Беспроводной мультимедиа-сервер и VPN роутер OvisLink WMU-9000VPN


В этой статье рассматривается беспроводной роутер OvisLink WMU-9000VPN с поддержкой VPN.

Функциональные возможности: точка доступа стандарта IEEE 802.11g, 4-х портовый коммутатор 10/100, NAT-роутер с возможностью фильтрации пакетов, принт-сервер или сервер веб-камеры, FTP-сервер, VPN-сервер, E-mail мониторинг.

На роутере расположены следующие индикаторы:

  • индикатор питания
  • индикатор статуса
  • индикатор PPPoE
  • индикаторы E-mail мониторинга
  • индикатор активности беспроводного соединения
  • индикаторы активности на порте WAN
  • индикаторы активности на каждом из 4-х LAN портов

На задней панели расположены:

  • 4 × LAN порта
  • 1 × WAN порт
  • 4 × USB порта
  • разъем питания
  • кнопка Reset (сброс параметров).

В комплект входит: БП, роутер, метровый патчкорд, диск с утилитами и описанием, инструкция на 6-и языках (без русского).

Вид изнутри

Процессор: MIPS, частота 170 МГц, Brecis 2006 (на протяжении всего периода написания статьи сайт компании BRECIS был недоступен, поэтому дополнительной информации о процессоре нет)
Память:

  • 8 Мб Flash памяти
  • 32 Мб SDRAM памяти (2 микросхемы M12L128168A-7T по 16 Мб)

USB интерфейс реализован через 4-портовый USB 2.0 хост-контроллер (VIA VT6212).
Что находится под радиатором осталось неизвестным, так как радиатор припаян к самой плате, но, судя по разводке на плате, — это Ethernet-свитч.
Автоопределение полярности на портах LAN и WAN осуществляется микросхемами HN1664C и NH2064C.

Беспроводной интерфейс реализован при помощи mini-PCI карты на чипах компании Intersil, но сейчас она этими решениями уже не занимается. То подразделение, что занималось, куплено компанией Conexant. К сожалению, ни на сайте Intersil.com, ни на Conexant.com упоминаний об этих решениях (поиск по индексам) не обнаружено.

Также привлекает внимание очень большая длина антенного кабеля.

Спецификации устройства:

корпуспластиковый, допускается горизонтальная установка или подвес на стену
проводной сегмент
WANколичество портов1
auto MDI/MDI-Xда
типы поддерживаемых соединенийфиксированный IPда
динамический IPда
PPPoEда
PPTPда
L2TPда
IPSecнет
LANколичество портов4
auto MDI/MDI-Xда
ручное блокирование интерфейсовнет
возможность задания размера MTU вручнуюда, на WAN интерфейсе
Беспроводной сегмент
антеннаколичество1
типодна внешняя дипольная
возможность замены антенны/тип коннектораесть/r-SMA
принудительное задание номера рабочей антенны-
поддерживаемые стандарты и скорости802.11b11, 5, 2, 1 Mbit/sec
802.11g54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
расширения протокола 802.11gда, TurboMode
возможность ручного задания скоростинет
выходная мощностьсредняя??
802.11b @11Mbit/s??
802.11g @54Mbit/s??
чувствительность приемника802.11b @11Mbit/s??
802.11g @54Mbit/s??
работа с другой APподдержка WDS (мост)нет
поддержка WDS + APнет
возможность работы в режиме клиентанет
wireless repeater (повторитель)нет
безопасностьблокировка широковещательного SSIDда
привязка к MAC адресамда
WEP шифрование64/128bit
WPA шифрованиенет
WPA-PSK (pre-shared key)нет
802.1xнет
основные возможности
конфигурирование устройства и настройка клиентовадминистрированиеWEB-интерфейсда
собственная утилитанет
telnetнет
sshнет
COM-портнет
SNMPнет
возможность сохранения и загрузки конфигурациида
встроенный DHCP серверда
поддержка UPnPда
метод организации доступа в ИнтернетNetwork Address Translation (NAT-технология)да
возможности NATone-to-many NAT (стандартный)да
one-to-one NATнет
возможность отключения NAT (работа в режиме роутера)нет
Встроенные VPN-сервераIPSecда
PPTPда
L2TPнет
VPN pass throughIPSecнет
PPTPнет
PPPoEнет
L2TPнет
Traffic shaping (ограничение трафика)нет
DNSвстроенный DNS-сервер (dns-relay)нет
поддержка динамического DNSда, 2 заранее предопределенных сервера
внутренние часыприсутствуют
синхронизация часовда, 6 предопределенных серверов синхронизации, задание собственного сервера невозможно
встроенные утилитыICMP pingда
tracerouteда
resolvingнет
логирование событийда, системные события, файрвол, трафик, фильтр содержимого
логирование исполнения правил файрволада
способы хранениявнутри устройствада
на внешнем Syslog серверенет
отправка на emailнет
SNMPподдержка SNMP Readнет
поддержка SNMP Writeнет
поддержка SNMP Trapsнет
Роутинг
статический (задания записей вручную)на WAN интерфейседа
на LAN интерфейседа
динамический роутингна WAN интерфейсевозможность отключения 
RIPv1нет
RIPv2нет
на LAN интерфейсевозможность отключения 
RIPv1нет
RIPv2нет
возможности VPN
сервер IPSecвиды туннелейGateway--Gatewayда
remote user accessда
типы аутентификацииpre shared keyда
сертификатынет
алгоритмы хешированияSHA1да
MD5да
алгоритмы шифрованияDESнет
3DESда
AESда, 128bit
сервер PPTPда
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)да, но без возможности использования в правилах
наличие фильтров/файрволана LAN-WAN сегментеда, с указанием направления
на WLAN-WAN сегментеда, совмещен с LAN-WAN
на LAN-WLAN сегментенет
типы фильтровс учетом SPIнет
по MAC адресуда
по source IP адресуда
по destination IP адресунет
по source протоколуда, TCP/UDP/ICMP
по destination протоколунет
по source портунет
по destination портуда
привязка ко временинет
по URL-уда
по доменуда
работа со службами списков URL для блокировкинет
тип действияallowда
denyда
logнет
поддержка спец. приложений (netmeeting, quicktime etc)да
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверада
возможность задания DMZда
дополнительная информация
версия прошивки1.01.042 от 3 Sep 2004
дополнительные порты4 × USB 2.0
1 × PS/2 Power for USB Storage
встроенный print-serverда, usb принтеры
встроенный ftp-serverс хранением данных на внешнем USB-FLASH или HDD носителе, но работает малая часть заявленных функций
поддержка работы с WEB-камеройдовольно много возможностей, в том числе motion-detect
питаниевнешний БП, 5VDC, 2A

 

Конфигурирование

Конфигурация устройства осуществляется через WEB-интерфейс. Скриншоты его основных настроек показаны в таблице.

Из особенностей конфигурации хочется отметить отсутствие конфигурации файрвола по адресу назначения, отсутствие возможности работы в режиме роутера (без NAT), возможность сохранения подробных логов, разделенных по группам с помощью цветового выделения, но без возможности хранения на внешнем лог-сервере, большие возможности по работе с веб-камерой (детектор движения, запись изображения, включение по расписанию, отправка по e-mail), но камеру можно подключать только через USB, возможность настройки QoS (Quality of Service — ограничение скорости трафика в зависимости от назначенного приоритета). Также добавлены индикаторы почтового мониторинга (mail monitoring).

Служба мониторинга почты (mail monitoring) позволяет проверять входящую почту на сервере на предмет наличия писем с определенных адресов — если вы ждете важное письмо, что эти индикаторы покажут вам наличие этого письма в вашем почтовом ящике. Так можно задать проверку почты от шести отправителей в шести почтовых ящиках.

Присутствуют возможности отключения (Kick) пользователя, зашедшего через веб-интерфейс на роутер. Я, правда, не вижу в этом смысла, так как все пользователи заходят как администраторы и, следовательно, все пользователи могут Kick'ать друг друга.
Интерфейс рассчитан под следующие браузеры: Mozilla 1.0, Netscape 7.0, IE 6.0. При использовании других браузеров интерфейс может отображаться некорректно и/или не работать вовсе (мне не удалось пройтись по иерархии настроек через Opera 7.11 — не работает само меню).

В случае построения VPN c использованием устройства в качестве PPTP сервера отсутствует возможность шифрования трафика.

Возможность NAT Loopback: в случае использования виртуальных серверов, которые имеют 2 адреса: внутренний и внешний, все пользователи локального сегмента должны обращаться к нему по внутреннему адресу, а все пользователи из WAN-пространства — по внешнему адресу, что создает некоторые неудобства. При включении этой функции вы можете обращаться к виртуальному серверу по внешнему адресу из локального сегмента (все ваши запросы будут перенаправляться на виртуальный сервер абсолютно прозрачно для вас).

Есть одна возможность, суть которой мне не удалось понять: IP Sharing. В руководстве по ней написано 2 абзаца:
The host has to have public IP in order to communicate with others on the Internet. Because of the fact of insufficient IP addresses, ISP provides dynamic IP address. Dynamic IP address means that the IP address is different every time you log in. For those who needs a static IP, higher has to be paid. Most home users or SOHOs use either one of them.
Since a public IP addresses is required to communicate with others on the Internet, IP sharing capability is required if there are more than one servers. To wish to connect to the Internet. NAT (Network Address Translation) will do the address translation between LAN and WAN. Please enable IP Sharing capability for situation described above.

Тестирование производительности

Тестирование производительности проводного и беспроводного сегмента производилось отдельно.

Тестирование беспроводного сегмента:

Тестирование проходит в 3 этапа:

  • Тест LAN — WLAN — одна карточка
  • Тест LAN — WLAN — две карточки
  • Тест WLAN — WLAN — две карточки, режим Infrastructure

Тест LAN — WLAN одна карточка &mdsah; тест точки доступа: трафик гонялся между компьютером с беспроводной сетевой картой и компьютером локального (LAN) сегмента. Скорость соединения выставлялась в режим Auto для 802.11b и 802.11g. Для тестирования использовалась беспроводная сетевая карта OvisLink WL-8000 PCI WLAN Card. Тест производился с помощью Chariot NetIQ. Расстояние между точками не превышало пяти метров.

Сокращения:

  • Card &mdsah; сетевая карта
  • AP &mdsah; точка доступа
  • fdx &mdsah; генерация трафика в обоих направлениях
Результаты теста для 802.11b режима:

Предельная скорость: 6.0 Мбит/с — хорошая скорость для 11b режима. Распределение скоростей в полнодуплексном режиме весьма необычное: скорость от точки доступа в 2 раза ниже скорости к точке доступа (мне всегда казалось, что точка доступа должна отдавать больше, чем принимать, а вообще правильнее если скорости равны).

Результаты теста для 802.11g режима:

Предельная скорость: 21.1 Мбит/с — очень невысокая скорость для .11g режима, скорость от точки доступа опять же ниже скорости к точке доступа (на этот раз хотя бы не в 2 раза).

Тест LAN — WLAN 2 карточки — тест точки доступа: трафик гонялся между компьютером в LAN-сегменте и двумя беспроводными адаптерами (сначала обе карточки гнали трафик в одну сторону, потом обе в другую, а потом обе в обе стороны). Скорость соединения выставлялась в режим Auto mode для 802.11b и 802.11g. Для тестирования использовались беспроводные сетевые карты OvisLink WL-8000PCI WLAN Card и OvisLink WL-8000PCM WLAN Card. Тест производился с помощью Chariot NetIQ. Расстояние между точками не превышало пяти метров.

Сокращения:

  • AP — точка доступа
  • Cards — сетевые карты
  • fdx — генерация трафика в обоих направлениях

Результаты теста в .11b режиме:

Максимальная скорость: 6,6 Мбит/с. Странно изменяется распределение: при одной сетевой карте скорость от точки доступа к карте была ниже, чем от карты к точке доступа; здесь же, при использовании двух сетевых карт, наблюдается обратная картина.

Результаты теста в .11g режиме:

Максимальная скорость 25,7 Мбит/с. Видно, что максимальная скорость повысилась по сравнению со скоростью в тесте с одной беспроводной карточкой. Скорость от карточек к точке доступа в полном дуплексе сильно упала (в 3 раза ниже скорости в обратном направлении), а график скорости варьируется в широких пределах на протяжении всего теста.

Тест WLAN — WLAN режим Infrastructure — трафик гоняется между беспроводными сетевыми картами через точку доступа (режим Infrastructure). Скорость соединения устанавливается в Auto mode. Тест проводился для двух режимов: 802.11b; 802.11g. Для тестирования использовались беспроводные сетевые карты OvisLink WL-8000PCI WLAN Card и OvisLink WL-8000PCM WLAN Card. Тест производился с помощью Chariot NetIQ. Расстояние между точками не превышало пяти метров.

Сокращения:

  • CardPCI — сетевая карта OvisLink WL-8000PCI
  • CardPC — сетевая карта OvisLink WL-8000PCM
  • fdx — генерация трафика в обоих направлениях

Результаты теста для .11b режима:

Результаты теста для .11g режима:

В обоих тестах наблюдается тенденция: скорость трафика от PCI карты к PC карте выше, чем скорость в обратном направлении. Скорость вполне нормальная как для .11b так и для .11g режимов

Тестирование проводного сегмента:
Тестирование производилось по этой методике

Максимальная скорость: 31,2 Мбит/с — в полном дуплексе, что является очень неплохим результатом, а вот скорость в полудуплексном режиме разочаровывает: скорость WAN -> LAN составляет всего 16 Мбит/с, что является очень низким показателем, и говорит о слабости процессора. Есть вероятность, что VPN сервер обслуживается этим же процессором и, следовательно, будет работать крайне медленно (возможно, из-за этого отсутствует шифрование PPTP). Остальные показатели не вызывают нареканий.

Результаты NetPIPE:

Максимальная скорость передачи 35.9 Мбит/с: проявляется небольшое падение скорости при размере пакетов 35-40 Кбайт, других аномалий в графике, на мой взгляд, нет.

Тестирование VPN:

О том как устанавливать соединения с VPN-сервером в ОС Windows XP описано здесь, а о результатах тестирования производительности VPN-сервера рассматриваемого устройства — здесь.

Обзор дополнительных возможностей:

Веб-камера: устройство работает с USB — камерами определенных моделей (ссылка на их список доступна на сайте производителя). Самой камеры в наличии не было, поэтому ее не удалось протестировать.

FTP — сервер: FTP-сервер на базе USB 2.0 показывает высокую производительность и поддерживает имена файлов на кириллице, но только в случае их закачки через FTP. Если USB — накопитель подключить напрямую к компьютеру, то все имена файлов, записанных по FTP через роутер и имеющих кириллические названия, превратятся в нечитаемый набор символов. Примерно то же самое произойдет если все это сделать наоборот. Скорость варьируется в пределах 3,7 — 4,2 Мбайт/с, что явно доказывает, что используются возможности шины USB 2.0, так как скорость USB 1.1 составляет 12 Мбит/с (1,5 Мбайт/с).VPN-сервер: о возможностях работы устройства в качестве сервера VPN будет рассказано в одной из следующих статей.

Тест безопасности

Во время тестирования удаленное управление было включено на 80-м порту, перезагрузок и зависаний роутера не происходило. Замечу, что по умолчанию удаленное управление на WAN интерфейсе отключено.

Результаты NESSUS’а:

Nessus находит две критические уязвимости:
ICMP Etherleak — уязвимость, но чтобы ею воспользоваться, необходимо находиться в одном физическом сегменте с атакуемой машиной, что само по себе маловероятно.
TCP — уязвимость ASPrunner веб-сервера, которая позволяет атакующему получить более высокие привилегии доступа к информации сервера. Если веб-сервер отключен — уязвимости нет.
Nessus также находит уязвимость средней степени риска: обработка пакетов с SYN и FIN флагами (такие пакеты являются одновременно устанавливающими и завершающими соединения и часто используются злоумышленником для "разведки" перед атакой).
По этим результатам можно судить, что роутер не обеспечивает достаточного уровня безопасности.

Также хочу отметить, что при отключении функции WAN Protection злоумышленник может попасть в LAN сегмент, так как устройство начинает работать в режиме роутера (в направлении WAN->LAN) и пропускает пакеты во внутреннюю сеть, что является очень серьезной уязвимостью, поэтому эта опция должна быть всегда включена. Возможно, с появлением новой версии прошивки это будет исправлено.

Доступность:

OvisLink WMU-9000VPNН/Д(0)

Выводы:
Беспроводной роутер обладает очень невысокой производительностью проводного сегмента в полудуплексе для подобного типа устройств, недостаточно хорошо реализована защита, отсутствует WPA шифрование, правила файрвола задаются только по IP-адресу или MAC-адресу отправителя, и каждое правило осуществляет фильтрацию только по одному протоколу (TCP/UDP/ICMP). Все это существенно снижает возможности файрвола.

Плюсы:

  • Поддержка символов кириллицы на FTP — сервере (правда, без переносимости: если файл с кириллическим именем записан через FTP, то и прочитан он, с тем же именем, может быть только через FTP)
  • Богатые возможности фильтрации по содержимому
  • Богатые возможности работы с веб-камерой
  • Возможность mail-мониторинга
  • Ведение подробных логов с разделением на группы
  • Добавлена возможность NAT loopback

Минусы:

  • Отсутствие WPA шифрования в беспроводном сегменте
  • Низкая скорость передачи WAN -> LAN
  • При включении удаленного администрирования обнаруживается серьезная уязвимость в безопасности
  • Отсутствие шифрования при использовании в качестве PPTP VPN сервера
  • Поддерживаются не все браузеры для администрирования через веб-интерфейс
  • Отсутствие возможности подключить внешние списки фильтрации
  • Отсутствие возможности хранения логов на внешнем лог-сервере
  • Отсутствие возможности ручного задания скорости беспроводного сегмента
  • Возможность проникновения во внутреннюю сеть за NAT при отключении опции WAN Protection

 

Оборудование предоставлено компанией АК-Цент Микросистемс

 

 




1 апреля 2005 Г.