NETGEAR ProSecure UTM50

Введение

Совсем недавно мы уже получали от NETGEAR сетевой брандмауэр SRX5308, сегодня же к нам в лабораторию попало устройство, также нацеленное на обеспечение безопасности сети – унифицированная система защиты от угроз. В данном обзоре мы попытаемся разобраться в возможностях, предлагаемых ProSecure UTM50.

Внешний вид

NETGEAR UTM50 поставляется в типичном для таких устройств стоечном исполнении и занимает один юнит. Габаритные размеры корпуса составляют 440х43х253.

Боковые поверхности содержат вентиляционные решётки, к одной из них внутри крепится вентилятор. Также к ним крепятся «уши» для монтажа в стойку.

Верхняя и нижняя панели ничем не примечательны, кроме наличия объёмного названия фирмы производителя и наклейки с краткой информацией об устройстве, а также мест для приклеивания резиновых ножек, так как UTM может быть не только монтирован в стойку, но и размещён на столе.

На лицевой стороне расположены шесть LAN портов и два WAN порта, разъём для подключения USB-устройств, а также световые индикаторы работы устройства.

Задняя панель тестируемой модели несёт на себе разъём для подключения питания, консольный порт, утопленную кнопку Factory Defaults и Кенсингтонский замок.

Заглянем теперь внутрь устройства.

Аппаратная платформа

Аппаратная платформа UTM50 состоит из четырёх плат, выполняющих различные функции: основная, блок питания и две интерфейсных, несущих на себе лишь разъём для подключения консоли или светодиоды, отражающие состояние устройства.

Остановимся подробнее на элементах основной платы, большая часть которых расположена с одной стороны.

Функции сетевого процессора выполняет Broadcom BCM53118KQLEG с девятью гигабитными портами, блок-схема которого представлена ниже. Такой чип мы уже видели и в других продуктах NETGEAR: SRX5308 и GS108PE. За физическую развязку с сетью отвечает три модуля BI-TEK TONYO FM-3178LLF и два FM-1178LLF.

Центральный процессор представлен двухъядерным чипом OCTEON Plus CN5020-700BG564-SCP-G, его одноядерный аналог присутствовал в сетевом брандмауэре SRX5308. Блок-схема процессора представлена ниже.

Функции флеш-памяти выполняет Macronix MX29GL640EHT2I-70G с объёмом 8 Мбайт. Кроме этого на плате присутствует карта памяти Compact Flash III Apacer, объём которой составляет 2 Гбайта. Оперативная память представлена восемью модулями Samsung K4T1G164QF-BCE7, суммарный объём которых составляет 1 Гбайт.

На этом рассмотрение аппаратной части завершается и мы переходим к программной составляющей устройства.

Обновление прошивки

Поскольку NETGEAR UTM50 является представителем линейки устройств для унифицированной защиты, то обновлению подлежит не только микропрограммное обеспечение, но также антивирусные модули и базы сигнатур известных угроз. Рассмотрим каждое из возможных обновлений отдельно. Смена прошивки устройства производится с помощью вкладки Firmware меню Administration-System Update. Возможна ручная и полуавтоматическая загрузка файла с образом прошивки. Для полуавтоматического обновления UTM50 должен иметь выход в интернет для подключения к серверам производителя. После получения списка доступных версий администратор выбирает требуемую прошивку и устройство закачивает её. После загрузки прошивки можно переходить непосредственно к процедуре её установки.

Процесс обновления занимает порядка семи минут (без учёта перезагрузки и времени, необходимого на скачивание прошивки), новая прошивка устанавливается во второй раздел. После успешной установки устройство должно быть перезагружено.

Хотелось бы отдельно обратить внимание читателей на необходимость регистрации устройства для получения новых версий прошивок. Регистрация производится с помощью пункта Support-Registration. Существует три различных лицензии: Web Protection, Email Protection и Support&Maintenance.

При ручной смене прошивки требуется лишь выбрать заранее скачанный файл с новой версией микропрограммного обеспечения на вкладке Firmware меню Administation-System Update и нажать кнопку Upload.

Управление параметрами загрузки обновлений антивирусных баз производится с помощью вкладки Signatures&Engine того же пункта меню.

На этом раздел, посвящённый обновлению антивирусных баз и микропрограммного обеспечения, завершается, а мы переходим к рассмотрению возможностей веб-интерфейса.

Обзор веб-интерфейса

Для доступа к веб-интерфейсу необходимо использовать любой современный браузер. Логин и пароль по умолчанию равны admin и password, соответственно.

После ввода корректных учётных данных администратор попадает на стартовую страничку устройства, содержащую краткую информацию о загрузке процессора, использовании оперативной памяти и диска, а также прочую системную информацию. Также эта страничка доступна на вкладке System Status меню Monitoring-System Status. Похожий веб-интерфейс мы уже видели ранее у брандмауэра NETGEAR SRX5308.

Бегло рассмотрим возможности веб-интерфейса UTM50. Подпункты и вкладки группы Network Config предназначены для изменения параметров LAN и WAN-интерфейсов, управления маршрутизацией и балансировкой нагрузки, настройки DDNS и DMZ. Также здесь можно выставлять пределы потребления трафика в месяц, а также указать параметры отправки уведомлений о происходящих с устройством событиях по электронной почте. NETGEAR UTM50 поддерживает работу с несколькими виртуальными сетями, подключенными к LAN и DMZ интерфейсам устройства. Также стоит отметить, что тестируемое устройство поддерживает маршрутизацию между виртуальными сетями, но, к сожалению, принадлежность к VLAN определяется только на основе порта, - протоколы 802.1q/802.1p не поддерживаются. Мы считаем, что поддержка транков здесь была бы очень уместна, это позволило бы подключить локальную сеть, содержащую несколько VLAN, с помощью лишь одного порта.

Меню Network Security позволяет администратору изменять параметры работы системы обнаружения вторжений; управлять сервисами и качеством обслуживания, списками доступа и триггерными портами; системой UPnP. Также UTM50 позволяет администратору задавать правила фильтрации трафика при передаче его из одной виртуальной сети в другую.

Управление параметрами проверки пользовательского трафика на наличие вирусов и спама производится с помощью пунктов меню Application Security.

NETGEAR UTM50 поддерживает два типа туннельных подключений: IPSec и SSL VPN, их настройка производится с помощью пунктов меню VPN.

Управление локальными пользователями и их группами, изменение параметров аутентификации и работы с сервером RADIUS производятся с помощью подпунктов меню Users.

Управление параметрами доступа по протоколам HTTPS, SNMP производится с помощью группы Administration. Также здесь можно сохранить/восстановить/обнулить пользовательские настройки, обновить прошивку и скорректировать дату и время. Стоит отметить, что текущая прошивка не поддерживала изменения в законодательстве России, связанные с часовыми поясами. Так для Москвы по-прежнему использовался пояс GMT+3.

Информация об использовании процессора, памяти и диска, сведения о состоянии сетевых интерфейсов и виртуальных сетей, подключенных пользователях, а также прочая журнальная и диагностическая информация собрана в подпунктах меню Monitoring.

Вкладка Support предоставляет администратору возможности по обращению в техническую поддержку производителя, позволяет отправить сомнительный файл для детальной антивирусной проверки, зарегистрировать устройство у производителя, а также получить доступ к онлайн базе знаний и документации.

Последним нерассмотренным пунктом меню является пункт «Wizards», позволяющий запустить мастера для упрощения настройки.

После того, как материал был полностью написан, мы получили новую версию прошивки от производителя. К сожалению, в ней не оказалось поддержки IPv6, да и часовой пояс для Москвы всё также остался GMT+3, но нам хотелось бы больше хотелось рассмотреть то, что нового появилось в микропрограммном обеспечении версии 3.1.0-149_RU. Теперь NETGEAR UTM50 может выступать в качестве сервера PPTP и L2TP, такую возможность мы обязательно протестируем в соответствующем разделе. Всего допустимо до пяти одновременных подключений.

Кроме этого в новой прошивке появилась возможность интеграции UTM50 и сетевых хранилищ ReadyNAS. О хранилищах ReadyNAS 2100 и ReadyNAS Ultra 2 Plus мы уже рассказывали ранее. Такая интеграция требуется UTM50 для хранения писем на карантине при обнаружении подозрительных писем со спамом или вирусами.

Также в прошивке 3.1.0-149_RU появилась поддержка SNMP третьей версии.

Обзор веб-интерфейса мы на этом завершаем и переходим к рассмотрению возможностей SNMP-интерфейса, поскольку UTM50 не позволяет администраторам получить доступ к своей командной строке – при подключении через консольный порт требуется ввести логин и пароль (никакие стандартные не подходят), а при обращении с помощью telnet выскакивает сообщение об ошибке: «telnetd: applet not found».

Обзор SNMP-интерфейса

Для получения доступа по протоколу SNMP необходимо обратиться к пункту SNMP меню Administration. Здесь кроме указания имён сообществ, требуется также задать IP-адреса, с которых разрешается доступ к устройству.

Мы воспользовались утилитой Getif версии 2.3.1 для того, чтобы посмотреть, значения каких параметров можно получить с помощью SNMP. Мы не будем описывать возможности утилиты и предоставлять список всех параметров, но укажем на наиболее интересные на наш взгляд. Ветка .iso.org.dod.internet.private.enterprises содержит информацию об антивирусной защите, проверяемых протоколах, датах истечения срока лицензии.

Сведения о системе содержатся в ветке .iso.org.dod.internet.mgmt.mib-2.system.

Статистика работы сетевых интерфейсов и их статусы содержит ветка .iso.org.dod.internet.mgmt.mib-2.interfaces.

Счётчики работы протоколов IP, ICMP, TCP, UDP и SNMP размещены в ветках .iso.org.dod.internet.mgmt.mib-2.ip, .iso.org.dod.internet.mgmt.mib-2.icmp, .iso.org.dod.internet.mgmt.mib-2.tcp, .iso.org.dod.internet.mgmt.mib-2.udp и .iso.org.dod.internet.mgmt.mib-2.snmp соответственно.

Также мы решили подключить NETGEAR UTM50 к нашей тестовой мониторинговой системе не базе Cacti для получения графиков использования интерфейсов и центрального процессора устройства.

Кроме сторонних утилит администратор мог бы использовать собственную систему мониторинга и управления NETGEAR NMS200, но, к сожалению, на момент написания статьи NMS200 (2.5.0.20) не поддерживала UTM50.

На этом обзор SNMP-интерфейса UTM50 мы завершаем и переходим к разделу тестирования.

Тестирование

Первым тестом, с которого мы регулярно начинаем данный раздел, является установление времени загрузки устройства, под которым мы понимаем интервал времени, прошедший с момента подачи питания до получения первого эхо-ответа по протоколу ICMP. NETGEAR UTM50 загружается за 57 секунд. Мы считаем это нормальным результатом для подобного рода устройств.

Далее мы решили проверить защищённость UTM50, для чего использовали сканер сетевой безопасности Positive Technologies XSpider 7.7 (Demo build 3100). Сканирование производилось из LAN-сегмента сети. Всего было обнаружено четыре открытых порта: TCP-23 (Telnet), UDP-53 (DNS), TCP-80 (HTTP) и TCP-443 (HTTP SSL). Наиболее интересные обнаруженные сведения представлены ниже.

Теперь мы решили провести, пожалуй, самые ожидаемые нашими читателями измерения – тесты производительности UTM50, для чего использовали тестовый стенд, основные параметры которого представлены ниже.

Компонент ПК Ноутбук
Материнская плата ASUS Maximus IV Extreme-Z ASUS M60J
Процессор Intel Core i7 2600K 3.4 ГГц Intel Core i7 720QM 1.6 ГГц
Оперативная память DDR3 PC3-10700 SEC 32 Гбайта DDR3 PC3-10700 SEC 16 Гбайт
Сетевая карта Intel 82579V
Intel 82583V
Atheros AR8131
Atheros AR9285
Операционная система Windows 7 SP1 Rus Windows 7 SP1 Rus

Сначала мы измерили скорости маршрутизации при выполнении трансляции сетевых адресов (NAT) и без таковой. Результаты измерений представлены на диаграммах ниже. Как видим, выполнение трансляции сетевых адресов практически не оказывает влияния на производительность устройства.

Затем мы решили проверить скорость передачи данных через туннель PPTP. Мы понимаем, что в корпоративной среде PPTP едва ли будет использоваться для подключения к провайдеру, однако мы всё равно провели данный тест. Как и в случае с SRX5308 результаты нас неприятно удивили. Для устройства подобного уровня скорости передачи данных через туннель PPTP ниже 10 Мбит/с нам кажутся неприемлемыми.

Как мы и обещали в конце раздела, посвящённого обзору возможностей веб-интерфейса устройства, мы решили протестировать скорости доступа к локальной сети при удалённом подключении клиента с помощью протокола PPTP. Хотелось бы отметить, что полученные ограничения связаны с производительностью процессора UTM50, который в данном тесте был очень сильно загружен, таким образом подключение удалённого PPTP-пользователя может привести к снижению производительности всего устройства в целом.

Кроме PPTP NETGEAR UTM50 может устанавливать также туннели на основе IPSec или SSL, производительность которых существенно различается. Так при IPSec подключениях устройство продемонстрировало хорошие скоростные показатели, тогда как возможностей UTM50 для поддержки SSL-подключений окажется явно недостаточно.

Как мы уже упоминали при изучении возможностей веб-интерфейса, NETGEAR UTM50 позволяет осуществлять потоковую антивирусную проверку трафика некоторых известных прикладных протоколов. Мы решили выяснить, с какой скоростью пользователи из локальной сети смогут получать данные с удалённого HTTP-сервера с помощью какого-либо менеджера загрузки. Сначала мы измерили скорость скачивания большого файла в несколько потоков при непосредственном подключении клиента к серверу, после чего произвели ту же самую загрузку, но уже с использованием унифицированной сетевой защиты NETGEAR. Финальным тестом стало включение антивирусной проверки на UTM50. Измерения производились для 1, 15 и 50 одновременных потоков.

Снижение скоростей передачи при включении антивирусной проверки связано с нехваткой производительности центрального процессора устройства, что вполне естественно, так как подобные проверки требуют значительных вычислительных ресурсов.

Для данных, передаваемых между LAN, WAN и DMZ сегментами, может быть установлено ограничение максимальной скорости передачи, для чего требуется сконфигурировать профиль ограничения полосы пропускания (Bandwidth profile) и привязать его к создаваемому правилу брандмауэра.

Естественно, мы не могли обойти стороной такую возможность и провели соответствующие измерения. На графике ниже представлено соответствие сконфигурированной и реальной скоростей передачи. Как видно из графика, практическая скорость передачи почти точно соответствует установленной. Измерения в данном тесте производились с помощью утилиты JPerf 2.0.2 и десяти одновременных TCP-сессий. Передача данных производилась в направлении из LAN сегмента в WAN. Здесь же стоит отметить, что ограничения скорости невозможно устанавливать для потоков данных, маршрутизируемых между локальными виртуальными сетями (VLAN).

На этом мы завершаем тестирование производительности устройства, подведём итоги.

Заключение

NETGEAR UTM50 является унифицированной системой сетевой защиты и предоставляет администраторам средства для комплексной защиты периметра сети. Несмотря на хорошие функциональные возможности устройства некоторые скоростные показатели вызывают недоумение. Похоже, мы наблюдаем «болезнь» всей линейки аппаратных брандмауэров NETGEAR – низкие скорости при работе с PPTP и SSL-VPN, при этом UTM50 обладает рядом положительных качеств.

  • Богатый функционал.
  • Возможность антивирусной проверки трафика.
  • Простота конфигурации.
  • Устойчивость к сетевым атакам.
  • Поддержка удалённых подключений с помощью SSL-VPN, PPTP, L2TP.
  • Возможность организации балансировки трафика по WAN-каналам.
  • Поддержка виртуальных сетей.
  • Приемлемая цена.

К сожалению, мы не можем не упомянуть и об обнаруженных недостатках устройства.

  • Неправильные часовые пояса.
  • Отсутствие возможности отключить telnet с помощью веб-интерфейса.
  • Веб-интерфейс доступен только на английском языке.
  • Отсутствие поддержки протокола IPv6.
  • Нет возможности выставлять дату и время вручную.
  • Поддержка единственного протокола динамической маршрутизации – RIP.
  • Отсутствие поддержки протоколов 802.1p/802.1q на LAN/DMZ портах.
  • Невысокие скорости SSL-VPN и неприемлемо низкие скорости PPTP.
  • Отсутствие поддержки UTM50 в NMS200.

Мы надеемся, что производителю удастся в ближайшее время исправить все обнаруженные проблемы и пользователи получат полнофункциональную и быструю прошивку.

На момент написания статьи средняя цена на NETGEAR UTM50 в интернет-магазинах Москвы составляла 24000 рублей.

You have no rights to post comments

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter