Vpn zyxel: SecuExtender VPN Client IPSec и SSL VPN клиент — Загрузки

Содержание

Создание подключений VPN на шлюзах Zyxel / Хабр

VPN шлюзы Zyxel Zywall серий VPN, ATP и USG обладают обширными возможностями создания защищенных виртуальных сетей (VPN) для подключения как конечных пользователей (узел-сеть), так и создания подключения между шлюзами (сеть-сеть). В этой статье мы пройдем по всем моментам создания и настройки VPN подключения удаленных сотрудников.

Выбор подходящего VPN

Шлюзы позволяют создать три сценария подключения:

  • L2TP over IPSec VPN
  • SSL VPN
  • IPSec VPN

В зависимости от требований к безопасности и поддержки протоколов на конечных устройствах

выбирается требуемый

.

Рассмотрим настройку каждого из них.

Предварительная настройка

Даже при столь обильном функционале шлюзов, создание подключений не составит труда для не сильно подготовленного человека, главное иметь в виду некоторые нюансы:

Для корректной работы L2TP VPN по средствам встроенного клиента на Windows требуется проверить включение службы «IKEEXT» (Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности)

Остальные советы из интернета о правке реестра стоит воспринимать с осторожностью, так как они могут только навредить.

В связи с таможенными ограничениями по отношению ввоза сетевого оборудования на территорию РФ, реализующее шифровально-криптографические функции, на шлюзах Zyxel «из коробки» доступно только шифрование DES.

На актуальной прошивке версии 4.35 есть возможность работы с CLI прямо из Web интерфейса и не требует отдельного подключения к шлюзу через консольный кабель, что сильно упрощает работу с командной строкой.

Для активации остальных режимов (3DES) — нужно через консоль ввести команды:

Router> configure terminal
Router(config)# crypto algorithm-hide disable
Router(config)# write
Router(config)# reboot

После ввода команды reboot шлюз перезапустится и позволит выбрать нужные режимы шифрования.

С нюансами разобрались, приступим непосредственно к настройке соединений.

Все примеры будут описаны с применением шлюза VPN50, VPN2S, ПК под управлением Windows, Android смартфона и иногда iPhone смартфона.

VPN50 выступает в роли «головного шлюза» находящегося в офисе/серверной.

Настройка L2TP подключения


Настройка L2TP на VPN50

Проще всего настроить VPN через Wizard. Он сразу создаст все правила и подключение.

После ввода логина\пароля открывается Easy mode (упрощенный режим управления)

Настоятельно рекомендуем использовать его только в информационном режиме, так как создаваемые через Easy Wizard режимы VPN потом нельзя корректировать в Expert Mode.
Нажимаем верхнюю правую кнопку “Expert Mode” и попадаем в полноценный Web интерфейс управления

Слева сверху иконка «волшебная палочка» — быстрая настройка:

Если настройки интернета отличаются от DHCP, первоначально требуется настроить WAN interface. Для настройки VPN выбираем правую иконку

Для настройки L2TP выбрать последний пункт «VPN Setting for L2TP».

Здесь нам предлагают ввести имя подключения, интерфейс, через который будет проходить трафик (стоит иметь в виду: если подключение к интернету происходит через PPPOE подключение, то и здесь соответственно нужно выбрать wan_ppp) и предварительный ключ.

На следующей странице вводим диапазон IP адресов, которые будут присваиваться клиентам.
Диапазон не должен пересекаться с другими интерфейсами на шлюзе!

DNS сервер можно не прописывать, если не требуется пускать весь трафик (клиентский интернет) через VPN, что выбирается галочкой ниже.

На этой странице выводится информация о созданном подключении, проверяется правильность всех данных и сохраняется.

Всё! Подключение создано. Осталось создать пользователей для подключения к шлюзу.

На вкладке Configuration -> Object -> User/Group создаются пользователи (требуется ввести имя и пароль.)

На соседней вкладке для удобства можно создать группу и внести в нее список пользователей. Если удаленных пользователей более одного, то группу в любом случае придется создавать.

На вкладке VPN-L2TP VPN в пункте Allowed user выбираем созданную ранее группу или единичного пользователя, которые смогут подключаться по L2TP.

На этом создание подключения по L2TP на шлюзе можно считать настроенным.
Перейдем к настройке клиентов.

Настройка клиентов L2TP

Настройка L2TP на клиентах Windows

На Windows 10 настройка L2TP производится штатными средствами:

Пуск -> Параметры -> Сеть и Интернет -> VPN -> Добавить VPN-подключение

  • Поставщик услуг – Windows (встроенные)
  • Имя подключения – на выбор
  • Имя или адрес сервера- IP адрес VPN шлюза
  • Тип VPN- L2TP с предварительным ключом
  • Общий ключ- ток ключ, что создавался на первом пункте Wizard’а
  • Логин и пароль пользователя из группы разрешенных

Для подключения этого достаточно. Но иногда требуется немного подправить подключение, либо Подключение создается на более ранних версиях Windows:

Панель управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> свойства L2TP подключения

Выставляется правильные шифрование и протоколы как на изображении.

Во вкладке Дополнительные параметры меняется предварительный ключ

Так же рекомендуется на вкладке Сеть отключить протокол IPv6

На этом подключение готово.

Настройка L2TP на клиентах Android

Иногда требуется подключать и мобильных сотрудников к корпоративной сети.

На Android смартфонах это делается в меню:

 Настройки -> Беспроводные сети (Дополнительно) -> VPN -> Создать новое подключение (в зависимости от производителя телефона и оболочки ОС пункты могут называться по-разному)

Здесь вводится имя подключения, выбирается тип VPN L2TP/IPSec PSK, вводится общий ключ, имя пользователя и пароль.

После подключения должен появиться значок «Ключ», который информирует о VPN соединении.

Настройка L2TP на клиентах Iphone

Настройка Iphone практически не отличается от клиентов android

По пути

Настройки -> Основные -> VPN

создается новое подключение, где прописывается Описание (название подключения), Сервер (ip адрес шлюза), имя пользователя с паролем и общий ключ. Готово.

После создания и подключения VPN в верхнем правом углу будет отображаться иконка «VPN», как индикатор поднятого соединения.


Тапнув по конфигурации так же можно увидеть информацию о соединении.

Настройка L2TP на аппаратном клиенте VPN2S

А теперь покажем, как подключить к корпоративной сети удаленного клиента, у которого дома установлен недорогой шлюз Zyxel VPN2S.

Для подключения VPN2S клиентом L2TP настройка так же не составит труда. Тут даже не требуется «Wizard», все правила изначально созданы.

Первым делом в Configuration -> VPN -> IPsec VPN нужно включить стандартные конфигурации.

В Gateway конфигурации ввести Peer Gateway Address (IP адрес шлюза) и ключ.

На вкладке L2TP VPN поставить галочку Enable, на против IPsec (имя дефолтной конфигурации) Enforce, ввести имя и пароль пользователя и, если требуется, включить NAT.

После этого перейти обратно на вкладку IPsec VPN и убедиться, что в Connection Tunnel горит «зеленый глобус», сигнализирующий о поднятом соединении.

Настройка SSL подключения


Настойка SSL на шлюзе VPN50

Для настройки SSL VPN (которых к слову без лицензии меньше, чем L2TP, но имеющие более защищенное подключение) потребуется:

На вкладке VPN -> SSL VPN создается новое правило, в котором указывается имя, список пользователей\групп, пул выдаваемых IP адресов и список сетей, в который будет доступ клиентам.

Важное замечание! Для работы SSL VPN протокол HTTPS должен быть добавлен в конфигурацию протоколов

Делается это по пути Object -> Service -> Service Group.

В группе “Default_Allow_Wan_To_ZyXall” добавить HTTPS. Он так же потребуется и для доступа на Web интерфейс шлюза извне.

Настройка клиентов SSL


Настройка SSL на клиентах Windows

Для подключения клиента Windows используется программа

ZyWALL SecuExtender 4.0.3.0

.

Настройка заключается лишь в введении IP адреса шлюза и логина\пароля пользователя.
Так же можно поставить галочку «запомнить пользователя», чтобы не вводить каждый раз.

В процессе подключения согласиться со всплывающим предупреждением

После подключения во вкладке Status будет показана информация о соединении.

Настройка VPN IPsec подключения


Настройка VPN IPsec на VPN50

Перейдем к настройке самого безопасного VPN IPsec.

На вкладке VPN -> IPsec VPN -> VPN Gateway создается новое правило

Где указывается имя, версия IPsec, ключ, режим согласования и варианты шифрования.


В соседней вкладке VPN Connection создается новое подключение, настройки по аналогии с созданием L2TP.

Настройка VPN IPsec на клиентах


Настройка VPN IPsec на клиентах Windows

Программа для подключения IPSec VPN на Windows располагается по

ссылке

.


Подключение создается через «мастер создания туннеля IKE V1» (так как на шлюзе был выбран именно он).

На этой вкладке вводится IP адрес шлюза, ключ и подсеть шлюза- далее- готово.


В первой фазе проверяется соответствие параметров шифрования.

Так же и во второй фазе

Если всё сделано правильно, то подключение поднимется, о чем будет сигнализировать зеленый индикатор.

Настройка VPN IPsec на VPN50 с предоставлением конфигурации

Шлюз позволяет упростить настройку у пользователей посредством запроса конфигурации прямо со шлюза. Для этого на вкладке VPN -> IPSec VPN -> Configuration Provisioning

включается функция предоставления конфигурации

Добавляется новая конфигурация, где выбирается созданное VPN подключение и группа пользователей. Активировать и сохранить.

После этого в ZyWALL IPSec VPN Client будет доступна возможность загрузки конфигурации прямо со шлюза.

В меню Конфигурация выбрать пункт «Получить с сервера»

Где нужно ввести только IP адрес шлюза, логин и пароль пользователя.

После успешного соединения будут получены все нужные настройки и создано новое подключение.

Заключение

Были рассмотрены самые популярные варианты подключения VPN с различными клиентскими устройствами. Но самих вариантов еще очень много.

Благодаря обширному функционалу шлюзов Zyxel, есть возможность расширить рабочую сеть далеко за пределами офиса с минимальными затратами на настройку и поддержку.

Больше информации вы можете найти на странице технической поддержки Zyxel

Обсудить статью и получить поддержку вы можете в нашем телеграм-чате.

IPsec VPN между Zyxel и Mikrotik

Сегодня на примере Zyxel USG20 и какого-то микротика попробуем настроить IPsec VPN между Mikrotik и Zyxel соответственно.

В нашем примере у Zyxel внутренняя подсеть будет 172.16.240.0/24, внешний адрес: 98.213.46.5
Микротик — внутренняя подсеть: 172.16.220.0/24, внешний адрес 145.16.220.86. Все адреса вымышленные совпадение с реальностью — случайно.

zyxel

Начнём с usg. Эта девайсина настраивается через веб браузер.

Предполагается что Вы уже настроили USG, и он успешно раздаёт интернет сотрудникам. В статье описывается только IPsec.


Первым делом нам надо будет добавить адреса.
Переходим ObjectAddress, кликаем Add.

Для микротика заполняем имя (name) у меня это ipsec-one, выбираем тип – host, вписываем адрес 145.16.220.86.
Картинка для другого адреса, но суть думаю всем будет понятна.

После того как добавили внешний адрес, надо добавить адрес внутренней подсети. Для подсети за миротиком заполняем так же имя (у меня это  vpn-end-net), тип – subnet, адрес 172.16.220.0 маска 255.255.255.0

Выглядеть список после этого будет примерно так:

Дальше настраиваем фаервол. ConfigurationFirewallAdd.

В появившемся окне выбираем to: ZyWALL, вписываем описание, в поле source выбираем адрес который добавляли для микротика на предыдущем этапе,

Так же неплохо заполнить поле Description, что бы Вы потом вспомнили для чего это правило вообще создавалось.

Следующий этап создание vpn. ConfigurationVPN – IPSec VPN вкладка VPN Gateway:

Включаем Show Advanced Settings заполняем имя, вписываем руками IP микротика 145.16.220.86, выбираем интерфейс для интернета. Для упрощения инструкции  мы будем использовать Pre-Shared Key, но я рекомендую использовать сертификаты.

На картинке указан второй адрес, его указывать не обязательно. А в случае с микротиком, просто добавления второго адреса будет мало.
Спускаемся ниже.

Снимаем галочку NAT, выбираем Encryption— AES128, Key Group – Dh3, сохраняем — ok
Затем переходим на вкладку VPN Connection жмём Add.

Заполняем имя, выбираем созданный на предыдущем шаге Gateway. Local policy – выбираем локальную подсеть zyxel, Remote policy – локальную подсеть микротика.

Show Advanced Settings. Encryption – AES128, Auth – SHA1, PFS – none.

Cохраняем. Переходим к миротику.

mikrotik firewall

Начнём с фаервола. IP – Firewall – address-list. Для того что бы не создавать правило под каждый зиксель или любое другое устройство которое мы потом будем подключать к миротикку будем использовать address-list итак, жмём add (+)

Name – имя списка, Address – внешний ip зикселя. Переходим на вкладку Filter Rules и создаем правило (+).
На вкладке generalchain — input

На вкладке Advanced в Src. Address List выбираем наш список

На вкладке Action ставим accept

Ставим правило ВЫШЕ всех запрещающих.

Если нам потом потребуется подключить ещё какие-то устройство, правило создавать уже не надо будет, надо будет только добавить адрес в address list.
Дальше так же в Address-list добавляем ещё один список — anti-nat, поскольку с zyxel ipsec будет работать в тунельном режиме, надо исключить пакеты предназначающиеся в сеть зикселя из маскарада.

Переходим на вкладку NAT и в правилах где есть srcnat на вкладке Аdvanced добавляем наш список с галочкой в dst.

В данном случае рассматривается дефолтная настройка микротика, где в NAT будет всего одно правило.

Галочка в правилах означает отрицание. Т.е. правило будет срабатывать для всех адресов назначения КРОМЕ тех что мы добавили в список anti-nat.

Если будем добавлять ещё устройство, то правила уже менять не надо, только подсети в список anti-nat добавляем.

mikrotik IPsec

Переходим в раздел IPIPsec
Начнём с вкладки Proposals, как водится (+) имя — zyxel, Auth – sha1, Encr – aes128cbc, PFS – none. Т.е. заполняем так же как заполняли раздел VPN Connection на зикселе.

Переходим к вкладке Peers и снова (+).
Address – внешний адрес зикселя, Auth Method – pre shared key, Secret – тот же что вводили на зикселе, снимаем галочку NAT, Hash – sha1, Encr – aes128, DH – modp1024.

Пару слов про DPD, в поле DPD Interval указывается значение в секундах между попытками. Maximum Failures — указывается количество неудачных попыток. Т.е. если значения выставлены как на скриншоте, то при недоступности туннеля в течении 15 секунд, микротик попытается установить подключение повторно. Дефолтное значение — 10 минут, очень долго.

Собственно тут тоже всё, переходим в раздел Policies.

Снова (+). На вкладке GeneralSrc. Addr – подсеть локальная микротика – 172.16.220.0/24
Dst. Addr – подсеть локальная зикселя – 172.16.240.0/24

Переходим на вкладку Action. Ставим галочку Tunnel, заполняем SA src – внешний IP миротика, SA dst – внешний IP zyxel, Proposal – выбираем тот что создавали ранее.

Всё, можно проверять работу.
Как и прежде если остались какие-либо вопросы — пишите в комментариях, по возможности буду отвечать.

Новые межсетевые экраны Zyxel USG20-VPN и USG20W-VPN

Линейку межсетевых экранов Zyxel, расширили новые модели USG20-VPN и USG20W-VPN, идущие на смену популярным моделям ZyWALL USG 20 и соответственно ZyWALL USG 20W. Экраны ZyXel предназначены для гибкого надежного подключения малых предприятий и удаленных офисов к Интернету с созданием VPN-каналов для удаленных работников и защитой от различных киберугроз, а также готовы брать на себя задачи по организации скоростной локальной и беспроводной сети.


Ключевые особенности новых устройств — существенно возросшая производительность VPN

(IPSec/SSL/L2TP) с поддержкой SHA-2, L2TP over IPSec VPN, «из коробки» совместимый со встроенными клиентами популярных операционных систем (в том числе мобильных iOS и Android), безвентиляторная конструкция в надежном металлическом корпусе корпоративного класса, а также возможность подключения к провайдерам как по медному кабелю Ethernet, так и по оптоволокну или беспроводному каналу 3G/4G посредством USB-модема. Причем оба проводных интерфейса могут работать одновременно, балансировать нагрузку и обеспечивать резервирование.

Основные характеристики и отличия моделей:

USG20-VPN / USG20W-VPN

ZyWALL USG 20 / USG 20W

Интерфейсы

1xWAN RJ-45 (GbE), 1xWAN SFP, 4xLAN (GbE), 1xUSB

1xWAN RJ-45, 4xLAN, 1xUSB

Пропускная способность МСЭ

350 Мбит/с

175 Мбит/с

Пропускная способность IPSec VPN (AES)

90 Мбит/с

75 Мбит/с

Количество туннелей IPSeс VPN

10

5

Поддержка USB-модемов 4G российских операторов в качестве резервного канала

Да

Нет

Встроенная точка доступа Wi-Fi 

802.11n/ac до 1300 Мбит/с (модель USG20W-VPN)

802.11n (модель ZyWALL USG 20W)

Балансировка нагрузки WAN и резервирование при подключении к двум провайдерам

1xRJ45 + 1xSFP

Нет

Zyxel ZyWALL VPN2S — Connect-WIT

ТЕМАТИКА ПРОДУКЦИИ:

Маршрутизатор для малого и среднего бизнеса Zyxel ZyWALL VPN2S

 НАИМЕНОВАНИЕ

Zyxel ZyWALL VPN2S

 ПРОИЗВОДИТЕЛЬ

Zyxel Communications Corp.

 ПОСТАВЩИК

Zyxel Communications Corp.

ИСТОЧНИК (URL)

https://www.zyxel.com/ru/ru/products_services/VPN-Firewall-ZyWALL-VPN2S/overview

НАЗНАЧЕНИЕ

Если вы работаете из дома, часто ездите в командировки или, находясь в филиале, загружаете данные из главного офиса, то вам необходимо обеспечить безопасность корпоративной сети при удаленном доступе к важным для бизнеса данным.

VPN2S – это межсетевой экран VPN, позволяющий вам использовать безопасное частное соединение point-to-point без сложной настройки параметров сети.

ХАРАКТЕРИСТИКИ И ПРЕИМУЩЕСТВА

Межсетевой экран ZyWALL VPN предоставит вашей компании возможность использовать разные типы виртуальной частной сети VPN. ZyWALL VPN2S использует специализированный аппаратный модуль L2TP/IPSec VPN, обеспечивающий высокую эффективность туннелей VPN и функцию VPN load balance/failover с использованием строгих алгоритмов VPN (IKEv2 и SHA-2), которые гарантируют надежность и безопасность соединений VPN, применяемых в бизнесе.

Кроме того, VPN2S это:

  • Мощная и надежная сетевая безопасность
  • Бесплатный сервис фильтрации контента в течение одного года
  • Быстрая и легкая настройка из 5 шагов с помощью визарда
  • Поддержка нескольких WAN обеспечивает непрерывность сервисов
  • Гибкая конфигурация VLAN

 И все это по цене домашнего интернет-роутера!

 ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ

VPN и применение защищенных соединений

  • Организации, филиалы, партнеры и надомные работники могут применять Zyxel ZyWALL VPN2S для соединения с клиентами по Site-to-Site IPSec VPN и L2TP Over IPSec VPN.
  • VPN – это решение для построения защищенного сетевого соединения и сокращения затрат на оплату междугородних разговоров по телефону.
  • Удаленные пользователи могут получить защищенный доступ к ресурсам своей компании с своего компьютера или смартфона с помощью Zyxel ZyWALL VPN2S.
  • С помощью ZyWALL VPN2S можно построить соединение L2TP VPN с сервис-провайдером для безопасного доступа к Интернету.
  • VPN2S с функцией Content filtering блокирует доступ пользователей с подозрительному, опасному и постороннему контенту.

 Использование нескольких WAN

  • VPN2S можно применять в различных сетевых средах; с его помощью офисы и сервис-провайдеры могут выполнять гибкую инсталляцию для доступа по Ethernet или мобильной WAN.
  • Функция Multi-WAN load balancing обеспечивает высокую скорость соединения с Интернетом даже при сильном трафике.
  • Офисы могут как опция внедрить отказоустойчивый доступ к Интернету с использованием Multi-WAN failover.
  • Четвертый порт LAN можно сконфигурировать как дополнительный порт WAN.

107045, Москва, ул. Трудная, 12, офис 4G

Телефон: +7 495 775 7300

Денис Тяпаев, генеральный директор

http://www.zyxel.com

Создание подключений VPN на шлюзах Zyxel


VPN шлюзы Zyxel Zywall серий VPN, ATP и USG обладают обширными возможностями создания защищенных виртуальных сетей (VPN) для подключения как конечных пользователей (узел-сеть), так и создания подключения между шлюзами (сеть-сеть). В этой статье мы пройдем по всем моментам создания и настройки VPN подключения удаленных сотрудников.

Выбор подходящего VPN


Шлюзы позволяют создать три сценария подключения:
  • L2TP over IPSec VPN
  • SSL VPN
  • IPSec VPN

В зависимости от требований к безопасности и поддержки протоколов на конечных устройствах выбирается требуемый.

Рассмотрим настройку каждого из них.

Предварительная настройка


Даже при столь обильном функционале шлюзов, создание подключений не составит труда для не сильно подготовленного человека, главное иметь в виду некоторые нюансы:

Для корректной работы L2TP VPN по средствам встроенного клиента на Windows требуется проверить включение службы «IKEEXT» (Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности)

Остальные советы из интернета о правке реестра стоит воспринимать с осторожностью, так как они могут только навредить.

В связи с таможенными ограничениями по отношению ввоза сетевого оборудования на территорию РФ, реализующее шифровально-криптографические функции, на шлюзах Zyxel «из коробки» доступно только шифрование DES.

На актуальной прошивке версии 4.35 есть возможность работы с CLI прямо из Web интерфейса и не требует отдельного подключения к шлюзу через консольный кабель, что сильно упрощает работу с командной строкой.

Для активации остальных режимов (3DES) — нужно через консоль ввести команды:

Router> configure terminal
Router(config)# crypto algorithm-hide disable
Router(config)# write
Router(config)# reboot

После ввода команды reboot шлюз перезапустится и позволит выбрать нужные режимы шифрования.

С нюансами разобрались, приступим непосредственно к настройке соединений.

Все примеры будут описаны с применением шлюза VPN50, VPN2S, ПК под управлением Windows, Android смартфона и иногда iPhone смартфона.

VPN50 выступает в роли «головного шлюза» находящегося в офисе/серверной.

Настройка L2TP подключения


Настройка L2TP на VPN50

Проще всего настроить VPN через Wizard. Он сразу создаст все правила и подключение.
После ввода логина\пароля открывается Easy mode (упрощенный режим управления)

Настоятельно рекомендуем использовать его только в информационном режиме, так как создаваемые через Easy Wizard режимы VPN потом нельзя корректировать в Expert Mode.
Нажимаем верхнюю правую кнопку “Expert Mode” и попадаем в полноценный Web интерфейс управления


Слева сверху иконка «волшебная палочка» — быстрая настройка:


Если настройки интернета отличаются от DHCP, первоначально требуется настроить WAN interface. Для настройки VPN выбираем правую иконку


Для настройки L2TP выбрать последний пункт «VPN Setting for L2TP».


Здесь нам предлагают ввести имя подключения, интерфейс, через который будет проходить трафик (стоит иметь в виду: если подключение к интернету происходит через PPPOE подключение, то и здесь соответственно нужно выбрать wan_ppp) и предварительный ключ.


На следующей странице вводим диапазон IP адресов, которые будут присваиваться клиентам.
Диапазон не должен пересекаться с другими интерфейсами на шлюзе!
DNS сервер можно не прописывать, если не требуется пускать весь трафик (клиентский интернет) через VPN, что выбирается галочкой ниже.


На этой странице выводится информация о созданном подключении, проверяется правильность всех данных и сохраняется.

Всё! Подключение создано. Осталось создать пользователей для подключения к шлюзу.


На вкладке Configuration -> Object -> User/Group создаются пользователи (требуется ввести имя и пароль.)


На соседней вкладке для удобства можно создать группу и внести в нее список пользователей. Если удаленных пользователей более одного, то группу в любом случае придется создавать.


На вкладке VPN-L2TP VPN в пункте Allowed user выбираем созданную ранее группу или единичного пользователя, которые смогут подключаться по L2TP.

На этом создание подключения по L2TP на шлюзе можно считать настроенным.
Перейдем к настройке клиентов.

Настройка клиентов L2TP

Настройка L2TP на клиентах Windows

На Windows 10 настройка L2TP производится штатными средствами:
Пуск -> Параметры -> Сеть и Интернет -> VPN -> Добавить VPN-подключение

  • Поставщик услуг – Windows (встроенные)
  • Имя подключения – на выбор
  • Имя или адрес сервера- IP адрес VPN шлюза
  • Тип VPN- L2TP с предварительным ключом
  • Общий ключ- ток ключ, что создавался на первом пункте Wizard’а
  • Логин и пароль пользователя из группы разрешенных

Для подключения этого достаточно. Но иногда требуется немного подправить подключение, либо Подключение создается на более ранних версиях Windows:

Панель управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> свойства L2TP подключения


Выставляется правильные шифрование и протоколы как на изображении.


Во вкладке Дополнительные параметры меняется предварительный ключ


Так же рекомендуется на вкладке Сеть отключить протокол IPv6

На этом подключение готово.

Настройка L2TP на клиентах Android

Иногда требуется подключать и мобильных сотрудников к корпоративной сети.
На Android смартфонах это делается в меню:
 Настройки -> Беспроводные сети (Дополнительно) -> VPN -> Создать новое подключение (в зависимости от производителя телефона и оболочки ОС пункты могут называться по-разному)


Здесь вводится имя подключения, выбирается тип VPN L2TP/IPSec PSK, вводится общий ключ, имя пользователя и пароль.

После подключения должен появиться значок «Ключ», который информирует о VPN соединении.

Настройка L2TP на клиентах Iphone

Настройка Iphone практически не отличается от клиентов android

По пути

 Настройки -> Основные -> VPN

создается новое подключение, где прописывается Описание (название подключения), Сервер (ip адрес шлюза), имя пользователя с паролем и общий ключ. Готово.


После создания и подключения VPN в верхнем правом углу будет отображаться иконка «VPN», как индикатор поднятого соединения.


Тапнув по конфигурации так же можно увидеть информацию о соединении.

Настройка L2TP на аппаратном клиенте VPN2S

А теперь покажем, как подключить к корпоративной сети удаленного клиента, у которого дома установлен недорогой шлюз Zyxel VPN2S.

Для подключения VPN2S клиентом L2TP настройка так же не составит труда. Тут даже не требуется «Wizard», все правила изначально созданы.


Первым делом в Configuration -> VPN -> IPsec VPN нужно включить стандартные конфигурации.


В Gateway конфигурации ввести Peer Gateway Address (IP адрес шлюза) и ключ.


На вкладке L2TP VPN поставить галочку Enable, на против IPsec (имя дефолтной конфигурации) Enforce, ввести имя и пароль пользователя и, если требуется, включить NAT.


После этого перейти обратно на вкладку IPsec VPN и убедиться, что в Connection Tunnel горит «зеленый глобус», сигнализирующий о поднятом соединении.

Настройка SSL подключения


Настойка SSL на шлюзе VPN50


Для настройки SSL VPN (которых к слову без лицензии меньше, чем L2TP, но имеющие более защищенное подключение) потребуется:


На вкладке VPN -> SSL VPN создается новое правило, в котором указывается имя, список пользователей\групп, пул выдаваемых IP адресов и список сетей, в который будет доступ клиентам.

Важное замечание! Для работы SSL VPN протокол HTTPS должен быть добавлен в конфигурацию протоколов


Делается это по пути Object -> Service -> Service Group.
В группе “Default_Allow_Wan_To_ZyXall” добавить HTTPS. Он так же потребуется и для доступа на Web интерфейс шлюза извне.

Настройка клиентов SSL


Настройка SSL на клиентах Windows

Для подключения клиента Windows используется программа ZyWALL SecuExtender 4.0.3.0.


Настройка заключается лишь в введении IP адреса шлюза и логина\пароля пользователя.
Так же можно поставить галочку «запомнить пользователя», чтобы не вводить каждый раз.


В процессе подключения согласиться со всплывающим предупреждением


После подключения во вкладке Status будет показана информация о соединении.

Настройка VPN IPsec подключения


Настройка VPN IPsec на VPN50


Перейдем к настройке самого безопасного VPN IPsec.
На вкладке VPN -> IPsec VPN -> VPN Gateway создается новое правило


Где указывается имя, версия IPsec, ключ, режим согласования и варианты шифрования.


В соседней вкладке VPN Connection создается новое подключение, настройки по аналогии с созданием L2TP.

Настройка VPN IPsec на клиентах


Настройка VPN IPsec на клиентах Windows

Программа для подключения IPSec VPN на Windows располагается по ссылке.


Подключение создается через «мастер создания туннеля IKE V1» (так как на шлюзе был выбран именно он).


На этой вкладке вводится IP адрес шлюза, ключ и подсеть шлюза- далее- готово.


В первой фазе проверяется соответствие параметров шифрования.


Так же и во второй фазе


Если всё сделано правильно, то подключение поднимется, о чем будет сигнализировать зеленый индикатор.

Настройка VPN IPsec на VPN50 с предоставлением конфигурации


Шлюз позволяет упростить настройку у пользователей посредством запроса конфигурации прямо со шлюза. Для этого на вкладке VPN -> IPSec VPN -> Configuration Provisioning
включается функция предоставления конфигурации


Добавляется новая конфигурация, где выбирается созданное VPN подключение и группа пользователей. Активировать и сохранить.

После этого в ZyWALL IPSec VPN Client будет доступна возможность загрузки конфигурации прямо со шлюза.


В меню Конфигурация выбрать пункт «Получить с сервера»


Где нужно ввести только IP адрес шлюза, логин и пароль пользователя.


После успешного соединения будут получены все нужные настройки и создано новое подключение.

Заключение


Были рассмотрены самые популярные варианты подключения VPN с различными клиентскими устройствами. Но самих вариантов еще очень много.

Благодаря обширному функционалу шлюзов Zyxel, есть возможность расширить рабочую сеть далеко за пределами офиса с минимальными затратами на настройку и поддержку.

Больше информации вы можете найти на странице технической поддержки Zyxel

Обсудить статью и получить поддержку вы можете в нашем телеграм-чате.

Межсетевые экраны Zyxel ZyWALL серии VPN для SMB | LAN Online

Интуитивно-понятный пользовательский интерфейс ZyXEL VPN ускоряет развертывание и оптимизирует мониторинг VPN

Источник:ZyXEL

С помощью МСЭ серии ZyWALL VPN компании СМБ могут безопасно получать доступ к информации и обмениваться ею на разных площадках, легко организовать связь с партнерами и заказчиками, удаленными и работающими на дому сотрудниками.

Встроенная в ZyWALL VPN Series функция SecuDeployer позволяет развернуть до 50 удаленных межсетевых экранов без покупки дополнительного программного обеспечения. Интуитивно-понятный пользовательский интерфейс ускоряет развертывание и оптимизирует выполнение процедур, например, мониторинг VPN, для более эффективного управления сетью.

Все ZyWALL VPN Series позволяют управлять точками доступа Zyxel (от 36 до 132 штук). Таким образом появляется возможность строить безопасные Wi-Fi сети с простым и удобным администрированием.

Функция Device HA Pro на старших моделях ZyWALL VPN100 и VPN300 реаилзует мгновенное переключение на резервный маршрутизатор при сбое. Действие выполняется прозрачно для пользователей сети. При сбое пассивное устройство становится активным и начинает обслуживать сеть с применением тех же политик и в течение 5 сек восстанавливает нормальную работу сети.

ZyWALL VPN Series – это безопасное и надежное решение для компании, которая хочет устранить риски и инвестировать в перспективные технологии

Благодаря интеграции с Amazon Virtual Private Cloud (VPC) ZyWALL VPN Series упрощают и облегчают использование облачных технологий для миграции в защищенное облако и защиты ценных активов компаний, сокращая лишние расходы. Amazon протестировала Zyxel ZyWALL Series в качестве устройств Customer Gateway, что позволяет пользователям выбрать шаблоны Zyxel из списка сертифицированных вендоров.

Для всех продуктов ZyWALL VPN Series бесплатно предоставляются сервисы Content Filtering и Geo-Enforcer в течение одного года, которые выявляют и блокируют посторонний контент или трафик. Мониторинг и контроль входящего и исходящего сетевого трафика с помощью ZyWALL VPN Series позволяет обеспечить безопасность и получить четкую картину состояния сети.

ZyWALL VPN Series с новейшей прошивкой версии ZLD 4.30 будут доступны в России и СНГ в феврале 2018 года.

zyxel keenetic настройка BeeLine | Настройка оборудования

Инструкция по настройке подключения маршрутизаторов серии Zyxel Keenetic по технологии VPN (PPTP/L2TP) для провайдера BeeLine (Билайн).

Параметры доступа к устройствам ZyXEL не изменились, несмотря на эволюцию маршрутизаторов: набираем в браузере адрес http://192.168.1.1 вводим имя пользователя: admin и пароль: 1234, и попадаем в web-интерфейс маршрутизатора:

Нас встречает статусная страница устройства.  Первое что нам необходимо сделать — выбрать режим работы маршрутизатора. Переходим на вкладку «Система» -> «Режим работы»:

Выставляем тип подключения — по выделенной линии Ethernet. Нажимаем кнопку Применить. Далее необходимо настроить подключение к провайдеру. Переходим на вкладку «Интернет» -> «Подключение»:

Пункт «Настройка параметров IP» выбираем — «Автоматическая» и обязательно ставим галочку «Получать адреса серверов DNS автоматически». Мак-адрес можно оставить по-умолчанию, либо склонировать адрес компьютера:

Пункт «Взять с компьютера» очень пригодится если есть жесткая привязка по мак-адресу. Выбрав нужное, нажимаем кнопку Применить. Переходим в раздел «Авторизация»:

Протокол доступа выбираем L2TP, адрес сервера — tp.internet.beeline.ru, вводим имя пользователя и пароль выданные провайдером, метод проверки оставляем по-умолчанию автоматическим и выставляем галочку «получать IP-адрес автоматически». Нажимаем кнопку Применить.

Если у Вас есть зарегистрированное доменное имя — вы можете привязать его к устройству:

Для примера я использовал сервис DynDNS: вводим само доменное имя, имя пользователя и пароль для доступа в сервис DynDNS и нажимаем Применить.
Впринципе, маршрутизатор для работы готов, подключение настроено. Нам осталось лишь изменить параметры для доступа к веб-интерфейсу настройки  роутера. Переходим в раздел «Система» — «Управление»:

Отдельно следует отметить возможность легко и просто «перевесить» веб-интерфейс со стандартного 80-го порта на любой другой, равно как и telnet-доступ. Так же можно при желании открыть доступ к конфигуратору из вне. Для смены пароля переходим в раздел «Пароль»:

Здесь достаточно ввести новый пароль, подтверждение и нажать Применить.

Маршрутизатор готов к работе, можно подключать WAN-кабель!

Программное обеспечение VPN-клиента | Зиксель

Простой и безопасный доступ в любом месте

Предприятия от малого до крупного должны быть готовы к растущим требованиям все более мобильной рабочей силы и расширяющимся распределенным рабочим местам, чтобы конкурировать на современном глобальном рынке. Безопасный удаленный доступ стал обязательным условием успеха в бизнесе.

Клиенты Zyxel VPN предлагают гибкое, простое в использовании и легкое в управлении решение для виртуальной частной сети (VPN), которое предоставляет мобильным и распределенным пользователям безопасный, быстрый и надежный удаленный доступ к корпоративным ресурсам.Zyxel предлагает варианты подключения SSL VPN и IPSec VPN для удаленного доступа «клиент-сайт». Для SSL VPN Zyxel SecuExtender обеспечивает автоматическое подключение клиентов для Windows и простое подключение клиентов для систем Mac. Для IPSec VPN клиент Zyxel IPSec VPN включает быстрый трехэтапный мастер подключения, который значительно повышает удобство работы пользователей и позволяет сделать VPN-подключение более сложной задачей.

Zyxel VPN Client работает с устройствами безопасности Zyxel, используя мощную технологию глубокой проверки пакетов для сканирования трафика VPN на наличие вредоносных угроз, червей, троянов и шпионского ПО от удаленных сотрудников компании.

Пошаговое руководство по активации SecuExtender IPSec и SSL VPN
  1. Загрузите клиентское ПО SecuExtender IPSec и SSL VPN: https://www.zyxel.com/SecuExtenderDownload
  2. Активация лицензии SecuExtender IPSec VPN Client осуществляется с помощью мастера:

      Windows 3.8.204.61.32

    • Нажмите кнопку «Активировать» в окне запуска
    • Нажмите «?» и выберите Мастер активации
    • Введите лицензионный ключ и адрес электронной почты для активации

      MacOS X1.1.7 (Поддержка до MacOS версии 10.13 или свяжитесь с нашей службой поддержки на форуме)

    • Дважды щелкните приложение «ZyWALL SecuExtender 1.1.7.pkg»
    • Загрузить программное обеспечение SecuExtender
    • Введите имя пользователя и пароль MacOS и продолжите установку
    • Зарегистрируйте свой SecuExtender «Сервисный лицензионный ключ»
Лицензии SecuExtender

Окна:

SECUEXTENDER-ZZ0201F Клиент IPSec VPN для Windows 1, лицензия
SECUEXTENDER-ZZ0202F Клиент IPSec VPN для Windows 5 лицензий
SECUEXTENDER-ZZ0203F Клиент IPSec VPN для Windows 10 лицензий
SECUEXTENDER-ZZ0204F Клиент IPSec VPN для Windows 50 лицензий

МакОС:

SECUEXTENDER-ZZ0104F E-iCard SSL VPN Клиент MAC OS X 1 Лицензия
SECUEXTENDER-ZZ0105F Клиент E-iCard SSL VPN MAC OS X 5 лицензий
SECUEXTENDER-ZZ0106F E-iCard SSL VPN Клиент MAC OS X 10 лицензий

Искусные хакеры атакуют эти брандмауэры Zyxel и VPN

Zyxel, производитель корпоративных маршрутизаторов и VPN-устройств, выпустил предупреждение о том, что злоумышленники нацелены на его устройства и изменяют конфигурации для получения удаленного доступа к сети.

В новой записке службы поддержки компания сообщила, что «искусный злоумышленник» атаковал устройства безопасности Zyxel с удаленным управлением или SSL VPN.

смотрите также

Лучшие VPN-сервисы

Какой VPN лучший в 2022 году? Наш лучший выбор — ExpressVPN.Мы проанализировали 5 лучших VPN с акцентом на количество серверов в сети, уровень шифрования, возможность разблокировать потоковые сервисы и совместимость с телефонами, компьютерами и телевизорами.

Прочитайте больше

Атаки затрагивают организации, использующие Unified Security Gateway (USG), ZyWALL, комбинированный брандмауэр USG FLEX и VPN-шлюз, брандмауэры Advanced Threat Protection (ATP) и устройства серии VPN, на которых установлена ​​прошивка ZLD.

SEE: Политика сетевой безопасности (TechRepublic Premium)

«Злоумышленник пытается получить доступ к устройству через глобальную сеть; в случае успеха он затем обходит аутентификацию и устанавливает туннели SSL VPN с неизвестными учетными записями пользователей, такими как «zyxel_sllvpn», «zyxel_ts» или «zyxel_vpn_test» для манипулирования конфигурацией устройства. Мы приняли меры сразу после выявления инцидента», — отметили в Zyxel.

Похоже, что злоумышленники используют жестко закодированные учетные записи для удаленного доступа к устройствам.

Ранее в этом году исследователи обнаружили жестко закодированную учетную запись администратора в одном из двоичных файлов встроенного ПО Zyxel, из-за чего 100 000 брандмауэров и VPN-сетей оставались открытыми для Интернета.

Zyxel отмечает, что брандмауэры могут быть затронуты, если у пользователей возникнут проблемы с доступом к VPN или с маршрутизацией, трафиком и входом в систему. Другие признаки включают неизвестные параметры конфигурации и проблемы с паролем.

Zyxel предупреждает администраторов о необходимости удалить все неизвестные учетные записи администраторов и пользователей, созданные злоумышленниками.Он также рекомендует им удалить неизвестные правила брандмауэра и политики маршрутизации.

Через Ars Technica клиент Zyxel разместил в Твиттере электронное письмо с раскрытием информации.

«Основываясь на нашем расследовании, мы считаем, что поддержание надлежащей политики безопасности для удаленного доступа в настоящее время является наиболее эффективным способом уменьшения поверхности атаки», — сказал Zyxel.

Рекомендуется отключить службы HTTP и HTTPS со стороны WAN. Для тех, кому необходимо управлять устройствами со стороны WAN, рекомендуется ограничить доступ доверенным исходным интернет-адресом и включить фильтрацию GeoIP.Также подчеркивается, что администраторам необходимо сменить пароли и настроить двухфакторную аутентификацию.

ПОСМОТРЕТЬ:  Программа-вымогатель: теперь банды используют виртуальные машины для маскировки своих атак

Атаки на устройства Zyxel последовали за серией аналогичных атак на ряд устройств VPN, которые создают удобную точку входа в корпоративную сеть чтобы удаленные злоумышленники могли получить постоянный доступ. В апреле Агентство по кибербезопасности и безопасности инфраструктуры США предупредило, что злоумышленники нацелены на уязвимости в Pulse Secure Connect VPN.

ZDNet связался с Zyxel для получения комментариев и обновит эту историю, если получит ответ.

Осторожно! Брандмауэры Zyxel и виртуальные частные сети подвергаются активной кибератаке

Тайваньский производитель сетевого оборудования Zyxel предупреждает клиентов о продолжающейся атаке, нацеленной на «небольшое подмножество» ее продуктов для обеспечения безопасности, таких как брандмауэры и VPN-серверы.

Приписывая атаки «сложному субъекту угрозы», фирма отметила, что атаки нацелены на устройства с удаленным управлением или включенным SSL VPN, а именно в сериях USG/ZyWALL, USG FLEX, ATP и VPN, работающих локально на ZLD. прошивки, подразумевая, что целевые устройства общедоступны через Интернет.

«Злоумышленник пытается получить доступ к устройству через глобальную сеть; в случае успеха он затем обходит аутентификацию и устанавливает туннели SSL VPN с неизвестными учетными записями пользователей, такими как «zyxel_slIvpn», «zyxel_ts» или «zyxel_vpn_test», для управления конфигурацией устройства. », — говорится в сообщении Zyxel, опубликованном в Twitter.

На момент написания статьи неизвестно, используются ли в атаках ранее известные уязвимости в устройствах Zyxel или они используют уязвимость нулевого дня для взлома систем.Также неясны масштабы атаки и количество пострадавших пользователей.

Чтобы уменьшить поверхность атаки, компания рекомендует клиентам отключить службы HTTP/HTTPS в глобальной сети и внедрить список ограниченных гео-IP, чтобы обеспечить удаленный доступ только из надежных мест.

Ранее в этом году компания Zyxel исправила критическую уязвимость в своей прошивке, удалив жестко запрограммированную учетную запись пользователя «zyfwp» (CVE-2020-29583), которая могла быть использована злоумышленником для входа в систему с правами администратора и нарушения конфиденциальности, целостности, и доступность устройства.

Эта разработка связана с тем, что корпоративные виртуальные частные сети и другие сетевые устройства стали главной целью злоумышленников в ходе серии кампаний, направленных на поиск новых путей проникновения в корпоративные сети, что дает злоумышленникам возможность перемещаться по сети в горизонтальном направлении и собирать конфиденциальную информацию для шпионажа. и другие финансовые операции.


Zyxel наконец исправила опасные недостатки VPN и брандмауэра

Производитель сетевого оборудования Zyxel (opens in new tab) исправил некоторые из своих продуктов VPN бизнес-класса (opens in new tab) и брандмауэров (opens in new tab), чтобы предотвратить использование хакерами бреши в системе безопасности, которая может дать им доступ к административным ресурсам. уровень доступа к уязвимым устройствам.

Критическая уязвимость, отслеживаемая как CVE-2022-0342, затрагивает корпоративные VPN и межсетевые экраны из серий USG/Zy Wall, USG Flex, ATP VPN и NSG (Nebula Security Gateway).

Хотя Национальный институт стандартов и технологий (NIST (opens in new tab)) еще не присвоил уязвимости рейтинг безопасности, Zyxel присвоил ей 9,8 баллов из 10 возможных.

В недавнем выпустила бюллетень по безопасности (открывается в новой вкладке), компания предоставила дополнительные сведения о характере уязвимости обхода аутентификации (открывается в новой вкладке), обнаруженной в микропрограммах нескольких ее продуктов, сказав:

«Уязвимость обхода аутентификации, вызванная в программе CGI некоторых версий брандмауэра было обнаружено отсутствие надлежащего механизма контроля доступа.Уязвимость может позволить злоумышленнику обойти аутентификацию и получить административный доступ к устройству».

Уязвимые брандмауэры и продукты VPN

По данным Zyxel, критическая уязвимость присутствует в прошивках серий USG/ZyWALL версий 4.20–4.70, серий USG FLEX версий 4.50–5.20, серий APT версий 4.32–5.20, VPN версии серии 4.30-5.20 и версии серии NSG V1.20-V.133 исправление 4.

Для продуктов серии NSG компания на данный момент выпустила исправление, хотя планирует выпустить стандартное исправление в следующем месяце.

Критическая уязвимость была обнаружена Алессандро Сгреччиа из компании Technical Service Srl и Роберто Гарсия Х. и Виктор Гарсия Р из Innotec Security.

Хотя в настоящее время нет публичных сообщений об использовании этой уязвимости в системе безопасности, Zyxel рекомендует своим клиентам устанавливать последние обновления встроенного ПО «для оптимальной защиты».

Поскольку аппаратные устройства Zyxel обычно используются в средах малого и среднего размера для объединения доступа к сети с компонентами безопасности, защищающими от вредоносных программ (открывается в новой вкладке), фишинга (открывается в новой вкладке) и других вредоносных действий, организациям следует обновить все затронутое оборудование как можно скорее.

Через BleepingComputer (открывается в новой вкладке)

Маршрутизатор безопасности ZyXEL USG20-VPN Брандмауэр VPN с портом SFP

Надежное решение для удаленного доступа для малых предприятий и филиалов
а1_042016 USG20-VPN / USG20W-VPN обеспечивают более безопасные и надежные VPN-подключения

ОБЗОР

Более безопасные и надежные VPN-подключения

Более быстрые процессоры сегодня значительно расширили возможности злоумышленников по расшифровке VPN-туннелей. Устаревших криптографических алгоритмов VPN, таких как Message Digest 5 (MD5) и Secure Hash Algorithm 1 (SHA-1), уже недостаточно для обеспечения безопасной исходящей связи.Благодаря поддержке более продвинутого алгоритма безопасного хеширования 2 (SHA-2) брандмауэр VPN обеспечивает самые безопасные VPN-подключения в своем классе, обеспечивая максимальную безопасность деловых коммуникаций.

Неограниченная бизнес-мобильность

Для поддержки динамичных мобильных бизнес-операций в современных бизнес-средах BYOD (принеси свое устройство) брандмауэры VPN предлагают неограниченную мобильность бизнеса с протоколом туннелирования уровня 2 (L2TP) VPN для мобильных устройств. Брандмауэр VPN поддерживает L2TP VPN на самых разных мобильных интернет-устройствах под управлением мобильных платформ iOS, Android и Windows.

Опыт ZyXEL One Network

Стремясь избавить наших клиентов от повторяющихся операций по развертыванию и управлению сетью, ZyXEL One Network разработан для упрощения настройки, управления и устранения неполадок, позволяя нашим клиентам сосредоточиться на бизнес-приоритетах.

ZyXEL One Network представляет простой в использовании инструмент ZyXEL One Network Utility (ZON Utility) для быстрой настройки сети. ZyXEL Smart Connect позволяет сетевому оборудованию ZyXEL узнавать и распознавать друг друга, а также упрощает обслуживание сети с помощью удаленных функций одним щелчком мыши, таких как сброс к заводским настройкам или отключение питания.ZyXEL One Network по-новому определяет сетевую интеграцию нескольких сетевых продуктов от коммутатора до точки доступа Wi-Fi и до шлюза.

OneSecurity.com

ZyXEL предоставляет регулярные обновления в ответ на последние угрозы безопасности и рекомендации, а также сервисный портал, который предлагает бесплатные информационные ресурсы по сетевой безопасности и ноу-хау, чтобы помочь предприятиям и ИТ-отделам защитить свои сети и операции от угроз безопасности цифровой эпохи. .

Продукты серий ZyXEL USG и ZyWALL интегрированы с OneSecurity.com в графическом пользовательском интерфейсе продукта, поэтому ИТ-персонал может быстро и легко выявить любые новые угрозы и, следовательно, приступить к пошаговым инструкциям и действиям по устранению неполадок с помощью часто задаваемых вопросов, чтобы повысить безопасность сетей и упростить управление продуктами UTM.

ОСНОВНЫЕ ХАРАКТЕРИСТИКИ


ГАЛЕРЕЯ


Брандмауэры Zyxel и VPN стали мишенью кибератаки: клиенты предупреждены

Мир кибербезопасности уступил место новой кибератаке. Zyxel, производитель сетевых устройств из Тайваня, уведомил своих клиентов по электронной почте о том, что его продукты стали мишенью злоумышленников.В центре внимания киберпреступников находятся межсетевые экраны Zyxel и продукты VPN.

Были ли взломаны только межсетевые экраны Zyxel и VPN?

В общедоступном сообщении в Твиттере, содержащем электронное письмо, которое компания разослала своим клиентам, упоминались продукты Zyxel, на которые нацелена эта новая кибератака, продукты с бесплатным онлайн-доступом. Киберпреступники сосредотачиваются на устройствах, которыми можно управлять удаленно или которые можно использовать с SSL VPN и запускать прошивку ZDL. Они относятся к сериям USG/ZyWALL, USG FLEX, ATP и VPN.Серьезность атаки и количество пострадавших пользователей пока не определены.

Источник изображения

Как действуют хакеры

Издание HackerNews упомянуло в сообщении на своем веб-сайте характер атаки, описанной Zyxel. Таким образом, злоумышленники действуют следующим образом:

  • Доступ к устройству осуществляется через глобальную сеть, поэтому они могут пропустить этапы аутентификации;
  • тоннелей SSL VPN создаются и подключаются к анонимным учетным записям пользователей;
  • Примеры туннелей: ‘zyxel_vpn_test’, ‘zyxel_slIvpn’ или ‘zyxel_ts’;
  • Цель: изменение настроек устройства.

Предлагаемые меры защиты

В том же посте в Твиттере упоминается, какие меры тем временем должны принять клиенты компании. Таким образом, отключение служб HTTPS/HTTP из WAN необходимо, если только WAN не требуется для управления устройствами. Если последнее является обязательным, клиенты могут выполнить 2 шага: следует учитывать только надежные IP-адреса, и этим можно управлять, устанавливая определенные правила и применяя контроль политик при подключении вместе с фильтрацией GeoIP, которая обеспечивает доступ из авторитетных источников.

Ожидается или нет?

Злоумышленники должны использовать прошлую уязвимость системы, связанную с неисправленными устройствами, или использовать так называемую атаку нулевого дня, нацеленную на неизвестные уязвимости. Вполне возможно, что жестко запрограммированный бэкдор уровня администратора zyfwp, о котором ZDNet сообщил еще в январе и который был обнаружен голландской командой безопасности Eye Control, создал прецедент. Это также можно найти в брандмауэрах Zyxel и VPN, что дает хакерам корневой доступ. Тогда Zyxel исправила уязвимость. Однако методы, используемые киберпреступниками, либо работающие со старыми недостатками системы, либо начиная все заново с нуля, пока не подтверждены.

В отчете также упоминается, что другие компании, использующие корпоративные брандмауэры и VPN, в прошлом становились жертвами такой атаки. Среди них можно упомянуть следующие: Sophos, Sonicwall, Pulse Secure, Palo Alto Network, Citrix, Cisco и Fortinex.

О компании

Zyxel имеет штаб-квартиру в Синьчжу, Тайвань, и занимается производством сетевых устройств, таких как маршрутизаторы, коммутаторы, VPN, брандмауэры и многое другое. Она начала свою деятельность еще в 1992 году, когда разработала первый в мире модем 3-в-1 (данные, факс, голос).

TheGreenBow сотрудничает с Zyxel для VPN-клиента macOS

ПАРИЖ — (BUSINESS WIRE) — Французская компания по разработке программного обеспечения для кибербезопасности TheGreenBow и ведущая тайваньская компания Zyxel, занимающаяся безопасными сетями, расширяют свое сотрудничество с помощью VPN-клиента для macOS.

Zyxel Networks — лидер в области предоставления безопасных, облачных и ИИ-решений для бизнеса и домашних сетей, получивший мировое признание за свои продукты для обеспечения безопасности.

Zyxel является давним партнером TheGreenBow : первый контракт был подписан с Zyxel в 2007 году на добавление клиента Windows VPN к линейке продуктов. «Это партнерство свидетельствует о возобновлении доверия давнего партнера. Оно доказывает нашу способность проектировать и разрабатывать программное обеспечение для индивидуального дизайна и укрепляет нас в то время, когда спрос на VPN-клиенты macOS сильно растет», — говорит Матье. Исайя, генеральный директор TheGreenBow.

TheGreenBow адаптировал свой VPN-клиент для macOS, разработав функции, специально запрошенные Zyxel. Эти функции улучшили решения безопасности .

Zyxel, со своей стороны, добавляет в VPN-клиент TheGreenBow для macOS, дополняющий комплексные решения по обеспечению безопасности . В начале этого плодотворного сотрудничества компания Zyxel была очарована самой высокой безопасностью продуктов TheGreenBow VPN на рынке и выбрала TheGreenBow Windows IPSec VPN Client в качестве первого выбора. Благодаря ноу-хау TheGreenBow в технологиях VPN, Zyxel продает клиент IPSec VPN под названием SecuExtender IPSec VPN Client. Эта услуга в основном предназначена для малого и среднего бизнеса по всему миру, чтобы предложить подлинную защиту для растущих потребностей все более мобильной рабочей силы и расширения распределенных рабочих мест.

Расширение партнерства с Zyxel является частью амбициозной политики партнерства ODM (Original Design Manufacturer) TheGreenBow, которая объявит о других партнерствах в ближайшие недели.

О Зеленом Луке
TheGreenBow — французская компания по разработке программного обеспечения для кибербезопасности, которая с 1998 года предоставляет надежные решения для VPN по всему миру. Уникальный опыт компании основан на создании удобных инструментов шифрования, сочетающих высочайший уровень безопасности и непревзойденную простоту использования.
Благодаря более чем двум миллионам лицензий, распределенных по всему миру, и более чем 20-летнему опыту создания криптографического программного обеспечения для защиты конфиденциальности на рынке B2B и получению сертификата Common Criteria EAL3+, TheGreenBow является ведущим поставщиком надежных и масштабируемых решений безопасности, подходящих для малых и средних предприятий, крупных учетные записи, критически важные инфраструктуры, правительства и гражданские администрации.
TheGreenBow является одним из основателей Hexatrust и членом конкурентного кластера «Pôle Systematic».

.

Добавить комментарий

Ваш адрес email не будет опубликован.