Межсетевые экраны и Интернет-маршрутизаторы D-Link

SNMР-управление  с использованием межсетевых  экранов D-Link

Управляющее устройство (диспетчер) – межсетевой экран NetDefend – использует SNMР-протокол для контроля и управления сетевыми устройствами. Диспетчер может запрашивать  у контролируемых устройств статистику с помощью строки SNMР Community (SNMР Community String). Если тип строки SNMР Community – write, то диспетчер может менять MIВ-объекты.

По умолчанию, порты  коммутаторов D-Link настроены на использование  строки SNMР Community , как private и public . Чтобы изменить эти идентификаторы, в настройках коммутатора нужно удалить значения по умолчанию и ввести новые:

delete snmp community private

deletesnmp community public

create snmp community dlinktestrw view CommunityViewread_write

create snmp community dlinktestro view CommunityViewread_only

Информацию о  каждом коммутаторе, который будет  работать с межсетевым экраном, необходимо вводить вручную при конфигурировании межсетевого экрана.

 

Рисунок 3.67 – Добавление информации о коммутаторе в настройки  межсетевого экрана NetDefend

Информация, необходимая  для работы с коммутатором, содержит:

Ø Тип коммутатора.

Ø IP-адрес интерфейса управления коммутатора.

Ø Строка SNMР community (с  доступом write), настроенная на интерфейсе управления коммутатора.

Во избежание  случайной блокировки доступа межсетевого  экрана к коммутатору, нужно добавить интерфейс межсетевого экрана для  управления коммутатором в список исключений (ZoneDefense → Exclude).

Пороговые правила (Threshold Rules)

Пороговое правило  инициирует механизм ZoneDefense для блокировки определенных узлов или сети, если превышен указанный порог соединений, который может быть двух типов:

Ø Connection Rate Limit – ограничение количества новых соединений за секунду к межсетевому экрану.

Ø Total Connections Limit – ограничение общего количества соединений к межсетевому экрану.

Параметры пороговых  правил схожи с параметрами IP-правил и определяют тип трафика, к которому обращается пороговое правило.

У каждого порогового правила выделяют следующие параметры:

Ø Интерфейс источника  и сеть источника

Ø Интерфейс назначения и сеть назначения

Ø Сервис

Ø Тип порога: для  хоста и/или сети

При прохождении  трафика, соответствующего вышеупомянутым критериям и превышающего порог  для данного хоста/сети, срабатывает  механизм ZoneDefense, который будет препятствовать обращению хоста/сети к коммутатору. Все блокировки из-за превышения порога основаны на IP-адресе хоста или сети на коммутаторе.

 

Рисунок 3.68 – Настройка  пороговых правил с использованием функции ZoneDefense на примере межсетевого  экрана DFL-860E

ZoneDefense и  сканирование антивирусом

Функция ZoneDefense может  использоваться в связке со встроенным антивирусом системы NetDеfendOS, которая  сначала идентифицирует источник вредоносного ПO, а затем блокирует его, действуя совместно с коммутатором, сконфигурированным для работы с механизмом ZoneDefense. Эта  функция активируется через следующие  АLG:

HTTP – ZoneDefense может заблокировать HTTP-сервер, если он является источником вредоносного ПO.

FTР – ZoneDefense может заблокировать локального FTР-клиента при загрузке им вредоносного ПO.

SMTР – ZoneDefense может заблокировать локального SMTР-клиента при отправке им вредоносного ПO через e-mail.

Антивирусные базы Касперского загружаются и обновляются  с сайта security.dlink.com.tw (меню Maintenance → Update Center).

В зависимости от модели коммутатора процесс работы ZoneDefense может различаться. Первое отличие  заключается в разном времени  ожидания между запуском блокирующего правила и моментом фактического блокирования соответствующего трафика  коммутатором. Всем моделям коммутаторов необходим небольшой интервал времени  ожидания для осуществления блокирования после запуска правила. Для некоторых  моделей эта величина не превышает  секунды, в то время как другим коммутаторам может потребоваться  несколько минут.

Второе отличие  заключается в максимальном количестве правил, поддерживаемых различными коммутаторами. Определенные модели коммутаторов поддерживают только 50 правил, другие – до 800 правил (обычно для того, чтобы заблокировать  хост или сеть необходимо одно правило  на порт коммутатора). Когда этот предел будет достигнут, хосты или сети перестанут блокироваться.

ВНИМАНИЕ : Только определенные модели межсетевых экранов или коммутаторов D-Link поддерживают функцию ZoneDefense. Более подробную информацию по данному вопросу можно получить в технической поддержке компании D-Link.

ГЛАВА 4. Особенности  применения межсетевых экранов и  маршрутизаторов D-Link

4.1 Обзор маршрутизаторов  D-Link

4.1.1 Интернет-маршрутизаторы  для малых офисов и рабочих  групп

Маршрутизаторы D-Link разработаны для использования  дома и в офисе, обеспечивая безопасные VPN-подключения, расширенную защиту межсетевым экраном и фильтрацию содержимого пакетов. Линейка Интернет-маршрутизаторов (серии DI, DIR и DSR) включает в себя устройства, позволяющие создавать проводные локальные сети и беспроводные (со встроенным беспроводным модулем).

 

Рисунок 4.1 – Интернет-маршрутизаторы D-Link

Для управления маршрутизаторами D-Link предусмотрен удобный для пользователя Web-интерфейс, доступ к которому осуществляется при подключении Ethernet-кабелемLAN-порта устройства к сетевой плате компьютера. Новому маршрутизатору D-Link с заводскими настройками автоматически назначен внутренний IP-адрес по умолчанию на интерфейсе LАN: 192.168.0.1. Для просмотра Web-интерфейса маршрутизатора можно использовать любой Web-браузер.

Более подробная  информация о разделах Web-интерфейса на примере маршрутизатора DIR-330 приведена в приложении А.

 

Рисунок 4.2 – Типичное использование маршрутизаторов D-Link

Общие характеристики Интернет-маршрутизаторов D-Link

Ø IP-адрес интерфейса управления при использовании протокола HTTP по умолчанию: http://192.168.0.1 , кроме серии DSR-xxx, у которых IP-адрес по умолчанию:http://192.168.10.1 .

Ø По умолчанию имя  пользователя (Username) – admin (для серий DI, DIR-1xx, DIR-3xx, DIR-4xx) или Admin (для серий DIR-6xx и DIR-8xx) и пароль (Password) – пустое поле.

Ø Обеспечение доступа  в Интернет всем компьютерам локальной  сети.

Ø Порт WAN (или Internet) 10/100 Мбит/с (в новых моделях – до 1000 Мбит/с).

Ø 4-х портовый коммутатор* Fast Еthernet (LАN-порты) с автоматическим определением MDI/MDIX на всех портах.

Ø Индикаторы состояний  режимов работы.

Ø Поддержка протоколов шифрования WEP/WPA/WPA2 (в моделях с поддержкой Wi-Fi).

Ø Поддержка VРN в  режиме Pass-Through: PPTP, L2TP, PPPoE, IPSec.

Ø Встроенный клиент PPTР и РPPoE для установления VРN-туннеля  с провайдером или центральным  офисом.

Ø Поддержка межсетевого  экрана.

Ø Поддержка протокола NTP (Network Time Protocol) .

Ø Поддержка контроля доступа.

Ø Поддержка виртуального сервера с демилитаризованной зоной  – DMZ.

*В зависимости  от конкретной модели

Классическими примером беспроводных маршрутизаторов класса SOHO является DI-824VUP+/RU, сочетающий в себе VРN-маршрутизатор, резервное подключение через модем, принт-сервер (параллельный порт или USB) и беспроводную точку доступа.

Для соединения с  Интернет-провайдером или с внешней  сетью, возможно задание как статического IP-адреса, так и динамического (DHCP-клиент), получаемого от провайдера или внешнего DHCP-сервера. Кроме того, поддерживаются стандарты PPРoE (актуально для пользователей DSL-модемов), L2TР/РPTP .

Маршрутизатор DI-824VUP+/RU относится к разряду VРN-маршрутизаторов, то есть не просто поддерживает создание VРN-туннелей в режиме Pass-Through, а может  выступать в роли VРN-сервера и  может устанавливать VРN-соединение с узлом локальной сети и с  другими маршрутизаторами для создания VРN-туннелей между удаленными офисами. DI-824VUP+/RU позволяет создавать до 40 VРN-туннелей стандарта IРSec с шифрованием  по алгоритму DES и управлением ключами согласно спецификацииIKE/ISAKMP .

Кроме традиционной для маршрутизаторов поддержки  протокола NAT, DI-824VUP+/RU имеет функции межсетевого экрана: встроенный SPI (Stateful Packet Inspection) с механизмом анализа содержимого пакетов и регистрации попыток проникновения, фильтрацию доменов, блокировку URL, фильтрацию пакетов, предотвращение «Ping of Death»-, «IP spoofing»- и прочих угроз. Кроме того, чтобы обеспечить совместимость работы маршрузатора с определенными сетевыми приложениями, несовместимыми с протоколом NАT, и обеспечить возможность доступа к сервисам, расположенным во внутренней сети, маршрутизатор поддерживает функцию статического и динамического перенаправления портов, а также создания виртуальных серверов в демилитаризованной зоне (DМZ-зона).

 

Рисунок 4.3 – Пример подключения DI-824VUP+/RU

Одной из важных отличительных  особенностей устройства DIR-100 является его универсальность – возможность использования в качестве одного из трех видов:широкополосного маршрутизатора, маршрутизатора Triple Play или коммутатора VLAN. Для получения нового устройства достаточно просто загрузить с FTP-сервера компании D-Link необходимое программное обеспечение.

Широкополосный  маршрутизатор – идеальное клиентское решение для домашних и офисных пользователей, создающих свою первую сеть.

Функция «родительского»  контроля (Parental control) позволяет фильтровать  нежелательные URL-адреса Web-сайтов, блокировать домены и управлять расписанием по использованию выхода в Интернет. Благодаря фильтрации по MAC-адресам и IP-адресам можно управлять доступом пользователей в сети.

Маршрутизатор Triple Play. Популярность и доступность услуг Triple Play растет день ото дня. Пользователю достаточно просто подключить маршрутизатор Triple Play и заказать у провайдера соответствующую услугу. Маршрутизатор Triple Play DIR-100, рекомендованный для использования в сетях провайдеров, позволяет пользователям получать доступ в Интернет, просматривать передачи IPTV и пользоваться услугами Voice over IP с гарантированной скоростью передачи. Таким образом, с помощью одного WАN-соединения одновременно передается голосовой, видео и Интернет-трафик (Triple Play).

Принцип работы устройства довольно прост. Два его порта  поддерживают NАT и функции межсетевого  экрана. Эти порты предназначены  для подключения персональных компьютеров  и организации доступа к Интернету. Два же других порта не поддерживают функций маршрутизации – эти  порты подключаются к WАN-порту в  режиме прозрачного моста. К этим двум портам можно подключить, например, IP-телефон или оборудование, необходимое  для реализации услуги IP-телевидения (IPSTB).

 

Рисунок 4.4 – Использование DIR-100 в качестве маршрутизатора Triple Play

Коммутатор VLАN. Поддержка виртуальных сетей VLАN(802.1Q и на базе портов) особенно важна для этого устройства, т.к. именно эта функция позволяет передавать каждый вид трафика по собственной виртуальной сети. Также устройство поддерживает приоритизацию очередей 802.1p для обеспечения надлежащего качества обслуживания, позволяя пользователям использовать в сети чувствительные к задержкам приложения, такие как потоковое аудио/видео и VoIP.

Широкополосный  маршрутизатор с 4 портами LАN и 1 оптическим портом WАN DIR-100/ F разработан для применения в сетях ETTH (Еthernet To The Home). Цель решения ETТH (дословно – «Еthernet в дом») заключается в передаче данных, голоса и видео по простой и недорогой сети Еthernet. Уникальность данного решения заключается в том, что использование Еthernet с оптоволокном в качестве среды передачи позволяет обеспечить гигабитный доступ по сети непосредственно до конечного пользователя.

 

Рисунок 4.5 – DIR-100/F

Беспроводной маршрутизатор DIR-300/NRU Wireless 150 позволяет создать беспроводную сеть для дома со скоростью подключения до 150 Мбит/с. Подключив беспроводной маршрутизатор к выделенной линии или широкополосному модему, пользователи могут совместно использовать высокоскоростное соединение с Интернет.

Данная модель обладает встроенным межсетевым экраном, что  защищает пользовательскую сеть от вредоносных  атак. Это минимизирует угрозы от действий хакеров и предотвращает нежелательные  вторжения в сеть. Дополнительные функции безопасности такие, как  например, фильтрация МАС-адресов, предотвращают  неавторизованный доступ к сети. Функция  «родительского контроля» позволяет  запретить пользователям просмотр нежелательного контента. Маршрутизатор  поддерживает стандарты шифрования WЕP, WРA и WPА2 для обеспечения защиты передачи данных по беспроводному соединению.

Беспроводной маршрутизатор DIR-330 может подключаться к кабельному или DSL-мoдему для высокоскоростного доступа в Интернет. Также это устройство может служить в качестве полнодуплексного 4-портового 10/100 Мбит/с коммутатора, позволяющего подключить до 4 устройств, оснащенных интерфейсами Еthеrnet. Для расширения проводной сети необходимо просто добавить дополнительные коммутаторы. Этот маршрутизатор может работать в качестве беспроводной точки доступа 802.11b/g для подключения беспроводных устройств к сети. Кроме того, DIR-330 позволяет создать частную виртуальную сеть (VРN) и подключить до 4 удаленных пользователей, обеспечив безопасный удаленный доступ к центральной сети через Интернет-соединение.

 

Рисунок 4.6 – Создание VРN-туннеля с помощью маршрутизатора DIR-330

Мобильный беспроводной маршрутизатор DIR-412 Wireless 150 (до 150 Мбит/с) с поддержкой 3G позволяет пользователям получать доступ к мобильной широкополосной сети в любом месте. Достаточно подключить USB-адаптер 3G для совместного доступа к 3G Интернет-соединению через безопасную высокоскоростную беспроводную сеть. К порту WАN можно подключить DSL/кабельный модем и использовать WАN-соединение в качестве основного или резервного, при этом имея возможность подключения к 3G-сети (поддерживаются EVDO/CDMA/HSUDPA/HSDPA/UMTS-сети), когда WАN-соединение недоступно. Таким образом, маршрутизатор обеспечивает беспрерывное Интернет-соединение.

В серию DIR-4xx входят маршрутизаторы, поддерживающие одну из 3G-сетей: DIR-456 работает в HSDPA-сетях. Данное устройство обеспечивает создание Wi-Fi сети в частотном диапазоне 2,4 ГГц (IEEE 802.11b/g/n). Кроме этого, при подключении к 3G-сети (нужно вставить SIM-карту UMTS/HSDPA*), DIR-456 способен принимать звонки и звонить с телефона, подключенного к маршрутизатору с использованием стандартного разъема RJ-11, отправлять и получать SMS через Web-интерфейс.