v1.14_WIDS

WIPS/WIDS - внутренний сервис точки доступа (ТД) по предотвращению и обнаружению вторжений в беспроводную сеть.

По своей сути этот механизм анализирует весь трафик в радио окружении ТД, делает вывод о наличии в сети угроз безопасности, оповещает о них администратора СУ и при необходимости предпринимает действия по подавлению этих угроз.

В текущем релизе ТД (1.17.0) поддерживается следующий функционал:

Детектирование DDoS атаки;
Отслеживание перебора паролей;
Отслеживание небезопасной конфигурации;
Детектирование точек, имитирующих SSID;
Детектирование точек, имитирующих MAC;
Отключение клиентов от вражеских ТД.

eltex-wids-service - вспомогательный сервис на серверной стороне, отвечающий за распространение белых/черных списков "вражеских" ТД между участниками WIPS/WIDS.

Лицензирование

Лицензия ограничивает настройку и мониторинг сервиса WIPS/WIDS в СУ.

В демо лицензии (лицензия по-умолчанию) доступна активация сервиса на 2-х ТД.

К-во доступных и использованных на сервере лицензий можно увидеть в GUI EMS в разделе Справка - Лицензии, либо непосредственно в файле лицензий /usr/lib/eltex-ems/conf/licence/licence.xml

/usr/lib/eltex-ems/conf/licence/licence-dist.xml

        <group>
            <title>Wireless WIPSWIDS</title>
            <count>10</count>
            <typeList>
                <type>WiFi</type>
            </typeList>
        </group>

Если лицензия на WIPS/WIDS присутствует в списке, то в GUI EMS в меню "Wireless" будет доступна для настройки вкладка "WIDS manager":

А на вкладке "Доступ" ТД появятся соответствующие флаги активации сервиса.

Активация сервиса на ТД

В GUI EMS явно регулируется какой ТД отдать лицензию. Для этого в параметрах доступа ТД есть две настройки :

параметр "Вкл WIDS/WIPS сервис" - определяет ТД, которая будет использовать сервис. При установке флага количество доступных лицензию уменьшится на 1. По-умолчанию флаг снят - сервис WIPS/WIDS не доступен.
параметр "Реальное применение WIDS/WIPS" - это не редактируемый флаг, он отражает смогла ли система активировать сервис или нет. Может получиться так, что в базе данных параметр "Вкл WIDS/WIPS сервис" выставлен для большего количества точек, чем фактически разрешено в лицензии - тогда для части ТД этот флаг будет снят, хотя флаг активации выставлен.

Если сервис успешно активирован, то есть на странице "Доступ" выставлено оба флага, то:

на вкладке "Конфигурация" появится новый раздел - "WIDS/WIPS"

на вкладке "Мониторинг" в разделах "Журнал событий" и "Активные аварии" начнут отображаться события связанные с сервисом WIDS/WIPS

Настройка сервиса на точке доступа и логика работы

Все ТД в эфире можно разделить на три группы:

"не доверенные" ТД - точки, которые присутствуют в эфире, но о них более ничего не известно.
"доверенные" ТД - точки, которые установлены и управляются оператором
"вражеские" ТД - точки, которые однозначно несет угрозу сети (имитируют MAC-адрес или SSID исходной ТД).

Для однозначного выявления всех "не доверенных" точек доступа в эфире, в Beacon пакет ТД, использующей сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись.

Расшифровать пакет могут лишь те точки, на которых настроен идентичный ключ Shared key в конфигурации сервиса.

Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, то ТД, от которой был получен данный пакет, будет считаться "не доверенной". Иначе "доверенной"

Если "не доверенная" ТД имеет MAC адрес или SSID совпадающий с текущими значениями на сканирующей ТД, то такая ТД будет считаться "вражеской" и в Систему управления (СУ) будет отправлен соответствующий трап.

Пример трапа

Дата создания             : 2019-05-13 15:31:04
Название источника        : WEP-12ac_13
Сообщение                 : Обнаружена вредоносная ТД с мак адресом: E0:D9:E3:4F:9D:F0, ssid Eltex-Local, каналом 1!
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.8.3.0.2

Для более гибкой работы сервиса, есть возможность явно указать список ТД, которые должны или не должны считаться "доверенными". Этот список распространяется между точками вспомогательным сервисом - eltex-wids-service.

Основная настройка сервиса eltex-wids-service происходит на вкладке "WIDS/WIPS" в меню "Конфигурация"

Имя параметра	Допустимые значения	Описание
WIDS Parameters
Status	Down/Full/Key-only	Down - отключить сервис (значение по-умолчанию). Full - активировать работу сервиса отслеживания атак. Key-only - активировать сервис, но отключить детектирование угроз. В режиме "Key-only" ТД будет добавлять шифрованную подпись в Beacon пакеты для того, чтобы на встречных ТД попасть в список "доверенных" ТД, но сама детектировать угрозы не будет. В данном режиме для настройки доступно лишь поле Shared key.
Shared key	ASCII строка от 10 до 32 символов	Общий ключ, используемый для отслеживание доверенных ТД в радиоэфире. По-умолчанию значение не выставлено. До тех пор, пока Shared key не установлен, сервис активирован не будет.
WIDS list URL	ws://<ip>:<port>/MacLists	Путь до вспомогательного сервиса eltex-wids-service. Не обязательная настройка.
WIDS MAC list	Имя списка мак адресов	Предоставляется возможность выбрать один из списков мак адресов, созданных в разделе "Wireless - WIDS Manager" Не обязательная настройка.
Scan mode	Passive/Sentry	Режим сканирования эфира. Passive - в этом режиме ТД через заданные промежутки времени (Passive scan interval) будет кратковременно (Passive scan duration) менять свой текущий канал(на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. (значение по-умолчанию) Sentry - режим сканера - здесь не предусмотрена работа ТД с клиентами. ТД постоянно сканирует весь список каналов и максимально быстро обнаруживает угрозы.
Passive scan interval, sec	5..3600	Период пассивного сканирования (по-умолчанию: 20 сек)
Passive scan duration, ms	10..2000	Длительность пассивного сканировании (по-умолчанию: 100 мс)
Prevention mode	None/Rogue/All	Режим подавления угроз. None - выключен (значение по-умолчанию) Rogue - сканирующая ТД детектирует мак адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакет от имени "вражеской" ТД клиенту, и от имени клиента "вражеской" ТД. All - в данном режиме форсированный DeAuth отправляется "вражеским ТД", а также "не доверенным" ТД и клиентам подключенным к данным ТД.
DoS Detection Parameters
Mode	Up/Down	Down - детектирование DoS атак выключено (значение по-умолчанию) Up - активирование функции детектирования DoS атак DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon)
Interval, sec	1..86400	Интервал, в течении которого идет подсчет фреймов. Если за это время заданный лимит превышен - будет сгенерирован SNMP-трап об обнаружении атаки. Пример трапа Дата создания : 08.07.2019 17:30:20 Название источника : WEP-12ac_13 Сообщение : Обнаружена атака "отказ в обслуживании" на wlan1(5GHz): слишком много пакетов типа Beacon (насчитано 159 при ограничении 99). Найдено 40 атак за последний период обнаружения Приоритет : CRITICAL OID : 1.3.6.1.4.1.35265.1.60.1.8.3.0.1 По-умолчанию - 1сек
... treshlold	1..10000	Пороговый лимит для каждого типа управляющего фрейма (Assoc, ReAssoc, DiAssoc, Auth, DeAuth, RTS, CTS, Prob, Beacon, BlockAck, BlockAckReq, Pspoll ) Значения по-умолчанию: для Assoc, ReAssoc, DiAssoc, Auth, DeAuth - 50 для RTS, CTS, Prob, BlockAck, BlockAckReq, Pspoll - 100 для Beacon - 200
Bruteforce Detection Parameters
Interval, sec	0..86400	Функция детектирования атаки перебора паролей. В течение указанного интервала считается количество не успешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог Threshold был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей". Пример трапа Дата создания : 12.07.2019 14:37:02 Название источника : WEP-12ac_13 Сообщение : Обнаружена атака "перебор паролей" на wlan0vap2(2.4GHz)(_ES_24_test_timers_enter), последняя попытка была с мак-адреса: 0c:9d:92:6e:d9:20 Приоритет : CRITICAL OID : 1.3.6.1.4.1.35265.1.60.1.1.1.14 Значение по-умолчанию: 5 сек. При выставлении значения 0 сек - детектирование атаки "перебор паролей" будет отключено.
Threshold	1..10000	Пороговый лимит количества не успешных авторизаций. Значение по-умолчанию: 25

При активированном сервисе WIPS/WIDS ТД в СУ по-умолчанию отсылает трап при каждом изменении в настройках, если итоговая конфигурация небезопасна.

Пример трапа

Дата создания             : 01.07.2019 02:13:09
Название источника        : wep12
Сообщение                 : Обнаружена небезопасная конфигурация. system: Стандартный пароль входа; wids-service: Отключена атака вражеских ТД; 
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.8.3.0.6

Критерии небезопасной конфигурации можно посмотреть тут

Настройка вспомогательного сервиса eltex-wids-service

Переопределение "доверенных" и "вражеских" ТД происходит путем явного задания списков в GUI EMS - раздел "Wireless - WIDS Manager" и дальнейшего их указания в поле "WIDS MAC list" на вкладке "WIDS/WIPS" в меню "Конфигурация" ТД

Конфигурационный файл сервиса - /etc/eltex-wids-service/config.json:

/etc/eltex-wids-service/config.json

{
  "ServicePort": 9095,
  "Database": "wids",
  "MongoConnectionString": "mongodb://localhost:27017",
  "FileLog": "/var/log/eltex-wids-service/log.log",
  "Environment": "production",
  "LogLevel": "debug",
  "MaxAge": 7,
  "MaxSize": 5,
  "MaxBackups": 14,
  "SleepDaemonQueueTime": 50000,
  "FoulTime": 60,
  "GelfHost": "lab3-test.eltex.loc:12201"

Дерево страниц

v1.14_WIDS

Лицензирование

Активация сервиса на ТД

Настройка сервиса на точке доступа и логика работы

Настройка вспомогательного сервиса eltex-wids-service