ZyWALL 35 для малого бизнеса
Многие предприятия малого бизнеса всё больше используют в своей работе Интернет, и эта тенденция сохранится и в будущем. Типичная ситуация: от десяти до пятидесяти ПК на балансе, которые требуется соединить в локальную сеть и подключить к Интернету. Это может быть игровой клуб, интернет-кафе или малая типография, специализирующаяся на отрисовке и распечатке визиток. Это может быть интернет-магазин, транспортное предприятие или хотспот. Не так важно, о каком именно бизнесе мы говорим, но важно, что в этом бизнесе требуется раздать Интернет на небольшое количество компьютеров, не расходуя слишком много средств. Интернет может быть получен каким угодно путём: по широкополосному каналу ADSL, с сервера арендодателя по “витой паре” или радиоканалом.
Создавая локальную сеть с выходом в Интернет, обязательно требуется обеспечить её защиту от проникновений снаружи вирусов, троянов и другого вредоносного ПО. Также желательно, чтобы локальная сеть была недоступна для вашего арендодателя (если он предоставил вам один из “концов”, ведущих в его собственный сервер). Способов решить поставленную задачу существует немало, но часто в таких случаях зачем-то рассматриваются решения “ПК + программная часть”. Дело в том, что если Интернет может раздать и обычный маршрутизатор, то антивирусная проверка, предотвращение атак (IDP) и другие услуги по защите обычно принято возлагать на программную часть ПК. Сегодня мы тестируем межсетевой экран ZyXEL ZyWall 35 UTM EE . От ZyWALL 35 EE его отличает модуль ZyWall Turbo Card и сетевая OC ZyNOS v4.
Сегодня мы тестируем межсетевой экран ZyXEL ZyWall 35 UTM EE. От ZyWALL 35 EE его отличает модуль ZyWall Turbo Card и сетевая OC ZyNOS v4. ZyWALL 35 UTM умеет не только распределять Интернет по нескольким десяткам ПК и содержать локальную сеть под NAT, но также устанавливать VPN-соединение для создания дистанционно-распределённого интранета, производить “на лету” антивирусную проверку как всего интернет-трафика локальной сети, так и входящей почты. Устройство хранит в памяти сигнатуры наиболее распространенных и активных (In-The-Wild, ITW) вирусов, обновляя их по мере необходимости через совместный онлайновый сервис ZyXEL и “Лаборатории Касперского”.
Серия межсетевых экранов ZyWall UTM, в состав которой входят устройства ZyWALL 5 UTM EE, ZyWALL 35 UTM EE и ZyWALL 70W UTM EE, реализует популярную сегодня концепцию объединенного контроля угроз (UTM, Unified Threat Management). При этом целостность системы защиты сети предприятия и высокая скорость передачи данных обеспечиваются сочетанием уникальной антивирусной составляющей и технологии потокового сканирования ZyXEL. Простота установки и настройки позволяет любому предприятию малого или среднего бизнеса осуществить полноценную защиту своей сети.
Внешний досмотр ZyWALL 35 UTM EE
На сегодняшний день программных антивирусов существует великое множество: как платных, условно платных, так и совершенно бесплатных, под совершенно разнообразные операционные системы и с огромнейшими возможностями по настройке. Однако аппаратных решений, фильтрующих вирусы при самом их проникновении в защищаемую сеть, не так уж и много. К нам для тестирования попал межсетевой экран ZyXEL ZyWall 35 UTM, позволяющий в потоковом режиме проводить антивирусную проверку, спам-фильтрацию, а также обнаруживать попытки вторжения в защищаемую сеть.
Антивирусная часть ZyXEL ZyWall реализована совместно с российским производителем антивирусного ПО – “Лабораторией Касперского“. Проведём детальное исследование работы данного устройства.
Металлический корпус ZyWall 35EE спроектирован с возможностью монтажа в 19-дюймовую стойку (на боках есть технологические отверстия для крепления монтажных элементов) или же на стену и имеет высоту 1U (35,5 мм или 1,75 дюйма). Вентиляционные отверстия расположены по бокам изделия, охлаждение устройства – пассивное, без применения вентиляторов. При интенсивной работе ZyWall выделяет достаточно много тепла, поэтому при при выборе места установки следует задуматься об обеспечении притока воздуха.
На передней панели устройства расположено шесть Ethernet-портов RJ-45 (под витую пару) с индикаторами их состояния под витую пару: два для подключения к каналам провайдеров или выхода во внешнюю сеть (промаркированы как WAN1 и WAN2) и четыре для внутренней сети или для организации демилитаризованной зоны (DMZ). Следует особо отметить, что каждый из четырёх локальных портов может быть настроен как для работы с внутренней локальной сетью, так и для обслуживания сервера в DMZ. Также на передней панели расположены индикаторы работы самого устройства: PWR, ACT, SYS и CARD, назначение которых можно понять из их названий. Особые случаи поведения данных индикаторов описаны в полном руководстве по использованию и настройке межсетевого экрана. На передней панели также расположена утопленная кнопка сброса настроек устройства до заводских установок, десятисекундное нажатие на которую приводит к обнулению пользовательских настроек и перезагрузке маршрутизатора.
На задней панели расположены порты RS-232 для подключения аналогового или цифрового модема и консоли управления. Также присутствует разъём для установки дополнительных плат расширения (беспроводных PC Card или же Turbo Card для проведения антивирусной проверки). Разъём для подачи питания тоже расположен на задней стенке устройства. Адаптер питания внешний.
Конфигурирование ZyWALL 35 и RTFM
Как это ни банально звучит, но первое, что требуется сделать перед началом работы и даже конфигурирования, – загрузить устройство. Инициализация ZyWall 35EE с Turbo Card длится порядка 85 секунд, а без карты на 15 секунд быстрее. Да, это устройство к “быстро-грузящимся” не отнесёшь: среди прочего в консоли в течение 30 секунд висит сообщение о тестировании памяти (DRAM POST: Testing). При этом проверяется 65 Мбайт встроенной в ZyWall флэш-памяти. Если нажать на “Esc”, то тестирование прекращается. Но полностью отключить проверку невозможно, а каждый раз нажимать “отмену” не представляется целесообразным. Хорошо, что перезагрузка устройства требуется достаточно редко.
При первом включении ZyXEL ZyWall 35 его локальным портам присваивается IP адрес 192.168.1.1, поэтому для начала настройки вы должны назначить адрес своему компьютеру в той же подсети 192.168.1.0 c маской 255.255.255.0 (или использовать DHCP). После того, как изменённые настройки войдут в силу, обратитесь из браузера к адресу роутера, и тогда в окне браузера отобразится заветная страничка для ввода первоначального пароля. Стандартный пароль на ZyWall 35 это 1234, к тому же при первой инициализации устройства он уже вбит в форму по умолчанию, то есть вы сразу можете осуществить вход. После входа роутер потребует поменять пароль и заменить стандартные сертификаты. Проделав всё это или же отказавшись, вы наконец-то можете начинать конфигурировать ZyXEL ZyWall 35.
Рассмотрим меню конфигуратора. С левой стороны расположены пункты, обеспечивающие доступ к тем или иным одноимённым наборам установок. Обращаем ваше внимание на то, что на скриншотах могут отличаться адреса конфигурируемых устройств и используемые для этих целей браузеры. Это связано с тем, что в нашем распоряжении было сразу два ZyWall 35, которые мы настраивали для работы в разных локальных сетях.
Положительной стороной является то, что если не сменить стандартный пароль или не заменить сертификаты по умолчанию, то при каждом входе вам будет выдаваться надоедливое сообщение с предложением сделать это. Разумная забота о безопасности со стороны ZyXEL.
Конфигурирование ZyXEL ZyWall 35 можно осуществлять, в том числе, через telnet-сессию или консоль, но для обычного пользователя конфигурирование через web-интерфейс представляется более удобным. Мы не заметили существенных отличий в предоставляемых различными методами конфигурирования возможностях (существующие указаны ниже в статье после обзора CLI-команд).
Особо необходимо отметить впечатляющую степень подробности документации к ZyXEL ZyWall 35 – полное руководство в PDF-формате занимает более 27 Мбайт и размещено на 704 страницах. В руководстве содержатся обширные описания самих технологий, реализованных в ZyXEL ZyWall 35, что, естественно, поможет начинающим достаточно хорошо разобраться во всех тонкостях работы сети. Немалое внимание уделено и конфигурированию через telnet и консоль.
Обновление прошивки ZyWALL 35
Изначально устройство было предоставлено нам с операционной системой ZyNOS V4.00 (WZ.1). Эта версия субъективно показалась несколько “заторможенной”: медленно открывались странички самого устройства и странички, получаемые через него из Интернета, были замечены большие задержки при прохождении ICMP-запросов и ответов (ровно 7 мс). Поэтому, перед началом глубокого тестирования было принято решение обновить систему до последней версии. С сайта производителя была скачана новая версия прошивки ZyNOS V4.00 (WZ.2), в составе прилагался PDF-документ, содержащий список исправлений и дополнений в последних версиях прошивки. Перед обновлением мы решили сохранить файл конфигурации (на всякий случай), хотя это оказалось лишним.
Образ новой операционной системы в память устройства загружается при помощи web-интерфейса. Из всех извлечённых из архива файлов в устройство загружается только файл с расширением BIN, так как именно он содержит образ системы. Все остальные файлы являются вспомогательными.
Естественно, за процессом обновления ZyNOS мы подглядывали из консоли.
Если ваш ZyWALL использует версию ZyNOS до версии 4.00, то обновление прошивки обязательно, так как иначе устройство просто не распознает карту ZyWALL |Turbo Card и не сможет реализовать всю описанную в статье функциональность. Напомним – обязательным условием реализации функций UTM является ОС ZyNOS v. 4.00 и выше, и карта аппаратного ускорителя ZyWALL Turbo Card! Принципы работы беспроводных клиентов для старых и новых версий операционной системы ZyNOS представлены ниже соответственно. Следует особо отметить, что данное устройство поддерживает беспроводные адаптеры исключительно производства ZyXEL, а именно модель G-110 EE. Нам так и не удалось заставить ZyWall определить и заработать со сторонней картой Wi-Fi. На обоих устройствах, прошедших тестирование в нашей лаборатории, процесс обновления прошивки ZyNOS прошёл безболезненно.
Регистрация ZyWall и активация онлайновых сервисов ZyXEL
Теперь посмотрим, как обстоит дело с обновлениями антивирусных, антиспамовых сигнатур, а также записей базы известных сетевых атак. Для того чтобы можно было использовать указанные выше типы фильтраций и обновлять базы сигнатур, необходимо активировать соответствующие функции. Для активации необходимо зарегистрировать устройство в онлайновой базе данных компании ZyXEL. Процесс регистрации вы можете провести, используя либо ваш браузер через web-сайт компании, но для этого вам потребуется знать серийный номер устройства и его MAC-адрес для проверки. Либо можно воспользоваться встроенными функциями регистрации, которые самостоятельно сообщают данные вашего устройства (что гораздо удобнее). Ниже представлены варианты регистрации устройства новым и уже существующим пользователем.
Вариант автоматической регистрации кажется более простым и удобным, однако, во время него могут возникнуть некоторые сложности. Если ZyWall 35 UTM используется в сети, доступ в Интернет из которой возможен лишь через прокси-сервер, то автоматическая регистрация будет невозможна: в данном устройстве нет возможности работать с прокси-серверами для регистрации и, как выяснится позже, обновления базы данных сигнатур. Если регистрацию ещё можно провести через обычный браузер, то для обновления базы потребуется разрешить доступ к узлу myupdate.zywall.zyxel.com (203.160.232.14). Но обо всём по порядку.
Если устройство зарегистрировать, то можно получить возможность бесплатно использовать защиту и предотвращение вторжений (IDP), антивирусную, контентную и антиспамовую проверки, а также защиту от вторжений на срок от 1 до 3 месяцев, для этого нужно лишь поставить галочки для тех сервисов, которые требуется активировать.
На закладке “Service” отражена информация о том, какие из сервисов уже активированы, а также о времени окончания ознакомительного периода.
Необходимо отметить, что в случае аппаратного сброса настроек до заводских параметров теряется и информация в устройстве о том, какие сервисы и на какое время были активированы. Однако данная информация хранится на сервере производителя, откуда её можно повторно запросить, нажав на кнопку “Service License Refresh”.
Обновление баз антивирусных сигнатур и записей типов вторжений ZyWALL
Обновление антивирусных сигнатур, записей антиспам-базы, а также базы известных атак возможно производить только в автоматическом режиме самим устройством с сайта ZyXEL. Мы проводили тестирование в сети, защищённой прокси-сервером. Для обновления защиты устройства нам пришлось изменить настройки нашего основного прокси-сервера. На скриншотах ниже показано как производится непосредственное обновление антивирусных баз. Обновление остальных баз проводится аналогично.
После регистрации и обновления на указанный почтовый ящик может приходить информация о выходе обновлений баз сигнатур (антивирусных и обнаружения вторжений). Эта информация может оказаться полезной в случае, если на устройстве не задан параметр автоматического обновления баз. Однако ручное обновление не кажется нам целесообразным, так как возможности скачать базы и обновить их из скачанных файлов нет, а процесс автоматического обновления потребляет ничтожно мало трафика.
Процесс добавления новых и модификации существующих записей необходим. По словам технического специалиста ZyXEL, существует ограничение на количество одновременно загруженных сигнатур: 800+ для модели ZyWall 5 UTM и 1200+ для моделей ZyWall 35/70W UTM, при этом ограничение на базу сигнатур IDP составляет 1200+ (разделённых по категориям: P2P, DDOS, IM и так далее). Необходимый набор сигнатур форумируется “Лабораторией Касперского” на основе статистических данных и постоянного мониторинга вирусной активности. Ниже мы приводим актуальный на момент публикации статьи список встречаемости вирусов (по данным Лаборатории Касперского).
1 | Backdoor.Win32.Rbot.go | 10,29% |
2 | Virus.VBS.Confi | 10,02% |
3 | P2P-Worm.Win32.Alcan.a | 9,84% |
4 | Trojan.Win32.Crypt.e | 8,38% |
5 | P2P-Worm.Win32.SdDrop.c | 7,61% |
6 | Email-Worm.Win32.LovGate.ae | 6,63% |
7 | Trojan.Win32.Agent.em | 6,47% |
8 | Virus.Win32.Hidrag.a | 5,38% |
9 | Exploit.HTML.Iframe.FileDownload | 3,45% |
10 | Trojan.Win32.Agent.cx | 3,02% |
11 | Exploit.Java.Bytverify | 2,94% |
12 | Email-Worm.Win32.Runouce.b | 2,62% |
13 | Email-Worm.Win32.Rays | 2,03% |
14 | Email-Worm.Win32.Mydoom.l | 1,80% |
15 | Email-Worm.Win32.NetSky.ai | 1,58% |
16 | Email-Worm.Win32.NetSky.q | 1,20% |
17 | Trojan-Spy.Win32.Bancos.br | 1,08% |
18 | Trojan.Java.ClassLoader.b | 0,68% |
19 | Virus.VBS.Redlof.a | 0,67% |
20-9999 | другие вирусы | … |
10000 | Virus.MSWord.Queen.e | 0,00001% |
На первый взгляд, может показаться, что 1200 сигнатур это очень мало, при том что современные программные антивирусы содержат базы данных с сотнями тысяч записей. Но в ZyXEL оправданно считают, что перед устройством не ставится задача определения и уничтожения всех вирусов от Рождества Христова и по сей день, поэтому в базу нет смысла помещать реликтовые вирусы для DOS или сигнатуры вредоносного кода, заразившего десяток компьютеров в мире пару лет назад. И конечно, путём усечения базы сигнатур достигается заметный выигрыш в скорости проверки. На наш взгляд, опция добавления некоторых антивирусных сигнатур к автоматически обнавляемой части базы могла бы уменьшить риск заражения компьютеров вирусами уникальными для отдельно взятой сети.
Для тестирования мы обновили все доступные базы только одного из двух исследуемых устройств. Теперь посмотрим, какими командами побалует нас интерфейс командной строки, что в данном случае называется SMT (System Management Terminal).
ZyWALL: CLI или SMT
Интерфейс организован в виде меню: достаточно ввести номер соответствующего пункта меню для выполнения команды или получения доступа к пунктам подменю.
Естественно, нас заинтересовал командный интерпретатор, вызвать который можно из меню 24.8, после чего вы попадаете в shell ZyNOS, в котором мы сразу же запросили список доступных команд, вызвав “?”.
Мы не будем описывать все доступные команды, но приведём список наиболее интересных на наш взгляд. Среди них будут подкоманды инструкций sys и as.
У as нас привлекла только одна подкоманда display параметром, например, antispam. Ниже представлен результат работы этой команды.
Использование инструмента sys нам представляется более интересным. Если выполнить команду без параметров, то будет выведен список доступных аргументов.
Для того чтобы получить информацию об аппаратной части устройства, необходимо выполнить команду sys atsh.
Для получения информации о программной части дадим команду sys version. Следует отметить, что она давалась на устройстве до обновления прошивки.
Так как информация об аппаратной части присутствует и во втором выводе, мы рекомендуем давать обе команды сразу, чтобы получить наиболее полную картину. Хотя среди аргументов команды sys и присутствует ключевое слово firmware, мы не смогли получить правильный вывод этой команды (при вводе команды “sys firmware” был получен ответ “This command is not supported in this mode”).
Для редактирования существующих файлов следует выполнить команду sys edit [имя файла]. Команда sys socket выводит информацию о существующих в данный момент сокетах и их параметрах, среди которых можно найти процесс-владельца этого сокета.
Ещё одной интересной сетевой опцией sys probeType мы можем выбирать тип пробных (тестовых) сообщений: icmp или arp. При этом arp-тестирование ограничено пределами локального сегмента вашей сети, насколько мы понимаем суть процесса. Однако arp-тестирование кажется нам наиболее достоверным, так как поддержку icmp-сообщений можно отключить (заблокировать локальным брандмауэром), а также для проведения icmp-тестов необходимо знать MAC-адрес тестируемого устройства, который вы получаете с помощью протокола arp, если, конечно, вы не создавали arp-таблицы машины вручную.
Инструкция sys feature позволяет отобразить информацию о возможностях устройства – с её помощью можно понять, что в принципе может делать ZyWall.
Параметры ведения логов можно просмотреть и настроить, используя подкоманды инструкции sys logs.
Параметры “общения” с сайтом myzyxel.com расположены внутри команды sys myZyxelCom. Здесь можно, например, провести ручную регистрацию.
Для восстановления ROM-файла по умолчанию необходимо дать команду sys romr.
Одним из параметров, связанных с настройками безопасности, является опция sys pwderrtm N, защищающая от взломов пароля методом грубой силы, которая задаёт количество минут N перед четвёртой попыткой ввода пароля при трёх предыдущих ошибочных.
Кроме основного меню, есть ещё и загрузочное меню, команды которого полностью приведены в документации. Мы решили воспользоваться лишь командой atgt, которая вызывает функцию тестирования “железа”, однако, при тестировании она зависла, и нам пришлось выдёргивать шнур питания, чтобы перезагрузить маршрутизатор. Вообще, отсутствие кнопки включения/выключения питания несколько затрудняет процесс перезагрузки или отключения устройства.
Почти все команды, доступные из CLI, доступны также и при конфигурировании через web-интерфейс, исключения перечислены ниже.
- av listFullRef – отображает полную версию сигнатур антивирусной базы.
- av listDeltaRef – отображает все сигнатуры дельта-версии антивирусной базы.
- av zipSessInfo – отображает максимальное и текущее количество сессий декомпрессии.
- av configMaxZipSess – конфигурирование максимального количества одновременных сессий декомпрессии.
- idp signature listFullRef – отображает полную версию сигнатур базы обнаружения вторжений.
- idp signature listDeltaRef – отображает все сигнатуры дельта-версии базы обнаружения вторжений.
- as display serverlist – отображает список рейтинговых серверов.
- as failTolerance – установить время ожидания сервера, через это время рейтинговый сервер считается “умершим” и удаляется из списка доступных серверов.
ZyXEL Turbo Card: основная “изюминка”
Полноценная защита сети невозможна без эффективного обеспечения антивирусной безопасности. Критически важным критерием оценки функциональности антивирусных систем является способность своевременного, оперативного выявления наиболее опасных и распространенных ITW-вирусов (In-The-Wild) и организация своевременной защиты. Поэтому «Лаборатория Касперского» недавно анонсировала специальный пакет сигнатур ITW-вирусов для использования в средствах сетевой защиты от подавляющего большинства наиболее опасных и самых свежих вредоносных программ. Этот пакет встроен (и постоянно обновляется – при нгаличии подписки) в межсетевые экраны ZyWALL UTM, что обеспечивает защиту сетей от ITW-вирусов на полной скорости WAN-интерфейса еще до появления передаваемых по сети данных на клиентских компьютерах. База данных ITW-вирусов «Лаборатории Касперского» поддерживается в максимально актуальном состоянии и оперативно обновляется по мере обнаружения новых зловредных кодов. Передовая технология потоковой фильтрации компании ZyXEL позволила использовать эту базу при создании высокопроизводительного пакетного антивирусного сканера, интегрированного в новые межсетевые экраны компании.
В состав новой линейки межсетевых экранов ZyWALL UTM входят устройства ZyWALL 5 UTM, ZyWALL 35 UTM и ZyWALL 70W UTM, отличающиеся набором интерфейсов, функциональностью и пропускной способностью, и разработанные для организаций разного масштаба. При работе под управлением сетевой операционной системы ZyNOS v4 устройства этой серии в одном компактном конструктиве реализуют возможности межсетевого экрана, виртуальной частной сети (IPSec VPN), резервирования и балансирования нагрузки WAN-интерфейсов, управления полосой пропускания приложений, контентной фильтрации по ключевым словам и категориям сайтов, антивирусной фильтрации, обнаружения вторжений и хакерских атак (IDP, Intrusion Detection and Prevention) и фильтрации нежелательных почтовых сообщений (gateway anti-spam).
Сам по себе ZyXEL ZyWall 35 EE не способен работать с антивирусными базами или проверять трафик, поэтому “тяжёлая артиллерия” подключается при помощи специальной платы расширения, так называемой ZyWALL Turbo Card. Несмотря на то, что карта выполнена в формате PC Card, в комплекте с устройством не поставляется никаких драйверов, так как подключение ZyXEL Turbo Card в компьютер или ноутбук в принципе невозможно и не имеет смысла. Установка проста – достаточно вынуть карту из небольшого картонного бокса, в котором она поставляется, и надёжно вставить в гнездо на задней стенке ZyWall (предварительно отключив устройство) после чего произвести загрузку ZyWALL 35, так как карта определяется только на этапе начальной загруки устройства.
Карта ZyXEL Turbo Card осуществляет аппаратное ускорение процесса проверки. В турбо-карте использован чип ZyXel SecuASIC CIP-1000:
Антивирусная проверка осуществляется для следующих протоколов: HTTP (TCP 80, 8080, 3128), FTP (TCP 20/21), SMTP (TCP/UDP 25), POP3 (TCP/UDP 110). Ручное изменение портов, к сожалению, невозможно. При поступлении неупорядоченных сегментов ZyWall проводит их упорядочивание перед началом проверки.
Для проверки сжатых данных “на лету” ZyWall поддерживает формат ZIP. Отметим, что на данный момент не реализована поддержка рекурсивных (вложенных) архивов ZIP, а также архивов других форматов. Порядок обработки данных таков:
Важная деталь: существует ограничение на количество одновременных антивирусных и антиспамовых проверок в ZyNOS v4.0 (при желании, можно уменьшить это количество командой >av configMaxZipSess), а также существует ограничение на максимально возможное количество одновременных сессий декомпрессии. В зависимости от класса устройства это цифра может значительно изменяться, поэтому, выбирая ZyWALL, учитывайте возможную нагрузку в вашей локальной сети. Данные сведены в следующую таблицу:
Различные варианты ZyWALL | |
Устройство | Максимальное количество одновременных почтовых сессий и сессий декомпрессии |
ZyWall 5 | 5 |
ZyWall 35 | 10 |
ZyWall 70 | 15 |
Принцип антиспамовой проверки представлен на рисунке.
Отказаться от антиспамовой проверки какого-либо сервера (IP-адрес) или получателя возможно, для этого достаточно занести их в “белый лист” – или наоборот в “чёрный”.
Имитируем атаку на ZyXEL ZyWALL 35
Посмотрим теперь на всё это в действии. Для начала мы решили подвергнуть ZyWall допросу с пристрастием при помощи утилит для поиска уязвимостей в локальной сети (XSpider 7.0, demo build 1401), Retina Network Security Scanner 5.4.5.1355, GFI LANguard N.S.S. 7.0 (Build: 20051006).
Исследование показало, что на маршрутизаторе открыты следующие порты: TCP21 – FTP, TCP22 – SSH, TCP23 – Telnet, TCP25, TCP80 – HTTP, TCP110, UDP161 – SNMP. Рассмотрим более подробно информацию о некоторых открытых портах.
На 22 TCP-порте действует SSH-сервис версии 1.5, криптозащита которого недостаточна (рекомендуется использовать 1.99 или 2.0 версии). Конечно, это не открытый telnet, но…
На 80 TCP порте обнаружен http-сервер (RomPager/4.07 UPnP/1.0), который может быть подвергнут атаке “межсайтовый скриптинг”. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д. Правда, сама возможность такой атаки кажется нам лишь гипотетической, так как для её проведения нужно уметь записывать во флэш, причем осуществлять это корректным образом, то есть – зная используемую файловую систему.
На 161 UDP порте обнаружен SNMP с учётной записью public. При использовании Retina Network Security Scanner получили, что используемая на маршрутизаторе операционная система имеет версию 1.3.20 (x86). Затем мы проверили логи межсетевого экрана, в которых появились сообщения об обнаруженных атаках. Ниже мы приводим краткую выдержку из выданных логов.
В логах маршрутизатора имеем:
ZyWALL: антивирусная проверка
Используя новейшую технологию потоковой фильтрации ZyXEL, устройства ZyWALL UTM анализируют каждый IP-пакет по отдельности, не дожидаясь загрузки всего проверяемого файла. Наряду с минимальными требованиями к размеру используемой памяти, этот процесс не требует дополнительных затрат на восстановление потока данных и не сказывается на пропускной способности и задержках, вносимых экраном, при любых размерах проверяемых файлов.
Посмотрим, на что способен модуль антивирусной проверки. Для этого на нашем корпоративном почтовом сервере из папки карантинных писем мы извлекли с десяток писем из заражённой корреспонденции. Мы извлекли из тел писем файлы, которые проверили при помощи самого обычного “настольного” антивируса Касперского Personal 5.0.390 с актуальными антивирусными базами.
Затем для тестирования мы подключили к WAN1-интерфейсу ZyXEL ZyWall 35 ноутбук с FTP-сервером, а к LAN1-порту компьютер с FTP-клиентом. На FTP-сервер мы выложили (среди прочих) наши файлы с вирусами и попытались их скачать с отключённой антивирусной защитой на ZyWall. Полученные файлы проверили антивирусом и вновь получили сообщение об обнаружении вирусов. Затем мы включили антивирусную проверку на маршрутизаторе для всех интерфейсов так, как показано на иллюстрации ниже.
И скачали вновь те же сами файлы. Сразу после скачивания мы проверили их антивирусом. Получили, что скачанные файлы не заражены.
Тогда мы решили проинспектировать логи маршрутизатора на предмет наличия в них записей об обнаружении вирусного содержания.
Отметим, что ZyWall не позволяет вести список доверенных узлов, для которых антивирусная проверка производиться не должна, считая, что любой сервер в сети может быть взломан и данные на нём могут быть изменены, поэтому требуется проверка любых данных, проходящих через устройство. Если мы всё-таки желаем обойти проверку при соединении с доверенным сервером, то нам требуется либо поднять туннель до этого сервера, либо использовать сервисы на нестандартных портах. Это может потребоваться при передаче данных между доверенными серверами, находящимися в разных сегментах.
При включении контентной фильтрации мы получаем возможность выбирать объекты, которые должны быть заблокированы при передаче трафика. Также отлично работает блокировка сайтов по 52 категориям, на основе содержащегося в них контента.
Правда, при этом не исключена ситуация, показанная ни рисунке ниже.
Также мы решили провести проверку работы анти-спамового модуля. Для этого мы настроили 2 компьютера на получение почты с нашего почтового сервера так, что один из них не удаляет почту из ящика после получения. Ежедневно нам приходит огромное количество спама, так как некоторые почтовые адреса на нашем сервере общеизвестны и опубликованы на сайте. Блок анти-спамовой проверки позволяет проверять почту по протоколам POP3 и SMTP, а IMAP4 пока не поддерживается. Трафик по протоколу POP3 может быть только помечен, как спам, но трафик протокола SMTP может быть не только помечен, но и отброшен, что позволит защитить и наш почтовый сервер, не пропуская к нему почту со спамом. ZyWall 35 позволяет настраивать своё поведение при обнаружении спам-сообщения. Стандартной меткой в теме письма является !!!SPAM!!! и !!!FISHING!!!, соотвественно для обозначения спам-писем и корреспонденции от “выуживателей” ваших секретов и денег Содержимое метки можно изменять самостоятельно в пределах от 1-ого до 16-ти символов. Мы решили не менять стандартные метки, а сразу проверить фильтрацию в деле. Для этого мы отключили спам-фильтрацию нашего сервера, чтобы получать почту «в чистом виде», и разместили ZyWall 35 между почтовым сервером и клиентами. При отключении анти-спамовой проверки на первый компьютер мы получили несколько писем со спамом.
После этого мы включили анти-спамовую проверку на ZyWall и получили ту же корреспонденцию на вторую машину.
Сама идея расположить почтовый сервер за ZyWall UTM кажется нам весьма удачной.
ZyWALL: тестирование производительности
Проверим теперь какую скорость доступа может предоставить ZyWall со включённой антивирусной проверкой и без неё. Для тестирования мы использовали две платформы, конфигурация которых представлена в следующей таблице.
Параметры/ конечные станции | Настольный ПК | Ноутбук |
Процессор | Intel Celeron (Northwood) 2,8 ГГц | Intel Pentium 4-M 2,4 ГГц |
Материнская плата | Intel D845GLVA (i845GL) | Fujitsu FJNB172 |
Оперативная память | Kingston DDR SDRAM 512 Мбайт | 224 Мбайт |
Сетевая карта | 3COM 3C905TX | Realtek RTL8139(A) |
Операционная система | Windows XP Professional SP2 Rus | Windows 2000 Professional SP4 Eng |
Для начала мы проверили связь этих машин напрямую, для чего соединили их кроссовером. В качестве тестирующей программы были выбраны netcps, FTP-сервер и клиенты. Результаты прямого соединения двух машин приведены ниже.
Получили, что сами компьютеры позволяют обмениваться данными на предельно возможных скоростях. Аналогичная картина получается также, если клиента и сервер netcps поменять местами. Хочется отметить, что мы не заметили принципиальной разницы между взаимным расположением клиента и сервера netcps, поэтому и далее будут приводиться данные тестирования, когда клиентом является стационарный ПК, а сервером ноутбук, подключённые к LAN и WAN-портам соответственно.
Для тестирования мы подняли FTP сервер Serv-U 6.1.0.4 на ноутбуке. После этого выложили в разные каталоги файлы, отличающиеся по объёму и типу. Оказалось, что скорость проверки сильно зависит от того, какой именно контент передаётся по защищаемому протоколу. Например, данные передачи одного образа мини-диска представлены тут:
Получаем, что скорость колеблется около 16-17 Мбайт/с, что, на наш взгляд, является весьма хорошим показателем. Мы запустили 2 процесса закачивания, но результат по суммарной скорости не изменился. Получаем, что ZyWall 35 отдаёт всю доступную полосу пропускания даже одной закачке, а при увеличении их количества, делит полосу между всеми потоками. Однако, не всё так безоблачно. Если попытаться загрузить множество маленьких файлов, картина сильно меняется, что представлено на скриншоте ниже (справедливости ради стоит сказать, что при передаче маленьких файлов скорость падала примерно на 30% и при прямом включении компьютеров). Мы выложили на наш FTP-сервер дистрибутив Microsoft Office 2003 со всеми встроенными клипартами.
По нашим данным, отключение всех проверок, но оставление турбо-карту вставленной, приводит лишь к 10-20% ускорению передачи. Передача данных с полной проверкой через IPSec-туннель практически не замедляется, то есть ограничение накладывается лишь проверкой. По заявлениям компании ZyXEL, скорость передачи данных внутри туннеля достигает 40 Мбит/с, но наше тестирование показало скорость лишь в 30-31 МБит/с (без турбо-карты), что также весьма достойно и достаточно для большинства случаев. Результаты всех замеров скорости передачи мы свели в таблицу, показанную ниже.
Однако если турбо-карту совсем вытащить из маршрутизатора, то получается серьёзное увеличение доступной полосы пропускания между LAN- и WAN-портами, при этом не важно, проходит он по проверяемым портам или нет, что также отображено в таблице в строке “Без проверок”.
На наш взгляд, это весьма приличные скорости. Далеко не всегда можно найти провайдера, который бы предоставлял скорость интернет-канала для домашнего или офисного пользователя достаточной ширины, чтобы полностью загрузить маршрутизатор ZyWALL. Вообще сёрфинг в Интернет происходит с аналогичными требованиями к полосе пропускания: странички обычно сильно загружены маленькими файлами, но для их загрузки достаточно и более низких скоростей (“С антивирусной проверкой мелких файлов”), а крупные файлы качаются значительно быстрее (“С антивирусной проверкой крупных файлов”).
По итогам тестирования можно констатировать, что вносимые задержки нам не кажутся актуальными, так как проверка распространяется на протоколы файловой передачи и почтовые, для которых задержка, а также её вариация не играют существенной роли.
Заключение
ZyWall 35 UTM хорошо зарекомендовал себя в качестве сетевого средства обеспечения безопасности, так как сочетает в себе всё необходимое для обеспечения защиты локальной сети от атак хакеров и вирусописателей. Производительности устройства хватает для работы в качестве шлюза между локальными сетями офиса или домашнего пользователя и Интернета. Межсетевой экран ZyWall 35 UTM – отличный выбор для интернет-кафе, где требуется осуществлять антивирусную проверку всего входящего трафика. Наличие двух WAN-интерфейсов позволяет переключаться между двумя провайдерами или же обеспечивать балансировку нагрузки при наличии двух линков к одному провайдеру. Антивирусная и антиспамовая защиты показала себя должным образом при проверке поддерживаемых протоколов.
Нельзя при этом не отметить следующие проблемы, которые, как мы надеемся, будут исправлены в новых версиях прошивки.
- Нельзя обновлять базы известных сигнатур вручную или через прокси-сервер
- Не представляется возможным выбрать дополнительные порты для проверки, скажем, по HTTP-протоколу, кроме трёх стандартных (80, 8080, 3128). А также нет поддержки IMAP среди почтовых протоколов.
- Не поддерживаются другие типы архивов, кроме ZIP, а также вложенные архивы.
Существует потенциальная возможность (хотя и из разряда гипотетических) написать вирус, который пройдёт через антивирусную защиту ZyWall, либо даже возможно передать уже существующий, для чего требуется либо использовать web-сервер на нестандартном порту, либо же дважды упаковать вирус в ZIP или другой формат архива. Конечно, другие порты на брандмауэре можно закрыть, но от двойной упаковки это не спасает.
На момент написания статьи ZyXEL ZyWALL 35 EE в Москве стоил от $650, рекомендованные цены на ZyWALL Turbo Card вместе с годовой подпиской на AV и IDP (на деле, с учетом демо-режима, получается год и три месяца) – 576 долларов. Однако, цена прокси-сервера, операционной системы, антивирусного ПО, а также стоимость работы поддерживающего его персонала оказываются несравнимо выше даже для России, ну, а о стоимости защищаемых данных и говорить не приходится! Данное устройство может использоваться в Интернет-кафе, малых предприятиях или их удалённых офисах, образовательных заведениях, для которых требуется обеспечить безопасность, однако, нет финансовой возможности купить выделенный сервер и оплатить работу квалифицированного специалиста – ZyWall может настроить любой сотрудник.
Аналогичным по функциональности устройством можно считать брандмауэр от Symantec SGS 5420, однако, цена его на российском рынке существенно выше и составляет более 2100$.