Zyxel nwa1123 ac pro настройка

Программные особенности Zyxel NWA1123-AC Pro

Мы не будем описывать подробно каждый шаг настройки точки доступа, а произведя базовую установку, обновив прошивку на самую новую, посмотрим, на что следует обратить внимание.

Прежде всего, на статус самого устройства. Zyxel NWA1123-AC Pro на стартовом экране отображает не только информацию о работе беспроводных радио-модулей, но и такие параметры, как загрузка процессора и памяти, работу в сети соседних устройств, которые хотспот смог определить, статус аплинк порта, беспроводных мостов WDS (если используется) и самого устройства. Интерфейс представляет собой коллекцию виджетов, которые вы можете располагать в удобном для вас порядке. Очень бы пригодилась информация о потребляемой мощности через PoE и температуре устройства, но как говорится, возможно она появится в следующих версиях хотспота.

Конечно же, точка доступа может быть настроена несколькими способами. Для тех администраторов, кто привык работать с командной строкой, доступны Telnet, SSH и встроенная в Web-интерфейс консоль. Для простой и визуальной настройки — Web интерфейс, а для централизованного управления и мониторинга — SNMP протокол.

Что касается логов, то точка доступа Zyxel NWA-1123 AC Pro имеет очень общительный характер, и сведения о событиях или ошибках она может отправлять вам как по электронной почте, так и записывать на Syslog сервер в сети. В принципе, можно настроить режим, при котором хотспот будет отчитываться перед вами по E-Mail о проделанной работе: сколько трафика было передано, какая была при этом загрузка ресурсов, но Syslog для таких вариантов предпочтительнее.

Функция распределения нагрузки между хотспотами позволит вам избежать ситуации, когда все клиенты цепляются на одну точку доступа и в итоге перегружают её трафиком. В Zyxel NWA-1123-AC Pro вы можете установить балансировку нагрузки между 128 устройствами, причем, задавать какие-то критерии отбора беспроводных клиентов здесь не надо, да и возможности такой нет — хотспоты сами разберутся, кто с какими клиентами работает.

Программы управления ZAC и Zyxel One Network

Для управления проектами, в которых используется большая номенклатура оборудования Zyxel, производитель предлагает несколько программных инструментов, упрощающих как начальную конфигурацию сети, так и последующее обслуживание. Сейчас речь идет о продуктах Zyxel Access Point Configurator (ZAC) для пакетной настройки точек доступа и Zyxel One Network для настройки сразу всей инфраструктуры, построенной на оборудовании компании из единого окна.

Подобные решения начинаешь ценить, когда типичную задачу ввода сложного пароля типа «9-UW0+2w_Z», да еще и 32-значного, реализуешь на хотя бы десятке точек доступа, не говоря уже о том, когда надо быстро обновить прошивку на всех устройствах или сменить конфигурацию сети.

Если для вас определяющим фактором является именно централизованное управление оборудованием, то рекомендую обратить внимание на устройства Zyxel с поддержкой облака Nebula, ведь и ZAC и ZON по сравнению с ним морально устарели. Если вы не готовы переплачивать за облачную поддержку, то можете пользоваться указанными инструментами, доступными для свободного скачивания на сайте ZyXel после регистрации.

Для возможности удобного подключения нескольких хотспотов, Zyxel предлагает гигабитные управляемые PoE-коммутаторы второго уровня серии GS1200, с помощью которых вы не просто можете оперировать такими параметрами, как VLAN ID и QoS, ограничивая влияние гостевого трафика на внутреннюю сеть, но и сэкономить на PoE-инжекторах.

О чем статья?
1. Короткий обзор и unboxing smart-коммутатора Zyxel XGS1930-28HP и точки доступа NWA1123-ACv2

2. Описание процесса настройки:

  • в автономном режиме
  • “облачном” режиме с использованием Nebula Control Center (NCC)

3. решение ряда мелких проблем, возникших в процессе настройки

Для тех, кому лень читать:
1. Критичных проблем при настройке оборудования обнаружено не было.

2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой)

3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях:
3.1. Небольшое кол-во оборудования
3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов

4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO.

5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.

Содержание

Что тестируем?

Коммутатор Zyxel XGS1930-28HP

Общая информация

Производитель Zyxel
Модель XGS1930-28HP
Тип коммутатора L2+
Кол-во 1G RJ45 портов с поддержкой PoE 802.3at 24
PoE-бюджет 375 Вт (до 15.4Вт на все порты, 30 Вт/порт макс.)
Кол-во 10G SFP+ портов 4
Кол-во БП 1
Поддержка стекирования нет
Возможности мониторинга и управления — Web-интерфейс
— SNMP v1-3
— RMON
— ограниченный CLI
— “облачное” управление с помощью SaaS от производителя
Полная спецификация www.zyxel.com/products_services/24-48-port-GbE-Smart-Managed-Switch-with-4-SFP—Uplink-XGS1930-Series/specifications

Комплектация

Поставляется коммутатор в стандартной картонной коробке.
Все запчасти собраны в отдельную коробку меньшего размера.

Комплектация выглядит следующим образом:

1 — коммутатор
2 — руководство пользователя
3 — “Safety Warnings”
4 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС)
5 — гарантийный талон
6,7 — стоечные крепления (“уши”)
8 — комплект резиновых “ножек” для desktop-монтажа
9 — комплект болтиков для крепления “ушей” к коммутатору
10 — комплект болтов для монтажа коммутатора в 19” стойку
11 — кабель питания C13/Schuko

Заметки тестировщика:
Предоставленный образец — типичный современный L2+ PoE-коммутатор уровня доступа.
Подходит для подключения конечных устройств в корпоративных сетях (Small Business).

Несмотря на относительно высокую пропускную способность и наличие 10G-портов — не подходит для использования в условиях ЦОД в силу:
— относительно высокой задержки коммутации
— отсутствия резервного блока питания

L2+ функционал типичен для Smart / Small Business линеек других вендоров (статическая маршрутизация, L3-L4 ACL, DCHP Relay).
Нет поддержки DHCP Snooping.

Способы управления ограничены (что, в общем-то типично для smart-коммутаторов)
Нет:
— полноценного управления коммутатором через CLI
— возможности настройки через COM-порт

Точка доступа Zyxel NWA1123-ACv2

Общая информация

Производитель Zyxel
Модель NWA1123-ACv2
Поддерживаемые частотные диапазоны 2.4 ГГц (IEEE802.11 b/g/n)
5 Ггц: (IEEE 802.11 a/n/ac)
Кол-во радиомодулей 2
Антенны 2T2R MIMO
Кол-во Ethernet-портов 1x1G RJ45
Питание 802.3af/at или локальный БП
Возможности мониторинга и управления — Web-интерфейс
— SNMP v1-3
— RMON
— CLI
— “облачное” управление с помощью SaaS от производителя
Полная спецификация www.zyxel.com/products_services/802-11ac-Dual-Radio-Ceiling-Mount-PoE-Access-Point-NWA1123-ACv2/specifications

Комплектация

1 — точка доступа Zyxel NWA1123-ACv2
2 — внешний блок питания с вилкой UK Plug
3 — сменная вилка Schuko (EU Plug) для внешнего БП
4 — монтажное крепление
5 — 2 набора дюбелей
6 — 2 шурупа
7 — руководство пользователя
8 — гарантийный талон
10 — Safety Warnings
11 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС)

Читайте также:  Прохождение игры forge of empires

Тестирование

Конфигурация тестового стенда

Эмулируем достаточно типичную сеть небольшого офиса (Small Business же).

Распределение портов коммутатора:

Заметки тестировщика:
1. В качестве маршрутизатора тестового стенда используем MikroTik RB750UP.

Он используется для:

— терминирования VLAN’ов и маршрутизации трафика между ними
— терминирования аплинка
— статической маршрутизации интернет-трафика и SNAT на внешнем интерфейсе

Т.к. производительность маршрутизации в рамках этого теста не критично — 100М-портов на маршрутизаторе будет достаточно.

2. В сегменте vlan.MGMT используем DHCP (рекомендация Zyxel относительно оптимальной первичной настройки)

3. Ограничения доступа между сегментами внутренней сети реализуем с помощью ACL коммутатора (ради того, чтобы ознакомиться с процессом настройки ACL).

Стенд в собранном виде:

Настройка в автономном режиме

Коммутатор

1. Качаем мануал, читаем.
2. Ловим коммутатор и точку в DHCP
3. Заходим на веб-интерфейс коммутатора по IP-адресу.
4. Выбираем режим автономной конфигурации, авторизуемся под учетной записью по-умолчанию (admin/1234)

5. Пытаемся настроить VLAN’ы и порты с помощью Wizard’a

1.Возможности Wizard’a сильно ограничены, лучше сразу применять настройки по-умолчанию и переходить в полноценный веб-интерфейс.

— настроить можно не более 5 VLAN’ов за раз
— транковый порт при можно привязать только ко всему набору VLAN’ов (но не подмножеству).
— нельзя сменить MGMT VLAN.
— нет поддержки hybrid режима работы портов.
Порт может или нетегированным (access) или пропускать трафик всех тегированных VLAN’ов (trunk)

2. Возможности настройки через CLI, по факту, нет (что, в общем, нормально для этого класса коммутаторов):

6. Cоздаем MGMT VIF через веб-интерфейс (“Basic setting” > “IP Setup” > “IP Configuration”)

7.Добавляем ограничения доступа для гостевой сети.

Процесс не совсем интуитивен, но достаточно прост.

— создать: L2-L4 правила классификации (“Classifier”)
— создать политики доступа, основанные на правилах классификации трафика (“Policy rule”)

7.1. Знакомимся с классификатором. Переходим в “Advanced Application” > “Classifier” > “Classifier configuration”

Создаем несколько правил классификации для гостевой сети:

7.2. Переходим в “Advanced Application” > “Policy Rule” и создаем несколько политик на основе правил классификации.

7.3. Проверяем работу ACL:

Точка доступа

1. Качаем мануал, читаем
2. Заходим на веб-интерфейс точки доступа
3. Авторизуемся с учетными данными по-умолчанию (admin/1234)
4. Меняем пароль (обязательный шаг, без этого дальше пройти не получится)
5. Создаем SSID. Настройки спрятаны довольно глубоко.

5.1. Добавляем профили безопасности для гостевой и корпоративной сетей
“Configuration” > “Object” > “AP Profile” > “SSID” > “Security list”

5.2.Добавляем гостевой и корпоративный SSID
“Configuration” >“Object” > “AP Profile” > “SSID” > “SSID list”

6. Переходим в “AP Management” и выбираем, какой SSID каком диапазоне будет вещать.
Предположим, гостевой SSID должен вещать в 2.4+5 ГГц, а корпоративный — только в 5Ггц.

7. Опционально — изменяем настройки радио-интерфейсов и каналов вещания.

Для нашего кейса:

— изменяем VID Management-VLAN’a
— изменяем IP-адрес
— изменяем режим теггирования

После этого менеджмент-сессия с точкой доступа прервется (из-за потери L2-связности).

8. Изменяем режим работы порта точки доступа на коммутаторе (trunk вместо access)

9. Проверяем доступность точки доступа по менеджмент-интерфейсу и работу обоих SSID

Сброс настроек

На точке доступа:
На коммутаторе:

Настройка с использованием Nebula Control Center

Несколько слов о сервисе

Nebula Control Center (NCC) — SaaS-решение для мониторинга и управления сетевым оборудованием Zyxel.

— коммутаторы
— точки доступа
— шлюзы безопасности

Детально функционал описывается здесь.

Лицензирование NCC

Есть 3 вида лицензий:

1. бесплатная, ограниченная по функционалу
2. платная c ежегодным продлением
3. платная пожизненная

Лицензируется только кол-во устройств, разницы по функционалу между платными лицензиями нет.

Относительно бесплатной версии:

1. кол-во управляемых устройств не ограничено

2. ограничения функционала касаются:

— безопасности (авторизация на портах 802.1X, возможности аудита действий и т.п)
— массового управления конфигурациями
— мониторинга (возможность настройки триггеров, сокращенные сроки хранения исторических данных)

Вывод:
Бесплатная лицензия NCC пригодна к использованию в prod при:

— небольшом кол-ве оборудования (т.е. в случае, когда функционал массового управления конфигурациями не востребован)
— отсутствии требований к длительному хранению исторических данных мониторинга и логов

Коммутатор

Регистрация коммутатора в NCC

1. Процесс регистрации выглядит следующим образом:
2. Региструем учетную запись на nebula.zyxel.com
3. Желательно — настраиваем двухфакторную аутентификацию
4. Создаем Organization и Site
5. Привязываем устройство к учетной записи, просканировав QR-код или вручную введя MAC-адрес и серийный номер в Nebula
6. PROFIT!

QR-код можно найти в веб-интерфейсе («Basic» > «Cloud Management» > «Nebula Switch Registration») или на коробке устройства.

Сканировать QR-код нужно с помощью приложения Nebula Mobile (Apple App Store, Google Play)

Для любопытных: была выполнена попытка повторной регистрации устройства под другой учетной записью.
Не прокатило 😉

После регистрации в NCC:

— настройки коммутатора сбрасываются на заводские
— в коммутатор из облака заливаются актуальные прошивка и конфиг.
— блокируется локальная аутентификация
— коммутатор появляется в веб-интерфейсе NCC

Выглядит это следующим образом:

Информация по порту:

Процесс настройки

Вернемся к исходной задаче и настройке коммутатора

1.Настраиваем VLAN’ы и порты.

Порт точки доступа:

Заметка тестировщика: при настройке через NCC почему-то поддерживаются только hybrid и access режимы работы портов (но не trunk).

Настроить порт без указания native VLAN / PVID нельзя.

Как вариант — можно в качестве PVID указать неиспользуемый в prod VLAN.

2. Меняем MGMT-VLAN (“Switch” > “Switch Configuration” > “VLAN Configuration”)

3. Настраиваем ACL для гостевой сети.

Делается это через “Switch” > “Switch Configuration” > “IP Filtering”.

Редактор правил выглядит следующим образом:

Заметка тестировщика: для сравнения, еще раз приведу скриншоты локального редактора ACL.

Облачный явно проигрывает по кол-ву опций.

Точка доступа

Регистрация точки доступа в NCC

Согласно документации, для новой точки доступа процесс должен проходить по следующей схеме:

1. Авторизация веб-интерфейсе точки доступа
2. Смена пароля по-умолчанию
3. Сканирование QR-кода с помощью мобильного приложения.
QR-код появляется в PopUp после авторизации.

Если QR-код не отображается — наиболее вероятной причиной является устаревшая прошивка (как и произошло в моем случае).

Обновляется она следующим образом:

— качаем прошивку с соответствующего раздела сайта производителя
— распаковываем архив с прошивкой
— переходим в “Maintenance” > “File Manager” > “Firmware Package”
— заливаем *.BIN файл с прошивкой
— ждем 3-5 мин. Идет процесс перепрошивки.

— Прогрессбар “Uploading firmware” во время перепрошивки будет заполняться бесконечно, это нормально.
— Признак того, что процесс идет — быстрое мигание красным LED-индикатора на точке.
— Признак того, что процесс окончен и точка нормально работает — медленное мигание LED-индикатора зеленым.
— В веб-интерфейсе при этом ничего не отображается, прогресс-бар продолжит заполняться.

Читайте также:  Высота телевизора от пола в спальне

По окончанию перепрошивки обновляем страницу.

Нас встречает окно авторизации и очередной Wizard.

Нажимаем “Cancel” и видим обновленный интерфейс и QR-код:

Сканируем QR-код в Nebula Mobile, ждем 5-10 минут.

— настройки точки сбрасываются на заводские
— из облака заливается актуальная прошивка и конфиг.

Заметка тестировщика: интересный момент — в отличие от коммутатора, локальная авторизация на точке не блокируется.

После автонастройки точки можно зайти на веб-интерфейс и увидеть статус подключения к облаку:

Дешборд для точек доступа:

Профиль точки доступа:

Возможностей фильтрации логов меньше, чем для коммутаторов.

Процесс настройки

1. Переходим в профиль точки доступа, меняем MGMT VLAN.

2. Переходим в “AP” > “Configure” > “SSIDs”, создаем гостевой и корпоративный SSID:

Не забываем включить второй SSID.

3. Переходим в “AP” > “Configure” > “Authentication”.

Создаем профиль безопасности для корпоративного и гостевого SSID.

3. Настраиваем радиочасть:

4. Подключаемся к обеим сетям, проверяем работу.

Мнение тестировщика

1. Критичных проблем при настройке оборудования обнаружено не было.

2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой)

3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях:
3.1. Небольшое кол-во оборудования
3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов

4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO.

5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.

Архив номеров / 2017 / Выпуск №11 (180) / Zyxel NWA1123-AC-PRO. Тестируем защищенность

Рубрика: Безопасность / Тестирование

АНДРЕЙ БИРЮКОВ, ведущий эксперт по информационной безопасности, abiryukov@samag.ru

Zyxel NWA1123-AC-PRO
Тестируем защищенность

Каждый день публикуются сообщения о новых найденных уязвимостях в различных устройствах. В этой статье мы протестируем защищенность точки доступа Zyxel NWA1123-AC-PRO

Сегодня на рынке присутствует большое количество беспроводных точек доступа от различных производителей. Эти устройства делятся по размерам покрываемых ими сетей. Дешевле те, что предназначены для предоставления доступа ксети домашних пользователей и небольших офисов, в которых работают не более десяти человек. Более дорогие промышленные решения предназначены для обеспечения беспроводным доступом сотен пользователей в достаточно большой зоне покрытия.

Одним из таких серьезных устройств является Zyxel NWA1123-AC-PRO, о котором и пойдет речь в этой статье. Однако я предлагаю рассмотреть не только технические особенности данного устройства, но и вопросы безопасной настройки и использования точки доступа. Но для начала поговорим о том, что умеет это решение.

Zyxel NWA1123-AC-PRO – это двухдиапазонная точка доступа Wi-Fi 802.11a/b/g/n/ac с двумя радиоинтерфейсами и поддержкой технологии формирования адаптивной диаграммы направленности (Tx Beamforming). Устройство поддерживает стандарт 802.11ac и предназначено для развертывания Wi-Fi-сетей одновременно в частотных диапазонах 2,4 и 5 ГГц в местах с большой плотностью абонентов, имеет суммарную скорость связи 1,2 Гбит/с.

При этом зону покрытия можно расширить за счет использования нескольких точек доступа в одной беспроводной сети. Устройство поддерживает функцию роуминга, которая обеспечивает постоянное подключение к Wi-Fi-сети мобильных пользователей во время их перемещения внутри зоны покрытия, созданной несколькими автономными точками доступа Zyxel. Поддержка протокола Wi-Fi Multimedia (WMM) и восьми идентификаторов беспроводной сети SSID на каждом радиоинтерфейсе c возможностью тегирования маркерами VLAN 802.1Q позволяет различным сетевым сервисам работать с заданным качеством обслуживания.

Обеспечение устройства питанием осуществляется посредством Power over Ethernet (PoE). В комплект поставки входит адаптер 220 В с портом PoE. На самой точке доступа есть только два порта Ethernet, один из которых PoE. Таким образом, если в вашей сети используется технология Power over Ethernet, точку доступа можно подключать напрямую к сети соответствующим кабелем. В противном случае нужен адаптер.

В комплект поставки входит крепление для установки точки на стену. Однако рабочий диапазон температур для данного устройства 0-500С, что исключает монтаж точки доступа вне помещений. Также устройство имеет коннектор длявнешней антенны.

О функционале, связанном с обеспечением информационной безопасности, мы поговорим чуть позже. Здесь же замечу, что в состав устройства входит межсетевой экран и возможность работы с VLAN. Управление правами доступа осуществляется на основе ролей, в результате чего можно настроить более гибкие права доступа к устройству (см. рис. 1).

Рисунок 1. Рабочий интерфейс точки доступа

В целом устройство соответствует следующим стандартам: 802.1Q VLAN, 802.1x User Authentication, 802.3 Ethernet, 802.3u Fast Ethernet, 802.3af PoE, 802.3az Energy Efficient Ethernet.

Как видно, Zyxel NWA1123-AC-PRO – это промышленное средство обеспечения беспроводного доступа для сетей с большим количеством абонентов. В устройство заложен серьезный функционал по обеспечению защиты передаваемой информации, в инструкции по начальной настройке приведен набор действий, необходимый для безопасной настройки точки доступа.

Взлом из коробки

Однако, к сожалению, многие системные администраторы не уделяют достаточного внимания настройке безопасности беспроводных устройств, создавая тем самым серьезную брешь в безопасности всей корпоративной сети. Причин тому может быть много: нехватка времени, отсутствие должной квалификации и др. Отчасти к этому подталкивают и сами производители, ведь многие устройства работают из коробки сразу после подключения к сети.

Далее я предлагаю проделать экспресс-тест на проникновение в беспроводную сеть на базе точки доступа Zyxel NWA1123-AC-PRO с настройками по умолчанию. Например, представим ситуацию, когда устройство на некоторой далекой площадке подключили к сети, проверили доступность интернета и. не сделали больше никаких настроек. К сожалению, подобные ситуации не так уж и редки, ведь «и так работает».

В качестве рабочего инструментария мы будем использовать специальный дистрибутив Kali Linux, который представляет собой загружаемый образ операционной системы (Live CD) [1]. Тем самым его можно применять на любом ноутбуке, не внося никаких изменений на жесткий диск.

Итак, после первого подключения устройство создает сеть с SSID Zyxel. Эта сеть по умолчанию открытая, не использует никаких механизмов шифрования. Предположим, наш злоумышленник, находясь за пределами охраняемой территории предприятия и не располагая сведениями об используемом в сети оборудовании, подключился к этой сети. Что он сможет сделать дальше?

Нам необходимо получить доступ на точку доступа. Так как злоумышленник не знает ее модель, ему придется просканировать ее на наличие открытых портов. IP-адрес точки доступа – это, очевидно, шлюз по умолчанию из полученных поDHCP злоумышленником настроек сети. В моих примерах далее это будет 192.168.1.64. Для поиска открытых портов и работающих сервисов воспользуемся утилитой Nmap, входящей в состав Kali Linux. Для большей наглядности яиспользовал оконную версию Zenmap. Как видно (см. рис. 2), на точке доступа открыты порты 21, 22, 80, 443.

Читайте также:  Чем заряжать беспроводные наушники

Рисунок 2. Результаты сканирования устройства

Далее нам необходимо идентифицировать, какая модель устройства используется. Проще всего это сделать, подключившись с помощью браузера по порту 80. На главной странице будет отображено название точки доступа Zyxel NWA1123-AC-PRO. Далее для того, чтобы узнать логин/пароль, по умолчанию достаточно просто поискать руководство администратора для данного устройства в интернете.

Однако мы немного усложним задачу, предположив, что у нас нет доступа к глобальной сети. Тогда нам необходимо подобрать пароль. Напомню, что на точке доступа открыты порты для служб FTP, SSH и веб. Наиболее удобным дляперебора, по моему мнению, является SSH, так как данный протокол обычно используется для администрирования, в отличие от FTP.

В состав Kali Linux входит несколько утилит для перебора паролей. Я предлагаю воспользоваться утилитой medusa и имеющимися в составе нашего дистрибутива файлами словарей (см. рис. 3). Учитывая, что список возможных логинов можно ограничить до root, admin, подбор пароля по приведенному словарю занял не более десяти минут, при условии хорошего приема.

Рисунок 3. Результаты перебора паролей

Как видно, учетные данные для администрирования устройства admin/1234. Теперь мы можем зайти на точку доступа под административными правами и внести в нее любые настройки, например перенаправить весь трафик на узел, контролируемый злоумышленником, для реализации атак вида «человек посередине» (Man in the Middle).

Слишком простой ключ

Итак, мы рассмотрели ситуацию, когда устройство было включено в сеть, но никаких настроек не проводилось. Надеюсь, читатель осознал всю пагубность такого подхода. Теперь немного усложним задачу. Допустим, администратор нетолько подключил точку, но и произвел начальную инициализацию устройства, сменив при этом пароль на более стойкий к перебору. Начальная инициализация заключается в том, что при первом подключении к точке доступа устройство предлагает сменить пароль администратора (однако этот шаг можно проигнорировать), а также включает по умолчанию WPA2 для SSID Zyxel с ключом 12345678. Сменить SSID и ключ можно, зайдя в соответствующие настройки, однако при начальной инициализации устройство не предлагает сменить ключ принудительно. Предположим, что наш администратор провел только начальную инициализацию, не меняя ключ сети Zyxel.

Тогда для того, чтобы попытаться получить доступ в беспроводную сеть, злоумышленнику необходимо поискать в интернете, например, «zyxel ключ сети». Поисковик выдаст несколько инструкций по подключению, преимущественно ссайтов провайдеров. В них будет предлагаться ключ 12345678 в качестве примера. Такой на первый взгляд несколько странный способ в очередной раз демонстрирует опасность использования настроек по умолчанию.

Сканируем «черный ящик»

Проникнув в беспроводную сеть, попробуем получить доступ к устройству с надежным паролем администратора. Подобрать перебором пароль длиной от восьми символов не из словаря практически не реально, по крайней мере по сети. Номы можем попробовать поискать уязвимости в прошивке точки доступа. Напомню, что мы не обновляли прошивку после первичной инициализации.

Для поиска уязвимостей воспользуемся сканером Nessus. Я не буду здесь подробно описывать работу с данным сканером, так как подробно о сканерах уязвимостей можно прочесть в моей статье [2]. Результаты проверки приведены на рис.4.

Рисунок 4. Результаты сканирования

Как видно, из заслуживающих внимания сообщений можно выделить только наличие записи public для доступа к SNMP. Наличие доступа по SNMP на чтение позволяет с помощью запросов получить информацию о состоянии устройства, его настройки и т.д. Наличие прав на запись позволяет вносить изменения в настройки.

В нашем случае public имеет права только на чтение, что может позволить злоумышленнику узнать больше об устройстве.

На этом наш экспресс-пентест можно завершить. Другие сообщения, указанные в отчете Nessus, не являются критичными уязвимостями, которые можно поэксплуатировать, это скорее информация об используемых на устройстве протоколах и технологиях.

В качестве альтернативного сканера я использовал OpenVAS, однако в его отчете оказалось еще меньше полезной информации.

Выводы и рекомендации

Таким образом, можно сделать вывод, что прошивка не содержит широко известных уязвимостей в коде. По крайней мере распространенные сканеры с последними обновлениями баз ничего не находят, а это значит, что злоумышленнику придется проводить собственное исследование, что под силу далеко не всем, так как требует глубоких знаний и наличия специальных технических средств.

Итак, по результатам нашего пентеста можно сделать следующие выводы: основную угрозу составляют настройки по умолчанию по причине своей слабости и общеизвестности. Код прошивки не содержит известных уязвимостей. Теперь поговорим о том, как можно грамотно настроить точку доступа для нейтрализации приведенных угроз.

Прежде всего необходимо провести начальную инициализацию устройства и в обязательном порядке сменить пароль на более сложный, как и рекомендует мастер смены пароля на устройстве. Далее необходимо сменить название и ключ сети. Здесь правило простое: название сети не должно отражать информацию о модели используемого оборудования. Ключ должен быть достаточно длинным и сложным, чтобы усложнить его взлом [3].

И еще один важный элемент защиты – это мощность излучаемого сигнала. По умолчанию устройство работает на максимуме, однако я бы рекомендовал опытным путем выяснить, какой уровень сигнала является достаточным для работы только на территории предприятия, и не выставлять более высокий сигнал. Это усложнит злоумышленникам не только взлом, но и поиск сети.

Что касается настроек SNMP, то прежде всего я бы рекомендовал определиться, нужен ли вам вообще этот протокол. В случае если в корпоративной сети нет средств мониторинга и удаленного управления устройствами, использующими данный протокол, я бы рекомендовал его выключить. Если использование SNMP является необходимым, то нужно сменить значение public на более подходящее и выставить нужную версию SNMP.

Кроме этого, администраторам необходимо регулярно проверять на сайте разработчика наличие новых версий прошивок и информацию о найденных уязвимостях. Своевременное обновление устройства позволит избежать проблем, аналогичных тем, что были с вирусом Petya и подобными, когда не установленные вовремя обновления стали причиной массовых заражений.

Также в завершение еще немного общих рекомендаций. Доступ к устройству по SSH, веб, FTP должен разрешаться только из административного сегмента сети. Из пользовательских сегментов доступ ко всем интерфейсам должен быть заблокирован. По сути, это означает, что доступ по Wi-Fi к администрированию устройства должен быть заблокирован.

Использование FTP на устройстве лучше отключить и включать только в случае необходимости, например при загрузке обновлений и резервных копий.

Таким образом, при правильной настройке точка доступа Zyxel NWA1123-AC-PRO является высокопроизводительным, защищенным узлом, позволяющим организовать скоростной доступ к беспроводной сети большому числу пользователей.