- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-WLAN IDS配置
本章节下载: 06-WLAN IDS配置 (197.21 KB)
l 不同型号产品的特性功能支持情况略有不同,详细请参见“特性差异化列表”部分的介绍。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l 设备支持的射频类型取决于设备的型号,使用中请以设备实际情况为准。
l 本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。
802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rouge设备对于企业网络安全来说是一个很严重的威胁。WIDS(Wireless Intrusion Detection System)用于放置到已有的无线网络中,它可以对网络外恶意的攻击和入侵无线网络进行早期检测。WIPS(Wireless Intrusion Prevention System)可以保护企业网络和用户不被无线网络上未经授权的设备访问。
主要为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的IDS攻击检测主要包括802.11报文泛洪攻击检测、AP Spoof检测以及Weak IV检测。
泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。
IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。
IDS支持下列报文的泛洪攻击检测。
l 认证请求/解除认证请求(Authentication / De-authentication);
l 关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);
l 探查请求(Probe request);
l 空数据帧;
l Action帧;
当一个AP支持超过一个BSSID时,无线终端会发送探查请求报文到每个单独的BSSID。所以在报文为探查请求报文的情况下,需要考虑源端和目的地的共同流量,而对于其它类型的报文,只需要考虑源端的流量即可。
WLAN在使用WEP链路加密的时候,对于每一个报文都会使用初始化向量(IV,Initialization Vector),它是基于共享密钥和一个伪随机生成的3比特序列。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。
但是在验证发送的某些类型的IV的时候,可能对于潜在的攻击者会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。
WIDS IPS通过识别每个WEP报文的IV来预防这种攻击,当一个有弱初始化向量的报文被检测到时,这个检测将立刻被记录到日志中。
这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。例如:一个欺骗的解除认证的报文会导致无线客户端下线。
WIDS IPS对于广播解除认证和广播解除关联报文检测是否有欺骗攻击。当接受到这种报文时将立刻被定义为欺骗攻击并被记录到日志中。
表1-1 配置IDS攻击检测
|
配置 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入IDS视图 |
wlan ids |
- |
|
配置IDS攻击检测 |
attack-detection enable { all | flood | weak-iv | spoof } |
必选 缺省情况下,攻击检测功能处于关闭状态 |
在任意视图下执行display命令可以显示WLAN IDS的运行情况。
在用户视图下执行reset命令可以清除WLAN IDS统计信息。
表1-2 WLAN IDS的显示和维护
|
配置 |
命令 |
|
显示WLAN系统的攻击检测历史信息 |
display wlan ids history |
|
显示检测到的攻击数 |
display wlan ids statistics |
|
清除WLAN系统攻击检测的历史信息 |
reset wlan ids history |
|
清除WLAN系统攻击检测的统计信息 |
reset wlan ids statistics |
帧过滤是802.11MAC和WIDS(Wireless Intrusion Detection System,无线入侵检测系统)子特性的一个小特性。
FAT AP包括白名单列表(列表中的当前表项是被许可,并可以通过命令行配置的),静态黑名单列表(列表中的当前表项是不被许可,但可以通过命令行配置的)和动态黑名单列表(列表中的当前表项是不被许可,并只有在无线入侵检测系统检测到泛洪攻击时才被添加)。
过滤行为实体维持了AP上的MAC地址,并且过滤行为只有在输入的MAC地址匹配的情况下才执行。
在WLAN网络环境中,可以通过黑白名单功能设定一定的规则过虑无线客户端,实现对无线客户端的接入控制。
黑白名单维护三种类型的列表。
l 白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入。
l 静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址,该列表需要手工配置。
l 动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护。
黑白名单按照以下步骤对接收到的802.11报文进行过滤,只有满足条件的报文允许通过,其他的所有的报文都会被丢弃。
(1) 当AP接收到一个802.11帧时,将针对该802.11帧的源MAC进行过滤;
(2) 如果设置了白名单列表,但接收帧的源MAC不在白名单列表内,该帧将被丢弃;
(3) 如果源MAC在白名单内,该帧将被作为合法帧进一步处理;
(4) 如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表。如果源MAC在静态或动态黑名单列表内,该帧将被丢弃;
(5) 如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理。
图1-1 Frame-Filtering组网
在FAT AP组网图中,假设Client 1的MAC地址存在于黑名单列表中,则Client 1不能与FAT AP关联。当Client 1的MAC地址仅存在于FAT AP的白名单列表中时,它可以接入无线网络。
WIDS-Frame Filtering配置包括白名单列表、静态黑名单列表和动态黑名单列表。
各种名单列表的特性如下:
l 切换到IDS视图下可以配置静态黑名单列表、白名单列表、使能动态黑名单列表功能以及动态黑名单中的对应列表的生存时间。
l 只有当表项存在于白名单列表中时,对应的客户端才能通过帧过滤。用户可以通过命令行添加或删除表项。
l 当输入表项存在于黑名单列表中时将被拒绝通过,当WIDS检测到泛洪攻击时,该表项将被动态添加到动态黑名单列表中。对于存在于动态黑名单中的表项,用户可以通过命令行设置生存时间。在该时间超时后,该设备接口将被从动态列表中删除。
表1-3 配置静态列表
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ids视图 |
wlan ids |
- |
|
配置白名单列表 |
whitelist mac-address mac-address |
可选 |
|
配置静态黑名单列表 |
static-blacklist mac-address mac-address |
可选 |
表1-4 配置动态黑名单
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ids视图 |
wlan ids |
- |
|
使能动态黑名单列表功能 |
dynamic-blacklist enable |
可选 缺省情况下,不使能动态黑名单列表功能 |
|
设置动态黑名单中的对应列表的生存时间 |
dyamic-blacklist lifetime lifetime |
可选 缺省情况下,生存时间为300秒 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后WIDS-Frame Filtering的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除WIDS-Frame Filtering的相关信息。
表1-5 WIDS-Frame Filtering显示和维护
|
操作 |
命令 |
|
显示黑名单列表 |
display wlan blacklist { static | dynamic } |
|
显示白名单列表 |
display wlan whitelist |
|
清除动态黑名单列表选项 |
reset wlan dynamic-blacklist { mac-address mac-address | all } |
客户端通过FAT AP接入无线网络。其中Client 1(0000-000f-1211) 为已知非法客户端,为了保证无线网络的安全性,网络管理员需要将其的MAC地址加入到设备的黑名单列表中,使其无法接入网络。
图1-2 帧过虑配置组网图
# 将Client 1的MAC地址0000-000f-1211添加到静态黑名单列表。
<AP> system-view
[AP] wlan ids
[AP-wlan-ids] static-blacklist mac-address 0000-000f-1211
完成配置后,非法客户端Client 1(0000-000f-1211)无法接入AP,其它客户端正常接入网络。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
