Изучаем Zyxel Connect & Protect и отвечаем на основные вопросы: можно ли обойтись без шлюза безопасности?
Нет, ну а правда, зачем на небольшом объекте, где сетевая инфраструктура - полностью беспроводная, городить ещё и дорогой шлюз безопасности? У современных точек доступа достаточно мощные процессоры, чтобы взять на себя обработку трафика и блокировать доступ к зловредным сайтам, либо снижать скорость к разным там социальным сетям и бесполезным тайм-киллерам. С точки зрения сети, современный объект может и вовсе представлять собой одну лишь точку доступа, подключённую напрямую в WAN от провайдера, и на этой точке доступа хватит ресурсов и для поднятия VPN-тоннеля до штаб-квартиры, и для NAT, и для настройки ограничений для клиентов.
И вот в таких простых случаях, когда беспроводная сеть развёртывается в маленьком офисе, в бургерной, барбершопе или автосервисе, вопросы безопасности обычно выводятся за скобки, но расплата может не заставить себя ждать.
К каким типичным угрозам следует подготовиться?
Самое безобидное - это случай, когда сотрудники организации вместо того, чтобы работать, всё время проводят в соц.сетях и онлайн-кинотеатрах, забивая пропускную полосу и расходуя платный трафик.
Более серьёзная проблема - это скачивание зловредного ПО и заражение офисных компьютеров. Как и много лет назад, самой частой причиной становится человеческий фактор: клик на неизвестную ссылку от неизвестного отправителя или попытка открыть файл-вложение. Зачастую заражённые компьютеры становятся частью хакерского ботнета, и вот на этом пути, когда они пытаются скачать часть своего кода из интернета для получения инструкций, есть шанс остановить их действие именно на сетевых шлюзах. Аналогично и со встроенными майнерами.
Среди более весомых проблем - это использование гостевой сети для проведения хакерских атак и доступа к запрещённому контенту. Это та ситуация, в связи с которой к владельцу бизнеса «обязательно придут» и «начнут задавать вопросы», пытаясь переложить на него ответственность за инцидент, или говоря простым языком, сделать его крайним.
Существуют и другие угрозы, причём как правило, инциденты проявляются по цепочке, и один тянет за собой другой.
Максимальная угроза - ответственность перед законом за клиента или сотрудника
Я считаю максимальной угрозой для бизнеса именно нарушение закона из вашей сети, то есть тот случай, когда ваш клиент попытался с телефона через Wi-Fi зайти на заблокированный сайт, шлюз провайдера это зарегистрировал и в автоматическом режиме сообщил в органы правопорядка, заодно отключив вам доступ в интернет. Я считаю, что это реальность завтрашнего дня, и подготовиться к ней можно уже сегодня, а поскольку ведомства очень трепетно относятся к документам, то покупая лицензию на защиту трафика от интернет-угроз, у любой организации будет больше шансов уйти от ответственности, свалив вину на поставщика этой защиты.
Какую защиту предлагает Zyxel для беспроводных точек доступа
У Zyxel защита интернет-трафика представлена в виде услуги, активирующейся через покупку лицензии CnP / CnP+ (расшифровывается как Connect and Protect) в сервисе Nebula Control Center. Эта услуга доступна лишь для новых моделей точек доступа, и как вы уже поняли, управление сетью должно быть подключено в Nebula (а что будет если Nebula вдруг заблокируется по инициативе властей? Мы выяснили в нашей статье).
Connect and Protect защищает двусторонний трафик только к опасным интернет-ресурсам, таким как ботнеты, фишинговые сайты, анонимайзеры, Tor-прокси и от них в сторону клиентской сети. В случае, если на ноутбук или смартфон сотрудника был занесён вирус, система CNP может помешать ему связаться с управляющим сервером и пополнить ряды ботнетов, но основная её задача - всё же не давать клиентам беспроводной сети специально или случайно посещать сайты, которые могут быть опасны и для организации, и для них самих.
Какой тип фильтрации предусмотрен в CNP/CNP+?
Фильтрация на базе сигнатур - это самый древний, и в то же время самый эффективный способ защиты. В точку доступа скачивается база данных всех опасных веб-сайтов интернета (конечно же не всех, но многих), распределённых по категориям, и дальше каждый исходящий запрос анализируется по DNS-заголовку и/или IP-адресу, и либо разрешается, либо блокируется, выводя пользователю соответствующее предупреждение. Можно настроить возможность обхода такой блокировки, выдавая пользователю предупреждение, что он переходит на сайт на свой страх и риск.
Сами категории интернет-ресурсов со стороны администратора никак не кастомизируются: через веб-интерфейс нет возможности проверить вхождение того или иного ресурса в какую-то из категорий, переместить его в другую или проверить весь список. Для настройки исключений доступны лишь белый список IP адресов и доменных имён. Если всё же требуется проверить вхождение IP в какую-то из категорий, то сделать это можно через командную строку, подключившись к точке доступа, к которой применена лицензия CNP/CNP+.
Как назначаются лицензии CNP/CNP+
Поскольку в организации может быть множество точек доступа, в том числе старых, не поддерживающих функции Connect n Protect, в Nebula Control Center предусмотрена следующая схема включения фильтрации: лицензия CnP/CnP+ покупается именно на точку доступа: нужна защита в переговорной и лобби - пожалуйста, вешаем на эти точки доступа CnP, не нужна в хоз.помещениях - не покупаем. Единожды включенная, CnP охватывает сразу все SSID, доступные на точке доступа.
А чем вообще отличаются CNP и CNP+?
Единственным значимым отличием CNP+ является ограничение пропускной способности для каких-то веб-приложений, определяемых автоматически. На практике это происходит следующим образом: включив CNP для точек доступа, мы некоторое время ждём, пока устройство соберёт статистику использования сети и в интерфейсе в графе «патруль приложений» появятся соответствующие записи. Щёлкнув на любую из них, мы можем задать лимит полосы пропускания, действующий индивидуально для каждого клиента. Мне понравилось, что CNP легко определяет мессенджеры, в том числе Telegram, чьи каналы сегодня наполнены видеороликами и пожирают трафик не хуже чем Youtube.
Опять же, такой подход таит в себе недостатки: заранее ограничить полосу для приложений, которые ещё не проявились в вашей сети, не получится, но можно применять ограничения для категории, о чём будет сказано дальше.
На момент подготовки данной статьи, CNP поддерживалась следующими точками доступа:
- NWA1123ACv3
- WAC500
- WAC500H
Расширенная версия CNP+ поддерживается этими моделями:
- NWA110AX
- NWA210AX
- WAX510D
- WAX610D
- WAX630S
- WAX650S
По номенклатуре видно, что поддержка CNP сворачивается в пользу более продвинутой CNP+. Но возникает вопрос, как будет работать ограничение полосы если в сети есть и старые и новые точки доступа? Всё тривиально и просто: если клиент подключен к новой точке доступа, поддерживающей CNP+, то для него ограничения будут работать, если к старой - не будут.
Можно ли заблокировать доступ к приложениям?
Давайте ещё раз повторимся - система Connect n Protect закрывает доступ только к зловредному содержимому интернета, и не ставит своей задачей ограничить свободу пользователя в сети. Поэтому если вы хотите заблокировать Telegram, Reddit или VPN, сделать вы это не сможете, по крайней мере, с помощью данной функции. Максимум, что вам удастся - снизить скорость до 1 Мбит/c для отдельного приложения или всей категории.
В отличии от фильтрации зловредных сайтов, поддерживаемые приложения можно посмотреть через веб-интерфейс Nebula, для чего нужно перейти в «Площадка - приложения» и выбрать «обзор категорий».
Нажимаем на интересующую нас категорию - и видим, что в неё входит.
Что с блокировкой VPN?
Если пользователь использует VPN для выхода в интернет, то через CNP/CNP+ вы можете ограничить доступ для всего VPN-тоннеля. Естественно, внутрь зашифрованного трафика CNP заглянуть не сможет, и ограничить работу пользователя через VPN - тоже.
Здесь поддерживаются как протоколы туннелирования (в том числе OpenVPN и Wireguard), так и VPN-сервисы, такие как NordVPN и GhostVPN.
Перенаправляет ли точка доступа с активированным CNP/CNP+ весь трафик через Nebula?
Нет, точка доступа ежедневно или при подключении в сеть, скачивает из облака сигнатуры системы фильтрации, и в дальнейшем действует уже автономно, так что если соединение с Nebula Control Center будет нарушено, на работу это не повлияет.
Какая статистика доступна по работе CNP/CNP+?
В контрольной панели Nebula CC отображается интенсивность использования беспроводной сети: активные приложения, число проверок IP-адресов и использование полосы пропускания для различных приложений.
Проверить распределение трафика и угроз по клиентам, чтобы выделить проблемную машину или устройство, на котором сидит зловред, можно только просматривая логи точек доступа, а это неудобно, но я подозреваю, что это ограничение связано с соблюдением законов о приватности, поскольку будь такая статистика прямо перед глазами администратора, он бы мог видеть, какие веб-сайты посещает незадачливый клиент, а это бы повлекло нарушение основных прав и свобод бедолаги.
Так давайте вернёмся к исходному вопросу и ответим, может ли Zyxel Connect and Protect заменить собой шлюз безопасности в небольших инсталляциях?
На мой взгляд, в случае, если объект, на котором разворачивается Wi-Fi - это что-то типа кафешки, салона красоты или автосервиса, где установлена одна точка доступа, и она же - роутер вполне себе можно обойтись без шлюза безопасности. Сервис CnP сделает доступ в интернет чуть более безопасным и поможет разгрузить радиоэфир, если клиенты злоупотребляют бесплатным Wi-Fi. Опять же, для офисов на 3-5 человек это такой же простой и доступный вариант противостоянии взлому через социальную инженерию: точка доступа вполне в состоянии защитить от перехода по фишинговой ссылке, полученной в незнаком письме. Лёгкость, с которой она настраивается, достойна похвалы: по сравнению с тем, как сложно настроить NGWF, здесь вся безопасность сводится к нажатию одной кнопки.
Но в то же время не обошлось и без недостатков: невозможность полностью блокировать доступ приложениям лично у меня вызывает недоумение, да и отчётность по срабатыванию фильтров оставляет желать лучшего. Поэтому если безопасность сети выносится в основные приоритеты, без полноценного шлюза/NGFW не обойтись.
Михаил Дегтярёв (aka LIKE OFF)
13/07.2023