Защита беспроводной сети на Avaya WLAN 8100

    image

    Обеспечим защиту от:
    • Несанкционированных точек доступа в нашем беспроводном пространстве
    • Honeypot точек – выдающих себя под нашим «защищенным» SSID, при этом принимая любые ключи
    • SSID маскарада – использование SSID неизвестной точкой
    • Незащищенных SSIDов
    • Автономных точек, использующих нестандартные каналы или режимы

    Обеспечим обнаружение и предотвращение:
    • Мошеннических клиентов
    • Вторжений в сеть
    • Отказа в обслуживании сети
    • MAC адрес флуда
    • Флуда сообщениями аутентификации
    • Флуда сообщениями деаутентификации
    • Неудачных попыток аутентификации, отсечка
    • Клиентов с MAC не из OUI списка
    • Клиентов не из клиентской базы (белый список) или из черного списка
    • Клиентов подключенных от подозрительных точек

    По подозрительным клиентам и точкам также будет собираться информация по триангуляции для определения их местоположения на плане.

    image

    В нашем арсенале имеются точки доступа Avaya WLAN Access Point 8120, контроллер Avaya WLAN Controller 8180 и система управления WMS.

    image

    Оборудование может обеспечивать безопасность в нескольких режимах.

    image

    • Access mode: клиенту предоставляется доступ, одновременно сканируются частоты только используемых в данный момент каналов. В данном режиме точки работают по умолчанию.

    • Access-WIDS mode: клиенту предоставляется доступ, одновременно сканируются все частоты в диапазоне 2.4/5 ГГц, разрешенные для использования на территории РФ.

    image

    • WIDS Sentry mode: доступ клиенту не предоставляется, сканируются все частоты в диапазоне 2.4/5 ГГц независимо от региональной привязки.

    • WIPS Sentry mode: доступ клиенту не предоставляется, кроме полного сканирования всех часто в диапазоне 2.4/5 ГГц независимо от региональной привязки, производятся активные действия против несанкционированных точек доступа и клиентов, то есть обезвреживаются.

    Во всех режимах полученная при сканировании информация отправляется на контроллер, которая обновляется с интервалом 30 секунд.

    Ниже показана активная атака на несанкционированные точки.

    image

    Начнем настройку. Создадим радио профиль для Sentry режима с интервалом сканирования в 1 миллисекунду.

    WC8180>en
    WC8180#conf t
    WC8180(config)#wireless
    WC8180(config-wireless)#radio-profile 3 wids-wips both
    WC8180(config-radio-profile)#rf-scan band both duration 1
    WC8180(config-radio-profile)#exit
    

    Теперь повесим этот профиль на оба радиомодуля точки, при помощи профиля точки.
    К слову, точка 8120 имеет два радиомодуля, и повесить Sentry можно только на один.

    WC8180(config-wireless)#ap-profile 7
    WC8180(config-ap-profile)#radio 1 profile-id 3
    WC8180(config-ap-profile)#radio 2 profile-id 3
    WC8180(config-ap-profile)#radio 1 enable
    WC8180(config-ap-profile)#radio 2 enable
    WC8180(config-ap-profile)#exit
    

    Применяем данные настройки на конкретную точку.

    WC8180(config-wireless)#domain ap СС:F9:54:99:5B:20
    WC8180(config-domain-ap)#profile-id 7
    WC8180(config-domain-ap)#end
    

    Теперь добавляем дружественные нам точки по следующему шаблону. Например я не хочу блокировать свой переносной TP-LINK. Для этого мне нужно будет подробно указать его беспроводные параметры.

    wids known-ap <mac_address> channel <0 - 216>
    wids known-ap <mac_address> security {any | open | wep | wpa}
    wids known-ap <mac_address> ssid <ssid_string>
    wids known-ap <mac_address> type {known-foreign | localenterprise| other}
    wids known-ap <mac_address> wds-mode {any | bridge | normal}
    wids known-ap <mac_address> wired-mode {allowed | notallowed}
    

    Настраиваем WIDS для несанкционированных точек.

    wids rogue-ap ack {all | rogue_mac_address}
    wids rogue-ap trap-interval <60 - 3600>
    wids rogue-ap wired-detection-interval <1 - 3600>
    

    Отслеживаем безопасность в системе управления WMS.

    image
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 2

      +1
      Статье не хватает введения и картинок.
      Разделы с режимами работы, красиво расписанные до ката, совершенно не понятны и плохо читаемы (так и хочется задать вопрос «зачем»). Лучше было бы начать статью с тех угроз, защита от которых обеспечивается.
        0
        Спасибо за совет, поменял абзацы местами, так и правда лучше.

      Only users with full accounts can post comments. Log in, please.