Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Cała prawda o filtrowaniu pakietów

Cała prawda o filtrowaniu pakietów

Gra na zwłokę

Cała prawda o filtrowaniu pakietów

Przepustowość ruterów w teście transmisji ramek 64-bajtowych

O ile nie ma istotnych różnic w przepustowości testowanych urządzeń (wyłączając ruter Cisco), o tyle w mierzonych opóźnieniach różnice były dość znaczne. Opóźnienie - parametr określający, ile czasu traci pojedynczy pakiet w drodze przez ruter - jest pod pewnymi względami nawet ważniejsze niż przepustowość. Opóźnienie wpływa bez wyjątku na transmisję każdego pakietu, niezależnie od tego, jak obciążona jest sieć. Stałe i względnie niskie opóźnienie jest ważne nie tylko w transmisji głosu i wideo, ale także w przypadku wszystkich danych, dla których istotny jest czas odpowiedzi drugiej strony. Dotyczy to prawie 90% transmisji TCP w Internecie. Ponieważ protokół TCP ponawia transmisję, jeśli strona nadająca nie otrzyma na czas potwierdzenia, że segmenty zostały poprawnie odebrane, duże opóźnienia prowadzą do niepotrzebnych retransmisji całego okna lub utraty pakietów i zerwania sesji.

Nawet dla stosunkowo wolnych łączy T-1 opóźnienia w przypadku 64-batjowych pakietów powinny się mieścić w granicach 500 mikrosekund. Rutery Riverstone 3000 i Tasman 1004 osiągnęły średnie wielkości opóźnień, bliskie temu teoretycznemu ideałowi. Ale już urządzenia Cisco 2651, ImageStream Rebel i Tasman 1400 odnotowały wyniki niemal dwukrotnie gorsze.

Trudno powiedzieć, jakie maksymalne opóźnienie można jeszcze przyjąć za dopuszczalne. Pogorszenie jakości transmisji wideo staje się odczuwalne już przy opóźnieniach wynoszących 10 000 mikrosekund, a pogorszenie jakości dźwięku daje się odczuć przy opóźnieniach wahających się w granicach 50 000-200 000 mikrosekund. W przypadku transmisji danych dopuszczalne opóźnienia mogą być natomiast znacznie większe.

Należy jednak pamiętać, że ostateczne opóźnienia, które musi tolerować użytkownik, są większe od tych, jakie wnosi ruter, ponieważ stanowią sumę opóźnień wnoszonych przez wiele ruterów na trasie pakietu, a także przez inne elementy - komputer i stos TCP/IP systemu operacyjnego. Z tego względu duże opóźnienia wnoszone przez ruter, które mogą poważnie zakłócać działanie aplikacji, są nie do przyjęcia.

Dla dużych tabel trasowania i list kontroli dostępu zawierających 256 pozycji opóźnienie wnoszone przez ruter Cisco 2651 wyniosło w najgorszym wypadku ponad 261 000 mikrosekund. Jest to bardzo duże opóźnienie, nawet jak na przepustowość łączy T-1. Aby lepiej zrozumieć, co oznacza taka wielkość, wystarczy sobie wyobrazić, że promień światła mógłby dwukrotnie obiec ziemię w czasie, w którym dwa rutery Cisco przesłały sobie pakiet pod wygenerowanym przez testujących obciążeniem.

Wysokie maksymalne opóźnienia zmierzone w przypadku urządzeń Cisco zmusiły do wykonania dodatkowych testów w celu stwierdzenia, czy zaobserwowane opóźnienia maksymalne nie stanowią wartości izolowanych. Analiza wyników dla poszczególnych przedziałów opóźnień ujawniła, że tak jest w istocie: ponad 99% ramek miało opóźnienia rzędu 10 000 mikrosekund lub mniejsze. Zarazem jednak spora liczba ramek miała opóźnienia dochodzące do wielu tysięcy mikrosekund. Taki rozrzut wyników może spowodować obniżenie jakości i wydajności, szczególnie w przypadku transmisji głosu i wideo. Fluktuacje w opóźnieniach transmisji poszczególnych pakietów - tzw. jitter - mają bowiem gorszy wpływ na jakość głosu i wideo niż nawet duże, ale stałe opóźnienia.

Zdalne zarządzanie a bezpieczeństwo

Po zakupie i instalacji w sieci nowego rutera należy pamiętać o zmianie nazw wspólnot SNMP z domyślnych na trudne do odgadnięcia. Większość dostarczanych fabrycznie ruterów ma bardzo łatwe do odgadnięcia nazwy wspólnot, a informacje na temat nazw stosowanych przez poszczególnych producentów są powszechnie dostępne w Internecie. Umożliwia to łatwą zmianę konfiguracji rutera przez agresora, który może wykorzystać niezabezpieczony ruter dostawcy usług internetowych do przechwytywania pakietów lub blokowania usług.

W ruterach Cisco do zmiany domyślnej nazwy wspólnoty można się posłużyć poleceniem snmp-server community <nowa nazwa wspólnoty> RO. Należy jak najczęściej stosować nazwy wspólnot w trybie tylko do odczytu (RO), a do zdalnej administracji stosować inne techniki (patrz niżej). Nazwy wspólnot, umożliwiające dostęp do urządzenia w trybie do odczytu i zapisu, należy stosować tylko tam, gdzie to rzeczywiście konieczne. W celu ograniczenia połączeń SNMP można też domyślnie blokować wszystkie połączenia z portem 161. Następujące polecenie dopuszcza połączenia SMTP tylko z konsoli administratora, zakładając, że pozostałe połączenia są automatycznie odrzucane - fikcyjne adresy konsoli (192.168.1.10) i rutera (192.168.1.1) należy zastąpić własnymi:

access-list 101 permit udp 192.168.1.10 0.0.0.0 192.168.1.1 0.0.0.0 eq 161 log

Począwszy od wersji 10.3 systemu IOS wszystkie rutery Cisco stosują protokół SNMPv2, który szyfruje komunikację między serwerem i klientem SNMP funkcją skrótu MD5. Uniemożliwia to intruzom przechwycenie i podsłuchanie hasła. Do uwierzytelniania użytkowników logujących się ze zdalnego terminala protokołem telnet rutery Cisco stosują dość łatwe do złamania szyfrowanie haseł algorytmem XOR. Aby zarządzać ruterem zdalnie bez narażania się na podsłuchanie i przechwycenie hasła w Internecie, można zastosować jedną z dwóch metod:

  • skorzystać z tunelowanego, szyfrowanego połączenia protokołem SSH;

  • łączyć się z ruterem za pośrednictwem modemu.
SSH jest bezpiecznym protokołem, który używa algorytmów klucza publicznego RSA do uwierzytelniania stron i szyfrowania całej sesji. Jeśli zdecydujemy się na drugi wariant, modem należy połączyć z portem AUX rutera i odpowiednio skonfigurować ruter, aby odpowiadał na przychodzące połączenia telefoniczne. Odpowiednie informacje na temat poleceń konfiguracyjnych można znaleźć w dokumentacji Cisco.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas