Abbiamo parlato spesso dei dispositivi Ubiquiti su queste pagine e in numerose occasioni si è citato anche il noto controller UniFi, ovvero l’ecosistema di controllo e gestione di tutti gli ambienti realizzati con apparecchi del produttore americano.
Si tratta di un ambiente in costante evoluzione e che negli anni ha visto miglioramenti sia grafici sia funzionali piuttosto importanti. Al di là delle preferenze rispetto a sistemi equivalenti come Omada di TP-Link (giusto per citarne uno), ci siamo sempre scontrati con una serie di limiti strutturali legati alla mancanza – in caso di installazioni LAN – di un Security Gateway. Il controller in sé può gestire correttamente i dispositivi UniFi anche senza la presenza del gateway della stessa famiglia, ma avrà una serie di funzioni disattivate, soprattutto a livello di routing e sicurezza.
Così come avviene per tutti gli altri dispositivi UniFi, il gateway in quanto tale non può fare granchè se gestito direttamente dalla sua interfaccia Web, da cui si possono configurare solo alcuni parametri di base a livello di rete come l’IP statico o dinamico e la classe della LAN sottostante. La vera potenza del dispositivo si può apprezzare solo una volta adottato nell’ecosistema del controller.
Proprio per questo non ci soffermeremo sulla recensione dell’oggetto in quanto tale – che è “semplicemente” un router di forma quadrata dotato di tre porte ethernet e una porta di alimentazione – ma ne analizzeremo le potenzialità a livello dell’intera rete.
Unleash the power
Chiunque abbia configurato un controller UniFi si sarà scontrato con la fastidiosa schermata della dashboard che indica in modo piuttosto evidente la mancanza del gateway: ebbene, dopo averlo agganciato questo warning scompare e tutti i grafici di traffico della homepage iniziano a popolarsi. I dati forniti sono dei più svariati, con le tre macro-aree distribuite tra lo stato della WAN) con informazioni dettagliate in up e downlink), la quantità di terminali connessi con relativa distribuzione per gruppi e un grande grafico relativo alla “WiFi Experience” in realtime. Tutte queste statistiche possono essere visualizzate per 1 – 3 – 5 giorni o su un intervallo personalizzato.
La gestione degli endpoint Ubiquiti rimane quella di sempre, non ci sono integrazioni in questa sezione del controller, ma dove si può apprezzare un significativo miglioramento è nei tab Statistiche e Threat Management. L’installazione del gateway attiva diversi livelli aggiuntivi di gestione del traffico e una analisi Deep Packet Inspection (DPI) davvero approfondita e rappresentata graficamente in modo davvero piacevole. Per ogni “tipo” di traffico è possibile vedere la quantità di dati transitati organizzati per sotto-tipologie e per ognuna di queste vengono forniti i dettagli del terminale che ha generato quel traffico.
Ad esempio, nella categoria “Streaming Media” troveremo voci separate per YouTube, Twitch, Periscope, StreamYard etc. ed entrando in ogni gruppo si vedono i dettagli del terminale (o terminali se più di uno) che hanno contribuito a quel traffico. Il traffico è organizzato per categorie standard (Web, HTTP, HTTPS, Streaming, Network Protocols, File Transfer, VoIP etc.) che non sono statiche, ma si aggiungono dinamicamente col passare del tempo, rilevando in automatico il tipo di servizio.
Andando ad approfondire la gestione DPI ci si imbatte in configurazioni aggiuntive che consentono la creazione di “Restriction Groups”: sostanzialmente sono regole di content filtering basate su categorie di contenuti. Una volta creati possono essere assegnati separatamente al traffico wireless o cablato e dai nostri test possiamo dire che funzionano davvero bene.
Altra sezione che beneficia della presenza dell’USG è quella relativa alla gestione delle minacce online, meglio noto come Intrusion Prevention System (IPS). Una volta attivata l’opzione si accede alla configurazione che può essere di tipo passivo (quindi che si limita ad avvisare tramite notifica in caso di rilevamenti) o attivo (che quindi provvede a bloccare l’attacco) ed è regolabile su cinque livelli di intervento, che influiscono sulle prestazioni all’aumentare del grado scelto. Il livello 1 è quello più permissivo, mentre il 5 è quello con maggior controllo e quindi più impegnativo in termini di risorse.
Anche la protezione è gestita per categorie e il controller consente di selezionare quali aree di protezione attivare o meno, in tutto sono undici e spaziano dal controllo delle botnet al filtro sui contenuti P2P e TOR, passando per gli attacchi DNS e di IP reputation. La presenza del gateway attiva la gestione completa del firewall, con l’accesso alle regole organizzate per tipologia (LAN, Internet, IPv6, Guest etc.) e la possibilità di creare nuove regole. La sezione Advanced permette l’accesso a funzioni specifiche come la Threat Management Allow List.
Tornando alla schermata dedicata alla gestione delle minacce, si apprezza l’impostazione davvero d’effetto, con la vista a planisfero e il riepilogo delle minacce rilevate organizzate per area geografica, livello di rischio e sorgente, oltre ai log dettagliati in caso di rilevazioni. Il tutto organizzabile in realtime o su periodi di tempo personalizzati.
L’USG abilita anche la gestione avanzata delle reti e permette di creare rami LAN multipli con relative classi e server DHCP, oltre a server VPN con le relative configurazioni di sicurezza, utenti etc.
Considerazioni finali
Nonostante si tratti del modello entry-level della famiglia, questo Security Gateway amplia le potenzialità del controller in modo significativo sia a livello di sicurezza, sia di controllo complessivo su quel che accade nella rete. Il prezzo di acquisto si assesta intorno al centinaio di euro, che sono davvero pochi per un oggetto in grado di fornire tutte queste funzioni. Rimane parzialmente valido il confronto con l’ormai superato EdgeRouter X di cui vi abbiamo parlato QUI, che pur essendo esterno all’ecosistema UniFi, permette un livello di configurazione più elevato, con accesso a linea di comando e funzioni che qui non sono disponibili (come la configurazione di server OpenVPN). Si tratta di prodotti parzialmente sovrapponibili, ma che rimangono assai diversi non tanto per gli scenari di utilizzo, quanto per il livello di competenza necessaria nella configurazione avanzata.