Особенности защиты сети компании с помощью Zyxel USG Flex 100AX
Zyxel USG Flex 100AX – это шлюз безопасности начального уровня, который предназначен для установки в небольших офисах и филиалах, в тех случаях, когда в компании есть жёсткие требования безопасности или имеется сложная многоранговая сеть, в которой неплохо было бы ограничить доступ сотрудников к разным социальным сетям и ненужным ресурсам и иметь дополнительную линию защиты сетевого периметра.
Шлюз безопасности с Wi-Fi 6 на борту
Этот шлюз интересен тем, что имеет встроенный Wi-Fi модуль стандарта 802.11ax (Wi-Fi6) с антенной формулой 2х2 и суммарной скоростью 1800 Мбит/с (600 Мбит/с для 2.4 ГГц и 1200 Мбит/с для 5 ГГц с максимальной шириной канала 80 МГц), что позволяет как минимум сэкономить на одной точке доступа там, где он будет установлен, а учитывая, что USG Flex 100AX не имеет вентиляторов, вы можете вешать его в шкафу под потолком в том же помещении, где находятся люди.
Для более крупных беспроводных сетей есть возможность переключить Zyxel USG Flex 100AX в режим контроллера Wi-Fi для управления точками доступа Zyxel, и на момент подготовки обзора, поддерживалось 23 модели современных AP этого производителя серий NWA, WAC и WAX. По умолчанию поддерживается управление до 8 точек доступа с расширением до 24 штук при покупке лицензии. Правда, следует иметь ввиду, что переключение в режим контроллера Wi-Fi сразу же отключает встроенный беспроводной модуль в шлюзе, и вы теряете одно из главных преимуществ этой модели. Так что я рекомендую для беспроводных сетей использовать облачный контроллер Zyxel Nebula (кстати, о том будет ли работать Nebula в случае отключения от глобального интернета, можете прочитать здесь).
Есть у Zyxel очень интересная функция Secure Wi-Fi для подключения беспроводных клиентов через VPN напрямую к центральному шлюзу предприятия (мы рассказывали о ней в нашем обзоре. Здесь она тоже реализована, но по системе подписки на лицензию.
С точки зрения Wi-Fi, модель USG Flex 100AX находится где-то на уровне средних домашних роутеров, но имеет задел на будущее: если беспроводная инфраструктура на объекте начинает расти, данный шлюз к этому готов, хотя и придётся платить за лицензии.
Конструктивные особенности Zyxel USG Flex 100AX
Шлюз безопасности собран в компактном алюминиевом корпусе, предназначенном для настольной установки. На лицевой стороне располагаются индикаторы, с тыльной стороны - 1 порт WAN, 4 порта LAN (из которых один можно настроить как WAN2/OPT), консольный порт и антенные гнёзда. Монтирование в стойку не предусмотрено, так что если ставить устройство в шкаф, то только на полку, антеннами к стене.
Устройство имеет полностью пассивное охлаждение со всеми вытекающими отсюда плюсами – бесшумностью, надёжностью и возможностью работать в запылённом помещении. В конструкции Zyxel USG Flex100AX нет ни одного электролитического конденсатора, поэтому стареть в этой модели особо нечему, заявленный срок наработки на отказ составляет 766,228.2 часов, то есть 87 лет. Основной процессор и чипы памяти закрыты металлическим экраном для защиты от ЭМИ. Беспроводной модуль так же экранирован и закрыт массивным плоским радиатором.
Грозозащита на портах не предусмотрена, поэтому Zyxel USG Flex 100AX подключается в розетку без заземления и не требует отдельного вывода «земли» на корпус.
Особенности поддержки VPN
Zyxel USG Flex 100AX поддерживает протоколы IKEv2, IPSec, SSL и L2TP/IPSec. По-прежнему, здесь нет ни OpenVPN ни Wireguard, но для реализации гибридной инфраструктуры с облачными сервисами, реализована поддержка VPN Microsoft Azure и Amazon VPC.
Сервис IPSec VPN достаточно хорошо проработан – поддерживаются несколько сценариев использования соединений (сеть-сеть, сервер, клиент, виртуальный интерфейс VTI), проверка сертификата при аутентификации, работа в топологии «звезда», когда шлюз выступает в роли концентратора.
Функционал безопасности для Zero-Trust сетей
Сегодня сети с нулевым доверием – основной тренд в мире корпоративной ИБ. Если вы не знакомы с Zero Trust Protection (ZTP), то в двух словах – это сети, в которых нет общих корпоративных ресурсов, а доступ к каждому узлу, каждому сервису и каждому ресурсу прописывается индивидуально для каждого пользователя. Большинство сервисов выносятся на 443 порт и работают через Web, а каждый пользователь или каждый узел имеет строго определённые правила, что ему можно делать в интернете, а всё остальное – нельзя. Реализация ZTP требует использования мощных шлюзов безопасности класса NGFW (Next Generation Firewall), совмещающих в себе традиционный Firewall, сервис интернет-прокси с антивирусом и длинные-длинные политики доступа с обновляемыми сигнатурами. Практически, всё это есть в Zyxel USG 100AX, так что если перед вами стоит задача построить новую сеть уровня ZTP, возможно вы сможете это сделать на Zyxel.
Безопасность веб-сёрфинга
Логика работы ограничений в Zyxel USG Flex 100AX следующая: правила, по которым ограничиваются те или иные ресурсы, собираются в профили защиты, такие как например «запрет посещений ерунды в рабочее время», «фильтрация ненужных сайтов для детей» и так далее. Ну а сам профиль вы просто применяете к направлению трафика между зонами, такими как LAN-WAN.
Ну а сам профиль вы просто применяете к направлению трафика между зонами, такими как LAN-WAN.
Application Patrol
Если в вашей компании реализован принцип использования личных гаджетов в общей сети, то конечно смартфоны и ноутбуки способы генерировать паразитный трафик без участия пользователя: это постоянные обновления, фоновая слежка и телеметрия, мессенджеры и т.д. Современные устройства научились разбираться в этом ворохе запросов, реализуя принцип IDS: если с устройства отправлен пакет на такой-то адрес с таким-то портом, то скорее всего это Skype, а если пакет пришёл с такого-то адреса на такой-то порт, то это - Angry Birds.
Отличительная особенность Application Patrol состоит в том, что пакеты она не «слушает», и шифрование со стороны приложений для неё не помеха. Умение отличать приложение по характерам не только исходящих, но и входящих пакетов зависит от качества используемых сигнатур. Обратите внимание - вы блокируете не выход через браузер, а работу самих приложений на смартфонах.
BandWidth Monitoring
Но вообще порой важнее выставлять приоритет на различные типы трафика, который настраивается через вкладку BWM. Вы можете используя коды DSCP, вообще менять маршрутизацию, направляя один трафик через VPN, другой - через наземный канал, а третий - дропать без сожаления, но вот возможности устанавливать различный DSCP код для разных приложений, здесь нет.
IDP - предотвращение вторжений
Intrusion Detection Prevention работает как самостоятельный фильтр, чья задача - предотвратить утечку данных за периметр в случае запуска вредоносного кода внутри сети или защита устройств от атак извне. Фактически, функции фильтрации выполняют пакеты многим Suricata и Athena, а сам фильтр можно ограничить для некоторых сервисов (почта, DNS, Web), а можно держать включённым для всех. Здесь, кстати, имеется возможность самостоятельно добавлять правила фильтрации, задавая очень подробные параметры соединений, включая скорость, операционную систему, идентификатор, фрагментацию и содержимое пакетов. Кастомные сигнатуры можно загрузить с USB флешки.
Защита почты
Сервис защиты почты может работать для SMTP и POP3 протоколов, но в серии USG Flex его защита ограничивается антивирусным сканированием и спам-фильтром на основе DNSBL. Для защиты от спуфинга есть возможность отбрасывания почтовых соединений при достижении некоего лимита, а при активации Gold-лицензии вы получите ещё и антифишинговую защиту.
Репутационный и контекстный фильтры
Репутационный фильтр - это самостоятельный движок, ограничивающий доступ к зловредным сайтам через подмену DNS ответов на запросы SNI (server name indicator). Поскольку SNI запросы передаются в самом начале установки соединения, ещё до установки шифрования, они легко могут быть перехвачены прокси-сервером шлюза без использования MITM атаки с расшифровкой трафика, то есть совершенно прозрачно для клиентов. Репутационный фильтр не надо применять к направлениям движения трафика, а он просто сразу включается для WAN.
Здесь практически самый минимальный минимум настроек - вы можете лишь выбрать тип киберугроз, проверить URL на вхождение в базу, создать чёрный и белый списки. Обратите внимание, что база зловредных адресов содержит только URL-ы, а репутация по IP-адресам доступна лишь с лицензией Gold. Поскольку проверка производится лишь в момент отправления SNI-запросов, данный фильтр не влияет на производительность сетевого соединения.
Антивирусный фильтр
Как я уже говорил, в шлюзе безопасности Zyxel USG Flex 100AX используются два типа антивирусных фильтров: облачный и встроенный. Как правило, подобная защита реализуется через встроенный прокси: при скачивании файла он сначала сохраняется в память устройства, быстренько проверяется одним из выбранных способов, а затем передаётся пользователю. Для клиента этот процесс выглядит совершенно прозрачно, всё работает так же как и при рядовом выходе в интернет, с той лишь разницей, что заражённый файл ты на компьютер не скачаешь.
Блокировка заражённых файлов не настраивается: просто тот URL, по которому располагается зловред, в обход фильтра будет работать, а при подключении через Zyxel USG Flex, выдаст 404-ю ошибку. Для того, чтобы обнаруживать Malware в зашифрованном соединении, вам нужно включить контентную фильтрацию.
Контентная фильтрация
Это самая настоящая цензура, за счёт которой вы можете ограничить доступ только к правильным сайтам или же наоборот - запрещать отдельные сайты и целые категории. Списки каталогов обновляются так же, как сигнатуры антивирусов, а если сайта вдруг нет в базе - его можно либо отключить, либо выдавать после предупреждения вида "мы не можем быть уверены в вашей безопасности... бла-бла-бла".
Контентная фильтрация работает не только по URL-ам, но и по ключевым словам, она может применяться к какому-то одному или нескольким направлениям "LAN-WAN", и для её реализации на устройства вашей сети нужно установить сертификат доверия Zyxel и включить сниффер зашифрованного трафика, то есть осуществить MITM атаку. Хочу отметить, что инспекция SSL нужна только для проверки всего URL, то есть для блокировки по ключевым словам, а блокировка доменов работает так же как и URL Reputation - по SNI.
То есть, давайте ещё раз и подробнее.
- Шаг 1 - вы создаёте сертификат в Zyxel USG Flex 100AX,
- Шаг 2 - вы создаёте профиль SSL инспектора с шифрованием / расшифровкой httpS трафика
- Шаг 3 - вы создаете профиль с контентной фильтрацией
- Шаг 4 - вы применяете профиль с контентной фильтрацией к направлению трафика "LAN-WAN"
- Шаг 5 - вы устанавливаете сертификаты на клиентские машины
После этого, у вас произойдет подмена сертификатов на те, которые устанавливаются шлюзом безопасности. Теперь вы можете блокировать потенциально нежелательные сайты и отслеживать статистику, с которой ваши сотрудники или гости, лезут туда куда не надо. Правда, этот трюк настолько же хорошо работает с Google Chrome, насколько не работает с Mozilla Firefox - в случае использования этого браузера, вам придётся добавлять сертификат непосредственно в Firefox. Какие-то сайты браузер пропускает и открывает, а с какими-то ругается на попытку подслушать соединение.
Лицензии
Многие полезные функции NGFW в Zyxel USG Flex 100AX предоставляются по подписке, а в базовом устройстве доступен лишь триал на 30 дней, вот их список:
- Песочница
- Репутационный фильтр
- Предотвращение вторжений (IDP/IPS)
- Патруль приложений
- Антиспам
- Контентная фильтрация
- Аналитика SecuReporter
- Совместное обнаружение и реагирование
В этом нет ничего удивительного, поскольку защита сетей строится на базе сигнатурных списков и облачного анализа файлов, и вся современная безопасность в IT-сфере продаётся по платной подписке.
Облачное управление через Nebula Control Center
Шлюзы серии USG Flex получили новый тип коннекта к облачному сервису Zyxel Nebula – режим мониторинга. Он создан для тех случаев, когда заказчик хочет подключить всю свою сетевую инфраструктуру в Nebula, но не хочет терять прямого доступа и контроля за настройками безопасности непосредственно на шлюзе.
Да и что греха таить, за несколько лет существования Nebula, производитель так и не смог добавить туда весь тот богатый функционал, что есть в L3 коммутаторах и сетевых шлюзах, так что использование CLI или WebUI для настройки непосредственно на устройстве никуда не делось. Теперь эта проблема решена, и вы можете например управлять беспроводной сетью через Nebula (механизм контроля точками доступа там прекрасен) и управлять остальной частью сетевого стека напрямую, в том числе мониторить с помощью Zabbix, Netdata, LOKI, Grafana и т.д.
Рекомендации при заказе
Сама по себе серия Zyxel USG Flex 100 прекрасно вписывается и в концепцию периферийных (Edge) вычислений, и в модель разветвлённой сети с филиалами, и даже в идеологию отказа от сетевой централизации и облачных сервисов в пользу построения сложных защищённых сетей, в которых все используемые ресурсы – локальные, где выделены отдельные подсети для работников, для IoT и для административного персонала. Для себя я так и не нашёл ответа на вопрос, нужен ли в таком шлюзе Wi-Fi, и как бы выглядела беспроводная сеть, на вершине которой был бы установлен USG Flex 100AX, поскольку тот факт, что при включении беспроводного контроллера точек доступа, отключается встроенный радиомодуль, ставит под сомнение целесообразность его установки. О чём думал производитель, что Wi-Fi будет только в одном месте возле шлюза, или что у вас будут две сети Wi-Fi – одна на точках доступа, другая на шлюзе? Нет, я не понимаю этого.
В том, что касается средств безопасности, да Zyxel USG Flex 100 – это один из самых дешёвых NGFW на рынке, с полноценной поддержкой облачного анализа, бампингом SSL, репутационными фильтрами и поддержкой сигнатур. Для начала построения сетей с нулевым доверием – это прекрасное аппаратное решение, которое будет работать даже если опустят железный занавес.
Михаил Дегтярёв (aka LIKE OFF)
03/02.2024