Посоветуйте роутер для параноидального безопасника

Question

[Игорь]

В связи с разрастанием «поумневшей» домашней утвари, умеющей общаться с интернетом (компы, телевизоры, медиа проигрыватели, NAS-хранилища) остро встаёт вопрос о контролировании этого всего безобразия и недопущении получения к нему доступа извне. Да и их излишнюю болтливось по разным протоколам хочется придушить. В общем, нужно следить за этим зоопарком и позволять только то, что хочется.

Итак, задачка получается такая:

1. Роутер на 4 порта (больше не нужно в принципе).
2. Невозможность управления им из-вне (только из локальной сети)
3. DHCP: Выдача IP с привязкой к конкретному MAC
4. Удобная фильтрация трафика по протоколам, портам, MAC-адресу (в основном это относится к исходящему трафику, но приветствуется возможность удобной обработки и входящего трафика)
5. Приветствуется предоставление наглядной статистики по трафику (объём и по каким протоколам) применительно как ко всему трафику в целом, так и с фильтрацией по MAC\IP
6. Ведение логов для контроля и выявления проблем и возможных атак (на одном роутере не получилось разобраться в подобной ситуации, он логи не вёл).
7. Wi-Fi не обязателен. Но если он есть — возможность его вырубить в любое время и фильтровать по MAC-адресам подключаемые девайсы. И уж точно задавать ключ шифрования и поддержка WPA2
8. Было бы вообще замечательно, если бы предоставлял возможность дампить проходящий через него трафик (в cap-файл лучше всего)
9. Ещё что-то, что забыл, но опытный хабровчанин посоветует
10. Хотелось бы уложиться в 5 000 руб. Хотя готов и больше, если сочту необходимым

Место, где будет находиться роутер, довольно небольшое. Комп туда не поставить. Так что нужна небольшая коробочка.

Answer 1

[htaccess]

Mikrotik

RouterBOARD 751G-2HnD

Comments

[Игорь]

У него RouterOS. Я слышал, что для моих целей лучше OpenWRT. Что думаете на сей счёт?

[htaccess]

WRT должен быть проще в настройке, но я не знаю, не работал с ним. Во всяком случае если нужны фичи OpenWRT то эту прошивку можно запустить на микротике «вторым» роутером (через metarouter).

Mikrotik это очень качественный профессионального уровня роутер, который никогда не глючит.

[Алексей]

mikrotik.ru/ftpgetfile.php?id=97

[Игорь]

Спасибо. В Петербурге, оказывается, только одна компания продаёт сей роутер. И только 1 экземпляр у них был. Стал его счастливым обладателем. Никак не нарадуюсь, хоть и пришлось через весь город за ним ехать. Просто уйма возможностей. Всё что нужно и более того

[htaccess]

Добро пожаловать в секту)

Answer 2

[qxfusion]

Рекомендую брать базовые модели от Cisco если бюджет позволяет

Comments

[Николай Турнавиотов]

Присоединяюсь. одни ACL чего стоят

[qxfusion]

а возможности IOS и централизованное управление просто «конфетка»

[Николай Турнавиотов]

qxfusion да, snmp, загрузка иоса и конфига по tftp и так далее — вообще прелесть…

[Wott]

не стоит так делать если
— трафик будет существенным
— конфигурация будет нестандартной
— нет опыта работы с кошками

[qxfusion]

Wott не думаю что умная техника будет ну настолько много утилизировать канал. NAS — 1Gbps, IPTV — 100Mbps, все остальное по мелочи — до 100Mbps. Гайдов по IOS более чем достаточно на любой вкус. Про опыт согласен — но это дело «наживное» :)

[Николай Турнавиотов]

uPnP разве что не будет — считается что это не ентерпрайзненький функционал, поэтому всякие торренты вручную придется пробрасывать. а так — нормальный роутер.

[JDima]

Породистые циски брать не следует категорически.
1) Подобрать девайс с приемлемой производительностью для современных домашних сетей за 5к рублей — проблема. Очень большая. Даже Б/У.
2) Да, настройка чуть сложнее, чем ткнуть пару кнопок в гуе. Хотя гуй, в принципе, тоже есть… Но для не-сетевика он неудобен. (да и для сетевика тоже).
3) Анализ трафика. Локально — не вариант (статистика из top-talkers будет абсолютно дырявой). Наверняка есть хомячковые роутеры, умеющие самостоятельно рисовать графики по трафику.
4) Логи не резиновые. Тоже на сторонний syslog сервер лить надо.

Answer 3

[JDima]

Общая рекомендация. Любого рода фильтрации по MAC адресам вообще ни под каким видом не являются средством обеспечения безопасности. Скорее — средство доставления неудобств себе любимому. Советую отказаться от этого требования.

Анализ трафика и логи — лучше задействовать netflow и сливать его на отдельную машину, которая и займется обработкой голых данных. Но вы точно будете смотреть эти логи?

Ну и у любого хомячкого роутера принцип «снаружи закрыто все, что не разрешено» действует из коробки.

Comments

[Игорь]

Любого рода фильтрации по MAC адресам вообще ни под каким видом не являются средством обеспечения безопасности.

Ну, не скажите. Допустим, у меня в локальной сетке появилось новое оборудование. А я о нём не в курсе (ну, домашние что-то купили да в сеть воткнули, бывает). В определённых случаях оно сможет без проблем общаться с интернетом. А если его в списке разрешённых по MAC нету — то не сможет. А т.к. оборудование сейчас хоть и умное, но не до такой степени, чтоб анализировать трафик и менять себе MAC — то оно не сможет вылезти в инет.

[JDima]

Тогда это не безопасность, а, скорее, admission control. Что все-таки скорее неудобно, чем удобно. Ну что плохого во втыкании в домашнюю сеть нового девайса?

Answer 4

[Максим]

Любой девайс удовлетворяющий вашим потребностям в железе и поддерживающий OpenWrt

Comments

[Игорь]

OpenWrt точно удовлетворит всем описанным мной потребностям?

[Максим]

Да, но это нужно будет конфигурить. А так, чтобы все работало по одной кнопочке — такого не бывает, к сожалению :)

Answer 5

[stan_jeremy]

в чем проблема купить что-то вроде market.yandex.ru/search.xml?text=3Q%20Nettop%20Qoo&mcpriceto=5000 (недорогого неттопа), поставить на него никсы и самому все спокойно настроить?

Comments

[Игорь]

Я не сисадмин. У меня на это всё уйдёт уж точно более нескольких дней и куча нервов. Для меня апач на убунте поставить и настроить — задачка на пару дней напряжённой работы. А это я уж точно не быстрее решу. С моими-то запросами

Answer 6

[Андрей Григорьев]

Бюджетный самосборный ПК с двумя сетевыми и OpenBSD на борту.

Comments

[Игорь]

Место, где будет находиться роутер, довольно небольшое. Комп туда не поставить. Так что нужна небольшая коробочка.
Кроме того, я не такой уж большой знаток OpenBSD и вообще *BSD. У меня нет пары месяцев времени чтоб нормально освоиться в этой системе, изучить её как минимум до необходимых пределов, и настроить всё как нужно.

Answer 7

[4ika]

у меня стоит Upvel роутер, с 4 портами, wi-fi(есть функция для быстрого коннекта устройст аля ипадов, смартов и тд через пин-код), удобная настройка фильтрации как в LAN так и в WLAN по MAC-адресам и IP, зашита от ддос атак, фильтрация трафика по протоколам присутствует, но я ее лично не настраивал, графическая статистика трафика есть, но не скажу что детальная. Логи так же есть…

единственный минус, иногда тупит у меня подключение к провайдеру в настройках исчезает, хотя в настройках все прописано правильно, просто вот слетает иногда и приходиться делать ребут 2-3 раза(не исключаю что провайдер наш это, но с их саппортом выяснить что то нереально). По цене кстати они были дешевле остальных.

P.S. может конечно я не представляю о каких роутерах ты говоришь, но по требованиям вроде бы он подходит.

Comments

[Игорь]

wi-fi(есть функция для быстрого коннекта устройст аля ипадов, смартов и тд через пин-код)

Вот это как раз и небезопасно. Такую систему можно взломать довольно быстро

[4ika]

ну это по желанию включается, у меня отключено. Предназначено для тех к кому вечно заходят гости, чтобы посидеть в интернете) А свои девайсы все по мак-адресу фильтруются и точка вай-фай не транслирует свое имя всем, что тоже удобно в плане жаждущих халявного вай-фай. Ну шифрование поддерживает все известные методы.

Answer 8

[Вячеслав]

Роутер Asus с прошивкой 'от Олега', например WL500GP (список лучше поискать на wl500g.info, только нужно зарегистрироваться чтоб русская кодировка не кривилась). Чего не хватит — можно докрутить, комьюнити большое, многие вопросы уже давно разобраны и нужно только найти.

Comments

[masta]

Прошивка от Олега устарела и не поддерживается, сейчас на её основе «прошивка от энтузиастов».

[Николай Турнавиотов]

дд-врт вроде уже всё, забили, насколько я слышал — часть функционала в себя вобрали дефолтные заводские прошивки асуса, которые таки да, стали повменяемее, даже на мой 520gc.

[Вячеслав]

Спасибо за уточнение. Тем не менее послал надеюсь по верному адресу — на wl500g.info :)

Answer 9

[mace-ftl]