Сравнение версий

Старая версия 8

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия 9

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Раскрыть
titleПример записи в журнале


Блок кода
languageactionscript3
wlc-30(config-wlc-wids-profile)# do sh wlc journal wids attack mitm our-attacks-information-update 
2024-11-02T20:43:26+07:00 AP 68:13:e2:20:a2:10 attacked AP 68:13:e2:0e:85:51 on channel 1, interface: wlan0, AP location: default-location1, description: broadcast-count 1012, unicast-count 1
2024-11-02T20:43:26+07:00 AP 68:13:e2:20:a2:10 attacked AP e0:d9:e3:48:74:90 on channel 1, interface: wlan0, AP location: default-location1, description: broadcast-count 1012, unicast-count 1

2024-11-02T20:43:34+07:00 AP e8:28:c1:fc:d4:60 attacked AP e8:28:c1:d7:3c:22 on channel 1, interface: wlan0, AP location: default-location1, description: broadcast-count 777, unicast-count 0
2024-11-02T20:43:34+07:00 AP e8:28:c1:fc:d4:60 attacked AP 68:13:e2:21:1e:21 on channel 1, interface: wlan0, AP location: default-location1, description: broadcast-count 777, unicast-count 0

...


Атака "Отказ в обслуживании" (denial-of-service, DoS)

Атака создана для значительного затруднения работы сети или системы путем загрузки служебными запросами, которые исчерпывают ресурсы сети или системы для обслуживания пользователей.

DoS атака определяется превышением лимита, который задается параметром threshold для управляющих фреймов разных типов в радиоэфире. В профиле также задается интервал времени, в течение которого идет подсчет фреймов (параметр interval). Если за это время заданный лимит превышен, то будет сгенерировано и отправлено на контроллер сообщение об обнаружении атаки. Период отправки таких сообщений настраивается в параметре trap-send-period.

Также администратором задается параметр threshold leap, который показывает, насколько должно измениться количество пакетов по сравнению с предыдущим периодом, чтобы было отправлено сообщение о DoS-атаке на контроллер.

Пример настройки профиля WIDS с активацией режима обнаружения DoS-атаки при превышении количества любого типа пакетов 700 на интервале 5 секунд, а также при резком увеличении количества пакетов более чем на 500, с периодом отправки нотификаций - 30 секунд:

Блок кода
languageactionscript3
titleНастройка обнаружения DoS-атак
wlc-30# 
wlc-30# configure 
wlc-30(config)# wlc
wlc-30(config-wlc)# wids-profile test_wids_profile 
wlc-30(config-wlc-wids-profile)# dos-detection 
wlc-30(config-wlc-wids-profile-dos-detection)# 
wlc-30(config-wlc-wids-profile-dos-detection)# interval 5
wlc-30(config-wlc-wids-profile-dos-detection)# trap-send-period 30
wlc-30(config-wlc-wids-profile-dos-detection)# threshold leap 500
wlc-30(config-wlc-wids-profile-dos-detection)# threshold assoc 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold reassoc 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold disassoc 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold probe 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold beacon 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold blockack 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold blockack-req 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold ps-poll 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold auth 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold deauth 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold rts 700
wlc-30(config-wlc-wids-profile-dos-detection)# threshold cts 700
wlc-30(config-wlc-wids-profile-dos-detection)# enable
wlc-30(config-wlc-wids-profile-dos-detection)# 
wlc-30(config-wlc-wids-profile-dos-detection)# do commit
wlc-30(config-wlc-wids-profile-dos-detection)# do confirm

Применить профиль можно в общих настройках WIDS для всех точек доступа контроллера, в локации или индивидуально на точке доступа.

Раскрыть
titleПример записи в журнале


Блок кода
languageactionscript3
wlc-30(config-wlc-wids-profile-dos-detection)# do sh wlc journal wids attack dos 
2024-11-02T20:01:43+07:00 AP 68:13:e2:20:a2:70 detected DoS attack on wlan0: a sharp increase in the number of packets with type 'Probe request' (from 20 to 640), AP location: default-location. Found 23 attacks for last detection period, attack time from AP: 2024-11-02T17:31:41+04:30
2024-11-02T20:01:43+07:00 AP 68:13:e2:20:a2:70 detected DoS attack on wlan0: too many packets with type 'Beacon' (count 720 when constraint 700), AP location: default-location. Found 30 attacks for last detection period, attack time from AP: 2024-11-02T17:31:41+04:30


Атака "Перебор паролей" (Bruteforce)


Параметры WIDS





Имя параметраДопустимые значенияОписание
Настройка WIDS
Включить WIDSВкл/Выкл

Включить/отключить сервис WIDS. Значение по умолчанию: off

Общий сетевой ключASCII строка от 10 до 32 символов

Общий ключ, используемый для отслеживание доверенных точек доступа в радиоэфире.

по умолчанию значение не выставлено и активировать сервис нельзя, пока оно не будет установлено.

Режим сканирования WIDSnone/passive/sentry

None - режим выключен. Значение по умолчанию.

Passive - в этом режиме точка доступа через заданные промежутки времени (Период пассивного сканирования) будет кратковременно (Продолжительность пассивного сканирования) менять свой текущий канал (на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. Качество услуги, предоставляемой клиенту,  в момент сканирования, практически не деградирует.

Sentry - режим сканера - в данном режиме не предусмотрена работа точки доступа с клиентами. Точка доступа всё время сканирует весь список каналов и максимально быстро обнаруживает угрозы.

Интерфейс сканирования WIDSall/wlan0/wlan1

all - оба интерфейса в диапазоне 2,4 ГГц и 5 ГГц. Значение по умолчанию.

wlan0 - интерфейс в диапазоне 2,4 ГГц.

wlan1 - интерфейс в диапазоне 5 ГГц.

Период пассивного сканирования, сек1..3600Период пассивного сканирования. Значение по умолчанию: 20.
Продолжительность сканирования канала для пассивного режима, мс10..2000Длительность пассивного сканировании. Значение по умолчанию: 110.
Продолжительность сканирования канала для активного режима, мс100..2000Длительность нахождения ТД на одном канале, для активного сканирования. Значение по умолчанию: 200.
Режим подавления (WIPS)none/rogue/all

None - режим выключен. Значение по умолчанию.

Rogue - сканирующая ТД детектирует MAC-адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакеты от имени "вражеской" ТД клиенту и от имени клиента  "вражеской" ТД.

All - в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к  "не доверенной" ТД.

Bruteforce-detection
Включить обнаружение атак "перебор пароля"Вкл/Выкл

Включить/отключить функцию детектирования атаки перебора паролей.

Значение по умолчанию: off

Порог количества неудачных попыток авторизаций1..10000

Пороговый лимит количества неуспешных авторизаций.

Значение по умолчанию: 25.

Интервал подсчёта неудачных попыток авторизаций, сек0..86400

В течение указанного интервала считается количество неуспешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей".

Значение по умолчанию: 5 сек.

При значении параметра равного 0, детектирование атаки "перебор паролей" будет отключено.

Включить блокировку клиентов, уличенных в атакеВкл/Выкл

При включении данной функции MAC-адреса клиентских устройств, замеченных за атакой "перебор паролей", будут добавлены в черный список на период времени Timeout. При попадании в "MAC Blacklist" устройство будет игнорироваться точкой доступа на период времени Timeout, в результате чего, клиент не сможет подключиться к сети.

Значение по умолчанию: off

Продолжительность блокировки клиентов, сек1..86400

Время хранения MAC-адреса клиентского устройства в черном списке.

Значение по умолчанию: 1800 сек

DoS-Detection
Включить обнаружение атак "отказ в обслуживании"Вкл/Выкл

Активирование функции детектирования DoS-атак. Значение по умолчанию: off

DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon)

Интервал подсчёта пакетов в радиоэфире, сек0..86400

Интервал, в течение которого идет подсчет фреймов. Если за это время заданный лимит превышен, то будет сгенерирован SNMP-трап об обнаружении атаки.

Значение по умолчанию: 1 сек.

Порог резкого изменения количества пакетов относительно предыдущего периода времени0..86400Параметр показывает, насколько должно измениться количество пакетов по сравнению с предыдущим периодом, чтобы был отправлен трап о DoS-атаке.
Значение по умолчанию: 250.
Период отправки сообщения о детектировании атаки в секундах 0..604800Значение по умолчанию: 20
Пороговое значение пакетов типа "Association request"0..86400

Значение по умолчанию: 500

Пороговое значение пакетов типа "Reassociation request"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Diassociation request"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Probe request"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Beacon"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Block Ack request"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Block Ack"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "PS poll"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Authentication"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "Deauthentification"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "RTS"0..86400Значение по умолчанию: 500
Пороговое значение пакетов типа "CTS"0..86400Значение по умолчанию: 500

...