ネットワーク侵入検知・防止システム (IPS/IDS) は、シグニチャ (攻撃の特徴やパターン) に基づいて潜在的に悪意のある通信を識別する機能です。この機能を有効にするには、UniFi Network Controllerの左メニューの上部にある[Try New Settings]をクリックし、最新のUIに切り替えます。

IPS/IDSを適用可能なシステムは下記の通りです。

  • UniFi Network Controller ソフトウェア 5.9 以降

  • UniFi Security Gateway ファームウェア 4.4.18 以降

  • UniFi Dream Machine

IPS/IDSを有効にするには、UniFi Network Controllerの[Internet Security] > [Threat Management]に移動します。なお、IPS/IDSを有効にすると、VLAN間および出力トラフィックの最大スループットがおおよそ以下まで抑制されます。

UniFi Security Gateway 85 Mbps
UniFi Dream Machine 850 Mbps
UniFi Dream Machine Pro 3.5 Gbps
  • [Intrusion Detection System (進入検知システム)]を有効にすると、ネットワーク上に存在する脅威を自動的に検出して警告しますが、悪意のある通信自体は遮断されません。

  • [Intrusion Prevention System (進入防止システム)]を有効にすると、潜在的に悪意のある通信が自動的に検出、警告、遮断されます。

[System Sensitivity Levels (IDS/ISPの感度レベル)] は、脅威管理デーモンにロードされる、カテゴリ別の脅威検知ルールのレベルです。レベルを上げるごとにメモリとCPUの使用率が上昇します。

Virus & Malware Protection [Botcc] 既知のアクティブなボットネットおよびコマンド&コントロールサーバとの通信を検知します。
[Malware] マルウェアとスパイウェアに関する既知のシグネチャ、マルウェアが利用する既知のユーザーエージェント文字列パターンを用い、マルウェアの活動を検知します。
[WORM] ネットワークに潜むワームのアクティビティを示す通信を検知します。
P2P Protection [P2P] 攻撃に利用されやすいtorrent, edonkey, Bittorrent, Gnutella, Limewire等のP2Pクライアントからの通信を検知します。
[TOR] TOR (The Onion Router) は、TCP/IPにおける接続経路の匿名化を実現するための規格、及びそれを実装であるソフトウェア/サービスの名称です。攻撃者は、TORを送信元アドレスや位置情報の隠蔽に使い、また、IPアドレス/ドメインのブラックリストに基づく検知の回避にも利用しますが、このような通信を検知します。
Hacking Protection [Exploit] WindowsシステムやFlashプレイヤー、SQLサーバなどに潜む脆弱性を突いて攻撃する活動を検知します。
[Shellcode] リモートシェルコードは、攻撃者がローカルネットワークまたはイントラネット上の別のマシンで実行されている脆弱なプロセスをターゲットにする場合に使用されます。通常、標準のTCP/IPソケット接続を使用して、攻撃者がターゲットマシンのシェルにアクセスできるようにしますが、このような活動を検知します。
Internet Traffic Protection [DNS] マルウェアがC&Cサーバと通信する際 (ほとんどの企業ではファイアウォールで制限されることのない) DNSプロトコルを利用するケースが確認されています。ここでは、TXTレコードやAレコードの中に、連続してランダムな (長い) 文字列 (暗号化された指令や応答) を乗せてクエリしているものを検知します。
[User Agents] HTTPのUser-Agentヘッダを用いてマルウェア通信を行う攻撃を検知します。
Bad Reputation Protection [Dshield] 世界中のファイアウォールログの収集&分析を行うコミュニティDShieldで更新される攻撃者のリストを用い攻撃者の活動を相関検知します。
[Spamhaus] 迷惑メール発信元の特定やスパム対策を行うプロジェクトSpamhausで更新されるブラックリストを用い攻撃者の活動を相関検知します。

これらの脅威検知カテゴリのソースは、ProofpointのET Proのルールセットです。Proofpoint ET Proは、次世代ファイアウォール (NGFW) やネットワーク侵入検知・防止システム (IDS/IPS) などの既存のネットワークセキュリティアプライアンスを使用して高度な脅威を検出およびブロックするためのタイムリーで正確なルールセットです。

ET Proは毎日更新され、SNORTおよびSuricata形式で利用できます。 40以上の異なるカテゴリのネットワーク動作、マルウェアのコマンド&コントロール、DoS攻撃、ボットネット、エクスプロイト、脆弱性、SCADAネットワークプロトコル、エクスプロイトキットアクティビティなどをカバーします。

GeoIPフィルターを有効にするには、[Internet Security] > [GeoIP Filtering]に移動します。
[GeoIP Blocked Traffic Direction]でブロックするトラフィックの方向を選択できます。

個別の国のブロックは、[Threat Management Dashboard (脅威管理ダッシュボード)]で設定できます。ブロックするには地図上でその国を[Block]するだけです。

USG (UniFi Security Gateway) でGeoIPフィルターを機能させるには、ハードウェアオフロードを有効にする必要があります。なお、IDS/IPSを有効にするとハードウェアオフロードが無効になります。つまり、USGで一度に有効にできるのはこれら2つの機能のうち1つだけです。

DNSフィルターを有効にするには、[Internet Security] > [DNS Filters]に移動します。
DNSフィルタを有効にすると、管理者はネットワークセグメントごとにフィルタを適用できます。
DNSフィルターは、UniFi Dream Machineプラットフォームでのみ使用できます。

フィルターが適用されたセグメントにおけるクライアントから送信されるすべてのDNS要求は、次の3つのカテゴリのポリシーに基づいて除去されます。

カテゴリ 説明
Security フィッシング、スパム、マルウェア、悪意のあるドメインへのアクセスがブロックされます。
Adult フィッシング、スパム、マルウェア、悪意のあるドメインへのアクセスがブロックされます。
アダルトサイト、ポルノサイト、露出の多いサイトへのアクセスがブロックされます。
GoogleやBingによる検索にはセーフモードが適用されます。
Family フィッシング、スパム、マルウェア、悪意のあるドメインへのアクセスがブロックされます。
アダルトサイト、ポルノサイト、露出の多いサイトへのアクセスがブロックされます。
GoogleやBing、YouTubeによる検索にはセーフモードが適用されます。
フィルターをバイパスするために使用されるプロキシドメインとVPNドメインへのアクセスがブロックされます。

Deep Packet Inspection (DPI) を有効にするには、[Internet Security] > [Deep Packet Inspection]に移動します。

[Deep Packet Inspection]により、クライアントのトラフィック検査と利用アプリケーションの可視化が有効となります。

また、[Device Fingerprinting]を有効にすることで、クライアントデバイスの製造元情報等が判るようになります (UDMで利用できる機能です)。

[RESTRICTION DEFINITIONS]にて、DPIの処理に基づいた、利用アプリケーション制限を施すことが可能です。制限を施す[Group]を作成し、制限する[Category]から[Applicaiton]を選択します。

次の例では、"corporate"という[Group]に、業務に必要のない[File Sharing services and tools][Instant Messenger][Peer-to-peer networks][Social networks]との通信をブロックする設定を有効化します。

[RESTRICTION ASSIGNMENTS]にて、定義済みの[Restriction Group (制限グループ)]を[Assign Restrictions to Network]から目的のネットワークセグメントに適用する、あるいは、[Assign Restrictions to Wifi Network]から目的のSSIDに適用することができます。

ネットワークスキャナーを有効にするには、[Internet Security] > [Network Scanners]に移動します。

ネットワークに接続されているエンドポイント (クライアント) を自動的にスキャンし、潜在的なセキュリティの脅威と脆弱性を特定します。この情報の集計レポートは、[Threat Management Dashboard (脅威管理ダッシュボード)]で確認できます。

この仕組みは無許可のサービスまたはホストにアクセスしようとするLANクライアントをリッスンするパッシブな検出システムです。ワームや侵入型の脆弱性に感染している可能性のあるクライアントは、ネットワークをスキャンし、他のホストに感染し、アクセスしやすいサーバーの情報を盗み見ている可能性があります。内部ハニーポットは、ホストがハニーポットにアクセスしようとすると報告します。この情報の集計レポートは、[Threat Management Dashboard (脅威管理ダッシュボード)]で確認できます。


© Amalance LLC