Введение
Проблемы фильтрации трафика на разных уровнях всегда решались с помощью маршрутизаторов или же специально выделенных брандмауэров. В нашу лабораторию для тестирования попал коммутатор второго уровня ZyXEL ES-3124, содержащий 24 Ethernet-порта со скоростями 10/100 Мбит/с и 4 гигабитных порта Ethernet. Он умеет фильтровать пользовательские данные по спискам доступа вплоть до транспортного уровня и многое-многое другое. Рассмотрим возможности ZyXEL ES-3124 подробнее.
Внешний вид
Коммутатор ES-3124 выполнен в 19″ формате, что позволяет монтировать его в телекоммуникационную стойку. Габариты 44 x 475 x 270 мм.
На передней панели устройства расположены световые индикаторы, сигнализирующие о подаче питания, работе системы, ошибках, а также информирующие о статусе каждого Ethernet-порта. На передней панели расположены и 24 10/100 Мбит/с порта (RJ-45) и два порта для скоростей 1Гбит/с (100/1000), позволяющие осуществлять как подключения с использованием медного кабеля, так и оптического волокна. Наконец, отметим два порта со скоростями 1 Гбит/с для стекирования. Допустимо осуществлять объединение в стек до 8 устройств. Кроме этого, есть консольный порт для управления коммутатором и порт MGMT для тех же целей, но уже для управления по Ethernet.
Питание подводится на заднюю панель коммутатора. Используется внутренний блок питания, но допустимо и использование второго (резервного) внешнего источника питания. Почему бы ни сделать такой же вход, как и для основного источника?
На одной из боковых стенок закреплены вентиляторы, охлаждающие электронную начинку устройства, на противоположной стороне расположены лишь вентиляционные отверстия.
Железная анатомия
Мы не смогли отказать себе в удовольствии разобрать корпус, поэтому предлагаем вашему вниманию внутреннее устройство коммутатора.
Судя по размещению вентиляторов, а также форме радиаторов платы и блока питания, можно сказать, что наиболее тепловыделяющим элементом является система питания. На самой плате коммутатора установлено несколько радиаторов, однако отсутствуют вентиляторы. На приведённых ниже фотографиях можно разглядеть все сетевые элементы устройства: Ethernet-порты, световые индикаторы, Ethernet-порт управления и консольный порт, а также два слота для установки оптических адаптеров.
На плате мы обнаружили также некую кнопку, обозначенную “S1”, и 10-контактный вывод, расположенный рядом с чипом Altera EPM3128ATC144-10, назначение которых для нас осталось загадкой. Возможно, разъём используется для перепрошивки EPM3128ATC144-10.
В качестве сетевого процессора использован Intel FWIXP420BB (L4520230), работающий на частотах 266, 400 и 533 МГц. Его фотография, характеристики и диаграмма приведены ниже.
- Member of the IntelR IXP4XX product line for residential and small-to-medium enterprise (SME) applications
- Intel XScale core at 266, 400 and 533 MHz commercial temperature and 266 MHz extended temperature
- Two integrated 10/100 Base-T Ethernet MACs with MII interface for design flexibility and cost effective wire-speed performance
- 33/66 MHz PCI v2.2 host and option interface for glueless connection of up to four devices
- SDRAM controller supports from 8 to 256 Mbytes of SDRAM memory
- Low system power consumption (1.0 – 1.5 Watt typical)
- USB version 1.1 device controller
- Two high-speed UARTS: can support 921 Kbaud each
- Sixteen GPIO pins
- 16-bit configurable expansion bus
- Commercial temperature (0° to 70° C)
Выбор флэш-памяти пал на Intel TE28F320. Официального описания этого чипа мы, к сожалению, не нашли, однако установили, что Linksys также использует этот чип памяти в своих беспроводных маршрутизаторах WRT54G некоторых ревизий, а объём памяти равен 4 Мбайт.
В качестве оперативной памяти использованы чипы от Samsung K4D263238F-QC50, а для памяти сетевого процессора используются чипы от Winbond W981216DH-75.
Загрузка
Посмотрим за процессом загрузки устройства. Для этого подключим консольный кабель и воспользуемся программой Terra Term для получения выводимой коммутатором информации. Весь процесс загрузки занимает около 50 секунд. При этом на тестирование 32 Мбайт памяти уходит порядка 8 секунд. Весь лог процесса загрузки приведён ниже (убраны лишние переводы строк).
Попробуем теперь получить доступ к коммутатору, используя Internet Explorer. Для этого мы на своём ПК настроили адрес сетевого адаптера 192.168.0.2/24 и подключили кабель к порту MGMT. В описании сказано, что доступ к устройству можно получить либо с порта MGMT по адресу 192.168.0.1/24, либо с коммутируемых портов по адресу 192.168.1.1/24. Итак, начнём. Чтобы аутентифицироваться, вам требуется ввести логин “admin” и пароль “1234”.
После входа мы попадаем на первую страницу, на которой указана информация о портах коммутатора.
Обновление прошивки
И как всегда, мы начнём с того, что попытаемся обновить версию прошивки: мы хотим получить возможность использовать самые последние нововведения. На коммутаторе, поступившем к нам, была установлена версия прошивки ZyNOS F/W Version: V3.60(TP.1) 05/26/2005. На сайте компании мы обнаружили доступную для скачивания версию ES-3124_V3.60(TP.2)C0_Standard для ES-3124 и ES-3124PWR_V3[1].60(TY.3)C0_Standard для ES-3124PWR. Проследим за процессом обновления прошивки до версии ES-3124_V3.60(TP.2)C0_Standard, для чего переходим в раздел “Management-Maintenance-Firmware Upgrade” и выбираем нужный файл с прошивкой из архива.
Теперь версия микропрограммного обеспечения, инсталлированного в устройство, равна V3.60(TP.2) 09/21/2005. Разумеется, мы подглядывали за обновлением через консольный порт. Ниже представлен лог обновления и последующей перезагрузки.
Кроме обновления через web-интерфейс, существует возможность обновить прошивку с использованием FTP-сервера коммутатора.
Обзор возможностей web-интерфейса
Хотим сразу отметить, что доступ к настройкам через web возможен с использованием двух протоколов: HTTP и HTTPS. При входе через HTTPS браузер Opera (версия 8.5, сборка 7700) сообщает параметры электронного сертификата устройства.
Посмотрим, какие возможности настройки и мониторинга доступны нам из web-интерфейса устройства. В подменю “System Info” меню”Basic Settin” расположена информация о версии прошивки, температурах внутренних элементов (выводится как в градусах по Цельсию, так и по Фаренгейту), скоростях вращения вентиляторов и напряжениях, подаваемых на различные электронные элементы внутри.
Мы находим эту информацию весьма полезной, так как с её помощью можно удалённо отслеживать любые проблемы, которые возможны с устройством: перегрев, перебои или проблемное питание, засорение вентиляторов.
Продолжаем рассматривать возможности, доступные в меню “Basic Setting”. В подменю “General Setup” предоставлена возможность изменить общие настройки: имя, расположение и владельца устройства; параметры времени; а также способ аутентификации пользователя для управления коммутатором.
Подменю “Switch Setup” предоставляет возможности для настройки параметров поддержки виртуальных сетей (VLAN). Доступны два варианта принадлежности клиента к определённой VLAN: на основе порта или же с использованием протокола 802.1Q. Если выбрать привязку пользователя к VLAN по порту, то в “Advanced Application-VLAN” появится возможность не только посмотреть принадлежность, но и поменять её для каждого из портов. Но обо всём по порядку.
Протокол IEEE 802.1p определяет до 8 различных типов трафика путём вставки тэга в MAC-уровень, который содержит биты определения класса обслуживания. Всем кадрам, не имеющим тэга, назначается стандартный приоритет, соответствующий уровню входящего порта. Коммутатор имеет также 8 физических очередей, в которые можно помещать фреймы с соответствующими метками. На данной странице можно указать, какой тег должен соответствовать той или иной очереди коммутатора.
Подпункт “IP Setup” предоставляет администратору возможность изменения настроек, связанных с DNS, а также адресами (и номерами VLAN), по которым коммутатор будет отвечать для управления.
И, наконец, последний подпункт “Port Setup” позволяет задать параметры работы каждого из портов коммутатора: активность, имя, скорость и дуплексность, использование контроля потока, приоритет и контроль BPDU.
Никто не обязывает нас идти по пунктам меню именно в том порядке, в котором они представлены в устройстве, поэтому мы позволим себе всё самое “вкусное” оставить на потом, а сейчас перейти к разделу “Management” и подразделу “Maintenance”, который мы уже использовали при обновлении прошивки. В этом подпункте администратор может не только обновить версию внутреннего ПО, но и сохранить или загрузить ранее сохранённые настройки, вернуть заводские установки или же перегрузить устройство.
Подпункт “Diagnostic” отображает журнал (log) коммутатора, а также результаты ICMP-проверки какого-либо адреса, либо теста любого своего порта.
В подразделе “Cluster Management” возможно просмотреть параметры кластера и осуществить его настройку, то есть параметры управления группой коммутаторов.
Оставшиеся два подпункта отображают ARP-таблицу и таблицу связок MAC-VLAN-Port.
Обзор возможностей web-интерфейса, продолжение
Посмотрим, что доступно нам в разделе “Routing Protocol” с единственным подпунктом “Static Routing”. Этот раздел полезен в случае, если вы собираетесь управлять коммутатором из сети, которая не подключена к нему непосредственно. Для ответов на запросы устройству требуется знать, на какой адрес следует отправлять пакеты, чтобы доставить их получателю, то есть управляющему лицу.
Итак, мы наконец-то переходим к самой большой и интересной секции “Advanced Application”.
- “VLAN”
- “Static MAC Forwarding”
- “Filtering”
- “Spanning Tree Protocol”
- “Bandwidth Control”
- “Broadcast Storm Control”
- “Mirroring”
- “Link Aggregation”
- “Port Authentication”
- “Port Security”
- “Access Control”
- “Queuing Method”
- “Classifier”
- “Policy Rule”
- “VLAN Stacking”
- “Multicast”
- “DHCP Relay”
В подпункте “VLAN” открывается страничка, отражающая принадлежность портов к различным виртуальным сетям, а также позволяющая изменить эту привязку.
Если в меню “Basic Setting-Switch Setup” в качестве типа VLAN выбрать “Port Based”, то здесь будет представлена не менее интересная страница, позволяющая визуально выбрать, каким портам и с какими разрешено взаимодействовать. При этом есть два предустановленных варианта: “All connected”, позволяющий взаимодействовать всем портам друг с другом, и “Port Isolated”, напротив, запрещающий такое взаимодействие. Галочка в строке CPU указывает, разрешён ли доступ с этого порта к управляющему модулю свитча. Эта крайне важная возможность позволит избежать таких атак, как отказ в обслуживании со стороны пользователей. Более подробно о реакции на данную атаку рассказано в разделе тестирования.
Подпункт “Static MAC Forwarding” позволяет задать вручную таблицу соответствия MAC-адреса получателя и VID с портом, через который будет производиться пересылка.
Если требуется проводить фильтрацию на втором (MAC) уровне, то необходимо обратиться к подпункту “Filtering”, где можно указать фильтруемый (на получение и/или отправку) адрес или же VID.
В подпункте “Spanning Tree Protocol” можно просмотреть статистику и задать параметры, связанные с протоколом связующего дерева.
Обзор возможностей web-интерфейса, продолжение
Подпункт меню “Bandwidth Control” отвечает за настройку ограничения скорости для каждого из портов коммутатора (входящую и исходящую). Можно настроить три параметра, связанных с контролем полосы пропускания и перегрузок: CIR (Committed Information Rate), PIR (Peak Information Rate) и Egress Rate. Последний параметр ограничивает максимальную скорость трафика, поступающего из указанного порта. Возможны три состояния входящего трафика, относительно значения CIR и PIR: скорость меньше CIR; больше CIR, но меньше PIR; больше PIR. В первом случае скорость поступления трафика ниже, чем гарантированная полоса пропускания, поэтому весь входящий по этому порту трафик перенаправляется дальше. Если не наблюдается перегрузок в сети, то во втором случае входящему трафику позволяется иметь любую скорость вплоть до скорости PIR. Однако, при обнаружении перегрузки входящие сетевые пакеты, превышающие CIR, будут помечены для удаления. Всё, что поступает сверх PIR, будет отброшено. Данную особенность можно использовать для обеспечения постоянной полосы пропускания приложениям, которым такая гарантированная полоса необходима. Для ISP данная функция позволит делить пользователей по классам, для каждого из которых задавать свои параметры трафика.
Для защиты от широковещательных штормов введён подпункт “Broadcast Storm Control”, где можно задать количество широковещательных пакетов и/или пакетов группового вещания, и/или DLF-пакетов (destination lookup failure).
Если администратору требуется получать данные, предназначенные для какого-либо другого порта(ов), то можно настроить зеркалирование с помощью подпункта “Mirroring”. На этой страничке необходимо указать порт, на который будут пересылаться данные, а также порт(ы), входящий/исходящий/весь трафик которых, будет зеркалироваться.
Для агрегирования каналов необходимо воспользоваться подпунктом “Link Aggregation”, где можно создать до шести агрегированных каналов, в каждый из которых можно объединить до восьми физических подключений. Также существует возможность использования протокола LACP (Link Aggregation Control Protocol), параметры которого можно изменить на этой же страничке.
Для повышения безопасности в сети можно применить аутентификацию пользователя, подключённого к определённому порту, для чего можно использовать RADIUS-сервер или же протокол 802.1x, а также ограничить количество MAC-адресов, которые доступны с какого-либо порта. Всё это настраивается с использованием подменю “Port Authentication” и “Port Security”.
Подпункт “Access Control” позволяет задать параметры удалённого доступа к коммутатору: кто и к каким службам имеет доступ, какие логины и пароли разрешено использовать.
Обзор возможностей web-интерфейса, продолжение
Подменю “Queuing Method” позволяет осуществить настройку очередей для портов, что оказывает огромное влияние на работу сети в случае её перегрузки.
Подпункт “Classifier” позволяет классифицировать проходящий трафик по значениям различных полей второго и третьего уровня модели OSI: формат пакета, принадлежность к VLAN, приоритет, тип среды Ethernet; MAC-адреса отправителя и получателя, а также порт отправителя; DSCP (DiffServ Code Point), тип IP-протокола (типы протоколов поверх IP), IP-адреса и порты.
Подменю “Policy Rule” оперирует тем трафиком, который помечается на предыдущей страничке. Здесь вы можете задать новые параметры для этого трафика: VLAN, приоритеты, полосу пропускания, тэгирование, TOS, перенаправление, Diffserv.
Для осуществления стекирования VLAN необходимо обратиться к подменю “VLAN Stacking”, в котором вы можете изменить общее значение SP TPID; а также роль каждого порта, SPVID и приоритет.
Справку по этому пункту меню можно прочитать здесь.
Настройку параметров мультикастинга и фильтрации протокола IGMP можно найти в подменю “Multicast”.
Для того чтобы настроить параметры DHCP Relay, администратору необходимо перейти на соответствующий одноимённый подуровень меню. На этой странице есть возможность задать до трёх DHCP-серверов, а также разрешить или запретить добавлять информацию о номере слота, порта и VLAN ID к клиентскому запросу параметров TCP/IP. Данная возможность называется “Option 82” в терминологии ZyXEL. Мы находим её весьма интересной, так как она позволяет сообщить DHCP-серверу о том, где физически расположен клиент, запрашивающий адрес.
На этом обзор возможностей ES-3124, доступных через web-интерфейс, заканчивается. Перейдём к обзору того, что доступно через Telnet или консоль.
Обзор возможностей интерфейса командной строки
Входим с тем же логином и паролем, что использовались для получения доступа к веб-интерфейсу. После входа запрашиваем справку по доступным командам. Вывод приветствия на экран показан ниже (удалены лишние переводы строк).
И тут мы видим интерфейс “Cisco like”, что отличает это устройство от тех же ZyWall’ов, для конфигурирования которых было необходимо выучить все команды и их синтаксис в исполнении ZyXEL. Наличие единого интерфейса, на наш взгляд, помогает упростить задачу конфигурирования устройства. Итак, обо всём по порядку. Тем, кто знаком с консольным конфигурированием устройств Cisco, пояснения почти всех команд не требуется, однако, интересно заглянуть в возможности команды ssh, которая позволяет подключаться к удалённым узлам с использованием данного защищённого протокола.
Как видно из приведённой справки, поддерживаются обе версии протокола ssh. Попробуем также использовать ssh для подключения к коммутатору и дальнейшего управления им. Для этого мы используем программу putty. При соединении в логе программы мы видим записи о том, что вход с использованием ssh версии 1 был успешно произведён.
Осуществим теперь вход с использованием ssh версии 2. После соединения также заглянем в лог программы putty.
На наш взгляд, возможность использовать безопасное соединение для управления коммутатором, является хорошим решением.
Пункты, соответствующие ssh-клиенту, мы встретим и далее в привилегированном режиме. Не очень понятно, для чего он присутствует и здесь. Перейдём теперь в привилегированный режим и рассмотрим его функциональность. Список команд без пояснений можно получить, нажав клавишу “Tab”.
Команда baudrate, вероятно, относится к параметрам консольного доступа.
Команда boot с параметрами отвечает за перезагрузку со специфичными параметрами.
Назначение остальных команд легко понять из пояснений к ним. Перейдём теперь в конфигурационный режим и рассмотрим его функциональность.
Начнём рассматривать по порядку наиболее интересные команды. Две функции admin-password и password позволяют задать пароль на вход администратора и пароль на вход в привилегированный режим, соответственно. Команда bandwidth-control только лишь активирует режим контроля полосы пропускания, при этом она не имеет никаких параметров.
Для ES-3124 существует возможность вручную задать параметры для каждого порта коммутатора в подпунктах команды interface.
Но сейчас в конфигурацию порта мы зашли, по большей части, для того, чтобы рассмотреть, какие параметры физической среды можно просмотреть или настроить для каждого порта. Эта секция особенно интересна в операторских сетях, когда установлено множество разнообразного оборудования, параметры которого могут находиться в широком диапазоне. К примеру, можно посмотреть, в каком состоянии находятся электрические цепи определённого порта. Первый вывод команды кабельного тестирования соответствует свободному порту, когда к нему ничего не подключено. Во втором случае мы подключили к этому порту обычный ПК. Также мы протестировали первый порт коммутатора в автоматическом режиме.
Ещё одной интересной для операторов командой может стать системный вызов intrusion-lock для определённого порта. Это управляющее слово заставляет ES-3124 следить за электрическими параметрами порта и физическими параметрами линии, что может быть использовано против незаконного подключения к кабелю абонента. Команда inactive позволяет отключить или, напротив, задействовать определённый порт. Эта команда нам потребуется позже, когда мы будем проверять работу механизма защиты от врезки (изменение электрических и физических параметров кабеля или клиента).
Команда mac-aging-time позволяет задать время старения записей в таблице моста.
Обзор возможностей интерфейса командной строки, продолжение
Компания ZyXEL всё-таки сохранила и свой оригинальный интерфейс командной строки, однако, в этой статье мы не станем его подробно рассматривать. Для перехода в этот режим необходимо дать команду mode с единственно возможным параметром.
В этом режиме нас могут привлечь несколько команд, аналогов которым мы не смогли найти в обычном Cisco-like режиме. Информацию о системе в обычном режиме можно получить с помощью команды sh sy (сокращение от show system-information), однако, она выдаёт лишь общие данные.
В режиме zynos можно получить более подробную информацию о загрузке CPU.
Правда, это больше похоже на некую отладочную информацию, необходимую исключительно для инженеров ZyXEL. Ещё одной интересной командой данного режима является команда sys version, вывод которой представлен ниже.
Из данного вывода мы получаем, что в коммутаторе установлен один процессор на 266 МГц.
Не очень понятно, что используется в качестве country code, но устройство в ответ на запрос о его значении выдаёт стабильно 255.
Команда sys feature отображает информацию о параметрах коммутации и поддерживаемых протоколах.
Посмотрим теперь на вывод некоторых подкоманд системного вызова sys sw.
Также посмотрим на вывод части остальных команд из раздела sys.
Какие ещё подкоманды нам доступны для существующих “разделов” командной строки? Команда ether выдаёт информацию, связанную с Ethernet.
Переходим теперь в последнюю интересную секцию ip.
На этом, пожалуй, обзор консольной части данного коммутатора мы закончим, однако, упомянем ещё, что существует режим отладки (debug mode), вход в который возможен лишь в процессе загрузки устройства, но команды этого режима нам неизвестны, а справка, к сожалению, не отображается.
Тесты ZyXEL ES-3124
Так как современные коммутаторы являются уже достаточно быстродействующими устройствами, то особого смысла тщательно проверять параметры его полосы пропускания, мы не видим. Но для начала всё-таки убедимся в том, что ES-3124 позволяет на высокой скорости передавать пользовательские данные хотя бы между двумя портами. Для тестирования мы использовали обычный стационарный компьютер и ноутбук, параметры которых приведены ниже.
Параметры/ конечные станции | Стационарный ПК | Ноутбук |
Процессор | Intel Celeron (Northwood) mPGA-478 2,8 ГГц | Intel Pentium 4-M (Northwood) mPGA-478B 2,4 ГГц |
Материнская плата | Intel D845GLVA (i845GL) | Fujitsu FJNB172 |
Оперативная память | Kingston DDR-SDRAM 512 Мбайт | Noname 224 Мбайт |
Сетевая карта | 3COM 3C905TX | Realtek RTL8139(A) |
Операционная система | Windows XP Professional SP2 Rus | Windows 2000 Professional SP4 Eng |
Для тестирования скорости передачи мы использовали бесплатную утилиту netcps. Результаты тестирования приведены ниже.
Результатами мы довольны, хотя чего ещё можно было ожидать от такого теста? Проверим тогда работоспособность шейпера, который позволяет устанавливать скорость передачи данных с шагом в 64 кбит/с. Для такого тестирования мы будем изменять значение ограничителя и замерять скорость. Результаты этого теста приведены в таблице ниже.
Данные по скоростям также представлены на диаграмме в более удобном для понимания виде.
По начальным значениям данных, представленных на диаграмме, можно сделать вывод о том, что скорость шейпинга действительно меняется с шагом в 64 кбит/с, а сам шейпинг происходит с достаточной точностью. Механизм CIR/PIR, регулирующий работу коммутатора в перегруженной сети, к сожалению, не заработал, о чём было немедленно сообщено в службу технической поддержки ZyXEL в Москве. То есть единственным ограничивающим фактором является PIR. Считаем необходимым отметить оперативную реакцию ZyXEL на обнаруженную проблему – уже через месяц появилась новая версия прошивки микропрограммного обеспечения, свободная, по заявлениям представителей компании, от указанных ошибок. Правда, у нас уже не было возможности протестировать новую версию прошивки. К сожалению, на момент сдачи статьи она ещё не была доступна широкой общественности на сайте компании.
Одной из интересных особенностей данного коммутатора является его возможность фильтровать трафик на 2, 3 и 4 уровнях модели OSI, при этом можно фильтровать ещё и по порту коммутатора, что на наш взгляд крайне полезно при организации сетей доступа. Мы решили проверить эту возможность, для чего запустили две копии программы netcps в режиме сервера на TCP-портах 4455 и 5544. Сначала мы не использовали механизм фильтрации и получили два одновременных соединения.
Первое соединение на TCP-порт 4455.
Второе соединение на TCP-порт 5544.
График загрузки локальной сети при работе этих подключений представлен ниже.
После этого мы создали 2 класса трафика в классификаторе: один для всего трафика, а второй для TCP-потока по порту 4455. В политиках также создали 2 правила для каждого из классов классификатора. Мы разрешили весь трафик, кроме соединений по 4455 TCP-порту.
И здесь мы видим уже совершенно иную картину. Для первого соединения получаем ошибку, в то время как второе удачно устанавливается.
Фильтрация не влияет на скорость передачи, то есть можно осуществлять фильтрацию на скорости среды передачи.
Тесты ZyXEL ES-3124, продолжение
Запустим также программу XSpider 7.0 (build 1401) для поиска открытых для соединения портов, и для определения параметров этих портов. Всего было найдено 8 открытых портов: TCP-21 – FTP, TCP-22 – SSH; TCP-23, TCP-25 и TCP-110 заблокированы; TCP-80 – HTTP, UDP-161 – SNMP, TCP-443 – HTTPS (HTTP SSL). Складывается ощущение, что заблокированность портов является реакцией коммутатора на сканирование.
XSpider выдаёт следующую информацию о порте TCP-21.
220 ES-3124 FTP version 1.0 ready at Thu Jan 1 00:02:21 1970 Информация об имени сервера подтверждена эвристическим методом Сервер : ZyXEL FTP Server |
Для TCP-22 сканер безопасности сообщает об обнаружении SSH-сервера на стороне коммутатора, параметры которого указаны ниже.
SSH-1.99-OpenSSH_3.9p1 Информация об имени сервера подтверждена эвристическим методом Сервер : OpenSSH Server engine Версии поддерживаемых протоколов : 1.33 1.5 1.99 2.0 |
Также рекомендуется использовать только версии 1.99 и 2.0 при работе, так как версии протокола 1.33 и 1.5 недостаточно защищены криптографически.
Для TCP-80 и TCP-443 XSpider выдаёт одинаковую информацию об обнаруженном HTTP-сервере, чего и следовало ожидать.
Имя сервера : Allegro-Software-RomPager/4.30b3 состояние : 401 (Unauthorized) аутентификация : Basic realm=”ES-3124 at Thu Jan 1 00:03:38 1970″ формат содержимого : text/html Подтверждение эвристическим методом не удалось |
Но самое интересное в этом тестировании даже не то, какие открытые порты мы обнаружили, а тот факт, что при начале глубокого опроса HTTP-сервера коммутатор сначала перегружается, что видно из консоли, а затем зависает, то есть к нему невозможно получить доступ даже из консоли. Исследуя особенности HTTP, мы получили чистейший DoS против устройства. А так всё хорошо начиналось! Конечно же, мы понимаем, что управление коммутатором лучше проводить только с использованием специального порта MGMT, выделенного исключительно для этих целей, а управление с обычных портов заблокировать, но, к сожалению, внеполосное управление доставляет ряд неудобств, чего нельзя сказать о внутриканальном способе управления. По словам специалиста технической поддержки компании ZyXEL, перезагрузка коммутатора происходить не будет, если использовать логин и пароль, отличные от стандартных.
Пересканируем заблокированные порты после перезагрузки устройства.
На TCP-23 был обнаружен сервис Telnet, описание которого представлено ниже.
Telnet является протоколом удаленного управления компьютером. Этот протокол является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети. |
А для UDP-161 доступно следующее описание уязвимости стандартных учётных записей.
Найдена учетная запись : public Информация : ES-3124 |
Тесты ZyXEL ES-3124, продолжение
Закончим с тестированием открытых портов и перейдём к проверке работы коммутатора с групповым трафиком. Традиционно IP-пакеты могут быть двух видов: unicast (направленные одному получателю) и broadcast (широковещательные, направленные всем сразу). Помимо этих двух типов пакетов, существуют ещё и пакеты для группового общения. Протоколом группового вещания является IGMP – Internet Group Message Protocol. На сегодняшний день существуют три версии этого протокола, описанные в RFC 1112, RFC 2236 и RFC 3376, соответственно. Однако коммутатор поддерживает только первые две. В третьей же версии введена поддержка фильтрации трафика, то есть с помощью этого механизма узел может сообщить, с каких адресов он хочет получать трафик, а с каких нет. Для сетей группового вещания выделен класс D адресов IPv4 (диапазон от 224.0.0.0 до 239.255.255.255). Для работы группового вещания в сети необходимо, чтобы коммутационное оборудование поддерживало эту возможность. В коммутаторе ZyXEL ES-3124 организована поддержка MVR – Multicast VLAN Registration. Данная технология необходима для приложений, осуществляющих доставку аудио, видео или чего-либо другого по требованию, и использующих IGMP, которая позволяет создать один VLAN, доступный пользователям, находящимся физически в разных виртуальных сетях. MVR позволяет подписываться и отписываться от потокового группового вещания. В качестве видео-клиента и видео-сервера мы использовали VLC Media Player 0.8.4a. Настроили коммутатор согласно указаниям в руководстве пользователя. Настройки коммутатора приведены ниже.
После этого на обеих машинах мы запустили VLC Media Player и сконфигурировали сервер на ноутбуке и клиента на обычном ПК. Настройки клиента минимальны – надо всего лишь выбрать поток, из которого будут извлекаться видеоданные. Мы использовали групповой адрес 224.1.4.10.
Настройки на видео-сервере не многим сложнее: нужно указать тип вещания, поток для вещания, тип потока и адрес группового вещания, формат пакета, время жизни пакета. И с этого момента начинается вещание в сеть выбранного потока. Скриншоты окон настройки представлены ниже.
Вещание нам показалось достаточно устойчивым, однако параллельная настройка параметров коммутатора с того же порта, где принимается видео-поток, приводит к заметному дрожанию изображения. Чтобы избежать этого, видимо, необходимо было настраивать приоритеты. В целом же, этой функцией мы остались довольны.
Тесты ZyXEL ES-3124, продолжение
Одной из самых долгожданных и интересных функций для операторов связи является intrusion lock, которая, со слов представителя ZyXEL, позволяет заблокировать порт, если параметры линии, подключённой к нему, сильно изменились. У нас есть три кабеля приблизительно одинаковой длины (около трёх метров): два прямых и один кроссовер. Сначала мы не задействовали функцию определения вторжения и меняли кабели между тестовым компьютером и коммутатором, этим обусловлены временные отсутствия ICMP-ответов.
Состояние порта после многократной смены кабеля показано ниже.
А теперь мы включим функцию общей безопасности для всех портов, а также защиту от вторжений для первого (тестируемого) порта.
Поменяем теперь кабель на другой. Любая длительная смена кабеля (даже на тот, что был использован ранее) приводит к блокировке порта. И картинка ICMP-общения будет привычно грустной.
Теперь при просмотре параметров изучаемого порта видно, что параметр Link выставлен в значение Down, что показано ниже.
Восстановление работоспособности можно осуществить командой no inactive для соответствующего порта.
Однако тут следует заметить одну особенность. После отключения кабеля в течение трёх секунд горит лампочка для порта. Если в течение этого времени подключить кабель обратно, то вся функциональность восстановится. При этом абсолютно не имеет значения, какой кабель (длина или тип разводки) теперь будет использован на этом порту, или даже какой тип оборудования будет с другой стороны патч-корда. Для эксперимента мы подключили прямые кабели к сетевым картам используемых для нашего тестирования ПК и ноутбука. Кабель от ПК воткнули в порт и подняли защиту, после этого меньше чем за 3 секунды мы отключили один кабель и воткнули другой. Теперь появилась возможность работать в сети с ноутбука. Для чистоты эксперимента мы решили выключить ноутбук и включить его снова. Работоспособность сети была восстановлена. Однако если за это время провести физическое отключение от сети и подключение к ней выключенной машины, то порт не блокируется, даже если использовать другой кабель или другую машину. Выключение машины приводит к отключению функции безопасности порта? Если быстро отключить кабель от работающего компьютера и подключить к сетевой карте, которая никуда не подключена, то для свитча это равносильно выключению машины. После этого можно свободно отключать кабель и производить любую проводную коммутацию.
Заключение
Мы остались довольны возможностями протестированного коммутатора, однако, есть несколько огорчающих минусов, которые, как мы надеемся, будут исправлены с выходом новых версий прошивок. Среди положительных особенностей данного устройства следует отметить фильтрацию потоков данных до 4 уровня модели OSI на каждом порту, MVR, ограничение скорости с шагом 64 кбит/с, настройки очередей и качества обслуживания разных потоков трафика, а также разнообразные (в том числе и безопасные) способы управления коммутатором, режим безопасности порта, отключающий порт при врезке в работающую систему. Нельзя не отметить быструю реакцию специалистов технической поддержки на обнаружение проблем. Среди минусов хотелось бы отметить неустойчивость управляющей части коммутатора к атакам на встроенный HTTP-сервер. Цена ZyXEL ES-3124 в Москве на момент выхода статьи составляла 600$.