Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 2. Антивирусный шлюз USG40W от Zyxel

  • Tutorial

Данная публикация посвящена линейке продуктов Zyxel USG40/USG40W/USG60/USG60W и является продолжением серии статей «Построение расширенной системы антивирусной защиты небольшого предприятия

Предисловие


Вкратце о чём речь шла в первой части и какие вопросы при этом могли возникнуть.

Одноступенчатая защита в виде корпоративного антивируса с агентами на серверах и рабочих станциях далеко не всегда эффективна. Это можно сравнить с постмодерацией на форуме, когда модератор реагирует на сообщение, которое уже появилось и успело вызвать определённый эффект.

Чтобы усилить защиту, необходимо отсекать большую часть вредоносных программ (вирусов, троянов и т. д.) ещё на дальних рубежах, до проникновения за периметр сети. В принципе, это аналогичный антивирус, но который срабатывает не «под носом у пользователя», а гораздо раньше, например, на границе демилитаризованной зоны.

Для таких задач неплохо подходит вариант с использованием программно-аппаратного комплекса. Во-первых, такое решение менее уязвимо, во-вторых, специализированные устройства не требуют мощного аппаратного обеспечения, потребляют меньше электроэнергии и в целом более экономичны.

Надо понимать, что возможности оборудования не безграничны, поэтому антивирусное ПО должно быть адаптировано для подобных вариантов использования.

В то же время это должно быть достаточно эффективное, хорошо зарекомендовавшее себя решение от известного производителя, которому можно доверять.

В рассматриваемых нами защитных шлюзах используется антивирусный продукт Safe Stream II «Лаборатории Касперского». Это потоковый антивирус, адаптированный для применения на специализированных устройствах. Поэтому он не включает некоторыми функции, например, карантин и глубокий эвристический анализ. Safe Stream — это достаточно надёжная «первая линия обороны» от хорошо зарекомендовавшего себя производителя антивирусного ПО, блокирующая многие досадные вирусы, трояны, черви.

Также в состав вооружения входят модули антиспама и контентной фильтрации от Cyren Technology.

ПРИМЕЧАНИЕ. В рамках небольшой публикации невозможно охватить весь спектр решений, связанных с понятием информационной безопасности и защиты от вредоносного кода. Данный цикл статей первому знакомству с продуктами USG40/USG40W/ USG60/USG60W. Полное описание возможностей данных устройств можно найти здесь.

Начальная настройка и USG40W/USG60W


Ниже приводится описание процедуры настройки и установки устройства USG40W. Данная информация также справедлива и для остальных позиций из той же линейки: USG40, USG60 и USG60W.

Сброс к заводским настройкам

Строго говоря, эта процедура не является обязательной.

Но иногда перед установкой «на новое постоянное место жительство» имеет смысл вернуться к настройкам по умолчанию и начать эксплуатацию с чистого листа.

Что происходит при возврате к заводским настройкам?

При изменении настроек в процессе эксплуатации, новая конфигурация устройства сохраняется в файле startup-config.conf.

Настройки по умолчанию хранятся в файле sytem-default.conf

Во время процедуры возврата к заводским установкам файл startup-config.conf переписывается резервным sytem-default.conf, и таким образом восстанавливаются настройки по умолчанию.

Пошаговое описание процедуры сброса к заводским настройкам:

1. Включите устройство и дождитесь полной загрузки. Сигнал готовности — прекращение мигания индикатора SYS. Убедитесь, что светодиодный индикатор SYS горит постоянно.


Рисунок 1. Вид USG40W спереди. Красной окружностью выделен индикатор SYS.

2. Нажмите кнопку RESET и удерживайте её пока индикатор SYS снова не начнёт моргать (обычно это занимает около 5 секунд).


Рисунок 2. Вид USG40W сзади. Красной окружностью выделена кнопка RESET.

Отпустите кнопку RESET и дождитесь перезагрузки устройства. Во время выполнения процедуры возврата к заводским настройкам перезагрузка может занять несколько минут.

При сбросе к заводским параметрам восстанавливаются следующие значения:

  • IP-адрес: 192.168.1.1
  • Маска подсети: 255.255.255.0
  • Логин по умолчанию: admin
  • Пароль: 1234

Подключение через SSH


Сразу после сброса настроек можно подключиться к устройству посредством SSH-соединения и получить возможность управления через интерфейс командной строки.

Принципы, заложенные в командный интерфейс данного устройства во многом напоминают Cisco IOS, что позволяет быстро освоиться в соответствующем окружении.

Например, команда перехода в привилегированный режим — enable, инверсия параметра через префикс «no», а также знаменитая подсказка в виде вопроса «?» соответствуют общепринятым стандартам (или предпочтениям).

Настройка параметров подключения через web-интерфейс


Адрес для подключения к web интерфейсу по умолчанию — 192.168.1.1


Рисунок 3. Окно логина в web-интерфейс Zyxel USG40W.

В некоторых случаях приходится выполнить дополнительную настройку алгоритмов безопасности, в частности, RC4 для HTTPS-подключений.

Дело в том, что популярные браузеры не используют алгоритмы безопасности RC4 и DES для HTTPS-подключений. Например, так обстоит дело в Google Chrome, начиная с версии 48.

Сигналом к такой несовместимости будет сообщение как на рисунке 4 (или аналогичное):


Рисунок 4. Сообщение о недоступности web-интерфейса из-за алгоритма шифрования.

Чтобы получить возможность входа, нужно отключить старые методы шифрования RC4 и DES.
Тогда по умолчанию будет использован метод шифрования AES, и подключение через web-интерфейс станет доступно для всех типов браузеров, поддерживающих данный алгоритм.

Примечание. Для подключение по SSH из UNIX-подобных операционных систем (в том числе и MAC OS X) можно использовать команду «ssh». Для операционных систем семейства MS Windows рекомендуется использовать программу «PUTTY».

После подключения к оболочке командной строки появится стандартный диалог ввода имени пользователя и пароля.

Далее после получения приглашения вводим команду перехода в привилегированный режим:

Router> enable

Обратите внимание, что так же как и Cisco IOS при переходе в привилегированный режим значок приглашения “>” сменился на “#”.

Переходим в режим конфигурации:

Router# configure terminal

Примечание. При успешном входе в данный режим системы добавляется слово «config» к приглашению.

Вводим команды запрета старых методов шифрования RC4 и DES:

 Router(config)# no ip http secure-server cipher-suite rc4
 Router(config)# no ip http secure-server cipher-suite des

Запись изменений:

Router(config)# write

Выходим из интерфейса:

 Router(config)# exit
 Router# exit


Рисунок 5. Отключение старых методов шифрования RC4 и DES в CLI.

Примечание. Как видно из примера, при на работе с устройствами от Zyxel для специалистов, прошедших подготовку на оборудовании других вендоров, не должно возникнуть особенных трудностей.

Теперь, установив исключение, можно выполнить вход на web-интерфейс.


Рисунок 6. Окно браузера после установки правильного метода шифрования.

Далее всё более или менее стандартно: нажимаем «Показать подробности» и появится «Перейти на сайт 192.168.1.1 (небезопасно)». В некоторых случаях, например, для семейства Windows, будет предложено принять и установить соответствующий сертификат.

Для первого входа необходимо ввести логин и пароль по умолчанию.

Сразу после самой первой аутентификации пользователя попросят сменить пароль.

Знакомство с основными режимами работы web-интерфейса


С целью упростить первоначальное вхождение в работу с новым оборудованием, в web-интерфейс Zyxel USG40/USG40W/ USG60/USG60W встроено два основных режима:

  • Простой режим — предназначен для быстрой конфигурации основных модулей;
  • Режим опытного пользователя — для выполнения тонких настроек и полного контроля над устройством.


Рисунок 7. Простой режим управления.


Рисунок 8. Режим опытного пользователя.

Переключение между режимами возможно в любой момент времени.

В Простом режиме — достаточно нажать на кнопку «Режим опытный пользователь» в правом верхнем углу экрана.

В режиме «Опытный пользователь» — нужно выбрать пункт меню «Простой режим» в правом верхнем углу экрана.

При переключении открывается диалоговое окно, предлагающее сохранить сделанный выбор для следующих сеансов.


Рисунок 9 Окно сохранения режима работы.

Обновление Firmware


Хорошей практикой перед началом настройки будет обновить устройство на самую свежую прошивку.

Для этого переходим в раздел «Обслуживание» — подраздел «Файловый менеджер» и выбираем вкладку. «Управление микропрограммой».


Рисунок 10. Управление микропрограммой.

Для поиска новых обновлений достаточно кликнуть начать на элемент «Проверить сейчас». Если обновление доступно, будет отображаться номер версии, больший чем указан.

После «Проверить сейчас» нужно нажать на значок облака справа от раздела Standby (можно и Running, только в этом случае после скачивания прошивки сразу пойдёт обновление).


Рисунок 11. Окно обновления через Интернет.

Далее появится окно с запросом подтверждения перезагрузки устройства.

Если выбрать «Да», то микропрограмма после завершения копирования сразу начнёт устанавливаться, если «Нет» — она просто скачается и её можно установить позже, зайдя в нужный раздел и нажав кнопку «Перезагрузка».

Вместо заключения. О специализированных курсах и первых шагах


Современный интерфейс управления Zyxel позволяет выполнить множество простых операций без предварительной подготовки.

В то же время существуют и специализированные курсы.

Стоит отметить, что получение расширенных знаний по вопросу, с которым приходится работать — дело очень хорошее и рано или поздно возникает необходимость в таком обучении.

Однако, чтобы освоить работу с оборудованием Zyxel — не обязательно становится именно сетевым инженером. Системный администратор общего профиля, в одиночку выполняющий работу по обслуживания ИТ-инфраструктуры может самостоятельно справиться со многими аспектами настройки подобных устройств. Доступное управление и хорошая документация позволяет решить множество вопросов без углублённого погружения в нюансы интерфейса командной строки. Можно сразу выполнить первоначальные настройки в Простом режиме управления, а уже по мере освоения достигнуть максимального уровня адаптации к ИТ-инфраструктуре.

Источники


  1. Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 1. Выбор стратегии и решения.
  2. Страничка продукта Kaspersky SafeStream II
  3. Сайт Cyren Technology (антиспам и контентная фильтрация)
  4. Раздел об унифицированных продуктах безопасности следующего поколения USG40/USG40W/ USG60/USG60W
  5. Информация о специализированных курсах Zyxel
  • +11
  • 2,4k
  • 6
ZYXEL в России 53,00
Компания
Поделиться публикацией
Комментарии 6
  • 0
    Ещё один роутер для «домохозяек» и организаций, поскупившихся на внятного админа.
    • 0
      Это не скупость… Данный роутер как и множество других устройств Zyxel рассчитаны на сектор среднего, малого и домашнего бизнеса. Такие предприятие не в состоянии позволить себе дорогого технического специалиста.
    • +1
      Ссылку на первую статью поправьте: habr.com/company/zyxel/blog/352734
    • 0
      Чтобы усилить защиту, необходимо отсекать большую часть вредоносных программ (вирусов, троянов и т. д.) ещё на дальних рубежах, до проникновения за периметр сети. В принципе, это аналогичный антивирус, но который срабатывает не «под носом у пользователя», а гораздо раньше, например, на границе демилитаризованной зоны

      На самом деле не так. На потоке можно в лучшем случае проверить файлы без их запуска. Тоесть невозможно использовать поведенческий анализатор, а значит эффективность отсева пока неизвестного вредоносного ПО будет невысоким (тем более, что отключен, как вы написали, еще и эвристик). Плюс не проверяется все зашифрованное.
      • 0
        Ну вот честно прибивает, когда видишь мучения с сертификатами для входа в веб интерфейс, такие что нужно putty использовать. 1/3 статьи посвещяна тому, как войти в интерфейс роутера при reset запуске. При этом роутер уровня SOHO… Это рассчитано на того, кто до сих пор Windows XP использует? Можно же поставлять роутеры с новыми сертификатами или обязывать продавцов перед продажей обновлять роутер до последней версии ПО, где будут современные сертификаты.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое