Bedreigingssbeheer
[INFORMATION]
Ik beschrijf hier niet wat beter of slechter is. Ik ben ook absoluut geen netwerk man.
Speel met de opties en kijk wat je gemakkelijker of interessants vindt.
Geef ook vooral aan, waar het eventueel onduidelijk is of waar het niet correct is. Ik pas het dan graag aan en ik leer er ook weer van.
[/INFORMATION]
Onderstaand beschrijft een van de manieren om aanvallen van buiten zo goed mogelijk te beheren.
In de Unifi USG is de mogelijk om aanvallen op je netwerk te detecteren. Er zijn drie methodes:
Wanneer optie 1 gebruikt wordt, kan optie 2 en 3 niet meer gebruikt worden en andersom.
GeoIP filtering
Met GeoIP filering kun je landen blokkeren of toelaten.
Onderstaande figuur geeft weer hoe het in de classic bui instelling eruit ziet. In de nieuwe instelling kun je landen via een kaart blokkeren of toelaten.
Denk vooraf even na welke landen je zou willen blokkeren. Je kan namelijk maar maximaal 15 landen selecteren die je wilt blokkeren. Wil je er meer blokkeren, dan zul je de selectie misschien moeten omdraaien en instellen welke landen je wilt toelaten ipv blokkeren.
GeoIP filtering is een interessante optie om ongewenst verkeer buiten te laten. Valt wel in de categorie grote stappen, snel thuis. Echter dat is niet altijd erg, maar soms wil je meer.
Intrusion Detection System / Intrusion Prevention System
Wanneer je deze optie aanzet wordt geraadpleegd op een aantal factoren om te kijken of er aan aanval plaatsvindt. er zijn verschillende categorieën waarop je kan laten checken.
Deze twee filters, detection en prevention, zijn bijna identiek. Het enige verschil is dat bij detection alleen een melding gegeven wordt, waarbij bij prevention direct geblokkeerd wordt.
Let op dat hoe meer opties je aan zet, des te meer CPU en geheugen er verbruikt wordt. Althans dat zegt de handleiding. Ik heb alles aangezet en mijn gemiddelde CPU ligt rond de 8%. Er zijn wel pieken met uitschieters naar 60%. Maar pieken zijn niet erg, zolang dit maar niet de hele dag plaatsvindt.
Op het moment dat er een aanval plaats vindt, vind je dit terug in het bedreigingsbeheer overzicht:
De traffic log hier geeft de details:
Op zich wel heel interessant, want ook hier zie je vanuit welk land je een aanval krijgt.
In principe kun je het zo laten voor wat het is, immers de USG blokkeert automatisch de aanval.
Echter het geeft de aanvaller de volgende keer wel weer de optie om nog een keer aan te vallen. Die aanvaller kun je ook blokkeren zodat je daar de volgende keer geen last meer van hebt.
Wanneer je nu op een regel klikt, kun je kiezen of je deze wilt onderdrukken, blokkeren, op de blacklist of juist in de whitelist zetten.
Wanneer je ‘supress’ kiest, zul je er geen melding meer van krijgen.
Wanneer je ‘block’ of ‘blacklist’ kiest, zal er een regel in je firewall settings toegevoegd worden.
Wanneer je ‘whitellist’ kiest, zal deze op de whitelist gezet worden en altijd toegelaten worden.
Het verschil tussen ‘block’ en ‘blacklist’ is als volgt:
Een voordeel van IDS/IPS is dat je veel detail krijgt van wat er gebeurd. Echter kan dit ook weer een nadeel zijn. En voor je het weet heb je met met ‘block’ en ‘blacklist’ een gigantische hoeveelheid firewall regels waarmee je het overzicht niet meer ziet.
Wat ik gedaan heb om het overzicht een beetje te creëren, is groepen aanmaken.
Wanneer je een melding krijgt van een specifiek IP nummer, kun je er voor kiezen dit IP nummer toe te voegen aan een land. Echter de kans is groot dat dat betreffende IP nummer uit een IP reeks komt van een provider. Dus waarom dan niet direct een hele IP reeks blokkeren?
Als voorbeeld:
In onderstaand voorbeeld probeert IP nummer 192.241.237.144 binnen te komen op poort 80 van
device 192.18.1.5.
Het is te zien dat deze uit Amerika komt. Daarvoor heb ik nu een groep aangemaakt ‘USA’ waar ik IP reeksen uit Amerika blokkeer.
In het geval van bovenstaand IP adres 192.241.237.144 heb ik er voor gekozen om IP reeks 192.241.237.0/24 te blokkeren. De andere twee reeksen zijn van eerdere aanvallen geweest en heb ik hetzelfde gedaan.
In de firewall IP4 regels heb ik nu een rule aangemaakt ‘Blokeer USA’
Hierin neem blokkeer ik de IP reeksen uit Amerika die ik in de USA groep heb opgenomen.
Op deze manier blijft het overzichtelijker met betrekking tot de firewall rules.
Het nadeel van deze laatste methode is dat je, zeker in het begin, heel heel heel veel werk hebt om de groepen bij te houden. Aan de andere kant geeft het wel een interessant beeld waar de hacks vandaan komen.
[INFORMATION]
Ik beschrijf hier niet wat beter of slechter is. Ik ben ook absoluut geen netwerk man.
Speel met de opties en kijk wat je gemakkelijker of interessants vindt.
Geef ook vooral aan, waar het eventueel onduidelijk is of waar het niet correct is. Ik pas het dan graag aan en ik leer er ook weer van.
[/INFORMATION]
Onderstaand beschrijft een van de manieren om aanvallen van buiten zo goed mogelijk te beheren.
In de Unifi USG is de mogelijk om aanvallen op je netwerk te detecteren. Er zijn drie methodes:
- GeoIP filering. Landen selecteren die nooit toegang mogen hebben.
- IDS (Intrusion Detection System) Bij een aanval krijg je alleen een melding.
- IPS (Intrusion Preventing System) Bij een aanval krijg je een melding en wordt er gelijk geblokkeerd.
Wanneer optie 1 gebruikt wordt, kan optie 2 en 3 niet meer gebruikt worden en andersom.
GeoIP filtering
Met GeoIP filering kun je landen blokkeren of toelaten.
Onderstaande figuur geeft weer hoe het in de classic bui instelling eruit ziet. In de nieuwe instelling kun je landen via een kaart blokkeren of toelaten.
Denk vooraf even na welke landen je zou willen blokkeren. Je kan namelijk maar maximaal 15 landen selecteren die je wilt blokkeren. Wil je er meer blokkeren, dan zul je de selectie misschien moeten omdraaien en instellen welke landen je wilt toelaten ipv blokkeren.
GeoIP filtering is een interessante optie om ongewenst verkeer buiten te laten. Valt wel in de categorie grote stappen, snel thuis. Echter dat is niet altijd erg, maar soms wil je meer.
Intrusion Detection System / Intrusion Prevention System
Wanneer je deze optie aanzet wordt geraadpleegd op een aantal factoren om te kijken of er aan aanval plaatsvindt. er zijn verschillende categorieën waarop je kan laten checken.
Deze twee filters, detection en prevention, zijn bijna identiek. Het enige verschil is dat bij detection alleen een melding gegeven wordt, waarbij bij prevention direct geblokkeerd wordt.
Let op dat hoe meer opties je aan zet, des te meer CPU en geheugen er verbruikt wordt. Althans dat zegt de handleiding. Ik heb alles aangezet en mijn gemiddelde CPU ligt rond de 8%. Er zijn wel pieken met uitschieters naar 60%. Maar pieken zijn niet erg, zolang dit maar niet de hele dag plaatsvindt.
Op het moment dat er een aanval plaats vindt, vind je dit terug in het bedreigingsbeheer overzicht:
De traffic log hier geeft de details:
Op zich wel heel interessant, want ook hier zie je vanuit welk land je een aanval krijgt.
In principe kun je het zo laten voor wat het is, immers de USG blokkeert automatisch de aanval.
Echter het geeft de aanvaller de volgende keer wel weer de optie om nog een keer aan te vallen. Die aanvaller kun je ook blokkeren zodat je daar de volgende keer geen last meer van hebt.
Wanneer je nu op een regel klikt, kun je kiezen of je deze wilt onderdrukken, blokkeren, op de blacklist of juist in de whitelist zetten.
Wanneer je ‘supress’ kiest, zul je er geen melding meer van krijgen.
Wanneer je ‘block’ of ‘blacklist’ kiest, zal er een regel in je firewall settings toegevoegd worden.
Wanneer je ‘whitellist’ kiest, zal deze op de whitelist gezet worden en altijd toegelaten worden.
Het verschil tussen ‘block’ en ‘blacklist’ is als volgt:
- ‘block’ maakt een firewall regel aan op WAN-in en WAN-uit met alleen destination als block
- ‘blacklist’ maakt een firewall rule aan op op WAN-in en WAN-uit dat alle verkeer geblokkeerd wordt.
Een voordeel van IDS/IPS is dat je veel detail krijgt van wat er gebeurd. Echter kan dit ook weer een nadeel zijn. En voor je het weet heb je met met ‘block’ en ‘blacklist’ een gigantische hoeveelheid firewall regels waarmee je het overzicht niet meer ziet.
Wat ik gedaan heb om het overzicht een beetje te creëren, is groepen aanmaken.
Wanneer je een melding krijgt van een specifiek IP nummer, kun je er voor kiezen dit IP nummer toe te voegen aan een land. Echter de kans is groot dat dat betreffende IP nummer uit een IP reeks komt van een provider. Dus waarom dan niet direct een hele IP reeks blokkeren?
Als voorbeeld:
In onderstaand voorbeeld probeert IP nummer 192.241.237.144 binnen te komen op poort 80 van
device 192.18.1.5.
Het is te zien dat deze uit Amerika komt. Daarvoor heb ik nu een groep aangemaakt ‘USA’ waar ik IP reeksen uit Amerika blokkeer.
In het geval van bovenstaand IP adres 192.241.237.144 heb ik er voor gekozen om IP reeks 192.241.237.0/24 te blokkeren. De andere twee reeksen zijn van eerdere aanvallen geweest en heb ik hetzelfde gedaan.
In de firewall IP4 regels heb ik nu een rule aangemaakt ‘Blokeer USA’
Hierin neem blokkeer ik de IP reeksen uit Amerika die ik in de USA groep heb opgenomen.
Op deze manier blijft het overzichtelijker met betrekking tot de firewall rules.
Het nadeel van deze laatste methode is dat je, zeker in het begin, heel heel heel veel werk hebt om de groepen bij te houden. Aan de andere kant geeft het wel een interessant beeld waar de hacks vandaan komen.
