SSL VPN-концентратор SMB-класса Netgear SSL312


На этот раз в наших руках оказалось не самое обычное устройство, предназначенное для удаленного доступа в офисную сеть без использования специального программного обеспечения. Полное название данного устройства — Netgear ProSafe VPN Concentrator SSL312 (для краткости написания, данный агрегат будем называть SSL312.

Устройство поддерживает до 25 защищенных соединений, позволяющих одновременно работать с приватной офисной сетью до 25 удаленных клиентов. Для начала рассмотрим, что собой представляет само устройство.

Спереди на устройстве расположены:

  • индикатор питания
  • индикатор теста системы
  • 2 порта Ethernet 10/100 с двумя индикаторами (состояния/активности) на каждом
  • Консольный порт
  • Кнопка сброса параметров к заводским настройкам

Сзади на устройстве расположены:

  • Выключатель питания
  • Разъем для подключения к сети (110 — 240В)

 

Вид изнутри:

Процессор устройства скрыт под радиатором, приклеенным настолько крепко, что была вероятность снять его вместе с процессором. На плате установлено 128 Мбайт SDRAM-памяти (2 × Samsung K4S511632D) и 16 Мбайт Flash-памяти (2 × Macronix MX29LV640BTTC). Ethernet-интерфейсы организованы на базе микросхем Realtek RTL8201CP.

 

Комплектация:

  • Само устройство
  • Кабель питания
  • Патчкорд RJ-45 — RJ-45
  • Консольный кабель
  • CD-диск с документацией и дополнительным ПО

Спецификация:

Устройство предназначено для предоставления возможности удаленного доступа к приватной сети предприятия, при этом не требуется дополнительного программного обеспечения — все манипуляции производятся через ActiveX — компоненты, которые могут быть загружены и установлены непосредственно с устройства, что, однако предъявляет дополнительные требования к системе: Windows (XP, 2000, 2003), Internet Explorer 5.0 или выше, в браузере должны быть установлены настройки, разрешающие использование компонентов ActiveX, клиент должен иметь доступ в систему с привилегиями администратора для установки соответствующих ActiveX-компонентов (компоненты ActiveX требуют разовой установки, последующее их использование не требует привилегий администратора), а также может потребоваться установка некоторых отдельных обновлений Windows (для работы с Удаленным рабочим столом — RDP, нам потребовалось загрузить на клиентской (!) машине определенное обновление) — адрес обновления был сообщен интерфейсом настройки. 

Что касается применения устройства, то руководство пользователя предусматривает два варианта использования:

В первом случае из двух Ethernet портов SSL312 используется только один. Граничный маршрутизатор при этом должен осуществлять доступ к SSL312 по HTTPS (SSL: 443 порт TCP/UDP) — то есть нам требуется настроить 1-2 правила форвардинга портов, чтобы HTTPS-трафик, приходящий на внешний интерфейс маршрутизатора, попадал на интерфейс SSL312. После получения доступа к SSL312 мы можем получить доступ к внутренней сети, в зависимости от настроек SSL312

Другой вариант использования задействует оба Ethernet порта SSL312, при этом SSL-трафик не проходит через файрвол. При этом одному Ethernet-порту устройства назначается публичный IP-адрес, а второму — приватный IP-адрес внутренней сети. Для работы по данной схеме необходимо включить "Routing mode" на устройстве. SSL312 не выполняет функции NAT и файрвола и не заменяет их.

SSL312 имеет два WEB-интерфейса — оба работают через SSL (HTTPS). Один из интерфейсов служит для настройки устройства, другой интерфейс служит для работы с внутренней сетью устройства — эти интерфейсы мы рассмотрим далее по ходу статьи.

Устройство также содержит несколько Java-утилит (для использования данных утилит требуется скачать и установить с сайта компании Sun Microsystems среду выполнения Java — JRE — Java Runtime Evironment): Telnet-клиент, SSH-клиент и FTP-клиент.

Рассмотрим конфигурацию устройства более подробно.

Конфигурация:

Конфигурация устройства осуществляется с помощью WEB-интерфейса настройки, доступного через SSL (HTTPS) либо через консольный кабель, подключенный к COM-порту.

Как говорилось выше, WEB-интерфейс устройства состоит из двух частей: интерфейс администратора — служит для настройки устройства и интерфейс пользователя — служит для подключения клиентов к сети.

Скриншоты WEB-интерфейса настройки устройства приведены здесь.

Скриншоты WEB-интерфейса пользователя приведены здесь.

Интерфейсы устройства по-умолчанию имеют различные IP-адреса:

  • Ethernet 1: 192.168.1.1
  • Ethernet 2: 10.0.0.1

Логин/пароль по-умолчанию: admin/password.

Устройство позволяет производить фильтрацию доступа к устройству по IP-адресу, подсети и используемым сервисам. Политики доступа разделены на глобальные, групповые и пользовательские. Пользовательские политики имеют приоритет над групповыми, групповые политики, в свою очередь, имеют приоритет над глобальными. 

Устройство поддерживает работу с несколькими доменами аутентификации — необходимый домен выбирается при входе в систему. Для аутентификации на устройстве возможно использование локальной базы данных пользователей и паролей, домена Windows NT, LDAP-сервера, сервера Active Directory, RADIUS-сервера (PAP, CHAP, MSCHAP, MSCHAPv2) — для доступа к устройству с использованием аутентификации через удаленный сервер, сервер должен быть доступен, и до него должна быть настроена маршрутизация трафика (при необходимости). Для простоты картины мы будем рассматривать устройство с использованием только локальной базы данных пользователей.   

Для работы с сетевыми сервисами удаленной локальной сети предусмотрено два варианта: VPN-туннель, который устанавливается между пользователем и устройством или перенаправление портов (Port Forwarding). Оба способа имеют преимущества и недостатки. VPN-туннель позволяет организовать полноценную связь с удаленной локальной сетью, но при этом не позволяет производить отдельных настроек для каждого сервиса. Перенаправление портов позволяет работать только с TCP-соединениями (UDP и другие IP-протоколы не поддерживаются), правила для каждого приложения задаются отдельно.

При настройке VPN-туннеля задается диапазон используемых IP-адресов, которые назначаются подключаемому пользователю — данные адреса не должны пересекаться с IP-адресами, работающими в локальной сети, к которой мы подключаемся посредством VPN-туннеля. Также присутствует возможность задавать правила маршрутизации для VPN-туннеля. 

Настройка форвардинга портов содержит задание IP-адреса и номеров портов, к которым разрешено удаленное подключение.

Каждое такое правило может включать только один TCP-порт, так что если нужно разрешить использование 10 портов — придется создавать 10 правил. 

Следующим этапом мы настраиваем портал доступа — параметры пользовательского интерфейса. Устройство может иметь несколько порталов с различными параметрами. Доступ к другим порталам осуществляется изменением URL: https://10.0.0.215/portal/<название_портала>. Каждому порталу можно назначить следующие параметры:

Данные параметры отвечают за доступные пользователю разделы портала.

Здесь задается список и параметры приложений — данные приложения могут запускаться при подключении к удаленному рабочему столу по протоколу RDP — при подключении к удаленному рабочему столу сразу запускается необходимое приложение, при закрытии приложения удаленный сеанс закрывается. В портале по-умолчанию (данный портал имеет название "SSL-VPN") "забито" несколько офисных приложений, но при этом неправильно указаны пути, по которым это приложение вызывается.

Из интерфейса конфигурации мы можем сразу запустить выбранный портал — Launch Portal в главном меню — при этом мы попадаем в пользовательскую часть интерфейса настройки.

Общий вид портала пользователя приведен на скриншоте далее

В главном меню справа расположены все пункты, включенные при настройке портала. Если при настройке портала мы отключим некоторые функции — они не будут отображаться в главном меню.

Как говорилось выше, ряд функций портала реализованы через ActiveX приложения и устанавливаются прямо из браузера. Для таких функций, как Telnet и SSH-клиент потребуется установка JRE (Java Runtime Environment), который можно скачать на сайте компании Sun Microsystems.

На скриншоте выше также показано окно ActiveX-приложения, отвечающего за VPN-туннель к удаленной сети.

Пункт меню Applications позволяет сразу запустить приложение с использованием удаленного рабочего стола

При запуске приложения нам предлагается ввести IP-адрес компьютера, на котором мы собираемся запустить данное приложение, а также разрешение экрана, при котором будет осуществлено подключение к удаленному рабочему столу. Напомню, что если в настройках портала будет неправильно указан полный путь к приложению — приложение не запустится. 

Для подключения к удаленному рабочему столу используется меню "Remote Access" в главном меню портала.

Для подключения может использоваться протокол удаленного рабочего стола Microsoft (RDP) или протокол VNC (Virtual Network Computing — данный протокол позволяет также подключаться с системам на базе Windows, Linux и др. — для этого на системе, к которой производится подключение, должен быть установлен серверный модуль VNC). Клиентская часть VNC реализована в виде Java-приложения. 

Меню "Network Places" позволяет получить доступ к компьютерам сети с открытыми сетевыми папками (Samba). При этом возможно как скачивание, так и закачивание файлов.

Как можно увидеть на скриншоте выше, устройство некорректно отображает русскоязычные названия файлов и папок.

Запуск форвардинга портов, так же, как и установка VPN-соединения осуществляется одним щелчком мышки.

Если данный ActiveX-элемент еще не установлен в системе — появятся запросы на его установку. Напомним также, что возможность перенаправления портов работает только с TCP-соединениями. Для установления соединения с компьютером в удаленной сети по заданному порту достаточно указать его IP-адрес и порт (при необходимости) после запуска ActiveX-приложения — система самостоятельно направит соединение в удаленную сеть. 

Пункт меню "Utilities" содержит три утилиты:

  • Telnet-клиент
  • SSH-клиент
  • FTP-клиент

Telnet и SSH-клиенты представляют собой полноценные Java-приложения (требуют установки JRE).

Однако нам не удалось установить SSH-подключение с использованием протокола SSH версии 2. После ввода логина и пароля мы без проблем подключаемся к удаленной машине

Таким образом, данное устройство позволяет получить доступ в удаленную локальную сеть без использования сложных специальных приложений — для доступа в удаленную сеть используется всего лишь один единственный TCP-порт — порт 443 (HTTPS). Таким образом, для осуществления полноценного доступа к удаленной локальной сети нам достаточно задать одно правило на маршрутизаторе для осуществления полноценного доступа ко всем сервисам.

Если нас не устраивают возможности приложений RDP, VNC, SSH и Telnet, реализованные на устройстве, — мы можем использовать VPN-подключение или подключение с использованием Port Forwarding, которые позволяют использовать все сервисы удаленной локальной сети, как будто бы мы находимся внутри этой сети.

Все эти возможности реализованы исключительно в самом устройстве, никакого дополнительно программного обеспечения и настроек со стороны пользователя не требуется (за исключением ОС Windows XP и JRE — Java Runtime Environment).

Тестирование:

Тестирование устройства проводилось следующим образом. Удаленный клиент подключался к устройству с использованием VPN-подключения. Компьютер, который играл роль генератора трафика, подключен ко второму порту устройства — устройство работало в так называемом Routing mode (подключение производится к одному Ethernet-порту устройства, а сеть, к которой осуществляется доступ, — к другому Ethernet-порту). Таким образом, мы посмотрим на скорость, обеспечиваемую VPN-туннелем.

Условные обозначения:

  • in — трафик, попадающий на устройство через VPN-туннель
  • out — трафик, исходящей с устройства через VPN-туннель
  • fdx — трафик движется через VPN-туннель в обоих направлениях

Максимальная скорость: 6,26 Мбит/с — не очень много, по нынешним меркам, но вполне достаточно для обеспечения доступа к удаленной сети посредством удаленного рабочего стола, SSH, Telnet и VNC. При одновременном подключении 25-ти пользователей к удаленной локальной сети комфорт может несколько пострадать.

Рассмотрим аналогичную ситуацию, но для пересылки трафика используем возможности утилиты Port Forwarding

Максимальная скорость: 15,68 Мбит/с. Использование возможности Port Forwarding существенно повышает скорость трафика, но позволяет использовать только TCP-соединения. В полнодуплексном режиме скорость входящего на устройство трафика существенно ниже скорости исходящего. 

Безопасность:

Так как данное устройство предусматривает подключение в обход файрвола, был проведен стандартный тест на безопасность. Его результаты приведены далее:

Nessus не находит ни одной уязвимости.

Доступность:

Средняя розничная цена (по Москве) на рассматриваемое в статье устройство на последний момент: Н/Д(1)

Выводы:

Рассмотренное устройство оказалось достаточно интересным, так как подпадает под разряд типично рассматриваемого нами оборудования. В нем реализованы возможности управления удаленными рабочими станциями и получения полного доступа к удаленной рабочей сети, что позволяет сотрудникам компании, находясь в командировке (как пример) и имея доступ к сети Интернет, без проблем работать в сети предприятия — для этого нужно знать только "внешний" IP-адрес устройства — необходимости иметь какое-либо дополнительно программное обеспечение или знать настройки VPN не требуется — все это реализовано через WEB-интерфейс устройства.

Серьезным упущением для такого устройства является отсутствие поддержки динамического DNS, так как не все компании имеют статический IP-адрес, и пользоваться IP-адресами рядовые пользователи не приучены.

Помимо упрощенного доступа к удаленной локальной сети, в рассмотренном устройстве реализованы возможности подключения к удаленному рабочему столу без установления VPN-соединений или настройки возможности Port Forwarding. Также в устройстве реализованы возможности централизованной аутентификации пользователей, что избавляет администратора от необходимости отдельно заводить учетные записи для каждого пользователя.

Для осуществления всех вышеперечисленных возможностей используется всего лишь один TCP-порт на устройстве — https (443). Таким образом, если устройство находится за пределами NAT-маршрутизатора, то на маршрутизаторе необходимо добавить лишь одно правило форвардинга для полноценной работы устройства.

Высокий уровень безопасности также положительно сказывается на нашем личном отношении к устройству, но омрачает картину то, что, несмотря на все усилия, нам не удалось подключиться к удаленному компьютеру с использованием SSH-протокола второй версии.

Плюсы:

  • Возможность централизованной аутентификации пользователей
  • Все возможности реализованы через WEB-интерфейс (пользователю не требуется дополнительного программного обеспечения)
  • Высокая безопасность устройства
  • Наличие встроенных утилит: SSH-, Telnet-, FTP- и SMB-клиенты
  • Возможность полноценного доступа к сети предприятия за счет VPN-подключения и форвардинга портов — все это осуществляется за счет ActiveX-компонентов, устанавливаемых через WEB-интерфейс
  • Для работы устройства требуется всего лишь один TCP-порт

Минусы:

  • Нет возможности использования второй версии протокола SSH
  • Нет возможности использования динамического DNS

 

Оборудование предоставлено российским представительством компании Netgear

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.