05-WLAN IDS配置
本章节下载: 05-WLAN IDS配置 (244.00 KB)
目 录
802.11网络很容易受到各种网络威胁的影响。WIDS(Wireless Intrusion Detection System,无线入侵检测系统)用于对有恶意的用户攻击和入侵无线网络进行早期检测。
为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的入侵检测主要包括泛洪攻击检测、Spoof检测以及Weak IV检测。
泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理合法无线客户端的报文。
攻击检测通过持续地监控每台无线客户端的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该无线客户端将被认定在实施泛洪攻击。如果在WLAN设备上开启动态黑名单功能,此时被检测到的攻击设备将被加入黑名单,在后续一段时间内将被禁止接入WLAN网络。
入侵检测支持对下列报文的泛洪攻击检测:
· 认证请求/解除认证请求(Authentication / De-authentication)
· 关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation)
· 探查请求(Probe Request)
· 802.11 Null数据帧
· 802.11 Action帧
Spoofing攻击是指潜在的攻击者会仿冒其他设备的名义发送攻击报文,以达到破坏无线网络正常工作的目的。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证报文就可能导致客户端下线,同样如果攻击者仿冒客户端的名义给AP发送解除认证报文也会影响无线网络的正常工作。
目前,Spoofing攻击检测支持对仿冒AP名义发送的广播解除认证和广播解除关联报文进行检测。当接收到这两种报文时,设备会将其定义为Spoofing攻击并被记录到日志中。
使用WEP加密的时候,WLAN设备对于每一个报文都会使用IV(Initialization Vector,初始化向量),IV和Key一起作为输入来生成Key Stream,使相同密钥产生不同加密效果。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。如果WLAN设备使用不安全的方法生成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。
检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有Weak IV的报文被检测到时,这个检测将立刻被记录到日志中。
在WLAN网络环境中,可以通过黑白名单功能设定一定的规则过滤无线客户端,实现对无线客户端的接入控制。
黑白名单维护三种类型的列表。
· 白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入。
· 静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址。
· 动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护。
黑白名单按照以下步骤对接收到的802.11报文进行过滤,只有满足条件的报文允许通过,其他的所有的报文都会被丢弃。
(1) 当AP接收到一个802.11帧时,将针对该802.11帧的源MAC进行过滤;
(2) 如果设置了白名单列表,但接收帧的源MAC不在白名单列表内,该帧将被丢弃;
(3) 如果源MAC在白名单内,该帧将被作为合法帧进一步处理;
(4) 如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表。如果源MAC在静态或动态黑名单列表内,该帧将被丢弃;
(5) 如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理。
图1-1 无线用户接入控制组网图
假设Client 1的MAC地址存在于黑名单列表中,则Client 1不能与FAT AP发生关联。当Client 1的MAC地址存在于白名单列表中时,它可以接入无线网络。
配置任务 |
说明 |
详细配置 |
|
配置AP的工作模式 |
可选 |
||
配置IDS攻击检测 |
配置IDS攻击检测 |
可选 |
|
IDS攻击检测显示和维护 |
|||
配置黑白名单 |
可选 |
WLAN网络由跨越建筑物提供不同WLAN服务的AP组成,由于rogue设备的存在,管理员需要其中的一些AP监视WLAN。AP可以工作在Normal、Monitor或Hybrid三种模式之一。
· 标准(Normal)模式:AP仅传输WLAN用户的数据,不进行任何监测。
· 监控(Monitor)模式:在这种模式下,AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP。当AP工作在Monitor模式时,该AP提供的所有WLAN服务都将关闭。Monitor模式的AP,监听所有802.11帧。
· 混合(Hybrid)模式:在这种模式下,AP可以在监测无线环境的同时可以提供无线服务。
表1-2 配置AP的工作模式
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AP工作在Monitor模式 |
wlan work-mode monitor |
两者选择其一 缺省情况下,AP工作在Normal模式,仅提供WLAN服务 需要注意的是: · 当AP从Normal模式切换到Monitor模式时,AP不会重启 · 当AP从Monitor模式切换到其他模式时,AP会重启 · 当AP从Hybrid模式切换成Monitor模式时,需要首先执行undo wlan device-detection enable 命令 |
配置AP工作在Hybrid模式 |
wlan device-detection enable |
· 如果AP工作模式为Hybrid模式,需要配置服务模板,AP可以在监测无线环境的同时可以提供无线服务。
· 如果AP工作模式为Monitor模式,那么AP不需要提供无线服务,不需要配置服务模板。
表1-3 配置IDS攻击检测
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入IDS视图 |
wlan ids |
- |
配置IDS攻击检测 |
attack-detection enable { all | flood | spoof | weak-iv } |
必选 缺省情况下,攻击检测功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示IDS攻击检测配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IDS攻击检测统计信息。
表1-4 IDS攻击检测显示和维护
配置 |
命令 |
显示WLAN系统的攻击检测历史信息 |
display wlan ids history [ | { begin | exclude | include } regular-expression ] |
显示检测到的攻击数 |
display wlan ids statistics [ | { begin | exclude | include } regular-expression ] |
清除WLAN系统攻击检测的历史信息 |
reset wlan ids history |
清除WLAN系统攻击检测的统计信息 |
reset wlan ids statistics |
各种名单列表的特性如下:
· 切换到IDS视图下可以配置静态黑名单列表、白名单列表、使能动态黑名单列表功能以及动态黑名单中的对应列表的生存时间。
· 只有当表项存在于白名单列表中时,对应的客户端才能通过帧过滤。用户可以通过命令行添加或删除表项。
· 当输入表项存在于黑名单列表中时将被拒绝通过,当WIDS检测到泛洪攻击时,该表项将被动态添加到动态黑名单列表中。对于存在于动态黑名单中的表项,用户可以通过命令行设置生存时间。在该时间超时后,该设备接口将被从动态列表中删除。
表1-5 配置静态列表
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入ids视图 |
wlan ids |
- |
配置白名单列表 |
whitelist mac-address mac-address |
可选 缺省情况下,不存在静态白名单 |
配置静态黑名单列表 |
static-blacklist mac-address mac-address |
可选 缺省情况下,不存在静态黑名单 |
表1-6 配置动态黑名单
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入ids视图 |
wlan ids |
- |
使能动态黑名单列表功能 |
dynamic-blacklist enable |
可选 缺省情况下,动态黑名单功能处于关闭状态 |
设置动态黑名单中的对应列表的生存时间 |
dynamic-blacklist lifetime lifetime |
可选 缺省情况下,生存时间为300秒 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后黑白名单的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除黑白名单的相关信息。
表1-7 黑白名单显示和维护
命令 |
|
显示黑名单列表 |
display wlan blacklist { static | dynamic } [ | { begin | exclude | include } regular-expression ] |
显示白名单列表 |
display wlan whitelist [ | { begin | exclude | include } regular-expression ] |
清除动态黑名单列表选项 |
reset wlan dynamic-blacklist { mac-address mac-address | all } |
FAT AP通过二层交换机接入网络。
· Client 1(MAC地址为000f-e215-1515)、Client 2(MAC地址为000f-e215-1530)、Client 3(MAC地址为000f-e213-1235)连接到无线网络中,享受FAT AP提供的WLAN服务。
· 通过配置FAT AP的工作模式为Hybrid模式达到其在提供WLAN服务的同时,检测网络中非法客户端的目的。
图1-2 WIDS配置组网图
# 创建WLAN BSS接口。
<AP> system-view
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] quit
# 配置WLAN服务模板为clear模式,配置SSID为service,不配置认证方式。
[AP] wlan service-template 1 clear
[AP-wlan-st-1] ssid service
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
[AP-wlan-st-1] quit
# 在WLAN-Radio 1/0/1上绑定无线服务模板1和WLAN-BSS 1
[AP] interface WLAN-Radio 1/0/1
[AP-WLAN-Radio1/0/1] service-template 1 interface WLAN-BSS 1
[AP-WLAN-Radio1/0/1] quit
# 配置AP工作为Hybrid模式,使其提供无线服务的同时对非法设备进行检测。
[AP] wlan device-detection enable
客户端通过FAT AP接入无线网络。其中Client 1(0000-000f-1211)为已知非法客户端,为了保证无线网络的安全性,网络管理员需要将其的MAC地址加入到设备的黑名单列表中,使其无法接入网络。
图1-3 黑名单配置组网图
# 将Client 1的MAC地址0000-000f-1211添加到静态黑名单列表。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] static-blacklist mac-address 0000-000f-1211
完成配置后,非法客户端Client 1(0000-000f-1211)无法接入AP,其它客户端正常接入网络。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!