Para quienes eligen un firewall

Introduccion

Érase una vez, los momentos en que el único medio de proteger el perímetro de la red podría ser un enrutador de una computadora vieja con algún tipo de sistema operativo gratuito tipo UNIX, por ejemplo, FreeBSD y un firewall regular.

Hoy en día, los administradores de sistemas tienen acceso a numerosas distribuciones especializadas para la instalación en el servidor, así como a sistemas de hardware y software listos para usar.

El desarrollo de la oferta y la demanda ha llevado a una mayor especialización.

Anteriormente, organizar el acceso a la red y garantizar la seguridad era asunto de los gurús elegidos, ahora la cantidad de puntos con acceso a Internet crece día a día, y cualquier estudiante puede conectar una puerta de enlace, enrutador, punto de acceso y comenzar a distribuir el tráfico dentro de la red.

Las amenazas de red también han cambiado. Ahora el principal peligro no son los piratas informáticos de la "vieja escuela", sino las infecciones masivas con nuevos tipos de virus y troyanos. Al preparar los ataques, los atacantes pueden usar recursos de terceros, por ejemplo, botnets pre-creadas (redes zombies) para enviar spam, organizar ataques DDOS, etc.

Pero eso no es todo. Con el desarrollo de la red, no solo el nivel de seguridad en el remitente y el destinatario juega un papel importante, sino cómo se transmite la información: de qué forma, en qué ruta, etc.

Si deja estas preguntas sin respuesta, tendrá que responder otras preguntas, por ejemplo: "¿A dónde se fue el dinero de la cuenta?", "¿Cómo se enteraron de esto?" y "¿Cuándo al final funciona algo?"

Ahora necesita saber exactamente de qué y qué estamos protegiendo y qué herramienta es mejor elegir.

Qué ofrece Zyxel: separación específica

Hay dos áreas principales que requieren protección:

1. Acceso a recursos de terceros y acceso de usuarios de terceros a empresas (por ejemplo, a un sitio web). Estas soluciones se pueden compartir con recursos en la nube en las puertas de enlace de la serie ZyWALL ATP de Zyxel y en la serie USG completamente cerrada.
2. La interconexión de nodos individuales, por ejemplo, sucursales con un centro o individuos con un empleador. Esto generalmente se hace utilizando canales de comunicación VPN privados virtuales y la serie Zyxel ZyWALL VPN es adecuada aquí.

Tabla 1. Clasificación de Zyxel ZyWALL VPN, USG y ZyWALL ATP Series Gateways.

Nota También hay una familia de puertas de enlace Zyxel que no cubriremos en este capítulo. Estos son dispositivos habilitados para la nube Zyxel Nebula. Pero como "es imposible comprender la inmensidad", ahora nos concentraremos en la versión clásica de dispositivos con control local.

Cabe señalar que a pesar de las diferencias, hay algunas características comunes. Entre cada una de las áreas podemos identificar soluciones para grandes empresas y pequeñas organizaciones. Esto impone algunas características de diseño.


Figura 1. Gateway para uso empresarial de la USG2200-VPN .

Por ejemplo, algunos modelos de pequeñas empresas tienen módulos WiFi integrados para usar como puntos de acceso inalámbrico.


Figura 2. Puerta de enlace para proteger redes en pequeñas organizaciones USG60W.

Dado que las funciones de las tres áreas se superponen parcialmente, hablaremos sobre el alcance recomendado.

Por supuesto, si intenta construir una conexión VPN en la puerta de enlace de USG, o usa una VPN para proteger la red, entonces no sucederá nada malo, pero no será demasiado efectivo.

Por lo tanto, antes de pasar a las características para cada dirección, será útil estudiar sus características comunes.

El que está advertido está armado.
El portal OneSecurity.com se utiliza como un único alojamiento para información operativa. Este recurso especial contiene boletines operativos y recomendaciones sobre las amenazas de seguridad actuales. OneSecurity ofrece la información y las recomendaciones más recientes para mejorar la seguridad de la red. Esto ayuda a las empresas y a los profesionales de TI a proteger sus redes, a pesar del creciente número de amenazas.

Para mayor comodidad, el acceso a este portal está integrado en la interfaz gráfica de la serie USG y los productos de la serie ZyWALL VPN. Se busca información y recursos con un solo clic en la consola GUI de estos productos. Gracias a este enfoque, puede conocer rápida y fácilmente las amenazas actuales y cómo eliminarlas. El material se presenta en forma de un formato de preguntas frecuentes bien establecido (Preguntas frecuentes). Esto le permite tomar todas las medidas necesarias de manera oportuna para protegerse contra las amenazas identificadas.

Filtrado de contenido
El filtrado de contenido se utiliza para bloquear el acceso a sitios web peligrosos y no convencionales. La nueva versión lanzada recientemente de Content Filtering 2.0 incluye mejoras en el filtro de dominio HTTPS, el navegador SafeSearch y las funciones de seguridad de bloqueo de IP geográfico para mejorar la seguridad de su conexión web.

Actualización rápida y segura
Esta característica también es común a las tres áreas.
Para facilitar la búsqueda de la actualización de firmware necesaria (Firmware) de la versión requerida, se utiliza el nuevo servicio Cloud Helper, que proporciona información sobre las últimas versiones de firmware.

La última versión está disponible inmediatamente después del lanzamiento oficial, lo que garantiza su autenticidad y fiabilidad.

Serie Zyxel ZyWALL VPN

Área de uso recomendada: conexión VPN segura y confiable
El objetivo principal es el túnel de tráfico utilizando el algoritmo de cifrado seguro Algoritmo de hash seguro 2 (SHA-2).

Con ZyWALL VPN 50/100/300, puede implementar un intercambio de datos seguro y de alta velocidad entre servidores locales, dispositivos remotos y aplicaciones implementadas en la nube.


Figura 3. Puerta de enlace para establecer conexiones VPN ZyWALL VPN300 confiables.

Por separado, vale la pena señalar el soporte para la conmutación por error y el respaldo de la función WAN dual. Debido a la presencia de dos conexiones WAN, una de las cuales se usa como la principal y la segunda copia de seguridad, en caso de falla de la conexión primaria, Zyxel VPN Firewall cambia automáticamente a la copia de seguridad.

La serie VPN de ZyWALL también utiliza la función de equilibrio de carga / conmutación por error de múltiples WAN y es totalmente compatible con módems USB de redes celulares de la lista de equipos compatibles que se pueden utilizar para reservar conexiones WAN.
Para crear canales con requisitos de alta confiabilidad, la serie ZyWALL VPN proporciona un modo operativo como parte de un clúster a prueba de fallas (alta disponibilidad, HA) en modo activo-pasivo.

La serie ZyWALL VPN admite el equilibrio de carga IPSec y la conmutación por error, lo que proporciona tolerancia a fallas adicional para cambiar las VPN críticas para el negocio al implementar la interfaz VTI.

Funciones VPN compatibles y más :

• Conexión VPN con IPSec VPN función equilibrio de carga y conmutación por error entre ubicaciones.
• Acceso remoto mediante SSL, IPSec y L2TP sobre IPSec VPN.
• Una puerta de enlace ubicada en la oficina central de la VPN también puede establecer una conexión VPN IPSec con la nube Amazon VPC para un acceso seguro a varias aplicaciones en la nube y expandir la red corporativa conectando recursos de la nube a esta. Esto se puede usar tanto a través de la interfaz gráfica como a través de la interfaz de línea de comando (CLI)
• Management Hotspot Management (que comienza con VPN100): proporciona acceso a Internet, por ejemplo, para visitantes de cafeterías, restaurantes, huéspedes de hoteles, etc. Puede proporcionar diferentes niveles de servicio, mantener un registro de eventos de acuerdo con los requisitos de la ley.
• Gracias a la integración del servicio Wi-Fi de Facebook en el servicio ZyWALL VPN, las pequeñas tiendas y restaurantes no solo pueden proporcionar a sus visitantes acceso a Internet, sino que también mejoran su popularidad con Facebook.
• Un controlador de punto de acceso integrado proporciona una gestión centralizada para una implementación inalámbrica flexible. La función de controlador AP en la serie ZyWALL VPN le permite administrar de forma centralizada múltiples puntos de acceso utilizando una única interfaz de usuario. Esta característica facilita la implementación y el mantenimiento de la red WiFi de una empresa.
• Conectividad VPN de IPSec de sitio a sitio.
• IPSec VPN HA Failover Cluster (equilibrio de carga y failover) para conexiones VPN de alta disponibilidad.
• Organice el acceso seguro a los recursos internos utilizando SSL, IPSec y L2TP sobre IPSec VPN.
• Conexión USG / ZyWALL a través del canal VPN IPSec con Microsoft Azure para un acceso seguro a varias aplicaciones en la nube.

Para organizaciones más grandes, las puertas de enlace más potentes son más adecuadas, como USG110 / 210/310, que tienen un hardware más potente, pueden admitir una mayor cantidad de conexiones, etc.

Vale la pena señalar que este dispositivo funciona según el principio de "Llevo todo conmigo". Aquí y VPN, y un buen nivel de protección y límite de ancho de banda.

Pero si necesita centrarse específicamente en las funciones de seguridad, es mejor utilizar las puertas de enlace de la serie Zyxel ZyWALL ATP con soporte frente al servicio en la nube Zyxel Cloud.

Serie Zyxel ZyWall ATP

Uso recomendado: protección mejorada contra malware y optimización de aplicaciones

Lo más destacado de esta familia de puertas de enlace seguras se puede llamar atraer recursos de la nube para elevar el nivel de protección.

Los recursos de una, incluso la puerta de enlace más poderosa, no son suficientes para analizar y diagnosticar muchas amenazas entrantes.

Por lo tanto, atraer recursos de nube adicionales dentro del marco de acceso cifrado seguro parece ser un paso muy justificado.

Atencion Zyxel Cloud no participa en el intercambio de información entre la puerta de enlace segura y el acceso externo. Es decir, el tráfico no lo atraviesa. El recurso en la nube se usa principalmente para el intercambio rápido de información sobre vulnerabilidades, así como los resultados de la verificación adicional de objetos sospechosos, por ejemplo, como parte del sandbox (Sandboxing).

En general, la familia de funciones Zyxel ZyWall ATP es similar al Zyxel USG revisado previamente, pero el soporte para mecanismos en la nube mejora significativamente servicios como la protección antivirus, que siempre carece de recursos.


Figura 4. Puerta de enlace habilitada en la nube para proteger la red ATP200.

Las siguientes son algunas características distintivas que son específicas de las puertas de enlace de esta serie: Zyxel ZyWall ATP.

Zyxel Cloud Machine Learning
Zyxel Cloud identifica archivos desconocidos en todos los firewalls ATP, recopila resultados en una base de datos y envía actualizaciones diariamente a todas las puertas de enlace de la familia ATP. Esto le permite recopilar conocimientos sobre nuevas amenazas y desarrollar el sistema mediante el aprendizaje automático. Por lo tanto, el entorno de la nube "aprende" a resistir nuevos ataques.

Sandboxing - Sandboxing
Este es un entorno aislado basado en la nube donde se colocan archivos sospechosos para identificar nuevos tipos de código malicioso, incluido el método de inicio. Lo que el antivirus no puede detectar se manifiesta en Sandbox.

Conclusión

Por supuesto, en un pequeño artículo es imposible describir la amplia gama de posibilidades que están disponibles para las pasarelas de seguridad modernas de Zyxel.
Para obtener más información, lea nuestro blog sobre Habr, los materiales en el sitio web de Zyxel y, por supuesto, la documentación del producto.

Fuentes

[1] Creación de un sistema de protección antivirus ampliado para una pequeña empresa. Parte 1. Elegir una estrategia y solución.
[2] Creación de un sistema de protección antivirus ampliado para una pequeña empresa. Parte 2. Puerta de enlace antivirus ZyWall USG40W de Zyxel.
[3] Creación de un sistema de protección antivirus ampliado para una pequeña empresa. Parte 3
[4] Desayuna tú mismo, comparte tu trabajo con la nube.
[5] Una página en el sitio web oficial de Zyxel dedicada a los firewalls.