بحثا عن زر "افعل جيدا". ZYXEL في شبكة الشركات الصغيرة والمتوسطة

محدث: برقية الدردشة لمناقشة المعدات ZYXELzyxelru tg.guru/zyxelru

أجهزة التوجيه Mikrotik أنيقة من وجهة نظر مهندس شبكة. إنها تسمح لك بإنشاء حلول شبكة معقدة بشكل لا يصدق. والمعدات تكلف أموالاً سخيفة.

ولكن بالنسبة للشركات الصغيرة والمتوسطة الحجم التي لا تتعلق بصناعة تكنولوجيا المعلومات ، من الصعب للغاية تثبيتها. لتكوين RouterOS بشكل صحيح ، يجب على رجل الأعمال استئجار مقاول متخصص في هذه المعدات ، أو تدريب مسؤول نظامه. في الحالة الأولى ، باهظة الثمن ، والثانية - لفترة طويلة ... ومرة ​​أخرى مكلفة.

أظهرت الثغرة الأمنية في WinBox ( CVE-2018-14847 ) أن عددًا قليلًا من الأشخاص قادرون على تكوين RouterOS بشكل صحيح. وأولئك الذين يقومون بإعداد تحديث البرامج الثابتة نادرًا للغاية. على الرغم من حقيقة أن أحدث إصدار ضعيف 6.42 قد تم إصداره في 20 أبريل 2018 ، فإن مقالي عن هبر أحدث ضجة في جميع أنحاء العالم ، إلا أن الأشخاص الذين اكتشفوا للتو أن جهاز التوجيه الخاص بهم قد تم اختراقه من خلال هذه الثغرة الأمنية يستمر في الكتابة إلي ...

القيمة مقابل المال لا يلعب Mikrotik دائمًا لصالح المستهلك. مهمتي: العثور على معدات الشبكة ، والتي بعد اجتياز "master" توفر الحد الأقصى من الوظائف لمكتب صغير يصل إلى 50 شخصًا. علاوة على ذلك ، واحدة من المعايير الرئيسية هي السلامة. بعد كل شيء ، على سبيل المثال ، ينبغي أن تشعر شركة النقل والإمداد بالقلق بشأن سرعة تسليم الطرود إلى العميل ، وليس شبكة السقوط ومحطة "التعليق".



جاء لي الاستعانة بمصادر خارجية لتوسيع مكتب صغير ، والذي طلب تثبيت شبكة بناءً على مجموعة أجهزة Zyxel: بوابة ATP 200 ونقطتي Wi-Fi ومفتاح للتحكم في PoE. لقد كانت التجربة مثيرة للاهتمام للغاية ، بالنظر إلى أنني أهمل دائمًا ZYXEL.


قبل أن أحصل على Zyxel بين ذراعي ، سألت آراء مسئولي الشبكات أصدقائي حول مدى ارتباطهم بهذا الجهاز:

"نحن لا نضعها في مراكز البيانات الخاصة بنا ، لأن هذا ليس قرارًا يتعلق بالشركات. لكن عملائنا وضعوا المقاولين. انها تعمل فقط ... تعيين ونسيان ".

السلامة

بالطبع ، لقد صعدت لمشاهدة CVE (نقاط الضعف الشائعة والتعرضات) .

CVE مسجلة لعام 2018:

→ دي لينك - dofiga
→ RouterOS - 6 نقاط الضعف التي لا تزال الفواق ....
→ سيسكو - أكثر من مد وصلة

حتى Eltex غير معروف من نوفوسيبيرسك لديه 5 نقاط الضعف.
ZYXEL 7 الشبكات الضعيفة .

سخرت ZYXEL مني بنقاط الضعف CVE-2018-9149 بأقصى تصنيف للمخاطر:

لا يستخدم جهاز Zyxel Multy X (نظام WiFi ثلاثي الموجات AC3000) آلية مناسبة لحماية UART. بعد قيام المهاجم بتفكيك الجهاز واستخدام كبل USB إلى UART لتوصيل الجهاز ، يمكنه استخدام كلمة المرور 1234 لحساب الجذر لتسجيل الدخول إلى النظام. علاوة على ذلك ، يمكن للمهاجم بدء تشغيل خدمة TELNET الخاصة بالجهاز باعتبارها مستتر.

تذكر على الفور لقطات من مسلحي التجسس المفضلين لديك ، حيث تقوم الشخصية الرئيسية / الشرير باختراق القاعدة بحبل والتشبث بصندوق بأسلاك لإيقاف / إطلاق الصواريخ النووية التي تهدف إلى ... * فكر بنفسك * .

وهذا يعني أنه لاستغلال هذه الثغرة الأمنية ، من الضروري للمهاجم الاتصال بنقطة Wi-Fi فعليًا باستخدام كابل USB-to-UART خاص !


ليس لدي أي أسئلة حول موثوقية ZYXEL CVE.

تفريغ

لقد حان الصناديق ، ولا تزال الجدران مطلية. فك في المنزل.



إنطباعي الأول هو الوزن! يزن 200 ATP 1.4 كجم لصغر حجمه (272 × 36 × 187 مم). نقاط الوصول أثقل بشكل ملحوظ من Ubiquiti.

لم تكن هناك امدادات الطاقة في الصناديق المنقطة. يتم تشغيل هذه المعدات مع التثبيت المناسب بواسطة PoE. تم شراء المفتاح المدار GS1200-5HP لهذا الغرض.

إدراج الأولى

قمت بتوصيل ATP200 بجهاز الكمبيوتر المحمول بواسطة كابل عبر منفذ P4 (من الشبكة المحلية) من البوابة. في wan1 قمت بتوصيل الإنترنت السلكي ، وفي USB1 E3272 مع البرامج الثابتة Hi-Link وفي USB2 هاتفي الذي يعمل بنظام Android في وضع "مودم USB". تحميلها لمدة دقيقة تقريبا. كذلك على "البداية السريعة" صعدت على 192.168.1.1. هنا أول مشكلة تنتظرني. يعمل Webmord على SSLv3 ، والذي يتم إيقاف تشغيله على المتصفحات الحديثة. نحن تشمل:



عند تسجيل الدخول لأول مرة ، يمنعك ذلك من الانتقال إلى الخطوة التالية دون تغيير كلمة المرور الخاصة بك ، على عكس RouterOS. بعد ذلك ، يبدأ "المعالج" ، حيث أشرت إلى أنني أريد استخدام wan المنفذ الثاني (p3). لم ير "السيد" أي أجهزة إضافية.


الخدمات تركت أيضا بشكل افتراضي.



نظرًا لأن لدي نقاط لاسلكية ، أقوم بتشغيل وحدة التحكم في WiFi على الفور:


ميزة إضافية أخرى في أمان: يتم إيقاف تشغيل الوظيفة البالغة الخطورة افتراضيًا:



نحن نعيد تسجيل الدخول ويصل على الفور إشعار حول البرنامج الثابت الجديد.


هذا كل شئ! كمبيوتر محمول يتصفح الإنترنت! صحيح ، فقط من خلال منفذ wan1.

قناة احتياطية

نصل إلى التكوين لإضافة مودم USB وهاتف Android إلى مجموعة منافذ WAN. في "التهيئة → واجهات" يصبح مودم Hi-link فقط نشطًا. بقي Androidphone غير معروف.



في خصائص الاتصال ، يمكنك ضبط فحص القناة عن طريق:


وقم أيضًا بتعيين معلمات اتصال محدود ، على سبيل المثال ، وفقًا لكمية الحركة ، إذا كان المشغل قد حدها.


بعد ذلك ، نحتاج إلى السماح بالإفراج عن العملاء من خلال هذا المودم. لقد جعلتها مكافئة للقناة التي علقت فيها wan1:



انقر فوق "تطبيق" أدناه وهذا كل شيء! سوف تمر الشبكة بالكامل عبر قناتين في وقت واحد.

توصيل واي فاي

إنه أكثر تعقيدًا قليلاً هنا.

تحرير ملف تعريف الأمان.

التكوين ← كائنات ← ملفات تعريف نقطة الوصول ← SSID ← قائمة ملفات تعريف الأمان. حدد ملف التعريف الافتراضي وانقر فوق "تحرير":



نحدد wpa2 وأقل بقليل من مفتاح الشبكة.



احفظ وانتقل إلى علامة التبويب التالية "قائمة SSID". نقوم بتحرير الملف الشخصي "الافتراضي" من خلال تحديد اسم وجهة نظرنا.



قمنا بتحرير الإعدادات للنقاط الافتراضية لأنفسنا.

الآن نسمح بتسجيل نقاط "فارغة" تلقائيًا.


نقوم بتضمين نقاط في مفتاح PoE. يتم تضمين التبديل في منفذ الشبكة المحلية (P4-P7). و ... وهذا كل شيء. يتم اكتشاف النقاط تلقائيًا ويتم تحميل التهيئة عليها.



قم بإيقاف تشغيل النقاط الإضافية التلقائية. بالإضافة إلى السلامة في الكرمة.



انقر فوق "تطبيق" واستمتع بالشبكة الجديدة.

ما التالي؟

نحن نذهب في عمق السلامة. عاشت الشبكة ، محمية من الخارج والداخل! القانون الذي لا غنى عنه لمشرف مكتب جيد هو أن تترك فقط سوليتير سوليتير من كل الملاهي!



أنا حقا أحب ميزة دورية التطبيق. لا حاجة إلى عناء كتابة تعليمات regex لتصفية L7 ، كما هو الحال في Mikrotik. إنه بالفعل هناك. من الضروري فقط إضافة إلى السياسة ، وهذا كل شيء.

حظر الرسائل الفورية أو الألعاب عبر الإنترنت أو الشبكات الاجتماعية دون عرق ودم ودمع لمدراء الشباب.



تشبه لوحة القيادة حب معظم الرؤساء: مع الصور والرسوم البيانية. يمكنك أن ترى أين تذهب المكالمات في معظم الأحيان ، وما هو المحظور وكم ، وما إلى ذلك.



لدى Zyxel نظام سديم للإدارة المركزية ، مدعوم بنقاط Wi-Fi الصادرة لي. للوهلة الأولى ، إنه SDN ، الذي يتم تنفيذه بنشاط في مراكز البيانات الكبيرة. ولكن هذا الموضوع هو مقال آخر :-)

وبعد ذلك ، وجد الكمبيوتر المحمول الموجود على المساحات المفتوحة للشبكة العالمية تعليمات تحتوي على أكثر من 800 صفحة وبنفس الكمية من الكتيب .

التراخيص

من المحزن أن ترخيص قواعد بيانات التوقيع المحدثة ليس بلا نهاية ، وبعد أول تنشيط للبوابة ، يتم تحديث التواقيع في غضون عام. بعد ذلك ، تحتاج إلى تجديد اشتراكك.

تبلغ تكلفة الاشتراك السنوي في الذهب 38،600 روبل ، والفضة تكلف 29000.



هناك مسألة فائدة في كل حالة. على سبيل المثال ، مع ATP200 ، حافظ على مسؤول ضعيف لمدة 30 ألف شهريًا واشترِ ترخيصًا بقيمة 40 ألف سنويًا ، أو استخدم Mikrotik مع الإضافة. الخادم (بالقرب من Surikatu) والحفاظ على المسؤول "الملتحي" لمدة 80K شهريا.

الخاتمة

بالنسبة لي ، مزايا الغدد ZYXEL التي صادفتها:

• سهولة الإعداد ؛
• عدم وجود "عكازات" للقيام بمهام نموذجية ؛
• وظيفة ضرورية لمكتب في قطعة واحدة من الحديد ؛
• بساطة إعدادات الأمان ؛
• شرط لتعيين كلمة مرور.

وظيفة بوابة ZYXEL ATP200 واسعة للغاية. علاوة على ذلك ، يتم تنفيذ الكثير في قطعة واحدة من الأجهزة ، وليس من الضروري حظر بنية معقدة ، مثل Mikrotik + Suricata .

مرة أخرى ، يتم نشر الوظيفة الأساسية بسهولة وفي وقت قصير.

بالطبع ، هناك أيضا عيوب. تحتاج إلى التعود على منطق التكوين. يعرف ATP200 بعض بروتوكولات الأنفاق ؛ على سبيل المثال ، لا يناسب إعادة توجيه نفق SSTP.
يجب اختيار أي معدات لمهام محددة.

التدريب على العمل مع معدات Zyxel (ZCNA) أرخص من المنافسين - 15000 روبل! MTCNA الرسمي - من 22000 روبل. من المؤكد أن سيسكو خارج المنافسة - سواء من حيث مجموعة متنوعة من الدورات أو من حيث التكلفة ، تقترب من تفاصيل الطائرة.

نظرًا لأنه لا يمكن لأي شخص على Habré التعليق ، ولم أجد دردشة ZYXEL صالحة في Telegram ، فقد أنشأت zyxelru . أدعوكم لمناقشة الحالات والإعدادات والحيل الأخرى لاستخدام معدات Zyxel ، فضلاً عن أفكار لمقالات جديدة حول Habr لسلسلة "بحثًا عن زر" Do Well "."