...
Основная настройка сервиса происходит на вкладке "WIDS/WIPS" в меню "Конфигурация"
| Имя параметра | Допустиные значения | Описание | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| WIDS Parameters | ||||||||||||||
| Status | Full/Down/Key-only | Full - активировать работу сервиса отслеживания атак. Down - отключить сервис. (значение по-умолчанию) Key-only - активировать сервис, но отключить детектирование угроз. В таком режиме ТД будет добавлять шифрованную подпись в Beacon, для того чтобы на встречных ТД попасть в список "доверенных" ТД, но сама детектировать угрозы не будет. В таком режиме для настройки доступно лишь поле Shared key | ||||||||||||
| Shared key | ASCII строка от 10 до 32 символов | Общий ключ, используемый для отслеживание доверенных ТД в радиоэфире По-умолчанию значение не выставлено, и активировать сервис нельзя пока оно не будет установлено | ||||||||||||
| WIDS list URL | ws://<ip>:<port>/MacLists | Путь до вспомогательного сервиса eltex-wids-service. Не обязательная настройка. | ||||||||||||
| WIDS MAC list | Имя списка мак адресов | Предоставляется возможность выбрать один из списков мак адресов созданных в разделе "Wireless - WIDS Manager" Не обязательная настройка. | ||||||||||||
| Scan mode | Passive/Sentry | Режим сканирования эфира. Passive - в этом режиме ТД через заданные промежутки времени (Passive scan interval) будет кратковременно (Passive scan duration) менять свой текущий канал(на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. Sentry - режим сканера - здесь не предусмотрена работа ТД с клиентами. ТД постоянно сканирует весь список каналов и максимально быстро обнаруживает угрозы. | ||||||||||||
| Passive scan interval, sec | 5..3600 | Период пассивного сканирования (20сек по-умолчанию) | ||||||||||||
| Passive scan duration, ms | 10..2000 | Длительность пассивного сканировании (100мс по-умолчанию) | ||||||||||||
| Prevention mode | None/Rogue/All | Режим подавления угроз. None - выключен Rogue - сканирующая ТД детектирует мак адреса клиентов к которые подключены к "вражеским" ТД, и отравляет DeAuth пакет от имени "вражеской" ТД клиенту, и от имени клиента "вражеской" ТД. All - в данном режиме форсированный DeAuth отправляется не только клиентам подключенным к "вражеским" ТД, а вообще всем кто подключен к "не доверенной" ТД. | ||||||||||||
| DoS Detection Parameters | ||||||||||||||
| Mode | Up/Down | Активирование функции детектирования атак DoS атак DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon) | ||||||||||||
| Interval, sec | 1..86400 | Интервал, в течении которого идет подсчет фреймов. Если за это время заданный лимит превышен - будет сгенерирован SNMP-трап об обнаружении атаки.
По-умолчанию - 1сек | ||||||||||||
| ... treshlold | 1..10000 | Пороговый лимит для каждого типа управлящего фрейма(Assoc, ReAssoc, DiAssoc, Auth, DeAuth, RTS, CTS, Prob, Beacon, BlockAck, BlockAckReq, Pspoll ) По-умолчанию - 50 для Assoc, ReAssoc, DiAssoc, Auth, DeAuth По-умолчанию - 100 для RTS, CTS, Prob, BlockAck, BlockAckReq, Pspoll По-умолчанию - 200 для Beacon | ||||||||||||
| Bruteforce Detection Parameters | ||||||||||||||
| Interval, sec | 0..86400 | Функция детектирования атаки перебора паролей. В течении указанного интервала считается к-во не успешных авторизаций пользователей на SSID с шифрование (Personal и Enterprise) активных на сканирующей ТД. Если порог Threshold был превышен в СУ отправляется трап об обнаружении атаки.
По-умолчанию - 5сек 0 - отключить детектирование этой атаки. | ||||||||||||
| Threshold | 1..10000 | Пороговый лимит к-ва неуспешных авторизаций. По-умолчанию - 25 | ||||||||||||
При активированом сервисе WIPS/WIDS ТД в СУ по-умолчанию отсылает трап при каждом изменении в настройках, если итоговая конфигурация небезопасна.
...
Критерии небезопасной конфигурации можно посмотреть тут
Настройка вспомогательного сервиса eltex-wids-service
...