| Оглавление |
|---|
Описание
WIPS/WIDS — – внутренний сервис точки доступа (ТД) по обнаружению и предотвращению и предотвращению вторжений в беспроводную сеть.
| Информация |
|---|
Функционал WIDS/WIPS доступен на следующих точках доступаТД: WEP-3ax – начиная с версии ПО 1.14.0. WEP-30L, WEP-30L-Z, WOP-30L, WOP-30LS, WOP-30LI – начиная с версии ПО 2.6.0. |
...
Поддержан следующий функционал WIDS/WIPS:
- Обнаружение DDoS-атак;.
- Отслеживание перебора паролей;.
- Обнаружение точек доступа, имитирующих SSID;.
- Обнаружение точек доступа, имитирующих MAC-адрес;.
- Отключение клиентов от вражеских ТД.
...
| Информация |
|---|
Функционал WIDS/WIPS активируется лицензией WLC-WIDS-WIPS. Информация о загрузке и применении лицензии описана в статье Активация функционала по лицензии. |
Проверить наличие лицензии можно с помощью команды show licence:
...
Предусмотрена возможность выключения сервиса в определенной локации или на конкретной ТД с помощью команды wids-disable. При этом команда no wids-disable в локации или в индивидуальном профиле ТД не означает, что сервис включен, если одновременно с этим он выключен в общих настройках WIDS.
...
| Подсказка |
|---|
Для включения сервиса обязательно должен быть задан общий ключ доверенных ТД 'shared-key'. |
По Все настройки сканирования и детектирования атак содержатся в профиле WIDS. По умолчанию в общих настройках WIDS используется профиль defaultпрофиль с названием default-wids. Увидеть настройку , это можно увидеть в полной конфигурации контроллера с помощью команды sh ru full wlc wids:
| Блок кода | ||
|---|---|---|
| ||
wlc# sh ru full wlc wids wids wids-profile default-wids shared-key ascii-text encrypted CCE5513EE45A1EAC450A enable exit |
Чтобы проверить настройки параметры профиля используйте команду sh ru full wlc wids-profile. В данном случае профиль содержит настройки параметров по умолчанию.
...
Существуют 3 варианта применения настроек:
1. На все точки доступа ТД контроллера.
2. На точки доступа ТД локации.
3. На конкретную точку доступаТД.
| Подсказка |
|---|
Приоритет применения настроек следующий: настройки индивидуального профиля, настройки локации, общие настройки сервиса. |
В общих настройках сервиса задается общий ключ доверенных точек доступаТД, выбирается профиль настроек WIDS, а также также белые и черные списки для более точной настройки "доверенных" и "вражеских" ТД. Все эти настройки можно переопределить на уровне локации, а также на конкретной точке доступа ТД через индивидуальный профиль.
...
В активном режиме сканирования не предусмотрена работа ТД с клиентами. Точка доступа ТД всё время сканирует весь список радиоканалов (продолжительность сканирования одного канала задается в параметре 'sentry time') и максимально быстро обнаруживает угрозы.
В результате сканирования точка доступа ТД распределяет все точки доступа ТД в эфире на три группы:
- "Недоверенные" ТД – точки, которые присутствуют в эфире, но о них более ничего не известно;
- "Доверенные" ТД – точки, которые установлены и управляются оператором;
- "Вражеские" ТД – точки, которые несут угрозу для остальных точек доступа ТД в сети – это ТД, которые имитируют MAC-адрес или SSID исходной ТД.
Для однозначного выявления всех "недоверенных" ТД эфире, в Beacon-пакет ТД, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись. Расшифровать пакет могут лишь те точки, на которых настроен идентичный общий ключ 'Shared key' в конфигурации сервиса. Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, то ТД, от которой был получен пакет, будет считаться "недоверенной". Иначе – "доверенной".
Если "недоверенная" точка доступа ТД имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору, посредством отправки с ТД соответствующей нотификации на контроллер.
...
Настройки сканирования выполняются в профиле WIDS. Ниже представлен пример настройки пассивного сканирования со временем сканирования одного канала 50 мкс 110 мс и интервалом между сканированием 30 с, и сканированием в обоих частотных диапазонах:
| Блок кода | ||
|---|---|---|
| ||
wlc# configure wlc(config)# wlc wlc(config-wlc)# wids-profile test_wids_profile wlc(config-wlc-wids-profile)# scan wlc(config-wlc-wids-profile-scan)# mode passive wlc(config-wlc-wids-profile-scan)# interface all wlc(config-wlc-wids-profile-scan)# passive time 50110 wlc(config-wlc-wids-profile-scan)# passive interval 30 wlc(config-wlc-wids-profile-scan)# do commit wlc(config-wlc-wids-profile-scan)# do confirm wlc(config-wlc-wids-profile-scan)# wlc(config-wlc-wids-profile-scan)# do sh ru wlc wids-profile test_wids_profile wids-profile test_wids_profile scan mode passive passive interval 30 passive time 50 exit exit |
...
Ниже представлен пример настройки списков для всех точек доступа ТД контроллера, в котором в черном списке задан MAC-адрес e4:5a:d4:e8:d9:20 (эта точка доступа ТД будет считаться "вражеской"), а в белом списке задан MAC-адрес e8:28:c1:d7:3c:20 (эта точка ТД будет считаться "доверенной"):
...
Для настройки подавления угроз от вредоносных ТД, которые имитируют SSID или MAC-адрес сканирующей ТД, используется параметр prevention-mode. В случае активации режима 'Rogue', исходная ТД будет отправлять пакеты типа 'Deauthentification' от имени "вражеской" точки доступа клиенту и от имени клиента – "вражеской" ТД ее клиентам. При использовании режима 'All' форсированные пакеты 'Deauthentification' будут отправляться не только "вражеским" ТД, но и всем "недоверенным".
...
При активации режима подавления можно настроить период отправки на контроллер сообщений, содержащих статистику срабатываний функционала подавления угроз (WIPS). Для этого используйте параметр attackнеобходимо использовать параметр 'attack-stats-trap-send-period' и задайте задать значение в минутах.
| Блок кода | ||
|---|---|---|
| ||
wlc(config-wlc-wids-profile)# attack-stats-trap-send-period 10 wlc(config-wlc-wids-profile)# do commit wlc(config-wlc-wids-profile)# do confirm wlc(config-wlc-wids-profile)# |
...