UPD: Telegram chat para hablar sobre el equipo Zyxel
@zyxelru tg.guru/zyxelru
Los enrutadores Mikrotik son elegantes desde el punto de vista de un ingeniero de redes. Le permiten crear soluciones de red increíblemente complejas. Y el equipo cuesta dinero ridículo.
Pero para las pequeñas y medianas empresas que no están relacionadas con la industria de TI, es extremadamente difícil de instalar. Para configurar correctamente RouterOS, un empresario debe contratar a un contratista que se especialice en este equipo o capacitar a su administrador del sistema. En el primer caso, caro, el segundo, durante mucho tiempo ... y de nuevo caro.
La vulnerabilidad en WinBox (
CVE-2018-14847 ) mostró que pocas personas pueden configurar correctamente RouterOS. Y aquellos que configuran el firmware de actualización extremadamente rara vez. A pesar de que la última versión vulnerable 6.42 se lanzó el 20 de abril de 2018,
mi artículo sobre Habr hizo ruido en
todo el mundo , las personas que
acaban de descubrir que su enrutador ha sido pirateado a través de esta vulnerabilidad continúan escribiéndome ...
Relación calidad-precio Mikrotik no siempre juega a favor del consumidor. Mi tarea: encontrar equipos de red, que después de pasar el "maestro" proporciona la máxima funcionalidad para una pequeña oficina de hasta 50 personas. Además, uno de los criterios principales es la seguridad. De hecho, por ejemplo, la empresa de logística debería estar preocupada por la velocidad de entrega del paquete al cliente, y no por la caída de la red y el terminal "colgado".
Outsourcing me llegó a una pequeña oficina en expansión, que ordenó la instalación de una red basada en un kit de hardware Zyxel: puerta de enlace ATP 200, dos puntos de Wi-Fi y un interruptor controlado por PoE. La experiencia resultó ser bastante interesante, dado que siempre he descuidado Zyxel.
Keenetic no zyxelComo sé, Keenetic apareció como un firmware personalizado para enrutadores Zyxel, del cual la compañía se hizo cargo. En 2016, Keenetic se separó de Zyxel y comenzó a producir su propio equipo.
Así que ahora Keenetic no tiene nada que ver con Zyxel.
Antes de tener Zyxel en mis brazos, pregunté las opiniones de mis amigos en la red cómo se relacionan con este equipo:
“No lo ponemos en nuestros centros de datos, porque esta no es una decisión empresarial. Pero nuestros clientes ponen contratistas. Simplemente funciona ... Establecer y olvidar ".
Seguridad
Por supuesto, subí para ver
CVE (Vulnerabilidades y exposiciones comunes) registradas.
CVE registrado para 2018:
→
D-Link - dofiga→
RouterOS - 6 vulnerabilidades de las cuales todavía tiene hipo ...→
Cisco: más que D-linkIncluso el poco conocido
Eltex de Novosibirsk tiene 5 vulnerabilidades.
Zyxel 7 redes vulnerables .
Zyxel me divirtió con la vulnerabilidad CVE-2018-9149 con una clasificación de peligro máxima:
El dispositivo Zyxel Multy X (sistema WiFi de tres bandas AC3000) no utiliza un mecanismo adecuado para proteger el UART. Después de que un atacante desmantela el dispositivo y usa un cable USB a UART para conectar el dispositivo, puede usar la contraseña 1234 de la cuenta raíz para iniciar sesión en el sistema. Además, un atacante puede iniciar el servicio TELNET del dispositivo como una puerta trasera.
Inmediatamente recuerda imágenes de tus militantes espías favoritos, donde el personaje principal / villano penetra en la base por una cuerda y se aferra a una caja con cableado para detener / lanzar misiles nucleares destinados a ...
* pensar por ti mismo * .
Es decir, para aprovechar esta vulnerabilidad, ¡es necesario que un atacante se conecte
físicamente a un punto de Wi-Fi utilizando un
cable especial de
USB a UART !
No tengo preguntas sobre la confiabilidad CVE de Zyxel.
Desempacando
Han llegado cajas y las paredes todavía están pintadas. Desempacar en casa.
¡Mi primera impresión es el peso! El ATP 200 pesa 1,4 kg por su pequeño tamaño (272x36x187 mm). Los puntos de acceso también son notablemente más pesados que Ubiquiti.
No había fuentes de alimentación en las cajas punteadas. Dichos equipos con una instalación adecuada funcionan con PoE. El interruptor gestionado GS1200-5HP se compró para esto.
Primera inclusión
Conecté el ATP200 a la computadora portátil con un cable a través del puerto P4 (desde lan) de la puerta de enlace. En wan1 conecté Internet por cable, en USB1 E3272 con firmware Hi-Link y en USB2 mi teléfono Android en el modo "USB modem". Se cargó durante aproximadamente un minuto. Más adelante en "Inicio rápido" subí a 192.168.1.1. Aquí me esperaba el primer problema. Webmord funciona en SSLv3, que está desactivado en los navegadores modernos. Incluimos:
Cuando inicia sesión por primera vez, le impide pasar al siguiente paso sin cambiar su contraseña, a diferencia de RouterOS. A continuación, se inicia el "asistente", en el que indiqué que quiero usar el segundo puerto wan (p3). El "maestro" no vio ningún dispositivo adicional.
Servicios abandonados también por defecto.
Como tengo puntos inalámbricos, enciendo el controlador WiFi de inmediato:
Otra ventaja en seguridad: la función extremadamente peligrosa está desactivada por defecto:
Volvemos a iniciar sesión y llega de inmediato una notificación sobre un nuevo firmware.
Eso es todo! ¡Una computadora portátil navega por Internet! Es cierto, solo a través del puerto wan1.
Canal de respaldo
Subimos a la configuración para agregar un módem USB y un teléfono Android al grupo de puertos WAN. En “Configuración → Interfaces” solo se activa el módem Hi-link. El teléfono Android no ha sido reconocido.
En las propiedades de conexión, puede establecer la verificación del canal de la siguiente manera:
icmp o tcp a la dirección de la puerta de enlace o especificada específicamente y también establece los parámetros de una conexión limitada, por ejemplo, de acuerdo con la cantidad de tráfico, si el operador la ha limitado.
A continuación, debemos permitir la liberación de clientes a través de este módem. Lo hice equivalente al canal que puse en wan1:
Haga clic en "aplicar" a continuación y listo. Toda la red pasará por dos canales a la vez.
Conectar wifi
Es un poco más complicado aquí.
Edición de un perfil de seguridad.
Configuración → Objetos → Perfiles de punto de acceso → SSID → Lista de perfiles de seguridad. Seleccione el perfil predeterminado y haga clic en "Editar":
Especificamos wpa2 y justo debajo de la clave de red.
Guarde y vaya a la siguiente pestaña "Lista de SSID". Editamos el perfil "predeterminado" estableciendo el nombre de nuestro punto.
Hemos editado la configuración de los puntos predeterminados para nosotros mismos.
Ahora permitimos registrar automáticamente los puntos "vacíos".
Por supuesto, para facilitar el proceso de instalación. Incluimos puntos en el interruptor PoE. El conmutador está incluido en el puerto lan (p4-p7). Y ... Y eso es todo. Los puntos se detectan automáticamente y se carga una configuración en ellos.
Desactiva los puntos de ajuste automáticos. Además en el karma de seguridad.
Haga clic en "aplicar" y disfrute de la nueva red.
Que sigue
Nos adentramos en la seguridad. ¡Viva la red, protegida tanto por fuera como por dentro! ¡La ley indispensable de un buen administrador de oficina es dejar solo el solitario solitario de todas las diversiones!
Realmente me gustó la función de patrulla de la aplicación. No es necesario molestarse en escribir instrucciones de expresiones regulares para filtrar L7, como en Mikrotik. Ya esta ahi. Solo es necesario agregar a la política, y eso es todo.
Bloqueo de mensajeros instantáneos, juegos en línea o redes sociales sin sudor, sangre y lágrimas de los administradores jóvenes.
Un tablero es como a la mayoría de los jefes les encanta: con imágenes y gráficos. Puede ver a dónde van las llamadas con mayor frecuencia, qué está bloqueado y cuánto, etc.
Zyxel tiene un sistema de gestión central Nebula, que es compatible con los puntos de Wi-Fi que se me otorgan. A primera vista, es
SDN , que se está implementando activamente en grandes centros de datos. Pero este tema es otro artículo :-)
Y luego, la computadora portátil en los espacios abiertos de la red global ya ha encontrado
instrucciones con más de 800 páginas y aproximadamente la misma cantidad de
manual .
Licencias
Lamentablemente, la licencia para las bases de datos de firmas actualizadas no es interminable, y después de la primera activación de la puerta de enlace, las firmas se actualizan dentro de un año. A continuación, debe renovar su suscripción.
Una suscripción anual de oro cuesta 38,600 rublos y plata cuesta 29,000.
Hay una cuestión de beneficio en cada caso. Por ejemplo, con ATP200 mantenga un administrador débil por 30k por mes y compre una licencia por 40k por año, o use Mikrotik con add. servidor (cerca de Surikatu) y mantener un administrador "barbudo" por 80k por mes.
Conclusión
Para mí, las ventajas de las glándulas Zyxel que encontré:
- facilidad de instalación;
- falta de "muletas" para tareas típicas;
- funcionalidad necesaria para una oficina en una sola pieza de hierro;
- simplicidad de la configuración de seguridad;
- requisito para establecer una CONTRASEÑA.
La funcionalidad de la puerta de enlace Zyxel ATP200 es bastante extensa. Además, mucho se implementa en una sola pieza de hardware, y no es necesario bloquear una estructura compleja, como
Mikrotik + Suricata .
Nuevamente, la funcionalidad básica se implementa fácilmente y en poco tiempo.
Por supuesto, también hay desventajas. Necesita acostumbrarse a la lógica de configuración. ATP200 conoce pocos protocolos de tunelización; por ejemplo, no es adecuado para reenviar un túnel SSTP.
Cualquier equipo debe seleccionarse para tareas específicas.
La capacitación para trabajar con equipos Zyxel (ZCNA) es más barata que la competencia: ¡15,000 rublos! MTCNA oficial: desde 22,000 rublos. Cisco ciertamente está fuera de competencia, tanto en términos de variedad de cursos como en términos de costo, al acercarse a los detalles de un avión.
Debido al hecho de que no todos en Habré pueden comentar, y no encontré un chat válido de Zyxel en Telegram, creé
@zyxelru . Los invito a discutir casos, configuraciones y otros trucos del uso del equipo Zyxel, así como ideas para nuevos artículos sobre el Habr para la serie "En busca del botón" Hacer bien ".