• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

WLAN 配置指导

目录

06-WLAN IDS配置

本章节下载 06-WLAN IDS配置  (197.21 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/WA1208E/Configure/Operation_Manual/H3C_WA_CG-6W101/02/201009/691363_30005_0.htm

06-WLAN IDS配置


l          不同型号产品的特性功能支持情况略有不同,详细请参见“特性差异化列表”部分的介绍。

l          设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。

l          设备支持的射频类型取决于设备的型号,使用中请以设备实际情况为准。

l          本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。

 

1 WLAN IDS配置

1.1  WLAN IDS功能简介

802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rouge设备对于企业网络安全来说是一个很严重的威胁。WIDS(Wireless Intrusion Detection System)用于放置到已有的无线网络中,它可以对网络外恶意的攻击和入侵无线网络进行早期检测。WIPS(Wireless Intrusion Prevention System)可以保护企业网络和用户不被无线网络上未经授权的设备访问。

1.1.1  检测IDS攻击

主要为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的IDS攻击检测主要包括802.11报文泛洪攻击检测、AP Spoof检测以及Weak IV检测。

1. 泛洪攻击检测

泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。

IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。

IDS支持下列报文的泛洪攻击检测。

l              认证请求/解除认证请求Authentication / De-authentication

l              关联请求/解除关联请求/重新关联请求Association / Disassociation / Reassociation

l              探查请求Probe request

l              空数据帧;

l              Action帧;

当一个AP支持超过一个BSSID时,无线终端会发送探查请求报文到每个单独的BSSID。所以在报文为探查请求报文的情况下,需要考虑源端和目的地的共同流量,而对于其它类型的报文,只需要考虑源端的流量即可。

2. Weak IV攻击检测

WLAN在使用WEP链路加密的时候,对于每一个报文都会使用初始化向量(IV,Initialization Vector),它是基于共享密钥和一个伪随机生成的3比特序列。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。

但是在验证发送的某些类型的IV的时候,可能对于潜在的攻击者会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。

WIDS IPS通过识别每个WEP报文的IV来预防这种攻击,当一个有弱初始化向量的报文被检测到时,这个检测将立刻被记录到日志中。

3. Spoofing攻击检测

这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。例如:一个欺骗的解除认证的报文会导致无线客户端下线。

WIDS IPS对于广播解除认证和广播解除关联报文检测是否有欺骗攻击。当接受到这种报文时将立刻被定义为欺骗攻击并被记录到日志中。

1.2  配置检测IDS攻击

1.2.1  配置检测IDS攻击

表1-1 配置IDS攻击检测

配置

命令

说明

进入系统视图

system-view

-

进入IDS视图

wlan ids

-

配置IDS攻击检测

attack-detection enable { all | flood | weak-iv | spoof }

必选

缺省情况下,攻击检测功能处于关闭状态

 

1.2.2  IDS攻击检测显示和维护

在任意视图下执行display命令可以显示WLAN IDS的运行情况。

在用户视图下执行reset命令可以清除WLAN IDS统计信息。

表1-2 WLAN IDS的显示和维护

配置

命令

显示WLAN系统的攻击检测历史信息

display wlan ids history

显示检测到的攻击数

display wlan ids statistics

清除WLAN系统攻击检测的历史信息

reset wlan ids history

清除WLAN系统攻击检测的统计信息

reset wlan ids statistics

 

1.3  WIDS-Frame Filtering简介

帧过滤是802.11MAC和WIDS(Wireless Intrusion Detection System,无线入侵检测系统)子特性的一个小特性。

FAT AP包括白名单列表(列表中的当前表项是被许可,并可以通过命令行配置的),静态黑名单列表(列表中的当前表项是不被许可,但可以通过命令行配置的)和动态黑名单列表(列表中的当前表项是不被许可,并只有在无线入侵检测系统检测到泛洪攻击时才被添加)。

过滤行为实体维持了AP上的MAC地址,并且过滤行为只有在输入的MAC地址匹配的情况下才执行。

1.3.1  Frame Filtering简介

1. 黑白名单列表

WLAN网络环境中,可以通过黑白名单功能设定一定的规则过虑无线客户端,实现对无线客户端的接入控制。

黑白名单维护三种类型的列表。

l              白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入。

l              静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址,该列表需要手工配置。

l              动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护。

2. 黑白名单的处理过程

黑白名单按照以下步骤对接收到的802.11报文进行过滤,只有满足条件的报文允许通过,其他的所有的报文都会被丢弃。

(1)        当AP接收到一个802.11帧时,将针对该802.11帧的源MAC进行过滤;

(2)        如果设置了白名单列表,但接收帧的源MAC不在白名单列表内,该帧将被丢弃;

(3)        如果源MAC在白名单内,该帧将被作为合法帧进一步处理;

(4)        如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表。如果源MAC在静态或动态黑名单列表内,该帧将被丢弃;

(5)        如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理。

图1-1 Frame-Filtering组网

 

在FAT AP组网图中,假设Client 1的MAC地址存在于黑名单列表中,则Client 1不能与FAT AP关联。当Client 1的MAC地址仅存在于FAT AP的白名单列表中时,它可以接入无线网络。

1.4  配置WIDS-Frame Filtering

WIDS-Frame Filtering配置包括白名单列表、静态黑名单列表和动态黑名单列表。

各种名单列表的特性如下:

l              切换到IDS视图下可以配置静态黑名单列表、白名单列表、使能动态黑名单列表功能以及动态黑名单中的对应列表的生存时间。

l              只有当表项存在于白名单列表中时,对应的客户端才能通过帧过滤。用户可以通过命令行添加或删除表项。

l              当输入表项存在于黑名单列表中时将被拒绝通过,当WIDS检测到泛洪攻击时,该表项将被动态添加到动态黑名单列表中。对于存在于动态黑名单中的表项,用户可以通过命令行设置生存时间。在该时间超时后,该设备接口将被从动态列表中删除。

1.4.1  配置静态列表

表1-3 配置静态列表

操作

命令

说明

进入系统视图

system-view

-

进入ids视图

wlan ids

-

配置白名单列表

whitelist mac-address mac-address

可选

配置静态黑名单列表

static-blacklist mac-address mac-address

可选

 

1.4.2  配置动态黑名单

表1-4 配置动态黑名单

操作

命令

说明

进入系统视图

system-view

-

进入ids视图

wlan ids

-

使能动态黑名单列表功能

dynamic-blacklist enable

可选

缺省情况下,不使能动态黑名单列表功能

设置动态黑名单中的对应列表的生存时间

dyamic-blacklist lifetime lifetime

可选

缺省情况下,生存时间为300秒

 

1.4.3  WIDS-Frame Filtering显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后WIDS-Frame Filtering的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令清除WIDS-Frame Filtering的相关信息。

表1-5 WIDS-Frame Filtering显示和维护

操作

命令

显示黑名单列表

display wlan blacklist { static | dynamic }

显示白名单列表

display wlan whitelist

清除动态黑名单列表选项

reset wlan dynamic-blacklist { mac-address mac-address | all }

 

1.4.4  WIDS–Frame Filtering配置举例

1. 组网需求

客户端通过FAT AP接入无线网络。其中Client 1(0000-000f-1211) 为已知非法客户端,为了保证无线网络的安全性,网络管理员需要将其的MAC地址加入到设备的黑名单列表中,使其无法接入网络。

2. 组网图

图1-2 帧过虑配置组网图

 

3. 配置步骤

# 将Client 1的MAC地址0000-000f-1211添加到静态黑名单列表。

<AP> system-view

[AP] wlan ids

[AP-wlan-ids] static-blacklist mac-address 0000-000f-1211

完成配置后,非法客户端Client 1(0000-000f-1211)无法接入AP,其它客户端正常接入网络。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们