Synology RT2600ac/RT1900ac無線路由器的入侵偵測與防禦套件 – Intrusion Prevention

講到網路安全，配備防火牆產品就已足夠了嗎？或許專家會告訴你，防火牆與防毒系統僅是網路基本的防護措施而已，因為防毒軟體要等到爆發才能偵測到，防火牆雖然可以阻斷不明的封包，但很容易被偽裝堂而皇之大方進入企業網路，所以入侵偵測與防護相繼孕育而生，Synology RT2600ac /RT1900ac無線路由器提供了Intrusion Prevention套件，入侵偵測與入侵防禦一次到位，讓你的網路更安全。

一般企業都會在企業內部網路(Intranet)及網際網路(Internet)之間架設一道可監控管理的界面（Gateway），俗稱防火牆，記得20幾年第一次聽到時，以為是防火的設備，原來是管制所有網路封包的進出，以防止網路上針對特定資料的存取動作，不過當時防火牆的設備之價格還真是天價，除了大企業外，連中小企業也都未必能買單，Synology RT2600ac /RT1900ac無線路由器，除了標準的安全性工具，如拒絕服務 (denial-of-service) 防護功能及防火牆管理功能外，也帶來多種嶄新工具及功能，如Intrusion Prevention套件的入侵偵測系統（IDS）可分析網路流量並記錄可能的入侵行為，還可針對網路防火牆安全規則進行精細的調整，毫不影響運作效能，入侵防禦系統（IPS）更可依據自訂規則阻絕可疑流量，保護網路免於外來攻擊的侵害。

Synology RT2600ac無線路由器不只是一台無線路由器而已，接上USB行動儲存空間，搖身一變成為一台輕量型的NAS，尤其是搭配SRM系統將雙核心1.7GHz的高通處理器發揮的淋漓盡致，相關的文章可參考筆者撰寫的Synology RT2600ac無線路由器文章，如下：

安裝 Intrusion Prevention套件

在路由器SRM 1.1上可以找到VPN Plus Server套件，挨踢路人甲使用Synology RT2600ac來操作說明，安裝Intrusion Prevention套件之前，請先進入「主選單」→ 「套件中心」來尋找並安裝Intrusion Prevention套件。

安裝後看到下載與安裝，請耐心等待。

Intrusion Prevention套件會將外接的儲存空間（USB行動裝置）的部分分配給套件作為記憶體使用，所以啟動此套件請勿隨意卸下USB外接儲存裝置，不然會造成系統失敗，且須注意，僅在無線路由器模式下才能運作此套件哦！

安裝完後開啟主選單畫面，可以直接看到Intrusion Prevention圖示，點選來執行進入設定。

IDS或IPS操作模式

防火牆雖然能拒絕非法的連線請求，但對於一旦入侵後的攻擊行為一無所知，因此無線路由器上提供入侵偵測與防護功能少之又少，Synology RT2600ac/RT19800ac打破了這個迷失，只要有Intrusion Prevention套件、搭配自身的防火牆，可讓你的網路更趨安全。Intrusion Prevention套件有兩個主要模式，偵測模式（IDS）是偵測網路流量中的惡意封包，並發送警示通知訊息，預防模式（IPS）偵測後會採取丟棄惡意的封包，也就是說一個是偵測警示，一個是偵測丟棄，先來看看偵測模式（IDS）。

入侵偵測(IDS)系統主要功能在負責監聽網路封包行為，當發現異常時自動發出警訊通報給網管人員，問題如何偵測封包中有惡意的行為呢？因此IDS要有效地捕捉入侵行為，必須擁有一個強大的入侵特徵碼資料庫，以揪出惡意偽裝的攻擊封包，但又擔心變種的入侵，特徵碼的更新刻不容緩，所以適時的更新特偵碼是必要的，你可以使用排程來自動更新，如下圖所示，挑選想要更新特徵碼的排程後按下〔套用〕。

第一次啟動時需要一些時間，你可以看到正在啟動服務的等待畫面。

由於筆者的內網友使用DS916+ NAS當動物機（Download Station）下載影片，結果馬上在總覽畫面上看到偵測的異常行為事件。右邊設定區塊上有特徵碼的手動更新，不想等到排程的時間更新，可直接按下〔立即更新〕。

你可以在事件上點選來查看此事件的詳細記錄。

除了分類與危險程度的說明外，亦有時間、已採取的動作、來源與目的端、以及型為特徵的描述等，以讓你了解此事件的影響程度。

IDS（Intrusion Detection System）透過行為、日誌或稽核資料或其他規則進行研判、比對，檢測出有入侵系統的異常行為即發出警訊，但畢竟只是通知，感覺消極、靜態的守候等事後判斷來處理，說穿了就是無法即時防護。而入侵預防系統（IPS, Intrusion Prevention System）有採用主動防禦功能，也就是會立即阻擋惡意封包通，當然所需的系統資訊較多，則會減緩網路速度。想要改變IDS或IPS就在「感測器」選項的【操作模式】分頁上，由於安裝時選擇偵測模式（IDS），當然是如下圖所示。

點選預防模式（偵測及丟棄封包）並下〔套用〕，即可啟動IPS模式，也就是會即時擋住有企圖入侵的封包。

感測的動作主要是依據行為特徵的條例動作，在【行為特偵】分頁上可以看到許多預設的事件類型條例，你可以選擇勾選來啟動或略過。

假如你是這方面的玩家的話，也可以編輯這些行為特徵的類型條例，以訂定自己想要處理惡意封包時對應的感測器動作。

事件與通知設定

其實你也可以已直接到「事件」畫面上查看，在【日誌】分頁上會列出事件的記錄列表。

除了列表記錄外，也可以使用地圖方式來顯示已偵測惡意來源的分佈位置，並提供有關危險程度及攻擊頻率的資訊。從圓點的顏色可以了解危險程度。

也可以到【統計】分頁畫面上來了解哪個IP是主要的常客，每個項目皆會列出前五大來源IP，若要查看該項目下的所有紀錄，則可按一下〔顯示全部〕，而趨勢項目的統計，可追蹤惡意封包總數的變化趨勢。

除了檢視有關已偵測惡意來源的統計報表，也可自訂報表內的項目來符合需求。

偵測的主要目的當然就是要通知管理者，在「通知設定」→「一般」畫面上勾選「啟動事件通知」，並調整電子郵件、簡訊與推播服務的間隔時間。

當偵測有可疑的網路事件時，你的郵件信箱就會看到如下的通知訊息。

在【進階設定】分頁上，可以指定事件類型的傳送方式，傳送方式有電子郵件、簡訊與推播服務，想要就打勾就對了。

「設定」→「更新」畫面上，可以改變第一次進入時的排程時間，而特徵碼的更新是免費的「ET Open」，想要更多的網路惡意行為特徵，則可選擇付費的ET Pro。

入侵偵測或防護，除了要夠強的CPU外，儲存日誌分析也不容忽視，但Synology的無線路由器都是使用外接儲存空間，當然會有儲存空間的壓力，因此日誌檔案的儲存空間會影響系統使用的空間，所以限制日誌儲存空間來保留足夠空間供系統使用是基本的做法，在「設定」→「進階設定」畫面上，可以設定最大日誌的使用量，也可清除日誌。IDS與IPS並非三言兩語就解釋得清楚，至少RT2600無線路由器提供這方面的解決方案，當然無法跟專業的IPS機器比擬，筆者也不是這方面的玩家，想想，一台無線路由器有此IDS/IPS功能，讓不想再花一筆費用購買IPS設備的人有另類的選擇，應該相當值得鼓勵。