ZyWALL 30W EE от ZyXEL: межсетевой экран с возможностью VPN/IPSec

Все больше и больше производителей встраивают в свои продукты поддержку VPN с использованием протокола шифрования IPSec. Сегодня мы рассмотрим устройство ZyWALL компании ZyXEL, которое обладает подобными возможностями.

В линейке моделей ZyWALL присутствуют три модели: ZyWALL 10W, ZyWALL 30W и ZyWALL 70W. Первые две отличаются незначительно (числом одновременно работающих NAT-сессий, VPN-сессий, количеством правил в файрволе и числом записей в статической таблице маршрутов), другими словами, видимо, первые две модели отличаются только количеством набортной памяти. А вот модель ZyWALL 70W имеет коренные отличия от своих младших собратьев практически по всем параметрам как по аппаратно/программной базе, так и по производительности. Более подробно отличия можно увидеть в сводной таблице:

Функция Название модели ZyWALL 10W EE ZyWALL 30W EE ZyWALL 70W EE
Число пользователей 520 2050 50100
Производительность
Производительность межсетевого экрана, Мбит/с 25 25 100
Производительность VPN (3DES), Мбит/с 15 15 50
Аппаратная база
Порт WAN 10/100Base-T 1 1 2
Порт DMZ 10/100Base-T 0 0 4
Электропитание 12VDC 12VDC 100-240V AC
Монтаж на стене + + +
Установка в телекоммуникационную стойку     +
Гарантия соединения
QoS: организация фиксированных полос пропускания + + +
Два WAN порта для резервирования WAN     +
Разделение нагрузки между WAN портами     +
Объединение WAN портов в группу     +
Максимальные значения некоторых параметров
Правила в списке контроля доступа 50 100 400
Сессии NAT 1024 2048 4096
Статические маршруты 12 30 50
Туннели VPN 10 30 70

Табл.1 Сравнение модельного ряда ZyWALL

Ну а в нашей лаборатории оказались два устройства как раз из середины модельного ряда, поэтому в этой статье будет рассказано о ZyWALL 30W. Выводы по ней можно экстраполировать на модель ZyWALL 10W.

ZyWALL 30W позиционируется как аппаратный файрвол/маршрутизатор с возможностями VPN-сервера, а именно терминирования IPSec-туннелей. Заявленная производительность устройства в режиме VPN-сервера 15 Мбит при использовании DES-шифрования.



Шифрованные VPN туннели позволяют объединять (защищая при этом от перехвата трафика) несколько локальных сетей, разнесенных территориально, через общий незащищенный от перехвата канал связи Интернет. А также они позволяют мобильным пользователям входить в локальную сеть компании, физически находясь хоть на другом континенте.

В качестве файрвола устройство обладает неплохими возможностями, как по созданию правил, так и по логированию событий по этим правилам. Поддерживается фильтрация TCP, UDP, IPSEC TRANSPORT/TUNNEL (AH), IPSEC TUNNEL (ESP), MULTICAST (IGMP), PING (ICMP) и PPTP TUNNEL (GRE) трафика.

Кроме того, в устройство встроены механизмы, позволяющие автоматически определять и пресекать новый вид атак, приводящих к так называемому отказу в обслуживании, таких как Ping of Death, SYN Flood, LAND Attack, IP Spoofing и других подобных (так сказано на сайте компании ZyXEL).



Атаки типа Отказ в обслуживании (Denial of Service, DoS) преследуют целью не хищение информации, а блокирование устройства или сети таким образом, что пользователи перестают получать доступ к сетевым ресурсам, а сервера, размешенные в атакуемой сети, перестают быть видными извне.

Реально дело обстоит намного печальнее от подобных атак практически невозможно защититься, можно лишь попытаться сгладить их последствия. К тому же целью подобных атак может быть не DoS какого-нибудь сервиса в локальной сети (например посредством SYN Flood), а элементарное исчерпание емкости входящего канала. Блокирование несанкционированных запросов на файрволе не избавляет от входящего трафика, так как он уже прошел по каналу. Плюс к этому, атаки могут осуществляться с фиктивных IP-адресов и в результате файрвол может автоматически заблокировать значительный диапазон подсетей пользователям из LAN эти подсети станут недоступны, как скомпроментированные.

Тем не менее, подобные механизмы в большинстве случаев сослужат неплохую службу для защиты от любителей (коих большинство), поэтому в подобной технологии больше плюсов, чем минусов.

Маршрутизатор также обладает полноценным NAT с поддержкой создания новых соединений, инициированных извне (из WAN) на основе Stateful Inspection. Подобный механизм позволяет работать сервисам, требующим открытия дополнительного канала от сервера к клиенту, к примеру Microsoft Netmeeting, ICQ file transfer, etc.



Stateful Inspection современная технология проверки пакетов с учетом состояния протокола. При этом пакет перехватывается на сетевом уровне, после чего его проверкой занимается виртуальная машина. Она извлекает информацию о контексте, необходимую для принятия решения, со всех уровней и сохраняет эту информацию в динамических таблицах для проверки последующих пакетов. Когда клиент запрашивает сервер, находящийся за пределами внутренней сети, об открытии обратного соединения, NAT-роутер извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение со стороны внешней сети, NAT-роутер просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

Кроме всего вышеперечисленного, ZyWALL 30W позволяет создавать классы QoS (качества обслуживания), т.е. основной канал делится на подканалы и, в зависимости от описанных администратором правил, можно обеспечивать выделенным пользователям гарантированные полосы на определенные приложения, или ограничить трафик для определенных сервисов (например, не допустить забитие всего интернет-канала трафиком от FTP-сервера).





К сожалению, иерархия клаcсов отсутствует возможно лишь задание скорости корневого класса (основной канал) и классов-листьев, как и показано на рисунке. Наследование полосы от неиспользуемых в данный момент классов, не предусмотрено. Ширина полосы пропускания может быть разная в каждом классе.

В ZyWALL 30W неплохо реализована система регистрации событий. Логируется практически все. Логи можно сразу (или периодически) сохранять на внешнем syslog сервере, хранить локально или отсылать по e-mail.

А еще при наличии беспроводного адаптера (стандарта 802.11b) устройство можно превратить в точку доступа, вот только отдельный файрвол на беспроводной сегмент не предусмотрен он общий с проводным LAN сегментом.

Ах, да в маршрутизаторе присутствует консольный порт, который предназначен не только для управления устройством, а еще и для внешнего модема, посредством чего можно организовать резервирование линии (при падении основного интернет-канала устройство автоматически переключится на модемный).

Ну и наконец, интерфейсы управления устройством. Компания предусмотрела практически все, оцените:

  • Telnet через консольный порт;
  • Telnet через tcp/ip;
  • WEB интерфейс через http;
  • WEB интерфейс через https (!);
  • SNMP;
  • SSH (!) с командной строкой или интерфейсами через меню (впрочем, как и в telnet);

Все интерфейсы доступны как на внешнем, так и на внутреннем портах (разумеется, лишние можно отключить). Вот только основная изюминка SSH позволяет работать только с первой версией протокола, вторая не поддерживается, что сильно понижает ее значимость.

Теперь перейдем к физическому рассмотрению ZyWALL 30W, а все его основные функции будут рассмотрены в разделе конфигурация, где я пройдусь по всем пунктам меню устройства.



Маршрутизатор собран в пластиковом корпусе цвета «металлик». На его передней части расположена индикаторная панель с 8 светодиодами: индикаторы PWR и SYS сообщают о наличии питания и состоянии исправности устройства; 4 индикатора LAN, WLAN 10/100 о скорости портов и передаче данных в них; двуцветный индикатор CON/AUX о подключенном модеме или консольном управлении устройством. С удивлением обнаруживается отсутствие индикатора беспроводного сегмента.



Основание устройства сделано из более темной пластмассы и обладает как резиновыми ножками для горизонтальной установки, так и отверстиями для крепления маршрутизатора на стену.



Все коннекторы и интерфейсы размещены на задней панели ZyWALL 30W. Слева направо винт заземления, гнездо питания, Ethernet 10/100 Mbit LAN порт, кнопка сброса настроек устройство в заводское состояние, Ethernet 10/100 Mbit WAN порт, переключатель консольного порта в режимы консоль управления/модем, PCMCIA порт для подключения беспроводного адаптера (закрытый резиновой заглушкой).

В комплект поставки кроме самого ZyWALL 30W и блока питания к нему, входят

  • два полутораметровых пачкорда разных цветов (красный и белый);
  • null-модемный кабель (на стороне подключения к компьютеру находятся два запараллеленных разъема 9ти и 25ти пиновый);
  • мама-папа переходник на com-порт;
  • компакт-диск с большим количеством документации по устройству (на английском языке);

С большим удивлением я обнаружил полное отсутствие печатной документации в комплекте понятно, что на компакт диск влезет больше информации, но нельзя же совсем отказываться от бумажных носителей.



Вид изнутри



Ядром устройства является TMPR3927F 32-битный RISC микропроцессор компании Toshiba. Микропроцессор, названный в дальнейшем TX3927, является стандартным 32битным микроконтроллером семейства TX39. В качестве процессорного ядра в TX3927 используется TX39/H2, который, в свою очередь, является процессором RISC архитектуры, базирующийся на разработке R3000A от MIPS Technologies, Inc.

Основные характеристики микроконтроллера:

  • Ядро TX39/H2 процессор, базирующийся на архитектуре R3000A, включает в себя 8 КБ кеш инструкций и 4 КБ кеш данных;
  • SDRAM контроллер поддержка 8ми-канальной SDRAM, Flash (DIMM), SGRAM или SMROM;
  • ROM контроллер поддержка 8ми-канальной ROM, Page Mode ROM, Mask ROM, EPROM, E2PROM, SRAM, Flash Memory и I/O devices;
  • PCI контроллер полная совместимость с PCI 2.1, 32bit/33Mhz PCI;
  • Контроллер прямого доступа к памяти (DMAC);
  • Последовательные I/O порты двухканальные с поддержкой модемного контроля потока;
  • Параллельные I/O порты с поддержкой двунаправленного потока;

За шифрование трафика (IPSec) отвечает отдельный процессор Cryptocore 1140, производства компании SafeNet. Cryptocore 1140 является законченным решением в области безопасных коммуникаций,  процессор позволяет разгрузить центральный процессор маршрутизатора от неродных для него операций (таких, как шифрование данных открытым ключом или проверка/создание цифровой подписи).

В процессор встроено достаточно алгоритмов для реализации всех операций протокола IPSec. Процессор выполняет DES и 3DES шифрование, SHA-1, хеширование MD5, Header and Trailer processing, генерацию случайных чисел и вычисление открытых ключей обмен ключами по RSA, DSA и Diffie-Hellman. Поддержка как полного шифрования пакета, так и лишь аутентификации содержимого, а так же функций, требуемых алгоритмом IKE. Производительность CryptCore 1140 более чем в 10 раз превышает производительность стандартного 32-битного RISC-микропроцессора с частотой 233 МГц. Компания заявляет, что производительность данного процессора равна 120 Мбит/сек на IPSec трафике (алгоритмы 3DES, SHA-1) при 1500-байтовых пакетах.

В качестве контроллеров Ethernet-портов в маршрутизаторе выступают микросхемы VIA Rhine III VT6105M компании VIA. VT6105M являются стандартными 10/100 Mbit Fast Ethernet контроллерами и обладают большим количеством функций, одна из которых авто-определение типа кабеля.

Общий объем оперативной памяти на ZyWALL 30W 16 МБ, который обеспечивают две микросхемы Winbond W986432 с максимальной частотой работы 143 МГц. В качестве flash-памяти используется микросхема Intel E28F320 объемом 4 Мб. Столь малый объем Flash-памяти косвенно говорит о хорошей оптимизации внутренней ОС устройства, ведь в такой малый объем довольно сложно вместить такое большое количество фунций.



Спецификации ZyWALL 30W

  • основные:
    • Процессор Toshiba TMPR3927F (TX39297)
    • 16 МБ SDRAM ОЗУ,
      4 МБ Flash с возможностью локального обновления прошивки;
    • 1 LAN и 1 WAN интерфейс с автоматическим определением прямого и кросс подключений,
      возможность создания до 2х IP-alias-ов на LAN интерфейсе;
    • технология доступа в Интернет full-NAT (с возможностью перенаправления внутрь инициированных извне соединений на основе Stateful Inspection), а так же возможностью перенаправления портов внутрь LAN и DMZ хоста;
    • PCMCIA интерфейс с возможностью подключения беспроводного адаптера (802.11b) и работы в качестве точки доступа;
      поддержка 64/128 WEP и 802.1x аутентификация посредством внешнего Radius сервера;
    • автоматический пропуск VPN клиентских протоколов (pass-through) отсутствует;
    • операционная система ZyNOS, собственная разработка ZyXEL;
    • встроенный DHCP сервер с возможностью привязки IP адресов к MAC (не более 8);
    • возможность шейпинга трафика (QoS) основываясь на правилах файрвола;
  • безопасность:
    • VPN сервер: возможность создания (терминирования) до 30 IPSec туннелей;
    • встроенный многофункциональный файрвол без возможности привязки правил ко времени суток;
    • встроенный модуль защиты от атак с возможностью автоблокировки нарушителей (на определенный период или бесконечно);
    • практически полное логирование всех событий с поддержкой внешнего syslog сервера или периодической отсылкой событий по e-mail;
    • управление через HTTP/S, Telnet, Console, SSHv1, SNMP интерфейсы;
    • AUTH-сервер посредством внешнего RADIUS-сервера или встроенный (до 32 пользователей);
    • Wireless возможность скрытия ESSID;
  • остальное:
    • SNMP статистика;
    • возможность бекапа (сохранения) и загрузки конфигурации (TFTP/FTP);
    • возможность обновлять прошивку устройства;
    • поддержка фильтрации контента Java/ActiveX/Cookie/Proxy или URL WEB трафика (с использованием внешней базы данных), а так же возможностью добавления своих правил;
    • возможность подключение модема к последовательному порту и организации запасного канала связи (при падении основного канала);
    • программируемая таблица статического роутинга;
    • поддержка RIP v1,2;
    • Внутренний таймер с возможностью синхронизации через Internet (используется для логирования);
    • Поддержка Dynamic DNS;
    • поддержка UPnP;
    • размеры 230 мм X 161 мм X 36 мм;
    • вес 525 г;

Конфигурирование ZyWALL 30W

Как было сказано выше, существует большой выбор интерфейсов для конфигурирования устройства, WEB интерфейсы (http и https) имеют графическое оформление:



Иерархические системы меню хорошо сгруппированы и просты в настройке. К тому же, в любом меню присутствует опция помощи (вопросительный знак справа вверху), поэтому всегда можно узнать, что же означает каждый пункт настроек.



HTTPS интерфейс от предыдущего отличается только наличием шифрования между клиентом и WEB-интерфейсом устройства. Это большой плюс, так шифрованная сессия защищает трафик (манипуляцию с настройками ZyWALL) от перехвата. Можно пройтись по каждому пункту меню (чем мы и займемся чуть ниже), настроив все что угодно под свои нужды или воспользоваться визардом настроек. Последний позволяет быстро сконфигурировать основные функции устройства даже человеку, не сильно знакомому с подобным процессом. Причем визард исключает ситуацию, когда возможен пропуск какого-то важного пункта при ручной настройке ZyWALL.



Кстати, ситуация одновременной настройки (и последующего конфликта) устройства с разных компьютеров исключена. Как говорится, кто первый того и тапки. Т.е. пока один администратор не завершит сеанс, других не пустят. Также хочу отметить полезную функцию «времени валидности» сессии (может задаваться в настройках), через некоторое время неактивности (5 минут, по умолчанию) сеанс доступа к интерфейсу конфигурации устройства закрывается и придется авторизироваться заново.



Консольный доступ (через COM-порт, telnet или SSHv1) имеет два интерфейса иерархическую систему меню и командную строку.



Причем оба режима отлично документированы (на компакт диске лежат два файла в формате PDF по каждому из этих режимов). Отмечу, что консольные интерфейсы имеют гораздо больше функций, чем WEB-интерфейс. К примеру, в консольном режиме можно посмотреть статистику процессора, пропинговать удаленный хост, посмотреть статистику звонков модема и другие. Я не нашел этих и некоторых других функций в WEB интерфейсе, они доступны только через консоль. Правда, нельзя сказать, что они будут использоваться большим количеством людей. Но некоторым эти функции покажутся полезными.

Теперь вернемся к WEB интерфейсу и пройдемся по основным пунктам меню.





В закладке System ничего необычного, в следующей DDNS возможна настройка сервера динамического DNS (в данном случае возможно лишь использование службы DynDNS.org). Напомню, что динамический DNS позволяет работать в Интернет по фиксированному доменному имени даже пользователям, не имеющих статического IP адреса. При выходе в сеть система сообщает DynDNS свой новый динамический IP адрес и служба DynDNS обновляет привязку IP адреса к домену пользователя.



В закладке Time Settings возможна ручная установка времени (включая временную зону и (!) учет перехода на зимнее время) или синхронизация времени с серверами точного времени в Интернет.



В раздел LAN возможна настройка IP-адресации на этом интерфейсе, включение DHCP сервера и протокола динамической маршрутизации RIP.



Тут же настраивается привязка MAC адресов к IP для DHCP сервера. Странно, что количество привязок ограничено всего лишь восьмью.



А в закладке IP Alias настраивается 2 дополнительных адреса (IP Aliases) для интерфейса локальной сети. Это позволит на одном физическом LAN интерфейсе иметь три логических IP адреса, правда все три будут обладать одним и тем же MAC адресом.



Разделе Wireless LAN, как нетрудно догадаться, посвящен настройке беспроводного интерфейса. Здесь присутствуют стандартные опции по настройке беспроводной сети, и ...



... фильтрации MAC адресов беспроводных клиентов (до 12 записей).



А закладка 802.1X отвечает за конфигурацию работы протокола аутентификации 802.1x.





Настройка серверов аутентификации вынесена в отдельный раздел AUTH SERVER. Аутентификация пользователей может проходить как на локальной (размещенном на ZyWALL) базе пользователей (до 32 записей), так и посредством внешнего Radius сервера.

Следующий раздел WAN позволяет настроить WAN интерфейс, а так же запасные каналы в Интернет. Как не странно, если не указывать default gateway на WAN интерфейсе, то устройство не будет видеть ни одного хоста, находящихся в той же подсети, что и IP адрес WAN интерфейса.

И последний раздел Maintenanse. Здесь можно увидеть краткую информацию об IP адресах на интерфейсах, версию прошивки, а так же сохранить или загрузить конфигурацию и обновить прошивку.


iXBT.comНа главную страницуСайт iXBT.com

iXBT.comНа главную страницуСайт iXBT.com
Сети и серверы

ZyWALL 30W от ZyXEL: межсетевой экран с возможностью VPN/IPSec

 


 

Тестирование устройства

Тестирование производилось согласно методике тестирования маршрутизаторов, версии 2.0.

Тестирование производительности LAN и WAN сегментов.

Результаты Chariot.



Результаты не низкие, но очень высокими их тоже нельзя назвать. В нашей лаборатории были устройства и с гораздо большей пропускной способностью. С другой стороны, сложно найти организацию, которой бы требовался канал в Интернет с пропускной способностью более 10 Мбит.

Результаты netPIPE.
Программа генерирует трафик методом «Ping Pong». Поэтому скорость передачи данных будет одинакова вне зависимости от того, с какой стороны находится клиент netPIPE, а с какой сервер.

Максимальная пиковая скорость передачи 13.398 Мбит/сек. Причем это пиковое значение зафиксировано отнюдь не на самых больших пакетах данных. На графике заметно несколько провалов (но не очень глубоких). Другими словами, инженерам из ZyXEL есть еще над чем поработать. Тем не менее отмечу, что скорость трансфера (даже в местах провалов на графике) данных остается достаточной для большинства нужд.



Тестирование QoS функций.

При настройке параметров урезания полосы пропускания для определенного типа трафика, было сделано неприятное открытие: шейпить исходящий трафик, основываясь на исходящих (source) портах нельзя - ведь в файроволле невозможно создать подобное правило (возможность такого рода обещается компанией в следующих версиях прошивки). А ведь одно из основных применений функций QoS в этом устройстве как раз контролировать исходящий трафик. Ведь контролировать входящий намного сложнее. К тому же он уже прошел по WAN каналу связи (т.е. учелся провайдером и использовал часть полосы канала), поэтому сброс лишних байтов особого смысла не имеет скорее всего они будут пересланы заново. Ниже будет рассмотрена эффективность работы устройства в роли трафик-шейпера.

В закладке BM Global Settings выставляется максимальная полоса пропускания WAN канала. На что она влияет в дальнейшем непонятно, так как при шейпинге исходящего трафика этот параметр никоем оборазом не учитывается. Другими словами, невозможно задать несколько правил для шейпинга определенных протоколов и быть уверенным, что весь оставшийся исходящий трафик не привысит предела пропускной способности WAN канала.

Отдельное правило для шейпинга трафика задается при создании отдельного правила файрвола.

Для тестирования были созданы пять правил, как и показано на скриншоте. Четыре из них с привязкой к порту получателя и последнее безо всяких привязок (как раз для проверки возможности фиксации максимальной полосы пропускания канала).

На диаграмме представлены результаты теста. Пришлось выставить максимальный порог генерации трафика для Pair 5 (трафик без привязки к порту), так как в противном случае он зашкаливал за максимум в 11Мбит (предел производительности маршрутизатора).

Та же диаграмма, но с убранной Pair 5. Хорошо видно, что полосы пропускания ограничиваются не совсем верно максимальный скорость передачи данных не превышает 2/3 от прописанной в правилах.

В любом случае, так как задать «правильные» полосы, где можно учесть исходный порт отправителя нельзя, функции QoS в ZyWALL слабо применимы.



Тестирование производительности при использовании IPSec.

Тестировалась производительность устройства при создании одного VPN туннеля с использованием протокола IPSec. Проверялась работа как ESP (полное шифрование данных), так и AH (аутентификация заголовков, сами данные не шифруются).

Настройка шифрования производится в разделе VPN. Тут можно задать до 30 туннелей с различными параметрами.

Во время тестирования создавался туннель из локальной сети 10.0.0.0/24 в сеть 20.0.0.0/24, терминаторами IPSec служили два устройства ZyWALL с адресами на WAN интерфейсах 172.16.0.1 и 172.16.0.2. Для обмена ключа использовался протокол IKE, а для аутентификации служили вручную ключи. Остальные настройки оставлялись по умолчанию, менялись лишь алгоритмы шифрования и аутентификации для ESP и AH соответственно.

Дополнительные настройки не изменялись. Параметры фазы 1, в которой и происходит создание туннеля всегда оставались постоянными, а параметры второй фазы (Active Protocol, Encryption Algorithm и Authentication Algorithm) менялись автоматически в соответствии с установками на предыдущем экране.

Процесс установления VPN соединения подробно отражается в логах.

А в закладке SA Monitor появляется запись об активном туннеле (в закладке Global Settings нет ничего интересного, там можно лишь разрешить пропуск NetBIOS over TCP/IP по туннелю.

Переходим к результатам тестирования. Сначала приведем графики изменения скорости передачи данных в реальном времени.





1. ESP с использованием шифрования по методу DES.





2. ESP с использованием шифрования по методу 3DES.





3. ESP с использованием шифрования по методу AES.





4. AH с алгоритмом аутентификации MD5.





5. AH с алгоритмом аутентификации SHA1.



А теперь сведем все вышеприведенные данные в одну диаграмму:

Меня сразу насторожила скорость. Она практически такая же, как и без использования шифрования. Даже закрались сомнения а шифруется ли чего либо вообще? Проверил все ок. С другой стороны, встроенный криптографический процессор может выдать и большую скорость (в спецификациях по нему вообще говорится о 100 Мбитах). Видимо узким горлышком является не он, а основном микропроцессор устройства, ведь в режиме без шифрования мы получили не более 12 Мбит. Скорость шифрования при использовании AES тоже высокая ведь этот алгоритм потребляет гораздо больше ресурсов (и более стоек), чем 3DES. В общем, ZyWALL показывает очень неплохую скорость при работе в режиме IPSec сервера.

Тестирование безопасности.

У маршрутизатора восстанавливались настройки по умолчанию (в этом режиме у него все порты к интерфейсам администрирования открыты наружу, что не очень правильно). Сканировался внешний WAN-порт всеми доступными плагинами из списка Nessus.

При включенном файрволе устройство отсканировать не удалось Nessus не находил ничего, поэтому повторное сканирование производилось при отключенном файрволе. По поводу механизма блокировки: мне осталось непонятным логика его работы, так как у меня ни разу не получилось добиться блокировки хоста, с которого производилось сканирование (правда и отсканировать при включенном файрволе тоже ничего не получается, но факт остается фактом).

Отчеты о сканировании Nessus-ом:

Фактически найдена всего одна уязвимость, правда высокой степени риска (возможно предсказать алгоритм TCP sequence numbers). Понятно, не каждый сможет ей воспользоваться, но инженерам компании все же есть над чем подумать. Остальной список пунктов в отчете Nessus касается лишь того, что найдены открытые порты, о чем уже было написано выше.

Все процессы сканирования/атак отражаются в лог-файлах, поэтому, при правильной настройке ПО можно оперативно реагировать на подобные ситуации.

Теперь о минусах. Пару раз во время сканирования ZyWALL наглухо повисал, не реагируя даже на консольные команды через COM-порт (


Авторство: Евгений Зайцев (eightn@ixbt.com)
Источник: IXBT.com
Дата публикации: 04.02.2004
Оставить комментарий

МГCС – «скорая помощь» для офисной техники.

Он - лайн заявка на нашем сайте IT услуг гарантирует быструю и качественную помощь. Приятный бонус – демократичные цены!
Как МГТС удается совместить три ценнейших фактора: скорость, качество и доступные цены?
1.Оптимальное количество наших сотрудников позволяет быстро реагировать на заявки.
2.Огромное количество заказов по всем направлениям, выполненных нами, дает нам ценнейший опыт, в отличие от узконаправленных фирм.
3.Ценовая политика также определяется высокой квалификацией сотрудников, а также и тем, что все необходимые комплектующие есть в нашем магазине. Оптовые закупки запчастей, которые мы осуществляем у наших постоянных поставщиков, дают нашим клиентам возможность сэкономить средства.
Каждая серьезная организация – это сложный организм, особенно, в части необходимых для ее функционирования электронных приборов. И поломка даже одного механизма иногда становится причиной потери финансовых средств, недоразумений с партнерами, а иногда и пятна на репутации компании.
Время – этот ресурс сейчас оценивается по самому высокому прайсу. Представьте себе, что вам срочно нужно отправить факсом важный документ своему инвестору, и вдруг факс отказывается работать – ведь в любой организации у этого прибора всегда большая загруженность. Или перед запланированным деловым совещанием откажет компьютер – и ваша тщательно подготовленная презентация, рассказывающая о возможностях предприятия, потерпит фиаско. У всех присутствующих сразу же появятся сомнения в том, что с вашей компанией без можно проблем вести дела, если даже элементарную технику не получается быстро привести в порядок. А уж в области потери данных проблем может возникнуть очень много.
Более, чем 10-летний успешный опыт работы компании МГТС (с 1998 года) и наше партнерство с компанией МТУ, Microsoft, 1С, RU-Center и статус автоматизированного сервис-центра торговой марки Nitronics – отличные рекомендации, не так ли?)

Установка оборудования, сопровождение в области сервисно – ремонтных услуг, восстановление данных, создание вашего интернет – представительства - сотрудничество с нами во всех предлагаемых областях гарантирует стабильную жизнь вашего бизнеса.

 

Если вы еще не зарегистрированы, то Вам сюда.
 
О компании Новости
Наши услуги Контакт
Вакансии  



 
Магазин Прайс-листы
Заявка on-line Рассылка
Барахолка Форумы

 
Новости Справочник
Драйвера Обзоры
Ссылки Программы
Обмен ссылками
Тел. (495) 959 52 57

Московская Городская Служба Сервиса c "МГСС", 2003
Адрес: Берсеневская наб., 20/2, Дом Российской Прессы, оф. 509
Тел.: (495) 1050009; E-mail: info@pressa.net
Часы работы диспетчеров: 10:00-22:00 (буд.), 10:00-18:00 (вых.)
Часы работы мастеров: 10:00-19:00 (будни)