İzinsiz Giriş Önleme / Algılama Sistemini Yapılandırma (IPS / IDS)
Genel bakış
Bu makaleyi okuduktan sonra kullanıcılar, UniFi ağlarında IPS / IDS işlevselliğini yapılandırabilecek ve koruyabilecekleri bilgiyi edinmelidir.
- Denetleyici Sürüm 5.9+
- UniFi Security Gateway üretici yazılımı 4.4.18+
İçindekiler
- Giriş
- Ağ diyagramı
- UniFi Denetleyicide IPS / IDS’yi Yapılandırma
- IPS / IDS Kategorileri
- IPS Panosu
- Test ve Doğrulama
- Gizlilik Beyanı
- İlgili Makaleler
Giriş
İzinsiz giriş önleme sistemi nedir?
İzinsiz giriş önleme sistemi (IPS), imzaları temel alan potansiyel olarak zararlı trafiği tanımlayan bir motordur. İmzalar, kötü amaçlı yazılım tarafından kullanılan bilinen trafik düzenlerini veya talimat dizilerini içerir. Bu imza tabanlı motor türü yalnızca bilinen kötü amaçlı trafik düzenlerine dayanan anormallikleri tespit edebilir.
Ağ diyagramı
UniFi Denetleyicide IPS / IDS’yi Yapılandırma
İzinsiz giriş tespitini veya izinsiz giriş önleme özelliğini etkinleştirmek için UniFi Controller’ın Ayarlar> IPS bölümüne gidin .
- IPS’nin etkinleştirilmesi, VLAN ve çıkış trafiğindeki USG maksimum verimini etkiler.
- USG: 85 Mbps *
- USG-Pro: 250 Mb / sn *
- USG-XG: 1 Gb / sn *
- Akıllı Kuyrukların veya DPI’nın IPS / IDS’ye etkinleştirilmesi, ayrıca maksimum verim için daha fazla ceza alacaktır.
* Değerler kaba tahminlerdir ve yapılandırmaya bağlı olarak değişebilir.
Modlar
- Devre dışı : Hem algılama hem de önleme sistemlerini devre dışı bırakır.
- IDS: Ayarlandığında otomatik olarak algılar ve uyarır, ancak potansiyel olarak zararlı trafiği engellemez.
- IPS: Ayarlandığında, zararlı olabilecek trafiği otomatik olarak algılar, uyarır ve engeller.
Güvenlik Duvarı Kısıtlamaları
- Erişimi Tor’a Sınırla: Etkinleştirildiğinde, Soğan Router’a erişimi engeller.
- Kötü Amaçlı IP Adreslerine Erişimi Kısıtla: Etkinleştirildiğinde, kötü amaçlı trafiği geçtiği bilinen IP adreslerine veya adres bloklarına erişimi engeller.
IPS / IDS Kategorileri
DİKKAT:
-
USG3’teki kullanılabilir bellek miktarı nedeniyle, sınırlı sayıda kategori seçilebilir.
-
BİLGİ kategorisi etkinse, UniFi Controller’ın işlevleri engellenebilir. Hata ayıklama terminali ve bulut bağlantısı için STUN bağlantısını sürdürmek için STUN imzalarını bastırın veya INFO kategorisini devre dışı bırakın.
-
Kategorilerin tam listesini görmek için aşağıyı tıklayın.
-
Kategoriler ve Tanımları
IPS / IDS Kategorileri Bölümünü Genişletmek için Tıklayın.
IPS / IDS Beyaz Listesi
IPS motorunun beyaz liste işlevi, UniFi Yöneticisinin güvenilir IP listesi oluşturmasını sağlar. Seçilen yöne bağlı olarak trafik, belirlenen IP’lere veya bu IP’lerden engellenmeyecektir.
100.64.0.0/16 alt ağından veya alt ağından gelen trafiğin ekran görüntüsünde IPS motoru tarafından izlenmeyecektir.
İmza Bastırma
IPS motorunun imza bastırma işlevi, bir UniFi Yöneticisinin belirli imzalarla ilgili uyarıları susturmasına izin verir. Bu aynı zamanda, belirtilen bastırma kuralına uyan trafik engellemesini de devre dışı bırakacaktır.
- Tüm trafik için imza bastırma kuralı eklemek, ana bilgisayar IP’sinden bağımsız olarak imzayı bastırır.
- Trafik yönüne ve tek IP’ye, tanımlanmış UniFi Ağı’na veya tercih edilen alt ağa göre paket izlemeye imza bastırma kuralı ekleme.
Denetleyici Uyarısı Nasıl Okunur
Bu, bir UniFi Yöneticisinin “Uyarılar” bölümünde görebileceği denetleyici uyarısına bir örnektir.
- Tüm trafik için imza bastırma kuralı eklemek, ana bilgisayar IP’sinden bağımsız olarak imzayı bastırır.
- Trafik yönüne ve tek IP’ye, tanımlanmış UniFi Ağı’na veya tercih edilen alt ağa göre paket izlemeye imza bastırma kuralı ekleme.
Denetleyici Uyarısı Nasıl Okunur
Bu, bir UniFi Yöneticisinin “Uyarılar” bölümünde görebileceği denetleyici uyarısına bir örnektir.
NOT: Bu uyarı, Test Etme ve Doğrulama’da bulunan yöntemle üretildi .
İzinsiz Girişi Önleme Panosu
genel bakış
IPS panosunun genel bakış bölümü, IPS / IDS olaylarına hızlı bir bakış sunar. Zaman dilimi filtreleme sayfanın sağ üst kısmında ayarlanabilir.
Harita IPS olaylarıyla doldurulur. Başlangıç ve bitiş noktalarının coğrafi konumu yaklaşıktır ve şehir yerelini temsil etmeyebilir.
Trafik Günlüğü
IPS panosunun trafik günlüğü bölümü, UniFi Yöneticilerinin önceki IDS / IPS uyarılarını listeleyen tarihi bir tablo görmesini sağlar.
Tehdit Ayrıntısı
Bireysel olay kaydına tıklandığında, bir tehdit ayrıntısı açılır penceresi tetiklenir. Bu görüşe göre, etkinlikle ilgili tüm bilgiler, bu olaya dayalı eylemleri tanımlama yeteneği ile birlikte listelenmiştir.
- İmzayı bastırma : IPS motorunun imza bastırma işlevi, bir UniFi Yöneticisinin belirli imzalardaki uyarıları susturmasına izin verir. Bu aynı zamanda, belirtilen bastırma kuralına uyan trafik engellemesini de devre dışı bırakacaktır.
- Blok: Bu seçenek, IPS / IDS olayında hatalı olan iki ana bilgisayar arasındaki trafiği engeller. Bu engelleme, WAN_IN güvenlik duvarı bölümüne giderek geri alınabilir. Ayarlar> Güvenlik Duvarı ve Yönlendirme> Güvenlik Duvarı> WAN_IN.
- Kara Liste IP: Bu seçenek etkinlikte listelenen kaynak IP’yi kara listeye alır.
- Beyaz liste IP’si : Bu seçenek, etkinlikte listelenen kaynak IP’yi beyaz listeye alacaktır. Ayarlar> IPS’de görülenlere benzer bir açılır pencere bu seçenekte tetiklenir.
Test ve Doğrulama
Linux veya macOS
Giriş:
curl -A "BlackSun" www.google.com
Sonuç:
IPS Uyarısı 1: Bir Ağ Truva Ağı Tespit Edildi. İmza ET USER_AGENTS Şüpheli Kullanıcı Aracısı (BlackSun). Kimden: 192.168.5.43:58343, den: 216.58.219.36:80, protokol: TCP
, Windows
DNS kategorisi etkin olmalı
Giriş:
nslookup @ 8.8.8.8 Instagram Hesabındaki Resim ve Videoları blacklistthisdomain.com
Sonuç:
IPS Uyarısı 1: Bir Ağ Truva Ağı Tespit Edildi. İmza ET DNS Yanıtı Düdüğü - 106.187.96.49 blacklistthisdomain.com. Gönderen: 192.168.5.1:53, ila: 192.168.5.3:64231, protokol: UDP
Gizlilik Beyanı
IPS / IDS motoru buluta hangi bilgileri gönderir?
1. Bir UniFi Yöneticisi denetleyicide IPS veya IDS’yi etkinleştirdiğinde ve sitede UniFi Güvenlik Ağ Geçidi (USG) için şifreli bir simge üretildiğinde. Aşağıda listelenen bilgiler, bir IPS / IDS imza eşleşmesi olduğunda, bir TLS 1.2 şifreli bağlantı üzerinden gönderilir.
zaman damgası arabirimi src ip src bağlantı noktası dest IP dest bağlantı noktası protokolü imza kimliği
2. Her 120 saniyede bir ips1.unifi-ai.com ana bilgisayar adı için bir kalıcılık var. Bu bağlantı, ihlal mesajının güvenilir bir şekilde iletilmesini sağlamak içindir. Keepalive, 443 numaralı bağlantı noktasını kullanan bulutumuza bir bağlantıdır, bu nedenle yalnızca ICMP ping veya DNS çözünürlüğü değil, tam 3 yönlü el sıkışma ve bulutun çalıştığından ve uyarı alabildiğinden emin olmak için SSL Anahtar değişimidir.
Sunucularımızda IPS / IDS ile ilgili hangi bilgiler saklanır?
Veriler yalnızca kontrol cihazı bilgileri indirene kadar IPS Cloud’a kaydedilir. Bu verilerden sonra bulutumuzdan silinir. IPS / IDS ihlali ile ilgili tutulan tek bilgi saldırganın IP adresidir. Bu saldırganın IP bilgisi, Ubiquiti’nin dünyadaki USG kullanıcılarına fayda sağlayan güncel ve etkili bir listeyi tutmasına yardımcı olur.
İlgili Makaleler
Başa dönüş
UniFi – USG Firewall: Güvenlik Duvarı Kurallarına Giriş
UniFi – Bir IPS / IDS Simgesi Oluşturma (Debian tabanlı Linux / Cloud Anahtarı)
USG Pro ile 5651 numaralı yasaya uygun olarak loglama yapılabilir mi?