Proč nepoužívat domácí routery ve firmách a školách (Aktualizace 29.03.2020)

Používat čistě domácí routery ve firmách a školách je chyba. Proč? Protože se vám to dříve, či později nevyplatí.

 

 

Mít ve firmě nějaký domácí router není úplně nejlepší nápad. Ano, realita je někde jinde a především malé firmy řeší jiné starosti, než jak zabezpečit svou počítačovou síť. Obvykle jsou spokojení s tím, že to funguje.

 

Možná rizika

Nejprve bychom si měli říct proč bychom vlastně měli řešit takovou hloupost jako je router? Router není jen další krabička v kanceláři, ale miniaturní počítač obsahující operační systém. Podobně jako váš počítač obsahuje Windows, či macOS, routery používají operační systém Linux. I tento operační systém (v routeru) je třeba bezpečně konfigurovat a ověřovat, zda neexistuje riziko hrozby, které router dokáže nějakým způsobem zneužít.

Proč byste to měli řešit? Protože router řídí vaši síť a zajišťuje směrování komunikace mezi zařízeními v síti a internetem. Pokud je takový router napadený, může vám tvrdit, že jste na stránce www.seznam.cz a ve skutečnosti budete na nějaké falešné stránce, která získá vaše přihlašovací údaje. Případně může jen vkládat škodlivý software do stránek a pokoušet se vám vnutit nejnovější aktualizaci Flash Playeru, který je ve skutečnosti nějaký virus. A vy nic z toho nepoznáte.

Jistě, toto se děje jen někde v Německu, nebo USA, ČR je malá země aby zajímala hackery, řeknete si … bohužel, hackerům je jedno, odkud jste, navíc případy napadených routerů se staly prokazatelně již i v České republice.

S jedním takovým případem jsem se nečekaně setkal sám u jednoho zákazníka. Zajímavé na tom bylo, že problém se kterým se na mne obrátil byl úplně jiný, výsledkem bylo zjištění, že router je napadený.

 

Charakteristiky domácích routerů

Jak se tedy liší běžné domácí routery od firemních? Výrobci aktualizují domácí routery minimálně, časem, po několika letech obvykle vůbec. Filozofie pro domácí routery je vzhledem k ceně a požadavkům na zabezpečení domácností taková, že riziko při napadení domácí sítě je přijatelné.

Dva, tři roky starý domácí router tedy již může být potencionálně zranitelným klíčovým prvkem sítě.

Z pohledu bezpečnosti, několik let zpět, tyto routery neobsahovaly vyhrazenou síť pro návštěvy, což se však postupně tlakem všech výrobců změnilo a tak všechny routery obsahují tento celkem klíčový bezpečnostní prvek (vyhrazenou WiFi pro návštěvy, bez přístupu do domácí sítě).

Firewall v domácích routerech je pouze základní stavový, bez IDS/IPS, a taktéž neobsahuje antivir.

Routery tohoto typu počítají vzhledem k ceně s menší zátěží. Výrobci také obvykle u těchto zařízení nesdělují informace o výkonu zařízení, natož aby je garantovali.

 

 

Charakteristiky firemních routerů

S čím můžete počítat u routerů pro firmy? Prvně je třeba počítat s adekvátní cenou, nemůžete počítat s firemním routerem i pro malou kancelář za 2000-3000 Kč. Tedy můžete, ale to je pak šidítko a ne firemní router. Firemní routery totiž zahrnují adekvátní funkce a služby navíc.

První nejdůležitější informace je, že routery určené pro firmy jsou pravidelně aktualizovány a jejich výrobci ihned reagují na bezpečnostní hrozby vydáním nové aktualizace. Obvykle se také počítá s tím, že zákazník je náročný a má k dispozici adekvátní podporu, včetně možnosti opravy výměnou za nové zařízení v řádu několika pracovních dní.

Obvyklé je také, že tyto firemní routery se obměňují za nové modelové řady v pravidelných cyklech. Každá firma má jinou politiku, ale u takto důležitých klíčových síťových prvků se obvykle jedná o výměnu jednou za 5-7 let.

Oproti domácím routerům se v těchto případech počítá s velkým výkonem, který výrobce poskytuje oficiálně. Obecně firemní routery/brány nejsou malé krabičky, ale velké krabice s adekvátně dimenzovaným hardware, tedy výkonným procesorem, velkou operační pamětí. Tyto stroje se tedy vyznačují velkým hrubým výpočetním výkonem, aby byly schopny obsloužit stovky, tisíce a více zařízení v podnikových sítích.

Dalším typickým znakem firemních routerů je jejich možnost montáže do racků, základní modely obvykle mají velikost 1U, výkonnější sestavy vyžadují 2U.

Firemní routery nejsou jen obyčejnými routery, ale slouží jako bezpečnostní brány, které filtrují podezřelý, či nebezpečný síťový provoz, provádí inspekci SSL provozu a obvykle kontrolují obsah s pomocí antiviru.

Vyšší modely také běžně podporují funkci VPN brány, kdy zvládají připojit do vnitřní firemní sítě několik desítek uživatelů.

Jako třešnička na dortu je také možnost filtrace webových stránek.

Alternativně, dle politiky výrobce routeru/bezpečnostní brány, je možnost pořídit si celé řešení jako Virtual Appliance, což je předpřipravený virtuální stroj se software výrobce bezpečnostní brány, který provozujete na vlastní virtualizační platformě. Obvykle jsou podporovány virtualizační platformy Microsoft Hyper-V, VMware vSphere a KVM.

 

Odkazy

 

Historie článku

Aktualizace 24.03.2020

Článek vydán.

Aktualizace 29.03.2020

Doplněny některé informace v odstavci o firemních routerech.

 

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting