Описание

WIPS/WIDS - внутренний сервис точки доступа (ТД) по обнаружению и предотвращению вторжений в беспроводную сеть.

WEP-3ax - начиная с версии ПО 1.14.0.

WEP-30L, WOP-30L, WOP-30LS - начиная с версии ПО 2.6.0.

По своей сути этот механизм анализирует трафик в радио окружении ТД, делает вывод о наличии в сети угроз безопасности, оповещает о них администратора контроллера и, при необходимости, предпринимает действия для подавления этих угроз.

Поддержан следующий функционал WIDS/WIPS:

  1. Обнаружение DDoS атак;
  2. Отслеживание перебора паролей;
  3. Обнаружение точек доступа, имитирующих  SSID;
  4. Обнаружение точек доступа, имитирующих  MAC-адрес;
  5. Отключение клиентов от вражеских ТД.

Лицензирование

Функционал WIDS/WIPS активируется лицензией WLC-WIDS-WIPS.

Подробнее о том, как загрузить и применить лицензию, описано в статье (НУЖНА ССЫЛКА НА СТАТЬЮ!!!!!!!!!!) Активация функционала по лицензии.

Проверить наличие лицензии можно с помощью команды show licence:

wlc-30# show licence
Feature                            Source     State         Value                              Valid from             Expiries               
--------------------------------   --------   -----------   --------------------------------   --------------------   --------------------   
WLC                                Boot       Active        true                               --                     --                     
WLC                                Boot       Candidate     true                               --                     --                     
WLC-WIDS-WIPS                      File       Active        true                               --                     --                     
WLC-WIDS-WIPS                      File       Candidate     true                               --                     --

В случае отсутствия лицензии конфигурирование WIDS/WIPS доступно, но функционал не активирован. 

Управление

Активация сервиса 

Включить сервис можно только в общих настройках WIDS.

Предусмотрена возможность выключить сервис в определенной локации или на конкретной точке доступа с помощью команды wids-disable.

При этом команда 'no wids-disable' в локации или в индивидуальном профиле точки доступа не означает, что сервис  включен,  если одновременно с этим он выключен в общих настройках WIDS. Если в общих настройках сервис выключен, то он не работает на всех точках доступа контроллера и включить его на отдельной точке доступа или в конкретной локации нельзя.

Для включения сервиса используйте следующие команды:

wlc-30# configure
wlc-30(config)# wlc
wlc-30(config-wlc)# wids
wlc-30(config-wlc-wids)# enable
wlc-30(config-wlc-wids)# shared-key ascii-text 0123456789
wlc-30(config-wlc-wids)# do commit
wlc-30(config-wlc-wids)# do confirm


Для включения сервиса обязательно должен быть задан общий ключ доверенных точек доступа 'shared-key'.

По умолчанию в общих настройках WIDS используется профиль default-wids. Увидеть настройку можно в полной конфигурации контроллера с помощью команды:

wlc-30# sh ru full wlc wids
wids
  wids-profile default-wids
  shared-key ascii-text encrypted CCE5513EE45A1EAC450A
  enable
exit

Чтобы проверить настройки профиля используйте команду:

wlc-30# sh ru full wlc wids-profile 
wids-profile default-wids
  prevention-mode none
  attack-stats-trap-send-period 10
  scan
    mode none
    interface all
    passive interval 20
    passive time 110
    sentry time 200
  exit
  bruteforce-detection
    threshold 25
    interval 5
    no mac-ban enable
    mac-ban timeout 1800
    no enable
  exit
  dos-detection
    interval 1
    trap-send-period 20
    threshold leap 250
    threshold assoc 500
    threshold reassoc 500
    threshold disassoc 500
    threshold probe 500
    threshold beacon 500
    threshold blockack 500
    threshold blockack-req 500
    threshold ps-poll 500
    threshold auth 500
    threshold deauth 500
    threshold rts 500
    threshold cts 500
    no enable
  exit
exit







Настройка сервиса на точке доступа и логика работы

Все точки доступа в эфире можно разделить на три группы:

  1. "Недоверенные" ТД - точки, которые присутствуют в эфире, но о них более ничего не известно;
  2. "Доверенные" ТД - точки, которые установлены и управляются оператором;
  3. "Вражеские" ТД - точки, которые однозначно несут угрозу для остальных точек доступа в сети - это ТД, которые имитируют MAC-адрес или SSID исходной ТД.

Для однозначного выявления всех "недоверенных" ТД эфире, в Beacon пакет точек доступа, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись.

Расшифровать пакет могут лишь те точки, на которых настроен идентичный ключ Shared key  в конфигурации сервиса.

Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, точка доступа, от которой был получен пакет, будет считаться "недоверенной". Иначе "доверенной"

Если "недоверенная" точка доступа имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору, посредством отправки с ТД соответствующей нотификации на контроллер.


Дата создания             : 2019-05-13 15:31:04
Название источника        : WEP-12ac_13
Сообщение                 : Обнаружена вредоносная ТД с мак адресом: E0:D9:E3:4F:9D:F0, ssid Eltex-Local, каналом 1!
Приоритет                 : CRITICAL
OID                       : 1.3.6.1.4.1.35265.1.60.1.8.3.0.2


Для более гибкой работы сервиса, есть возможность явно указать список ТД, которые должны или не должны считаться "доверенными" ТД. Эти списки настраиваются в object-group.


Настройка конфигурации "WIDS/WIPS" для устройств ESDK (WEP/WOP-3ax)

Для возможности настройки сервиса на ТД необходимо включить "Вкл WIPS/WIDS сервис" на вкладке "Доступ" устройства.

После этого настройка сервиса станет доступна во вкладке "config" в меню "Управление". Если вкладка "config" в меню "Управление" открывалась до включения сервиса и раздел "Настройка WIDS" не отображается - необходимо нажать кнопку  на вкладке "Управление".

Основная настройка сервиса происходит во вкладке "config" в меню "Управление".


Имя параметраДопустимые значенияОписание
Настройка WIDS
Включить WIDSВкл/Выкл

Включить/отключить сервис WIDS. Значение по-умолчанию: off

Общий сетевой ключASCII строка от 10 до 32 символов

Общий ключ, используемый для отслеживание доверенных точек доступа в радиоэфире.

По-умолчанию значение не выставлено и активировать сервис нельзя, пока оно не будет установлено.

Режим сканирования WIDSnone/passive/sentry

None - режим выключен. Значение по-умолчанию.

Passive - в этом режиме точка доступа через заданные промежутки времени (Период пассивного сканирования) будет кратковременно (Продолжительность пассивного сканирования) менять свой текущий канал (на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. Качество услуги, предоставляемой клиенту,  в момент сканирования, практически не деградирует.

Sentry - режим сканера - в данном режиме не предусмотрена работа точки доступа с клиентами. Точка доступа всё время сканирует весь список каналов и максимально быстро обнаруживает угрозы.

Интерфейс сканирования WIDSall/wlan0/wlan1

all - оба интерфейса в диапазоне 2,4 ГГц и 5 ГГц. Значение по-умолчанию.

wlan0 - интерфейс в диапазоне 2,4 ГГц.

wlan1 - интерфейс в диапазоне 5 ГГц.

Период пассивного сканирования, сек1..3600Период пассивного сканирования.Значение по-умолчанию: 20.
Продолжительность сканирования канала для пассивного режима, мс10..2000Длительность пассивного сканировании. Значение по-умолчанию: 110.
Продолжительность сканирования канала для активного режима, мс100..2000Длительность нахождения ТД на одном канале, для активного сканированиия. Значение по-умолчанию: 200.
Режим подавления (WIPS)none/rogue/all

None - режим выключен. Значение по-умолчанию.

Rogue - сканирующая ТД детектирует MAC-адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакеты от имени "вражеской" ТД клиенту и от имени клиента  "вражеской" ТД.

All - в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к  "не доверенной" ТД.

URL-адрес службы WIDS-servicews://<IP>:<Port>/MacLists

Путь до вспомогательного сервиса eltex-wids-service.

Не обязательная настройка. Обеспечивает работу с белыми/черными списками MAC

Имя списка службы WIDSDefaut_list

Предоставляется возможность выбрать один из списков MAC-адресов, созданных в разделе "Wireless - WIDS Manager"

Не обязательная настройка.

Значение по-умолчанию: Defaut_list

Включить обнаружение небезопасной конфигурацииВкл/ВыклФункционал, при включении которого точка доступа отправляет в систему управления трап при каждом изменении в настройках конфигурации, если итоговая конфигурация по мнению функционала WIDS небезопасна. Значение по-умолчанию: off
Bruteforce-detection
Включить обнаружение атак "перебор пароля"Вкл/Выкл

Включить/отключить функцию детектирования атаки перебора паролей.

Значение по-умолчанию: off

Порог количества неудачных попыток авторизаций1..10000

Пороговый лимит количества неуспешных авторизаций.

Значение по-умолчанию: 25.

Интервал подсчёта неудачных попыток авторизаций, сек0..86400

В течение указанного интервала считается количество неуспешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей".

Значение по-умолчанию: 5 сек.

При значении параметра равного 0, детектирование атаки "перебор паролей" будет отключено.

Включить блокировку клиентов, уличенных в атакеВкл/Выкл

При включении данной функции MAC-адреса клиентских устройств, замеченных за атакой "перебор паролей", будут добавлены в черный список на период времени Timeout. При попадании в "MAC Blacklist" устройство будет игнорироваться точкой доступа на период времени Timeout, в результате чего, клиент не сможет подключиться к сети.

Значение по-умолчанию: off

Продолжительность блокировки клиентов, сек1..86400

Время хранения MAC-адреса клиентского устройства в черном списке.

Значение по-умолчанию: 1800 сек

DoS-Detection
Включить обнаружение атак "отказ в обслуживании"Вкл/Выкл

Активирование функции детектирования DoS-атак. Значение по-умолчанию: off

DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon)

Интервал подсчёта пакетов в радиоэфире, сек0..86400

Интервал, в течение которого идет подсчет фреймов. Если за это время заданный лимит превышен, то будет сгенерирован SNMP-трап об обнаружении атаки.

Значение по-умолчанию: 1 сек.

Порог резкого изменения количества пакетов относительно предыдущего периода времени0..86400Параметр показывает, насколько должно измениться количество пакетов по сравнению с предыдущим периодом, чтобы был отправлен трап о DoS-атаке.
Значение по-умолчанию: 250.
Период отправки сообщения о детектировании атаки в секундах 0..604800Значение по-умолчанию: 20
Пороговое значение пакетов типа "Association request"0..86400

Значение по-умолчанию: 500

Пороговое значение пакетов типа "Reassociation request"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "Diassociation request"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "Probe request"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "Beacon"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "Block Ack request"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "Block Ack"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "PS poll"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "Authentication"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "Deauthentification"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "RTS"0..86400Значение по-умолчанию: 500
Пороговое значение пакетов типа "CTS"0..86400Значение по-умолчанию: 500

Настройка вспомогательного сервиса eltex-wids-service

Переопределение "доверенных" и "вражеских" точек доступа происходит путем явного задания списков в GUI EMS (раздел "Wireless → WIDS Manager") и дальнейшего их указания в поле "WIDS MAC list" на вкладке "WIDS/WIPS" в меню "Конфигурация" ТД.