РЕКЛАМА
ИНФОРМАЦИЯ
ПОЛЕЗНЫЕ ССЫЛКИ
ASUS Pocket Wireless Access Point (WL-330): карманная точка доступа и WLAN-адаптер

Руководство по решению проблем: клиент IPsec в WinXP действительно работает

U.S. Robotics Secure Storage Router Pro: скоростной маршрутизатор с VPN и файловым сервером

Rambler's Top100 Рейтинг@Mail.ru

СЕТИ

Маршрутизатор ASUS Internet Security Router SL1000
Краткое содержание статьи: В нашу лабораторию поступил новый маршрутизатор, обладающий уникальными свойствами. Впервые для продукта класса SOHO мы получили высокую производительность маршрутизации и непревзойдённую пропускную способность туннелей VPN. Действительно, Asus готовит мощный осенний удар по рынку потребительских маршрутизаторов - а мы предлагаем ознакомиться с результатами тестирования предварительной версии.

Маршрутизатор ASUS Internet Security Router SL1000


Редакция THG,  12 июня 2004
Назад
Вы читаете страницу 2 из 4
1 2 3 4
Далее


Дополнительные функции

С точки зрения функциональности, SL1000 буквально напичкан различными возможностями, по крайней мере, для большинства пользователей SOHO. В частности, настройка multi-NAT оказалась довольно сложной, поскольку SL1000 поддерживает пять режимов NAT (Network Address Translation - Трансляция сетевых адресов):

  • статический (один к одному) NAT;
  • реверсивный статический NAT;
  • динамический NAT (m к n);
  • NAPT (трансляция адресов и портов) / PAT (трансляция портов Port Address Translation);
  • Реверсивная трансляция NAPT/ виртуальный сервер (Reverse NAPT/Virtual Server).

Режим NAPT/PAT представляет собой то, что можно встретить в большинстве потребительских маршрутизаторов, и позволяет использовать один IP-адрес для выхода в сеть нескольких клиентов. Реверсивный NAPT - это всего лишь технически правильное название привязки портов или функции виртуального сервера, использующихся в маршрутизаторах уровня SOHO - эта функция позволяет предоставлять доступ к серверам, находящимся в сегменте LAN, из Интернета.

SL1000 - это не первый маршрутизатор с возможностью multi-NAT, попавший к нам, но его интерфейс легко может сбить с толку. В то время как другие продукты для привязки групп локальных адресов к нескольким внешним адресам используют отдельный экран, ASUS решила объединить статический и динамический режимы NAT в правила списков доступа ACL (Access Control List), использующихся для ограничения данных, проходящих через межсетевой экран.

Такой способ позволяет более эффективно использовать и управлять несколькими внешними IP-адресами, которые могут быть у вас, но, в то же время, без необходимости усложняет настройку для большинства пользователей с одним адресом. Настройка осуществляется в разделе брандмауэра, подробнее на этом мы остановимся позже.

Ещё одна интересная возможность, по крайней мере, для нас, заключается в правилах доступа к маршрутизатору (Self Access). Вообще, в отношении безопасности ASUS не в чем упрекнуть, включая доступ непосредственно к движку маршрутизации SL1000! Предустановленные правила показаны на Рис.5. Как видно, клиентам LAN разрешается пользоваться административным интерфейсом (TCP 80 - Web и TCP 23 - Telnet) и даже некоторыми службами, типа DNS (UDP 53). Для большинства пользователей полезной оказалась бы а колонка с пояснением назначений протокола/порта, по которому планируется разрешить/запретить доступ к маршрутизатору. Отметим и такую неприятную деталь, как невозможность отключения правил доступа, то есть запрета доступа и из LAN, и из WAN, для этого требуется удалять правило, что не всегда удобно.

Дополнительные функции

Рис. 5. Правила доступа к маршрутизатору.

Отметим, что снаружи открыты только два порта: UDP 500 (ISAKMP) и 520 (RIP), поэтому для открытия других портов WAN необходимо настроить соответствующие правила - в том числе, и для администрирования SL1000 снаружи. Хотя это позволяет дополнительно повысить уровень безопасности, в то же время, перед нами функция, которая осложняет то, что должно быть заведомо простым.

Межсетевой экран

Межсетевой экран SL1000 - это, пожалуй, наиболее мощная и сложная в настройке часть маршрутизатора. Весь трафик, проходящий через маршрутизатор - как входящий, так и исходящий - контролируется списками правил доступа (Access Control List - ACL). Списки используются как для фильтрации по порту/службе, так и для привязок портов/виртуальных серверов. Они также используются и для настройки multi-NAT.

Такое решение, вероятно, покажется удобным для тех, кто ранее имел дело с межсетевыми экранами и маршрутизаторами NAT уровня предприятия. Но те, кто видел лишь устройства уровня SOHO, могут запутаться при поиске экрана настройки списков доступа, на котором содержатся дополнительные и, в принципе, не нужные для большинства сценариев параметры. Однако положительным моментом здесь является то, что списки доступа позволяют точно определять каким пакетам куда разрешено "ходить". С другой стороны, при настройке придётся определять ACL даже в тех случаях, когда это абсолютно не требуется в других продуктах.

На экране управления списками входящего трафика (Рис.6), который используется для открытия портов для внутренних серверов, можно увидеть почти все функции брандмауэра.

Нажмите для увеличения изображения

Рис.6. Правила входящего трафика.

Фильтрация портов (контроль доступа) настраивается на экране списков ограничения исходящего трафика (Рис.7), который, по сути, не отличается от экрана входящего трафика. Нам пришлось настроить показанные ниже правила, чтобы трафик VPN смог проходить через межсетевой экран SL1000 (подробнее остановимся на этом позже).

Межсетевой экран

Рис.7. Правила исходящего трафика.

В сравнении с тем, что обычно можно увидеть на странице привязок портов, страница SL1000 ACL позволяет настроить много больше. На Рис.6 показан ACL, в котором разрешён доступ из Интернета на сервер FTP с внутренним IP-адресом 192.168.2.11, находящемся в сегменте LAN.

Правила ACL позволяют предусмотреть практически все ситуации, которые могут произойти с пакетом при прохождении его через межсетевой экран. Ниже приведён список того, что можно выбрать для каждого селектора.

  • Адрес источника (Source IP): Любой (Any, IP), Подсеть (Subnet), Диапазон (Range), Пул IP-адресов (IP Pool)
  • Адрес узла назначения (Destination IP): Любой (Any, IP), Подсеть (Subnet), Диапазон (Range), Пул IP-адресов (IP Pool)
  • Порт источника: Любой (Any), Одиночный (Single), Диапазон (Range)
  • Порт назначения: Любой (Any), Одиночный (Single), Диапазон (Range), Служба (Service)
  • NAT: Не используется (None), IP-адрес (IP address), Пул NAT (NAT Pool)

Если не выбирать Службу (Service) для порта назначения в примере с FTP, то придётся воспользоваться селектором Протокола (Protocol) , позволяющим выбрать один из следующих пунктов: Все(All), TCP, UDP, ICMP, AH и ESP. Список доступа исходящего трафика выглядит почти так же, за исключением того, что селектор NAT позволяет выбрать ещё и Интерфейс (Interface) .

Здесь следует объяснить некоторые термины. Пул IP-адресов (IP pool) определяет группу IP-адресов, которые задаются подсетью, диапазоном или даже одним IP-адресом - последняя опция довольно удивительна. Вообще, мы бы хотели получить возможность задания списка IP-адресов, а не диапазонов. Пул NAT - ещё одна опция, позволяющая задавать группы IP-адресов LAN и WAN, которые используются в конфигурации Multi-NAT.

Фильтры приложений (Application Filters) могут быть связаны со списками ACL для фильтрации команд FTP и SMTP, расширений файлов HTTP и служб RPC. То есть для фильтров FTP, SMTP и RPC маршрутизатор SL1000 позволяет пропустить или запретить команды, соответствующие фильтру, в то время как у протокола HTTP - только заблокировать файлы с определёнными расширениями.

Межсетевой экран

Рис. 8. Пример фильтра HTTP.

На Рис. 8 показан фильтр HTTP, который блокирует расширения .java, .jar и .swf (Flash).

Обратите внимание, что вы можете включить журнал ACL (Log), а также применять ACL и к трафику, проходящему через туннель IPsec.

Введя необходимые фильтры, вы также можете использовать функцию расписания (Time Ranges), которая позволяет привязывать один из трёх запрограммированных промежутков времени к любому правилу ACL. Однако промежутки задаются просто днём "от" и днём "до", включая точное время, - для некоторых пользователей это покажется слишком ограниченно.

Мы ещё пропустили шлюз уровня приложения (Application Layer Gateway, ALG), поскольку он не имеет настроек в административном интерфейсе. ALG представляет собой динамические привязки портов, которые включаются при прохождении определенных исходящих пакетов. Довольно полезная функция для приложений типа игр или видеоконференций, когда необходимо динамически открывать порты на брандмауэре маршрутизатора. Вообще, мы эту функцию не тестировали, так что оставим корректность её работы Asus.

Пожалуй, единственное, что невозможно сделать при помощи списков доступа, - это ограничение содержания, которое настраивается средствами относительно недоработанной функции фильтрации URL (Рис.9), надеемся, с выходом новых прошивок ситуация изменится.

Межсетевой экран

Рис.9. Фильтрация URL.

Всего допускается задать до десяти строк по 15 символов, после чего фильтры можно редактировать или удалять, но нельзя отключать. При срабатывании фильтра браузер отобразит сообщение "Access Denied by ASUSTeK Internet Security Router". Фильтр срабатывает тогда, когда строка символов обнаруживается в любой части запрошенного URL. Однако мы заметили, что фильтры можно достаточно просто обходить, указав IP-адрес сайта вместо URL.

Встроенный фильтр атак DoS, по сути, позволяет настроить возможности SPI (Stateful Packet Inspection). Кнопка помощи (Help) выдаёт короткие, но информативные описания каждого пункта, большинство из которых отключены по умолчанию, как показано на Рис.10.

Межсетевой экран

Рис.10. Экран фильтра DoS-атак.

Единственный "exploit" которым мы решили проверить эту функцию, - это сканер портов, при помощи него мы просканировали порт WAN у SL1000. Атака была занесена в журнал.

Даже при таком огромном наборе функций брандмауэр SL1000 всё же не позволяет реализовать некоторые возможности. Например, здесь нет функции loopback, то есть возможности доступа внутренних клиентов к внутренним серверам по их внешним адресам (или доменным именам).

С точки зрения использования функций, хотелось бы увидеть возможность отключения правил доступа вместо необходимости их удалять. Подтверждение перед удалением правила тоже не было бы лишним.

Вам придётся долго привыкать к интерфейсу и навигации по такому морю настроек. Например, что нам не понравилось, при настройке списков доступа необходимо указывать WAN IP маршрутизатора в качестве адреса узла назначения (Destination IP) для входящих правил ACL. Поскольку большинство провайдеров присваивают IP-адреса динамически, эти правила могут перестать работать при смене адреса или установлении нового подключения PPPoE. Было бы гораздо удобнее указать только порт для соединения WAN, вместо указания ещё и IP-адреса.

К чести ASUS, компания пытается решить проблемы при помощи подробных описаний каждой функции с наглядными примерами в бумажной версии руководства пользователя. Кроме того, есть онлайновая справка, которая в некоторых случаях нам показалась более полезной, чем бумажное руководство. ASUS сообщила, что готовится ещё одно руководство и вопросы-ответы, которые планируется предоставить для общего доступа с выходом SL1000 в продажу.

Удалённый доступ

Перед тем, как перейти к функциям VPN, потратим ещё пару минут на особенные функции SL1000. Удалённый доступ (Remote Access) представляет собой простое незащищённое соединение, устанавливаемое при помощи аутентификации по имени пользователя и паролю, которое используется для контроля клиентов LAN и доступа к службам локальной сети со стороны WAN.

Вы получаете своеобразный выбор между полным отсутствием безопасности и туннелем VPN, и, как только настройка выполнена, она может стать достаточно полезной. Однако следует помнить, что имя пользователя и пароль передаются в открытом виде, поэтому этот способ не следует использовать там, где необходима повышенная безопасность. Поддержка протокола HTTPS оказалась бы очень кстати. К тому же возможность подключения через SSH тоже бы прибавила плюсов данному маршрутизатору.

Удалённый доступ

Рис.11.Настрока пользователей и групп.

На Рис.11 показано, как можно задавать группы (Groups), указывать пользователей (Users) и назначать им пароли. После создания пользователя или группы вы в любой момент можете удалить запись или временно заблокировать доступ. Также для группы можно указать список доступа ACL для определения доступных служб (списки отличаются от рассмотренных ранее списков входящего и исходящего трафика лишь наличием ещё одного параметра Группа (Group)).

После настройки всего этого хозяйства, удалённый пользователь может перейти по определённому URL, после чего он попадёт в систему авторизации маршрутизатора. Затем пользователь может обратиться к службам или клиентам LAN, указанным в списке доступа.

Хотя подобное решение достаточно интересно, в его реализации мы обнаружили ряд проблем. Правило доступа, указанное нами для получения доступа к общим файлам Windows, не потребовало аутентификации для его включения, однако групповое ограничение доступа к FTP работало, как ему и положено. Мы также заметили, что после однократного ввода имени пользователя и пароля в окне Internet Explorer нам не потребовалось вводить их снова после выхода, до тех пор, пока мы не закрыли браузер. Всё, что требовалось, - снова щёлкнуть по ссылке страницы авторизации, после чего правило активировалось.

Можно использовать удалённый доступ и через туннель IPsec, но, честно говоря, у нас так и не хватило терпения настроить эту функцию.

Возможности VPN

Одна из уникальных возможностей SL1000, которая, вероятно, привлечёт внимание многих потенциальных покупателей, - это феноменальная производительность VPN. Обратимся сначала к настройкам туннеля.

SL1000 поддерживает до двадцати пяти туннелей IPsec между двумя маршрутизаторами или между маршрутизатором и удалённым пользователем. На Рис.12 показаны параметры настройки при использовании пароля (Pre-shared Key), а на Рис. 13 - параметры ручного задания ключа.

Нажмите для увеличения изображения

Рис.12. Пример настройки VPN между двумя маршрутизаторами.

Нажмите для увеличения изображения

Рис.13. Настройка туннеля с указанием ключей вручную.

Вместо того чтобы сделать отдельные переключатели для параметров IKE и IPsec, здесь используются выпадающие меню с предустановками. Насколько мы можем судить, все комбинации, которые могут потребоваться, в списке присутствуют, но используемая терминология не позволяет с ходу разобраться, что есть что.

Для IKE с паролем (Pre-shared key) можно использовать шифрование DES или 3DES совместно с аутентификацией SHA-1, MD5 или Diffie-Hellman Groups 1, 2 или 5. IPsec может использоваться как без шифрования, так и с шифрованием DES или 3DES, что касается аутентификации, то здесь также можно её не использовать, а можно воспользоваться SHA-1 или MD5, а также инкапсуляцией данных в пакеты AH или ESP.

Интерфейс позволяет указать ещё ряд редко встречающихся параметров, например Chained Authentication Header и Xauth (они скрыты в разделе настроек Aggressive IKE), а также Perfect Forward Secrecy (PFS). Мы не увидели переключатель, включающий широковещание NetBIOS, которое необходимо для просмотра сети Windows (Сетевое окружение). Но вам ничто не мешает установить сервер WINS в одном из сегментов и настроить правила для разрешения имён и репликации листа работающих машин. Иначе, вам нужно знать IP-адреса компьютеров, на которых созданы общие ресурсы, или настроить фильтры входящего и исходящего трафика на пропускание NetBIOS (протоколы TCP и UDP, порты 135, 137-139 и 445). Следует отметить, что аутентификация с использованием сертификатов не поддерживается.

Пока речь идёт о списках доступа и туннелях IPsec, скажем ещё об одной возможности SL1000, которую мы не видели ни у одного другого устройства класса SOHO со встроенным сервером VPN. Мы потратили достаточно много времени, чтобы настроить туннель, поэтому считаем, что необходимо об этом рассказать.

После установки туннеля IPsec, необходимо настроить списки доступа для входящего и исходящего трафика, чтобы он смог передаваться по туннелю.

И снова здесь мы встречаем пример усложнённой функции, хотя можно было бы сделать её и проще.

Как мы уже упоминали ранее, SL1000 позволяет устанавливать туннели как между сетями (маршрутизаторами), так и между маршрутизатором и удалённым клиентом. При использовании туннеля с удалённым клиентом появляется переключатель групп пользователей (User Group), после чего требуется настроить виртуальный IP для VPN в разделе Удалённый доступ (Remote Access). В общем, от всего этого голова может пойти кругом.

К тому же, SL1000 позволяет создать защищённое подключение удалённых пользователей к вашей локальной сети и в режиме двух маршрутизаторов, но для этого необходимо использовать клиентское приложение VPN. Мы взяли старую версию клиента Sentinel, с помощью которой создали туннель между маршрутизатором и ноутбуком под управлением WinXP.

Совет Совет:: Раньше клиенты VPN стоили ужасно дорого. Но NETGEAR VPN01L (с одной лицензией) или VPN05L (5 лицензий - по сути, розничная версия клиента SafeNet IPsec) предлагаются за весьма умеренную цену (около $40). Если же вы использовали продукты Cisco (и являетесь зарегистрированным пользователем), тогда можете скачать VPN-клиента в реализации этой компании.

Если у вас достаточно терпения, то можно попытаться настроить встроенного клиента IPsec, входящего в состав ОС WinXP/2000, - нам удалось это сделать, но при этом необходимо использовать статические IP-адреса на обоих концах туннеля. Довольно редкая ситуация для мобильных клиентских подключений.

Совет Совет:: подробнее узнать о настройке встроенного клиента IPsec для WinXP можно в нашем руководстве по решению проблем.

Найти ошибки в настройке туннеля IPsec между клиентом и сервером будет проще, если использовать подробную запись процесса настройки VPN. К сожалению, SL1000 не сможет в этом помочь. Конечно, можно использовать встроенную страницу, отображающую события, но мы рекомендуем использовать сервер syslog. Хотя оба способа представляют данные в своём формате, весьма неудобном для чтения.

В заключение, если вы не можете, или не желаете использовать встроенный сервер IPsec VPN SL1000, можно настроить пропускание туннелей VPN, использующих протоколы IPsec, PPTP или L2TP. Если вы хотите заменить SL1000 другим сервером VPN IPsec, то достаточно настроить список доступа входящего трафика, чего нельзя сделать ни для PPTP, ни для L2TP.

Производительность VPN

Выше мы уже восхищались высокой производительностью VPN у SL1000, однако сейчас пришло время обратиться непосредственно к результатам. Рис.14 и 15 говорят сами за себя!

Нажмите для увеличения изображения

Рис.14. Производительность VPN между маршрутизаторами SL1000 и SL500.

На Рис. 14 показаны графики пропускной способности туннеля между маршрутизаторами SL1000 и SL500 при передаче данных от удалённого узла на локальный и наоборот. Оба теста проводились при отсутствии другой активности на маршрутизаторах. Сразу видно, что средняя пропускная способность туннеля составляет около 30 Мбит/с, но заметны также и временные паузы, снижающие среднее значение до 22-25 Мбит/с.

Вероятно, вы заметили странное увеличение скорости работы примерно на тридцатой секунде теста пропускной способности для сценария передачи данных с удалённого узла на локальный (синяя линия), пока мы не можем найти ему объяснение.

Нажмите для увеличения изображения

Рис.15. Производительность VPN между маршрутизатором SL1000 и клиентом Sentinel.

На Рис. 15 показаны графики пропускной способности с удалённого узла на локальный и обратно, но уже с использованием клиента SSH Sentinel (Version 1.3.2 build2), работающего на ноутбуке Dell Inspiron 4100 под управлением WinXP. Пропускная способность в обоих направлениях более постоянна, хотя паузы по-прежнему встречаются.

Согласно документации ASUS, SL1000 способен обеспечить пропускную способность "80 Мбит/с для VPN, 100 Мбит/с при использовании брандмауэра и 90 Мбит/с при - использовании NAT". Как и в случае с другими производителями, мы ожидали, что здесь указаны значения суммарной скорости, а возможно, даже внутренней скорости обработки пакетов. Но суть не в этом. Полученные нами 30 Мбит/с - это лучшее, что нам доводилось когда-либо встретить в маршрутизаторах со встроенными серверами VPN, и удивительно, что такие возможности предоставляет устройство стоимостью около $150 (SL500)! Сегодня данные продукты в Москве можно встретить по цене 110$ за SL500 и 160$ за SL1000.

Кстати, запуск Qcheck показал практически нулевое время отклика при использовании туннельного соединения. Мы пробовали просматривать web-страницы, проверять электронную почту, а также проводить и иные операции во время тестирования туннелей Chariot, но мы не заметили какого-либо влияния на результаты Chariot или задержек в работе.

Журналирование и другие функции

SL1000 имеет довольно хорошие возможности по журналированию, но, опять же, здесь главной проблемой является интерфейс. Встроенная страница журнала (Log) на Рис. 16 не может быть очищена, а новые записи добавляются в нижней её части.

Журналирование и другие функции

Рис. 16. Страница журнала.

На странице журнала можно определить основные категории событий, которые будут отображаться. Как мы уже отмечали выше, вы также можете заносить в журнал события правил ACL. Оповещения по электронной почте не отсылаются, однако вы можете поставить опцию отсылать журнал по почте при достижении размера в 128 кбайт. Мы эту опцию не проверяли, но использовали возможности работы с сервером syslog.

На Рис. 16 вы можете заметить неправильное время. Здесь всё дело в ошибке работы функции, которая должна выставлять часы SL1000 по внешнему NTP-серверу. Asus заверила нас, что эта ошибка будет решена в будущей версии прошивки. Отметим, что до сих пор (версия 1.1.30a.410) очень странно корректируется время.

Помимо журнала, для межсетевого экрана используется отдельная страница статистики, где показаны активные подключения, включая порт и протокол. Подобная страница существует и для VPN, но там отображается уже статистика по пакетам, а также параметры IKE и IPsec.

Для завершения обзора возможностей SL1000 приведём список того, что мы подробно не рассмотрели:

  • до пятидесяти статических маршрутов;
  • поддержка динамического DNS - клиенты dynsns, zonedit и dns-tokyo;
  • сервер DHCP, позволяющий устанавливать время аренды, но не разрешающий выполнять постоянную привязку IP-адресов по MAC-адресам клиентов (исправлено в прошивке 1.1.30a.410);
  • возможность записывать и восстанавливать конфигурацию SL1000 (возможны переносы конфигурации даже с SL1000 на SL500 и обратно).

При подобном обилии функций можно было бы ожидать наличия VLAN и управления потоками в сети в зависимости от портов и протоколов, но Asus остановилась в какой-то момент, поэтому этих функций у SL1000 нет. Следует отметить, что этой функции нет именно в WEB-интерфейсе маршрутизатора. При детальном изучении настроек через терминалы можно обнаружить ещё некоторые интересные функции.
Назад
Вы читаете страницу 2 из 4
1 2 3 4
Далее


СОДЕРЖАНИЕ

Обсуждение в Клубе Экспертов THG Обсуждение в Клубе Экспертов THG


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
Компьютерный сервис: сколько стоит в чите переустановить виндовс, подробнее тут.
Ремонт телевизоров в Домодедово на https://youdo.com/lp-remont-televizorov-v-domodedovo/.
Смотрите: оптимизация компьютера вайо, ссылка на описание.