Обзор Zyxel USG Flex 500: тестируем скорость и изучаем возможности шлюза безопасности для предприятий

Количество угроз, с которыми сталкивается владелец локальной или публичной сети, прирастает каждый день. Теперь помимо различных тайм-киллеров, отвлекающих персонал от работы, вирусов и зловредов, есть новая напасть: авось кто-нибудь зайдёт на экстремистский сайт, поставит там лайк или репост и потом будешь ты, как лицо, администрирующее сеть, таскаться по инстанциям и давать показания, кто с твоего IP-адреса куда там ходил. Поэтому, лучше заранее сегментировать ограничения вашей сети: для IoT устройств выделять отдельное максимально закрытое пространство, для сотрудников - ограничивать доступ к развлекательным сайтам и соц.сетям, а для гостей отключить подозрительные домены и экстремистские сайты.

Серия Zyxel USG Flex реализует все эти задачи в одной коробке, и бонусом предлагает встроенный контроллер Wi-Fi и производительный VPN. В новой серии производитель сделал упор на скорость работы, и в режиме «Антивирус + IDP», скорость LAN-WAN не опускается ниже 800 Мбит/с. Отчасти этого удалось добиться за счёт двух антивирусных движков: вам доступна либо проверка каждого файла через встроенный BitDefender с обновляемыми сигнатурами, либо облачная проверка средствами McAfee через отправку на серверы хэшей скачиваемых файлов. Суммарная пропускная способность Firewall составляет 2300 Мбит/с, и учитывая, что любой из LAN-интерфейсов может выполнять роль WAN, этого с лихвой хватит на обработку нескольких каналов с балансировкой нагрузки.

Серия Zyxel USG Flex

На сегодня в серии USG Flex присутствует 5 моделей, и все они предоставляют одинаковый функционал безопасности и имеют встроенный контроллер Wi-Fi. Очень интересная модификация - USG Flexx 100W со встроенным Wi-Fi контроллером (правда поддерживается уже устаревший стандарт 802.11ac), которая может использоваться как замена обычным роутерам в небольших офисах. Топовые модели USG Flex 500, 700 уже используют вентилятор для охлаждения и могут монтироваться в стойку. В остальном же, разница между моделями лишь в количественных характеристиках.

Zyxel USG Flex 500

С точки зрения конструкции следует отметить следующее: девайс высотой 1U имеет внешний блок питания, подключающийся сзади, что не очень удобно для монтажа в неглубоких настенных шкафах. Встроенный вентилятор работает ощутимо слышно, хотя автоматическая регулировка скорости удерживает скорость на минимально возможных оборотах. В общем, на рабочем месте персонала USG Flex 500 не поставишь.

Спецификация	USG Flex 100	USG Flex 100W	USG Flex 200	USG Flex 500	USG Flex 700
Число портов, 1GBase-T	4 x LAN/DMZ, 1 x WAN, 1 x OPT (LAN/WAN)	4 x LAN/DMZ, 1 x WAN, 1 x OPT (LAN/WAN)	4 x LAN/DMZ, 2 x WAN	7 (конфигури-руемые LAN/WAN / DMZ)	12 (конфигури-руемые LAN/WAN / DMZ)
Число слотов SFP (LAN/WAN)	1	1	1	1	2 (конфигури-руемые)
Производительность устройства в обработке пакетов, Мбит/с
SPI	900	900	1800	2300	5400
VPN	270	270	450	810	1100
IDP	540	540	1100	1500	2000
AV	360	360	550	800	1350
Производительность маршрутизации
Максимум TCP-сессий	300K	300K	600K	1M	1.6M
Максимум туннелей IPsec	40	40	100	300	500
Максимум туннелей SSL	30	30	60	150	150
VLAN-интерфейсы	8	8	16	64	128
Число одновременно авторизованных пользователей (по умолчанию/максимум)	64	64	200	200/300	500/800

На фронтальной панели располагаются интерфейсные порты: SFP и 7 штук 1GBase-T. В модели USG Flex 500 каждый из «медных» портов вы можете назначить как LAN, WAN или DMZ.

Так же на лицевой панели установлены два USB 3.0 порта, в которые вы можете подключить флешки для сохранения на них логов или файлов захвата пакетов, а можете - 3G/4G модемы.

По аппаратной начинке следует отметить 4 Гб ОЗУ DDR4-2666, набранную чипами K4A8G165WC-BCTD от Samsung, 8-портовый гигабитный Ethernet коммутатор Realtek RTL8370MB-CG и достаточно простую элементную базу, которая ничем особо не выделяется.

Вообще, аппаратный шлюз безопасности - это давно уже не Firewall, это устройство, которое должно защищать человека от любой его глупости в сети: от скачивания вируса, от зависания в соц.сетях, а так же от посещения сайтов с нежелательным содержанием. У Zyxel есть подобное решение, рассчитанное на гостиничный бизнес. В одном устройстве серии USG Flex, компания реализовала антивирусную защиту сети, анализ зашифрованного HTTPs трафика, блокировку подозрительных доменов, фильтр приложений, ну и плюс к этому - контроллер Wi-Fi точек доступа, VPN и отказоустойчивый интернет.

Тестовый стенд

При тестировании мы будем выяснять, насколько правила безопасности влияют на скорость WAN-LAN соединений. Для этого реализуем виртуальный стенд на базе следующей конфигурации:

	Конфигурация тестового стенда: Процессор: AMD EPYC 7551p Охлаждение: Noctua NH-U9 TR4-SP3 Материнская плата: ASRock Rack EPYCD8-2T Память: 64 Гб DDR4-2400 SSD: Team Group MP34 Сетевая карта Intel X550-T2 OS: VMWare ESXi 6.7 U2 Windows Server 2016 iPerf3

Мы запустим две виртуальные машины с операционными системами Windows Server 2016 и, пробросив в них физически порты сетевых карт Intel X550-T2, соединим через WAN и LAN порты шлюза безопасности. Пропуская TCP трафик с размером пакета 1518 байт между портами, мы сможем оценить производительность в разных условиях.

Простой тест LAN-to-WAN показывает среднюю скорость в районе 800-860 Мбит/с.

Безопасность веб-сёрфинга

Логика работы ограничений в Zyxel USG Flex 500 следующая: правила, по которым ограничиваются те или иные ресурсы, собираются в профили защиты, такие как например «запрет посещений ерунды в рабочее время», «фильтрация ненужных сайтов для детей» и так далее. Ну а сам профиль вы просто применяете к направлению трафика между зонами, такими как LAN-WAN.

Ну а сам профиль вы просто применяете к направлению трафика между зонами, такими как LAN-WAN.

Application Patrol

Если в вашей компании реализован принцип использования личных гаджетов в общей сети, то конечно смартфоны и ноутбуки способы генерировать паразитный трафик без участия пользователя: это постоянные обновления, фоновая слежка и телеметрия, мессенджеры и т.д. Современные устройства научились разбираться в этом ворохе запросов, реализуя принцип IDS: если с устройства отправлен пакет на такой-то адрес с таким-то портом, то скорее всего это Skype, а если пакет пришёл с такого-то адреса на такой-то порт, то это - Angry Birds.

Отличительная особенность Application Patrol состоит в том, что пакеты она не «слушает», и шифрование со стороны приложений для неё не помеха. Умение отличать приложение по характерам не только исходящих, но и входящих пакетов зависит от качества используемых сигнатур. На момент написания теста, Zyxel USG Flex 500 различал 3647 приложений, из которых 2435 - это различные Web-сервисы, такие как фотохостинги, серверы обновлений и т.д. Не сказать, что список прямо-таки исчерпывающий, но большая часть нужных приложений в нём есть, по крайней мере избавить свою сеть от TikTok, Likee и Bigo можно буквально в два клика. Обратите внимание - вы блокируете не выход через браузер, а работу самих приложений на смартфонах.

При тестировании составим список из 150 приложений, в которых 50 будем нещадно дропать. Применим этот фильтр к LAN-to-WAN направлению и посмотрим, что изменилось.

BandWidth Monitoring

Но вообще порой важнее выставлять приоритет на различные типы трафика, который настраивается через вкладку BWM.

Вы можете используя коды DSCP, вообще менять маршрутизацию, направляя один трафик через VPN, другой - через наземный канал, а третий - дропать без сожаления, но вот возможности устанавливать различный DSCP код для разных приложений, здесь нет.

Сама функция приоритезации трафика очень сильно влияет на производительность: скорость снижается с 800 до 570 Мбит/с, так что трижды подумайте, нужно ли вам использовать эту возможность?

IDP - предотвращение вторжений

Intrusion Detection Prevention работает как самостоятельный фильтр, чья задача - предотвратить утечку данных за периметр в случае запуска вредоносного кода внутри сети или защита устройств от атак извне. Фактически, функции фильтрации выполняют пакеты многим Suricata и Athena, а сам фильтр можно ограничить для некоторых сервисов (почта, DNS, Web), а можно держать включённым для всех.

Здесь, кстати, имеется возможность самостоятельно добавлять правила фильтрации, задавая очень подробные параметры соединений, включая скорость, операционную систему, идентификатор, фрагментацию и содержимое пакетов. Кастомные сигнатуры можно загрузить с USB флешки.

Скорость при использовании IDP заметно снижается примерно до 620 Мбит/с.

Защита почты

Сервис защиты почты может работать для SMTP и POP3 протоколов, но в серии USG Flex его защита ограничивается антивирусным сканированием и спам-фильтром на основе DNSBL. Для защиты от спуфинга есть возможность отбрасывания почтовых соединений при достижении некоего лимита, а модели Zyxel индексом ATP ещё и умеют реализовывать антифишинговую защиту.

В силу того, что у нас заблокирован SMTP порт, мы не можем протестировать производительность E-Mail шлюза.

Репутационный и контекстный фильтры

Репутационный фильтр - это самостоятельный движок, ограничивающий доступ к зловредным сайтам через подмену DNS ответов на запросы SNI (server name indicator). Поскольку SNI запросы передаются в самом начале установки соединения, ещё до установки шифрования, они легко могут быть перехвачены прокси-сервером шлюза без использования MITM атаки с расшифровкой трафика, то есть совершенно прозрачно для клиентов. Репутационный фильтр не надо применять к направлениям движения трафика, а он просто сразу включается для WAN.

Здесь практически самый минимальный минимум настроек - вы можете лишь выбрать тип киберугроз, проверить URL на вхождение в базу, создать чёрный и белый списки. Обратите внимание, что база зловредных адресов содержит только URL-ы, а репутация по IP-адресам доступна лишь в более старшей серии ATP. Поскольку проверка производится лишь в момент отправления SNI-запросов, данный фильтр не влияет на производительность сетевого соединения, и показать тестированием разницу в скорости не представляется возможным.

Антивирусный фильтр

Как я уже говорил, в шлюзе безопасности Zyxel USG Flex 500 используются два типа антивирусных фильтров: облачный и встроенный. Как правило, подобная защита реализуется через встроенный прокси: при скачивании файла он сначала сохраняется в память устройства, быстренько проверяется одним из выбранных способов, а затем передаётся пользователю. Для клиента этот процесс выглядит совершенно прозрачно, всё работает так же как и при рядовом выходе в интернет, с той лишь разницей, что заражённый файл ты на компьютер не скачаешь.

Блокировка заражённых файлов не настраивается: просто тот URL, по которому располагается зловред, в обход фильтра будет работать, а при подключении через Zyxel USG Flex, выдаст 404-ю ошибку.

Работа антивируса оказывает влияние так же и на сетевой трафик других приложений, а для того, чтобы обнаруживать Malware в зашифрованном соединении, вам нужно включить контентную фильтрацию.

Контентная фильтрация

Это самая настоящая цензура, за счёт которой вы можете ограничить доступ только к правильным сайтам или же наоборот - запрещать отдельные сайты и целые категории. Списки каталогов обновляются так же, как сигнатуры антивирусов, а если сайта вдруг нет в базе - его можно либо отключить, либо выдавать после предупреждения вида "мы не можем быть уверены в вашей безопасности... бла-бла-бла".

Контентная фильтрация работает не только по URL-ам, но и по ключевым словам, она может применяться к какому-то одному или нескольким направлениям "LAN-WAN", и для её реализации на устройства вашей сети нужно установить сертификат доверия Zyxel и включить сниффер зашифрованного трафика, то есть осуществить MITM атаку. Хочу отметить, что инспекция SSL нужна только для проверки всего URL, то есть для блокировки по ключевым словам, а блокировка доменов работает так же как и URL Reputation - по SNI.

То есть, давайте ещё раз и подробнее.

Шаг 1 - вы создаёте сертификат в Zyxel USG Flex 500,
Шаг 2 - вы создаёте профиль SSL инспектора с шифрованием / расшифровкой httpS трафика
Шаг 3 - вы создаете профиль с контентной фильтрацией
Шаг 4 - вы применяете профиль с контентной фильтрацией к направлению трафика "LAN-WAN"
Шаг 5 - вы устанавливаете сертификаты на клиентские машины

После этого, у вас произойдет подмена сертификатов на те, которые устанавливаются шлюзом безопасности.

Теперь вы можете блокировать потенциально нежелательные сайты и отслеживать статистику, с которой ваши сотрудники или гости, лезут туда куда не надо. Правда, этот трюк настолько же хорошо работает с Google Chrome, насколько не работает с Mozilla Firefox - в случае использования этого браузера, вам придётся добавлять сертификат непосредственно в Firefox. Какие-то сайты браузер пропускает и открывает, а с какими-то ругается на попытку подслушать соединение.

Немного повозившись в настройках Zyxel USG Flex 500, я так и не смог разобраться со свободолюбивым браузером от Mozilla: видимо, без ограничения настроек на стороне клиентской машины, это никак не сделаешь.

Функция SSL Inspection даёт, пожалуй, самый ощутимый удар по скорости, и разницу в скорости веб-сёрфинга иногда заметно даже невооруженным взглядом. Чтобы протестировать её, я решил запустить в той же локальной сети копию нашего сайта и пробежаться по ней SEO-спайдером Screaming Frog, ограничив глубину сканирования 1000 URL-ов. Этот спайдер использует движок Chromium, поэтому его подключение к сайту никак не отличается от обычного браузера, и если разница в скорости есть - мы её увидим.

Среднее время доступа с функцией SSL Inspection и включенным антивирусом увеличилось почти в 6 раз по сравнению с доступом просто без надстроек безопасности, и большая часть страниц откликаются дольше 1 секунды. Так что безопасность определённо в данном случае обратно пропорциональна скорости.