Unifi Gateway seadistamine

Unifi Ubiquiti Gateway Ultra seadme võrgu seadistamine. VLAN, IPS/IDS, tulemüüri poliitika ja reeglid.

Võrk:

Port1 = 192.168.10.1/24 (Hariduse-vNet10)
Port2 = 192.168.20.1/24 (Hariduse-vNet20)
Port3 = 192.168.30.1/24 (Hariduse-vNet30)
Port4 = 192.168.40.1/24 (Hariduse-vNet40)
Port5 = WAN
Domeen = hariduse.loc
Hostname = perimeetri-kaitse-ui

Unifi veebiliidese sektor:

Network Client, VPN serveri seadistamine.

Tulemüüri reeglite koostamine, kus blokeerimine ära ühendust VLANide vahel. Selleks navigeeru Network & Profiles. Loo uus Port/IP grupp, mis määrad võrgu subneti ehk 192.168.20.0/24

Neljast võrgu pordidest tehtud profiilid, mida kasutame tulemüüri reeglites, et kehtestada võrguliikuse piirangud

Edasi navigeeru Network & Security. Vali "Traffic & Firewall Rules", kus saab hakkata seadistama tulemüüri reeglid kasutades loodud võrguprofiile

vNet10 liikluse blokeerimine.

Protokoll = "All",
Action = "Drop",
Source Type = "Network",
Network = "Hariduse-vNet10"
Network Type = "IPv4 Subnet"
Destination Type = "Port/IP group"
Address Group = "vNet20-Profile"
Port Group = "Any"
Advanced = "Manual"
Logging (lülita sisse logimine SIEM teenuse jaoks)

Ülejäänud profiilide blokeerimine ning aktiivsuse logimine

Võrguliikuse Geo vaade.

Võrguliikluse ülevaade

Võrgupordide seadistamine. Port1:

Native VLAN / Network = "Hariduse-vNet10"
Tagged VLAN Management = "Block All"
Advanced = "Auto"

Port2, Port 3 ja Port4 saab seadistada sama moodi

Hariduse UDM vNet isoleerimine

Antud lahendus annab võimalust lisada rohkem turvalisust ning piirab ära lõpp kasutajatel ligipääseda UDM veebiliidesele. Selleks navigeeru Settings > Policy Engine > Create Policy

Name: Blocking vNet10 -> vNet20
Source Zone: Network (Hariduse-vNet10)
Port: (Any)
Action: Block
Destination Zone: Internal (Network) (Hariduse-vNet20)
Port: (Any)
IP version: (Both)
Enable Syslog Logging

Näide blokeerimisest vNet10 -> vNet20 ühendused, päringud ja võrgupordid

All pildil on näha ICMP U7Lite pingimine, mis näitab, et "Request timed out", mille tõttu on Unifi Stateful Firewall ära blokeerinud päringut Windows -> U7Lite

Hariduse UDM Veebiliidese ligipääsu piiramine kõikides võrkudes

Kui kasutame Cloud Management siis ei näe mõttet jätta veebiliidese ligipääsu internal võrku, mis võib tuua erinevad turvariske

Selleks et blokeerida antud unifi network veebiliidest navigeeru Settings > Policy Engine > Firewall > Create Policy

Source Zone: Internal (Network) Kõik vNet10-40
Action: Block
Destination Zone: Gateway
IP: (Gateway IP aadress)
Enable Syslog

Ubiquiti Unifi U7lite Access pointi paigaldamine Hariduse võrku

Unifi Access pointi paigaldamiseks on vaja PoE teotavat võrguseadet või Unifi PoE Injektor.

<-> võrgupesa läheb tavaline võrgukaabel, mis tuleb Unifi Gatewaylt.

PoE tuleb teine võrgukaabel, mida tuleb ühendada otse U7lite access pointi.

Unifi Cloud Gateway U7Lite seadistamine

Navigeeru unifi veebiliidesele ning tee kindlaks, et U7Lite on ühendunud Cloud Gateway seadmega. Antud Hariduse võrgus on blokeeritud lokaalse veebiliidese ligipääs, seetõttu võib tekkida probleem U7lite ja Unifi Gatewayga ühendumine.

Firewall logide näidis:

Selle parandamiseks tegin uue tulemüüri reegli, kus lubasin antud seadmel ligipääsu veebiliidesele ning Gateway'le IP-aadressile

Firewall Policy:

Name: Allowing U7Lite to Gateway
Source Zone: Internal
Specific: <U7Lite IP>
Action: Allow
Destination: Gateway
Specific: <Gateway IP>
Enable syslog logging

Wifi Seadistamine U7Lite Access Point

Navigeeru "Settings > Overview > WiFi > Create New"

Name: unifi.wifi.hariduse

Password: <Vali hea ja tugev parool, soovitatav genereerida Keepass'is>

Network: "Native Network"

Broadcasting APs: "All"

Advanced: "Manual"

WiFi Band: 2.4GHz ja 5GHz

Client Device Isolation: Jah

MAC Address Filter: "Add Client" ning valin "iPhone" ning Filter Type: "Allow"

Security Protocol: "WPA3"

Page updated

Google Sites

Report abuse