...
| Информация |
|---|
Функционал WIDS/WIPS доступен на следующих точках доступаТД: WEP-3ax – начиная с версии ПО 1.14.0. WEP-30L, WOP-30L, WOP-30LS – начиная с версии ПО 2.6.0. |
...
| Информация |
|---|
Функционал WIDS/WIPS активируется лицензией WLC-WIDS-WIPS. Информация о загрузке и применении лицензии описана в статье Активация функционала по лицензии. |
Проверить наличие лицензии можно с помощью команды show licence:
...
Предусмотрена возможность выключения сервиса в определенной локации или на конкретной ТД с помощью команды wids-disable. При этом команда no wids-disable в локации или в индивидуальном профиле ТД не означает, что сервис включен, если одновременно с этим он выключен в общих настройках WIDS.
...
Существуют 3 варианта применения настроек:
1. На все точки доступа ТД контроллера.
2. На точки доступа ТД локации.
3. На конкретную точку доступаТД.
| Подсказка |
|---|
Приоритет применения настроек следующий: настройки индивидуального профиля, настройки локации, общие настройки сервиса. |
В общих настройках сервиса задается общий ключ доверенных точек доступаТД, выбирается профиль настроек WIDS, а также также белые и черные списки для более точной настройки "доверенных" и "вражеских" ТД. Все эти настройки можно переопределить на уровне локации, а также на конкретной точке доступа ТД через индивидуальный профиль.
...
В активном режиме сканирования не предусмотрена работа ТД с клиентами. Точка доступа ТД всё время сканирует весь список радиоканалов (продолжительность сканирования одного канала задается в параметре 'sentry time') и максимально быстро обнаруживает угрозы.
В результате сканирования точка доступа ТД распределяет все точки доступа ТД в эфире на три группы:
- "Недоверенные" ТД – точки, которые присутствуют в эфире, но о них более ничего не известно;
- "Доверенные" ТД – точки, которые установлены и управляются оператором;
- "Вражеские" ТД – точки, которые несут угрозу для остальных точек доступа ТД в сети – это ТД, которые имитируют MAC-адрес или SSID исходной ТД.
Для однозначного выявления всех "недоверенных" ТД эфире, в Beacon-пакет ТД, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись. Расшифровать пакет могут лишь те точки, на которых настроен идентичный общий ключ 'Shared key' в конфигурации сервиса. Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, то ТД, от которой был получен пакет, будет считаться "недоверенной". Иначе – "доверенной".
Если "недоверенная" точка доступа ТД имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору, посредством отправки с ТД соответствующей нотификации на контроллер.
...
Ниже представлен пример настройки списков для всех точек доступа ТД контроллера, в котором в черном списке задан MAC-адрес e4:5a:d4:e8:d9:20 (эта точка доступа ТД будет считаться "вражеской"), а в белом списке задан MAC-адрес e8:28:c1:d7:3c:20 (эта точка ТД будет считаться "доверенной"):
...
Для настройки подавления угроз от вредоносных ТД, которые имитируют SSID или MAC-адрес сканирующей ТД, используется параметр prevention-mode. В случае активации режима 'Rogue', исходная ТД будет отправлять пакеты типа 'Deauthentification' от имени "вражеской" точки доступа ТД клиенту и от имени клиента – "вражеской" ТД. При использовании режима 'All' форсированные пакеты 'Deauthentification' будут отправляться не только "вражеским" ТД, но и всем "недоверенным".
...
При активации режима подавления можно настроить период отправки на контроллер сообщений, содержащих статистику срабатываний функционала подавления угроз (WIPS). Для этого используйте параметр attackнеобходимо использовать параметр 'attack-stats-trap-send-period' и задайте задать значение в минутах.
| Блок кода | ||
|---|---|---|
| ||
wlc(config-wlc-wids-profile)# attack-stats-trap-send-period 10 wlc(config-wlc-wids-profile)# do commit wlc(config-wlc-wids-profile)# do confirm wlc(config-wlc-wids-profile)# |
...