İzinsiz Giriş Önleme / Algılama Sistemini Yapılandırma (IPS / IDS)

Genel bakış

Bu makaleyi okuduktan sonra kullanıcılar, UniFi ağlarında IPS / IDS işlevselliğini yapılandırabilecek ve koruyabilecekleri bilgiyi edinmelidir.

Giriş

İzinsiz giriş önleme sistemi nedir?

İzinsiz giriş önleme sistemi (IPS), imzaları temel alan potansiyel olarak zararlı trafiği tanımlayan bir motordur. İmzalar, kötü amaçlı yazılım tarafından kullanılan bilinen trafik düzenlerini veya talimat dizilerini içerir. Bu imza tabanlı motor türü yalnızca bilinen kötü amaçlı trafik düzenlerine dayanan anormallikleri tespit edebilir.

Ağ diyagramı

UniFi Denetleyicide IPS / IDS’yi Yapılandırma

İzinsiz giriş tespitini veya izinsiz giriş önleme özelliğini etkinleştirmek için UniFi Controller’ın Ayarlar> IPS bölümüne gidin  .

• IPS’nin etkinleştirilmesi, VLAN ve çıkış trafiğindeki USG maksimum verimini etkiler.
  • USG: 85 Mbps *
  • USG-Pro: 250 Mb / sn *
  • USG-XG: 1 Gb / sn *
• Akıllı Kuyrukların veya DPI’nın IPS / IDS’ye etkinleştirilmesi, ayrıca maksimum verim için daha fazla ceza alacaktır.

* Değerler kaba tahminlerdir ve yapılandırmaya bağlı olarak değişebilir.

Modlar

• Devre dışı : Hem algılama hem de önleme sistemlerini devre dışı bırakır.
• IDS: Ayarlandığında otomatik olarak algılar ve uyarır, ancak potansiyel olarak zararlı trafiği engellemez.
• IPS: Ayarlandığında, zararlı olabilecek trafiği otomatik olarak algılar, uyarır ve engeller.

Güvenlik Duvarı Kısıtlamaları

• Erişimi Tor’a Sınırla: Etkinleştirildiğinde, Soğan Router’a erişimi engeller.
• Kötü Amaçlı IP Adreslerine Erişimi Kısıtla:  Etkinleştirildiğinde, kötü amaçlı trafiği geçtiği bilinen IP adreslerine veya adres bloklarına erişimi engeller.

IPS / IDS Kategorileri

DİKKAT:

• USG3’teki kullanılabilir bellek miktarı nedeniyle, sınırlı sayıda kategori seçilebilir.

• BİLGİ kategorisi etkinse, UniFi Controller’ın işlevleri engellenebilir. Hata ayıklama terminali ve bulut bağlantısı için STUN bağlantısını sürdürmek için STUN imzalarını bastırın veya INFO kategorisini devre dışı bırakın.

• Kategorilerin tam listesini görmek için aşağıyı tıklayın.

• Kategoriler ve Tanımları

  IPS / IDS Kategorileri Bölümünü Genişletmek için Tıklayın.

  IPS / IDS Beyaz Listesi

  IPS motorunun beyaz liste işlevi, UniFi Yöneticisinin güvenilir IP listesi oluşturmasını sağlar. Seçilen yöne bağlı olarak trafik, belirlenen IP’lere veya bu IP’lerden engellenmeyecektir.

  100.64.0.0/16 alt ağından veya alt ağından gelen trafiğin ekran görüntüsünde IPS motoru tarafından izlenmeyecektir.

• 

İmza Bastırma

IPS motorunun imza bastırma işlevi, bir UniFi Yöneticisinin belirli imzalarla ilgili uyarıları susturmasına izin verir. Bu aynı zamanda, belirtilen bastırma kuralına uyan trafik engellemesini de devre dışı bırakacaktır.

• Tüm trafik için imza bastırma kuralı eklemek, ana bilgisayar IP’sinden bağımsız olarak imzayı bastırır.
• Trafik yönüne ve tek IP’ye, tanımlanmış UniFi Ağı’na veya tercih edilen alt ağa göre paket izlemeye imza bastırma kuralı ekleme.

Denetleyici Uyarısı Nasıl Okunur

Bu, bir UniFi Yöneticisinin “Uyarılar” bölümünde görebileceği denetleyici uyarısına bir örnektir.

• Tüm trafik için imza bastırma kuralı eklemek, ana bilgisayar IP’sinden bağımsız olarak imzayı bastırır.
• Trafik yönüne ve tek IP’ye, tanımlanmış UniFi Ağı’na veya tercih edilen alt ağa göre paket izlemeye imza bastırma kuralı ekleme.

Denetleyici Uyarısı Nasıl Okunur

Bu, bir UniFi Yöneticisinin “Uyarılar” bölümünde görebileceği denetleyici uyarısına bir örnektir.

NOT:  Bu uyarı, Test Etme ve Doğrulama’da bulunan yöntemle üretildi  .

İzinsiz Girişi Önleme Panosu

genel bakış

IPS panosunun genel bakış bölümü, IPS / IDS olaylarına hızlı bir bakış sunar. Zaman dilimi filtreleme sayfanın sağ üst kısmında ayarlanabilir.

Harita IPS olaylarıyla doldurulur. Başlangıç ​​ve bitiş noktalarının coğrafi konumu yaklaşıktır ve şehir yerelini temsil etmeyebilir.

Trafik Günlüğü

IPS panosunun trafik günlüğü bölümü, UniFi Yöneticilerinin önceki IDS / IPS uyarılarını listeleyen tarihi bir tablo görmesini sağlar.

Tehdit Ayrıntısı

Bireysel olay kaydına tıklandığında, bir tehdit ayrıntısı açılır penceresi tetiklenir. Bu görüşe göre, etkinlikle ilgili tüm bilgiler, bu olaya dayalı eylemleri tanımlama yeteneği ile birlikte listelenmiştir.

• İmzayı bastırma :  IPS motorunun imza bastırma işlevi, bir UniFi Yöneticisinin belirli imzalardaki uyarıları susturmasına izin verir. Bu aynı zamanda, belirtilen bastırma kuralına uyan trafik engellemesini de devre dışı bırakacaktır.
• Blok:  Bu seçenek, IPS / IDS olayında hatalı olan iki ana bilgisayar arasındaki trafiği engeller. Bu engelleme, WAN_IN güvenlik duvarı bölümüne giderek geri alınabilir. Ayarlar> Güvenlik Duvarı ve Yönlendirme> Güvenlik Duvarı> WAN_IN.
• Kara Liste IP:  Bu seçenek etkinlikte listelenen kaynak IP’yi kara listeye alır.
• Beyaz liste IP’si : Bu seçenek, etkinlikte listelenen kaynak IP’yi beyaz listeye alacaktır. Ayarlar> IPS’de görülenlere benzer bir açılır pencere bu seçenekte tetiklenir.

Test ve Doğrulama

Linux veya macOS

Giriş:

curl -A "BlackSun" www.google.com

Sonuç:

IPS Uyarısı 1: Bir Ağ Truva Ağı Tespit Edildi. İmza ET USER_AGENTS Şüpheli Kullanıcı Aracısı (BlackSun). Kimden: 192.168.5.43:58343, den: 216.58.219.36:80, protokol: TCP

, Windows

DNS kategorisi etkin olmalı

Giriş:

nslookup @ 8.8.8.8 Instagram Hesabındaki Resim ve Videoları blacklistthisdomain.com

Sonuç:

IPS Uyarısı 1: Bir Ağ Truva Ağı Tespit Edildi. İmza ET DNS Yanıtı Düdüğü - 106.187.96.49 blacklistthisdomain.com. Gönderen: 192.168.5.1:53, ila: 192.168.5.3:64231, protokol: UDP

Gizlilik Beyanı

IPS / IDS motoru buluta hangi bilgileri gönderir?

1. Bir UniFi Yöneticisi denetleyicide IPS veya IDS’yi etkinleştirdiğinde ve sitede UniFi Güvenlik Ağ Geçidi (USG) için şifreli bir simge üretildiğinde. Aşağıda listelenen bilgiler, bir IPS / IDS imza eşleşmesi olduğunda, bir TLS 1.2 şifreli bağlantı üzerinden gönderilir.

zaman damgası 
arabirimi 
src ip 
src bağlantı noktası 
dest IP 
dest bağlantı noktası 
protokolü 
imza kimliği

2. Her 120 saniyede bir ips1.unifi-ai.com ana bilgisayar adı için bir kalıcılık var. Bu bağlantı, ihlal mesajının güvenilir bir şekilde iletilmesini sağlamak içindir. Keepalive, 443 numaralı bağlantı noktasını kullanan bulutumuza bir bağlantıdır, bu nedenle yalnızca ICMP ping veya DNS çözünürlüğü değil, tam 3 yönlü el sıkışma ve bulutun çalıştığından ve uyarı alabildiğinden emin olmak için SSL Anahtar değişimidir.

Sunucularımızda IPS / IDS ile ilgili hangi bilgiler saklanır?

Veriler yalnızca kontrol cihazı bilgileri indirene kadar IPS Cloud’a kaydedilir. Bu verilerden sonra bulutumuzdan silinir. IPS / IDS ihlali ile ilgili tutulan tek bilgi saldırganın IP adresidir. Bu saldırganın IP bilgisi, Ubiquiti’nin dünyadaki USG kullanıcılarına fayda sağlayan güncel ve etkili bir listeyi tutmasına yardımcı olur.

İlgili Makaleler

Başa dönüş

UniFi – USG Firewall: Güvenlik Duvarı Kurallarına Giriş

UniFi – Bir IPS / IDS Simgesi Oluşturma (Debian tabanlı Linux / Cloud Anahtarı)