История страницы

...

wlc-30# sh wlc journal wids attack bruteforce too-much-authentication-fail-detected 
2024-11-02T19:38:46+07:00 AP e8:28:c1:fc:d4:60 detected too much authorization failed on wlan0-vap1, SSID: wids_test, last client MAC: 60:ab:67:ba:89:24, AP location: default-location

wlc-30#  sh wlc journal wids attack bruteforce client-was-banned 
2024-11-11T15:14:49+07:00 AP 68:13:e2:20:a2:70 banned client 60:ab:67:ba:89:24, SSID: wids_test1_Ent, interface: wlan0-va0, auth-method: enterprise, eap-method: PEAP, captive-portal: disabled, AP location: default-location

wlc-30#  sh wlc journal wids attack bruteforce client-was-unbanned 
2024-11-11T15:15:51+07:00 AP 68:13:e2:20:a2:70 unbanned client 60:ab:67:ba:89:24, SSID: wids_test1_Ent, interface: wlan0-va0, auth-method: enterprise, eap-method: PEAP, captive-portal: disabled, AP location: default-location

Параметры WIDS

Image Removed

Image Removed

...

Включить/отключить сервис WIDS. Значение по умолчанию: off

...

Общий ключ, используемый для отслеживание доверенных точек доступа в радиоэфире.

по умолчанию значение не выставлено и активировать сервис нельзя, пока оно не будет установлено.

...

None - режим выключен. Значение по умолчанию.

Passive - в этом режиме точка доступа через заданные промежутки времени (Период пассивного сканирования) будет кратковременно (Продолжительность пассивного сканирования) менять свой текущий канал (на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. Качество услуги, предоставляемой клиенту,  в момент сканирования, практически не деградирует.

Sentry - режим сканера - в данном режиме не предусмотрена работа точки доступа с клиентами. Точка доступа всё время сканирует весь список каналов и максимально быстро обнаруживает угрозы.

...

all - оба интерфейса в диапазоне 2,4 ГГц и 5 ГГц. Значение по умолчанию.

wlan0 - интерфейс в диапазоне 2,4 ГГц.

wlan1 - интерфейс в диапазоне 5 ГГц.

...

None - режим выключен. Значение по умолчанию.

Rogue - сканирующая ТД детектирует MAC-адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакеты от имени "вражеской" ТД клиенту и от имени клиента  "вражеской" ТД.

All - в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к  "не доверенной" ТД.

...

Включить/отключить функцию детектирования атаки перебора паролей.

Значение по умолчанию: off

...

Пороговый лимит количества неуспешных авторизаций.

Значение по умолчанию: 25.

...

В течение указанного интервала считается количество неуспешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей".

Значение по умолчанию: 5 сек.

При значении параметра равного 0, детектирование атаки "перебор паролей" будет отключено.

...

При включении данной функции MAC-адреса клиентских устройств, замеченных за атакой "перебор паролей", будут добавлены в черный список на период времени Timeout. При попадании в "MAC Blacklist" устройство будет игнорироваться точкой доступа на период времени Timeout, в результате чего, клиент не сможет подключиться к сети.

Значение по умолчанию: off

...

Время хранения MAC-адреса клиентского устройства в черном списке.

Значение по умолчанию: 1800 сек

...

Активирование функции детектирования DoS-атак. Значение по умолчанию: off

DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon)

...

Интервал, в течение которого идет подсчет фреймов. Если за это время заданный лимит превышен, то будет сгенерирован SNMP-трап об обнаружении атаки.

Значение по умолчанию: 1 сек.

...

Значение по умолчанию: 500

...