ทดลองใช้งาน Zyxel USG Flex 100 Unified Security Gateway Firewall

ทาง Zyxel Thailand ได้ส่ง Zyxel USG Flex 100 มาให้ทางร้านได้ลองใช้งานครับ เป็น Next Gen Firewall Gateway ที่เหมาะสำหรับ Small Office รวมถึงธุรกิจ SMB ที่ต้องการ Security ในการใช้งาน Internet ภายในสำนักงาน และ การเชื่อมต่อแบบ VPN ระหว่างสาขา และทำ Remote VPN เข้ามาใน Office

ในปัจจุบัน เรื่องความปลอดภัยในระบบเครือข่ายในสำนักงาน ผมว่าสำคัญมากครับ ที่ผ่านๆมา เรามักจะได้ยินข่าวเรื่อง Malware, Virus ข้อมูลที่เราเก็บไว้โดนเข้ารหัส เสียหาย โดนโจมตี

การใช้พวก Hardware Firewall Gateway ถ้าเทียบแล้วก็เหมือนเราจ้าง รปภ. มาดูแลความปลอดภัยที่ประตูเข้าออกหน้าหมู่บ้านนั้นล่ะครับ คอยตรวจสอบรถที่เข้าออก ความเข้มงวดก็ขึ้นอยู่กับที่เรากำหนดไว้ User ไม่สามารถเปลี่ยนกฏกันเองได้ ใครที่พยายามจะละเมิดความปลอดภัยที่เรากำหนดไว้ ก็จะเก็บข้อมูลเพื่อให้รู้ว่าเป็นใคร

ส่วนพวก Firewall/Anti-Virus ที่เป็น Software ติดตั้งบนเครื่อง ก็เปรียบเหมือนระบบตรวจจับความปลอดภัยหน้าบ้านและในบ้านเราเอง แต่เราไม่รู้หรอกครับว่าที่หน้าหมู่บ้านเกิดอะไรขึ้น

ทีนี้พวก Anti Virus บางที User มักชอบไป Disable มัน เวลาไป Download โปรแกรม crack มาใช้งาน หรือเข้า website ที่มันแปลกๆ แล้ว Anti Virus Detect เจอ Alert ลบไฟล์ไปซะงั้น แต่ก็ยังพยายามใช้โปรแกรมนั้นๆให้ได้ พอมีปัญหาเกิดขึ้น ก็แก้ไขยากแล้ว

ZyWALL USG FLEX เป็นอุปกรณ์ Unified Security Gateway Firewall มี Feature ที่ช่วยตรวจจับข้อมูลเข้าออก การใช้งาน Internet ภายในเครือข่าย เช่น App Patrol, Content Filter, Anti-Malware, IDP, Email Security, SSL Inspection, IP Exception

รองรับการเชื่อมต่อ VPN แบบ IPsec VPN, SSL VPN และ L2TP VPN, เชื่อมต่อเครือข่ายระหว่างสาขาแบบ Site To Site และแบบ Client To Site ที่อนุญาติให้ทาง Users เข้ามาในวง Network ใช้ Resouce ต่างๆภายในสำนักงาน

Performance ของแต่ละรุ่นละครับ อย่างรุ่น USG Flex 100 ที่ทางผมได้ลองใช้ รองรับ Throughput ได้ถึง 760Mbps

ทางลูกค้าเคยสอบถามเรื่อง Throughput พวกอุปกรณ์ Firewall Gateway ว่ามีถึง 1Gbps มั้ย?

พวก Firewall มันเหมือนด่านตรวจละครับ วิ่งๆมาเจอด่าน เจ้าหน้าที่ก็ต้องตรวจภายในรถ สิ่งผิดปกติ หน้าตาคนขับ คนนั่ง และ เช่นเดียวกันกับ Firewall ถ้าเป็นรุ่น Port Lan Gigabit ความเร็วสูงสุดที่ทำได้คือ 1Gbps แต่มาพอเจอ Content Filter/ตรวจสอบ Packet ความเร็วต้องลดลงแน่นอน ยังไงก็ได้ไม่ถึง 1Gbps ครับ แต่ปกติถ้า Users ไม่เยอะมากๆ ใช้กันไม่เกิน 1Gbps หรอกครับ เว้นแต่ Load Bittorrent ใช้พวก Protocol P2P กัน

Spec ของ Zyxel USG Flex แต่ละรุ่นครับ

หน้าตาอุปกรณ์ Zyxel USG Flex

อุปกรณ์เป็นแบบ Desktop ถ้าไว้ในตู้ Rack ต้องวางบนถาดครับ ด้านหน้ามี LED Status ปุ่ม Reset และ USB Port V3.0 สำหรับ เก็บ Log หรือต่อเข้ากับ 4G USB Dongle เพื่อทำเป็น WAN Failover

ด้านหลัง Port Lan RJ45 ความเร็ว 1 Gigabit 5 Port แยกเป็น Port Wan 1 และ Port Lan อีก 4, Slot SFP สำหรับใส่ SFP Module และ Port Console 1 Port ใช้ไฟ Adapter 12VDC กำลังไฟ 12.5W

การ Config และใช้งาน

ใช้แรกๆ จะงงๆหน่อย เพราะ Feature อัดมาเยอะมาก แต่ทาง Zyxel มีทีม Support บริการหลังขายครับ

ทางร้านเองก็ลองทำ Solution และเขียนคู่มือที่ใช้งานกันบ่อยๆในสำนักงานครับ

คู่มือการ Config VLAN Zyxel USG Flex พร้อม Policy แต่ละ VLAN

ต่อ Internet เข้ากับ Port P2 (WAN) และ ต่อสาย Lan จาก PC เข้า Port P3, Default IP:192.168.1.1 User/Password :admin/1234 จะมี Wizard เบื้องต้นให้ Config ครับ ผมเชื่อมต่อ Internet แบบ PPPoE

Dashboard

แสดงรายละเอียด Sessions, IP ที่แจก

หน้านี้ไว้ดูว่าเราโดนโจมตีอะไรไป มีการพยายามเข้า Web ที่ Block รวมถึง Application ที่ใช้กันมากๆครับ

License ต่างๆ Activated เรียบร้อย เวลาซื้อจะ Bundle ปีแรกมาครับ

อุปกรณ์ Firewall มันแพงตรง License นี้ละครับ เพราะต้องมีการ Update พวก Signature เพื่อให้ Firewall มันรู้จักหน้าตาของพวก Virus และ Service ต่างๆ คือหน้าตามันเปลี่ยนแปลงกันได้ตลอด และ ยังมีหน้าใหม่ๆโผล่กันมาทุกวัน จะมีหน่วยงานที่คอยค้นคว้าหามา Update เรื่อยๆครับ

Set Mail Server เพื่อให้มี Mail Log และ Mail Alert ส่ง Report หาเราได้ครับ ตัวอย่างผมใช้ของ gmail

เมล์ที่ส่งมาในแต่ละวันจะมีรายละเอียดสถิติการใช้งานต่างๆ เช่น Application, เครื่องไหนใช้ Bandwidth เยอะ, เข้า Website ไหนกันบ่อยๆ

มีคนพยายามเข้า Web ที่มีปัญหา!!

พวก Feature ต่างๆที่ต้องมีในอุปกรณ์ Router ก็ครบครับ ไม่ว่าจะเป็น Static/Dynamic Routing, Dynamic DNS, NAT, Port Forward, Remote Management เช่น SSH, Telnet, และรองรับ IPv6 ครับ

รองรับการทำ Bandwidth Management จำกัด Bandwidth ให้แต่ละ Users และจัดการพวก DSCP Marking ได้ด้วยครับ แต่ใน Zyxel USG Flex จะไม่รองรับการจัดการ Bandwidth ในแต่ละ Service นะครับ

Port USB รองรับพวก USB Storage สำหรับเก็บ System Log และ Traffic Log ได้ครับ เพราะในตัว Hardware ความจุมันน้อย เก็บได้ไม่นาน

จะใช้ร่วมกับ 4G USB Dongle เพื่อทำเป็น Link Failover ก็ได้ครับ

ส่ง System / Traffic Log ไปยัง NAS หรือ Log Software ต่างๆก็ได้ครับ โดยใช้ Protocol Syslog ทางผมทำ App เล็กๆไว้เก็บ Log สำหรับ Monitor ระบบ ก็จะเห็นชัดเจนเลยว่า มีใครพยายามเข้า Web ที่ Block หรือ มีอะไรโจมตีเราเข้ามา

ลองใช้งาน VPN ครับ

Zyxel USG Flex รองรับการทำ VPN แบบ Site To Site และ Client To Site และรองรับ IPSecs VPN, L2TP VPN รวมถึง SSL VPN

การ Config ก็ง่ายครับ มี Wizard ให้ใช้

ตัวอย่างผมสร้าง VPN แบบ L2TP ให้ Windows 10 ทำการ Dial-Up เข้ามาใช้ Resource ต่างๆในสำนักงานได้ครับ

สร้าง Account ให้ User Dial-Up VPN เข้ามา

ใช้ Tool ของ Windows 10 ทำการ Connect L2TP VPN

ลองโยนไฟล์ไป Server ที่สำนักงาน ได้ความเร็ว 96Mbps (เอา MBps มาคูณ 8 เพื่อให้ได้ Mbps) ถือว่าเร็วมากครับ

จะใช้ Application ZyWall IPSec VPN Client ติดตั้งบน PC เพื่อเชื่อมต่อ VPN  มี Wizard ให้ Import ค่า Config ต่างๆได้เลย ง่ายดีครับ

ทีนี้ลองใช้งานส่วน Security Service ครับ เป็นจุดเด่นของพวกอุปกรณ์ Firewall Gateway

App Patrol

เป็นการ Block พวก Service ต่างๆ เช่นพวก Game Online, Video Streaming, NetFlix, Youtube, P2P, Bittorrent, Instant Message, Line มีมากกว่าพัน Service ให้เลือกครับ หรือจะไม่ Block ก็ได้ครับ แต่มีการเก็บ Log เอาไว้

ลอง Block Bittorent นิ่งสนิท โหลดไม่ได้เลย

การ Block Youtube เข้า Web ได้ครับ แต่เล่น Video ไม่ได้

มี Log บอกว่าใครที่พยายามจะใช้ Service ที่เรา Block ไว้

หรือ ถ้าจะไม่ Block ก็ได้ครับ แต่จะมี Summary บอกครับ ว่า App ไหน มีการใช้กันเยอะใน Office เรา

Content Filter

เป็นการ Block Web ครับ จะแบ่งเป็น Categories ไว้ เช่น Facebook ก็จะอยู่ในหมวด Social หรือพวก Web โป๊ ก็จะเป็นหมวด Pornography, Web พนัน Online

ถ้าไม่แน่ใจ จะมี Tool ให้ตรวจสอบครับว่า Web ที่เราระบุ อยู่ในหมวดไหน

ถ้าไม่ต้องการ Block แต่ให้เก็บ Log ไว้เฉยๆก็ได้ครับ

หรือจะระบุไปตรงๆเลยก็ได้ว่า Web ไหนให้เข้าได้ Web ไหน ไม่ให้เข้า

ถ้ามีใครที่พยายามเข้า Web ที่ถูก Block ไว้ ให้ Re-Direct ไปที่ Web ไหน ข้อความ Warning แก้ไขได้ครับ

Anti-Malware

อันนี้สำคัญเลยครับ พวก Malware ส่วนใหญ่มันก็มาทาง Internet กัน เช่น ส่งมาทาง Mail บางทีเขาหลีกเลี่ยงการ Scan โดยการ Zip File แล้วเข้ารหัสมา ใช้ Subject หลอกล่อให้เราเปปิดไฟล์

อย่างเมล์นี้ครับ มีไฟล์ Zip แนบมาด้วย และยังมีการใส่ Password แต่ดันบอก Password ใน Mail พวกนี้เราต้องสงสัยไว้ก่อน

ไม่เปิดครับ ถ้าเป็น PO ใบสั่งซื้อจริงๆ เดี๋ยวเขาติดต่อมาอีกรอบเอง

ป้องกันง่ายๆ แค่ Enable ครับ ถ้าเจอจะให้ Firewall ทำลายทิ้ง ถ้าเป็น พวก Compress FIle เช่นไฟล์ Zip หรือ RAR ก็จะ De-Compress ก่อน แล้ว Scan และ เลือก Option ได้ว่า ถ้า De-Compress ไม่ได้ เช่น เข้ารหัสมา ก็ทำลายทิ้งไปเลย

ใน Express Mode จะส่งไฟล์ที่น่าสงสัยไป Scan ที่ Zyxel Security Cloud Threat Intelligence ส่วน Stream Mode จะ Scan ที่ตัวอุปกรณ์

ถ้าเป็น File ที่เราต้องส่ง/รับ แล้วเราจำเป็นต้องเข้าหัสจริงๆ ใช้ค่า MD5 Hash มา Bypass ให้สามารถ Download/Upload ไฟล์นั้นๆได้ครับ

Reputation Filter

เป็นการ Block พวก web ที่คาดว่าเป็นอันตรายกับเครือข่ายเราครับ เช่นพวก Web ที่ถูกแจ้งว่าเป็น Phishing, Spyware Adware Keyloggers, Malicious Downloads จะต่างจาก Content Filter อันนั้นเป็นพวก Web ทั่วๆไป ไม่อันตราย แต่อยาก Block

IDP

Intrusion Detection System เป็นการตรวจจับการบุกรุก เช่นพวก System Scaning, Denial of Service Attcaks (DoS) หรือการพยายามเจาะเข้าระบบ Penetration Attacks พวกนี้มันหมายถึง เราเป็นเป้าหมายการโจมตีละครับ

Email Security

Block พวก Mail Spam และ Phishing Mail ไม่แน่ใจว่าใช้กับพวก Service Mail ที่เข้ารหัส SSL/TLS ได้หรือเปล่านะครับ ลอง enable แล้ว ยังไม่เห็นผลอะไร

ใน Zyxel USG เราตั้ง Schedule เพื่อ ปิด/เปิด Policy ตามช่วงเวลาที่กำหนดได้ครับ เช่น กำหนดเล่น Facebook ดู Youtube ได้ หลังเลิกงาน

พวก Feature หลักๆก็ประมาณนี้ครับ

ยังมีเรื่องการกำหนด Policy ต่างๆได้อีก เช่น VPN เข้ามาให้ User ออก Internetผ่าน Firewall มั้ย User สร้าง Policy แต่ละ IP ได้ การ Managed Access Point เพราะใน Zyxel USG มี AP Controler มาให้ด้วยครับ การทำ Authentcate เพื่อเข้าใช้งาน Internet ไม่ว่าเป็น Account หรือ Facebook Check-In ถ้ามีโอกาศผมขอทำเป็นอีกหัวข้อนึงนะครับ

เรื่อง Security ในสำนักงานขนาดเล็ก อันนี้ผมขอแนะนำเลยครับ อันดับแรก เราควรจะกำหนดนโยบายในสำนักงานเราก่อน ถ้าเจอเมล์ที่ attatch ไฟล์แปลกๆ อย่าเปิด และ พวก Web ที่ไม่ปลอดภัย อย่าเข้า ควรจะติดตั้ง Anti-Virus ทุกๆเครื่องที่มี เปรียบเหมือนติดตั้งระบบกันขโมยในบ้าน เดี๋ยวนี้ราคา License ก็ไม่แพงครับ และพวก อุปกรณ์ Network ที่เราใช้ ก็พยายาม Update Firmware กันบ่อยๆครับ ตั้ง Auto Update เลยก็ดี

Firewall Gateway จะเป็นการเพิ่มการป้องกันอีกระดับนึงขึ้นมา คอยตรวจสอบและป้องกันการใช้งาน Internet ของ Users ถ้าพบความผิดปกติ หรือ พยายามละเมิดนโยบาย เราก็สามารถแนะนำทาง User ได้ครับ เพราะบ่อยครั้ง User เขาไม่รู้หรอกครับ ว่าความปลอดภัยบน Internet คืออะไร Web ที่เขาเข้ามันปลอดภัยแค่ไหน