Produkty serii USG (Unified Security Gateway) firmy Zyxel łączą w jednym urządzeniu funkcje bramy dostępowej, koncentratora VPN oraz UTM. Mieliśmy okazję zapoznać się nieco bliżej z przeznaczonym dla mniejszych firm modelem USG 300.

W małej, a niekiedy i nawet w nieco większej firmie, rolę bramy internetowej pełni szerokopasmowy router. Zwykle zajmuje się on translacją adresów (NAT) i filtrowaniem ruchu, które w tańszych modelach kończy się na trzeciej warstwie modelu OSI, a w nieco droższych pozwala także podzielić pasmo i odciąć dostęp do określonych serwisów.

Dostęp VPN to albo konieczność dokupienia kolejnego urządzenia, albo skonfigurowanie usługi na oddzielnym serwerze. By zapewnić sobie lepszą ochronę sieci, warto skusić się na UTM.

Konfiguracja urządzenia

Można nim zarządzać przez przeglądarkę internetową. Domyślnie na interfejsie LAN działa serwer DHCP, więc odszukanie jego adresu IP nie będzie trudne. Po wymuszonej przez system zmianie hasła pojawi się kreator pozwalający łatwo i szybko skonfigurować urządzenie dla jednego lub dwóch dostawców internetowych. Trzecią dostępną opcją kreatora jest konfiguracja łącza VPN (IPSec i L2TP) z inną siecią. Trzeba jednak zaznaczyć, że kreator nie wyczerpuje możliwości urządzenia wyposażonego w siedem portów Ethernet (każde o przepustowości 1 GB), które można dowolnie podzielić na predefiniowane strefy (LAN, WAN, DMZ, WLAN) oraz przez siebie zdefiniowane. Możemy więc obsłużyć urządzeniem nawet sześć łączy. Trzeba też przyznać, że użycie kreatora zapewnia tylko podstawową konfigurację i w większości przypadków niezbędne będzie zagłębienie się w menu urządzenia. Pomoże nam w tym załączona na płycie CD dokumentacja, ale przede wszystkim bardzo pomocny będzie help wbudowany w urządzenie. Wystarczy kliknąć ikonę pomocy, będąc w danej opcji menu, by ujrzeć okno zawierające informacje na jej temat. Trzeba przyznać, że pomoc ta jest bardzo szczegółowa i poza jedynym przypadkiem konfiguracji urządzenia do obsługi Active Directory była dla nas zupełnie wystarczająca.

Współpraca z Active Directory, LDAP i Radius

Oprócz lokalnej bazy użytkowników system umożliwia korzystanie z LDAP, Active Directory oraz usługi Radius. Niestety, jeśli chodzi o grupy to mamy do dyspozycji tylko zawierającą wszystkie konta AD grupę ad-users (analogicznie radius-users i ldap-users) i grupy lokalne. Do grup lokalnych można wprawdzie dodawać użytkowników uwierzytelnianych przez zewnętrzne usługi, ale musimy ich najpierw dopisać do lokalnej bazy, wybierając Ext-User jako typ użytkownika. Brak możliwości wyszukiwania użytkowników czy wyboru z listy czyni tę operację dość uciążliwą.

Zdalny dostęp i VPN

Warto zaznaczyć, że wszelkie polityki dostępu, czy to do usług, sposób działania firewalla, czy dostęp do pasma można dobierać dla poszczególnych użytkowników i grup.

Jak już wspomniano, urządzenie może zestawiać sesje VPN z innymi routerami (do 100 połączeń), co czyni USG 300 atrakcyjnym dla wielooddziałowych firm potrzebujących połączyć swoje lokalizacje w jedną sieć. Po wykupieniu odpowiedniej licencji (za ok. 108 euro) możliwy też jest dostęp zdalnych użytkowników przez SSL VPN. Można zestawić maksymalnie 10 jednoczesnych połączeń tego typu. Dla tej usługi możemy dostosować wygląd portalu. Podobnie jak dla ZyWALL SSL 10 ("Firma w oknie przeglądarki", NetWorld 5/2007), możemy udostępniać udziały sieciowe i aplikacje WWW intranetu. Wybierając opcję Enable Network Extension, udostępniamy też użytkownikom pełny dostęp do sieci. Po zalogowaniu do portalu utworzy się wirtualny interfejs sieciowy, który będzie tunelował wszystkie żądania TCP/IP do sieci za urządzeniem. Należy zauważyć, że ZyWALL USG 300 nie zawiera funkcjonalności modelu SSL 10. Najistotniejszą różnicą jest brak możliwości sprawdzania poziomu zabezpieczeń zdalnej maszyny (tzw. endpoint security). Biorąc pod uwagę nacisk na bezpieczeństwo sieci, wydaje się to niedopatrzeniem.

Antywirus, IDP i zarządzanie pasmem

USG 300 wyłapuje wirusy, wykorzystując silnik firmy Kaspersky Labs. By nie wpływało to negatywnie na wydajność, urządzenie wyposażono w dodatkowy procesor SecuASIC. W warstwie aplikacyjnej sieć chroni system IDP (Intrusion Detection & Prevention System), którego zadaniem jest rozpoznawanie i eliminacja ataków wg bazy aktualizowanych sygnatur. Zarówno IDP, jak i antywirus wymaga dokupienia subskrypcji. Roczne korzystanie z IDP kosztuje ok. 160 euro, zaś program antywirusowy to wydatek rzędu 230 euro.

USG 300 daje bardzo bogate możliwości zarządzania pasmem. Jeśli mamy więcej niż jedno łącze do internetu, możemy równoważyć ruch. Ponadto istnieje możliwość rezerwacji pasma dla poszczególnych aplikacji oraz użytkowników i to dla każdego kierunku oddzielnie. ZyWALL USG 300 umożliwia ustalanie priorytetów dla różnych usług, dzięki czemu połączenia typu VoIP czy wideokonferencje są mniej narażone na opóźnienia. Administrator może wyeliminować ruch P2P lub dostęp do komunikatorów.

Ciekawa wydaje się możliwość redundantnego połączenia dwóch identycznych urządzeń poprzez stworzenie wirtualnego routera. Dzięki temu awaria jednego z urządzeń nie będzie miała wpływu na działanie sieci.

Podsumowanie

Integracja wielu istotnych dla bezpieczeństwa sieci funkcji w jednym urządzeniu czyni je bardzo atrakcyjnym dla małych i średnich firm. Na bazie USG 300 można zbudować sieć VPN dla wielooddziałowej organizacji. Zaufanie wzbudzają oferowane bezpieczeństwo sieci, zapewniane przez moduł antywirusowy, system IDP oraz możliwość dostosowywania zasad polityki bezpieczeństwa. Zaletą jest też możliwość dopasowania pasma dla użytkowników i poszczególnych aplikacji. Nieco lepiej mogłaby wyglądać integracja urządzenia z Active Directory. Dla bardziej wymagających zaletą będzie szansa połączenia dwóch urządzeń w redundantny zestaw. Możliwość zdalnego dostępu do firmy jest już od dawna czymś naturalnym. Cieszy zaimplementowany SSL VPN, choć 10 jednoczesnych połączeń może czasami okazać się niewystarczające. Zabrakło niestety sprawdzania poziomu bezpieczeństwa zdalnego komputera. ZyWALL USG 300 kosztuje ok. 930 euro. Warto też zainwestować kolejne 108 euro w SSL VPN, a także dokupić subskrypcję na program antywirusowy i IDP.