عندما تختار شيئًا لنفسك - فأنت تحاول اختيار الأفضل (ويفضل ألا يكون باهظ الثمن بالطبع ، ولكنه شيء جيد). وأنت تحاول اختياره بنفسك. لا أحد يستطيع أن يأخذ كلمة - فقط الخبرة الشخصية والتحقق والاختبار. وحقاً ، أحيانًا يمكنك الحصول على نتائج مذهلة ، على ما يبدو ، من أشياء عادية جدًا. مدهش سواء بطريقة سيئة أو جيدة.
توضح هذه المقالة جزءًا من الاختبار المقارن لنقطتي وصول تم تحديدهما لحالات معينة. كل من يهمه الأمر - مرحبًا تحت القط.
نماذج نقطة:
Zyxel NWA1123-AC PRO و
Ubiquiti UniFi AP AC PROكلتا النقطتين من نفس النطاق السعري ومصممة لحل نفس المشاكل.
للمعدات المساعدة التي تم استخدامها أثناء الاختبارات:
خادم iperf هو كمبيوتر سطح مكتب عادي مزود ببطاقة شبكة جيجابت. لا شيء خاص.
عميل wi-fi هو ثاني كمبيوتر محمول HP probook 430 g4. مع وحدة واي فاي قادرة على 5 جيجا هرتز.
جهاز التوجيه - c9 arcer.
طبولوجيا مقاعد الاختبار بسيطة بقدر الإمكان:
الاختبار الوظيفي
كل ما يقع في أيدينا ، نركض وفقًا للبروتوكول القياسي. لدينا تطورات معينة نعتمد عليها. تختلف بعض النقاط من المعارف التقليدية إلى أخرى ، ولكن الوظائف الأساسية تظل دون تغيير تقريبًا بغض النظر عن المهمة. هناك نقاط حرجة ، يضع غيابها على الفور نهاية لاستخدام هذه الأجهزة على الشبكة (على سبيل المثال ، إذا لم يكن هناك ssh أو snmp) ، وهناك نقاط اختيارية ، سيكون وجودها زائد للجهاز عند تلخيص نتائج الاختبار. على سبيل المثال ، وجود منفذ وحدة التحكم. هناك - حسنًا - لا - حسنًا ، ليس حقًا ما أردت.
يتحدث عن وحدة التحكمفي Zyxel ، يتم الوصول إلى منفذ وحدة التحكم.
هذا بلا شك زائد. في Ubiquiti ، يوجد منفذ وحدة التحكم في نفس المكان الذي يفعله معظم الشركات المصنعة (وهذا ليس مفاجئًا على الإطلاق - حيث يفعل الكثيرون ذلك ، ولكن لا توجد أي أرجل):
يمكنك ترتيب holivar بشكل منفصل حول الموضوع: "على جهاز عادي ، لا ينبغي أن يكون الوصول إلى منفذ وحدة التحكم ضروريًا من حيث المبدأ" ، لكنني أميل إلى الاعتقاد أنه سيكون أفضل ولا حاجة منه ، وفجأة ، ستكون هناك حاجة إليه وأنه ليس هناك ( تماما مثل منع الحمل).
ستكون بعض النقاط شائعة ، ولكن للأسف ، يجب التحقق منها حقًا. أكثر من مرة أو مرتين كانت هناك أجهزة أعلنت فيها المواصفات دعمًا لوظيفة معينة ، وحتى خانات اختيار الإعدادات هذه موجودة في كاميرا الويب ، ولكنها لا تعمل.
على سبيل المثال ، إعطاء الأولوية لحركة المرور. تقوم بتشغيل علامة الاختيار الضرورية في الإعدادات ، وتبدأ في تجميع الحزم بواسطة محلل حركة المرور ، وفي الواقع ، لم يتغير شيء في الرؤوس. إنه أمر محزن.
في هذه الحالة ، قامت كلتا النقطتين بعمل ممتاز. لا توجد شكاوى ويتم تنفيذ جميع الوظائف المطلوبة. حتى ممل بطريقة أو بأخرى. هذا ليس اختيارًا منخفضًا حيث يمكنك رؤية "خطأ التجزئة" من nslookup'a (نعم ، هناك بعض الأماكن مثل ذلك).
قائمة وظيفية1. دعم متعدد SSID. القدرة على رفع شبكتين على الأقل مع SSID مختلف + القدرة على رفع شبكة مخفية.
2. دعم 802.11i (الأمان ، دعم تشفير AES).
3. دعم 802.11q (القدرة على إرسال حركة المرور الموسومة).
3. دعم إدارة VLAN.
4. القدرة على تغيير قوة إشارة جهاز الإرسال اللاسلكي.
5. دعم QOS و 802.1 p (القدرة على تحديد أولويات حركة المرور).
6. القدرة على تحديد الحد الأقصى لعدد العملاء المتصلين بنقطة الوصول.
7. إدارة النقاط من خلال telnet / ssh / webGUI.
8.دعم مراقبة وإدارة نقطة الوصول عبر snmp.
9. القدرة على العمل في نقاط مركزية / مستقلة.
10. دعم اكتشاف LLDP.
11. تحتوي النقطة على سجل داخلي لأحداث النظام والقدرة على إرسال السجلات إلى خادم بعيد.
12. وجود محلل مرور داخلي عند النقطة (اختياري واختياري ولكنه موجود عند كلتا النقطتين).
13. وجود محلل الطيف والقدرة على اكتشاف نقاط الوصول التي تعمل بجانبه نقاط أخرى.
بعد التحقق من الوظيفة الرئيسية ، لن يكون من السيئ العثور على شيء مثير للاهتمام. من الضروري التحقق ليس فقط من وجود وظيفة معينة ، ولكن أيضًا من عدم وجود "زائدة عن الحاجة".
ندير nmap على النقطتين:
زيكسيل
ثم لم يظهر المنفذ الحادي والعشرون لبروتوكول نقل الملفات على الشاشة.
عند كلتا النقطتين ssh مفتوح ، وهو أمر جيد. على Ubiquiti ، فقط ssh ليس أكثر. المتشددين فقط. على Zyxel - ftp ، ssh ، http (مجموعة قياسية) وشيء غير معروف على 40713 / TCP.
كما اتضح لاحقًا ، هذه خدمة مركزية لإدارة نقاط الوصول (ليس فقط ، ولكن أيضًا بقية المعدات المتاحة) من خلال سحابة Nebula. بشكل عام ، أحببت ذلك أكثر من كاميرا الويب للنقطة نفسها. بعض لقطات الشاشة لفهمها تقريبًا (يتم تقليل المقياس على الأول بشكل كبير بحيث يناسب كل شيء):
لم يتم تحديد تسجيل الدخول وكلمة المرور الافتراضية لـ Zyxel في أي مكان في هذه النقطة ، لذلك استخدموا فقط قنديل البحر (أداة قياسية للوحشية في Kali linux). حصلنا على زوج من اسم المستخدم / كلمة المرور - "admin / 1234" ، ومن Ubiquiti نعرف بالفعل الشعارات القياسية في شكل "ubnt / ubnt".
اتضح أنه في هذه المرحلة لا يوجد خادم ويب. إطلاقا. إدارة فقط من خلال وحدة تحكم وأداة خاصة. المجلد / www فارغ ببساطة ولا شيء يدور على منفذ 80/8080. ولكن هنا على الأقل مشغول قياسي (ومجاني تمامًا في الأوامر) ، على عكس Zyxel. هناك خطوة إلى اليسار ، خطوة إلى اليمين - إعدام.
في كلتا النقطتين ، مرر ماسح ضعف (Nessus). لم يظهر أي شيء فوق الحرج. فيما يلي النتائج ووصف مفصل لما تم العثور عليه.
192.168.0.196 - زيكسيل
192.168.0.126 - Ubiquiti
Ubiquiti:
واحد وليس حرج. النظر - لم يجد أي شيء.
زيكسيل:
هنا أكثر إثارة للاهتمام ، باختصار: استخدام إصدارات قديمة غير آمنة من SSL ومجتمع snmp القياسي العام ، والذي يُقترح تغييره في الإعدادات على الفور ، عند بدء التشغيل.
تيك- تقبل الخدمة البعيدة الاتصالات المشفرة باستخدام SSL 2.0 و / أو SSL 3.0. تتأثر إصدارات SSL هذه بالعديد من أخطاء التشفير.
- لا يمكن الوثوق بشهادة خادم X.509. لم يتم توقيع سلسلة شهادات X.509 لهذه الخدمة من قبل مرجع مصدق معترف به. إذا كان المضيف البعيد مضيفًا عامًا ، فهذا يلغي استخدام SSL ، حيث يمكن لأي شخص إعداد رجل في الهجوم الأوسط ضد المضيف البعيد.
- لدى المضيف البعيد تمكين إعادة توجيه IP. يمكن للمهاجم استخدام هذا لتوجيه الحزم من خلال مضيف وربما تجاوز بعض جدران الحماية / أجهزة التوجيه / تصفية NAC.
- مجتمع snmp الافتراضي (عام).
- يستجيب البرنامج الخفي SNMP بمزيد من البيانات لطلب GETBULK بأكثر من القيمة العادية للتكرار الأقصى. يمكن لمهاجم بعيد استخدام خادم SNMP هذا للقيام بهجوم رفض الخدمة الموزع الموزع على مضيف بعيد عشوائي.
اختبار الحمل
أولاً ، دعنا ننظر إلى الشبكات حولها. سنلقي نظرة فقط على نطاق 5 غيغاهرتز. بالنسبة للمسح الضوئي ، استخدمت الاكريليك ، حيث يتم تشغيل النقاط نفسها واحدة تلو الأخرى ، حتى لا تتداخل مع بعضها البعض. بالإضافة إلى ذلك ، من أجل نقاء التجربة ، قمت أيضًا بإيقاف تشغيل محول الموجه.
ونتيجة لذلك ، اضطررت في وقت لاحق لإجراء المزيد من الاختبارات ، ولكن في مكان مختلف وأكثر سلامًا لأنه في الحالة الأولى ، تم نشر شبكة الشركة الخاصة بشخص ما من عدد كبير من النقاط ، على نطاق واسع جدًا من القنوات (يمكنك أن ترى في لقطات الشاشة أدناه ، والعديد منها لا يناسبها).
طاردت حركة المرور iperf ، في 5 مواضيع. اختبرت في البداية لمدة 60 دقيقة ، ولكن بعد ذلك أدركت أنها ليست غنية بالمعلومات تمامًا وتركت حمولة لمدة 4 ساعات.
ما جاء أدناه في المخربين:
Ubiquiti
القيمة القصوى: 300 ميجابت في الثانية (تقع على هذا السقف ولم تعد تصدر)
الحد الأدنى للقيمة: 228 ميجابت في الثانية
المتوسط: 296.5 ميجابت في الثانية
ج هو الاستقرار. اتصال جيد حتى طوال الوقت. هناك عمليات سحب قصيرة المدى ، لكنها غير ذات أهمية.
إحصائيات عن وقت العمل:
(وحدة المعالجة المركزية أصفر ، أزرق - ذاكرة + حركة مرور)
زيكسيل
القيمة القصوى: 584 ميجابت في الثانية
الحد الأدنى للقيمة: 324 ميجابت في الثانية
المتوسط: 426 ميجابت في الثانية
لكن حمل وحدة المعالجة المركزية فوجئ قليلاً:
في بداية الاختبار ، قفز الحمل إلى 91٪. لم ألاحظ أي مشاكل خاصة عند استخدام النقطة في هذه اللحظة: لم ترتفع النقطة ، ولم تتأخر كاميرا الويب ، ولم تكن هناك خسائر في الحزمة.
كان الاختبار لأقصى أداء ممكن ، وعلى الرغم من حقيقة أن هذا ليس حالة قياسية تمامًا ، عندما يتم دفع كمية كبيرة من حركة المرور على مدار فترة زمنية طويلة ، لدينا مثل هذه الحالة. (الوصول إلى الخوادم التي تحتوي على الكثير من البيانات لعملاء "الجوال") أعتقد أنه تم اجتياز الاختبار بنجاح. على أي حال ، تم طرح السؤال من قبل دعم Zyxel ونحن نتفاوض حاليًا حول هذا الموقف.
إحصائيات وحدة المعالجة المركزية / الذاكرة:
الملخص
تلخيصًا للنتيجة المتوسطة ، يمكنني القول أن نقطة Zyxel تبدو أكثر جاذبية بكثير من حيث الاستخدام للمهام التي نحتاجها. مع نطاق وظيفي متطابق نسبيًا ، سيكون الخيار دائمًا هو الاستقرار على مدى فترة زمنية طويلة ، وبالطبع الأداء.
لسوء الحظ ، من المستحيل تغطية كل شيء تمامًا بالاختبارات المعملية ، ومحاكاة جميع المواقف المحتملة التي قد تحدث في الإنتاج والتنبؤ بكل شيء. لذلك ، ستنتظر النقطتان بالتأكيد الاختبار الميداني في الشبكات في أقرب وقت ممكن لمواجهة الظروف.