09-安全
本章节下载: 09-安全 (280.97 KB)
目 录
802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、DoS攻击等。WIDS(Wireless Intrusion Detection System,无线入侵检测系统)可以对有恶意的用户攻击和入侵行为进行早期检测和防范。
无线安全提供了如下功能:
· 入侵检测
· 黑白名单
为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的入侵检测主要包括泛洪攻击检测、Spoof检测以及Weak IV检测。
泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理合法无线客户端的报文。
攻击检测通过持续地监控每台无线客户端的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该无线客户端将被认定在实施泛洪攻击。如果在WLAN设备上开启动态黑名单功能,此时被检测到的攻击设备将被加入黑名单,在后续一段时间内将被禁止接入WLAN网络。
入侵检测支持对下列报文的泛洪攻击检测:
· 认证请求/解除认证请求(Authentication / De-authentication);
· 关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);
· 探查请求(Probe Request);
· 802.11 Null数据帧;
· 802.11 Action帧。
Spoofing攻击是指潜在的攻击者会仿冒其他设备的名义发送攻击报文,以达到破坏无线网络正常工作的目的。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证报文就可能导致客户端下线,同样如果攻击者仿冒客户端的名义给AP发送解除认证报文也会影响无线网络的正常工作。
目前,Spoofing攻击检测支持对仿冒AP名义发送的广播解除认证和广播解除关联报文进行检测。当接收到这两种报文时,设备会将其定义为Spoofing攻击并被记录到日志中。
使用WEP加密的时候,WLAN设备对于每一个报文都会使用IV(Initialization Vector,初始化向量),IV和Key一起作为输入来生成Key Stream,使相同密钥产生不同加密效果。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。如果WLAN设备使用不安全的方法生成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。
检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有Weak IV的报文被检测到时,这个检测将立刻被记录到日志中。
在WLAN网络环境中,可以通过黑白名单功能设定一定的规则过滤无线客户端,实现对无线客户端的接入控制。
黑白名单维护三种类型的列表。
· 白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入。
· 静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址。
· 动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护。
黑白名单按照以下步骤对接收到的802.11报文进行过滤,只有满足条件的报文允许通过,其他的所有的报文都会被丢弃。
(1) 当AP接收到一个802.11帧时,将针对该802.11帧的源MAC进行过滤;
(2) 如果设置了白名单列表,但接收帧的源MAC不在白名单列表内,该帧将被丢弃;
(3) 如果源MAC在白名单内,该帧将被作为合法帧进一步处理;
(4) 如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表。如果源MAC在静态或动态黑名单列表内,该帧将被丢弃;
(5) 如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理。
(1) 在界面左侧的导航栏中选择“安全> 入侵检测”,默认进入“入侵检测设置”页签的页面,如下图所示。
(2) 配置入侵检测,详细配置如下表所示。
配置项 |
说明 |
泛洪攻击检测 |
选中该复选框,则表示启动泛洪攻击检测 缺省情况下,泛洪攻击检测处于关闭状态 |
Spoofing攻击检测 |
选中该复选框,则表示启动Spoofing攻击检测 缺省情况下,Spoofing检测处于关闭状态 |
Weak IV攻击检测 |
选中该复选框,则表示Weak IV攻击检测 缺省情况下,Weak IV攻击检测处于关闭状态 |
(3) 单击<确定>按钮完成操作。
(1) 在界面左侧的导航栏中选择“安全> 入侵检测”。
(2) 选择“历史记录”页签,进入查看历史记录的页面,如下图所示。
(1) 在界面左侧的导航栏中选择“安全> 入侵检测”。
(2) 选择“统计信息”页签,进入查看统计信息的页面,如下图所示。
图1-3 统计信息各字段说明
(1) 在界面左侧的导航栏中选择“安全> 黑白名单”,默认进入“黑名单”页签的页面,如下图所示。
(2) 配置动态黑名单,详细配置如下表所示。
配置项 |
说明 |
动态黑名单功能 |
开启:开启动态黑名单列表功能 关闭:关闭动态黑名单列表功能 在开启动态黑名单前,需要在“入侵检测设置”页面,选中“泛洪攻击检测”前的复选框 |
已存在时间 |
设置动态黑名单中的对应表项的生存时间,被加入到动态黑名单中的MAC表项在经过生存时间后将被删除 |
(3) 单击<确定>按钮完成操作。
目前在动态黑名单支持检测的攻击类型有以下几种:“Assoc-Flood(关联请求泛洪攻击)”、“Reassoc-Flood(重关联请求泛洪攻击)”、“Disassoc-Flood(解除关联请求泛洪攻击)”、“ProbeReq-Flood(探查请求泛洪攻击)”、“Action-Flood(802.11 Action帧泛洪攻击)”、“Auth-Flood(认证请求泛洪攻击)”、“Deauth-Flood(解除认证请求泛洪攻击)”和“NullData-Flood(802.11 Null数据帧泛洪攻击)”。
(1) 在界面左侧的导航栏中选择“安全> 黑白名单”,默认进入“黑名单”页签的页面。
(2) 选择“静态”页签,进入静态黑名单的配置页面。
(3) 单击<新建静态表项>按钮,进入新建静态黑名单表项的页面,如下图所示。
(4) 新建静态黑名单表项,详细配置如下表所示。
配置项 |
说明 |
MAC地址 |
选中“MAC地址”前面单选按钮,在输入框中添加指定的MAC地址到静态黑名单 |
选择当前连接客户端 |
从当前连接的客户端中,通过指定客户端MAC地址的方式把某些客户端加入到静态黑名单 |
(5) 单击<确定>按钮完成操作。
(1) 在界面左侧的导航栏中选择“安全> 黑白名单”。
(2) 选择“白名单”页签,进入白名单的配置页面。
(3) 单击<新建>按钮,进入新建白名单表项的页面,如下图所示。
(4) 新建白名单表项,详细配置如下表所示。
配置项 |
说明 |
MAC地址 |
选中“MAC地址”前面单选按钮,在输入框中添加指定的MAC地址到白名单 |
选择当前连接客户端 |
从当前连接的客户端中,通过指定客户端MAC地址的方式把某些客户端加入到白名单 |
(5) 单击<确定>按钮完成操作。
用户隔离功能是指关联到同一个AP上的所有无线用户之间的二层报文(单播/广播)相互不能转发,从而使无线用户之间不能直接进行通讯。
在上图中,在AP上开启用户隔离功能后,Client 1~Client 4之间不能互通,也无法学习到对方的MAC地址和IP地址。
(1) 在界面左侧的导航栏中选择“安全> 用户隔离”,进入用户隔离的配置页面,如下图所示。
(2) 配置用户隔离,详细配置如下表所示。
说明 |
|
无线用户隔离 |
· 开启:启用无线用户二层隔离功能,使能用户隔离后无线用户之间不能互通 · 关闭:关闭无线用户二层隔离功能 缺省情况下,无线用户二层隔离功能处于开启状态 |
(3) 单击<确定>按钮完成操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!