Introduzione
| Uno sguardo veloce |
| Prodotto |
Zyxel Zywall 2 Plus (K28388)
|
| Sommario |
Veloce router Endpoint VPN IPsec con supporto di due tunnel VPN IPsec e una moltitudine di opzioni per l'utilizzo in reti multi-router
|
| Pro |
- Approfondite caratteristiche di routing e configurazione firewall
- Autenticazione integrata di 32 utenti
- Routing e throughput per tunnel VPN in grande quantità
- Documentazione abbondante
|
| Contro |
- Le semplici cose non sono poi così semplici
- Nella documentazione non esistono esempi utili
- Nessun client IPsec integrato
- Solo due tunnel
|
|
Recentemente la redazione è stata inondata di richieste per consigli su router che includono endpoint VPN, dopo una analisi degli ultimi articoli pubblicati, abbiamo scoperto che in effetti sono anni che non vediamo uno di questi prodotti passare dai nostri laboratori, quindi è forse giunto il momento di recuperare il tempo perduto.
Zywall 2 e 2 Plus rappresentano i prodotti entry-level della gamma Security Appliance di Zyxel, entrambi sono router a quattro porte 10/100 con firewall SPI, endpoint IPsec in grado di supportare due tunnel VPN e set di caratteristiche che ne consentono l'uso nelle reti più grandi, dietro multipli livelli di router. La Tabella 1 mostra le differenze chiave tra i due prodotti.
| Caratteristica |
Zywall 2 |
Zywall 2 Plus |
| CPU |
Samsung 2500 166Mhz |
Intel IxP 422 266Mhz |
| Flash/SDRAM |
2 MB / 16 MB |
8 MB / 32 MB |
| Prestazioni Firewall |
12 Mbps |
24 Mbps |
| Prestazioni VPN |
2.2 Mbps |
24 Mbps |
| Caratteristiche Chiave |
- Firewall
- Endpoint VPN IPsec
- Filtro dei contenuti
- Dial Backup
- Switch 4 porte 10&100
|
Tutte quelle dello Zywall 2 più:
- Gestione ampiezza di banda
- Modalità Bridge
- VPN High Availability (HA)
|
|
Tabella 1: Confronto tra Zywall 2 e 2 Plus
Il router ha la forma di una tipica custodia per DVD ed è alto quanto due. L'involucro è in plastica e sulla parte inferiore presenta due sedi per viti di fissaggio così da permetterne il montaggio su muro. La Figura 1 mostra la disposizione dei LED sul pannello frontale; sono luminosi e visibili da grandi angolazioni.
Figura 1: Pannello Frontale
La Figura 2 mostra le porte sul pannello posteriore, includono due RJ45 per il supporto di connessioni da porte seriali verso console e modem analogici per linee ridondanti.
Figura 2: Pannello posteriore
Dettagli Interni
La Figura 3 è una foto della scheda interna del 2 Plus, costruita attorno a una CPU IXP422 a 266 MHz di Intel, con 32 MB di SDRAM e 8 MB di memoria FLASH. La lista dei componenti principali finisce con uno Switch Marvell a 6 porte Fast Ethernet Link Street 88E6060.
Figura 3: Scheda interna del Zywall 2 Plus (Cliccate sull'immagine per ingrandirla)
Setup e configurazione - LAN
Oltre al suo endpoint IPsec, il 2 Plus ha molte più funzioni di routing e firewall di ogni altro tipico router. Gli appassionati di IT che hanno giocato con i prodotti più a buon mercato di Cisco, Juniper e altri router di livello "Pro", dedicati al mercato delle piccole imprese, probabilmente si sentiranno a proprio agio col funzionamento del 2 Plus, ma coloro che sono entrati da poco nel mondo del networking o che hanno solo occasionalmente a che fare con reti casalinghe o di piccole società, potrebbero trovare l'interfaccia utente poco chiara.
La buona notizia è che Zyxell fornisce molta più documentazione di quanta possiate solitamente trovare con altri router. La cattiva notizia è che probabilmente ne avrete bisogno, e che potreste non trovare le informazioni che vi servono nel momento del bisogno. La Guida Utente di 613 pagine è dettagliata sul cosa e dove, ma spesso manca di informazioni sul come e perchè. Persino gli esempi spesso mancano di informazioni chiave o richiedono molte letture prima che se ne possa capire il significato.
Detto questo, il setup iniziale non è male. Il Plus 2 esce dalla fabbrica con indirizzo IP 192.168.1.1 e server DHCP abilitato quindi, il collegamento e l'accesso alle schermate di amministrazione sono relativamente facili. La schermata di login introduce automaticamente la password di default, così che tutto ciò che bisogna fare sia cliccare il pulante Login. A questo punto apparirà una pagina che chiederà di modificare la password di default ma che è possibile ignorare cliccando sul bottone Ignore; questa pagina verrà visualizzata ad ogni login, fino a quando la password non verrà cambiata.
La schermata successiva chiederà di creare un certificato di sicurezza personale per i tunnel IPsec, basato sull'indirizzo MAC del router, così da sostituire quello di default generato dalla fabbrica. Non è il momento adatto per eseguire questo cambiamento, quindi un altro clic chiuderà questa schermata e aprirà quella principale di Home, visibile nella Figura 4, con tutte le sue utili informazioni.
Figura 4: Schermata Home
L'Internet Access Wizard non è proprio uno "wizard", riporta direttamente ad una schermata dove è necessario selezionare manualmente la tipologia di "Incapsulamento" (Ethernet, PPPoE o PPTP), di connessione a Internet e di assegnazione (statica o dinamica) dell'indirizzo IP per il lato WAN. Gli wizard degli altri costruttori (ad esempio Netgear), gestiscono questo tipo di informazioni automaticamente, quindi la gestione manuale di Zyxel può sembrare obsoleta. Un altro punto debole di questa utility è che non espone tutte le opzioni di configurazione di ciascun metodo di incapsulamento; analizzeremo questo punto più dettagliatamente in seguito. Data la tipologia di utenti a cui il router è rivolto, probabilmente un "wizard" manuale soddisferà maggiormente i fanatici dell'IT.
Il Wizard per la VPN è leggermente più utile, ma lo analizzeremo tra poco. I bottoni Show Statistics, Show DHCP Table e VPN Status, nella parte inferiore dello schermo, aprono nuove finestre contenenti le corrispondenti informazioni.
La Figura 5 mostra la schermata LAN e tutti i controlli disponibili, alcuni dei quali non necessitano di spiegazione. Dalla tabulazione Static DHCP, è possibile assegnare indirizzi IP agli indirizzi MAC, funzionalità comoda se non si vuole impazzire a configurare NAS, stampanti, server, etc. Un modo più semplice per assegnare indirizzi Ip, comunque, consiste nel selezionare il check box di fianco ad ogni dispositivo elencato nella schermata Show DHCP Table accessibile dalla pagina Home. Da notare che non è possibile impostare il tempo di rilascio indirizzi del DHCP, così come non è possibile scollegare i dispositivi connessi. I protocolli di instradamento dinamico RIP-1, 2B e 2M sono supportati per i pacchetti solo in ingresso, solo in uscita e in entrambe le direzioni.
Figura 5: Schermata LAN (Cliccate sull'immagine per ingrandirla)
Dobbiamo ammettere di non essere stati in grado di capire il significato della funzionalità IP Alias (Figura 6) e che non abbiamo trovato molto aiuto nell'unica pagina della Guida Utente dedicata a questa funzione. Sembrerebbe una sorta di caratteristica simile alle VLAN, ma con flusso dati LAN segment-to-segment controllato dalle regole del Plus 2.
Figura 6: Schermata IP Alias
Setup e configurazione - WAN
La schermata Network > WAN presenta ancora numerose opzioni che non saranno familiari agli utenti non esperti di IT. La tabulazione Route permette di impostare i valori di configurazione per Routing Priority (metriche) della WAN, ridirezionamento del traffico, e dialup ridondante. Permette anche di abilitare Windows Networking (NetBIOS e TCP/IP) per catturare gli eventi legati ad una sessione in dialup e di gestire il traffico di rete tra il lato WAN e quello LAN. Quest'ultima possibilità sembra essere fuori posto in queste schermate, dato che assomiglia di più a una caratteristica da firewall.
Come detto precedentemente, la schermata WAN della Figura 7 fornisce più parametri di configurazione della WAN rispetto ai Wizard per la connessione a Internet. Eccetto per la lista Service Type, la maggior parte delle opzioni visualizzate sono disponibili anche con connessioni PPPoE e PPTP. Le opzioni di configurazione per PPPoE e PPTP includono autenticazioni PAP/CHAP, PAP e CHAP e connessioni nail-up ma manca un controllo per regolare l'MTU.
Figura 7: Schermata WAN
Le tabulazioni Traffic Redirect e Dial Backup permettono di configurare un sistema di ridondanza in grado di fornire due connessioni alternative, utili nel caso in cui quella principale a Internet non dovesse essere più disponibile. Traffic Redirect esegue un ping verso un indirizzo IP WAN introdotto dall'utente (i tempi di attesa tra due ping e i timout delle risposte sono programmabili) e cambia il gateway del 2 Plus con l'indirizzo IP del gateway di backup. Nel caso quella connessione non fosse più disponibile, è possibile configurare un'ulteriore connessione in dial-up, utilizzando la schermata mostrata in figura 8. Il 2 Plus fornisce una porta seriale, tramite connettore RJ45; modem non incluso. Non abbiamo testato nessuna di queste opzioni.
Figura 8: Configurazione della connessione in dialup di riserva (Cliccate sull'immagine per ingrandirla)
Firewall
Il Plus 2 è provvisto anche di firewall SPI completo e basato su regole, configurato separatamente rispetto alle caratterisstiche di NAT del router. Dicendo separatamente intendiamo che non crea automaticamente le regole di firewall corrispondenti alle più semplici funzioni, come il forward di una porta definita nella sezione NAT dell'interfaccia.
L'unico cenno a regole user-friendly riguarda la presenza di alcune note in alcune pagine della sezione NAT, che avvertono che potrebbe essere necessario creare una regola nel firewall. Questo è un altro posto dove i fanatici dell'IT si sentiranno a proprio agio col modo di fare del 2 Plus, ma gli amministratori potrebbero trovarlo fastidioso e/o frustrante. La Figura 9 mostra la pagina Firewall Default Rule, da dove è possibile configurare le opzioni legate al firewall.
Figura 9: Schermata contenente le Regole di Default del Firewall (Cliccate sull'immagine per ingrandirla)
L'opzione LAN to LAN / ZyWall è utilizzata congiuntamente con la caratteristica IP Alias precedentemente discussa, mentre WAN to WAN / ZyWall gestisce il firewall nei tunnel IPsec. WAN to LAN si utilizza quando si ha bisogno di un controllo più preciso dei paccheti in ricezione rispetto l'offerta di firewall NAT di base e Port Forwarding. Infine, le regole LAN to WAN rappresentano ciò a cui la maggior parte dei router si riferisce come Port o Application Filtering.
La Figura 10 mostra la schermata Edit Rule, utilizzata per creare o modificare le regole. Da notare la semplice schedulazione, in fondo alla pagina, basata su giorno e ora. Non sono visibili le altre opzioni per la registrazione e l'invio di allarmi e messaggi ogni qualvolta una regola venga soddisfatta e le azioni da intraprendere in base alle opzioni Permit, Deny e Drop. Naturalmente, se non vedete il servizio che volete dalla lista di default, potete aggiungerlo tramite la tabulazione Service.
Figura 18: Schermata di modifica delle Regole del Firewall (Cliccate sull'immagine per ingrandirla)
La schermata Service, che consente la modifica ai servizi, permette di rinominarli, e di introdurre il gruppo di porte a cui fanno riferimento, così come la scelta del protocollo interessato, tra TCP, UDP, TCP/UDP, ICMP e Custom (introduzione manuale del numero del protocollo). Le tabulazioni delle altre sezioni permettono di disabilitare la protezione contro attacchi DoS sulle interfacce LAN e WAN, impostare i limiti delle sessioni DoS e specificare le azioni da intraprendere quando si raggiunge il limite TCP Maximum Incomplete. La risposta ai ping viene gestita separatamente dalle interfacce LAN e WAN nella sezione Anti-Probing.
Analizzando la Figura 11 si giunge alle opzioni di base del Content Filtering. Da notare la possibilità di specificare un messaggio "bloccato" e ridirezionare l'URL. É anche possibile specificare quali client sono "esentati" dal filtraggio dei contenuti. Queste esenzioni vengono fatte su indirizzo IP e non MAC, quindi è consigliabile assegnare IP statici (o riservarli utilizzando la funzione LAN > Static DHCP) ad ogni client da aggiungere alla lista.
Figura 11: Schermata Filtri dei Contenuti - Generale (Cliccate sull'immagine per ingrandirla).
La schermata Categories, visibile in Figura 12, funziona assieme ad una sottoscrizione opzionale, basata su un sistema di filtraggio OEM di Bluecoat. Col 2 Plus otterrete una sottoscrizione di prova per un mese, attivabile nella pagina Registration.
Figura 12: Schermata Filtro dei Contenuti - Categorie (Cliccate sull'immagine per ingrandirla)
Se le vostre necessità di filtraggio sono semplici, o disponete di un budget limitato, potete utilizzare la tabulazione Customization per creare liste di siti web "Fidati" e "Proibiti", così come utilizzare keyword per filtrare gli indirizzi URL. Abbiamo eseguito qualche controllo sulla validità delle keyword ed effettivamente sono abbastanza intelligenti da bloccare gli indirizzi Ip di un sito proibito. Da notare anche la presenza di una tabulazione Cache, in grado di fornire controllo sul numero di tentativi di accesso a siti "Fidati" e "Proibiti" sono stati registrati nelle ultime ore (1-720); la lista generata è quindi consultabile e cancellabile da questa pagina.
VPN
La vera star dello show del 2 Plus è, comunque, la sua VPN IPsec. Ma nonostante il throughput rispetti le dichiarazioni di Zyxel, il 2 Plus non rappresenta lo stato dell'arte in termini di facilità di configurazione e utilità della documentazione legata alla VPN. Dobbiamo comunque ammettere che il Wizard della VPN ha enormemente facilitato la configurazione del nostro tunnel di prova router-a-router, principalmente perchè ha mostrato schermate (provviste di help online) contenenti tutte le impostazioni necessarie per una corretta configurazione di un tunnel di base.
Nemmeno il wizard o l'help online sono abbastanza a prova di proiettile da permettere la costruzione di un tunnel IPsec funzionante al primo colpo, subito dopo la sua creazione. Per esempio, sia nel wizard, che nell'help online o nella Guida Utente o nel Quick Start non abbiamo trovato nessun avvertimento circa uno degli errori più comuni: non ci siamo assicurati che le LAN agli estremi del tunnel usassero subnet differenti.
Nell'help online abbiamo anche scoperto un piccolo errore nell'uso del termine "remoto" al posto di "locale" che, se seguito, non ci avrebbe mai permesso di arrivare ad un tunnel funzionante. Dato che abbiamo già lavorato con successo su uno o due tunnel, siamo stati in grado di risovere ogni errore e arrivare alla fine del wizard con un tunnel router-a-router funzionante. Naturalmente dopo aver cambiato la subnet della LAN di uno dei router, a 192.168.0.X dal suo default 192.168.1.X.
L'altro modo per configurare un tunnel consiste nel partire dalla schermata Security > VPN e da qui creare le policy Gateway e Network. La Figura 13 mostra le regole costituite dalle nostre sessioni di Wizard VPN, con la policy network associata alla policy gateway, estesa utilizzando l'icona "+" nella colonna a sinistra. Un clic sulle icone di modifica di ciascuna policy ne apre la schermata associata.
Figura 13: Schermata Regole VPN (IKE) (Cliccate sull'immagine per ingrandirla)
La Figura 14 mostra la schermata di modifica delle policy di Gateway con le opzioni estese. Notate in particolare, le possibilità di abilitare un gateway remoto ridondante (la caratteristica denominata "VPN High Availability (HA)"), usare un certificato per l'autenticazione e le opzioni di autenticazione estese utilizzando il database integrato o un server RADIUS esterno. Notate anche che le policy del gateway possono gestire un indirizzo IP dinamico sul gateway locale, ma il remoto deve avere un indirizzo IP fisso o un nome di dominio.
Figura 16: Schermata delle policy del Gateway VPN (Cliccate sull'immagine per ingrandirla)
VPN, continua
Per configurare il tunnel di prova abbiamo utilizzato una chiave pre-shared abbastanza debole che, dopo aver lottato con qualche parametro errato (di cui parleremo a breve), ha funzionato senza problemi. Abbiamo anche fatto il tentativo di utilizzare un'autenticazione basata su certificati ma senza successo. Il fallimento è stato causato molto probabilmente dalla fretta, dalla mancanza di tempo e dal non aver seguito passo dopo passo tutte le istruzioni necessarie affinchè i due router si scambiassero con successo i certificati. La Figura 15, raffigurante la sezione Certificates, è abbastanza dettagliata e include le tabulazioni per configurare i certificati: Trusted CAs (Certificate Authorities), Trusted Remote Hosts e Directory Servers contenenti le varie liste.
Figura 15: Schermata dei Certificati di Autenticazione (Cliccate sull'immagine per ingrandirla)
La Figura 16 mostra la pagina che permette la creazione di un certificato.
Figura 16: Schermata di creazione di un certificato (Cliccate sull'immagine per ingrandirla)
Una volta impostata la modalità di autenticazione, sarà necessario configurare le Network Policy per il tunnel, utilizzando i controlli mostrati nella Figura 17.
Figura 17: Schermata Network Policy per VPN (Cliccate sull'immagine per ingrandirla)
Una volta inserite le regole, ha inizio la parte divertente: cercare di far partire e far funzionare il tunnel. Il nostro primo tentativo è stato contrastato da una regola del firewall introdotta durante i test del throughput. Come al solito, le informazioni contenute nelle log erano troppo criptiche per essere realmente utili (La Figura 18 mostra l'esempio di una configurazione errata di un tunnel) e hanno richiesto l'intervento di un ingegnere di Zyxel, che ha dovuto esaminare la configurazione del router prima di poterci aiutare a risolvere il problema. É interessante notare che una corretta configurazione premia con una frase inserita nella log: "Tunnel costruito con successo", ma un fallimento non comporta nessun messaggio di avvertimento.
Figura 18: Log del fallimento della creazione di un tunnel IPsec (Cliccate sull'immagine per ingrandirla)
Dopo aver risolto il problema dovuto alla regola precedentemente introdotta, siamo riusciti a far partire il tunnel utilizzando la chiave pre-shared, il "Wizard" VPN e accettando la maggior parte delle impostazioni di default proposte per IKE e IPsec. La schermata SA Monitor permette di vedere l'elenco dei tunnel collegati e funzionanti (sarebbe bello vedere qualche tipo di rappresentazione anche nella pagina principale Home). La tabulazione Global Setting contiene le impostazioni dei vari temporizzatori: Input e Output Idle Timer, Gateway Domain Name Update Timer e i controlli MSS (TCP Maximum Segment Size), questi ultimi configurati coi valori di default Auto e le opzioni Off e User-Defined.
Complessivamente, abbiamo avuto esperienze di configurazione di IPsec ben più dolorose ma, come detto all'inizio della sezione, il 2 Plus non rappresenta lo stato dell'arte a livello di user-friendly. Bisogna anche dire che Zyxel abbandona gli utenti a sé stessi nella selezione di un client IPsec da utilizzare con PC che devono collegarsi in sicurezza.
Caratteristiche di NAT
In aggiunta ai servizi VPN, Filtro dei Contenuti e Firewall, il 2 Plus ha molte più funzioni di routing NAT di qualsiasi altro prodotto della concorrenza a buon mercato. Innanzi tutto, è possibile stabilire il numero massimo di sessioni contemporanee per host, di default 2048, sino ad un limite di 3000. É anche possibile disabilitare completamente ogni funzione di NAT.
Se il vostro ISP vi ha fornito indirizzi IP multipli, il 2 Plus può aiutarvi a sfruttarli al massimo. La schermata Address Mapping, infatti, supporta le tipologie di Mappatura NAT One-to-One, Many-to-One, Many-to-Many Overload, Many One-to-One e Server.
Le WAN con un singolo indirizzo IP ignoreranno la schermata Address Mapping e utilizzeranno le regole di Port Forwarding mostrate nella Figura 19. La voce "Default Server" nella parte superiore dell'immagine, corrisponde alla funzione "DMZ" presente in molti altri router NAT. É anche possibile specificare dodici regole di Port Triggering.
Figura 19: Schermata del Port Forwarding NAT (Cliccate sull'immagine per ingrandirla)
Il supporto di Universal plug And Play (UPnP) e Application Layer Gateway (ALG) rappresentano ulteriori vantaggi a disposizione di quelle applicazioni che devono gestire il firewall NAT del 2 Plus. UPnP è disabilitato di default ma quando abilitato consente ai client di eseguire modifiche alle configurazioni del router tramite UPnP e UPnP NAT Traversal. Abbiamo apprezzato il fatto che 2 Plus mostri la lista delle porte aperte dai client UPnP; la stessa schermata (UPnP Ports) permette di selezionare alcune regole e di salvarle in una memoria flash.
Le opzioni per ALG sono più semplici ed includono la possibilità di abilitare la gestione di FTP, H.323 e SIP. É anche possibile cambiare il timeout SIP dai 3600 secondi di default, o di disabilitarlo del tutto impostandone il valore a 0.
La schermata Static Route consente di impostare fino a undici differenti rotte statiche, includendo indirizzi IP destinazione, subnet mask, IP gateway e metrica.
La sezione Bandwidth Management fornisce controlli separati per il traffico WAN - LAN e LAN - WAN, utilizzando una schedulazione dei pacchetti in equità o basata su Priorità. É possibile impostare una velocità massima in entrambe le direzioni, definire classi e sottoclassi di traffico (Figura 20) con otto livelli di priorità. Le schermate Statistics e Monitor permettono di analizzare gli effetti delle regole in uso. Solitamente controlliamo come viene gestita l'ampiezza di banda ma sfortunatamente questa volta non abbiamo abbastanza tempo.
Figura 20: Schermata di Gestione Ampiezza di Banda - Modifica delle Classi (Cliccate sull'immagine per ingrandirla)
Come molte delle caratteristiche del 2 plus, anche la gestione dei DNS è abbastanza flessibile. É possibile registrare degli indirizzi e associarli a IP specifici. Server DNS differenti possono essere associati per differenti zone di dominio, scegliendo ISP, server DNS pubblici o privati. Il 2 Plus può memorizzare in una cache entrambe le risoluzioni DNS positive (abilitate di default) e negative, permette la configurazione separata dei tempi di memorizzazione (60 - 3600 secondi), di visualizzare il contenuto della cache e di svuotarla completamente. É anche possibile impostare il server DHCP così che gestisca fino a tre server DNS. Raccogliendo le funzionalità DNS si ha un client DNS dinamico integrato per dyndns.org che gestisce fino a cinque nomi di dominio.
La Figura 21 mostra l'insieme delle opzioni che permettono la gestione remota completa del 2 Plus. Notate che la gestione HTTPs è sempre abilitata, ma non vi si è mai rediretti automaticamente dal login http e che obbliga a specificare https:// quando si digita l'indirizzo IP del 2 Plus nella barra del browser. É possibile raggiungere l'interfaccia a riga di comando tramite SSH e Telnet, entrambe le opzioni sono abilitate di default per i client di entrambi i lati LAN e WAN; chiaramente non si tratta della configurazione di default più sicura. Potete però limitare l'accesso solo tramite client lato LAN o WAN, disabilitarlo completamente o consentirlo solo da indirizzi IP specifici. É anche possibile modificare la porta operativa di ciascun servizio.
Figura 21: Schermata di Gestione Remota (Cliccate sull'immagine per ingrandirla)
Se scaricare configurazioni di router e aggiornamenti di firmware tramite browser web non è pane per i vostri denti, potete usare un accesso FTP, che ha le stesse opzioni di configurazione degli accessi e delle porte di SSH e Telnet.
Se il 2 Plus entrerà a far parte di una rete molto grande, il suo supporto SNMPv1 vi tornerà molto utile, assieme all'abilità di modificarne le opzioni di accesso e le porte come fatto per i servizi precedenti. Se siete un negoziante ZyXEL e utilizzate il Server CNM Vantage come vostro sistema di gestione della rete, il 2 Plus può ricoprire anche quella funzione. Infine, se ne avete bisogno, tramite la tabulazione DNS vi sarà possibile controllare le interfacce che supportano le richieste DNS.
Altre caratteristiche
A completare il set delle funzioni che troverete in questo 2 Plus, analizzeremo il sistema di Log e qualche altra caratteristica minore. Il sistema di Log è migliore di ciò che normalmente si trova su dispositivi di questo tipo, contiene messaggi informativi, indirizzi Ip di origine e di destinazione e note aggiuntive. Scansioni delle porte e altre attività riconosciute come attacchi vengono scritte in rosso con la nota "Attacco". In visualizzazione, i messaggi possono essere ordinati in ordine crescente e decrescente in base alla data di registrazione con un semplice clic, così come un clic è sufficiente per limitare la visualizzazione soltanto a specifiche categorie di messaggi.
I Log possono essere spediti via email immediatamente o in base ad una programmazione, aggiornati manualmente o cancellati. La Figura 22 mostra che il mailer dei Log supporta l'autenticazione SMTP, ma non ha un bottone di test della connessione per farvi capire in modo semplice se è possibile stabilire una connessione col server SMTP del vostro provider.
Figura 22: Schermata di configurazione dei messaggi di Log (Cliccate sull'immagine per ingrandirla)
Supporta anche il salvataggio dei messaggi di Log in un Syslog Server e Zyxel fornisce anche una copia del suo applicativo Vantage Report (solo per Windows) così che possiate analizzare i messaggi quanto profondamente desiderate. La lista di opzioni nella parte inferiore della schermata mostrata in Figura 21 vi fornisce il controllo di ciò che comparirà nel Log e di ciò che verrà immediatamente spedito tramite email.
Ciò che non è visibile dalla schermata catturata nella Figura 21 sono i controlli di Consolidazione del Log, che includono un checkbox (abilitato di default) e un periodo di tempo in secondi (da 1 a 600, default 10). Secondo l'help online, questa funzionalità "fonde i messaggi dal contenuto simile in un unico messaggio" ma pensiamo che ciò che realmente accade sia una fusione delle ripetizioni dei messaggi, dato che nel nostro Log abbiamo scoperto alcuni messaggi di attacchi tramite scansione delle porte, recanti la nota "port scan UDP (Ripetizioni: 2)".
Il menu Maintenance consente la personalizzazione del valore del timeout per inattività dell'amministratore (da impostare a 0 per disabilitare la funzione), l'impostazione della password, della data e dell'ora (inclusi server NTP e fuso orario), l'aggiornamento del firmware, il backup / restore / reset ai valori di fabbrica delle configurazioni in uso e il riavvio. Stranamente l'impostazione per far funzionare il router come bridge è sepolta nella tabulazione Device Mode. La modalità bridge permette l'utilizzo delle caratteristiche di firewall e filtro dei contenuti su segmenti della rete, senza dover gestire un router NAT; supporta il protocollo 802.1w Rapid Spanning Tree per interrompere i loop sulla rete e prevenire tempeste di trasmissioni.
Prestazioni e pensieri conclusivi
Utilizzando IxChariot abbiamo testato le prestazioni di routing e il throughput del tunnel VPN con un firmware versione V4.00(XU.2) | 26/07/2006, caricato in entrambi i router. Non ci siamo preoccupati di controllare i tempi di risposta dei ping, dato che tutti i router moderni hanno tempi inferiori alla minima risoluzione delle letture (1 msec).
Provando a testare il throughput dello streaming UDP non siamo riusciti a completare i test in nessuna direzione con o senza il firewall del 2 Plus abilitato. Come abbiamo notato in passato, Qcheck e IxChariot non funzionano su alcuni router NAT dotati di funzioni firewall SPI.
La Tabella 2 mostra come l'utilizzo del firewall influenzi le prestazioni anche se, con più di 30 Mbps di throughput a disposizione, persino col firewall attivato rimane molta banda libera per connessioni a banda larga.
| Descrizione del test |
Throughput - Firewall Abilitato (Mbps) |
Throughput - Firewall Disabilitato (Mbps) |
| WAN - LAN |
34.1 |
54.9 |
| LAN - WAN |
35.6 |
55.5 |
| Firmware Version |
V4.00(XU.2) | 26/07/2006 |
|
Tabella 2: Throughput di routing
La Tabella 3 mostra i risultati del throughput deil tunnel, abbastanza vicini ai 24 Mbps delle specifiche di Zyxel e, ancora una volta, sufficienti per qualsiasi connessione a banda larga. Notate che non abbiamo eseguito i test col firewall disabilitato.
| Descrizione del test |
Throughput - Firewall Abilitato (Mbps) |
| WAN - LAN |
22.2 |
| LAN - WAN |
21.9 |
| Firmware Version |
V4.00(XU.2) | 26/07/2006 |
|
Tabella 3: Throughput Tunnel IPsec
Quindi a quali conclusioni possiamo giungere? Zyxel ha messo molto in questo Zywall 2 Plus, sia come caratteristiche che come prestazioni. Purtroppo però, non sono mai riusciti a distinguersi per interfacce utente dotate di un design di livello superiore e questo 2 Plus continua la tradizione. Sappiamo che il firewall ha molte più potenzialità dei rivali in questa fascia di mercato, ma anche il router NAT più semplice sa come manipolare i propri firewall quando una porta è inoltrata, quindi perchè anche il 2 Plus non può esserne in grado?
L'altro difetto riguarda la non facile usabilità delle funzioni IPsec. Altri costruttori includono almeno un client IPsec in versione trial; Zyxel farebbe una mossa saggia a seguire l'esempio, completando l'opera con impostazioni di default e/o wizard in grado di accompagnare anche gli utenti più inesperti verso una connessione stabile e senza grossi problemi. Due tunnel sono davvero miseri, considerato che l'FVS124G di Netgear ne supporta 25 in un dispositivo dal costo simile a quello del 2 Plus e che è anche dotato di switch a quattro porte gigabit e porte duali WAN.
Considerato tutto ciò, il Zywall 2 Plus di Zyxel è un buon router a due tunnel, con funzioni di firewall avanzate. Dovrebbe servirvi bene se potrete convivere con un numero di tunnel così limitato e se volete iniziare a giocare con firewall basati su regole.