Abbiamo parlato spesso dei dispositivi Ubiquiti su queste pagine e in numerose occasioni si è citato anche il noto controller UniFi, ovvero l’ecosistema di controllo e gestione di tutti gli ambienti realizzati con apparecchi del produttore americano.

Si tratta di un ambiente in costante evoluzione e che negli anni ha visto miglioramenti sia grafici sia funzionali piuttosto importanti. Al di là delle preferenze rispetto a sistemi equivalenti come Omada di TP-Link (giusto per citarne uno), ci siamo sempre scontrati con una serie di limiti strutturali legati alla mancanza – in caso di installazioni LAN – di un Security Gateway. Il controller in sé può gestire correttamente i dispositivi UniFi anche senza la presenza del gateway della stessa famiglia, ma avrà una serie di funzioni disattivate, soprattutto a livello di routing e sicurezza.

Così come avviene per tutti gli altri dispositivi UniFi, il gateway in quanto tale non può fare granchè se gestito direttamente dalla sua interfaccia Web, da cui si possono configurare solo alcuni parametri di base a livello di rete come l’IP statico o dinamico e la classe della LAN sottostante. La vera potenza del dispositivo si può apprezzare solo una volta adottato nell’ecosistema del controller.

Proprio per questo non ci soffermeremo sulla recensione dell’oggetto in quanto tale – che è “semplicemente” un router di forma quadrata dotato di tre porte ethernet e una porta di alimentazione – ma ne analizzeremo le potenzialità a livello dell’intera rete.

Unleash the power

Chiunque abbia configurato un controller UniFi si sarà scontrato con la fastidiosa schermata della dashboard che indica in modo piuttosto evidente la mancanza del gateway: ebbene, dopo averlo agganciato questo warning scompare e tutti i grafici di traffico della homepage iniziano a popolarsi. I dati forniti sono dei più svariati, con le tre macro-aree distribuite tra lo stato della WAN) con informazioni dettagliate in up e downlink), la quantità di terminali connessi con relativa distribuzione per gruppi e un grande grafico relativo alla “WiFi Experience” in realtime. Tutte queste statistiche possono essere visualizzate per 1 – 3 – 5 giorni o su un intervallo personalizzato.

USG standalone params

La gestione degli endpoint Ubiquiti rimane quella di sempre, non ci sono integrazioni in questa sezione del controller, ma dove si può apprezzare un significativo miglioramento è nei tab Statistiche e Threat Management. L’installazione del gateway attiva diversi livelli aggiuntivi di gestione del traffico e una analisi Deep Packet Inspection (DPI) davvero approfondita e rappresentata graficamente in modo davvero piacevole. Per ogni “tipo” di traffico è possibile vedere la quantità di dati transitati organizzati per sotto-tipologie e per ognuna di queste vengono forniti i dettagli del terminale che ha generato quel traffico.

Ad esempio, nella categoria “Streaming Media” troveremo voci separate per YouTube, Twitch, Periscope, StreamYard etc. ed entrando in ogni gruppo si vedono i dettagli del terminale (o terminali se più di uno) che hanno contribuito a quel traffico. Il traffico è organizzato per categorie standard (Web, HTTP, HTTPS, Streaming, Network Protocols, File Transfer, VoIP etc.) che non sono statiche, ma si aggiungono dinamicamente col passare del tempo, rilevando in automatico il tipo di servizio.

DPI-graph

Andando ad approfondire la gestione DPI ci si imbatte in configurazioni aggiuntive che consentono la creazione di “Restriction Groups”: sostanzialmente sono regole di content filtering basate su categorie di contenuti. Una volta creati possono essere assegnati separatamente al traffico wireless o cablato e dai nostri test possiamo dire che funzionano davvero bene.

Altra sezione che beneficia della presenza dell’USG è quella relativa alla gestione delle minacce online, meglio noto come Intrusion Prevention System (IPS). Una volta attivata l’opzione si accede alla configurazione che può essere di tipo passivo (quindi che si limita ad avvisare tramite notifica in caso di rilevamenti) o attivo (che quindi provvede a bloccare l’attacco) ed è regolabile su cinque livelli di intervento, che influiscono sulle prestazioni all’aumentare del grado scelto. Il livello 1 è quello più permissivo, mentre il 5 è quello con maggior controllo e quindi più impegnativo in termini di risorse.

Anche la protezione è gestita per categorie e il controller consente di selezionare quali aree di protezione attivare o meno, in tutto sono undici e spaziano dal controllo delle botnet al filtro sui contenuti P2P e TOR, passando per gli attacchi DNS e di IP reputation. La presenza del gateway attiva la gestione completa del firewall, con l’accesso alle regole organizzate per tipologia (LAN, Internet, IPv6, Guest etc.) e la possibilità di creare nuove regole. La sezione Advanced permette l’accesso a funzioni specifiche come la Threat Management Allow List.

firewall

Tornando alla schermata dedicata alla gestione delle minacce, si apprezza l’impostazione davvero d’effetto, con la vista a planisfero e il riepilogo delle minacce rilevate organizzate per area geografica, livello di rischio e sorgente, oltre ai log dettagliati in caso di rilevazioni. Il tutto organizzabile in realtime o su periodi di tempo personalizzati.

L’USG abilita anche la gestione avanzata delle reti e permette di creare rami LAN multipli con relative classi e server DHCP, oltre a server VPN con le relative configurazioni di sicurezza, utenti etc.

USG Threat

Considerazioni finali

Nonostante si tratti del modello entry-level della famiglia, questo Security Gateway amplia le potenzialità del controller in modo significativo sia a livello di sicurezza, sia di controllo complessivo su quel che accade nella rete. Il prezzo di acquisto si assesta intorno al centinaio di euro, che sono davvero pochi per un oggetto in grado di fornire tutte queste funzioni. Rimane parzialmente valido il confronto con l’ormai superato EdgeRouter X di cui vi abbiamo parlato QUI, che pur essendo esterno all’ecosistema UniFi, permette un livello di configurazione più elevato, con accesso a linea di comando e funzioni che qui non sono disponibili (come la configurazione di server OpenVPN). Si tratta di prodotti parzialmente sovrapponibili, ma che rimangono assai diversi non tanto per gli scenari di utilizzo, quanto per il livello di competenza necessaria nella configurazione avanzata.

L'autore

Lorenzo Bedin

Laureato in Ingegneria delle Telecomunicazioni, svolge l'attività di libero professionista come consulente IT, dopo un periodo di formazione e esperienza in azienda nel ruolo di sistemista Windows e Linux. Si occupa di soluzioni hardware, siti web e virtualizzazione.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1