WIPS/WIDS - внутренний сервис точки доступа (ТД) по обнаружению и предотвращению вторжений в беспроводную сеть.
WEP-3ax - начиная с версии ПО 1.14.0. WEP-30L, WOP-30L, WOP-30LS - начиная с версии ПО 2.6.0. |
По своей сути этот механизм анализирует трафик в радио окружении ТД, делает вывод о наличии в сети угроз безопасности, оповещает о них администратора контроллера и, при необходимости, предпринимает действия для подавления этих угроз.
Поддержан следующий функционал WIDS/WIPS:
Функционал WIDS/WIPS активируется лицензией WLC-WIDS-WIPS.
Подробнее о том, как загрузить и применить лицензию, описано в статье (НУЖНА ССЫЛКА НА СТАТЬЮ!!!!!!!!!!) Активация функционала по лицензии.
Проверить наличие лицензии можно с помощью команды show licence:
wlc-30# show licence Feature Source State Value Valid from Expiries -------------------------------- -------- ----------- -------------------------------- -------------------- -------------------- WLC Boot Active true -- -- WLC Boot Candidate true -- -- WLC-WIDS-WIPS File Active true -- -- WLC-WIDS-WIPS File Candidate true -- -- |
В случае отсутствия лицензии конфигурирование WIDS/WIPS доступно, но функционал не активирован.
Включить сервис можно только в общих настройках WIDS. Если в общих настройках сервис выключен, то он не работает на всех точках доступа контроллера и включить его на отдельной точке доступа или в конкретной локации нельзя. |
Предусмотрена возможность выключить сервис в определенной локации или на конкретной точке доступа с помощью команды wids-disable. При этом команда 'no wids-disable' в локации или в индивидуальном профиле точки доступа не означает, что сервис включен, если одновременно с этим он выключен в общих настройках WIDS.
Для включения сервиса используйте следующие команды:
wlc-30# configure wlc-30(config)# wlc wlc-30(config-wlc)# wids wlc-30(config-wlc-wids)# enable wlc-30(config-wlc-wids)# shared-key ascii-text 0123456789 wlc-30(config-wlc-wids)# do commit wlc-30(config-wlc-wids)# do confirm |
| Для включения сервиса обязательно должен быть задан общий ключ доверенных точек доступа 'shared-key'. |
По умолчанию в общих настройках WIDS используется профиль default-wids. Увидеть настройку можно в полной конфигурации контроллера с помощью команды:
wlc-30# sh ru full wlc wids wids wids-profile default-wids shared-key ascii-text encrypted CCE5513EE45A1EAC450A enable exit |
Чтобы проверить настройки профиля используйте команду:
wlc-30# sh ru full wlc wids-profile
wids-profile default-wids
prevention-mode none
attack-stats-trap-send-period 10
scan
mode none
interface all
passive interval 20
passive time 110
sentry time 200
exit
bruteforce-detection
threshold 25
interval 5
no mac-ban enable
mac-ban timeout 1800
no enable
exit
dos-detection
interval 1
trap-send-period 20
threshold leap 250
threshold assoc 500
threshold reassoc 500
threshold disassoc 500
threshold probe 500
threshold beacon 500
threshold blockack 500
threshold blockack-req 500
threshold ps-poll 500
threshold auth 500
threshold deauth 500
threshold rts 500
threshold cts 500
no enable
exit
exit |
В данном случае профиль содержит настройки параметров по умолчанию.
Существуют 3 варианта применения настроек:
1. На все точки доступа контроллера.
2. На точки доступа локации.
3. На конкретную точку доступа.
| Приоритет применения настроек следующий: настройки индивидуального профиля, настройки локации, общие настройки сервиса. |
В общих настройках сервиса задается общий ключ доверенных точек доступа, выбирается профиль настроек WIDS, а также белые и черные списки для более точной настройки "доверенных" и "вражеских" ТД. Все эти настройки можно переопределить на уровне локации, а также на конкретной точке доступа через индивидуальный профиль.
Атака, при которой используются методы перехвата данных, позволяющие внедриться в существующее подключение или процесс связи.
Для определения вредоносных точек доступа необходимо настроить сканирование. Сканирование может быть пассивным или активным.
В пассивном режиме сканирования точка доступа периодически (через время, заданное в параметре 'passive interval') и кратковременно (на время, заданное в параметре 'passive time') меняет свой текущий радиоканал, на котором работает с клиентами, на очередной канал из общего списка, чтобы обнаружить другие ТД в эфире. Качество услуги, предоставляемой клиенту в момент сканирования, практически не деградирует.
В активном режиме сканирования не предусмотрена работа ТД с клиентами. Точка доступа всё время сканирует весь список радиоканалов (продолжительность сканирования одного канала задается в параметре 'sentry time') и максимально быстро обнаруживает угрозы.
В результате сканирования точка доступа распределяет все точки доступа в эфире на три группы:
Для однозначного выявления всех "недоверенных" ТД эфире, в Beacon пакет точек доступа, использующих сервис WIDS, добавляется динамически изменяющаяся зашифрованная подпись. Расшифровать пакет могут лишь те точки, на которых настроен идентичный общий ключ 'Shared key' в конфигурации сервиса. Если подписи в пакете нет, либо при его декодировании получен не ожидаемый результат, то точка доступа, от которой был получен пакет, будет считаться "недоверенной". Иначе - "доверенной".
Если "недоверенная" точка доступа имеет MAC-адрес или SSID, совпадающий с текущими значениями на сканирующей ТД, то такая точка будет считаться "вражеской", о чем будет сообщено администратору, посредством отправки с ТД соответствующей нотификации на контроллер.
|
Настройки сканирования выполняются в профиле WIDS.
Пример настройки пассивного сканирования со временем сканирования одного канала 50 мкс и интервалом между сканированием 30 с, и сканированием в обоих частотных диапазонах:
wlc-30# configure
wlc-30(config)# wlc
wlc-30(config-wlc)# wids-profile test_wids_profile
wlc-30(config-wlc-wids-profile)# scan
wlc-30(config-wlc-wids-profile-scan)# mode passive
wlc-30(config-wlc-wids-profile-scan)# interface all
wlc-30(config-wlc-wids-profile-scan)# passive time 50
wlc-30(config-wlc-wids-profile-scan)# passive interval 30
wlc-30(config-wlc-wids-profile-scan)# do commit
wlc-30(config-wlc-wids-profile-scan)# do confirm
wlc-30(config-wlc-wids-profile-scan)#
wlc-30(config-wlc-wids-profile-scan)# do sh ru wlc wids-profile test_wids_profile
wids-profile test_wids_profile
scan
mode passive
passive interval 30
passive time 50
exit
exit |
В зависимости от того, куда необходимо применить профиль, есть следующие варианты:
1. На все точки доступа контроллера. Для этого необходимо указать профиль в общих настройках WIDS.
wlc-30(config)# wlc wlc-30(config-wlc)# wids wlc-30(config-wlc-wids)# wids-profile test_wids_profile wlc-30(config-wlc-wids)# do commit wlc-30(config-wlc-wids)# do confirm wlc-30(config-wlc-wids)# |
2. На точки доступа локации. Для этого необходимо указать профиль в настройках конкретной локации. Если одновременно профиль задан в общих настройках и в локации - будет использоваться профиль из локации.
wlc-30# configure wlc-30(config)# wlc wlc-30(config-wlc)# ap-location default-location wlc-30(config-wlc-ap-location)# wids wlc-30(config-wlc-ap-location-wids)# wids-profile test_wids_profile wlc-30(config-wlc-ap-location-wids)# wlc-30(config-wlc-ap-location-wids)# wlc-30(config-wlc-ap-location-wids)# do commit wlc-30(config-wlc-ap-location-wids)# do confirm wlc-30(config-wlc-ap-location-wids)# |
3. На конкретную точке доступа. Для этого необходимо указать профиль WIDS в индивидуальном профиле точки доступа. Если одновременно профиль задан в общих настройках и/или в локации и в индивидуальном профиле точки доступа - будут использоваться настройки из индивидуального профиля ТД.
wlc-30# configure wlc-30(config)# wlc wlc-30(config-wlc)# ap 68:13:e2:03:00:10 wlc-30(config-wlc-ap)# ap-location default-location wlc-30(config-wlc-ap)# override wids wlc-30(config-wlc-ap-wids-override)# wids-profile default-wids wlc-30(config-wlc-ap-wids-override)# do commit wlc-30(config-wlc-ap-wids-override)# do confirm wlc-30(config-wlc-ap-wids-override)# |
Для более гибкой работы сервиса, есть возможность явно указать список ТД, которые должны считаться "доверенными" ТД (white-list) или "вражескими"(black-list). Эти списки настраиваются в object-group, а применяются так же на 3 уровнях - в общих настройках, в локации или индивидуально на точке доступа.
| Приоритет применения списков следующий: настройки индивидуального профиля, настройки локации, общие настройки сервиса. В случае, если на одном уровне задан только списка одного вида (белого или черного), противоположный список будет использован со следующего уровня. Например, если в индивидуальном профиле точки доступа задан только черный список, то белый будет взят из настроек локации. Если он не задан в локации, то будет взят из общих настроек сервиса. |
Пример настройки списков для всех точек доступа контроллера. Здесь в котором в черном списке задан MAC-адрес e4:5a:d4:e8:d9:20 (эта точка доступа будет считаться "вражеской"), а в белом списке задан MAC-адрес e8:28:c1:d7:3c:20 (эта точка будет считаться "доверенной"):
wlc-30# configure wlc-30(config)# object-group mac AP1 wlc-30(config-object-group-mac)# mac address e4:5a:d4:e8:d9:20 wlc-30(config-object-group-mac)# ex wlc-30(config)# object-group mac AP2 wlc-30(config-object-group-mac)# mac address e8:28:c1:d7:3c:20 wlc-30(config-object-group-mac)# ex wlc-30(config)# wlc-30(config)# wlc wlc-30(config-wlc)# wids wlc-30(config-wlc-wids)# black-list AP1 wlc-30(config-wlc-wids)# white-list AP2 wlc-30(config-wlc-wids)# do commit wlc-30(config-wlc-wids)# do confirm wlc-30(config-wlc-wids)# wlc-30(config-wlc-wids)# do sh ru object-groups mac object-group mac AP1 mac address e4:5a:d4:e8:d9:20 ff:ff:ff:ff:ff:ff exit object-group mac AP2 mac address e8:28:c1:d7:3c:20 ff:ff:ff:ff:ff:ff exit wlc-30(config-wlc-wids)# wlc-30(config-wlc-wids)# do sh ru wlc wids wids wids-profile test_wids_profile shared-key ascii-text encrypted CCE5513EE45A1EAC450A enable white-list AP2 black-list AP1 exit |
Если требуется задать пустой список, то необходимо создать пустую группу MAC-адресов и использовать ее на нужном уровне. |
Пример настройки пустого списка:
wlc-30# configure wlc-30(config)# object-group mac noAP wlc-30(config-object-group-mac)# exit wlc-30(config)# wlc wlc-30(config-wlc)# wids wlc-30(config-wlc-wids)# black-list noAP wlc-30(config-wlc-wids)# do commit wlc-30(config-wlc-wids)# do confirm wlc-30(config-wlc-wids)# wlc-30(config-wlc-wids)# do sh ru object-groups mac noAP object-group mac noAP exit wlc-30(config-wlc-wids)# wlc-30(config-wlc-wids)# do sh ru wlc wids wids wids-profile test_wids_profile shared-key ascii-text encrypted CCE5513EE45A1EAC450A enable white-list AP2 black-list noAP exit |
Для настройки подавления угроз от вредоносных точек доступа, которые имитируют SSID или MAC-адрес сканирующей точки доступа, используется параметр prevention-mode . В случае активации режима 'Rogue', исходная точка доступа будет отправлять пакеты типа 'Deauthentification' от имени "вражеской" точки доступа клиенту и от имени клиента - "вражеской" точке доступа. При использовании режима 'All' форсированные пакеты 'Deauthentification' будут отправляться не только "вражеским" точкам доступа, но и всем "недоверенным".
Пример настройки подавления угроз от "вражеских" точек доступа:
wlc-30# configure wlc-30(config)# wlc wlc-30(config-wlc)# wids-profile test_wids_profile wlc-30(config-wlc-wids-profile)# prevention-mode rogue wlc-30(config-wlc-wids-profile)# do commit wlc-30(config-wlc-wids-profile)# do confirm wlc-30(config-wlc-wids-profile)# |
Применить профиль можно в общих настройках WIDS для всех точек доступа контроллера, в локации или индивидуально на точке доступа.
| Имя параметра | Допустимые значения | Описание |
|---|---|---|
| Настройка WIDS | ||
| Включить WIDS | Вкл/Выкл | Включить/отключить сервис WIDS. Значение по умолчанию: off |
| Общий сетевой ключ | ASCII строка от 10 до 32 символов | Общий ключ, используемый для отслеживание доверенных точек доступа в радиоэфире. по умолчанию значение не выставлено и активировать сервис нельзя, пока оно не будет установлено. |
| Режим сканирования WIDS | none/passive/sentry | None - режим выключен. Значение по умолчанию. Passive - в этом режиме точка доступа через заданные промежутки времени (Период пассивного сканирования) будет кратковременно (Продолжительность пассивного сканирования) менять свой текущий канал (на котором идет работа с клиентами) на очередной канал из общего списка, для обнаружения других ТД в эфире. Качество услуги, предоставляемой клиенту, в момент сканирования, практически не деградирует. Sentry - режим сканера - в данном режиме не предусмотрена работа точки доступа с клиентами. Точка доступа всё время сканирует весь список каналов и максимально быстро обнаруживает угрозы. |
| Интерфейс сканирования WIDS | all/wlan0/wlan1 | all - оба интерфейса в диапазоне 2,4 ГГц и 5 ГГц. Значение по умолчанию. wlan0 - интерфейс в диапазоне 2,4 ГГц. wlan1 - интерфейс в диапазоне 5 ГГц. |
| Период пассивного сканирования, сек | 1..3600 | Период пассивного сканирования. Значение по умолчанию: 20. |
| Продолжительность сканирования канала для пассивного режима, мс | 10..2000 | Длительность пассивного сканировании. Значение по умолчанию: 110. |
| Продолжительность сканирования канала для активного режима, мс | 100..2000 | Длительность нахождения ТД на одном канале, для активного сканирования. Значение по умолчанию: 200. |
| Режим подавления (WIPS) | none/rogue/all | None - режим выключен. Значение по умолчанию. Rogue - сканирующая ТД детектирует MAC-адреса клиентов, которые подключены к "вражеским" ТД, и отравляет DeAuth пакеты от имени "вражеской" ТД клиенту и от имени клиента "вражеской" ТД. All - в данном режиме форсированный DeAuth пакет отправляется не только клиентам, подключенным к "вражеским" ТД, а вообще всем, кто подключен к "не доверенной" ТД. |
| Bruteforce-detection | ||
| Включить обнаружение атак "перебор пароля" | Вкл/Выкл | Включить/отключить функцию детектирования атаки перебора паролей. Значение по умолчанию: off |
| Порог количества неудачных попыток авторизаций | 1..10000 | Пороговый лимит количества неуспешных авторизаций. Значение по умолчанию: 25. |
| Интервал подсчёта неудачных попыток авторизаций, сек | 0..86400 | В течение указанного интервала считается количество неуспешных авторизаций пользователей на SSID с шифрованием (Personal и Enterprise) активных на сканирующей ТД. Если порог был превышен, в СУ отправляется трап об обнаружении атаки "перебор паролей". Значение по умолчанию: 5 сек. При значении параметра равного 0, детектирование атаки "перебор паролей" будет отключено. |
| Включить блокировку клиентов, уличенных в атаке | Вкл/Выкл | При включении данной функции MAC-адреса клиентских устройств, замеченных за атакой "перебор паролей", будут добавлены в черный список на период времени Timeout. При попадании в "MAC Blacklist" устройство будет игнорироваться точкой доступа на период времени Timeout, в результате чего, клиент не сможет подключиться к сети. Значение по умолчанию: off |
| Продолжительность блокировки клиентов, сек | 1..86400 | Время хранения MAC-адреса клиентского устройства в черном списке. Значение по умолчанию: 1800 сек |
| DoS-Detection | ||
| Включить обнаружение атак "отказ в обслуживании" | Вкл/Выкл | Активирование функции детектирования DoS-атак. Значение по умолчанию: off DoS атака определяется превышением лимита управляющих фреймов разных типов в радиоэфире. Анализируются только фреймы, в которых destination mac совпадает с mac-адресом сканирующей ТД. (исключение Beacon) |
| Интервал подсчёта пакетов в радиоэфире, сек | 0..86400 | Интервал, в течение которого идет подсчет фреймов. Если за это время заданный лимит превышен, то будет сгенерирован SNMP-трап об обнаружении атаки. Значение по умолчанию: 1 сек. |
| Порог резкого изменения количества пакетов относительно предыдущего периода времени | 0..86400 | Параметр показывает, насколько должно измениться количество пакетов по сравнению с предыдущим периодом, чтобы был отправлен трап о DoS-атаке. Значение по умолчанию: 250. |
| Период отправки сообщения о детектировании атаки в секундах | 0..604800 | Значение по умолчанию: 20 |
| Пороговое значение пакетов типа "Association request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Reassociation request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Diassociation request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Probe request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Beacon" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Block Ack request" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Block Ack" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "PS poll" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Authentication" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "Deauthentification" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "RTS" | 0..86400 | Значение по умолчанию: 500 |
| Пороговое значение пакетов типа "CTS" | 0..86400 | Значение по умолчанию: 500 |