VPN-маршрутизатор - Level One FBR-2000
Жизнь многих организаций сегодня вплотную связана с Интернетом, однако, Интернет – это не только среда для получения и публикации данных, это ещё и прекрасный дешёвый транспорт. Конечно при всей его красоте в плане дешевизны, он таит множество опасностей. Сегодня, наверное, не осталось ни одного человека, знакомого с Интернетом и не знающего о вирусах, хакерах и прочем «зле» цивилизации. Именно это «зло» и является одной их тех преград, которая не позволяет отказаться от средств защиты своих компьютеров и сетей. Многие помнят, как системных администраторов бросала в дрожь одна лишь мысль об объединении сетей офисов, расположенных в разных частях города или даже в разных городах или странах, тогда зачастую для решения этой задачи использовались выделенные линии связи между офисами. Конечно, такое решение доступно и сегодня, но в силу дороговизны, оно вряд ли когда-либо станет массовым. Сегодня гораздо дешевле передавать данные через Интернет, благо, это стало и безопасно и просто. Достаточно приобрести оборудование, позволяющее строить туннели и передавать по ним трафик. К такому оборудованию можно отнести VPN-маршрутизаторы, которые совмещают в себе обычный маршрутизатор и сервер VPN.
По своей сути, туннель не является чем-то физическим, он лишь определяет логическое соединение между двумя точками, при этом предполагается поддержка аутентификации и шифрования. Такое соединение обеспечивается благодаря инкапсуляции данных, то есть помещению исходных пакетов внутрь новых. При этом исходные пакеты помещаются в транспортные при передаче их в туннель и извлекаются при выходе из него.
Наиболее популярными протоколами туннелирования являются PPTP (Point-to-Point Tunnelling Protocol) и IPSec (Internet Protocol Security). Первый работает на канальном уровне модели OSI, второй – на сетевом. Нам более интересен IPSec, поэтому остановимся на нём подробнее.
При Работе IPSec виртуальное соединение устанавливается благодаря инкапсуляции пакетов IP в новые пакеты, сформированные определённым образом. Отметим, что пакеты других протоколов не могут инкапсулироваться в IPSec. Протокол работает на сетевом уровне, благодаря чему он незаметен для сетевых приложений. Существует два варианта использования IPSec: AH (Authentication Header) и ESP (Encapsulating Security Payload), которые могут совмещаться.
AH – по сути является дополнительным заголовком, который добавляется в пакет для защиты данных от изменения на пути следования, другими словами, он является своеобразной подписью пакета. Для этого используется один из алгоритмов хеширования. Отметим, что пакеты остаются абсолютно незащищёнными от просмотра злоумышленником.
ESP призван обеспечивать конфиденциальность данных при передаче по сети. Для этого допускается использовать различные алгоритмы шифрования.
При такой реализации для пакетов используются средства шифрования и аутентификации. Для шифрования обычно применяются DES (Data Encryption Standard), 3DES (тройной DES) или AES (Advansed Encryption Standard), в порядке возрастания криптостойкости. Для аутентификации – хеш-алгоритмы MD5 (Message Digest 5) и SHA1 (Secure Hash Algorithm), также в порядке возрастания криптостойкости.
IPSec может работать в двух режимах – транспортном и туннельном.
При использовании транспортного режима происходит шифрование лишь поля данных пакета четвёртого (транспортного) уровня, в котором содержится наиболее «ценная» информация. Остальные поля остаются в незашифрованном виде и доступны для просмотра и анализа. Конечно, с первого взгляда ничего страшного в этом нет, но стоит задуматься, и опасность становится очевидна. Анализ таких пакетов может дать представление о структуре сети, об активности узлов, об использовании служб на узлах и многое другое. Поэтому перед использованием этого режима нужно серьёзно задуматься о его эффективности для каждого конкретного случая. Режим целесообразно применять для защиты соединения между двумя точками-компьютерами.
На тот случай, если вы желаете полностью скрыть всю информацию, содержащуюся в пакете, предусмотрен туннельный режим, который предполагает шифрование всего исходного пакета. Зашифрованный пакет инкапсулируется в новый пакет, где адресом отправителя значится адрес узла, на котором выполнялась инкапсуляция, то есть адрес шлюза VPN. Благодаря такому подходу, даже при перехвате пакета, злоумышленник не получит ничего, кроме зашифрованного пакета и адресов шлюзов VPN. Так что этот режим более эффективен в плане защиты информации и обеспечения конфиденциальности структуры внутренней сети. Применение этого режима актуально для защищённой передачи данных между двумя сетями, при этом данные защищены при передаче между точками входа в объединяемые сети.
Как мы уже упоминали, для тестирования мы получили два маршрутизатора Level One FBR-2000 c поддержкой IPSec, которые смогли проверить во всех наиболее интересных для наших читателей режимах. Однако, по традиции, начнём с комплектации устройств.
Комплектация
Маршрутизаторы поставляются в картонной упаковке, выполненной в соответствии со стилем компании, напомним, что ранее мы уже тестировали оборудование этого производителя, и оказались довольны результатами. В комплекте с маршрутизатором мы обнаружили блок питания, пару патч-кордов, диск с ПО и документацией, а также бумажную версию руководства по быстрой установке и настройке – вполне достаточно для начала работы с оборудованием.
Внешний вид и устройство
Внешне маршрутизатор показался нам весьма и весьма скромным. Строгие формы и металлический корпус таят в себе гораздо больше, чем кажется с первого взгляда. Передняя панель содержит все индикаторы, а также логотип производителя и название устройства. Всего индикаторов шесть: по одному для каждого из портов (отображают соединение и активность порта) и индикаторы статуса и питания. То есть необходимый минимум – ничего лишнего.
Задняя панель маршрутизатора также не перегружена. На ней расположен разъём питания, клавиша сброса настроек (утоплена вглубь корпуса) и четыре порта Ethernet (два порта WAN, порт LAN и порт демилитаризованной зоны - DMZ, все 10/100Base-TX). Также как и на многих других моделях подобного оборудования, выключателя питания не предусмотрено.
На нижней стороне маршрутизатора можно заметить четыре углубления для ножек, и наклейку с названием маршрутизатора. Вентиляционные отверстия расположены на боковых сторонах устройства.
Внутреннее устройство
Для того чтобы открыть корпус нам пришлось открутить два винта, расположенных на боковых сторонах маршрутизатора.
Внешний вид платы показан на снимке ниже.
Все элементы расположены непосредственно на плате маршрутизатора, без каких-либо дополнительных модулей. В правой нижней части платы заметно место для установки разъёма, предположительно miniPCI. Вполне возможно, что это место предназначено для установки беспроводного модуля. В качестве основы использован процессор FWIXP425BC. Маршрутизатор имеет полностью пассивное охлаждение, благодаря чему он не будет напоминать о своём существовании лишним шумом. Металлический корпус и достаточное количество свободного пространства обеспечивают достаточное охлаждение.
Настройка и администрирование
Настройка маршрутизатора выполняется через Web-интерфейс, доступный по адресу 192.168.1.1. Напомним, что адрес компьютера, с которого происходит обращение, должен находиться в этой же сети, то есть в диапазоне от 192.168.1.2 до 192.168.1.254, маска сети 255.255.255.0. То есть нужно либо задать такие параметры вручную, либо включить автоматическое получение параметров IP от сервера DHCP и обновить параметры. Доступ к интерфейсу ограничен, для первого входа нужно ввести имя пользователя admin и пароль admin, после чего вы попадёте на страницу интерфейса настройки. Отметим, что для работы с Web-интерфейсом браузер должен поддерживать Java Script.
В руководстве по быстрой настройке указаны шаги, которые необходимо сделать для первоначальной настройки маршрутизатора: выбрать адреса для LAN и WAN, настроить параметры WAN (адрес шлюза, DNS, тип подключения) и создать правило, разрешающее исходящий трафик из локальной сети во внешнюю. Со своей стороны отметим, что такая настройка будет достаточна лишь для обеспечения неограниченного доступа в Интернет клиентам локальной сети. Однако маршрутизатор позволяет намного больше. Далее мы покажем, на что он способен и представим варианты использования.
Начнём с внешнего вида интерфейса. Он выполнен в сине-серых тонах и достаточно хорошо читается. Левая часть выделена для меню, в котором по группам разнесены страницы настройки. Несмотря на то, что общее их число достаточно велико, поиск нужной страницы, благодаря логичному распределению страниц по разделам, совсем не затруднителен. Общее количество разделов интерфейса составило 13, при этом количество подразделов (второго уровня) составило 58. Такого количества разделов Web-интерфейса мы не встречали ни в одном из ранее протестированных маршрутизаторов.
Раздел System
Начнём с раздела System. В нём выделено несколько разделов, каждый из которых отвечает за определённые настройки. Так, в первом (Admin) задаются учётные записи пользователей: для примера мы добавили учётную запись с именем 3dnews, разрешив для неё доступ только на чтение.
Второй подраздел (Setting) позволяет сохранить/загрузить/сбросить настройки, настроить уведомления по электронной почте, задать порт административного Web-интерфейса, режим работы портов WAN, включить маршрутизацию для указанных портов и перезагрузить маршрутизатор.
Что касается следующего подраздела (Date/Time), то с ним всё просто: можно включить или отключить синхронизацию часов по протоколу NTP, и при необходимости указать часовой пояс, сервер времени и частоту синхронизации.
Ниже следует раздел настройки работы с несколькими подсетями (Multiple Subnet), где для внешних интерфейсов задаются режимы работы и диапазоны внутренних адресов.
Маршрутизатор может работать в качестве простейшей системы обнаружения и предотвращения атак (IDS/IPS). Для настройки параметров этого режима нужно воспользоваться подразделом Hacker Alert. Эта модель может обнаруживать и блокировать следующие типы атак: SYN Flood, ICMP Flood, UDP Flood, для каждой из которых задаются пороговые значения и продолжительность блокировки. Кроме того, можно обнаруживать и следующие атаки: Ping of Death, IP Spoofing, Port Scan, Tear Drop, атаки IP route и Land Attack. Согласитесь, не так уж мало для обычного маршрутизатора.
Буйствовавшая несколько лет назад эпидемия червя Blaster не осталась незамеченной. Так, разработчики посвятили защите от него целый подраздел, в котором можно включить обнаружение и защиту от этого червя. В качестве параметра можно задать пороговое значение скорости создания сессий и продолжительность блокировки. Можно также настроить отправку уведомлений по электронной почте.
Ниже следует подраздел с таблицей маршрутизации, где можно добавлять статические маршруты. Ещё ниже подраздел настройки DHCP, где всё вполне традиционно: включаем DHCP, задаём домен, адреса DNS, WINS, диапазоны выдаваемых адресов (по два для каждого из интерфейсов LAN/DMZ) и срок аренды.
На остальных подразделах подробно останавливаться не будем, их названия говорят сами за себя, а подробных настроек не предусмотрено. Host Table – таблица адресов сети, Dynamic DNS – поддержка динамической DNS, из языков в разделе Language можно выбрать лишь английский, немецкий и традиционный и упрощённый китайские. Permitted Ips – список адресов/подсетей, откуда разрешено обращаться к интерфейсу и выполнять запросы ping. Logout – выход из интерфейса настройки, Software Update – обновление прошивки.
Раздел Interface
Здесь настраиваются параметры интерфейсов, такие как адреса и возможность удалённого обращения. Так, для каждого из интерфейсов (LAN, DMZ и двух WAN) можно задать адрес и разрешить или запретить отвечать на запросы ping, а также разрешить или запретить доступ к административному Web-интерфейсу. Кроме того, для внешних интерфейсов можно выбрать режим их работы, например балансировка трафика и приоритет. Среди режимов балансировки можно выбрать наиболее предпочтительный, благо, есть из чего, например, можно балансировать по трафику, сессиям или пакетам. Естественно, можно принудительно ограничить полосу пропускания интерфейсов.
Раздел Address
Этот раздел предназначен для именования узлов или групп узлов. Другими словами, можно работать с IP-адресами, а можно с именами, причём, можно создавать произвольные группы и называть их как вам покажется удобнее. Такие группы можно создавать для всех интерфейсов.
Раздел Service
В этом разделе предлагается работать с сервисами. Отметим, что интерфейс маршрутизатора содержит ряд предопределённых сервисов (раздел pre-defined), с которыми приходится наиболее часто работать (FTP, HTTP, HTTPS, POP3, SSH, ping и другие). Однако не всегда можно обойтись стандартными сервисами, зачастую приходится работать с портами, которые используются своими приложениями, в том числе нестандартными портами Web-серверов, системами защищённой передачи данных и прочими, для решения этой ситуации предусмотрена возможность настройки новых сервисов (раздел custom). Для удобства администрирования выделен раздел создания групп сервисов (Group). Здесь допускается объединять сервисы в группы для более простой и наглядной работы с ними.
Естественно, подобный маршрутизатор не мог обойтись без работы с расписаниями. Администратор может создавать расписания для различных функций, например, разрешать доступ в Интернет в рабочее время, а доступ к электронной почте круглосуточно, по рабочим дням недели. Такой сценарий можно без проблем реализовать на FBR-2000 при помощи расписаний.
Раздел фильтрации содержания позволяет ограничивать доступ к определённым ресурсам на основании их URL, можно также включить блокирование скриптов, и запретить появление всплывающих окон, апплетов Java, элементов ActiveX и cookie. На этом ограничения не заканчиваются. Отметим, что если открываемый адрес находится в списке блокируемых, то браузер покажет соответствующее сообщение. Многие администраторы уже давно пытаются бороться с файлообменными сетями, работа которых существенно загружает канал. Разработчики FBR-2000 внесли свой вклад и в это направление, наделив своё детище функциями блокировки таких сетей как eDonkey, BitTorrent и WinMX. Однако и этого им показалось мало. Теперь администратор может блокировать также работу мессенджеров, таких как MSN, Yahoo, ICQ, QQ и даже Skype. Среди блокировок есть и такие, которые запрещают скачивание. Для этого нужно лишь выбрать те типы файлов, которые нужно блокировать, а также включить блокировку. Ниже на изображении показан список расширений.
Раздел Virtual Server позволяет публиковать сервисы локальной сети для доступа к ним снаружи. То есть, при обращении на внешний адрес сервера происходит перенаправление запроса на сервер локальной сети. Такое полезно, например, при необходимости обеспечить доступ снаружи к FTP-серверу, расположенному в локальной сети. При этом достаточно перенаправить запросы, поступающие на внешний порт, на адрес и порт внутреннего сервера. При этом есть два варианта реализации такого сценария: Средствами Mapped IP и средствами Virtual Server. Основное отличие состоит в том, что первый вариант позволяет перенаправлять все поступающие запросы на локальный компьютер, в то время как второй перенаправляет запросы только в соответствии с указанным в правиле портом. При этом в случае работы с Virtual Server возможно разделение запросов на несколько серверов для балансировки нагрузки.
Переходим к одному из наиболее интересных разделов интерфейса – поддержке VPN. Этот раздел содержит три подраздела: IPSec, PPTP-клиент и PPTP-сервер. Начнём с первого. Так, здесь настраивается работа режима IPSec, то есть те параметры, которые будут использоваться при создании туннелей. Ниже на изображении показан интерфейс. На примере покажем, за что отвечает каждый из параметров. Первое поле – Name – это имя туннеля, для системы не имеет никакого значения – используется для удобства пользователя. Далее выбираются интерфейсы сетей источника и приёмника. В нашем примере данные буду передаваться между интерфейсом LAN и другим маршрутизатором, при этом для транспорта данных будет использоваться интерфейс WAN1. Кроме того, создаётся правило, определяющее то, от каких узлов пакеты нужно передавать по туннелю, в нашем случае – пакеты от узлов сети 192.168.11.0 (маска 255.255.255.0). Далее указывается адрес удалённого шлюза, то есть адрес второго сервера IPSec, который будет работать в качестве второй конечной точки туннеля и адреса узлов второй сети. Отметим, что работа туннеля возможна лишь в том случае, если внутренние адреса удалённых сетей будут отличаться. Ниже следует выбор метода аутентификации, в нашем случае по фразе-паролю (Preshare), и сама фраза-пароль (test-key). Кого-то может смутить хранение столь важного пароля в открытом, доступном для просмотра виде, что является довольно распространённой практикой среди подобных устройств. Конечно, не стоит особенно смущаться, однако уделить чуть больше внимания безопасности всё же следует. Далее следуют поля выбора алгоритма ISAKMP и IPSec. В примере показана наиболее сильная комбинация – для шифрования предлагается использовать AES-256, для вычисления хеш – SHA-1, кроме того, использована группа Диффи-Хеллмана – 5, с максимально доступной длиной последовательности. В самой нижней части окна видно окно Show remote Network Neighborhood, на самом деле, при активации этого параметра туннель пропускает пакеты NetBIOS, и делает видимыми компьютеры удалённых сетей через сетевое окружение.
С PPTP всё проще. По сути, нужно задать лишь имя пользователя и пароль, и указать тип подключения и способ назначения IP-адреса. Настройка клиента PPTP ничуть не сложнее – имя, пароль и адрес сервера, и ряд дополнительных параметров, таких как постоянное подключение или автоматическое отключение от сервера.
Раздел Policy логично разделён на шесть подразделов: правила входящего трафика, правила исходящего трафика и правила пропускания трафика между DMZ, LAN и WAN, в различных комбинациях. Естественно, в каждом разделе можно создавать свои правила, устанавливать максимальное количество сессий, пороговое значение скорости, задавать расписание.
Раздел Log позволяет просмотреть различные журналы с сообщениями о работе устройства, а также включит отправку файлов журналов на электронную почту или сервер Syslog.
Раздел Alarm создан для быстрого просмотра сообщений о вирусной активности и критических событиях (активность червя Blaster, достижение пороговых значений по скорости канала и других событий).
В разделе Statistics можно просмотреть подробные графики по использованию ресурсов маршрутизатора, точнее активности портов WAN, как по отдельности, так и вместе, причем период создания отчёта может колебаться от минуты до года. Всё полученные результаты можно просмотреть в наглядной форме в виде графиков, как показано ниже.
И, наконец, раздел Status. Здесь можно узнать суммарную информацию по портам: активность, тип подключения, скорость, загрузка канала, адреса. Кроме того, в этом же разделе можно просмотреть таблицу ARP, в которой содержатся IP и MAC-адреса всех доступных компьютеров в сети, а также таблицу распределения IP-адресов встроенного сервера DHCP.
В целом интерфейс настройки оказался достаточно удобным в использовании, порадовало вынесение раздела просмотра оповещений в главное меню, не могла не порадовать достаточно высокая скорость работы интерфейса. Из негативных моментов отметим отображение ключа шифрования VPN в открытом виде.
