Обзор, настройка и тестирование Zyxel ZyWALL ATP200

Рейтинг
Оценка: 5Голосов: 1Комментарии: 1

На заре распространения интернета, когда соединение осуществлялось по телефонным линиям с помощью dial-up модемов, среди домашних пользователей особым почетом и уважением пользовались девайсы всего двух производителей: U.S.Robotics и Zyxel. Они отличались надежностью и стабильностью соединения, но Зайксель, кроме прочих преимуществ, был адаптирован к советским сетям более других. С тех пор многое поменялось, технологии передачи данных шагнули далеко вперед, появились новые бренды, новые скорости, новые возможности.

Вплоть до конца 2000-х, на рынке Zyxel был представлен в основном устройствами для домашних пользователей. Однако с ростом спроса на корпоративные решения в сетевой безопасности, компания начала разрабатывать оборудование операторского класса и Enterprise сегмента. Ниже я расскажу о программно-аппаратном комплексе сетевой безопасности ZyWALL ATP200, который был разработан специально для SMB – компаний.

Немного предыстории. Я админю небольшую IT-компанию. После небезызвестной истории с утечкой данных у SoftServe, мое руководство озаботилось дополнительными мерами безопасности. После всестороннего изучения оборудования разных производителей, выбор был сделан в пользу Zyxel ZyWALL ATP200.

Причин для этого было несколько. Во-первых, это соотношение цена/возможности. При прочих равных с оборудованием других производителей, Зайксель был вне конкуренции. Во-вторых, оборудование поставляется с годичной лицензией Gold Security Pack с возможностью продления. Сюда включены облачные механизмы анализа трафика, определения угроз и много другое. Детально со всеми элементами защиты в составе лицензии я рекомендую ознакомиться на сайте производителя. Третья причина, по которой выбор был остановлен на Zyxel ZyWALL ATP200, это облачный сервис анализа сетевого трафика и угроз.

Но обо всем по порядку. Итак, сначала распаковка.

Упаковка, внешний вид, комплектация и порты

У меня в руках оказалась обычная картонная коробка, внутри который находился сам шлюз.

Коробка со шлюзом

Рис.1. Коробка со шлюзом Zyxel ZyWALL ATP200

 

Внутри коробки Zyxel ZyWALL ATP200

Рис.2. Внутри коробки Zyxel ZyWALL ATP200

 

Традиционно производитель комплектует свое оборудование некоторым количеством буклетов с рекламной и другой информацией, которая должна помочь пользователю разобраться в первоначальной настройке и подключении оборудования.

Zyxel ZyWALL ATP200 комплектуется блоком питания (12 В / 2 А), креплениями для установки в 19″ стойку и всеми необходимыми винтами.

Блок питания

Рис.3. Блок питания

 

Крепления для установки в 19"

Рис.4. Крепления для установки в 19″

 

Данный конкретный экземпляр был произведен для стран Европы, поэтому к блоку питания идут две съемные вилки: европейского и британского стандартов.

Файервол упакован в транспортировочный толстый пластиковый пакет для защиты от царапин и попадания влаги внутрь изделия. После распаковки можно детально ознакомиться с индикаторами и портами Zyxel ZyWALL ATP200, а также их расположением на передней панели. Слева направо:

  • индикаторы питания и работы системы;
  • кнопка сброса настроек на заводские значения;
  • два порта USB 3.0;
  • индикаторы работы SFP-порта;
  • шахта для SFP-модуля (Р1);
  • порты WAN (Р2, Р3);
  • порты LAN/DMZ (Р4-Р7).
Передняя и задняя панель ZyWALL ATP200

Рис.5. Передняя и задняя панель ZyWALL ATP200

 

К сведению, порт Р1 (SFP) может быть приписан как к WAN, так и к LAN интерфейсам. Таким образом, фактически к этому девайсу можно подключить трех провайдеров.

А на тыльной стороне расположились:

  • консольный порт (DB9),
  • кнопка включения/выключения устройства
  • разъем для стандартного штекера питания.

На нижней стороне присутствует информационная наклейка о соответствии Zyxel ZyWALL ATP200 разнообразным требованиям безопасности, шильдики с серийным номером устройства, МАС-адресами портов.

Информационная наклейка о соответствии Zyxel ZyWALL ATP200

Рис.6. Информационные наклейки Zyxel ZyWALL ATP200

 

Серийный номер устройства, МАС-адрес портов

Рис.7. Серийный номер устройства

 

Кроме того, здесь же есть отверстия для крепления оборудования на стену в вертикальном положении.

А вот так Zyxel ZyWALL ATP200 выглядит в коммутационном шкафу.

ATP200 в коммутационном шкафу

Рис.8. ATP200 в коммутационном шкафу

Компания, в которой я работаю, подключена к двум провайдерам. До файеврола Zyxel здесь стоял USG совместно с UCK, двумя точками доступа UniFi AC-Lite и одной UniFi AC-LR. Все это оборудование, за исключением USG, осталось и работает в штатном режиме.

Первое подключение

Как видно на предыдущем фото, я подключил Zyxel ZyWALL ATP200 к двум провайдерам, а первый LAN-порт завел в свитч, к которому подключена офисная инфраструктура. По умолчанию, на портах Р4-Р6 включен DHCP-сервер, который раздает IP-адреса из сетей 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 соответственно, а Р7 – резервный, который можно включить в любую из этих сетей или сделать отдельную.

Традиционно, для всех устройств Zyxel вход в админ панель осуществляется по IP-адресу 192.198.1.1 с логином/паролем: admin/1234. После авторизации предлагается изменить пароль и обновить прошивку устройства.

Вход в админ панель

Рис.9. Вход в админ панель

 

Прошивка обновлена, и теперь следует выполнить следующие шаги:

  • настроить подключение ко второму провайдеру;
  • зарегистрировать устройство;
  • активировать сервисы безопасности и другое.
Настройка подключения ко второму провайдеру и регистрация устройства

Рис.10. Настройка подключения ко второму провайдеру и регистрация устройства

 

Активация сервисов безопасности

Рис.11. Активация сервисов безопасности

 

Параллельно я создал аккаунт на сайте https://portal.myzyxel.com и зарегистрировал устройство для активации лицензий.

Создаем аккаунт на сайте https://portal.myzyxel.com

Рис.12. Создаем аккаунт на сайте https://portal.myzyxel.com

 

Регистрация устройства

Рис.13. Регистрация устройства

 

Результат регистрации

Рис.14. Результат регистрации

 

После этого, в самом устройстве также появились активированные сервисы.

Появились активированные сервисы

Рис.15. Появились активированные сервисы

 

Если на сайте https://portal.myzyxel.com зайти на любой из этих фильтров, то можно увидеть следующее

Предусмотрен 30-дневный ознакомительный период

Рис.16. Предусмотрен 30-дневный ознакомительный период

 

На скриншотах показано, что для всех опций предусмотрен 30-дневный ознакомительный период, по окончании которого начинает работать основная лицензия.

И вот теперь можно спокойно изучить web-интерфейс оборудования, его настройки и возможности.

Web-интерфейс оборудования

Рис.17. Web-интерфейс оборудования

 

На главной странице во вкладке ОСНОВНАЯ ИНФОРМАЦИЯ визуализировано само устройство, где показаны подключенные порты, а также основные параметры загрузки процессора, использования ОЗУ и FLASH, статус обновления ПО, количество активных сессий и статистику приема/передачи по каждому сетевому интерфейсу.

Соседняя вкладка – РАСШИРЕННАЯ ЗАЩИТА ОТ УГРОЗ – показывает информацию о работе фильтров.

Вкладка – расширенная защита от угроз

Рис.18. Вкладка – расширенная защита от угроз

 

Поскольку файервол Zyxel ZyWALL ATP200 работает уже больше недели, то и данные по выявленным/заблокированным угрозам тут присутствуют.

Закладка с волшебной палочкой. При клике на нее появляется вот такое окно:

Закладка — быстрая настройка

Рис.19. Быстрая настройка Zyxel ZyWALL ATP200

 

Тут все просто: выбирается нужная опция Zyxel ZyWALL ATP200 и настраивается в несколько кликов. Например, пользователь а123, который был создан только для теста.

Нужные опции и настройки

Рис.20. Нужные опции и настройки

 

Системный лог

Рис.21. Системный лог

 

И скриншот логов, как происходило соединение. Кроме белых IP-адресов (офисного и моего домашнего), которые я заблюрил, в логе виден серый айпишник моего компьютера – 10.11.12.3, который спрятан за NAT.

Аналогичным образом настраивается туннелирование или VPN-соединение между хостами.

Здесь я сделаю небольшое отступление. По умолчанию, доступ к веб-интерфейсу устройства напрямую из глобальной сети закрыт, только из локалки или по VPN, а разрешения по умолчанию (политика № 10) не открывают полный доступ.

Доступ к веб-интерфейсу

Рис.22. Доступ к веб-интерфейсу

 

Разрешения по умолчанию

Рис.23. Разрешения по умолчанию

 

Добавляем нужные объекты в сервисную групу

Рис.24. Добавляем нужные объекты в сервисную групу

 

На скриншотах видно, что решить проблему можно двумя способами: добавить нужные объекты в сервисную группу разрешений или в политике безопасности разрешить любой сервис. Но, поскольку смысл установки Zyxel ZyWALL ATP200 состоит в обеспечении максимальной безопасности сети, давать даже гипотетическую возможность получить доступ к управлению файерволом считаю нецелесообразным.

Теперь вкратце пройдусь по настройкам. В пункте меню ЛИЦЕЗИРОВАНИЕ показаны статус регистрации устройства, запущенные сервисы безопасности и сведения об их обновлении.

Запущенные сервисы безопасности и сведения об их обновлении

Рис.25. Запущенные сервисы безопасности и сведения об их обновлении

 

Все, что касается вкладки БЕСПРОВОДНАЯ СЕТЬ я пропущу, поскольку используемые в нашей компании АР от Ubiquiti не могут управляться Zyxel ZyWALL ATP200. Лишь упомяну, что здесь полностью настраивается инфраструктура беспроводной сети на основе точек доступа от Zyxel, контроллером которых может выступать АТР200.

Теперь о пункте меню СЕТЬ. В подпункте ИНТЕРФЕЙС перечислены все типы физических и виртуальных интерфейсов, которые могут быть задействованы в работе файервола. Поскольку логика обработки запросов на любом порту одинакова для любого устройства, просто приведу несколько скриншотов для общего понимания.

Порты

Рис.26. Порты

 

Интерфейсы

Рис.27. Интерфейсы

 

Как я упоминал ранее, SFP порт может быть назначен как в зону WAN, так и в зону LAN, и может выполнять соответствующую роль. Здесь же можно настроить альтернативный канал связи при помощи 3G/4G модемов, организовать туннель, мост, транк и объединить разрозненных пользователей в одну VLAN.

Остальные пункты меню:

  • маршрутизация (в т.ч. и статическая);
  • динамический DNS;
  • NAT;
  • проброс портов;
  • SIP ALG;
  • UPnP;
  • привязка IP/MAC-адресов;
  • L2- изоляция
  • балансировка нагрузки с использованием DNS интуитивно понятны любому специалисту, работающему с сетевым оборудованием.

Например, по последнему пункту. Выше я рассказывал, что ZyWALL ATP200 подключен к двум провайдерам. Проверка доступности сервиса – традиционная, отправка ICMP-запросов на какой-нибудь внешний адрес, в моем случае это DNS от Google.

Проверка доступности сервиса

Рис.28. Проверка доступности сервиса

 

Изменение правил маршрутизации

Рис.29. Изменение правил маршрутизации

 

На втором скриншоте показан момент отключения второго провайдера, изменение правил маршрутизации, его включение обратно и проверка доступности внешнего узла.

К сведению, некоторые провайдеры ставят перенаправление DNS-запросов к известным DNS-серверам на свой внутренний кеширующий сервер. Поэтому для проверки доступности я рекомендую выбрать какой-нибудь внешний ресурс, причем не по IP-адресу, а по доменному имени, например, youtube.com, amazon.com или другие с аптаймом 99,99%.

О настройке VPN я вкратце рассказал выше, там все просто и понятно. В закладке BWM можно настроить приоритетность определенного вида трафика (1 – максимальный) и ограничение полосы пропускания для какого-нибудь сервиса, пользователя, хоста или подсети (как для внутренней, так и для внешней сети), а также расписание применения этих ограничений. На закладке WEB-АУТЕНТИФИКАЦИЯ настраивается авторизация пользователей. В частности, это можно использоваться при организации hot-spot. Здесь же настраивается SSO.

Теперь настал черёд рассмотреть настройки безопасности. Ведь это именно то, от чего зависит защита внутренней сети. Итак, по порядку. ПОЛИТИКИ БЕЗОПАСНОСТИ, уже присутствующие по умолчанию (пп. 2-14), практически полностью перекрывают потребности большинства пользователей и предприятий.

Политика безопасности

Рис.30. Политика безопасности

 

Единственное, что я изменил – это разрешил доступ к веб-интерфейсу Zyxel ZyWALL ATP200 с определенных адресов (п. 11) доступ к веб-серверу, который находится за NAT (п. 1). Фильтрация контента для пользователей внутренней сети (BPP – Business Productivity Protection) по умолчанию выглядит так, как на втором скриншоте. В зависимости от требований, можно отметить галочками нужную категорию контента или настроить его доступность по другим критериям.

Определение аномалий пакетов и трафика. Фактически это набор правил, в соответствии с которыми внутренняя сеть защищается от флуда, сканирования портов и других атак.

Определение аномалий пакетов и трафика

Рис.31. Определение аномалий пакетов и трафика

 

Правила, которые видны на скриншотах, уже включены по умолчанию. В случае необходимости, их можно изменить, или создать собственные.

КОНТРОЛЬ СЕССИЙ. Из названия понятно, что в этом пункте Zyxel ZyWALL ATP200 блокирует запросы хоста из внутренней сети наружу при превышении их количества как для всей подсети, так и для отдельного пользователя.

Контроль сессий

Рис.32. Контроль сессий

 

На скриншоте видно, что файервол заблокировал хост, у которого количество одновременных сессий достигло лимита в 5000. На этом компьютере установлена ОС Linux Mint. Сотрудник, работающий за ним, является Dev React разработчиком. Какое именно из его приложений требовало столько соединений, я не знаю, но большинство из сессий было DNS-запросами на сервер 1.1.1.1, расположенный в Австралии.

Следующий пункт меню – ПАТРУЛЬ ПРИЛОЖЕНИЙ. Тут все просто: по умолчанию дропаются известные анонимайзеры, работающие по разным протоколам. Они занесены в список МОИ ПРИЛОЖЕНИЯ. Действие, которое с ними выполняется, можно изменить на другое, например, отклонить или разрешить.

Патруль приложений

Рис.33. Патруль приложений

 

Но в список можно добавить и любые другие приложения. На скриншоте видно, что я задал поиск по слову twitter, и мне выдало приложения, которые ему соответствуют. Если я занесу их в список, то могу запретить их активность как всем вместе, так и каждому по отдельности. И так можно сделать как с целыми категориями (например, форумы, пиринговые сети и другие), так и с отдельными приложениями.

КОНТЕНТ-ФИЛЬТР, как явствует из названия, блокирует ресурсы с нежелательным содержимым. Как я упоминал ранее, Zyxel ZyWALL ATP200 по умолчанию ограничивает доступ к разным сайта в соответствии с фильтром BPP – Business Productivity Protection. Список подозрительных и вредоносных доменов и IP-адресов он берет из облака.

Рис.34. Контент-фильтр

Рис.34. Контент-фильтр

НО!!! Некоторые из них туда попали явно по ошибке. Например, мне пришлось внести в белый список два IP-адреса (заблюренные) – это клиентские база данных, с которыми работает команда программистов. Следующие домены относятся к сервисам мониторинга Azure. Причем список доменов я взял с официального сайта.

Эти же IP-адреса и домены я добавил в белый список пункта меню РЕПУТАЦИОННЫЙ ФИЛЬТР во всех пунктах подменю.

Белый список

Рис.35. Белый список

 

Рис.36. Фильтр IP

Отслеживание всех подозрительных доменов

Рис.37. Отслеживание всех подозрительных доменов

 

На последнем скриншоте видно отслеживание всех подозрительных доменов, причем указанные выше добавлены в белый список, причем мониторинг все равно осуществляется. Информация и изображения взяты из облачного сервиса от Zyxel под названием SecuReporter, который привязан к Zyxel ZyWALL ATP200. Рассказ об его возможностях требует отдельной статьи, поэтому здесь будет только упоминание о нем.

Настройки АНТИВИРУСА. Ничего сложного, подозрительные файлы, сигнатур которых нету в его базе, отправляет в облачную ПЕСОЧНИЦУ, где проводится более детальный анализ.

Безопасность

Рис.38. Безопасность

 

Выше – несколько скриншотов соответствующих пунктов меню. Небольшой комментарий по поводу БЕЗОПАСНОСТЬ ПОЧТЫ: сотрудники в нашей компании не пользуется почтовыми приложениями для работы, весь обмен письмами осуществляется через веб-интерфейс, поэтому я счел нецелесообразным активировать эту функцию.

Понемногу движемся дальше. С Сервисами безопасности немного разобрались, переходим к пункту меню ОБЪЕКТ. Поскольку беспроводная сеть построена не на оборудовании Zyxel, то и соответствующие настройки я не трогал, кроме тех, которые нужны в работе.

ЗОНА. Настройка определяет, к какой из сетей отнести тот или иной физический или виртуальный интерфейс. По аналоги, это можно назвать бриджем, но только в отношении внутренних интерфейсов. Внешние интерфейсы просто относятся к единой группе WAN.

Внешние интерфейсы

Рис.39. Внешние интерфейсы

 

По пользователям все просто: создаем юзера, присваиваем ему роль, добавляем в нужную группу и настраиваем таймаут, время неактивности, смены пароля, его сложность и некоторые другие моменты.

В закладке Адрес/Geo IP указываются подсети для интерфейсов, разрешенные или запрещенные айпишники, которые затем можно группировать и применять политики безопасности как к отдельному хосту, подсети, так и к группе адресов.

Адрес/Geo IP

Рис.40. Адрес/Geo IP

 

Аналогичная ситуация с сервисами. Выше я уже описывал, что в политиках по умолчанию доступ к панели управления Zyxel ZyWALL ATP200 извне ограничен только несколькими из них. При желании, сервисы группируются, и им дается разрешение/запрещение на доступ.

Теперь о расписаниях, серверах и методах аутентификации. В случае необходимости задается время разрешения/ограничения доступа для пользователей, хостов, сетей и сервисов. Причем расписание может быть циклически повторяемым: период времени несколько раз в определенный день недели, каждый день и т.д.

Аутентификация

Рис.41. Аутентификация

 

Аутентификация пользователя происходит одним из трех возможных способов, которые показаны на скриншоте. Кроме того, доступна двухфакторная (MFA) аутентификация с отправкой кода в SMS или e-mail сообщении.

Использование сертификатов для подключения к сервисам файервола, по VPN или к веб-интерфейсу устройства позволяет достигнуть еще большей защиты внутренней сети. По умолчанию в Zyxel ZyWALL ATP200 уже присутствует сертификат для доступа к облачному сервису SecuReporter.

Сертификат для доступа к облачному сервису SecuReporter

Рис.42. Сертификат для доступа к облачному сервису SecuReporter

 

Эта настройка связана с Cloud CNM, в которой указывается, какие именно категории отслеживаемых опасностей следует включать в отчет. К сведению, SecuReporter может отправлять как ежедневные/еженедельные отчеты, так и оповещать администратора по e-mail о подозрительном трафике или активности приложений. Но, как я уже говорил выше, облачное решение мониторинга от Zyxel требует написания отдельного текста.

Отдельно хотел бы обратить внимание на пункт меню ПРОФИЛЬ ISP.

Меню профиль ISP

Рис.43. Меню профиль ISP

 

Здесь можно заранее прописать логин/пароль и метод подключения к нескольким провайдерам, причем при необходимости переключения на какого-либо другого, достаточно просто выбрать профиль для конкретного физического интерфейса WAN.

На настройках системы, как и на настройках логов и отчетов, останавливаться подробно не буду, в них нет ничего особенного или непонятного для системного администратора.

Теперь о плюсах и минусах. Из недостатков я бы отметил немного запутанное, на первый взгляд, меню. Но со временем начинаешь понимать логику и все становиться на свои места. Второе, что можно было бы исправить, это исключение из облачных списков подозрительных и опасных доменов/адресов, тех, которые традиционно предоставляются Microsoft, Amazon, Google для разработки, тестирования, анализа и мониторинга веб-приложений.

Позитивные моменты для меня были очевидны изначально. Разрешен только необходимый минимум для работы. Все остальное запрещено. Затем, по мере потребностей, можно понемногу разрешать некоторые моменты и мониторить активность. Еще один плюс — очень гибкие и тонкие настройки политик безопасности, различных сервисов, пользователей и групп, которые позволяет филигранно, вплоть до мелочей, обеспечить практически любые разрешения или запреты.

Напоследок, краткое резюме. Основная настройка устройства была выполнена практически сразу. Но, как я упоминал выше, ZyWALL ATP200 обеспечивает защиту небольшой IT-компании, и в ходе работы блокирует все, что ему не нравится. Поэтому я в течение недели анализировал жалобы сотрудников на запрет доступа к определенным хостам, блокировку некоторых ресурсов и другие ограничения. Каждый раз на решение проблемы уходило не более нескольких минут.

Я предполагаю, что в ходе работу файервола еще неоднократно будут возникать некоторые вопросы, которые нужно будет оперативно решать. Но, на мой взгляд, лучше потратить на это некоторое время, обеспечив безопасность сети и данных, чем постфактум, в срочном порядке латать дыры и объясняться с недовольными заказчиками.

Вас может заинтересовать

 
31259 грн 1160.33 у.е.
Купить
 
5361 грн 199 у.е.
Купить
 
3368 грн 125 у.е.
Купить
 
2883 грн 107 у.е.
Купить
1 2 »

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да Отмена

Об авторе asp24