Оркестрация беспроводных сетей в Zyxel Nebula CC: настраиваем защиту горизонтального трафика и шейпинг

Современные сети постепенно меняют традиционную топологию, в которой сверху был установлен шлюз безопасности, а снизу сеть сегментировалась на L2/L3 уровнях с помощью коммутаторов. Современная сеть постепенно движется к концепции Zero Trust, в которой каждому устройству и каждому приложению доступны лишь те ресурсы, которые необходимы для работы. Это снижает распространение атаки по горизонтальному уровню, в случае если зловредное устройство уже находится в сети, и использование Firewall внутри сетевого сегмента бессмысленно. Для реализации такой топологии необходимо, чтобы каждое подключение к сети транслировалось сразу на шлюз безопасности, на котором прописаны правила доступа и ограничения пользователя. Образно говоря, даже аутентифицированный в сети клиент должен как минимум сидеть в своём VLAN-е и обращаться к сетевым ресурсам не напрямую, а через шлюз, пройдя все необходимые проверки.

В случае если сеть небольшая, головной шлюз вполне справится с обслуживанием клиентов, но если сеть географически распределена в разных регионах, и на каких-то участках используется LTE, то разумнее вынести часть фильтрационных функций прямо на уровень доступа, чтобы в LTE канал выходил уже очищенный трафик, а в случае инцидента, можно было закрывать дыры на уровне филиала, без нарушения работы всей инфраструктуры. Для современных беспроводных Wi-Fi сетей эта концепция реализуется за счёт выноса средств безопасности и фильтрации прямо на точку доступа. Все клиенты, подключаемые по Wi-Fi, находятся за NAT, они могут проходить 2-факторную аутентификацию, работать в индивидуальных VLAN-ах и даже заходить на интернет-сайты через систему жёстких правил и ограничений.

Дополнительно к этому, самое беспроводное соединение клиента может быть защищено индивидуальным ключом шифрования, а аутентификация может подтверждаться через облачную службу, что сделает бесполезными попытки похищения ключа доступа Wi-Fi.

Давайте посмотрим, как подобный функционал реализован в топовых точках доступа Zyxel, управляющихся через облачный сервис Nebula Control Center. В этой статье я возьму точку WAX510D и покажу как на ней настроить параметры безопасности для клиентов. Сразу хочу обратить внимание, что сеть должна быть построена именно на таких вот, «умных», точках доступа Zyxel (на сегодня это:

  • NWA110AX
  • NWA210AX
  • WAX510D
  • WAX610D
  • WAX630S
  • WAX650S,

в дальнейшем список будет расширяться), и более того - для части функционала потребуются лицензии, CNP+ для патруля приложений и IP-фильтра, Nebula Pro для динамического VLAN и DPPSK. NAT, например и 2ФА доступны в базовой версии. Для новых аккаунтов доступен 30-дневный пробный период, в течение которого можно оценить работу этих функций самостоятельно.

Итак, традиционно начинаем с того, что добавляем в Nebula Control Center наши устройства: коммутатор GS1915-8EP (который мы рассматривали ранее в обзоре) и точку доступа WAX510D. Для новой организации нам будет предложено активировать пробный период лицензий Nebula Pro (целиком на организацию) и CNPC (на точку доступа). Обновив прошивки, переходим к настройкам беспроводных сетей.

Регистрация пользователей

В древовидной иерархии Nebula, у вас есть организация, в которой представлено несколько локаций, в каждой из которых - по несколько беспроводных сетей. Всё, что связано с именами пользователей и их личными настройками (номер VLAN, тип авторизации) задаётся глобально для всей организации с указанием доступных площадок или же локально на самой площадке, а всё что касается настроек безопасности беспроводного подключения, задаётся на уровне самой беспроводной сети, а точнее на уровне SSID и действует только в пределах той локации, на которой развёрнута искомая беспроводная сеть.

Компаниям, которые только начинают использовать Nebula Control Center я бы рекомендовал сразу заводить учётные записи пользователей, и хотя это кажется чем-то лишним, ведь обычные Wi-Fi сети работают по паролю, и никаких учётных записей не требуют, тут надо просто понять, что сегодня индустрия движется к гранулярной настройке политик и ограничений для каждого пользователя, и чем раньше вы вольётесь в тренд, тем легче будет оперировать сетью в дальнейшем.

Настройка NAT для отдельных SSID

И вот тут в полной мере реализуется потенциал современных точек доступа типа WAX510D: у вас один SSID может работать в режиме моста со внутренним IP-адресом сети, другой SSID - может одновременно с этим работать в режиме маршрутизатора, размещая клиентов за NAT, третий SSID может подключать каждого клиента в свой VLAN, четвёртый SSID - может быть прямым каналом через VPN в штаб-квартиру (технология Secure WiFi, о которой мы писали ранее), и все эти беспроводные сети могут соседствовать на одной точке доступа и работать одновременно.

Параметры DHCP не настраиваются, просто точка доступа проверяет в сети занятость диапазонов 10.0.0.0/8 и 172.16.0.0/12 и выбирает один из них, и впоследствии этот адрес сохраняется даже при роуминге между точками доступа в пределах одной SSID. А для включения Firewall нужно обязательно перевести SSID в гостевой режим с изоляцией клиентов друг от друга, тогда станут доступны базовые правила вида «заблокировать или разрешить CIDR». Правила брэндмауэра действуют только на трафик по направлению WLAN to LAN, и по умолчанию клиентам запрещён доступ к приватным подсетям. Следует заметить, что при переключении SSID в режим маршрутизатора, не работает изоляция на уровне L2, ведь это вполне естественно - она заменяется уровнем L3. Так же в этом режиме не доступно назначение индивидуального VLAN для SSID, собственного VLAN для пользователей и не поддерживается быстрый роуминг по стандарту 802.11r.

NAT имеет смысл включать для гостевых и IoT устройств, то есть для тех, кому для выполнения рабочих задач не нужен доступ в локальную сеть. Для блокировки диапазонов локальных сетей будет достаточно возможностей встроенного Firewall точек доступа, и опять же следует понимать, что этот барьер вы ставите не для доступа из интернета, а для доступа с клиентских устройств, поэтому какой-то расширенный функционал обработки пакетов здесь не обязателен.

Есть ещё один явный плюс, который даёт режим маршрутизатора для точек доступа: в случае, если интернет-провайдер предоставляет вам доступ без авторизации, вы можете на каких-то объектах обойтись одной лишь точкой доступа, отказавшись от коммутатора и роутера, а значит сильно сократив свои расходы на оборудование.

Патруль приложений

Всю идиллию гибких настроек беспроводных сетей нарушают патруль приложений и репутационный фильтр, - функции безопасности, которые применяются сразу ко всем беспроводным сетям площадки, без индивидуальной настройки по SSID. Причём, ну я бы понял, если бы Zyxel выделил их в отдельную топ-категорию, а не держал внутри «точек доступа». Ведь те же самые фильтры есть и в шлюзах безопасности (см. наш обзор), и они никак не пересекаются с теми, что реализованы в точках доступа. То есть, если вы хотите использовать репутационный фильтр в монобрендовой сети на базе Zyxel ATP800 и точек доступа WAX510D, то вы отдельно будете настраивать его и на шлюзе и на беспроводной сети. Неудобно, что тут скажешь

Патруль приложений в беспроводных сетях позволяет ни много ни мало, а ограничивать скорость для определённых категорий трафика и строить соответствующие графики. Все ограничения реализуются для групп, например, для «Телефония/VoIP», а индивидуальная настройка приложений и сервисов не предусмотрена. Ограничение скорости распространяется на каждое клиентское устройство.

Репутационный фильтр

Для полного запрета доступа к ресурсам выступает репутационный фильтр. Прежде всего, хочу конкретизировать, что речь идёт о фильтрации IP-адресов, а не доменных имён. Здесь аналогично предыдущему пункту можно выбирать лишь категории, закрытые для всех беспроводных клиентов, например, фишинговые сайты, шлюзы Tor или сайты из личного списка (добавляются вручную по IP или CIDR). При попытке доступа к ним, клиент перенаправляется на заглушку с информацией о запрете, а событие заносится в лог.

Оба вышеназванных фильтра находятся в состоянии Beta, и даже не претендуют на замену полноценных шлюзов безопасности типа того же Zyxel ATP800, а выступают в роли полезного дополнения.

DPPSK

Рассмотрим не менее интересную функцию, связанную с безопасностью: это подключение пользователей к Wi-Fi с использованием индивидуальных ключей шифрования. Обычно, в домашней или гостевой сетях, на всех пользователей имеется один SSID с одним паролем, что позволяет проводить атаки на пароль Wi-Fi, чтобы расшифровывать перехватываемый трафик. Особенно это актуально в сетях с гостевым доступом, например в отелях, ресторанах или других публичных местах, где клиенты не могут подключаться с использованием WPA-Enterprise и проходить аутентификацию через RADIUS сервер. У Zyxel для таких случаев готово решение, представляющее собой нечто среднее между WPA2 и WPAx-Enterprise.

Суть его в том, что для доступа к Wi-Fi используется ключ, который генерируется каждому пользователю организации на портале Nebula Control Center, он может иметь ограниченный срок действия и подкрепляться 2-факторной аутентификацией по E-Mail.

При подключении к Wi-Fi, пользователь указывает не общий пароль SSID, а свой собственный, таким его беспроводной канал шифруется индивидуальным ключом, и надёжно защищается от перехвата. Обратите внимание: вы можете задавать DPPSK-пароль при создании пользователя в Nebula Control Center, а можете просто сгенерировать только сами пароли в пакетном режиме, до 20 штук за раз и отправить их на почту или распечатать. То есть, для доступа к Wi-Fi через DPPSK совсем не обязательно, чтобы пользователь был зарегистрирован на портале.

Здесь всё то же самое, что и с обычным Wi-Fi, клиент даже не узнает, что у него используется один Wi-Fi пароль, а у соседа - другой. В интерфейсе Nebula возле беспроводных клиентов, подключенных с использованием DPPSK, будет стоять соответствующая пометка, и кстати Zyxel выпускает API для работы с этой функцией для упрощённой интеграции в существующие бизнес-процессы. Например, можно будет высылать Wi-Fi ключ гостям отеля при регистрации через E-Mail или Telegram.

Но вообще, для сотрудников компании можно установить и более высокий уровень безопасности, чем для гостей, включив им 2-факторную аутентификацию. Работает она следующим образом: для доступа к Wi-Fi мало просто ввести пароль: как только вы это сделаете, вы перейдёте на следующий этап подтверждения личности, и вот здесь уже нужно будет вводить имя пользователя и код. Аутентифицироваться можно и через сторонние сервисы, в том числе через Google и Facebook. Мы подробно рассказывали об этих методах и их настройке в обзоре точки доступа Zyxel WAX650S, поэтому сам процесс описывать я не стану.

Dynamic VLAN

Сейчас же я хочу затронуть интересную особенность работы пользователя в разных филиалах одной корпоративной сети, управляемой через Nebula. Не так давно здесь появилась возможность определять зарегистрированных пользователей в собственные VLAN-ы для дополнительной изоляции. Как вы можете видеть на схеме ниже, собственные VLAN-ы пользователей не мешают беспроводной сети работать с своём VLAN-е, общем для тех клиентов, у которых принадлежность к виртуальной сети не определена, или которых не заведён аккаунт в Nebula Control Center.

Причём может возникнуть ситуация, когда в одном филиале для менеджеров отведён 101-й VLAN, а в другом - 102-й. Как мы помним, регистрация пользователей в Nebula Control Center осуществляется на уровне организации, то есть учётные записи являются глобальными для всей организации. Пользователей можно создавать и на уровне площадки. Уровень организации по сути позволяет увидеть всех пользователей в организации по всем площадкам - здесь же можно добавлять пользователей сразу на все площадки или на какие-то выборочные.

Так вот, теперь одному и тому же пользователю можно задавать разные VLAN-ы на разных локациях, для чего сначала нужно открыть пункт «облачной аутентификации» именно из раздела «Площадка», выбрать одного или нескольких пользователей, и нажав кнопку VLAN атрибуты, присвоить ему номер виртуальной сети.

Но здесь я тоже должен покритиковать Zyxel за отсутствие групп пользователей и нелогичность интерфейса: получается, что если у вас 1 организация и 2 площадки, то у вас будут 3 абсолютно одинаковых окна «облачная аутентификация»: 1 глобально на всю организацию и 2 локально, на каждой площадке. Зачем так сложно? Для того, чтобы администраторы без полного доступа к организации могли редактировать пользователей только на определённых площадках.

Ограничения скорости

В Zyxel Nebula Control Center есть три механизма ограничения скорости для Wi-Fi клиентов. С первым, ограничивающим пропускную способность для различных приложений, мы уже познакомились. Помимо этого, есть глобальное ограничение скорости на каждый SSID, а внутри него можно более точно шейпить трафик через ограничения скорости по VLAN.

И если вы будете использовать индивидуальный VLAN для каждого авторизованного пользователя, то сможете гранулярно настраивать шейпинг трафика для каждого аккаунта или приложения. Чтобы было проще разобраться, какой метод шейпинга вам подходит, см. следующую таблицу:

Тип шейпинга трафика

Патруль приложений

SSID

VLAN

Индивидуальная настройка для каждого SSID

Нет

Да

Нет

Работает в режиме NAT

Да

Да

Нет

Индивидуальная настройка для пользователя или группы

Нет

Нет

Да

Ничто не мешает вам использовать сразу все три шейпера, и это будет только на точках доступа, а ещё у вас есть ограничители скорости на коммутаторах и шлюзе, так что никакие всплески трафика вашей сети не страшны.

Выводы

Система облачного управления Zyxel Nebula Control Center создана не просто для того, чтобы показывать красивые графики загрузки и потребления устройств. Сегодня она позволяет гибко управлять беспроводными сетями и настраивать доступ на уровне пользователей, сетей и приложений. Вынесение каких-то функций безопасности со шлюза на точки доступа способно решить потенциальные проблемы всплеска трафика и недоступности сети, а так же добавить дополнительные слои изоляции для защиты горизонтального трафика. Я приветствую возможность установки одной точки доступа в каких-то небольших местах присутствия (например в пункте выдачи заказов), без необходимости покупать роутер или коммутатор, но я не могу отметить, что на сегодня у Zyxel нет PPPoE авторизации на точках доступа в Nebula, так что эта функция заработает не с каждым провайдером.

Что же касается недостатков, то компании Zyxel давно пора менять интерфейс панели управления Nebula: пути к каким-то настройкам уже слишком длинные, некоторые пункты повторяются в разных местах, а отсутствие полноценного поиска по функциям, заставляет постоянно читать документацию, а ведь не для этого создаются универсальные панели управления.

Михаил Дегтярёв (aka LIKE OFF)
14/09.2022


Похожие статьи:

Изучаем особенности Zyxel XMG1930-30HP, коммутатора c 2.5G/10G PoE портами и лицензируемыми функциями L3

Zyxel рассудил так: если L3 функционал уже определяется только прошивкой, 99% выбирают коммутатор доступа ради плотности портов, PoE, VLAN, Multicast и реже - для статической маршрутизации, то вот вам базовая модель XMG1930, кот...

Изучаем Zyxel Connect & Protect и отвечаем на основные вопросы: можно ли обойтись без шлюза безопасности?

С точки зрения сети, современный объект может и вовсе представлять собой одну лишь точку доступа, подключённую напрямую в WAN от провайдера, и на этой точке доступа хватит ресурсов и для поднятия VPN-тоннеля до штаб-квартиры, и...

Zyxel XGS2220-30HP - L3 Access коммутатор для современных конвергентных сетей

Этот коммутатор уровня L3 имеет 4 x 10-гигабитных SFP+ слота, 1-гигабитные PoE+ порты для основного парка устройств, NVR/VoIP оптимизированный интерфейс, поддержку облачного сервиса Nebula и мульти-гигабитные PoE+ порты для точе...

Обзор Keenetic Ultra KN-1811: интересная модель с 2,5-гигабитным портом и Wi-Fi 6

Эта модель как будто специально создавалась для офисов, в которых вся IT-инфраструктура умещается в одном настольном сервере, а доступ всех сотрудников происходит только через Web. Это тенденция последних 2-3 лет, которая требуе...

Будет ли работать сеть на Zyxel Nebula, если опустят железный занавес?

Что станет с вашей сетью, если вдруг опустится железный занавес, и российский интернет превратится в нечто суверенное и перекроют все трансграничные каналы? Смоделируем эту ситуацию и расскажем, как "отвязать" устройства от Nebu...