Ограничение доступа в интернет через роутер: Как ограничить доступ к интернету через роутер: по времени, другим устройствам

Содержание

Как ограничить доступ в интернет ребенку на компьютере: настройка родительского доступа

Родители всегда хотят дать своим детям самое лучшее и огородить их от тех вещей, которые считают вредными или запрещенными. Касается это сети Internet. Современные дети учатся управлять гаджетами уже с ранних лет. Неудивительно, что часто они забываются и попадают на ресурсы, не предназначенные для них. Этот материал поведает неопытным родителям, как ограничить доступ в интернет ребенку.

Как ограничить доступ в интернет

Можно справиться с этой задачей и самостоятельно, так как поставить детский режим на интернет несложно, но гораздо проще почитать готовые инструкции. С целью обезопасить детей от негативного воздействия некоторых сайтов были созданы всевозможные программные комплексы и настройки, позволяющие родителям блокировать доступ к отдельным сайтам или всему интернету.

Если разобрать возрастные ограничительные меры подробнее, то можно выделить несколько путей запрета:

С помощью родительского контроля операционной системы;
С помощью сторонних программ для компьютера и телефона;

С помощью настроек маршрутизатора.

Важно! Любым из этих способов можно отключить определенные сайты или сделать доступ только в нужное место, можно настроить включение и выключение интернета по часам и так далее. Стоит подробнее разобрать каждый из вариантов по отдельности и понять, как поставить ограничения для детей в интернете.

Родительский контроль в Windows

Если на компьютере установлена операционная система Windows от Microsoft, то можно воспользоваться стандартной защитой. Она может быть включена, когда дети используют семейный компьютер.

Система может обеспечить:

Настройку лимита времени работы компьютера. Например, после 12 часов дня компьютер выключится, и детская учетная запись перестанет включаться до определенного момента.
Настройку доступных игр. Согласно параметру «для всех» оценки игр ESRM, на ПК будут запускаться только игры, содержащие минимальное количество сцен насилия.

Настройку доступных программ. Можно ограничить круг доступных программ, в том числе и браузеры.

Для того чтобы включить детский режим в интернете как на ОС Windows 7, так на более поздних версиях, нужно создать отдельную учётную запись для ребенка.

Важно! Необходимо проверить, установлен ли пароль учётной записи администратора. Если его нет, то нужно установить его и не говорить ребенку.

Для создания родительского контроля нужно:

Перейти в Панель управления из меню пуск;

Выбрать пункт «Учетные записи пользователей», а там открыть «Управление другой учетной записью»;

Перейти через ссылку «Создание новой учетной записи» и создать новую учетку, вписав Имя, Пароль и выбрав тип записи «Обычная»;

Настроить аккаунт, вернувшись в панель управления и выбрав пункт «Учетные записи пользователей»;

Теперь там отображается новый аккаунт, на который нужно нажать;

Откроется аккаунт и ссылки, среди которых нужно выбрать «Установить родительский контроль»;

Появится окно с ограничением времени, игр и программ, в котором все можно настроить на свое усмотрение;

После выбора необходимо сохранить все изменения.

Родительский контроль через роутер

Почти все роутеры, производимые в настоящий момент, имеют свои встроенные функций по контролю интернета для детей. Для того чтобы настроить эти функции, необходимо:

Прописать в адресной строке браузера айпи-адрес 192.168.1.1, который перенаправит пользователя на страницу настроек роутера;
Далее, после ввода логина и пароля, которые чаще всего стандартны и содержат значение «admin», откроется меню настроек маршрутизатора;
Следует найти функции контроля, которые чаще всего располагаются во вкладке «Интернет» или в расширенных настройках;

Помимо основных настроек, в некоторых роутерах предусмотрена справка по использованию и настройке. Например, в меню TP LINK Родительский контроль выглядит следующим образом.

Этот способ работает не только для роутеров Tp Link, но и для Zyxel, D-link, Mikrotik, Keenetic и других моделей. Интернет и сайты будут блокироваться не только на компьютере, но и всех устройствах, использующих интернет от роутера.

Какие программы ограничивают доступ в интернет с телефона

Нередко родители в целях ограничения прибегают к установке программных решений, которые могут оказаться платными, но более функциональными и гибкими. Более того, существуют они и для телефонов.

Screen Time Parental Control

Screen Time – это приложение для родительского контроля. Оно позволит скорректировать время, проведенное ребенком в интернете и отдельных приложениях, а также заблокирует доступ к устройству в указанный период или после определенного времени. Функционал приложения может запретить детям играть в игры в ночное время или в школе, но позволит читать книги в другом приложении.

Обратите внимание! Также возможно дистанционное управление. После нажатия кнопки устройства детей будут заблокированы. Это отлично работает, когда наступает время сна или еды. Если дети вели себя хорошо, то можно также дистанционно добавить им пару десятков минут свободного использования.

Kid’s Shell

Еще одно приложение для родительского контроля телефонов и планшетов. С помощью него можно ставить запуск только выбранных приложений. Дети не смогут звонить и отправлять СМС, а также совершать покупки, если это запрещено.

Функционал приложения предполагает наличие:

Режима для родителей со всеми настройками;
Детского режима с ограничениями;
Многоязычности;
Простого перехода в другой режим с помощью арифметического пароля;
Блокировку кнопки Home.

YouTube Детям

YouTube Kids – специализированное приложение от Google, которое представляет собой версию YouTube, ориентированную для детей, с возможностью выбора доступного контента, родительского контроля и фильтрацией видео. Приложение было запущено в 2015 году и доступно на Android, IOS и Android TV.

Выбор контента в приложении основывается на нескольких категориях: «Шоу», «Музыка», «Образование» и «Рекомендуемые». В них показываются видео с каналов, которые считаются системой подходящими для детей. Сейчас в приложении доступны премиальные сериалы от YouTube Red, предназначенные специально для YouTube Kids. Интерфейс программы тоже обновился. Теперь в нем доступен новый режим для детей более старшего возраста.

Важно! Сервис содержит и функции родительского контроля, заключающиеся в ограничениях по времени или ограничениях по возможности использования строки поиска. Для настройки контроля и его защиты можно использовать коды доступа основного аккаунта в Google, с которого возможно настроить несколько учетных записей.

Несмотря на очевидные преимущества приложения, некоторые эксперты были обеспокоены тем, что в YouTube Kids так или иначе присутствует реклама, которую дети не смогут отличить от контента. Более того, в механизме фильтрации часто происходили сбои и запрещенные материалы становились доступными, а сама фильтрация работала неправильно.

Safe Lagoon

Последнее приложение называется Safe Lagoon. Оно с легкостью сможет обеспечить круглосуточную защиту детям и сэкономить время. Сервис кроссплатформенный, а значит, что устанавливать программное обеспечение можно на телефон под управлением Android и IOS, а также на ПК с операционной системой Windows.

Приложение содержит все классические возможности по ограничению контента, программ и игр, а также времени, проведенном в них. Но кроме этого есть возможность вести статистику времени, находить детей с помощью GPS сигнала и даже переписываться с ними, не выходя из приложения.

Конечно, программа не бесплатна, но в ней есть ограниченный пробный аккаунт для тестировки начальных возможностей, включающий безопасный браузер, веб-центр и один профиль.

В материале был решен вопрос: как настроить детский интернет. Это является очень важной задачей для родителей. Именно поэтому существует столько способов гибкой настройки ограничений программ, игр и времени, проведенного за компьютером.

Подгорнов Илья ВладимировичВсё статьи нашего сайта проходят аудит технического консультанта. Если у Вас остались вопросы, Вы всегда их можете задать на его странице.

Как ограничить скорость раздачи wifi для других пользователей внутри сети: способы

Когда к одному роутеру подсоединено несколько устройств по Lan- и беспроводной сети, часто встречается проблема, что скорости на всех не хватает. Особенно это заметно, когда на одном из маршрутизаторов начинается загрузка. Что же делать, если нужно работать и для этого требуется стабильное соединение, выход остается один: рассмотреть способы ограничения скорости раздачи wifi для других пользователей, оставив для себя надежный и неприкосновенный скоростной поток.

Общее ограничение

Ограничить скорость возможно двумя способами:

Общим: для всех клиентов, подключенных к одному роутеру.
Индивидуальным: для конкретного пользователя.

Задачи, как ограничить скорость интернета на роутере, для каких конкретно ситуаций, решает сам пользователь.

Например, он хочет, чтобы у всех устройств, которые подключены к модему, были одинаковые права и скорость. Такую настройку сети удобно использовать в офисе, чтобы сотрудники не заходили на сторонние ресурсы, занимались только работой, а не просмотром видео или играми.

Теперь непосредственно о том, как ограничить скорость. На каждом устройстве данная конфигурация производится по-разному, но есть общий алгоритм.

Вначале необходимо определиться, какое максимальное число пользователей способно использовать сеть. Ограничение, как правило, выставляется в основном меню по настройке Wi-Fi.
Когда определено число пользователей, необходимо узнать, какие адреса присваиваются для каждого из них. Эта информация хранится на вкладке «DHCP-сервер», отвечающего за присвоение каждому подключенному устройству IP. Адреса понадобятся для того, чтобы ограничить скорость. Как правило, присвоение происходит в строгой последовательности с увеличением на единицу, например, адрес первого клиента -192.168.0.100, второго — 192.168.0.101, третьего — 192.168.0.102 и т. д.

Следующий шаг установки определенной скорости — создание правила, или фильтра, для применения указанных адресов. Для этого потребуется найти подменю с названием Bandwidth control или «Пропускная способность». Здесь потребуется ввести IP первого и последнего устройств, попадающих под ограничение передачи. Например, в сети пять роутеров, соответственно, выставляется диапазон 192.168.0.100 — 192.168.0.105.
Также в этом меню есть еще два поля, используемые для того, чтобы ограничивать быстроту передачи. Здесь нужно выставить входящий и исходящий пороги передачи данных. Выше этого значения передача данных подняться не сможет.

Bandwidth control — контроль пропускной способности — помогает ограничить трафик не только для Wi-Fi, но и для локальной сети.

Ограничение скорости интернета для определенных устройств

Иногда нет необходимости глушить скорость на всех каналах сразу, тогда потребуется разделить скорость интернета или Wi-Fi. Настройки роутера позволяют ограничить поток для любого пользователя, подключенного по беспроводной сети.

Что для этого нужно

Чтобы ограничить скорость сети Wi-Fi на конкретном устройстве, необходимо узнать его MAC-адрес. Для этого перейти к настройкам роутера во вкладку «DHCP-сервер». На главной странице содержится информация обо всех девайсах, подключенных на данный момент к модему. Здесь же можно посмотреть, какой IP присвоен конкретному пользователю.
Далее перейти во вкладку Addresses Reservation, или «Резервация адресов». В ней необходимо присвоить MAC-адресу IP. Эту информацию следует взять из меню «DHCP-сервера».
После этого необходимо во вкладке Bandwidth control, или «Пропускная способность», создать правило для каждого IP. При создании нового указывается IP и фильтр для него, в нашем случае — максимальная скорость для входящего и исходящего трафиков.
Таким образом, теперь известно, как ограничить скорость раздачи сети WiFi для других пользователей.

Конфликт правил

При создании нового правила иногда выдается ошибка, что новый фильтр противоречит предыдущим. Это объясняется перебиванием, а также несоответствием параметрам, установленным заранее. Нужно либо поменять условия нового правила, либо удалить предыдущее. Только так получится ограничить скорость доступа к сети.

Обход правил по ограничению и как их избежать

Избежать ограничения скорости пользователю возможно путем смены личного IP либо MAC-адреса. Данные ситуации лучше предотвратить, ограничив трафик таким образом, что «обойти» систему не получится.

Защита на случай смены клиентом MAC-адреса

Некоторые «хитрые» пользователи пытаются обойти защиту путем смены персонального MAC-адреса, если у него стоит фильтрация по данному параметру. Есть довольно простой способ ограничить поток данных: создать список MAC-адресов для выхода в интернет. Все остальные пользователи, желающие подключиться к сети, останутся с нулевым трафиком.

Для этого большинство маршрутизаторов имеет специальное меню «Фильтрация MAC». Нужно зайти в него, внести в «белый список» адрес собственного компьютера, чтобы не ограничивать трафик для себя. Информацию о личном адресе клиент получает во вкладке «DHCP-сервер».

Таким же образом добавить в список устройства, предусмотренные для предоставления возможности доступа к сети. В настройках также реально ограничить скорости. Все другие девайсы, подключенные к персональному Wi-Fi, кроме значка о подключении ничего не получат, доступ к ресурсам для них будет закрыт.

Полный запрет для сторонних устройств

Перед тем как запретить доступ всем сторонним девайсам, необходимо внести себя в список исключений, чтобы не урезать компьютеру доступ в интернет. Для этого открыть вкладку MAC Filtering, сюда добавить устройство, на котором нужен доступ в интернет. Информацию взять из меню «DHCP-сервер».

Далее перейти к полному ограничению доступа для сторонних подключений. Все делается в этой же вкладке: MAC Filtering. Необходимо найти меню Allow the stations specified и активировать функцию. Данная команда разрешает доступ только пользователям, внесенным в список разрешенных MAC-адресов.

Теперь, если пользователь хочет разрешить доступ какому-либо клиенту, потребуется найти его в списке DHCP, скопировать персональные MAC и IP, добавить в список разрешенных подключений. Ограничить поток передачи в соседнем меню.

Проверка установленных параметров

Чтобы быть уверенными, что настройки работают правильно, достаточно проверить быстроту интернета на одном-двух девайсах, для которых установлены фильтры. Для этого воспользоваться специальными сервисами, самый популярный из них — SpeedTest. Он покажет, какая скорость передачи и получения данных на конкретном устройстве.

На компьютерах с Win10 воспользоваться «Диспетчером задач», вкладкой «Быстродействие». Но показатели в этом разделе не всегда совпадают с реальными, хотя разница малозаметна. Для грубого теста подойдет и такой вариант.

Выводы

Теперь известны способы ограничить трафик через персональный роутер. Это позволит сэкономить средства, если используется 3G или 4G.

Работа в сети станет менее комфортной для пользователя, если он «делит» интернет с кем-то еще.

Родительский контроль с помощью роутера | Роутеры (маршрутизаторы) | Блог

Интернет несет в себе множество соблазнов, поэтому желание родителей как-то обезопасить детей от «тлетворного влияния» всемирной паутины вполне понятно. В то же время, полностью запрещать Интернет — не лучший выход: в сети много полезной и важной информации. К счастью, отделить «полезный» Интернет от «вредного» вполне возможно и для этого достаточно правильно настроить роутер, раздающий дома Wi-Fi.

Что лучше — роутер или специальные программы?

Для родительского контроля создано большое количество приложений, которые устанавливаются на компьютер или смартфон и не дают посещать с него сайты с сомнительным содержанием.

Некоторые брандмауэры и антивирусы тоже имеют функцию родительского контроля. За счет более глубокого вмешательства в системные процессы, они способны контролировать и ограничивать установку небезопасных программ, устанавливать лимиты времени работы и доступа к Интернет, блокировать доступ к приложениям, сайтам, социальным сетям, вести учет деятельности в сети и даже определять «нежелательные» слова в переписке, которую ведет ребенок.

Однако минусы у программ родительского контроля тоже есть. Во-первых, большинство из них платные. Во-вторых, смышленые дети исхитряются обойти блокировку. В-третьих, приложение защищает только то устройство, на которое установлено (а иногда защита и вовсе работает только в одном браузере). Стоит ребенку войти в сеть с другого телефона или компьютера — и никаких ограничений не будет.

Другое дело — родительский контроль на роутере. Он будет распространяться на все подсоединенные к нему устройства. И избавиться от этого контроля не так просто.

Что нужно знать для настройки роутера

Нужно понимать, что такое MAC-адрес и IP-адрес.

МАС-адрес — это уникальный физический адрес устройства, подключающегося к сети. Состоит из восьми пар цифр и букв (от a до f), разделенных двоеточием. Выглядит примерно как 4f:34:3a:27:e0:16.

IP-адрес — это сетевой адрес устройства в локальной сети или сети Интернет, он состоит из четырех чисел (от 0 до 255), разделенных точкой (например, 124.23.0.254).

Любое устройство, даже обесточенное, имеет МАС-адрес. IP-адрес устройство получает, когда подключается к сети. Очень часто роутеры выдают IP-адреса динамически, из незанятых. Утром устройство может получить один IP-адрес, а вечером — уже другой. А на другом роутере — вообще третий.

Можно использовать следующую аналогию: МАС-адрес — это ФИО человека, а IP-адрес — его прозвище в коллективе. «Иванов Иван Иванович», «Ванёк», «сынок» и «Иваныч» могут обозначать одного и того же человека, но «Иванов Иван Иванович» он всегда, а «сынок» — только для родителей.

МАС-адрес используется для физической идентификации клиента и именно по этому адресу настраивается фильтрация в маршрутизаторе. Разобраться, кого как зовут поможет вкладка «Клиенты» веб-интерфейса роутера — там обычно есть полный список подключенных устройств, МАС-адреса, сетевые имена и IP-адреса.

IP-адрес меняется, а MAC-адрес — нет. В принципе, его можно сменить, но на некоторых устройствах (смартфонах, некоторых сетевых картах, сетевых устройствах) это сделать довольно непросто.

Настройка роутера с помощью специальных вкладок родительского контроля

Родительский контроль — проблема весьма актуальная и производители роутеров массово оснащают прошивки своих устройств средствами для блокирования нежелательного контента. У роутеров D-link и ТР-Link блокировка настраивается через вкладку «Яндекс.DNS», а у TP-Link и Sagemcom вкладка называется «Родительский контроль».

Подобные вкладки есть и у других производителей, с особыми названиями и тонкостями — универсальной инструкции по настройке не существует.

Вкладка «Яндекс.DNS» роутеров D-link и TP-link использует бесплатную одноименную службу, о которой будет подробнее написано ниже. Вообще Яндекс.DNS можно использовать на любом роутере, но роутер D-link с новой прошивкой позволяет задать ограничения конкретным устройствам в сети.

С помощью этой вкладки можно оставить «полный» доступ только с определенных устройств, а все новые, входящие в сеть, будут входить в ограниченном режиме — например, в «детском». Для этого следует закрепить за «родительскими» устройствами определенные IP-адреса на странице LAN.

Затем на вкладке «Яндекс.DNS-Устройства и правила» выставить им правило «Без защиты».

На вкладке «Яндекс.DNS-Настройки» следует задать режим по умолчанию «Детский».

Готово. Теперь роутер позволяет смотреть всё подряд только разрешенным устройствам, а все остальные — под контролем.

У роутеров TP-link есть несколько версий прошивки с родительским контролем. В старых прошивках в этой вкладке можно создать черный или белый список сайтов и, в зависимости от выбранного режима работы, запретить доступ к сайтам в списке или, наоборот, разрешить доступ только к указанным в списке.

Фактически это просто URL-фильтр, который есть в любом роутере. Единственная разница — здесь можно задать МАС-адрес контролирующего компьютера, к которому правила родительского контроля применяться не будут.

На прошивках поновее можно также задать расписание включения контроля и задать список устройств, на которые будет распространяться контроль.

А вот новейшая прошивка TP-Link предоставляет побольше возможностей. Здесь уже можно к различным устройствам применить разные уровни фильтрации контента.

Настройки позволяют широко варьировать уровень фильтрации как по возрасту посетителей «всемирной сети» (Дошкольники, Школьники, Подростки, Совершеннолетние), так и по категориям контента (Материалы для взрослых, Азартные игры, Социальные сети и т. д.).

Функционал прошивки может поспорить и с некоторыми платными программами и сервисами. Здесь же можно настроить и расписание действия родительского контроля.

Вкладка «Родительский контроль» на роутерах Sagemcom скрывает обычный URL-фильтр без возможности определения клиентов, для которых он будет действовать и расписание доступности Интернета.

Расписание, в отличие от URL-фильтра, можно привязать к отдельным клиентам.

Настройка роутера без вкладок родительского контроля

Если вкладки «Родительский контроль» нет в веб-интерфейсе вашего устройства, нужно попробовать обновить прошивку. Если же и после обновления ничего похожего не появилось, придется обойтись штатными возможностями, которые есть во всех моделях маршрутизаторов — фильтрацией по URL и сменой адреса DNS-сервера.

Настройка URL-фильтра

URL-фильтр позволяет ограничить доступ к определенным сайтам по их именам.

В большинстве устройств URL-фильтр может работать одном из двух режимов: черного или белого списка. В режиме черного списка будут доступны все сайты, кроме перечисленных.

В режиме белого списка будут доступны только перечисленные сайты.

Поскольку перечислить все «неблагонадежные» сайты абсолютно нереально, чаще всего роутер настраивается по «жесткому» второму варианту. В качестве основы можно использовать какой-нибудь рекомендованный белый список и добавлять в него сайты по необходимости.

URL-фильтр удобен, если его действие можно применять или не применять к определенным устройствам в сети. Редкие роутеры позволяют гибко настраивать каждый разрешенный адрес на каждое устройство. Обычно маршрутизаторы позволяют задать как минимум список клиентов, на которых URL-фильтр не действует. Если и такой возможности устройство не предоставляет, вам придется менять настройки роутера каждый раз, как потребуется посетить сайт не из «белого списка». Это совсем неудобно и лучше воспользоваться другими функциями ограничения доступа.

Смена адреса DNS-сервера

DNS-сервер (сервер имен) конвертирует привычное нам имя сайта (например, yandex.ru) в IP-адрес сервера яндекса. Только получив этот IP-адрес, браузер сможет открыть запрошенный сайт. Защита от нежелательного контента с помощью DNS предполагает, что вместо простого DNS-сервера вы используете DNS-сервер специальный, который не просто конвертирует имя сайта в его IP-адрес, но и проверяет его «благонадежность». И если запрашиваемый сайт включен в «черный список» службы, вместо искомого сайта на экране браузера появится «заглушка». Просто и достаточно эффективно.

Удобнее всего пользоваться такими сервисами, если настройки роутера позволяют задавать разный DNS-сервер для разных клиентов (или групп клиентов, или хотя бы сетей). Иначе вам, опять же, придется менять настройки роутера всякий раз, как вы увидите «заглушку» вместо нужного сайта.

В некоторых вариантах соединения с провайдером DNS-сервер задать невозможно — он предоставляется провайдером автоматически и в настройках соединения его просто нет. В этом случае можно попробовать задать его с помощью настроек DHCP-сервера роутера — DNS-сервер службы следует вписать в строку Primary DNS.

Из наиболее распространенных сервисов родительского контроля на основе DNS можно отметить Яндекс.DNS, OpenDNS и SkyDNS.

Яндекс.DNS — российский сервис, предоставляющий два уровня защиты — «безопасный» (без мошеннических сайтов и вирусов) и «семейный» (то же, плюс блокируются еще сайты для взрослых).

Для установки «безопасного» режима следует указать в качестве адреса DNS-сервера один из двух серверов Яндекса: 77.88.8.88 или 77.88.8.2. Для «семейного» режима адреса другие — 77.88.8.7 или 77.88.8.3.

Плюсы сервиса — отличная скорость, высокая эффективность и полная бесплатность. Минусы — нельзя настроить или добавить категории блокируемых сайтов. Социальные сети, например, не блокируются. Если вы хотите запретить ребенку доступ к «Вконтакте», вам придется использовать URL-фильтр в дополнение к Яндекс.DNS.

OpenDNS (он же Cisco Umbrella) — служба DNS-серверов, принадлежащая американской компании Cisco.

Кроме общедоступных DNS-серверов, OpenDNS предоставляет сервера с защитой от нежелательного содержимого. Например, Family Shield c защитой от сайтов для взрослых имеет адреса DNS серверов 208.67.222.123 или 208.67.220.123. А вот бесплатный вариант Home с возможностью настройки блокируемого контента в России недоступен — можно использовать только платный вариант Home VIP.

В плюсах у OpenDNS — платные варианты с возможностью конфигурирования. В минусах — нет безопасного варианта без фильтрации «взрослого» контента, да и фильтр нацелен, в основном, на обслуживание англоязычного сегмента Интернета, так что некоторые русскоязычные сайты для взрослых могут пройти сквозь фильтр.

SkyDNS — платный сервис фильтрации нежелательного контента. Приобретя аккаунт, вы получите богатые возможности по конфигурированию фильтра. Можно выбрать, сайты какой категории блокировать (тут и безопасность, и сайты для взрослых, и социальные сети, и игры, и многое другое), задать различные профили с разными настройками блокировок, установить расписание действия того или иного профиля, и многое другое.

Существует расширение для роутеров Zyxel, которое упрощает настройку сервиса и позволяет применять к разным устройствам в сети разные профили.

Это сильно расширяет возможности контроля и наблюдения — в личном кабинете сервиса можно получить полную статистику по сетевой активности из вашей сети.

Плюс сервиса — широчайшие возможности настройки. Минусы — кроме отсутствия бесплатных сервисов — ваш профиль должен быть привязан к статическому IP-адресу. Если провайдер выдает вам при подключении динамический IP-адрес (что происходит в 99,9% случаев) вам придется разбираться с конфигурированием DDNS на вашем роутере, подключать одну из служб DDNS и привязывать к ней ваш профиль. Или же подключать услугу статического IP у провайдера. Впрочем, на сайте SkyDNS есть описание настроек DDNS для большинства распространенных роутеров.

Как не позволить обойти родительский контроль

У многих людей любая попытка контроля вызывает желание его обойти, даже если в этом нет никакой реальной надобности, и ваши дети — не исключение. Самый строгая фильтрация Интернета будет абсолютно бесполезна, если вы оставите «лазейки» для её обхода.

Во-первых, смените имя и пароль доступа к веб-интерфейсу на что-нибудь посложнее стандартного admin/admin.

Во-вторых, имея физический доступ к роутеру, пароль на нем можно сбросить (правда, это ведет и к сбросу всех остальных настроек).

В-третьих, заблокируйте различные способы обхода блокировки. Tor Browser, например, без малейших проблем обходит любые сервисы на основе DNS. Единственный способ пресечь этот обход — жесткая фильтрация по белому списку.

Если вы фильтруете контент не для всей сети, а только для определенных устройств, то смена МАС-адреса моментально выведет гаджет вашего ребенка «из-под колпака».Наиболее сложен для обхода URL-фильтр в режиме «белого списка» для всей сети (без привязки к МАС-адресам), но подумайте — нужна ли такая жесткая блокировка? Ведь есть мобильные сети, общедоступные Wi-Fi сети и т. п. Если совсем «перекрыть кислород» ребенку, он может начать искать совершенно неподконтрольные вам способы получения информации — нужно ли вам это? В родительском контроле (и не только в нем) наилучший эффект дает именно «золотая середина».

Как Ограничить Доступ к WiFi Другим Пользователям, Не Меняя Пароль на Роутере?

Недавно один из подписчиков задал интересный вопрос — как можно ограничить доступ к вай-фай другим пользователям, не меняя пароль на роутере? Тема актуальная и я ее уже разбирал на сайте, но немного под другим ракурсом в теме про настройку фильтрации устройств по MAC адресу каждому отдельно взятому производителю. Сегодня же давайте посмотрим, как заблокировать подключение к сети и запретить посещать интернет и ресурсы локальной сети другим пользователям без смены пароля на примере разных маршрутизаторов — TP-Link, Asus, Keenetic, Xiaomi

TP-Link

На роутерах ТП-Линк ограничить доступ к wifi можно через функцию «Родительский контроль».

Здесь есть «Белый» и «Черный» список. В нашем случае вопрос состоит в том, чтобы разрешить выход в интернет только ограниченному количеству устройств.

Соответственно, нам необходимо создать «Белый список» и добавить туда все домашние компьютеры, ноутбуки, смартфоны, ТВ и другие гаджеты. Именно им будет разрешено подключаться к wifi роутеру. Всем остальным пользователям, которые по каким-то причинам узнают ваш пароль, доступ будет ограничен даже без его смены.

Keenetic

На роутерах Keenetic (бывшие Zyxel) ограничение доступа к интернету пользователям производится в разделе «Контроль доступа Wi-Fi». Здесь также имеется возможность создать белый и черный список. Нам нужно добавить в «белый» все устройства, которым необходимо разрешить использование интернета по вай-фай или кабелю.

D-Link

В маршрутизаторе D-Link настройка ограничения доступа к wifi сети производится в два этапа. Сначала надо зайти в раздел «Режим фильтра» и выбрать из выпадающего списка пункт «Разрешать»

После чего переходим в меню «MAC адреса» и выбираем те подключенные устройства, которым будет разрешено пользоваться сетью. Остальным выход в интернет будет заблокирован

Tenda

Списки фильтрации по MAC адресам на роутерах Тенда находится в разделе «Расширенные настройки»

Здесь все так же — активируем «Белый список» и добавляем туда все свои разрешенные гаджеты. Остальным клиентам доступ к wi-fi будет запрещен

Mercusys

И по аналогии — на маршрутизаторах Mercusys. Контроль доступа находится в меню «Расширенные настройки». Прописываем в белый список все домашние компьютеры и сохраняем

Upvel

На Upvel заходим в «Фильтр по MAC адресам» и ставим два флажка — на «Включить фильтрацию» и «Белый список (блокировать все адреса, кроме указанных)». И добавляем нужных пользователей в колонку ниже

Netis

В Нетисе находим меню «Контроль доступа — Фильтр по MAC-адр.» Здесь ставим «ВКЛ» в разделе «Состояние» и галочку на «Запретить доступ к сети для устройств, не включенных в список»

Дополнительно здесь же можно выставить расписание разрешенных подключений к вай-фай роутеру.

Спасибо!Не помогло

Цены в интернете

Александр

Специалист по беспроводным сетям, компьютерной технике и системам видеонаблюдения. Выпускник образовательного центра при МГТУ им. Баумана в Москве. Автор видеокурса «Все секреты Wi-Fi»

Задать вопрос

Защищаем роутер и домашнюю сеть | GeekBrains

Часть 1. Простые советы

https://d2xzmw6cctk25h.cloudfront.net/post/664/og_cover_image/782eb7a1c993a4b12fc99e079e14e582

Несмотря на постоянные сообщения о хакерских атаках на отдельные компьютеры, мобильные устройства и целые компании, мы по-прежнему слепо продолжаем верить, что с нами это никогда не произойдёт. Все эти стандартные пароли, вроде «admin-admin» без обязательного требования после первого запуска придумать свою комбинацию, приводят к тому, что вся наша домашняя сеть становится лакомым кусочком для интернет-хулиганов. Как следствие — вирусы, потерянная информация, удалённый доступ к нашим финансам. О том, как хотя бы попробовать защититься от этого с помощью элементарных действий, поговорим далее.

Избегайте роутеров от интернет-провайдера

Речь не о устройствах, что вам предлагают купить или взять в аренду, а о тех роутерах, которые интернет-провайдер обязует вас использовать. Причём все настройки учётной записи и конфигурацию самого устройства настраивает мастер, вы имеете лишь «гостевой» доступ к начинке. Проблема в том, что на такие роутеры невозможно ставить патчи, вы не можете оперативно сменить пароль, а настройки зачастую не предусматривают серьёзную защиту домашней сети. Всё это чревато огромными дырами в безопасности и зависимостью от благосклонности специалиста службы поддержки.

Измените пароль доступа

Казалось бы, банальное правило: купил в магазине роутер, распаковал, вошёл в систему управления, сразу замени пароль доступа на куда более сложный. Но большинство так радуется работающему Wi-Fi, что забывает об этом напрочь. Напомним ещё раз: сразу же после ввода стандартной комбинации, даже ещё не приступая к настройке, сразу замена пароля и перегрузка.

Ограничьте доступ

Когда вы подключите все домашние устройства к одной сети, зафиксируйте IP или MAC-адреса в памяти. Идеально, если прямо в настройках вы пропишете невозможность доступа устройств с другим адресом. Но дабы не оставлять без Wi-Fi своих гостей, можно пойти на небольшие хитрости, зависящие от модели роутера. Например, ограничить время сессии одного свободного слота доступа. Или включить экран дополнительной верификации.

В крайнем случае всегда можно собрать всех своих друзей, зафиксировать адреса их мобильных телефонов и включить их в «белый список». В общем, изучите внимательно инструкцию и подберите идеальный для вас и ваших гостей вариант.

Аккуратно работайте с интерфейсом

Старайтесь не залезать в настройки роутера без особой надобности. Ваш компьютер или телефон могут быть заражены вирусом, так что совсем ни к чему, чтобы последствия этого добрались до всей домашней сети. И даже в моменты редких визитов, не забывайте об элементарных правилах безопасности: короткие сессии и обязательный выход из системы по окончанию.

Измените LAN-IP адрес

Такая возможность далеко не всегда заложена, но, если настройки роутера позволяют сменить его адрес в сети (например, 192.168.0.1) – обязательно воспользуйтесь. Если же такой возможности нет, то хотя бы измените имя вашей Wi-Fi сети на то, где не содержится марка и модель роутера (так, DIR-300NRU — очень плохой вариант).

Создайте надёжный пароль Wi-Fi

Ещё один банальный рецепт защиты домашней сети, которым многие пренебрегают из-за возможных неудобств ввода на устройствах без клавиатуры, например, игровых консолях. Ваш пароль от Wi-Fi должен содержать минимум 12 символов, с цифрами и буквами, разными регистрами и желательно, чтобы это было что-то сложнее, чем «имя-фамилия-год рождения».

Установите надёжный протокол

Если вы ничего не понимаете, что означают эти непонятные буквы в выборе протокола безопасности, то просто выбирайте WPA2. Такие протоколы WPA и WEP устарели, и их использование от более-менее настырного взломщика уже не защитит.

Отключите WPS

WPS (Wi-Fi Protected Setup) – функция быстрой настройки Wi-Fi подключения, благодаря которой иногда достаточно просто зажать две кнопки на роутере и адаптере. В более сложном варианте придётся ввести написанный на бумажке ПИН-код. Доподлинно известно, что WPS – не самая надёжная вещь на свете, что инструкции по её взлому без проблем можно найти в интернете. Поэтому не искушайте судьбу и просто настройте всё руками через проводное соединение.

Периодически обновляйте прошивку

Патчи и обновления для роутера – абсолютно точно не то, о чём вы думаете, устраиваясь поудобнее с чашкой кофе с утра за компьютером. Даже если на вашем устройстве есть функция автообновления, совсем не лишним будет хотя бы раз в пару месяцев заходить на сайт производителя и проверять актуальность прошивки вашей модели. Зачастую обновления просто не приходят из-за изменения адреса сервера или проблем с доступом, что тем не менее не должно ставить вашу сеть под угрозу.

Не включайте ненужные услуги

Когда вы начинаете копаться в настройках роутера и натыкаетесь на сервисы, назначение которых у вас вызывает сомнение, возможно от них лучше отказаться. Так, например, Telnet, UPnP (Universal Plug and Play), SSH (Secure Shell), и HNAP (Home Network Administration Protocol) представляют серьёзную угрозу безопасности. Во всех остальных случаях лучше потратить немного времени на изучение непонятных аббревиатур, чем просто выставлять галочки без понимания.

На этом с базовыми правилами закончим, в следующий раз — чуть более сложные советы для тех, кому действительно есть что терять в домашней сети.

А на вашу домашнюю сеть когда-нибудь нападали?

Как запретить доступ к сайтам на Wi-Fi роутере? Или разрешаем доступ только к некоторым сайтам

Привет! Уже несколько раз я встречал вопросы типа как запретить доступ к определенным сайтам, или как настроить родительский контроль на Wi-Fi роутере. Если Вам нужно запретить доступ к некоторым сайтам, или же наоборот разрешить доступ только к определенным сайтам и Вы при этом используете Wi-Fi роутер для доступа к интернету, то можно непосредственно на роутере настроить родительский контроль.

Заблокировать определенные сайты можно и с помощью антивируса, который у Вас установлен (если он имеет встроенный фаервол), так и в файле hosts, о котором можно почитать тут. Эти способы хороши тогда, когда Вы подключаетесь к интернету напрямую, через кабель, или беспроводной модем.

Но если к интернету Вы подключаетесь через Wi-Fi роутер, то можно воспользоваться встроенной в него функцией Parental Control (Родительский контроль). Я не знаю как там на Вашем роутере, но на моем TP-Link TL-WR841N есть такая функция, значит будем настраивать.

В чем плюс родительского контроля на уровне Wi-Fi роутера? Прежде всего, это возможность создавать правила доступа к сайтам для каждого компьютера или мобильного устройства, которое подключается через точку доступа (устройства распознаются по MAC адресу). Можно так же запретить доступ к определенным сайтам, или разрешить только к некоторым для всех устройств, которые работают через один и тот же роутер.

Что там рассказывать, сейчас все покажу на примере :).

Настройка родительского контроля на Wi-Fi роутере

Заходим в настройки Вашей точки доступа. Для этого в браузере наберите адрес 192.168.1.1. Введите логин и пароль для доступа к настройкам. Если Вы не меняли эти данные, то по умолчанию это admin/admin. Ну а если сменили и забыли, то смотрите статью Как сбросить пароль и настройки на Wi-Fi роутере.

В панели управления переходим на вкладку Parental Control. Сначала нам нужно включить родительский контроль. Для этого, напротив Parental Control установите переключатель возле Enable.

Теперь нам нужно задать MAC адрес главного компьютера, который будет управлять доступом к сайтам. MAC Address of Parental PC пропишите MAC адрес этого компьютера. А если Вы зашли в настройки с компьютера, который будет главным, то просто нажмите кнопку Copy To Above. И для сохранения нажмите кнопку Save.

Родительский контроль мы включили, теперь можно добавить сайты, которые Вы хотите запретить, или только те к которым Вы хотите открыть доступ.

На этой же странице нажмите кнопку “Add New…”.

На новой странице создаем правило для доступ к сайтам.

Создаем правило для доступа к сайтам

Напротив MAC Address of Child PC: указываем MAC адрес устройства, к которому будет применяться это правило. Ниже в пункте All MAC Address In Current LAN: можно выбрать один из MAC адресов уже подключенного к роутеру устройства. А если не указывать MAC адрес и верхнее поле оставить пустым, то созданное нами правило будет применяться для всех устройств которые подключаются к роутеру, но кроме родительского устройства, MAC адрес которого мы указали при включении родительского контроля.

Для эксперимента я указал MAC своего телефона.

Дальше пункт Website Description: – здесь нужно задать любое описание (только на английском).

В пункте Allowed Domain Name: мы можем указать восемь сайтов, к которым можно запретить, либо разрешить доступ. Не обязательно указывать адрес полностью, например https://www.google.ru. Можно указать только слово к примеру google. И это значит, что доступ будет запрещен/разрешен ко всем сайтам, в адресе которых будет “google”. Например к почте https://mail.google.com.

Пункт Effective Time: позволяем управлять временем доступа, но его я не настраивал.

Теперь внимание! Напротив Status можно выбрать Enabled, либо Disabled. Если установить Enabled, то это значит, что доступ будет разрешен только к тем сайтам, которые мы указали выше. В моем случае к google.ru и ко всем его сервисам.

Для сохранения результат нажимаем кнопку Save.

А вот скриншот:

Проверяем результат. У меня на телефоне были доступны только сайты в адресе которых было слово “google”. При попытке зайти на другие сайты, появлялась ошибка:

Значит все работает.

Для того, что бы удалить, или изменить созданное правило, зайдите на страницу Parental Control и Вы увидите информацию о созданных правилах. Нажав на ссылку Edit, можно изменять правило. А нажав на ссылку Delete – удалить его.

Ну вот и все, думаю что Вам пригодится. Я кстати недавно писал статью о новом сервисе от Яндекса, который так же позволяет настроить роутер на фильтрацию плохих сайтов, можете почитать – Яндекс.DNS — сервис блокировки опасных сайтов. Настройка Яндекс.DNS на Wi-Fi роутере (точке доступа), компьютере и телефоне. Всего хорошего!

Как настроить Родительский контроль на Wi-Fi роутерах (случай 2)?

Эта функция родительского контроля позволяет вам устанавливать уникальные ограничения на доступ в Интернет для каждого члена вашей семьи. Вы можете заблокировать неприемлемый контент, установить дневные ограничения на общее время, проведенное в сети, и ограничить доступ в Интернет определенным временем дня.

Примечание. Убедитесь, что частный MAC-адрес отключен на ваших клиентах, иначе родительский контроль не вступит в силу.

Если ваш маршрутизатор имеет другой интерфейс родительского контроля, см.

Как настроить Родительский контроль на Wi-Fi роутерах (случай 1)?

Например, я хочу, чтобы мои дети от опасных сайтов, как азартную игру или порносайтам, ограничить доступ к Интернету 2 часа каждый день и блок доступа в Интернет во время сна (10 часов вечера до 7 утра) на школьных ночей (с воскресенья по четверг) .

В качестве демонстрации используется Archer C7 V5.

1. Посетите http://tplinkwifi.net и войдите в систему с паролем, который вы установили для маршрутизатора.

2. Перейдите на Basic > Родительский Controls или Advanced > Parental Controls page.

3. Щелкните Добавить , чтобы создать профиль для члена семьи.

4. Добавьте основную информацию профиля.

1) Введите Имя для профиля, чтобы его было легче идентифицировать.

2) В разделе «Устройства» щелкните.

3) Выберите устройства, принадлежащие этому члену семейства. К этим устройствам будут применяться ограничения доступа. По завершении нажмите Сохранить .

Примечание. Здесь перечислены только устройства, которые ранее были подключены к сети вашего маршрутизатора. Если вы не можете найти устройство, которое хотите добавить, подключите его к своей сети и повторите попытку.

4) Щелкните Далее .

5. Настройте содержимое блока для этого профиля в соответствии со своими потребностями.

1) Добавьте одно или несколько ключевых слов. Все сайты, содержащие ключевые слова, будут заблокированы.

2) Щелкните Далее .

Примечание. Правило фильтрации по своей природе является черным списком, что означает, что вы можете указать только веб-сайты, которые хотите заблокировать, но не можете ограничивать доступ к определенным веб-сайтам.

6. Установите временные ограничения доступа в Интернет.

1) Включите временные ограничения с понедельника по пятницу, субботу и воскресенье, затем установите разрешенное время в сети на 2 часа каждый день.

2) Включите «Время спать» в «Школьные ночи» и используйте стрелки вверх / вниз или введите время в поля. Устройства под этим профилем не смогут получить доступ к Интернету в течение этого периода времени.

3) Щелкните Сохранить .

Примечание:

1. Ограничение времени позволяет ограничить ежедневное онлайн-время (которое накапливается в течение 24 часов дня) на 2 временных периода: с понедельника по пятницу и субботу и пятницу.

2. «Время спать» позволяет отключить доступ в Интернет на указанное вами время.

3. Ограничения по времени и время отхода ко сну действуют для всех устройств этого профиля.

4. Действующее здесь время основывается на системном времени маршрутизатора. Перейдите к Advanced > System Tools > Time Settings , чтобы установить правильное системное время.

Для мониторинга использования Интернета

Если вы хотите проверить, какие веб-сайты посещали ваши дети и сколько времени они недавно проводили в Интернете, вы можете:

1.Найдите профиль и щелкните столбец Insights.

2. Используйте раскрывающееся меню за Сегодня для просмотра посещенных веб-сайтов и времени, проведенного в сети за любой из последних 7 дней. Щелкните, чтобы просмотреть полную историю. Щелкните, чтобы заблокировать соответствующий контент для этого профиля.

Теперь вы можете проверить, чем занимается ваш ребенок в Интернете.

Немедленно приостановить доступ в Интернет

Если вы хотите, чтобы ваши дети не имели доступа к Интернету, вы можете сделать это одним щелчком мыши.

Найдите профиль и щелкните столбец «Доступ в Интернет». Для всех устройств в этом профиле будет ограничен доступ в Интернет.

Примечание:

1. Функция паузы отключает доступ в Интернет для профиля, даже если в сети остается время.

2. Нажмите, чтобы снова разрешить доступ.

3. Функция паузы не влияет на оставшееся время онлайн.

Чтобы узнать больше о каждой функции и конфигурации, перейдите в центр загрузок , чтобы загрузить руководство для вашего продукта.

7 стран с наиболее ограниченным доступом в Интернет

Возможно, вы являетесь частью счастливой и счастливой группы людей, имеющих неограниченный доступ в Интернет. Изучив и поглотив весь Интернет, вы, вероятно, обнаружили, что Интернет дает вам мгновенный доступ практически ко всему. Вы можете найти бесконечное количество полезной информации практически по любой теме, которую только можете придумать, а также столь же бесполезный, но зачастую веселый контент.

СВЯЗАННЫЕ С: ЛУЧШИЕ УСЛУГИ VPN, КОТОРЫЕ ВЫ МОЖЕТЕ КУПИТЬ СЕГОДНЯ

Интернет предлагает видео с кошками, события Area 51 и бесконечные мемы. В то же время вы можете найти инструменты, которые помогут вам на вашем пути в STEM, видеоролики для продуктов DIY и статьи, которые помогут разобрать все, что может предложить захватывающий мир инженерии. Однако Интернет предлагает кое-что еще. Недавняя история продемонстрировала, что Интернет может быть мощным средством распространения идей и активизма.

Если вы являетесь авторитарным правительством. Возможно, вам это совсем не нравится, и в большинстве случаев вы этого боитесь. Социальные сети неизменно демонстрируют, что они являются мощным инструментом для революционеров, и одним из самых запоминающихся примеров является использование таких платформ, как Twitter и Facebook, которые сыграли центральную роль в восстаниях во время арабской весны 2011 года.

Чтобы защитить себя от любых потенциальных беспорядков, некоторые ведущие правительства мира пошли так далеко, чтобы ввести цензуру и ограничить доступ в Интернет для своих граждан.Как вы, наверное, догадались, сегодня мы собираемся исследовать страны с самой строгой цензурой в Интернете.

Понимание того, как Интернет подвергается цензуре

Если вы являетесь авторитарным правительством, существует несколько различных способов цензуры в Интернете. Тем не менее, это очень зависит от существующей инфраструктуры. В самых крайних случаях такие страны, как Северная Корея, полностью отключили подавляющее большинство населения от Интернета, в то время как только очень небольшая, строго контролируемая часть интрасети может быть доступна для небольшой части общества.

Тем не менее, как упоминалось выше, это крайний пример. Более распространенные примеры интернет-цензуры включают такие методы, как блокировка сайтов и фильтрация контента. Власти продолжают блокировать веб-сайты, которые им не нравятся, или которые они не одобряют, или которые они считают «угрожающими».

Такие методы, как DNS-фильтрация, блокировка IP-адресов, фильтрация URL-адресов, полное удаление страниц из результатов поисковой системы и отключение сети — все это часто используемые методы для предотвращения любого нежелательного доступа к веб-сайтам.А теперь давайте перейдем к странам с наиболее цензурированным Интернетом.

Китай

Источник: danielvfung / iStock

Вы, наверное, видели это. Да, в Китае широко распространен доступ в Интернет. Тем не менее, у него одна из самых передовых и обширных систем цензуры в мире. Часто используемые веб-сайты, к которым у вас может быть доступ здесь, на западе, такие как Youtube, Facebook, Twitter и Wikipedia, были заблокированы.

Однако это еще не все.Китай приложил усилия, чтобы заблокировать любые темы, которые могут отрицательно сказаться на правительстве Китая. Есть также темы табу, как бойни на площади Тяньаньмэнь, порнографии, Далай-лама, независимость Тибета и Тайваня, и, конечно, свобода слова.

Более того, китайские власти идут еще дальше, отслеживая доступ в Интернет для своих граждан с целью предотвращения любых протестов и тюремного заключения диссидентов. Будет интересно посмотреть, сыграет ли Интернет роль в нынешних протестах, проходящих в Гонконге.

Эфиопия

Источник: derejeb / iStock

Крошечный процент населения Эфиопии имеет доступ к Интернету, и это небольшое население находится под пристальным наблюдением. С введением в действие антитеррористического законодательства в 2009 году власти начали вводить огромные ограничения на все, что в Интернете может быть потенциально критичным по отношению к правительству. За нарушение речи в Интернете вас могут осудить и бросить в тюрьму.

Куба

Источник: Eloi_Omella / iStock

В последнее десятилетие доступ в Интернет для кубинских граждан был весьма ограничен.Однако в 2015 году правительство начало развертывание общедоступных точек доступа Wi-Fi. Затем, в 2018 году, жители Кубы получили доступ к сети 3G, которая, в свою очередь, предоставила кубинцам доступ в Интернет через тарифные планы.

Во-первых, доступ к этим тарифным планам Интернета дорог для среднего гражданина. Более того, Интернет на Кубе подвергается строгой цензуре. Кубинские власти приложили большие усилия против блогеров, которые освещают нарушения прав человека на Кубе или критикуют политическую систему.Такие платформы, как Facebook и WhatsApp, доступны, но считается, что за ними ведется наблюдение.

Северная Корея

Есть только 30 веб-сайтов, доступных внутри страны, и большая часть этого контента продолжает восхвалять правительство лидера Северной Кореи. Более того, Интернетом пользуется лишь очень небольшая часть населения и обычно ограничивается правительственными и военными.

Иран

Источник: DA69 / iStock

Правительство Ирана ясно дало понять, что не хочет, чтобы Запад каким-либо образом влиял на его граждан.Один из лучших способов борьбы с западным влиянием — заблокировать как можно больше основных западных платформ, включая, помимо прочего, YouTube, Twitter и Facebook. Короче говоря, иранское правительство жестко контролирует доступ своих граждан в Интернет.

Все, что считается антиисламским или может выражать критику правительства, также блокируется. Во время беспорядков такие сайты, как Instagram или Telegram, временно блокируются. Запрещены даже инструменты конфиденциальности. Более того, новое правительственное ведомство объявило, что будет и дальше ограничивать доступ своих граждан в Интернет.

Саудовская Аравия

Источник: oonal / iStock

Весь международный трафик в Саудовской Аравии фильтруется через Город науки и технологий короля Абдель Азиза. Любая информация, которую правительство считает неуместной или которая представляет собой потенциальные проблемы морального характера и безопасности, обычно удаляется из общего доступа. Не Любые темы или сайты, которые охватывают шиитского ислама, употребление наркотиков, права ЛГБТ, порнография, азартные игры, обходя фильтр и критики Королевства не являются большой нет-нет.

Более того, прогрессивные активисты могут быть задержаны за публикации в социальных сетях, а правительство доходит до временной блокировки популярных западных сайтов социальных сетей и часто используемых приложений для чата.

Вьетнам

Источник: hadynyah / iStock

По сравнению с другими странами, упомянутыми в этом списке, Вьетнам не имеет сложной системы для мониторинга использования гражданами Интернета. Тем не менее, страна очень жестко контролирует поток информации, вплоть до суровых наказаний тех, кто придерживается противоречивых мнений.

Запрещается все, что носит политически неоднозначный характер, а также критикует правительство. Информация, которая показывает высокие уровни насилия, порнографии и суеверия также блокируется.

Правительство Вьетнама зашло так далеко, чтобы оказать давление на технологические компании, чтобы они удалили контент, который они считали неприемлемым. Короче говоря, любой контент, который считается противоречащим правительству, будет запрещен или заблокирован. И любое выражение в Интернете, которое будет сочтено неуместным, может привести к тюремному заключению.

Вы живете в стране с ограниченным доступом в Интернет?

Контрольный список безопасности маршрутизатора

Самый опытный человек в мире может сделать маршрутизатор настолько безопасным, насколько это позволяет прошивка (ОС маршрутизатора).Следующий список функций безопасности позволяет оценить, насколько потенциально безопасен маршрутизатор. Это не список того, что нужно сделать для повышения безопасности маршрутизатора, он находится на домашней странице этого сайта. Если вы заботитесь о безопасности маршрутизатора, обратите внимание на то, что он обладает перечисленными ниже функциями. К сожалению, в обзорах роутеров ничего из этого не обсуждается.

WPS (обновлено 30 марта 2017 г.)
- Поддерживается ли WPS? WPS стал такой проблемой безопасности, что я бы не хотел использовать какой-либо маршрутизатор, который его поддерживает.Поскольку для сертификации Wi-Fi требуется WPS, он широко используется в потребительских маршрутизаторах. Еще одна причина, чтобы не использовать потребителя роутер.
- В конце марта 2017 года я добавил на этот сайт новую страницу WPS со всем, что вы когда-либо хотели знать об этом, и многое другое.
- Если вы используете маршрутизатор, поддерживающий WPS, проверьте, можно ли его отключить. Здесь есть два аспекта. Когда впервые возникли проблемы безопасности с WPS чтобы загореться в конце 2011 года, некоторые маршрутизаторы не отключали WPS, даже когда им приказывали сделать это — ошибка.К тому же некоторые роутеры не позволяют отключить WPS.
- Статус WPS: чтобы убедиться, что WPS отключен, используйте приложение типа опроса WiFi, такое как отличный WiFi Analyzer на Android. В Windows загляните в WiFiInfoView от Nirsoft — это бесплатно и портативно.
НЕТ ПАРОЛЕЙ ПО УМОЛЧАНИЮ

При первоначальной настройке маршрутизатор заставляет вас предоставлять новые пароли Wi-Fi, отличные от установленных по умолчанию, для каждой сети Wi-Fi?
При первоначальной настройке маршрутизатор заставляет вас предоставить новый пароль, отличный от пароля по умолчанию для входа в сам маршрутизатор?
Один из маршрутизаторов — Synology RT1900ac (Руководство пользователя, снимок экрана). Я читал, что DD-WRT также делает это.

ЛОКАЛЬНАЯ АДМИНИСТРАЦИЯ
Злоумышленник в вашей сети достаточно опасен, но мы должны не дать им возможности изменить маршрутизатор.Веб-интерфейс маршрутизатора также должен быть защищен от вредоносных веб-страниц, использующих ошибки CSRF.

Поддерживается ли HTTPS? В 2013 году независимые специалисты по оценке безопасности протестировали 13 потребительских маршрутизаторов. Некоторые поддерживали HTTPS, некоторые — нет. Однако каждый маршрутизатор, который его поддерживал, по умолчанию отключал его. Согласно этой теме, Netgear не поддерживает HTTPS на стороне локальной сети, и клиенты просят об этом с 2016 года.
Если HTTPS поддерживается, можно ли ограничить доступ администратора исключительно к HTTPS?
Можно ли изменить порт TCP / IP, используемый для веб-интерфейса?
Допускает ли роутер очень короткие пароли?
Может ли доступ быть ограничен IP-адресом LAN? Чтобы действительно предотвратил доступ локального администратора, ограничьте его одним IP-адресом, который находится вне диапазона DHCP и обычно не назначается.
Может ли административный доступ быть ограничен только Ethernet?
Можно ли ограничить доступ по MAC-адресу? TP-Link Archer C7 поддерживает это. Смотрите скриншот.
Может ли доступ к маршрутизатору быть ограничен SSID и / или VLAN? Pepwave Surf SOHO может делать и то, и другое, так как он может назначьте SSID для VLAN (снимок экрана).
Ограничен ли он одним входом за раз? Должен быть. Маршрутизатор не должен позволять нескольким компьютерам одновременно входить в систему с использованием одного и того же идентификатора пользователя.
Существует ли какая-то блокировка после слишком большого количества неудачных попыток входа в веб-интерфейс? Peplink добавил это в прошивку 7.0.1, выпущенную в июне 2017 года.
Есть ли опция CAPTCHA для входа в систему? (D-Link предлагает это)
Создает ли маршрутизатор журнал аудита каждый раз, когда кто-то пытается войти в систему, независимо от того, был ли вход в систему успешным или нет?
Пользователям гостевой сети Wi-Fi не должен быть разрешен доступ к интерфейсу администратора маршрутизатора
Можете ли вы выйти из веб-интерфейса? Ты должен быть способен.Я видел маршрутизаторы Linksys и D-Link без кнопки выхода из системы.
Время истекло? Он должен, и вы должны иметь возможность установить период тайм-аута. См. Пример Cisco.

УДАЛЕННОЕ УПРАВЛЕНИЕ

Выключено по умолчанию? Должен быть. В Linksys AC1900 (EA6900) по умолчанию включено удаленное администрирование.
Можно ли ограничиться только HTTPS? Для меня это абсолютно необходимо. Netgear Nighthawk R700, несмотря на отличные отзывы, поддерживает только удаленное управление. управление через HTTP, что означает, что ваш пароль передается в открытом виде.Я видел это тоже с роутерами Asus низкого уровня, в то время как их модели более высокого уровня предлагают HTTPS.
Можно ли изменить номер порта? (также обязательно)
Может ли доступ быть ограничен IP-адресом источника или исходной сетью?
Вот пример этого из маршрутизатор Pepwave Surf SOHO с прошивкой 6.2. В «Разрешенных IP-подсетях источника» вы можете установить несколько IP-адресов (да, это немного сбивает с толку) и IP подсети, из которых разрешено удаленное администрирование.Что касается двух предыдущих проблем, безопасность для удаленного администрирования может быть только HTTP, только HTTPS, или оба. На скриншоте только HTTPS. «Порт веб-администратора» — это порт, используемый для удаленного администрирования, на снимке экрана это 12345. «Доступ веб-администратора» можно установить только на LAN или, как в примере, на LAN и WAN.
У большинства из нас дома есть динамический IP-адрес от нашего интернет-провайдера, который на первый взгляд может исключить использование этой функции безопасности (любой, кто работает в офис со статическим публичным IP-адресом, конечно, может его использовать).Но пара провайдеров VPN предлагает статические IP-адреса. Один из них — Nord VPN, который позволяет назначить учетной записи статический IP-адрес. TorGuard, еще одна VPN-компания, также предлагает статический IP-адрес (8 долларов в месяц по состоянию на апрель 2015 года). Если вы знаете о другом, напишите мне.
Время истекло? (он должен) То есть, если вы забудете выйти из маршрутизатора, в конечном итоге ваш сеанс должен истечь, и вы сможете установить ограничение по времени, чем короче, тем надежнее.
Создает ли маршрутизатор журнал аудита каждый раз, когда кто-то пытается войти в систему, независимо от того, был ли вход в систему успешным или нет?
Ограничен ли он одним входом за раз? Должен быть.Маршрутизатор не должен позволять нескольким компьютерам одновременно входить в систему с использованием одного и того же идентификатора пользователя.
Существует ли какая-то блокировка после слишком большого количества неудачных попыток входа в веб-интерфейс? Peplink добавил это в прошивку 7.0.1, выпущенную в июне 2017 года.

WIFI
Никто не может взломать несуществующую сеть.

Можно ли запланировать отключение беспроводной сети (сетей) на ночь, а затем повторное включение утром? Мне больше всего нравятся три маршрутизатора, которые предлагают эту функцию: Pepwave Surf SOHO, Amped Wireless RTA1750 и Synology RT1900ac.
Есть ли кнопка включения / выключения WiFi? Идея состоит в том, чтобы упростить отключение Wi-Fi, когда он не нужен. Когда это сделать легко, больше людей сделают это. Это довольно редкая особенность. Хуже того, многие маршрутизаторы, которые я видел с кнопкой включения / выключения WiFi, имели очень маленькую кнопку, до которой было трудно добраться. Некоторые маршрутизаторы с кнопками включения / выключения Wi-Fi: TP-Link Archer C7, C9, D9 и C3150, Asus RT-AC68U, RT-AC86U и ROG Rapture GT-AC5300, Netgear R6220, некоторые маршрутизаторы FRITZ! Box, популярны в Германии и Австралии (крупным планом) и Synology RT1900ac.У двух маршрутизаторов Netgear (может быть, больше?) Кнопка находится в удобном для поиска месте на верхней части маршрутизатора: Nighthawk X4 R7500v2 и NETGEAR R6400-100NAS. На Synology RT2600ac есть кнопка сбоку, до которой должно быть легко добраться. То же самое для Asus RT-AC1900P.

Брандмауэр (обновлено 14 января 2019 г.)
Существует три аспекта безопасности межсетевого экрана маршрутизатора.

Входящая глобальная сеть: какие порты открыты на стороне глобальной сети или Интернета? Самый безопасный ответ — нет, и вы должны ожидать, что любой маршрутизатор, не предоставленный интернет-провайдером, не будет иметь открытых портов на стороне Интернета.Единственным исключением является удаленное администрирование старой школы, для которого требуется открытый порт. Необходимо учитывать каждый открытый порт на стороне WAN, особенно если маршрутизатор был предоставлен интернет-провайдером; они часто оставляют себе черный ход. В Проверьте ссылки на странице вашего маршрутизатора на многие веб-сайты, предлагающие тесты межсетевого экрана. При этом ни один из них не будет сканировать все 65 535 портов TCP или все 65 535 портов UDP. Лучшее время для проверки — перед вводом в эксплуатацию нового маршрутизатора. См. Страницу «Настройка нового маршрутизатора» для получения дополнительной информации.
Входящая LAN: Какие порты открыты на стороне LAN? Ожидайте, что порт 53 будет открыт для DNS (возможно, UDP, возможно, TCP). Если у маршрутизатора есть веб-интерфейс, то для этого требуется открытый порт. Классическая / стандартная утилита для тестирования межсетевого экрана на стороне LAN — это nmap. На странице настройки нового маршрутизатора есть несколько инструкций по использованию nmap. Как и в случае со стороной WAN, необходимо учитывать каждый открытый порт.
Исходящий: Может ли маршрутизатор создавать исходящие правила межсетевого экрана? Для меня это огромное соображение, .Существуют всевозможные атаки, которые можно заблокировать с помощью исходящих правил брандмауэра. Например, правило брандмауэра может гарантировать, что радионяня останется дома и никогда не будет отправлять какие-либо данные куда-либо в Интернет. Вот пример правила брандмауэра Peplink, которое блокирует доступ к домену для всех устройств, подключенных к маршрутизатору. Как правило, потребительские маршрутизаторы не предлагают правила брандмауэра для исходящего трафика, в отличие от маршрутизаторов бизнес-класса. Помимо блокировки, было бы хорошо, если бы блоки регистрировались в целях аудита.Однако обратите внимание, что устройства, подключенные к Tor или VPN, не будут подчиняться правилам исходящего брандмауэра.

WPA2
Хотя каждый маршрутизатор предлагает шифрование WPA2 с предварительным общим ключом (PSK), все же есть на что обратить внимание:

Убедитесь, что маршрутизатор поддерживает только WPA2. Если единственный вариант — комбинация WPA и WPA2, то он не так безопасен, как WPA2.
После выбора шифрования WPA2 лучший маршрутизатор всегда будет использовать AES или CCMP (два термина для одного и того же).Некоторые маршрутизаторы предлагают TKIP в качестве опции с WPA2. TKIP не так безопасен. Meraki — поставщик высококачественной беспроводной связи, принадлежащий Cisco. Я видел сеть, в которой их оборудование предлагало WPA2 с TKIP. Если вторичного варианта нет, то после выбора WPA2 вам нужно будет использовать приложение сканера WiFi, такое как WiFi Analyzer на Android, чтобы узнать, использует ли оно AES, CCMP или TKIP.
Ищите поддержку WPA2 Enterprise. Для большинства людей это будет слишком высокой планкой, но он более безопасен, чем обычный WPA2 (технически это WPA2-PSK, где PSK означает Pre-Shared Key, что на самом деле означает один и только один пароль).Плюс в том, что WPA2-Enterprise позволяет каждому пользователю Wi-Fi иметь свой собственный идентификатор пользователя и пароль. Обратной стороной является то, что для обработки этих идентификаторов пользователей / паролей требуется сервер RADIUS. Смотрите страницу шифрования WPA для получения дополнительной информации.

ГОСТЕВАЯ СЕТЬ
В целом гостевая сеть — это хорошо. Я писал в блоге в декабре 2015 года: Делиться или не делиться — посмотрите на Гость Сети Wi-Fi. Но не все гостевые сети одинаковы.

Сеть определена нормально или требуется адаптивный портал? Для получения дополнительной информации см. Предупреждение: гостевой режим на многих маршрутизаторах Wi-Fi небезопасен.Нормальный — это хорошо, плененный портал — это плохо. Подробнее о том, почему это происходит, читайте в моем блоге Linksys Smart Wi-Fi. делает тупую гостевую сеть.
Поддерживается ли WPA2 в гостевой сети? Это взято из статьи, указанной выше, в которой указывается, что маршрутизаторы Belkin и Linksys Smart WiFi не поддерживают WEP, WPA или WPA2 в своих гостевых сетях. По связанной теме, маршрутизаторы Ubiquiti AmpliFi по умолчанию не имеют пароля в гостевой сети.
Возможно, самая большая функция безопасности гостевой сети заключается в том, что гостевые пользователи не попадают в частную сеть.Когда это работает правильно, гостевые пользователи не смогут видеть ничего, что связано с Ethernet, подключенным к маршрутизатору, или что-либо, что подключено к не-гостю беспроводная сеть от того же роутера. Другими словами, вы хотите, чтобы гости видели Интернет и ничего, кроме Интернета. К сожалению, эта функция присваивается многим разные имена. Asus называет это «Доступ к интрасети». TP-LINK называет это «Разрешить гостям доступ к моему локальному сеть ». D-Link называет это« только доступом в Интернет ». TRENDNET также называет это« доступом в Интернет ». только «и они объясняют, что это » предотвращает доступ гостей к частной сети LAN «.
Проверьте это!
Один из способов проверить это — использовать приложение сканера LAN, такое как Overlook Fing, которое работает на iOS, Android, Windows и OS X. При сканировании не должно быть обнаружено никаких устройств в частной сети. Другой вариант — из гостевой сети попытаться получить доступ к NAS или сетевой принтер или любое другое устройство LAN, открывающее веб-интерфейс.
У некоторых маршрутизаторов есть опция конфигурации, позволяющая гостевым пользователям видеть друг друга. Это безопаснее, если они не могут, но могут быть раз, когда вы хотите это позволить.Как и описанная выше функция, это тоже можно назвать «изоляцией». TRENDNET называет это «изоляцией беспроводных клиентов» и объясняет, что «изолирует гостей друг от друга» . TP-LINK называет это «Разрешить гостям видеть друг друга». Synology (начиная с SRM 1.2.3) не имеет опции для этого, но гостевые пользователи изолированы друг от друга. Если имеется несколько гостевых сетей (часто одна в диапазоне 2,4 ГГц, а другая в диапазоне 5 ГГц), тогда возникает вопрос, будут ли гостевые пользователи на одной гостевой network может видеть гостевых пользователей в другой гостевой сети.
ПРИМЕЧАНИЕ. Согласно статье в марте 2015 г. How-To Geek, у старых маршрутизаторов Netgear была опция «разрешить гостям доступ к моей локальной сети» и отдельная опция «включить изоляция беспроводной сети », которая не позволяла гостевым пользователям видеть друг друга. Однако маршрутизатор Netgear Nighthawk X6 больше не поддерживает два варианта. Они были объединены в единую опцию под названием «разрешить гостям видеть друг друга и получать доступ к локальной сети». Не хорошо. Как говорится в статье «Есть множество и вполне веских причин для того, чтобы включить одну, а не другую (например.г. ваши дети хотят играть в сетевые игры с своих друзей в гостевой сети, поэтому изоляция сети должна быть отключена, но вы не хотите, чтобы они получали доступ к вашей локальной сети) … «
Некоторые маршрутизаторы позволяют планировать гостевую сеть (сети). Было бы здорово, если бы вы могли включить его на X часов, а затем отключить его маршрутизатор. Вероятно, самое худшее в гостевых сетях — это оставить их на все раз. Synology поддерживает это, как и Ubiquiti AmpliFi.То же самое и с Trendnet TEW-813DRU. У компании есть онлайн-эмулятор, из которого я сделал снимок экрана.
Если сеть не может быть запланирована, лучше всего позволяет легко включать и выключать его. С этой целью приложение для смартфона / планшета для управления маршрутизатором может предоставить более простой интерфейс.
Ограничения по времени для пользователей: Маршрутизатор Norton Core может применять разные ограничения по времени для каждого отдельного пользователя. Пять минут прежде чем истечет время пользователя, Norton Core может предупредить вас, чтобы вы могли продлить время.Однако обратите внимание, что основной маршрутизатор имеет снято с производства.
Маршрутизатор Norton Core — единственный из известных мне маршрутизаторов, который может предупреждать вас, когда новый пользователь присоединяется к Гостевая сеть. См. Руководство пользователя
Гость может или не может войти в веб-интерфейс маршрутизатора. Очевидно, что заблокировать их более безопасно. Читатель этого сайта Судхакар, впервые поднял этот вопрос в декабре 2015 года. Я не видел, чтобы этот вопрос обсуждался ни в одном потребительском маршрутизаторе.Pepwave Surf SOHO может ограничить доступ маршрутизатора к одному SSID, таким образом блокируя гостевых пользователей. Маршрутизаторы Synology не разрешить гостевым пользователям доступ к веб-интерфейсу маршрутизатора.
Подсети: гостевая сеть может совместно использовать ту же подсеть, что и частная сеть, или использовать другую. Предпочитаю разные подсети. Линия Linksys Smart WiFi делает то же самое, что и маршрутизаторы Synology.
Приятно иметь: некоторые маршрутизаторы, такие как Ubiquiti AmpliFi и Synology, позволяют ограничивать общее количество одновременных гостевых пользователей.Synology облажается однако два самых низких варианта — 1 и 16. То есть, вы не можете ограничить гостевую сеть двумя пользователями.
Приятно иметь: некоторые маршрутизаторы позволяют ограничивать пропускную способность гостевых сетей. В приведенном выше примере TP-LINK не ясно, применяется ко всей сети в целом или к каждому пользователю в отдельности.
Хотя это не проблема безопасности как таковая, некоторые маршрутизаторы не позволяют выбрать имя гостевой сети. Линия Linksys Smart WiFi, например, всегда использует SSID частного 2.Сеть 4GHz и в конце добавляет «-guest».
Ваучеры: Система Ubiquiti UniFi может запускать гостевую сеть на основе ваучеров. Пользователи вынуждены вводить идентификатор ваучера на странице адаптивного портала. Ваучеры могут быть одноразовыми или многоразовыми. Они действуют в течение настраиваемого количества времени, а также могут быть связаны с квотой пропускной способности или ограничениями пропускной способности. Вы можете распечатать лист кодов, разрезать его и раздать. Обратной стороной является то, что для этого требуется программное обеспечение контроллера Ubiquiti. Больше здесь и здесь и Вот.
FYI: Ударьте по шинам о том, как маршрутизатор Asus настраивает гостевые сети, и посмотрите документацию по гостевым сетям от TP-LINK, Netgear и Linksys.
Google Wifi позволяет гостевым пользователям видеть устройства в основной локальной сети, согласно статье от апреля 2017 года.

ROUTER USERID

Можно ли изменить идентификатор пользователя для веб-интерфейса? Каждый маршрутизатор позволяет вам изменить пароль, некоторые позволяют также изменить идентификатор пользователя. Это самое важно при использовании удаленного администрирования.An Исследование ESET, проведенное в октябре 2016 года, показало, что «в большинстве случаев» идентификатором пользователя является «admin».
Есть ли пользователь только для чтения? Большинство маршрутизаторов допускают только один идентификатор пользователя, но некоторые позволяют использовать два: один с полными правами администратора и один только разрешено просматривать материалы, но не вносить изменения.
Многие пользователи: мне это кажется излишним, но некоторые маршрутизаторы позволяют определять несколько идентификаторов пользователей. Шлюз Verizon DSL, D-Link 2750B позволяет вам даже определять группы пользователей.

ПАРОЛЬ АДМИНИСТРАТОРА МАРШРУТИЗАТОРА

Как долго может быть пароль маршрутизатора? В одной из моих любимых историй Брайан Кребс наткнулся на маршрутизатор, который поддерживал пароли длиной до 16 символов. Цитата из его статья: « Я помог кому-то настроить … маршрутизатор ASUS RT-N66U … и … не забудьте изменить учетные данные маршрутизатора по умолчанию … … мой пароль был довольно длинным. Однако стоковая прошивка ASUS не сообщила мне, что пароль был обрезан до 16 символов…. когда я позже заходил на устройство, меня не пускали … Только работая в обратном порядке с выбранной мной парольной фразой из 25 символов — исключая по одной букве за раз … обнаружил ли я, что страница входа будет давать «несанкционированный» ответ, если я введу что-то большее, чем это первое 16 символов пароля ». Я также читал о маршрутизаторе D-Link, который ограничивает пароли до 15 символов и также не дает этого понять. Итак, проверьте, позволяет ли ваш маршрутизатор использовать пароль из 17 символов.Должно.
Насколько коротким может быть пароль роутера? Использование очень коротких паролей недопустимо.
Объяснены ли правила паролей? Когда вы меняете пароль маршрутизатора, объясняет ли пользовательский интерфейс правила о приемлемых паролях? То есть говорит что-нибудь о длине пароля или недопустимости каких-либо символов?
Защищает ли маршрутизатор от подбора пароля методом перебора? После определенного количества неправильных паролей он должен что-то предпринять, чтобы предотвратить дальнейшее угадывать.

ФИЛЬТРАЦИЯ МАС-АДРЕСОВ
Мне хорошо известно, что фильтрация МАС-адресов далека от совершенства. Тем не менее, плохим парням становится труднее ваша сеть. Многие люди советуют не возиться с ним, потому что это большая административная проблема, и потому что он не заблокирует опытного злоумышленника. Однако проблемы с администрированием не одинаковы для всех маршрутизаторов.

Большой вопрос, связанный с фильтрацией MAC-адресов, заключается в том, применима ли эта функция ко всем сетям, созданным маршрутизатором, или ко всем сетям на та же полоса частот (2.4GHz или 5GHz), или, в лучшем случае, если есть отдельные списки фильтрации MAC для каждой отдельной сети / SSID? Если маршрутизатор поддерживает независимые списки фильтрации для каждого SSID , то фильтрация MAC-адресов может использоваться для основного частного SSID и не использоваться. в гостевых сетях. Это делает его практичным решением, так как проблемы с обслуживанием минимальны.
Еще один аспект, который может значительно облегчить эту проблему, — это комментарии. То есть вместо простого ведения списка MAC-адресов, занесенных в черный или белый список адресов, маршрутизатор также должен позволять вам добавлять комментарий к каждому MAC-адресу.Таким образом, вы можете легко проверить, есть ли компьютер X в списке или нет. А когда планшет Y утерян, его легко удалить из списка. Из маршрутизаторов, которые я видел, только прошивка AirOS, работающая на Ubiquity AirRouter предлагает возможность добавлять комментарии. Выглядело это так.

UPnP (пересмотрено 12 января 2019 г.)
Universal Plug and Play (UPnP) может быть проблемой безопасности по двум причинам. Он был разработан для использования в локальной сети, где позволяет устройствам проткнуть брандмауэр.Именно так устройства IoT становятся видимыми в Интернете, где многие из них взламываются либо из-за недостатков безопасности, либо из-за использования паролей по умолчанию. UPnP никогда не предназначался для использования в Интернете, но некоторые маршрутизаторы по ошибке включили его и там. Большинство маршрутизаторов позволяют отключать UPnP на сторона LAN.

Включен ли UPnP на стороне LAN? Как правило, на потребительских маршрутизаторах UPnP включен, а на бизнес-маршрутизаторах — отключен. Вы можете отключить это? Если нет, выкиньте роутер. D-Link DIR-880L — редкий роутер, который не позволяет отключить UPnP.Ранние выпуски маршрутизаторов Luma не позволяли отключать UPnP. После обновления программного обеспечения от августа 2016 года UPnP можно отключить.
Включен ли UPnP на стороне WAN? Тест на доступность UPnP Стива Гибсона — единственный известный мне способ проверить, включен ли UPnP на стороне WAN / Internet маршрутизатора. Начните с его ShieldsUP !, затем нажмите серую кнопку «Продолжить». На следующей странице нажмите большую оранжевую кнопку помечены как «Тест мгновенного воздействия UPnP от GRC». Я бы вынул из эксплуатации любой маршрутизатор, не прошедший этот тест.
Если вам необходимо использовать UPnP, найдите маршрутизатор, который предлагает подробную информацию о состоянии перенаправленных портов, например, приложение, сделавшее запрос UPnP, и подробные сведения о текущих активных правилах перенаправления портов. Некоторые правила переадресации портов исходят из UPnP, а некоторые нет. Лучше всего использовать маршрутизатор, который четко показывает, какие правила переадресации портов исходят из запросов UPnP. Маршрутизаторы Synology отображают список клиентов UPnP. TP-LINK Archer C7 имеет онлайн-демонстрацию пользовательского интерфейса C7.Щелкните Forwarding, затем UPnP, чтобы увидеть его отображение информации UPnP, которая включает описание приложения, инициировавшего запрос UPnP, внешний порт, который маршрутизатор открыл для приложения, IP-адрес устройства LAN, инициировавшего запрос UPnP. , и больше. Статья в базе знаний Netgear, Как включить функцию Universal Plug and Play на моем маршрутизаторе NETGEAR? описывает таблицу UPnP Portmap, в которой отображается IP-адрес каждого устройства UPnP, обращающегося к маршрутизатору, какие порты это устройство открыло и какой тип порта открыт, и активен ли этот порт для каждого IP-адреса.
Отключение UPnP: Eero включает UPnP по умолчанию, но его можно отключить. В ячеистом маршрутизаторе Ubiquiti AmpliFi по умолчанию включен UPnP, но его можно отключить. Маршрутизаторы Google Wifi по умолчанию включают UPnP, но вы можете отключить его. В январе 2019 года UPnP использовался для воспроизведения видео на незащищенных устройствах Chromecast. В этой статье Лоуренса Абрамса есть инструкции по отключению UPnP на маршрутизаторах от Netgear, Linksys, D-Link, Verizon FIOS, TP-Link, Google Wifi и Eero.
Примером врага безопасности маршрутизатора является программа UPnP PortMapper, которую можно использовать для «управления сопоставлением портов (переадресация портов) устройства интернет-шлюза (маршрутизатора) с поддержкой UPnP… Сопоставление портов можно настроить с помощью интерфейса веб-администрирования маршрутизатора, но использование UPnP PortMapper намного удобнее ». Ugh.
NAT-PMP очень похож на UPnP, но чаще всего встречается на устройствах Apple. Если роутер поддерживает NAT-PMP, проверьте, можно ли его отключить. Согласно Apple, NAT-PMP включен в OS X 10.4 или новее, AirPort Extreme и AirPort. Сетевые продукты Express, AirPort Time Capsule и Bonjour для Windows.
Отключение NAT-PMP: как отключить NAT-PMP на роутерах аэропорта из iOS, Как отключить NAT-PMP в аэропорту Маршрутизаторы из macOS
Pepwave Surf SOHO поставляется с отключенными UPnP и NAT-PMP.Вы можете проверить это в прошивке 7.1.2 на вкладке Advanced -> Port Forwarding. Есть флажки для UPnP и NAT-PMP.
pfSense поддерживает UPnP и NAT-PMP, но не только позволяет отключать они также обладают собственной дополнительной безопасностью.

ПЕРЕАДРЕСАЦИЯ ПОРТОВ

Может ли оно быть ограничено исходным IP-адресом и / или исходной IP-подсетью? Надежный ответ — да. Например, Real VNC и Apple Remote Рабочий стол прослушивает входящие соединения на TCP-порту 5900.Без этой функции любой человек в мире может подключиться к этим программам через этот порт. Плохие парни сканируют Интернет, чтобы найти устройства, которые прослушивают порт 5900. С помощью этой функции вы можете ограничить круг лиц, которым разрешено общаться с программой. на порт 5900. Я полагаю, что официальный термин для этого — IP-фильтрация.
Можно ли запланировать переадресацию портов? Если технический специалист использует Real VNC или Apple Remote Desktop, чтобы помочь нетехническому специалисту со своим компьютером, но делает это только в вечером, то эта функция позволяет отключать переадресацию порта 5900 утром, днем и поздно ночью.

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Можно ли получать пассивные уведомления (обычно по электронной почте) от маршрутизатора или компании, выпустившей его, о появлении новой микропрограммы? Пеплинк делает это. См. Пример от декабря 2015 г., когда анонсируется версия прошивки 6.3. Большинство маршрутизаторов требуют, чтобы вы самостоятельно искали обновления прошивки.
Для нового маршрутизатора: пытается ли он обновить прошивку в процессе начальной настройки? Тесты, проведенные Wall Street Journal в начале 2016 года, показали, что 10 из 20 маршрутизаторов этого не сделали.
Для существующего маршрутизатора: может ли он автоматически обновлять микропрограмму самостоятельно? Если да, смотрите следующую тему. Хотя автоматическое обновление может быть подходящим для маршрутизаторов, принадлежащих нетехническим специалистам, это не всегда хорошо. Лично я предпочитаю быть главным. Это позволяет мне довольно быстро устанавливать выпуски с исправлениями ошибок, но задерживать выпуск новых версий / выпусков.
Насколько легко процесс обновления? Лучшие маршрутизаторы могут полностью обрабатывать обновление прошивки через веб-интерфейс пользователя. Маршрутизаторы меньшего размера вынуждают вас загрузить файл, а затем загрузить его обратно в маршрутизатор.Эта более сложная процедура снижает вероятность того, что владельцы маршрутизаторов обновят прошивку. Кроме того, возможность полностью обрабатывать обновление в веб-интерфейсе маршрутизатора означает что обновление прошивки может быть выполнено удаленным пользователем.
Новая прошивка может сбрасывать некоторые параметры. Чтобы защититься от этого, рекомендуется вручную создать резервную копию всех текущих настроек перед обновлением. Pepwave Surf SOHO всегда напоминает вам об этом. Ваш роутер?
Если в веб-интерфейсе есть функция проверки наличия новой прошивки, действительно ли она работает? Я могу лично подтвердить, что многие маршрутизаторы этого не делают.Дэвид Лонгенекер пишет, что «Asus — это заведомо непоследовательны в обновлении своих серверов автообновлений … «Тесты, проведенные Wall Street Journal в начале 2016 года, обнаружили 2 из 20 протестированные маршрутизаторы неверно сообщили, что их микропрограммное обеспечение обновлено.
Безопасно ли загружается прошивка? (HTTPS, SFTP или FTPS) Ответ на этот вопрос состоит из двух частей, поскольку прошивка может быть загружена. самим роутером или вручную с сайта производителя. Удачи в ответе на этот вопрос.
Проверяется ли новая прошивка перед установкой? Удачи и на этот вопрос. Если это не подтверждено, то плохой парень или шпионское агентство могут чтобы обманом заставить вас или ваш маршрутизатор установить злонамеренно измененную прошивку. В феврале 2014 года Дэвид Лонгенекер подробно изучил маршрутизатор ASUS RT-AC66R и обнаружил, что он не использует никаких средств защиты при проверке и загрузке новой прошивки.
Поддерживает ли маршрутизатор несколько установленных прошивок? Эта отличная функция позволяет отказаться от обновления прошивки, которое вызывает проблемы, и, таким образом, устраняет большую часть риска, который всегда существует при установке нового программного обеспечения.Лучшая компания, которую я здесь видел, — это Peplink / Pepwave, которая позволяет вам легко перезагрузиться в предыдущую прошивку. Это также может помочь, если изменение конфигурации вызывает проблему. Linksys EA6200 также может восстановить предыдущую версию прошивки.

САМОобновляемая прошивка (добавлено 29 сентября 2016 г., исправлено 15 февраля 2017 г.)
Маршрутизаторы, которые автоматически обновляют свою прошивку, имеют свои собственные проблемы. Список самообновляющихся маршрутизаторов находится на странице Ресурсы.

Есть ли журнал аудита каждого обновления прошивки, выпущенного поставщиком маршрутизатора? Что-то вроде того, что Microsoft предлагает для Windows 10.
Есть ли журнал аудита каждого обновления прошивки, установленного на вашем маршрутизаторе? Только сравнив эти два журнала, вы сможете убедиться, что система автообновления работает правильно. Кроме того, если у вас возникли проблемы с сетью, важно знать, когда была установлена последняя прошивка.
Как часто роутер проверяет наличие обновлений? Вы можете это контролировать?
Можно ли получать уведомления об обновлениях прошивки заранее? Потом? Если да, то какого типа уведомление?
Если вы получите уведомление заранее, можете ли вы запланировать установку микропрограммы и необходимые перезагрузки?
Даже если вы не получаете уведомление о доступных обновлениях, можете ли вы установить расписание, когда установка / перезагрузка разрешены? То есть перезагружайтесь в 3 часа ночи, но не в 3 часа дня.
Можно ли заставить роутер проверять наличие новой прошивки?
Можете ли вы принудительно обновить маршрутизатор до новой доступной прошивки или вам нужно дождаться его очередной проверки?
Если ничего не делать, как быстро будет установлена недавно выпущенная прошивка? Ээро обещает установить новую прошивку «в течение нескольких недель»
Когда маршрутизатор звонит домой в поисках обновлений, безопасно ли это с помощью TLS?
Когда роутер скачивает новую прошивку, так ли надежно ли это с TLS?
Проверяется ли новая загруженная прошивка каким-либо образом, например, имеет цифровую подпись?
Поддерживает ли маршрутизатор несколько установленных прошивок? (чтобы вы могли откатиться назад, если обновление вызовет проблему) Если нет, то можете ли вы установить старую прошивку, если новая версия вызвала проблему?
Есть ли механизм ручной отмены для установки новой прошивки в случае сбоя системы автоматического обновления?
Документирует ли поставщик изменения в каждом обновлении прошивки? Если да, то хорошо ли у них это получается?
Подскажите какая версия прошивки сейчас работает? Если это сетчатый маршрутизатор / система с несколькими устройствами, тогда вопрос относится к каждому устройству.
Насколько умна система автоматического обновления? В частности, может ли оно самообновляться в рамках той же версии прошивки, но обновляться при выходе новой крупной версии прошивки? Synology предлагает это на своих ящиках NAS. Вы можете настроить NAS на самообновление с версии 5.1 до версии 5.2 до 5.3, но не на автоматическое обновление до версии 6.
Можете ли вы сделать резервную копию настроек роутера в файл? Практически любой маршрутизатор может это сделать, но с автоматическим обновлением мне интересно, существует ли эта функция еще.
В ячеистой системе, включающей несколько устройств, все ли устройства обновляют свое микропрограммное обеспечение одновременно? Если нет, то как с этим справиться?
Что произойдет в сетке, если одно устройство получит новую прошивку, а другое — нет? Может ли система работать, если на трех устройствах установлены разные версии прошивки?

Что касается , ответившего на эти вопросы, кто-то из Linksys был достаточно любезен, чтобы решить эти проблемы для своих маршрутизаторов в феврале.2017. Я создал новую страницу для Самостоятельное обновление прошивки маршрутизатора, и, надеюсь, я смогу получить ответы и от других поставщиков маршрутизатора.

Уязвим ли маршрутизатор к уязвимости Misfortune Cookie? Это не то, что мы можем проверить на себе, или есть ли где-нибудь полный список уязвимых маршрутизаторов. Нам нужно, чтобы производитель маршрутизатора сделал заявление. Так что это действительно тест того, как роутер поставщик занимается вопросами безопасности. Публиковали ли они что-нибудь на своем сайте? Если вы спросите их, ответят ли они разумно? На странице ошибок на этом сайте есть ссылки на ответы Actiontec и Peplink о том, что их маршрутизаторы не уязвимы.Я искал Netgear ответ и ничего не нашел. ZyXEL исправил некоторые из своих маршрутизаторов, но не исправил другие. Если компания не открыто заявляет об этом недостатке, то вы знаете что им нельзя доверять создание безопасного продукта. И, даже если бы они были уязвимы, но выпустили обновленную прошивку, я бы тоже был обеспокоен этим означает, что они поставили чрезвычайно старых программ .

Может ли маршрутизатор заблокировать доступ к модему по IP-адресу? Смотрите мои блоги об этой части первой и второй.Другими словами, роутер предлагать исходящие правила брандмауэра.

ЖУРНАЛ: (от 23 ноября 2015 г.)

Есть ли файл (или файлы) журнала? Должны быть, и, надеюсь, данные в журнале будут достаточно понятными и полезными. Я нахожу журнал созданный роутерами Asus все, кроме бесполезного. Старый шлюз Verizon DSL, D-Link 2750B, имел как системный журнал, так и журнал безопасности. Pepwave Surf SOHO имеет один файл журнала. D-Link 860L имеет три файла журнала: Состояние системы, межсетевого экрана и безопасности и маршрутизатора.
Регистрирует ли нежелательные входящие попытки подключения? Я считаю это особенно интересным, поскольку это помогает проиллюстрировать, насколько опасен Интернет и почему безопасный роутер важен. Одно дело — проповедовать о том, насколько опасен Интернет, и совсем другое — видеть доказательства того, что компьютеры во всем мире пытаются взломать ваш роутер. Если вы видите, что компьютеры из Китая пытаются получить доступ к определенным портам на маршрутизаторе, вы можете исследовать порты, попытаться закрыть их или перенаправить их. на несуществующий локальный IP-адрес.Это может потребовать от маршрутизатора слишком многого, то есть может потребоваться NGF или UTM).
Регистрируются ли неудачные попытки входа в систему? Успешные входы в систему? Очевидно, что о неудачных попытках входа в систему следует знать, но также об успешном входе в систему, на всякий случай, если ответственное лицо маршрутизатора был , а не тот, кто успешно вошел в систему. Надеюсь, зарегистрированная информация включает IP-адрес источника.
Регистрируется ли что-нибудь, когда новое устройство подключается к локальной сети? Было бы отличным контрольным следом, если бы маршрутизатор регистрировал MAC-адрес клиента каждый раз, когда подключается новое устройство. сеть.Начиная с прошивки 6.3, выпущенной в январе 2016 года, Peplink может дополнительно регистрировать каждый раз, когда IP-адрес выдается его DHCP-сервером. Однако нет возможности для регистрации появления нового устройства со статическим IP.
Может ли он регистрировать весь доступ в Интернет с одного устройства? В ноябре 2015 года выяснилось, что телевизор Vizio Smart TV наблюдает за вами. и звонки на снимки домашнего экрана, даже когда воспроизводилось видео с внешнего источника (например, Roku и DVD). Эта функция позволяет вам внимательно следить за любыми такими «умный» прибор.Его можно использовать для отслеживания детей в Интернете. Моя любимая компания-производитель маршрутизаторов, Peplink, должна развернуть эту функцию в версии прошивки 6.3 к концу 2015 года.
Регистрирует ли он изменения, внесенные в конфигурацию маршрутизатора? Пеплинк плохо справляется с этим, в их журнале обычно просто написано «Изменения внесены» без каких-либо указание того, что было изменено. С другой стороны, D-Link 860L вообще ничего не регистрирует, даже то, что что-то изменилось. Лучшее, о чем я читал, это некоторые Маршрутизаторы DrayTek, которые создают контрольный журнал / журнал для всех доступа / активности администратора.
Пропадают ли файлы журнала при выключении маршрутизатора? Если это так, то выявить тенденции или изменения намного сложнее. Журналы на D-Link 860L удалены гаснет, когда он выключен. Это не так для Pepwave Surf SOHO.

EMAIL
Может ли маршрутизатор отправить сообщение электронной почты, когда что-то случится?

Если да, о каких типах ошибок можно отправлять электронные письма? По крайней мере, он должен иметь возможность отправлять предупреждение, если один из файлов журнала заполняется.
Это особенно полезно для маршрутизаторов с несколькими WAN, то есть маршрутизаторов, которые подключены к двум или более провайдерам. Когда одно подключение к Интернету не работает, оно может использовать другое для отправки электронное письмо с предупреждением. Peplink отлично справляется с этим.
Могут ли сообщения быть отправлены только одному получателю или многим?
Я не видел маршрутизатора, который мог бы отправлять текстовые сообщения, но есть службы, конвертирующие электронные письма в тексты.

DDNS
Не всем нужен DDNS, в основном он используется для удаленного администрирования.Если вам это действительно нужно, вы можете поискать несколько вариантов.

Обращается ли маршрутизатор к провайдеру DDNS по HTTP или HTTPS? Удачи в попытках разобраться в этом. У поставщика DDNS может быть файл журнала, который вы можете проверить или использовать в качестве теста технической поддержки.
Сколько DDNS-провайдеров поддерживается? Чем больше, тем лучше. Тоже хорошо, не ограничиваясь Dyn.

МОНИТОРИНГ ПРИКЛЮЧЕННЫХ УСТРОЙСТВ
Приятно знать, кто / что подключено к маршрутизатору

Хороший маршрутизатор сразу предложит список всех подключенных устройств.Отображение их всех на одном экране позволяет легко обнаружить что-нибудь необычное. На этом снимке экрана Pepwave Surf SOHO показано, что для каждого подключенного клиента используется одна компактная линия.
Наряду с этим отличной функцией является возможность давать понятные имена (например, Susans iPad, Joes laptop) подключенным устройствам. Это тоже должно упростить обнаружение новых устройств. Столбец имени в отображении подключенных клиентов Surf SOHO можно редактировать, что позволяет вводить все, что имеет для вас смысл.Ubiquiti AmpliFi изначально не могла этого сделать, но более позднее обновление прошивки добавило эту возможность.
Раньше у меня был маршрутизатор, который отображал только устройства с IP-адресом, назначенным DHCP. Вы никогда не знали о каких-либо устройствах со статическими IP-адресами, которые воняют. В декабре 2014 года Крис Хоффман писал: «Многие роутеры просто предоставляют список устройств, подключенных через DHCP». Надеюсь, со временем это прекратится.
Интернет-сеансов / сокетов: может быть очень удобно для просмотра всех подключений устройства, находящегося в локальной сети, к Интернету.Во-первых, вы можете убедиться, что VPN работает должным образом, что весь трафик проходит по одному зашифрованному каналу на VPN-сервер. Вы также можете использовать его, чтобы убедиться, что приложение онлайн-банкинга действительно имеет безопасное соединение с банком. И вы можете использовать его, чтобы проверить, звонит ли Smart TV домой и сообщает ли вам о ваших привычках просмотра. Среди маршрутизаторов, которые сообщают о таком уровне детализации, — D-Link DIR860L и мой любимый Pepwave Surf SOHO.
Вышеупомянутый элемент относится к соединениям, которые в настоящее время имеет устройство .Также было бы полезно, если бы маршрутизатор мог вести контрольный журнал каждого соединения, выполненного одним устройством. Это переходит в тему правил Outbound Firewall. (Добавлено 30 янв.2019 г.)
Отсутствие безопасности: если маршрутизатор создает несколько сетей WiFi, приятно видеть, какие устройства подключены к какой сети. Pepwave Surf SOHO делает это в столбце «Имя сети (SSID)».
Отсутствие безопасности: Приятно иметь возможность видеть уровень сигнала с точки зрения маршрутизатора для каждого подключенного беспроводного устройства.Pepwave Surf SOHO делает это в столбце «Сигнал».
Небезопасный: Еще одна приятная функция мониторинга — показывает текущую полосу пропускания , используемую каждым подключенным устройством. Pepwave Surf SOHO делает это в столбцах «Загрузить» и «Загрузить». По умолчанию используется кбит / с, но его можно изменить на Мбит / с.
Небезопасный: хорошо иметь историю пропускной способности. Pepwave Surf SOHO предлагает ежедневную сводку пропускной способности, показывающую общее количество загрузок и загрузок. Мегабайты.Из ежедневной сводки вы можете перейти к ежечасной сводке. Из ежечасная сводка, вы можете перейти к каждому конкретному устройству в течение этого часа.
Скрытие в локальной сети: Вот странный случай, с которым я столкнулся. Устройство может скрыться от маршрутизатора, если оно разговаривает только с устройствами в локальной сети и никогда не отправляет запросы в Интернет. То есть, если он использует только переключатель в маршрутизаторе, но никогда не использует функции более высокого уровня устройства. Вы можете проверить это, если у вас есть принтер или NAS со статическим IP-адресом.Перезагрузите маршрутизатор, затем с компьютера в локальной сети отправьте HTTP-запрос. на устройство со статическим IP-адресом и вернитесь на веб-страницу. Затем проверьте список подключенных устройств маршрутизатора. Маршрутизатор показывает принтер / NAS / все, что есть в сети? Может быть нет. Тем не менее, он обменивался данными с устройством в локальной сети.

Можно ли отключить совместное использование файлов на устройствах хранения, подключенных к USB-порту? Это произошло в мае 2015 года из-за общеотраслевого недостатка NetUSB.Некоторые роутеры пусть вы отключите глючный обмен файлами, другие этого не сделали. Netgear, например, признал, что невозможно отключить некорректное программное обеспечение для обмена файлами. NetUSB был вторым недостатком обмена файлами, о котором я знаю. У Asus была ошибка, которая обнаружила файлы, подключенные к USB-порту, к Интернету в целом.
Если для обмена файлами необходимо использовать маршрутизатор, поищите тот, который предлагает способ безопасного отключите запоминающее устройство USB. По крайней мере, некоторые маршрутизаторы Linksys имеют безопасный Кнопка «Удалить диск».TRENDnet помечает свою кнопку «Безопасное извлечение USB-устройства». И, на всякий случай, не помещайте конфиденциальные файлы на запоминающее устройство, подключенное к маршрутизатору. Мой Предлагается, однако, поискать устройство Synology или QNAP NAS начального уровня. По состоянию на май 2015 года самый дешевый Synology NAS (модель DS115j) стоит 100 долларов без жесткий диск. QNAP, кажется, стоит около 120 долларов, также без жесткого диска.

Доступ к веб-интерфейсу маршрутизатора обычно осуществляется через IP-адрес. Но работа с IP-адресами может оказаться слишком сложной задачей для неспециалистов.Таким образом, чтобы сделать все проще (почти всегда проблема безопасности в процессе разработки) для людей, некоторые компании-маршрутизаторы предлагают фиксированные имена. Это позволяет кому-то в локальной сети попасть в маршрутизатор с http: //something.easy, а не http://1.2.3.4. Netgear использует www.routerlogin.com и www.routerlogin.net . TP-LINK использует tplinklogin.net , Asus использует router.asus.com , Netis использует netis.cc , Edimax использует edimax.setup , Amped Wireless использует настройка.ampedwireless.com , Linksys использует myrouter.local и ссылкиsyssmartwifi.com . В соответствии с RouterCheck.com (страница как без даты, так и без кредита) это недостаток безопасности. Даже если вы последуете советам, предлагаемым на этом сайте и где-либо еще, использовать нестандартный местный подсети (например, 10.11.12.x) злоумышленники могут найти ваш маршрутизатор (скорее всего, через CSRF на вредоносной веб-странице), используя эти псевдонимы. Кроме того, нет документации производителя маршрутизатора указывает, что любое из этих имен поддерживает HTTPS, который всегда следует использовать при входе в роутер.

Скрытие SSID: (добавлено 11 ноября 2015 г.) Как и фильтрация MAC-адресов, это обеспечивает лишь небольшое повышение безопасности и сопряжено с большим количеством проблем. Сначала он не был включен сюда, потому что я не встречал маршрутизатор, который не предлагал его. Но вполне могут быть некоторые. Некоторые маршрутизаторы, такие как маршрутизаторы Google, ориентированы на простоту использования для нетехнических специалистов и, таким образом, лишены многих функций. Они и другие могут упустить эту функцию. Не уверена.

Приложения для смартфонов: (обновлено февр.1, 2019)
Безопасность при администрировании маршрутизатора через веб-браузер легко понять, но приложения для смартфонов разные.

Обменивается ли приложение данными напрямую с маршрутизатором или с поставщиком оборудования?
Если приложение работает удаленно, как?
Какие разрешения нужны приложению? Требуется ли больше разрешений, чем нужно?
Можете ли вы выйти из приложения?
Обменивается ли приложение через Bluetooth или Wi-Fi?
Если приложение использует Wi-Fi, это HTTP или HTTPS? См. Также раздел выше о защите доступа локального администратора
Если приложение использует Bluetooth, насколько это безопасно? Я не знаком с безопасностью Bluetooth.И Eero, и Luma используют Bluetooth.

КОНФИДЕНЦИАЛЬНОСТЬ (Обновлено 17 января 2019 г.)

Нужна ли вам учетная запись у производителя оборудования? Это относительно новая проблема, я впервые столкнулся с ней с системами ячеистого маршрутизатора, ориентированными на потребителей, которым требуется, чтобы у вас была учетная запись у поставщика оборудования. Проблема в том, что вы никогда не знаете, какая информация передается на базовый корабль. Один из способов заставить вас открыть учетную запись — превратить маршрутизатор в кирпич, когда он отключен.Eero, например, хочет получить ваш номер телефона перед настройкой маршрутизатора. И, даже если игнорировать вопросы конфиденциальности, это, вероятно, означает, что, если поставщик оборудования прекратит работу, маршрутизатор станет бесполезным. Для систем ячеистых маршрутизаторов Ubiquiti AmpliFi и Netgear Orbi не требуется учетная запись поставщика. Как и Peplink / Pepwave. Luma не только требует учетной записи, но вы даже не можете настроить маршрутизатор, если службы определения местоположения отключены на мобильном устройстве, на котором запущено его приложение. Google требуется учетная запись для использования своих маршрутизаторов, и их политика конфиденциальности находится здесь: Google Wi-Fi и ваша конфиденциальность (последнее обновление: декабрь.2016).
Для маршрутизаторов, которым не требуется учетная запись поставщика, мы все равно должны спросить: сколько данных (если таковые имеются) маршрутизатор отправляет обратно производителю оборудования? Я протестировал это с моим любимым маршрутизатором Pepwave Surf SOHO. Единственные исходящие запросы, сделанные маршрутизатором, касались времени суток. Он вообще ничего не отправлял обратно Пеплинку. Netgear качается в обе стороны. Пока аккаунт не нужен, в июле 2017 года начали сбор «аналитики». Дополнительные сведения см. На странице «Ошибки» за июль 2017 г., в этой статье и на странице «Какие аналитические данные маршрутизатора собираются и как эти данные используются NETGEAR?» (последнее обновление: август.2018).
Linksys принадлежит компании Belkin, которая, в свою очередь, принадлежит Foxconn Interconnect Technology, дочерней компании Foxconn, тайваньской компании, наиболее известной благодаря производству iPhone. Политика конфиденциальности Linksys гласит: «Мы автоматически собираем информацию, когда вы используете веб-сайты Belkin или продукты Belkin, включая … данные об использовании о том, как и когда вы используете продукты Belkin, другие устройства, которые подключены к продуктам Belkin, и какие особенности продуктов Belkin. вы используете; [а] техническую информацию и данные, собранные при подключении ваших продуктов Belkin к Интернету, например, сколько и какие устройства подключены к вашей домашней сети, когда вы используете эти устройства и объем генерируемого сетевого трафика.» Я не уверен, для каких маршрутизаторов Linksys требуется учетная запись.
Интегрированное программное обеспечение безопасности: некоторые поставщики маршрутизаторов интегрируют программное обеспечение безопасности во встроенное ПО маршрутизатора. Одним из примеров является Netgear, который предлагает программное обеспечение BitDefender с некоторыми прошивками своих маршрутизаторов. Это продается общественности как хорошее для безопасности, но с другой стороны, это плохо для конфиденциальности. Принимая во внимание лицензионное соглашение, с которым Trend Micro требует от владельцев маршрутизаторов согласия, лучше избегать маршрутизаторов с программным обеспечением Trend Micro.В лицензионном соглашении указано, что в Trend Micro могут быть отправлены URL-адреса веб-страниц и сообщения электронной почты. Для получения дополнительной информации см. Обзор: прошивка маршрутизатора ASUSWRT от Даниэля Александерсена (май 2017 г.) и маршрутизатор Asus RT-AC68U — это быстро, но при этом безопасно? Джона Данна (июль 2015 г.).

УВЕДОМЛЕНИЕ О НОВОМ УСТРОЙСТВЕ (обновлено 22 июля 2019 г.)
Как администратор локальной сети, я хотел бы получать уведомления каждый раз, когда новое устройство подключается к сети. Звонком может быть текстовое сообщение, электронное письмо, возможно, даже звуковой сигнал. Что-то , чтобы предупредить меня об устройстве (на самом деле MAC-адрес), которое раньше не было замечено. Это может произойти двумя способами: либо мне нужно утвердить новое устройство, прежде чем ему будет разрешен доступ, либо оно разрешено по умолчанию, но я получил уведомление и могу отключить его позже.

Я читал, что Gryphon будет назначать новые устройства профилю пользователя «Гость» и что профиль «Гость» может быть заблокирован из Интернета. Также говорят, что их мобильное приложение может сообщить вам о новых устройствах. На их веб-сайте нет документации по этому поводу, которую я мог найти.
Eero будут делать это, но, похоже, это вариант отключения нового устройства после того, как оно уже было в сети, а не обязательное утверждение перед тем, как оно будет разрешено в сети.
Fingbox — это не маршрутизатор, это сетевое устройство, которое вы добавляете в существующую сеть. Он может уведомлять вас обоих, когда устройства подключаются к сети и покидают ее. Новые устройства можно заблокировать автом

CCNA 4 Connecting Networks v6.0 — CN Chapter 4 Exam Answers 2019

Как найти: Нажмите «Ctrl + F» в браузере и введите любую формулировку в вопросе, чтобы найти этот вопрос / ответ.

ПРИМЕЧАНИЕ: Если у вас есть новый вопрос по этому тесту, прокомментируйте список вопросов и множественный выбор в форме под этой статьей. Мы обновим для вас ответы в кратчайшие сроки. Спасибо! Мы искренне ценим ваш вклад в наш сайт.

Какой диапазон представляет все IP-адреса, на которые влияет использование сети 10.120.160.0 с подстановочной маской 0.0.7.255 в ACE?
- 10.120.160.0 до 10.120.168.0
- 10.120.160.0 к 10.127.255.255
- 10.120.160.0 к 10.120.191.255
- 10.120.160.0 к 10.120.167.255 *
Объясните:
Подстановочная маска 0.0.7.255 означает, что первые 5 бит 3-го октета должны оставаться такими же, но последние 3 бита могут иметь значения от 000 до 111. Последний октет имеет значение 255, что означает последний октет может иметь значения от всех нулей до всех единиц.
Какие две функции описывают использование списка управления доступом? (Выберите два.)
- ACL помогают маршрутизатору определить лучший путь к пункту назначения.
- Стандартные списки ACL могут ограничивать доступ к определенным приложениям и портам.
- ACL обеспечивают базовый уровень безопасности для доступа к сети. *
- могут разрешать или запрещать трафик на основе MAC-адреса, исходящего от маршрутизатора.
- ACL могут контролировать, к каким областям хост может получить доступ в сети. *
Какие два оператора описывают эффект подстановочной маски 0 в списке управления доступом.0.0.15? (Выберите два.)
- Первые 28 бит предоставленного IP-адреса будут сопоставлены. *
- Последние четыре бита предоставленного IP-адреса будут сопоставлены.
- Первые 28 бит предоставленного IP-адреса будут проигнорированы.
- Последние четыре бита предоставленного IP-адреса будут проигнорированы. *
- Последние пять бит предоставленного IP-адреса игнорируются.
- Первые 32 бита предоставленного IP-адреса будут сопоставлены.
Объяснение:
Подстановочная маска использует нули, чтобы указать, что биты должны совпадать. 0 в первых трех октетах представляют 24 бита, а еще четыре нуля в последнем октете представляют в общей сложности 28 бит, которые должны совпадать. Четыре единицы, представленные десятичным значением 15, представляют четыре бита, которые следует игнорировать.
См. Экспонат. Сетевой администратор настраивает ACL для ограничения подключения к линиям vty R1 только рабочими станциями ИТ-группы в сети 192.168.22.0 / 28. Перед применением ACL администратор проверяет успешные подключения Telnet с рабочей станции с IP 192.168.22.5 к R1. Однако после применения ACL к интерфейсу Fa0 / 0 соединения Telnet запрещаются. В чем причина сбоя подключения?
- Секретный пароль включения не настроен на R1.
- Сеть группы ИТ включена в заявление об отказе. *
- ACE разрешения указывает неверный номер порта.
- ACE разрешения должен указывать протокол ip вместо tcp.
- Не введена команда входа в систему для линий VTY.
Объясните:
Диапазон исходных IP-адресов в запрещающей записи ACE — 192.168.20.0 0.0.3.255, который охватывает IP-адреса от 192.168.20.0 до 192.168.23.255. Сеть IT-группы 192.168.22.0/28 включена в сеть 192.168.20 / 22. Следовательно, в подключении отказано. Чтобы исправить это, нужно поменять порядок запрета и разрешения ACE.
См. Экспонат. Сетевой администратор с IP-адресом 10.0.70.23/25 должен иметь доступ к корпоративному FTP-серверу (10.0.54.5/28). FTP-сервер также является веб-сервером, доступным для всех внутренних сотрудников в сетях с адресом 10.x.x.x. Никакой другой трафик не должен быть разрешен к этому серверу.
Какой расширенный ACL будет использоваться для фильтрации этого трафика и как этот ACL будет применяться? (Выберите два.)
- R1 (config) # interface s0 / 0/0
  R1 (config-if) # ip access-group 105 outR2 (config) # interface gi0 / 0
  R2 (config-if) # ip access-group 105 in
- список доступа 105 разрешить хост tcp 10.0.70.23 host 10.0.54.5 eq 20
  access-list 105 allow tcp host 10.0.70.23 host 10.0.54.5 eq 21
  access-list 105 allow tcp 10.0.0.0 0.255.255.255 host 10.0.54.5 eq www
  access-list 105 запретить IP любой хост 10.0.54.5
  список доступа 105 разрешить любой IP любой *
- список доступа 105 разрешить IP хост 10.0.70.23 хост 10.0.54.5
  список доступа 105 разрешить TCP любой хост 10.0.54.5 eq www
  список доступа 105 разрешить IP любой любой
- R1 (config) # interface gi0 / 0
  R1 (config-if) # ip access-group 105 out *
- список доступа 105 разрешает хост tcp 10.0.54.5 любой eq www
  список доступа 105 разрешить хост tcp 10.0.70.23 хост 10.0.54.5 eq 20
  список доступа 105 разрешить хост tcp 10.0.70.23 хост 10.0.54.5 eq 21
Объяснение:
Первые две строки ACL разрешают хосту 10.0.70.23 FTP-доступ к серверу с IP-адресом 10.0.54.5. Следующая строка ACL разрешает HTTP-доступ к серверу с любого хоста, имеющего IP-адрес, начинающийся с цифры 10. Четвертая строка ACL запрещает любой другой тип трафика к серверу с любого исходного IP-адреса.Последняя строка ACL разрешает все остальное на случай, если в сеть 10.0.54.0/28 добавлены другие серверы или устройства. Поскольку трафик фильтруется из всех других мест и для хост-устройства 10.0.70.23, лучшее место для размещения этого ACL — ближайшее к серверу.
Сетевой администратор разрабатывает ACL. ACL влияет на сети 192.168.1.0/25, 192.168.0.0/25, 192.168.0.128/25, 192.168.1.128/26 и 192.168.1.192/26. Какая подстановочная маска, если таковая имеется, является наиболее эффективной для использования при указании всех этих сетей в одной записи разрешения ACL?
- 0.0,0.127
- 0.0.0.255
- 0.0.1.255 *
- 0.0.255.255
Explain:
Не следует использовать одну команду ACL и подстановочную маску для указания этих конкретных сетей, иначе другой трафик будет разрешен или запрещен и представляет собой угрозу безопасности.
Запишите все номера сети в двоичном формате и определите двоичные цифры, которые идентичны в последовательных позициях битов слева направо. В этом примере 23 бита совпадают идеально.Подстановочная маска 0.0.1.255 означает, что должны совпадать 25 бит.
На выставке показан маршрутизатор R2, подключенный через int fa0 / 0 к коммутатору, который, в свою очередь, подключен к хосту с IP-адресом 192.168.1.1 / 24. R2 подключен к другому коммутатору через интерфейс fa0 / 1, а коммутатор подключен к серверу с IP-адресом 192.168.2.1 /24. См. Выставку. Сетевой администратор хочет разрешить только хосту 192.168.1.1 / 24 получить доступ к серверу 192.168.2.1 / 24. Какие три команды позволят добиться этого, используя лучшие практики размещения ACL? (Выберите три.)
- R2 (config-if) # ip access-group 101 out
- R2 (config) # список доступа 101 разрешение IP 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
- R2 (config) # interface fastethernet 0/1
- R2 (config) # interface fastethernet 0/0 *
- R2 (config) # список доступа 101 разрешение хоста IP 192.168.1.1 хост 192.168.2.1 *
- R2 (config-if) # ip access-group 101 in *
- R2 (config) # список доступа 101 разрешить IP любой любой
Explain:
Расширенный ACL размещается как можно ближе к источнику трафика.В этом случае он размещается во входящем направлении на интерфейсе fa0 / 0 на R2 для трафика, входящего в маршрутизатор с хоста с IP-адресом 192.168.1.1, привязанного к серверу с IP-адресом 192.168.2.1.
Какие два утверждения о расширенных списках ACL верны? (Выберите два)
- Расширенные списки ACL оценивают адреса источника и назначения. *
- Номера портов можно использовать для добавления большего определения к ACL. *
- Расширенные списки ACL заканчиваются неявным выражением разрешения.
- Расширенные списки ACL используют диапазон номеров от 1 до 99.
- Несколько списков ACL можно разместить на одном интерфейсе, если они находятся в одном направлении.
Explain:
Расширенные списки ACL могут использоваться для точной фильтрации трафика. Расширенные списки ACL проверяют как адреса источника, так и адреса назначения пакетов. Они также проверяют протоколы и номера портов (или службы), что позволяет использовать более широкий диапазон критериев, на которых основывается ACL.
Какие три значения или набора значений включаются при создании записи расширенного списка управления доступом? (Выберите три.)
- адрес источника и маска подстановки *
- номер списка доступа от 100 до 199 *
- маска подсети источника и подстановочная маска
- номер списка доступа от 1 до 99
- адрес назначения и подстановочная маска *
- маска подсети назначения и маска подстановки
- адрес шлюза по умолчанию и маска подстановки
См. Экспонат. Этот ACL применяется к исходящему трафику от маршрутизатора на интерфейсе, который напрямую подключается к 10.0.70.5 сервер. Запрос информации с защищенной веб-страницы отправляется с хоста 10.0.55.23 и предназначен для сервера 10.0.70.5. Какая строка списка доступа заставит маршрутизатор предпринять действия (переслать пакет или отбросить его)?
- 1
- 3 *
- 2
- deny ip любой любой, который находится в конце каждого ACL
- 5
- 4
Explain:
Первые две строки ACL разрешают трафик от определенного приложения с IP-адреса 10.0.55.23 предназначен для 10.0.70.55. Поскольку ни одна из этих строк не соответствует критерию запроса информации с защищенной веб-страницы (порт 443 — HTTPS) с 10.0.55.23 на веб-сервер, расположенный по адресу 10.0.70.5, маршрутизатор не выполняет никаких действий. Третья строка соответствует совпадению, и поскольку «разрешение» — отклонить пакет, пакет отбрасывается. Маршрутизатор не выполняет дальнейших проверок.
Какой набор записей управления доступом позволит всем пользователям 192.168.10.0 / 24 для доступа к веб-серверу, расположенному по адресу 172.17.80.1, но не позволяет им использовать Telnet?
- список доступа 103 запретить хост tcp 192.168.10.0 любой eq 23
  список доступа 103 разрешить хост tcp 192.168.10.1 eq 80
- список доступа 103 разрешить tcp 192.168.10.0 0.0.0.255 хост 172.17.80.1 eq 80
  список доступа 103 запретить tcp 192.168.10.0 0.0.0.255 любой eq 23 *
- список доступа 103 разрешить tcp 192.168.10.0 0.0.0.255 любой eq 80
  список доступа 103 запретить TCP 192.168.10.0 0.0.0.255 любой экв 23
- список доступа 103 разрешить 192.168.10.0 0.0.0.255 хост 172.17.80.1
  список доступа 103 запретить TCP 192.168.10.0 0.0.0.255 любой eq telnet
Explain:
Для того, чтобы расширенный ACL соответствовал этим требованиям, в записи управления доступом необходимо включить следующее:
идентификационный номер в диапазоне 100-199 или 2000-2699
разрешить или запретить параметр
протокол
адрес источника и подстановочный знак
адрес назначения и подстановочный знак
номер порта или имя
Какие два фильтра пакетов может использовать сетевой администратор в расширенном ACL IPv4? (Выберите два.)
- номер порта назначения UDP *
- исходный TCP-адрес приветствия
- Тип сообщения ICMP *
- MAC-адрес назначения
- компьютер типа
Explain:
Расширенные списки доступа обычно фильтруются по IPv4-адресам источника и назначения и номерам портов TCP или UDP. Для типов протоколов может быть предусмотрена дополнительная фильтрация.
Какие две команды ACE будут блокировать трафик, предназначенный для веб-сервера, который прослушивает порты по умолчанию? (Выберите два.)
- список доступа 110 deny tcp any any lt 80
- список доступа 110 deny tcp any any eq 21
- список доступа 110 deny tcp any any eq https *
- список доступа 110 запретить tcp любой любой gt 75 *
- список доступа 110 запретить tcp любой любой gt 443
Explain:
Трафик, предназначенный для веб-сервера, будет использовать порт 80 или 443. Ключевое слово eq представляет собой равно, gt представляет больше, а lt меньше.
Какая функция является уникальной для списков ACL IPv6 по сравнению с функциями ACL IPv4?
- использование подстановочных масок
- неявное разрешение пакетов обнаружения соседей *
- неявный отказ от любых ACE
- использование названного ACL ACE
Explain:
Одно из основных различий между списками ACL IPv6 и IPv4 — наличие двух неявных ACE разрешения в конце любого ACL IPv6. Эти два разрешающих ACE позволяют выполнять операции обнаружения соседей на интерфейсе маршрутизатора.
Какие два ACE можно использовать для запрета IP-трафика от одного исходного хоста 10.1.1.1 к сети 192.168.0.0/16? (Выберите два.)
- список доступа 100 запретить IP 10.1.1.1 255.255.255.255 192.168.0.0 0.0.255.255
- список доступа 100 запретить IP 10.1.1.1 0.0.0.0 192.168.0.0 0.0.255.255 *
- список доступа 100 запретить IP 192.168.0.0 0.0.255.255 хост 10.1.1.1
- список доступа 100 запретить IP-адрес хоста 10.1.1.1 192.168.0.0 0.0,255,255 *
- список доступа 100 запретить IP 192.168.0.0 0.0.255.255 10.1.1.1 0.0.0.0
- список доступа 100 запретить IP 192.168.0.0 0.0.255.255 10.1.1.1 255.255.255.255
Explain:
Есть два способа идентифицировать одиночный хост в записи списка доступа. Первый — использовать ключевое слово хоста с IP-адресом хоста, другой — использовать подстановочную маску 0.0.0.0 с IP-адресом хоста. Источник трафика, проверяемый списком доступа, идет первым в синтаксисе, а пункт назначения — последним.
См. Экспонат. Список доступа IPv6 LIMITED_ACCESS применяется к интерфейсу S0 / 0/0 маршрутизатора R1 во входящем направлении. Какие пакеты IPv6 от интернет-провайдера будут отброшены ACL на маршрутизаторе R1?
- пакетов ICMPv6, предназначенных для ПК1 *
- объявления о соседях, полученные от маршрутизатора интернет-провайдера
- пакетов HTTPS к ПК1
- пакетов, предназначенных для ПК1 через порт 80
Объясните:
Список доступа LIMITED_ACCESS будет блокировать пакеты ICMPv6 от провайдера.Как порт 80, HTTP-трафик, так и порт 443, HTTPS-трафик, явно разрешены ACL. Объявления соседей от маршрутизатора ISP неявно разрешены неявным разрешением icmp any any nd-na в конце всех списков ACL IPv6.
Какая команда используется для активации ACL IPv6 с именем ENG_ACL на интерфейсе, чтобы маршрутизатор фильтровал трафик до доступа к таблице маршрутизации?
- ipv6 класс доступа ENG_ACL в
- ipv6 фильтр трафика ENG_ACL из
- ipv6 фильтр трафика ENG_ACL в *
- ipv6 класс доступа ENG_ACL выход
Explain:
Для применения списка доступа к определенному интерфейсу команда ipv6 traffic-filter IPv6 эквивалентна команде access-group IPv4.Также требуется направление, в котором исследуется трафик (входящий или исходящий).
Какая маска подстановки связана с сетью 192.168.12.0/24?
- 0.0.0.255
- 0.0.255.255
- 0.0.0.256
- 255.255.255.0
Объясните:
Подстановочную маску можно найти, вычтя маску подсети из 255.255.255.255.
Какая запись команды ACL IPv6 разрешает трафик с любого хоста на SMTP-сервер в сети 2001: DB8: 10: 10 :: / 64?
- разрешить хост tcp 2001: DB8: 10: 10 :: 100 любой эквалайзер 23
- разрешить tcp любой хост 2001: DB8: 10: 10 :: 100 экв 25 *
- разрешить tcp любой хост 2001: DB8: 10: 10 :: 100 экв 23
- разрешить хост tcp 2001: DB8: 10: 10 :: 100 любой экв 25
Explain:
Оператор списка доступа IPv6, allow tcp any host 2001: DB8: 10: 10 :: 100 eq 25, разрешит пакеты IPv6 с любого хоста на SMTP-сервер в 2001: DB8: 10: 10 :: 100 .Источник пакета указывается первым в ACL, который в данном случае является любым источником, а место назначения указывается вторым, в данном случае IPv6-адрес SMTP-сервера. Номер порта указан последним в заявлении, порт 25, который является хорошо известным портом для SMTP.
Какой трафик определяется как исходящий при применении ACL к интерфейсу маршрутизатора?
- трафик, для которого маршрутизатор не может найти запись в таблице маршрутизации
- трафик, который идет с IP-адреса назначения на маршрутизатор
- трафик, который покидает маршрутизатор и направляется к хосту назначения *
- трафик, поступающий с исходного IP-адреса на маршрутизатор
Объясните:
Входящие и исходящие интерпретируются с точки зрения маршрутизатора.Трафик, обозначенный во входящем ACL-списке, будет запрещен или разрешен при поступлении в этот интерфейс маршрутизатора от источника. Трафик, указанный в исходящем ACL-списке, будет запрещен или разрешен при выходе из интерфейса к месту назначения.
Заполните пустые поля. Используйте десятичный формат с разделительными точками.
Подстановочная маска, связанная с сетью 192.168.12.0/24, — _______
Правильный ответ: 0.0.0.255 *
Объяснение:
Подстановочную маску можно найти, вычтя маску подсети из 255.255.255.255.
Маска 255.255.255.255
Маска подсети — 255.255.255.0
Маска подстановочных знаков 0. 0. 0. 255
Вопрос в представленном виде:
Вопрос в представленном виде:
Объяснение:
Преобразование маски подстановки 0.0.3.255 в двоичное и вычитание ее из 255.255.255.255 дает маску подсети 255.255.252.0.
Использование параметра хоста в подстановочной маске требует, чтобы все биты совпадали с заданным адресом.
192.168.15.65 — это первый действительный адрес хоста в подсети, начинающийся с адреса подсети 192.168.15.64. Маска подсети содержит 4 бита хоста, что дает подсети с 16 адресами.
192.168.15.144 — действительный адрес подсети в аналогичной подсети. Измените маску подстановки 0.0.0.15 на двоичную и вычтите ее из 255.255.255.255, и получится маска подсети 255.255.255.240.
192.168.3.64 — адрес подсети в подсети с 8 адресами. Преобразуйте 0.0.0.7 в двоичное и вычтите его из 255.255.255.255, и результирующая маска подсети 255.255.255.248. Эта маска содержит 3 бита хоста и дает 8 адресов.

Старая версия

Какая характеристика Frame Relay обеспечивает большую гибкость, чем выделенная линия?
- Между каждым участком устанавливаются выделенные физические цепи.
- Клиенты используют выделенные каналы с шагом 64 кбит / с.
- Облако Frame Relay выделяет активным PVC столько полосы пропускания, сколько требуется для поддержания соединения.
- Один порт WAN маршрутизатора можно использовать для подключения к нескольким адресатам. *
Какие два основных критерия составляют стоимость цепи Frame Relay? (Выберите два.)
- Комиссия за управление цепями
- местный шлейф *
- сквозное соединение
- требуемая полоса пропускания *
- QoS
Интерфейс маршрутизатора подключается к сети Frame Relay через предварительно настроенную логическую схему, которая не имеет прямого электрического соединения от конца до конца.Какой тип схемы используется?
- SVC
- полная сетка
- ПВХ *
- ступица и спица
- выделенная выделенная линия
Какая топология Frame Relay обеспечивает подключение каждого сайта к любому другому сайту и обеспечивает высокую надежность?
- частичная сетка
- полная сетка *
- звезды
- ступица и спица
Какая технология позволяет динамически получать IPv4-адрес уровня 3 из DLCI уровня 2?
- Протокол разрешения обратных адресов *
- Обнаружение обратного соседа
- Протокол разрешения адресов
- Обнаружение соседей
Сетевой администратор статически настроил тип LMI на интерфейсе маршрутизатора Cisco, на котором работает Cisco IOS Release 11.2. Если поставщик услуг изменит свой собственный тип LMI в будущем, какой шаг должен предпринять сетевой администратор?
- Сетевой администратор должен изменить временной интервал поддержки активности, чтобы поддерживать соединение с типом LMI поставщика услуг.
- Сетевой администратор просто должен проверить подключение к поставщику, потому что маршрутизатор имеет функцию автоматического определения LMI, которая автоматически определяет тип LMI.
- Сетевой администратор должен статически установить тип LMI, чтобы он был совместим с поставщиком услуг.*
- Сетевому администратору не нужно ничего делать, потому что все типы LMI совместимы друг с другом.
Какие две функции предоставляет локальный интерфейс управления (LMI), который используется в сетях Frame Relay? (Выберите два.)
- простое управление потоком *
- уведомление о перегрузке
- отображение DLCI на сетевые адреса
- обмен информацией о состоянии виртуальных каналов *
Какой параметр должен быть указан в контракте с поставщиком Frame Relay для конкретной компании?
- CIR *
- DE
- Inverse ARP включен / отключен
- QoS
Какие три механизма уведомления используются при наличии перегрузки в сети Frame Relay? (Выберите три.)
- BECN *
- CIR
- DE *
- DLCI
- FECN *
- обратный ARP
Почему заказчик запрашивает схему Frame Relay с нулевым CIR?
- для улучшения QoS
- иметь резервную схему для передачи важных данных
- , чтобы получить ссылку по сниженным ценам *
- , чтобы использовать канал для голосового трафика
- , чтобы использовать схему для трафика управления сетью
Какой согласованный поставщиком параметр позволит клиенту отправлять данные со скоростью, превышающей пропускную способность, указанную CIR?
Для чего применяется команда frame-relay map ip 10.10.1.2 110 трансляция?
- для настройки устройства со статической картой Frame Relay, которая также позволяет пересылать обновления маршрутизации *
- , чтобы разрешить широковещательную передачу кадров Frame Relay на всех интерфейсах Frame Relay
- , чтобы разрешить широковещательную передачу кадров Frame Relay на хост 10.10.1.2
- , чтобы разрешить передачу кадров Frame Relay по DLCI 110
- для поддержки трафика IPv6 по сети NBMA с помощью DLCI 110
См. Экспонат.Какие два утверждения верны? (Выберите два.)
- Карта Frame Relay была установлена с помощью команды Frame Relay map.
- DLCI, который прикреплен к VC на RB до RA, равен 62.
- IPv4-адрес интерфейса S0 / 1/0 на RA — 192.168.1.2.
- DLCI, который прикреплен к VC на RA для RB, равен 62. *
- IPv4-адрес интерфейса S0 / 1/1 на RB — 192.168.1.2. *
См. Экспонат.Какое утверждение верно в отношении трафика Frame Relay на маршрутизаторе R1?
- Трафик, сопоставленный с DLCI 201, будет выходить из подинтерфейса Serial 0/0 / 0.201.
- Трафик, выходящий из подинтерфейса Serial 0/0 / 0.102, отмечен DLCI 201. *
- Трафик на последовательном порту 0/0/0 испытывает перегрузку между R1 и коммутатором кадров.
- Кадры, которые поступают в маршрутизатор R1 от соседа Frame Relay, будут иметь DLCI 201 в заголовке кадра.
Какие три действия можно предпринять для решения проблем доступности маршрутизатора протокола маршрутизации уровня 3 при использовании Frame Relay? (Выберите три.)
- Использовать субинтерфейсы. *
- Отключить обратный ARP.
- Отключить разделение горизонта. *
- Используйте топологию полной сетки. *
- Настройте статические сопоставления DLCI.
- Используйте ключевое слово cisco в качестве типа LMI.
Когда будет использоваться ключевое слово multipoint в конфигурации PVC Frame Relay?
- при использовании глобальных DLCI
- при использовании физических интерфейсов
- при необходимости поддержки многоадресной рассылки
- , если участвующие маршрутизаторы находятся в одной подсети *
Сетевой инженер выдал серийный номер интерфейса 0/0/1.102 точка-точка на маршрутизаторе, который будет взаимодействовать с другим маршрутизатором по виртуальному каналу Frame Relay, который идентифицируется с помощью DLCI 102. Какие две команды следует выполнить сетевому инженеру в следующий раз? (Выберите два.)
- без IP-адреса
- без отключения
- инкапсуляция Frame Relay
- интерфейс frame-relay-dlci 102 *
- IP-адрес 10.1.1.10 255.255.255.252 *
Какие две проблемы доступности маршрутизатора Frame Relay решаются путем настройки логических подинтерфейсов? (Выберите два.)
- Frame Relay не может сопоставить удаленный IP-адрес с DLCI.
- Протоколы маршрутизации на основе состояния канала не могут завершить обнаружение соседей. *
- Сообщения о состоянии LMI, отправленные в сеть, не получены.
- Обратный ARP не может связать все IP-адреса с правильными DLCI.
- Протоколы дистанционно-векторной маршрутизации не могут пересылать обновления маршрутизации из входящего интерфейса на другие удаленные маршрутизаторы. *
См. Экспонат.Сетевой администратор реализовал команду show interfaces serial 0/1/0. Что можно проверить по отображаемому результату?
- Маршрутизатор R1 подключается к нескольким сайтам через последовательный интерфейс 0/1/0.
- Маршрутизатор R1 не использует тип LMI по умолчанию.
- Маршрутизатор R1 пересылает трафик через последовательный интерфейс 0/1/0, используя локальный DLCI 1023. *
- Маршрутизатор R1 был настроен с использованием Frame Relay с помощью ключевого слова ietf.
Команду show frame-relay pvc лучше всего использовать для отображения числа, для какого типа пакетов, полученных маршрутизатором?
- Сообщения о состоянии LMI
- Обратные сообщения ARP
- Сообщения об обнаружении обратного соседа
- Сообщения FECN и BECN *
См. Экспонат.Сетевой администратор настраивает субинтерфейсы Frame Relay на маршрутизаторе R1. Также был настроен протокол маршрутизации на основе вектора расстояния. Данные успешно маршрутизируются от R1 к сетям, подключенным к R2, R3 и R4, но обновления маршрутизации между R2 и R3 не работают. Какова возможная причина этого сбоя?
- Субинтерфейсы не могут использоваться на многоточечных каналах Frame Relay.
- Два идентификатора DLCI не могут быть настроены на одном подинтерфейсе.
- Многоточечные сети Frame Relay не могут использоваться с этой схемой IP-адресации.
- Разделение горизонта препятствует успешному обновлению таблицы маршрутизации в многоточечном канале. *
См. Экспонат. Сетевой администратор выдает команду show frame-relay map для устранения проблем с подключением Frame Relay. Исходя из результатов, какова возможная причина проблемы?
- Интерфейс S0 / 0/1 маршрутизатора R2 не работает.
- IP-адрес на S0 / 0/1 маршрутизатора R3 настроен неправильно.
- Обратный ARP передает ложную информацию маршрутизатору R1.
- Оператор карты Frame Relay на маршрутизаторе R3 для PVC — R2 настроен с неправильным номером DLCI. *
- Интерфейс S0 / 0/1 маршрутизатора R2 был настроен с помощью команды ietf инкапсуляции Frame Relay.
Заполните поле. Используйте аббревиатуру.
Frame Relay DLCI идентифицирует соединение от одной конечной точки до удаленного назначения.
Заполните поле.
Команда encapsulation frame-relay ietf включает инкапсуляцию Frame Relay и позволяет подключаться к устройству от другого поставщика.
Сопоставьте характеристики с типом канала WAN. (Не все опции используются.)

Разместите опции в следующем порядке:
Арендованная линия
[+] клиенты платят за сквозное соединение
[+] клиенты не совместное использование линии
[+] требуется дополнительное оборудование для покупки и обслуживания
[+] используется только в сети «один-к-одному»
Frame Relay
[#] используется в режиме «один-ко-многим» сети
[#] использует виртуальные каналы
[#] клиенты разделяют полосу пропускания
Сетевой администратор использует следующую команду для настройки соединения Frame Relay на маршрутизаторе с поставщиком услуг:
R1 (config-if) # frame-relay map ip 209.165.200.225 102 трансляция
Какова цель использования ключевого слова трансляции?
- для поддержки преобразования IP-адреса в MAC-адрес интерфейса на сайте поставщика услуг
- для поддержки обновлений протокола динамической маршрутизации по каналу *
- для включения передачи пакетов VoIP по каналу
- для включения динамического сопоставления IP-адреса с DLCI
В чем преимущество технологии Frame Relay WAN по сравнению с выделенными линиями?
- Он использует один интерфейс для подключения к нескольким удаленным сайтам.*
- Обеспечивает гарантированную прямую электрическую цепь от конца до конца.
- Обеспечивает постоянную выделенную емкость для клиентов.
- Он поддерживает как голосовой трафик, так и трафик данных.
Сетевой администратор крупной организации проектирует сеть Frame Relay. Организации необходимо резервирование между некоторыми ключевыми сайтами, но не всеми. Какую топологию WAN должен выбрать администратор для удовлетворения своих потребностей?
- частичная сетка *
- звезды
- полная сетка
- расширенная звезда
Сопоставьте описания с термином скорости передачи Frame Relay.(Не все варианты используются.)
Поместите параметры в следующем порядке:
скорость порта -> пропускная способность локального шлейфа
— без оценки —
избыточный размер пакета (Be) -> доступная полоса пропускания выше CIR до скорость доступа канала
подтвержденный размер пакета (Bc) -> согласованная скорость выше CIR, которую клиент может использовать для передачи коротких пакетов
согласованная скорость передачи информации (CIR) -> гарантированная полоса пропускания передачи данных местный шлейф поставщиком услуг

Загрузите файл PDF ниже: