27/06/2007 di Redazione

Netgear FVS114: routing IPsec economico

Questo articolo darà un'occhiata all'FVS114 ProSafe VPN Firewall di Netgear, che supporta fino a otto connessioni LAN-to-LAN o client VPN remoti.

Introduzione

Uno sguardo veloce
Prodotto

Netgear ProSafe VPN Firewall 8 (FVS114)

Sommario

Router IPsec-endpoint economico in grado di supportare 8 tunnel contemporanei e funzionante a velocità superiori a T1.

Pro
  • Buon prodotto per il prezzo di vendita
  • Comodo wizard web per impostare connessioni al gateway e ai client VPN remoti.
Contro
  • Nessun supporto tecnico gratuito
  • nessun supporto per invio delle log tramite email con autenticazione SMTP
  • Il software del client VPN remoto potrebbe costare di più dell'hardware

Viviamo in un mondo sempre più connesso, e in questo momento la gente si aspetta accesso alle proprie risorse di rete remote istantaneamente e senza complicazioni, non importa dove si trovino.

Servizi di controllo remoto, come GoToMyPC Corporate e LogMeIn, sono soluzioni sempre più diffuse tra coloro che hanno bisogno di collegarsi al computer dell'ufficio da casa, facilmente sviluppabili e dai costi contenuti, sopratutto non richiedono investimenti in componenti hardware.

Molti applicativi, comunque, richiedono connettività a reti di Livello 3, che GoToMyPC Corporate e LogMeIn non includono. Per queste applicazioni, che siano per l'impiegato che vuole sincronizzare il proprio client di posta col server dell'ufficio o per società che vogliono collegare gli uffici delle varie sezioni tra di loro, la risposta si trova nelle Virtual Private Network (VPN).

Una VPN crea una rete privata utilizzando Internet. Il traffico su Internet viene criptato attraverso l'uso di percorsi per le comunicazioni VPN chiamati "tunnel" e le policy di sicurezza assicurano che solo gli utenti autorizzati abbiano accesso alla rete privata. Ci si potrebbe chiedere "Le VPN sono difficili da creare?" Beh, può essere. Così come per la domanda "Sono costose?" la risposta è "non proprio".

Questo articolo darà un'occhiata all'FVS114 ProSafe VPN Firewall di Netgear, che supporta fino a otto connessioni LAN-to-LAN o client VPN remoti.

Panoramica del prodotto

Nonostante venga definito "VPN Firewall" l'FVS114 è in realtà un router tradizionale potenziato con funzionalità VPN. In effetti, come noterete da alcune immagini utilizzate in questo articolo, l'interfaccia di gestione è molto simile a quella dei router NETGEAR destinati alla clientela home. Comunque l'FVS114 è montato in un box metallico blu, caratteristiche utilizzate solitamente nei prodotti Netgear di fascia business.

Il pannello frontale contiene indicatori LED per Alimentazione, Test, Collegamento/Stato e Velocità di ognuna delle quattro porte; il LED 100 si illumina quando si crea un collegamento 100 Mbit sulla porta associata. Siamo sorpresi dalla mancanza di LED relativi agli stati delle VPN, alcuni router con questa funzionalità sono dotati di indicatori che si illuminano quando si attiva una sessione VPN su una porta.

Il pannello posteriore, mostrato nella Figura 1, contiene i connettori delle porte, l'ingresso per l'alimentazione e il bottone di Reset.


Figura 1: FVS114 - Vista posteriore

Il box dell'FVS114 è assemblato con una singola vite. Un'occhiata al suo interno (Figura 2) rivela che il dispositivo utilizza un controller di rete RISC-based 8650B da 200 MHz di Realtek, 2 MB di Flash e 16 MB di SDRAM.


Figura 2: FVS114 - Vista interna (Cliccate sull'immagine per ingrandirla)

Installazione e panoramica delle caratteristiche

L'installazione e la configurazione di base dell'FVS114 per la connessione ad Internet sono piuttosto semplici. La confezione include una Guida All'Installazione illustrata, per guidare l'utente attraverso il collegamento del computer, dell'FVS114 e del modem a banda larga. Il CD fornito, inoltre, contiene le versioni PDF della guida e altra documentazione tra cui un link alla pagina principale dell'FVS114.

La prima volta che si accede all'FVS114 viene eseguito automaticamente un wizard per la configurazione dell'accesso a Internet, che accompagnerà l'utente fino alla schermata di conferma dell'avvenuto collegamento.

Dopo la prima esecuzione il wizard viene disabilitato e non sarà più eseguito ma sarà sempre possibile collegarsi al firewall per modificarne le impostazioni. Per non obbligare l'utente a digitare l'indirizzo IP del router, Netgear ha aggiunto l'indirizzo della pagina principale nel suo DNS, è quindi possibile accedere alla pagina di configurazione digitando l'indirizzo URL http://www.routerlogin.net. Netgear afferma anche che gli utenti più esperti possono evitare il wizard digitando http://www.routerlogin.net/basicsetting.htm e inserendo il nome utente dell'account di amministrazione e la relativa password.

L'interfaccia di manutenzione usa abbondantemente frame e text box scrollabili, le funzioni dei menu (collegamenti alle interfacce) sono raggruppate verticalmente in una colonna sul lato sinistro dello schermo, sotto i nomi delle sezioni principali: Setup, Security, VPN, Maintenance, Advanced e Web Support.

Netgear dedica la colonna centrale della pagina alla visualizzazione delle schermate di riassunto delle informazioni e delle configurazioni. Ogni tanto si lascia prendere la mano dai frame e in alcuni casi, come per la schermata delle Log, ci sono addirittura quattro finestre scorribili! La colonna destra dell'interfaccia di gestione è dedicata alle pagine di Help contestuale.

La Figura 3 qui sotto mostra la schermata delle Impostazioni di Base, che permette di configurare e controllare lo stato dell'FVS114.


Figura 3: Impostazioni di base (Cliccate sull'immagine per ingrandirla)

L'FVS114 supporta un firewall SPI (Stateful Packet Inspection). Per default, blocca automaticamente TCP e UDP Floods, che normalmente sono attacchi DoS (Denial of Service), e pacchetti non standard, che potrebbero essere utilizzati dagli hacker e negli attacchi Dos. É anche possibile abilitare lo scarto dei pacchetti frammentati.

Nota: Sull'FVS114, Netgear utilizza una terminologia facilmente comprensibile solo da amministratori di rete e non dai semplici utenti. Per esempio, il termine "Port Forwarding" non comparirà su nessuna interfaccia, in quanto viene tradotto come "Rules".

La Figura 4 mostra la schermata Rules, che permette di esaminare le regole del firewall in uso o di crearne di nuove per bloccare o consentire traffico specifico.


Figura 4: Regole di default del firewall (Cliccate sull'immagine per ingrandirla)

É possibile controllare il traffico inbound e outbound impostando le regole del firewall. Per default, l'FVS114 è provvisto di due sole regole: tutti gli utenti della LAN sono abilitati per il traffico outbound per tutti i servizi, e tutto il traffico inbound dalla WAN è bloccato (eccetto le risposte alle richieste).

Come detto precedentemente, il termine "port forwarding" non esiste da nessuna parte nell'interfaccia dell'FVS114. Se si vuole impostare il port forwarding, bisogna creare una regola che trasferisca il traffico inbound ad uno specifico indirizzo della LAN per uno specifico servizio. É possibile eseguire questa operazione se, per esempio, si stà ospitando un server FTP sulla rete. L'FVS114 fornisce una lista precompilata, contenente 40 servizi comunemente utilizzati come FTP, HTTP o Telnet, che è possibile usare nella fase di definizione delle regole.

La Figura 5 mostra una regola inbound del firewall, configurata per instradare il traffico FTP verso un host locale della LAN.


Figura 5: Regole per instradare traffico FTP verso un host locale della LAN (Cliccate sull'immagine per ingrandirla)

Se si ha bisogno di creare una regola per un servizio non incluso nella lista, è possibile utilizzare la schermata Services e definirne uno personalizzato. Più tardi sarà quindi possibile usare il servizio appena creato per definire nuove regole.

Per ogni regola si decide come gestire il traffico selezionando una delle seguenti opzioni: BLOCCA sempre; CONSENTI sempre; BLOCCA in base a schedulazione, altrimenti Consenti; e CONSENTI in base a schedulazione, altrimenti Blocca.

Esiste una sola schedulazione globale, configurabile dalla schermata Schedule; di conseguenza, applicare schedulazioni ad una o più regole, implica applicarle anche a tutte le altre.

Caratteristiche VPN

Le funzionalità VPN sono il vero motivo per cui considerare l'aquisto dell'FVS114. Se non avete bisogno di una VPN, ci sono altri modelli di router sul mercato, in grado di offrirvi un maggiore numero di funzionalità, inclusi supporto wireless, motore QoS (Quality of Service) basato su Ubicom, e gestione avanzata dei profili per aprire automaticamente le porte per applicazioni di gioco online. Le caratteristiche VPN dell'FVS114 sono comunque impressionanti, considerato il prezzo del dispositivo.

Di seguito riassumeremo le 114 funzioni VPN, riportate direttamente dalla sezione "funzioni di sicurezza" della pagina web dell'FVS114. Se avete familiarità coi gateway IPsec, vedrete che le funzioni offerte da questo prodotto sono ottime per un dispositivo così economico.

  • Funzionalità VPN: Otto (8) tunnel VPN dedicati, assegnazione Manual Key e Internet Key Exchange Security Association (IKE SA) con chiavi pre-condivise e firme RSA/DSA, impostazione durata chiavi e IKE, protezione PFS (Perfect Forward Secrecy, Diffie-Hellman gruppi 1 e 2 e supporto Oakley), tre modalità operative (Main, Aggressive e Quick), supporto FQDN (Fully Qualified Domain Name) per connessioni VPN con indirizzi IP dinamici.
  • Supporto IPsec: Algoritmi di codifica basati su IPsec 56-bit (DES), 168-bit (3DES) o 256-bit (AES), algoritmi di hashing MD5 o SHA-1, supporto AH/AH-ESP, funzioni PKI con supporto certificati X.509 v.3, accesso remoto VPN Client-to-Site e Site-to-Site, NAT Trasversale (VPN pass through).

Da notare il supporto dell'autenticazione basata su certificati digitali. L'interfaccia di gestione permette di generare una richiesta di "auto-certificazione" (utilizzando il link Certificates sotto la sezione VPN) per poi sottoporla ad una Autorità di Certificazione (CA) e di importare il certificato così ottenuto. Non è comunque possibile generare un certificato ed usarlo immediatamente. L'interfaccia di gestione permette, inoltre, di inviare una Certificate Revocation List (CRL) alla CA utilizzando il link CRL sotto la sezione VPN.

L'FSV114 supporta due tipi di tunnel VPN: LAN-to-LAN e Remote-Client. Piuttosto che rendere il contenuto di questo articolo ancora più confuso, abbiamo preferito includere una descrizione dettagliata della configurazione di un tunnel LAN-to-LAN e i consigli sulla creazione di un tunnel Remote-Client in una pagina dedicata, che troverete alla fine dell'articolo stesso, nell'Appendice A.

Il wizard ha fatto il suo lavoro e ha configurato correttamente il tunnel LAN-to-LAN utilizzando una chiave pre-condivisa. Una volta superati alcuni problemi causati da noi stessi e dalla nostra non proprio realistica configurazione di test, siamo riusciti a creare un tunnel Client-to-Gateway, col supporto delle note presenti nel Resource CD.

Una volta stabilita la connessione VPN LAN-to-LAN, avrete accesso alle risorse della LAN remota. Nelle nostre prove abbiamo creato delle condivisioni sulla LAN remota successivamente usate per la mappatura dei drive. Allo stesso modo, digitando dal prompt della linea di comando "net view \remote_IP" si ottiene la lista di tutte le risorse condivise e disponibili all'indirizzo IP remoto che volete analizzare.

L'interfaccia di gestione dell'FVS114 permette di visualizzare anche lo stato della VPN e dei dati per ogni tunnel VPN attivo. Per accedere alle schermate VPN Status/Log, si deve utilizzare il link VPN Status sotto la sezione VPN. La Figura 6 mostra un esempio di schermata con lo stato di una VPN.


Figura 6: Pagina di stato della VPN

Altre caratteristiche

L'FVS114 registra gli eventi relativi alla sicurezza in base alle impostazioni presenti nella schermata Logs, accessibile tramite l'omonimo collegamento situato sotto la sezione Security, dalla quale si possono definire le tipologie di messaggi da registrare. Di default, i messaggi registrati automaticamente riguardano attacchi Dos e scansioni delle porte, tentativi di accedere a siti bloccati e operazioni eseguite sul router, come i login degli amministratori.

I file di log possono essere inviati ad un syslog server o, alternativamente, ad un indirizzo email ogni ora, giorno, settimana (esiste la possibilità di specificare l'ora di invio), oppure quando la log è piena. Si possono abilitare avvisi via email, relativi a particolari condizioni come per esempio, il riconoscimento di attacchi DoS, scansioni inconsuete di flag TCP o tentativi di accesso a siti Web bloccati.

La Figura 7 mostra le opzioni di configurazione delle log e una parziale lista di messaggi registrati.


Figura 7: Schermata di configurazione della Log

Notate le quattro finestre scorrevoli!

Ammettiamo che un paio di cose in queste pagine ci hanno profondamente deluso. Per prima cosa, la funzione di invio delle log tramite email supporta solo SMTP senza autenticazione; se il vostro ISP consente accesso SMTP solo dopo autenticazione, non sarete in grado di inviare mail dall'FVS114. Secondo, non esiste alcuna opzione per registrare gli accessi remoti dai client VPN; dato che si tratta di un dispositivo dedicato principalmente alle VPN, questo tipo di informazioni non dovrebbe assolutamente mancare.

Spostandoci ad analizzare le caratteristiche legate alla manutenzione del router, nella sezione Maintenance si troveranno le tipiche voci presenti in qualsiasi altro router: Router Status, Attached Devices, Settings Backup, Set Password, Diagnostics e Router Upgrade. Interessante il fatto che Attached Devices mostra solo la lista dei client collegati, non mostra le connessioni LAN-to-LAN. Allo stesso modo Router Status mostra solo informazioni di base sullo stato della LAN e della WAN. Lo stato di ogni connessione VPN viene visualizzato separatamente nella schermata VPN Status/Log, alla quale si accede tramite il link VPN Status nella sezione VPN.

Infine, se si devono configurare le caratteristiche avanzate dell'FVS114, si devono utilizzare i collegamenti sotto la sezione Advanced; sembra si tratti di una raccolta di voci che potrebbero essere incluse in altre sezioni o menu che però non trovano posto nelle altre categorie. Per ogni vostro riferimento le riassumeremo di seguito:

  • WAN Setup, consente di riservare una porta LAN per il DMZ, abilitare/disabilitare le risposte ai Ping sulle porte WAN, e di impostare la dimensione dell'MTU (Maximum Transmit Unit).
  • Dynamic DNS, per configurare i tre servizi di DNS dinamici (DynDNS, TZO.COM e ngDDNS) supportati dal router.
  • LAN IP Setup, per impostare lo schema di indirizzi IP da utilizzare sul lato LAN del router e configurare il server DHCP. Notate che la log DHCP mostra informazioni per ogni negoziazione degli indirizzi.
  • Static Routes, per aggiungere ulteriori informazioni di routing al firewall per la gestione di casi insoliti.
  • Remote Management, per scegliere la porta da dedicare alla gestione remota e fornire accesso HTTPS
  • UPnP, da dove abilitare UPnP (Universal Plug And Play), disabilitato per default.

Analisi delle prestazioni e conclusioni

Nonostante il design dell'FVS114 sia un po' datato, è disponibile a un prezzo molto basso per essere un router IPsec endpoint, quindi, considerando il prezzo finale, si tratta di un dispositivo dalle buone prestazioni.

Nella seguente tabella troverete i risultati dei test eseguiti con l'FVS114:

Descrizione Test
Throughput - (Mbps)
WAN - LAN 37
LAN - WAN 39
Simultanei totali 38
Versione Firmware 1.1_06

Tabella 1: Throughput di Routing

I risultati ottenuti posizionano l'FVS114 a metà classifica nel grafico delle prestazioni dei router.

Il throughput dei tunnel comunque, è significativamente inferiore a quello di routing a causa del carico di lavoro dell'elaborazione della codifica IPsec. La Tabella 2 mostra che, quando la codifica 3DES per IKE e Tunnel (valori impostati di default dal wizard) viene selezionata, l'FVS114 fornisce un throughput di 7.8 Mbps per i test Local-to-Remote, Remote-to-Local e throughput simultaneo. Potrete trovare la procedura seguita per i test a questa pagina.

Descrizione test
Throughput - (Mbps)
Codifica 3DES per IKE e Tunnel 7.8
Codifica AES-256 per IKE e Tunnel 1.4
Versione Firmware 1.1_06

Tabella 2: Throughput del Tunnel IPsec

Quando la codifica è stata spinta al livello di AES-256 per IKE e Tunnel, le prestazioni sono drammaticamente crollate a 1.4 Mbps per i test Local-to-Remote, Remote-to-Local e Throughput simultaneo. É comunque poco più lento di una tradizionale connessione T-1 (1.5 Mbps), il chè rende l'FVS114 ancora utilizzabile.

Nel complesso, l'FVS114 rappresenta una soluzione economica, in grado di gestire VPN LAN-to-LAN sicure così come accessi da client VPN remoti. Nei negozi online si può trovare a partire da 65$! naturalmente, se state progettando di collegare due uffici tra loro, avrete bisogno di un FVS114 in entrambe le parti, ma è ancora un misero prezzo per le prestazioni che si possono ottenere.

Riassumendo: non è costoso, la configurazione del tunnel VPN non è difficile e il throughput, per quanto non sia veloce come la luce, è sufficiente per la maggior parte delle applicazioni. L'FVS114 può essere una buona scelta per le reti piccole e di medie dimensioni.

Appendice A: configurazione VPN LAN-to-LAN

Netgear ha incluso un Wizard VPN per aiutare l'utente a configurare l'FVS114 sia per accesso VPN LAN-to-LAN che Remote-Client; da notare il fatto che le VPN LAN-to-LAN vengono chiamate VPN Gateway-to-Gateway, tipologia di VPN che potrebbe essere utilizzata, per esempio, se si vogliono collegare due LAN in uffici remoti. Naturalmente, per questa configurazione, si avrà bisogno di due FVS114, uno per ogni estremo.

Seguendo passo dopo passo la procedura di configurazione e annotando tutte le impostazioni utilizzate, si può ottenere una VPN LAN-to-LAN funzionante in pochi minuti. Per ogni estremo della VPN si dovrà conoscere sia l'indirizzo IP WAN o FQDN (Fully Qualified Domain Name), l'indirizzo della subnet IP e la subnet mask di ciascuna LAN. L'FVS114 supporta DDNS (Dynamic Domain Name Service) di tre diversi provider, perciò, anche se si collega uno o entrambi i router della VPN a un ISP che rilascia indirizzi IP dinamici, si sarà comunque in grado di utilizzare l'FVS114 per una VPN LAN-to-LAN.

Nota: É anche molto importante notare che le subnet IP delle LAN in ciascun ufficio remoto devono essere diverse. Un ufficio potrebbe utilizzare lo schema di indirizzamento LAN di default 192.168.0.0/24, ma l'indirizzo LAN del secondo FVS114 deve essere cambiato. Nel nostro esempio abbiamo impostato l'indirizzo della seconda LAN a 192.168.50.0/24

Analizzeremo ora, passo dopo passo, la procedura da seguire per configurare la VPN LAN-to-LAN utilizzando il VPN Wizard.

Passo 1 - Assegnate un nome alla VPN, create una chiave condivisa, scegliete il tipo di VPN e cliccate sul bottone Next. Per la configurazione LAN-to-LAN scegliete "A remote VPN Gateway" come tipologia di IP remoto.

Nota: Non dimenticate di annotare il valore della chiave pre-condivisa che creerete perchè dovrà poi essere identica su entrambi i router.


Figura 8: Wizard VPN - Configurazione di Nome, Chiave e Tipologia della VPN

Passo 2 - Inserite l'indirizzo IP della WAN remota oppure l'FQDN dell'"altro" FVS114 e cliccate su Next.


Figura 9: Wizard VPN - Introduzione dell'indirizzo IP della WAN

Passo 3 - Inserite l'Indirizzo IP e la Subnet Mask dell'"altro" FVS114 e cliccate su Next. In una configurazione tipica, con una subnet mask da 24 bit (255.255.255.0), l'indirizzo IP LAN finirà con "0".

Figura 10: Wizard VPN - Inserimento Indirizzo IP e Subnet Mask della LAN

Passo 4 - Verrà infine mostrata una schermata riassuntiva; se volete riesaminare i parametri di configurazione creati dal Wizard VPN nel dettaglio, cliccate sul link here.


Figura 11: Wizard VPN - Sommario

Passo 5 - Cliccate sul bottone Back per tornare alla pagina del Sommario, quindi, cliccate su Done per completare la procedura di configurazione.

La Figura 12 mostra i parametri di configurazione creati dal Wizard VPN.


Figura 12: Wizard VPN - Parametri di Configurazione

Passo 6 - Ripetete i passi da 1 a 5 sul secondo FVS114 ricordando che:

  • La chiave pre-condivisa deve essere la stessa del primo FVS114.
  • Le impostazioni della WAN o FQDN devono essere le stesse del primo FVS114.
  • Le impostazioni dell'indirizzo LAN e della subnet mask devono essere diverse da quelli del primo FVS114.

Passo 7 - Una volta che entrambi i dispositivi sono configurati correttamente, aprite la schermata VPN Status/Log (dal link VPN Status sotto la sezione Log) e cliccate su VPN Status. Da questa schermata cliccate su Connect per aprire il tunnel che, alternativamente, verrà automaticamente aperto da qualsiasi traffico destinato alla LAN remota.

Appendice A: configurazione del client VPN Remoto

Configurare il client VPN remoto è ancora più semplice che creare la VPN LAN-to-LAN. Netgear definisce la VPN remote-client una VPN Client-to-Gateway. Questo tipo di collegamento si utilizza nel caso in cui, per esempio, si deve fornire accesso sicuro da un PC remoto, come quando qualcuno abbia bisogno di accedere alla rete dell'ufficio dal computer di casa.

Ancora una volta tutto inizia dal Wizard VPN solo che, in questo caso, finisce in una sola mossa. Si ha a malapena bisogno di definire il nome da assegnare alla connessione e una chiave pre-condivisa. Il wizard si prenderà carico di configurare automaticamente tutte le impostazioni mancanti sul client remoto.

Inserite il nome della connessione, create una chiave pre-condivisa, selezionate "A remote VPN client" e cliccate su Next.


Figura 13: Wizard VPN - Definizione del nome e della chiave per la connessione del client VPN remoto

Quando il Wizard VPN visualizzerà la schermata riassuntiva, cliccate su Done.


Figura 14: Wizard VPN - Sommario

Configurare il client remoto è poco più difficile che configurare il tunnel VPN. Per far sì che un client abbia libero accesso alla LAN dietro un firewall, bisogna installare un software client VPN sul computer che volete utilizzi la connessione. Per fare le cose semplici, abbiamo usato il Client VPN ProSafe di Netgear, distribuito in licenza singola (VPN01L) e cinque licenze (VPN05L), ad un prezzo che varia dai 44.95$ ai 144.95$.

Per il lato client non esistono wizard di configurazione per aiutarvi lungo l'intero processo, così come non esistono forme di supporto tecnico gratuito per il Client VPN ProSafe. Perciò, se incontrerete qualche problema che non riuscite a risolvere, potreste dover spendere dei soldi acquistando il supporto premium.

Netgear comunque, fornisce un dettagliato manuale utente in formato digitale, con molte sezioni dedicate a configurazioni passo dopo passo dei client per farli funzionare con qualsiasi firewall VPN ProSafe di Netgear. Le istruzioni includono immagini delle schermate che se seguite attentamente, permettono di costruire un collegamento all'FVS114 senza problemi. Il nostro consiglio è quello di stampare le pagine delle sezioni relative all'FVS114 e al client VPN (15 pagine in tutto) e contrassegnare ogni passo man mano che viene completato.


Figura 15: Netgear Prosafe Client Policy Editor

Il client VPN ProSafe carica un'icona nella barra di sistema che, con un click col tasto destro del mouse, permetterà di configurare la connessione utilizzando il Security Policy Editor, di connettere o disconnettere gli endpoint VPN e di visualizzare i file di log della connessione.

scopri altri contenuti su

ARTICOLI CORRELATI