Привет, Хабр!

Так получилось, что с появлением отделов, служб или подразделений, связанных с информационной безопасностью, простые сетевики, сисадмины начали от них получать рекомендации о необходимости запретить доступ от пользователей до интернет‑ресурсов. И в обратном направлении запретить трафик от тысячи IP из интернета до узлов предприятия с белыми IP. Неважно, какую роль выполняет узел, в качестве VPN‑сервера или веб‑сайта.

Подвох в том, что в рекомендациях напрочь отсутствует подсказка, чем и как блокировать трафик.

Возможно, возмутитесь и скажете, что это не касается сетевиков, сисадминов, но реалии чаще такие, что бóльшую часть «дорожной карты по ИБ» снова «скидывают» на сетевиков, сисадминов и задание должны выполнить в кратчайшие сроки.

Поэтому, в статье рассказывается почему был выбран режим «прозрачного файрволла», чем подошёл и как его настроить на межсетевом экране ATP и USG Flex для блокировки транзитного интернет‑трафика.

Поводом написания статьи были частые вопросы новичков в чате Zyxel: "Как настроить Wi-Fi с нуля на новом автономном оборудовании Zyxel, состоящего из межсетевого экрана Zyxel ATP или USG Flex со встроенным Wi-Fi контроллером и точек доступа?
Мануала и примеров в данный момент нет, поэтому исправлю этот недочёт в нынешней статье с пояснением некоторых технических нюансов, которые могут подвести неосведомлённого технаря.

Настройка "из коробки" двух SSID производилась на оборудовании:

• межсетевой экран Zyxel USG Flex 100W (автономный режим);

• PoE коммутатор Zyxel GS1200-5HP v2 (автономный режим);

• две точки доступа Zyxel WAC500 (управляемый режим).

Привет, Хабр!

Близится к концу 2023 год и ожидаемо, что руководство, сетевики, ИБешники, сисадмины и другие категории специалистов ИТ интересуются количеством принятого и отправленного трафика или с них требуют отчёт использованного трафика.

Шлюзы ZYXEL USG Flex и ATP поддерживают два механизма ведения отчётности. Чем отличаются, как реализованы и настраиваются - об этом подробно рассказывается в статье.

В предыдущей статье рассказывалось, как предоставить техперсоналу доступ в интернет по паролю в любой точке ВУЗа, где есть локальная сеть.

А как же быть простым пользователям, которым пришла ссылка-приглашение на участие в онлайн вебинаре?
А сотням обучающимся в компьютерных классах, у которых ГРАНД-Смета не обновляется через прокси-сервер и обучаются по устаревшей базе смет?
А нескольким участникам онлайн вебинара в компьютерном классе?

И ещё очень много подобных случаев. Конкретно эти все ресурсы не работают через прокси-сервер.

Сегодня в статье будет рассказано как предоставить обычным пользователям доступ по URL к конкретным сайтам без вызова техперсонала.

Привет, Хабр!

Написать статью подтолкнул комплекс проблем.

Проблема №1. В настоящее время перед первым использованием свежеустановленную ОС, программу, прошивку устройства настоятельно рекомендуется обновить или активировать в интернете, в большинстве случаев эти рекомендации невозможно проигнорировать, устройство попросту не заработает, пока не обновишь/активируешь.

Проблема №2. Большинство устройств и софта требуют стабильный, быстрый интернет с минимальным пингом и задержками, без прокси и ограничений. При использовании прокси некоторый софт (пример 1, пример 2) не может обновиться. Ему нужен интернет без прокси и обязательно шустрый или софт исчерпает таймаут на подключение к серверу обновлений.

Проблема №3. Такая же беда есть с проведением вебинаров, видео/аудио потоки стабильно работают только при прямом доступе в интернет, без прокси.

Техподдержка софта и вебинаров об этом знают, в FAQ и в общении предупреждают, что нужен "нормальный" интернет.

Ещё пример тут, обратим внимание на первую и четвёртую рекомендации.

Привет, Хабр!

Сегодня в статье расскажу о недооценённом и малоизвестном сервисе информационной безопасности в межсетевых экранах (МСЭ) Zyxel VPN / ATP / USG Flex.

Называется он Geo Enforcer (Гео IP). С прошлого года, ориентировочно с версии 5.10 он стал бесплатным, не требует лицензию и процедур активаций.

Что это такое и чем он полезен?

Привет, Хабр!

В статье расскажу как в гостевой Wi-Fi сети блокировал сайты с контентом 18+ (для взрослых) на межсетевых экранах Zyxel моделей VPN / ATP / USG Flex (все со встроенным контроллером точек доступа), чтобы гости в публичных сетях или персонал в пользовательской сети не могли загрузить такие сайты, нередко оказывающиеся вредоносными.

Часто встречаются сообщения, в котором спрашивают, что не могут попасть на веб-интерфейс новых шлюзов VPN / USG Flex / ATP по дефолтному 192.168.1.1 из коробки или после сброса. Причин много существует, от простых до нестандартных.

Для облегчения поиска решения проблемы и экономии вашего времени, была создана статья, в которой изложены способы  «как попасть на 192.168.1.1» и что препятствует этому.

Побежали!

В работе с гостевыми Wi-Fi сетями столкнулся с неприятной проблемой. Много устройств Apple iPhone и iPad отключается от Wi-Fi при затухании экрана (блокировка) и, при отсутствии мобильного интернета, сообщения из мессенджеров не приходят и гости эмоционально реагировали: «не в АйФоне же дело!? Дома всё в порядке на домашнем роутере!»

Дело почти дошло до «замены шлюза с встроенным контроллером точек доступа», управляющего десятками точек доступа, но ведь у Андроидов и Windows-устройств всё в порядке было...

В статье излагаются результаты проведенных исследований, перечисляются все танцы с бубном и перепробованные способы устранения проблемы. Печально, но решение, устроившее бы всех, так и не было найдено. Может быть после прочтения кому-то придет в голову что можно сделать. А тому, кто изложит в комментариях реальный фикс, который решит проблему на моём оборудовании, будет подарок: функциональный и стильный рюкзак от Zyxel.

При расширении зоны действия Wi-Fi увеличением числа точек доступа, управляемых шлюзом Zyxel VPN300 (сначала был Zyxel UAG5100), увеличилось количество гостей и проблемы начались в час пик со скоростью интернета, открытием сайтов, шустростью сёрфинга. Уже не успевал мониторить/конфигурировать комплекс и оперативно реагировать на заявки.

Помощника не дали, как это своими силами лечилось и чем настраивалось, делюсь опытом для всех и проведу краткую экскурсию по функциям.

Статья будет о Wi-Fi контроллерах точек доступа и вообще, действительно он нужен?

Поводом написания статьи было поручение выполнить в 2015 году постановление правительства РФ что «качественный, быстрый беспроводной интернет в высших учебных заведениях должен быть доступен круглые сутки» с соблюдением двух постановлений по авторизации и организовать роуминг Wi-Fi гостей между аудиториями, конференц-залами и вестибюлями. Интернет местных сотовых операторов проседал, у всех было большой проблемой отправить/получить сообщение, посмотреть погоду.

Поручение казалось невыполнимым из-за отсутствия готовых примеров, кейсов с разумной ценой, ограниченного времени на выбор и бюджета.

Поводом для написания этой статьи стало два фактора.

Первое: необходимость соблюдения для публичных (гостевых) Wi-Fi сетей постановления Правительства РФ №758 от 31 июля 2014 года и №801 от 12 августа 2014 года (размеры штрафов за несоблюдение постановлений).

Второе: комплекс эмоций, которые испытаны, в процессе реализации всего этого. С этими постановлениями всё понятно, нужно соблюдать, но была другая неприятная проблема, вылезшая в процессе эксплуатации сервисов авторизации.