...
WIPS/WIDS - внутренний сервис точки доступа (ТД) по предотвращению и обнаружению вторжений в беспроводную сеть.
...
Если лицензия на WIPS/WIDS присутствует в списке, то в GUI EMS в меню "Wireless" будет доступна для настройки вкладка "WIDS manager":
А на вкладке "Доступ" ТД появится соотв появятся соответствующие флаги активации сервиса.
Активация сервиса на ТД
...
- параметр "Вкл WIDS/WIPS сервис" - определяет ТД, которая будет использовать сервис. При установке флага к-во количество доступных лицензию уменьшится на 1. По-умолчанию флаг снят - сервис WIPS/WIDS не доступен.
- параметр "Реальное применение WIDS/WIPS" - это не редактируемый флаг, он отражает смогла ли система активировать сервис или нет. Может получиться так, что в базе данных параметр "Вкл WIDS/WIPS сервис" выставлен для большего количества точек, чем фактически разрешено в лицензии - тогда для части ТД этот флаг будет снят, хотя флаг активации выставлен.
...
Если сервис успешно активирован - , то есть на странице "Доступ" выставлено оба флага, то:
- в на вкладке "Конфигурация" появится новый раздел - "WIDS/WIPS"
...
- на вкладке "Мониторинг" в разделах "Журнал событий" и "Активные аварии" начнут отображаться события связанные с сервисом WIDS/WIPS
Настройка сервиса на
...
точке доступа и логика работы
Все ТД в эфире можно разделить на три группы:
- "не доверенные" ТД - те точки, которые присутствуют в эфире, но о них более ничего не известно.
- "доверенные" ТД - точки, которые установлены и управляются оператором
- "вражеские" ТД - точки, которые однозначно несет угрозу сети - это ТД которые (имитируют MAC-адрес или SSID исходной ТД).
Для однозначного выявления всех "не доверенных" ТД точек доступа в эфире, в Beacon пакет ТД использующих , использующей сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись.
Расшифровать пакет могут лишь те точки, на которых настроен идентичный ключ Shared key в конфигурации сервиса.
Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат - , то ТД, от которой был получен данный пакет, будет считаться "не доверенной". Иначе "доверенной"
Если "не доверенная" ТД имеет MAC адрес или SSID совпадающий с текущими значениями на сканирующей ТД, то такая ТД будет считаться "вражеской" , и в Систему управления (СУ) будет отправлен соответствующий трап в СУ.
Раскрыть | |||||||
---|---|---|---|---|---|---|---|
| |||||||
|
Для более гибкой работы сервиса, есть возможность явно указать список ТД, которые должны или не должны считаться "доверенными" ТД. Этот список распространяется между ТД точками вспомогательным сервисом - eltex-wids-service.
Основная настройка сервиса eltex-wids-service происходит на вкладке "WIDS/WIPS" в меню "Конфигурация"
Имя параметра | Допустиные Допустимые значения | Описание | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
WIDS Parameters | ||||||||||||||
Status | Down/Full/Down/Key-only | Full - активировать работу сервиса отслеживания атак. Down - отключить сервис . (значение по-умолчанию). Full - активировать работу сервиса отслеживания атак. Key-only - активировать сервис, но отключить детектирование угроз. В таком режиме "Key-only" ТД будет добавлять шифрованную подпись в Beacon , пакеты для того, чтобы на встречных ТД попасть в список "доверенных" ТД, но сама детектировать угрозы не будет. В таком данном режиме для настройки доступно лишь поле Shared key. | ||||||||||||
Shared key | ASCII строка от 10 до 32 символов | Общий ключ, используемый для отслеживание доверенных ТД в радиоэфире. По-умолчанию значение не выставлено, и активировать сервис нельзя пока оно не будет установлено. До тех пор, пока Shared key не установлен, сервис активирован не будет. | ||||||||||||
WIDS list URL | ws://<ip>:<port>/MacLists | Путь до вспомогательного сервиса eltex-wids-service. Не обязательная настройка. | ||||||||||||
WIDS MAC list | Имя списка мак адресов | Предоставляется возможность выбрать один из списков мак адресов, созданных в разделе "Wireless - WIDS Manager" Не обязательная настройка. | ||||||||||||
Scan mode | Passive/Sentry | Режим сканирования эфира. Passive - в этом режиме ТД через заданные промежутки времени (Passive scan interval) будет кратковременно (Passive scan duration) менять свой текущий канал(на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. (значение по-умолчанию) Sentry - режим сканера - здесь не предусмотрена работа ТД с клиентами. ТД постоянно сканирует весь список каналов и максимально быстро обнаруживает угрозы. | ||||||||||||
Passive scan interval, sec | 5..3600 | Период пассивного сканирования (20сек по-умолчанию: 20 сек) | ||||||||||||
Passive scan duration, ms | 10..2000 | Длительность пассивного сканировании (100мс по-умолчанию: 100 мс) | ||||||||||||
Prevention mode | None/Rogue/All | Режим подавления угроз. None - выключен (значение по-умолчанию) Rogue - сканирующая ТД детектирует мак адреса клиентов к , которые подключены к "вражеским" ТД, и отравляет DeAuth пакет от имени "вражеской" ТД клиенту, и от имени клиента "вражеской" ТД. All - в данном режиме форсированный DeAuth отправляется не только клиентам подключенным к "вражеским ТД" ТД, а вообще всем кто подключен к также "не доверенной" доверенным" ТД и клиентам подключенным к данным ТД. | ||||||||||||
DoS Detection Parameters | ||||||||||||||
Mode | Up/Down | Активирование Down - детектирование DoS атак выключено (значение по-умолчанию) Up - активирование функции детектирования атак DoS атак DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon) | ||||||||||||
Interval, sec | 1..86400 | Интервал, в течении которого идет подсчет фреймов. Если за это время заданный лимит превышен - будет сгенерирован SNMP-трап об обнаружении атаки.
По-умолчанию - 1сек | ||||||||||||
... treshlold | 1..10000 | Пороговый лимит для каждого типа управлящего управляющего фрейма (Assoc, ReAssoc, DiAssoc, Auth, DeAuth, RTS, CTS, Prob, Beacon, BlockAck, BlockAckReq, Pspoll ) ПоЗначения по-умолчанию - 50 : для RTS, CTS, Prob, BlockAck, BlockAckReq, Pspoll По-умолчанию - 200 для BeaconPspoll - 100 для Beacon - 200 | ||||||||||||
Bruteforce Detection Parameters | ||||||||||||||
Interval, sec | 0..86400 | Функция детектирования атаки перебора паролей. В течении течение указанного интервала считается к-во количество не успешных авторизаций пользователей на SSID с шифрование шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог Threshold был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей".
ПоЗначение по-умолчанию - 5сек0 - отключить детектирование этой атаки: 5 сек. При выставлении значения 0 сек - детектирование атаки "перебор паролей" будет отключено. | ||||||||||||
Threshold | 1..10000 | Пороговый лимит к-ва неуспешных количества не успешных авторизаций. ПоЗначение по-умолчанию - : 25 | ||||||||||||
При активированом активированном сервисе WIPS/WIDS ТД в СУ по-умолчанию отсылает трап при каждом изменении в настройках, если итоговая конфигурация небезопасна.
...
Критерии небезопасной конфигурации можно посмотреть тут
Настройка вспомогательного сервиса eltex-wids-service
...