Em busca do botão "Faça bem". Zyxel na rede de pequenas e médias empresas

UPD: Telegrama conversa para discutir equipamentos Zyxel @zyxelru tg.guru/zyxelru

Os roteadores Mikrotik são elegantes do ponto de vista de um engenheiro de rede. Eles permitem que você crie soluções de rede incrivelmente complexas. E o equipamento custa dinheiro ridículo.

Mas para pequenas e médias empresas que não estão relacionadas ao setor de TI, é extremamente difícil de instalar. Para configurar corretamente o RouterOS, um empresário deve contratar um fornecedor especializado neste equipamento ou treinar o administrador do sistema. No primeiro caso, caro, o segundo - por um longo tempo ... e novamente caro.

A vulnerabilidade no WinBox ( CVE-2018-14847 ) mostrou que poucas pessoas conseguem configurar corretamente o RouterOS. E aqueles que configuram o firmware de atualização extremamente raramente. Apesar do fato de a última versão vulnerável 6.42 ter sido lançada em 20 de abril de 2018, meu artigo sobre Habr fez barulho em todo o mundo , as pessoas que acabaram de descobrir que seu roteador foi invadido por essa vulnerabilidade continuam me escrevendo ...

Relação custo / benefício O Mikrotik nem sempre joga a favor do consumidor. Minha tarefa: encontrar equipamentos de rede que, depois de aprovados no "mestre", ofereçam a funcionalidade máxima para um pequeno escritório com até 50 pessoas. Além disso, um dos principais critérios é a segurança. De fato, por exemplo, a empresa de logística deve se preocupar com a velocidade de entrega da encomenda ao cliente, e não com a queda da rede e o terminal "pendurado".



A terceirização chegou para mim em um pequeno escritório em expansão, que encomendou a instalação de uma rede baseada em um kit de hardware Zyxel: gateway ATP 200, dois pontos de Wi-Fi e um switch controlado por PoE. A experiência acabou sendo bastante interessante, já que sempre negligenciei o Zyxel.


Antes de colocar o Zyxel em meus braços, perguntei às opiniões dos meus colegas de rede como eles se relacionam com este equipamento:

“Não o colocamos em nossos data centers, porque essa não é uma decisão da empresa. Mas nossos clientes colocam contratados. Simplesmente funciona ... Defina e esqueça. "

Segurança

Claro, subi para assistir ao CVE registrado (Vulnerabilidades e exposições comuns) .

CVE registrado para 2018:

→ D-Link - dofiga
→ RouterOS - 6 vulnerabilidades das quais ainda soluça ....
→ Cisco - mais do que D-link

Até o pouco conhecido Eltex de Novosibirsk tem 5 vulnerabilidades.
Zyxel 7 redes vulneráveis .

Zyxel me divertiu com a vulnerabilidade CVE-2018-9149 com uma classificação máxima de risco:

O dispositivo Zyxel Multy X (sistema WiFi AC3000 Tri-Band) não usa um mecanismo adequado para proteger o UART. Depois que um invasor desmonta o dispositivo e usa um cabo USB para UART para conectar o dispositivo, ele pode usar a senha 1234 da conta raiz para fazer login no sistema. Além disso, um invasor pode iniciar o serviço TELNET do dispositivo como um backdoor.

Lembro-me imediatamente das imagens dos meus militantes de espionagem favoritos, onde o personagem principal / vilão penetra na base através de uma corda e se agarra a uma determinada caixa com fiação para parar / lançar mísseis nucleares destinados a ... * pense por si mesmo * .

Ou seja, para explorar esta vulnerabilidade, é necessário que um invasor se conecte a um ponto Wi-Fi fisicamente usando um cabo USB-UART especial !


Não tenho perguntas sobre a confiabilidade CVE da Zyxel.

Desembalar

Caixas chegaram e as paredes ainda estão pintadas. Desembale em casa.



Minha primeira impressão é peso! O ATP 200 pesa 1,4 kg para seu tamanho pequeno (272x36x187 mm). Os pontos de acesso também são visivelmente mais pesados ​​que o Ubiquiti.

Não havia fontes de alimentação nas caixas pontilhadas. Esse equipamento com instalação adequada é alimentado por PoE. O switch gerenciado GS1200-5HP foi adquirido para isso.

Primeira inclusão

Conectei o ATP200 ao laptop com um cabo através da porta P4 (da LAN) do gateway. No wan1, conectei a Internet com fio, no USB1 E3272 com firmware Hi-Link e no USB2 meu telefone Android no modo “modem USB”. Carregou por cerca de um minuto. Mais adiante, em "Início rápido", subi em 192.168.1.1. Aqui o primeiro problema me esperava. O Webmord funciona no SSLv3, que está desativado nos navegadores modernos. Nós incluímos:



Quando você faz login pela primeira vez, isso impede que você avance para a próxima etapa sem alterar sua senha, ao contrário do RouterOS. Em seguida, o "assistente" é iniciado, no qual indiquei que desejo usar a segunda porta wan (p3). O "mestre" não viu nenhum dispositivo adicional.


Serviços deixados também por padrão.



Como tenho pontos sem fio, ligo o controlador WiFi imediatamente:


Outra vantagem em segurança: a função extremamente perigosa é desativada por padrão:



É feito o login novamente e uma notificação sobre um novo firmware chega imediatamente.


Isso é tudo! Um laptop navega na Internet! Verdadeiro, apenas através da porta wan1.

Canal de backup

Entramos na configuração para adicionar um modem USB e telefone Android ao grupo de portas WAN. Em "Configuração → Interfaces", apenas o modem Hi-link se torna ativo. O Androidphone não foi reconhecido.



Nas propriedades da conexão, você pode definir a verificação do canal:


e também defina os parâmetros de uma conexão limitada, por exemplo, de acordo com a quantidade de tráfego, se o operador a tiver limitado.


Em seguida, precisamos permitir a liberação de clientes através deste modem. Eu fiz isso equivalente ao canal que eu coloquei na wan1:



Clique em "aplicar" abaixo e pronto! A rede inteira passará por dois canais ao mesmo tempo.

Conectar wifi

É um pouco mais complicado aqui.

Editando um perfil de segurança.

Configuração → Objetos → Perfis de ponto de acesso → SSID → Lista de perfis de segurança. Selecione o perfil padrão e clique em "Editar":



Especificamos wpa2 e logo abaixo da chave de rede.



Salve e vá para a próxima guia "Lista SSID". Editamos o perfil como "padrão", definindo o nome do nosso ponto.



Editamos as configurações dos pontos padrão para nós mesmos.

Agora permitimos registrar automaticamente pontos "vazios".


Incluímos pontos no comutador PoE. O switch está incluído na porta LAN (p4-p7). E ... E é isso. Os pontos são detectados automaticamente e uma configuração é carregada neles.



Desligue os pontos de encaixe automáticos. Além disso, no karma de segurança.



Clique em "aplicar" e aproveite a nova rede.

O que vem a seguir?

Nós nos aprofundamos na segurança. Viva a rede, protegida por dentro e por fora! A lei indispensável de um bom administrador de escritório é deixar apenas o solitário solitário de todos os divertimentos!



Eu realmente gostei do recurso de patrulha de aplicativos. Não é necessário se preocupar em escrever instruções regex para filtrar L7, como no Mikrotik. Já está lá. Só é necessário adicionar à política, e é isso.

Bloqueando mensagens instantâneas, jogos online ou redes sociais sem suor, sangue e lágrimas de jovens administradores.



Um painel é como a maioria dos chefes adora: com fotos e gráficos. Você pode ver para onde as chamadas vão com mais frequência, o que está bloqueado e quanto, etc.



O Zyxel possui um sistema de gerenciamento central Nebula, que é suportado por pontos de Wi-Fi emitidos para mim. À primeira vista, é o SDN , que está sendo implementado ativamente em grandes data centers. Mas este tópico é outro artigo :-)

E então o laptop nos espaços abertos da rede global já encontrou instruções com mais de 800 páginas e aproximadamente a mesma quantidade de manual .

Licenças

Infelizmente, a licença para bancos de dados de assinaturas atualizados não é infinita e, após a primeira ativação do gateway, as assinaturas são atualizadas em um ano. Em seguida, você precisa renovar sua assinatura.

Uma assinatura anual de ouro custa 38.600 rublos e prata custa 29.000.



Há uma questão de benefício em cada caso. Por exemplo, com o ATP200, mantenha um administrador fraco por 30k por mês e compre uma licença por 40k por ano ou use o Mikrotik com add. servidor (perto de Surikatu) e mantenha um administrador "barbudo" por 80 mil por mês.

Conclusão

Para mim, as vantagens das glândulas Zyxel que me deparei:

• facilidade de configuração;
• falta de “muletas” para tarefas típicas;
• funcionalidade necessária para um escritório em um pedaço de ferro;
• simplicidade das configurações de segurança;
• requisito para definir uma PASSWORD.

A funcionalidade do gateway Zyxel ATP200 é bastante extensa. Além disso, muito é implementado em uma única peça de hardware e não é necessário bloquear uma estrutura complexa, como o Mikrotik + Suricata .

Novamente, a funcionalidade básica é implantada facilmente e em pouco tempo.

Claro, também existem desvantagens. Você precisa se acostumar com a lógica de configuração. O ATP200 conhece poucos protocolos de encapsulamento; por exemplo, não é adequado para encaminhar um encapsulamento SSTP.
Qualquer equipamento deve ser selecionado para tarefas específicas.

O treinamento para trabalhar com equipamentos Zyxel (ZCNA) é mais barato que os concorrentes - 15.000 rublos! MTCNA oficial - a partir de 22.000 rublos. A Cisco certamente está fora de competição - tanto em termos de variedade de cursos quanto em termos de custo, abordando os detalhes de um avião.

Como nem todo mundo no Habré pode comentar e não encontrei um bate-papo válido do Zyxel no Telegram, criei o @zyxelru . Convido você a discutir casos, configurações e outros truques para usar o equipamento Zyxel, bem como idéias para novos artigos sobre o Habr para a série "Em busca do botão" Faça bem "."