| Оглавление |
|---|
Описание
WIPS/WIDS - – внутренний сервис точки доступа (ТД) по обнаружению и предотвращению и предотвращению вторжений в беспроводную сеть.
| Информация | |
|---|---|
Функционал WIDS/WIPS доступен на следующих | точках доступаТД: WEP-3ax - – начиная с версии ПО 1.14.0. WEP-30L, WEP-30L-Z, WOP-30L, WOP-30LS, WOP-30LI – начиная с версии ПО 2.6.0. |
По своей сути этот Данный механизм анализирует трафик в радио-окружении ТД, делает вывод о наличии в сети угроз безопасности, оповещает о них администратора контроллера и, при необходимости, предпринимает действия для подавления этих угроз.
Поддержан следующий функционал WIDS/WIPS:
- Обнаружение DDoS-атак;.
- Отслеживание перебора паролей;.
- Обнаружение точек доступа, имитирующих имитирующих SSID;.
- Обнаружение точек доступа, имитирующих имитирующих MAC-адрес;.
- Отключение клиентов от вражеских ТД.
Лицензирование
| Информация |
|---|
Функционал WIDS/WIPS активируется лицензией WLC-WIDS-WIPS. |
...
Информация о загрузке и применении лицензии описана в статье Активация функционала по лицензии. |
Проверить наличие лицензии можно с помощью команды show licence:
| Блок кода | ||
|---|---|---|
| ||
wlc-30#wlc# show licence Feature Source State Value Valid from Expiries -------------------------------- -------- ----------- -------------------------------- -------------------- -------------------- WLC Boot Active true -- -- WLC Boot Candidate true -- -- WLC-WIDS-WIPS File Active true -- -- WLC-WIDS-WIPS File Candidate true -- -- |
...
Активация сервиса
| Подсказка | title | Важно!
|---|
Включить сервис можно только в общих настройках WIDS. Если в общих настройках сервис выключен, то он не работает на всех точках доступа ТД контроллера и включить его на отдельной точке доступа ТД или в конкретной локации нельзя. |
Предусмотрена возможность выключить сервис выключения сервиса в определенной локации или на конкретной точке доступа ТД с помощью команды widsкоманды wids-disable. При При этом команда ' no wids-disable' в локации или в индивидуальном индивидуальном профиле точки доступа ТД не означает, что сервис сервис включен, если одновременно с этим он выключен в общих настройках WIDS.
Для включения сервиса используйте следующие команды:
| Блок кода | ||
|---|---|---|
| ||
wlc#wlc-30# configure wlc-30(config)# wlc wlc-30(config-wlc)# wids wlc-30(config-wlc-wids)# enable wlc-30(config-wlc-wids)# shared-key ascii-text 0123456789 wlc-30(config-wlc-wids)# do commit wlc-30(config-wlc-wids)# do confirm |
| Подсказка | |
|---|---|
| Важно! | Для включения сервиса обязательно должен быть задан общий ключ доверенных точек доступаТД 'shared-key'. |
По умолчанию в Все настройки сканирования и детектирования атак содержатся в профиле WIDS. По умолчанию в общих настройках WIDS используется профиль defaultпрофиль с названием default-wids. Увидеть настройку , это можно увидеть в полной конфигурации контроллера с помощью команды sh ru full wlc wids:
| Блок кода | ||
|---|---|---|
| ||
| ||
wlc#wlc-30# sh ru full wlc wids wids wids-profile default-wids shared-key ascii-text encrypted CCE5513EE45A1EAC450A enable exit |
...
Чтобы проверить настройки параметры профиля используйте команду :
...
sh ru full wlc wids-profile. В данном случае профиль содержит настройки параметров по умолчанию.
| Блок кода | ||
|---|---|---|
| ||
wlc# | wlc-30# sh ru full wlc wids-profile
wids-profile default-wids
prevention-mode none
attack-stats-trap-send-period 10
scan
mode none
interface all
passive interval 20
passive time 110
sentry time 200
exit
bruteforce-detection
threshold 25
interval 5
no mac-ban enable
mac-ban timeout 1800
no enable
exit
dos-detection
interval 1
trap-send-period 20
threshold leap 250
threshold assoc 500
threshold reassoc 500
threshold disassoc 500
threshold probe 500
threshold beacon 500
threshold blockack 500
threshold blockack-req 500
threshold ps-poll 500
threshold auth 500
threshold deauth 500
threshold rts 500
threshold cts 500
no enable
exit
exit |
В данном случае профиль содержит настройки параметров по умолчанию.
Порядок применения настроек
Порядок применения настроек
Существуют Существуют 3 варианта применения настроек:
1. На все точки доступа ТД контроллера.
2. На точки доступа ТД локации.
3. На конкретную точку доступаТД.
| Подсказка | title | Приоритет применения настроек
|---|
Приоритет применения настроек следующий: настройки индивидуального профиля, настройки локации, общие настройки сервиса. |
В общих настройках сервиса задается общий ключ доверенных точек доступаТД, выбирается профиль настроек WIDS, а также также белые и черные списки для более точной настройки "доверенных" и "вражеских" ТД. Все эти настройки можно переопределить на уровне локации, а также на конкретной точке доступа ТД через индивидуальный профиль.
...
Атака "Человек посередине" (Man-in-the-Middle, MITM)
Атака, при которой используются методы перехвата данных, позволяющие внедриться в существующее подключение или процесс связи.
Обнаружение вредоносных ТД
...
В пассивном режиме сканирования точка доступа периодически (через время, заданное в параметре 'passive interval') и кратковременно (на время, заданное в параметре 'passive time') меняет свой текущий радиоканал, на котором работает с клиентами, на очередной канал из общего списка, чтобы обнаружить другие ТД в эфире. Качество Качество услуги, предоставляемой клиенту в момент сканирования, практически не деградирует.
В активном режиме сканирования не предусмотрена работа ТД с клиентами. Точка доступа ТД всё время сканирует весь список радиоканалов (продолжительность сканирования одного канала задается в параметре 'sentry time') и максимально быстро обнаруживает угрозы.
В результате сканирования точка доступа ТД распределяет все точки доступа ТД в эфире на три группы:
- "Недоверенные" ТД - – точки, которые присутствуют в эфире, но о них более ничего не известно;
- "Доверенные" ТД - – точки, которые установлены и управляются оператором;
- "Вражеские" ТД - – точки, которые несут угрозу для остальных точек доступа ТД в сети - – это ТД, которые имитируют MAC-адрес или SSID исходной ТД.
Для однозначного выявления всех "недоверенных" ТД эфире, в Beacon-пакет точек доступаТД, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись. Расшифровать пакет могут лишь те точки, на которых настроен идентичный общий ключ 'Shared key' в конфигурации сервиса. Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, то точка доступаТД, от которой был получен пакет, будет считаться "недоверенной". Иначе - – "доверенной".
Если "недоверенная" точка доступа ТД имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору, посредством отправки с ТД соответствующей нотификации на контроллер.
| Раскрыть | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||
|
Настройки сканирования выполняются в профиле WIDS. Пример Ниже представлен пример настройки пассивного сканирования со временем сканирования одного канала 50 мкс 110 мс и интервалом между сканированием 30 с, и сканированием в обоих частотных диапазонах:
| Блок кода | ||
|---|---|---|
| ||
wlc-30#wlc# configure wlc-30(config)# wlc wlc-30(config-wlc)# wids-profile test_wids_profile wlc-30(config-wlc-wids-profile)# scan wlc-30(config-wlc-wids-profile-scan)# mode passive wlc-30(config-wlc-wids-profile-scan)# interface all wlc-30(config-wlc-wids-profile-scan)# passive time 50110 wlc-30(config-wlc-wids-profile-scan)# passive interval 30 wlc-30(config-wlc-wids-profile-scan)# do commit wlc-30(config-wlc-wids-profile-scan)# do confirm wlc-30(config-wlc-wids-profile-scan)# wlc-30(config-wlc-wids-profile-scan)# do sh ru wlc wids-profile test_wids_profile wids-profile test_wids_profile scan mode passive passive interval 30 passive time 50 exit exit |
В зависимости от того, куда необходимо применить профиль, есть следующие вариантыПрофиль можно применить:
1. На все точки доступа ТД контроллера. Для этого необходимо указать профиль в общих настройках WIDS.
| Блок кода | |||||
|---|---|---|---|---|---|
| |||||
wlc(configwlc-30(config)# wlc wlc-30(config-wlc)# wids wlc-30(config-wlc-wids)# wids-profile test_wids_profile wlc-30(config-wlc-wids)# do commit wlc-30(config-wlc-wids)# do confirm wlc-30(config-wlc-wids)# |
2. На точки доступа ТД локации. Для этого необходимо указать профиль в настройках конкретной локации. Если одновременно профиль задан в общих настройках и в локации - – будет использоваться профиль из локации.
| Блок кода | |||||
|---|---|---|---|---|---|
| |||||
wlc#wlc-30# configure wlc-30(config)# wlc wlc-30(config-wlc)# ap-location default-location wlc-30(config-wlc-ap-location)# wids wlc-30(config-wlc-ap-location-wids)# wids-profile test_wids_profile wlc-30(config-wlc-ap-location-wids)# wlc-30(config-wlc-ap-location-wids)# wlc-30(config-wlc-ap-location-wids)# do commit wlc-30(config-wlc-ap-location-wids)# do confirm wlc-30(config-wlc-ap-location-wids)# |
3. На конкретную точке доступаТД. Для этого необходимо указать профиль WIDS в индивидуальном профиле точки доступаТД. Если одновременно профиль задан в общих настройках и/или в локации и в индивидуальном профиле точки доступа - ТД – будут использоваться настройки из индивидуального профиля ТД.
| Блок кода | |||||
|---|---|---|---|---|---|
| |||||
wlc#wlc-30# configure wlc-30(config)# wlc wlc-30(config-wlc)# ap 68:13:e2:03:00:10 wlc-30(config-wlc-ap)# ap-location default-location wlc-30(config-wlc-ap)# override wids wlc-30(config-wlc-ap-wids-override)# wids-profile default-wids wlc-30(config-wlc-ap-wids-override)# do commit wlc-30(config-wlc-ap-wids-override)# do confirm wlc-30(config-wlc-ap-wids-override)# |
Для более гибкой работы сервиса, есть возможность явно указать список ТД, которые должны считаться "доверенными" ТД (white-list) или "вражескими"(black-list). Эти списки настраиваются в object-group, а применяются так же также на 3 уровнях - – в общих настройках, в локации или индивидуально на точке доступаТД.
| Подсказка | |
|---|---|
| Особенность применения списков | Приоритет применения списков следующий: настройки индивидуального профиля, настройки локации, общие настройки сервиса. В случае ,если на одном уровне задан только спискасписок одного вида (белого или черного), противоположный список будет использован со следующего уровня. Например, если в индивидуальном профиле точки доступаТД задан только черный список, то белый список будет взят из настроек локации. Если он не задан в локации, то будет взят из общих настроек сервиса. |
Пример Ниже представлен пример настройки списков для всех точек доступа ТД контроллера. Здесь , в котором в черном списке задан MAC-адрес e4:5a:d4:e8:d9:20 (эта точка доступа ТД будет считаться "вражеской"), а в белом списке задан MAC-адрес e8:28:c1:d7:3c:20 (эта точка ТД будет считаться "доверенной"):
| Блок кода | |||||
|---|---|---|---|---|---|
| |||||
wlc# configure wlcwlc-30# configure wlc-30(config)# object-group mac AP1 wlc-30(config-object-group-mac)# mac address e4:5a:d4:e8:d9:20 wlc-30(config-object-group-mac)# ex wlc-30(config)# object-group mac AP2 wlc-30(config-object-group-mac)# mac address e8:28:c1:d7:3c:20 wlc-30(config-object-group-mac)# ex wlc-30(config)# wlc-30(config)# wlc wlc-30(config-wlc)# wids wlc-30(config-wlc-wids)# black-list AP1 wlc-30(config-wlc-wids)# white-list AP2 wlc-30(config-wlc-wids)# do commit wlc-30(config-wlc-wids)# do confirm wlc-30(config-wlc-wids)# wlc-30(config-wlc-wids)# do sh ru object-groups mac object-group mac AP1 mac address e4:5a:d4:e8:d9:20 ff:ff:ff:ff:ff:ff exit object-group mac AP2 mac address e8:28:c1:d7:3c:20 ff:ff:ff:ff:ff:ff exit wlc-30(config-wlc-wids)# wlc-30(config-wlc-wids)# do sh ru wlc wids wids wids-profile test_wids_profile shared-key ascii-text encrypted CCE5513EE45A1EAC450A enable white-list AP2 black-list AP1 exit |
| Подсказка | ||
|---|---|---|
| ||
Если требуется задать пустой список, то необходимо создать пустую группу MAC-адресов и использовать ее на нужном уровне. |
Пример настройки пустого списка:
| Блок кода | ||||
|---|---|---|---|---|
| ||||
wlc-30#wlc# configure wlc-30(config)# object-group mac noAP wlc-30(config-object-group-mac)# exit wlc-30(config)# wlc wlc-30(config-wlc)# wids wlc-30(config-wlc-wids)# black-list noAP wlc-30(config-wlc-wids)# do commit wlc-30(config-wlc-wids)# do confirm wlc-30((config-wlc-wids)# wlc-30(config-wlc-wids)# do sh ru object-groups mac noAP object-group mac noAP exit wlc-30(config-wlc-wids)# wlc-30(config-wlc-wids)# do sh ru wlc wids wids wids-profile test_wids_profile shared-key ascii-text encrypted CCE5513EE45A1EAC450A enable white-list AP2 black-list noAP exit |
...
Для настройки подавления угроз от вредоносных точек доступаТД, которые имитируют SSID или MAC-адрес сканирующей точки доступаТД, используется параметр prevention-mode. В случае активации режима 'Rogue', исходная точка доступа ТД будет отправлять пакеты типа 'Deauthentification' от имени "вражеской" точки доступа клиенту и от имени клиента - "вражеской" точке доступаТД ее клиентам. При использовании режима 'All' форсированные пакеты 'Deauthentification' будут отправляться не только "вражеским" точкам доступаТД, но и всем "недоверенным".
Пример настройки подавления угроз от "вражеских" точек доступаТД:
| Блок кода | |||||
|---|---|---|---|---|---|
| |||||
wlc#wlc-30# configure wlc-30(config)# wlc wlc-30(config-wlc)# wids-profile test_wids_profile wlc-30(config-wlc-wids-profile)# prevention-mode rogue wlc-30(config-wlc-wids-profile)# do commit wlc-30(config-wlc-wids-profile)# do confirm wlc-30(config-wlc-wids-profile)# |
Применить профиль можно в общих настройках WIDS для всех точек доступа ТД контроллера, в локации или индивидуально на точке доступа.
Настройка конфигурации "WIDS/WIPS" для устройств ESDK (WEP/WOP-3ax)
...
Включить/отключить сервис WIDS. Значение по умолчанию: off
...
Общий ключ, используемый для отслеживание доверенных точек доступа в радиоэфире.
по умолчанию значение не выставлено и активировать сервис нельзя, пока оно не будет установлено.
...
None - режим выключен. Значение по умолчанию.
Passive - в этом режиме точка доступа через заданные промежутки времени (Период пассивного сканирования) будет кратковременно (Продолжительность пассивного сканирования) менять свой текущий канал (на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. Качество услуги, предоставляемой клиенту, в момент сканирования, практически не деградирует.
Sentry - режим сканера - в данном режиме не предусмотрена работа точки доступа с клиентами. Точка доступа всё время сканирует весь список каналов и максимально быстро обнаруживает угрозы.
...
all - оба интерфейса в диапазоне 2,4 ГГц и 5 ГГц. Значение по умолчанию.
wlan0 - интерфейс в диапазоне 2,4 ГГц.
wlan1 - интерфейс в диапазоне 5 ГГц.
...
None - режим выключен. Значение по умолчанию.
Rogue - сканирующая ТД детектирует MAC-адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакеты от имени "вражеской" ТД клиенту и от имени клиента "вражеской" ТД.
All - в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к "не доверенной" ТД.
...
Включить/отключить функцию детектирования атаки перебора паролей.
Значение по умолчанию: off
...
Пороговый лимит количества неуспешных авторизаций.
Значение по умолчанию: 25.
...
В течение указанного интервала считается количество неуспешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей".
Значение по умолчанию: 5 сек.
При значении параметра равного 0, детектирование атаки "перебор паролей" будет отключено.
...
При включении данной функции MAC-адреса клиентских устройств, замеченных за атакой "перебор паролей", будут добавлены в черный список на период времени Timeout. При попадании в "MAC Blacklist" устройство будет игнорироваться точкой доступа на период времени Timeout, в результате чего, клиент не сможет подключиться к сети.
Значение по умолчанию: off
...
Время хранения MAC-адреса клиентского устройства в черном списке.
Значение по умолчанию: 1800 сек
...
Активирование функции детектирования DoS-атак. Значение по умолчанию: off
DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon)
...
Интервал, в течение которого идет подсчет фреймов. Если за это время заданный лимит превышен, то будет сгенерирован SNMP-трап об обнаружении атаки.
Значение по умолчанию: 1 сек.
...
Значение по умолчанию: 500
...
ТД.
При активации режима подавления можно настроить период отправки на контроллер сообщений, содержащих статистику срабатываний функционала подавления угроз (WIPS). Для этого необходимо использовать параметр 'attack-stats-trap-send-period' и задать значение в минутах.
| Блок кода | ||
|---|---|---|
| ||
wlc(config-wlc-wids-profile)# attack-stats-trap-send-period 10
wlc(config-wlc-wids-profile)# do commit
wlc(config-wlc-wids-profile)# do confirm
wlc(config-wlc-wids-profile)# |
При срабатывании функционала WIPS ТД будет отправлять нотификации на контроллер с указанной периодичностью.
| Раскрыть | |||||
|---|---|---|---|---|---|
|
Атака "Отказ в обслуживании" (denial-of-service, DoS)
Атака создана для значительного затруднения работы сети или системы путем загрузки служебными запросами, которые исчерпывают ресурсы сети или системы для обслуживания пользователей.
DoS-атака определяется превышением лимита, который задается параметром 'threshold' для управляющих фреймов разных типов в радиоэфире. В профиле также задается интервал времени, в течение которого идет подсчет фреймов (параметр 'interval'). Если за это время заданный лимит превышен, то на контроллер будет сгенерировано и отправлено сообщение об обнаружении атаки. Период отправки таких сообщений настраивается в параметре 'trap-send-period'.
Также администратором задается параметр 'threshold leap', который показывает, насколько должно измениться количество пакетов по сравнению с предыдущим периодом, чтобы было отправлено сообщение о DoS-атаке на контроллер.
Пример настройки профиля WIDS с активацией режима обнаружения DoS-атаки при превышении количества любого типа пакетов 700 на интервале 5 секунд, а также при резком увеличении количества пакетов более чем на 500, с периодом отправки нотификаций – 30 секунд:
| Блок кода | ||
|---|---|---|
| ||
wlc#
wlc# configure
wlc(config)# wlc
wlc(config-wlc)# wids-profile test_wids_profile
wlc(config-wlc-wids-profile)# dos-detection
wlc(config-wlc-wids-profile-dos-detection)#
wlc(config-wlc-wids-profile-dos-detection)# interval 5
wlc(config-wlc-wids-profile-dos-detection)# trap-send-period 30
wlc(config-wlc-wids-profile-dos-detection)# threshold leap 500
wlc(config-wlc-wids-profile-dos-detection)# threshold assoc 700
wlc(config-wlc-wids-profile-dos-detection)# threshold reassoc 700
wlc(config-wlc-wids-profile-dos-detection)# threshold disassoc 700
wlc(config-wlc-wids-profile-dos-detection)# threshold probe 700
wlc(config-wlc-wids-profile-dos-detection)# threshold beacon 700
wlc(config-wlc-wids-profile-dos-detection)# threshold blockack 700
wlc(config-wlc-wids-profile-dos-detection)# threshold blockack-req 700
wlc(config-wlc-wids-profile-dos-detection)# threshold ps-poll 700
wlc(config-wlc-wids-profile-dos-detection)# threshold auth 700
wlc(config-wlc-wids-profile-dos-detection)# threshold deauth 700
wlc(config-wlc-wids-profile-dos-detection)# threshold rts 700
wlc(config-wlc-wids-profile-dos-detection)# threshold cts 700
wlc(config-wlc-wids-profile-dos-detection)# enable
wlc(config-wlc-wids-profile-dos-detection)#
wlc(config-wlc-wids-profile-dos-detection)# do commit
wlc(config-wlc-wids-profile-dos-detection)# do confirm |
Применить профиль можно в общих настройках WIDS для всех ТД контроллера, в локации или индивидуально на ТД.
| Раскрыть | |||||
|---|---|---|---|---|---|
|
Атака "Перебор паролей" (Bruteforce)
Метод атаки с угадыванием паролей учетных данных для входа в систему, ключей шифрования и прочей информации для получения несанкционированного доступ к данным, системам или сетям. Метод заключается в переборе всех возможных комбинаций для получения правильного пароля.
ТД считает количество неудачных попыток авторизации пользователя при Personal- или Enterprise-авторизации в течении периода, определенного в параметре 'interval'. Если общее количество таких попыток за указанное время превышает заданный порог 'threshold', то считается, что производится атака перебора паролей и на контроллер отправляется сообщение о Bruteforce-атаке.
При включении опции mac-ban enable ТД дополнительно считает количество неудачных попыток авторизации для каждого клиента в отдельности и блокирует доступ клиента к сервису по его MAC-адресу, если количество неудачных попыток авторизации для него превышено, а также оповещает об этом контроллер. По истечению времени блокировки, заданному в параметре mac-ban timeout, клиент вновь может делать попытки подключения к ТД, при этом ТД также оповещает контроллер о том, что клиент был разблокирован.
Пример настройки профиля WIDS с активацией режима обнаружения атаки "перебор паролей" при превышении порога 10 попыток на интервале времени 5 секунд, с блокировкой клиентов на 60 секунд:
| Блок кода | ||
|---|---|---|
| ||
wlc# configure
wlc(config)# wlc
wlc(config-wlc)# wids-profile test_wids_profile
wlc(config-wlc-wids-profile)# bruteforce-detection
wlc(config-wlc-wids-profile-bf-detection)# enable
wlc(config-wlc-wids-profile-bf-detection)# threshold 10
wlc(config-wlc-wids-profile-bf-detection)# interval 5
wlc(config-wlc-wids-profile-bf-detection)# mac-ban enable
wlc(config-wlc-wids-profile-bf-detection)# mac-ban timeout 60
wlc(config-wlc-wids-profile-bf-detection)# do commit
wlc(config-wlc-wids-profile-bf-detection)# do confirm |
Применить профиль можно в общих настройках WIDS для всех ТД контроллера, в локации или индивидуально на ТД.
| Раскрыть | |||||
|---|---|---|---|---|---|
|
...