Internet i sieci
Artykuł
Łukasz Guziak, Piątek, 15 września 2017, 09:00

Edimax Gemini RG21S – interfejs użytkownika

 

Po wyjęciu routera z pudełka i podłączeniu wszystkich anten przyszedł czas na pierwsze uruchomienie. Żeby uzyskać dostęp do panelu administracyjnego, należy wpisać w przeglądarce internetowej: edimax.setup. Wciśnięcie klawisza Enter przenosi do okna kreatora ustawień początkowych.

Kreator pomaga przeprowadzić podstawową konfigurację routera (bądź punktu dostępu, jeśli ten tryb zostanie wybrany). Określamy tryb pracy urządzenia (router lub punkt dostępu), parametry dostępu do sieci internet oraz ustawienia sieci LAN i sieci bezprzewodowych.

Żeby uzyskać dostęp do bardziej zaawansowanych ustawień, trzeba się połączyć z urządzeniem z wykorzystaniem adresu IP bramy domyślnej (domyślny adres IP to 192.168.2.1, login to admin, a hasło to 1234).

Po poprawnym wprowadzeniu wszystkich informacji wita nas ekran stanu urządzenia.

Wszystkie opcje routera są zgrupowane na kartach, które wybiera się z pionowego menu dostępnego po lewej stronie okna.

Pierwsza grupa opcji znajduje się w zakładce Stan. Rozwinięcie zakładki zapewnia wgląd w ustawienia protokołów IPv4 i IPv6, ustawienia sieci bezprzewodowych (SSID, kanał pracy, użyte zabezpieczenia czy adres BSSID) oraz adresację sieci LAN (adres IP routera, maska podsieci, stan serwera DHCP, adres MAC).

Zakładka Kreator konfiguracji pozwoli zmienić tryb pracy urządzenia.

Na trzeciej zakładce, Internet, zostały zawarte opcje połączenia z siecią internet. Router obsługuje funkcję klonowania adresu MAC.

Dodatkowo przy użyciu tej zakładki konfigurujemy opcje związane z DDNS (ang. Dynamic Domain Name System), czyli funkcją przypisywania zmiennego adresu IP do stałej nazwy domenowej. Dzięki takiemu powiązaniu nawet w razie zmiany zewnętrznego adresu IP przyznanego routerowi będzie można się z nim łączyć przy wykorzystaniu adresu domenowego. Router współpracuje z takimi usługami, jak: DynDNS, DHS, ZoneEdit.

Zakładka ta pozwoli również uruchomić serwer VPN, który zapewni dostęp do zasobów sieci LAN z dowolnego miejsca na świecie. Warunek: trzeba dysponować zewnętrznym adresem IP.

Router umożliwia zestawienie sesji VPN przy wykorzystaniu standardu OpenVPN.

Zakładka LAN pozwala zmienić adresację obowiązującą po stronie sieci wewnętrznej i określić ustawienia serwera DHCP.

Dwie następne zakładki, 2.4GHz Sieć Bezprzewodowa oraz 5GHz Sieć Bezprzewodowa, pozwalają ustawić parametry rozgłaszanych sieci bezprzewodowych. Opcje, na które mamy wpływ, to: włączenie/wyłączenie sieci bezprzewodowych, podstawowe parametry sieci WiFi (pasmo, kanał, SSID), ustawienia sieci typu „gość”, WPS, zabezpieczenia (użyte szyfrowanie, ewentualnie hasło dostępu do sieci, rozgłaszanie sieci czy obsługa mechanizmu WMM).

Te ustawienia konfigurujemy zarówno dla pasma 2,4 GHz, jak i 5 GHz.   

Zakładka Harmonogram pozwala określić czas pracy rozgłaszanych sieci bezprzewodowych.

Konfiguracja aktywności sieci bezprzewodowych polega na określeniu dnia tygodnia oraz czasu. Ustawienia wprowadzamy osobno dla każdej z rozgłaszanych sieci WiFi.

Zakładka Firewall pozwala określić reguły filtrowania ruchu sieciowego. Wbudowany firewall działa z użyciem mechanizmu SPI (ang. Stateful Packet Inspection), co oznacza, że nadzoruje stan wszystkich nawiązanych połączeń i przepuszcza je bądź odrzuca na podstawie analizy pakietów.

Karty dostępne po rozwinięciu zakładki Firewall pozwalają skonfigurować opcje związane z filtrowaniem adresów MAC, strefą DMZ (ang. Demilitarized Zone) oraz funkcją DoS (ang. Denial of Service), która chroni przed atakami polegającymi na zalewaniu sieci nadmiarową ilością danych w celu maksymalnego wykorzystania dostępnego pasma.

Router oprócz ochrony sieci przed atakami DoS zapewnia ochronę interfejsów przed ich skanowaniem, za co należy pochwalić producenta. Rozpoznawanych metod skanowania jest naprawdę dużo. Poniżej przedstawiamy wybrane.

  • Skanowanie Xmas. Nazwa tego skanowania wzięła się z analogii do świecącej choinki. Używany jest pakiet TCP, który ma włączone flagi: URG, PSH, FIN oraz wyłączone SYN i ACK (ten proces skanowania dopuszcza również użycie pakietu, w którym wszystkie flagi są włączone). Jest to nietypowy rodzaj pakietu, którego nie obejmuje specyfikacja zawarta w dokumentach RFC. Zastosowanie tak spreparowanego pakietu TCP do skanowanego systemu spowoduje wymuszenie nietypowych odpowiedzi. Ponieważ odpowiedzi te w różnych systemach przyjmą różny kształt, ich analiza może zapewnić informację o stanie aktywnych portów. Producenci oprogramowania z powodu braku dokładnych wytycznych w dokumentach RFC wdrożyli własne rozwiązania.
  • Skanowanie NULL. Ten rodzaj skanowania podobnie jak Xmas wykorzystuje pakiet TCP, który jest niezgodny ze specyfikacją zawartą w dokumentach RFC. W przypadku tej metody używany jest pakiet, który ma wyłączone wszystkie flagi (stąd nazwa).
  • Skanowanie TCP. Obejmuje nawiązanie pełnej sesji TCP z badanym hostem. Proces rozpoczyna się od wysłania na określony adres IP i do określonego portu pakietu z ustawioną flagą SYN. Pakiet ten jest wysyłany przez hosta nawiązującego połączenie. Jeśli host docelowy jest uruchomiony i usługa korzystająca z danego portu nasłuchuje na tym porcie, w kierunku hosta ustanawiającego połączenie zostaje odesłany pakiet z ustawioną flagą SYN/ACK. Po otrzymaniu takiego pakietu w kierunku hosta, z którym nawiązujemy połączenie, zostaje wysłane potwierdzenie w postaci pakietu z włączoną flagą ACK.
  • Skanowanie SYN/RST. Wykorzystywane są tylko dwa pierwsze etapy nawiązywania połączenia TCP. To oznacza, że komputer atakujący wysyła standardowy pakiet SYN i dostaje odpowiedź w postaci pakietu SYN/ACK (port otwarty) bądź pakietu RST/ACK (port zamknięty). W razie otrzymania pakietu SYN/ACK następnym krokiem powinno być odesłanie pakietu ACK przez komputer wykonujący skanowanie. Tak się jednak nie dzieje. Zamiast pakietu ACK zostaje wysłany pakiet RST (tzw. pakiet zerowania). Pakiet ten nakazuje zignorowanie wcześniej przesłanych informacji i zamknięcie połączenia.

Dodatkowo router umożliwia określenie liczby pakietów SYN przesyłanych do urządzenia, co pozwala uniknąć ataku typu SYN Flood. Atak tego typu jest najpopularniejszą metodą blokowania usług sieciowych. Wykorzystuje mechanizm nawiązywania sesji TCP. Atakujący host wysyła w kierunku ofiary dużą liczbę pakietów z ustawioną w nagłówku flagą SYN oraz zmodyfikowanym adresem IP nadawcy. Tego typu pakiet TCP jest pakietem inicjalizującym połączenie. Po jego otrzymaniu host zdalny odsyła w kierunku nadawcy (na sfałszowany adres IP), zgodnie z zasadami protokołu TCP, pakiet z ustawionymi flagami SYN oraz ACK.

Trzecim etapem powinno być otrzymanie pakietu z ustawioną flagą ACK, do czego jednak nigdy nie dochodzi. Przyczyną jest to, że komputer, do którego jest wysyłana odpowiedź, nie istnieje bądź ignoruje wysłany pakiet SYN/ACK, gdyż nie próbował nawiązać połączenia z atakowanym hostem (brak pierwszego etapu ustanawiania sesji TCP). Ponieważ stan nawiązywanych połączeń jest zapisywany w pamięci operacyjnej hosta, bardzo duża liczba pakietów SYN powoduje jej przepełnienie. Skutkiem jest nieakceptowanie następnych przychodzących połączeń. 

Karta QoS umożliwia ustalenie reguł kształtowania ruchu sieciowego.

Określenie reguły QoS sprowadza się do podania jej nazwy, ilości dostępnego pasma, adresów IP, co do których reguła ma być stosowana, typu ruchu sieciowego oraz użytego protokołu.

Grupa opcji dostępnych po rozwinięciu zakładki Ustawienia Zaawansowane zawiera karty pozwalające skonfigurować takie funkcje, jak:

  • routing statyczny – opcje pozwalające określić drogę pakietów w sieciach, w których przyjęta adresacja IP obejmuje różne podsieci (sieć została podzielona na odrębne segmenty, w których za sprawne przesyłanie pakietów odpowiada oddzielny router);
  • przekierowanie portów – konfiguracja połączeń obejmująca translację adresów dla określonych hostów;
  • serwer wirtualny – konfiguracja dostępu z sieci zewnętrznej do usług uruchomionych na urządzeniach podłączonych do sieci lokalnej;
  • sieci bezprzewodowe – zaawansowane ustawienia rozgłaszanych sieci radiowych, m.in. prędkość transmisji, szerokość kanału, moc transmisji;
  • IGMP – włączenie/wyłączenie protokołu IGMP (ang. Internet Group Management Protocol) – protokół służy do zarządzania grupami multicast;
  • UPnP – automatyczna identyfikacja urządzeń multimedialnych (takich, jak: telewizor, konsola, smartfon);
  • NAT – włączenie/wyłączenie mechanizmu NAT (ang. Network Address Translation) – technika przesyłania ruchu sieciowego poprzez router.

 

W ostatniej zakładce, Narzędzia, są dostępne karty:

  • Strefa czasowa – konfiguracja adresu serwera NTP, dzięki któremu następuje synchronizacja zegara systemowego routera;
  • Hasło – ustalenie hasła dostępu do panelu konfiguracyjnego urządzenia;
  • Zdalnie – ustanowienie sesji zdalnej z routerem dla hosta o określonym adresie IP;
  • Kopia zapasowa – kopia konfiguracji routera, przywrócenie ustawień z wcześniej wykonanej kopii oraz przywrócenie ustawień fabrycznych;
  • Oprogramowanie sprzętowe – aktualizacja oprogramowania routera (firmware);
  • Restart – zresetowanie urządzenia;
  • LOG – lista logów systemowych;
  • Aktywny klient DHCP – lista urządzeń, którym został automatycznie przydzielony adres IP w ramach mechanizmu DHCP, oraz możliwość skonfigurowania funkcji powiązania adres IP – adres MAC (klientowi o określonym adresie MAC zostaje przyznany określony adres IP);
  • Statystyki – statystyki prowadzonego ruchu sieciowego (odrębnie dla sieci LAN, WAN oraz sieci bezprzewodowych).

 

Podsumowując opis funkcji interfejsu urządzenia, możemy stwierdzić kilka istotnych braków.

  • Najpoważniejszy zarzut dotyczy braku jakiegokolwiek portu w standardzie USB, czego konsekwencją jest niemożność skorzystania z takich funkcji, jak: udostępnianie plików z wykorzystaniem zewnętrznego nośnika, serwer wydruku, menadżer pobierania plików, obsługa modemów GSM. Niemożność skorzystania z modemu GSM skutkuje brakiem obsługi mechanizmu DualWAN.
  • Router nie został zaopatrzony w żadne narzędzia diagnostyczne typu ping czy traceroute.
  • Brakuje klienta VPN, który umożliwiałby zestawienie połączenia z usługodawcą świadczącym tego typu usługę.
  • Interfejs panelu konfiguracyjnego również pozostawia wiele do życzenia – tu od wielu lat nic się nie zmieniło. Szata graficzna nie zachęca do poznania możliwości urządzenia, a system pomocy jest słabo rozwinięty i ogranicza się do bardzo ogólnych informacji. Początkujący użytkownicy będą mieli problem ze zrozumieniem działania poszczególnych funkcji. Szkoda, że producent, podjąwszy decyzję o zmianie wyglądu swoich produktów, nie pomyślał o zmianie sposobu ich konfiguracji. Ponadto polska wersja językowa zawiera sporadyczne błędy w tłumaczeniu.
  • Router zapewnia tylko routing statyczny; zabrakło obsługi protokołów routingu dynamicznego.
  • Brakuje funkcji związanych z kontrolą rodzicielską.
  • Jakakolwiek zmiana parametrów pracy urządzenia wymusza jego ponowne uruchomienie, które – w zależności od wagi wprowadzonych zmian – trwa 30 lub 60 sekund.
  • Brakuje specjalnego narzędzia, które umożliwiałoby konfigurację routera z wykorzystaniem urządzeń przenośnych.
Ocena artykułu:
Ocen: 5
Zaloguj się, by móc oceniać
Artykuły spokrewnione
Facebook
Ostatnio komentowane