UPD: Obrolan Telegram untuk mendiskusikan peralatan Zyxel
@zyxelru tg.guru/zyxelru
Router mikrotik sangat bagus dari sudut pandang seorang insinyur jaringan. Mereka memungkinkan Anda untuk membangun solusi jaringan yang sangat kompleks. Dan peralatan itu membutuhkan biaya yang tidak masuk akal.
Tetapi untuk usaha kecil dan menengah yang tidak terkait dengan industri TI, sangat sulit untuk menginstal. Untuk mengkonfigurasi RouterOS dengan benar, seorang pengusaha harus menyewa kontraktor yang berspesialisasi dalam peralatan ini, atau melatih administrator sistemnya. Dalam kasus pertama, mahal, yang kedua - untuk waktu yang lama ... dan lagi mahal.
Kerentanan dalam WinBox (
CVE-2018-14847 ) menunjukkan bahwa beberapa orang dapat mengkonfigurasi RouterOS dengan benar. Dan mereka yang mengatur pembaruan firmware sangat jarang. Terlepas dari kenyataan bahwa versi rentan terbaru 6.42 dirilis pada 20 April 2018,
artikel saya tentang Habr membuat kegaduhan
di seluruh dunia , orang-orang yang baru
saja menemukan bahwa router mereka telah diretas melalui kerentanan ini terus menulis kepada saya ...
Nilai uang Mikrotik tidak selalu bermain untuk konsumen. Tugas saya: untuk menemukan peralatan jaringan, yang setelah melewati "master" menyediakan fungsionalitas maksimum untuk kantor kecil hingga 50 orang. Selain itu, salah satu kriteria utama adalah keselamatan. Memang, misalnya, perusahaan logistik harus memperhatikan kecepatan pengiriman paket ke pelanggan, dan bukan jaringan jatuh dan terminal "menggantung".
Outsourcing datang kepada saya sebuah kantor kecil yang sedang berkembang, yang memesan pemasangan jaringan berdasarkan perangkat keras Zyxel: gateway ATP 200, dua titik Wi-Fi dan sakelar yang dikendalikan PoE. Pengalaman itu ternyata sangat menarik, mengingat saya selalu mengabaikan Zyxel.
Keenetik bukan zyxelSeperti yang saya tahu, Keenetic muncul sebagai firmware khusus untuk router Zyxel, yang ditahan perusahaan. Pada 2016, keenetic terpisah dari Zyxel dan mulai memproduksi peralatan mereka sendiri.
Jadi sekarang Keenetic tidak ada hubungannya dengan Zyxel.
Sebelum saya memegang Zyxel, saya bertanya pendapat teman-teman networkers bagaimana mereka berhubungan dengan peralatan ini:
“Kami tidak memasukkannya ke pusat data kami, karena ini bukan keputusan perusahaan. Tetapi pelanggan kami menempatkan kontraktor. Ini hanya berfungsi ... Atur dan lupakan. "
Keamanan
Tentu saja, saya naik untuk menonton
CVE terdaftar
(Common Vulnerabilities and Exposures) .
CVE terdaftar untuk 2018:
→
D-Link - dofiga→
RouterOS - 6 kerentanan yang darinya masih tersendat ....→
Cisco - lebih dari D-linkBahkan
Eltex yang kurang dikenal dari Novosibirsk memiliki 5 kerentanan.
Zyxel 7 jaringan rentan .
Zyxel menghibur saya dengan kerentanan CVE-2018-9149 dengan peringkat bahaya maksimum:
Perangkat Zyxel Multy X (AC3000 Tri-Band WiFi System) tidak menggunakan mekanisme yang sesuai untuk melindungi UART. Setelah penyerang membongkar perangkat dan menggunakan kabel USB-ke-UART untuk menghubungkan perangkat, ia dapat menggunakan kata sandi 1234 untuk akun root untuk masuk ke sistem. Selanjutnya, penyerang dapat memulai layanan TELNET perangkat sebagai pintu belakang.
Segera ingat rekaman dari militan mata-mata favorit Anda, di mana karakter utama / penjahat menembus pangkalan dengan tali dan menempel ke sebuah kotak dengan kabel untuk menghentikan / meluncurkan rudal nuklir yang bertujuan ...
* berpikir untuk diri sendiri * .
Artinya, untuk mengeksploitasi kerentanan ini, penyerang perlu terhubung ke titik Wi-Fi
secara fisik menggunakan
kabel USB-ke-UART khusus !
Saya tidak memiliki pertanyaan tentang keandalan CVE Zyxel.
Membongkar
Kotak sudah datang, dan dindingnya masih dicat. Buka kemasan di rumah.
Kesan pertama saya adalah berat badan! ATP 200 memiliki berat 1,4 kg untuk ukurannya yang kecil (272x36x187 mm). Jalur akses juga terasa lebih berat daripada Ubiquiti.
Tidak ada pasokan listrik di kotak bertitik. Peralatan seperti itu dengan instalasi yang memadai ditenagai oleh PoE. Sakelar yang dikelola GS1200-5HP dibeli untuk ini.
Inklusi pertama
Saya menghubungkan ATP200 ke laptop dengan kabel melalui port P4 (dari lan) gateway. Di Wan1 saya terhubung ke Internet kabel, di USB1 E3272 dengan firmware Hi-Link dan di USB2 ponsel Android saya dalam mode "USB modem". Itu dimuat sekitar satu menit. Selanjutnya pada "Quick Start" saya naik pada 192.168.1.1. Di sini masalah pertama menungguku. Webmord berfungsi pada SSLv3, yang dimatikan pada peramban modern. Kami termasuk:
Ketika Anda masuk untuk pertama kalinya, itu mencegah Anda pindah ke langkah berikutnya tanpa mengubah kata sandi Anda, tidak seperti RouterOS. Selanjutnya, "wizard" dimulai, di mana saya menunjukkan bahwa saya ingin menggunakan port kedua wan (p3). "Master" tidak melihat perangkat tambahan apa pun.
Layanan dibiarkan juga secara default.
Karena saya memiliki titik nirkabel, saya langsung mengaktifkan pengontrol WiFi:
Kelebihan lainnya dalam keamanan: fungsi yang sangat berbahaya dimatikan secara default:
Kami masuk kembali dan pemberitahuan tentang firmware baru segera tiba.
Itu saja! Laptop menjelajah Internet! Benar, hanya melalui port Wan1.
Saluran cadangan
Kami naik ke konfigurasi untuk menambahkan modem USB dan ponsel Android ke grup port WAN. Dalam "Konfigurasi → Antarmuka" hanya modem Hi-link yang menjadi aktif. Ponsel Android tetap tidak dikenal.
Di properti koneksi, Anda dapat mengatur pemeriksaan saluran dengan:
icmp atau tcp ke alamat gateway atau ditentukan secara khusus dan juga mengatur parameter koneksi terbatas, misalnya, sesuai dengan jumlah lalu lintas, jika operator telah membatasi itu.
Selanjutnya, kita perlu mengizinkan pelepasan klien melalui modem ini. Saya membuatnya setara dengan saluran yang saya masukkan di wan1:
Klik "terapkan" di bawah dan hanya itu! Seluruh jaringan akan melalui dua saluran sekaligus.
Hubungkan wifi
Ini sedikit lebih rumit di sini.
Mengedit profil keamanan.
Konfigurasi → Objek → Profil Titik Akses → SSID → Daftar Profil Keamanan. Pilih profil default dan klik "Edit":
Kami menentukan wpa2 dan tepat di bawah kunci jaringan.
Simpan dan buka tab "Daftar SSID" berikutnya. Kami mengedit profil "default" dengan menetapkan nama untuk poin kami.
Kami telah mengedit pengaturan untuk poin default untuk kami sendiri.
Sekarang kami mengizinkan untuk secara otomatis mendaftarkan poin "kosong".
Tentu saja untuk memudahkan proses pemasangan. Kami menyertakan poin dalam sakelar PoE. Saklar termasuk dalam port lan (p4-p7). Dan ... Itu dia. Poin secara otomatis terdeteksi dan sebuah konfigurasi dimuat pada mereka.
Matikan titik jepret otomatis. Ditambah dalam karma keamanan.
Klik "terapkan" dan nikmati jaringan baru.
Apa selanjutnya
Kami pergi jauh ke tempat yang aman. Hidup jaringan lama, terlindungi baik di luar maupun di dalam! Hukum yang sangat diperlukan dari admin kantor yang baik adalah membiarkan solitaire solitaire keluar dari semua hiburan!
Saya sangat menyukai fitur patroli aplikasi. Tidak perlu repot menulis instruksi regex untuk memfilter L7, seperti pada Mikrotik. Sudah ada di sana. Anda hanya perlu menambah politik, dan hanya itu.
Memblokir messenger instan, game online atau jejaring sosial tanpa keringat, darah, dan air mata dari admin muda.
Dasbor seperti kebanyakan bos suka: dengan gambar dan grafik. Anda dapat melihat ke mana panggilan paling sering pergi, apa yang diblokir dan berapa banyak, dll.
Zyxel memiliki sistem manajemen pusat Nebula, yang didukung oleh poin Wi-Fi yang dikeluarkan untuk saya. Sekilas, ini
SDN , yang sedang aktif diimplementasikan di pusat data besar. Tapi topik ini adalah artikel lain :-)
Dan kemudian laptop di ruang terbuka jaringan global telah menemukan
instruksi dengan lebih dari 800 halaman dan tentang jumlah
buku pegangan yang sama .
Lisensi
Sayangnya, lisensi untuk basis data tanda tangan yang diperbarui tidak terbatas, dan setelah aktivasi gateway yang pertama, tanda tangan diperbarui dalam waktu satu tahun. Selanjutnya, Anda perlu memperbarui langganan Anda.
Berlangganan Emas tahunan biaya 38.600 rubel, dan Perak biaya 29.000.
Ada pertanyaan tentang manfaat dalam setiap kasus. Misalnya, dengan ATP200 simpan admin yang lemah selama 30k per bulan dan beli lisensi untuk 40k per tahun, atau gunakan Mikrotik dengan add. server (dekat Surikatu) dan simpan admin "berjanggut" untuk 80 ribu per bulan.
Kesimpulan
Bagi saya, kelebihan kelenjar Zyxel yang saya jumpai:
- kemudahan pengaturan;
- kurangnya “tongkat penyangga” untuk tugas-tugas tipikal;
- fungsionalitas yang diperlukan untuk sebuah kantor dalam sepotong besi;
- kesederhanaan pengaturan keamanan;
- persyaratan untuk mengatur PASSWORD.
Fungsionalitas gateway Zyxel ATP200 cukup luas. Selain itu, banyak yang diimplementasikan dalam satu perangkat keras, dan tidak perlu memblokir struktur yang kompleks, seperti
Mikrotik + Suricata .
Sekali lagi, fungsionalitas dasar digunakan dengan mudah dan dalam waktu singkat.
Tentu saja, ada juga kekurangannya. Anda harus terbiasa dengan logika konfigurasi. ATP200 tahu beberapa protokol tunneling, misalnya, tidak cocok untuk meneruskan terowongan SSTP.
Peralatan apa pun harus dipilih untuk tugas tertentu.
Pelatihan bekerja dengan peralatan Zyxel (ZCNA) lebih murah daripada pesaing - 15.000 rubel! MTCNA resmi - dari 22.000 rubel. Cisco tentu saja keluar dari persaingan - baik dalam hal berbagai kursus dan dalam hal biaya, mendekati rincian pesawat terbang.
Karena tidak semua orang di Habré dapat berkomentar, dan saya tidak menemukan obrolan Zyxel yang valid di Telegram, saya membuat
@zyxelru . Saya mengundang Anda untuk membahas kasus, pengaturan, dan trik lain menggunakan peralatan Zyxel, serta gagasan untuk artikel baru di Habr untuk seri “Mencari tombol“ Lakukan dengan baik ”."