Статьи

Проверка на прочность

Сразу же уточним, что под проверкой на прочность мы подразумеваем не краш-тест корпусов устройств, а возможность взлома хотспота как клиентами, так и сторонними пользователями. Ведь беспроводная сеть хотспота использует слабо защищенный протокол WEP, который легко взломать, используя анализатор пакетов. Поэтому очень важна стойкость системы аутентификации и межсетевого экрана.

Однако на этом проблемы не заканчиваются — правила межсетевого экрана требуется настроить таким образом, чтобы не ограничивать работу приложений беспроводных клиентов. Поэтому потребуется еще и трансляция адресов (NAT) и, желательно, портов (PAT).

В решении ZyXEL NAT настроить невозможно — его можно либо включить, либо отключить. Единственное, что доступно, — включить функцию IP Plug and Play, которая позволит пользователю, подключенному к порту LAN, не перенастраивать конфигурацию сетевого подключения. Настройки межсетевого экрана (firewall) также отсутствуют (!), можно лишь запретить трафик между беспроводными клиентскими станциями.

Устройство производства Asus имеет встроенный межсетевой экран с полной пакетной проверкой (statefull inspection). Все настройки сосредоточены в пункте Internet Firewall. Функция Logged Packet Type позволяет вести журнал отброшенных или принятых правилами межсетевого экрана пакетов с целью их дальнейшего анализа. Пункт WAN & LAN filter позволяет создавать статические правила фильтрации пакетов отдельно для WAN-и LAN-интерфейсов, включая работу конкретных фильтров, а также активировать правила межсетевого экрана по графику, указав дни недели и время суток. В этом же разделе можно задать список запрещенных сайтов, которые точно таким же образом можно привязать к временным засечкам, создать виртуальный сервер и виртуальную демилитаризированную зону (DMZ). Однако, несмотря на кажущуюся гибкость конфигурирования, настроек NAT и PAT также не наблюдается. Кроме того, функция NAT активируется только в режиме Home Gateway.

В решении D-Link все функции безопасности настраиваются на сервисном шлюзе DSA-3100, что само по себе довольно удобно: администратору нет необходимости отключать каждую точку доступа от сервисного шлюза и настраивать ее в отдельности. Среди настроек доступны функции виртуального сервера, DMZ-зоны, а также предоставления ресурсов, доступных без аутентификации (Free Surfing Area). Последняя функция полностью аналогична walled garden для ZyXEL G4100. Межсетевой экран позволяет не только указывать правила фильтрации, но и привязывать их к конкретному сетевому устройству, используя как IP-адрес, так и MAC. Радует, что функция NAT может быть настроена раздельно для каждого из портов (как для LAN public, к которому подсоединены точки доступа, так и для LAN privatе, к которому подключены пользователи локальной сети).

Межсетевой экран Linksys представился нам наиболее функциональным. Судите сами: здесь присутствует и режим statefull inspection, и настраиваемый NAT, и контентная фильтрация. На вкладке Access Restrictions можно разрешить или запретить доступ в Интернет, используя правила для различных протоколов и приложений на базе готовых шаблонов или созданных самостоятельно. Для этого указываем тип протокола и задаем диапазон портов, по которым приложению будет разрешено работать. Фильтрация по URL также присутствует. Порадовало, что можно указать нежелательные для доступа вэб-сайты, по названию либо по ключевой фразе.

Настройки контентной фильтрации находятся на вкладке Security. Здесь можно установить блокировку потенциально опасного контента (cookie, ActiveX, апплеты, анонимные proxy-серверы, рассылка широковещательных пакетов).

Поддерживаются технологии NAT и PAT. Если реализация NAT ничем не отличается от других устройств в данном тесте, то PAT имеет три разновидности:

Port Forward. Эта функция позволяет переопределять номер порта в пакетах, идущих от конкретного компьютера, чей IP-адрес предварительно задан. Это обеспечивает нормальную работу приложений, использующих строго фиксированные номера портов.
Port Range Forward. Функция, аналогичная предыдущей, за исключением того, что задается не один номер порта, а диапазон.
Port Triggering. В отличие от двух предыдущих функций, здесь нет необходимости фиксировано задавать IP-адрес компьютера — трансляция выполняется для всех пакетов. Для настройки правила нужно ввести диапазон портов, которые должны выполнять функцию триггера, а также тех, которые используются для пересылки данных из Интернета на компьютер сети.

Для каждой из этих функций выделена отдельная страница, и между ними приходится каждый раз переключаться для того, чтобы не забыть, что именно задано на двух предыдущих. Поэтому более целесообразной была бы одна вкладка, на которой можно было бы задавать диапазон портов (для одного порта в этом случае потребовалось бы просто дважды указать его номер, например [139-139], а для всех — [1-65 536]).

Функция DMZ-зоны позволяет открыть доступ к общим ресурсам одного компьютера, адрес которого указан. Важно помнить, что при использовании такой функции на указанном компьютере будут открыты все сетевые порты, поэтому потребуется дополнительно установить на нем межсетевой экран.

«Взламываем» хотспоты

Теперь переходим непосредственно к взлому. Так ли безопасен хотспот для клиентов и владельцев таких решений? Соблазн протестировать систему безопасности на наличие «дыр» и «уязвимостей» после их настройки оказался слишком велик.

Поэтому каждое решение было приведено в «боевую» готовность: включена аутентификация пользователей, активизирован NAT и включен запрет на передачу пакетов между клиентами беспроводной сети. Затем была выполнена проверка работоспособности всех настроек. Для этого мы входили в систему с учетной записью легального пользователя, которая создавалась статически или динамически, после чего переходили на сайт в сети Интернет.

Затем запускалась серия тестов с помощью связки программных продуктов X-Scan и X-Spider с максимальными параметрами поиска уязвимостей, где в качестве сканируемого узла указывался IP-адрес хотспота. Целью тестирования было сканирование открытых портов и получение возможности несанкционированного доступа по ним.

Решения D-Link и Linksys оказались поистине неприступной крепостью: все порты на замке, кроме необходимых для авторизации клиента HTTP и HTTPS. У Asus 500G Premium обнаружились открытыми еще порты сервисов FTP, NetBIOS и DNS, хотя ни один из них не использовался. А вот решение ZyXEL нам показалось уж слишком доступным: количество открытых портов уже составило около десятка, при этом обнаружились уязвимости некоторых протоколов.

Вывод напрашивается сам собой: межсетевой экран и NAT должны иметь ручное конфигурирование, и чем детальнее будут его настройки, тем более защищенное решение в итоге можно получить.

Хендовер

Беспроводное решение тем и хорошо, что предоставляет пользователю полную свободу передвижения. Так почему бы и не испробовать эту приятную особенность на практике? Казалось бы, что может быть проще — клиент, пройдя аутентификацию в системе, может свободно передвигаться в пределах общей зоны покрытия всех точек доступа. А как будет вести себя в этом случае система биллинга? Кроме того, не возникнет ли ситуация, что большинство клиентов будут подключены лишь к одной из нескольких точек доступа, что вызовет перегрузку? Чтобы ответить на эти вопросы, потребовался хотспот, который поддерживал бы несколько точек доступа. Среди участников тестирования таким оказалось лишь решение D-Link.

Для распределения нагрузки потребуется с помощью вэб-интерфейса активизировать в настройках (вкладка Advanced => Grouping) каждой из точек доступа функцию Load Balance. Здесь же можно указать максимальное количество соединений, при достижении которого все новые пользователи будут подключаться уже к другой точке, находящейся рядом. Однако есть и ограничение: зоны покрытия точек доступа должны пересекаться, а каждая из них обязана использовать непересекающиеся по частоте каналы, чтобы не создавать помех друг другу (в нашем случае это были каналы 2 и 7).

Что касается хендовера, то здесь вопрос решился просто — передача информации о клиенте между точками доступа происходит по протоколу IEEE 802.11 f . Так как точки доступа подключены через сервисный шлюз, который выполняет функции биллинга, повторная аутентификация не требуется.

Итоги и выводы

Несмотря на громкие маркетинговые заявления, гласящие, что хотспот можно развернуть всего за 15 минут, с ними можно согласиться, если это развёртывание выполняется не в первый раз, и даже не во второй, а ближе к дюжине, а техника настройки доведена до автоматизма J . Причина такого заявления проста — даже несмотря на подробные мастера конфигурирования, все равно потребуется пересмотреть все доступные настройки, дабы использовать всю мощь решения.

Теперь перейдем от общего к частному, а именно к нашим участникам.

Сильная сторона решения ZyXEL G-4100 — это, прежде всего, биллинг. Возможности тарификации — самые широкие по сравнению с ближайшими конкурентами. Такое решение будет просто незаменимо для Интернет-кафе при условии, что внутренняя локальная сеть оснащена собственными средствами сетевой защиты, так как решение имеет ограниченные возможности по настройке безопасности.

Решение от D - Link - это, прежде всего, гибкость и масштабируемость. Собрав минимальную конфигурацию хотспота, можно в будущем быстро и без особого труда расширить зону покрытия. Учитывая также, что точки доступа можно подключать в режиме DHCP-клиентов, в дальнейшем расширить зону покрытия достаточно просто. Если бы предусмотреть еще несколько режимов биллинга и подключение внешней клавиатуры для быстрого выбора тарифных планов – то это решение могло бы смело претендовать на лидерство в своём сегменте.

Устройство «сделай сам» — вот так кратко можно охарактеризовать Linksys WRT54GL. В самом деле, это универсальное решение, которое можно гибко подогнать под требования заказчика (или свои собственные), используя наиболее приемлемую разновидность «прошивки». А, учитывая, что такая модернизация бесплатна, — получаем многофункциональное и защищенное решение. Единственный минус — отсутствие локального биллинга и нормальной справочной документации. Поэтому придется запасаться терпением и настраивать устройство методом проб и ошибок.

Asus 500G Premium является неким «комбайном», который позволяет быстро развернуть пункт беспроводного доступа, а наличие дополнительных возможностей, таких как создание FTP-сервера и подключение внешних периферийных устройств, делает возможным заменить сразу же несколько устройств, что актуально в условиях малого офиса. К сожалению, у этого устройства, как и у Linksys WRT54G, отсутствует локальный биллинг, а нестандартность некоторых настроек (например, режимов Operation Mode) несколько портит картину.

Таким образом, тестирование показало, что «хотспот из коробки» - не пустая выдумка маркетологов, а вполне функциональное решение, которое относительно быстро разворачивается, имеет приемлемую цену и самое главное – не требует запаса специальных знаний и навыков у оператора хотспота, а также штата сертифицированных специалистов для поддержки решения.

Редакция выражает благодарность компаниям, предоставившим оборудование для тестирования: представительствам в Украине ZyXEL (ZyXEL G-4100), Asus (Asus 500G Premium), D-Link (оборудование D-Link), а также компании DiFo RRC Group, www.dito.com.ua (Linksys WRT54G).

< Предыдущая 1 2 3 >

Константин КОВАЛЕНКО,
konstantin@sib.com.ua