Um ein Profil für das Wireless Intrusion Detection System (WIDS) mit LANconfig zu konfigurieren, wechseln Sie in die Ansicht und klicken Sie auf Erweiterte Profile.
Unter Wireless-IDS-Profile erstellen oder bearbeiten Sie die WIDS-Profile.
- Profilname
- Vergeben Sie eine Bezeichnung für das Profil. Diesen Profilnamen geben Sie bei der Zuordnung zu einem WLAN-Profil unter an.
Anmerkung: Die Angabe eines Profilnamens ist für die Konfiguration der WIDS-Signaturen notwendig.
- Wireless-IDS aktiviert
- Aktiviert oder deaktiviert das Wireless Intrusion Detection System (WIDS).
- Promisker Modus
- Bei aktiviertem Modus ("promiscuous mode") empfängt der AP auch Pakete, die nicht an ihn gerichtet sind, sondern an andere Netzwerkteilnehmer. Dieser Modus ist erforderlich, um einige der unten genannten Angriffe erkennen zu können. Der promiscuous mode beeinflusst allerdings die Leistung. Daher wird mit der Aktivierung des promiscuous mode automatisch die Frame Aggregation abgeschaltet.
- Benachrichtigung via SYSLOG
- Aktiviert oder deaktiviert die WIDS-Meldungen über SYSLOG. Die generierte SYSLOG-Meldung besitzt den Severity Level "INFO" und enthält den Zeitpunkt, die betroffene Schnittstelle sowie den Auslöser (Art des Angriffes und überschrittener Grenzwert).
- Benachrichtigung via SNMP-Traps
- Aktiviert oder deaktiviert die SNMP-Traps für WIDS-Meldungen.
- Benachrichtigung via E‑Mail an
- Aktiviert oder deaktiviert die WIDS-Meldungen über E‑Mail.
Wichtig: Zur Nutzung dieser Benachrichtigungen muss ein SMTP-Konto eingerichtet sein.
- E‑Mail-Empfänger
- Geben Sie einen E‑Mail-Empfänger an, wenn die Benachrichtigung über E‑Mail aktiviert ist. Das Feld muss eine gültige E‑Mail-Adresse enthalten.
- E‑Mail-Aggregat-Intervall
- Legen Sie die Verzögerung in Sekunden vor dem Versenden einer E‑Mail fest, in der das WIDS nach dem Eintreffen eines ersten Wireless-IDS-Ereignisses weitere Ereignisse sammelt. Diese Funktion verhindert, dass eine Flut von Angriffen eine E‑Mail-Flut verursacht.
Auf den Reitern "Signaturen" konfigurieren Sie die Grenzwerte und Zeitintervalle (Datenpakete pro Sekunde) der verschiedenen Alarm-Funktionen des WIDS. Diese Werte regeln, wann das WIDS Warnungen generiert.
Die Angabe von Grenzwerten und Zeitintervallen für die folgenden Angriffs-Szenarien ist möglich:
- EAPOL-Start
- Broadcast-Probe
- Authentication-Request
- Deauthentication-Request (*)
- Broadcast-Deauthenticate
- Association-Request
- Reassociation-Request
- Disassociation-Request (*)
- Broadcast-Disassociate
- Out-Of-Window
- Block-Ack-after-DelBA
- Null-Data-Flood
- Null-Data-PS-Buffer-Overflow
- Multi-Stream-Data
- Vorzeitiger EAPOL-Erfolg (*)
- Vorzeitiger EAPOL-Fehler (*)
- PS-Poll-TIM-Intervall
- Empfangs-Intervall-Differenz
Alle Felder sind bereits mit für das jeweilige Angriffs-Szenario typischen Werten vorbelegt.
Anmerkung: (*) Diese Angriffe werden nur bei aktivem promiscuous mode erkannt!
Speichern Sie das WIDS-Profil und ordnen Sie es anschließend unter einem WLAN-Profil zu.
