UniFi Gateway - Обнаружение и предотвращение вторжений (IDS/IPS)

Система обнаружения и предотвращения вторжений (IDS/IPS) UniFi — это критически важный компонент, предназначенный для повышения безопасности вашей сети. Эта система служит передовой линией обороны, выявляя и нейтрализуя угрозы до того, как они смогут нанести вред.

Полный обзор возможностей кибербезопасности UniFi доступен здесь.

Полный обзор возможностей управления трафиком и политиками UniFi доступен здесь.

Что такое обнаружение и предотвращение вторжений?

• Система обнаружения вторжений (IDS): Мониторит сетевой трафик на предмет подозрительной активности и оповещает администраторов.
• Система предотвращения вторжений (IPS): Аналогична IDS, но также предпринимает упреждающие шаги для блокировки обнаруженных угроз.

Почему важны IPS и IDS?

• Обнаружение и предотвращение угроз: Выявляет вредоносный трафик, предотвращая потенциальный ущерб. Обновления сигнатур в реальном времени обеспечивают защиту от новых и развивающихся угроз.
• Непрерывный мониторинг и аналитика: Предоставляет подробные журналы событий безопасности для лучшего понимания тенденций в сети.
• Соответствие требованиям: Помогает соответствовать стандартам безопасности и нормативным требованиям (PCI-DSS, HIPAA и др.).

Что такое сигнатуры угроз?

IDS/IPS работает путем сканирования сетевого трафика на наличие шаблонов, известных как сигнатуры, которые указывают на известные угрозы. Для тщательного анализа содержимого пакетов данных на различных уровнях сетевого взаимодействия используется глубокая проверка пакетов (DPI):

• Уровень 3 (сетевой): IP-адреса
• Уровень 4 (транспортный): Порты и протоколы
• Уровень 7 (прикладной): Полезные данные приложений

Характеристика совпадения сигнатуры может состоять из различных элементов одного или нескольких уровней, как в пределах одного пакета, так и в нескольких пакетах в течение сеанса связи. Например, конкретная сигнатура может искать несколько пакетов заданного размера, отправляемых с определенного IP-адреса через конкретный порт.

UniFi имеет тысячи сигнатур, каждая из которых сгруппирована в отдельные категории угроз, что позволяет гибко настраивать вашу сеть для наилучшего соответствия целям организации.

Настройка IDS/IPS

Чтобы настроить IDS/IPS, выполните следующие действия:

1. Перейдите в Настройки сети > Безопасность > Защита.
2. Включите переключатель Предотвращение вторжений.
3. Выберите сети, к которым вы хотите применить IPS/IDS.
4. Настройте Режим обнаружения как Уведомлять (IDS) или Уведомлять и блокировать (IPS).
5. Выберите Активные обнаружения, которые вы хотите применить.

Расширение базы сигнатур с CyberSecure

CyberSecure — это подписка на сайт, которая значительно расширяет базу данных сигнатур угроз UniFi, используемую для обнаружения и предотвращения вторжений. Подробную информацию смотрите в статье о CyberSecure.

Реакция на обнаружение угрозы

При обнаружении угрозы как IPS, так и IDS сгенерируют оповещения по электронной почте и push-уведомления на мобильные устройства. Однако IPS также автоматически заблокирует обнаруженные угрозы.

1. Просмотр обнаружений:
   1. Проверьте обнаружения в Системном журнале (Системный журнал > Обнаружение безопасности) или на вкладке Аналитика (Аналитика > Проверка).
2. Определите важные детали оповещения:
   1. Определите затронутого клиента, IP-адрес источника угрозы, протокол, сигнатуру, категорию угрозы, дату/время и любую другую соответствующую информацию или описания.
3. Проверьте детали угрозы:
   1. Изучите сигнатуру угрозы: Найдите анализ исследователей кибербезопасности или информацию в авторитетных базах данных и форумах по кибербезопасности для получения более подробной информации и мнений сообщества об угрозе.
   2. Определите ожидаемый трафик: Основываясь на том, кому/чему принадлежит IP-адрес, определите, является ли этот трафик ожидаемым, и, следовательно, вероятно ложноположительным срабатыванием. Примечание: Трафик от медиа-сервисов и игр часто вызывает ложные срабатывания.
   3. Проверьте затронутого клиента: Проверьте затронутого клиента на наличие очевидных признаков компрометации, таких как замедленная работа, отсутствие реакции или нежелательные всплывающие окна.
   4. Подтвердите уязвимость ОС: Если сигнатура связана с определенной операционной системой (ОС), подтвердите, работает ли ваше устройство под управлением этой ОС. Если нет, это, скорее всего, ложное срабатывание.
4. Отреагируйте соответствующим образом:
   1. Блокировать соединение: Блокирует соединение между конкретным источником и назначением путем автоматического создания правила брандмауэра.
   2. Блокировать IP-адрес источника: Блокирует весь трафик с источника угрозы путем автоматического создания правила брандмауэра.
   3. Разрешить сигнатуру: Предотвращает срабатывание IPS/IDS по связанной сигнатуре, добавив ее в таблицу подавления сигнатур (Настройки > Безопасность > Предотвращение вторжений).
   4. Исключить IP-адрес источника: Предотвращает срабатывание IPS/IDS по IP-адресу источника, добавив его в список разрешений обнаружений безопасности (Настройки > Безопасность > Предотвращение вторжений).

Тестирование IDS/IPS

Чтобы протестировать IDS/IPS, выполните следующие действия:

1. Убедитесь, что в разделе Взлом и эксплуатация включена категория Вредоносные пользовательские агенты.
2. Откройте терминал или командную строку на клиенте, подключенном к сети UniFi.
3. Выполните следующую тестовую команду:

   curl -A "BlackSun" http://www.example.com

   Копировать текст
4. Проверьте наличие оповещения в Системном журнале > Угрозы или Аналитика > Потоки трафика > Угрозы.

Часто задаваемые вопросы