Recensione Zyxel USG Flex 100 Firewall

Zyxel USG Flex 100 è il gateway firewall di sicurezza entry-level della nuova serie USG Flex e sì, ha praticamente tutte le funzionalità delle serie USG precedenti, ma Zyxel ora si affida molto di più al servizio Cloud Query (che è stato presentato l’anno scorso) per fornire migliori prestazioni del firewall UTM, richiedendo meno risorse dal dispositivo stesso. In questo modo, esiste un tasso di rilevamento molto più alto per le possibili minacce (mentre in passato queste funzionalità avrebbero richiesto più di quello che la capacità hardware poteva gestire). Certo, l’hardware interno è stato migliorato (per soddisfare le esigenze del 2020) e sì, le VPN basate su SSL, IPsec e L2TP sono ancora lì (così come la grande quantità di configurazione), ma perché chiamarlo FLEX?

È l’acronimo di Flexible e fa riferimento ai piani di abbonamento che sono più flessibili: l’utente può scegliere configurazioni di licenza singole o migrare quelle non scadute dai vecchi dispositivi USG. Oltre a Zyxel USG Flex 100, il produttore ha anche reso disponibili Flex 200 e Flex 500 che sono un po’ più veloci e hanno una maggiore varietà di porte – mentre il resto dei dispositivi della serie ha più di una porta WAN, il Flex 100 sembra essere l’unico membro a venire con una singola porta WAN (ha una porta SFP e supporto per modem 3G / 4G, così come la porta OPT, tutte con il potenziale di funzionare come interfaccia WAN aggiuntiva).

Il Design

Se sei familiare con Zyxel USG40 (o il nuovo NSG50), l’USG Flex 100 ha praticamente lo stesso design e non sorprende poiché l’USG Flex 100 è anche noto come USG40v2. Il gateway presenta una scatola grigia metallica con la parte frontale in plastica e con un paio di accenti rossi sul lato sinistro e destro che sono caratteristici della serie. Inoltre, il dispositivo è molto compatto (misura 21.6 x 14.7 x 3.3 centimetri) e no, non sarai in grado di montarlo in un rack poiché non ci sono fori sui lati per permetterti di collegare eventuali estensioni (se devi metterlo in un rack, c’è l’opzione di usare un vassoio). All’interno della confezione, ci sono quattro piedini in gomma che devono essere incollati sul fondo del Flex 100 se vuoi lasciarlo su una scrivania, altrimenti ci sono due fori dedicati sul fondo per montare il dispositivo sulla parete.

Un’altra somiglianza con Zyxel USG20-VPN è che questo gateway è senza ventole (l’USG20 originale aveva una ventola), quindi si basa completamente sul raffreddamento passivo. Al momento, ci sono circa 30 gradi C all’esterno (circa 27 all’interno) e ho notato che Zyxel USG Flex 100 si è riscaldato un po’ in alto ed e diventato molto caldo in basso, il che significa che quei piedi sono obbligatori per consentire un flusso d’aria sotto il dispositivo; comunque, non c’erano segni di limitazione del hardware o surriscaldamento: vale la pena ricordare che Zyxel ha aggiunto molti ritagli sulla parte superiore del dispositivo, così come sui lati per mantenere la temperatura interna il più bassa possibile. In termini di consumo energetico, poiché questo è il modello entry-level, è anche il più efficiente, quindi richiede non più di 7 watt (in media) e a pieno carico, può arrivare a 12.5 W (che è ancora piuttosto basso per un dispositivo di rete del suo calibro).

Sulla parte anteriore del dispositivo, accanto al pezzo di plastica rosso con il nome e il numero, c’è un pulsante di ripristino incassato (lo devi tenere premuto per circa 5 secondi fino a quando il LED SYS inizia a lampeggiare per ripristinare il dispositivo alle impostazioni predefinite), seguito da due LED: PWR (se diventa rosso, quindi c’è un errore hardware) e SYS (lampeggia in verde all’avvio del gateway). Più a destra, ci sono sei LED, da P1 a P6 (WAN / LANN / DMZ) e questi LED diventeranno gialli quando la connessione viene effettuata a 1000 Mbps o verde, quando la connessione viene effettuata a 10/100 Mbps. Infine, c’è una porta USB 3.0 che può essere utile per collegare dispositivi di archiviazione esterni o modem USB 3G / 4G (per il failover WAN).

Sul lato posteriore di Zyxel Flex 100, c’è un connettore di alimentazione 12V, un pulsante ON / Off, una porta Gigabit SFP P1 (adatta per una connessione in fibra), una porta Console (questa porta può essere utilizzata per gestire il dispositivo tramite comandi CLI: Zyxel ha aggiunto un cavo console all’interno del pacchetto ed è necessario tenere presente che il computer host deve avere un software di comunicazione configurato in un determinato modo: puoi controllare la guida utente ufficiale a pagina 71 ), una porta WAN P2 (per la connessione Internet principale) e altre quattro porte LAN / DMZ (da P3 a P6).

L’Hardware Interno

Per dare un’occhiata all’hardware interno dello Zyxel USG Flex 100, ho rimosso tutte e sei le viti (devi tenere presente che ce n’è una nascosta sotto l’etichetta con il logo Zyxel) e, dopo aver rimosso il piccolo coperchio in alluminio, ho visto che Zyxel ancora favorisce Cavium, quindi l’USG Flex 100 è dotato di un chip dual core Cavium Octeon III CN7020-1200WG640-AAP-G (con clock a 1.2 GHz) e quattro chip Nanya 1922 NT5CC512M8EN-EK (pari a 2 GB DDR3).

Inoltre, potrei anche identificare uno switch Ethernet QCA8337 AL3C PK9398R3, un chip Qualcomm Atheros AR8033 AL1A NJ941229 PHY 3-CH 10Mbps / 100 Mbps / 1Gbps, 8 GB di memoria flash da Kingston (EMMCC08G-M325), un ricetrasmettirore Intel ALTERA 5M160ZE32CE5C32CE HCW8J 1913L, quattro moduli magnetici Base-T GST5009 LF 1949M 1000 e un dispositivo CMOS NXP PCA9555 a 24 pin. Come puoi vedere, non ci sono chip o antenne WiFi perché questo gateway firewall non supporta WiFi.

L’intera serie Flex è priva di un modello con WiFi (alcuni altri USG sono dotati di antenne esterne – i modelli che terminerebbero con W) quindi, per connettere i tuoi clienti wireless, dovrai fare affidamento su alcuni punti di accesso wireless. Come nota, Zyxel USG Flex 100 è stato progettato per integrarsi perfettamente con alcuni modelli Unified e Unified Pro, come l’NWA5123-AC HD. Quello che guadagni mantenendo gli AP Zyxel è la gestione centrale, l’inoltro dei dati, il provisioning automatico e sì, c’è anche il supporto per ZyMesh.

L’Installazione e la Configurazione

Il processo di installazione è molto semplice ed è molto simile a quello sui router di livello consumer: devi collegare la porta WAN al modem, il cavo di alimentazione e accendere il dispositivo e, infine, utilizzare un cavo Ethernet per collegare il gateway firewall a un computer; puoi anche aggiungere qualsiasi punto di accesso wireless poiché la procedura guidata ti consentirà di effettuare una rapida configurazione WiFi. Dopo che l’USG Flex 100 è stato collegato ad un computer, devi immettere 192.168.1.1 (l’IP predefinito) nel browser e inserire admin / 1234 come nome utente e password. Ti verrà quindi richiesto di modificare la password e sarà possibile avviare la procedura guidata di attivazione rapida. Nel primo passaggio, è possibile configurare la prima interfaccia WAN (questo modello non ha la configurazione della seconda interfaccia WAN disponibile nella procedura guidata), che, nel mio caso, era PPPoE, seguita dall’impostazione della data e ora e dall’aggiornamento firmware.

Da qui in poi, puoi registrare il dispositivo e se hai già un account, sarà una questione di due clic e non dovrai inserire alcun dato poiché il processo è automatico. Dopo che il prodotto è stato registrato, si arriva alla finestra Attiva Servizio; qui sono disponibili lo stato della licenza di servizio e c’è presente l’opzione per attivarla rapidamente (di nuovo, solo con un paio di clic). Se decidi di farlo in un secondo momento, puoi farlo facilmente visitando http://portal.myzyxel.com, inserendo le tue credenziali e quindi gestendo i tuoi dispositivi registrati, le licenze e c’è anche la possibilità di scaricare l’ultimo firmware. Tornando alla procedura guidata, la pagina successiva è per le Impostazioni Servizio, dove è possibile abilitare o disabilitare vari servizi (come il Filtro minacce URL, l’Anti-malware, l’IDP, il Filtro Contenuti, il Pattugliamento App, la Sicurezza e-mail e il SecuReporter). È inoltre possibile configurare rapidamente le Impostazioni Wireless (se si dispone di un punto di accesso wireless) e abilitare la gestione remota.

Fatto ciò, ora puoi accedere per l’interfaccia utente e ci sono alcuni elementi che si distinguono immediatamente. La prima è la sezione Dispositivo Virtuale, in cui è possibile visualizzare una rappresentazione grafica accurata sia del lato anteriore che di quello posteriore del dispositivo, quindi sono presenti varie caselle che contengono diversi set di informazioni sullo stato del gateway, ad esempio Informazioni sul dispositivo (qui, l’utente puo anche aggiornare il firmware), lo stato del sistema, la CPU, l’utilizzo della memoria e del flash e altro ancora. Accanto alla sezione Generale, c’è anche la sezione Protezione avanzata dalle minacce, dove puoi vedere le funzionalità di sicurezza in azione (il numero di file scansionati, il numero di minacce trovate e altro). Prima di andare avanti, vale la pena ricordare che nella parte in alto a destra, c’è un’area in cui è possibile visitare il SecuReporter (è un’interfaccia completamente separata sui server Zyxel). C’è anche la possibilità di utilizzare la console Web e l’interfaccia della riga di comando per controllare la mappa del sito e il logout.

Dual-WAN e Load Balancing

Zyxel USG Flex 100 ha una singola porta WAN predefinita (che è possibile configurare nella procedura guidata), ma è anche possibile impostare una connessione Internet secondaria facendo clic su Configurazione rapida, selezionando l’interfaccia WAN e quindi scegliendo tra le tre opzioni disponibili: SFP, WAN o OPT. Per questa applicazione, ho selezionato la porta OPT e poiché avevo una connessione PPPoE secondaria da un vicino, il processo di installazione sarà simile alla prima connessione WAN. Per visualizzare le porte e apportare ulteriori modifiche, devi andare a Configurazione > Rete > Interfaccia (Configuration > Network > Interface). Se si dispone di più di una connessione ISP e si desidera bilanciare il carico del traffico per un migliore utilizzo della larghezza di banda, sarà necessario utilizzare i trunk (Rete (Network) > Interfaccia > Trunk). Senza apportare modifiche alla configurazione precedente e semplicemente disconnettendo uno dei due collegamenti, ho visto che il router passerebbe automaticamente ai collegamenti attivi e questo perché l’USG Flex 100 utilizza il trunk WAN predefinito di sistema, che a sua volta utilizza l’algoritmo Prima il Carico Minimo (Least Load First).

Questo algoritmo decide quale interfaccia deve essere utilizzata per il traffico controllando l’utilizzo della larghezza di banda in uscita di ciascuna interfaccia membro (esiste anche l’opzione per utilizzare il traffico in entrata dalla LAN o sia il traffico in entrata che in uscita). Un altro aspetto importante è che puoi decidere la Modalità per ciascuna interfaccia trunk, quindi può essere Passiva o Attiva e se guardi verso la parte superiore della pagina, vedrai che in Configurazione, puoi abilitare “Disconnect Connections Before Falling Back”, il che significa che quando una connessione attiva recupera il collegamento, quelli passivi vengono automaticamente disconnessi. Oltre al Least Load First, c’è anche l’algoritmo Weighted Round Robin che è meglio usato quando la larghezza di banda impostata per ciascuna interfaccia WAN è diversa e il modo in cui funziona è distribuire le richieste dei clienti ai server, ognuno a turno su base rotante. Inoltre, a ciascuna interfaccia viene assegnato un peso e in base a questo peso, un server può gestire una o più sessioni.

Infine, c’è l’algoritmo Spillover che invia il traffico alla prima interfaccia WAN e, quando viene raggiunto il carico massimo consentito, il traffico in eccesso viene quindi inviato all’interfaccia successiva dall’elenco trunk. Se si desidera configurare il FailOver solo dalla prima WAN alla seconda e non vuoi utilizzare Trunk, sarà necessario andare su Routing > Policy Route e impostare l’interfaccia in entrata sulla prima WAN e sul Next-Hop come secondaria e creare una nuova Policy Route al contrario (non dimenticare di abilitare il Controllo Connettività). Ho notato che quando disconnetto l’Internet dalla prima interfaccia WAN, ci vogliono circa 5 secondi affinché il secondo collegamento diventi attivo.

VPN

Zyxel USG Flex 100 supporta VPN IPSec, SSL e L2TP e mi piace il fatto che il produttore abbia aggiunto delle procedure dettagliate di configurazione per aiutare a configurarle (abbastanza utile con dispositivi come i firewall USG, dove puoi impostare tutti i parametri, ma è facile perdersi nella miriade di opzioni). Per configurare la VPN IPSec, è possibile utilizzare l’Installazione guidata VPN (la seconda opzione a sinistra) e seguire i passaggi per creare una nuova regola di provisioning VPN; successivamente, vai a Configurazione > Oggetto > Aggiungi un Utente e crea un nuovo cliente VPN IPSec. Poi, vai su Configurazione > VPN > VPN IPSec > Provisioning della Configurazione e associa la connessione VPN all’utente autorizzato appena creato. Successivamente, dovrai scaricare il cliente VPN IPSec ZyWall (esiste un collegamento diretto dall’interfaccia: tieni presente che è basato su licenza, ma puoi utilizzare la versione di prova per 30 giorni) e inserire il gateway predefinito, nonché il utente che hai impostato in precedenza.

Zyxel ha anche aggiunto delle guide per la configurazione VPN SSL e L2TP e ho notato che non esiste una procedura guidata per il VPN SSL. Detto questo, il processo di configurazione di qualsiasi VPN non è davvero facile, ma è reso molto più intuitivo dal modo in cui l’interfaccia è progettata e soprattutto grazie alle procedure dettagliate dedicate per ogni tipo di configurazione.

Caratteristiche di Sicurezza

Alcune delle più importanti funzioni di sicurezza sono il Firewall Stateful Packet Inspection e puoi verificare le politiche di sicurezza andando su Configurazione> Politica di sicurezza> Controllo delle politiche; qui, puoi anche visitare l’Anomaly Detection and Prevention (ADP) e aggiungere criteri per la fonte di traffico e puoi anche creare nuovi profili ADP (questo può essere fatto dalla sezione Profile e sarai in grado di impostare il livello di Sensibilità, il periodo di blocco per il rilevamento della scansione, nonché per il Flood Detection). Sotto il Servizio di Sicurezza, è possibile creare profili di pattugliamento delle app che consentano di assegnare la priorità a determinate app rispetto ad altre, nonché la possibilità di bloccare o limitare alcuni servizi in base alla categoria o al nome (questa funzione si basa su Deep Packet Inspection per ottenere un grado di precisione più alto). Il filtro contenuti è un’altra caratteristica importante di qualsiasi appliance Unified Threat Management che consente all’utente di impostare regole per il tipo di contenuto consentito o che dovrebbe essere bloccato (esiste un elenco molto ampio di categorie, ma è anche possibile aggiungere servizi personalizzati) e poi, c’è l’Anti-Malware, dove puoi impostare il tipo di file da scansionare, la modalità, creare un elenco Block / Bianco e altro.

Puoi anche bloccare o consentire determinati tipi di URL nel Filtro Reputazione, abilitare l’IDP (richiede una licenza) che è una funzione estremamente importante per un gateway di sicurezza grazie alla sua capacità di rilevare eventuali minacce da terze parti dannose (virus, i tentativi di hacking e così via), ma devi essere consapevole che ha un impatto sulla velocità effettiva, poiché ho visto una media di 500 Mbps (da una connessione Gigabit) quando l’IDP era abilitato. Vale anche la pena menzionare la Sicurezza e-mail (ottima per rilevare lo spam), l’ispezione SSL (estremamente utile per rilevare attacchi che provano a superare il traffico crittografato che altrimenti aggirerebbe le difese normali) e l’ispezione IP (è possibile impostare eccezioni per indirizzi IP determinati, quindi non sono verificati da Anti-Malware, UTF o IDP). Oltre a queste funzionalità di sicurezza, puoi anche accedere alla dashboard di SecuReporter facendo clic sul link nell’angolo in alto a destra e, così facendo, ti porterà al server Cloud dove puoi vedere eventuali malware rilevati o richieste bloccate; alcuni dati aggiuntivi possono essere visualizzati in Analyzer (come un grafico ADP, le categorie di siti Web principali per le minacce, le applicazioni bloccate e altro).

Infine, ho deciso di eseguire un test da LAN a LAN collegando due computer tramite cavi Ethernet (su entrambi i dispositivi è installato il sistema operativo Windows 10 64 bit ed i firewall erano disattivati). In questo modo, ho visto una media di 876 Mbps dal cliente al server e una media di 850 Mbps dal server al cliente, in linea con i 900 Mbps pubblicizzati da Zyxel.

La Conclusione

Considerando che Zyxel è stato uno dei principali fornitori di gateway di sicurezza multi-WAN per le piccole e medie imprese per oltre un decennio, ci sono alcune aspettative elevate da soddisfare e, dopo aver eseguito l’USG Flex 100 per alcuni giorni, sembra che la nuova serie spunta tutte le caselle, soprattutto in termini di sicurezza. Hai un enorme controllo su ciò che è bloccato e ciò che è permesso, ci sono procedure guidate e procedure dettagliate per aiutarti con qualsiasi configurazione complicata (compresi i passaggi per impostare le VPN IPSec, SSL e L2TP) e puoi bilanciare il carico tra più di una porta WAN. Anche l’hardware interno è stato aggiornato per gestire le applicazioni più impegnative senza ridurre troppo la velocità effettiva e la flessibilità della licenza è praticamente una delle caratteristiche evidenziate di questa nuova serie USG. Detto questo, in modo simile ad altri dispositivi della serie USG, Zyxel USG Flex supporta un’enorme quantità di configurazioni e l’utente può regolare praticamente ogni aspetto della propria rete e, sebbene sia un vantaggio, può essere intimidatorio per gli utenti nuovi. Per fortuna, Zyxel si è assicurato di essere coperto per quasi ogni tipo di applicazione che stai cercando di eseguire, quindi non esitare a consultare i manuali utente e le procedure dettagliate disponibili.