Сравнение версий

Старая версия 4

changes.mady.by.user Титов Илья Вадимович

Сохранено

по сравнению с

Новая версия 5

changes.mady.by.user Титов Илья Вадимович

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

В заводской конфигурации создан профиль с названием «default-wids» со следующими параметрами:

Общие:

  • Описание: Отсутствует.

Сканирование эфира:

  • Сканирование: Отключено.
  • Диапазон сканирования, ГГЦ:  2.4/5 ГГц

Обнаружение DoS-атак:

  • Тогл Переключатель "Включить обнаружение DoS-атак": Выключен
  • Интервал подсчета количества пакетов в радиоэфире, с: 1 
  • Период отправки уведомлений об атаке, с: 20 
  • Количество пакетов относительно предыдущего периода времени: 250

...

  • Порог для "Beacon": 500
  • Порог для "Probe request" и "Probe response": 500
  • Порог для "Association request": 500
  • Порог для "Reassociation request": 500
  • Порог для "Disassociation request": 500
  • Порог для "Authentication": 500
  • Порог для "Deauthentification": 500
  • Порог для "Block Ack": 500
  • Порог для "Block Ack Request": 500
  • Порог для "CTS": 500
  • Порог для "RTS": 500
  • Порог для "PS Poll": 500

BtuteForce:

    Тогл
  • Переключатель "Включить обнаружение перебора паролей": Выключен
  • Пороговое значение количества неудачных попыток авторизации: 25
  • Интервал подсчета неудачных попыток авторизации, с: 5

WIPS

  • Подавление угроз: Отключено
  • Период отправки уведомлений со статистикой подавления угроз, мин: 10

Для создания профиля WIDS используйте кнопку «Создать профиль». Откроется окно с предложением создать профиль со стандартными настройками и сгенерированным названием, которое можно изменить самостоятельно. После нажатия кнопки «Сохранить» откроется страница профиля для настройки параметров. При необходимости отмены создания нового профиля, используйте кнопку «Отмена».

Image Added

На странице профиля WIDS представлены следующие параметры:
Общие:

  • Описание описание профиля. Значение по умолчанию: отсутствует. Возможные значения: произвольное описание задается строкой до 255 символов.

Сканирование эфира:

  • Сканирование – выбор параметра, который позволяет выбрать режим сканирования WIDS:

    • Отключено – сканирование выключено.

    • Пассивное – в этом режиме точка доступа через заданные промежутки времени будет кратковременно менять свой текущий канал (на котором идет работа с клиентами) на очередной канал из общего списка для обнаружения других ТД в эфире. Качество услуги, предоставляемой клиенту, в момент сканирования практически не деградирует. При выборе данного параметра на странице появляются следующие дополнительные  параметры:

      • Период пассивного сканирования, с - данный параметр задает период пассивного сканирования WIDS в секундах. Значение по умолчанию: 20
      • Продолжительность пассивного сканирования одного радиоканала, мс – данный параметр задает продолжительность сканирования на одном радиоканале в пассивном режиме. Значение по умолчанию: 110

Image Added

    • Активное – в этом режиме не предусмотрена работа точки доступа с клиентами. Точка доступа все время сканирует весь список каналов и максимально быстро обнаруживает угрозы. При выборе данного параметра на странице появляются следующие дополнительные  параметры:
      • Продолжительность активного сканирования одного радиоканала, мс – данный параметр задает продолжительность сканирования на одном радиоканале в активном режиме. Значение по умолчанию: 200

Image Added

  • Диапазон сканирования, ГГц – данный параметр задает интерфейс сканирования WIDS. Значение по умолчанию: 2.4/5

    • 2.4/5 – сканирование будут осуществлять оба радиоинтерфейса точки доступа: в диапазонах 2,4 ГГц и 5 ГГц.

    • 2.4 – сканирование будет осуществлять только радиоинтерфейс ТД в диапазоне 2,4 ГГц.

    • 5 – сканирование будет осуществлять только радиоинтерфейс ТД в диапазоне 5 ГГц.

Обнаружение DoS-атак:

  • Переключатель "Включить обнаружение DoS-атак" – Включает/Выключает функцию обнаружения DoS-атак на точке доступа.
  • Интервал подсчета количества пакетов в радиоэфире, с –параметр задает интервал подсчёта пакетов в радиоэфире. Если за это время порог, установленный для какого-то типа пакетов, был превышен, формируется сообщение об обнаружении DoS-атаки.
  • Количество пакетов относительно предыдущего периода времени – параметр задает пороговое значение для изменения количества пакетов относительно предыдущего периода времени. Параметр показывает, насколько должно измениться количество пакетов по сравнению с предыдущим периодом, чтобы было отправлено сообщение о DoS-атаке на контроллер.
  • Пороговые значения количества пакетов разных типов
    • Порог для "Beacon" – параметрзадает пороговое значение количества пакетов типа 'Beacon'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "Probe request" и "Probe response" – параметр задает пороговое значение количества пакетов типа 'Probe request' и 'Probe response'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "Association request" – параметрзадает пороговое значение количества пакетов типа 'Association request'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "Reassociation request" – параметр задает пороговое значение количества пакетов типа 'Reassociation request'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "Disassociation request" – параметрзадает пороговое значение количества пакетов типа 'Disassociation request'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "Authentication" – параметрзадает пороговое значение количества пакетов типа 'Authentication'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "Deauthentification" – параметрзадает пороговое значение количества пакетов типа 'Deauthentification'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "Block Ack" – параметр задает пороговое значение количества пакетов типа 'Block Ack'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "Block Ack Request" – параметрзадает пороговое значение количества пакетов типа 'Block Ack Request'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "CTS" – параметрзадает пороговое значение количества пакетов типа 'CTS'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "RTS" – параметрзадает пороговое значение количества пакетов типа 'RTS'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.
    • Порог для "PS Poll" – параметр задает пороговое значение количества пакетов типа 'PS Poll'. Если порог был превышен за заданный интервал времени, формируется сообщение об обнаружении DoS-атаки.

BruteForce

  • Переключатель "Включить обнаружение перебора паролей" – Включает/Выключает функцию обнаружения перебора паролей на точке доступа.
  • Пороговое значение количества неудачных попыток авторизации – параметр задает пороговое значение количества неуспешных авторизаций для блокировки.
  • Интервал подсчета неудачных попыток авторизации, с – параметр задает интервал подсчёта неудачных попыток авторизаций. В течение указанного интервала считается количество неуспешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) на ТД. Если порог был превышен, на контроллер отправляется сообщение об обнаружении атаки "перебор паролей".

При активации переключателя "Включить обнаружение перебора паролей" в нижней части списка становятся доступны дополнительные параметры настройки:

  • Переключатель "Блокировать клиентов, выполняющих перебор паролей" – включает/выключает функцию блокировки клиентских устройств, замеченных за атакой "перебор паролей". MAC-адреса клиентских устройств будут добавлены в "черный" список и будут игнорироваться точкой доступа в течение периода времени, заданного в параметре "Период блокировки", в результате чего, клиент не сможет подключиться к сети. 
  • Период блокировки, с – задает продолжительность блокировки клиентских устройств, замеченных за атакой "перебор паролей". По умолчанию: 1800

Image AddedWIPS

  • Подавление угроз – данный параметр позволяет выбрать режим подавления угроз.
    • Отключено – режим подавления угроз выключен.
    • Недоверенных точек доступа – в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к "недоверенным" ТД.

    • Вражеских доступа – сканирующая ТД детектирует MAC-адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакеты от имени "вражеской" ТД клиенту.

  • Период отправки уведомлений со статистикой подавления угроз, мин – данный параметр задает период отправки на контроллер сообщений, содержащих статистику срабатываний функционала подавления угроз.

Подменю «Индивидуальные настройки ТД»
Якорь
P_INTD
P_INTD

...