Buffalo AirStation – namiastka bezpieczeństwa

16 listopada 2004 0 przez Artur Wyrzykowski

Jednym z największych mankamentów sieci bezprzewodowych jest ich bezpieczeństwo. Nie chodzi nawet o to, że urządzenia oferują za mało zabezpieczeń, a raczej o to, że użytkownicy nie zawsze wiedzą jak z nich skorzystać. Dlatego nowe pomysły rozwiązujące ten problem będziemy przyjmować z entuzjazmem – jednym z ciekawszych rozwiązań jest AirStation One-Touch Secure System (AOSS) firmy Buffalo. W artykule pokrótce opisujemy urządzenia sieciowe wykorzystujące AOSS i zgodne ze standardem 802.11g, a za kilka dni będziemy mogli przedstawić podobne produkty, ale o szybkości 125 Mb/s. Zapraszamy!
Buffalo AirStation to cała seria urządzeń – my do testu otrzymaliśmy przede wszystkim ruter AirStation WBR2-G54, który także pełni rolę 4-portowego przełącznika 10/100 Mb/s i punktu dostępowego 802.11g. Uzupełnieniem zestawu były dwie karty sieciowe, o których kilka słów znajduje się na końcu artykułu. Teraz przyjrzymy się samemu ruterowi, szczególnie zwrócimy uwagę na to, co odróżnia go od innych produktów dostępnych na rynku. Nie ma on anteny zewnętrznej (jak większość urządzeń tego typu), lecz wewnętrzną o zysku energetycznym tylko 1 dBi. Jednak podczas testów okazało się, że pozwala ona uzyskać zasięg typowy dla produktów tego typu – w budynku wynosi on przeciętnie kilkanaście metrów, nie więcej niż 30 m. Na przykład w bloku mieszkalnym możliwe jest objęcie zasięgiem sieci kilku sąsiadujących ze sobą mieszkań.



Na tylnym panelu urządzenie ma dodatkowe gniazdo typu MC do podłączenia opcjonalnej anteny zewnętrznej – widać go na zdjęciu poniżej. Oprócz niego jest przycisk aktywujący tryb AOSS, przycisk do przywracania ustawień fabrycznych, no i oczywiście porty LAN i WAN. Natomiast na przedniej i bocznej ściance widać kilka kontrolek – bardzo szybko przekonamy się, że każda z nich rozświetla także trochę sąsiednie kontrolki. Nie zawsze mamy 100 procent pewności, czy dana dioda świeci, czy to tylko światło pochodzące z diody znajdującej się obok. W zestawie jest też zasilacz o dość nietypowym napięciu wyjściowym jak na taki sprzęt (3,3 V), kabel sieciowy, płyta z oprogramowaniem i krótka, polskojęzyczna instrukcja instalacji.



Szczególną cechą AirStation są mechanizmy zabezpieczające – znalazły się oczywiście wśród nich WEP oraz WPA (TKIP), a także filtrowanie adresów MAC. Ruter dysponuje systemem wykrywania włamań Intrusion Detector, który pozwala odpierać ataki, rejestrować informacje o nich, wysyłać powiadomienia do użytkowników. Najciekawszym rozwiązaniem jest AOSS – krótki opis w języku polskim znajduje się na stronie importera Buffalo, natomiast my sprawdzimy, jak to rozwiązanie działa w praktyce. Dodatkowe zabezpieczenia w postaci szyfrowania AES pojawiły się wraz z nowym oprogramowaniem v. 2.30 dla rutera, jednak było ono dostępne już po zakończeniu naszych testów.

By niepotrzebnie nie powiększać recenzji, nie będziemy przytaczać wszystkich parametrów technicznych, bo są one prawie takie same, jak w innych wielofunkcyjnych ruterach (specyfikacje są dostępne np. na www.buffalo.pl).


Szybki start

Buffalo AirStation WBR2-G54 konfiguruje się przez przeglądarkę, tak samo jak wszystkie urządzenia tego typu. Jednak już na pierwszy rzut oka widać, że interfejs jest niedopracowany (te krzywe czcionki to nie jest uszkodzenie grafiki na PCLab.pl – one naprawdę tak wyglądają!). Dwa duże przyciski prowadzą do ustawień charakterystycznych dla DSL lub połączeń kablowych – w zależności od sieci, jaką dysponujemy.





(kliknij aby powiększyć)

Ustalamy więc wszystkie niezbędne parametry IP (ewentualnie konta PPP), następnie automatycznie włączany jest serwer DHCP (użytkownik może go wyłączyć). Sprawdzane jest połączenie z Internetem, po czym ruter jest gotowy do pracy.





(kliknij aby powiększyć)




(kliknij aby powiększyć)

W górnej części głównego okna konfiguracyjnego znajduje się kilka dodatkowych przycisków do sprawdzania stany łącza, konfiguracji zabezpieczeń i specjalnych aplikacji. Trudno powiedzieć, dlaczego dostęp do tych funkcji znajduje się akurat w tak widocznym miejscu – mogłaby tu znaleźć się np. informacja o sposobie aktywacji AOSS, systemie zabezpieczeń promowanych przez firmę. A tymczasem w sekcji Security możemy ustawić szyfrowanie WEP, włączyć filtrowanie MAC (tylko na zasadzie enable/disable) oraz wybrać jeden z czterech zdefiniowanych poziomów zabezpieczeń. W tym miejscu nie można skonfigurować szyfrowania WPA (ze zmiennymi kluczami szyfrującymi) czy nawet ustawić hasła administratora! Jest to możliwe dopiero po przejściu do ustawień zaawansowanych.





(kliknij aby powiększyć)

Tymczasem do podstawowych ustawień zaliczono także „aplikacje specjalnej troski” (sekcja Applications), czyli takie, które niechętnie korzystają z translacji adresów NAT (gry, komunikatory, aplikacje wideokonferencyjne itp.). W niektórych ruterach istnieje przynajmniej po kilkanaście wstępnie skonfigurowanych ustawień dla różnych aplikacji i gier, natomiast w testowanym ruterze Buffalo sekcja ta jest niezwykle uboga.


Zabezpieczenia

Na tym kończą się ustawienia podstawowe – bez wątpienia nie pozwalają one na pełne skonfigurowanie rutera, musimy więc wejść w ustawienia zaawansowane. Okazuje się, że w tym przypadku interfejs jest nieco inny, ustawień mnóstwo i użytkownik musi trochę się pogłowić nad tym, co warto ustawić na początku, a co można zrobić później. My byliśmy głównie zainteresowani działaniem AOSS, więc znaleźliśmy odpowiednią funkcję w menu. Aktywacja tego zabezpieczenia może odbywać się na dwa sposoby – albo za pomocą przycisku w programie konfiguracyjnym (co pozwala nie tylko na włączenie, ale i wyłączenie AOSS), albo za pomocą czerwonego przycisku umieszczonego na tylnej ściance rutera (widać go na poniższym zdjęciu).



Po wciśnięciu AOSS zaczyna mrugać jedna z kontrolek – oznacza to, że ruter oczekuje na skonfigurowanie karty sieciowej. W tym momencie należy otworzyć interfejs program Client Manager (program konfiguracyjny karty) i wcisnąć w nim przycisk AOSS. Powoduje to, że karta sieciowa wyszukuje punkt dostępowy (lub ruter) pracujący w trybie AOSS, a następnie uzgadnia z nim możliwie najbezpieczniejszy tryb komunikacji. Nie dzieje się to natychmiastowo, lecz trwa kilkadziesiąt sekund, po czym urządzenia przechodzą do normalnej pracy i włączają zabezpieczenia ustalone przez AOSS. W przypadku sprzętu Buffalo dostarczonego do testu było to szyforwnaie WPA ze zmiennym w czasie kluczem szyfrującym (TKIP) o długości aż 63 znaków.



Jeśli chcemy włączyć do sieci kolejną kartę sieciową, całą procedurę konfiguracji AOSS należy powtórzyć (łącznie ze wciśnięciem przycisku w ruterze). Wybranie optymalnych zabezpieczeń trwa znowu kilkadziesiąt sekund – niestety, w tym czasie poprzednio skonfigurowane karty sieciowe tracą połączenie z ruterem. Gdy zostanie ustalony poziom zabezpieczeń, znów wszystko wraca do normy. Później administrator ma możliwość zmiany „na sztywno” sposobu szyfrowania (np. tak, by był np. wykorzystywany tylko WEP), odłączenia wybranych kart sieciowych od automatycznej konfiguracji przez AOSS, a także całkowitego wyłączenia tej funkcji w programie konfiguracyjnym (wtedy zabezpieczenia mogą być ustawiane ręcznie).





(kliknij aby powiększyć)

Przy wykorzystaniu AOSS należy zwrócić uwagę na kilka rzeczy. Po pierwsze – jest to rozwiązanie jednego producenta, więc jeśli w sieci pracują nie tylko karty Buffalo, nie można tego mechanizmu wykorzystać. Po drugie – sieci bezprzewodowe dostosowują m.in. swoje zabezpieczenia w ten sposób, by wszystkie urządzenia mogły nawiązać łączność. Jeśli karty sieciowe potrafią posługiwać się szyfrowaniem AES, a jedna gorsza karta będzie mogła wykorzystać tylko WPA, AOSS automatycznie przełączy wszystkie karty w słabszy tryb zabezpieczeń. Użytkownik niekoniecznie musi o tym wiedzieć, bo AOSS można wykorzystać bez większej świadomości tego, co się dzieje w sieci. Nasuwa się więc taki pomysł, by administrator mógł określić nie tylko maksymalne, ale i minimalne zabezpieczenia, poniżej których nie może zejść sieć (np. ustalić minimum na 256-bitowe WPA). Kolejna sprawa dotyczy pewnych ustawień, które są modyfikowanie przez AOSS: zmieniany jest SSID sieci, wyłączona zostaje funkcja WDS i filtrowanie adresów MAC. Bardzo ważny jest SSID, który staje się 32-znakowym ciągiem alfanumerycznym i nie można go ręcznie zmienić. Tymczasem fachowcy od bezpieczeństwa radzą, by unikać standardowych nazw sieci, bo w ten sposób włamywacze wiedzą, z jakim sprzętem mają do czynienia i potrafią to wykorzystać. Na przykład sprzęt sieciowy Cisco ma domyślny SSID tsunami, 3Com – 101, Linksys – po prostu linksys, itd. Tak samo łatwo zapamiętać, że bardzo długi ciąg znaków alfanumerycznych oznacza urządzenia Buffalo z aktywnym systemem AOSS.

Wolniej niż konkurencja

Interesującym parametrem może być przepustowość testowanych produktów, ponieważ wyposażono je w technologię Frame Bursting. Jest ona implementowana pod różnymi nazwami w układach różnych firm (Atheros, Broadcom, Intersil, TI) i stanowi część standardu 802.11e. Frame Bursting zwiększa rzeczywistą przepustowość łącza radiowego, ponieważ eliminuje większość nagłówków pakietów. W sieciach bezprzewodowych nagłówek może stanowić nawet połowę pakietu, a omawiana technologia pozwala na wysłanie drogą radiową do 6 pakietów z tylko jednym nagłówkiem (ruter rzadziej odbiera potwierdzenia od karty o udanej transmisji), więc pozwala na efektywniejsze wykorzystanie pasma. Przeprowadziliśmy tylko krótki test, aby w przybliżeniu oszacować wydajność sieci.

Okazało się, że Frame Bursting w wykonaniu Buffalo (a właściwie Broadcom) nie reprezentuje niczego szczególnego – udało nam się uzyskać maksymalnie wydajność na poziomie 29 Mb/s (w teście Iometer), natomiast test Chariot dał wynik nieco niższy, ok. 28 Mb/s. Ten przypadek dotyczy wyłączonej zgodności z 802.11b, maksymalnej mocy nadajnika, a także pracy na kanale 6. Ruter D-Link DI-624+, który opisywaliśmy prawie rok temu, pozwolił na uzyskanie przepustowości do 32 Mb/s – tak wyraźne różnica wynika z zastosowanego układu (D-Link wykorzystuje układy Atheros), a więc implementacja Frame Bursting może być nieco inna (Atheros nazywa ją Wireless Multimedia Enhancements).

Więcej interesujących szczegółów dotyczących przepustowości sieci Wi-Fi w różnych warunkach podamy w następnym artykule, który będzie dotyczył produktów Buffalo o szybkości 125 Mb/s.


Opcje zaawansowane

Ruter Buffalo AirStation WBR2-G54 ma kilka dodatkowych ustawień, które nie zawsze występują w produktach konkurencyjnych. Istnieje np. możliwość zmiany mocy nadajnika lub nawet wyłączenia interfejsu Wi-Fi (na przykład jeśli uzytkownik z niego nie korzysta, a boi się o bezpieczeństwo) oraz możliwość wyłączenia trybu zgodności z 802.11b (by karty 11 Mb/s nie spowalniały całej sieci). Jest też funkcja Privacy Separator, która blokuje komunikację pomiędzy klientami bezprzewodowymi (mogą komunikować się tylko z punktem dostępowym). Nowy firmware daje jeszcze jedną możliwość – automatyczny wybór najmniej zaszumionego kanału.





(kliknij aby powiększyć)

Interesującą funkcją jest Wireless Distribution System (WDS), występuje ona coraz częściej w produktach bezprzewodowych. Pozwala na eliminację Ethernetu w sieciach składających się z wielu punktów dostępowych. W skrócie chodzi o to, że punkty dostępowe muszą wymieniać informacje pomiędzy sobą przez jakiś kanał dystrybucyjny, zazwyczaj robią to przez Ethernet (droga radiowa służy do komunikacji z klientami). Włączenie WDS powoduje, że kanałem dystrybucyjnym staje się nie Ethernet, lecz radio.

Ruter daje dość duże możliwości odnośnie rutingu i translacji adresów. Można stworzyć własną tablicę rutingu i NAT, wyłączyć translację, przepuszczać lub odrzucać połączenia VPN. Wykorzystanie tych możliwości nie zawsze jest tak łatwe, jak być powinno – na przykład eksport usług z LAN do Internetu (tzw. Virtual Server) nie występuje jako osobna funkcja, lecz stanowi część tablicy NAT z niezbyt intuicyjnym interfejsem.

Wstępnie włączone są także reguły filtrowania pakietów Deny NBT and Microsoft-DS Routing (czyli filtrowanie połączeń służących do współdzielenia plików i drukarek w sieciach Microsoftu), a także Reject the IDENT Request, czyli odrzucanie zapytań protokołu ident. Użytkownik może wprowadzać własne reguły, wykorzystujące nie tylko adresy IP, ale także reguły działające na poziomie adresów MAC. Filtr IP działa w tradycyjny sposób (ruter może akceptować, ignorować lub odrzucać połączenia), natomiast filtr MAC to jedynie lista adresów – można się tylko domyślać, że to adresy, z których połączenia nie będą akceptowane.





(kliknij aby powiększyć)

Buffalo AirStation ma jeszcze jedną funkcję podnoszącą poziom bezpieczeństwa – Intrusion Detector, który zabezpiecza m.in. przed uszkodzonymi pakietami, pakietami pochodzącymi z nieprawidłowych adresów, atakami typu TCP SYN Flood, SMURF, LAND. Opcjonalnie można też włączyć zabezpieczenie przez spoofingiem IP. Intrusion Detector może pracować w dwóch trybach – całkiem niezależnie od filtru pakietów (wtedy analizuje cały ruch) lub może uwzględniać tylko te pakiety, które przeszły przez filtr (wtedy zapewne wygeneruje mniej komunikatów o atakach). Użytkownik może ustawić liczbę ataków, po której pojawią się ostrzeżenia o włamaniu. Ostrzeżenia są wyświetlane w oknie z konfiguracją, wysyłane pocztą lub bezpośrednio na ekran jednego z komputerów (do tego ostatniego jest potrzebny Intrusion Detector Client, którego jednak bezskutecznie szukaliśmy w Internecieoraz na płycie CD znajdującej się w zestawie).





(kliknij aby powiększyć)

Ruter Buffalo ma też dość mocno rozbudowane funkcje dotyczące zarządzania – warto zwrócić uwagę np. na możliwość rejestrowania zdarzeń na serwerze Syslog, konfigurowalne dzienniki zdarzeń oraz statystyki.





(kliknij aby powiększyć)


Karty sieciowe

Standardowo już, do każdego testu sprzętu Wi-Fi otrzymujemy karty PCI oraz PC Card, również tym razem były to Buffalo AirStation WLI2-PCI-G54 oraz WLI-CB-G54A. Użyliśmy je do testowania AOSS, a także do do sprawdzenia maksymalnej wydajności rutera i zasięgu sieci.



Na temat kart napiszemy tylko kilka słów. Obie oferują kilka ciekawych funkcji (a w zasadzie oferuje je sterownik), jest na przykład możliwość optymalizacji pracy w celu uzyskania najlepszego zasięgu lub najlepszej przepustowości podczas roamingu. Ważnym szczegółem dla niektórych osób może być to, że obie karty mają gniazdo antenowe MC (karta PCI ma odpowiednią przejściówkę), więc można wykorzystać anteny zewnętrzne.

Oczywiście obie karty sieciowe są zgodne z AOSS, co pozwala na automatyczną negocjację zabezpieczeń. Użytkownik włącza ten tryb pracy za pomocą oprogramowania klienckiego (Client Manager), więc jasne jest, że w systemie nie wystarczą same sterowniki, ale koniecznie musi być zainstalowany ten program. Niestety, nie realizuje on nawet wszystkich podstawowych funkcji, np. z niewielką dokładnością wyświetla informacje o sile sygnału radiowego (to ta ikonka w lewym dolnym rogu interfejsu), ale już w ogóle nie mierzy jakości tego sygnału.



Jak można podsumować pomysły firmy Buffalo i ich realizację? AOSS wydaje się rozwiązaniem dobrym, ale jednak sieci wykorzystujące opisywane produkty wcale nie muszą być bezpieczne. Powód jest prosty – nie ma żadnego mechanizmu, który wymuszałby stosowanie AOSS, ruter może także działać z pustym hasłem administratora. Poza tym interfejs użytkownika jest niezbyt intuicyjny (na szczęście rzadko się z niego korzysta), a wiele ważnych ustawień znajduje się dopiero w sekcji Advanced. Producent przewidział system pomocy kontekstowej, ale i on jest niedopracowany, czego przykład widać na poniższym, ostatnim już ekranie. Liczymy więc na to, że nowe rozwiązanie, które będziemy mogli przedstawić za kilka dni, będzie nie tylko znacznie szybsze, ale i bardziej funkcjonalne i bezpieczne.












ZaletyWady


  • Łatwe zabezpieczanie Wi-Fi

  • System wykrywania włamań

  • Możliwość podłączania anten zewnętrznych do rutera i kart




  • Mało intuicyjny interfejs konfiguracyjny (również brak kreatora)

  • Możliwość pracy bez jakichkolwik zabezpieczeń

  • Liczne błędy w systemie pomocy


Do testów dostarczył:

NETCOM Wireless

www.buffalo.pl

Ceny brutto (z VAT):
Ruter WBR2-G54 – ok. 380 zł
Karta PC Card WLI-CB-G54A – ok. 150 zł
Karta PCI WLI2-PCI-G54 – ok. 185 zł.