Ассортимент компонентов WLAN производства Netgear включает не только продукты для потребительского сегмента: в нем представлены также многочисленные маршрутизаторы WLAN и точки доступа (Access Point, AP) для малых и средних предприятий. Поэтому наличие решения для централизованного администрирования точек доступа выглядит вполне закономерно: контроллер WLAN WFS709TP формата 19” высотой в одну монтажную единицу (U) способен управлять 16 точками доступа и централизованно предоставлять их услуги клиентам. На его передней панели размещено восемь портов 10/100, а девятый служит в качестве восходящего соединения (Uplink) для подключения к корпоративной сети и поддерживает скорости 10/100/1000 Мбит/с. Все девять портов способны снабжать устройства питанием по сети Ethernet (Power-over-Ethernet, PoE). Кроме того, через пользовательский интерфейс можно активировать вариант PoE, совместимый с Cisco.
В качестве подходящих точек доступа Netgear предлагает два «тонких» устройства, функционирующих лишь в сочетании с контроллером: WAGL102 и WGL102 поддерживают стандарты 802.11a/b/g и b/g, соответственно. При желании путем перепрошивки микрокода в «тонкие» устройства можно превратить обычные точки доступа WAG102 и WG102, однако этот процесс необратим. Расширения для поддержки 802.11n для WFS709TP, вероятно, не будет вследствие особенностей архитектуры системы, которая, в отличие от многих аналогичных решений, предполагает прохождение всех данных через контроллер. При той высокой пропускной способности, которая теоретически достижима в стандарте 802.11n, этот контроллер превратился бы в «иголочное ушко».
По информации самого производителя, Netgear работает сейчас над новым решением по управлению настройками безопасности и гостевым доступом, при этом полезная нагрузка пакетов данных будет передаваться через точки доступа напрямую в локальную сеть. Четыре точки доступа WAGL102, предложенные для тестирования тестовой лаборатории LANline, были напрямую подключены к четырем портам коммутатора WFS709TP. Службы DHCP и DNS предоставлялись существующей тестовой средой, внешний сервер RADIUS для аутентификации также имелся в наличии.
ТРЕБУЕТСЯ ТЕРПЕНИЕ
Хотя контроллер WLAN был уже предварительно сконфигурирован, мы не удержались и сбросили все настройки устройства до заводских параметров, чтобы начать все с самого начала. Стандартный IP-адрес — 192.168.0.250, в качестве данных для авторизации по умолчанию указаны admin/password. При первом обращении запускается мастер настройки, запрашивающий традиционные параметры, такие как IP-адрес и маска сети. После повторного запуска устройство доступно по введенному адресу. В целом этот процесс очень прост и заслуживает положительной оценки. Несколько более трудоемкой является настройка сервера DHCP: точки доступа начинают работать с контроллером только после того, как получают адреса из диапазона подсети. Для этого контроллер должен либо сам предоставить адреса, либо передать запросы серверу DHCP в локальной сети. Однако это удастся только в том случае, если в пользовательском интерфейсе поставлена соответствующая галочка.
Графический интерфейс Web контроллера Netgear вполне соответствует уровню своих «коллег», D-Link и Extricom. Однако, вне зависимости от используемого браузера, он реагирует замедленно, что особенно раздражает при первичной настройке. Кроме того, контроллер поддерживает гораздо больше функций, чем мы ожидали, причем распределение отдельных пунктов меню порой кажется довольно произвольным. К примеру, пункт «принудительная деаутентификация станции для применения правил» (Force Station Deauthentification for Policy Enforcement) располагается в подменю «Дополнительные» (Advanced) пункта «Администрирование радиочастот» (RF-Management). Между тем он был бы гораздо уместнее в разделе «Безопасность» (Security). Поэтому, несмотря на длительное общение с контроллером, нам приходилось тратить много времени на поиск известных функций, которые не удавалось обнаружить там, где они должны находиться с точки зрения логики.
Тот факт, что в англоязычном руководстве объяснения заканчиваются как раз там, где потребовалась бы помощь, тоже не помогает в работе. Кстати, при тестировании использовались браузеры Firefox 3.0.8, а также Internet Explorer 7 и 8 (под Windows 7 Beta) без каких-либо проблем. Необходимо лишь наличие сценария Java.
БЫСТРЫЙ СТАРТ В БАЗОВОМ РЕЖИМЕ
По крайней мере, начальную настройку в «базовом» режиме осуществить очень легко: этот режим скрывает примерно три четверти всех функций и объединяет другие параметры. В результате получается гибкий дополнительный интерфейс, из которого администратор может за пять минут всего несколькими щелчками мышью создать свою сеть WLAN, включая аутентификацию. В этом отношении мы вновь оценили WFS709TP достаточно высоко: будь то перехватывающий портал (Captive Portal), гостевая регистрация на основании адреса электронной почты или аутентификация RADIUS — все варианты настраиваются легко и практично, с гарантией функционирования (см. Рисунок 1). Среди нескольких протестированных LANline контроллеров аналогичным удобством обладало лишь устройство компании Ruckus.
Благодаря встроенному серверу RADIUS небольшим предприятиям не придется устанавливать дополнительные компоненты при высоких требованиях к обеспечению безопасности. Во время тестирования аутентификация RADIUS со стандартным клиентом Windows XP прошла без проблем, что далеко не всегда удавалось в других решениях. Для этого на клиенте в настройках соответствующего SSID необходимо выбрать «Защищенный EAP (PEAP)», а в его свойствах — «надежный пароль». В диалоговом окне конфигурации надо снять галочку в пункте «автоматически авторизоваться с Windows Credentials». При следующей попытке установления соединения с указанным SSID будет отображаться окно с полями для ввода имени пользователя/пароля/домена, которые затем проверяются по записям внутреннего или внешнего сервера RADIUS.
Практическую пользу имеет возможность настраивать роли администраторов с различными правами. Так, секретарь в приемной сможет самостоятельно создавать коды доступа для посетителей, которые затем авторизуются через гостевой портал. Однако администратору следует еще до настройки продумать базовую концепцию сети WLAN и сравнить ее с теми способами и методами, которые предусматривает Netgear для реализации такой сети. К примеру, каждому SSID могут быть сопоставлены собственные параметры шифрования, аутентификации и виртуальных локальных сетей (Virtual LAN, VLAN) (см. Рисунок 2). Выбор каналов и режим передачи a/b/g тоже назначаются произвольно, но относящиеся к каждому SSID точки доступа задаются в настройках VLAN. Каждый порт коммутатора обладает номером VLAN, а точки доступа, подключенные к конкретному порту, получают SSID в соответствии с идентификационным номером VLAN (VLAN-ID).
Наиболее удачное расположение точек доступа пользователь может определить с помощью инструмента-планировщика. На основании предварительно введенных данных о размере и очертаниях помещения контроллер выдает рекомендации относительно того, какое размещение теоретически обеспечит лучшее покрытие. Эти результаты не особенно точны, но для начала их вполне достаточно. Как обычно, мы определили пропускную способность из конца в конец между точкой доступа и клиентом, расположенным на расстоянии 100 см, для чего использовали бесплатный инструмент testtcp, позволяющий измерить пропускную способность TCP практически без влияния посторонних факторов. Средняя скорость составила 12,65 Мбит/с, тест на обмен по FTP позволил достичь 13,8 Мбит/с — не самые высокие показатели, но для текущих офисных нужд они приемлемы.
СТАРЫЙ ЗНАКОМЫЙ
Кстати, WFS709TP может работать не только в плоских сетевых архитектурах, но и поддерживает маршрутизацию на третьем уровне. Для развертывания точек доступа Netgear встроила в него мастер с поддержкой обоих вариантов. Для того чтобы точки доступа находили свой контроллер в других подсетях, администратору необходимо либо указать контроллер на сервере DNS как netgear-master, либо связать «опцию 43» с IP-адресом системы WFS709TP на сервере DHCP. В остальном точки доступа Netgear не создают никаких проблем в процессе эксплуатации. Администратор может обращаться к ним по отдельности и запрашивать статистические данные, однако необходимости в этом нет: при тестировании эксплуатации и мониторинга беспроводной сети централизованное управление контроллера показало себя абсолютным хозяином положения.
Хотя корпус и программное обеспечение устройства снабжены логотипами Netgear, специалисты, знакомые с контроллерами WLAN других поставщиков, смогут понять (к примеру, по этикеткам для неавторизованных точек доступа — Rogue), что настоящим производителем является Aruba, впрочем, Netgear не делает из этого тайны. В принципе, речь идет о Aruba Mobility Controller в несколько измененном оснащении. Данное устройство уже рассматривалось в рамках нашей серии тестов контроллера WLAN, и тогда оно произвело хорошее впечатление наличием широких возможностей для отражения угроз WLAN.
Контроллер WFS709TP, который предлагает Netgear, ни в чем ему не уступает. Это решение для WLAN позволяет не только выявлять чужие точки доступа, но и активно им противодействовать, причем система делает различия между мешающими (Interfering) и неавторизованными (Rogue) точками доступа. Последние хоть и связаны с собственной локальной сетью, но не входят в состав сети WLAN, контролируемой Netgear. Что же касается мешающих точек доступа, то они не имеют соединения с собственной локальной сетью. Поэтому все точки доступа, установленные на соседних предприятиях и в частных помещениях, попадают в категорию «мешающие». За их обнаружение отвечают точки доступа, выполняющие побочную функцию так называемых мониторов эфира (Air Monitor), либо администратор выделяет определенные точки доступа для целенаправленной работы в качестве мониторов эфира.
Однако при осуществлении защитных мер контроллер Netgear немилосерден: как точки доступа, так и клиентов можно удалить из сети и держать на расстоянии простым щелчком мыши. В этом случае собственные точки доступа посылают жертве многочисленные запросы, то есть устраивают небольшую целенаправленную атаку «отказ в обслуживании» (Denial of Service, DoS). Успех зависит от расположения клиента или неавторизованной точки доступа. Если мониторы эфира обрушат всю свою мощь на чужую систему, то у нее не останется никаких шансов. К примеру, во время теста из 100 пакетов с запросом ping доходило меньше 20. Если клиент перемещался в пространстве, то в некоторых местах все-таки удавалось установить соединение, но оно сохранялось лишь несколько секунд, а значит, все же администратору не следует слепо полагаться на эффективность этой защитной меры.
Те же выводы справедливы в отношении соединений с мешающими точками доступа: при тестировании и здесь удалось добиться высокого уровня защиты, хотя и не на все 100%. Даже при отсутствии специально выделенного монитора эфира достаточно трех точек доступа, чтобы эффективно изолировать любого клиента от точки доступа. Клиенты блокируются уже на типичных расстояниях между двумя офисными помещениями.
ОСТОРОЖНОСТЬ ПРИ ОБОРОНЕ
Какой бы привлекательной ни была возможность «выдворения» чужих клиентов и точек доступа из собственной сети, администраторам не следует злоупотреблять ею. Такие методы не только отрицательно сказываются на добрососедских отношениях, но могут привести к проблемам правового характера. В документации Netgear, к сожалению, возможные последствия не оговариваются. Тот факт, что функция защиты, именуемая Disable, находится в меню в одном ряду с функциями, которые лишь вызывают изменение отображения точки доступа, таит большую опасность, как заряженный пистолет без предохранителя.
По крайней мере, до сих пор ни один из протестированных контроллеров WLAN не мог оказывать хотя бы приблизительно такое же сильное воздействие на другие устройства WLAN. Очевидно, что это палка о двух концах, поскольку необдуманный или случайный поступок может повлечь серьезные последствия. Тем не менее Netgear демонстрирует возможность надежной защиты сети WLAN от атак, поскольку, помимо функций мониторинга, в контроллер встроены система обнаружения вторжений (Intrusion Detection) и распознавание атак DoS, а брандмауэр обеспечивает в беспроводной сети дополнительную стену защиты.
Что касается практической применимости системы, то по ходу тестирования нам не пришлось делать никаких оговорок. После первичной конфигурации WFS709TP хорошо справляется со своими задачами. Единственное, чего хотелось бы, — большего комфорта при администрировании данных о конфигурации: в настоящее время их можно скачать с контроллера только посредством FTP, TFTP или Secure Copy Protocol (SCP). Традиционный для других решений вариант получения данных через браузер отсутствует.
Кроме того, нужно привыкнуть к тому, что все изменения вступают в силу сразу после нажатия кнопки «применить» (Apply) в соответствующем окне. Поэтому при настройке виртуальных локальных сетей и параметров IP следует быть осторожным, иначе администратор может сам себя исключить из сети. Хотя в таком случае требования контроллера о длительном сохранении всех изменений во флэш-память только посредством отдельного нажатия на кнопку Safe Config кажутся нелогичными. По крайней мере, в случае неправильной настройки системы после перезапуска контроллера будет восстановлено состояние на момент последнего нажатия Safe Config.
Заключение
WFS709TP компании Netgear — надежный контроллер WLAN для небольших предприятий. Объем функций для аутентификации и гостевого доступа образцово-показательный, правда меры защиты для этой целевой группы несколько избыточны. Зато пользователи, которым достаточно пропускной способности стандартов 11a/b/g, получают очень экономичное решение: цена контроллера составляет около 2250 евро, точка доступа — примерно 150 евро. С учетом оснащения брандмауэром, гостевым порталом и обширной системой отчетов покупку WFS709TP можно считать выгодной для тех пользователей, которым нужен базовый пакет по принципу «все включено».
Эльмар Терек — независимый журналист, пишущий на тему телекоммуникаций.
© ITP Verlag