Офис: | Пн-Пт 9:00 - 17:30 |
Самовывоз: |
Пн-Пт 8:30 - 17:30 |
Офис: | Пн-Пт 9:00 - 17:30 Сб-Вс 10:00 - 15:00 |
Самовывоз: |
Пн-Пт 8:30 - 17:30 Сб-Вс (по догов.) |
Сетевая платформа UniFi позволяет обнаруживать нежелательную и вредоносную активность с помощью системы IDS/IPS. Работа системы осуществляется на базе маршрутизаторов серии USG или Dream Machine. Вредоносная сетевая активность выявляется с помощью обновляемой базы заранее известных сигнатур. Работа системы предотвращения вторжений требует значительных ресурсов маршрутизатора и поэтому накладывает на производительность сети ряд ограничений (затрагивается внешний трафик и передача данных между VLAN):
Данные по производительности сети являются ориентировочными. Применение других настроек, например, Smart Queues или DPI также может накладывать дополнительные ограничения на скорость работы сети.
Для активации режима системы предотвращения вторжений необходимо в разделе «Threat Management» включить соответствующий переключатель. При этом работа системы не совместима с настройкой «Hardware offload». Модуль может работать в двух режимах. Система обнаружения вторжений (IDS) будет только обнаруживать нежелательную сетевую активность, и выдавать предупреждения. Система предотвращения вторжений (IPS) будет также блокировать нежелательные сетевые соединения.
Рисунок 1. Включение режима IDS/IPS.
Контроллер UniFi помимо классического интерфейса имеет «новый», переключиться на который можно в разделе настроек в пункте «Try New Settings». В дополнение к настройкам «классического» интерфейса в новом можно выставить определенный уровень чувствительности системы. Фактически, данные уровни включают или отключают обнаружение определенных категории угроз в зависимости от их важности. То же самое в «классическом» интерфейсе можно сделать вручную включив или отключив категории.
Рисунок 2. Настройка уровня чувствительности IDS/IPS в «новом» интерфейсе контроллера.
Рисунок 3. Работа с категориями угроз в «новом» интерфейсе.
Все угрозы подразделяются на категории, среди которых трафик вредоносных программ, сеть TOR, пиринговые приложения и ряд других. Следует отметить, что для младших моделей маршрутизаторов (USG и UDM) число категорий ограничено из за малого объема оперативной памяти. Полный набор категорий обслуживается маршрутизаторами USG-Pro, USG-XG и UDM-Pro.
Рисунок 4. Категории нежелательного сетевого трафика в маршрутизаторе USG.
Рисунок 5. Категории нежелательного сетевого трафика в маршрутизаторе USG-Pro.
При необходимости можно создать определенный «белый список» адресов или сетей, который будет исключен из сканирования.
Рисунок 6. Настройка «белого списка» исключений для IDS/IPS.
После включения система IDS/IPS начинает работу. События, связанные с обнаружением нежелательной активности будут отображаться как на странице настройки системы обнаружения и предотвращения вторжений, так и в разделе уведомлений. В данном примере было включено обнаружение активности сети TOR и пиринговых приложений (Torrent).
Рисунок 7. Обнаружение активности сети TOR.
Рисунок 8. Обнаружение активности пиринговых приложений (Torrent).
На данный момент система обнаружения и предотвращения вторжений в сети UniFi находится в бета-тестировании и продолжает дорабатываться. В частности, не всегда происходит блокирование нежелательного трафика. В приведенных примерах TOR в некоторых случаях продолжал работать, также не была полностью заблокирована работа Torrent приложения, несмотря на то, что тип трафика был распознан, и предупреждение было выдано в интерфейсе контроллера (число соединений значительно сократилось, но скачивание с некоторых источников продолжилось). Остается надеяться, что разработчики улучшат работу модуля IDS/IPS в будущих версиях приложения UniFi.
Рисунок 9. Продолжение работы Torrent приложения при активной работе IPS.