UniFi-USG / UDM:配置 Internet 安全设置


概述


本文介绍了在 UniFi 控制器上配置和维护 IPS / IDS 功能的知识。 
注意事项和要求: 
适用于以下:
  • UniFi 控制器软件5.9+
  • UniFi 安全网关固件 4.4.18+
  • UniFi Dream Machine 
本文中的配置建立在 UniFi 控制器的 beta设置中。通过单击“经典设置”菜单列表顶部的“尝试新设置”,可以启用这些新设置。 new.settings.png

 


目录


  1. 介绍
  2. 网络拓扑
  3. 入侵检测与预防
    1. 分类目录
    2. 白名单
    3. 签名抑制
  4. GeoIP 过滤
  5. DNS 过滤 
    1. 过滤级别
  6. 深度数据包检查
    1. DPI 限制(第7层过滤器)
  7. 网络扫描
    1. 端点扫描器
    2. 内部蜜罐
      1. 蜜罐服务
  8. 测试与验证
  9. 隐私声明
  10. 相关文章

介绍


回到顶部

入侵防御系统(IPS)是基于签名识别潜在恶意流量的引擎。签名包含恶意软件使用的已知流量模式或指令序列。这种基于签名的引擎只能基于已知的恶意流量模式来检测异常。


网络拓扑


回到顶部

__1.png

 


入侵检测与预防


回到顶部

要启用入侵检测或入侵防御,请导航至 UniFi 控制器的“ New Settings ”>“Internet Security”。 
注意:
  • 启用 IDS 或 IPS 将影响 VLAN 间流量和出口流量的最大吞吐量。
    • USG:85 Mbps *
    • USG-Pro:250 Mbps *
    • USG-XG:1 Gbps *
  • 在 IPS / IDS 上启用 Smart Queues 或 DPI 也将导致最大吞吐量的进一步损失。
  • UniFi Dream Machine 吞吐量:850 Mbps *

* 值是粗略估计,可能会因配置而异。

威胁管理模式

  • 入侵检测系统设置为此模式时,将自动检测并发出警报,但不会阻止潜在的恶意流量。 
  • 入侵防御系统设置为此模式时,将自动检测,发出警告并阻止潜在的恶意流量。 

防火墙限制

这些限制可以在“ New Settings ”>“ Internet Security”>“ Advanced.下找到  

  • 限制对 ToR 的访问:启用后将阻止对 Onion Router 的访问。 
  • 限制对恶意 IP 地址的访问: 启用后,将阻止对 IP 地址或被识别为通过恶意流量的地址的访问。 

系统灵敏度等级

mceclip3.png

“系统敏感度级别”是安全类别的预定义级别,它将被加载到威胁管理程序中。每个级别的增加都需要更多的内存 和 CPU 使用率。另外,手动选择类别时会使用“自定义”级别。

分类目录

注意:
  • 基于 USG3 和 UDM 上的可用内存,因此只能启用有限的类别。
  • 单击下面查看类别的完整列表。

类别及其定义

点击此处展开有关 IDS/IPS 类别部分
  • Activex:有关 ActiveX 的攻击和漏洞(CVE等)。
  • 攻击响应:指示入侵的响应 -LMHost 文件下载,某些标语,检测到 Metasploit Meterpreter kil l命令等。这些设计用于捕获成功攻击的结果。可能发生了诸如“  id = root ”之类的错误消息,或指示妥协的错误消息。
  • Botcc(Bot 命令和控制)*:这些是从已知且已确认的活动 Botnet 和其他命令和控制主机的多个来源自动生成的。每日更新,主要数据源是 Shadowserver.org。Bot 从 shadowserver.org 以及 spyeyetracker,palevotracker 和 zeustracker 生成的命令和控制块规则。端口分组的规则提供了更高的保真度,而目标端口在规则中进行了修改。
  • CIArmy:集体智能基于 www.cinsscore.com 生成了用于阻止的 IP 规则
  • Compromised:这是已知 Compromised 主机的列表,并且每天都进行确认和更新。根据数据源的不同,这套规则从一百到几百个不等。这是几个私有但高度可靠的数据源的汇总。Warming:Snort 无法很好地处理 IP 负载匹配。如果您的传感器已经被最大化使用,则该设置将增加相当大的负载。建议在高负载情况下仅使用 Botcc 规则。
  • DNS *:有关 DNS 的攻击和漏洞的规则。也是滥用诸如隧道之类的服务的类别。
  • DOS:拒绝服务尝试检测。旨在捕获入站DOS活动和出站指示。
  • Dshield *:针对 Dshield 识别出的攻击者的基于 IP 的规则。DShield 攻击者列表的每日更新列表。也很可靠。有关更多信息,请访问 http://www.dshield.org
  • 漏洞利用*:特定服务类别未涵盖的漏洞利用。检测直接攻击的规则。通常,如果您正在寻找Windows 漏洞,Veritas 等,它们就会在这里。诸如 SQL 注入之类的东西虽然是漏洞利用,但它们都有自己的类别。
  • FTP:有关 FTP 的攻击,利用和漏洞的规则。还包括用于登录目的的基本无恶意 FTP 活动,例如登录等。
  • 游戏:识别游戏流量和针对这些游戏的攻击的规则。《魔兽世界》,《星际争霸》和其他流行的在线游戏在这里都有记录。我们不打算将这些东西标记为阻止,因为它们并不适合所有环境。
  • ICMP:有关 ICMP 的攻击和漏洞的规则。还包括用于记录目的的检测协议基本活动的规则。
  • IMAP:有关 IMAP 协议的标识以及攻击和漏洞的规则。还包括用于记录目的的检测协议基本活动的规则。
  • 恶意软件*:恶意软件和间谍软件有关,没有明确的犯罪意图。包含在此集合中的阈值通常是某种形式的跟踪,这种跟踪会在明显的犯罪活动之后停止。该套件最初旨在只是间谍软件。这实际上足以满足几个规则类别。自从我们最初设置间谍软件以来,间谍软件和完全恶意的恶意软件之间的界限已经变得太模糊了。只包含间谍软件,这里没有是您想要在网络或 PC 上运行的东西。有用于已知更新方案的 URL 挂钩,已知恶意软件的 User-Agent 字符串以及其他负载。
  • 杂项:其他类别未涵盖的杂项规则。
  • 移动恶意软件*:特定于移动平台:与恶意软件和间谍软件相关,没有明确的犯罪意图。
  • Netbios:有关 Netbios 的识别以及攻击,利用和漏洞的规则。还包括用于记录目的的检测协议基本活动的规则。
  • P2P *:识别对等流量和攻击的规则。包括 torrent,edonkey,Bittorrent,Gnutella,Limewire 等。我们不会将这些内容标记为恶意内容,只是不适合所有网络和环境。
  • POP3:有关 POP3 协议的标识规则以及攻击和漏洞。还包括用于记录目的的检测协议基本活动的规则。
  • RPC:与 RPC 相关的攻击,漏洞和协议检测。还包括用于记录目的的检测协议基本活动的规则。
  • 扫描:用于侦察和探测的事物。Nessus,Nikto,portscanning 等。预警内容。
  • Shellcode *:远程 Shellcode 检测。当攻击者想要锁定本地网络或 Intranet 上另一台计算机上运行的漏洞进程时,使用远程 Shellcode。如果成功执行,shellcode 可以使攻击者通过网络访问目标计算机。远程 shellcode 通常使用标准的 TCP / IP 套接字连接,以允许攻击者访问目标计算机上的 shell。可以根据如何建立此连接来对此类 shellcode 进行分类:如果 shellcode 可以建立此连接,则将其称为“反向 shell ”或反向连接 shellcode,因为该 shellcode可连接回攻击者的计算机。
  • SMTP:有关 SMTP 的攻击,利用和漏洞的规则。还包括用于记录目的的检测协议基本活动的规则。
  • SNMP:有关 SNMP 的攻击,利用和漏洞的规则。还包括用于记录目的的检测协议基本活动的规则。
  • SpamHaus *: 此规则集每天都记录 Spamhaus 研究的已知垃圾邮件发送者和垃圾邮件网络。 
  • SQL:有关 SQ L的攻击,利用漏洞的规则。还包括用于记录目的的检测协议基本活动的规则。
  • TELNET:有关 TELNET 服务的攻击和漏洞规则。还包括用于记录目的的检测协议基本活动的规则。
  • TFTP:有关 TFTP 服务的攻击和漏洞规则。还包括用于记录目的的检测协议基本活动的规则。
  • TOR *:基于 I P的规则,用于识别往返于 TOR 出口节点的流量。
  • 特洛伊木马:具有明显犯罪意图的恶意软件。此处的规则可检测正在传播,活动,感染,攻击,更新以及我们可以在网络上检测到的所有其他内容的恶意软件。如果必须选择,这也是要运行的非常重要的规则集。
  • 用户代理*:用户代理标识和检测。
  • VOIP:有关 VOIP 环境的攻击和漏洞规则。SIP,h.323,RTP 等
  • Web客户端: Web 客户端攻击和漏洞。
  • Web服务器:针对 Web 服务器的攻击和漏洞规则。
  • Web应用程序:非常特定的 Web 应用程序的规则。
  • WORM *:指示基于网络的蠕虫活动的流量

*标识可以在USG3和UDM(基本模型)上启用的类别。  

可以点击此处找到描述这些类别的 PDF 文件。

 

注意:  在 Internet Security 的“  Advanced选项卡中 ,可以找到以下配置  

白名单

IPS 引擎的白名单功能允许 UniFi 管理员创建受信任 IP 的列表。根据选择的方向,流量不会被阻塞到所标识的 IP 或从所标识的 IP 阻塞。 

在下面的截图中,IPS 引擎不会跟踪到子网 100.64.0.0/16 的流量。 

mceclip3.png

签名抑制

IPS 引擎的签名抑制功能允许 UniFi 管理员将某些签名的警报关闭。这还将禁用对于指定抑制规则匹配的流量的阻止。 

mceclip2.png

  • 为所有流量添加签名抑制规则将抑制签名,而与主机 IP 无关。 
  • 通过基于流量方向和单个 IP,已定义的 UniFi 网络或所选子网的数据包跟踪添加签名抑制规则。 

GeoIP 过滤


回到顶部

注意:  为了使 GeoIP 过滤在 USG 上起作用,必须启用硬件加速。启用威胁管理后(在 Settings > Internet Security > Threat Management 下),将禁用硬件加速。每次只能在 USG 上启用这两个功能中的一个。

Blocking

可以在控制器的“威胁管理仪表板”部分配置单个国家/地区。阻止单个配置可以导航到地图,单击国家/地区并单击“Blocking”。

mceclip0.png

解除封锁

可以通过在“威胁管理”仪表板上导航至“概述”选项卡上地图的左侧来对国家/地区进行解锁。将显示一个被阻止国家的列表。只需将鼠标悬停在要取消阻止的国家上,就会出现“取消阻止”选项。选择“取消阻止”,该国家将从列表中删除。 

mceclip1.png

过滤流量方向

UniFi 控制器允许配置 GeoIP 过滤流量方向。请按照以下步骤操作:

    1. 导航到“威胁管理”仪表板的顶部,然后选择方向。 Screen_Shot_2019-11-21_at_3.58.16_PM.png

    2.选择过滤流量方向。

Screen_Shot_2019-11-21_at_4.00.26_PM.png

    3.  单击  Done


DNS 过滤


回到顶部

注意: 
  • DNS 过滤仅在 UniFi Dream Machine 上可用。 
  • 使用 VPN,HTTPS 上的 DNS 或 TLS 上的 DNS 的客户端将具有非标准 DNS 请求,UniFi Dream Machine 无法看到该请求。 

DNS 过滤功能允许管理员选择每个网络的过滤级别。这样可以确保从配置的 LAN 上的客户端发出的所有DNS 请求都符合过滤级别。 

    1.  要配置 DNS 过滤,请导航至 New Settings > Internet Security > DNS Filters

mceclip0.png

    2.单击滑块按钮启用 DNS 过滤。

    3.选择   Add Filter

    4.选择所需的 LAN 过滤级别。 

    5.选择此过滤器应应用于哪个网络,然后确认选择。 

    6.此时将启用 DNS 过滤。 

过滤级别

安全

阻止访问网络钓鱼,垃圾邮件,恶意软件和恶意 IP 。恶意 IP  的数据库每小时更新一次。请注意,它不会阻止成人内容。

成人

禁止访问所有成人,色情和露骨的网站。它不会阻止代理或 VPN,也不会阻止内容混合的站点。允许使用 Reddit 之类的网站。Google 和 Bing 设置为“安全模式”,恶意和网上诱骗域被阻止

家庭

禁止访问所有成人,色情和露骨的网站。它还会阻止用于绕过过滤器的代理和 VPN 。混合内容站点(如Reddit)也被阻止。Google,Bing 和 Youtube 设置为安全模式。恶意和网上诱 IP 被阻止。


深度数据包检查


回到顶部

要配置  深度数据包检查(DPI),请导航至 New Settings > Internet Security > Deep Packet Inspection

mceclip1.png

注意:Device fingerprinting 在 UniFi 安全网关上不可用。

DPI 限制

注意:  DPI 限制仅限于 UniFi 安全网关上的整个类别选择。此限制不适用于 UniFi Dream Machine 平台。 

    1.单击  “限制定义”下的“ 添加限制 ”。

    2.在配置侧面板中,选择一个限制组以添加规则。

    3.选择要阻止的类别。 

    4.从类别中选择一个应用程序,或选择“所有应用程序”以阻止整个类别。

    5.确保选中  启用此限制”。

    6.在“限制分配”部分中,将限制组添加到网络。 

注意:  限制定义可以应用于许多网络。不需要每个网络都进行限制定义。

要管理限制定义,请将鼠标悬停在定义上,然后选择编辑或删除。

mceclip2.png


配置网络扫描


回到顶部

注意: 网络扫描仅在 UniFi Dream Machine 上可用。 

端点扫描器

“端点扫描器”功能会自动扫描所有 LAN 上的客户端,以获取以下信息:

  • IP 地址
  • 操作系统
  • 开放端口
注意: 并非所有客户端都具有开放的端口或可检测到使用的操作系统。

扫描报告可在“威胁管理”仪表板上找到

Internal Honeypot

“Internal Honeypot”功能是一种被动检测系统,它侦听试图获得对未授权服务或主机的访问的 LAN 客户端。已知可能感染了蠕虫或渗透类型漏洞的客户端可以扫描网络,感染其他主机,还可以在易于访问的服务器上监听信息。当主机尝试访问 Honeypot 时,Honeypot 将报告。可以在“威胁管理”仪表板上找到报告。

要配置 Internal Honeypot,请执行以下步骤:

    1.导航到 New Settings > Internet Security > Network Scanners

mceclip4.png

    2.单击滑块按钮启用 Honeypot 服务。

    3.选择“添加 Honeypot”。

    4.在弹出模式中,选择网络和 Honeypot IP。

    5.选择“创建”。

Honeypot 服务

honeypot 服务在以下端口上进行侦听:

  • FTP - TCP 端口 21
  • SSH - TCP 端口 22
  • Telnet - TCP 端口 23
  • SMTP - TCP 端口 25
  • DNS - UDP 端口 53
  • HTTP - TCP 端口 80
  • POP3 - TCP 端口 110
  • SMB - TCP 端口 445
  • MSSQL - TCP 端口 1443

测试与验证


回到顶部

入侵检测/预防

Linux 或 macOS 系统

输入:

curl -A "BlackSun" www.example.com

预期的控制器警报结果:

Threat Management Alert 1: A Network Trojan was Detected. Signature ET USER_AGENTS Suspicious User Agent (BlackSun). From: 192.168.1.172:55693, to:172.217.4.196:80, protocol: TCP

Windows 系统

必须启用 DNS category

输入:

nslookup blacklistthisdomain.com 8.8.8.8

预期的控制器警报结果:

Threat Management Alert 1: A Network Trojan was Detected. Signature ET DNS Reply Sinkhole - 106.187.96.49 blacklistthisdomain.com. From: 192.168.1.1:53, to: 192.168.1.182:61440, protocol: UDP

内部蜜罐

下面是一些手动测试内部蜜罐服务的示例。以下命令可能会提示您输入登录账户密码。尝试测试后几分钟,警报将显示在“威胁管理”仪表板的“蜜罐”部分。

Telnet:

telnet <honeypot_ip>

SSH:

ssh <honeypot_ip>
注意: 用控制器中配置的蜜罐 IP 替换 <honeypot_ip>。

隐私声明


IPS / IDS引擎将哪些信息发送到云?

1. 当 UniFi 管理员在控制器上启用 IPS 或 IDS 时,将为网关生成令牌。只要有 IPS / IDS 签名匹配项,下面列出的信息就会通过 TLS 1.2 加密连接发送。

timestamp
interface
source IP
source port
destination IP
destination port
protocol
signature id

2.每隔 120 秒,ips1.unifi-ai.com 主机名将保持活动状态。该连接是为了确保消息的可靠传递。保持连接状态是使用端口 443 到我们的云的连接,因此它不仅是 ICMP ping 或 DNS 解析,而且是完整的三次握手和 SSL 密钥交换。

我们的服务器上保留了有关 IPS / IDS 的哪些信息?

上面列出的数据仅在控制器下载信息之前临时存储在 IPS Cloud 中。控制器下载信息后,将从攻击者 IP 之外的云中删除数据。攻击者的 IP 信息可帮助 Ubiquiti 保持最新有效的攻击者列表,从而改善 Ubiquiti 为全球 Ubiquiti 客户提供的服务。

Ubiquiti 使用的警报信息如何?

Ubiquiti 将使用警报信息来改善其产品和服务,包括生成 IP 信誉,恶意 IP地址,威胁情报列表以及为Ubiquiti 设备创建黑名单和新签名。可以在 Ubiquiti Public Threat Map 上显示经过净化的IP地址版本(例如:200.200.xx),以帮助公众查看全世界的恶意流量。


相关文章


回到顶部

UniFi - USG 高级应用

UniFi - USG 创建防火墙限制各网段间互访