No pasaran! Все — на баррикады!

Андрей Фильчаков

К бою!

NAT + Firewall = сила!

Резюме

 

Технические характеристики SMC Barricade Broadband Router

 

Какие патетические ассоциации в названии статьи вызвала оказавшаяся в наших руках «железка» от SMC — Barricade Broadband Router. Представленная в России в конце февраля этого года «Баррикада» ориентирована на рынок SOHO (Small office home office). Не боясь показаться неоригинальными, отметим, что SMC Barricade Broadband Router является практически идеальным решением как для небольшого офиса, так и для домашнего использования. Это действительно так: в устройстве объединены все жизненно важные возможности, необходимые для повседневной работы: коммутатор 10/100 на 4 или 7 портов, DHCP-сервер, принт-сервер, а также брандмауэр (Firewall) для защиты сети от несанкционированных посягательств извне и от самих пользователей. Для доступа в Интернет можно использовать либо WAN-порт, подключив к нему кабельный или DSL-модем, либо стандартный интерфейс RS-232 для подключения аналогового или ISDN-модема. В устройстве реализована функция NAT (Network Address Translation — трансляция сетевых адресов), которая позволяет подключаться к Интернету многим компьютерам с использованием только одного IP-адреса. Вследствие этого извне виден только один «айпишник» — и внешний пользователь не может определить наличия за ним сети, которая, кстати, может содержать до 253 компьютеров, подключенных к Интернету через Barricade.

Однако от дифирамбов перейдем к результатам тестирования. Сразу подчеркнем, что эта статья не претендует на роль истины в последней инстанции. Мы подошли к тестированию с сугубо потребительской точки зрения, и главной целью стала рабочая локальная сеть с выходом в Интернет и сетевой печатью через Barricade.

К бою!

Итак, достав из коробки сравнительно небольшое устройство (в нашем распоряжении оказалась 4-портовая модель SMC Barricade7004BR), кабель питания и 2 плотно скрученных с перегибами и изломами кабеля 5-й категории (не patch-кабель, а самый обыкновенный), мы обнаружили полное отсутствие бумажной инструкции. В качестве инструкции по эксплуатации прилагается CD-ROM, на обложке которого отображены шаги по настройке Barricade. Вначале нас это слегка смутило, однако, как показала последующая установка, опасались мы зря.

Инсталляция ограничивается четырьмя шагами: подключением всех проводов, принтера и модема, установкой TCP/IP-протокола на клиентском компьютере, конфигурацией транслятора IP-адресов через Web-браузер и установкой программного обеспечения для принт-сервера. Первый и последний пункты никаких дополнительных навыков не требуют; главное — не включать клиентскую машину в WAN-порт и не пытаться подсоединить модем в принтерный порт. К тому же все разъемы четко отмаркированы. Далее вам потребуются минимальные знания конфигурации Windows и сетей. Отметим, что на практике первичная настройка оказалась гораздо проще, чем это предполагалось. Никаких особых усилий прилагать не требуется — по умолчанию Barricade активирует DHCP-сервер и автоматически раздает IP-адреса всем компьютерам локальной сети. Необходимо лишь убедиться, что на клиентской машине установлен протокол TCP/IP и включена опция «Получить IP-адрес автоматически». При последующей перезагрузке Barricade выдаст «новому» компьютеру адрес из заранее заданного диапазона. Запустив стандартную программку winipcfg, входящую в стандартный комплект Windows, можно проверить адреса своего компьютера и сетевого шлюза (Gateway), которым, собственно, и является Barricade. На этом настройки клиента закончены, хотя для полного успокоения можно в каждой программе, использующей Интернет, в свойствах указать «Для соединения использовать локальную сеть». Теперь с клиентской машины можно выйти в Интернет, получить или отправить почту, посетить новостные конференции или скачать необходимый файл с FTP-сервера, а также воспользоваться другими стандартными Интернет-приложениями.

В нашей тестовой конфигурации доступ в Интернет осуществлялся с помощью аналогового модема, подключенного к COM-порту Barricade. Здесь можно выбрать несколько вариантов активации модема: по первому запросу (например, при обращении к какому-либо сайту) или сразу же при включении Barricade. Можно также установить время отключения в случае простоя и воспользоваться опцией Auto-reconnect, автоматически восстанавливающей связь при обрыве линии. Обратите внимание: по умолчанию номер набирается в тоновом режиме, так что при необходимости импульсного набора перед номером модемного пула провайдера следует написать символ «р».

Все настройки Barricade проводятся с помощью простого, логичного и, как принято говорить, интуитивно понятного Web-интерфейса. Cделать это довольно легко. Набрав в адресной строке Интернет-браузера http://www.192.168.123.254/, вы попадаете на «сайт» управления настройками этого устройства; и в первую очередь необходимо установить тип доступа к Интернету. На дополнительных настройках мы остановимся ниже, а сейчас поговорим о средствах обеспечения безопасности, реализованных в Barricade.

В начало В начало

NAT + Firewall = сила!

Существует два вида безопасности — внутренняя и внешняя. С внешней безопасностью (защита от посягательств извне) все довольно просто — благодаря функции трансляции IP-адресов. Пока в локальной сети нет никакой активности, снаружи ничего не видно, кроме «голого» IP-адреса с закрытыми портами. Для проверки этого мы воспользовались программой nmap, работающей на UNIX-машине и являющейся по сути продвинутым сканером портов. С ее помощью можно определить, какие порты открыты, какие находятся в режиме ожидания, а какие фильтруются (и по каким адресам). Таким образом, никакой внешний объект не может самостоятельно попасть в локальную сеть. Двусторонняя связь с внешним абонентом устанавливается только после запроса изнутри, например при обращении к внешнему почтовому серверу для доставки почты. В этом случае каждый клиент может самостоятельно устанавливать свои собственные критерии безопасности. Barricade лишь проверяет весь трафик, проходящий между двумя сетями, и определяет выполнение критериев.

Для усиления контроля над трафиком и доступом к Интернет-ресурсам в Barricade предусмотрены списки ограничения. Другими словами, администратор может запретить компьютерам с определенными IP-адресами локальной сети соединяться с выбранными сервисами. Например, одна группа может только просматривать Web-странички (WWW, 80-й порт), получать (POP, 110-й порт) и отправлять (SMTP, 25-й порт) почту. Другая группа не может читать новости (119-й порт) и пользоваться FTP (21), но может делать все остальное. Всего можно создать до четырех таких групп фильтрации по IP-адресам. Недостатком данного метода ограничения является то, что пользователь запросто может подойти к другому компьютеру с продвинутыми правами и получить полный доступ к сетевым сервисам, поскольку аутентификации пользователя не производится.

На рисунке показано, как выглядит окно управления — просто, но со вкусом.

Наряду с ограничением доступа Barricade поддерживает функцию DMZ (демилитаризованная зона). В ней можно указать только один IP-адрес, который будет выходить в Интернет в обход Firewall. Можно также указать один внешний IP-адреc для удаленного администрирования системы.

Отдельно можно выделить наборы портов и приложений для коллективной работы. К ним в основном относятся приложения, требующие многократных соединений, такие как Интернет-игры, видеоконференции, Интернет-телефония и некоторые другие, наиболее часто используемые (Dialpad, BattleNet, Quicktime4, MSN Gaming Zone, ICU II). Достоинство Barricade состоит в том, что при открытии таких портов безопасность остается на том же уровне, как и при использовании стандартной трансляции адресов (NAT).

Если внутри локальной сети имеются какие-либо серверы, к которым необходим доступ извне, это надо «задокументировать» в настройках Virtual Server. При этом Barricade будет пересылать все запросы, приходящие на определенный порт, на указанный IP-адрес в локальной сети. Например, если у вас есть FTP-сервер (21-й порт), находящийся по адресу 192.168.123.1, Web-сервер (80-й порт) на 192.168.123.2 и PPTP VPN на 192.168.123.6, то вам необходимо сделать следующие установки:

Service Port Server IP Enable
21 192.168.123.1 V
80 192.168.123.2 V
1723 192.168.123.6 V

В итоге запрос, пришедший по 80-му порту на тот IP-адрес, который был выдан вам вашим провайдером, будет автоматически перенаправлен на компьютер локальной сети с адресом 192.168.123.2.

В начало В начало

Резюме

Вarricade — чрезвычайно удобное устройство, причем как в плане сетевой работы и печати, так и в отношении простоты инсталляции и настройки. В процессе тестирования мы перепробовали практически все популярные сервисы — мы печатали многочисленные страницы, бродили по Интернету, качали фалы по ftp, «чатились» на IRC-каналах, общались по ICQ и с использованием Интернет-телефонии, даже немного поиграли в Quake, но никаких особых проблем не возникло. При разрыве соединения Barricade самостоятельно устанавливает его заново, и в окне статуса отображаются протокол и скорость соединения. Единственное, что нас озадачило, — это временное подвисание Barricade и потеря связи с компьютерами локальной сети. Однако мы связываем это с дефектами перекрученного кабеля, входящего в стандартный комплект, и рекомендуем заменить его на новый, желательно соответствующий кабель (для коротких соединений между компьютером и розеткой лучше использовать patch).

В общем, Barricade — очень удобная вещь, во всем, начиная от использования и заканчивая обновлением внутреннего программного обеспечения, которое производится двумя кликами мышки. Короче говоря, за Barricade — как за каменной стеной.

Отметим, что на российском рынке рекомендованные цены составляют 200 и 270 долл. за 4- и 7-портовую модель. С учетом встроенного 5-портового коммутатора (один порт вовне — WAN-порт) с автоматическим определением скорости на 10/100 Мбит/с, поддержки NAT и DHCP, а также феноменальной простоты использования сегодняшняя (март 2001 года) цена в 200 долл. за 4-портовую модель является весьма привлекательной.

И если выбирать между отдельным компьютером с программным транслятором IP-адресов (например, WinGate) и Barricade, то, на наш взгляд, Barricade — предпочтительнее, хотя бы по простоте управления. В любом случае — выбор за вами!

КомпьютерПресс 4'2001