Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

WIPS/WIDS - внутренний сервис точки доступа (ТД) по предотвращению и обнаружению вторжений в беспроводную сеть.

...

Если лицензия на WIPS/WIDS присутствует в списке, то в GUI EMS  в меню "Wireless" будет доступна для настройки вкладка "WIDS manager":

А на вкладке "Доступ" ТД появится соотв появятся соответствующие флаги активации сервиса.

Активация сервиса на ТД

...

  • параметр "Вкл WIDS/WIPS сервис" - определяет ТД, которая будет использовать сервис. При установке флага к-во количество доступных лицензию уменьшится на 1. По-умолчанию флаг снят - сервис WIPS/WIDS не доступен.
  • параметр "Реальное применение WIDS/WIPS" -  это не редактируемый флаг, он отражает смогла ли система активировать сервис или нет. Может получиться так, что в базе данных параметр "Вкл WIDS/WIPS сервис" выставлен для большего количества точек, чем  фактически разрешено в лицензии - тогда для части ТД этот флаг будет снят, хотя флаг активации выставлен.

...

Если сервис успешно активирован - , то есть на странице "Доступ" выставлено оба флага, то:

  • в на вкладке "Конфигурация" появится новый раздел - "WIDS/WIPS"

...

  • на вкладке "Мониторинг" в разделах "Журнал событий" и "Активные аварии" начнут отображаться события связанные с сервисом WIDS/WIPS

Image Modified


Настройка сервиса на

...

точке доступа и логика работы

Все ТД в эфире можно разделить на три группы:

  • "не доверенные" ТД - те точки, которые присутствуют в эфире, но о них более ничего не известно.
  • "доверенные" ТД - точки, которые установлены и управляются оператором
  • "вражеские" ТД - точки, которые однозначно несет угрозу сети - это ТД которые (имитируют MAC-адрес или SSID исходной ТД).

Для однозначного выявления всех "не доверенных" ТД точек доступа в эфире, в Beacon пакет ТД использующих , использующей сервис WIDSдобавляется динамически изменяющаяся зашифрованная подпись.

Расшифровать пакет могут лишь те точки, на которых настроен идентичный ключ Shared key  в конфигурации сервиса.

Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат - , то ТД, от которой был получен данный пакет, будет считаться "не доверенной". Иначе "доверенной"

Если "не доверенная" ТД имеет MAC адрес или SSID совпадающий с текущими значениями на сканирующей ТД, то такая ТД будет считаться "вражеской" , и в Систему управления  (СУ) будет отправлен соответствующий трап в СУ.

Раскрыть
titleПример трапа


Блок кода
languageactionscript3
themeRDark
Дата создания             : 2019-05-13 15:31:04
Название источника        : WEP-12ac_13
Сообщение                 : Обнаружена вредоносная ТД с мак адресом: E0:D9:E3:4F:9D:F0, ssid Eltex-Local, каналом 1!
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.8.3.0.2


Для более гибкой работы сервиса, есть возможность явно указать список ТД, которые должны или не должны считаться "доверенными" ТД. Этот список распространяется между ТД точками вспомогательным сервисом - eltex-wids-service.


Основная настройка сервиса eltex-wids-service происходит на вкладке "WIDS/WIPS" в меню "Конфигурация"


Имя параметраДопустиные Допустимые значенияОписание
WIDS Parameters
StatusDown/Full/Down/Key-only

Full - активировать работу сервиса отслеживания атак.

Down - отключить сервис . (значение по-умолчанию).

Full - активировать работу сервиса отслеживания атак.

Key-only - активировать сервис, но отключить детектирование угроз.

В таком режиме "Key-only" ТД будет добавлять шифрованную подпись в Beacon , пакеты для того, чтобы на встречных ТД попасть в список "доверенных" ТД, но сама детектировать угрозы не будет. В таком данном режиме для настройки доступно лишь поле Shared key.

Shared keyASCII строка от 10 до 32 символов

Общий ключ, используемый для отслеживание доверенных ТД в радиоэфире.

По-умолчанию значение не выставлено, и активировать сервис нельзя пока оно не будет установлено. До тех пор, пока Shared key не установлен, сервис активирован не будет.

WIDS list URLws://<ip>:<port>/MacLists

Путь до вспомогательного сервиса eltex-wids-service.

Не обязательная настройка.

WIDS MAC listИмя списка мак адресов

Предоставляется возможность выбрать один из списков мак адресов, созданных в разделе "Wireless - WIDS Manager"

Не обязательная настройка.

Scan modePassive/Sentry

Режим сканирования эфира.

Passive - в этом режиме ТД через заданные промежутки времени (Passive scan interval) будет кратковременно (Passive scan duration) менять свой текущий канал(на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. (значение по-умолчанию)

Sentry - режим сканера - здесь не предусмотрена работа ТД с клиентами. ТД постоянно сканирует весь список каналов и максимально быстро обнаруживает угрозы.

Passive scan interval, sec5..3600Период пассивного сканирования (20сек по-умолчанию: 20 сек)
Passive scan duration, ms10..2000Длительность пассивного сканировании (100мс по-умолчанию: 100 мс)
Prevention modeNone/Rogue/All

Режим подавления угроз.

None - выключен (значение по-умолчанию)

Rogue - сканирующая ТД детектирует мак адреса клиентов к , которые подключены к "вражеским" ТД, и отравляет DeAuth пакет от имени "вражеской" ТД клиенту, и от имени клиента  "вражеской" ТД.

All - в данном режиме форсированный DeAuth отправляется не только клиентам подключенным к "вражеским ТД" ТД, а вообще всем кто подключен к  также "не доверенной" доверенным" ТД  и клиентам подключенным к данным ТД.

DoS Detection Parameters
ModeUp/Down

Активирование Down - детектирование DoS атак выключено (значение по-умолчанию)

Up - активирование функции детектирования атак DoS атак

DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon)

Interval, sec1..86400

Интервал, в течении которого идет подсчет фреймов. Если за это время заданный лимит превышен - будет сгенерирован SNMP-трап об обнаружении атаки.

Раскрыть
titleПример трапа


Блок кода
languageactionscript3
themeRDark
Дата создания             : 08.07.2019 17:30:20
Название источника        : WEP-12ac_13
Сообщение                 : Обнаружена атака "отказ в обслуживании" на wlan1(5GHz): слишком много пакетов типа Beacon (насчитано 159 при ограничении 99). Найдено 40 атак за последний период обнаружения
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.8.3.0.1


По-умолчанию - 1сек

... treshlold1..10000

Пороговый лимит для каждого типа управлящего управляющего фрейма (Assoc, ReAssoc, DiAssoc, Auth, DeAuth, RTS, CTS, Prob, Beacon, BlockAck, BlockAckReq, Pspoll )

ПоЗначения по-умолчанию - 50 :
          для Assoc, ReAssoc, DiAssoc, Auth, DeAuth По-умолчанию - 100 - 50

          для RTS, CTS, Prob, BlockAck, BlockAckReq, Pspoll По-умолчанию - 200 для BeaconPspoll - 100

          для Beacon - 200

Bruteforce Detection Parameters
Interval, sec0..86400

Функция детектирования атаки перебора паролей.

В течении течение указанного интервала считается к-во количество не успешных авторизаций пользователей на  SSID с шифрование шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог Threshold был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей".

Раскрыть
titleПример трапа


Блок кода
languageactionscript3
themeRDark
Дата создания             : 12.07.2019 14:37:02
Название источника        : WEP-12ac_13
Сообщение                 : Обнаружена атака "перебор паролей" на wlan0vap2(2.4GHz)(_ES_24_test_timers_enter), последняя попытка была с мак-адреса: 0c:9d:92:6e:d9:20
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.1.1.14


ПоЗначение по-умолчанию - 5сек0 - отключить детектирование этой атаки: 5 сек.

При выставлении значения 0 сек - детектирование атаки "перебор паролей" будет отключено.

Threshold1..10000

Пороговый лимит к-ва неуспешных количества не успешных авторизаций.

ПоЗначение по-умолчанию - : 25




При активированом активированном сервисе WIPS/WIDS ТД  в СУ по-умолчанию отсылает трап при каждом изменении в настройках, если итоговая конфигурация небезопасна.

...

Критерии небезопасной конфигурации можно посмотреть тут

Настройка вспомогательного сервиса eltex-wids-service

...