Di solito i router in commercio offrono scarse possibilità di personalizzazione agli utenti finali. Indipendentemente dalla loro preparazione in ambito informatico e dal loro bagaglio di conoscenze in ambito networking, le funzionalità che la maggior parte dei router mettono a disposizione sono piuttosto standard: oltre alla possibilità di agire sui DNS utilizzabili all’interno della rete (facendo così in modo che i client connessi possano usare, per esempio, quelli di Google, di OpenDNS, di Cloudflare e così via anziché quelli forniti dall’operatore di telecomunicazioni prescelto), all’eventuale impostazione del servizio DDNS (così da inoltrare il traffico in arrivo verso la propria rete locale nel caso in cui il provider fornisse a ogni connessione un IP pubblico dinamico), alla disponibilità di firewall di base, funzionalità NAT, a quelle per l’apertura di porte in ingresso e inoltro del traffico (port forwarding) sono ben pochi gli strumenti avanzati che vengono offerti.
Qualche router permette al massimo di impostare più reti wireless sulle varie bande (2,4 e 5 GHz) mettendo a disposizione il servizio QoS (Quality of Service) intelligente: l’amministratore può cioè decidere di dare priorità ad alcuni dispositivi oppure privilegiare certe tipologie di traffico. Si tratta di una funzionalità utile perché in caso di congestione sulla rete locale (tanti dispositivi simultaneamente connessi in rete locale che tendono a usare tutta la banda disponibili in download e/o in upload) il router può prioritizzare il traffico dati più importante lasciando meno banda a disposizione degli utenti che non svolgono attività importanti o delle applicazioni che non ricoprono un ruolo critico.
Il router RT2600ac è un dispositivo WiFi MU-MIMO 802.11 ac capace di gestire fino a 800 Mbps sulla banda dei 2,4 GHz e fino a 1733 Mbps sui 5 GHz (dual-band, quad-stream), dotato di 2 porte USB (una 2.0 e l’altra 3.0) e addirittura lettore di schede SD con supporto per il beamforming (capace di direzionare il segnale laddove sono fisicamente dislocati i dispositivi client).
Il router Synology, inoltre, dispone di due porte Ethernet WAN: una delle due è configurata di default come porta LAN ma può essere facilmente trasformata in WAN2 così da garantire la disponibilità del collegamento Internet nel caso in cui vi fossero problemi con il provider principale sulla porta WAN1 (gestione fail-over).
La forza dei router mesh Synology: il sistema operativo SRM
Come abbiamo visto nell’articolo Router WiFi mesh Synology: recensione di MR2200ac, RT2600ac e SRM 1.2, i router Synology sono innanzi tutto dispositivi mesh: essi permettono cioè di allestire una rete formata da più dispositivi intelligenti capaci di estendere la copertura del segnale WiFi portandola in tutti gli ambienti, interni ed esterni, compresi quelli di solito più difficili da raggiungere.
I dispositivi client (si pensi a un notebook, uno smartphone, un tablet, un convertibile,…) “vedranno” sempre un unico SSID nel passaggio da un ambiente all’altro e la connessione non verrà mai interrotta: il segnale wireless sarà sempre ai massimi livelli.
Il sistema operativo SRM (Synology Router Manager) nasce dall’esperienza pluridecennale acquisita dall’azienda con i suoi celeberrimi server NAS, completi e versatili. Lo stesso livello di personalizzazione di cui possono godere gli utenti che acquistano un NAS Synology è stato recentemente portato sui router della stessa azienda che diventano oggetti perfettamente adattabili alle esigenze degli utenti, dal neofita all’esperto informatico amministratore di rete.
Come i NAS Synology equipaggiati con il sistema operativo DiskStation Manager (DSM) integrano un sistema per la gestione dei pacchetti software, anche i router dell’azienda taiwanese poggiano su di un sistema molto simile.
Dalla schermata principale del pannello di amministrazione dei router Synology cliccando su Centro pacchetti si può oggi installare un sistema per il controllo degli accessi alla rete che non funziona solamente come un parental control ma può essere adoperato per gestire le attività Internet di qualunque utente consentendo la visita di alcuni siti web e bloccandone altri, permettendo certe tipologie di traffico e negandone delle altre.
Safe access: molto più di un parental control
Installando e abilitando il pacchetto Safe access tramite SRM, l’utente può configurare più profili diversi per gestire le attività degli utenti. Si possono creare regole differenti per connettere a Internet varie tipologie di utenza oppure sulla base dei dispositivi connessi alla rete locale.
Non solo SRM e il suo Safe access consentono di impostare delle regole anche per le eventuali reti WiFi guest che si fossero attivate. Tali reti sono isolate e non permettono ai client collegati né di vedersi reciprocamente né di accedere alle risorse condivise sulla rete LAN principale.
La funzionalità Safe access è già in grado di rilevare e bloccare molte categorie di siti web impedendone l’accesso, in tempo reale, non soltanto da parte dei minori ma anche da collaboratori, dipendenti e ospiti.
L’opzione Protezione rete integrata in Safe access va a braccetto con la funzionalità di Threat prevention, anch’essa disponibile come applicazione a sé tra i vari pacchetti.
Il router Synology, grazie al sistema operativo SRM, può così difendere gli utenti da intrusioni, siti web pericolosi, malware, campagne spam che utilizzano tecniche di ingegneria sociale per spingere a compiere operazioni dannose, applicazioni pericolose e phishing. Ulteriori verifiche e controlli incrociati sono effettuati dal software Synology anche interrogando il database di Google Safe Browsing che fornisce informazioni sugli URL sospetti o potenzialmente nocivi.
Threat prevention: la ricetta Synology per la protezione della rete dalle minacce informatiche
Il pacchetto Threat prevention è un po’ l’evoluzione delle funzionalità di intrusion prevention alle quali abbiamo fatto riferimento in precedenza.
Il sistema integrato in SRM utilizza strumenti di protezione dalle minacce informatiche di livello business: Threat prevention ispeziona il contenuto di tutti i pacchetti dati in transito e blocca quelli sospetti o pericolosi con un impatto minimale sulla velocità della connessione Internet e sulle prestazioni complessive della rete locale.
Threat prevention consente anche di identificare i dispositivi di rete che hanno causato gli eventi di maggiore gravità offrendo all’amministratore gli strumenti adeguati per assumere decisioni ponderate.
Un riepilogo degli eventi di sicurezza verificatisi negli ultimi 7 o 30 giorni consente di capire da quali regioni o IP proviene il più alto numero di attacchi.
Per funzionare Threat prevention richiede il collegamento al router di un’unità di memorizzazione USB ed è indispensabile lasciare almeno 3 GB di spazio libero.
Server VPN professionale pronto per l’uso
Sempre facendo leva sul Centro pacchetti di SRM si può eventualmente installare VPN Server Plus, un’applicazione che offre molteplici strumenti per scambiare dati in sicurezza attraverso un tunnel cifrato, tra dispositivi remoti.
Una volta installato VPN Server Plus si può utilizzare WebVPN, strumento che consente di accedere alle applicazioni web in modo semplice con un browser, senza alcun software client o impostazioni particolari.
In alternativa è possibile collegarsi al server VPN configurato sul router Synology o attivare una VPN site-to-site: aziende con più filiali possono così facilmente condividere le risorse su diverse reti stabilendo connessioni IPsec sicure. Impostando una VPN site-to-site non occorre più configurare le impostazioni VPN sui singoli computer.
In fase di configurazione di VPN Server Plus, è possibile scegliere quali servizi VPN utilizzare e quali porte utilizzare (ad esempio OpenVPN, IPSec, L2TP e l’ormai superato PPTP: Reti VPN: differenze tra PPTP, L2TP IPSec e OpenVPN).
Il vantaggio delle VPN allestibili con SRM è che esse possono essere create in pochi minuti, con una manciata di clic senza perdersi nell’impostazione dei vari file di configurazione.
VPN Server Plus integra un ottimo pannello che consente di monitorare in tempo reale le risorse condivise e alle quali i client hanno avuto accesso in modalità remota. È possibile ottimizzare il traffico di rete e proteggere le risorse importanti da accessi indesiderati. Si possono inoltre generare i registri di connessione ed esportarli periodicamente.
Solo l’attivazione delle VPN site-to-site richiede l’acquisto di una licenza a parte. I vantaggi però sono notevoli perché questa configurazione permette ad esempio l’integrazione diretta con altri prodotti che supportano IPsec. Il sistema offerto dai router Synology è ad esempio compatibile anche con i gateway VPN Microsoft Azure permettendo di formulare una soluzione ibrida che unisce le reti on-premise e le reti virtuali nel cloud.
Download Station: per scaricare automaticamente file direttamente dal router
Installando il pacchetto Download Station, gli utenti di SRM possessori di un router Synology possono disporre il download automatico di file da server remoti e network peer-to-peer.
SRM supporta l’accesso a risorse remote via HTTP/HTTPS, FTP, BitTorrent, eMule e molti altri protocolli: il vantaggio è quello di poter programmare il download di file salvati su qualunque server o su altri dispositivi senza mantenere accesa alcuna workstation all’infuori del router stesso.
Il router Synology basato sul sistema operativo SRM può anche fungere da server DNS, da media server, da server RADIUS e da Cloud Station.
Quest’ultimo è l’equivalente della funzionalità offerta dai server NAS Synology: con Cloud Station si possono sincronizzazione file e cartelle allineando in maniera semplice e veloce il materiale conservato sui propri dispositivi, anche in modalità remota.
Per maggiori informazioni sul sistema operativo Synology SRM e sui dispositivi che lo supportano basta fare riferimento a queste pagine.