UPD:电报聊天,讨论设备Zyxel
@zyxelru tg.guru/zyxelru
从网络工程师的角度来看,Mikrotik路由器是时髦的。 它们使您能够构建极其复杂的网络解决方案。 而且设备花费可笑的钱。
但是对于与IT行业无关的中小型企业,安装非常困难。 为了正确配置RouterOS,商人必须雇用专门从事此设备的承包商,或培训其系统管理员。 在第一种情况下,价格昂贵,第二种情况则很长时间……然后又很昂贵。
WinBox(
CVE-2018-14847 )中的漏洞表明,很少有人能够正确配置RouterOS。 而且那些设置更新固件的人很少。 尽管事实上最新的漏洞版本6.42已于2018年4月20日发布,但
我在Habr上的
文章在
全世界引起了轩然大波,
刚刚发现自己的路由器已通过此漏洞被黑客入侵的人继续写信给我...
物有所值Mikrotik并不总是能赢得消费者的青睐。 我的任务:找到网络设备,该设备通过“主”设备后,最多可为多达50人的小型办公室提供最大的功能。 而且,主要标准之一是安全性。 的确,例如,物流公司应该关注包裹交付给客户的速度,而不是担心脱落的网络和“悬挂”的终端。
外包给我带来了一个小型办公室,该办公室正在扩大,他下令安装基于Zyxel硬件套件的网络:ATP 200网关,两个Wi-Fi点和PoE控制的交换机。 鉴于我一直都忽略了合勤科技,因此这次经历非常有趣。
Keenetic不合酶据我所知,Keenetic作为Zyxel路由器的定制固件出现,由该公司保管。 2016年,keenetic从合勤(Zyxel)分离出来,开始生产自己的设备。
因此,现在Keenetic与Zyxel无关。
在我将Zyxel抱在怀里之前,我问过我的朋友网络人员的意见,这些意见与这些设备有何关系:
“我们不会将其放入数据中心,因为这不是企业决定。 但是我们的客户放承包商。 它就是有效的……设置并忘记。”
安全性
当然,我爬了看注册的
CVE(常见漏洞和披露) 。
2018年注册的CVE:
→
D-Link-dofiga→
RouterOS-仍然会打from的6个漏洞....→
思科-不仅仅是D-link即使是新西伯利亚鲜为人知的
Eltex也有5个漏洞。
Zyxel 7易受攻击的网络 。
Zyxel使我感到CVE-2018-9149漏洞具有最高危害等级:
Zyxel Multy X(AC3000三频WiFi系统)设备没有使用合适的机制来保护UART。 攻击者拆除设备并使用USB至UART电缆连接设备后,他可以使用1234密码作为root帐户登录系统。 此外,攻击者可以将设备的TELNET服务作为后门启动。
我立即回想起我最喜欢的间谍激进分子的镜头,其中主角/恶棍通过绳子穿过基地,紧贴某个盒子,并用电线阻止/发射旨在……的核导弹。
也就是说,要利用此漏洞,攻击者必须使用特殊的
USB-to-UART电缆
物理连接到Wi-Fi点!
我对合勤的CVE可靠性没有任何疑问。
开箱
盒子已经来了,墙壁仍然被粉刷过。 在家打开包装。
我的第一印象是体重! ATP 200的小尺寸(272x36x187 mm)重量为1.4千克。 接入点也明显比Ubiquiti重。
虚线框中没有电源。 具有适当安装的此类设备由PoE供电。 为此购买了GS1200-5HP网管型交换机。
首次列入
我用电缆通过网关的P4端口(从lan)将ATP200连接到笔记本电脑。 在wan1中,我插入了有线互联网,在具有Hi-Link固件的USB1 E3272中插入了USB2,并在“ USB调制解调器”模式下将Android手机插入了USB2。 它加载了大约一分钟。 在“快速入门”中,我爬上了192.168.1.1。 这是我的头等大事。 Webmord可在SSLv3上运行,而SSLv3在现代浏览器中已关闭。 我们包括:
首次登录时,与RouterOS不同,它使您无需更改密码即可继续进行下一步。 接下来,“向导”开始,在该向导中,我指示我要使用第二个端口wan(p3)。 “主”没有看到任何其他设备。
默认情况下也保留服务。
由于有无线点,因此我立即打开WiFi控制器:
安全性的另一个优点:极其危险的功能默认情况下处于关闭状态:
我们重新登录,并立即收到有关新固件的通知。
仅此而已! 一台笔记本电脑可以上网! 正确,仅通过wan1端口。
备用频道
我们进入配置,将USB调制解调器和Android手机添加到WAN端口组。 在“配置→接口”中,只有Hi-link调制解调器处于活动状态。 Androidphone仍然无法识别。
在连接属性中,可以通过以下方式设置通道检查:
如果运营商已经限制了连接,则还可以根据通信量来设置受限连接的参数。
接下来,我们需要允许通过此调制解调器释放客户端。 我使它等效于我停留在wan1中的通道:
单击下面的“应用”即可! 整个网络将同时通过两个渠道。
连接wifi
这里有点复杂。
编辑安全性配置文件。
配置→对象→接入点配置文件→SSID→安全配置文件列表。 选择默认配置文件,然后单击“编辑”:
我们指定wpa2并在网络密钥的正下方。
保存并转到下一个选项卡“ SSID列表”。 我们通过设置点名称来编辑配置文件“默认”。
我们已经为自己编辑了默认点的设置。
现在,我们允许自动注册“空”点。
我们在PoE交换机中包括了点。 交换机包含在lan端口(p4-p7)中。 而且...仅此而已。 自动检测点,并在其上加载配置。
关闭自动捕捉点。 加上安全业力。
点击“应用”,享受新的网络。
接下来是什么?
我们深入安全。 网络万古长青,保护内外! 好的办公室管理员的必不可少的法律是,在所有娱乐活动中只保留单人纸牌!
我真的很喜欢应用程序巡逻功能。 像Mikrotik一样,无需费心编写用于过滤L7的正则表达式指令。 它已经在那里。 只需添加政治即可,仅此而已。
阻止即时通讯员,在线游戏或社交网络,而年轻管理员不会出汗,流血和流泪。
仪表板就像大多数老板喜欢的那样:带有图片和图表。 您可以查看呼叫最常去的地方,被阻止的内容以及呼叫的数量等等。
Zyxel有一个中央管理系统Nebula,并由发给我的Wi-Fi积分提供支持。 乍一看,它是
SDN ,正在大型数据中心中积极实施。 但是这个话题是另一篇文章:-)
然后,全球网络开放空间中的笔记本电脑已经找到了800多页的
说明书 ,并且
手册的数量也
差不多 。
执照
可悲的是,用于更新的签名数据库的许可证并不是无止境的,并且在首次激活网关后,会在一年内更新签名。 接下来,您需要续订。
每年的金牌订阅费用为38,600卢布,银牌订阅费用为29,000。
在每种情况下都有一个利益问题。 例如,使用ATP200,每月只需为3万保持管理员身份,然后每年以4万的价格购买许可证,或者将Mikrotik与add一起使用。 服务器(Surikatu附近),并以每月80k的费用保留“大胡子”管理员。
结论
对我来说,我遇到的Zyxel腺体的优点是:
- 易于安装;
- 缺乏典型任务的“拐杖”;
- 一铁办公室的必要功能;
- 安全设置简单;
- 设置密码的要求。
Zyxel ATP200网关的功能非常广泛。 此外,许多功能是在一个硬件中实现的,因此不必阻塞诸如
Mikrotik + Suricata之类的复杂结构。
同样,基本功能可以在短时间内轻松部署。
当然,也有缺点。 您需要习惯于配置逻辑。 ATP200知道很少的隧道协议;例如,它不适合转发SSTP隧道。
必须为特定任务选择任何设备。
使用合勤设备(ZCNA)进行的培训比竞争对手便宜-15,000卢布! 官方MTCNA-22,000卢布起。 思科无疑在竞争中脱颖而出-无论是在课程种类上还是在成本上,都接近飞机的细节。
由于并非Habré上的每个人都可以发表评论,并且我在Telegram中找不到有效的Zyxel聊天,因此我创建了
@zyxelru 。 我邀请您讨论使用Zyxel设备的情况,设置和其他技巧,以及有关“搜索”按钮的“寻找”按钮系列的有关Habr的新文章的想法。