选择区域语言: EN CN HK

H3C WA系列无线局域网接入点设备Web网管 用户手册-6W103

10-安全

本章节下载  (362.19 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/WA1208E/Configure/User_Manual/WA_Web_UM-6W103/201009/690353_30005_0.htm

10-安全


l          不同型号产品的特性功能支持情况略有不同,对于手册中标有“请以设备实际情况为准”的特性,请参见“01-导读”中的“产品支持特性差异”章节的介绍。

l          本手册致力于提供更加准确的描述和WEB页面截图,但由于产品型号的差异,请在实际使用中以设备实际显示的WEB页面为准。

l          页面上显示为灰色的功能或参数,表示设备不支持或者在当前配置下不可修改。

 

1 安全配置

1.1  安全简介

802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、DoS攻击等。WIDS(Wireless Detection Prevention System)可以对有恶意的用户攻击和入侵行为进行早期检测和防范。

无线安全提供了如下功能:

l              入侵检测

l              黑白名单

l              用户隔离

1.1.1  入侵检测

为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的入侵检测主要包括泛洪攻击检测、Spoof检测以及Weak IV检测。

1. 泛洪攻击检测

泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理合法无线客户端的报文。

攻击检测通过持续地监控每台无线客户端的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该无线客户端将被认定在实施泛洪攻击。如果在WLAN设备上开启动态黑名单功能,此时被检测到的攻击设备将被加入黑名单,并且在后续一段时间内将被禁止接入WLAN网络。

入侵检测支持对下列报文的泛洪攻击检测:

l              认证请求/解除认证请求Authentication / De-authentication

l              关联请求/解除关联请求/重新关联请求Association / Disassociation / Reassociation

l              探查请求Probe Request

l              802.11 Null数据帧;

l              802.11 Action帧。

2. Spoofing攻击检测

Spoofing攻击是指潜在的攻击者仿冒其他设备的名义发送攻击报文。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证报文就可能导致客户端下线,同样如果攻击者仿冒客户端的名义给AP发送解除认证报文也会影响无线网络的正常工作。

目前,Spoofing攻击检测支持对仿冒AP名义发送的广播解除认证和广播解除关联报文进行检测。当接收到这种两种报文时,设备会将其定义为Spoofing攻击并被记录到日志中。

3. Weak IV攻击检测

使用WEP加密的时候,WLAN设备对于每一个报文都会使用初始化向量(IV,Initialization Vector),IV和Key一起作为输入来生成Key Stream,使相同密钥产生不同加密效果。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。如果WLAN设备使用不安全的方法生成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。

检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个Weak IV的报文被检测到时,这个检测将立刻被记录到日志中。

1.1.2  黑白名单

WLAN网络环境中,可以通过黑白名单功能设定一定的规则过滤无线客户端,实现对无线客户端的接入控制。

黑白名单维护三种类型的列表。

l              白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入。

l              静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址。

l              动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护。

黑白名单按照以下步骤对接收到的802.11报文进行过滤,只有满足条件的报文允许通过,其他的所有的报文都会被丢弃。

(1)        当AP接收到一个802.11帧时,将针对该802.11帧的源MAC进行过滤;

(2)        如果设置了白名单列表,但接收帧的源MAC不在白名单列表内,该帧将被丢弃;

(3)        如果源MAC在白名单内,该帧将被作为合法帧进一步处理;

(4)        如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表。如果源MAC在静态或动态黑名单列表内,该帧将被丢弃;

(5)        如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理。

1.1.3  用户隔离

用户隔离功能是指关联到同一个AP上的所有无线用户之间的二层报文(单播/广播)相互不能转发,从而使无线用户之间不能直接进行通讯的功能。启用此功能后,多个无线客户端之间无法直接通讯,只能访问上游的有线网络。用户隔离功能用于需要强制无线客户端到指定的网关或服务器上计费或者更安全的认证等WLAN热点应用场景。

图1-1 用户隔离组网图

 

图1-1中,在AP上开启用户隔离功能后,Cleint 1~Client 4之间不能互相访问,也无法学习到对方的MAC地址和IP地址。

1.2  配置入侵检测

1.2.1  入侵检测设置

在界面左侧的导航栏中选择“安全> 入侵检测”,选择“入侵检测设置”页签,进入如图1-2所示的页面。

图1-2 入侵检测设置

 

入侵检测设置的详细配置如表1-1所示。

表1-1 入侵检测设置的详细配置

配置项

说明

泛洪攻击检测

选中该复选框,则表示启动泛洪攻击检测

缺省情况下,泛洪攻击检测处于关闭状态

spoofing攻击检测

选中该复选框,则表示启动spoofing攻击检测

缺省情况下,spoofing检测处于关闭状态

weak-iv攻击检测

选中该复选框,则表示Weak IV攻击检测

缺省情况下,weak-iv攻击检测处于关闭状态

 

1.2.2  查看历史记录

在界面左侧的导航栏中选择“安全> 入侵检测”,选择“历史记录”页签,进入如图1-3所示的页面。

图1-3 查看历史记录

 

1.2.3  查看统计信息

在界面左侧的导航栏中选择“安全> 入侵检测”,选择“统计信息”页签,进入如图1-4所示的页面。

图1-4 统计信息各字段说明

 

1.3  配置黑白名单

1. 配置动态黑名单

在界面左侧的导航栏中选择“安全> 黑白名单”,选择“黑名单”页签,进入如图1-5所示的页面。

图1-5 动态黑名单的详细配置

 

动态黑名单的详细配置如表1-2所示。

表1-2 动态黑名单的详细配置

配置项

说明

动态黑名单功能

开启:使能动态黑名单列表功能

关闭:关闭动态黑名单列表功能

在使能动态黑名单前,需要在“入侵检测设置”页面,选中“泛洪攻击检测”前的复选框

生存时间

设置动态黑名单中的对应表项的生存时间,被加入到动态黑名单中的MAC表项在经过生存时间后将被删除

 

目前在动态黑名单支持检测的攻击类型有以下几种:“Assoc-Flood(关联请求泛洪攻击)”、“Reassoc-Flood(重关联请求泛洪攻击)”、“Disassoc-Flood(解除关联请求泛洪攻击)”、“ProbeReq-Flood(探查请求泛洪攻击)”、“Action-Flood(802.11 Action帧泛洪攻击)”、“Auth-Flood(认证请求泛洪攻击)”、“Deauth-Flood(解除认证请求泛洪攻击)”和“NullData-Flood(802.11 Null数据帧泛洪攻击)”。

 

2. 配置静态黑名单

在界面左侧的导航栏中选择“安全> 黑白名单”,选择“黑名单”页签,进入如图1-5所示的页面。选择“静态”页签,单击<新建静态表项>按钮,进入如图1-6所示的页面。

图1-6 静态黑名单的详细配置

 

静态黑名单的详细配置如表1-3所示。

表1-3 静态黑名单的详细配置

配置项

说明

MAC地址

添加指定的MAC地址到静态黑名单

选择当前连接客户端

从当前连接的客户端中,通过选择指定MAC地址的客户端方式把某些客户端加入到静态黑名单

 

3. 配置白名单

在界面左侧的导航栏中选择“安全> 黑白名单”,选择“白名单”页签,单击<新建>按钮,进入如图1-7所示的页面。

图1-7 白名单的详细配置

 

白名单的详细配置如表1-4所示。

表1-4 白名单的详细配置

配置项

说明

MAC地址

添加指定的MAC地址到白名单

选择当前连接客户端

从当前连接的客户端中,通过选择指定MAC地址的客户端方式把某些客户端加入到白名单

 

1.4  配置用户隔离

在界面左侧的导航栏中选择“安全> 用户隔离”,进入如图1-8所示的页面。

图1-8 配置用户隔离

 

用户隔离的详细配置如表1-5所示。

表1-5 用户隔离详细配置

配置项

说明

无线用户隔离

l      开启:启用无线用户二层隔离功能,使能用户隔离后无线用户之间不能互通

l      关闭:关闭无线用户二层隔离功能

缺省情况下,无线用户二层隔离功能处于启用状态

 


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!