Но для малого и среднего бизнеса, не связанного с индустрией IT, он крайне сложен в установке. Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании, либо обучить своего сисадмина. В первом случае дорого, втором — долго… и снова дорого.
Уязвимость в WinBox (CVE-2018-14847) показала, что мало кто способен корректно настроить RouterOS. А те, кто настроил — обновляют прошивки крайне редко. Несмотря на то, что последняя уязвимая версия 6.42 была выпущена 20 апреля 2018 года, моя статья на Хабр подняла шум во всём мире, мне по настоящее время продолжают писать люди, которые только что обнаружили, что их роутер взломан через эту уязвимость…
Соотношение «цена-возможности» Mikrotik не всегда играет в пользу потребителя. Моя задача: найти сетевое оборудование, которое после прохождения «мастера» обеспечивает максимальный функционал для маленького офиса до 50 человек. При этом один из главных критериев — безопасность. Ведь, например, логистическую компанию должна беспокоить скорость доставки посылки к заказчику, а не отваливающаяся сеть и «висящий» терминал.
На аутсорсинг ко мне попал разворачивающийся маленький офис, заказавший установку сети на базе комплекта оборудования Zyxel: шлюз ATP 200, две точки Wi-Fi и управляемый PoE свитч. Опыт оказался достаточно интересным, учитывая, что к Zyxel я всегда относился с пренебрежением.
То есть сейчас Keenetic не имеет никакого отношения к Zyxel.
Перед тем, как я получил Zyxel на руки, я поинтересовался мнением своих знакомых сетевиков, как они относятся к этому оборудованию:
«Мы его к себе в датацентры не ставим, ибо это не энтерпрайс решение. А вот нашим клиентам подрядчики ставят. Оно просто работает… Поставили и забыли.»
Безопасность
Разумеется, я полез смотреть зарегистрированные CVE (Common Vulnerabilities and Exposures).
За 2018 год зарегистрировано CVE:
> D-Link — дофига
> RouterOS — 6 уязвимостей, от которых до сих пор икается....
> Cisco — больше, чем у D-link
Даже малоизвестный Eltex из Новосибирска имеет 5 уязвимостей.
Zyxel 7 уязвимосетей.
У Zyxel меня позабавила уязвимость CVE-2018-9149 с максимальным рейтингом опасности:
The Zyxel Multy X (AC3000 Tri-Band WiFi System) device doesn't use a suitable mechanism to protect the UART. After an attacker dismantles the device and uses a USB-to-UART cable to connect the device, he can use the 1234 password for the root account to login to the system. Furthermore, an attacker can start the device's TELNET service as a backdoor.
Сразу вспоминаются кадры из любимых шпионских боевиков, где главный герой/злодей проникает на базу по верёвке и цепляется к некой коробочке проводком, чтобы остановить/запустить ядерные ракеты, нацеленные на… *додумайте сами*.
То есть, чтобы воспользоваться этой уязвимостью, необходимо атакующему подключиться к Wi-Fi точке физически, используя специальный кабель USB-to-UART!
Вопросов к надежности Zyxel по CVE у меня не осталось.
Распаковка
Коробочки пришли, а стены еще красят. Распаковываем дома.
Первое мое впечатление – это вес! ATP 200 весит 1.4 кг для своего маленького размера (272x36x187 мм). Точки доступа также заметно тяжелее Ubiquiti.
В коробках с точками не было блоков питания. Такое оборудование при адекватной установке запитывается по PoE. Управляемый свитч GS1200-5HP для этого и был приобретён.
Первое включение
Подключил ATP200 к ноуту кабелем через порт P4 (из lan) шлюза. В wan1 воткнул проводной интернет, в USB1 E3272 с прошивкой Hi-Link и в USB2 свой Андроидфон в режиме «USB модема». Загружался он около минуты. Далее по «Quick Start» я полез на 192.168.1.1. Вот тут меня ожидала первая неприятность. Вебморда у него работает по SSLv3, который на современных браузерах выключен. Включаем:
При первом входе он не дает перейти к следующему действию без смены пароля, в отличие от RouterOS. Далее стартует «мастер», в котором я указал, что хочу использоваться второй порт wan (p3). Дополнительных устройств «мастер» не увидел.
Сервисы оставил также по умолчанию.
Так как у меня есть беспроводные точки, то включаю контроллер WiFi сразу:
Еще один плюс в безопасности: крайне опасная функция по умолчанию выключена:
Повторно логинимся и тут же прилетает уведомление о новой прошивке.
Вот и всё! Ноутбук бороздит просторы мировой сети интернет! Правда, только через порт wan1.
Резервный канал
Лезем в конфиг с целью добавления USB модема и Андроидфона в группу портов WAN. В «Конфигурация > Интерфейсы» активным становится только Hi-link модем. Андроидфон так и остался не распознанным.
В свойствах соединения можно установить проверку канала по:
а также установить параметры лимитированного соединения, например, по объему трафика, если он у оператора ограничен.
Далее нам надо разрешить выпускать клиентов через этот модем. Я сделал его равнозначным каналу, который воткнул в wan1:
Жмём внизу «применить» и всё! Вся сеть будет ходить сразу по двум каналам.
Подключаем WiFi
Тут чуть-чуть сложнее.
Редактируем профиль безопасности.
Конфигурация > Объекты > Профили точек доступа > SSID > Список профилей безопасности. Выбираем профиль default и жмём «Редактировать»:
Указываем wpa2 и чуть ниже ключ от сети.
Сохраняем и переходим в соседнюю вкладку «Список SSID». Редактируем профиль «default», задав имя для своей точки.
Настройки для точек по «умолчанию» мы под себя отредактировали.
Теперь разрешаем автоматически регистрировать «пустые» точки.
Включаем точки в PoE свитч. Свитч включаем в lan порт (p4-p7). И… И всё. Точки автоматически обнаружены и на них загружен конфиг.
Выключаем автоматическое привязывание точек. Плюс в карму безопасности.
Жмём «применить» и радуемся новой сети.
Что дальше?
Углубляемся в безопасность. Да здравствует сеть, защищенная и снаружи, и изнутри! Непреложный закон хорошего офисного админа – из всех развлекушек оставить только пасьянс косынка в свободном доступе!
Мне сильно понравилась фишка «патруль приложений». Не надо заморачиваться написанием regex инструкций для фильтрации L7, как в Микротик. Оно уже есть. Надо только добавить в политику, и всё.
Блокировка мессенджеров, онлайн-игр или социальных сетей без пота, крови и слез молодых админов.
Дашборд такой, как любят большинство начальников: с картинками и графиками. Видно, куда чаще всего идут обращения, что и сколько заблокировано, и т.д.
У Zyxel есть система централизованного управления Nebula, которую поддерживают выданные мне Wi-Fi точки. С первого взгляда — это SDN, который активно внедряют в крупных датацентрах. Но это тема уже другой статьи :-)
А дальше ноут на просторах глобальной сети уже нашел инструкцию в 800 с лишним страниц и примерно такого же объёма хэндбук.
Лицензии
Как ни грустно, но лицензия на обновляемые базы сигнатур не бесконечна, и после первой активации шлюза сигнатуры обновляются в течение года. Далее надо подписку продлевать.
Годовая подписка на Gold стоит 38 600 рублей, а на Silver — 29 000.
Тут вопрос выгоды в каждом конкретном случае. Например, с ATP200 держать слабого админа за 30к в месяц и покупать лицензию за 40к в год, либо пользоваться Mikrotik с доп. сервером (под Сурикату) и держать «бородатого» админа за 80к в месяц.
Заключение
Для меня плюсы железок Zyxel, которые мне попались:
- простота настройки;
- отсутствие «костылей» для типовых задач;
- функционал, необходимый для офиса в одной железке;
- простота настройки безопасности;
- требование установить ПАРОЛЬ.
Функционал шлюза Zyxel ATP200 достаточно обширен. Причём многое реализовано в одной железке, и не требуется городить сложную конструкцию, как например, Mikrotik + Suricata.
Опять-таки базовый функционал разворачивается легко и за короткое время.
Разумеется, есть и свои недостатки. Нужно привыкать к логике настройки. ATP200 знает мало протоколов туннелирования, например, не подходит для проброса SSTP туннеля.
Любое оборудование надо подбирать под конкретные задачи.
Обучение работе на оборудовании Zyxel (ZCNA) стоит дешевле конкурентов — 15000 рублей! Официальный MTCNA — от 22000 рублей. Cisco, безусловно вне конкуренции – как по разнообразию курсов, так и по их стоимости, приближающейся к деталям самолета.
Ввиду того, что не все на Хабре могут комментировать, и я не нашёл действующего чата Zyxel в Telegram, то создал @zyxelru. Приглашаю обсудить кейсы, настройки и прочие хитрости применения оборудования Zyxel, а также идеи для новых статей на Хабр для серии «В поисках кнопки «Сделать хорошо»».
Комментарии (15)
impvision
19.02.2019 12:29Мда, подписка всю «малину» портит, к тому же нет возможности «нарезать» скорость с приоритетами или зарезервировать канал для сервиса.
LMonoceros Автор
19.02.2019 12:37На сколько я вижу, то qos там есть (стр. 443)
impvision
19.02.2019 12:48Беру свои слова обратно, надо посмотреть. Теперь вопрос — на канале в 100 мбит/с какая нагрузка будет при 3-4 правилах?
Вот еще — количество единовременных VPN сессий также ограничивается лицензированием или это в зависимости от модели?
И я смотрю, в описании, что он является контроллером для точек доступа, только при наличии активной лицензии.
В целом получается интересное решение.
Нашел:
- Concurrent SSL VPN users: 10
- Virtual interfaces (VLANs): 16
Как-то несерьезно при ценнике в 800-1000 EUR!LMonoceros Автор
19.02.2019 14:34SSL VPN какая-то их собственная технология и это 10 одновременных сессий.
Она в принципе расчитана на офис в 50 человек. Сложно представить на такой офис более 10 одновременно подключенных клиентов.
Тем не менее 40 ipsec тунелей.
Без лицензий 2 активные точки, с Голдом — до 18
impvision
19.02.2019 14:54+1Ok. Надо протестировать в реальных боевых условиях.
А насчет VPN — 10 соединений очень мало, это не более 10 лаптопов на удаленке, т.е. только 10 человек могут работать с рабочими данными предприятия, а остальные? Последняя практика на малом предприятии была такая — 25 человек в конторе — 20 лаптопов, 15 из которых на постоянке носятся с собой — это 100% работа из дома или поездки/больничные и т.д.
И это не считая, что VPN канал нужен и для различных сервисов (если есть программные решения вне конторы, к примеру магазины с централизованым учетом данных) по удаленной работе с базой данных (ERP, CRM, прочие сервисы) или просто для доступа обслуживающего персонала (к примеру, доступ к сервисам производства).
Либо это уже вкладываться и внутри конторы поднимать отдельное решение и прокидывать на шлюзе, развлечение то себе.
Т.е. покупать решение за 1К EUR, чтобы потом еще головняк был :) Ну не знаю, странная политика. кстати, вроде на точки доступа у них программный комплекс был по упралвению или отказались?LMonoceros Автор
19.02.2019 15:12При любом раскладе оборудование приобретается по поставленной задаче.
В 2016 я работал в организации, в которой на 500 человек 10 учёток на vpn…
ERP, CRM, прочие сервисы
На моей практике все внешние сервисы подключались только по ipsec…
Т.е. покупать решение за 1К EUR, чтобы потом еще головняк был :)
Данное решение имеет чуть-чуть другие цели — параноидальную безопасность. А если требуется постороить замок Хаула, то вас ждёт Микротик :-)impvision
19.02.2019 15:16Нее, в Микротик старался не «вляпываться», оыбчно Fortinet или Kerio. Либо уж совсем бюджетный, но вполне рабочий вариант — OPNsense.
Извиняюсь, я перепутал, здесь описание в контексте VPN SSL, я про IPsec говорил.
jabberd
19.02.2019 16:03+1Спасибо за статью. Мне, как «любителю» MikroTik, было интересно расширить свой кругозор в том плане, что есть и другие вендоры в похожем сегменте.
Henry7
19.02.2019 21:44держать слабого админа за 30к в месяц
Толкового инженера техподдержки найти трудно за такой оклад, не то что админа.
При несштатной ситуации бородатый одмин, поставит и настроит запасной роутер, на худой конец из старого сервака соберет программный маршрутизатор.
А что будет делать «админ за 30», позвонит мамочке?LMonoceros Автор
20.02.2019 03:18Толкового инженера техподдержки найти трудно за такой оклад, не то что админа.
Это ты про какой регион? В Москве не найти. В зауралье — можно.
Организации держат «бородатого админа» на аутсорсе, а в штате эникейщик.
max-himik
20.02.2019 10:43Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании
А такие есть? Фрилансер сделает это за смешную сумму.
либо обучить своего сисадмина
… ага — пользоваться хабром и гуглом :)
За 2018 год зарегистрировано CVE
Очень правильно и аккуратно. Только за 2018-й.
А за все остальные года? Mikrotik: 2018-й — 7, все время — 18; Zyxel: 2018-й — не 7 а 9, все время — 76!!!
Поставили и забыли
ню-ню, а как же докупать лицензию (из вашей же статьи)? А MTBA у него какой?
Из 10-летней практики пользования такими «поделками», могу сказать, что по 2 маршрутизатора из 60 в год стабильно приходили в негодность, пока не перешли на Mikrotik.
Нужно привыкать к логике настройки
мда, после такого: раз, двас, впору не привыкать, а успокоительное пить
А вообще с Zyxel-ями работал более 10 лет. Могу сказать, что пока компания пользовалась собственной RTOS zynos, все работало стабильно и надежно. Сейчас они сменили базу и делают роутеры на MontaVist-е, стыдливо прикрытой ZLD-хой. Как результат — надежность резко упала, глюков тоже на порядок прибавилось. Поддержка некомпетентная — когда я сказал что у меня есть исходник их прошивки от USG20 они чуть не обос… ись, а между тем получил я его согласно GPL.
ИТОГО. Я бы запретил разлагать неокрепшие умы «админов за 30к» такими «независимыми» обзорами.
P.S.: А заказчикам передайте, что пиар в этом случае не решит проблему падения продаж. В их случае очень эффективным оказался ход с Entware-Keenetic и движениями в сторону GPL.
webviktor
«Годовая подписка на Gold стоит 38 600 рублей, а на Silver 29 000»
Такой себе «недорогой», маленький нюанс.
Но при этом вся статья пестрит упоминаниями о сложности и большей стоимости Mikrotik.
Малому и среднему бизнесу хорошо, когда заплатил и забыл. А не потерял клиентов, потому что через год оно втихаря вырубилось, ибо менеджер забыл упомянуть о ежегодной подписке.
LMonoceros Автор
На сколько я понял доку, то не вырубится. Просто обновления подтягивать не будет.
К тому же устройство регистрируется с указанием e-mail. Думаю на это мыло должно падать уведомление о заканчивающейся подписке.
К сожалению, но стоимость владения Mikrotik, получается выше.
К такому выводу я пришёл даже имея сертификаты MTCNA и MTCRE.