Сравнение версий

Старая версия 4

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия 5

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Подсказка
titleВажно!

Включить сервис можно только в общих настройках WIDS.

Если в общих настройках сервис выключен, то он не работает на всех точках доступа контроллера и включить его на отдельной точке доступа или в конкретной локации нельзя.

Предусмотрена возможность выключить сервис в определенной локации или на конкретной точке доступа с помощью команды wids-disable.

...

 При этом команда 'no wids-disable' в локации или в

...

индивидуальном  профиле точки доступа не означает, что сервис  включен,  если одновременно с этим он выключен в общих настройках WIDS.

Если в общих настройках сервис выключен, то он не работает на всех точках доступа контроллера и включить его на отдельной точке доступа или в конкретной локации нельзя.

Для включения сервиса используйте следующие команды: 

...

В данном случае профиль содержит настройки параметров по умолчанию.

Настройка сервиса на точке доступа и логика работы

Атака "Человек посередине" (Man-in-the-Middle, MITM)

Атака, при которой используются методы перехвата данных, позволяющие внедриться в существующее подключение или процесс связи.

Обнаружение вредоносных ТД 

Для определения вредоносных точек доступа необходимо настроить сканирование. Сканирование может быть пассивным или активным.

В пассивном режиме сканирования точка доступа периодически (через время, заданное в параметре 'passive interval') и кратковременно (на время, заданное в параметре 'passive time') меняет свой текущий радиоканал, на котором работает с клиентами, на очередной канал из общего списка, чтобы обнаружить другие ТД в эфире. Качество услуги, предоставляемой клиенту в момент сканирования, практически не деградирует.

В активном режиме сканирования не предусмотрена работа ТД с клиентами. Точка доступа всё время сканирует весь список радиоканалов (продолжительность сканирования одного канала задается в параметре 'sentry time') и максимально быстро обнаруживает угрозы.

В результате сканирования точка доступа распределяет все точки доступа в эфире на три группы:

  1. "Недоверенные" ТД - точки, которые присутствуют в эфире, но о них более ничего не известно;
  2. "Доверенные" ТД - точки, которые установлены и управляются оператором;
  3. "Вражеские" ТД - точки, которые несут угрозу для остальных точек доступа в сети - это ТД, которые имитируют MAC-адрес или SSID исходной ТД.

Для однозначного выявления всех "недоверенных" ТД эфире, в Beacon пакет точек доступа, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись. Расшифровать пакет могут лишь те точки, на которых настроен идентичный общий ключ 'Shared key'  в конфигурации сервиса. Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, то точка доступа, от которой был получен пакет, будет считаться "недоверенной". Иначе - "доверенной".

Если "недоверенная" точка доступа имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору, посредством отправки с ТД соответствующей нотификации на контроллер.

Порядок применения настроек

Существуют 3 варианта применения настроек:

1. На все точки доступа контроллера.

2. На точки доступа локации.

3. На конкретную точку доступа.

Подсказка
titleПриоритет применения настроек
Приоритет применения настроек следующий: настройки индивидуального профиля, настройки локации, общие настройки сервиса. 

В общих настройках сервиса задается общий ключ доверенных точек доступа, выбирается профиль настроек WIDS, а также  белые и черные списки для более точной настройки "доверенных" и "вражеских" ТД. Все эти настройки можно переопределить на уровне локации, а также на конкретной точке доступа через индивидуальный профиль.

Настройка сервиса на точке доступа и логика работы

Атака "Человек посередине" (Man-in-the-Middle, MITM)

Атака, при которой используются методы перехвата данных, позволяющие внедриться в существующее подключение или процесс связи.

Обнаружение вредоносных ТД 

Для определения вредоносных точек доступа необходимо настроить сканирование. Сканирование может быть пассивным или активным.

В пассивном режиме сканирования точка доступа периодически (через время, заданное в параметре 'passive interval') и кратковременно (на время, заданное в параметре 'passive time') меняет свой текущий радиоканал, на котором работает с клиентами, на очередной канал из общего списка, чтобы обнаружить другие ТД в эфире. Качество услуги, предоставляемой клиенту в момент сканирования, практически не деградирует.

В активном режиме сканирования не предусмотрена работа ТД с клиентами. Точка доступа всё время сканирует весь список радиоканалов (продолжительность сканирования одного канала задается в параметре 'sentry time') и максимально быстро обнаруживает угрозы.

В результате сканирования точка доступа распределяет все точки доступа в эфире на три группы:

  1. "Недоверенные" ТД - точки, которые присутствуют в эфире, но о них более ничего не известно;
  2. "Доверенные" ТД - точки, которые установлены и управляются оператором;
  3. "Вражеские" ТД - точки, которые несут угрозу для остальных точек доступа в сети - это ТД, которые имитируют MAC-адрес или SSID исходной ТД.

Для однозначного выявления всех "недоверенных" ТД эфире, в Beacon пакет точек доступа, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись. Расшифровать пакет могут лишь те точки, на которых настроен идентичный общий ключ 'Shared key'  в конфигурации сервиса. Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, то точка доступа, от которой был получен пакет, будет считаться "недоверенной". Иначе - "доверенной".

Если "недоверенная" точка доступа имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору, посредством отправки с ТД соответствующей нотификации на контроллер.

Раскрытьexpand
titleПример записи в журнале


Блок кода
theme
languageactionscript3RDark
wlc-30# sh wlc journal wids attack mitm detected-rogue
2024-12-02T07:47:59+00:00 AP 68:13:e2:03:00:20 detected rogue AP with MAC e8:28:c1:ed:47:70, RSSI: -15, channel: 6, SSID: wids_test, AP location: default-location, reason: fake SSID


...

Блок кода
languageactionscript3
themeRDark
wlc-30# configure
wlc-30(config)# wlc
wlc-30(config-wlc)# wids-profile test_wids_profile
wlc-30(config-wlc-wids-profile)# scan
wlc-30(config-wlc-wids-profile-scan)# mode passive
wlc-30(config-wlc-wids-profile-scan)# interface all
wlc-30(config-wlc-wids-profile-scan)# passive time 50
wlc-30(config-wlc-wids-profile-scan)# passive interval 30
wlc-30(config-wlc-wids-profile-scan)# do commit
wlc-30(config-wlc-wids-profile-scan)# do confirm
wlc-30(config-wlc-wids-profile-scan)# 
wlc-30(config-wlc-wids-profile-scan)# do sh ru wlc wids-profile test_wids_profile 
wids-profile test_wids_profile
  scan
    mode passive
    passive interval 30
    passive time 50
  exit
exit

Существуют 3 варианта применения настроекВ зависимости от того, куда необходимо применить профиль, есть следующие варианты:

1. На все точки доступа контроллера. Для этого необходимо указать профиль в общих настройках WIDS.

Блок кода
languageactionscript3
themeRDark
titleПример установки профиля в общих настройках сервиса WIDS/WIPS
wlc-30(config)# wlc
wlc-30(config-wlc)# wids
wlc-30(config-wlc-wids)# wids-profile test_wids_profile 
wlc-30(config-wlc-wids)# do commit 
wlc-30(config-wlc-wids)# do confirm 
wlc-30(config-wlc-wids)#

...

Блок кода
theme
languageactionscript3RDark
titleПример установки профиля в локации
wlc-30# configure 
wlc-30(config)# wlc
wlc-30(config-wlc)# ap-location default-location 
wlc-30(config-wlc-ap-location)# wids 
wlc-30(config-wlc-ap-location-wids)# wids-profile test_wids_profile 
wlc-30(config-wlc-ap-location-wids)# 
wlc-30(config-wlc-ap-location-wids)# 
wlc-30(config-wlc-ap-location-wids)# do commit 
wlc-30(config-wlc-ap-location-wids)# do confirm 
wlc-30(config-wlc-ap-location-wids)#

3. На конкретной конкретную точке доступа. Для этого необходимо указать профиль WIDS в индивидуальном профиле точки доступа. Если одновременно профиль задан в общих настройках и/или в локации и в индивидуальном профиле точки доступа - будут использоваться настройки из индивидуального профиля ТД.

Блок кода
languageactionscript3
themeRDark
titleПример установки профиля в индивидуальном профиле точки доступа
wlc-30# configure 
wlc-30(config)# wlc
wlc-30(config-wlc)# ap 68:13:e2:03:00:10
wlc-30(config-wlc-ap)# ap-location default-location 
wlc-30(config-wlc-ap)# override wids 
wlc-30(config-wlc-ap-wids-override)# wids-profile default-wids 
wlc-30(config-wlc-ap-wids-override)# do commit 
wlc-30(config-wlc-ap-wids-override)# do confirm 
wlc-30(config-wlc-ap-wids-override)#

...

Блок кода
theme
languageactionscript3RDark
titleСоздание черного и белого списка WIDS
wlc-30# configure 
wlc-30(config)# object-group mac AP1
wlc-30(config-object-group-mac)# mac address e4:5a:d4:e8:d9:20
wlc-30(config-object-group-mac)# ex
wlc-30(config)# object-group mac AP2
wlc-30(config-object-group-mac)# mac address e8:28:c1:d7:3c:20
wlc-30(config-object-group-mac)# ex
wlc-30(config)# 
wlc-30(config)# wlc
wlc-30(config-wlc)# wids
wlc-30(config-wlc-wids)# black-list AP1
wlc-30(config-wlc-wids)# white-list AP2
wlc-30(config-wlc-wids)# do commit 
wlc-30(config-wlc-wids)# do confirm 
wlc-30(config-wlc-wids)# 
wlc-30(config-wlc-wids)# do sh ru object-groups mac 
object-group mac AP1
  mac address e4:5a:d4:e8:d9:20 ff:ff:ff:ff:ff:ff
exit
object-group mac AP2
  mac address e8:28:c1:d7:3c:20 ff:ff:ff:ff:ff:ff
exit
wlc-30(config-wlc-wids)#
wlc-30(config-wlc-wids)# do sh ru wlc wids
wids
  wids-profile test_wids_profile
  shared-key ascii-text encrypted CCE5513EE45A1EAC450A
  enable
  white-list AP2
  black-list AP1
exit

...

Блок кода
languageactionscript3
themeRDark
titleСоздание пустого списка MAC-адресов
wlc-30# configure 
wlc-30(config)# object-group mac noAP
wlc-30(config-object-group-mac)# exit
wlc-30(config)# wlc
wlc-30(config-wlc)# wids
wlc-30(config-wlc-wids)# black-list noAP 
wlc-30(config-wlc-wids)# do commit 
wlc-30(config-wlc-wids)# do confirm 
 wlc-30(config-wlc-wids)# 
wlc-30(config-wlc-wids)# do sh ru object-groups mac noAP 
object-group mac noAP
exit
wlc-30(config-wlc-wids)#
wlc-30(config-wlc-wids)# do sh ru wlc wids
wids
  wids-profile test_wids_profile
  shared-key ascii-text encrypted CCE5513EE45A1EAC450A
  enable
  white-list AP2
  black-list noAP
exit

Настройка конфигурации "WIDS/WIPS" для устройств ESDK (WEP/WOP-3ax)

Для возможности настройки сервиса на ТД необходимо включить "Вкл WIPS/WIDS сервис" на вкладке "Доступ" устройства.

Image Removed

После этого настройка сервиса станет доступна во вкладке "config" в меню "Управление". Если вкладка "config" в меню "Управление" открывалась до включения сервиса и раздел "Настройка WIDS" не отображается - необходимо нажать кнопку Image Removed на вкладке "Управление".

Основная настройка сервиса происходит во вкладке "config" в меню "Управление".

  black-list noAP
exit

Настройка конфигурации "WIDS/WIPS" для устройств ESDK (WEP/WOP-3ax)





Имя параметраДопустимые значенияОписание
Настройка WIDS
Включить WIDSВкл/Выкл

Включить/отключить сервис WIDS. Значение по умолчанию: off

Общий сетевой ключASCII строка от 10 до 32 символов

Общий ключ, используемый для отслеживание доверенных точек доступа в радиоэфире.

по умолчанию значение не выставлено и активировать сервис нельзя, пока оно не будет установлено.

Режим сканирования WIDSnone/passive/sentry

None - режим выключен. Значение по умолчанию.

Passive - в этом режиме точка доступа через заданные промежутки времени (Период пассивного сканирования) будет кратковременно (Продолжительность пассивного сканирования) менять свой текущий канал (на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. Качество услуги, предоставляемой клиенту,  в момент сканирования, практически не деградирует.

Sentry - режим сканера - в данном режиме не предусмотрена работа точки доступа с клиентами. Точка доступа всё время сканирует весь список каналов и максимально быстро обнаруживает угрозы.

Интерфейс сканирования WIDSall/wlan0/wlan1

all - оба интерфейса в диапазоне 2,4 ГГц и 5 ГГц. Значение по умолчанию.

wlan0 - интерфейс в диапазоне 2,4 ГГц.

wlan1 - интерфейс в диапазоне 5 ГГц.

Период пассивного сканирования, сек1..3600Период пассивного сканирования. Значение по умолчанию: 20.
Продолжительность сканирования канала для пассивного режима, мс10..2000Длительность пассивного сканировании. Значение по умолчанию: 110.
Продолжительность сканирования канала для активного режима, мс100..2000Длительность нахождения ТД на одном канале, для активного сканирования. Значение по умолчанию: 200.
Режим подавления (WIPS)none/rogue/all

None - режим выключен. Значение по умолчанию.

Rogue - сканирующая ТД детектирует MAC-адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакеты от имени "вражеской" ТД клиенту и от имени клиента  "вражеской" ТД.All - в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к  "не довереннойот имени клиента  "вражеской" ТД.

URL-адрес службы WIDS-servicews://<IP>:<Port>/MacLists

Путь до вспомогательного сервиса eltex-wids-service.

Не обязательная настройка. Обеспечивает работу с белыми/черными списками MAC

Имя списка службы WIDSDefaut_list

Предоставляется возможность выбрать один из списков MAC-адресов, созданных в разделе "Wireless - WIDS Manager"

Не обязательная настройка.

Значение по умолчанию: Defaut_list

Включить обнаружение небезопасной конфигурацииВкл/ВыклФункционал, при включении которого точка доступа отправляет в систему управления трап при каждом изменении в настройках конфигурации, если итоговая конфигурация по мнению функционала WIDS небезопасна. Значение по умолчанию: off

All - в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к  "не доверенной" ТД.

Bruteforce-detection
Включить обнаружение атак "перебор пароля"Вкл/Выкл

Включить/отключить функцию детектирования атаки перебора паролей.

Значение по умолчанию: off

Порог количества неудачных попыток авторизаций1..10000

Пороговый лимит количества неуспешных авторизаций.

Значение по умолчанию: 25.

Интервал подсчёта неудачных попыток авторизаций, сек0..86400

В течение указанного интервала считается количество неуспешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей".

Значение по умолчанию: 5 сек.

При значении параметра равного 0, детектирование атаки "перебор паролей" будет отключено.

Включить блокировку клиентов, уличенных в атакеВкл/Выкл

При включении данной функции MAC-адреса клиентских устройств, замеченных за атакой "перебор паролей", будут добавлены в черный список на период времени Timeout. При попадании в "MAC Blacklist" устройство будет игнорироваться точкой доступа на период времени Timeout, в результате чего, клиент не сможет подключиться к сети.

Значение по умолчанию: off

Продолжительность блокировки клиентов, сек1..86400

Время хранения MAC-адреса клиентского устройства в черном списке.

Значение по умолчанию: 1800 сек

DoS-Detection
Включить обнаружение атак "отказ в обслуживании"Вкл/Выкл

Активирование функции детектирования DoS-атак. Значение по умолчанию: off

DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon)

Интервал подсчёта пакетов в радиоэфире, сек0..86400

Интервал, в течение которого идет подсчет фреймов. Если за это время заданный лимит превышен, то будет сгенерирован SNMP-трап об обнаружении атаки.

Значение по умолчанию: 1 сек.

Порог резкого изменения количества пакетов относительно предыдущего периода времени0..86400Параметр показывает, насколько должно измениться количество пакетов по сравнению с предыдущим периодом, чтобы был отправлен трап о DoS-атаке.
Значение по умолчанию: 250.
Период отправки сообщения о детектировании атаки в секундах 0..604800Значение по умолчанию: 20
Пороговое значение пакетов типа "Association request"0..86400

Значение по умолчанию: 500

Пороговое значение пакетов типа "Reassociation request"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Diassociation request"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Probe request"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Beacon"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Block Ack request"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Block Ack"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "PS poll"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Authentication"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Deauthentification"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "RTS"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "CTS"0..86400Значение по умолчанию: 500

Настройка вспомогательного сервиса eltex-wids-service

Переопределение "доверенных" и "вражеских" точек доступа происходит путем явного задания списков в GUI EMS (раздел "Wireless → WIDS Manager") и дальнейшего их указания в поле "WIDS MAC list" на вкладке "WIDS/WIPS" в меню "Конфигурация" ТД.

...