Описание

WIPS/WIDS - внутренний сервис точки доступа (ТД) по предотвращению и обнаружению вторжений в беспроводную сеть.

По своей сути этот механизм анализирует весь трафик в радио окружении ТД, делает вывод о наличии в сети угроз безопасности, оповещает о них администратора СУ и, при необходимости, предпринимает действия по подавлению этих угроз.

В текущем релизе ПО точки доступа (1.18.0) поддерживается следующий функционал:

1. Детектирование DDoS атаки;
2. Отслеживание перебора паролей;
3. Отслеживание небезопасной конфигурации;
4. Детектирование точек, имитирующих  SSID;
5. Детектирование точек, имитирующих  MAC;
6. Отключение клиентов от вражеских ТД;
7. Отправка трапа о попытке несанкционированного доступа к ТД в СУ.

eltex-wids-service - вспомогательный сервис на серверной стороне,  отвечающий за распространение белых/черных списков "вражеских" ТД между участниками WIPS/WIDS.

Лицензирование

Лицензия ограничивает настройку и мониторинг сервиса WIPS/WIDS  в СУ.

В демо-лицензии EMS (лицензия по-умолчанию) доступна активация сервиса на 2-х ТД.

Количество доступных и использованных на сервере лицензий можно увидеть в GUI EMS в разделе Справка → Лицензии:

Либо непосредственно в самом файле лицензий /usr/lib/eltex-ems/conf/licence/licence.xml:

        <group>
            <title>Wireless WIPSWIDS</title>
            <count>10</count>
            <typeList>
                <type>WiFi</type>
            </typeList>
        </group>

Если лицензия на WIPS/WIDS присутствует в списке, то в GUI EMS  в меню "Wireless" будет доступна для настройки вкладка "WIDS manager":

А на вкладке "Доступ" точки доступа появятся соответствующие флаги активации сервиса.

Управление

Активация сервиса на точке доступа

В GUI EMS явно регулируется какой точке доступа отдать лицензию. Для этого в параметрах доступа точки есть две настройки :

• параметр "Вкл WIDS/WIPS сервис" - определяет точку доступа, которая будет использовать сервис. При установке флага, количество доступных устройств, которые могут использовать сервис WIDS/WIPS,  уменьшится в лицензии на 1. По-умолчанию флаг снят - сервис WIPS/WIDS не доступен.
• параметр "Реальное применение WIDS/WIPS" -  это не редактируемый флаг, он отражает смогла ли система активировать сервис или нет. Может получиться так, что в базе данных параметр "Вкл WIDS/WIPS сервис" выставлен для большего количества точек, чем  фактически разрешено в лицензии, тогда для части точек этот флаг будет снят, хотя флаг активации выставлен.

Определить, что сервис успешно активирован, можно по нескольким признакам:

• на странице "Доступ" выставлено оба флага:
  
  1. "Вкл WIDS/WIPS сервис";
  2. "Реальное применение WIDS/WIPS".
• на вкладке "Конфигурация" появился новый раздел - "WIDS/WIPS"

Настройка сервиса на точке доступа и логика работы

Все точки доступа в эфире можно разделить на три группы:

1. "не доверенные" ТД - точки, которые присутствуют в эфире, но о них более ничего не известно;
2. "доверенные" ТД - точки, которые установлены и управляются оператором;
3. "вражеские" ТД - точки, которые однозначно несут угрозу для остальных точек доступа в сети - это ТД, которые имитируют MAC-адрес или SSID исходной ТД.

Для однозначного выявления всех "не доверенных" ТД эфире, в Beacon пакет точек доступа, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись.

Расшифровать пакет могут лишь те точки, на которых настроен идентичный ключ Shared key  в конфигурации сервиса.

Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, точка доступа, от которой был получен пакет, будет считаться "не доверенной". Иначе "доверенной"

Если "не доверенная" точка доступа имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору СУ, посредством отправки с ТД соответствующего трапа в систему управления.

Дата создания             : 2019-05-13 15:31:04
Название источника        : WEP-12ac_13
Сообщение                 : Обнаружена вредоносная ТД с мак адресом: E0:D9:E3:4F:9D:F0, ssid Eltex-Local, каналом 1!
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.8.3.0.2

Для более гибкой работы сервиса, есть возможность явно указать список ТД, которые должны или не должны считаться "доверенными" ТД. Этот список распространяется между точками доступа вспомогательным сервисом eltex-wids-service.

Настройка конфигурации "WIDS/WIPS" для Fastpath-устройств (WEP/WOP-2ac/12ac)

Основная настройка сервиса происходит во вкладке "WIDS/WIPS" в меню "Конфигурация".

Дата создания             : 01.07.2019 02:13:09
Название источника        : wep12
Сообщение                 : Обнаружена небезопасная конфигурация. system: Стандартный пароль входа; wids-service: Отключена атака вражеских ТД; 
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.8.3.0.6

Дата создания             : 08.07.2019 17:30:20
Название источника        : WEP-12ac_13
Сообщение                 : Обнаружена атака "отказ в обслуживании" на wlan1(5GHz): слишком много пакетов типа Beacon (насчитано 159 при ограничении 99). Найдено 40 атак за последний период обнаружения
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.8.3.0.1

Дата создания             : 12.07.2019 14:37:02
Название источника        : WEP-12ac_13
Сообщение                 : Обнаружена атака "перебор паролей" на wlan0vap2(2.4GHz)(_ES_24_test_timers_enter), последняя попытка была с мак-адреса: 0c:9d:92:6e:d9:20
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.1.1.14

Начиная с версии ПО точки доступа 1.18.0 появилась возможность отправки трапа о попытке несанкционированного доступа к ТД в СУ. Данный функционал (ap-security) включен на точке по-умолчанию и работает следующим образом:

Если в течение 180 секунд будет совершено 3 попытки входа в интерфейс управления ТД с неверными учетными данными (login/password) посредством telnet/ssh/web/consol, то ip-адрес устройства, с которого были совершены неудачные попытки входа, будет добавлен в черный список на 5 минут, а в СУ отправится предупреждающий трап.

Дата создания             : 19.09.2019 13:26:02
Название источника        : WEP-12ac_13
Сообщение                 : Неудачная попытка входа на точку доступа через tel c 100.111.50.151.
Приоритет                 : MAJOR
OID                       : 1.3.6.1.4.1.35265.1.60.1.7.1.1

Редактировать и просматривать значения параметров, а также включать/выключать функционал отправки трапов о попытке несанкционированного входа в интерфейс управления ТД, можно только через CLI точки доступа.

Команда для вывода значений параметров: get ap-security 
Пример вывода команды:
Property                    Value
---------------------------------
logon-snmp-retries          3
logon-snmp-interval         180
logon-snmp-freeze-interval  300

Команда для изменения значения параметра: set ap-security <имя_параметра> <значение>
Пример: set ap-security logon-snmp-interval 86400

Команда для выключения работы функционала: set ap-security logon-snmp-retries 0

Для сохранения внесенных изменений введите команду: save-running

Настройка конфигурации "WIDS/WIPS" для устройств ESDK (WEP/WOP-3ax)

Основная настройка сервиса происходит во вкладке "config" в меню "Управление".

Настройка вспомогательного сервиса eltex-wids-service

Переопределение "доверенных" и "вражеских" точек доступа происходит путем явного задания списков в GUI EMS (раздел "Wireless → WIDS Manager") и дальнейшего их указания в поле "WIDS MAC list" на вкладке "WIDS/WIPS" в меню "Конфигурация" ТД.

/etc/eltex-wids-service/config.hocon

Конфигурационный файл сервиса.

serviceConfiguration = {
  ApplicationConfiguration = {
    ServicePort = 9095 // service listen port

    // if this environment equals to 'production', all logs will transmit to graylog
    // else if this environment equals to 'k8s', all logs will be written to stdout
    Environment = "production"

    SleepDaemonQueueTime = 5 // time for sleep (unit: milliseconds)
    FoulTime = 60 // time of raw event, they disappear (unit: seconds)

    GelfEnabled = false // inclusion of sending logs to graylog

    DatabaseName = "wids" // database name
    MongoConnectionString = "mongodb://127.0.0.1:27017" // database connection string
  }
}

logs = {
  LoggerConfiguration = {
    LogLevel = "error"
    FileLog = "/var/log/eltex-wids/wids.log" // name of log file
    MaxSize = 5 // maximal size of log file (unit: megabyte)
    MaxAge = 30 // maximum log lifetime (unit: days)
    MaxBackups = 10 // maximum number of backups (unit: amount of log files)
    Compress = true // the need of compression
    GelfHostWithPort = "localhost:12201" // address of graylog server
  }
}

• Порт, на котором работает сервис:

ServicePort = 9095

• Среда логирования. Доступны 2 значения: "production" - отправка логов в Graylog, "k8s" - вывод логов в stdout.

Environment = "production"

• Активация отправки в Graylog:

GelfEnabled = false

• Название коллекции, с которой работает сервис:

DatabaseName = "wids"

• Путь к БД:

MongoConnectionString = "mongodb://127.0.0.1:27017"

• Уровень логирования:

LogLevel = "error"

• Расположение папки хранения логов:

FileLog = "/var/log/eltex-wids/wids.log"

• Максимальный размер файла логов:

MaxSize = 5

• Максимальный период хранения файлов логов:

MaxAge = 30

• Максимальное число бэкапов:

MaxBackups = 10 

• Активация сжатия файлов логов:

Compress = true

• Адрес и порт Graylog:

GelfHostWithPort = "localhost:12201"

Докеризация сервиса

Сервис может быть запущен в docker-контейнере. Для этого необходимо подготовить файл с переменными окружения .env и docker-compose.yml

version: "3"

services:
  wids:
    image: hub.eltex-co.ru/softwlc/eltex-wids:1.21-<tag>
    ports:
      - 9095:9095
    volumes:
      - "/var/log/eltex-wids:/var/log/eltex-wids"
      - "/etc/eltex-wids-service/config.hocon:/etc/eltex-wids-service/config.hocon"
    environment:
      - LogLevel=${WIDS_LOG_LEVEL}
      - MongoUrl=${WIDS_MONGO_URL}
      - DBName=${WIDS_DB_NAME}
      - SleepDaemonQueueTime=${WIDS_SLEEP_DAEMON_QUEUE_TIME}
      - FoulTime=${WIDS_FOUL_TIME}

WIDS_LOG_LEVEL=error
WIDS_MONGO_URL=mongodb://<IP-address>:27017
WIDS_DB_NAME=wids
WIDS_SLEEP_DAEMON_QUEUE_TIME=5
WIDS_FOUL_TIME=60

Описание переменных окружения

Запуск сервиса

• ServicePort - порт, на котором будет стартовать сервис внутри контейнера.

Параметры работы сервиса

• SleepDaemonQueueTime - время задержки обработки очереди;
• FoulTime - время до удаления необработанных событий.

Подключение к MongoDB

• DBName - имя базы данных
• MongoUrl - адрес MongoDB-сервера.

Логирование

• LogLevel - уровень логирования (ERROR, INFO, DEBUG);
• FileLog - путь до файла с логами;
• MaxSizeFileLog - максимальный размер лог-файла в Мб;
• MaxAgeFileLog - максимальное время хранения лог-файла в днях;
• MaxBackupsFileLog - максимальное количество файлов логов;
• CompressLogs - архивировать ли лог-файлы;
• GelfHostWithPort - хост и порт подключения к GrayLog;
• LogEnvironment - среда работы сервера; определяет место, куда будут писаться логи (file/stdout);
• GelfEnabled - отправлять ли логи в GrayLog.