych działania filtra.
Grupa opcji dostępnych w karcie QoS (ang. Quality of Service) umożliwia ograniczanie przepustowości dostępu do sieci dla wybranych usług bądź urządzeń, a także pozwala określić priorytet, z jakim dane pakiety mają być przekazywane.
Producent pozwala użytkownikowi kontrolować ruch sieciowy zarówno według usług, jak i urządzeń.
Karta Priorytet dla aplikacji umożliwia ustalenie kolejki przekazywania pakietów według usług: komu zależy na szybkim przekazywaniu danych związanych z grami, ten może wymusić, by pakiety tego typu były przekazywane w pierwszej kolejności (dostępne są trzy tryby kształtowania kolejki: wybieramy pomiędzy priorytetem wysokim, zwykłym i niskim).
Na karcie Priorytet dla urządzeń można określić pierwszeństwo przekazywania danych wysyłanych/odbieranych przez dane urządzenie, a dodatkowo czas, na jaki dany priorytet będzie przydzielany.
Grupa opcji Zabezpieczenia zawiera opcje konfiguracji usług związanych z bezpieczeństwem sieci.
Router został wyposażony w program antywirusowy, którego zadaniem jest ochrona sieci LAN przed zainfekowaniem hostów. Antywirus zabezpiecza użytkowników sieci przez blokowanie stron zawierających szkodliwe treści (baza niebezpiecznych stron jest tworzona na podstawie danych gromadzonych przez firmę Trend Micro). System ochrony jest dodatkowo wspomagany przez funkcję kwarantanny, której zadaniem jest blokada ruchu sieciowego generowanego przez zainfekowane urządzenia.
Wbudowana w urządzenie zapora sieciowa (firewall) jest typu SPI (ang. Stateful Packet Inspection), co oznacza, że cały ruch sieciowy jest traktowany jako całość, a decyzja o przepuszczeniu bądź zablokowaniu danego pakietu jest podejmowana na podstawie analizy pakietów tworzących połączenie. Mówiąc trochę inaczej, firewall „wie”, czy otrzymany pakiet jest częścią aktualnie realizowanego połączenia, czy może jest całkowicie odrębny i nieoczekiwany.
Opcje dostępne po rozwinięciu karty Kontrola dostępu pozwalają wskazać urządzenia, które mają prawo do prowadzenia komunikacji z wykorzystaniem routera bądź go nie mają. Kontrola ta jest sprawowana w trybie „czarnej listy” (hosty znajdujące się na tego typu liście nie mają prawa dostępu do routera) albo „białej listy” (tylko komputery wymienione na liście mogą prowadzić komunikację z wykorzystaniem routera). Kontrola dostępu odbywa się na podstawie adresów fizycznych urządzeń (MAC).
Karta Wiązanie adresów IP&MAC pozwala powiązać na stałe adresy IP z adresami MAC tak, żeby nie można było przeprowadzić ataku zatrucia bufora ARP, który jest najczęściej wstępem do następnego ataku, na przykład Man in the Middle (atak tego typu polega na podsłuchaniu i ewentualnej modyfikacji danych przesyłanych pomiędzy dwiema stronami bez ich wiedzy).
Karta IPv6 jest poświęcona ustawieniom protokołu IP w wersji 6.
Serwer VPN (ang. Virtual Private Network) jest usługą pozwalającą na dostęp do sieci LAN z wykorzystaniem tunelu, przez który jest przesyłany cały ruch sieciowy. Zaletą takiego rozwiązania jest zdalny dostęp do zasobów sieci LAN w taki sposób, jakby host fizycznie się w niej znajdował. Oznacza to, że host wykorzystujący tego typu połączenie otrzymuje adres IP zgodny z przyjętą adresacją sieci LAN, choć fizycznie może się on znajdować na drugiej stronie globu. Dla bezpieczeństwa przesyłanych danych całość ruchu sieciowego wewnątrz tunelu jest szyfrowana (przesyłane wewnątrz tego kanału dane wykorzystują publiczną sieć). Żeby móc korzystać z usługi serwera VPN przez internet, trzeba – tak samo jak w przypadku dostępu do plików za pośrednictwem FTP – skonfigurować opcje zawarte na karcie Dynamiczny DNS (znów niezbędny jest adres routera).
Połączenia w ramach usługi VPN mogą być realizowane w standardzie OpenVPN (duży plus dla producenta za jego użycie, gdyż jest to jeden z najbezpieczniejszych standardów w tego typu połączeniach), jak również z wykorzystaniem trochę mniej bezpiecznego protokołu PPTP (ang. Point-to-Point Tunneling Protocol).
Po rozwinięciu karty OpenVPN zyskujemy dostęp do ustawień tunelu VPN, który będzie działał w standardzie OpenVPN.
Z kolei karta PPTP VPN gromadzi ustawienia niezbędne do utworzenia połączenia VPN opartego na protokole PPTP.
Karta Połączenia VPN udostępnia informacje o stanie połączeń nawiązanych w technice VPN.
Grupa ustawień dostępnych po rozwinięciu zakładki Narzędzia pozwala przeprowadzić wszystkie operacje związane z diagnostyką/aktualizacją urządzenia i określaniem stanu bieżących zadań.
Na pierwszej karcie, Ustawienia czasu, są dostępne właśnie ustawienia czasu. Czas można ustawić ręcznie lub wykorzystać do tego serwer NTP (serwer, za którego pośrednictwem następuje synchronizacja zegara urządzenia). Dodatkowo można skonfigurować funkcję automatycznej zmiany czasu.
Następna karta, Diody, ucieszyła żonę autora tych słów, bo pozwala wskazać ramy czasowe, w których mają być wyłączane diody na froncie, informujące o stanie urządzenia (tak żeby nie drażniły niepotrzebnie domowników w nocy). Mała rzecz, a cieszy.
Karta Diagnostyka pozwala uruchomić takie narzędzia, jak ping (badanie dostępności hosta) i traceroute (poznanie drogi, którą musi przebyć pakiet, by dotrzeć do celu). Niestety, zabrakło jednej opcji: możliwości wygenerowania i wysłania w kierunku urządzenia podłączonego do routera Magic Packet, czyli specjalnie przygotowanego pakietu, którego zadaniem jest zdalne włączenie komputera za pośrednictwem sieci LAN (żeby host mógł być zdalnie uruchamiany, karta sieciowa musi obsługiwać technikę Wake on LAN).
Karta Aktualizacja firmware dotyczy aktualizacji oprogramowania systemowego routera. Tę operację można przeprowadzić ręcznie (samodzielnie pobrawszy niezbędne pliki) bądź w sposób całkowicie automatyczny.
Karta Zapis i odczyt ustawień pozwala wykonać kopię zapasową ustawień routera, a także w razie potrzeby przywrócić te ustawienia. Można również przywrócić ustawienia fabryczne.
Opcja Zarządzanie lokalne, dostępna na karcie Administracja, pozwala wskazać hosty, z których możliwe będzie nawiązanie połączenia z routerem w celu jego konfiguracji (ze względów bezpieczeństwa należy to zrobić z hosta dostępnego tylko dla administratora sieci). Opcja Zarządzanie zdalne pozwala zaś na dostęp do panelu konfiguracyjnego routera od strony internetu.
Karta Dziennik systemowy dostarcza informacji o stanie zadań wykonywanych przez router. Analiza logów zapisywanych przez urządzenie na pewno pomoże w ustaleniu przyczyny ewentualnych problemów, a trzeba przyznać, że ilość gromadzonych informacji jest naprawdę duża. Wpisy można przeglądać z wykorzystaniem filtra opartego na typie bądź poziomie zdarzenia. Można również zapisać wszystkie logi w zewnętrznym pliku albo wysłać dziennik na wskazany adres e-mail. Przydałaby się jeszcze opcja umożliwiająca przekazywanie zdarzeń do zewnętrznego serwera Syslog (serwer zbierający informacje diagnostyczne od urządzeń zewnętrznych – wszystkie zdarzenia ze wszystkich urządzeń są zapisywane w jednym miejscu).
Karta Statystyki ruchu (dostępna po wyłączeniu funkcji NAT Boost) wyświetla informacje dotyczące ilości przesłanych danych w zależności od urządzenia.
Ostatnia karta, Parametry systemowe, udostępnia zaawansowane ustawienia związane z działaniem sieci bezprzewodowych, pozwala włączać i wyłączać funkcję NAT, a także określać tryb działania interfejsów ethernetowych (duplex).
Konfiguracja za pomocą narzędzia Tether
Sprzęt można też skonfigurować za pomocą narzędzia Tether. Ponownie należy się duży plus producentowi sprzętu, gdyż jest ono bardzo intuicyjne w użyciu. Nawet mniej doświadczony użytkownik bez problemu skonfiguruje w ten sposób router.
Po zainstalowaniu oprogramowania i jego uruchomieniu (z użyciem systemu iOS oraz tabletu iPad mini 2) zostanie wyświetlony ekran powitalny (dostęp do urządzenia jest możliwy pod warunkiem, że użytkownik jest połączony z siecią bezprzewodową rozgłaszaną przez router).
Kliknięcie przycisku Zaczynajmy! spowoduje wyświetlenie wszystkich dostępnych w sieci lokalnej urządzeń, które obsługują omawiane narzędzie. Po wybraniu sprzętu jesteśmy proszeni o wprowadzenie danych uwierzytelniających.
Po poprawnym zalogowaniu zyskujemy dostęp do panelu konfiguracji urządzenia. Tether pozwala przeprowadzić podstawową konfigurację routera (konfiguracja sieci bezprzewodowych, w tym gościnnych, QoS, kontrola rodzicielska, antywirus) czy uzyskać dostęp do innych narzędzi.
Nie wszystkie opcje konfiguracyjne są dostępne z poziomu programu, więc żeby skorzystać z tych bardziej zaawansowanych, należy połączenie z routerem uzyskać w sposób tradycyjny, za pomocą przeglądarki internetowej.
Tether po powiązaniu urządzenia z chmurą TP-Link Cloud umożliwia monitoring oraz zdalny dostęp do sprzętu.
TP-Link Archer C5400 – testy wydajności
Opis dostępnych ustawień routera mamy już za sobą, czas przejść do testów. Zanim jednak przedstawimy wyniki, kilka słów o samej procedurze testowej.
Wykorzystaliśmy trzy zestawy plików, wszystkie o rozmiarze 1 GB: jeden duży plik, zbiór średnich plików, 4–60-megabajtowych (łącznie 145; pliki multimedialne: zdjęcia, muzyka i filmy) oraz zbiór małych, o wielkości do 4 MB (łącznie 3979). Każda próbka została przesłana trzykrotnie, a wynik pomiarów został uśredniony.
Testy obejmowały:
- pomiar mocy sygnału;
- test LAN/WAN;
- zapis plików na zewnętrzny pendrive podłączony do portów USB routera; nośnik był umieszczany w portach USB 2.0 oraz USB 3.0; użyty system plików to NTFS oraz exFAT;
- kopiowanie plików pomiędzy urządzeniami podłączonymi do portów USB routera;
- kopiowanie plików pomiędzy dwoma komputerami; test obejmował połączenia: przewodowe, mieszane oraz bezprzewodowe;
- kopiowanie plików pomiędzy dwoma komputerami w sieci, w której działało wiele urządzeń; test obejmował połączenia bezprzewodowe;
- pomiar temperatury;
- inne testy: agregacja łączy, test wbudowanego programu antywirusowego, test funkcji powiązania adresu IP z adresem MAC.
Skorzystaliśmy z wielu urządzeń. Rodzaj sprzętu i oznaczenie modelu podajemy w opisach wyników poszczególnych testów.
Pomiar mocy sygnału
Jakość sygnału mierzyliśmy z wykorzystaniem dwóch kart sieciowych: karty z obsługą techniki Beamforming (Asus PCE-AC88) oraz adaptera sieciowego podłączonego do portu USB (Linksys WUSB600N).
Test obejmował pięć punktów pomiarowych w mieszkaniu o powierzchni 50 m2. W przypadku użycia karty Asus pomiary wykazały, że spadek siły sygnału w paśmie 5 GHz jest mniejszy niż w paśmie 2,4 GHz. Zwykle jednak to pasmo 5 GHz działa lepiej: umożliwia szybsze przesyłanie danych, a co najważniejsze, w warunkach miejskich pracuje w nim o wiele mniej klientów. Warto wiedzieć, że w paśmie 2,4 GHz podzielonym na 14 kanałów (w Polsce używanych jest 13) mogą działać niezależnie tylko trzy sieci Wi-Fi: na kanałach 1., 6. oraz 11., na kanałach 2., 7., 12. oraz na kanałach 3., 8. i 13. Tylko te trzy kombinacje kanałów gwarantują spożytkowanie całego dostępnego pasma i nienakładanie się na siebie częstotliwości wykorzystywanych przez inne kanały. Pasmo 5 GHz jest znacznie pojemniejsze, gdyż każdy z użytych kanałów ma zarezerwowaną osobną częstotliwość.
Tak więc w razie użycia pasma 2,4 GHz mamy do czynienia z nakładaniem się częstotliwości w ramach użytego kanału, a w przypadku 5 GHz użyty kanał określa częstotliwość.
W razie użycia tradycyjnej karty sieciowej można zaobserwować powszechne zjawisko spadku poziomu sygnału wraz ze wzrostem częstotliwości.
Testowany router jest pierwszym urządzeniem (z wielu), za pomocą którego autorowi tych słów udało się nawiązać połączenie między dwoma pokojami (na rysunku powyżej można zauważyć bardzo duży spadek mocy sygnału sieci bezprzewodowej, z poziomu –33 dBm do –90 dBm w paśmie 2,4 GHz). Mogłoby się wydawać, że łączność pomiędzy dwoma urządzeniami znajdującymi się w pomieszczeniach oddzielonych jedną ścianą łatwo uzyskać. Dopiero jednak Archer C5400 zapewnił komunikację wolną od zakłóceń. Jak to możliwe? Oba pokoje dzieli 20-centymetrowa ściana nośna z litego, zbrojonego betonu (myśl techniczna minionej epoki), z dwóch stron obłożona płytą gipsowo-kartonową. Taka konstrukcja ściany bardzo mocno tłumi sygnał sieci bezprzewodowej, co jest nie do przeskoczenia dla prawie wszystkich urządzeń.
Test WAN-LAN
Pierwszy test sprawdzał wydajność WAN. Jego zadaniem jest symulacja wysyłania i pobierania danych z internetu. Transfer odbywał się pomiędzy dwiema platformami testowymi: jedna była ustawiona jako klient, druga – jako serwer. Testy przeprowadziliśmy w obie strony.
Archer C5400 w próbie obejmującej wysyłanie plików poradził sobie bardzo dobrze. Zrównał się z innym urządzeniem TP-Linka, modelem Archer C9, a nieznacznie przegrał z jeszcze innym, TP-Link Touch P5, i Linksysem WRT3200ACM. W teście pobierania plików zajął ex aequo pierwsze miejsce ze wspomnianym Linksysem. Podsumowując, zarówno pobieranie plików z sieci zewnętrznej, jak i wysyłanie plików do takiej sieci przebiegają bardzo szybko, tak jakby wszystko odbywało się w obrębie sieci LAN.
Test zapisu/odczytu USB
Następny był test prędkości zapisywania plików na zewnętrznym nośniku podłączonym do portów USB routera.
Test polegał na trzykrotnym skopiowaniu każdej z przygotowanych próbek na pendrive (Kingston HyperX Savage o pojemności 128 GB) z wykorzystaniem platformy: Intel i7-3820, 32 GB RAM, SSD M2 Samsung MZHPV256HDGL 256 GB. Do połączenia bezprzewodowego użyliśmy karty sieciowej Asus PCE-AC88.
Test został przeprowadzony z wykorzystaniem portów USB 2.0 i USB 3.0 oraz systemów plików NTFS i exFAT.
Najpierw osiągi w kopiowaniu plików z wykorzystaniem portów USB 2.0 i USB 3.0:
Porównanie wyników pokazuje jak na dłoni, że wybór systemu plików niesie ze sobą spore konsekwencje, ponieważ kopiowanie poszczególnych próbek (zwłaszcza zestawu zawierającego dużą liczbą małych plików) przebiegało znacznie szybciej wtedy, gdy docelowy nośnik był sformatowany w systemie exFAT.
Co ciekawe, mała próbka została zapisana z wykorzystaniem portu USB 2.0 i systemu plików exFAT szybciej niż z użyciem teoretycznie szybszego USB 3.0 i systemu NTFS.
Wyniki testu szybkości odczytu plików z nośnika USB są następujące:
W sytuacji odwrotnej, jaką jest odczyt plików, na trzy przeprowadzone próby w dwóch przypadkach lepsze wyniki zapewniło użycie systemu plików NTFS. Dotyczy to próbek dużej i średniej. System exFAT okazał się szybszy, gdy próbka była mała.
Przedstawione do tej pory wyniki dotyczyły odczytu i zapisu plików z wykorzystaniem połączenia przewodowego w standardzie 1 Gb/s. Wyniki testu przeprowadzonego z użyciem najszybciej zestawionego połączenia bezprzewodowego: 802.11ac, 2100 Mb/s, 5 GHz (udało się zestawić połączenie z maksymalną prędkością, lecz rzeczywista prędkość podczas testu oscylowała w granicach 1,7–2,1 Gb/s), przedstawiamy poniżej.
Zależność wyników od użytego standardu USB i systemu plików podczas zapisu/odczytu plików z wykorzystaniem transmisji bezprzewodowej zasadniczo jest podobna jak w przypadku standardu Ethernet (choć całkowicie przetasowały się osiągi w kopiowaniu dużej próbki).
Po zastosowaniu reguły „punkt za każde pierwsze miejsce na poszczególnych wykresach” okazuje się, że średnio największą prędkość przesyłania plików zapewnia standard USB 3.0 w połączeniu z systemem plików exFAT.
Osiągi tradycyjnego połączenia przewodowego klasy 1 Gb/s w porównaniu z Wi-Fi pokazują, że stary dobry Ethernet ma się naprawdę dobrze.
I na koniec zestawienie prędkości zapisu/odczytu plików z wykorzystaniem standardu USB (połączenie Ethernet 1 Gb/s, system plików NTFS):
Badany router ustępuje modelom marki Linksys w zapisie i odczycie danych z wykorzystaniem nośnika podłączonego do portu USB. Zapis plików jest przy tym wolniejszy niż odczyt.
Test prędkości kopiowania plików pomiędzy interfejsami USB
Trzeci test polegał na kopiowaniu plików pomiędzy interfejsami USB. Ponownie użyliśmy pendrive'a Kingston HyperX Savage o pojemności 128 GB oraz 1-terabajtowego dysku twardego WD Elements Portable SE USB 3.0. Wykorzystane systemy plików to NTFS i exFAT. Dysk i pendrive były podłączane do obu portów USB. Kopiowane były te same pliki co w teście zapisu/odczytu z użyciem USB.
Jak można było przewidzieć, za każdym razem najszybsze było połączenie pendrive'a i złącza USB 3.0. Tak jak poprzednio najlepsze rezultaty zapewnił system plików exFAT (z wyjątkiem średniej próbki).
Ten test obrazuje również, jak ważna jest jakość użytego nośnika danych (jego prędkość). Interfejs USB 2.0 w połączeniu z szybkim pendrive'em zapewnił zdecydowanie lepsze wyniki niż szybszy USB 3.0 w połączeniu z wolniejszym nośnikiem.
Router ma do dyspozycji dwa interfejsy USB. Autor tych słów dotąd nie spotkał urządzenia, które miałoby więcej niż jedno złącze w tym standardzie, a nie pozwalało synchronizować plików pomiędzy dwoma nośnikami podłączonymi do routera. Jeśli spotkałeś się z routerem zapewniającym takie rozwiązanie, napisz o tym w komentarzu.
Test szybkości kopiowania plików pomiędzy komputerami
Test interfejsów USB mamy za sobą. Czas przedstawić wyniki testów polegających na kopiowaniu plików pomiędzy dwoma komputerami. Test szybkości kopiowania obejmował przesłanie każdej z próbek z jednego hosta do drugiego przy wykorzystaniu połączenia przewodowego, bezprzewodowego oraz mieszanego.
W tym teście wykorzystaliśmy dwie konfiguracje: Intel i7-3820, 32 GB RAM, SSD M2 Samsung MZHPV256HDGL o pojemności 256 GB (użyliśmy jej już w poprzednich testach) oraz Intel i5-4460, 16 GB RAM, SSD Samsung 850 Pro o pojemności 256 GB. Do połączeń bezprzewodowych użyliśmy też następujących kart sieciowych: Netgear A6200, Linksys WUSB600N, Asus PCE-AC88, Asus PCE-AC66.
Kopiowane były trzy próbki plików. Pomiar wykonaliśmy trzykrotnie, a wyniki uśredniliśmy.
Jak widać, tradycyjne połączenie sieciowe w standardzie 1 Gb/s było bezkonkurencyjne w każdej z przeprowadzonych prób.
Na drugim miejscu uplasowały się połączenia mieszane, a dopiero na końcu – wyłącznie bezprzewodowe, co jest spowodowane tym, że w tym drugim przypadku router musiał ponownie wysyłać otrzymane pakiety.
Jak widać, najszybsze zestawione łącze bezprzewodowe ustępuje połączeniu LAN-WiFi 300 Mb/s w szybkości przesyłania próbek średniej i małej (szybciej była przesyłana duża). Wyniki byłyby lepsze, gdyby połączenia nawiązane za pomocą kart sieciowych Asus PCE-AC88 i Asus PCE-AC66 były stabilne przy maksymalnej dopuszczalnej prędkości: 2100 Mb/s oraz 1300 Mb/s (takie prędkości chwilowo udawało się osiągnąć, lecz prędkość rzeczywista wynosiła, odpowiednio, 1700–2100 Mb/s i około 1100 Mb/s).
Na tle innych routerów osiągi modelu Archer C5400 w kopiowaniu dużej próbki przez połączenie LAN-WiFi są naprawdę niezłe.
W tym samym zestawieniu testowane urządzenie zdobyło trzecie miejsce w paśmie 2,4 GHz, a w paśmie 5 GHz zdeklasowało wszystkich rywali.
Test wydajności połączenia bezprzewodowego pod obciążeniem
Na koniec wyniki testu przeprowadzonego z użyciem aż ośmiu dodatkowych urządzeń: dwóch komputerów, laptopa, Raspberry Pi, telefonu komórkowego, dwóch tabletów oraz serwera NAS (wszystkie z wyjątkiem serwera NAS zostały połączone bezprzewodowo). Celem testu był pomiar szybkości kopiowania plików w sytuacji, w której z routera korzystają także inne urządzenia.
Kopiowanie próbek odbywało się pomiędzy dwoma komputerami, na pozostałych zaś zostały uruchomione procesy mające obciążyć router. Były to m.in.: laptop-NAS – archiwizacja plików, telefon i tablet – strumieniowanie wideo, drugi tablet – synchronizacja danych z chmurą, Raspberry Pi – pobieranie plików.
Oto wyniki:
Prędkość kopiowania plików zmalała średnio o 27%, co jest naturalne, skoro router w tym samym czasie współużytkowało więcej urządzeń.
Ten test pokazuje również wyższość nowych rozwiązań zaszytych w nowoczesnych kartach sieciowych (MU-MIMO oraz Beamforming), gdyż prędkość przesyłania danych z użyciem najwydajniejszych kart, którymi są modele Asusa (obie karty obsługują wspomniane techniki), jest ponaddwukrotnie większa niż w przypadku urządzeń pozbawionych tych funkcji.
TP-Link Archer C5400 – testy funkcjonalności urządzenia
Test – antywirus
Pierwszym testem dotyczącym funkcjonalności urządzenia był test wbudowanego w router oprogramowania antywirusowego. Użyte rozwiązanie jest dostępne również w innych urządzeniach TP-Linka: Archer C3150, AC2300 czy Deco M5.
Zastosowana w testowanym routerze funkcja ochrony lokalnej sieci i kontroli nad przeglądanymi treściami to rzadkość w urządzeniach tego typu, stąd decyzja, żeby przetestować ją w praktyce.
Rozwiązanie antywirusowe jest dostarczane przez firmę Trend Micro. Obejmuje ochronę w trzech obszarach:
- filtr szkodliwych treści – jego zadaniem jest zablokowanie dostępu do złośliwych stron, a tym samym ochrona komputerów przed ich zainfekowaniem w wyniku odwiedzenia niebezpiecznej witryny; jest oparty na bazie adresów stron, które zostały uznane za niebezpieczne, stale aktualizowanej przez dostawcę rozwiązania;
- system ochrony przed nieuprawnionym dostępem – ma uniemożliwić atak przy wykorzystaniu znanej luki (dotyczy na przykład systemów, które nie zostały zaktualizowane);
- kwarantanna zaatakowanych urządzeń – blokuje połączenie sieciowe w razie wykrycia podejrzanego ruchu sieciowego, na przykład po zainfekowaniu komputera przez złośliwe oprogramowanie. Kiedy zarażone urządzenie chce nawiązać połączenie zdalne z serwerem kontrolowanym przez atakującego (tzw. serwerem C&C, ang. Command & Control), by otrzymać od napastnika dalsze polecenia, połączenie nie zostaje nawiązane. Rozwiązanie to, podobnie jak filtr szkodliwych treści, opiera się na danych gromadzonych przez firmę Trend Micro.
Do testu wybraliśmy losowo 10 stron internetowych sklasyfikowanych jako niebezpieczne (na podstawie bazy http://malc0de.com/database/). Połączenie z wybranymi stronami we wszystkich przypadkach zostało zablokowane.
Przy próbie połączenia z taką stroną w przeglądarce internetowej zostaje wyświetlony stosowny komunikat. Dalsze połączenie jest możliwe po zaakceptowaniu ostrzeżenia. (Jak można zauważyć na poniższym zrzucie ekranowym, test został przeprowadzony z wykorzystaniem systemu wirtualnego; lepiej nie przeprowadzać takich testów we właściwym systemie).
Informacja o zablokowanych zasobach jest dostępna w sekcji Historia ostrzeżeń.
Filtr treści działa bez zarzutu, sprawdźmy zatem, co się stanie, gdy na komputer spróbujemy pobrać szkodliwe oprogramowanie.
Do testu wykorzystaliśmy 10 próbek (przy okazji sprawdziliśmy skuteczność zainstalowanego oprogramowania antywirusowego: miało 9 trafień na 10), sklasyfikowanych przez witrynę VirusTotal jako:
- Downloader.Win32.Snojan.avpx
- Exploit.Win32.BypassUAC.awe
- Trojan-PSW.Win32.Tepfer.pswsty
- AdWare.Win32.Eorezo.gfdr
- Trojan.Win32.Reconyc.iddk
- Trojan-Ransom.Win32.Shade.nrv
- Downloader.NSIS.Xiazai.cak
- Monitor.Win32.RK.cr
- Trojan-PSW.Win32.Fareit.culy
- Downloader.Win32.Agent.clgu.
Próbki plików zostały przesłane pomiędzy komputerami wewnątrz sieci LAN z wykorzystaniem połączenia przewodowego oraz bezprzewodowego, a także umieszczone na zewnętrznym serwerze FTP i z niego pobrane za pomocą przeglądarki internetowej i menedżera plików.
Podczas kopiowania plików w obrębie sieci LAN żaden alarm nie został podniesiony. Tak samo było w trakcie pobierania plików z internetu.
Tak więc zaszyte oprogramowanie antywirusowe nie działa w sposób tradycyjny, jak w przypadku komputerów, w których to na bieżąco skanuje pobierane pliki.
Skuteczności działania pozostałych funkcji nie udało nam się w pełni zweryfikować. Należy wierzyć, że faktycznie działają i są zdolne zatrzymać atak intruza.
Takie zabezpieczenia są wskazane w sprzęcie sieciowym (tym bardziej że swego czasu TP-Link zaliczył wizerunkową wpadkę dotyczącą bezpieczeństwa jego urządzeń). To jeszcze jedna linia obrony przed atakami przeprowadzanymi z wykorzystaniem złośliwego oprogramowania. Duży plus dla producenta.
Test – wiązanie adresów IP&MAC
Router został wyposażony w funkcję powiązania adresu IP z adresem fizycznym MAC. Funkcja ta ma chronić router przed nieuprawnioną modyfikacją wpisów w tablicy ARP, tak żeby uniemożliwić przeprowadzenie ataku ARP Poisoning, prowadzącego do przechwycenia/modyfikacji ruchu sieciowego pomiędzy zaatakowanymi hostami.
Protokół ARP jest wykorzystywany w warstwie drugiej modelu ISO/OSI, a jego zadaniem jest mapowanie adres IP-adres MAC w taki sposób, żeby po otrzymaniu pakietu można było go przesłać do właściwego użytkownika. Modyfikacja tego powiązania przez atakującego spowoduje, że ruch sieciowy będzie przesyłany w pierwszej kolejności do atakującego, a ten przekaże go w drugim kroku do hosta docelowego. Ruch sieciowy będący odpowiedzią na otrzymane pakiety również w pierwszej kolejności otrzyma atakujący.
W swoim przykładzie przyjęliśmy – żeby zobrazować całą sytuację w normalnie działającej sieci – że ruch sieciowy będzie przebiegał według następującego schematu:
Router zaadresowane pakiety będzie przesyłał w kierunku hosta OFIARA, ten zaś odpowiedzi na otrzymane pakiety odeśle w kierunku ROUTERA (adresacja IP i użyte adresy MAC mają odzwierciedlenie w konfiguracji testowej i na tych informacjach oprzemy się w dalszej części opisu).
W sieci, w której atakujący chce przechwycić wymianę danych pomiędzy OFIARĄ a ROUTEREM, na skutek wykonania ataku ARP Poisoning ruch sieciowy będzie przebiegał w następujący sposób:
W kroku pierwszym ruch przeznaczony dla hosta 192.168.0.50 będzie przesyłany w kierunku atakującego, który to otrzymane pakiety prześle z powrotem w kierunku ROUTERA, ten zaś przekaże je do adresata (punkt 2.). Pakiety będące odpowiedzią zostają przesłane przez router do hosta atakującego (punkt 3.), po czym host atakujący przesyła te pakiety do ROUTERA. W ten oto sposób host 192.168.0.150 ma wgląd w całość komunikacji pomiędzy OFIARĄ a ROUTEREM.
Sprawdźmy zatem, jak funkcja powiązania adresów IP z adresami MAC działa w praktyce.
Mechanizm został wyłączony. W tablicy ARP hosta 192.168.0.50 adres IP routera jest prawidłowo powiązany z jego adresem MAC.
Host 192.168.0.150 rozpoczyna atak. Do zatrucia tablicy ARP wykorzystaliśmy narzędzie ettercap. Celem jest host 192.168.0.50 oraz router.
Jak można zauważyć, zmienił się adres MAC przypisany adresowi IP 192.168.0.1. Teraz wskazuje on na kartę sieciową hosta o adresie 192.168.0.150. Pakiety przeznaczone dla routera w pierwszej kolejności zostaną przesłane do atakującego.
Nie ma możliwości sprawdzenia tablicy ARP routera (autor artykułu jeszcze się nie spotkał z tą funkcją w urządzeniach SOHO – a szkoda). Ale poprawność ataku mogliśmy zweryfikować w inny sposób, za pomocą programu Wireshark, który jest snifferem pakietów.
Narzędzie Wireshark zostało uruchomione na hoście 192.168.0.150 i jak na dłoni widać, że tablica routera również została zmodyfikowana, gdyż odpowiedzi na pakiety ping (ICMP) wysłane w kierunku routera są przez hosta atakującego rejestrowane (patrz kolumny Source oraz Destination).
Atak w pełni się powiódł, sprawdźmy zatem, jak będzie przebiegać komunikacja po włączeniu w routerze funkcji powiązania adresów IP z MAC.
Adres IP 192.168.0.50 zostaje powiązany z adresem MAC 20-1A-06-99-BE-1F.
Atak został ponownie uruchomiony, a jego efekty można obserwować za pomocą narzędzia Wireshark. Po włączeniu funkcji zostaje przechwycona połowa ruchu sieciowego, ta pochodząca od hosta 192.168.0.50; tablica ARP routera nie została zmodyfikowana.
Schemat komunikacji przy włączonej funkcji powiązania adresów jest następujący. Pakiety pochodzące od hosta 192.168.0.50, a wysyłane w kierunku routera przez atakującego są rejestrowane (punkt 1.). Po otrzymaniu pakietów host 192.168.0.150 otrzymane dane przekazuje do routera (punkt 2.), ten zaś odsyła je w kierunku hosta 192.168.0.50 z pominięciem hosta atakującego (punkt 3.).
Żeby dokładniej sprawdzić działanie mechanizmu, do istniejącej topologii dodaliśmy jeszcze jednego hosta, o adresie IP 192.168.0.100, i przeprowadziliśmy próbę przechwycenia pakietów pomiędzy hostami 192.168.0.50 i 192.168.0.100
Atak został uruchomiony, a jego efekt można było zweryfikować przez sprawdzenie tablic ARP obu hostów:
- tablica ARP hosta 192.168.0.50 – pakiety przeznaczone dla hosta 192.168.0.100 będą wysyłane do atakującego (docelowy adres MAC wskazuje na kartę sieciową hosta o adresie IP 192.168.0.150);
- tablica ARP hosta 192.168.0.100 – pakiety przeznaczone dla hosta 192.168.0.50 będą wysyłane do atakującego (docelowy adres MAC wskazuje na kartę sieciową hosta o adresie IP 192.168.0.150).
Całość komunikacji można obserwować w narzędziu Wireshark (ruch sieciowy jest przechwytywany, rzecz jasna, na hoście 192.168.0.150). Pakiety pochodzące od obydwu hostów zostają przechwycone. Pamiętajmy, że na routerze aktywne jest powiązanie adresu IP 192.168.0.50 z adresem MAC.
Tak więc ochrona w postaci powiązania adresu MAC z adresem IP działa tylko w przypadku, gdy źródłem pakietów jest sam router, gdy zaś pakiety są tylko przekazywane, nie ma zastosowania.
Szkoda, że zasięg działania omawianej funkcji nie jest większy, ale to niewątpliwie krok ku większemu bezpieczeństwu sieci. Należy bowiem pamiętać o tym, że źródłem ataku wcale nie musi być ktoś z zewnątrz. Może to być również ktoś, kto ma dostęp do wewnętrznej sieci LAN, na przykład niezadowolony pracownik. Włączenie omawianego mechanizmu utrudni osobie przeprowadzającej atak tego typu zgromadzenie kompletu przesyłanych pakietów.
Test – agregacja portów
TP-Link Archer C5400 ma funkcję agregacji fizycznych interfejsów routera w jeden logiczny kanał transmisji. Dzięki takiemu połączeniu otrzymujemy grupę portów, przez które będą przesyłane dane, przy czym oprogramowanie routera tak utworzoną grupę identyfikuje jako oddzielny interfejs (grupa dwóch fizycznych portów tworzy jeden logiczny interfejs). Maksymalna liczba jednocześnie wykorzystywanych połączeń fizycznych, które mogą uczestniczyć w agregacji, to dwa. Agregowane mogą być dowolnie wybrane interfejsy fizyczne.
Zaletą funkcji jest zwiększenie przepustowości łącza, rozłożenie ruchu sieciowego, większa dostępność oraz redundancja, gdyż awaria łącza przypisanego do grupy nie powoduje wyłączenia grupy – ruch sieciowy nadal będzie przekazywany.
Tak więc mechanizm agregacji stosuje się wszędzie tam, gdzie intensywność ruchu sieciowego jest największa, na przykład między routerem a NAS-em. Oczywiście, oba urządzenia sieciowe, pomiędzy którymi takie połączenie ma być zestawione, muszą obsługiwać funkcję agregacji portów (z tym jest coraz lepiej).
Oto schemat użytej topologii sieciowej:
Pomiędzy przełącznikiem (w teście użyliśmy przełącznika Cisco Catalyst 2960) a routerem zostało zestawione zagregowane łącze składające się z dwóch fizycznych połączeń w standardzie 100 Mb/s. Dlaczego nie 1 Gb/s? Ponieważ nie mieliśmy pod ręką urządzenia o dostatecznej liczbie portów w tym standardzie.
Do agregacji łącza został wykorzystany protokół LACP (ang. Link Aggregation Control Protocol) z opcją automatycznej konsolidacji tworzonego łącza. Router obsługuje również metodę statyczną, która umożliwia wymuszenie utworzenia kanału EtherChannel bez negocjacji (administrator wykonuje konfigurację samodzielnie).
Istnieje jeszcze jeden protokół, który pozwoli na agregację łącza, a mianowicie PAgP (ang. Port Aggregation Protocol), lecz protokół ten jest własnym rozwiązaniem firmy Cisco i nie jest wykorzystywany w urządzeniach innych marek. Obecnym standardem jest LACP, pozwalający na automatyczną agregację łącza pomiędzy urządzeniami różnych producentów.
W routerze została skonfigurowana agregacja łączy obejmująca interfejsy oznaczone jako 1 oraz 2.
Ta sama operacja została wykonana na przełączniku. Agregacja łączy obejmuje interfejsy oznaczone jako F0/1 oraz F0/2.
Stan utworzonego kanału weryfikujemy po stronie przełącznika. Agregacja działa prawidłowo – stan został ustalony na U, czyli w użyciu.
Czas przejść do testów i ponownie wykonać operację kopiowania plików.
Prędkość kopiowania plików pomiędzy dwoma komputerami była następująca:
Szybka analiza przekonuje, że nie ma różnicy pomiędzy standardowym połączeniem 100 Mb/s–1 Gb/s a komputerami, pomiędzy którymi zostało zestawione zagregowane łącze. Czyżby agregacja portów nie działała?
Wszystko działa jak należy. Otóż większość osób błędnie sądzi, że w połączeniach tego typu pliki będą równolegle przesyłane przez oba interfejsy tworzące kanał. W tym przypadku tak się jednak nie dzieje. Pliki będą przesyłane równolegle przez oba interfejsy, ale tylko wtedy, gdy zostaną ustawione przynajmniej dwie odrębne sesje kopiowania, na przykład dwa hosty będą prowadzić równolegle odrębną komunikację.
Agregacja łączy nie działa w ramach jednej sesji, co oznacza, że cały ruch sieciowy pochodzący od jednego hosta jest przesyłany tylko przez jeden fizyczny interfejs tworzący zagregowane łącze. Ruch sieciowy tworzący daną sesję nie jest przesyłany z wykorzystaniem wielu interfejsów w ramach tak zbudowanego łącza. Wykonanie operacji równoległego kopiowania plików (dwa odrębne procesy) z jednego komputera również spowoduje przesłanie wszystkich plików przez jeden fizyczny interfejs, gdyż wybór ścieżki transmisji pakietów opiera się przeważnie na źródłowym adresie MAC interfejsu, przez który dane są przekazywane, bądź źródłowym adresie IP hosta (nie jest to jedyny sposób przydzielania interfejsu, przez który mają zostać przesłane pakiety w ramach zestawionego łącza – wszystko zależy od możliwości urządzeń).
Dołożenie drugiego komputera, który będzie prowadził równoległą komunikację, spowoduje rozłożenie ruchu sieciowego: każdy z komputerów będzie wykorzystywał odrębne połączenie fizyczne (różne źródłowe adresy MAC bądź różne źródłowe adresy IP).
Zatem procedurę testową musimy lekko zmodyfikować. Dokładamy dwa komputery (w sumie mamy trzy) i w tak zbudowanym środowisku sprawdzimy działanie funkcji agregacji łączy.
W ramach testu najpierw przesłaliśmy pliki z dwóch komputerów jednocześnie bez użycia funkcji agregacji łącza. W następnym kroku te same pliki zostały jeszcze raz wysłane z obu komputerów w tym samym czasie, lecz tym razem pomiędzy przełącznikiem a routerem zostały zagregowane dwa fizyczne interfejsy. Całość powtórzyliśmy przy użyciu trzeciego komputera. Wynik to czas, w jakim udało się wykonać całą operację jednoczesnego kopiowania pliku.
Jak widać, dane były kopiowane przez zagregowane łącze dwukrotnie szybciej niż przez nieagregowane. Każdy z komputerów przesyłał pliki w ramach jednej sesji przez osobne interfejsy.
W sytuacji gdy przez zagregowane łącze pliki były przesyłane przy użyciu trzech hostów, proces ten trwał dłużej, gdyż jeden z interfejsów fizycznych musiał obsłużyć dwie sesje.
Naszym zdaniem warto korzystać z funkcji agregacji łącza, jeśli sprzęt ją obsługuje. Ma zastosowanie wszędzie tam, gdzie pomiędzy urządzeniami sieciowymi prowadzona jest intensywna wymiana danych, choćby w przypadku serwera plików czy połączenia typu router-przełącznik (szczególnie gdy do przełącznika podłączonych jest wiele hostów). Użycie zagregowanego łącza eliminuje wąskie gardło w postaci połączeń sieciowych, którymi przesyłana jest ogromna liczba pakietów.
Pytanie zagadka: Pewnie wielu Czytelnikom przyszło na myśl pytanie, co w sytuacji, gdy router z przełącznikiem połączymy za pomocą dwóch odrębnych interfejsów bez udziału funkcji agregacji łącza. Problem jest ciekawy, a odpowiedź na tak postawione pytanie nie jest jednoznaczna. Kto ma pomysł, tego zachęcamy, by podzielił się nim w komentarzu.
Po wykonaniu serii wszystkich testów pojawił się jeszcze jeden pomysł: żeby sprawdzić router pod kątem możliwości połączeń. Przeprowadziliśmy więc skanowanie portów (w ustawieniach fabrycznych, z wykorzystaniem narzędzia Nmap). Skanowane były wszystkie porty urządzenia, z uwzględnieniem protokołów TCP i UDP. Oto rezultat skanowania wraz z oznaczeniem otwartych portów:
- port TCP 22 – usługa SSH, czyli szyfrowane połączenie pozwalające utworzyć sesję z powłoką zdalną. Niestety, wszystkie próby nawiązania połączenia spełzły na niczym, bo PuTTy i narzędzie ssh zgłaszały błąd niemożności utworzenia sesji. Co ciekawe, w bliźniaczym modelu TP-Link C3200 można było skorzystać z okrojonego menu, dostępnego po nawiązaniu sesji Telnet. Funkcja ta byłaby ciekawą opcją alternatywną do tradycyjnej konfiguracji, przeprowadzanej z wykorzystaniem przeglądarki internetowej, tym bardziej że użytkownikom modeli przeznaczonych na rynek biznesowy TP-Link umożliwia skonfigurowanie sprzętu za pomocą wiersza poleceń;
- port TCP 25 SMTP (ang. Simple Mail Transfer Protocol) – protokół komunikacyjny do przekazywania poczty elektronicznej w internecie;
- port TCP/UDP 53 – protokół DNS; port UDP jest odpowiedzialny za rozwiązywanie nazw, a port TCP – za transfer strefy;
- port UDP 67 – serwer DHCP;
- port TCP 80 – obsługa WWW;
- port TCP 110 – protokół POP3, umożliwiający odbiór poczty elektronicznej;
- port TCP 119 – protokół NNTP (ang. Network News Transfer Protocol), używany do obsługi grup dyskusyjnych, powiązany z portem TCP 563 (również ten numer portu został wykryty jako otwarty); tworzy szyfrowane połączenie z użyciem protokołu SSL;
- port TCP 143 – protokół pocztowy IMAP (następca POP3);
- port TCP 465 – SMTPS, bezpieczniejsza wersja protokołu SMTP;
- port TCP 587 – wykorzystywany przez protokół SMTP;
- port TCP 993 – protokół IMAP z obsługą szyfrowania TLS/SSL;
- port TCP 995 – protokół POP3 z obsługą szyfrowania TLS/SSL;
- port TCP 1900 – usługa UPnP, wykorzystywana najczęściej do nawiązywania komunikacji z urządzeniami multimedialnymi w celu przesyłania danych audio i wideo przy użyciu protokołu RTSP (ang. Real Time Streaming Protocol);
- port TCP 1990 – najprawdopodobniej protokół STUN (ang. Simple Traversal of UDP Through NAT), pozwalający wykryć użytą metodę translacji adresów NAT, wykorzystywany m.in. w ramach usługi VoIP;
- port 5351 – protokół NAT Port Mapping Protocol (NAT-PMP), wykorzystywany do automatycznego konfigurowania ustawień translacji adresów oraz konfigurowania funkcji przekierowania portów;
- port TCP 33344 – usługa korzystająca z portu została zidentyfikowana jako TrenDnet (po wykonaniu dokładniejszego skanu, gdyż pierwsza próba zidentyfikowania tej usługi przyniosła wynik unknown); najprawdopodobniej ten port jest wykorzystywany do aktualizacji wbudowanego programu antywirusowego.
TP-Link Archer C5400 – podsumowanie
TP-Link Archer C5400 to bardzo udana konstrukcja, w której zastosowano dobrej klasy podzespoły. Szkoda tylko, że jest tak mało kart sieciowych zdolnych w pełni wykorzystać możliwości tego urządzenia.
Zastosowany procesor i układy pomocnicze na pewno znacząco przyczyniły się do bardzo dobrych wyników w teście LAN-WAN oraz teście szybkości przesyłania plików z wykorzystaniem komunikacji bezprzewodowej.
Wydajność portów USB jest bardzo dobra, choć w porównaniu z routerami marki Linksys jest jeszcze sporo do zrobienia, zwłaszcza w dziedzinie zapisu plików.
W cenie około 1100 zł otrzymujemy solidną konstrukcję o bardzo dobrych parametrach, obsługującą najnowsze techniki: MU-MIMO i Beamforming.
Po teście pozostaje jednak pewien niedosyt. Największe rozczarowanie to brak trzech funkcji, które naszym zdaniem w tej klasie sprzętu powinny się znaleźć. Po pierwsze, brakuje obsługi zewnętrznych modemów sieci GSM w standardzie USB (choć można się ratować modemem LTE, który ma interfejs Ethernet). Zabrakło też mechanizmu Dual WAN, zapewniającego automatyczną zmianę łącza, a co za tym idzie – nieprzerwany dostęp do internetu w razie awarii łącza podstawowego (zapasowe łącze najczęściej jest zestawiane właśnie przy wykorzystaniu łączności GSM). Ostatni zarzut to brak funkcji klienta VPN, która pozwala skonfigurować łącze wirtualnej sieci prywatnej z użyciem zewnętrznego serwera. Jeśli taka funkcja jest zaszyta w oprogramowaniu routera, nie trzeba ręcznie konfigurować połączenia VPN na każdym z urządzeń z osobna – router jest połączony z siecią internet za pomocą tunelu VPN, a wszystkie urządzenia wykorzystywane w sieci LAN są podłączone do routera, dzięki czemu i one mogą korzystać z zestawionego tunelu VPN. Szkoda również, że wśród oferowanych opcji zabrakło menedżera pobierania plików.
W tym przedziale cen rywalem dla testowanego routera jest testowany przez nas wcześniej Linksys WRT3200ACM (około 1000 zł), który jest szybszy w paśmie 5 GHz, ale jest urządzeniem dwuzakresowym.
Inną opcją jest D-Link 890L (około 1000 zł), który zdecydowanie bardziej przyciąga uwagę wyglądem. Zapewnia całkiem niezłą wydajność przez utworzenie dwóch sieci 1300 Mb/s w paśmie 5 GHz (przy wykorzystaniu sześciu anten). Ta wspólna funkcja obu routerów pozwala rozładować ruch sieciowy przy dużej liczbie urządzeń, jednak model D-Linka nie obsługuje MU-MIMO i jest zdecydowanie gorszy pod względem wydajności portu USB 3.0.
Inną opcją jest Asus RT-AC87U (około 800 zł). Mimo że jest wolniejszy i dwuzakresowy, ma wszystkie funkcje, których brakowało nam w testowanym modelu.
W tym przedziale cen panuje dość duża konkurencja, a mnogość urządzeń nie ułatwia wyboru. Testowany TP-Link na tle routerów innych producentów wypada naprawdę dobrze. Zachęca trójzakresowością, prędkością sieci bezprzewodowej oraz bardzo dobrze i stabilnie działającym interfejsem. Gdyby miał wspomniane brakujące funkcje, wybór byłby znacznie łatwiejszy.
Do testów dostarczył: TP-Link
Cena w dniu publikacji (z VAT): ok. 1099 zł