Pull to refresh

Защита беспроводной сети на Avaya WLAN 8100

Reading time 3 min
Views 10K
image

Обеспечим защиту от:
• Несанкционированных точек доступа в нашем беспроводном пространстве
• Honeypot точек – выдающих себя под нашим «защищенным» SSID, при этом принимая любые ключи
• SSID маскарада – использование SSID неизвестной точкой
• Незащищенных SSIDов
• Автономных точек, использующих нестандартные каналы или режимы

Обеспечим обнаружение и предотвращение:
• Мошеннических клиентов
• Вторжений в сеть
• Отказа в обслуживании сети
• MAC адрес флуда
• Флуда сообщениями аутентификации
• Флуда сообщениями деаутентификации
• Неудачных попыток аутентификации, отсечка
• Клиентов с MAC не из OUI списка
• Клиентов не из клиентской базы (белый список) или из черного списка
• Клиентов подключенных от подозрительных точек

По подозрительным клиентам и точкам также будет собираться информация по триангуляции для определения их местоположения на плане.

image

В нашем арсенале имеются точки доступа Avaya WLAN Access Point 8120, контроллер Avaya WLAN Controller 8180 и система управления WMS.

image

Оборудование может обеспечивать безопасность в нескольких режимах.

image

• Access mode: клиенту предоставляется доступ, одновременно сканируются частоты только используемых в данный момент каналов. В данном режиме точки работают по умолчанию.

• Access-WIDS mode: клиенту предоставляется доступ, одновременно сканируются все частоты в диапазоне 2.4/5 ГГц, разрешенные для использования на территории РФ.

image

• WIDS Sentry mode: доступ клиенту не предоставляется, сканируются все частоты в диапазоне 2.4/5 ГГц независимо от региональной привязки.

• WIPS Sentry mode: доступ клиенту не предоставляется, кроме полного сканирования всех часто в диапазоне 2.4/5 ГГц независимо от региональной привязки, производятся активные действия против несанкционированных точек доступа и клиентов, то есть обезвреживаются.

Во всех режимах полученная при сканировании информация отправляется на контроллер, которая обновляется с интервалом 30 секунд.

Ниже показана активная атака на несанкционированные точки.

image

Начнем настройку. Создадим радио профиль для Sentry режима с интервалом сканирования в 1 миллисекунду.

WC8180>en
WC8180#conf t
WC8180(config)#wireless
WC8180(config-wireless)#radio-profile 3 wids-wips both
WC8180(config-radio-profile)#rf-scan band both duration 1
WC8180(config-radio-profile)#exit

Теперь повесим этот профиль на оба радиомодуля точки, при помощи профиля точки.
К слову, точка 8120 имеет два радиомодуля, и повесить Sentry можно только на один.

WC8180(config-wireless)#ap-profile 7
WC8180(config-ap-profile)#radio 1 profile-id 3
WC8180(config-ap-profile)#radio 2 profile-id 3
WC8180(config-ap-profile)#radio 1 enable
WC8180(config-ap-profile)#radio 2 enable
WC8180(config-ap-profile)#exit

Применяем данные настройки на конкретную точку.

WC8180(config-wireless)#domain ap СС:F9:54:99:5B:20
WC8180(config-domain-ap)#profile-id 7
WC8180(config-domain-ap)#end

Теперь добавляем дружественные нам точки по следующему шаблону. Например я не хочу блокировать свой переносной TP-LINK. Для этого мне нужно будет подробно указать его беспроводные параметры.

wids known-ap <mac_address> channel <0 - 216>
wids known-ap <mac_address> security {any | open | wep | wpa}
wids known-ap <mac_address> ssid <ssid_string>
wids known-ap <mac_address> type {known-foreign | localenterprise| other}
wids known-ap <mac_address> wds-mode {any | bridge | normal}
wids known-ap <mac_address> wired-mode {allowed | notallowed}

Настраиваем WIDS для несанкционированных точек.

wids rogue-ap ack {all | rogue_mac_address}
wids rogue-ap trap-interval <60 - 3600>
wids rogue-ap wired-detection-interval <1 - 3600>

Отслеживаем безопасность в системе управления WMS.

image
Tags:
Hubs:
+3
Comments 2
Comments Comments 2

Articles