...
Атака "Перебор паролей" (Bruteforce)
Метод атаки с угадыванием паролей, учетных данных для входа в систему, ключей шифрования и прочей информации для получения несанкционированного доступ к данным, системам или сетям. Метод заключается в переборе всех возможных комбинаций для получения правильного пароля.
Точка доступа считает количество неудачных попыток авторизации пользователя при Personal или Enterprise авторизации в течении периода, определенного в параметре interval. Если общее количество таких попыток за указанное время превышает заданный порог threshold, то считается, что производится атака перебора паролей, и на контроллер отправляется сообщение о Bruteforce атаке.
При включении опции mac-ban enable точка доступа дополнительно считает количество неудачных попыток авторизации для каждого клиента в отдельности и блокирует доступ клиента к сервису по его MAC-адресу, если количество неудачных попыток авторизации для него превышено, а также оповещает об этом контроллер. По истечению времени блокировки, заданному в параметре mac-ban timeout, клиент вновь может делать попытки подключения к точке доступа, при этом точка доступа также оповещает контроллер о том, что клиент был разблокирован.
Пример настройки профиля WIDS с активацией режима обнаружения атаки "перебор паролей" при превышении порога 10 попыток на интервале времени 5 секунд, с блокировкой клиентов на 60 секунд.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
wlc-30# configure
wlc-30(config)# wlc
wlc-30(config-wlc)# wids-profile test_wids_profile
wlc-30(config-wlc-wids-profile)# bruteforce-detection
wlc-30(config-wlc-wids-profile-bf-detection)# enable
wlc-30(config-wlc-wids-profile-bf-detection)# threshold 10
wlc-30(config-wlc-wids-profile-bf-detection)# interval 5
wlc-30(config-wlc-wids-profile-bf-detection)# mac-ban enable
wlc-30(config-wlc-wids-profile-bf-detection)# mac-ban timeout 60
wlc-30(config-wlc-wids-profile-bf-detection)# do commit
wlc-30(config-wlc-wids-profile-bf-detection)# do confirm |
Применить профиль можно в общих настройках WIDS для всех точек доступа контроллера, в локации или индивидуально на точке доступа.
| Раскрыть | |||||
|---|---|---|---|---|---|
| |||||
|
Параметры WIDS
| Имя параметра | Допустимые значения | Описание |
|---|---|---|
| Настройка WIDS | ||
| Включить WIDS | Вкл/Выкл | Включить/отключить сервис WIDS. Значение по умолчанию: off |
| Общий сетевой ключ | ASCII строка от 10 до 32 символов | Общий ключ, используемый для отслеживание доверенных точек доступа в радиоэфире. по умолчанию значение не выставлено и активировать сервис нельзя, пока оно не будет установлено. |
| Режим сканирования WIDS | none/passive/sentry | None - режим выключен. Значение по умолчанию. Passive - в этом режиме точка доступа через заданные промежутки времени (Период пассивного сканирования) будет кратковременно (Продолжительность пассивного сканирования) менять свой текущий канал (на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. Качество услуги, предоставляемой клиенту, в момент сканирования, практически не деградирует. Sentry - режим сканера - в данном режиме не предусмотрена работа точки доступа с клиентами. Точка доступа всё время сканирует весь список каналов и максимально быстро обнаруживает угрозы. |
| Интерфейс сканирования WIDS | all/wlan0/wlan1 | all - оба интерфейса в диапазоне 2,4 ГГц и 5 ГГц. Значение по умолчанию. wlan0 - интерфейс в диапазоне 2,4 ГГц. wlan1 - интерфейс в диапазоне 5 ГГц. |
| Период пассивного сканирования, сек | 1..3600 | Период пассивного сканирования. Значение по умолчанию: 20. |
| Продолжительность сканирования канала для пассивного режима, мс | 10..2000 | Длительность пассивного сканировании. Значение по умолчанию: 110. |
| Продолжительность сканирования канала для активного режима, мс | 100..2000 | Длительность нахождения ТД на одном канале, для активного сканирования. Значение по умолчанию: 200. |
| Режим подавления (WIPS) | none/rogue/all | None - режим выключен. Значение по умолчанию. Rogue - сканирующая ТД детектирует MAC-адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакеты от имени "вражеской" ТД клиенту и от имени клиента "вражеской" ТД. All - в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к "не доверенной" ТД. |
| Bruteforce-detection | ||
| Включить обнаружение атак "перебор пароля" | Вкл/Выкл | Включить/отключить функцию детектирования атаки перебора паролей. Значение по умолчанию: off |
| Порог количества неудачных попыток авторизаций | 1..10000 | Пороговый лимит количества неуспешных авторизаций. Значение по умолчанию: 25. |
| Интервал подсчёта неудачных попыток авторизаций, сек | 0..86400 | В течение указанного интервала считается количество неуспешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей". Значение по умолчанию: 5 сек. При значении параметра равного 0, детектирование атаки "перебор паролей" будет отключено. |
| Включить блокировку клиентов, уличенных в атаке | Вкл/Выкл | При включении данной функции MAC-адреса клиентских устройств, замеченных за атакой "перебор паролей", будут добавлены в черный список на период времени Timeout. При попадании в "MAC Blacklist" устройство будет игнорироваться точкой доступа на период времени Timeout, в результате чего, клиент не сможет подключиться к сети. Значение по умолчанию: off |
| Продолжительность блокировки клиентов, сек | 1..86400 | Время хранения MAC-адреса клиентского устройства в черном списке. Значение по умолчанию: 1800 сек |
| DoS-Detection | ||
| Включить обнаружение атак "отказ в обслуживании" | Вкл/Выкл | Активирование функции детектирования DoS-атак. Значение по умолчанию: off DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon) |
| Интервал подсчёта пакетов в радиоэфире, сек | 0..86400 | Интервал, в течение которого идет подсчет фреймов. Если за это время заданный лимит превышен, то будет сгенерирован SNMP-трап об обнаружении атаки. Значение по умолчанию: 1 сек. |
| Порог резкого изменения количества пакетов относительно предыдущего периода времени | 0..86400 | Параметр показывает, насколько должно измениться количество пакетов по сравнению с предыдущим периодом, чтобы был отправлен трап о DoS-атаке. Значение по умолчанию: 250. |
| Период отправки сообщения о детектировании атаки в секундах | 0..604800 | Значение по умолчанию: 20 |
| Пороговое значение пакетов типа "Association request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Reassociation request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Diassociation request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Probe request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Beacon" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Block Ack request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Block Ack" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "PS poll" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Authentication" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Deauthentification" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "RTS" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "CTS" | 0..86400 | Значение по умолчанию: 500 |
...