Может ли маршрутизатор быть организованным полностью программным способом
Центральным элементом составной сети является маршрутизатор, главное назначение которого — объединение подсети с тем, чтобы любой компьютер мог обмениваться пакетами с другими компьютерами в составе сети, независимо от их принадлежности к той или иной подсети.
Маршрутизатор может быть реализован либо полностью программным способом — в этом случае он представляет собой модуль операционной системы, установленной на компьютере общего назначения; либо программно-аппаратным способом — тогда он является специализированным вычислительным устройством, в котором часть функций выполняется нестандартной аппаратурой, а часть — программными модулями, работающими под управлением специализированной ОС, называемой иногда монитором.
Функции маршрутизатора могут быть разбиты на три группы в соответствии с уровнями модели OSI (см. Рисунок 1).
УРОВЕНЬ ИНТЕРФЕЙСОВ
На нижнем уровне маршрутизатор, как и любое устройство, подключенное к сети, обеспечивает физический интерфейс со средой передачи, включая согласование уровней электрических сигналов, линейное и логическое кодирование. Кроме того, для поддержки физического интерфейса он должен быть оснащен разъемом соответствующего типа.
Обычно маршрутизатор имеет от четырех до нескольких десятков физических интерфейсов, называемых также портами, одна часть которых предназначена для подключения к локальным, а другая — к глобальным сетям. Каждый локальный порт работает по строго определенной технологии: например, Ethernet, Token Ring, FDDI. Для глобального порта чаще всего жестко определяется только некоторый стандарт физического уровня, поверх которого могут работать различные протоколы канального уровня в зависимости от того, как этот порт сконфигурирован. Так, глобальный порт с поддержкой протокола физического уровня V.35 обычно может быть настроен для работы по одному из следующих протоколов канального уровня: LAP-B (для сетей X.25), PPP (для сетей IP), LAP-F (для сетей frame relay), LAP-D (для сетей ISDN).
Такое отличие в реализации интерфейсов локальных и глобальных сетей объясняется тем, что каждая технология локальных сетей опирается, как правило, на свои собственные стандарты физического уровня. Правда, локальным портом не всегда поддерживаются все функции физического уровня. Так, технология Ethernet позволяет стандартным образом выделить функции приемопередатчика (трансивера) и реализовать их в отдельном внешнем устройстве. В этом случае на панели маршрутизатора вы можете увидеть разъемы AUI (Attachment Unit Interface) или MII (Media Independent Inter-face), при этом подключение к сети осуществляется через соответствующий внешний трансивер.
С точки зрения пользователя, важнейшей потребительской характеристикой является перечень физических интерфейсов, поддерживаемых той или иной моделью маршрутизатора. Маршрутизатор должен работать с протоколами канального и физического уровней, используемыми в подсетях, к которым он будет непосредственно присоединен. На Рисунке 1 показана функциональная модель маршрутизатора с четырьмя портами: порты Ethernet 10BaseT и 10Base2, порт Token Ring UTP и порт V.35 для подключения к глобальной сети. В зависимости от выбранного варианта конфигурации к порту V.35 могут быть подключены сети X.25, ISDN или frame relay с использованием протоколов LAP-B, LAP-D или LAP-F соответственно.
Каждый порт маршрутизатора — это конечный узел для той подсети, к которой он присоединен. Поэтому, как и всем другим конечным узлам, портам маршрутизатора назначаются один (или несколько) локальных (называемых также аппаратными) адресов и один (или несколько) сетевых адресов. Заметим, что слово «локальный» в данном контексте никак не связано с понятием «локальная сеть». Под локальным адресом понимается такой тип адреса, который средствами базовой технологии используется для доставки данных в пределах подсети, независимо от того локальная эта подсеть или глобальная. Так, локальным адресом порта маршрутизатора, к которому подключен сегмент Ethernet, является шестибайтовый МАС-адрес, например 12-B3-35-3B-A0-11, а если к порту подключена сеть Х.25, то — адрес Х.25, например 25083930785708. Если для перемещения кадра в пределах подсети используется локальный адрес, то для продвижения пакета по составной сети необходим сетевой адрес. В частности, протокол IP оперирует с сетевыми IP-адресами, которые состоят из 4 байт, например 109.26.17.100, и содержат номер сети и номер узла. Сетевые адреса должны быть уникальны в пределах всей составной сети. Иногда порты маршрутизатора вообще не имеют ни локальных, ни сетевых адресов. С такой ситуацией можно встретиться, когда порты двух соседних маршрутизаторов связаны по соединению типа «точка — точка».
Интерфейсы маршрутизатора выполняют полный набор функций физического и канального уровней по передаче кадра, включая получение доступа к среде (если это необходимо), формирование битовых сигналов, прием и передачу кадра, буферизацию кадров в своей оперативной памяти, подсчет его контрольной суммы и отбраковку поврежденных кадров. Обработка завершается отбрасыванием заголовка кадра и извлечением из поля данных пакета, который передается модулю сетевого протокола маршрутизатора.
УРОВЕНЬ СЕТЕВОГО ПРОТОКОЛА
Модуль сетевого протокола анализирует содержимое полей заголовка пакета. Прежде всего, он снова вычисляет контрольную сумму, но уже не для кадра, а для пакета или части пакета: в частности, в случае пакета IP вычисляется контрольная сумма заголовка. Если пакет пришел поврежденным, то он отбрасывается. Далее проверяется, не слишком ли долго пакет находился в сети (определяется время жизни пакета). Если норма превышена, то пакет также отбрасывается. На этом этапе вносятся корректировки в содержимое некоторых полей: например, уменьшается время жизни пакета, пересчитывается контрольная сумма.
К сетевому уровню относится одна из важнейших функций маршрутизатора — фильтрация трафика. Обладая более высоким интеллектом, нежели мосты и коммутаторы, маршрутизатор позволяет задавать и может отрабатывать значительно более сложные правила фильтрации. Для мостов и коммутаторов пакет сетевого уровня, находящийся в поле данных кадра, выглядит как неструктурированная двоичная последовательность. Маршрутизаторы же, программное обеспечение которых содержит модуль сетевого протокола, способны производить разбор и анализ отдельных полей пакета. Они оснащаются развитыми средствами пользовательского интерфейса, с помощью которых администратор может без особых усилий задавать сложные правила фильтрации: например, в корпоративную сеть могут не допускаться все пакеты, кроме тех, которые поступают из подсетей этого же предприятия. Фильтрация в данном случае производится по сетевым адресам отправителя, и все пакеты, адреса которых не входят в разрешенный диапазон, отбрасываются. Маршрутизаторы, как правило, в состоянии анализировать и заголовки транспортного уровня, поэтому фильтры могут не пропускать в сеть пакеты определенных прикладных сервисов, например сервиса telnet или ftp, задействующих конкретные программные порты, значения которых и используются при составлении правил фильтрации.
В случае, если интенсивность поступления пакетов превышает скорость, с которой они обрабатываются маршрутизатором, пакеты помещаются в очередь. Программное обеспечение маршрутизатора может реализовать различные дисциплины обслуживания очередей: в порядке поступления по принципу «первый пришел — первым обслужен» (First Input First Output, FIFO); со случайным ранним обнаружением перегрузки, когда обслуживание идет по правилу FIFO, но при достижении длины очереди некоторого порогового значения вновь поступающие пакеты отбрасываются (Random Early Detec-tion, RED), а также с применением различных вариантов приоритетного и взвешенного обслуживания. За счет этого при перегрузках соблюдаются некоторые гарантии качества обслуживания: в частности, на время задержки пакетов или на пропускную способность для определенного потока пакетов, при этом первоочередное обслуживание осуществляется с использованием того же набора признаков, что и при фильтрации пакетов.
И конечно, на сетевом уровне решается основная задача маршрутизатора — определение маршрута пакета. По номеру сети, извлеченному из поля адреса назначения заголовка пакета, модуль сетевого протокола находит в таблице маршрутизации строку, содержащую сетевой адрес следующего маршрутизатора и идентификатор своего порта, на который нужно передать данный пакет, чтобы он двигался в правильном направлении. Если в таблице отсутствует запись о сети назначения пакета и к тому же нет записи об используемом по умолчанию транзитном маршрутизаторе, то данный пакет отбрасывается.
Чтобы пакет дошел до следующего маршрутизатора, он должен быть упакован в кадр той технологии, которую использует соответствующая подсеть. А значит, в поле адреса назначения заголовка кадра должен быть указан локальный адрес нужного маршрутизатора. Следовательно, сетевой адрес необходимо преобразовать в локальный адрес той технологии, которая используется в сети, где находится следующий маршрутизатор. Для этого сетевой протокол обращается с запросом к протоколу разрешения адресов. Соответствие между сетевыми и локальными адресами устанавливается либо на основании заранее составленных таблиц, либо путем рассылки широковещательных запросов по подсети. Таблица соответствия локальных адресов сетевым адресам строится отдельно для каждого сетевого интерфейса. Помимо локального адреса назначения требуется сгенерировать и другие поля заголовка — а именно, поле контрольной суммы; поле локального адреса отправителя, в качестве которого маршрутизатор вставляет локальный адрес своего порта; поле типа протокола сетевого уровня, который переносит кадр, а также другие поля (их конкретный набор зависит от технологии, лежащей в основе работы соответствующего порта).
При передаче пакета между подсетями, где применяются разные технологии, у которых не совпадают максимально допустимые значения длины поля данных кадра, пакет может потребоваться разбить на несколько фрагментов; каждый из них должен быть упакован в отдельный кадр. Функция фрагментации также выполняется средствами сетевого уровня маршрутизатора.
С сетевого уровня пакет, локальный адрес следующего маршрутизатора и идентификатор выходного порта передаются вниз по иерархии на канальный уровень. На основании идентификатора порта осуществляется перемещение этих данных в выходной буфер одного из интерфейсов маршрутизатора, а затем средствами канального уровня выполняется упаковка пакета в кадр соответствующего формата. В поле адреса назначения заголовка кадра помещается локальный адрес следующего маршрутизатора. Готовый кадр отправляется в сеть.
УРОВЕНЬ ПРОТОКОЛОВ МАРШРУТИЗАЦИИ
Сетевые протоколы активно используют в своей работе таблицу маршрутизации, но ни ее построением, ни поддержкой данных, хранящихся в ней, они не занимаются. Каким же образом происходит формирование этих таблиц? Какими средствами обеспечивается адекватность содержащейся в них информации постоянно изменяющейся структуре сети? Основная работа по созданию таблиц маршрутизации выполняется автоматически, но, как правило, таблицу можно скорректировать или дополнить вручную.
С помощью протоколов маршрутизации маршрутизаторы строят карту связей составной сети с той или иной степенью подробности. На основании этой информации для каждого номера сети принимается решение о том, какому следующему маршрутизатору надо передавать пакеты, чтобы маршрут оказался рациональным. Полученные данные заносятся в таблицу маршрутизации. При изменении конфигурации составной сети некоторые записи в таблице становятся недействительными. В таких случаях пакеты, отправленные по ложным маршрутам, могут зацикливаться и теряться. От того, насколько быстро протокол маршрутизации приводит в соответствие содержимое таблицы реальному состоянию сети, зависит качество работы всей сети.
В том, что для принятия решения о продвижении пакета маршрутизаторы обращаются к адресным таблицам, можно увидеть некоторое их сходство с мостами и коммутаторами. Однако природа используемых ими адресных таблиц сильно различается. Вместо фигурирующих в таблицах мостов/коммутаторов MAC-адресов в таблицах маршрутизации указываются номера подсетей, которые образуют составную сеть. Другим отличием названных таблиц является способ их создания. В то время как мост строит таблицу, пассивно наблюдая за проходящими через него информационными кадрами, которые конечные узлы сети посылают друг другу, маршрутизаторы обмениваются специальными служебными пакетами по своей инициативе, сообщая соседям об известных им подсетях в составной сети, маршрутизаторах и о связях этих подсетей с маршрутизаторами. Обычно в расчет принимается не только топология связей, но и их пропускная способность и рабочее состояние конкретных каналов. Это позволяет маршрутизаторам быстрее, нежели коммутаторам, адаптироваться к изменениям конфигурации составной сети, а также правильно передавать пакеты в сетях с произвольной топологией, где допускается наличие замкнутых контуров.
ОСОБЕННОСТИ РЕАЛИЗАЦИИ МАРШРУТИЗАТОРОВ
От современного маршрутизатора требуется сочетание функциональности с высокой скоростью работы. Функциональность определяется разнообразием поддерживаемых сетевых протоколов (правда, в последнее время в связи с явным доминированием IP требования к поддержанию протоколов IPX, DECnet, SNA и других стали выдвигаться значительно реже), протоколов маршрутизации (RIP, OSPF обычно составляют обязательный набор, а при применении маршрутизатора для связи между автономными областями Internet необходим также и протокол BGP), физических интерфейсов.
Функциональность и гибкость на канальном уровне обычно обеспечивается в маршрутизаторах за счет модульной конструкции, когда в одно шасси устанавливается несколько модулей с интерфейсами определенного типа, причем как количество слотов у шасси, так и количество различных типов таких модулей может быть весьма большим, до нескольких десятков. Примером модульного построения маршрутизатора может служить маршрутизатор Cisco 7206, передняя панель которого показана на Рисунке 2. Этот маршрутизатор выполнен на основе 6-слотового шасси, в которое можно установить интерфейсные модули свыше 30 типов, в том числе модули Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring, FDDI, последовательных интерфейсов V.35/X.21/HSSI, технологий глобальных сетей ISDN, SONET/SDH и ATM. В маршрутизаторе, представленном на рисунке, установлены: 5-портовый модуль 10BaseFL, 4-портовый модуль 10BaseTX, 4-портовый модуль Token Ring, 4-портовый модуль Serial enchanced и 2-портовый модуль Fast Ethernet. Маршрутизатор также оснащен многофункциональным модулем управления.
В том случае, когда от маршрутизатора не требуется гибкость на уровне интерфейсов, он реализуется с фиксированным набором портов, чаще всего с несколькими портами Ethernet для подключения к локальным подсетям и одним-двумя глобальными портами для организации внешних связей.
В последнее время из-за резко возросших скоростей технологий канального уровня важную роль стала играть быстрота обработки пакетов. При нескольких гигабитных и мультимегабитных интерфейсах Ethernet, ATM, SDH и DWDM суммарная скорость продвижения пакетов маршрутизатором должна составлять десятки гигабит и даже несколько терабит в секунду.
Добиться подобной производительности при сохранении гибкости и функциональности маршрутизатора — дело очень непростое. До появления высокоскоростных технологий от маршрутизатора обычно требовалось поддержание нескольких последовательных интерфейсов глобальных сетей со скоростями в несколько десятков Кбит/c, поэтому почти все функции маршрутизатора могли быть реализованы программным способом на основе единственного универсального процессора, в том числе и в маршрутизаторах, выполненных в виде специализированного устройства. Такой подход применяется и сегодня при реализации маршрутизаторов для небольших сетей, не поддерживающих высокоскоростных интерфейсов.
Каждый протокол в маршрутизаторе такого типа реализуется с помощью отдельного программного модуля, а для разделения ресурсов единственного процессора между модулями протоколов используется специализированная мультипрограммная операционная система с улучшенными функциями поддержки работы в реальном времени и усеченным набором приложений. В основе многих популярных специализированных операционных систем маршрутизаторов часто лежит та или иная версия UNIX. Наличие у маршрутизатора ОС и API для написания модулей протоколов позволяет достаточно просто изменять набор протоколов (с помощью конфигурирования ОС) и дополнять список поддерживаемых протоколов новыми, обеспечивая высокую функциональность на сетевом уровне.
Однако скоростные возможности однопроцессорного маршрутизатора принципиально ограничены — как возможностями самого процессора, так и накладными расходами на организацию его совместного использования. Естественным выходом из сложившейся ситуации стало появление многопроцессорных маршрутизаторов, при этом наибольшую популярность приобрела схема, упрощенный вид которой показан на Рисунке 3. Каждый порт такого маршрутизатора оснащен специализированным процессором, выполненным как заказная интегральная схема ASIC. Жесткая логика ASIC позволяет очень быстро осуществлять такие рутинные операции по обработке пакетов, как подсчет контрольной суммы, проверка разнообразных условий фильтрации, передача пакетов между внутренними очередями маршрутизатора. Кроме обслуживающих порты процессоров ASIC сверхпроизводительный маршрутизатор может также включать один или несколько общих для всех портов специализированных процессоров. Так, магистральные маршрутизаторы компании Juniper, структурная схема которых показана на Рисунке 3, содержат так называемый Internet-процессор — общий для всех портов процессор, который выполнен как ASIC и предназначен для одной-единственной операции — просмотра больших таблиц маршрутизации, что типично для маршрутизаторов, работающих на магистрали Internet. Узкая специализация позволяет Internet-процессору производить эту операцию очень быстро — со скоростью до 80 000 обращений в секунду. Кроме того, каждый порт маршрутизатора Juniper оснащен двумя ASIC: микросхемой менеджера ввода/вывода для анализа пришедшего пакета «со скоростью поступления» (т. е. с максимальной скоростью, поддерживаемой данным интерфейсом) и микросхемой менеджера буферов, для управления разделяемой между всеми портами памятью маршрутизатора.
Как правило, высокоуровневые функции маршрутизаторов, даже сверхскоростных, выполняются модулями ОС реального времени на одном процессоре. В частности, так устроены маршрутизаторы Juniper: они используют ОС Junos, и наиболее распространенные в мире маршрутизаторы Cisco — их встроенная ОС носит название IOS (Internetwork Opera-ting System).
Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).
Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?
Маршрутизатор
В самом названии маршрутизатор заключена расшифровка его предназначения.
В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).
Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.
Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.
В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.
В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.
Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.
С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.
Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.
Межсетевой экран
Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.
Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.
Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».
И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000
Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000
А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.
Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.
Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».
Механизмы защиты межсетевых экранов
Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?
Firewall
Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.
IP Reputation
Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.
Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.
SSL Inspection
Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.
С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.
Intrusion Detection/Prevention Service
Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.
А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.
Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.
Antimalware
Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.
В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.
Sandbox
Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.
Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.
Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.
«Песочница» работает следующим образом:
Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.
Если файл неизвестен, его копия перенаправляется в Sandbox.
Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.
По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.
В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.
E-mail security
Данная служба включает в себя антиспам и проверку на фишинговые вложения.
В качестве инструментов в настройках "Anti-Spam" доступно:
- «белый список» — "White List", чтобы определять и пропускать полезную почту от доваренных отправителей.
- «черный список» — "Black List" для выявления и обработки спама;
- также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),
Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.
Content Filtering
Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.
Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.
Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.
Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:
Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.
Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.
Таблица 1. Security Service Content Filtering 2.0 — Схема применения.
Application Patrol
Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.
В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.
Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.
Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.
В итоге
Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.
Обзоры, обсуждения, сравнения и выбор софтварных роутеров.
Просьба: Народ, не нужно писать: "А почему в шапке нет такого-то супер-пупер роутера?!" или "Добавте в шапку такой-то роутер!". Вы в состоянии это сделать сами. Если не дотягиваете до мембера - пишите прямо в теме со всеми необходимыми значениями как в шапке. Я найду пару сек чтобы скопипастить это в шапку.
Спасибо за понимание.
Если сравнивать (рассматривать), то уж яблоки с яблоками, а именно бесплатные продукты с бесплатными, роутеры с роутерами.
Может подредактируете таблицу?
Стесняюсь спрость, а где в вышеназванных продуктах функции BGP или OSPF?
А в CheckPoint эти возможности есть (как и в десятке других продуктов).
Я все к тому, что мухи от котлет должны быть отделены и хотелось сравнения/описания однотипных программ. В противном случае переименуйте топик - "Софт, который Я считаю програмным роутером", с оригинальным определением роутера, так как приведенная wiki-ссылка содержит упоминание о динамических протоколах.
Р.S.
Разработчики pfSense не считают свой продукт роутером.
Вышеназванные продукты (собственно из - за которых и дискутируем) - M0n0wall и pfSense.
Это от задачи. У циски реклама хорошая, манагеры это слово знают, а остальное очень средне.
Я не буду с Вами спорить насчет что есть роутер, где есть и где нет бгп и оспф, а также в чьих котлетах есть мухи а в чьих - нет. Софт подбирался по целевому назначению. Цель топика - краткий обзор, с целью выбора готовой системы. Топик будет интересен прежде всего тем кто админит домашние сети, небольше оффисы. Конечная цель - выбрать для себя подходящее решение. Кому достаточно будет элементарных функций, а кому - нет - разберутся сами, без нас. Я в свое время столкнулся с подобной проблемой выбора что и побудило меня создать этот топик, включая его шапку.
Маршрутизатор — ключевой элемент в организации домашней или корпоративной сети. Помимо своей основной функции это устройство может выполнять массу других весьма полезных задач. Фильтрация трафика, организация работы IPTV, сбор статистики и многое другое. Мы подробнее расскажем о полезных функциях в вашем роутере, которые вы могли упустить из виду.
Переназначение WAN на LAN-порт
Гроза — одна из самых частых причин выхода из строя роутеров. В некоторых случаях поломка ограничивается только одним портом — WAN, к которому и подключается интернет-кабель. Решить эту проблему можно достаточно просто даже без разбора конструкции. В большинстве роутеров вы можете переназначить WAN на любой другой LAN-порт. Благодаря этому маршрутизатором снова можно пользоваться в полной мере.
Делается это в веб-интерфейсе устройства. Вы можете выбрать, какой именно из LAN-портов будет выполнять роль WAN. С учетом того, что у большинства пользователей всегда есть свободный порт, эта функция поможет сэкономить на покупке нового маршрутизатора. Как правило, такая функция называется «зеркалированием», «перенаправлением» или «виртуальным портом».
Функционал USB-порта
Некоторые модели роутеров оснащаются одним или даже двумя USB-портами. Не обязательно, чтобы устройство было из высокой ценовой категории — в магазинах можно найти и бюджетные модели с этой конструктивной особенностью.
USB может выполнять одну из нескольких функций:
- Подключение съемных носителей. Многие не знают, но к роутеру легко подключить флешку или даже полноценный HDD через соответствующую док-станцию. Благодаря этому все устройства в сети будут иметь доступ к информации с носителя. При этом вам не придется мучиться с организацией доступа.
- Использование 3G/4G модема или смартфона. Если у вас пропал Интернет, то можно воспользоваться мобильной сетью. Через USB можно подключить модем или телефон, обеспечив выход в сеть всем устройствам в домашней локальной сети.
- FTP-сервер. Его также можно организовать через USB-порт маршрутизатора, при этом доступ к серверу будут иметь все пользователи сети, а при дополнительных настройках можно организовать ограничение прав и доступ из вне. Такой подход позволяет сэкономить пространство на компьютере, поскольку FTP-сервер будет непосредственно на съемном USB-накопителе.
- Подключение сетевого принтера. Что делать, если у вас есть несколько компьютеров, которым необходимо организовать доступ к принтеру? Совсем не обязательно делать подключение по LAN — воспользуйтесь USB на самом роутере. При этом доступ к принтеру будут иметь даже ноутбуки, подключенные по Wi-Fi.
- Подключение веб-камеры. На некоторых роутерах через USB можно настроить трансляцию с веб-камеры, которая будет доступна всем пользователям в сети.
Если вы все-таки решили взять роутер с USB, то обратите внимание на несколько моментов. Во-первых, все вышеописанные функции маршрутизатор должен поддерживать программно. Например, наличие USB еще не гарантирует, что вы сможете сделать FTP-сервер. Во-вторых, рекомендуем заранее ознакомиться со списком совместимых модемов и максимальным объемом подключаемых накопителей. Например, старые роутеры не работают с дисками или флешками от 1 ТБ.
Функция автозагрузки и торрента
Наличие USB-порта открывает еще одну важную функцию — автозагрузка. Суть в том, что маршрутизатор можно запрограммировать на скачивание файла или торрента, после чего отключить компьютер. Главное преимущество — вы можете поставить скачиваться объемные данные на ночь и при этом не гонять впустую ПК или ноутбук, которые подключены к сети. Нужный вам файл в итоге загрузится на подключенный USB-носитель. Как правило, режим «оффлайн-загрузки» можно включить в разделе настроек USB.
В расширенных настройках можно задать ограничение скорости, расписание, а также другие параметры. При этом скачанные файлы могут быть доступны сразу всем устройствам в домашней сети.
Встроенный торрент-клиент также пригодится в том случае, если вы планируете вести какую-либо раздачу круглосуточно. Тогда у вас не будет необходимости все время держать компьютер включенным.
На некоторых моделях может быть вшитое ограничение на скорость скачивания торрентов, чтобы обеспечить стабильную работу устройства.
Функция WPS
Можно ли подключить устройство к Wi-Fi, если вы забыли пароль и не хотите лезть в веб-интерфейс? Легко — достаточно воспользоваться WPS (Wi-Fi Protected Setup). Пользователям нужно нажать соответствующую кнопку на обоих устройствах, после чего произойдет сопряжение. Мобильные гаджеты при включении WPS могут подключаться к Wi-Fi автоматически.
В некоторых роутерах для подключения через WPS нужно ввести PIN. Посмотреть код или полностью отключить его можно в настройках маршрутизатора.
Кнопка WPS может быть одновременно и RESET, поэтому перед использованием почитайте в инструкции, как именно ее нужно нажимать
Функции репитера, точки доступа и беспроводного моста
Одного роутера очень часто не хватает для покрытия большой площади, особенно, если вы живете в большом частном доме или многокомнатной квартире. Если у вас дома завалялся второй роутер, то с большой вероятностью из него можно сделать полноценною точку доступа.
Эти режимы могут быть двух типов:
- Режим точки доступа. Второй роутер подключается посредством LAN к первому и становится дополнительной точкой, к которой могут подключаться пользователи. Пароль и SSID при этом не меняется.
- Режим моста WDS. В отличие от предыдущего варианта, два роутера соединяются между собой через Wi-Fi, поэтому второе устройство должно находиться в зоне покрытия первого. Подойдет для тех, кто не хочет или не может тянуть сетевой кабель между маршрутизаторами.
Все настройки выполняются в веб-интерфейсе. На некоторых моделях роутеров для использования режима точки доступа придется задать ip-адрес вручную и отключить DHCP-сервер.
Функция ограничения доступа
Практически все современные маршрутизаторы имеют родительский контроль. Это крайне полезная функция, если у вас есть дети. В настройках можно указать список запрещенных адресов и для каких конкретно устройств будут недоступных эти сайты.
Это намного удобнее и быстрее, чем настраивать блокировки на каждом отдельном устройстве. Также родительский контроль будет полезен и в корпоративном секторе, если нужно ограничить сотрудникам доступ к развлекательному контенту.
Функции IPTV и DNLA
Если вас не устраивает список доступных каналов на телевизоре или вы хотите смотреть с удобством ТВ на компьютере, то будет полезна функция IPTV. Роутер может транслировать телесигнал как по кабелю, так и через Wi-Fi. Как правило, достаточно только разрешить мультикаст (многоадресную маршрутизацию) в настройках роутера. В IPTV пользователи могут настроить список каналов на свой вкус.
Еще одна полезная функция — медиа-сервер посредством Digital Living Network Alliance (DNLA). Используя подключенный к роутеру USB-накопитель, вы можете создавать библиотеку фильмов или музыки. Доступ к ней будут иметь все гаджеты в сети. Это актуально, когда у вас есть несколько смарт-устройств.
Функция приоритета трафика QoS
С появлением умных вещей к домашнему Wi-Fi подключается все больше устройств. Нередко они доставляют небольшие неудобства, отбирая весомую долю трафика. Quality of Service позволит выставить приоритеты, тем самым распределяя пропускную способность. Роутер будет отдавать большую пропускную способность конкретным направлениям с учетом действующих приоритетов.
Задать приоритеты обычно можно по протоколам или конкретным приложениям.
Съемная антенна
Контроль подключенных устройств
Как узнать, не подключился ли к вашему Wi-Fi сосед или другой посторонний? На самом деле никаких специализированных программ не потребуется — все необходимое уже есть в веб-интерфейсе вашего маршрутизатора. Для этого достаточно перейти в раздел «Беспроводные сети» и найти соответствующее меню. Роутер покажет текущий IP и MAC-адрес подключенных устройств, а также по возможности их наименование. Это позволит быстро найти воришку трафика.
MAC-адреса своих устройств вы всегда сможете узнать в настройках. В ноутбуках — через свойства беспроводного адаптера, а на мобильных устройствах — в свойствах Wi-Fi.
Читайте также: