Привет, @UI-Team!
Я использую Unifi Gear уже два года, и хотя мой опыт был стабильным до сих пор, я чувствую, что в функциональности безопасности UnifiOS еще есть много возможностей для улучшения, а также необходимы некоторые исправления стабильности, особенно те, что указаны в разделе "Критические ошибки". Я рассматривал возможность обновления с UDM SE на EFG, но из-за существующих критических ошибок и недостатка лучшей видимости трафика я немного колеблюсь.
**Критические ошибки** – Если эти ошибки существуют на Enterprise Fortress Gateway (UDM SE), это критично.
* **Проблема с питанием** – Я не знаю, это изолированный случай или же это происходит на всех UDM-SE, UDM Pro и UDM Pro Max, но после отключения питания моего UDM-SE (особенно если он был горячим – работал при температуре 40-60 градусов Цельсия – или при внезапном отключении питания – я знаю, что должен использовать ИБП и всё такое…) мне приходится ждать 45 минут, прежде чем он включится. Из-за этого это однозначно критично, если эта ошибка существует в EFG (Я бы не смог оправдать это за $4000 AUD за файрвол). Эта ошибка не возникает на UDR, что странно.
**Хорошие функции** – Запросы функций, улучшающие безопасность и видимость трафика, хотелось бы видеть их на Enterprise Fortress Gateway.
* **Больше информации о Suricata** – Логирование полезной нагрузки пакета, который вызвал правило Suricata. Если вы не знали, UnifiOS использует Suricata для своей системы IDS и IPS, и поскольку Suricata имеет возможность логирования полезной нагрузки, позволяющую логировать полезную нагрузку пакета, обнаруженного определенным набором правил. Я считаю, что в некоторых случаях это может дать лучшее представление о том, что происходит, а также обеспечить лучшую видимость содержимого пакета для устранения неполадок и расследования (см. Рис. 1).
[Изображение /upload/forum/unifi/5a8a30c5-3622-4aa7-b838-16f37966b63b.png]
Рис. 1 – OpnSense Suricata детальный просмотр оповещений
* **Пересылка зашифрованного SSL/TLS трафика в Suricata (Enterprise Fortress Gateway)** – Это дает Suricata лучшую видимость, поскольку большинство правил Suricata смотрят на данные уровня приложений. Исправьте меня, если я ошибаюсь или неверно понимаю, но большинство наборов правил Suricata (по крайней мере, тот, что предлагает Ubiquiti) проверяют данные уровня приложения (очевидно, из Рис. 2), поэтому я считаю, что имеет смысл пересылать трафик в Suricata для анализа. Из 18475 сигнатур эффективны только 3169 сигнатур, если пакет зашифрован TLS и SSL. Даже если корректировать на предмет проверки не зашифрованной информации, например, информацию TLS, такую как SNI, эффективными будут максимум 5000 сигнатур (щедрая оценка, неточная цифра). Это означает, что только 17% или 26% (при щедрой оценке) сигнатур в наборах правил эффективны, если пакет зашифрован с помощью TLS и SSL (очевидно, из Рис. 2).
[Изображение /upload/forum/unifi/3560a60c-5894-413d-b72d-38a6e54e9c33.png]
Рис. 2 – Логи Suricata в консоли Unifi
* **Возможность замены сертификатов RADIUS сервера** – Само собой разумеется. На момент написания этой статьи была выпущена версия UnifiOS v4.1.9 с поддержкой пользовательских сертификатов TLS для доступа к веб-управлению Unifi OS, я считаю, что этот интерфейс также можно реализовать для замены сертификатов RADIUS сервера, позволяя этой возможности.
**Функции, которые были бы полезны** – Функции, которые я бы хотел увидеть реализованными для обеспечения лучшей видимости и понимания, но они не являются критичными для EFG.
* **Более подробное ведение журнала и информация о каждом устройстве** – Логирование DNS и IP для каждого хоста, похоже на то, что делает Firewalla (как показано на Рис. 3). Это позволило бы лучше отслеживать устройство.
[Изображение /upload/forum/unifi/e8b594c9-b513-4f8c-a9ff-a2bc5b3e369d.png]
Рис. 3 – Логи потока DNS Firewalla
* **Лучшее понимание идентификации приложений** – Текущая система довольно неоднозначна и не детализирована. Я считаю, что эта система должна обеспечивать лучшее понимание, возможно, показывать, какой IP-адрес назначения вызвал идентификацию, и, если это возможно, разрешать DNS для этого IP-адреса назначения, а также другую подробную аналитику. Это позволило бы получить гораздо больше подробной информации (см. Рис. 4).
[Изображение /upload/forum/unifi/f4142d35-b253-4979-839f-830204eca22e.png]
Рис. 4 – Детальный просмотр потока сети и идентификации приложений NtopNG
* **Живое представление файрвола** – Хорошо подходит для устранения неполадок и мониторинга в реальном времени (см. Рис. 5).
[Изображение /upload/forum/unifi/577916e7-be05-4018-ad1c-9946344b2aba.png]
Рис. 5 – OpnSense Live view
* **Возврат уведомления «Безопасно отключать» на небольшом экране консоли LCD, когда консоль завершает выключение питания UDM-SE, не уверена по UDM Pro Max и UDM Pro** – Почему это уведомление было удалено?
* **Возможность загружать наборы правил для IDS и IPS из веб-интерфейса** – Это была бы полезная функция, учитывая, что Enterprise Fortress Gateway ориентирована на предприятия, некоторым предприятиям могут потребоваться собственные разработанные правила, добавление этого расширит возможности консоли.
* **Лучшая настройка для PXE Boot** – Условно обслуживать файлы PXE Boot на основе архитектуры. Это уже можно сделать из командной строки, как показано здесь: [ >) (Возможно, отобразить редактирование conf в UI Unifi Network?).
* **Сохранение снимков пакетов правил набора Suricata** – Существует настройка Suricata (требуется обновление до Suricata v7.0.2 или выше, UnifiOS находится на v6.0.12 на момент написания), которая позволяет сохранять пакеты данных, которые вызывают сигнатуру, включение этого обеспечило бы лучшее ведение журнала и позволило бы проводить углубленные исторические расследования оповещений IDS и IPS ([ >)).
Я использую Unifi Gear уже два года, и хотя мой опыт был стабильным до сих пор, я чувствую, что в функциональности безопасности UnifiOS еще есть много возможностей для улучшения, а также необходимы некоторые исправления стабильности, особенно те, что указаны в разделе "Критические ошибки". Я рассматривал возможность обновления с UDM SE на EFG, но из-за существующих критических ошибок и недостатка лучшей видимости трафика я немного колеблюсь.
**Критические ошибки** – Если эти ошибки существуют на Enterprise Fortress Gateway (UDM SE), это критично.
* **Проблема с питанием** – Я не знаю, это изолированный случай или же это происходит на всех UDM-SE, UDM Pro и UDM Pro Max, но после отключения питания моего UDM-SE (особенно если он был горячим – работал при температуре 40-60 градусов Цельсия – или при внезапном отключении питания – я знаю, что должен использовать ИБП и всё такое…) мне приходится ждать 45 минут, прежде чем он включится. Из-за этого это однозначно критично, если эта ошибка существует в EFG (Я бы не смог оправдать это за $4000 AUD за файрвол). Эта ошибка не возникает на UDR, что странно.
**Хорошие функции** – Запросы функций, улучшающие безопасность и видимость трафика, хотелось бы видеть их на Enterprise Fortress Gateway.
* **Больше информации о Suricata** – Логирование полезной нагрузки пакета, который вызвал правило Suricata. Если вы не знали, UnifiOS использует Suricata для своей системы IDS и IPS, и поскольку Suricata имеет возможность логирования полезной нагрузки, позволяющую логировать полезную нагрузку пакета, обнаруженного определенным набором правил. Я считаю, что в некоторых случаях это может дать лучшее представление о том, что происходит, а также обеспечить лучшую видимость содержимого пакета для устранения неполадок и расследования (см. Рис. 1).
[Изображение /upload/forum/unifi/5a8a30c5-3622-4aa7-b838-16f37966b63b.png]
Рис. 1 – OpnSense Suricata детальный просмотр оповещений
* **Пересылка зашифрованного SSL/TLS трафика в Suricata (Enterprise Fortress Gateway)** – Это дает Suricata лучшую видимость, поскольку большинство правил Suricata смотрят на данные уровня приложений. Исправьте меня, если я ошибаюсь или неверно понимаю, но большинство наборов правил Suricata (по крайней мере, тот, что предлагает Ubiquiti) проверяют данные уровня приложения (очевидно, из Рис. 2), поэтому я считаю, что имеет смысл пересылать трафик в Suricata для анализа. Из 18475 сигнатур эффективны только 3169 сигнатур, если пакет зашифрован TLS и SSL. Даже если корректировать на предмет проверки не зашифрованной информации, например, информацию TLS, такую как SNI, эффективными будут максимум 5000 сигнатур (щедрая оценка, неточная цифра). Это означает, что только 17% или 26% (при щедрой оценке) сигнатур в наборах правил эффективны, если пакет зашифрован с помощью TLS и SSL (очевидно, из Рис. 2).
[Изображение /upload/forum/unifi/3560a60c-5894-413d-b72d-38a6e54e9c33.png]
Рис. 2 – Логи Suricata в консоли Unifi
* **Возможность замены сертификатов RADIUS сервера** – Само собой разумеется. На момент написания этой статьи была выпущена версия UnifiOS v4.1.9 с поддержкой пользовательских сертификатов TLS для доступа к веб-управлению Unifi OS, я считаю, что этот интерфейс также можно реализовать для замены сертификатов RADIUS сервера, позволяя этой возможности.
**Функции, которые были бы полезны** – Функции, которые я бы хотел увидеть реализованными для обеспечения лучшей видимости и понимания, но они не являются критичными для EFG.
* **Более подробное ведение журнала и информация о каждом устройстве** – Логирование DNS и IP для каждого хоста, похоже на то, что делает Firewalla (как показано на Рис. 3). Это позволило бы лучше отслеживать устройство.
[Изображение /upload/forum/unifi/e8b594c9-b513-4f8c-a9ff-a2bc5b3e369d.png]
Рис. 3 – Логи потока DNS Firewalla
* **Лучшее понимание идентификации приложений** – Текущая система довольно неоднозначна и не детализирована. Я считаю, что эта система должна обеспечивать лучшее понимание, возможно, показывать, какой IP-адрес назначения вызвал идентификацию, и, если это возможно, разрешать DNS для этого IP-адреса назначения, а также другую подробную аналитику. Это позволило бы получить гораздо больше подробной информации (см. Рис. 4).
[Изображение /upload/forum/unifi/f4142d35-b253-4979-839f-830204eca22e.png]
Рис. 4 – Детальный просмотр потока сети и идентификации приложений NtopNG
* **Живое представление файрвола** – Хорошо подходит для устранения неполадок и мониторинга в реальном времени (см. Рис. 5).
[Изображение /upload/forum/unifi/577916e7-be05-4018-ad1c-9946344b2aba.png]
Рис. 5 – OpnSense Live view
* **Возврат уведомления «Безопасно отключать» на небольшом экране консоли LCD, когда консоль завершает выключение питания UDM-SE, не уверена по UDM Pro Max и UDM Pro** – Почему это уведомление было удалено?
* **Возможность загружать наборы правил для IDS и IPS из веб-интерфейса** – Это была бы полезная функция, учитывая, что Enterprise Fortress Gateway ориентирована на предприятия, некоторым предприятиям могут потребоваться собственные разработанные правила, добавление этого расширит возможности консоли.
* **Лучшая настройка для PXE Boot** – Условно обслуживать файлы PXE Boot на основе архитектуры. Это уже можно сделать из командной строки, как показано здесь: [ >) (Возможно, отобразить редактирование conf в UI Unifi Network?).
* **Сохранение снимков пакетов правил набора Suricata** – Существует настройка Suricata (требуется обновление до Suricata v7.0.2 или выше, UnifiOS находится на v6.0.12 на момент написания), которая позволяет сохранять пакеты данных, которые вызывают сигнатуру, включение этого обеспечило бы лучшее ведение журнала и позволило бы проводить углубленные исторические расследования оповещений IDS и IPS ([ >)).