23 Сентября 2017 года

МТУСИ

Платное обучение. Трудоустройство. Практика.

Архив категории ‘Техноблог’

Выставка MWC 2017. LTE 1Gbit/s

Написал admin 14 - апреля - 2017

В выставке MWC в Барселоне компания ZTE показала образец смартфона с названием Gigabit Phone. Устройство способно загружать данные на скорости 1 Гбит/с, вследствие чему позиционируется как смартфон с наиболее быстрым подсоединением к сети. Внушительных показателей удалось достичь вследствие комбинации проприетарного решения Pre5G Giga+ MBB совместно с LTE-модемом Snapdragon X16. Последний включен с процессором Snapdragon 835, каким снабжен гаджет.
Читать дальше »

 

 

Общее состояние угроз безопасности в мире цифровых технологий достаточно хорошо исследовано и документировано. Нарушения и повреждения данных в крупных публичных и приватных организациях описываются достаточно часто, и они, что называется, на слуху у руководителей бизнесов и специалистов-безопасников. Однако тысячи таких событий незаметно для широкой аудитории ежедневно происходят на уровне предприятий малого бизнеса и индивидуальных пользователей. В данной статье приводится один из вариантов решения проблемы.

b7c55d391be5432dac07f35e7b7a20af

 

Symantec: атак на малый бизнес становится все больше

Не является секретом, что уровень киберпреступности постоянно повышается, и предприятия малого и среднего бизнеса (Small and Middle Business, SMB) все чаще становятся целью хакеров. Последние данные из отчета «Symantec’s 2016 Internet Security Threat Report» показывают, что сектор SMB становится привлекательной целью также для фишинга.


В 2015 г. фишинговые атаки на предприятия SMB заняли 43% времени от атак всех типов. Это на 9% больше, чем в 2014 г. и очень контрастно по сравнению с 18% нападений на SMB, которые были зафиксированы в 2011 г.

Отчет Symantec показывает, что пока приблизительно 1 из 40 (2,5%) предприятий SMB подвергается риску стать жертвой «cybercrime». На первый взгляд это кажется незначительным по сравнению со статистикой для крупных предприятий, где соотношение составляет 1:2, т.е., в этом сегменте атакам подвергается каждое второе предприятие.

Важно другое. Отчет отмечает, что хакеры нападают на свои жертвы без особого разбора. Формулировка достаточна проста, и, вместе с тем, проясняет смысл нападений.

Это не вопрос того, на кого именно они нацеливаются. Это вопрос того, что все они нацелены на ваши деньги. Фишинговые атаки производятся на конкретных сотрудников, в основном ответственных за финансы малого бизнеса.

Злонамеренные (malicious) электронные письма, посылаемые таким сотрудникам, могут «угнать» финансовую информацию всей компании и открыть доступ к корпоративным фондам и личной информации.

Symantec отмечает, что участились также нападения типа «ransomware». Они нацелены не только на сотрудников, но и на любые устройства, находящиеся во взламываемой сети. (Смысл использованияransomware − в блокировании или нарушении работы устройства. Оно будет снова доступно пользователю только после некоторой оплаты нападавшему). В 2015 г. Symantec зафиксировала достаточно много атак на IoT, смартфоны, и даже на smart watches и smart television.

Symantec также показывает 55%-ное увеличение с 2014 г. до 2015 г. количества целевых фишинговых атак, которые направлены на конкретных сотрудников, независимо от размера компании. Для справки следует отметить, что Symantec классифицирует предприятия малого бизнеса как имеющие до 250 сотрудников.

Будьте готовы к защите

Что владельцы малого бизнеса должны сделать с изложенной выше информацией? Простой совет − готовиться к отражению атак. Совершенно ясно, что хакеры продолжат увеличивать фишинговое давление на предприятия SMB.

Поскольку такие атаки нацелены главным образом на определенных сотрудников, разумным представлялось бы осуществление надлежащей учебной и информационной программы внутри компании по схемам фишинга.

Однако для компании сектора SMB часто затруднительно организовать такое обучение, а сотрудники часто поверхностно относятся к знаниям, которые они должны получить. Кроме того, они в первую очередь должны заниматься своими прямыми обязанностями.

Очевидно также, что лучше ограничивать количество смартфонов сотрудников и устройств IoT, − однако для SMB соблюдение такой политики также связано с определенными трудностями. В итоге предприятия SMB предпочитают, чтобы защита осуществлялась автоматически и с возможно высоким качеством. Один из вариантов решения проблемы − использование специализированных маршрутизаторов (роутеров).

Роутеры Cisco RV320 и Cisco RV325

Роутеры Сisco для предприятий малого бизнеса (Cisco Small Business Routers, SBR) моделей RV320 и RV325 с фильтрацией Web-трафика добавляют слой надежной защиты, предотвращая в том числе доступ к потенциально опасным ресурсам в сети.

Для небольших компаний с ограниченными бюджетами, где недостаточно ресурсов на содержание штатных экспертов по безопасности, хорошо подходят специализированные маршрутизаторы для малого бизнеса, − такие, как Cisco SBR.

Cisco SBR оснащены средствами Web-фильтрации, которые закрывают доступ для хакерских атак. Имеется почти бесконечное число веб-сайтов, которые сотрудники малых компаний могут посещать без ведома руководства. При этом едва ли не любое соединение может быть средством получения доступа к внутренним системам и данным малого предприятия.

Применяя не так давно появившиеся специализированные маршрутизаторы Cisco, можно установить соответствующую Web-политику для своей компании в течение нескольких минут, − и быть вполне уверенными, что она выполняется без дополнительных дорогих мер по безопасности и привлечения дополнительного IT-персонала.

Почему предприятия SMB должны использовать Web-фильтрацию? Очевидный ответ − прежде всего потому, что их сотрудникам, как правило, открыт доступ онлайн, и без фильтрации они могут обратиться к любому сайту.

В этом отношении маршрутизаторы Cisco моделей RV320 и RV325 являются одними из лучших для предприятий SMB, позволяя поддерживать хорошее «здоровье» сети. Они держат пользователей вдали от опасных веб-сайтов с их вредоносными приложениями и сомнительным контентом, не снижая при этом производительности работы.

Всего несколько настроек в Web Filtering позволяют категоризировать сайты, установить соответствующие уровни защиты, указать репутацию определенных сайтов и составить расписание работы сервиса безопасности (см. скриншот в разделе «Программное обеспечение).

Опрос Kaspersky Lab, результаты которого были обнародованы в конце 2015 г., показал, что предприятия SMB тратят в среднем $38 тыс., чтобы «прийти в себя» после единственного случая нарушения данных, − и эта сумма не включает косвенные издержки и ухудшение репутации компании. Тот же опрос также показал, что наибольшее количество нападений было связано с malware и фишингом.

Используя Web-фильтр, малый бизнес может существенно сократить нападения этих типов и повреждения от них. Важно отметить, что Web-фильтрация отличается от антивирусного ПО, и использование одного подхода не избавляет от необходимости другого.

Модели Cisco RV320 и RV325 выделяются среди маршрутизаторов семейства Cisco RVxxx как наиболее высокоуровневые и имеющие наиболее высокую пропускную способность IPsec. Основное различие между этими моделями − RV320 имеет четыре порта LAN по сравнению с четырнадцатью портами LAN у RV325.

Cisco RV320 Dual Gigabit WAN VPN Router

Cisco RV320 определяется как «PPTP / IPsec /SSL VPN router with Gigabit ports and USB WAN failover». К его основным преимуществам относятся наличие GUI Администратора, автоматическая балансировка нагрузки WAN, наличие простого в использовании брандмауэра (firewall), а также поддержка модемов 3G/4G USB.

RV320 − настольный маршрутизатор, имеющий размеры 8,1 x 1,7 х 5,2 дюймов (ширина, высота и глубина соответственно). Устройство имеет металлический корпус и внешнее электропитание. Не создает шума, поскольку использует пассивное охлаждение. Контрольные индикаторы расположены на передней панели, порты RJ45 − на задней.

Внешний вид передней панели и сравнительные размеры Cisco RV320

Устройство имеет два порта 10/100/1000 WAN и четыре 10/100/1000 LAN. Один из WAN портов может быть сконфигурирован или как WAN, или как DMZ.

Имеется также два порта USB 2.0, один передней панели, другой − на задней. Они предназначены для подключения 3G/4G модемов и/или загрузки ПО с флеш-диска. Нужно иметь в виду, что маршрутизатор не поддерживает устройства хранения данных USB и принтеры.


Внешний вид задней панели Cisco RV320

Корпус RV320 несколько выше, чем у других устройств семейства RVxxx, что обеспечивает хорошую циркуляцию воздуха. Согласно отзывам пользователей, при непрерывной работе RV320 не более, чем «немного теплый».


Вид на материнскую плату Cisco RV320

Под достаточно большим радиатором находится двухъядерный центральный процессор Cavium CN5020, работающий на частоте 300 МГц. «На борту» у RV320 находится также 256 MB DDR2 RAM и 64 MB флеш-памяти.

Технические характеристики Cisco RV320

Router
— (4) 10/100/1000 LAN, (1) 10/100/1000 WAN, (1) 10/100/1000 DMZ/WAN
— (2) USB 2.0 ports
— 3G/4G WWAN Support
— Пропускная способность 900 Mbps NAT
— Dual WAN failover and load balancing
— Protocol based load balancing
— RIPv1/v2, RIPng
— 802.1Q VLAN — Support for 7 VLAN IDs
— IPv6
— Средства управления QoS

SPI Firewall
— DoS, ping of death, SYN flood, land attack, IP spoofing protection
— 50 Schedule-based access rules
— 30 Port Forwarding rules
— 30 Port Triggering rules
— Static URL or keyword blocking (content filtering)
— DMZ port and DMZ host functionality

VPN
— IPsec — DES, 3DES, AES Encryption; MD5, SHA1 Authentication
— 50 IPsec Site to Site tunnels
— 10 SSL tunnels
— 10 PPTP tunnels
— 100 Mbps IPsec throughput
— 20 Mbps SSL throughput

Прочее
— SNMP
— LLDP
— 802.1X Authentication

Cisco RV325

Cisco RV325 классифицируется как «Dual Gigabit WAN VPN Router». Это − старшая модель в линейке маршрутизаторов Cisco RV VPN для малого бизнеса. Если выделять его основные черты, то это − высокая скорость работы, поддержка VPN и VLAN, а также простая настройка параметров, характерных для роутеров высокого уровня.

Устройство поддерживает до 50 туннелей IPSec, в соединениях site-to-site или client-to-site, с заявленной пропускной способностью IPSec около 100 Mbps. PPTP и SSL VPN серверы поддерживают до 10 одновременно работающих туннелей client-to-site.

В комплект поставки входит кабель Ethernet, внешний источник питания, руководство по быстрому старту и CD с полной документацией. Также прилагаются направляющие для монтажа в стандартной 19-дюймовой стойке.

Габаритные размеры устройства − 9,5 х 2 х 7 дюймов (ширина, высота и глубина соответственно. Типичная окраска корпуса − «gray metal».

На задней панели Cisco RV325 находятся только разъем питания и выключатель. На нижней стороне корпуса типично установлены нескользкие ножки для размещения на столе или полке, наряду с отверстиями для настенного монтажа.

На передней панели размещены индикаторы состояния, 14 стандартных LAN портов, два WAN порта и кнопка перезагрузки. Также имеется один порт USB на передней панели и еще один − на правой боковой стороне. Они оба могут использоваться для 3G Internet, или для обслуживания.

Отзывы пользователей

В целом ресурс www.networkworld.com характеризует этот роутер как «солидное изделие» с наиболее распространенными возможностями маршрутизатора VPN и соответствующей функциональностью. Интересно также привести некоторые отзывы пользователей по RV325 с сайта www.newegg.com. Большинство из них категорически положительны:

— Имеет больше возможностей, чем можно было бы ожидать от маршрутизатора в этом ценовом диапазоне.

— Отлично подходит для малого офиса или домашнего использования с различными устройствами − несколькими десктопами или ноутбуками, другими сетевыми устройствами, принтерами, TV и др.

— Устойчивый, удобный и идеально подходящий для малого бизнеса.

— Я не «сетевой парень», но этот маршрутизатор достаточно легок для пользователей со средним знанием IT.

Тем не менее, на что следует обратить внимание:

— Если у вас есть понимание принципов организации сети и установки маршрутизатора, то это − хороший выбор.

— В то время, как этот маршрутизатор очень легок к установке, он является устройством профессионального уровня и требует некоторого знания организации сети и того, как использовать его особенности в своих интересах.

Программное обеспечение

Подробное описание ПО роутеров Cisco RV320 и Cisco RV325 выходит за рамки данного обзора. Отметим только некоторые его характеристики.

После входа в Web GUI пользователь попадает на страницу Getting Started с линками к Setup Wizard и другим общим страницам. Setup Wizard позволяет конфигурировать WAN порты и дает доступ к настройке брандмаура. ПО поддерживает Cisco Easy VPN, которое упрощает конфигурирование удаленных пользователей VPN.

Для того, чтобы можно было получить общее представление о GUI этих устройств, приведем скриншот экрана. В целом GUI роутеров Cisco RV320/325 хорошо развит, подробен и вместе с тем достаточно понятен для тех, кто имеет представление о работе с сетевыми устройствами.


Конфигурирование DHCP

Имеется также эмулятор Web-интерфейса Cisco RV320. Ниже приведен его скриншот из раздела «Web Filtering».


Настройка уровня фильтрации по категориям контента

Как заключение данного обзора приведем еще одно мнение пользователя с сайта www.newegg.com:

— Я работал с оборудованием Cisco долгое время, и должен сказать, что это − один из лучших продуктов. Превосходная скорость, легкое конфигурирование. Если вы работаете в малом бизнесе, я рекомендую его.

 

Зачем нужен HTTP/2 для сайтов

Написал admin 17 - мая - 2016

В ближайшее время интернет ожидает переход на новый протокол HTTP/2, ускоряющий загрузку сайтов. Разбираемся, как это повлияет на веб-разработку, поисковое продвижение, безопасность сайтов и другие аспекты, а также что нужно знать для подключения HTTP/2 и как проверить его поддержку.

Что такое HTTP/2 и зачем он нужен

Протокол HTTP/1.1 используется с 1999 года и со временем обрел одну существенную проблему. Современные сайты, в отличие от сайтов прошлого века, используют множество различных элементов: скрипты на Javascript, стили на CSS, шрифты, видео, а иногда еще и flash-анимацию. При передаче всего этого хозяйства между браузером и сервером создаются несколько соединений.

Протокол HTTP/2 существенно ускоряет открытие сайтов за счет следующих особенностей:

  • соединения: несколько запросов могут быть отправлены через одно TCP-соединение, и ответы могут быть получены в любом порядке. Отпадает необходимость держать несколько TCP-соединений;
  • приоритеты потоков: клиент может задавать серверу приоритеты — какого типа ресурсы для него более важны, чем другие;
    сжатие заголовка: размер заголовка HTTP может быть сокращен;
  • push-отправка данных со стороны сервера: сервер может отправлять клиенту данные, которые тот еще не запрашивал, например, на основании данных о том, какую следующую страницу открывают пользователи.

Разработка протокола HTTP/2 основывалась на другом протоколе SPDY, который был разработан Google, но компания Google уже объявила о том, что откажется от дальнейшей поддержки SPDY в пользу более многообещающего HTTP/2.

Действительно ли HTTP/2 работает быстрее?

Специалисты из HttpWatch провели несколько тестов и выявили серьезное ускорение от использования HTTP/2.

На скриншоте ниже показана скорость загрузки страницы с использованием HTTP/1.1:

А на этом скриншоте — результат с использованием HTTP/2:

Скорость загрузки выросла на 23%. Эксперты HttpWatch также отмечают, что технология пока не до конца оптимизирована, и ожидают реальное ускорение в районе 30%.

Существует еще несколько сервисов, которые предоставляют демо или дают возможность проверить разницу в скорости на живом сайте: HTTPvsHTTPS и LoadImpact.

Специалисты Айри.рф также провели тестирование в январе-феврале 2016 года, чтобы выяснить, сколько может выиграть реальный (небольшой или средний) сайт после перевода на протокол HTTPS + HTTP/2. В среднем по нескольким сайтам, которые уже прошли предварительную оптимизацию по скорости (сжатие и объединение файлов, сетевая оптимизация), клиентская скорость загрузки выросла на 13-18% только за счет включения HTTP/2.

Стоит упомянуть, что не все эксперименты были столь однозначны. На Хабре уже был описан эксперимент, поставленный командой Яндекс.Почты. Тестировался протокол SPDY, но напомним, что HTTP/2 разрабатывался на основе SPDY и очень близок к нему в плане используемых методов.

Команда «Яндекс.Почты», протестировав SPDY на части своих реальных пользователей, установила, что среднее время загрузки изменилось всего лишь на 0,6% и не превысило статистической погрешности. Однако специалисты «Яндекс.Почты» обнаружили, тем не менее, положительный момент от использования SPDY. Поскольку число соединений с серверами уменьшилось (это ключевая особенность SPDY и HTTP/2), то нагрузка на серверы заметно сократилась).

 

Почему важно искать возможности ускорить загрузку страниц сайта?

Джон Мюллер, аналитик из команды Google Webmaster Trends, в своем блоге Google+ написал, что наличие на сайте поддержки HTTP/2 не является напрямую ранжирующим фактором в Google. В то же время, скорость загрузки — сама по себе значительный фактор ранжирования, поэтому имеет смысл начать использовать HTTP/2 для SEO-продвижения.

Он добавил, что само по себе ускорение работы сайта должно положительно влиять на ранжирование за счет поведенческих факторов. У более «быстрой» страницы меньше процент отказов — скорее всего, больше пользователей что-то сделают на такой странице, и это повлияет на ранжирование в поиске.

Джон Мюллер также сообщил, что Googlebot скоро начнет поддерживать HTTP/2. И кто знает — может, в будущем наличие HTTP/2 на сайте и станет ранжирующим фактором. Ведь поисковики постоянно меняют алгоритмы.

Какие браузеры уже поддерживают HTTP/2?

Согласно данным CanIUse.com, это следующие браузеры:

IE 11 в Windows 10;
Edge 12 и 13;
Firefox 36 — 45;
Chrome 41 — 49;
Safari 9;
Opera 28 — 34;
Safari для iOS 9.1;
Opera 30 для Android;
Chrome 46 для Android;
Firefox 41 для Android.

По данным CanIUse.com, это составляет порядка 70% трафика.

Понятно, что трафик на их сайт может отличаться от среднего по интернету, но данные говорят о том, что уже достаточно большая доля юзеров может пользоваться браузерами, поддерживающими HTTP/2.

Безопасность сайтов

Переход на HTTP/2 (сейчас) автоматически означает переход на HTTPS (защищенный режим работы сайта), другие режимы не поддерживаются браузерами. HTTPS шифрует весь трафик сайта и требует установленного сертификата (нормальный DV-сертификат можно получить и абсолютно бесплатно, например, через WoSign или Let’s Encrypt).

Шифрование сайта поможет не только HTTP/2. Google уже объявил, что шифрование сайта является положительным сигналом ранжирования.

Дает ли что-то HTTP/2 веб-разработчикам?

Да! HTTP/2 позволяет избавиться от целого вагона старых трюков, призванных ускорить загрузку страниц без HTTP/2. Перечислим их:

  • домен-шардинг или использование множественных родственных доменов для скачивания файлов, чтобы позволить установить большее число TCP-соединений;
  • спрайты из картинок — объединение картинок в один файл для снижения числа запросов. Однако такой файл должен сначала загрузиться целиком, прежде, чем будет показана хоть одна картинка. К тому же, обработка больших файлов съедает больше памяти;
  • объединение файлов CSS и Javascript, что также делается для снижения количества запросов, и также увеличивает занимаемую память (и потенциально, объем загружаемых данных);
  • инлайн-включения или помещение CSS и Javascript, а иногда даже и картинок внутрь HTML-файла, чтобы снизить число соединений (например, через base64). В то же время приводит к тому, что страница не показывается, пока весь файл не загрузится;
  • домены без cookie: загрузка картинок, CSS и Javascript с другого домена, где не используются cookie.

 

Как подключить HTTP/2

Эпоха HTTP/2 совсем близко: многие браузеры уже поддерживают этот протокол. Его внедрение не требует никаких изменений в самом сайте: не нужно менять URL страниц, не нужно менять ссылки, ставить редиректы, добавлять или менять какую-то разметку или указывать дополнительные данные для Google Search Console или «Яндекс.Вебмастер» (если ваш сайт уже используется HTTPS). Если ваш сайт пока не использует защищенный режим, то для использования HTTP/2 нужно будет подключить HTTPS (со всеми сопутствующими действиями).

Внедрение HTTP/2 происходит на той части сервера, которая отдает страницы пользователям, то есть на хостинге. Если вы пользуетесь внешним хостингом, то возможно, что ваши страницы уже отдаются в HTTP/2 для всех поддерживаемых браузеров.

Если вы используете собственный виртуальный или выделенный сервер, то поддержка HTTP/2 добавляется на уровне модуля к nginx (дополнительно потребуется установить SSL-сертификат и ключ на сервер): на Хабре уже публиковали неплохую инструкцию и здесь.

Проверить поддержку HTTP/2 можно либо через браузерные расширения для Firefox или Chrome, либо через проверку скорости на сайте Айри.рф: в случае поддержки HTTP/2 в результатах проверки будет зеленая плашка [HTTP/2.0].

Intel ME. Как избежать восстания машин?

Написал admin 27 - апреля - 2016

В прошлый раз мы рассказали об Intel Management Engine (ME) — подсистеме, которая встроена во все современные компьютерные платформы (десктопы, лэптопы, серверы, планшеты) с чипсетами компании Intel. Эта технология многими воспринимается как аппаратная «закладка», и на то есть причины. Достаточно сказать, что Intel ME является единственной средой исполнения, которая:

  • работает даже тогда, когда компьютер выключен (но электропитание подаётся);
  • имеет доступ ко всему содержимому оперативной памяти компьютера;
  • имеет внеполосный доступ к сетевому интерфейсу.

Ошарашенный присутствием такого компонента в компьютере, пользователь (получается, что именно «пользователь», а не «владелец») наверняка задавался вопросом: можно ли выключить Intel ME?

Эта статья целиком посвящена этому вопросу.

Введение

Напомним, что основным компонентом Intel ME является встроенный в чипсет микроконтроллер с кастомной архитектурой. Известна лишь базовая модель, это 32-х разрядный ARCtangent-A4 (ME 1.x — 5.x), ARCtangent-A5 (ME 6.x — 10.x), SPARC (TXE) или x86 (ME 11.x — …).

Начиная с 6-й версии, ME-контроллер встраивают во все чипсеты Intel.


[рисунок взят отсюда]

Загрузчик его прошивки хранится во внутренней ROM и недоступен для анализа. Сама прошивка располагается в регионе ME во внешней SPI флэш-памяти (т.е. в той же памяти, где хранится BIOS). Структура этой прошивки такова, что весь исполнимый код разбит на модули, которые хранятся в сжатом виде (либо кастомной реализацией алгоритма Хаффмана, либо LZMA). Эти кодовые модули криптографически защищены от модификаций.

Если есть желание поревёрсить прошивку, рекомендуем воспользоваться этими двумя инструментами для изучения её структуры и распаковки кодовых модулей.

Итак, рассматриваемая подсистема является аппаратно-программной основой для различных системных функций (некоторые раньше реализовывали в BIOS) и технологий Intel. Их имплементация включается в состав прошивки Intel ME. Одной из таких технологий, использующих несколько особых привилегий Intel ME, является Active Management Technology (AMT).

Контроль за состоянием AMT

AMT – технология удалённого администрирования компьютерных систем, для которых заявлена официальная поддержка Intel vPro (это бренд, объединяющий несколько технологий, в том числе, AMT). Речь идёт о системах с чипсетами линейки Q (например, Q57 или Q170).

Учитывая высокую стоимость таких платформ, вряд ли кто-то случайно приобретёт компьютер с AMT для того, чтобы принципиально этой технологией не пользоваться. Тем не менее, если под рукой именно такой продукт, и есть необходимость убедиться, что AMT на текущий момент выключена, следует воспользоваться утилитой ACUwizard:


[рисунок взят отсюда]

или средством Intel Management and Security Status (входит в состав ПО Intel ME для vPro-платформ, можно обнаружить в трее):

Наконец, чтобы защитить компьютеры в своей сети от несанкционированного управления извне, необходимо настроить внешний файрвол на фильтрацию AMT-запросов по признакам. Явным признаком AMT-запроса может являться порт, к которому происходит обращение:

  • 5900 – AMT VNC-сервер без шифрования;
  • 16992 – AMT веб-сервер по протоколу HTTP;
  • 16993 – AMT веб-сервер по протоколу HTTPS;
  • 16994 – AMT redirection для SOL, IDE-R, KVM без шифрования;
  • 16995 – AMT redirection для SOL, IDE-R, KVM с TLS.

В продуктах, не относящихся к разряду vPro-платформ AMT включить нельзя, однако в состав прошивки Intel ME входят сетевые драйверы:

Это означает, что ME-контроллер (не будем забывать, что он всегда включен) имеет техническую возможность использования сетевого интерфейса.

Поэтому проблему стоит решать основательно – пытаться выключить подсистему Intel ME.

Выключение Intel ME при помощи утилит из Intel System Tool Kit

Вендорам материнских плат компания Intel предоставляет:

  1. Прошивку Intel ME в бинарном виде;
  2. Модули MEBx для BIOS;
  3. ПО Intel ME для ОС;
  4. Intel System Tool Kit (STK) — комплект программных средств и документации для сборки образов SPI флэш-памяти, применения этих образов и получении информации о текущем состоянии Intel ME.

Несмотря на то, что этот комплект распространяется по NDA (судя по меткам «Intel Confidential» в прилагаемых документах), многие вендоры забывают его вырезать из архива с ПО Intel ME, который передаётся пользователям. А ещё не закрывают свои ftp-серверы от внешнего доступа. В результате, утекших версий STK очень много. Здесь можно слить комплект для любой версии Intel ME.

Важно, чтобы major и minor version (первая и вторая цифры) используемого STK совпадала с версией Intel ME целевой системы, информацию о которой можно получить, например, воспользовавшись ME analyzer:

Проверять текущее состояние Intel ME можно при помощи утилиты MEinfo, которая через Management Engine Interface (MEI) получает информацию о работе этой подсистемы:

Напомним, что MEI является интерфейсом для связи основного CPU с подсистемой Intel ME и представляет собой набор регистров в конфигурационном пространстве PCI и в MMIO. Команды этого интерфейса не документированы, как и сам протокол.

Flash Image Tool

На старых платформах (Intel ME версии 5.x и ниже) выключить данную подсистему можно, воспользовавшись Flash Image Tool (утилита из STK, предназначенная для сборки образов SPI флэш-памяти из отдельно взятых регионов BIOS, ME, GbE). При сборке задаются параметры, которые прописываются в этих регионах и в регионе Flash Descriptors. В последнем есть один очень интересный флаг, «ME disable»:

Таким образом, для выключения Intel ME на целевой компьютерной системе, в её SPI флэш-память следует записать (программатором) новый образ с выставленным флагом «ME disable».

Работает ли этот способ, нам неизвестно. Но звучит правдоподобно, учитывая, что ME-контроллер в тех версиях интегрировался только в чипсеты линейки Q, т.е. был не обязательным компонентом для всех платформ.

Flash Programming Tool

Начиная с Intel ME 9 версии, в утилиту Flash Programming Tool, предназначенную для программирования SPI флэш-памяти компьютерных платформ, была добавлена возможность временно выключать Intel ME:

Выключение выполняется отправкой команды в MEI. После отработки Intel ME не подаёт «признаков жизни», не отвечает даже MEI:

Согласно документации, в таком состоянии подсистема Intel ME находится до следующего запуска компьютера или перезагрузки.

На vPro-платформах возможность отправки этой команды есть и в более ранних версиях. Для этого необходимо воспользоваться разделом конфигурирования ME/AMT в BIOS, где должна быть опция «Intel ME disable»:


[рисунок взят отсюда]

Нельзя говорить о том, что этот способ позволяет полностью отключить Intel ME, хотя бы потому, что до момента принятия команды на отключение ME-контроллер успеет загрузиться, а значит, выполнить некоторую часть кода прошивки.
Несмотря на то, что Intel ME не подаёт «признаков жизни» после этой операции, неизвестно, может ли эту подсистему заново включить какой-нибудь сигнал извне. Также неясно, насколько Intel ME выключена.

Принудительное выключение Intel ME

В интересах исключения возможности исполнения ME-контроллером кода прошивки, логично попробовать ограничить ему доступ к ней. А что? Нет кода – нет проблемы.

Проанализировав документацию, которая прилагается к STK, и, немного подумав, мы предположили, что это можно сделать следующими способами.

1. Вырезать (обнулить) ME регион из SPI флэш-памяти.

Те, кто пробовал так делать сообщают о том, что их платформа либо не загружалась без наличия подлинной прошивки ME, либовыключалась ровно после 30 минут работы.

Отказ компьютерной системы грузиться без прошивки Intel ME можно объяснить важностью ME-контроллера в процессе инициализации аппаратной составляющей. А 30-минутный таймаут наводит на мысль о WDT (Watch Dog Timer).

2. Включить не дескрипторный режим SPI флэш-памяти, т.е. «по старинке» когда в ней содержался только BIOS. Для этого требуется сделать одно из двух:

  • стереть первые 0x20 байт в ней (таким образом повредив сигнатуру 0x0FF0A55A, которая определяет режим работы флэш-памяти);
  • выставить джампер HDA_SDO (если он есть).

Таким образом, ME-контроллер не получит доступ к своему региону, и, следовательно, не будет исполнять прошивку.

С одной стороны, ME-контроллер так же, как и в предыдущем случае, может препятствовать нормальной работе компьютерной системы. С другой стороны, не дескрипторный режим включает т.н. manufacturing mode, который используется вендорами в отладочных целях, и есть шанс, что система запустится.

3. Известно, что прошивка Intel ME распаковывается в выделенную и скрытую от основного CPU область оперативной памяти – ME UMA. Выделение и блокировку этой области осуществляет BIOS во время конфигурирования карты памяти. Тогда почему бы не вырезать эти фрагменты кода из BIOS, чтобы данная область не выделялась. Тогда прошивка ME не будет распаковываться и исполняться.

Проведённые эксперименты показали, что такой способ тоже не годится, и система не запускается. К тому же, у ME-контроллера есть внутренняя SRAM, которая используется при недоступности ME UMA. Поэтому часть прошивки всё равно будет исполняться.

Вывод

Мы рассказали о предполагаемых и требующих развития способах выключения Intel ME:

  • отключение при каждом старте командой в MEI или отключение флагом в регионе flash descriptors (в зависимости от версии);
  • ограничение доступа ME-контроллеру к своей прошивке либо перевод компьютерный платформы в manufacturing mode.
  • препятствование нормальной работе ME-контроллера не обеспечивая его runtime-памятью.

Очевидно, что некоторые предложенные решения влекут за собой неработоспособность компьютерной системы, остальные не дают никакой гарантии того, что подсистема Intel ME действительно выключена. В связи с этим, мы пришли к выводу, что полностью выключить Intel ME крайне сложно.

Вероятно, это связано с тем, что, отключая Intel ME, мы нейтрализуем важный компонент в архитектуре компьютерной системы. Например, без ME некому будет решать важные системные задачи вроде ACPI или ICC (которые когда-то реализовывались в BIOS). Чтобы заставить платформу стабильно работать без ME, как минимум, необходимо вернуть реализацию этих технологий в BIOS.

Так или иначе, вопрос о том, как отключить Intel ME без потери работоспособности компьютерной системы, остаётся открытым.

Миром движет язык С

Написал admin 26 - августа - 2015

Язык С по-прежнему остаётся одним из наиболее распространённых.

Операционные системы

Многие проекты, написанные на этом языке, стартовали десятилетия назад. Разработка UNIX началась в 1969 году, а её код был переписан на С в 1972. Изначально ядро ОС было написано на ассемблере. И язык С создавался для того, чтобы переписать ядро на языке более высокого уровня, выполняющем те же задачи с использованием меньшего количества строк кода.

В 1985 году вышла Windows 1.0. Хотя код Windows закрыт, в Microsoft утверждают, что ядро её написано по большей части на С. То есть в основе операционной системы, занимающей около 90% мирового рынка в течение десятилетий, лежит язык С.

Разработка ядра Linux началась в 1991 году, оно также по большей части написано на С. В 1992 году ядро Linux вышло под лицензией GNU и использовалось как часть GNU Operating System. А многие компоненты самой ОС GNU написаны на С, поскольку при разработке проекта использовался этот язык и Lisp. Сегодня 97% суперкомпьютеров из Топ 500 наиболее мощных вычислительных систем мираиспользуют ядро Linux. Не говоря уже о миллионах серверов и персональных компьютеров.

Ядро OS X, как и в случае с двумя вышеперечисленными ОС, также в основном написано на С.

В основе AndroidiOS и Windows Phone также лежит С, поскольку эти системы являются адаптациями соответственно Linux, Mac OS и Windows. Так что и миром мобильных устройств управляет этот язык.

Базы данных

Все наиболее популярные СУБД, включая Oracle, MySQL, MS SQL Server и PostgreSQL написаны на С (первые три — на С и С++). Эти СУБД используются по всему миру, в финансовых, правительственных, медиа, телекоммуникационных, образовательных и торговых организациях, в социальных сетях и многих других сферах.

Но область применения С далеко не ограничивается этими всем известными проектами, которые начались задолго до рождения многих сегодняшних разработчиков. Несмотря на огромное разнообразие существующих языков программирования, сегодня немало проектов по прежнему создаются на С.

3D-видео

Современный кинематограф использует для создания трёхмерных фильмов приложения, которые в основном написаны на С и С++. Одной из причин этого являются высокие требования к эффективности и быстродействию подобных систем, поскольку они должны обрабатывать в единицу времени огромные объёмы данных. Чем выше их эффективность, тем меньше времени занимает создание кадров, и, как следствие, студии тратят меньше денег.

Встроенные системы

Нас окружают множество привычных приборов и устройств, во многих из которых также используется язык С: электронные будильники, микроволновки, кофеварки, телевизоры, радиоприёмники, системы дистанционного управления и т.д. Или возьмите тот же современный автомобиль, напичканный всевозможными системами, которые также программируются на С:

  • Автоматическая КПП
  • Система контроля давления в шинах
  • Всевозможные датчики (температуры, уровня масла, уровня топлива и т.д.)
  • Управление зеркалами и сиденьями
  • Бортовой компьютер
  • Антиблокировочная система
  • Система удержания в своей полосе
  • Круиз-контроль
  • Климат-контроль
  • Замки с защитой от детей
  • Центральный замок с брелоком
  • Подогрев сидений
  • Система управления подушками безопасности

В большинстве случаев С используется для программирования автоматов по продаже всевозможных снэков и прочих мелких товаров. Также этот язык массово применяется в кассовых аппаратах, в терминалах пластиковых карт.

Большинство встречающихся нам устройств оснащены встроенными системами, то есть процессором/микроконтроллером с соответствующими прошивками и необходимой элементной обвязкой. Это позволяет в небольшом объёме реализовать быструю обработку алгоритмов (иногда достаточно сложных) и взаимодействие с пользователями. Например, тот же будильник определяет, какую кнопку вы нажали, как долго её удерживаете, и в соответствии с этим выполняет ту или иную процедуру, выводя на экран необходимую информацию. Или антиблокировочная система в автомобиле: за очень короткий промежуток времени нужно определить, произошла ли блокировка колёс после начала торможения, и при необходимости циклично включать и отключать тормоза, предотвращая неконтролируемое скольжение автомобиля.

Конечно, производители используют разные языки для программирования встроенных систем, но чаще всего это С, по причине его гибкости, эффективности, высокой производительности и «близости» к оборудованию.

Почему мы всё ещё используем С?

Сегодня есть немало языков, которые в каких-то проектах более эффективны, чем С. В каких-то языках куда больше встроенных библиотек, упрощающих работу с JSON, XML, пользовательскими интерфейсами, веб-страницами, клиентскими запросами, подключениями к БД, мультимедиа и т.д.

Но несмотря на это, существует немало причин, по которым язык С наверняка будет использоваться ещё долгое время.

Портируемость и эффективность

Язык С можно назвать «портируемым ассемблером». Он близок к машинному коду, и в то же время может выполняться практически на всех существующих процессорных архитектурах, для которых написано как минимум по одному компилятору. А благодаря высокому уровню оптимизации двоичных файлов, создаваемых компиляторами, остаётся не так много возможностей по их дальнейшему улучшению вручную с помощью ассемблера.

Портируемость и эффективность языка также связаны с тем, что «компиляторы, библиотеки и интерпретаторы других языков программирования часто реализуются на С». Основные реализации таких интерпретируемых языков, как PythonRuby и PHP также написаны на С. Данный язык даже используется компиляторами других языков для взаимодействия с аппаратной составляющей. Например, С используется как посредник для языков Eiffel и Forth. Это означает, что вместо генерации машинного кода для каждой архитектуры компиляторы этих языков генерируют промежуточный С-код, его обрабатывает С-компилятор и уже генерирует машинный код.

Язык С фактически стал «лингва франка» для разработчиков. Как отмечает Алекс Эллэйн, руководитель инженеров в Dropbox и создатель сайта www.cprogramming.com:

Язык С позволяет удобно и понятно выражать различные общие идеи в программировании. Более того, многие вещи, используемые здесь, — например, argc и argv для параметров командной строки, операторы циклов, типы переменных, — применяются и во многих других языках. Так что, зная С, вам будет гораздо проще общаться со специалистами в других языках программирования.

 

Управление памятью

Произвольный доступ к ячейкам памяти и арифметические операции с указателями являются важными свойствами языка, позволяющими использовать его для «системного программирования», то есть создания ОС и встроенных систем.

При взаимодействии ПО с аппаратной составляющей происходит выделение памяти для периферийных компонентов компьютерных систем и задач ввода/вывода. Системные приложения должны использовать выделенные для них участки памяти для взаимодействия с «миром». И здесь как нельзя кстати приходятся возможности языка С по управлению произвольным доступом к памяти.

К примеру, микроконтроллер можно запрограммировать так, чтобы байт, расположенный по адресу 0x40008000, отправлялсяуниверсальным асинхронным приёмопередатчиком (UART, стандартный компонент аппаратной составляющей для взаимодействия с периферийными устройствами) каждый раз, когда четвёртому биту адреса 0x40008001 присваивается значение 1. Причём после того, как это значение присвоено, оно обнуляется периферийным устройством.

Вот как выглядит код на С, отправляющий байт через UART:

#define UART_BYTE *(char *)0x40008000
#define UART_SEND *(volatile char *)0x40008001 |= 0x08 

void send_uart(char byte)
{
   UART_BYTE = byte;    // write byte to 0x40008000 address
   UART_SEND;           // set bit number 4 of address 0x40008001
}

Первая строка будет представлена в виде:

*(char *)0x40008000 = byte;

Эта запись говорит компилятору интерпретировать значение 0x40008000 в качестве указателя на char, потом с помощью первого оператора * разыменовать указатель (получить значение по адресу), и наконец присвоить значение byte разыменованному указателю. Иными словами, записать значение переменной byte в память по адресу 0x40008000.

Вторая строка будет представлена в виде:

*(volatile char *)0x40008001 |= 0x08;

Здесь мы выполняем побитовую операцию «ИЛИ» над значением по адресу 0x40008001 и значением 0х08 (00001000 в двоичном представлении, то есть 1 в 4-м бите), и сохраняем результат снова по адресу 0x40008001. То есть присваивается значение четвёртому биту байта, расположенного по адресу 0x40008001. Также декларируется, что значение по этому адресу является изменчивым (волатильным). Компилятор понимает, что оно может быть изменено внешними по отношению к нашему коду процессами, поэтому не делает каких-либо предположений относительно этого значения после завершения записи по этому адресу. В данном случае UART возвращает бит в прежнее состояние сразу после того, как ПО присвоило ему значение.

Эта информация важна для оптимизатора компилятора. Если, например, сделать это внутри цикла for, без указания изменчивости значения, то компилятор может предположить, что оно никогда не меняется после записи, и после завершения первого цикла останавливает исполнение команды.

Детерминированное использование ресурсов

Одной из стандартных возможностей языка, на которую нельзя полагаться в системном программировании, является сборка мусора. Для некоторых встроенных систем недопустимо даже динамическое распределение памяти. Встроенные приложения должны выполняться быстро и оперировать очень ограниченными ресурсами памяти. Чаще всего это системы реального времени, в которых непозволительно делать недетерменированный вызов сборщика мусора. И поскольку динамическое выделение нельзя использовать из-за недостатка памяти, то необходимо применять иные механизмы управления памятью, например, размещать данные по конкретным адресам. Указатели в С позволяют это делать. А языки, которые зависят от динамического выделения памяти и сборщика мусора не могут быть использованы в системах с ограниченными ресурсами.

Размер кода

Код на С выполняется очень быстро и задействует меньше памяти, чем в большинстве других языков. Например, двоичные файлы на С для встроенных систем получаются примерно вдвое меньше аналогичных файлов на С++. Это происходит во многом благодаря поддержке исключений.

Исключения — это замечательный инструмент, появившийся в С++, и если пользоваться им с умом, то они практически не влияют на время исполнения файла, хотя и увеличивают размер кода.

Пример на С++:

// Class A declaration. Methods defined somewhere else;
class A
{
public:
   A();                    // Constructor
   ~A();                   // Destructor (called when the object goes out of scope or is deleted)
   void myMethod();        // Just a method
};

// Class B declaration. Methods defined somewhere else;
class B
{
public:
   B();                    // Constructor
   ~B();                   // Destructor
   void myMethod();        // Just a method
};

// Class C declaration. Methods defined somewhere else;
class C
{
public:
   C();                    // Constructor
   ~C();                   // Destructor
   void myMethod();        // Just a method
};

void myFunction()
{
   A a;                    // Constructor a.A() called. (Checkpoint 1)
   {
      B b;                 // Constructor b.B() called. (Checkpoint 2)
      b.myMethod();        //                           (Checkpoint 3)
   }                       // b.~B() destructor called. (Checkpoint 4)
   {
      C c;                 // Constructor c.C() called. (Checkpoint 5)
      c.myMethod();        //                           (Checkpoint 6)
   }                       // c.~C() destructor called. (Checkpoint 7)
   a.myMethod();           //                           (Checkpoint 8)
}                          // a.~A() destructor called. (Checkpoint 9)

Методы классов АB и C задаются где-то ещё (например, в других файлах). Поэтому компилятор не может проанализировать их и понять, выдадут ли они исключения. А значит компилятор должен быть готов к обработке возможных исключений от любых конструкторов, деструкторов или вызовов прочих методов. Вообще, деструкторы не должны выдавать исключения, это очень плохая практика, но пользователь может это сделать. Зато деструкторы могут вызвать функции или методы (явно или неявно), которые выдадут исключение.

Если один из вызовов в myFunction выдаёт исключение, то механизм возврата стека (stack unwinding) должен иметь возможность вызова всех деструкторов для уже созданных объектов. Для проверки «номера контрольной точки» (checkpoint number) вызова, инициировавшего исключение, механизм возврата стека использует адрес возврата последнего вызова функции. Делается это с помощью вспомогательной автогенерируемой функции (нечто вроде справочной таблицы), которая используется для возврата стека в том случае, если исключение выдаётся из тела этой функции:

// Possible autogenerated function
void autogeneratedStackUnwindingFor_myFunction(int checkpoint)
{
   switch (checkpoint)
   {
      // case 1 and 9: do nothing;
      case 3: b.~B(); goto destroyA;                     // jumps to location of destroyA label
      case 6: c.~C();                                    // also goes to destroyA as that is the next line
      destroyA:                                          // label
      case 2: case 4: case 5: case 7: case 8: a.~A();
   }
}

Если исключение выдаётся в контрольных точках 1 и 9, то объекты не нуждаются в уничтожении. Если выдаётся в контрольной точке 3, то необходимо уничтожить B и A. Если в точке 6 — нужно уничтожить C и A. В каждом из этих случаев должен соблюдаться порядок уничтожения. В точках 2, 4, 5,7 и 8 уничтожается только объект A.

Эта вспомогательная функция увеличивает размер кода, что является частью дополнительных расходов свободного пространства, характерным отличием С++ от С. Но для многих встроенных систем это «раздувание» недопустимо. Поэтому компиляторы С++ для встроенных систем часто содержат флаг для отключения исключений. Но их отключение имеет свою цену, поскольку Стандартная Библиотека Шаблонов активно использует исключения для информирования об ошибках. И отказ от исключений требует от разработчиков на С++ определённых навыков в выявлении возможных причин ошибок и поиске багов.

Один из принципов С++: «Ты не платишь за то, что не используешь». В других языках ещё хуже обстоят дела с увеличением размера кода за счет добавления разнообразной полезной функциональности, которую не могут позволить себе встроенные системы. И хотя язык С этими возможностями не обладает, объем кода получается куда меньше.

Почему стόит изучать С

Этот язык не труден в изучении, поэтому вам не придётся лезть вон из кожи. Какие вы получите преимущества, освоив С?

Лингва франка. Как уже упоминалось выше, С является своеобразным «универсальным» языком для разработчиков. Многие реализации новых алгоритмов в книгах и на сайтах предоставляются сперва, либо же исключительно, на С. Это позволяет максимально широко их портировать. При этом некоторые программисты, не знакомые с базовыми концепциями С, испытывают сильные затруднения при «конвертации» С-алгоритмов в другие языки программирования.

Поскольку С — язык старый и широко распространённый, то в сети можно найти практически любые необходимые алгоритмы, написанные на нём. Так что знание С открывает перед разработчиком немало возможностей.

Понимание машины. Зачастую, когда разработчики обсуждают поведение того или иного участка кода или функционала в других языках, то разговор ведётся в «терминах С»: Здесь передаётся только указатель на объект, или он копируется целиком? Возможно ли, что здесь есть какое-либо приведение? И т.д.

При анализе поведения кода высокоуровневого языка мало кто дискутирует в терминологии команд ассемблера. Когда мы обсуждаем действия машины, то обычно говорим (и думаем) на С.

Работа над многими интересными проектами, созданными на С. На этом языке создано много любопытных проектов, от больших СУБД и ядер ОС до маленьких приложений для встроенных систем. Стόит ли отказываться от работы с продуктами, которые вам нравятся, только потому, что вы не изучили старый, компактный, мощный и проверенный временем язык программирования?

Заключение

Миром правят не иллюминаты, а программисты на С.

Не похоже, чтобы старичок С начал сходить со сцены. Его близость к «железу», превосходная портируемость и детерминированное использование ресурсов делают С идеальным выбором для низкоуровневой разработки ОС и встроенного ПО. Универсальность, эффективность и хорошая производительность очень важны при создании приложений, осуществляющих сложные манипуляции с данными, вроде БД или 3D-анимации. Да, существует много языков, которые в каких-то задачах использовать выгоднее, чем С. Но по суммарной совокупности преимуществ у С вряд ли есть конкуренты. По производительности С до сих пор остаётся непревзойдённым.

Мир наполнен устройствами, чьё ПО написано на С. Эти устройства ежедневно используют миллиарды людей. Не надо снисходительно относиться к этому языку: он очень активно используется по сей день и, судя по всему, будет использоваться ещё очень долго в самых разных сферах.

Источник: http://habrahabr.ru

 

Классическая схема включения услуг Интернет в многоквартирном жилом доме выглядит следующим образом: ТКД (точка коллективного доступа) — витая пара — роутер в квартире клиента, к которому подключены клиентские устройства по проводу и по Wi-Fi.

Характерные жалобы абонентов – скорость ниже тарифа, и возникают регулярные «замирания» при работе в интернете, что выражается долгим открыванием страниц в браузере, прерываниями видео, потерей связи с игровыми серверами и т.д. Данное поведение носит нерегулярный характер, а наиболее часто возникает в часы наибольшей пользовательской активности примерно с 18:00 до 23:00 в зависимости от города.

Есть несколько простых шагов, которые позволят определить возможную причину подобных проблем и решить 90% пользовательских ситуаций. Они ниже.

Первый логичный шаг – проверка скорости.
Для выполнения данного пункта следует минимизировать количество транзитных устройств, через которые подключен интернет в квартире. В идеале стоит подключить кабель оператора напрямую в компьютер и настроить на нём соединение. После этого проверить скорость на ресурсах, предоставляющих подобный сервис, например, speedtest.net. Это специальный сервис, способный отдавать данные с высокой скоростью – чего, увы, нельзя сказать обо всех ресурсах в Интернете.

Если удалось достигнуть скорости, близкой к указанной по тарифу, значит проблем с оборудованием оператора и кабелем до квартиры нет. Если скорость существенно ниже, соединение постоянно разрывается, следует обратиться в техническую поддержку провайдера для проведения диагностики со стороны оператора и, возможно, ремонта.

Обратите внимание, что у всех «домашних» договоров всегда есть формулировка в духе «до 10 Мбит/с», где самая важная часть – «до». Без этого предлога возможны только корпоративные договоры, где полоса гарантируется: за эту гарантию вы платите примерно в 2-3 раза больше. Но, тем не менее, разница больше чем в 5-7% со скоростью тарифа, повторяющаяся при прямом соединении в разное время суток – это проблема провайдера.

Второй шаг — диагностика роутера
Предположим, «напрямую» скорость вы получили нормальную. Теперь нужно смотреть на промежуточные устройства. Существуют довольно старые модели роутеров, которые до сих пор эксплуатируются пользователями. У данных моделей есть существенные ограничение в производительности, которые не позволяют им реализовывать туннельные соединения (L2TP/PPTP) на скоростях выше 20-30 Мбит/сек. Примером таких роутеров являются DIR-300, ASUS WL-520 и другие. К сожалению, решить проблему со скоростью в данной ситуации поможет только замена роутера на более производительный, либо применение бестуннельного решения, если таковое есть у вашего оператора связи.

Кстати, мы уже скоро собираемся переходить на IPoE вместо L2TP.

Третий шаг – настройки роутера
Одна из первых задач — свести к минимуму борьбу с пытливыми умами соседей, которые пытаются найти возможность «халявы» при помощи стандартных настроек, дефолтных паролей и так далее. Обычно соседи теряют интерес к чужой сети, если не удалось поломать сразу. Если же им удается к ней подключиться, то часть проблем у клиента возникает из-за того, что «паразитные» включения генерят большое количество трафика (те же торренты).

Существует несколько простых рекомендаций по настройке домашнего роутера.

  • На DHCP минимизировать сеть пользователей с 255 хостов до минимального количества устройств +3-5 гостевых путем сетевой маски /27 – 32 хоста, /28 – 16 хостов, /29 – 8 хостов. Рекомендую выбрать /28, т.к. вряд ли у вас будет более 16 устройств в домашней сети.
  • Выбрать адрес роутера не вначале и не в конце сети, например, для сети 192.168.0.0/28 (255.255.255.240), адрес роутера задать 192.168.0.8. Рекомендуемая сеть 192.168.10.32/28 (255.255.255.240), адрес роутера 192.168.10.40. На роутер приклеить новый адрес роутера.
  • Домашним устройствам сопоставить связки MAC+IP в DHCP-пуле, чтобы устройства были жестко привязаны. Настроить ограничение доступа к Wi-Fi по MAC-адресам ваших устройств (но тогда гости у вас дома не смогут подключаться или также придется прописывать MAC-адреса их беспроводных устройств).
  • Сменить пароль администратора для доступа к роутеру, в качестве пароля использовать не менее 8 символов с учетом смены регистра, а также цифр и символов. Логин-пароль администратора сразу стоит записать куда-нибудь в надёжное место; после таких операций у нас всегда много обращений «как сбросить пароль».
  • Настроить Wi-Fi: скрыть SSID, установить шифрование WPA2, ввести пароль более 8 символов с учетом регистра и цифр/букв.

Проверить тип шифрования у клиентской части в Windows можно в параметрах Беспроводного соединения — Закладка беспроводные сети – выбрать сеть – Свойства – Проверка подлинности (WPA2-PSK),

Четвёртый шаг – выбор канала
После того, как роутер был настроен, необходимо обратить внимание на используемый Wi-Fi канал, на котором работает роутер и беспроводные клиенты. Многие операторы связи при подключении своих клиентов сразу выдают роутер в придачу. Таким образом почти в каждой квартире, подключенной к интернету, есть по беспроводному устройству Wi-Fi.

Сейчас подавляющая часть оборудования Wi-Fi работает в частоте 2,4 ГГц, всего на данной частоте есть 14 каналов на которых могут работать беспроводные устройства. Помимо частоты значимыми параметрами являются соотношение сигнал/шум, мощность сигнала и ширина полосы. Если все устройства будут работать на одном канале, то между ними будут возникать конфликты, что для пользователя будет выглядеть как регулярные «фризы», т.е. замирания при открытии ресурсов в браузере или прерывания в трансляции видео и звука.

Поэтому необходимо выбрать канал, на котором наименьшее количество конкурентов с уровнем мощности сигнала близки к вашему. Еще одним вариантом может быть «перевод» беспроводных устройств в диапазон 5 ГГц, но для этого должна быть техническая возможность у роутера и у самих беспроводных устройств.

Утилиты, которые помогут проанализировать занятость каналов — это Wi-Fi Explorer для Mac, или inSSIDer для PC.

На скриншоте программы WiFi Explorer видно, что две сети Asus293 и r-r-r…miau близки по уровню сигнала друг к другу и может возникать конфликт, но они находятся на разных каналах, первая сеть на 11, вторая на 12 канале, что решает проблему.

Резюме
Не стоит особо беспокоиться по поводу расположения роутера в квартире относительно окон или влияния микроволновки: достаточно редко это вызывает какие-то проблемы. Роутер рекомендуется размещать «посередине» квартиры с приоритетом размещения к наиболее частой точке работы с беспроводными устройствами, например в гостиной или кабинете, а не кухне или в шкафу в коридоре. С точки зрения конфликтов устройств в моем опыте был лишь один случай, когда у абонента шел радиошум в диапазоне 2,4ГГц при подключенном по Bluetooth саундбаре Samsung HW-H450, выступающим в роли музыкального центра. Выявить это удалось только опытным путем.

Регулировку мощности сигнала в обычных случая делать не требуется. В многокомнатных квартирах с бетонными стенами иногда бывает важно изучить радиоэфир утилитами вроде приведённых выше, чтобы принять решение об увеличении мощности сигнала.

По статистике порядка 90% обращений было решено такими нехитрыми способами.

Источник: habrahabr.ru