Wechseln Sie in die Ansicht und öffnen Sie den Dialog Erweiterte Profile.
Öffnen Sie den Dialog Wireless-IDS-Profile. Es existiert bereits ein Profil "DEFAULT", das mit für das jeweilige Angriffs-Szenario typischen Werten vorbelegt ist. Um dieses Profil zu bearbeiten, klicken Sie auf Bearbeiten. Um ein neues WIDS-Profil anzulegen, klicken Sie auf Hinzufügen.
Auf dem Reiter Allgemein konfigurieren Sie die allgemeinen Profil-Einstellungen.
- Profilname
- Vergeben Sie einen eindeutigen Profilnamen.
- Eintrag aktiv
- Aktivieren oder deaktivieren Sie dieses Profil.
- Wireless-IDS aktiviert
- Aktiviert oder deaktiviert das Wireless Intrusion Detection System (WIDS).
- Promisker Modus
- Bei aktiviertem Modus ("promiscuous mode") empfängt der AP auch Pakete, die an andere Netzwerkteilnehmer adressiert sind. Dies betrifft z. B. Datenpakte, die keine Broadcasts sind deren Ziel-MAC-Adresse von der MAC-Adresse des APs abweicht. Dieser Umstand stellt sicher, dass einige der weiter unten genannten Angriffstypen erkannt werden können. Allerdings beeinträchtigt dieser Modus die Performance des Gerätes. Daher wird die Frame Aggregation bei Aktivierung des Promiscous Modes automatisch deaktiviert.
- Benachrichtigung via SYSLOG
- Aktiviert oder deaktiviert die WIDS-Meldungen über SYSLOG. Die generierte SYSLOG-Meldung besitzt den Severity Level "INFO" und enthält den Zeitpunkt, die betroffene Schnittstelle sowie den Auslöser (Art des Angriffes und überschrittener Grenzwert).
- Benachrichtigung via SNMP-Traps
- Aktiviert oder deaktiviert die SNMP-Traps für WIDS-Meldungen.
- Benachrichtigung via E-Mail an
- Aktiviert oder deaktiviert die WIDS-Meldungen über E-Mail.
Wichtig: Zur Nutzung dieser Benachrichtigungen muss ein SMTP-Konto eingerichtet sein.
- E-Mail-Empfänger
- Geben Sie einen E-Mail-Empfänger an, wenn die Benachrichtigung über E-Mail aktiviert ist. Das Feld muss eine gültige E-Mail-Adresse enthalten.
- E-Mail-Aggregat-Intervall
- Legen Sie die Verzögerung in Sekunden vor dem Versenden einer E-Mail fest, in der das WIDS nach dem Eintreffen eines ersten Wireless-IDS-Ereignisses weitere Ereignisse sammelt. Diese Funktion verhindert, dass eine Flut von Angriffen eine E-Mail-Flut verursacht.
In den beiden Ansichten Signatur konfigurieren Sie die Grenzwerte und Zeitintervalle (Datenpakete pro Sekunde) der verschiedenen Alarm-Funktionen des WIDS. Diese Werte regeln, wann das WIDS Warnungen generiert.
Die Angabe von Grenzwerten und Zeitintervallen für die folgenden Angriffs-Szenarien ist möglich:
- EAPOL-Start
- Broadcast-Probe
- Authentication-Request
- Deauthentication-Request (*)
- Broadcast-Deauthenticate
- Association-Request
- Reassociation-Request
- Disassociation-Request (*)
- Broadcast-Disassociate
- Out-Of-Window
- Block-Ack-after-DelBA
- Null-Data-Flood
- Null-Data-PS-Buffer-Overflow
- Multi-Stream-Data
- Vorzeitiger EAPOL-Erfolg (*)
- Vorzeitiger EAPOL-Fehler (*)
- PS-Poll-TIM-Intervall
- Empfangs-Intervall-Differenz
Alle Felder sind bereits mit für das jeweilige Angriffs-Szenario typischen Werten vorbelegt.
Anmerkung: (*): Nur bei aktivem Promiscuous Mode.