WIPS/WIDS - внутренний сервис точки доступа (ТД) по предотвращению и обнаружению вторжений в беспроводную сеть.
По своей сути этот механизм анализирует весь трафик в радио окружении ТД, делает вывод о наличии в сети угроз безопасности, оповещает о них администратора СУ и при необходимости предпринимает действия по подавлению этих угроз.
В текущем релизе ТД (1.17.0) поддерживается следующий функционал:
eltex-wids-service - вспомогательный сервис на серверной стороне, отвечающий за распространение белых/черных списков "вражеских" ТД между участниками WIPS/WIDS.
Лицензия ограничивает настройку и мониторинг сервиса WIPS/WIDS в СУ.
В демо лицензии (лицензия по-умолчанию) доступна активация сервиса на 2-х ТД.
К-во доступных и использованных на сервере лицензий можно увидеть в GUI EMS в разделе Справка - Лицензии, либо непосредственно в файле лицензий /usr/lib/eltex-ems/conf/licence/licence.xml
<group> <title>Wireless WIPSWIDS</title> <count>10</count> <typeList> <type>WiFi</type> </typeList> </group> |
Если лицензия на WIPS/WIDS присутствует в списке, то в GUI EMS в меню "Wireless" будет доступна для настройки вкладка "WIDS manager":
А на вкладке "Доступ" ТД появятся соответствующие флаги активации сервиса.
В GUI EMS явно регулируется какой ТД отдать лицензию. Для этого в параметрах доступа ТД есть две настройки :
Если сервис успешно активирован, то есть на странице "Доступ" выставлено оба флага, то:
Все ТД в эфире можно разделить на три группы:
Для однозначного выявления всех "не доверенных" точек доступа в эфире, в Beacon пакет ТД, использующей сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись.
Расшифровать пакет могут лишь те точки, на которых настроен идентичный ключ Shared key в конфигурации сервиса.
Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, то ТД, от которой был получен данный пакет, будет считаться "не доверенной". Иначе "доверенной"
Если "не доверенная" ТД имеет MAC адрес или SSID совпадающий с текущими значениями на сканирующей ТД, то такая ТД будет считаться "вражеской" и в Систему управления (СУ) будет отправлен соответствующий трап.
|
Для более гибкой работы сервиса, есть возможность явно указать список ТД, которые должны или не должны считаться "доверенными". Этот список распространяется между точками вспомогательным сервисом - eltex-wids-service.
Основная настройка сервиса eltex-wids-service происходит на вкладке "WIDS/WIPS" в меню "Конфигурация"
Имя параметра | Допустимые значения | Описание | ||
---|---|---|---|---|
WIDS Parameters | ||||
Status | Down/Full/Key-only | Down - отключить сервис (значение по-умолчанию). Full - активировать работу сервиса отслеживания атак. Key-only - активировать сервис, но отключить детектирование угроз. В режиме "Key-only" ТД будет добавлять шифрованную подпись в Beacon пакеты для того, чтобы на встречных ТД попасть в список "доверенных" ТД, но сама детектировать угрозы не будет. В данном режиме для настройки доступно лишь поле Shared key. | ||
Shared key | ASCII строка от 10 до 32 символов | Общий ключ, используемый для отслеживание доверенных ТД в радиоэфире. По-умолчанию значение не выставлено. До тех пор, пока Shared key не установлен, сервис активирован не будет. | ||
WIDS list URL | ws://<ip>:<port>/MacLists | Путь до вспомогательного сервиса eltex-wids-service. Не обязательная настройка. | ||
WIDS MAC list | Имя списка мак адресов | Предоставляется возможность выбрать один из списков мак адресов, созданных в разделе "Wireless - WIDS Manager" Не обязательная настройка. | ||
Scan mode | Passive/Sentry | Режим сканирования эфира. Passive - в этом режиме ТД через заданные промежутки времени (Passive scan interval) будет кратковременно (Passive scan duration) менять свой текущий канал(на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. (значение по-умолчанию) Sentry - режим сканера - здесь не предусмотрена работа ТД с клиентами. ТД постоянно сканирует весь список каналов и максимально быстро обнаруживает угрозы. | ||
Passive scan interval, sec | 5..3600 | Период пассивного сканирования (по-умолчанию: 20 сек) | ||
Passive scan duration, ms | 10..2000 | Длительность пассивного сканировании (по-умолчанию: 100 мс) | ||
Prevention mode | None/Rogue/All | Режим подавления угроз. None - выключен (значение по-умолчанию) Rogue - сканирующая ТД детектирует мак адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакет от имени "вражеской" ТД клиенту, и от имени клиента "вражеской" ТД. All - в данном режиме форсированный DeAuth отправляется "вражеским ТД", а также "не доверенным" ТД и клиентам подключенным к данным ТД. | ||
DoS Detection Parameters | ||||
Mode | Up/Down | Down - детектирование DoS атак выключено (значение по-умолчанию) Up - активирование функции детектирования DoS атак DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon) | ||
Interval, sec | 1..86400 | Интервал, в течении которого идет подсчет фреймов. Если за это время заданный лимит превышен - будет сгенерирован SNMP-трап об обнаружении атаки.
По-умолчанию - 1сек | ||
... treshlold | 1..10000 | Пороговый лимит для каждого типа управляющего фрейма (Assoc, ReAssoc, DiAssoc, Auth, DeAuth, RTS, CTS, Prob, Beacon, BlockAck, BlockAckReq, Pspoll ) Значения по-умолчанию: для RTS, CTS, Prob, BlockAck, BlockAckReq, Pspoll - 100 для Beacon - 200 | ||
Bruteforce Detection Parameters | ||||
Interval, sec | 0..86400 | Функция детектирования атаки перебора паролей. В течение указанного интервала считается количество не успешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог Threshold был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей".
Значение по-умолчанию: 5 сек. При выставлении значения 0 сек - детектирование атаки "перебор паролей" будет отключено. | ||
Threshold | 1..10000 | Пороговый лимит количества не успешных авторизаций. Значение по-умолчанию: 25 | ||
При активированном сервисе WIPS/WIDS ТД в СУ по-умолчанию отсылает трап при каждом изменении в настройках, если итоговая конфигурация небезопасна.
|
Критерии небезопасной конфигурации можно посмотреть тут
Переопределение "доверенных" и "вражеских" ТД происходит путем явного задания списков в GUI EMS - раздел "Wireless - WIDS Manager" и дальнейшего их указания в поле "WIDS MAC list" на вкладке "WIDS/WIPS" в меню "Конфигурация" ТД
Конфигурационный файл сервиса - /etc/eltex-wids-service/config.json:
{ "ServicePort": 9095, "Database": "wids", "MongoConnectionString": "mongodb://localhost:27017", "FileLog": "/var/log/eltex-wids-service/log.log", "Environment": "production", "LogLevel": "debug", "MaxAge": 7, "MaxSize": 5, "MaxBackups": 14, "SleepDaemonQueueTime": 50000, "FoulTime": 60, "GelfHost": "lab3-test.eltex.loc:12201" |