Các UniFi Gateway cung cấp nhiều tùy chọn giúp người dùng cải thiện bảo mật mạng UniFi của mình. Trong bài viết này, chúng tôi sẽ hướng dẫn mọi người cách quản lý các mối đe dọa, cách để bạn phát hiện và ngăn chặn lưu lượng truy cập có thể gây hại từ hệ thống của mình dựa trên các tín hiệu cảnh báo các mối đe dọa đã được định cấu hình trước.
Cấu hình Threat management (quản lý các mối đe dọa) trên UniFi
Để cấu hình quản lý các mối đe dọa được bật trong phần Settings → Firewall & Security của Ứng dụng UniFi Network, bạn cần phải chọn một trong hai tùy chọn:
- Detect Only (IDS): Bạn sẽ được thông báo về bất kỳ mối đe dọa tiềm ẩn nào. Tuy nhiên lưu lượng truy cập sẽ tiếp tục trừ khi bạn chọn chặn lưu lượng thủ công.
- Detect and Block (IPS): Các mối đe dọa được phát hiện sẽ dẫn đến việc nguồn của mối đe dọa bị chặn trong 300 giây. Điều này đảm bảo rằng việc phát hiện sai các mối đe dọa không dẫn đến việc chặn vĩnh viễn tất cả lưu lượng truy cập từ một trang web không có hại. Bạn được quyền chọn nếu bạn muốn chặn vĩnh viễn các mối đe dọa hoặc đưa chúng vào danh sách lưu lượng vô hại.
Sau khi được bật, hãy chọn Sensitivity. Các sensitivities dựa trên các danh mục Threat, mỗi Danh mục đều chứa danh sách “Threat Signatures” đối với các mối đe dọa đã biết thuộc từng danh mục. Chúng tôi khuyên hầu hết người dùng chọn từ danh sách các tùy chọn được định cấu hình trước.
Lưu ý: Bật Threat Management sẽ làm giảm tốc độ thông lượng.
Quản lý các mối đe dọa được phát hiện trên mạng UniFi
Các mối đe dọa được phát hiện sẽ được liệt kê trong phần Traffic Inspector của ứng dụng UniFi Network. Nhấp vào một detected threat (mối đe dọa được phát hiện) sẽ cho phép bạn định cấu hình cách xử lý mối đe dọa:
- Block: Chặn lưu lượng truy cập giữa địa chỉ IP nguồn và IP đích của mối đe dọa này.
- Isolate Device: Chặn lưu lượng truy cập internet đến và đi từ địa chỉ IP nguồn của mối đe dọa này.
- Allow from All IPs: Tín hiệu (Signature) của mối đe dọa này sẽ không kích hoạt threat detection (phát hiện mối đe dọa) nữa. Thao tác này sẽ tạo một mục nhập trong bảng Signature Suppression được tìm thấy trong Firewall & Security Settings.
- Allow for This IP: Địa chỉ IP nguồn này sẽ không còn kích hoạt khả năng phát hiện mối đe dọa nữa. Thao tác này sẽ tạo một mục nhập trong bảng Threat Management Allow List (bảng danh sách cho phép quản lý mối đe dọa) được tìm thấy trong Firewall & Security settings.
Cách kiểm tra và xác minh các mối đe dọa
Để kiểm tra khả năng phát hiện các mối đe dọa, bạn hãy sử dụng giao diện dòng lệnh command line khi được kết nối với gateway UniFi Network của bạn.
Input: curl -A “BlackSun” www.example.com
Expected alert result:
Threat Management Alert 1: A Network Trojan was Detected. Signature ET USER_AGENTS Suspicious User Agent (BlackSun). From: 192.168.1.172:55693, to:172.217.4.196:80, protocol: TCP
Tính năng Threat Management giúp đảm bảo quyền riêng tư
Khi tính năng Threat Management được bật, mã thông báo sẽ được tạo cho cổng. Thông tin sau được gửi qua kết nối được mã hóa TLS 1.2 bất cứ khi nào có sự trùng khớp về các tín hiệu: timestamp, interface, source IP, source port, destination IP, destination port, protocol, signature id.
Dữ liệu chỉ được lưu trữ tạm thời cho đến khi ứng dụng UniFi Network tải xuống thông tin. Sau khi thông tin được tải xuống bởi ứng dụng, dữ liệu sẽ bị xóa khỏi cloud ngoại trừ IP của hacker. Thông tin IP của hacker sẽ giúp Ubiquiti duy trì danh cập nhật danh sách hacker. Danh sách này sẽ có ích cho tất cả người dùng Ubiquiti trên toàn thế giới.
Ubiquiti sẽ sử dụng thông tin cảnh báo để cải thiện các sản phẩm và dịch vụ của mình, bao gồm tạo danh sách IP định danh, Địa chỉ IP độc hại, Các mối đe dọa thông minh và tạo danh sách đen cũng như các tín hiệu cảnh báo mới cho các thiết bị Ubiquiti. Phiên bản địa chỉ IP sạch (Ví dụ: 200.200.x.x) cũng có thể được hiển thị trên Ubiquiti Public Threat Map để giúp hiển thị lưu lượng truy cập độc hại.
Vừa rồi là những hướng dẫn về cách quản lý các mối đe dọa ảnh hưởng đến bảo mật trên hệ thống mạng UniFi. Mọi thắc mắc bạn có thể liên hệ giải đáp qua
Hỗ Trợ Kỹ Thuật: 028-7300-2222
Số máy lẻ (Ext): 89777 Hoặc 8654