选择区域语言: EN CN HK

H3C WX系列无线控制产品 Web网管配置指导-6W106

12-安全

本章节下载  (763.47 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Configure/User_Manual/H3C_WX_WEB_UM-6W106/201011/699392_30005_0.htm

12-安全


l          本手册的页面显示信息以WX5004设备为例,实际使用中请以设备实际显示的WEB页面为准。

l          页面上显示为灰色的功能或参数,表示设备不支持或在当前配置下不可修改。

 

1 安全配置

1.1  安全简介

802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rogue设备对于企业网络安全来说是一个很严重的威胁。WIDS(Wireless Detection Prevention System)可以对有恶意的用户攻击和入侵行为进行早期检测,保护企业网络和用户不被无线网络上未经授权的设备访问。WIDS可以在不影响网络性能的情况下对无线网络进行监测,从而提供对各种攻击的实时防范。

安全提供了如下功能:

l              非法设备监测

l              入侵检测

l              黑白名单

1.1.1  常用术语

l              Rogue AP:网络中未经授权或者有恶意的AP,它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在漏洞的话,黑客就有机会危害你的网络安全。

l              Rogue Client:非法客户端,网络中未经授权或者有恶意的客户端,类似于Rogue AP。

l              Rogue Wireless Bridge:非法无线网桥,网络中未经授权或者有恶意的网桥。

l              Monitor AP:这种AP在无线网络中通过扫描或监听无线介质,检测无线网络中的Rogue设备。

l              Ad-hoc mode:把无线客户端的工作模式设置为Ad-hoc模式,Ad-hoc终端可以不需要任何设备支持而直接进行通讯。

1.1.2  非法设备监测

1. 对非法设备进行检测

Rogue设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络中制定非法设备检测规则,可以对整个WLAN网络中的异常设备进行监视。

Rogue设备检测可以检测WLAN网络中的多种设备,例如Rogue AP,Rogue client,无线网桥,Ad-hoc终端等等。

根据实际的无线环境,可以通过设定不同的模式来对Rogue设备进行检测。

l              Monitor模式:在这种模式下,AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP。当AP工作在Monitor模式时,该AP提供的所有WLAN服务都将关闭。如图1-1中,AP 1做接入AP,AP 2做为Monitor AP,监听所有802.11帧,检测无线网络中的非法设备,但不能提供无线接入服务。

图1-1 对Rogue设备进行检测(Monitor模式)

 

l              Hybrid模式:在这种模式下,AP可以在监测无线环境中设备的同时传输WLAN数据。

图1-2 对Rogue设备进行检测(Hybrid模式)

 

2. 对非法设备进行防攻击

在检测到Rogue设备后,根据选用不同的反制模式,Monitor AP从AC下载攻击列表,并对指定的Rogue设备进行攻击防范。对于不同的非法设备,开启反制功能后的效果如下:

l              如果Rogue设备为Rogue Client,则该Rogue Client会被强行下线;

l              如果Rogue设备为Rogue AP,那么合法客户端不会接入Rogue AP;

l              如果Rogue设备为Ad-hoc,那么Ad-Hoc客户端之间不能正常通信。

图1-3 对Rogue设备进行防攻击

 

3. 设备支持情况

Rogue AP检测特性支持下列功能:

l              不同信道RF监视

l              Rogue AP检测

l              Rogue客户端检测

l              Adhoc网络检测

l              无线网桥检测

l              对Rogue AP、Rogue Client和adhoc网络采取反制措施

目前,仅支持对单一无线控制设备管理的网络进行Rogue设备检测。

Rogue设备检测特性暂不支持下列功能:

l              Interfering AP(其他企业的AP)检测

l              无线端追踪物理位置

l              无线端追踪和阻塞有线端口

l              针对Rogue AP的DoS攻击

l              对无线网桥模式采取反制模式

1.1.3  入侵检测

为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的入侵检测主要包括泛洪攻击检测、Spoof检测以及Weak IV检测。

1. 泛洪攻击检测

泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。

IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果开启了动态黑名单功能,检查到的攻击设备将被加入动态黑名单。

IDS支持下列报文的泛洪攻击检测。

l              认证请求/解除认证请求(Authentication / De-authentication);

l              关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);

l              探查请求(Probe request);

l              空数据帧;

l              Action帧;

2. Spoofing攻击检测

这种攻击的潜在攻击者将以其他设备的名义发送攻击报文。例如:一个欺骗的解除认证的报文会导致无线客户端下线。Spoofing攻击检测也支持对广播解除认证和广播解除关联报文进行检测。当接收到这种报文时将立刻被定义为欺骗攻击并被记录到日志中。

3. Weak IV攻击检测

在使用WEP加密的时候,对于每一个报文都会使用初始化向量(IV,Initialization Vector),IV和Key一起作为输入来生成Key Stream,使相同密钥产生不同加密结果。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。如果客户端使用不安全的方法生成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。

检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有弱初始化向量的报文被检测到时,这个检测将立刻被记录到日志中。

1.1.4  黑白名单

WLAN环境中,可以通过指定的规则过滤是否允许指定无线客户端的报文通过,实现了对无线终端用户的接入控制。

无线用户接入控制通过维护三种类型的列表实现接入控制。

l              白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线用户可以接入到WLAN网络中,其他的无线用户的所有报文将被AP直接丢弃。

l              静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址。

l              动态黑名单列表:当WLAN检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,禁止接收任何来自于该设备的报文,实现WLAN网络的安全保护。

图1-4 无线用户接入控制组网

 

图1-4所示有三个AP连接到AC。在AC上配置白名单列表和黑名单列表,白名单列表和黑名单列表将被发送到所有与之相连的无线接入点上(AP1、AP2和AP3)。假设Client 1的MAC地址存在于黑名单列表中,则Client 1不能与任何一个AP发生关联。当只有Client 1的MAC地址存在于白名单列表中时,该客户端可以和任何一个AP发生关联,其他的客户端不能与任何一个AP发生关联。

1.2  配置非法设备监测

非法设备监测配置的推荐步骤如表1-1所示。

表1-1 非法设备监测配置步骤

步骤

配置任务

说明

1

1.2.1  配置工作模式

必选

配置AP工作模式

缺省情况下,AP为普通模式,只提供WLAN服务

2

1.2.3  配置规则列表

必选

配置检测规则列表

3

1.2.4  对检测到的非法设备进行防攻击

可选

配置对检测到的非法设备进行防攻击

 

1.2.1  配置工作模式

在界面左侧的导航栏中选择“安全> 非法设备监测”,选择“AP监控”页签,进入如图1-5所示“AP监控”配置页面。

图1-5 AP监控

 

在列表中找到要进行配置的AP,单击对应的图标,进入如图1-6所示AP工作模式的配置页面。

图1-6 AP工作模式

 

AP工作模式的详细配置如表1-2所示。

表1-2 AP工作模式的详细配置

配置项

说明

工作模式

设置AP工作模式:

l      普通模式:AP仅传输WLAN用户的数据,不进行任何监测

l      监控模式:在这种模式下,AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP。当AP工作在监控模式时,该AP提供的所有WLAN服务都将关闭。处于监控模式的AP,监听所有802.11帧

l      混合模式:在这种模式下,AP可以在做监测AP的同时也可以传输WLAN数据

l      当AP从普通模式切换到监控模式时,AP不会重启

l      当AP从监控模式切换到普通模式时,AP会重启

 

l          如果AP工作模式为“混合”,需要对无线服务进行配置,这样AP在监测的同时可以提供无线服务。

l          如果AP工作模式为“监控”,那么AP不需要提供无线服务,不必配置无线服务。

 

1.2.2  规则列表匹配顺序

规则列表就是制定非法设备识别策略。设备会根据设置的非法设备策略进行匹配,最终确定哪些设备为非法设备。

l              判断AP是否为非法设备:

图1-7 判断AP是否为非法设备的流程图

 

l              判断Client是否为非法设备:

图1-8 判断Client是否为非法设备的流程图

 

l              判断Adhoc网络或无线网桥是否为非法设备:

图1-9 判断Adhoc网络或无线网桥是否为非法设备的流程图

 

1.2.3  配置规则列表

在界面左侧的导航栏中选择“安全> 非法设备监测”,选择“规则列表”页签,进入如图1-10所示规则列表的配置页面。

图1-10 规则列表

 

规则列表的详细配置如表1-3所示。

表1-3 规则列表的详细配置

配置项

说明

列表类型

设置列表类型:

l      MAC列表:添加允许的MAC地址

l      无线服务列表:添加允许的SSID

l      厂商列表:选择允许的厂商

l      攻击列表:添加某个设备的MAC地址到攻击列表中,将该设备配置为非法设备

 

在列表中选择MAC列表类型,单击<添加>按钮,进入如图1-11所示MAC地址列表配置页面。

图1-11 MAC地址列表配置页面

 

MAC地址列表的详细配置如表1-4所示。

表1-4 MAC地址列表的详细配置

配置项

说明

MAC地址列表

手动输入允许的MAC地址列表

选择现有设备列表

选中“选择现有设备列表”,选择表中的MAC地址作为允许通过的MAC地址列表

 

其他类型列表的操作过程和添加MAC列表类似,此处不再重复。

1.2.4  对检测到的非法设备进行防攻击

在界面左侧的导航栏中选择“安全> 非法设备监测”,选择“AP监控”页签,单击“通用设置”按钮,进入如图1-12所示配置页面。

图1-12 配置反制模式

 

反制模式的详细配置如表1-5所示。

表1-5 反制模式的详细配置

配置项

说明

反制模式

l      非法设备:对非法设备(包括非法AP和非法客户端)进行反制

l      非法adhoc设备:对非法adhoc设备进行反制

l      静态非法设备:对静态配置的非法设备进行反制(这里的静态配置是指在规则列表中设置的静态非法设备)

设备超时时间

入侵列表中表项的老化时间

如果非法设备在老化时间内没有再被检测到,那么该选项将被从监控记录列表中删除。如果被删除的是非法设备,该记录将被添加到rogue的历史列表中去。

 

1.2.5  查看监控记录

在界面左侧的导航栏中选择“安全> 非法设备监测”,选择“监控记录”页签,进入如图1-13所示查看监控记录页面。

图1-13 查看监控记录

 

监控记录字段说明如表1-6所示。

表1-6 监控记录字段说明

配置项

说明

类型

检测到的设备类型,各字母含义如下:

l      r 表示rogue

l      p 表示permit

l      a表示adhoc

l      w表示ap

l      b表示wireless-bridge,

l      c表示client

l      比如:pw表示允许的ap;rb表示非法网桥

 

设备默认把所有检测到的Adhoc和无线网桥设定为非法设备。

 

1.2.6  查看历史记录

在界面左侧的导航栏中选择“安全> 非法设备监测”,选择“历史记录”页签,进入如图1-14所示查看历史记录页面。

图1-14 查看历史记录

 

1.3  配置入侵检测

1.3.1  入侵检测设置

在界面左侧的导航栏中选择“安全> 入侵检测”,选择“入侵检测设置”页签,进入如图1-15所示的页面。

图1-15 入侵检测设置

 

入侵检测设置的详细配置如表1-7所示。

表1-7 入侵检测设置的详细配置

配置项

说明

泛洪攻击检测

选中该复选框,则表示启动泛洪攻击检测

缺省情况下,泛洪攻击检测处于关闭状态

Spoofing攻击检测

选中该复选框,则表示启动Spoofing攻击检测

缺省情况下,Spoofing检测处于关闭状态

Weak IV攻击检测

选中该复选框,则表示Weak IV攻击检测

缺省情况下,Weak IV攻击检测处于关闭状态

 

1.3.2  查看历史记录

在界面左侧的导航栏中选择“安全> 入侵监测”,选择“历史记录”页签,进入如图1-16所示的页面。

图1-16 查看历史记录

 

1.3.3  查看统计信息

在界面左侧的导航栏中选择“安全> 入侵检测”,选择“统计信息”页签,进入如图1-17所示的页面。

图1-17 统计信息各字段说明

 

统计信息各字段说明如表1-8所示。

表1-8 统计信息各字段说明

字段

说明

Action Frame Flood Attack

执行帧的泛洪攻击检测数

Association Request Frame Flood Attack

关联请求帧的泛洪攻击检测数

Authentication Request Frame Flood Attack

认证请求帧的泛洪攻击检测数

Deauthentication Frame Flood Attack

解除认证请求帧的泛洪攻击检测数

Disassociation Request Frame Flood Attack

解除关联请求帧的泛洪攻击检测数

Null Data Frame Flood Attack

空数据帧的泛洪攻击检测数

Probe Request Frame Flood Attack

探查请求帧的泛洪攻击检测数

Reassociation Request Frame Flood Attack

重关联请求帧的泛洪攻击检测数

Spoofed Disassociation Frame Attack

欺骗解除关联帧的攻击检测数

Spoofed Deauthentication Frame Attack

欺骗解除认证帧的攻击检测数

Weak IVs Detected

弱IV检测数

 

1.4  配置黑白名单

1. 配置动态黑名单

在界面左侧的导航栏中选择“安全> 黑白名单”,选择“黑名单”页签,进入如图1-18所示的页面。

图1-18 动态黑名单的详细配置

 

动态黑名单的详细配置如表1-9所示。

表1-9 动态黑名单的详细配置

配置项

说明

动态黑名单功能

l      开启:开启动态黑名单列表功能

l      关闭:关闭动态黑名单列表功能

在开启动态黑名单前,需要在“入侵检测设置”页面,选中“泛洪攻击检测”前的复选框

生存时间

设置动态黑名单中的对应列表的生存时间

 

2. 配置静态黑名单

在界面左侧的导航栏中选择“安全> 黑白名单”,选择“黑名单”页签,进入如图1-18所示的页面。选择“静态”页签,单击<添加静态表项>按钮,进入如图1-19所示的页面。

图1-19 静态黑名单的详细配置

 

静态黑名单的详细配置如表1-10所示。

表1-10 静态黑名单的详细配置

配置项

说明

MAC地址

添加指定的MAC地址到静态黑名单

选择当前连接客户端

从当前连接的客户端中,通过指定客户端MAC地址的方式把某些客户端加入到静态黑名单

 

3. 配置白名单

在界面左侧的导航栏中选择“安全> 黑白名单”,选择“白名单”页签,单击<添加>按钮,进入如图1-20所示的页面。

图1-20 白名单的详细配置

 

白名单的详细配置如表1-11所示。

表1-11 白名单的详细配置

配置项

说明

MAC地址

添加指定的MAC地址到白名单

选择当前连接客户端

从当前连接的客户端中,通过指客户端定MAC地址的方式把某些客户端加入到白名单

 

1.5  无线安全配置举例

1.5.1  非法设备监测配置举例

1. 组网需求

AC连接到一个交换机,监控AP 2、提供无线服务的AP 1通过二层交换机和AC相连。

l              AP 1为普通模式,只提供WLAN服务。

l              AP 2的工作模式为监控模式,对非法设备进行检测。

l              Client 1(MAC地址为000f-e215-1515)、Client 2(MAC地址为000f-e215-1530)、Client 3(MAC地址为000f-e213-1235)连接到无线网络中,享受AP 1提供的WLAN服务。

l              Client 4(MAC地址为000f-e220-405e)为非法客户端(Rogue Client),并对其进行攻击。

图1-21 非法设备监测组网图

 

2. 配置步骤

(1)        配置AP 1为普通模式

AP 1为普通模式,只提供WLAN接入服务。相关配置请参见“无线服务”,可以完全参照相关举例完成配置。

(2)        配置AP 2为监控模式

# 创建AP。

在导航栏中选择“AP > AP设置”,单击<新建>按钮,进入如图1-22所示AP新建页面。

图1-22 创建AP

 

l              设置AP名称为“wa2200”。

l              选择型号为“WA2200X-AG”。

l              选择序列号方式为“手动”,并输入AP的序列号。

l              单击<确定>按钮完成操作。

# 设置AP为监控模式

在界面左侧的导航栏中选择“安全> 非法设备监测”,选择“AP监控”页签,在列表中找到要进行配置的AP,单击对应的图标,进入如图1-23所示AP工作模式的配置页面。

图1-23 使设置AP为监控模式

 

l              选择工作模式为“监控”。

l              单击<确定>按钮完成操作。

# 开启802.11g射频

在导航栏中选择“射频 > 射频设置”,进入图1-24所示绑定AP的射频页面。

图1-24 开启802.11g射频

 

l              在列表里找到需要开启的AP名称及相应的射频模式,选中“wa2200 802.11g”前的复选框。

l              单击<开启>按钮完成操作。

(3)        配置规则

在界面左侧的导航栏中选择“安全> 非法设备监测”,选择“规则列表”页签,单击<添加>按钮。

l              在MAC地址表项里依次输入为000f-e215-1515,000f-e215-1530和000f-e213-1235。

l              在列表类型下拉框中选择“攻击列表”,输入为000f-e220-405e。

l              单击<确定>按钮完成操作。

(4)        对静态配置的非法设备进行反制

在界面左侧的导航栏中选择“安全> 非法设备监测”,选择“AP监控”页签,单击“通用设置”按钮,进入如图1-25所示配置页面。

图1-25 设置反制模式

 

l              选中“静态非法设备”复选框。

l              单击<确定>按钮完成操作。

3. 配置注意事项

l              在修改AP工作模式之前,Radio应该处于关闭状态,否则不能修改AP工作模式。

l              如果需要设置多条检测规则,请明确非法设备的类型(AP,客户端,网桥或是adhoc)及规则匹配顺序,具体可以参见“1.2.2  规则列表匹配顺序”。

l              如果AP工作模式为“监控”,就不需要配置“无线服务”;如果AP工作模式为“混合”,需要配置“无线服务”。

 


2 授权IP

2.1  概述

授权IP功能是指通过将HTTP服务或Telnet服务与ACL关联,对客户端发出的请求进行过滤,只允许通过ACL过滤的客户端访问设备。

2.2  配置授权IP

在配置授权IP前需先创建并配置ACL,详细内容请参见“QoS”。

在界面左侧的导航栏中选择“安全 > 授权IP”,单击“设置”页签,进入如图2-1所示的页面。

图2-1 授权IP设置

 

授权IP的详细配置如表2-1所示。

表2-1 授权IP的详细配置

配置项

说明

Telnet

IPv4 ACL

设置Telnet服务与IPv4 ACL关联

在下拉框中进行选择,可选的IPv4 ACL可在“QoS > ACL IPv4”中配置

IPv6 ACL

设置Telnet服务与IPv6 ACL关联

在下拉框中进行选择,可选的IPv6 ACL可在“QoS > ACL IPv6”中配置

Web(HTTP)

IPv4 ACL

设置HTTP服务与IPv4 ACL关联

在下拉框中进行选择,可选的IPv4 ACL可在“QoS > ACL IPv4”中配置

 


3 用户隔离

3.1  用户隔离简介

采用用户隔离前,处于同一VLAN的用户是能够互访的,这可能带来安全性问题,采用无线用户隔离,可以解决此问题。开启用户隔离后,在同一个VLAN内,AC收到某一无线用户发往另一无线用户或有线用户的单播报文(任何VLAN广播报文或组播报文不隔离),或者AC收到有线用户发往同一VLAN的无线用户的单播报文,AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户。

为了使用户隔离不会影响用户与网关的互通,可以将网关地址加入用户隔离允许列表。

由此可见,用户隔离一方面为用户提供了网络服务;另一方面对用户进行隔离,使之不能互访,保证用户业务的安全性。

3.1.1  用户间互访

图3-1所示,AC上关闭用户隔离后,VLAN 2内的无线用户Client A、Client B和有线用户Host A可以在该VLAN内互访,同时也可以访问Internet。

图3-1 用户隔离示意图

 

3.1.2  用户间隔离

图3-1所示,在AC上开启用户隔离功能后,VLAN 2内的无线用户Client A、Client B和有线用户Host A通过同一个网关连接到Internet。

l              将网关的MAC地址添加到“可通过MAC”列表中,那么处于同一VLAN内的无线用户Client A、Client B和Host A被隔离,但是Client A、Client B和Host A都可以访问Internet。

l              将用户的MAC地址添加到“可通过MAC”列表中,如把Client A的MAC地址添加到“可通过MAC”列表中,那么Client A和Client B可以互通,Client A和Host A可以互通,但是Client B和Host A不能互通。

如果需要同时达到以上两项需求,需要将网关的MAC地址和用户的MAC地址同时添加到“可通过MAC”列表中。“可通过MAC”列表的设置请参见“3.2.1  用户隔离设置”。

3.2  配置用户隔离

3.2.1  用户隔离设置

在界面左侧的导航栏中选择“安全 > 用户隔离”,点击<添加>按钮,进入如图3-2所示的页面。

图3-2 用户隔离设置

 

用户隔离的详细配置如表3-1所示。

表3-1 用户隔离的详细配置

配置项

说明

VLAN ID

需要使能用户隔离的VLAN

可通过MAC

设置允许通过的MAC地址,请根据具体需求添加MAC地址,关于该选项的介绍可参见“3.1.2  用户间隔离”:

l      在右侧的空格中填入MAC地址;

l      点击<添加>按钮,将该MAC地址添加到可通过MAC地址列表中;

l      从可通过MAC地址列表中选中某个表项,点击<删除>按钮,可以将该表项删除

该MAC地址不允许为广播或组播地址

 

每个VLAN下最多可以配置16个可通过MAC。

 

3.2.2  查看用户隔离信息

在界面左侧的导航栏中选择“安全 > 用户隔离”,进入如图3-3所示的页面。

图3-3 显示用户隔离

 

3.3  用户隔离配置举例

1. 组网需求

网关Gateway的MAC地址为000f-e212-7788。要求通过配置实现用户隔离,要求VLAN 2中的用户Client A、Client B和Host A可以访问Internet,但是VLAN 2中的用户之间都不可以相互访问。

图3-4 用户隔离配置组网

 

2. 配置步骤

(1)        配置无线服务

相关配置请参见“无线服务”,可以完全参照相关举例完成配置。

(2)        配置用户隔离

在界面左侧的导航栏中选择“安全 > 用户隔离”,点击<添加>按钮,进入如图3-5所示的页面。

图3-5 配置用户隔离

 

l              在导航栏中选择“安全 > 用户隔离”,单击<添加>按钮。

l              输入VLAN ID为“2”。

l              将网关的MAC地址“000f-e212-7788”添加到可通过MAC地址列表。

l              单击<确定>按钮完成操作。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!