国家 / 地区

13-WLAN配置指导

05-WLAN IDS配置

本章节下载  (266.83 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG(V5)-R2516-V1.16/13/201807/1094185_30005_0.htm

05-WLAN IDS配置


1 WLAN IDS配置

·     本文所指的AP和FAT AP代表了MSR800、MSR 900、MSR900-E、MSR 930和MSR 20-1X无线款型,以及安装了SIC-WLAN模块的MSR系列路由器。

·     MSR 2600、MSR 30-11、MSR 30-11E、MSR 30-11F和MSR3600-51F路由器不支持WLAN 功能。

 

1.1  WLAN IDS功能简介

802.11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rogue设备对于企业网络安全来说是一个很严重的威胁。WIDS(Wireless Intrusion Detection System,无线入侵检测系统)用于对有恶意的用户攻击和入侵无线网络进行早期检测。WIPS(Wireless Intrusion Prevention System,无线入侵防御系统)可以保护企业网络和用户不被无线网络上未经授权的设备访问。Rogue设备检测功能是WIDS/WIPS功能的一部分,它用于检测WLAN网络中的Rogue设备,并对它们采取反制措施,以阻止其工作。

1.1.1  常用术语

·     WIDS:WIDS用于放置到已有的无线网络中,它可以对网络外恶意的攻击和入侵无线网络进行检测。

·     Rogue AP:网络中未经授权或者有恶意的AP,它可以是私自接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在漏洞的话,黑客就有机会危害你的网络安全。

·     Rogue Client:非法客户端,网络中未经授权或者有恶意的客户端,类似于rogue AP。

·     Rogue Wireless Bridge:非法无线网桥,网络中未经授权或者有恶意的网桥。

·     Monitor AP:网络中用于扫描或监听无线介质,并试图检测无线网络中的攻击。

·     Ad-hoc mode:把无线客户端的工作模式设置为Ad-hoc模式,Ad-hoc终端可以不需要任何设备支持而直接进行通讯。

·     Passive Scanning:在被动扫描模式下,monitor AP监听该信道下空气介质中所有的802.11帧。

·     Active Scanning:在监听802.11帧的同时,monitor AP发送广播探查请求并在该信道上等待所有的探查响应消息。每一个在monitor AP附近的AP都将回应探查请求,这样就可以通过处理探查响应帧来分辨friend AP和rogue AP。在发送探查请求时,Monitor AP是伪装成客户端的。

1.1.2  检测IDS攻击

为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者。目前设备支持的入侵检测主要包括泛洪攻击检测、Spoof检测以及Weak IV检测。

1. 泛洪攻击检测

泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理合法无线客户端的报文。

攻击检测通过持续地监控每台无线客户端的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该无线客户端将被认定在实施泛洪攻击。如果在WLAN设备上开启动态黑名单功能,此时被检测到的攻击设备将被加入黑名单,在后续一段时间内将被禁止接入WLAN网络。

入侵检测支持对下列报文的泛洪攻击检测:

·     认证请求/解除认证请求Authentication / De-authentication

·     关联请求/解除关联请求/重新关联请求Association / Disassociation / Reassociation

·     探查请求Probe Request

·     802.11 Null数据帧

·     802.11 Action帧

2. Spoofing攻击检测

Spoofing攻击是指潜在的攻击者会仿冒其他设备的名义发送攻击报文,以达到破坏无线网络正常工作的目的。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证报文就可能导致客户端下线,同样如果攻击者仿冒客户端的名义给AP发送解除认证报文也会影响无线网络的正常工作。

目前,Spoofing攻击检测支持对仿冒AP名义发送的广播解除认证和广播解除关联报文进行检测。当接收到这两种报文时,设备会将其定义为Spoofing攻击并被记录到日志中。

3. Weak IV攻击检测

使用WEP加密的时候,WLAN设备对于每一个报文都会使用IV(Initialization Vector,初始化向量),IV和Key一起作为输入来生成Key Stream,使相同密钥产生不同加密效果。当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送。如果WLAN设备使用不安全的方法生成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源。

检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有Weak IV的报文被检测到时,这个检测将立刻被记录到日志中。

1.1.3  黑白名单

1. 黑白名单列表

WLAN网络环境中,可以通过黑白名单功能设定一定的规则过滤无线客户端,实现对无线客户端的接入控制。

黑白名单维护三种类型的列表。

·     白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入。

·     静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址。

·     动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护。

2. 黑白名单的处理过程

黑白名单按照以下步骤对接收到的802.11报文进行过滤,只有满足条件的报文允许通过,其他的所有的报文都会被丢弃。

(1)     当AP接收到一个802.11帧时,将针对该802.11帧的源MAC进行过滤;

(2)     如果设置了白名单列表,但接收帧的源MAC不在白名单列表内,该帧将被丢弃;

(3)     如果源MAC在白名单内,该帧将被作为合法帧进一步处理;

(4)     如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表。如果源MAC在静态或动态黑名单列表内,该帧将被丢弃;

(5)     如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理。

3. 黑白名单的作用范围

图1-1 无线用户接入控制组网图

 

在FAT AP组网图中,假设Client 1的MAC地址存在于黑名单列表中,则Client 1不能与FAT AP发生关联。当Client 1的MAC地址存在于白名单列表中时,它可以接入无线网络。

1.2  WLAN IDS配置任务简介

表1-1 WLAN IDS配置任务简介

配置任务

说明

详细配置

配置AP的工作模式

可选

1.3 

配置IDS攻击检测

配置IDS攻击检测

可选

1.4 

IDS攻击检测显示和维护

配置黑白名单

可选

1.5 

 

1.3  配置AP的工作模式

WLAN网络由跨越建筑物提供不同WLAN服务的AP组成,由于rogue设备的存在,管理员需要其中的一些AP监视WLAN。AP可以工作在Normal、Monitor或Hybrid三种模式之一。

·     标准(Normal)模式:AP仅传输WLAN用户的数据,不进行任何监测。

·     监控(Monitor)模式:在这种模式下,AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP。当AP工作在Monitor模式时,该AP提供的所有WLAN服务都将关闭。Monitor模式的AP,监听所有802.11帧。

·     混合(Hybrid)模式:在这种模式下,AP可以在监测无线环境的同时可以提供无线服务。

表1-2 配置AP的工作模式

配置

命令

说明

进入系统视图

system-view

-

配置AP工作在Monitor模式

wlan work-mode monitor

两者选择其一

缺省情况下,AP工作在Normal模式,仅提供WLAN服务

需要注意的是:

·     当AP从Normal模式切换到Monitor模式时,AP不会重启

·     当AP从Monitor模式切换到Normal模式时,AP会重启

配置AP工作在Hybrid模式

wlan device-detection enable

 

说明

·     如果AP工作模式为Hybrid模式,需要配置服务模板,AP可以在监测无线环境的同时可以提供无线服务。

·     如果AP工作模式为Monitor模式,那么AP不需要提供无线服务,不需要配置服务模板。

 

1.4  配置检测IDS攻击

1.4.1  配置检测IDS攻击

表1-3 配置IDS攻击检测

配置

命令

说明

进入系统视图

system-view

-

进入IDS视图

wlan ids

-

配置IDS攻击检测

attack-detection enable { all | flood | spoof | weak-iv }

必选

缺省情况下,攻击检测功能处于关闭状态

 

1.4.2  IDS攻击检测显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示IDS攻击检测配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除IDS攻击检测统计信息。

表1-4 IDS攻击检测显示和维护

配置

命令

显示WLAN系统的攻击检测历史信息

display wlan ids history [ | { begin | exclude | include } regular-expression ]

显示检测到的攻击数

display wlan ids statistics [ | { begin | exclude | include } regular-expression ]

清除WLAN系统攻击检测的历史信息

reset wlan ids history

清除WLAN系统攻击检测的统计信息

reset wlan ids statistics

 

1.5  配置黑白名单

各种名单列表的特性如下:

·     切换到IDS视图下可以配置静态黑名单列表、白名单列表、使能动态黑名单列表功能以及动态黑名单中的对应列表的生存时间。

·     只有当表项存在于白名单列表中时,对应的客户端才能通过帧过滤。用户可以通过命令行添加或删除表项。

·     当输入表项存在于黑名单列表中时将被拒绝通过,当WIDS检测到泛洪攻击时,该表项将被动态添加到动态黑名单列表中。对于存在于动态黑名单中的表项,用户可以通过命令行设置生存时间。在该时间超时后,该设备接口将被从动态列表中删除。

1.5.1  配置静态列表

表1-5 配置静态列表

操作

命令

说明

进入系统视图

system-view

-

进入ids视图

wlan ids

-

配置白名单列表

whitelist mac-address mac-address

可选

缺省情况下,不存在静态白名单

配置静态黑名单列表

static-blacklist mac-address mac-address

可选

缺省情况下,不存在静态黑名单

 

1.5.2  配置动态黑名单

表1-6 配置动态黑名单

操作

命令

说明

进入系统视图

system-view

-

进入ids视图

wlan ids

-

使能动态黑名单列表功能

dynamic-blacklist enable

可选

缺省情况下,动态黑名单功能处于关闭状态

设置动态黑名单中的对应列表的生存时间

dynamic-blacklist lifetime lifetime

可选

缺省情况下,生存时间为300秒

 

1.5.3  黑白名单显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后黑白名单的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令清除黑白名单的相关信息。

表1-7 黑白名单显示和维护

操作

命令

显示黑名单列表

display wlan blacklist { static | dynamic } [ | { begin | exclude | include } regular-expression ]

显示白名单列表

display wlan whitelist [ | { begin | exclude | include } regular-expression ]

清除动态黑名单列表选项

reset wlan dynamic-blacklist { mac-address mac-address | all }

 

1.6  WLAN IDS配置举例

1.6.1  WLAN IDS配置举例

1. 组网需求

FAT AP通过二层交换机接入网络。

·     Client 1(MAC地址为000f-e215-1515)、Client 2(MAC地址为000f-e215-1530)、Client 3(MAC地址为000f-e213-1235)连接到无线网络中,享受FAT AP提供的WLAN服务。

·     通过配置FAT AP的工作模式为Hybrid模式达到其在提供WLAN服务的同时,检测网络中非法客户端的目的。

2. 组网图

图1-2 WIDS配置组网图

 

3. 配置步骤

# 创建WLAN BSS接口。

<AP> system-view

[AP] interface wlan-bss 1

[AP-WLAN-BSS1] quit

# 配置WLAN服务模板为clear模式,配置SSID为service,不配置认证方式。

[AP] wlan service-template 1 clear

[AP-wlan-st-1] ssid service

[AP-wlan-st-1] authentication-method open-system

[AP-wlan-st-1] service-template enable

[AP-wlan-st-1] quit

# 在Wlan-radio 2/0上绑定无线服务模板1和WLAN-BSS 1

[AP] interface Wlan-radio 2/0

[AP-Wlan-radio2/0] service-template 1 interface WLAN-BSS 1

[AP-Wlan-radio2/0] quit

# 配置AP工作为Hybrid模式,使其提供无线服务的同时对非法设备进行检测。

[AP] wlan device-detection enable

 

1.6.2  黑名单配置举例

1. 组网需求

客户端通过FAT AP接入无线网络。其中Client 1(0000-000f-1211)为已知非法客户端,为了保证无线网络的安全性,网络管理员需要将其的MAC地址加入到设备的黑名单列表中,使其无法接入网络。

2. 组网图

图1-3 黑名单配置组网图

 

3. 配置步骤

# 将Client 1的MAC地址0000-000f-1211添加到静态黑名单列表。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] static-blacklist mac-address 0000-000f-1211

完成配置后,非法客户端Client 1(0000-000f-1211)无法接入AP,其它客户端正常接入网络。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部