Персональный межсетевой экран ZyXEL ZyWALL P1

Часть 2: тестирование производительности маршрутизатора и VPN-сервера устройства


В первой части обзора мы вкратце рассмотрели возможности, а также настройки персонального маршрутизатора ZyXEL ZyWALL P1. Эта часть будет посвящена производительности базовых возможностей и VPN-сервера данного устройства.

Тестирование производительности

Тестирование проводного сегмента — тестирование производилось по этой методике

Максимальная скорость: 51,59 Мбит/с. Посмотрим, как поведет себя трафик при уменьшении размера пакетов.

Размер пакета 512 байт:

Размер пакета 64 байт:

Тестирование NetPIPE:

Максимальная скорость: 51,82 Мбит/с. Никаких существенных аномалий в графике не наблюдается.

Маршрутизация трафика между сегментами LAN

Как уже говорилось в первой части обзора, LAN-интерфейсу устройства может быть присвоено до трех IP-адресов, что в свою очередь позволяет создать до трех подсетей в LAN-сегменте маршрутизатора. При этом устройство может осуществлять маршрутизацию и фильтрацию трафика между этими подсетями. Ниже приводится диаграмма скоростей при маршрутизации трафика между подсетями в LAN-сегменте. Фильтрация трафика во время тестирования не производилась.

Максимальная скорость: 46,57 Мбит/с.

IPSec VPN-сервер

VPN-сервер устройства позволяет установить 1 IPSec-туннель с использованием DES, 3DES и AES шифрования.

Установление IPSec-туннеля происходит в 2 этапа. Параметры каждого из этих этапов в настройках устройства задаются отдельно. Обмен ключами шифрования возможен только с использованием механизма IKE (Internet Key Exchange), ручное задание ключей шифрования не предусмотрено.

Здесь задается предварительный ключ (Pre-shared key, PSK) или сертификат, а также адрес удаленного шлюза, с которым будет устанавливаться туннель IPSec. Также выбираются параметры шифрования и аутентификации, которые будут использоваться на первой стадии установления туннеля.

Далее мы задаем, какие данные будут пересылаться по нашему туннелю (IP-адреса, подсети и др.), а также настройки шифрования передаваемых данных. 

Посмотрим, какой производительности нам удастся достигнуть при передаче данных по IPSec-туннелю с использованием 3DES и AES шифрования. Алгоритм DES рассматриваться не будет, так как на сегодняшний день его криптостойкость считается недостаточной, а пришедший ему на смену алгоритм 3DES является по своей сути тем же алгоритмом DES, примененным 3 раза подряд с различными ключами шифрования.  

Производительность IPSec VPN, 1 туннель, 3DES шифрование

Максимальная скорость: 26,46 Мбит/с, что составляет примерно половину той скорости, которая была получена без использования шифрования.

Производительность IPSec VPN, 1 туннель, AES шифрование

Максимальная скорость: 26,51 Мбит/с

Вне зависимости от используемого алгоритма шифрования, скорость трафика при использовании IPSec VPN колеблется вблизи отметки 26 Мбит/с.

Тестирование безопасности

Во время тестирования, было включено удаленное управление на WAN-порте, отключен файрвол и механизм обнаружения и предотвращения вторжений (IDP).

Результаты Nessus'а:

При настройке устройства «по умолчанию», оно отвечает по SNMP community string = public. Для устранения этой уязвимости необходимо либо отключить управление по SNMP, либо настроить файрвол так, чтобы SNMP доступ имели только те, кто должен, либо задать другое значение community string.

Также Nessus не рекомендует использовать протокол Telnet для удаленного управления, так как в данном протоколе данные (в том числе и пароли) не шифруются.

Выводы

Рассматриваемое устройство позволяет добиться примерно такой же производительности, как и его старшие братья (ZyWALL 5 и ZyWALL 70) как в стандартных режимах, так и при использовании IPSec VPN-сервера. Можно сказать, что устройство обладает нормальной производительностью в режиме NAT-маршрутизатора и достаточно высокой производительностью в режиме |IPSec VPN-сервера.

При установлении IPSec VPN-соединения возможно использование аутентификации как по предварительному ключу (Pre-shared key), так и с использованием сертификатов, которые можно загружать в устройство. Для расширенной аутентификации (Extended Authentication) при работе в режиме сервера (также возможна работа в режиме клиента) возможно использование как внешнего Radius-сервера, так и встроенной в устройство базы данных пользователей, которая может содержать до 8-ми пар логин-пароль.

Скорость трафика при работе устройства в режиме моста примерно такая же, как и при подключении через обычный коммутатор. Разница лишь в том, что в режиме моста устройство позволяет осуществлять фильтрацию трафика как и при работе в режиме маршрутизатора (по IP-адресам источника/назначения пакета, номерам портов и протоколам).

В дополнение к первой части нашего тестирования, было обнаружено, что удаленное управление по протоколу SSH может осуществляться только с использованием первой версии этого протокола (SSH версии 1), которая на текущий момент считается недостаточно безопасной. Возможности использования второй версии протокола SSH в текущей версии прошивки (V4.01(XJ.0) от 28 сентября 2006 г.) не предусмотрено. Будем надеяться, что данный недочет будет исправлен в последующих версиях прошивки.

Третью, заключительную часть обзора, посвятим возможностям антивирусной проверки трафика и возможностям защиты устройства от сетевых атак.

Плюсы:

  • Высокая производительность IPSec VPN-сервера
  • Высокая безопасность устройства при настройке SNMP и отключении протокола Telnet
  • Возможность использования сертификатов для аутентификации при установлении IPSec-туннеля
  • Возможность подробной настройки параметров IPSec-туннеля на каждом этапе установления IPSec-туннеля (напомню, что установка данного туннеля осуществляется в 2 этапа)
  • Возможность фильтрации трафика в режиме моста

Минусы:

  • Удаленное управление с использованием протокола SSH возможно только при использовании первой версии данного протокола

Навигация:

 

Оборудование предоставлено ZyXEL Communication Corporation

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.