Pour ceux qui choisissent un pare-feu

Présentation

Il était une fois, les jours où le seul moyen de protéger le périmètre du réseau pouvait être un routeur à partir d'un vieil ordinateur avec un système d'exploitation de type UNIX gratuit, par exemple FreeBSD et un pare-feu normal.

Aujourd'hui, les administrateurs système ont accès à de nombreuses distributions spécialisées à installer sur le serveur, ainsi qu'à des systèmes logiciels et matériels prêts à l'emploi.

Le développement de l'offre et de la demande a conduit à une spécialisation accrue.

Auparavant, organiser les accès au réseau et assurer la sécurité était l'affaire des gourous choisis.Aujourd'hui, le nombre de points avec accès à Internet augmente de jour en jour, et tout étudiant peut connecter une passerelle, un routeur, un point d'accès et commencer à distribuer le trafic au sein du réseau.

Les menaces réseau ont également changé. Maintenant, le principal danger n'est pas les pirates de la «vieille école», mais les infections de masse avec de nouveaux types de virus et de chevaux de Troie. Lors de la préparation d'attaques, les attaquants peuvent utiliser des ressources tierces, par exemple, des réseaux de zombies pré-créés (réseaux zombies) pour envoyer du spam, organiser des attaques DDOS, etc.

Mais ce n'est pas tout. Avec le développement du réseau, non seulement le niveau de sécurité de l'expéditeur et du récepteur joue un rôle de plus en plus important, mais la façon dont les informations sont transmises: sous quelle forme, sur quelle route, etc.

Si vous laissez ces questions sans réponse, vous devrez répondre à d'autres questions, par exemple: "Où est passé l'argent du compte?", "Comment ont-ils découvert cela?" et "Quand à la fin quelque chose fonctionne-t-il?!"

Vous devez maintenant savoir exactement de quoi et de quoi nous protégeons et quel outil est préférable de choisir.

Ce que Zyxel offre: Séparation spécifique

Il existe deux principaux domaines qui nécessitent une protection:

1. Accès à des ressources tierces et accès d'utilisateurs tiers à des ressources d'entreprise (par exemple, à un site Web). Ces solutions peuvent être partagées avec l'utilisation de ressources cloud dans les passerelles de la série Zyxel ZyWALL ATP et la série USG entièrement fermée.
2. L'interconnexion de nœuds individuels, par exemple, des succursales avec un centre ou des individus avec un employeur. Cela se fait généralement à l'aide de canaux de communication VPN privés virtuels et la série VPN Zyxel ZyWALL convient ici.

Tableau 1. Classification des passerelles Zyxel ZyWALL VPN, USG et ZyWALL ATP.

Remarque Il existe également une famille de passerelles Zyxel que nous ne couvrirons pas dans ce chapitre. Ce sont des appareils compatibles avec le cloud Zyxel Nebula. Mais comme «il est impossible de saisir l'immensité», nous allons maintenant nous concentrer sur la version classique des appareils avec contrôle local.

Il convient de noter qu'en dépit des différences, il existe certaines caractéristiques communes. Parmi chacun des domaines, nous pouvons distinguer des solutions pour les grandes entreprises et les petites organisations. Cela impose certaines fonctionnalités de conception.


Figure 1. Passerelle pour une utilisation en entreprise du VPN USG2200 .

Par exemple, certains modèles de petites entreprises ont des modules WiFi intégrés à utiliser comme points d'accès sans fil.


Figure 2. Passerelle pour sécuriser les réseaux dans les petites organisations USG60W.

Étant donné que les fonctions des trois domaines se chevauchent partiellement, nous parlerons de la portée recommandée.

Bien sûr, si vous essayez de créer une connexion VPN sur la passerelle USG, ou utilisez un VPN pour protéger le réseau, rien de mauvais ne se produira, mais ce ne sera pas trop efficace.

Par conséquent, avant de passer aux caractéristiques de chaque direction, il sera utile d'étudier leurs caractéristiques communes.

Celui qui est averti est armé
Le portail OneSecurity.com est utilisé comme un hébergement unique pour les informations opérationnelles. Cette ressource spéciale contient des bulletins opérationnels et des recommandations concernant les menaces de sécurité actuelles. OneSecurity offre les dernières informations et recommandations pour améliorer la sécurité du réseau. Cela aide les entreprises et les professionnels de l'informatique à sécuriser leurs réseaux, malgré le nombre croissant de menaces.

Pour plus de commodité, l'accès à ce portail est intégré à l'interface graphique des produits de la série USG et de la série ZyWALL VPN. Les informations et les ressources sont recherchées en un clic dans la console GUI de ces produits. Grâce à cette approche, vous pouvez découvrir rapidement et facilement les menaces actuelles et comment les éliminer. Le matériel est présenté sous la forme d'un format de FAQ bien établi (Foire aux questions). Cela vous permet de prendre toutes les mesures nécessaires en temps opportun pour vous protéger contre les menaces identifiées.

Filtrage de contenu
Le filtrage de contenu est utilisé pour bloquer l'accès aux sites Web dangereux et non traditionnels. La nouvelle version récemment publiée de Content Filtering 2.0 comprend des améliorations des fonctionnalités de sécurité du filtre de domaine HTTPS, du navigateur SafeSearch et du blocage IP géographique pour améliorer la sécurité de votre connexion Web.

Mise à jour rapide et sécurisée
Cette fonctionnalité est également commune aux trois domaines.
Pour faciliter la recherche de la mise à jour du micrologiciel nécessaire (micrologiciel) de la version requise, le nouveau service Cloud Helper est utilisé, qui fournit des informations sur les dernières versions du micrologiciel.

La dernière version est immédiatement disponible après la sortie officielle, ce qui garantit son authenticité et sa fiabilité.

Zyxel ZyWALL VPN Series

Zone d'utilisation recommandée - Connexion VPN sécurisée et fiable
L'objectif principal est la tunnellisation du trafic à l'aide de l'algorithme de chiffrement sécurisé Secure Hash Algorithm 2 (SHA-2).

Avec ZyWALL VPN 50/100/300, vous pouvez implémenter un échange de données rapide et sécurisé entre les serveurs sur site, les appareils distants et les applications déployées dans le cloud.


Figure 3. Passerelle pour établir des connexions VPN ZyWALL VPN300 fiables.

Séparément, il convient de noter la prise en charge du basculement et du repli de la fonction double WAN. En raison de la présence de deux connexions WAN, dont l'une est utilisée en tant que sauvegarde principale et deuxième, en cas de défaillance de la connexion principale, le pare-feu VPN Zyxel passe automatiquement à la sauvegarde.

La série ZyWALL VPN utilise également la fonction d'équilibrage de charge / basculement multi-WAN et prend entièrement en charge les modems USB des réseaux cellulaires de la liste des équipements compatibles pouvant être utilisés pour réserver des connexions WAN.
Pour créer des canaux avec des exigences de fiabilité élevées, la série VPN ZyWALL fournit un mode de fonctionnement dans le cadre d'un cluster à sécurité intégrée (haute disponibilité, HA) en mode actif-passif.

La série ZyWALL VPN prend en charge l'équilibrage de charge et le basculement IPSec, qui offre une tolérance aux pannes supplémentaire pour la commutation de VPN critiques lors de la mise en œuvre de l'interface VTI.

Fonctionnalités VPN prises en charge et plus :

• Connexion VPN avec équilibrage de charge et basculement de la fonction VPN IPSec entre les emplacements.
• Accès à distance via SSL, IPSec et L2TP sur VPN IPSec.
• Une passerelle située au siège du VPN peut également établir une connexion VPN IPSec avec le cloud Amazon VPC pour un accès sécurisé à diverses applications cloud et étendre le réseau d'entreprise en y connectant des ressources cloud. Cela peut être utilisé à la fois via l'interface graphique et via l'interface de ligne de commande (CLI)
• Management Hotspot Management (à partir de VPN100) - fournissant un accès Internet, par exemple, aux visiteurs des cafés, des restaurants, des clients de l'hôtel, etc. Vous pouvez fournir différents niveaux de service, tenir un journal des événements conformément aux exigences de la loi.
• Grâce à l'intégration du service Wi-Fi Facebook dans le service VPN ZyWALL, les petits magasins et restaurants peuvent non seulement fournir à leurs visiteurs un accès Internet, mais aussi améliorer leur popularité auprès de Facebook.
• Un contrôleur de point d'accès intégré fournit une gestion centralisée pour un déploiement sans fil flexible. La fonction de contrôleur AP de la série ZyWALL VPN vous permet de gérer de manière centralisée plusieurs points d'accès à l'aide d'une seule interface utilisateur. Cette fonctionnalité simplifie le déploiement et la maintenance du réseau WiFi d'une entreprise.
• Connectivité VPN IPSec de site à site.
• IPSec VPN HA Failover Cluster (équilibrage de charge et basculement) pour les connexions VPN haute disponibilité.
• Organisez un accès sécurisé aux ressources internes à l'aide de SSL, IPSec et L2TP via IPSec VPN.
• Connexion USG / ZyWALL via le canal VPN IPSec avec Microsoft Azure pour un accès sécurisé à diverses applications cloud.

Pour les grandes organisations, les passerelles plus puissantes sont mieux adaptées, telles que USG110 / 210/310 qui ont un matériel plus puissant, peuvent prendre en charge plus de connexions, etc.

Il est à noter que cet appareil fonctionne sur le principe "Je porte tout avec moi". Ici et VPN, et un bon niveau de protection, et limite de bande passante.

Mais si vous devez vous concentrer spécifiquement sur les fonctions de sécurité, il est préférable d'utiliser les passerelles de la série Zyxel ZyWALL ATP avec une prise en charge face au service cloud Zyxel Cloud.

Zyxel ZyWall ATP Series

Utilisation recommandée - protection renforcée contre les logiciels malveillants et optimisation des applications

Le principal point fort de cette famille de passerelles sécurisées peut être appelé attirer des ressources cloud pour augmenter le niveau de protection.

Les ressources d'une seule, même la passerelle la plus puissante, ne suffisent pas pour analyser et diagnostiquer de nombreuses menaces entrantes.

Par conséquent, attirer des ressources cloud supplémentaires dans le cadre d'un accès crypté sécurisé semble être une étape très justifiée.

Attention! Zyxel Cloud n'est pas impliqué dans l'échange d'informations entre la passerelle sécurisée et l'accès externe. Autrement dit, le trafic ne le traverse pas. La ressource cloud est principalement utilisée pour l'échange rapide d'informations sur les vulnérabilités, ainsi que pour les résultats d'une vérification supplémentaire des objets suspects, par exemple, dans le cadre du sandbox (Sandboxing).

En général, la famille de fonctions Zyxel ZyWall ATP est similaire à la version Zyxel USG précédemment discutée, mais la prise en charge des mécanismes cloud améliore considérablement les services tels que la protection antivirus, qui manque toujours de ressources.


Figure 4. Passerelle cloud pour sécuriser le réseau ATP200.

Voici quelques caractéristiques distinctives spécifiques aux passerelles de cette série - Zyxel ZyWall ATP.

Apprentissage automatique dans le cloud Zyxel
Zyxel Cloud identifie les fichiers inconnus sur tous les pare-feu ATP, collecte les résultats dans une base de données et envoie des mises à jour quotidiennement à toutes les passerelles de la famille ATP. Cela vous permet de collecter des connaissances sur les nouvelles menaces et de développer le système à l'aide de l'apprentissage automatique. Ainsi, l'environnement cloud "apprend" à résister à de nouvelles attaques.

Sandboxing - Sandboxing
Il s'agit d'un environnement isolé basé sur le cloud où des fichiers suspects sont placés pour identifier de nouveaux types de code malveillant, y compris la méthode de lancement. Ce que l'antivirus en streaming ne peut pas détecter se manifeste dans Sandbox.

Conclusion

Bien sûr, dans un petit article, il est impossible de décrire le large éventail de possibilités disponibles pour les passerelles de sécurité Zyxel modernes.
Pour plus d'informations, lisez notre blog sur Habr, les documents sur le site Web de Zyxel et, bien sûr, la documentation du produit.

Les sources

[1] Création d'un système de protection antivirus étendu pour une petite entreprise. Partie 1. Choisir une stratégie et une solution.
[2] Création d'un système de protection antivirus étendu pour une petite entreprise. Partie 2. Passerelle antivirus ZyWall USG40W de Zyxel.
[3] Création d'un système de protection antivirus étendu pour une petite entreprise. 3e partie
[4] Prenez votre petit déjeuner vous-même, partagez votre travail avec le cloud.
[5] Une page du site officiel de Zyxel dédiée aux pare-feu.