Краткая информация о режиме «Изоляция точки доступа»
Что такое изоляция точки доступа?
Изоляция точки доступа используется для защиты устройства от атак с другого устройства в той же сети. Когда этот режим включен, устройство изолирует всех подключенных клиентов в одной и той же беспроводной сети друг от друга, что повышает безопасность в сети. Как показано на рисунке ниже, при включенном режиме изоляции точки доступа, два хоста в одной и той же беспроводной сети не могут взаимодействовать друг с другом.
Как настроить режим изоляции точки доступа?
Продукты TP-Link Pharos поддерживают режим изоляции точки доступа. Данный режим по умолчанию отключен в настройках. Чтобы включить этот режим, выберите меню Беспроводной режим в нем подраздел Дополнительные настройки беспроводного режима и установите галку на против пункта Включить изоляцию точки доступа.
Примечание. Изоляция точки доступа недоступна в режиме Клиента.
Если устройство работает в режиме точки доступа и включен Multi-SSID, вы можете включить изоляцию точки доступа для определенного SSID в списке SSID, как показано на рисунке ниже.
Краткая информация о режиме «Изоляция точки доступа»
Что такое изоляция точки доступа?
Изоляция точки доступа используется для защиты устройства от атак с другого устройства в той же сети. Когда этот режим включен, устройство изолирует всех подключенных клиентов в одной и той же беспроводной сети друг от друга, что повышает безопасность в сети. Как показано на рисунке ниже, при включенном режиме изоляции точки доступа, два хоста в одной и той же беспроводной сети не могут взаимодействовать друг с другом.
Как настроить режим изоляции точки доступа?
Продукты TP-Link Pharos поддерживают режим изоляции точки доступа. Данный режим по умолчанию отключен в настройках. Чтобы включить этот режим, выберите меню Беспроводной режим в нем подраздел Дополнительные настройки беспроводного режима и установите галку на против пункта Включить изоляцию точки доступа.
Примечание. Изоляция точки доступа недоступна в режиме Клиента.
Если устройство работает в режиме точки доступа и включен Multi-SSID, вы можете включить изоляцию точки доступа для определенного SSID в списке SSID, как показано на рисунке ниже.
Тюнингуем локальную сеть роутера
Настроив и подключив домашний или офисный роутер, можно обнаружить, что скорость Интернет-соединения далека от идеала. Понятно, что немного занижает скорость сам маршрутизатор, а трафик в любом случае делится между абонентами локалки. Попытаемся ответить на следующий вопрос: насколько медленнее станет работать локальная сеть через WiFi роутер, если число ее абонентов возрастет. Здесь идет речь о скорости передачи IP-пакетов в проводной сети, а абонентами могут быть Wi-Fi-устройства или ПК, подключенные по кабелю.
Маршрутизация – это перемещение IP-пакета от источника к приемнику через сеть. Скорость маршрутизации может быть разной в зависимости от того, сколько разных цифровых сетей пакету предстоит пройти. Для домашних и офисных роутеров принято различать скорость маршрутизации между следующими сетями:
- WAN и LAN (проводной сегмент)
- WLAN и WLAN (сегмент Wi-Fi)
- LAN и WLAN (локальный сегмент)
- LAN и LAN (внутренний проводной сегмент)
Нас будет интересовать, чему равна скорость маршрутизации LAN-LAN. Точнее, надо будет определить, как данное значение зависит от разных факторов (от числа абонентов беспроводной сети и т.д.).
Особенности аппаратной реализации
Конструкция сетевого комбайна может содержать свитч, в действительности представляющий собой сетевой hub. Тогда, как можно понять, ни один из «внешних» по отношению к сегменту LAN факторов на работу этого сегмента не влияет.
Чтобы доказать, что роутеры со встроенным свитчем действительно существуют, не надо их разбирать. Достаточно посмотреть в спецификации, относящиеся к основному процессору. Например, про чип RTL8196 (Realtek) сказано: 32-битный процессор RISC дополнен встроенным в микросхему 5-портовым свитчем на 100 Мбит/с. Свитч или hub в виде отдельной микросхемы Вы не найдете, но знайте, что он – есть, и содержит 5 Ethernet-портов.
Одновременно с чем существуют домашние и офисные роутеры, не содержащие аппаратных свитчей. Каждый из 4-х портов LAN в таком случае оснащается собственным контроллером. Если web-интерфейс позволяет выбирать номер порта для STB-приставки, то есть объединять порт LAN с WAN-портом в свитч, то аппаратных свитчей конструкция не содержит.
Практически любая модель роутера с портом ADSL наделена опцией, позволяющей объединять в свитч любой из LAN-портов с виртуальным интерфейсом подключения. Это значит, что аппаратного свитча в таких моделях тоже нет. Теоретически, на скорость маршрутизации LAN-LAN в подобных роутерах «сторонние» факторы влиять могут, а насколько сильно, попытаемся узнать дальше.
Результаты тестирования производительности LAN
С марта 2010 года сайт «smallnetbuilder» не тестирует производительность проводных локальных сетей, организуемых серийно выпускаемыми сетевыми комбайнами. Если речь идет о 100 Мбит/с, а не о «гигабите», в таком тестировании просто нет смысла – результат все равно не будет хуже, чем значения, получаемые с использованием аппаратных свитчей. Об этом заявлено в пояснении к тестам:
А вот с гигабитными сетями все выглядит не так однозначно. Роутер ASUS RT-N16, выпускаемый с 2010 года, обеспечивает в проводной сети скорость передачи пакетов до 600-650 Мбит/с, если к устройству подключены 2 ПК. Сторонние факторы (число клиентов беспроводной сети и другие) на это значение почти не влияют.
Делаем следующий вывод. 100-мегабитная проводная сеть, организуемая современным сетевым комбайном, таковой и является.
С гигабитными устройствами все несколько сложнее – гарантированно можно получить 400 или 500 Мбит/с. Но вряд ли это значение понизится, как только к точке доступа Wi-Fi подключится один или несколько новых абонентов. Так что, выбирая роутер, о скорости сети LAN можно не беспокоиться вообще.
Использование опции AP Isolation
Трафик в локальной сети делится между всеми пользователями. Здесь, на первый взгляд, все справедливо. Но иногда можно обнаружить, что суммарная скорость обмена данными оказывается ниже, чем теоретическое значение (100 Мбит/с или 500 Мбит/с). Причиной этого может служить передача многоадресных, а также широковещательных пакетов. Последние из них можно запретить передавать, правда, только в беспроводной сети. При этом можно получить негативный эффект (будут отсутствовать некоторые сервисы), но попробовать запретить broadcast смысл есть.
Выключаем широковещательный трафик Wi-Fi
Такая опция, как «AP Isolation», она же может называться «Client Isolation», расположена в настройках Wi-Fi. Активировав ее, мы запретим передачу широковещательных пакетов в беспроводной сети. Из этого последует интересный эффект – абоненты Wi-Fi будут иметь доступ к Интернету, но не к локальным ресурсам (ПК других абонентов, NAS, принтерам).
Заметим, что рассмотренной возможностью надо пользоваться осторожно, так как попутно можно получить отсутствие IP-телевидения, либо какой-то другой неработающий сервис.
Мы отключаем широковещание только в беспроводной сети. Одновременно с чем перестают функционировать сервисы, отвечающие за автоматическую настройку маршрутов (RIP). Строго говоря, совместно с «изоляцией AP» может работать только RIP версии 2M. Поэтому, не удивляйтесь, если что-то перестанет работать из-за активации одной малозаметной опции.
Добиваемся присутствия IP-телевидения
Если Вы активировали рассмотренную функцию, закройте плейер TV на беспроводном устройстве, а затем попробуйте открыть его снова. Если все работает – считайте, что повезло. В большинстве случаев многоадресная передача используется при трансляции потоков, но при инициализации идет как раз широковещание. Будьте внимательны.
Все же, смотреть IPTV одновременно с «изоляцией AP» возможность есть. В крайнем случае, никто не запрещает использовать UDP-прокси (UDPxy). Только вот данный программный модуль есть не во всех прошивках. Что относится к устройствам старых моделей, у которых мало памяти. А в web-интерфейсе функция UDPxy выглядит так:
Заметим, что прокси-сервер UDP будет работать, если отключить передачу multicast-потоков, так как две эти функции взаимно исключают друг друга.
Безопасная домашняя сеть: создаём изолированный сегмент для гостей
Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника — холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы — это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.
К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться — в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.
Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто — там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа — соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования — чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.
К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции — вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.
Настройка через веб-интерфейс не вызовет затруднений даже у начинающих — несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.
Скриншот с сайта производителя
Добавить гостевую сеть можно, когда устройство уже настроено и работает.
Скриншот с сайта производителя
Скриншот с сайта производителя
Как видите, всё достаточно просто, далее мы перейдём к обсуждению более тонких материй.
Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN — виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.
Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию — вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов — скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.
Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход — дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все — функциональные возможности встроенного софта у них, повторимся, очень разные.