ОБЗОР-ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ ПО НАСТРОЙКЕ СЕТИ ПРЕДПРИЯТИЯ НА ОСНОВЕ ОБОРУДОВАНИЯ UBIQUITI NETWORKS UNIFI®. Часть 8. Настройка системы предотвращения вторжений IDS/IPS.

Сетевая платформа UniFi позволяет обнаруживать нежелательную и вредоносную активность с помощью системы IDS/IPS. Работа системы осуществляется на базе маршрутизаторов серии USG или Dream Machine. Вредоносная сетевая активность выявляется с помощью обновляемой базы заранее известных сигнатур. Работа системы предотвращения вторжений требует значительных ресурсов маршрутизатора и поэтому накладывает на производительность сети ряд ограничений (затрагивается внешний трафик и передача данных между VLAN):

• Для маршрутизатора USG (3-х портового) — 85 Мбит/с.
• Для USG-Pro — 250 Мбит/с.
• Для USG-XG — 1 Гбит/с.
• Для UniFi Dream Machine — 850 Мбит/с.
• Для UniFi Dream Machine Pro — 3.5 Гбит/с.

Данные по производительности сети являются ориентировочными. Применение других настроек, например, Smart Queues или DPI также может накладывать дополнительные ограничения на скорость работы сети.

Для активации режима системы предотвращения вторжений необходимо в разделе «Threat Management» включить соответствующий переключатель. При этом работа системы не совместима с настройкой «Hardware offload». Модуль может работать в двух режимах. Система обнаружения вторжений (IDS) будет только обнаруживать нежелательную сетевую активность, и выдавать предупреждения. Система предотвращения вторжений (IPS) будет также блокировать нежелательные сетевые соединения.

Рисунок 1. Включение режима IDS/IPS.

Контроллер UniFi помимо классического интерфейса имеет «новый», переключиться на который можно в разделе настроек в пункте «Try New Settings». В дополнение к настройкам «классического» интерфейса в новом можно выставить определенный уровень чувствительности системы. Фактически, данные уровни включают или отключают обнаружение определенных категории угроз в зависимости от их важности. То же самое в «классическом» интерфейсе можно сделать вручную включив или отключив категории.

Рисунок 2. Настройка уровня чувствительности IDS/IPS в «новом» интерфейсе контроллера.

Рисунок 3. Работа с категориями угроз в «новом» интерфейсе.

Все угрозы подразделяются на категории, среди которых трафик вредоносных программ, сеть TOR, пиринговые приложения и ряд других. Следует отметить, что для младших моделей маршрутизаторов (USG и UDM) число категорий ограничено из за малого объема оперативной памяти. Полный набор категорий обслуживается маршрутизаторами USG-Pro, USG-XG и UDM-Pro.

Рисунок 4. Категории нежелательного сетевого трафика в маршрутизаторе USG.

Рисунок 5. Категории нежелательного сетевого трафика в маршрутизаторе USG-Pro.

При необходимости можно создать определенный «белый список» адресов или сетей, который будет исключен из сканирования.

Рисунок 6. Настройка «белого списка» исключений для IDS/IPS.

После включения система IDS/IPS начинает работу. События, связанные с обнаружением нежелательной активности будут отображаться как на странице настройки системы обнаружения и предотвращения вторжений, так и в разделе уведомлений. В данном примере было включено обнаружение активности сети TOR и пиринговых приложений (Torrent).

Рисунок 7. Обнаружение активности сети TOR.

Рисунок 8. Обнаружение активности пиринговых приложений (Torrent).

На данный момент система обнаружения и предотвращения вторжений в сети UniFi находится в бета-тестировании и продолжает дорабатываться. В частности, не всегда происходит блокирование нежелательного трафика. В приведенных примерах TOR в некоторых случаях продолжал работать, также не была полностью заблокирована работа Torrent приложения, несмотря на то, что тип трафика был распознан, и предупреждение было выдано в интерфейсе контроллера (число соединений значительно сократилось, но скачивание с некоторых источников продолжилось). Остается надеяться, что разработчики улучшат работу модуля IDS/IPS в будущих версиях приложения UniFi.

Рисунок 9. Продолжение работы Torrent приложения при активной работе IPS.