В поисках кнопки «Сделать хорошо». Zyxel в сети малого и среднего бизнеса

    UPD: Телеграм чат для обсуждения оборудование Zyxel @zyxelru tg.guru/zyxelru

    Роутеры Mikrotik шикарны с точки зрения сетевого инженера. Они позволяют строить невероятно сложные сетевые решения. И стоит оборудование смешные деньги.

    Но для малого и среднего бизнеса, не связанного с индустрией IT, он крайне сложен в установке. Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании, либо обучить своего сисадмина. В первом случае дорого, втором — долго… и снова дорого.

    Уязвимость в WinBox (CVE-2018-14847) показала, что мало кто способен корректно настроить RouterOS. А те, кто настроил — обновляют прошивки крайне редко. Несмотря на то, что последняя уязвимая версия 6.42 была выпущена 20 апреля 2018 года, моя статья на Хабр подняла шум во всём мире, мне по настоящее время продолжают писать люди, которые только что обнаружили, что их роутер взломан через эту уязвимость…

    Соотношение «цена-возможности» Mikrotik не всегда играет в пользу потребителя. Моя задача: найти сетевое оборудование, которое после прохождения «мастера» обеспечивает максимальный функционал для маленького офиса до 50 человек. При этом один из главных критериев — безопасность. Ведь, например, логистическую компанию должна беспокоить скорость доставки посылки к заказчику, а не отваливающаяся сеть и «висящий» терминал.



    На аутсорсинг ко мне попал разворачивающийся маленький офис, заказавший установку сети на базе комплекта оборудования Zyxel: шлюз ATP 200, две точки Wi-Fi и управляемый PoE свитч. Опыт оказался достаточно интересным, учитывая, что к Zyxel я всегда относился с пренебрежением.

    Keenetic не Zyxel
    Как мне известно, Keenetic появился как кастомная прошивка для роутеров Zyxel, которую компания взяла под свою опеку. В 2016 году keenetic отделился от Zyxel и стал выпускать своё оборудование самостоятельно.

    То есть сейчас Keenetic не имеет никакого отношения к Zyxel.

    Перед тем, как я получил Zyxel на руки, я поинтересовался мнением своих знакомых сетевиков, как они относятся к этому оборудованию:

    «Мы его к себе в датацентры не ставим, ибо это не энтерпрайс решение. А вот нашим клиентам подрядчики ставят. Оно просто работает… Поставили и забыли.»

    Безопасность


    Разумеется, я полез смотреть зарегистрированные CVE (Common Vulnerabilities and Exposures).

    За 2018 год зарегистрировано CVE:

    D-Link — дофига
    RouterOS — 6 уязвимостей, от которых до сих пор икается....
    Cisco — больше, чем у D-link

    Даже малоизвестный Eltex из Новосибирска имеет 5 уязвимостей.
    Zyxel 7 уязвимосетей.

    У Zyxel меня позабавила уязвимость CVE-2018-9149 с максимальным рейтингом опасности:
    The Zyxel Multy X (AC3000 Tri-Band WiFi System) device doesn't use a suitable mechanism to protect the UART. After an attacker dismantles the device and uses a USB-to-UART cable to connect the device, he can use the 1234 password for the root account to login to the system. Furthermore, an attacker can start the device's TELNET service as a backdoor.

    Сразу вспоминаются кадры из любимых шпионских боевиков, где главный герой/злодей проникает на базу по верёвке и цепляется к некой коробочке проводком, чтобы остановить/запустить ядерные ракеты, нацеленные на… *додумайте сами*.

    То есть, чтобы воспользоваться этой уязвимостью, необходимо атакующему подключиться к Wi-Fi точке физически, используя специальный кабель USB-to-UART!

    UART


    Вопросов к надежности Zyxel по CVE у меня не осталось.

    Распаковка


    Коробочки пришли, а стены еще красят. Распаковываем дома.



    Первое мое впечатление – это вес! ATP 200 весит 1.4 кг для своего маленького размера (272x36x187 мм). Точки доступа также заметно тяжелее Ubiquiti.

    В коробках с точками не было блоков питания. Такое оборудование при адекватной установке запитывается по PoE. Управляемый свитч GS1200-5HP для этого и был приобретён.

    Первое включение


    Подключил ATP200 к ноуту кабелем через порт P4 (из lan) шлюза. В wan1 воткнул проводной интернет, в USB1 E3272 с прошивкой Hi-Link и в USB2 свой Андроидфон в режиме «USB модема». Загружался он около минуты. Далее по «Quick Start» я полез на 192.168.1.1. Вот тут меня ожидала первая неприятность. Вебморда у него работает по SSLv3, который на современных браузерах выключен. Включаем:



    При первом входе он не дает перейти к следующему действию без смены пароля, в отличие от RouterOS. Далее стартует «мастер», в котором я указал, что хочу использоваться второй порт wan (p3). Дополнительных устройств «мастер» не увидел.

    Скриншоты


    Сервисы оставил также по умолчанию.



    Так как у меня есть беспроводные точки, то включаю контроллер WiFi сразу:

    Скриншоты



    Еще один плюс в безопасности: крайне опасная функция по умолчанию выключена:



    Повторно логинимся и тут же прилетает уведомление о новой прошивке.

    Скриншоты



    Вот и всё! Ноутбук бороздит просторы мировой сети интернет! Правда, только через порт wan1.

    Резервный канал


    Лезем в конфиг с целью добавления USB модема и Андроидфона в группу портов WAN. В «Конфигурация → Интерфейсы» активным становится только Hi-link модем. Андроидфон так и остался не распознанным.



    В свойствах соединения можно установить проверку канала по:

    icmp или tcp на адрес шлюза или конкретно заданный


    а также установить параметры лимитированного соединения, например, по объему трафика, если он у оператора ограничен.

    Лимит


    Далее нам надо разрешить выпускать клиентов через этот модем. Я сделал его равнозначным каналу, который воткнул в wan1:



    Жмём внизу «применить» и всё! Вся сеть будет ходить сразу по двум каналам.

    Подключаем WiFi


    Тут чуть-чуть сложнее.

    Редактируем профиль безопасности.

    Конфигурация → Объекты → Профили точек доступа → SSID → Список профилей безопасности. Выбираем профиль default и жмём «Редактировать»:



    Указываем wpa2 и чуть ниже ключ от сети.



    Сохраняем и переходим в соседнюю вкладку «Список SSID». Редактируем профиль «default», задав имя для своей точки.



    Настройки для точек по «умолчанию» мы под себя отредактировали.

    Теперь разрешаем автоматически регистрировать «пустые» точки.

    Разумеется, чтобы облегчить процесс установки.


    Включаем точки в PoE свитч. Свитч включаем в lan порт (p4-p7). И… И всё. Точки автоматически обнаружены и на них загружен конфиг.



    Выключаем автоматическое привязывание точек. Плюс в карму безопасности.



    Жмём «применить» и радуемся новой сети.

    Что дальше?


    Углубляемся в безопасность. Да здравствует сеть, защищенная и снаружи, и изнутри! Непреложный закон хорошего офисного админа – из всех развлекушек оставить только пасьянс косынка в свободном доступе!



    Мне сильно понравилась фишка «патруль приложений». Не надо заморачиваться написанием regex инструкций для фильтрации L7, как в Микротик. Оно уже есть. Надо только добавить в политику, и всё.

    Блокировка мессенджеров, онлайн-игр или социальных сетей без пота, крови и слез молодых админов.



    Дашборд такой, как любят большинство начальников: с картинками и графиками. Видно, куда чаще всего идут обращения, что и сколько заблокировано, и т.д.



    У Zyxel есть система централизованного управления Nebula, которую поддерживают выданные мне Wi-Fi точки. С первого взгляда — это SDN, который активно внедряют в крупных датацентрах. Но это тема уже другой статьи :-)

    А дальше ноут на просторах глобальной сети уже нашел инструкцию в 800 с лишним страниц и примерно такого же объёма хэндбук.

    Лицензии


    Как ни грустно, но лицензия на обновляемые базы сигнатур не бесконечна, и после первой активации шлюза сигнатуры обновляются в течение года. Далее надо подписку продлевать.

    Годовая подписка на Gold стоит 38 600 рублей, а на Silver — 29 000.



    Тут вопрос выгоды в каждом конкретном случае. Например, с ATP200 держать слабого админа за 30к в месяц и покупать лицензию за 40к в год, либо пользоваться Mikrotik с доп. сервером (под Сурикату) и держать «бородатого» админа за 80к в месяц.

    Заключение


    Для меня плюсы железок Zyxel, которые мне попались:

    • простота настройки;
    • отсутствие «костылей» для типовых задач;
    • функционал, необходимый для офиса в одной железке;
    • простота настройки безопасности;
    • требование установить ПАРОЛЬ.

    Функционал шлюза Zyxel ATP200 достаточно обширен. Причём многое реализовано в одной железке, и не требуется городить сложную конструкцию, как например, Mikrotik + Suricata.

    Опять-таки базовый функционал разворачивается легко и за короткое время.

    Разумеется, есть и свои недостатки. Нужно привыкать к логике настройки. ATP200 знает мало протоколов туннелирования, например, не подходит для проброса SSTP туннеля.
    Любое оборудование надо подбирать под конкретные задачи.

    Обучение работе на оборудовании Zyxel (ZCNA) стоит дешевле конкурентов — 15000 рублей! Официальный MTCNA — от 22000 рублей. Cisco, безусловно вне конкуренции – как по разнообразию курсов, так и по их стоимости, приближающейся к деталям самолета.

    Ввиду того, что не все на Хабре могут комментировать, и я не нашёл действующего чата Zyxel в Telegram, то создал @zyxelru. Приглашаю обсудить кейсы, настройки и прочие хитрости применения оборудования Zyxel, а также идеи для новых статей на Хабр для серии «В поисках кнопки «Сделать хорошо»».
    Поддержать автора
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 20

      0
      «Годовая подписка на Gold стоит 38 600 рублей, а на Silver 29 000»
      Такой себе «недорогой», маленький нюанс.
      Но при этом вся статья пестрит упоминаниями о сложности и большей стоимости Mikrotik.
      Малому и среднему бизнесу хорошо, когда заплатил и забыл. А не потерял клиентов, потому что через год оно втихаря вырубилось, ибо менеджер забыл упомянуть о ежегодной подписке.
        +2
        На сколько я понял доку, то не вырубится. Просто обновления подтягивать не будет.
        К тому же устройство регистрируется с указанием e-mail. Думаю на это мыло должно падать уведомление о заканчивающейся подписке.
        Но при этом вся статья пестрит упоминаниями о сложности и большей стоимости Mikrotik.

        К сожалению, но стоимость владения Mikrotik, получается выше.
        К такому выводу я пришёл даже имея сертификаты MTCNA и MTCRE.
        0
        Мда, подписка всю «малину» портит, к тому же нет возможности «нарезать» скорость с приоритетами или зарезервировать канал для сервиса.
          0
          На сколько я вижу, то qos там есть (стр. 443)

            0
            Беру свои слова обратно, надо посмотреть. Теперь вопрос — на канале в 100 мбит/с какая нагрузка будет при 3-4 правилах?

            Вот еще — количество единовременных VPN сессий также ограничивается лицензированием или это в зависимости от модели?

            И я смотрю, в описании, что он является контроллером для точек доступа, только при наличии активной лицензии.

            В целом получается интересное решение.

            Нашел:
            • Concurrent SSL VPN users: 10
            • Virtual interfaces (VLANs): 16


            Как-то несерьезно при ценнике в 800-1000 EUR!
              0
              SSL VPN какая-то их собственная технология и это 10 одновременных сессий.
              Она в принципе расчитана на офис в 50 человек. Сложно представить на такой офис более 10 одновременно подключенных клиентов.

              Тем не менее 40 ipsec тунелей.



              Без лицензий 2 активные точки, с Голдом — до 18



                +1
                Ok. Надо протестировать в реальных боевых условиях.

                А насчет VPN — 10 соединений очень мало, это не более 10 лаптопов на удаленке, т.е. только 10 человек могут работать с рабочими данными предприятия, а остальные? Последняя практика на малом предприятии была такая — 25 человек в конторе — 20 лаптопов, 15 из которых на постоянке носятся с собой — это 100% работа из дома или поездки/больничные и т.д.

                И это не считая, что VPN канал нужен и для различных сервисов (если есть программные решения вне конторы, к примеру магазины с централизованым учетом данных) по удаленной работе с базой данных (ERP, CRM, прочие сервисы) или просто для доступа обслуживающего персонала (к примеру, доступ к сервисам производства).

                Либо это уже вкладываться и внутри конторы поднимать отдельное решение и прокидывать на шлюзе, развлечение то себе.

                Т.е. покупать решение за 1К EUR, чтобы потом еще головняк был :) Ну не знаю, странная политика. кстати, вроде на точки доступа у них программный комплекс был по упралвению или отказались?
                  0
                  При любом раскладе оборудование приобретается по поставленной задаче.

                  В 2016 я работал в организации, в которой на 500 человек 10 учёток на vpn…

                  ERP, CRM, прочие сервисы

                  На моей практике все внешние сервисы подключались только по ipsec…

                  Т.е. покупать решение за 1К EUR, чтобы потом еще головняк был :)

                  Данное решение имеет чуть-чуть другие цели — параноидальную безопасность. А если требуется постороить замок Хаула, то вас ждёт Микротик :-)
                    0
                    Нее, в Микротик старался не «вляпываться», оыбчно Fortinet или Kerio. Либо уж совсем бюджетный, но вполне рабочий вариант — OPNsense.

                    Извиняюсь, я перепутал, здесь описание в контексте VPN SSL, я про IPsec говорил.
                      0
                      Данное решение имеет чуть-чуть другие цели — параноидальную безопасность.

                      Какая пропускная способность у этого устройства при максимально включенных средствах защиты? Можно ли это решение считать дешевым аналогом Cisco Talos?
                0

                Такой кос есть во многих мыльницах, только он нифига не работает.

              +1
              Спасибо за статью. Мне, как «любителю» MikroTik, было интересно расширить свой кругозор в том плане, что есть и другие вендоры в похожем сегменте.
                0
                держать слабого админа за 30к в месяц

                Толкового инженера техподдержки найти трудно за такой оклад, не то что админа.

                При несштатной ситуации бородатый одмин, поставит и настроит запасной роутер, на худой конец из старого сервака соберет программный маршрутизатор.
                А что будет делать «админ за 30», позвонит мамочке?
                  0
                  Толкового инженера техподдержки найти трудно за такой оклад, не то что админа.

                  Это ты про какой регион? В Москве не найти. В зауралье — можно.

                  Организации держат «бородатого админа» на аутсорсе, а в штате эникейщик.
                  –1
                  Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании

                  А такие есть? Фрилансер сделает это за смешную сумму.

                  либо обучить своего сисадмина

                  … ага — пользоваться хабром и гуглом :)

                  За 2018 год зарегистрировано CVE

                  Очень правильно и аккуратно. Только за 2018-й.
                  А за все остальные года? Mikrotik: 2018-й — 7, все время — 18; Zyxel: 2018-й — не 7 а 9, все время — 76!!!

                  Поставили и забыли

                  ню-ню, а как же докупать лицензию (из вашей же статьи)? А MTBA у него какой?
                  Из 10-летней практики пользования такими «поделками», могу сказать, что по 2 маршрутизатора из 60 в год стабильно приходили в негодность, пока не перешли на Mikrotik.

                  Нужно привыкать к логике настройки

                  мда, после такого: раз, двас, впору не привыкать, а успокоительное пить

                  А вообще с Zyxel-ями работал более 10 лет. Могу сказать, что пока компания пользовалась собственной RTOS zynos, все работало стабильно и надежно. Сейчас они сменили базу и делают роутеры на MontaVist-е, стыдливо прикрытой ZLD-хой. Как результат — надежность резко упала, глюков тоже на порядок прибавилось. Поддержка некомпетентная — когда я сказал что у меня есть исходник их прошивки от USG20 они чуть не обос… ись, а между тем получил я его согласно GPL.

                  ИТОГО. Я бы запретил разлагать неокрепшие умы «админов за 30к» такими «независимыми» обзорами.

                  P.S.: А заказчикам передайте, что пиар в этом случае не решит проблему падения продаж. В их случае очень эффективным оказался ход с Entware-Keenetic и движениями в сторону GPL.
                    0
                    А за все остальные года? Mikrotik: 2018-й — 7, все время — 18; Zyxel: 2018-й — не 7 а 9, все время — 76!!!

                    Зуксель начал производство своего оборудования на много раньше, чем микротик. Да и ассортимент оборудования и прошивок на много больше. Не корректное сравнение…

                    мда, после такого: раз, двас, впору не привыкать, а успокоительное пить

                    Ошибки в переводе интерфейса у всех бывают. Зуксель оперативно исправляет баги в переводе и не только. По мнению моих коллег Зуксель быстро реагирует на обнаруженные баги.

                    Вот у Микротик (и не только) вообще русского интерфейса нет.
                      0
                      О как! Мой коммент аж с минусом! Ну с почином.

                      Не корректное сравнение…


                      Мне кажется не очень корректно противопоставлять безопасный Zyxel небезопасному Mikrotik не указывая конкретики — моделей, операционных систем, функционала.
                      Вы ведь сделали тоже самое — речь ведете о ATP 200 и GS1200-5HP, уязвимость приводите только одну по AC3000, но вывод о небезопасности Mikrotik делаете без конкретных
                      устройств по общему числу уязвимостей в багтреке! Вот я и решил проверить вашу информацию по общему количеству уязвимостей без конкретики.

                      Зуксель оперативно исправляет баги...


                      поржал — честно?

                      Зуксель быстро реагирует...


                      «По мнению коллег...» А вы попробуйте сами к ним обратиться. Я вот общался — ни о какой быстроте/оперативности/компетентности и речи нет. Конкретно по веселому и «сексуальному» USG60, мне сказали что все свежекупленное оборудование надо сразу обновлять до последней прошивки. Ну бывает — страсть к наживе толкает продавать сырой продукт, чтоб бабла срубить, а косяки как-нибудь потом залатаем (они кстати в этом не одиноки — взять хотя бы CiscoASA с заявленным но неработающим RDP клиентом на SSL-портале). В другой раз словил у USG20 на последней прошивке стабильный разрыв IPSec VPN раз в сутки, с последующим ручным поднятием.

                      Поддержка Zyxel: препрошейте на самую новую.
                      Я: Блин ребята! На самой новой как раз и глючит!
                      Поддержка Zyxel: Тогда дождитесь новой прошивки.

                      Откатывал до пред-пред-последней и все исправлялось. Ну и последней каплей
                      стало веселое УДАЛЕНИЕ моего аккаунта на форуме техподдержки по причине долгой неактивности. Собственно неактивность была вызвана рекоммендацией техподдержки дождаться третьего квартала, когда выйдет прошивка «дополняющая» функциональность (умышленную и скрытую блокировку отправки OSPF мультикастов по GRE). А ведь я туда вбил все наши 60 маршрутизаторов, их серийники, прочие данные.

                      Вот у Микротик (и не только) вообще русского интерфейса нет.


                      А зачем русский интерфейс девайсу с половиной общепринятых англоязычных понятий — Ethernet, IP, NAT, GRE, Firewall, WiFi, Syslog? С такой логикой и до 1С-овских перлов недалеко.
                        0
                        уязвимость приводите только одну по AC3000, но вывод о небезопасности Mikrotik делаете без конкретных устройств

                        По Zyxel я привёл пример понравившегося мне бага, открытого за предыдущий год.

                        По Микротику смысла привязываться к конкретному устройству просто нет. У них всего две прошивки: RouterOS и его урезанный сородич SwitchOS. Поэтому все баги относятся ко всем их устройствам сразу.

                        поржал — честно?

                        Я пользуюсь той информацией, которую получил от конкретных пользователей Зуксель. В том числе и от пользователей в телеграме и тех кого знаю лично.

                        По поводу реакции на баги можно спорить вечно у всех вендоров. Даже Циска грешит долгой реакцией на некоторые баги.

                        А зачем русский интерфейс девайсу с половиной общепринятых англоязычных понятий


                        Вас никто не заставляет пользоваться русским интерфейсом. То, что есть возможность поменять язык в интерфейсе это плюс, а не минус. Даже если есть незначительные ошибки в переводе.
                    –2
                    Хорошая попытка Zyxel, но нет.
                      –1
                      Не понимаю, что сложного в Quick Set у мелкосетчатых? Только то, что все на одной страничке и на английском?

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое