...
| Подсказка | ||
|---|---|---|
| ||
Включить сервис можно только в общих настройках WIDS. Предусмотрена возможность выключить сервис в определенной локации или на конкретной точке доступа с помощью команды wids-disable. При этом команда 'no wids-disable' в локации или в индивидуальном профиле точки доступа не означает, что сервис включен, если одновременно с этим он выключен в общих настройках WIDS. Если в общих настройках сервис выключен, то он не работает на всех точках доступа контроллера и включить его на отдельной точке доступа или в конкретной локации нельзя. |
Для включения сервиса используйте следующие команды:
| Блок кода |
|---|
wlc-30# configure wlc-30(config)# wlc wlc-30(config-wlc)# wids wlc-30(config-wlc-wids)# enable wlc-30(config-wlc-wids)# shared-key ascii-text 0123456789 wlc-30(config-wlc-wids)# do commit wlc-30(config-wlc-wids)# do confirm |
...
| Блок кода | ||
|---|---|---|
| ||
wlc-30# sh ru full wlc wids-profile
wids-profile default-wids
prevention-mode none
attack-stats-trap-send-period 10
scan
mode none
interface all
passive interval 20
passive time 110
sentry time 200
exit
bruteforce-detection
threshold 25
interval 5
no mac-ban enable
mac-ban timeout 1800
no enable
exit
dos-detection
interval 1
trap-send-period 20
threshold leap 250
threshold assoc 500
threshold reassoc 500
threshold disassoc 500
threshold probe 500
threshold beacon 500
threshold blockack 500
threshold blockack-req 500
threshold ps-poll 500
threshold auth 500
threshold deauth 500
threshold rts 500
threshold cts 500
no enable
exit
exit |
В данном случае профиль содержит настройки параметров по умолчанию.
Настройка сервиса на точке доступа и логика работы
Все точки доступа в эфире можно разделить на три группы:
- "Недоверенные" ТД - точки, которые присутствуют в эфире, но о них более ничего не известно;
- "Доверенные" ТД - точки, которые установлены и управляются оператором;
- "Вражеские" ТД - точки, которые однозначно несут угрозу для остальных точек доступа в сети - это ТД, которые имитируют MAC-адрес или SSID исходной ТД.
Для однозначного выявления всех "недоверенных" ТД эфире, в Beacon пакет точек доступа, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись.
Расшифровать пакет могут лишь те точки, на которых настроен идентичный ключ Shared key в конфигурации сервиса.
Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, точка доступа, от которой был получен пакет, будет считаться "недоверенной". Иначе "доверенной"
Если "недоверенная" точка доступа имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору, посредством отправки с ТД соответствующей нотификации на контроллер.
Атака "Человек посередине" (Man-in-the-Middle, MITM)
Атака, при которой используются методы перехвата данных, позволяющие внедриться в существующее подключение или процесс связи.
Обнаружение вредоносных ТД
Для определения вредоносных точек доступа необходимо настроить сканирование. Сканирование может быть пассивным или активным.
В пассивном режиме сканирования точка доступа периодически (через время, заданное в параметре 'passive interval') и кратковременно (на время, заданное в параметре 'passive time') меняет свой текущий радиоканал, на котором работает с клиентами, на очередной канал из общего списка, чтобы обнаружить другие ТД в эфире. Качество услуги, предоставляемой клиенту в момент сканирования, практически не деградирует.
В активном режиме сканирования не предусмотрена работа ТД с клиентами. Точка доступа всё время сканирует весь список радиоканалов (продолжительность сканирования одного канала задается в параметре 'sentry time') и максимально быстро обнаруживает угрозы.
В результате сканирования точка доступа распределяет все точки доступа в эфире на три группы:
- "Недоверенные" ТД - точки, которые присутствуют в эфире, но о них более ничего не известно;
- "Доверенные" ТД - точки, которые установлены и управляются оператором;
- "Вражеские" ТД - точки, которые несут угрозу для остальных точек доступа в сети - это ТД, которые имитируют MAC-адрес или SSID исходной ТД.
Для однозначного выявления всех "недоверенных" ТД эфире, в Beacon пакет точек доступа, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись. Расшифровать пакет могут лишь те точки, на которых настроен идентичный общий ключ 'Shared key' в конфигурации сервиса. Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, то точка доступа, от которой был получен пакет, будет считаться "недоверенной". Иначе - "доверенной".
Если "недоверенная" точка доступа имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору, посредством отправки с ТД соответствующей нотификации на контроллер.
| Раскрыть | |||||||
|---|---|---|---|---|---|---|---|
| |||||||
|
Настройки сканирования выполняются в профиле WIDS.
Пример настройки пассивного сканирования со временем сканирования одного канала 50 мкс и интервалом между сканированием 30 с, и сканированием в обоих частотных диапазонах:
| Блок кода | ||||
|---|---|---|---|---|
| ||||
wlc-30# configure
wlc-30(config)# wlc
wlc-30(config-wlc)# wids-profile test_wids_profile
wlc-30(config-wlc-wids-profile)# scan
wlc-30(config-wlc-wids-profile-scan)# mode passive
wlc-30(config-wlc-wids-profile-scan)# interface all
wlc-30(config-wlc-wids-profile-scan)# passive time 50
wlc-30(config-wlc-wids-profile-scan)# passive interval 30
wlc-30(config-wlc-wids-profile-scan)# do commit
wlc-30(config-wlc-wids-profile-scan)# do confirm
wlc-30(config-wlc-wids-profile-scan)#
wlc-30(config-wlc-wids-profile-scan)# do sh ru wlc wids-profile test_wids_profile
wids-profile test_wids_profile
scan
mode passive
passive interval 30
passive time 50
exit
exit |
Существуют 3 варианта применения настроек:
1. На все точки доступа контроллера. Для этого необходимо указать профиль в общих настройках WIDS.
| Блок кода | ||||||
|---|---|---|---|---|---|---|
| ||||||
wlc-30(config)# wlc
wlc-30(config-wlc)# wids
wlc-30(config-wlc-wids)# wids-profile test_wids_profile
wlc-30(config-wlc-wids)# do commit
wlc-30(config-wlc-wids)# do confirm
wlc-30(config-wlc-wids)# |
2. На точки доступа локации. Для этого необходимо указать профиль в настройках конкретной локации. Если одновременно профиль задан в общих настройках и в локации - будет использоваться профиль из локации.
| Блок кода | ||||||
|---|---|---|---|---|---|---|
| ||||||
wlc-30# configure
wlc-30(config)# wlc
wlc-30(config-wlc)# ap-location default-location
wlc-30(config-wlc-ap-location)# wids
wlc-30(config-wlc-ap-location-wids)# wids-profile test_wids_profile
wlc-30(config-wlc-ap-location-wids)#
wlc-30(config-wlc-ap-location-wids)#
wlc-30(config-wlc-ap-location-wids)# do commit
wlc-30(config-wlc-ap-location-wids)# do confirm
wlc-30(config-wlc-ap-location-wids)# |
3. На конкретной точке доступа. Для этого необходимо указать профиль WIDS в индивидуальном профиле точки доступа. Если одновременно профиль задан в общих настройках и/или в локации и в индивидуальном профиле точки доступа - будут использоваться настройки из индивидуального профиля ТД.
| Блок кода | ||||||
|---|---|---|---|---|---|---|
| ||||||
wlc-30# configure
wlc-30(config)# wlc
wlc-30(config-wlc)# ap 68:13:e2:03:00:10
wlc-30(config-wlc-ap)# ap-location default-location
wlc-30(config-wlc-ap)# override wids
wlc-30(config-wlc-ap-wids-override)# wids-profile default-wids
wlc-30(config-wlc-ap-wids-override)# do commit
wlc-30(config-wlc-ap-wids-override)# do confirm
wlc-30(config-wlc-ap-wids-override)# | ||||||
| Раскрыть | ||||||
| ||||||
| Блок кода | | |||||
|
Для более гибкой работы сервиса, есть возможность явно указать список ТД, которые должны или не должны считаться "доверенными" ТД. Эти списки настраиваются в object-group.
...
Основная настройка сервиса происходит во вкладке "config" в меню "Управление".
| Имя параметра | Допустимые значения | Описание |
|---|---|---|
| Настройка WIDS | ||
| Включить WIDS | Вкл/Выкл | Включить/отключить сервис WIDS. Значение по |
умолчанию: off | ||
| Общий сетевой ключ | ASCII строка от 10 до 32 символов | Общий ключ, используемый для отслеживание доверенных точек доступа в радиоэфире. |
по умолчанию значение не выставлено и активировать сервис нельзя, пока оно не будет установлено. | ||
| Режим сканирования WIDS | none/passive/sentry | None - режим выключен. Значение по |
умолчанию. Passive - в этом режиме точка доступа через заданные промежутки времени (Период пассивного сканирования) будет кратковременно (Продолжительность пассивного сканирования) менять свой текущий канал (на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. Качество услуги, предоставляемой клиенту, в момент сканирования, практически не деградирует. Sentry - режим сканера - в данном режиме не предусмотрена работа точки доступа с клиентами. Точка доступа всё время сканирует весь список каналов и максимально быстро обнаруживает угрозы. | ||
| Интерфейс сканирования WIDS | all/wlan0/wlan1 | all - оба интерфейса в диапазоне 2,4 ГГц и 5 ГГц. Значение по |
умолчанию. wlan0 - интерфейс в диапазоне 2,4 ГГц. wlan1 - интерфейс в диапазоне 5 ГГц. | ||
| Период пассивного сканирования, сек | 1..3600 | Период пассивного сканирования. Значение по |
| умолчанию: 20. | ||
| Продолжительность сканирования канала для пассивного режима, мс | 10..2000 | Длительность пассивного сканировании. Значение по |
| умолчанию: 110. | ||
| Продолжительность сканирования канала для активного режима, мс | 100..2000 | Длительность нахождения ТД на одном канале, для активного |
| сканирования. Значение по |
| умолчанию: 200. | ||
| Режим подавления (WIPS) | none/rogue/all | None - режим выключен. Значение по |
умолчанию. Rogue - сканирующая ТД детектирует MAC-адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакеты от имени "вражеской" ТД клиенту и от имени клиента "вражеской" ТД. All - в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к "не доверенной" ТД. | ||
| URL-адрес службы WIDS-service | ws://<IP>:<Port>/MacLists | Путь до вспомогательного сервиса eltex-wids-service. Не обязательная настройка. Обеспечивает работу с белыми/черными списками MAC |
| Имя списка службы WIDS | Defaut_list | Предоставляется возможность выбрать один из списков MAC-адресов, созданных в разделе "Wireless - WIDS Manager" Не обязательная настройка. Значение по |
умолчанию: Defaut_list | ||
| Включить обнаружение небезопасной конфигурации | Вкл/Выкл | Функционал, при включении которого точка доступа отправляет в систему управления трап при каждом изменении в настройках конфигурации, если итоговая конфигурация по мнению функционала WIDS небезопасна. Значение по |
| умолчанию: off | ||
| Bruteforce-detection | ||
| Включить обнаружение атак "перебор пароля" | Вкл/Выкл | Включить/отключить функцию детектирования атаки перебора паролей. Значение по |
умолчанию: off | ||
| Порог количества неудачных попыток авторизаций | 1..10000 | Пороговый лимит количества неуспешных авторизаций. Значение по |
умолчанию: 25. | ||
| Интервал подсчёта неудачных попыток авторизаций, сек | 0..86400 | В течение указанного интервала считается количество неуспешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей". Значение по |
умолчанию: 5 сек. При значении параметра равного 0, детектирование атаки "перебор паролей" будет отключено. | ||
| Включить блокировку клиентов, уличенных в атаке | Вкл/Выкл | При включении данной функции MAC-адреса клиентских устройств, замеченных за атакой "перебор паролей", будут добавлены в черный список на период времени Timeout. При попадании в "MAC Blacklist" устройство будет игнорироваться точкой доступа на период времени Timeout, в результате чего, клиент не сможет подключиться к сети. Значение по |
умолчанию: off | ||
| Продолжительность блокировки клиентов, сек | 1..86400 | Время хранения MAC-адреса клиентского устройства в черном списке. Значение по |
умолчанию: 1800 сек | ||
| DoS-Detection | ||
| Включить обнаружение атак "отказ в обслуживании" | Вкл/Выкл | Активирование функции детектирования DoS-атак. Значение по |
умолчанию: off DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon) | ||
| Интервал подсчёта пакетов в радиоэфире, сек | 0..86400 | Интервал, в течение которого идет подсчет фреймов. Если за это время заданный лимит превышен, то будет сгенерирован SNMP-трап об обнаружении атаки. Значение по |
умолчанию: 1 сек. | ||
| Порог резкого изменения количества пакетов относительно предыдущего периода времени | 0..86400 | Параметр показывает, насколько должно измениться количество пакетов по сравнению с предыдущим периодом, чтобы был отправлен трап о DoS-атаке. Значение по |
| умолчанию: 250. | ||
| Период отправки сообщения о детектировании атаки в секундах | 0..604800 | Значение по |
| умолчанию: 20 | ||
| Пороговое значение пакетов типа "Association request" | 0..86400 | Значение по |
умолчанию: 500 | ||
| Пороговое значение пакетов типа "Reassociation request" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "Diassociation request" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "Probe request" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "Beacon" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "Block Ack request" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "Block Ack" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "PS poll" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "Authentication" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "Deauthentification" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "RTS" | 0..86400 | Значение по |
| умолчанию: 500 | ||
| Пороговое значение пакетов типа "CTS" | 0..86400 | Значение по |
| умолчанию: 500 |
Настройка вспомогательного сервиса eltex-wids-service
...