Межсетевой экран Zyxel ZyWALL ATP 100 для защиты сети от вторжений

В 2019 году на конференции ASLAN в Испании компания Zyxel Communications Corporation представила свои новые решения в сфере безопасности сетей, в их числе линейку межсетевых экранов ATP. Сегодня ко мне приехала на обзор младшая модель, ориентированная на малый бизнес — ZyWALL ATP 100 Firewall.

ZyWALL ATP 100

Рис.1. Вид спереди ZyWALL ATP 100 

ZyWALL ATP 100

Рис.2. Вид сзади ZyWALL ATP 100

 

Линейка ATP создана для защиты коропоративных сетей малого и среднего бизнеса от сетевых угроз, в том числе и атак “нулевого дня”. Разработчики Zyxel в одном корпусе собрали всё самое необходимое: облачное обучение для защиты от новых угроз, фильтр ботнет сетей, потоковый антивирус. Весь трафик проходящий через устройства линейки ATP тщательно анализируется на предмет угроз.

Распаковку брандмауэра ZyWALL ATP 100 смотрите на нашем youtube-канале.

Рекомендации производителя

Рис.3. Рекомендации производителя на упаковке

 

Давайте поочередно разберёмся со всем функционалом межсетевого экрана по порядку. Для начала производитель рекомендует нам перейти на сайт myZyxel.com (обязательно версия 2.0), создать аккаунт, зарегистрировать наш продукт и активировать лицензию.

Регистрация

Рис.4. Форма регистрации

 

На самом деле с регистрацией все просто, сайт русскоязычный, все пункты понятны, их всего 4: тип аккаунта, персональные данные, данные о вашей компании (обязательны к заполнению только если будет выбран тип аккаунта Бизнес или Реселлер) и принятие лицензионного соглашения, где вам предложат ввести каптчу. Подтверждаем нашу учётку перейдя по ссылке присланной на e-mail и попадаем в личный кабинет.

Регистрация устройств

Рис.5. Форма регистрации устройств

 

Следуя инструкции переходим в раздел “Регистрация устройства”, вводим MAC-адрес и серийный номер ATP, кликаем Войти.

Переходим в раздел “Управление устройствами — Устройства”, видим наш ATP 100, кликаем на MAC-адрес.

Управление устройствами

Рис.6. Раздел “Управление устройствами-Устройства”

 

Попадаем в раздел “Сведения об устройстве”, где отображается версия текущей прошивки, владелец устройства, дата последнего входа в сеть, ip адрес, MAC и серийный номер устройства.

Сведения об устройстве

Рис.7. Раздел “Сведения об устройстве”

 

Переходим в раздел “Подключённые сервисы” и “Активировать серивисы”.

Подключённые сервисы

Рис.8. Раздел “Подключённые сервисы”

 

В этом же разделе можно узнать срок действия лицензий, в основном это 1 год.

Перед тем, как перейти к настройке самого ATP 100, хотелось бы упомянуть о технических характеристиках аппарата в сравнении с его старшими собратьями.

Сравнительная таблица

Рис.9. Сравнительная таблица характеристик линейки ATP

 

Подключаемся в LAN порт и стучимся по адресу 192.198.1.1, логин: admin, пароль: 1234. Если появится окно сообщения о сертификате или предупреждение системы безопасности, нажмите на кнопку “ДА” для продолжения настройки.

Окно входа

Рис.10. Окно входа в веб-интерфейс

 

Система сразу предложит создать новый пароль.

Новый пароль

Рис.11. Создание нового пароля

 

При входе система сразу предлагает обновиться, отказываться не рекомендую, так как новая версия ПО несёт в себе новый функционал и повышенную стабильность.

Обновление

Рис.12. Подтверждаем обновление

 

Перезагрузка

Рис.13. Соглашаемся на перезагрузку

 

В моём случае новая версия весила 143 Мб, процесс обновления занял около 5 минут. У ATP 100 как и у любого коммутатора есть два образа, в нашем случае это Running с новой версией ПО и Standby со старым ПО. В случае сбоя первого образа — система запустит второй.

Микропрограмма

Рис.14. Раздел “Микропрограмма”

 

Поговорим вкратце о настройках.

Настройка-Сеть-Интерфейс-Ethernet

Рис.15. Раздел “Настройка-Сеть-Интерфейс-Ethernet”

 

В этой вкладке настраивается сетевое подключение к оператору. Любой порт можно назначить WAN-ом, здесь же можно указать параметры PPP и настроить 4G модем для резервной связи. Так же есть возможность создать туннель к удалённому объекту, настроить vlan или trunk.

VPN-L2TP VPN

Рис.16. Раздел “VPN-L2TP VPN”

 

Поверх VPN можно легко поднять IPSec, настроить L2TP и SSL, что подразумевает безопасный туннель к филиалу или партнёру.

Теперь к самым главным инструментам ATP 100, которые находятся в разделе Сервисы безопасности.

Первый из них Патруль приложений создан для контроля трафика веб ресурсов и приложений, сигнатуры которых производитель добавил в устройство. Здесь есть 31 категория + поиск, я тренировался на Telegram. Любому ПО доступному в списке можно конкретно обрезать функционал, например запретить в Telegram пересылку файлов, дабы обмен файлами осуществлялся исключительно через email из белого списка.

Сервисы безопасности-Патруль приложений (Доступные на выбор категории)

Рис.17. Раздел “Сервисы безопасности-Патруль приложений” (Доступные на выбор категории)

 

Контроль приложений осуществляет классификацию и анализ трафика на всех уровнях OSI. Во время передачи данных Патруль приложений анализирует первые пакеты, и в случае совпадения сигнатур помечает как сессию. Если совпадений не обнаружено — такой трафик попросту игнорируется. На самом деле очень полезная функция, при помощи которой можно внутри сети запретить месенджеры или урезать пропускную способность YouTube. Сценариев очень много, ежедневно Zyxel пополняют базу сигнатур, в текущий момент их больше трёх тысяч.

Следующий по списку идёт Контент-фильтр. С помощью него можно заблокировать доступ к абсолютно любому сайту или ip адресу.

Сервисы безопасности-Контент-фильтр (Категории веб-сайтов)

Рис.18. Раздел “Сервисы безопасности-Контент-фильтр” (Категории веб-сайтов)

 

По категориям можно заблокировать соц сети, сайты террористических организаций, порно и многих других нежелательных страниц. Так же присутствует блокировка по расписанию. Так соц сети можно разрешить на обеденный перерыв. Есть белый и черный список сайтов, блокировка работает и по HTTPS протоколу. Контент-фильтр проверяет адреса сайтов в облачной базе данных, которая обновляется ежедневно. Обнаружив зловредный сайт самостоятельно – можно отправить его в базу данных на рассмотрение, после чего он будет внесён в список вредоносных ресурсов.

Антивирус — столь знакомая нам программа в линейке ATP реализована антивирусом Zyxel AV и антиспамом Zyxel AS, база данных которого поддерживает более 700 000 сигнатур вирусного ПО.

Сервисы безопасности-Антивирус

Рис.19. Раздел “Сервисы безопасности-Антивирус”

 

Как антивирус премиум класса, он может в режиме реального времени сканировать файлы на предмет вирусов, троянов, червей. Сканируются файлы без ограничения по размеру, проверке подлежит и содержимое архивов, если же он зашифрован — содержимое удаляется. В случае отсутствия данных о вирусе в локальной БД, хеш-сумму файла сравнивают в облаке. Таким образом вероятность прикосновения вирусов на ПК равняется 0.

Репутационный фильтр умеет блокировать по IP-адресу согласно белого и чёрного списка. На выбор можно отметить типы киберугроз, чтобы предотвратить запросы на сервера злоумышленников. Данные по ним содержаться в локальной базе данных, которая постоянно обновляется.

Сервисы безопасности-Репутационный фильтр-IP репутация

Рис.20. Раздел “Сервисы безопасности-Репутационный фильтр-IP репутация”

 

Фильтр ботнетов

Этот чудесный сервис содержит базу данных IP и URL небезопасных ресурсов. Он блокирует запросы клиентов к хостам, которые входят в ботнет или попросту представляют угрозу. При обнаружении такого запроса клиенту выкинет страницу с предупреждением и перенаправлением. Здесь также имеются белый и чёрный список, согласно которым будут блокироваться запросы к удалённым серверам.

Сервисы безопасности-Репутационный фильтр-Фильтр ботнетов

Рис.21. Раздел “Сервисы безопасности-Репутационный фильтр-Фильтр ботнетов”

 

Защита IDP — осуществляет разбор анализ трафика на уровне OSI с 4 по 7. Сервис следит за попытками использования известных уязвимостей в различных приложениях а также операционных системах. Поиск осуществляется по базе данных сигнатур, которая постоянно обновляется. Также здесь есть белый список, а также возможность самостоятельно добавлять правила фильтрации.

Сервисы безопасности-Защита IDP

Рис.22. Раздел “Сервисы безопасности-Защита IDP”

 

Песочница — на самом деле она расположена в облаке Zyxel, куда ATP отсылает вызывающие подозрения файлы, сигнатуры которых не совпадают с базой данных. В облаке файл открывается внутри виртуальных ОС и сканируется полноценным антивирусом, у который обладает огромной производительностью для быстрого анализа. Если файл действительно заражён — его сигнатура попадёт в облачную базу данных, после чего будет разослана по всем ATP в мире, чтобы предотвратить новые угрозы.

Сервисы безопасности-Песочница

Рис.23. Раздел “Сервисы безопасности-Песочница”

 

Хочу отметить что в облако ATP отправляет файлы размером от 32 байт до 8 Мбайт. Песочница поддерживает все типы расширений пакета Microsoft Office, а также .exe, .swf, .pdf, rtf.

Безопасность почты — это сканер почтового трафика по стандартным протоколам SMTP/POP3. Естественно, есть Белый и Черный списки для фильтрации по e-mail, ip отправителя, теме письма. Одновременно производиться проверка письма на содержание спама или вирусов.

Сервисы безопасности-Безопасность почты

Рис.24. Раздел “Сервисы безопасности-Безопасность почты”

 

Инспектирование SSL

При передаче зашифрованного трафика ATP выступает в роли прокси, перехватывает данные, расшифровывает, проверяет на наличие вирусов и опасного ПО, затем снова шифрует. Можно создавать свои правила, есть список исключений. Также можно обновлять сертификаты с сервера обновлений Zyxel.

Сервисы безопасности-Инспектирование SSL

Рис.25. Раздел “Сервисы безопасности-Инспектирование SSL”

 

Исключение IP-адресов

Здесь всё максимально просто. Можно добавить любой IP-адрес и указать, применять ли к нему такие сервисы как Антивирус или Защита IDP.

Сервисы безопасности-Исключения IP-адресов

Рис.26. Раздел “Сервисы безопасности-Исключения IP-адресов”

 

Теперь ещё об одном полезном функционалe ADP, это система отслеживающая нетипичное поведение проходящего трафика. Работает система с протоколами ICMP, UTP, TCP и умеет блокировать такие методы атак как флуд, спуффинг, сканирование портов. База данных обновляеться вместе с прошивкой. Как таковых настроек в ADP нет, можно лишь выбрать какой сегмент сети будет сканироватся ADP.

Безопасность-ADP

Рис.27. Раздел “Безопасность-ADP”

 

Мы все верим в то, что устройства типа ATP надёжно защищают нашу сеть, но даже они подвержены атакам, так не совсем давно ATP был подвержен уязвимости, связанной с отправкой неаутентифицированных DNS-запросов и вшитыми учетными данными FTP. Эксплуатация данной уязвимости позволяет неавторизованному пользователю проверять наличие домена через web-интерфейс. «С помощью DNS-запроса неавторизованный злоумышленник может отправить сторонней службе DNS множество запросов с фальшивого источника или проверить наличие доменных имен во внутренней сети, защищенной межсетевым экраном». К счастью, уязвимость уже пофиксили, но помните, никто не гарантирует, что нет других слабых мест, о которых мы пока что не подозреваем.

Но не будем о грустном, можно подвести итоги. Их кстати собирает ATP в виде логов и хранит в течении 7 дней:)  Можно настроить ежедневную отправку отчётов на e-mail. Главной страницей отбражающей статистику заведует интелектуальный сервис аналитики — SecuReport. Он собирает все данные от служб, анализирует их и предоставляет их на странице ниже.

Dashboard-Расширенная защита от угроз

Рис.28. Раздел “Dashboard-Расширенная защита от угроз”

 

У меня за 7 дней статистика такова, ничего опасного мне не встретилось, тем не менее песочница сработала 12 раз, при этом загрузка файла действительно обрывалась и файл снова пришлось перекачивать. При попытке перейти на устройство в локальной сети ATP сигнализирует и требует подтверждения данного действия.

Предупреждение

Рис.29. Предупреждение

 

Dashboard-Основные настройки

Рис.30. Раздел “Dashboard-Основные настройки”

 

В Основных настройках собрана информация о портах, статистика использования CPU, ОЗУ, информация о версии микропрограммы и прочее.

Теперь о печальном, о лицензии которая после активации будут работать 365 дней, после чего придётся её возобновлять за деньги. Изначально ATP поставляется с лицензией Gold Security Pack, продлить такую же стоит примерно 11 000 грн. Так же есть лицензия Silver, которая отличается отсутствием Песочницы и SecuReport.

В целом младшая модель линейки ATP мне понравилась, здесь собрана готовая защита почти от любых попыток причинить вред сети. Остается лишь с ностальгией вспомнить, как раньше подымали Kerio Control, городили фаервол на FreeBSD, теперь всё в одной маленькой коробочке, к которой есть масса мануалов, а база знаний Zyxel даст ответ на любой вопрос.

Рекомендую ZyWALL ATP 100 Firewall всем сетевым администраторам, это устройство сильно облегчит вам жизнь!

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да Отмена

Об авторе Andrey_Kozhuhar