Synology RT2600ac/RT1900ac無線路由器的入侵偵測與防禦套件 – Intrusion Prevention
講到網路安全,配備防火牆產品就已足夠了嗎?或許專家會告訴你,防火牆與防毒系統僅是網路基本的防護措施而已,因為防毒軟體要等到爆發才能偵測到,防火牆雖然可以阻斷不明的封包,但很容易被偽裝堂而皇之大方進入企業網路,所以入侵偵測與防護相繼孕育而生,Synology RT2600ac /RT1900ac無線路由器提供了Intrusion Prevention套件,入侵偵測與入侵防禦一次到位,讓你的網路更安全。
一般企業都會在企業內部網路(Intranet)及網際網路(Internet)之間架設一道可監控管理的界面(Gateway), 俗稱防火牆,記得20幾年第一次聽到時,以為是防火的設備,原來是管制所有網路封包的進出,以防止網路上針對特定資料的存取動作,不過當時防火牆的設備之價格還真是天價,除了大企業外,連中小企業也都未必能買單,Synology RT2600ac /RT1900ac無線路由器,除了標準的安全性工具,如拒絕服務 (denial-of-service) 防護功能及防火牆管理功能外,也帶來多種嶄新工具及功能,如Intrusion Prevention套件的入侵偵測系統(IDS)可分析網路流量並記錄可能的入侵行為,還可針對網路防火牆安全規則進行精細的調整,毫不影響運作效能,入侵防禦系統(IPS)更可依據自訂規則阻絕可疑流量,保護網路免於外來攻擊的侵害。
Synology RT2600ac無線路由器不只是一台無線路由器而已,接上USB行動儲存空間,搖身一變成為一台輕量型的NAS,尤其是搭配SRM系統將雙核心1.7GHz的高通處理器發揮的淋漓盡致,相關的文章可參考筆者撰寫的Synology RT2600ac無線路由器文章,如下:
- Synology推出支援802.11ac Wave 2的4天線雙頻RT2600ac無線路由器(上)
- Synology推出支援802.11ac Wave 2的4天線雙頻RT2600ac無線路由器(下)
- Synology RT2600ac/RT1900ac無線路由器的VPN Plus Server套件
安裝 Intrusion Prevention套件
在路由器SRM 1.1上可以找到VPN Plus Server套件,挨踢路人甲使用Synology RT2600ac來操作說明,安裝Intrusion Prevention套件之前,請先進入「主選單」→ 「 套件中心」來尋找並安裝Intrusion Prevention套件。
安裝後看到下載與安裝,請耐心等待。
Intrusion Prevention套件會將外接的儲存空間(USB行動裝置)的部分分配給套件作為記憶體使用,所以啟動此套件請勿隨意卸下USB外接儲存裝置,不然會造成系統失敗,且須注意,僅在無線路由器模式下才能運作此套件哦!
安裝完後開啟主選單畫面,可以直接看到Intrusion Prevention圖示,點選來執行進入設定。
IDS或IPS操作模式
防火牆雖然能拒絕非法的連線請求,但對於一旦入侵後的攻擊行為一無所知,因此無線路由器上提供入侵偵測與防護功能少之又少,Synology RT2600ac/RT19800ac打破了這個迷失,只要有Intrusion Prevention套件、搭配自身的防火牆,可讓你的網路更趨安全。Intrusion Prevention套件有兩個主要模式,偵測模式(IDS)是偵測網路流量中的惡意封包,並發送警示通知訊息,預防模式(IPS)偵測後會採取丟棄惡意的封包,也就是說一個是偵測警示,一個是偵測丟棄,先來看看偵測模式(IDS)。
入侵偵測(IDS)系統主要功能在負責監聽網路封包行為,當發現異常時自動發出警訊通報給網管人員,問題如何偵測封包中有惡意的行為呢?因此IDS要有效地捕捉入侵行為,必須擁有一個強大的入侵特徵碼資料庫,以揪出惡意偽裝的攻擊封包,但又擔心變種的入侵,特徵碼的更新刻不容緩,所以適時的更新特偵碼是必要的,你可以使用排程來自動更新,如下圖所示,挑選想要更新特徵碼的排程後按下〔套用〕。
第一次啟動時需要一些時間,你可以看到正在啟動服務的等待畫面。
由於筆者的內網友使用DS916+ NAS當動物機(Download Station)下載影片,結果馬上在總覽畫面上看到偵測的異常行為事件。右邊設定區塊上有特徵碼的手動更新,不想等到排程的時間更新,可直接按下〔立即更新〕。
你可以在事件上點選來查看此事件的詳細記錄。
除了分類與危險程度的說明外,亦有時間、已採取的動作、來源與目的端、以及型為特徵的描述等,以讓你了解此事件的影響程度。
IDS(Intrusion Detection System)透過行為、日誌或稽核資料或其他規則進行研判、比對,檢測出有入侵系統的異常行為即發出警訊,但畢竟只是通知,感覺消極、靜態的守候等事後判斷來處理,說穿了就是無法即時防護。而入侵預防系統(IPS, Intrusion Prevention System)有 採用主動防禦功能,也就是會立即阻擋惡意封包通,當然所需的系統資訊較多,則會減緩網路速度。想要改變IDS或IPS就在「感測器」選項的【操作模式】分頁上,由於安裝時選擇偵測模式(IDS),當然是如下圖所示。
點選預防模式(偵測及丟棄封包)並下〔套用〕,即可啟動IPS模式,也就是會即時擋住有企圖入侵的封包。
感測的動作主要是依據行為特徵的條例動作,在【行為特偵】分頁上可以看到許多預設的事件類型條例,你可以選擇勾選來啟動或略過。
假如你是這方面的玩家的話,也可以編輯這些行為特徵的類型條例,以訂定自己想要處理惡意封包時對應的感測器動作。
事件與通知設定
其實你也可以已直接到「事件」畫面上查看,在【日誌】分頁上會列出事件的記錄列表。
除了列表記錄外,也可以使用地圖方式來顯示已偵測惡意來源的分佈位置,並提供有關危險程度及攻擊頻率的資訊。從圓點的顏色可以了解危險程度。
也可以到【統計】分頁畫面上來了解哪個IP是主要的常客,每個項目皆會列出前五大來源IP,若要查看該項目下的所有紀錄,則可按一下〔顯示全部〕, 而趨勢項目的統計,可追蹤惡意封包總數的變化趨勢。
除了檢視有關已偵測惡意來源的統計報表,也可自訂報表內的項目來符合需求。
偵測的主要目的當然就是要通知管理者,在「通知設定」→「一般」畫面上勾選「啟動事件通知」,並調整電子郵件、簡訊與推播服務的間隔時間。
當偵測有可疑的網路事件時,你的郵件信箱就會看到如下的通知訊息。
在【進階設定】分頁上,可以指定事件類型的傳送方式,傳送方式有電子郵件、簡訊與推播服務,想要就打勾就對了。
「設定」→「更新」畫面上,可以改變第一次進入時的排程時間,而特徵碼的更新是免費的「ET Open」,想要更多的網路惡意行為特徵,則可選擇付費的ET Pro。
入侵偵測或防護,除了要夠強的CPU外,儲存日誌分析也不容忽視,但Synology的無線路由器都是使用外接儲存空間,當然會有儲存空間的壓力,因此日誌檔案的儲存空間會影響系統使用的空間,所以限制日誌儲存空間來保留足夠空間供系統使用是基本的做法,在「設定」→「進階設定」畫面上,可以設定最大日誌的使用量,也可清除日誌。IDS與IPS並非三言兩語就解釋得清楚,至少RT2600無線路由器提供這方面的解決方案,當然無法跟專業的IPS機器比擬,筆者也不是這方面的玩家,想想,一台無線路由器有此IDS/IPS功能,讓不想再花一筆費用購買IPS設備的人有另類的選擇,應該相當值得鼓勵。