A la recherche du bouton "Bien faire". Zyxel dans le réseau des petites et moyennes entreprises

UPD: chat télégramme pour discuter de l'équipement Zyxel @zyxelru tg.guru/zyxelru

Les routeurs Mikrotik sont chics du point de vue d'un ingénieur réseau. Ils vous permettent de créer des solutions réseau incroyablement complexes. Et l'équipement coûte de l'argent ridicule.

Mais pour les petites et moyennes entreprises qui ne sont pas liées à l'industrie informatique, il est extrêmement difficile à installer. Pour configurer correctement RouterOS, un homme d'affaires doit engager un entrepreneur spécialisé dans cet équipement ou former son administrateur système. Dans le premier cas, cher, le second - pendant longtemps ... et encore cher.

Une vulnérabilité dans WinBox ( CVE-2018-14847 ) a montré que peu de personnes sont capables de configurer correctement RouterOS. Et ceux qui ont mis en place le firmware de mise à jour extrêmement rarement. Malgré le fait que la dernière version vulnérable 6.42 ait été publiée le 20 avril 2018, mon article sur Habr a fait du bruit dans le monde entier , les gens qui viennent de découvrir que leur routeur a été piraté grâce à cette vulnérabilité continuent de m'écrire ...

Rapport qualité / prix Mikrotik ne joue pas toujours en faveur du consommateur. Ma tâche: trouver un équipement réseau qui, après avoir passé le «maître», offre un maximum de fonctionnalités pour un petit bureau jusqu'à 50 personnes. De plus, l'un des principaux critères est la sécurité. En effet, par exemple, la société de logistique doit se préoccuper de la rapidité de livraison du colis au client, et non de la chute du réseau et du terminal «suspendu».



La sous-traitance m'est venue un petit bureau en pleine expansion, qui a commandé l'installation d'un réseau basé sur un kit matériel Zyxel: passerelle ATP 200, deux points Wi-Fi et un commutateur contrôlé par PoE. L'expérience s'est avérée assez intéressante, étant donné que j'ai toujours négligé Zyxel.


Avant de mettre Zyxel dans mes bras, j'ai demandé à mes amis networkers comment ils se rapportaient à cet équipement:

«Nous ne le mettons pas dans nos centres de données, car ce n'est pas une décision d'entreprise. Mais nos clients ont mis des sous-traitants. Cela fonctionne juste ... Réglez et oubliez. "

La sécurité

Bien sûr, j'ai grimpé pour regarder les CVE (Common Vulnerabilities and Exposures) enregistrés.

CVE enregistré pour 2018:

→ D-Link - dofiga
→ RouterOS - 6 vulnérabilités dont il continue de hoquet ....
→ Cisco - plus que D-link

Même le Eltex peu connu de Novossibirsk a 5 vulnérabilités.
Réseaux vulnérables Zyxel 7 .

Zyxel m'a amusé avec la vulnérabilité CVE-2018-9149 avec une cote de danger maximale:

Le dispositif Zyxel Multy X (système Wi-Fi tri-bande AC3000) n'utilise pas de mécanisme approprié pour protéger l'UART. Après qu'un attaquant ait démonté l'appareil et utilisé un câble USB-UART pour connecter l'appareil, il peut utiliser le mot de passe 1234 pour le compte root pour se connecter au système. De plus, un attaquant peut démarrer le service TELNET de l'appareil en tant que porte dérobée.

Rappelle immédiatement des images de vos militants espions préférés, où le personnage principal / méchant pénètre dans la base par une corde et s'accroche à une boîte avec du câblage pour arrêter / lancer des missiles nucléaires visant à ... * pensez par vous-même * .

Autrement dit, pour exploiter cette vulnérabilité, il est nécessaire qu'un attaquant se connecte physiquement à un point Wi-Fi à l' aide d'un câble USB-UART spécial!


Je n'ai aucune question sur la fiabilité CVE de Zyxel.

Déballage

Des boîtes sont venues et les murs sont toujours peints. Déballez à la maison.



Ma première impression est le poids! L'ATP 200 pèse 1,4 kg pour sa petite taille (272x36x187 mm). Les points d'accès sont également sensiblement plus lourds qu'Ubiquiti.

Il n'y avait pas d'alimentation électrique dans les boîtes en pointillés. Un tel équipement avec une installation adéquate est alimenté par PoE. Le commutateur géré GS1200-5HP a été acheté pour cela.

Première inclusion

J'ai connecté l'ATP200 à l'ordinateur portable avec un câble via le port P4 (de lan) de la passerelle. En wan1 j'ai branché Internet filaire, en USB1 E3272 avec le firmware Hi-Link et en USB2 mon téléphone Android en mode «modem USB». Il a chargé pendant environ une minute. Plus loin sur «Démarrage rapide», j'ai grimpé sur 192.168.1.1. Ici, le premier problème m'attendait. Webmord fonctionne sur SSLv3, qui est désactivé sur les navigateurs modernes. Nous incluons:



Lorsque vous vous connectez pour la première fois, cela vous empêche de passer à l'étape suivante sans changer votre mot de passe, contrairement à RouterOS. Ensuite, "l'assistant" démarre, dans lequel j'ai indiqué que je souhaitais utiliser le deuxième port wan (p3). Le «maître» n'a vu aucun appareil supplémentaire.


Services laissés également par défaut.



Comme j'ai des points sans fil, j'allume immédiatement le contrôleur WiFi:


Un autre plus en matière de sécurité: la fonction extrêmement dangereuse est désactivée par défaut:



Nous nous reconnectons et une notification concernant un nouveau firmware arrive immédiatement.


C'est tout! Un ordinateur portable surfe sur Internet! Vrai, uniquement via le port wan1.

Canal de sauvegarde

Nous montons dans la configuration pour ajouter un modem USB et un téléphone Android au groupe de ports WAN. Dans «Configuration → Interfaces», seul le modem Hi-Link devient actif. L'Androidphone est resté non reconnu.



Dans les propriétés de connexion, vous pouvez définir la vérification des canaux en:


et définir également les paramètres d'une connexion limitée, par exemple, en fonction de la quantité de trafic, si l'opérateur l'a limitée.


Ensuite, nous devons autoriser la libération des clients via ce modem. Je l'ai rendu équivalent au canal que j'ai coincé dans wan1:



Cliquez sur "appliquer" ci-dessous et c'est tout! L'ensemble du réseau passera par deux canaux à la fois.

Connectez le wifi

C'est un peu plus compliqué ici.

Modification d'un profil de sécurité.

Configuration → Objets → Profils de point d'accès → SSID → Liste des profils de sécurité. Sélectionnez le profil par défaut et cliquez sur "Modifier":



Nous spécifions wpa2 et juste en dessous de la clé réseau.



Enregistrez et passez à l'onglet suivant "Liste SSID". Nous éditons le profil «par défaut» en définissant le nom de notre point.



Nous avons modifié les paramètres des points par défaut pour nous-mêmes.

Maintenant, nous permettons d'enregistrer automatiquement les points "vides".


Nous incluons des points dans le commutateur PoE. Le commutateur est inclus dans le port LAN (p4-p7). Et ... Et c'est tout. Les points sont automatiquement détectés et une configuration est chargée dessus.



Désactivez les points d'accrochage automatiques. Plus dans le karma de sécurité.



Cliquez sur "appliquer" et profitez du nouveau réseau.

Et ensuite?

Nous allons profondément dans la sécurité. Vive le réseau, protégé à l'extérieur comme à l'intérieur! La loi indispensable d'un bon administrateur de bureau est de ne laisser que le solitaire solitaire hors de tous les amusements!



J'ai vraiment aimé la fonction de patrouille d'application. Pas besoin de prendre la peine d'écrire des instructions regex pour filtrer L7, comme dans Mikrotik. C'est déjà là. Il suffit d’ajouter à la politique, et c’est tout.

Bloquer les messageries instantanées, les jeux en ligne ou les réseaux sociaux sans sueur, sang et larmes de jeunes administrateurs.



Un tableau de bord est comme la plupart des patrons aiment: avec des images et des graphiques. Vous pouvez voir où les appels vont le plus souvent, ce qui est bloqué et combien, etc.



Zyxel dispose d'un système de gestion central Nébuleuse, qui est pris en charge par les points Wi-Fi qui m'ont été délivrés. À première vue, c'est le SDN , qui est activement mis en œuvre dans les grands centres de données. Mais ce sujet est un autre article :-)

Et puis l'ordinateur portable sur les espaces ouverts du réseau mondial a déjà trouvé des instructions avec plus de 800 pages et environ la même quantité de manuel .

Licences

Malheureusement, la licence pour les bases de données de signatures mises à jour n'est pas illimitée et après la première activation de la passerelle, les signatures sont mises à jour dans l'année. Ensuite, vous devez renouveler votre abonnement.

Un abonnement annuel à Gold coûte 38 600 roubles et Silver à 29 000 roubles.



Il y a une question de bénéfice dans chaque cas. Par exemple, avec ATP200, gardez un administrateur faible pour 30k par mois et achetez une licence pour 40k par an, ou utilisez Mikrotik avec add. serveur (près de Surikatu) et garder un administrateur "barbu" pour 80k par mois.

Conclusion

Pour moi, les avantages des glandes Zyxel que j'ai rencontrées:

• facilité d'installation;
• manque de «béquilles» pour les tâches typiques;
• fonctionnalité nécessaire pour un bureau en une seule pièce de fer;
• simplicité des paramètres de sécurité;
• obligation de définir un MOT DE PASSE.

La fonctionnalité de la passerelle Zyxel ATP200 est assez étendue. De plus, une grande partie est implémentée dans un seul matériel, et il n'est pas nécessaire de bloquer une structure complexe, comme Mikrotik + Suricata .

Encore une fois, la fonctionnalité de base est déployée facilement et en peu de temps.

Bien sûr, il y a aussi des inconvénients. Vous devez vous habituer à la logique de configuration. ATP200 connaît peu de protocoles de tunneling; par exemple, il ne convient pas pour la transmission d'un tunnel SSTP.
Tout équipement doit être sélectionné pour des tâches spécifiques.

La formation sur l'utilisation de l'équipement Zyxel (ZCNA) est moins chère que ses concurrents - 15 000 roubles! MTCNA officiel - à partir de 22 000 roubles. Cisco est certainement hors compétition - à la fois en termes de variété de cours et en termes de coût, approchant les détails d'un avion.

Étant donné que tout le monde sur Habré ne peut pas commenter et que je n'ai pas trouvé de chat Zyxel valide dans Telegram, j'ai créé @zyxelru . Je vous invite à discuter des cas, des paramètres et d'autres astuces d'utilisation de l'équipement Zyxel, ainsi que des idées de nouveaux articles sur le Habr pour la série "A la recherche du bouton" Bien faire "."