Система обнаружения и предотвращения вторжений (IDS/IPS)
Настройка системы защиты от сетевых угроз в UniFi: обнаружение вторжений, блокировка атак, защита от сканирования портов и вредоносного трафика.
Что такое IDS/IPS?
IDS (Intrusion Detection System) — система обнаружения вторжений, которая анализирует сетевой трафик и предупреждает об угрозах.
IPS (Intrusion Prevention System) — система предотвращения вторжений, которая не только обнаруживает, но и автоматически блокирует вредоносный трафик.
Принцип работы
UniFi использует движок Suricata — один из самых мощных open-source решений для анализа трафика:
Deep Packet Inspection
Глубокий анализ содержимого пакетов, а не только заголовков
Сигнатуры угроз
База из тысяч правил для обнаружения известных атак
Автоблокировка
Мгновенная блокировка вредоносного трафика в режиме IPS
Статистика угроз
Подробные отчёты о всех обнаруженных инцидентах
Включение IDS/IPS
Базовая настройка
- Откройте Settings → Security → Threat Management
- Включите Intrusion Detection System
- Выберите режим работы:
- Detection Only — только обнаружение (IDS)
- Detection and Prevention — обнаружение и блокировка (IPS)
- Нажмите Apply Changes
Производительность с IDS/IPS
| Устройство | Без IDS/IPS | С IDS/IPS | Снижение |
|---|---|---|---|
| Dream Router | 1 Гбит/с | ~700 Мбит/с | 30% |
| Cloud Gateway Ultra | 1 Гбит/с | ~1 Гбит/с | Минимальное |
| Dream Machine | 1 Гбит/с | ~850 Мбит/с | 15% |
| Dream Machine Pro | 3.5 Гбит/с | ~3.5 Гбит/с | Минимальное |
| Dream Machine SE | 3.5 Гбит/с | ~3.5 Гбит/с | Минимальное |
| Cloud Gateway Max | 2.5 Гбит/с | ~2.5 Гбит/с | Минимальное |
| Dream Wall | 10 Гбит/с | ~5 Гбит/с | 50% |
| Enterprise Fortress Gateway | 10+ Гбит/с | ~10 Гбит/с | Минимальное |
Уровни чувствительности
UniFi предлагает несколько предустановленных уровней, определяющих какие категории угроз отслеживаются:
| Уровень | Описание | Категории угроз | Нагрузка |
|---|---|---|---|
| Minimal | Только критические угрозы | Exploits, Malware, Botnet C&C | Низкая |
| Default | Баланс защиты и производительности | + DoS, Scan, Suspicious | Средняя |
| Aggressive | Максимальная защита | + Policy violations, Emerging threats | Высокая |
| Custom | Ручной выбор категорий | На ваш выбор | Зависит от настроек |
Категории угроз
При выборе уровня Custom вы можете включить/отключить конкретные категории:
| Категория | Что обнаруживает |
|---|---|
| Emerging Threats | Новые и развивающиеся угрозы |
| Malware | Вредоносное ПО, вирусы, трояны |
| Botnet | Связь с командными серверами ботнетов |
| Exploits | Попытки эксплуатации уязвимостей |
| DoS/DDoS | Атаки типа отказ в обслуживании |
| Scan | Сканирование портов и разведка |
| Tor | Трафик через сеть Tor |
| P2P | Пиринговые сети (BitTorrent и др.) |
| Games | Игровой трафик |
| Inappropriate | Нежелательный контент |
Защита внутренних сетей
По умолчанию IDS/IPS проверяет только трафик между интернетом и локальной сетью. Вы можете включить проверку трафика между VLAN:
- Перейдите в Settings → Security → Threat Management
- Прокрутите до секции Internal Honeypot
- Включите Restrict Access to Internal Addresses
- Выберите сети, между которыми проверять трафик
Управление исключениями
Если IDS/IPS блокирует легитимный трафик, вы можете создать исключение:
Исключение по сигнатуре
- Перейдите в Security → Threat Management → Threats
- Найдите нужное событие в списке
- Нажмите на событие для просмотра деталей
- Нажмите Suppress (Подавить)
- Выберите область действия:
- Everywhere — везде
- By Source — для конкретного источника
- By Destination — для конкретного назначения
Исключение по IP-адресу
- Перейдите в Settings → Security → Threat Management
- Найдите секцию Suppression
- Нажмите Add Entry
- Введите IP-адрес или подсеть
- Выберите направление (Source/Destination/Both)
Просмотр событий безопасности
Dashboard
На главной странице Network отображается виджет Security с количеством угроз за последние 24 часа.
Детальный просмотр
- Перейдите в Security → Threat Management → Threats
- Используйте фильтры:
- Severity — уровень серьёзности
- Category — категория угрозы
- Action — предпринятое действие (Alert/Block)
- Time Range — временной период
- Нажмите на событие для просмотра деталей:
- Название сигнатуры
- Источник и назначение
- Время и частота
- CVE (если применимо)
Геоблокировка (GeoIP Filtering)
Блокировка трафика из определённых стран — дополнительный уровень защиты:
- Перейдите в Settings → Security → Traffic & Firewall Rules
- Переключитесь на вкладку Traffic Rules
- Нажмите Create New Rule
- Настройте правило:
- Action: Block
- Category: Regional
- Region: выберите страны для блокировки
- Schedule: Always
- Нажмите Add Rule
Internal Honeypot
Honeypot (приманка) — это ловушка для обнаружения злоумышленников внутри сети:
Как работает
- Система создаёт виртуальные IP-адреса в ваших сетях
- Легитимные устройства никогда не обращаются к этим адресам
- Любое обращение к honeypot — признак сканирования или заражения
- Система немедленно уведомляет о подозрительной активности
Включение
- Перейдите в Settings → Security → Threat Management
- Найдите секцию Internal Honeypot
- Включите Enable Internal Honeypot
- Выберите сети для размещения приманок
Рекомендации по настройке
Для домашней сети
- Режим: Detection and Prevention
- Уровень: Default
- GeoIP: блокировка регионов с высоким уровнем угроз (по желанию)
- Internal Honeypot: не обязательно
Для малого бизнеса
- Режим: Detection and Prevention
- Уровень: Default или Aggressive
- GeoIP: блокировка нежелательных регионов
- Internal Honeypot: рекомендуется
- Регулярный просмотр журнала угроз
Для enterprise
- Режим: Detection and Prevention
- Уровень: Custom с тонкой настройкой
- GeoIP: строгая политика
- Internal Honeypot: обязательно
- Проверка внутреннего трафика между критичными VLAN
- Интеграция с SIEM (через syslog)
Устранение проблем
Ложные срабатывания
Если блокируется легитимный трафик:
- Проверьте журнал в Threats
- Определите сигнатуру, вызывающую блокировку
- Создайте исключение для конкретной сигнатуры или IP
- Рассмотрите понижение уровня чувствительности
Снижение скорости
Если скорость интернета упала после включения IDS/IPS:
- Проверьте загрузку CPU на шлюзе
- Понизьте уровень чувствительности
- Отключите проверку внутреннего трафика
- Рассмотрите более мощное устройство
Сигнатуры не обновляются
- Проверьте интернет-соединение шлюза
- Убедитесь, что время на устройстве корректное
- Перезагрузите шлюз
