UniFi 系列是我使用的第一个较为专业的 Wi-Fi 系统,在本文中,我将以 UniFi Dream Machine 为例,介绍 UniFi 中我感兴趣功能。
通过 VLAN 与 mDNS 为智能家居提供安全的网络环境
随着「智能家居」等概念的普及,越来越多的家庭开始使用监控摄像头和 IoT 设备。这些设备在为生活提供便利的同时,也可能对网络安全带来隐患。
在 WWDC 2019 上,Apple 公布了支持 HomeKit 的家用无线路由器。这些路由器能自动阻止 HomeKit 设备连接 Internet,提高安全性。但这些功能只能用于支持 HomeKit 的设备上。而对于 UniFi Dream Machine,则可以自己动手,为 IoT 设备提供一个安全的网络环境。
为了提高智能家居设备的安全性,同时不牺牲过多的易用性,需要实现如下几点:
- 使智能家居设备位于独立的网络中,与个人设备(电脑、手机等)隔离
- 如果没有必要,禁止智能家居设备访问 Internet
- 在局域网内,仍能通过手机 App 控制智能家居设备
对于第 1 点和第 2 点,可在 UDM 中为 IoT 设备创建一个单独的 VLAN 和 SSID,从而实现 IoT 设备与其他设备隔离。还可以让自己的手机电脑使用 WPA2 Enterprise,而不支持的 IoT 设备则使用常见的 WPA2 Personal,进一步提高安全性。同时,通过防火墙阻止 IoT 设备对 Internet 的访问:
而多数智能家居设备的手机 App,通过 mDNS 协议来搜索设备。在 UDM 上配置 mDNS 反射器后,就能做到即使手机和智能家居设备即使不在同一个二层网络,手机 App 仍然能够查找到智能家居的 IP 地址并建立连接:
更多信息可参考下面的两个链接。后续我也会尝试一下在自己的几个米家智能设备上,采用这种方法提高安全性:
- UniFi – Best Practices for Managing Chromecast/Google Home on UniFi Network – Ubiquiti Networks Support and Help Center
- New to UniFi – Looking for Thoughts and Suggestions to Keep Things Optimal and Secure | Ubiquiti Community
入侵防御系统(IPS)
什么是 IPS
IPS 为入侵防御系统 Intrusion Prevention System 的缩写,能够实时监视并分析网络流量,阻止有安全风险的连接。
常见的开源 IPS 工具有 Snort 和 Suricata。之前我在折腾 pfSense 的时候,也尝试过在 pfSense 中配置和使用 Suricata。
支持 IPS 的家用设备
根据我的了解,目前已经有不少家用无线路由器内置了 IPS,例如华硕的 ASUSWRT,但功能相对比较简单。而内置 Suricata IDS/IPS 的家用级网络设备,如果不考虑软路由的话,只有 Synology 的 RT1900ac 和 RT2600ac。
我之前使用的是 RT1900ac,早期软件版本的 IPS 吞吐量太小,在百兆宽带下基本不可用,后来新系统优化后,才能支持最高 800M 左右的带宽。但经过实际体验,打开后仍会偶尔出现断网、打开网站速度过慢等情况,需要重启路由器才能解决。
根据 Synology 的一篇博文,IPS 需要消耗大量的 CPU、内存、IO 资源,这些功能通常只存在于 1000 美元级别的企业级防火墙中。Synology 对 Suricata 进行了修改和优化,才使其在家用路由器中能够正常工作。具体技术细节可参考这篇文章:
UniFi Dream Machine 的 IPS
而在 UniFi 这边,之前的入门级 UniFi Security Gateway,IPS 性能也只有 85Mbps 左右。而 UniFi Dream Machine 的 IPS 吞吐量直接提升到了 850Mbps,应对国内的大部分家庭宽带,都毫无压力。
最近一两年里,UniFi 的 IPS 功能在易用性方面有了明显的提升。例如设置界面,能够方便选择 IPS 等级,而不像我之前使用的 RT1900ac 一样,默认打开所有规则,产生大量日志信息,给新用户带来困惑。
另外是 IPS 的 Overview 界面,通过图表的方式显示统计信息,能够直观看到威胁的数量、来源地区、变化趋势等。但是,界面上面的地图只是用于设置和显示 GeoIP Filter,无法将威胁的来源地区直接显示在地图上。整体界面与 RT1900ac 的 Threat Prevention 仍有一些差距。
目前 UniFi 的 Threat Management 仍处于 BETA 阶段,希望后续能为我们带来更多惊喜。
局域网扫描、蜜罐
UniFi 的局域网扫描和蜜罐功能,能够辅助用户找到局域网内有安全弱点的设备。
局域网扫描功能能够主动扫描网络内所有设备,找出设备的操作系统版本、开放端口等信息。用户可以根据这些信息,找到网络中怀疑有安全风险的设备:
而蜜罐功能在局域网内运行了一个开放所有端口的虚拟设备。如果发现蜜罐的 SSH、RDP 等关键端口被访问,则可以怀疑局域网有设备正在对其他设备发起攻击:
深度包检测(DPI)、流量统计
虽然目前网络上的加密流量越来越多,DPI 的作用越来越不明显。但仍可以通过域名等信息(例如 TLS 流量中的 SNI 信息),大体统计出家庭网络的使用情况。
UniFi 内置的 DPI 功能,提供了较为详细的分类,例如 P2P 传输、流媒体播放、网盘和文件共享等:
当然,除了全局的流量统计信息,也可以查看网络中各个设备的流量情况:
智能队列
对于家庭网络,经常会遇到同时使用多个应用的场景,例如一边进行在线视频播放、P2P 下载,一边进行微信语音、网络游戏。其中在线视频和 P2P 下载对带宽要求高、不关注延迟;而微信语音、网络游戏等应用不需要较大的带宽,但对延迟比较敏感。
传统的做法是通过路由器上的 QoS 功能,设置规则,提高网络游戏等应用的优先级。但手动设置 QoS 是一件较为复杂的事情。例如下图是一个路由器系统的 QoS 设置页面,可以看到,需要手动对不同的应用设置不同的优先级:
智能队列功能通过自动对网络流量进行调整,来避免 bufferbloat,降低延迟,提高上网体验:
UDM 支持智能队列,在首次设置时,只要填入了当前宽带的带宽,智能队列就会自动打开。后续如果更换宽带,重新在设置页面填入新的带宽即可。无需其他复杂设置:
射频环境扫描、Wi-Fi AI
RF Environment 功能能够扫描当前环境中的 Wi-Fi 信道,并使用图形化的方式显示各个信道的使用情况。用户可根据扫描结果,选择干扰最少的 Wi-Fi 信道,提高无线网络质量:
而 Wi-Fi AI 功能,能定期自动对 Wi-Fi 环境进行扫描,并自动选择合适的信道,无需人工干预:
对 Wi-Fi 信道有特殊需求的用户,例如有日版 Nintendo Switch 的用户,由于不同国家和地区无线电法规不同,5GHz Wi-Fi 允许使用的信道也有差异。可以在 Wi-Fi AI 的设置中,排除不兼容的信道:
访客网络
在 UniFi 上,可以方便地创建访客网络。访客网络支持 Portal 认证,一定程度上避免了通过所谓的「Wi-Fi 密码分享软件」蹭网。
Portal 认证页面具有一定程度的自定义功能,支持更改配色和 logo。如果不满足需求,也可以使用外部 Portal 服务器:
支持设置使用条款,用户同意后才能上网:
也可在访客网络下设置 DNS Filter,阻止有安全风险的网络活动:
同时可以限制访客网络的带宽,避免影响网速:
更多信息请参考如下链接:
- UniFi – Guest Network, Guest Portal, and Hotspot System – Ubiquiti Networks Support and Help Center
- Howto setup the Unifi Guest Portal
日志发送
如果家中有 NAS,可以打开 UniFi 的日志发送功能,将日志信息发送到 NAS 中长期保存。部分 NAS 系统,例如 DSM,已经内置了 Syslog 服务器,能够集中收集和查看各个设备的日志。
当然,也可以使用 ELK Stack 收集 UniFi 的日志,并通过可视化的方式实现。之前我已经在使用 ELK Stack 收集 pfSense 和 Suricata 的日志,接下来可能也会尝试一下通过同样的方式展示 UniFi 的日志:
测试并统计 ISP 网速
UniFi 还可以定期进行网速测试,并以图表的形式展示出来。通过图表,我们可以追踪运营商的网络性能,观察运营商是否持续提供了足够的带宽。
自动为局域网设备匹配合适的图标
UniFi Controller 中内置了大量设备的图标,无论是最新的 iPhone 11,还是 NAS 等网络设备,或者是 Nintendo 3DS、Nintendo Switch 等游戏机,或者是智能家居设备,都能匹配到合适的图标。
Airtime Fairness 等高级功能
在打开 Advanced Features 之后,还可以启用一些高级功能。例如 Airtime Fairness 能够避免低性能设备拖慢整体网速。
两个好玩的新配件
除了 UniFi Dream Machine,在 2019 年,Ubiquiti 还推出了两个我感兴趣的配件,可以搭配 UniFi Dream Machine 一起使用。
UniFi AP BeaconHD
官网商店链接:https://store.ui.com/products/uap-beaconhd
传统的 UniFi 系列 Wi-Fi 产品,都是以无线 AP 的形式提供,一般需要连接网线到交换机上,并通过 PoE 的方式供电。而 AmpliFi 家用系列产品,则主打无线 mesh 组网。
而与 UniFi Dream Machine 同期推出的 UniFi AP BeaconHD,则是 UniFi 系列的第一款纯 mesh 节点,可以与 UDM 或者其他 UniFi AP 搭配,直接插在电源插座上即可工作。对于不方便进行布线的地方,可以使用 UniFi AP BeaconHD 扩展 Wi-Fi 覆盖范围。
UniFi Smart Power Plug
相关信息:https://www.reddit.com/r/Ubiquiti/comments/e3j11o/more_ea_toys_unifi_smart_power_plug/
UniFi Smart Power Plug 是一个智能插座,如果家中的光猫不稳定,可以将其作为光猫的电源。当 UniFi 检测到互联网连接丢失时,会自动断开并重新接通光猫的电源,强制光猫重启,从而恢复互联网连接。
UniFi Smart Power Plug 目前还没有正式发布,可在 Ubiquiti 官网注册 Beta Program 后,在 Early Access Store 中购买 BETA 版本硬件。
文章目录:
UniFi Dream Machine 使用体验(4):问题与不足
> 本文首发于少数派,同时发布于我的博客,欢迎关注:https://blanboom.org/2020/udm-2