Network hardware
Network technologies
February 19

В поисках кнопки «Сделать хорошо». Zyxel в сети малого и среднего бизнеса

Роутеры Mikrotik шикарны с точки зрения сетевого инженера. Они позволяют строить невероятно сложные сетевые решения. И стоит оборудование смешные деньги.

Но для малого и среднего бизнеса, не связанного с индустрией IT, он крайне сложен в установке. Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании, либо обучить своего сисадмина. В первом случае дорого, втором — долго… и снова дорого.

Уязвимость в WinBox (CVE-2018-14847) показала, что мало кто способен корректно настроить RouterOS. А те, кто настроил — обновляют прошивки крайне редко. Несмотря на то, что последняя уязвимая версия 6.42 была выпущена 20 апреля 2018 года, моя статья на Хабр подняла шум во всём мире, мне по настоящее время продолжают писать люди, которые только что обнаружили, что их роутер взломан через эту уязвимость…

Соотношение «цена-возможности» Mikrotik не всегда играет в пользу потребителя. Моя задача: найти сетевое оборудование, которое после прохождения «мастера» обеспечивает максимальный функционал для маленького офиса до 50 человек. При этом один из главных критериев — безопасность. Ведь, например, логистическую компанию должна беспокоить скорость доставки посылки к заказчику, а не отваливающаяся сеть и «висящий» терминал.



На аутсорсинг ко мне попал разворачивающийся маленький офис, заказавший установку сети на базе комплекта оборудования Zyxel: шлюз ATP 200, две точки Wi-Fi и управляемый PoE свитч. Опыт оказался достаточно интересным, учитывая, что к Zyxel я всегда относился с пренебрежением.

Keenetic не Zyxel
Как мне известно, Keenetic появился как кастомная прошивка для роутеров Zyxel, которую компания взяла под свою опеку. В 2016 году keenetic отделился от Zyxel и стал выпускать своё оборудование самостоятельно.

То есть сейчас Keenetic не имеет никакого отношения к Zyxel.

Перед тем, как я получил Zyxel на руки, я поинтересовался мнением своих знакомых сетевиков, как они относятся к этому оборудованию:

«Мы его к себе в датацентры не ставим, ибо это не энтерпрайс решение. А вот нашим клиентам подрядчики ставят. Оно просто работает… Поставили и забыли.»

Безопасность


Разумеется, я полез смотреть зарегистрированные CVE (Common Vulnerabilities and Exposures).

За 2018 год зарегистрировано CVE:

D-Link — дофига
RouterOS — 6 уязвимостей, от которых до сих пор икается....
Cisco — больше, чем у D-link

Даже малоизвестный Eltex из Новосибирска имеет 5 уязвимостей.
Zyxel 7 уязвимосетей.

У Zyxel меня позабавила уязвимость CVE-2018-9149 с максимальным рейтингом опасности:
The Zyxel Multy X (AC3000 Tri-Band WiFi System) device doesn't use a suitable mechanism to protect the UART. After an attacker dismantles the device and uses a USB-to-UART cable to connect the device, he can use the 1234 password for the root account to login to the system. Furthermore, an attacker can start the device's TELNET service as a backdoor.

Сразу вспоминаются кадры из любимых шпионских боевиков, где главный герой/злодей проникает на базу по верёвке и цепляется к некой коробочке проводком, чтобы остановить/запустить ядерные ракеты, нацеленные на… *додумайте сами*.

То есть, чтобы воспользоваться этой уязвимостью, необходимо атакующему подключиться к Wi-Fi точке физически, используя специальный кабель USB-to-UART!

UART


Вопросов к надежности Zyxel по CVE у меня не осталось.

Распаковка


Коробочки пришли, а стены еще красят. Распаковываем дома.



Первое мое впечатление – это вес! ATP 200 весит 1.4 кг для своего маленького размера (272x36x187 мм). Точки доступа также заметно тяжелее Ubiquiti.

В коробках с точками не было блоков питания. Такое оборудование при адекватной установке запитывается по PoE. Управляемый свитч GS1200-5HP для этого и был приобретён.

Первое включение


Подключил ATP200 к ноуту кабелем через порт P4 (из lan) шлюза. В wan1 воткнул проводной интернет, в USB1 E3272 с прошивкой Hi-Link и в USB2 свой Андроидфон в режиме «USB модема». Загружался он около минуты. Далее по «Quick Start» я полез на 192.168.1.1. Вот тут меня ожидала первая неприятность. Вебморда у него работает по SSLv3, который на современных браузерах выключен. Включаем:



При первом входе он не дает перейти к следующему действию без смены пароля, в отличие от RouterOS. Далее стартует «мастер», в котором я указал, что хочу использоваться второй порт wan (p3). Дополнительных устройств «мастер» не увидел.

Скриншоты


Сервисы оставил также по умолчанию.



Так как у меня есть беспроводные точки, то включаю контроллер WiFi сразу:

Скриншоты



Еще один плюс в безопасности: крайне опасная функция по умолчанию выключена:



Повторно логинимся и тут же прилетает уведомление о новой прошивке.

Скриншоты



Вот и всё! Ноутбук бороздит просторы мировой сети интернет! Правда, только через порт wan1.

Резервный канал


Лезем в конфиг с целью добавления USB модема и Андроидфона в группу портов WAN. В «Конфигурация → Интерфейсы» активным становится только Hi-link модем. Андроидфон так и остался не распознанным.



В свойствах соединения можно установить проверку канала по:

icmp или tcp на адрес шлюза или конкретно заданный


а также установить параметры лимитированного соединения, например, по объему трафика, если он у оператора ограничен.

Лимит


Далее нам надо разрешить выпускать клиентов через этот модем. Я сделал его равнозначным каналу, который воткнул в wan1:



Жмём внизу «применить» и всё! Вся сеть будет ходить сразу по двум каналам.

Подключаем WiFi


Тут чуть-чуть сложнее.

Редактируем профиль безопасности.

Конфигурация → Объекты → Профили точек доступа → SSID → Список профилей безопасности. Выбираем профиль default и жмём «Редактировать»:



Указываем wpa2 и чуть ниже ключ от сети.



Сохраняем и переходим в соседнюю вкладку «Список SSID». Редактируем профиль «default», задав имя для своей точки.



Настройки для точек по «умолчанию» мы под себя отредактировали.

Теперь разрешаем автоматически регистрировать «пустые» точки.

Разумеется, чтобы облегчить процесс установки.


Включаем точки в PoE свитч. Свитч включаем в lan порт (p4-p7). И… И всё. Точки автоматически обнаружены и на них загружен конфиг.



Выключаем автоматическое привязывание точек. Плюс в карму безопасности.



Жмём «применить» и радуемся новой сети.

Что дальше?


Углубляемся в безопасность. Да здравствует сеть, защищенная и снаружи, и изнутри! Непреложный закон хорошего офисного админа – из всех развлекушек оставить только пасьянс косынка в свободном доступе!



Мне сильно понравилась фишка «патруль приложений». Не надо заморачиваться написанием regex инструкций для фильтрации L7, как в Микротик. Оно уже есть. Надо только добавить в политику, и всё.

Блокировка мессенджеров, онлайн-игр или социальных сетей без пота, крови и слез молодых админов.



Дашборд такой, как любят большинство начальников: с картинками и графиками. Видно, куда чаще всего идут обращения, что и сколько заблокировано, и т.д.



У Zyxel есть система централизованного управления Nebula, которую поддерживают выданные мне Wi-Fi точки. С первого взгляда — это SDN, который активно внедряют в крупных датацентрах. Но это тема уже другой статьи :-)

А дальше ноут на просторах глобальной сети уже нашел инструкцию в 800 с лишним страниц и примерно такого же объёма хэндбук.

Лицензии


Как ни грустно, но лицензия на обновляемые базы сигнатур не бесконечна, и после первой активации шлюза сигнатуры обновляются в течение года. Далее надо подписку продлевать.

Годовая подписка на Gold стоит 38 600 рублей, а на Silver — 29 000.



Тут вопрос выгоды в каждом конкретном случае. Например, с ATP200 держать слабого админа за 30к в месяц и покупать лицензию за 40к в год, либо пользоваться Mikrotik с доп. сервером (под Сурикату) и держать «бородатого» админа за 80к в месяц.

Заключение


Для меня плюсы железок Zyxel, которые мне попались:

  • простота настройки;
  • отсутствие «костылей» для типовых задач;
  • функционал, необходимый для офиса в одной железке;
  • простота настройки безопасности;
  • требование установить ПАРОЛЬ.

Функционал шлюза Zyxel ATP200 достаточно обширен. Причём многое реализовано в одной железке, и не требуется городить сложную конструкцию, как например, Mikrotik + Suricata.

Опять-таки базовый функционал разворачивается легко и за короткое время.

Разумеется, есть и свои недостатки. Нужно привыкать к логике настройки. ATP200 знает мало протоколов туннелирования, например, не подходит для проброса SSTP туннеля.
Любое оборудование надо подбирать под конкретные задачи.

Обучение работе на оборудовании Zyxel (ZCNA) стоит дешевле конкурентов — 15000 рублей! Официальный MTCNA — от 22000 рублей. Cisco, безусловно вне конкуренции – как по разнообразию курсов, так и по их стоимости, приближающейся к деталям самолета.

Ввиду того, что не все на Хабре могут комментировать, и я не нашёл действующего чата Zyxel в Telegram, то создал @zyxelru. Приглашаю обсудить кейсы, настройки и прочие хитрости применения оборудования Zyxel, а также идеи для новых статей на Хабр для серии «В поисках кнопки «Сделать хорошо»».
+11
5.1k 23
Comments 20
Top of the day