procedure
01.05.2008, 03:25
http://www.xakep.ru/magazine/xa/108/022/1.jpg
Цена: $240
Технические характеристики
-Интерфейсы: 1x WAN (RJ-45) 10/100/1000 Мбит/сек, 4x LAN (RJ-45) 10/100/1000 Мбит/сек
-Беспроводная точка доступа Wi-Fi: IEEE 802.11 b/g + Draft N (до 300 Мбит/сек)
-Безопасность: WEP (до 128 бит), WPA/WPA-PSK, WPA2/WPA2-PSK (TKIP/AES), поддержка RADIUS
-Функции роутера: NAT/NAPT, DynDNS, DHCP, Static Routing, QoS, RSTP, VLAN, IPSec
-Функции файрвола: SPI, ACL, Domain/Keyword Filter, IPS, DoS
В прошлом номере мы рассмотрели гигабитный интернет-шлюз TRENDnet TEW-633GR со встроенной Draft N точкой доступа Wi-Fi. Помимо него на рынке представлены схожие по функциональности модели от таких известных вендоров, как D-Link, Linksys, NETGEAR и SMC. Безусловно, каждый производитель пытается оснастить свой продукт какими-то дополнительными функциями, чтобы выделиться из общей массы. В сегодняшнем обзоре мы познакомимся с роутером Linksys WRVS4400N, который отличается расширенными функциями по обеспечению безопасности и возможностью организации VPN-туннелей с использованием протокола IPSec.
Внешний вид и комплектация
За дизайн корпуса роутера разработчикам можно смело поставить твердую пятерку. Внешний вид одновременно и стильный, и серьезный. Все три антенны вынесены на поворотную колодку, таким образом позволяя варьировать их направление практически во всех плоскостях. На переднюю панель традиционно вынесены светодиоды активности сегментов LAN, WAN и WLAN, индикаторы питания, статуса устройства и активности функции IPS. На тыльной стороне находится кнопка сброса, порты LAN и WAN, а также разъем питания. Комплектация включает только самое необходимое: адаптер питания, патч-корд, CD и подробной инструкцией по настройке и подставку для вертикальной установки.
Аппаратная начинка
Маршрутизатор построен на базе процессора StarSemi STR9202 с тактовой частотой 250 МГц и двумя интегрированными гигабитными блоками MAC-уровня. Суммарный объем оперативной памяти составляет 64 Мб. Она организована двумя микросхемами Nanya NT5DS16M16CS-5T, работающими на частоте 200 МГц (DDR400; CL=3). Встроенный коммутатор представляет собой чип Vitesse VSC7385 – гигабитный свитч «система на кристалле» с пятью портами 10/100/1000, поддержкой функций QoS, Link Aggregation, VLAN, Flow Control. Беспроводная часть построена на базе Draft N чипсета Marvell 88W8361P-BEM1. Также на плате распаяна микросхема flash-памяти Intel JS28F640P объемом 8 Мб.
Функциональные возможности
На WAN-интерфейсе роутера доступно применение статических настроек IP, автонастройка с DHCP-сервера или использование протоколов PPPoE, PPTP и L2TP. При настройке PPTP/L2TP доступно задание IP-адреса сервера только в виде IP. При активации VPN-соединения теряется доступ ко внутренним ресурсам провайдера. И хотя присутствует возможность занесения статических маршрутов в таблицу маршрутизации, они игнорируются роутером при активном VPN-соединении. Имеется возможность работы с протоколом IGMP и, как следствие, пропускание multicast-трафика. Однако доступ к потокам теряется при активации интернет-соединения с использованием протоколов PPTP/L2TP/PPPoE.
Устройство может функционировать как в режиме NAT-шлюза, так и в режиме классического роутинга на третьем уровне модели OSI. Достаточно богаты настройки фильтрации нежелательного трафика. При создании ACL-правил используются следующие критерии: тип сервиса (диапазон портов), интерфейс-источник, диапазон IP источника, диапазон IP назначения. Также существует возможность ограничения доступа заданным станциям в интернет по домену, URL или ключевому слову. Есть тут и функция предотвращения вторжений IPS. Базы сигнатур регулярно обновляются и выкладываются на сайте Linksys. Влияние этой функции на производительность роутера мы рассмотрим чуть позже.
При создании IPSec-туннелей единственный возможный тип шифрования – 3DES с аутентификацией MD5 или SHA-1. Настройка QoS позволяет варьировать приоритет в зависимости от порта встроенного коммутатора, а также на исходящих потоках WAN-интерфейса в зависимости от типа сервиса. В последнем случае возможен шейпинг (выделение полосы пропускания под правило) или ведение четырех очередей с разными приоритетами.
Стоит отметить и то, что при внесении серьезных изменений в конфигурацию устройства (изменений IP-адресов на интерфейсах, включение/выключение Wi-Fi) применения настроек приходится ждать около полторы минуты.
Методика тестирования
Для тестирования проводного и беспроводного сегментов использовался программный продукт NetIQ Chariot и скрипт Throughput с передачей пакетов максимального и минимального размера. На двух станциях устанавливались так называемые endpoint-программы, затем в консоли NetIQ Chariot запускался скрипт генерации трафика. Все измерения проводились с прошивкой версии 1.01.03.
1. При тестировании пропускной способности WAN -> LAN одна из станций подключалась к одному из портов свитча (интерфейс LAN), вторая - к WAN-порту. Таким образом, мы получали пиковую пропускную способность для WAN-интерфейса (также ее можно называть скоростью NAT). Измерялась скорость однонаправленной передачи (направления WAN -> LAN и LAN -> WAN) и в режиме полного дуплекса (FDX). Также мы провели дополнительный замер при включении функции StreamEngine.
2. Поскольку при активации интернет-соединения по протоколу PPTP создается дополнительная нагрузка на центральный процессор роутера, мы также измерили пропускную способность PPTP. Для этого за WAN-интерфейсом маршрутизатора был поднят VPN-сервер. Кроме того, проверялась возможность установки VPN-соединения в случае размещения VPN-сервера вне сегмента нахождения нашего маршрутизатора.
2. Так как в маршрутизаторе реализована поддержка работы с VPN-туннелями по протоколу IPSec, мы решили измерить его пропускную способность при активации этого режима. Испытания проводились в режиме IPSec LAN-to-LAN. В качестве второго IPSec-роутера выступал аналогичный по аппаратной начинке роутер Linksys RVS4000, отличающийся только отсутствием модуля Wi-Fi. Показания снимались в режиме с использованием шифрования 3DES-SHA1. Все измерения по-прежнему проводились с помощью NetIQ Chariot.
4. Для оценки скорости Wi-Fi мы использовали PCMCIA-адаптер Linksys WPC4400N. Измерения проводились в типичной квартире из двух точек с разным удалением от роутера. В первом случае удаление не превышало 1 м и, как следует, измерялась максимальная скорость передачи данных. Во втором случае ноутбук с Wi-Fi адаптером находился на расстоянии 10 м от точки доступа по диагонали за стеной. Во всех случаях использовалась шифрование трафика WPA-PSK c ключом TKIP.
5. В качестве дополнительного исследования была проведена проверка на уязвимости со стороны WAN-интерфейса с помощью программного продукта Tenable Nessus. Сканирование проводилось в двух режимах: с включенным и выключенным файрволом.
Результаты тестов
Надо сказать, что гигабитный WAN – это уже не столько дань моде, сколько реальное снятие скоростного ограничения. Современные RISC-процессоры, устанавливаемые в SOHO-роутеры, уже довольно давно обеспечивают производительность, достаточную для обработки потока кадров на скорости более 100 Мбит/сек. Пропускная способность WAN-интерфейса у Linksys WRVS4400N в режиме NAT ставит своеобразные рекорд среди SOHO-роутеров, побывавших в нашей тестовой лаборатории. В направлении WAN -> LAN этот показатель составляет 511,2 Мбит/сек, в обратном – 519,5 Мбит/сек, а при одновременной передаче в обе стороны – 527,8 Мбит/сек. Но надо отметить, что скорость такова без использования функции IPS. При ее включении пропускная способность падает в 50(!) раз. Все преимущества скоростного доступа во внешний мир при этом, разумеется, нивелируются. Таким образом, рекомендуем сразу же выключить эту опцию, так как по умолчанию она активирована.
http://www.xakep.ru/magazine/xa/108/022/t1.jpg
http://www.xakep.ru/magazine/xa/108/022/t2.jpg
http://www.xakep.ru/magazine/xa/108/022/t3.jpg
http://www.xakep.ru/magazine/xa/108/022/t4.jpg
Тест производительности WAN-интерфейса с использованием протокола PPTP вообще несколько шокировал. Полученные результаты пропускной способности едва ли превышают 1 Мбит/сек. Причем они таковы независимо от активации/деактивации функции IPS. Такое положение дел можно объяснить только неоптимизированным микрокодом прошивки. Так что остается надежда на то, что это будет исправлено программно. Производительность IPSec-туннеля также оказалась на очень низком уровне – примерно 1,7 Мбит/сек.
Сканирование в Tenable Nessus не выявило ни одной уязвимости у роутера, что говорит о его достаточно хорошей защищенности.
Выводы
В сегодняшнем обзоре мы рассмотрели еще один гигабитный Draft N Wi-Fi роутер, теперь уже в исполнении компании Linksys. Эта модель в основном ориентирована на сегмент небольших компаний, где требуется организация выхода в интернет, создание беспроводной сети и использование IPSec VPN-туннелей. Безусловным достоинством рассмотренного продукта является высочайшая скорость NAT-маршрутизации и, как следствие, возможность обеспечить сверхскоростной аплинк при использовании этого режима работы. Нельзя сказать того же о пропускной способности в случае использования PPTP/L2TP-клиентов. С последней на момент написания статьи версией прошивки она оказалась на очень низком уровне. Это касается и производительности IPSec-туннелей. А вот скорость Wi-Fi находится на высоком уровне и при использовании Draft N адаптеров уже сейчас позволит ощутить все преимущества нового беспроводного стандарта.
©Хакер, номер #108, стр. 108-022-1
Цена: $240
Технические характеристики
-Интерфейсы: 1x WAN (RJ-45) 10/100/1000 Мбит/сек, 4x LAN (RJ-45) 10/100/1000 Мбит/сек
-Беспроводная точка доступа Wi-Fi: IEEE 802.11 b/g + Draft N (до 300 Мбит/сек)
-Безопасность: WEP (до 128 бит), WPA/WPA-PSK, WPA2/WPA2-PSK (TKIP/AES), поддержка RADIUS
-Функции роутера: NAT/NAPT, DynDNS, DHCP, Static Routing, QoS, RSTP, VLAN, IPSec
-Функции файрвола: SPI, ACL, Domain/Keyword Filter, IPS, DoS
В прошлом номере мы рассмотрели гигабитный интернет-шлюз TRENDnet TEW-633GR со встроенной Draft N точкой доступа Wi-Fi. Помимо него на рынке представлены схожие по функциональности модели от таких известных вендоров, как D-Link, Linksys, NETGEAR и SMC. Безусловно, каждый производитель пытается оснастить свой продукт какими-то дополнительными функциями, чтобы выделиться из общей массы. В сегодняшнем обзоре мы познакомимся с роутером Linksys WRVS4400N, который отличается расширенными функциями по обеспечению безопасности и возможностью организации VPN-туннелей с использованием протокола IPSec.
Внешний вид и комплектация
За дизайн корпуса роутера разработчикам можно смело поставить твердую пятерку. Внешний вид одновременно и стильный, и серьезный. Все три антенны вынесены на поворотную колодку, таким образом позволяя варьировать их направление практически во всех плоскостях. На переднюю панель традиционно вынесены светодиоды активности сегментов LAN, WAN и WLAN, индикаторы питания, статуса устройства и активности функции IPS. На тыльной стороне находится кнопка сброса, порты LAN и WAN, а также разъем питания. Комплектация включает только самое необходимое: адаптер питания, патч-корд, CD и подробной инструкцией по настройке и подставку для вертикальной установки.
Аппаратная начинка
Маршрутизатор построен на базе процессора StarSemi STR9202 с тактовой частотой 250 МГц и двумя интегрированными гигабитными блоками MAC-уровня. Суммарный объем оперативной памяти составляет 64 Мб. Она организована двумя микросхемами Nanya NT5DS16M16CS-5T, работающими на частоте 200 МГц (DDR400; CL=3). Встроенный коммутатор представляет собой чип Vitesse VSC7385 – гигабитный свитч «система на кристалле» с пятью портами 10/100/1000, поддержкой функций QoS, Link Aggregation, VLAN, Flow Control. Беспроводная часть построена на базе Draft N чипсета Marvell 88W8361P-BEM1. Также на плате распаяна микросхема flash-памяти Intel JS28F640P объемом 8 Мб.
Функциональные возможности
На WAN-интерфейсе роутера доступно применение статических настроек IP, автонастройка с DHCP-сервера или использование протоколов PPPoE, PPTP и L2TP. При настройке PPTP/L2TP доступно задание IP-адреса сервера только в виде IP. При активации VPN-соединения теряется доступ ко внутренним ресурсам провайдера. И хотя присутствует возможность занесения статических маршрутов в таблицу маршрутизации, они игнорируются роутером при активном VPN-соединении. Имеется возможность работы с протоколом IGMP и, как следствие, пропускание multicast-трафика. Однако доступ к потокам теряется при активации интернет-соединения с использованием протоколов PPTP/L2TP/PPPoE.
Устройство может функционировать как в режиме NAT-шлюза, так и в режиме классического роутинга на третьем уровне модели OSI. Достаточно богаты настройки фильтрации нежелательного трафика. При создании ACL-правил используются следующие критерии: тип сервиса (диапазон портов), интерфейс-источник, диапазон IP источника, диапазон IP назначения. Также существует возможность ограничения доступа заданным станциям в интернет по домену, URL или ключевому слову. Есть тут и функция предотвращения вторжений IPS. Базы сигнатур регулярно обновляются и выкладываются на сайте Linksys. Влияние этой функции на производительность роутера мы рассмотрим чуть позже.
При создании IPSec-туннелей единственный возможный тип шифрования – 3DES с аутентификацией MD5 или SHA-1. Настройка QoS позволяет варьировать приоритет в зависимости от порта встроенного коммутатора, а также на исходящих потоках WAN-интерфейса в зависимости от типа сервиса. В последнем случае возможен шейпинг (выделение полосы пропускания под правило) или ведение четырех очередей с разными приоритетами.
Стоит отметить и то, что при внесении серьезных изменений в конфигурацию устройства (изменений IP-адресов на интерфейсах, включение/выключение Wi-Fi) применения настроек приходится ждать около полторы минуты.
Методика тестирования
Для тестирования проводного и беспроводного сегментов использовался программный продукт NetIQ Chariot и скрипт Throughput с передачей пакетов максимального и минимального размера. На двух станциях устанавливались так называемые endpoint-программы, затем в консоли NetIQ Chariot запускался скрипт генерации трафика. Все измерения проводились с прошивкой версии 1.01.03.
1. При тестировании пропускной способности WAN -> LAN одна из станций подключалась к одному из портов свитча (интерфейс LAN), вторая - к WAN-порту. Таким образом, мы получали пиковую пропускную способность для WAN-интерфейса (также ее можно называть скоростью NAT). Измерялась скорость однонаправленной передачи (направления WAN -> LAN и LAN -> WAN) и в режиме полного дуплекса (FDX). Также мы провели дополнительный замер при включении функции StreamEngine.
2. Поскольку при активации интернет-соединения по протоколу PPTP создается дополнительная нагрузка на центральный процессор роутера, мы также измерили пропускную способность PPTP. Для этого за WAN-интерфейсом маршрутизатора был поднят VPN-сервер. Кроме того, проверялась возможность установки VPN-соединения в случае размещения VPN-сервера вне сегмента нахождения нашего маршрутизатора.
2. Так как в маршрутизаторе реализована поддержка работы с VPN-туннелями по протоколу IPSec, мы решили измерить его пропускную способность при активации этого режима. Испытания проводились в режиме IPSec LAN-to-LAN. В качестве второго IPSec-роутера выступал аналогичный по аппаратной начинке роутер Linksys RVS4000, отличающийся только отсутствием модуля Wi-Fi. Показания снимались в режиме с использованием шифрования 3DES-SHA1. Все измерения по-прежнему проводились с помощью NetIQ Chariot.
4. Для оценки скорости Wi-Fi мы использовали PCMCIA-адаптер Linksys WPC4400N. Измерения проводились в типичной квартире из двух точек с разным удалением от роутера. В первом случае удаление не превышало 1 м и, как следует, измерялась максимальная скорость передачи данных. Во втором случае ноутбук с Wi-Fi адаптером находился на расстоянии 10 м от точки доступа по диагонали за стеной. Во всех случаях использовалась шифрование трафика WPA-PSK c ключом TKIP.
5. В качестве дополнительного исследования была проведена проверка на уязвимости со стороны WAN-интерфейса с помощью программного продукта Tenable Nessus. Сканирование проводилось в двух режимах: с включенным и выключенным файрволом.
Результаты тестов
Надо сказать, что гигабитный WAN – это уже не столько дань моде, сколько реальное снятие скоростного ограничения. Современные RISC-процессоры, устанавливаемые в SOHO-роутеры, уже довольно давно обеспечивают производительность, достаточную для обработки потока кадров на скорости более 100 Мбит/сек. Пропускная способность WAN-интерфейса у Linksys WRVS4400N в режиме NAT ставит своеобразные рекорд среди SOHO-роутеров, побывавших в нашей тестовой лаборатории. В направлении WAN -> LAN этот показатель составляет 511,2 Мбит/сек, в обратном – 519,5 Мбит/сек, а при одновременной передаче в обе стороны – 527,8 Мбит/сек. Но надо отметить, что скорость такова без использования функции IPS. При ее включении пропускная способность падает в 50(!) раз. Все преимущества скоростного доступа во внешний мир при этом, разумеется, нивелируются. Таким образом, рекомендуем сразу же выключить эту опцию, так как по умолчанию она активирована.
http://www.xakep.ru/magazine/xa/108/022/t1.jpg
http://www.xakep.ru/magazine/xa/108/022/t2.jpg
http://www.xakep.ru/magazine/xa/108/022/t3.jpg
http://www.xakep.ru/magazine/xa/108/022/t4.jpg
Тест производительности WAN-интерфейса с использованием протокола PPTP вообще несколько шокировал. Полученные результаты пропускной способности едва ли превышают 1 Мбит/сек. Причем они таковы независимо от активации/деактивации функции IPS. Такое положение дел можно объяснить только неоптимизированным микрокодом прошивки. Так что остается надежда на то, что это будет исправлено программно. Производительность IPSec-туннеля также оказалась на очень низком уровне – примерно 1,7 Мбит/сек.
Сканирование в Tenable Nessus не выявило ни одной уязвимости у роутера, что говорит о его достаточно хорошей защищенности.
Выводы
В сегодняшнем обзоре мы рассмотрели еще один гигабитный Draft N Wi-Fi роутер, теперь уже в исполнении компании Linksys. Эта модель в основном ориентирована на сегмент небольших компаний, где требуется организация выхода в интернет, создание беспроводной сети и использование IPSec VPN-туннелей. Безусловным достоинством рассмотренного продукта является высочайшая скорость NAT-маршрутизации и, как следствие, возможность обеспечить сверхскоростной аплинк при использовании этого режима работы. Нельзя сказать того же о пропускной способности в случае использования PPTP/L2TP-клиентов. С последней на момент написания статьи версией прошивки она оказалась на очень низком уровне. Это касается и производительности IPSec-туннелей. А вот скорость Wi-Fi находится на высоком уровне и при использовании Draft N адаптеров уже сейчас позволит ощутить все преимущества нового беспроводного стандарта.
©Хакер, номер #108, стр. 108-022-1