2009-2014

WiFi MAG

г. Сергиев Посад
улица Фабричная, дом 7, стр. 2

sales@wifimag.ru
8 (495) 226-37-87
8 (800) 250-37-87
Опережая скорость, сокращая расстояния         Читайте отзывы покупателей и оценивайте качество магазина на Яндекс.Маркете
Заказать звонок
Время работы:
Пн-Пт 9:00 - 19:00
Сб-Вс 9:00 - 17:30
Самовывоз:
Пн-Вс 7:00 - 21:00
0
Сравнить товары
0
Товары в корзине
0
Сравнить товары
0
Товары в корзине
0
Сравнить товары
0
Товары в корзине
Опережая скорость, сокращая расстояния
8 (495) 226-37-87
 8 (800) 250-37-87
0
Сравнить товары
0
Товары в корзине
WiFiMag
0
Сравнить товары
0
Товары в корзине

ОБЗОР-ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ ПО НАСТРОЙКЕ СЕТИ ПРЕДПРИЯТИЯ НА ОСНОВЕ ОБОРУДОВАНИЯ UBIQUITI NETWORKS UNIFI®. Часть 8. Настройка системы предотвращения вторжений IDS/IPS.

20.04.2020

Сетевая платформа UniFi позволяет обнаруживать нежелательную и вредоносную активность с помощью системы IDS/IPS. Работа системы осуществляется на базе маршрутизаторов серии USG или Dream Machine. Вредоносная сетевая активность выявляется с помощью обновляемой базы заранее известных сигнатур. Работа системы предотвращения вторжений требует значительных ресурсов маршрутизатора и поэтому накладывает на производительность сети ряд ограничений (затрагивается внешний трафик и передача данных между VLAN):

  • Для маршрутизатора USG (3-х портового) — 85 Мбит/с.
  • Для USG-Pro — 250 Мбит/с.
  • Для USG-XG — 1 Гбит/с.
  • Для UniFi Dream Machine — 850 Мбит/с.
  • Для UniFi Dream Machine Pro — 3.5 Гбит/с.


Данные по производительности сети являются ориентировочными. Применение других настроек, например, Smart Queues или DPI также может накладывать дополнительные ограничения на скорость работы сети.


Для активации режима системы предотвращения вторжений необходимо в разделе «Threat Management» включить соответствующий переключатель. При этом работа системы не совместима с настройкой «Hardware offload». Модуль может работать в двух режимах. Система обнаружения вторжений (IDS) будет только обнаруживать нежелательную сетевую активность, и выдавать предупреждения. Система предотвращения вторжений (IPS) будет также блокировать нежелательные сетевые соединения.




Рисунок 1. Включение режима IDS/IPS.



Контроллер UniFi помимо классического интерфейса имеет «новый», переключиться на который можно в разделе настроек в пункте «Try New Settings». В дополнение к настройкам «классического» интерфейса в новом можно выставить определенный уровень чувствительности системы. Фактически, данные уровни включают или отключают обнаружение определенных категории угроз в зависимости от их важности. То же самое в «классическом» интерфейсе можно сделать вручную включив или отключив категории.




Рисунок 2. Настройка уровня чувствительности IDS/IPS в «новом» интерфейсе контроллера.




Рисунок 3. Работа с категориями угроз в «новом» интерфейсе.



Все угрозы подразделяются на категории, среди которых трафик вредоносных программ, сеть TOR, пиринговые приложения и ряд других. Следует отметить, что для младших моделей маршрутизаторов (USG и UDM) число категорий ограничено из за малого объема оперативной памяти. Полный набор категорий обслуживается маршрутизаторами USG-Pro, USG-XG и UDM-Pro.




Рисунок 4. Категории нежелательного сетевого трафика в маршрутизаторе USG.




Рисунок 5. Категории нежелательного сетевого трафика в маршрутизаторе USG-Pro.



При необходимости можно создать определенный «белый список» адресов или сетей, который будет исключен из сканирования.




Рисунок 6. Настройка «белого списка» исключений для IDS/IPS.



После включения система IDS/IPS начинает работу. События, связанные с обнаружением нежелательной активности будут отображаться как на странице настройки системы обнаружения и предотвращения вторжений, так и в разделе уведомлений. В данном примере было включено обнаружение активности сети TOR и пиринговых приложений (Torrent).




Рисунок 7. Обнаружение активности сети TOR.




Рисунок 8. Обнаружение активности пиринговых приложений (Torrent).



На данный момент система обнаружения и предотвращения вторжений в сети UniFi находится в бета-тестировании и продолжает дорабатываться. В частности, не всегда происходит блокирование нежелательного трафика. В приведенных примерах TOR в некоторых случаях продолжал работать, также не была полностью заблокирована работа Torrent приложения, несмотря на то, что тип трафика был распознан, и предупреждение было выдано в интерфейсе контроллера (число соединений значительно сократилось, но скачивание с некоторых источников продолжилось). Остается надеяться, что разработчики улучшат работу модуля IDS/IPS в будущих версиях приложения UniFi.




Рисунок 9. Продолжение работы Torrent приложения при активной работе IPS.


ZTE

602286971

683142990

616989378

652376266

686878103

facebook vkontakte twitter instagram