Файрволл D-Link DFL-210

Часть 1: спецификация, настройки

Этот, а также несколько следующих обзоров будут посвящены Интернет-файрволу D-Link DFL-210.

Содержание

  1. Общие сведения
  2. Вид изнутри
  3. Спецификация
  4. Конфигурация
  5. Тестирование производительности базовых функций
  6. Доступность
  7. Выводы (базовые настройки, производительность)
  8. IPSec VPN-сервер
  9. Тестирование производительности IPSec VPN-сервера
  10. PPTP VPN-сервер
  11. Тестирование производительности PPTP-сервера
  12. Тестирование производительности PPTP-клиента
  13. Выводы (IPSec VPN-сервер, PPTP VPN-сервер, PPTP VPN-клиент)
  14. L2TP VPN-сервер
  15. Тестирование производительности L2TP VPN-сервера
  16. Шейпинг трафика
  17. Тестирование возможностей шейпинга трафика
  18. IDS предотвращение вторжений
  19. Выводы (L2TP VPN-сервер, шейпинг трафика, IDS)

Функциональные возможности устройства: Интернет-маршрутизатор с 4-хпортовым коммутатором на LAN-интерфейсе, IPSec, PPTP и L2TP VPN серверами, механизмом обнаружения и предотвращения вторжений, возможностью шейпинга трафика. Так как устройство названо файрволом, оно имеет достаточно много возможностей безопасности, о которых будет более подробно рассказано в цикле статей, посвященных этому устройству. 

На устройстве расположены следующие индикаторы:

  • Индикатор питания
  • Индикатор статуса
  • Индикатор активности порта WAN
  • Индикатор активности порта DMZ
  • Индикатор активности на каждом из 4-х LAN-портов

Сзади на устройстве расположены:

  • Консольный порт
  • 4 порта LAN
  • Порт DMZ
  • Порт WAN
  • Кнопка Reset — сброс параметров
  • Разъем питания

 

Комплектация устройства:

  • Сам файрвол
  • 2 кабеля RJ-45 — RJ-45 длиной 2 метра
  • Диск с инструкцией
  • Консольный кабель для подключения к COM-порту
  • Блок питания (длина провода около 2-х метров)

Вид изнутри

Устройство выполнено на базе процессора Intel IXP422 (266МГц, аппаратная поддержка алгоритмов SHA-1, MD5, DES/3DES, AES, 2 MII — интерфейса, поддержка 33/66 МГц PCI-шины, USB 1.1, низкое энергопотребление).

Блок-схема работы процессора представлена ниже

На плате установлено:

  • Realtek 8100B — Fast Ethernet контроллер с возможностью Power Management
  • Realtek 8305SB — 5-типортовый коммутатор Fast Ethernet
  • Promise Technology PDC-20275 — ATA-контроллер — судя по всему, через него организован интерфейс к CompactFlash карточке, установленной на основной плате устройства
  • 4 Мбайт Flash-памяти Intel TE28F320
  • 128 Мбайт SDRAM-памяти (4 * Hynix HY57V561620CT-H, PC133)

Спецификация

корпуспластиковый, допускается горизонтальная установка, а также подвес на стену
исполнениеIndoor
проводной сегмент
WANтипFast Ethernet
количество портов1
auto MDI/MDI-Xда
типы поддерживаемых соединенийфиксированный IPда
динамический IPда
PPPoEда
PPTPда
L2TPда
IPSecда
LANколичество портов4
auto MDI/MDI-Xда
ручное блокирование интерфейсовнет
возможность задания размера MTU вручнуюнет
основные возможности
конфигурирование устройства и настройка клиентовадминистрированиеWEB-интерфейсда
WEB-интерфейс через SSLда
собственная утилитанет
telnetнет
sshнет
COM-портда
SNMPда
возможность сохранения и загрузки конфигурациида
встроенный DHCP серверда
поддержка UPnPнет
метод организации доступа в ИнтернетNetwork Address Translation (NAT-технология)да
возможности NATone-to-many NAT (стандартный)да
one-to-one NATда
возможность отключения NAT (работа в режиме роутера)да
Встроенные VPN-сервераIPSecда
PPTPда
L2TPда
Traffic shaping (ограничение трафика)да
DNSвстроенный DNS-сервер (dns-relay)да
поддержка динамического DNSда
внутренние часыприсутствуют
синхронизация часовда, SNTP
встроенные утилитыICMP pingда
tracerouteнет
resolvingнет
логирование событийда, системные события, файрвол
логирование исполнения правил файрволада
способы хранениявнутри устройствада
на внешнем Syslog сервереда
отправка на emailда
SNMPподдержка SNMP Readда
поддержка SNMP Writeнет
поддержка SNMP Trapsнет
Роутинг
статический (задания записей вручную)да
динамический роутингнет
возможности VPN
сервер IPSecтипы аутентификацииpre shared keyда
сертификатыда
алгоритмы хешированияSHA1да
MD5да
алгоритмы шифрованияяDESда
3DESда
AESда
сервер L2TPда, более подробно о нем будет рассказано в следующих обзорах
сервер PPTPда, более подробно о нем будет рассказано в следующих обзорах
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)да, в правилах возможно его отключение
наличие фильтров/файрволада, широкие возможности настройки
типы фильтровпо MAC адресунет
по source IP адресуда, в том числе по диапазону или подсети
по destination IP адресуда, в том числе по диапазону или подсети
по протоколуда, TCP/UDP/TCP&&UDP/ICMP ...
по source портуда, в том числе по диапазону
по destionation портуда, в том числе по диапазону
привязка ко временида
по URL-уда
по доменуда
работа со службами списков URL для блокировкинет
тип действияallowда
denyда
logда
поддержка спец.приложений (netmeeting, quicktime, etc)H323, FTP
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверада
возможность задания DMZда
traffic shaping
типы шейпинга
ограничение трафика по критериямда
критерии задания правила для ограничений
src interface lan/wanда
dst interface lan/wanда
src ip/rangeда, в том числе по диапазону или подсети
dst ip/rangeда, в том числе по диапазону или подсети
src protocol TCP,UDP, TCP&UDP
dst protocolTCP,UDP, TCP&UDP
src port/rangeда, в том числе по диапазону
dst port/rangeда, в том числе по диапазону
привязка ко временида
Версия прошивки 2.04.01 Nov 17 2005
питание
тип БПвнешний, 5VDC, 3A
поддержка 802.1af (PoE)нет

По сути, устройство является обычным маршрутизатором, с расширенной настройкой безопасности, возможностями обнаружения вторжений и шейпинга трафика.

На момент написания обзора на сайте D-Link не было никакой информации о представленном устройстве, поэтому документацию на устройство можно найти здесь (~14 Мб).

Конфигурация

Конфигурацию устройства можно производить через консольный порт с использованием CLI (Command Line Interface, интерфейс командной строки) или через WEB-интерфейс (как с использованием SSL, так и без него).

Интерфейс настройки через командную строку достаточно сложен и имеет большое количество команд, но может пригодиться при первоначальной настройке устройства. Его основное предназначение — получение сведений, а не задание настроек (даже IP-адрес сменить нельзя). Зато сброс параметров и даже восстановление первоначальной версии прошивки осуществляется через него.

Основная настройка устройства осуществляется через WEB-интерфейс, который выполнен в стиле XP, что, несомненно, делает его более привлекательным, но, к сожалению, более легким он от этого не становится. На то, чтобы разобраться, как пользоваться интерфейсом настройки у меня ушло достаточно много времени, зато это "усложнение" позволило добиться большей гибкости настройки. Также можно сказать, что WEB-интерфейс устройства очень громоздкий (одних только скриншотов без подробностей настройки получилось более 150).

Скриншоты WEB-интерфейса настройки приведены здесь.

Список параметров SNMP приведен здесь.

Рассмотрим некоторые настройки WEB-интерфейса более подробно. Как говорилось выше, WEB-интерфейс устройства достаточно гибок и поэтому сложен (то есть простота принесена в жертву ради большей гибкости). Это заключается в задании большого количества мелких параметров, которые сами по себе не имеют смысла (например, отдельно создается список IP-адресов и отдельно создается список всевозможных сервисов, а затем адреса и сервисы из этих списков используются при создании списка правил фильтрации). Таким образом, получаются зависимости (наподобие тех, что возникают в базах данных), которые можно нарушить, удалив, например, из списка сервисов тот, который фигурирует в каком-либо правиле фильтрации. При этом устройство не позволит произвести сохранение конфигурации до избавления от подобных "потерянных" связей.

Наглядный пример вышесказанного — назначение IP-адресов различным интерфейсам. В устройстве присутствует список различных IP-адресов и подсетей, в который мы можем добавлять и удалять различные пункты


рис. 1

То есть в список, представленный на рис. 1, мы можем добавлять пункты с любыми именами и адресами. Для того чтобы сменить IP-адрес интерфейса устройства, потребуется в другом пункте меню "связать" конкретный интерфейс с адресом из этого списка, а также задать подсеть и адрес шлюза для интерфейса (эти параметры также берутся из списка, представленного на рис. 1).


рис. 2

Для хранения логов, можно использовать внутреннюю память устройства, Syslog-сервер или отправлять логи по электронной почте. Адрес Syslog-сервера можно выбрать из списка, представленного на рис. 1 и рис. 2 (можно заметить, что списки на этих рисунках несколько различаются — это связано с тем, что они могут храниться в виртуальных каталогах, содержимое одного из которых представлено на рис. 1, а содержимое остальных прослеживается на рис. 2)


рис. 3

При создании DHCP-сервера, возможно задание большого количества дополнительных опций (использование данных опций происходит в том случае, если DHCP-клиент распознает соответствующие настройки и производит конфигурацию с их использованием). Примером такой дополнительной опции служит "Default IP TTL" (Time to Leave по умолчанию для IP-пакетов). Список этих параметров приведен здесь.


рис. 4

Устройство позволяет задать достаточно много различных параметров верификации, логирования и передачи трафика, однако эти настройки не имеют описания в документации. Пункт меню с этими настройками назван "Advanced Settings" (расширенные настройки). Среди этих настроек задается TTL IP пакетов устройства, что делать с IP-пакетами, имеющими адрес источника 0.*.*.*, что делать с TCP-пакетами, с одновременно установленными флагами SYN и FIN (иногда используются при сетевых атаках) и т.д. Как варианты действий — можно отбрасывать (в том числе с фиксацией в логах), либо пропускать (в том числе с фиксацией в логах). Полный список настроек этой группы можно увидеть здесь, здесь, здесь, здесь, здесь, здесь, здесь, здесь и здесь.

В разделе "Application Layer Gateways", помимо опций, позволяющих работать через NAT таким протоколам как FTP и H.323 (использование данных протоколов через обычную трансляцию адресов невозможно без дополнительных приемов, так как в самих пакетах передаются адреса источника и назначения пакетов), можно обнаружить пункт "HTTP ALG"


рис. 5

Данная возможность позволяет проводить фильтрацию WEB по URL WEB-страницы, а также блокировать ActiveX и JAVA-приложения, скрипты Javascript/VBScript и Cookies.

При задании правил файрвола, политик маршрутизации, настройке шейпинга трафика, а также при настройке некоторых других параметров, возможно использование расписания ("Schedule"). Это позволяет задать интервалы времени, в которые эти параметры будут применяться. Точность задания правил расписания — 1 час. Возможно задание времени начала и окончания действия расписания (день/месяц/год)


рис. 6

Настройка IPSec, PPTP и L2TP VPN-серверов будет вкратце рассмотрена в следующих частях обзора, посвященного этому устройству.

При создании правил фильтрации, возможно использование следующих действий:

  • Drop (запрет на установку соединения)
  • Reject (запрет на установку соединения с отправкой сообщения источнику пакета о невозможности его доставки)
  • FwdFast (передача пакета без SPI (Stateful Packet Inspection))
  • Allow (разрешает установление соединения)
  • SAT (Static Address Translation — позволяет изменить адрес и порт источника или назначения)
  • NAT (Network Address Translation — позволяет изменить адрес источника пакетов)

Обычно, при установлении соединения, файрвол создает специальную запись, которая позволяет не проводить проверку всех пакетов, а проверять только первые пакеты — то есть через список правил фильтрации проходят только пакеты, устанавливающие соединения, а остальные пакеты не подвергаются проверке (если соединение будет установлено, то все пакеты данного соединения будут пропускаться через файрвол). Этот механизм называется Stateful Packet Inspection (SPI). Действие FwdFast фильтра позволяет избежать создания таких записей — это может быть полезно, в случае если нам по каким-либо причинам нужно проверять каждый пакет (что существенно замедляет работу), либо если пакеты проходят настолько редко, что держать в памяти такую запись бессмысленно.

Механизм SPI может также работать с протоколами, которые сами по себе не устанавливают устойчивых соединений (например, UDP) — при этом такие записи в файрволе создаются при прохождении первого пакета через файрвол и удаляются по истечении какого-то определенного периода времени с момента прохождения последнего (данный интервал времени можно задать в разделе расширенных настроек — "Advanced Settings"). 

Использование пункта "ARP Table" позволяет производить статическое связывание MAC-адресов с IP-адресами, а также создавать дополнительные IP-адреса на интерфейсах устройства (LAN, WAN, DMZ) с различными MAC-адресами (однако как я не пытался "заглушить" MAC-адрес по умолчанию, сделать этого мне не удалось. Получается, что я могу создавать виртуальные интерфейсы с заданными мной MAC-адресами и присваивать им IP-адреса, но отключить или изменить аппаратный MAC-адрес интерфейса я не могу). 

Устройство позволяет создавать политики маршрутизации — Policy Routing (наподобие тех, что можно создавать в Linux, используя iproute2). Для этого создаются собственные таблицы маршрутизации, состоящие из ряда маршрутов (которые в свою очередь определяют, куда будут посылаться пакеты, адрес назначения которых указанная сеть: интерфейс, адрес шлюза, адрес, который станет адресом источника пакетов в случае, если интерфейс имеет несколько IP-адресов)


рис. 7

и самих политик, которые могут направлять трафик в определенную таблицу маршрутизации в зависимости от адресов источника/назначения, протоколов и портов (в случае протокола TCP или UDP), расписания, а также адресов и интерфейсов источника и назначения пакетов.


рис. 8

Устройство имеет возможность обнаружения и предотвращения вторжений — в устройстве хранятся сигнатуры, позволяющие обнаруживать и предотвращать попытки вторжения. Данные сигнатуры можно обновлять (в том числе в автоматическом режиме). Возможности настройки данной возможности мы рассмотрим в следующих обзорах, посвященных данному устройству.  

Также возможно создание внутренней базы данных пользователей иили использование внешнего сервера RADIUS для аутентификации (используется, например, как список пользователей, подключающихся к PPTP-серверу). 

Возможности шейпинга трафика также будут рассмотрены в следующем обзоре.

Отображению различной статистики посвящен отдельный пункт меню, который содержит в себе следующие пункты:

  • System
  • Logging (логи устройства)
  • Connections (текущие соединения — таблица SPI)
  • Interfaces (отображает загрузку интерфейсов по времени, текущие IP-адреса)
  • IPSec (загрузка IPSec VPN-соединений)
  • UserAuth
  • Routes
  • DHCP Server (клиенты DHCP-сервера)
  • IDS (статистика "обнаружения вторжений")

Именно из этой статистики было определено (напомню, что спецификации устройства пока нет на сайте компании D-Link), что устройство имеет 128 Мбайт оперативной памяти, поддерживает до 12000 одновременных соединений, позволяет устанавливать 100 IPSec-туннелей, 100 PPP-соединений и использовать до 500 правил фильтрации файрвола.

 

В заключение скажу, что применение настроек не происходит до момента их сохранения — то есть можно сначала внести все необходимые соединения, а затем включить новые настройки разом. Но сохранение конфигурации, как оказалось, является не очень простой задачей для неподготовленного пользователя. После выполнения "сохранения настроек" для их окончательного применения и запоминания необходимо зайти на WEB-интерфейс устройства в течение определенного промежутка времени (его также можно задать). Сделано это, судя по всему, для того, чтобы случайно не изменить настройки удаленного устройства так, что сам администратор потеряет к нему доступ. По истечении этого промежутка времени, в случае если администратор не зашел на интерфейс устройства, возвращаются первоначальные настройки.

Мне пришлось сразу сменить IP-адрес LAN-интерфейса устройства, но он не менялся до тех пор, пока я не менял адрес своего подключения и не заходил на WEB-интерфейс, причем сделать это было нужно в течение ограниченного промежутка времени (по умолчанию 30 с. — этого явно может не хватить на то, чтобы сменить IP-адрес соединения и снова зайти на WEB-интерфейс). 

Тестирование производительности

Тестирование проводного сегмента

Тестирование проводилось по этой методике

Максимальная скорость: 67,90 Мбит/с — достаточно высокий показатель. В полнодуплексном режиме скорость трафика несколько снижается, а скорость в направлении WAN->LAN становится существенно ниже скорости в направлении LAN->WAN.

Посмотрим, как ведет себя трафик при уменьшении размера пакетов: 


Тестирование NetPIPE

Максимальная скорость: 76,45 Мбит/с. При увеличении размера передаваемого блока данных, скорость сначала возрастает, некоторое время держится максимума, а затем заметно падает (с ~70 Мбит/с до ~40 Мбит/с) — аномальное поведение.

Доступность

Средняя розничная цена на рассматриваемое в статье устройство на последний момент: Н/Д(0)

Выводы

Рассмотренное устройство имеет достаточно широкие функциональные возможности, часть которых (VPN-сервер, шейпинг трафика и др.) будет рассмотрена в следующих обзорах.

Устройство является достаточно новым — на сайте D-Link его описание пока отсутствует.

По своей функциональности устройство является маршрутизатором с более широкими возможностями настройки (если сравнивать его с "обычными" NAT-маршрутизаторами). Настройка устройства может осуществляться только через WEB-интерфейс, который позволяет производить достаточно гибкую настройку устройства, но за счет этого достаточно сложен — на то, чтобы привыкнуть к работе с ним может потребоваться немало времени.

При проверке работы WEB-интерфейса в различных браузерах, было обнаружено, что в Opera браузер работает некорректно. В InternetExplorer и Mozilla FireFox проблем с интерфейсом настройки не возникало.

Консольный интерфейс устройства не позволяет производить настройку устройства — через него возможен только сбор информации и сброс настроек.

При увеличении блока передаваемых данных, скорость трафика заметно снижается, что является аномальным поведением.

Плюсы:

  • Гибкость интерфейса настройки
  • Широкие возможности настройки файрвола
  • Возможность работы с политиками маршрутизации
  • Наличие в устройстве 3-х VPN-серверов (IPSec, PPTP, L2TP)
  • Возможность обнаружения и предотвращения вторжений
  • Возможность шейпинга трафика

Минусы:

  • Невозможность отключения аппаратного MAC-адреса на интерфейсах устройства
  • Сложность WEB-интерфейса
  • Невозможность настройки через консольный интерфейс
  • Заметное снижение производительности при увеличении блоков передаваемых данных
  • Отсутствие описания расширенных настроек ("Advanced Settings") в документации

 

Оборудование предоставлено российским представительством компании D-Link

 




31 мая 2006 Г.

D-Link DFL-210

D-Link DFL-210

1: ,

, - D-Link DFL-210.

  1. ( , )
  2. IPSec VPN-
  3. IPSec VPN-
  4. PPTP VPN-
  5. PPTP-
  6. PPTP-
  7. (IPSec VPN-, PPTP VPN-, PPTP VPN-)
  8. L2TP VPN-
  9. L2TP VPN-
  10. IDS
  11. (L2TP VPN-, , IDS)

: - 4- LAN-, IPSec, PPTP L2TP VPN , , . , , , . 

:

  • WAN
  • DMZ
  • 4- LAN-

:

  • 4 LAN
  • DMZ
  • WAN
  • Reset —

 

:

  • 2 RJ-45 — RJ-45 2
  • COM-
  • ( 2- )

Intel IXP422 (266, SHA-1, MD5, DES/3DES, AES, 2 MII — , 33/66 PCI-, USB 1.1, ).

-

:

, ,
Indoor
WAN Fast Ethernet
1
auto MDI/MDI-X
IP
IP
PPPoE
PPTP
L2TP
IPSec
LAN 4
auto MDI/MDI-X
MTU
WEB-
WEB- SSL
telnet
ssh
COM-
SNMP
DHCP
UPnP
Network Address Translation (NAT-)
NAT one-to-many NAT ()
one-to-one NAT
NAT ( )
VPN- IPSec
PPTP
L2TP
Traffic shaping ( )
DNS DNS- (dns-relay)
DNS
, SNTP
ICMP ping
traceroute
resolving
, ,
Syslog
email
SNMP SNMP Read
SNMP Write
SNMP Traps
( )
VPN
IPSec pre shared key
SHA1
MD5
DES
3DES
AES
L2TP ,
PPTP ,
SPI (Stateful Packet Inspection) ,
/ ,
MAC
source IP ,
destination IP ,
, TCP/UDP/TCP&&UDP/ICMP ...
source ,
destionation ,
URL-
URL
allow
deny
log
. (netmeeting, quicktime, etc) H323, FTP
public/private
DMZ
traffic shaping


src interface lan/wan
dst interface lan/wan
src ip/range ,
dst ip/range ,
src protocol TCP,UDP, TCP&UDP
dst protocol TCP,UDP, TCP&UDP
src port/range ,
dst port/range ,
2.04.01 Nov 17 2005
, 5VDC, 3A
802.1af (PoE)

, , , .

D-Link , (~14 ).

CLI (Command Line Interface, ) WEB- ( SSL, ).

, . — , ( IP- ). .

WEB-, XP, , , , , , . , , , "" . , WEB- ( 150).

WEB- .

SNMP .

WEB- . , WEB- ( ). , (, IP- , ). , ( , ), , , , , - . "" .

— IP- . IP- ,


. 1

, . 1, . IP- , "" , ( , . 1).


. 2

, , Syslog- . Syslog- , . 1 . 2 ( , — , , . 1, . 2)


. 3

DHCP-, ( , DHCP- ). "Default IP TTL" (Time to Leave IP-). .


. 4

, , . "Advanced Settings" ( ). TTL IP , IP-, 0.*.*.*, TCP-, SYN FIN ( ) .. — ( ), ( ). , , , , , , , .

"Application Layer Gateways", , NAT FTP H.323 ( , ), "HTTP ALG"


. 5

WEB URL WEB-, ActiveX JAVA-, Javascript/VBScript Cookies.

, , , , ("Schedule"). , . — 1 . (//)


. 6

IPSec, PPTP L2TP VPN- , .

, :

  • Drop ( )
  • Reject ( )
  • FwdFast ( SPI (Stateful Packet Inspection))
  • Allow ( )
  • SAT (Static Address Translation — )
  • NAT (Network Address Translation — )

, , , , — , , ( , ). Stateful Packet Inspection (SPI). FwdFast — , - ( ), , .

SPI , (, UDP) — - ( — "Advanced Settings"). 

"ARP Table" MAC- IP-, IP- (LAN, WAN, DMZ) MAC- ( "" MAC- , . , MAC- IP-, MAC- ). 

— Policy Routing ( , Linux, iproute2). , ( , , : , , , , IP-)


. 7

, /, ( TCP UDP), , .


. 8

— , . ( ). , .  

\ RADIUS (, , , PPTP-). 

.

, :

  • System
  • Logging ( )
  • Connections ( — SPI)
  • Interfaces ( , IP-)
  • IPSec ( IPSec VPN-)
  • UserAuth
  • Routes
  • DHCP Server ( DHCP-)
  • IDS ( " ")

(, D-Link), 128 , 12000 , 100 IPSec-, 100 PPP- 500 .

 

, — , . , , . " " WEB- ( ). , , , , . , , .

IP- LAN- , , WEB-, ( 30 . — , IP- WEB-). 

: 67,90 / — . , WAN->LAN LAN->WAN.

, : 


NetPIPE

: 76,45 /. , , , ( ~70 / ~40 /) — .

:

, (VPN-, .) .

— D-Link .

( "" NAT-). WEB-, , — , .

WEB- , , Opera . InternetExplorer Mozilla FireFox .

— .

, , .

:

  • 3- VPN- (IPSec, PPTP, L2TP)

:

  • MAC-
  • WEB-
  • ("Advanced Settings")