EnGenius ESG610: un gateway di sicurezza ricco di funzionalità per le aziende più esigenti

EnGenius ESG610 SD-WAN è un prodotto atipico rispetto a quelli che tradizionalmente testiamo qui in Hardware Upgrade. Indirizzato alle aziende, è un gateway con tecnologia SD-WAN (Software-defined Wide Area Network), la quale sta diventando sempre più necessaria per la sicurezza e l'affidabilità della rete aziendale, considerando l'infrastruttura data-driven delle reti private basate su cloud. Questo dispositivo offre funzionalità come Auto-VPN e NAT Traversal, che ne fanno la scelta ideale per le aziende che cercano una soluzione di rete sicura ed efficiente come vedremo nel corso dell'articolo.

Il dispositivo abilita soluzioni per la scalabilità e la flessibilità che possono rivelarsi determinanti per l'azienda. Può consentire, infatti, di implementare rapidamente e facilmente più filiali, includendo tutte le regole firewall e le policy di rete necessarie. Con la dislocazione dei lavoratori lontana dalla sede principale che comincia a diventare un dato di fatto, una soluzione del genere può rappresentare l'ideale grazie al suo supporto via cloud, che permette di regolare la rete e la VPN da qualsiasi postazione connessa a internet, senza compromessi in termini di efficienza e sicurezza.

Gateway di Sicurezza: perché sono indispensabili per le aziende

Normalmente, i gateway svolgono alcune operazioni che spesso sono demandate ai router, ovvero traducono tutto il traffico di rete da e verso internet, espletando la funzione di Network Address Translation (NAT). Il NAT è implementato dai router per consentire a più dispositivi su una rete locale di condividere una singola connessione Internet con un indirizzo IP pubblico. Dopo la traduzione, il gateway, così come il router, lascia passare solo il traffico consentito, mentre altro verrà interrotto. Inoltre, entrambi eseguono servizi come DNS e DHCP.

In alcuni casi, l'azienda è sostanzialmente obbligata a integrare un gateway per poterne sfruttare le caratteristiche di sicurezza peculiari come le regole avanzate del firewall o l'ispezione approfondita che viene effettuata sui pacchetti di dati (DPI). Il gateway può anche essere utilizzato in modo "trasparente", ovvero nella modalità pass-through. La VPN gestita tramite il gateway, allo stesso tempo, mette a disposizione ulteriori interessanti opportunità come l'aggiramento del NAT per poter raggiungere certe risorse interne senza dover configurare il port forwarding. Per risorse interne si intendono servizi di posta elettronica, trasferimento di file, VoIP e altri.

L'impostazione di una rete VPN con EnGenius SD-WAN è semplice e richiede solo pochi clic, anche per le reti NAT. Troviamo strumenti per automatizzare e semplificare la configurazione per un'implementazione più rapida e un maggiore uptime, insieme a funzioni di auto-healing, dato che il sistema è in grado regolare automaticamente le impostazioni VPN quando l'IP WAN cambia.

Attraverso strumenti di facile consultazione e immediati, EnGenius SD-WAN fornisce agli amministratori di rete una panoramica completa dello stato di tutte le connessioni VPN, delle prestazioni WAN e delle tendenze della rete. Questa visibilità facilita le regolazioni o la risoluzione dei problemi, anche perché è possibile monitorare le prestazioni in tempo reale e lo stato dei tunnel.

ESG610 mette a disposizione 4 porte Multi-Gigabit, di cui una PoE+ (PowerOverEthernet, ovvero alimentazione elettrica tramite la porta Ethernet) aderente alla specifica 802.3af/at. Le porte sono di tipo 2,5 Gbit/s, mentre la Console Port che vedete sulla sinistra è di tipo 1 x 10/100/1000.

Fra le funzioni più interessanti messe a disposizione troviamo le opzioni di bilanciamento del carico e failover dual-wan. Tramite le due porte WAN messe a disposizione, infatti, l'amministratore di rete può bilanciare le risorse provenienti da due diverse connessioni a internet, in modo da offrire le migliori performance in qualsiasi momento. La failover dual-wan, invece, permette di connettere un modem esterno, in modo che possa fornire connessione a internet quando le risorse principali sono irraggiungibili, in modo da offrire un servizio senza interruzioni. Ciascuna delle due porte WAN supporta connessioni DHCP, PPPoE e IP statico. È anche possibile scegliere il Server DNS, impostare un ID VLAN e limitare la larghezza di banda.

Per quanto riguarda il bilanciamento del carico, possiamo determinare quale debba essere l'interfaccia WAN primaria. All'interno della policy di failover, quando la WAN primaria ritorna a funzionare, possiamo stabilire se tornare o meno da essa. EnGenius ESG510 è comunque in grado di passare da una WAN all'altra in modo molto rapido quando impostato in modalità Failover.

Gestione e dispositivi unificati con EnGenius Cloud, manutenzione del sistema touchless e aggiornamenti automatici, gestione in movimento con Cloud To-Go e opzioni di routing e passthrough multimodale sono altre possibilità che gli amministratori di rete troveranno molto comode per aumentare le prestazioni e l'efficienza della rete aziendale.

È evidente che la semplicità d'uso è un aspetto molto importante per EnGenius, che offre strumenti come interfaccia web e app su smartphone per poter non solo abilitare la rete nel minor tempo possibile ma anche per poterne tenere traccia con assoluta immediatezza. Il gateway che stiamo vedendo in questo articolo, del resto, non è l'unica opzione messa a disposizione dall'azienda, visto che dallo stesso hub di controllo si possono gestire anche gli switch e gli access point forniti dalla stessa EnGenius, il tutto tramite la piattaforma di gestione via cloud. Ne abbiamo parlato in questo articolo.

Cosa si intende per SD-WAN

Cominciamo da SD-WAN. Con questa definizione, si intende un sistema in cui tutto sia facilmente configurabile o, addirittura, che si configuri automaticamente. Inoltre, deve esserci agilità, dove ogni nuovo sito di lavoro, o ufficio esterno, possa essere integrato all'organizzazione senza complicazioni. Sicurezza e visibilità sono, poi, altrettanto importanti: nel primo caso si punta a raggiungere lo stesso livello di sicurezza a prescindere dalla posizione fisica del sito di lavoro. Con visibilità, invece, si intende che qualsiasi connessione, e il traffico che genera, deve essere facilmente monitorabile.

VPN abilitabile con un singolo clic e ridondanza di rete sono altri due concetti cruciali all'interno del mondo SD-WAN. La configurazione del tunnel VPN è solitamente complicata e gli amministratori devono configurare tutti i collegamenti VPN uno per uno, mentre con un dispositivo come EnGenius ESG610 non solo si possono creare reti con pochi clic ma anche avere un'elevata visibilità dello stato di ogni collegamento VPN.

Con "Redundant WAN", invece, ci si riferisce a una configurazione di rete che include più di una connessione Wide Area Network (WAN) per garantire la disponibilità continua e la ridondanza. Una WAN è una rete che collega dispositivi su aree geografiche estese, come uffici distanti o sedi aziendali separate. La ridondanza è importante per garantire che, se una connessione WAN dovesse fallire per qualsiasi motivo, ci sia un percorso alternativo disponibile per mantenere la connettività. Questo può essere essenziale per le aziende che dipendono pesantemente dalla connettività continua per le loro operazioni quotidiane.

EnGenius ESG610: il gateway di rete che si controlla dal Cloud

Una sfida di non poco conto è rendere facilmente configurabili sia la VPN che il comportamento delle connessioni WAN. Tramite la piattaforma cloud.engenius.ai è possibile farlo, insieme alla configurazione delle impostazioni di sicurezza della VPN, la configurazione dinamica degli IP remoti e la gestione incrociata di router NAT tra i gateway VPN tramite l'abilitazione della funzione di NAT trasversal. Inoltre, si può passare a una seconda WAN per la VPN nel momento in cui la prima dovesse fallire per qualche motivo. Queste sono solamente alcuni esempi delle possibilità messe a disposizione dalla piattaforma, la quale comprende una moltitudine di altre opzioni.

Le SD-WAN, inoltre, rappresentano un'alternativa ai servizi MPLS forniti dagli ISP per connettere le filiali alla sede centrale in modo sicuro. La rete MPLS ha solitamente una latenza inferiore e un'elevata disponibilità integrata, ma è molto più costosa. Al contrario, SD-WAN viene messa a disposizione dalle aziende in maniera più immediata con i prodotti come quelli di EnGenius ed è in grado di instradare i pacchetti verso il collegamento WAN più appropriato. Tramite questo strumento, ad esempio, l'amministratore di rete è in grado di gestire il traffico VoIP tramite la rete MPLS, l'accesso al database aziendale tramite la VPN e indirizzare il traffico secondario verso una WAN più lenta per priotizzare le risorse più indispensabili.

Tutte le configurazioni automatiche vengono gestite tramite il cloud. Le porte WAN comunicano al cloud il loro IP e quest'ultimo tiene traccia di tutte le registrazioni di IP. Nel caso che una VPN sia configurata, è proprio il cloud che assegna la VPN su un IP WAN, così come l'IP LAN di quest'ultima. Inoltre la configurazione via cloud semplifica quelle procedure di impostazione in cui il gateway è connesso a un altro dispositivo NAT. Aggiornando opportunamente l'IP della porta WAN tramite tecnologia di perforazione, in questi casi EnGenius Cloud si assicura che tutti gli IP siano configurati in modo tale da far funzionare la rete (Auto NAT Traversal).

Il cloud mette a disposizione anche la tecnologia cosiddetta Self-Healing VPN Topology. Questa entra in funzione quando l'ISP cambia l'IP della WAN. In questo caso, EnGenius Cloud riceve una notifica in modo da avvisare tutti i peer connessi alla VPN e modificare di conseguenza l'IP WAN.

Per la messa a punto del gateway e l'aggiunta alla rete basta utilizzare la piattaforma cloud all'indirizzo cloud.engenius.ai e inserire il codice seriale che si trova su una delle facce della scocca, oppure ricorrere all'app Cloud-to-go e utilizzare il lettore di codici QR. Una volta dentro la piattaforma cloud, da questa l'amministratore di rete può regolare diversi tipi di impostazioni, monitorare il traffico e far dialogare il gateway con gli altri accessi di rete EnGenius. C'è anche l'interfaccia web locale 192.168.66.1, che ci fornisce informazioni sullo stato della connessione a internet e a EnGenius Cloud, oltre che della rete a cui il dispositivo è stato assegnato.

Da quest'ultima risorsa possiamo configurare il tipo di connessione WAN per le due porte, ovvero se regolata tramite IP statico o PPPoE, mentre di default abbiamo l'impostazione DHCP. Sempre da questa schermata è possibile configurare un Proxy o ricorrere all'aggiornamento del firmware (che può anche avvenire automaticamente tramite il cloud). Inoltre, mentre il dispositivo è pensato soprattutto per essere posizionato su una superficie piana, c'è modo di attaccarlo a muro grazie ai quattro fori che si trovano sulla superficie inferiore e alle viti presenti nella confezione.

Il software mette a disposizione le opzioni per poter configurare tantissime diverse funzioni: dalla ricezione di notifiche sulla disponibilità di aggiornamenti al firmware fino alla disabilitazione dell'opzione di NAT Traversal, così come la configurazione delle regole del firewall.

EnGenius ESG610: sotto la scocca

Quanto alla dotazione hardware, ESG610 si basa un processore quad-core da 2,2 GHz, modello Intel Atom C3558 con tecnologia Intel QAT, per accelerare le operazioni di crittografia e compressione. Delle due porte LAN, inoltre, una è di tipo PoE+, la quale può essere determinante per l'azienda in modo che si eviti l'installazione di cavi aggiuntivi, costosi e ingombranti.

EnGenius ha già sul mercato un gateway con caratteristiche simili, l'ESG510, ma il nuovo 610 mette a disposizione una CPU più veloce e un maggiore quantitativo di RAM e di memoria di archiviazione, rispettivamente 8 e 16 GB. Questo si traduce in maggiori performance in termini di throughput del firewall (6,7 Gbps), della VPN Site-to-Site (1,7 Gbps), di tunnel VPN contemporaneamente attivi (500) e di VLAN gestibili nello stesso momento (256).

Per aprire il case di EnGenius ESG610 basta semplicemente rimuovere le due viti che si trovano nel pannello sinistro e fare altrettanto per quanto riguarda la parte destra. Dopo si fa scivolare la superficie metallica per esporre il PCB con tutte le sue componenti principali. La costruzione del dispositivo è semplicissima e non c'è nessun sigillo di garanzia da infrangere. Troviamo un singolo heatsink a sormontare il processore Intel al cuore del dispositivo.

Al fianco del processore, sulla sinistra possiamo scorgere la memoria di archiviazione di tipo eMMC, così come la RAM messa a disposizione da Samsung (subito sopra al processore) e quattro chip di controllo Intel S2353L32. Non c'è alcun chip Wi-Fi, perché EnGenius ha deciso di non dotare di nessuna capacità di connessione wireless questo gateway, suggerendo agli amministratori di rete di affiancarlo con uno dei suoi access point.

Il dispositivo mantiene temperature quasi sempre molto contenute durante ogni fase di esercizio, ma non si può dire che la ventola integrata sia completamente silenziosa (per quanto piccola).

In definitiva, il dispositivo che abbiamo tra le mani è indirizzato alle aziende che necessitano di risorse di rete facilmente configurabili e che siano in grado di mettere a disposizione alte prestazioni, nel rispetto della definizione di SD-WAN. Utilizzando dispositivi dello stesso brand si possono, infatti, creare delle sinergie che innescano facilitazioni nella configurazione, soprattutto se si fa riferimento a un software che prevede una semplificazione nel momento in cui si usano dispositivi tutti dello stesso brand come quello di EnGenius. Inoltre, come abbiamo visto, con il sistema EnGenius è possibile gestire gateway, switch e access point da qualsiasi postazione connessa a internet tramite il cloud. Un gateway SD-WAN come EnGenius ESG610 risulta così più facile da gestire ma senza scendere a patti con le opportunità di configurazione e la flessibilità.

Per riassumere, il gateway supporta connessioni dual-WAN (failover e bilanciamento del carico) tramite le porte Ethernet che mette a disposizione, con anche la possibilità di utilizzare un dongle 3G/4G/5G per un ulteriore failover tramite lo smartphone. Si tratta, pertanto, di un aggiunta interessante rispetto a un ecosistema già completo che ha recentemente visto l'introduzione sul mercato dei nuovi access point ECW230S ed ECW220S. EnGenius ESG510, inoltre, offre un firewall ad alto rendimento e VPN veloce e facile da configurare. Abbimo visto come la Self-Healing VPN garantisca essenzialmente che più gateway della stessa organizzazione comunichino, trasmettendo informazioni sulla VPN tra loro in caso di modifica dell'IP WAN.