Порівняння функціональності батьківського контролю маршрутизаторів D-Link

Метою даної статті є порівняння 3 безпровідних маршрутизаторів компанії D-Link із різних цінових категорій. А саме D-Link DIR-615, D-Link DIR-635 та D-Link DIR-855. Особливу увагу буде звернено на функціональність налаштувань батьківського контролю у цих 3 моделей. Усі 3 маршрутизатори перестали випускатися компанією D-Link і були замінені на більш нові версії, але дуже на них схожі. Оскільки компанія D-Link пропонує емулятори налаштувань через веб-інтерфейс лише для обмеженої кількості своєї продукції, то для порівняння було вибрано саме їх. В таблиці 1 представлено коротке порівняння даних моделей маршрутизаторів.

Таблиця 1 - Порівняння безпровідних маршрутизаторів D-Link

Модель	DIR-615	DIR-635	DIR-855
Фото
Приблизна ціна	220 грн	550 грн	1000 грн
Стандарти Wi-Fi	802.11 b/g/n	802.11 b/g/n	802.11 b/g/n
Інтерфейси	4 x LAN, 1 x WAN	4 x LAN, 1 x WAN	4 x LAN, 1 x WAN, USB
Підключення WAN	Static IP, Dynamic IP, PPPoE, L2TP, PPTP, DHCP	Static IP, Dynamic IP, PPPoE, L2TP, PPTP, DHCP	Static IP, Dynamic IP, PPPoE, L2TP, PPTP, DHCP
Модуляція Wi-Fi	OFDM, CCK	DSSS, OFDM	DSSS, OFDM
Шифрування Wi-Fi	WPA2	WPA2	WPA2
Функції мережевого екрана	NAT, фільтрація MAC/IP, запобігання DoS, SPI, VPN, підтримка однієї DMZ	NAT, SPI, VPN, PPP, фільтрація MAC/IP, підтримка однієї DMZ	NAT, SPI, VPN, QOS, фільтрація MAC/IP, DMZ, запобігання DoS
Керування	web, uPnP	web	web, telnet, uPnP
Сертифікати	FCC Class B, FC, CE	FCC Class B, CE, C-Tick, IC	FCC Class B, CE, C-Tick, IC, WPS

Проаналізувавши дану таблицю, бачимо, що для домашнього або SOHO (small office/ home office) використання великої різниці у даних маршрутизаторів немає. Проте модель DIR-855 все ж володіє більшої функціональністю та гнучкістю налаштувань. 

Звернімо увагу тепер на функції батьківського контролю, які пропонує кожна з даних моделей, використовуючи для цього емулятори D-Link, що можна знайти тут:

D-Link емулятори

Батьківський контроль - функціональність маршрутизатора, що дозволяє контролювати інтернет-активність дітей (можливо і дорослих ^_-), обмежуючи доступ до певних сайтів, та накладаючи обмеження на час, доступний для проведення в Інтернет. 

На рисунку 1 зображено панель налаштувань контролю доступу моделі D-Link DIR-615

Рисунок 1 - Налаштування контролю доступу в D-Link DIR-615

Як видно з рисунка 1, можемо задавати політику доступу, фізичну адресу (МАС) машини, веб-сайти, які піддаватимуться фільтруванню, та планування часу, коли сайти будуть доступні (або ж недоступні).

На рисунку 2 бачимо, що модель D-Link DIR 635 надає нам абсолютно ідентичні можливості батьківського контролю:

Рисунок 2 - Контроль доступу в D-Link DIR-635

Таке ж саме вікно з такими з налаштуваннями можна знайти і в D-Link DIR-855.

Звідси висновок, що 3 моделі з абсолютно різної цінової категорії не відрізняються між собою можливостями домашнього використання. Зокрема функціональність батьківського контролю у даних 3 моделей ідентична.

Декілька порад щодо безпеки Wi-Fi роутерів

Wi-Fi роутер, також знаний як безпровідна точка доступу - це активний мережевий пристрій, що поєднує у собі функціональність маршрутизатора, комутатора (інколи просто моста), точки доступу та апаратного брандмауера (опціонально). На рисунку 1 зображено типовий і дуже популярний на сьогоднішній день Wi-Fi роутер TP-Link WR340G

Рисунок 1 - Wi-Fi роутер TP-Link WR340G

Ви плануєте розгорнути безпровідну мережу у себе вдома чи в офісі.. Багато операторів телекомунікаційних послуг, таких як Київстар та інші надають Вам таку можливість, продаючи разом з телекомунікаційними послугами апарат, що зветься безпровідною точкою доступу. Отже, неважливо як, але у Вас з'явився такий пристрій. Якщо працівники оператора не налаштують його, а Ви, не задумуючись та не прикладаючи великих зусиль, зробите це самі - в більшості випадків призводить до плачевних ситуацій: втрати (викрадення) конфіденційних даних, пошкодження системних файлів тощо. Щоб цього не трапилось, потрібно правильно та надійно налаштувати Wi-Fi роутер. В цій статті я не буду вдаватись в тонкощі налаштування конкретних моделей та технологій, а також детально пояснювати чому саме одні налаштування кращі за інші. Ви можете дізнатись цю інформацію у інших моїх статтях блогу, присвячених безпровідним мережам. 

Нижче я дам кілька порад для підвищення захищеності безпровідної інфраструктури.

1. Задавайте унікальне ім'я (SSID) для Вашої точки доступу. 

Назви типу: dlink, tp-link, mynetwork, home лише спростять зловмиснику процес взлому, так як для таких типових назв у них наперед заготовлені бази даних для перебору для конкретних SSID, що підвищує швидкодію перебору у сотні разів, ніж для перебору для наперед невизначеної SSID.

2. В якості протоколу шифрування даних, що є трафіком для Вашої ТД (точки доступу) завжди вказуйте лише WPA2 PSK з алгоритмом шифрування AES. Або WPA2 Enterprise з процедурою аутентифікації до віддаленого RADIUS-сервера. 

Типовою помилкою багатьох власників ТД є те, що вони використовують інші протоколи шифрування. Зокрема WEP - є найбільш небезпечним. Цей протокол використовує потоковий алгоритм із зсувом регістра RC4, що дуже легко піддається алгебраїчному криптоаналізу і може бути зламаним за декілька секунд.
Протокол же, WPA2 поки що є останнім офіційним стандартом шифрування безпровідних мереж. І алгоритм AES - не є зламаним. Для шифрування даним протоколом єдиним методом зламу є повний та частковий перебір (bruteforce).

3. Пароль (також знаний як ключ/ PSK-фраза) для підключення до вашої точки доступу повинен бути настільки складним, наскільки Ви можете собі це дозволити. Використовуйте великі та малі літери та цифри. Не вказуйте персональних даних (рік народження, своє ім'я, телефон) в якості пароля. Довжина пароля також має значення (мінімальна довжина 8 символів, максимальна - 64). Хорошим паролем вважається на 13-14 символів приблизно.
Якщо Ваш пароль буде простим, типовим, та не специфічним, зловмиснику вдасться дізнатись його за допомогою перебору по словнику типових паролів.

4. Обов'язково змініть пароль на керування Вашою ТД через веб-інтерфейс віддаленого доступу.
Не залишайте пароль та логін (ім'я) за замовчуванням. Першим кроком, який зловмисник здійснить у процесі зламу Вашої мережі - дізнається модель Вашої ТД та логін/пароль, які по замовчуванню в ній використовуються. І попробує їх ввести

5. Встановіть потужність роботи антени ТД рівно такою, щоб сигнал затухав у межах стін Вашого офісу чи дому.
Таким чином Ви успішно зможете використовувати можливості безпровідної передачі даних на своїй території. А за її межі радіочастотні сигнали розповсюджуватись не будуть, а отже не зможуть бути перехоплені.

6. Відключіть широкомовне розповсюдження SSID вашої ТД (SSID Broadcast)
Таким чином користувачі пристроїв із Wi-Fi антенами при скануванні доступних мереж, не бачитимуть Вашу, що унеможливить навіть прості спроби підключення до неї тих, для кого це не передбачено. Для легітимних же користувачів, достатньо ввести один раз налаштування для підключення вручну і потім у них буде змога підключення навіть до Вашої прихованої ТД.
Увага! Відключення широкомовного розповсюдження SSID не приховає Вашої точки доступу остаточно. Є безліч утиліт, які допомагають виявити Вашу ТД навіть з відключенням цієї функції. Проте, про них знають мало людей, тому... :)

7. Застосовуйте фільтрацію по MAC-адресах
MAC-адреса - фізична адреса мережевого адаптера. Існує 2 способи МАС-фільтрації:
а) дозволити лише вказані МАС, а інші заборонити
б) заборонити лише вказані, а інші дозволити.
Більш дієвим способом є спосіб а). Визначте МАС - адреси мережевих адаптерів усіх комп'ютерних пристроїв та дозвольте їм підключення в налаштуваннях  ТД. Всім іншим - забороніть. Це унеможливить підключення "інших" пристроїв без зміни на легітимну МАС.

8. Обов'язково залишіть ввімкненим брандмауер на ТД. Таким чином з'єднання по портах буде фільтруватись найпершим чином на Вашій ТД за вказаними Вами правилами (по замовчуванню у типових ТД всі порти фільтровані).

9. Відключіть можливість пінгування Вашої ТД взагалі і пінгування по портах зокрема. Таким чином Ви уникнете можливості DOS (Denial of Service) та DDOS (Distributed Denial of Service) - атак на Вашу ТД.

В іншій статті, присвяченій даній тематиці, буде продемонстровано практичну реалізацію та впровадження деяких із вищенаведених правил на конкретній ТД для тих, хто не знає як щось зробити.

Успіхів Вам!

Відновлення первинного розділу Flash-накопичувача

Інколи трапляються ситуації, коли первинний розділ та файлову систему флешки (Flash-накопичувача) пошкоджено, змінено.

Так, наприклад, програма UltraISO при створенні завантажувального носія на флешці, створює додатковий невидимий розділ, "з'їдаючи" при цьому певний заданий користувачем об'єм пам'яті, який відводиться на цей же завантажувальний розділ. В майбутньому, запис на флешку простими засобами Windows в цей розділ буде неможливим. Також місце на флешці може займати USB SecureDrive. Схожих ситуацій є безліч.

Просте форматування флеш-носія в даному випадку не допомагає, форматуючи лише той розділ диску, який є видимим. Повний об'єм флеш-драйву все одно не є доступним після процесу форматування. Постає проблема, як же відновити первинний стан Вашої флешки. В цьому Вам допоможуть вбудовані інструменти Microsoft Windows

1. Вставляємо флешку в комп'ютер

2. Запускаємо командну стрічку Пуск > cmd

3. У вікні консолі, що відкрилось, набираємо: diskpart

4. У новому вікні, зі стрічкою DISKPART> набираємо: list disk

5. Дивимося, з яким номером у нас відображається флешка. Для цього слід звернути увагу на об'єми носіїв, і вибрати той, якого об'єму флеш-носій. Також зазвичай останні підключені носії мають найвищі номери. На рисунку 1, в даному випадку, моя флешка має номер 1

Рисунок 1 - Вивід команди list disk

Вибираємо носій: select disk 1

6. Набираємо clean і отримуємо відповідь про те, що очищення диску було здійснено успішно. 

Увага! Якщо перед цією командою Ви неправильно вибрали номер диску флешки, то можете відформатувати один із своїх інших дисків.Тому усі інструкції Ви виконуєте на свій страх і ризик, і я, як автор, відповідальності за Ваші дії не несу. 

7. Тепер створюємо новий розділ командою: create partition primary. І отримуємо відповідь про те, що вказаний розділ був успішно створений. 

8. Вибираємо наш новий розділ командою: select partition 1.

9. Форматуємо розділ в систему FAT32: format fs=fat32 quick

Все, тепер на флеш-носії лише один первинний розділ і всю початкову пам'ять відновлено.