国家 / 地区

02-WLAN配置

06-WIPS配置

本章节下载  (407.98 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WiNet_WX/WX2500H-WiNet/Configure/Operation_Manual/H3C_WiNet_CG(R5223)-5W100/02/201807/1094438_30005_0.htm

06-WIPS配置

  录

1 WIPS

1.1 WIPS简介

1.2 攻击检测

1.2.1 泛洪攻击检测

1.2.2 畸形报文检测

1.2.3 Spoofing检测

1.2.4 Weak IV检测

1.2.5 Omerta检测

1.2.6 广播解除关联帧/解除认证帧攻击检测

1.2.7 客户端禁用802.11n 40MHz检测

1.2.8 节电攻击检测

1.2.9 非法信道检测

1.2.10 软AP检测

1.2.11 Windows网桥检测

1.2.12 未加密设备检测

1.2.13 热点攻击检测

1.2.14 AP扮演者攻击检测

1.2.15 绿野模式检测

1.2.16 蜜罐AP检测

1.2.17 中间人攻击检测

1.2.18 无线网桥检测

1.2.19 关联/重关联DoS攻击检测

1.2.20 AP泛洪攻击检测

1.2.21 WIPS学习表项的攻击检测

1.2.22 Signature检测

1.3 设备分类

1.3.1 AP的分类类别

1.3.2 客户端的分类类别

1.4 反制

1.5 WIPS配置任务简介

1.6 开启WIPS功能

1.7 配置攻击检测

1.7.1 配置泛洪攻击检测

1.7.2 配置畸形报文检测

1.7.3 配置攻击检测策略

1.7.4 配置WIPS学习表项的攻击检测

1.7.5 配置WIPS根据信号强度对无线设备进行检测

1.7.6 应用攻击检测策略

1.7.7 配置Signature规则

1.7.8 应用Signature规则

1.7.9 应用Signature策略

1.7.10 配置忽略告警信息的MAC地址列表

1.8 配置设备分类

1.8.1 配置分类策略

1.8.2 应用分类策略

1.9 配置反制

1.9.1 配置反制策略

1.9.2 应用反制策略

1.10 配置Sensor上报检测到的设备信息的时间间隔

1.11 开启WIPS检测游离客户端功能

1.12 私接代理检测功能

1.13 WIPS显示和维护

1.14 WIPS典型配置举例

1.14.1 WIPS分类与反制配置举例

1.14.2 WIPS畸形报文检测和泛洪攻击检测配置举例

1.14.3 Signature检测配置举例

 


1 WIPS

1.1  WIPS简介

WIPS(Wireless Intrusion Prevention System,无线入侵防御系统)是针对802.11协议开发的二层协议检测和防护功能。WIPS通过对信道进行监听及分析处理,从中检测出威胁网络安全、干扰网络服务、影响网络性能的无线行为或设备,并提供对入侵的无线设备的反制,为无线网络提供一套完整的安全解决方案。

WIPS由Sensor、AC以及网管软件组成。开启WIPS功能的AP称为Sensor,Sensor负责监听无线信道,并将收集的信息经过简单加工后,上传至AC进行综合分析。AC会分析攻击源并对其实施反制,同时向网管软件输出日志信息。网管软件提供丰富的图形界面,提供系统控制、报表输出、告警日志管理功能。

WIPS支持以下功能:

·     攻击检测:提供多种攻击方式的攻击检测功能。

·     设备分类:通过侦听无线信道的802.11报文来识别无线设备,并对其进行分类。

·     反制:对非法设备进行攻击,使其它设备无法关联到非法设备,从而保护用户网络的安全。

1.2  攻击检测

WIPS通过分析侦听到的802.11报文,来检测针对WLAN网络的无意或者恶意的攻击,并以告警的方式通知网络管理员。

1.2.1  泛洪攻击检测

泛洪攻击是指通过向无线设备发送大量同类型的报文,使无线设备会被泛洪攻击报文淹没而无法处理合法报文。WIPS通过持续地监控AP或客户端的流量来检测泛洪攻击。当大量同类型的报文超出上限时,认为无线网络正受到泛洪攻击。

目前WIPS能够防范的泛洪攻击包括:

1. 鉴权请求帧泛洪攻击

攻击者通过模拟大量的客户端向AP发送鉴权请求帧,AP收到大量攻击报文后无法处理合法客户端的鉴权请求帧。

2. 探查请求/关联/重关联泛洪攻击

攻击者通过模拟大量的客户端向AP发送探查请求/关联请求/重关联请求帧,AP收到大量攻击报文后无法处理合法客户端的探测请求/关联请求/重关联请求帧。

3. EAPOL-Start泛洪攻击

IEEE 802.1X标准定义了一种基于EAPOL(EAP over LAN,局域网上的可扩展认证协议)的认证协议,该协议通过客户端发送EAPOL-Start帧开始一次认证流程。AP接收到EAPOL-Start后会回复一个EAP-Identity-Request,并为该客户端分配一些内部资源来记录认证状态。攻击者可以通过模拟大量的客户端向AP发送EAPOL-Start来耗尽该AP的资源,使AP无法处理合法客户端的认证请求。

4. 广播/单播解除鉴权泛洪攻击

攻击者通过仿冒AP向与其关联的客户端发送广播/单播的解除鉴权帧,使得被攻击的客户端与AP的关联断开。这种攻击非常突然且难以防范。单播取消鉴权攻击是针对某一个客户端,而广播取消鉴权攻击是针对与该AP关联的所有客户端。

5. 广播/单播解除关联泛洪攻击

攻击原理同广播/单播解除鉴权泛洪攻击。攻击者是通过仿冒AP向与其关联的客户端发送广播/单播解除关联帧,使得被攻击的客户端与AP的关联断开。这种攻击同样非常突然且难以防范。

6. RTS/CTS泛洪攻击

在无线网络中,通信双方需要遵循虚拟载波侦听机制,通过RTS(Request to Send,发送请求)/CTS(Clear to Send,清除发送请求)交互过程来预留无线媒介,通信范围内的其它无线设备在收到RTS和(或)CTS后,将根据其中携带的信息来延迟发送数据帧。RTS/CTS泛洪攻击利用了虚拟载波侦听机制的漏洞,攻击者能通过泛洪发送RTS和(或)CTS来阻塞WLAN网络中合法无线设备的通信。

7. Block ACK泛洪攻击

该攻击通过仿冒客户端发送伪造的Block ACK帧来影响Block ACK机制的正常运行,导致通信双方丢包。

8. Null-Data泛洪攻击

该攻击通过仿冒合法客户端向与其关联的AP发送Null-Data帧,并且将Null-Data帧的节电位置位,使得AP误认为合法的客户端进入省电模式,将发往该客户端的数据帧进行暂存。如果攻击者持续发送Null-Data帧,当暂存帧的存储时间超过AP暂存帧老化时间后,AP会将暂存帧丢弃,妨害了合法客户端的正常通信。

9. Beacon泛洪攻击

该攻击是通过发送大量的Beacon帧使客户端检测到多个虚假AP,导致客户端选择正常的AP进行连接时受阻。

10. EAPOL-Logoff泛洪攻击

在EAPOL认证环境中,当通过认证的客户端需要断开连接时,会发送一个EAPOL-Logoff帧来关闭与AP间的会话。但AP对接收到的EAPOL-Logoff帧不会进行认证,因此攻击者通过仿冒合法客户端向AP发送EAPOL-Logoff帧,可以使AP关闭与该客户端的连接。如果攻击者持续发送仿冒的EAPOL-Logoff帧,将使被攻击的客户端无法保持同AP间的连接。

11. EAP-Success/Failure泛洪攻击

在使用802.1X认证的WLAN环境中,当客户端认证成功时,AP会向客户端发送一个EAP-Success帧(code字段为success的EAP帧);当客户端认证失败时,AP会向客户端发送一个EAP-Failure帧(code字段为failure的EAP帧)。攻击者通过仿冒AP向请求认证的客户端发送EAP-Failure帧或EAP-Success帧来破坏该客户端的认证过程,通过持续发送仿冒的EAP-Failure帧或EAP-Success帧,可以阻止被攻击的客户端与AP间的认证。

1.2.2  畸形报文检测

畸形报文攻击是指攻击者向受害客户端发送有缺陷的报文,使得客户端在处理这样的报文时会出现崩溃。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析检测出具有某些畸形类型特征的畸形报文,并发送告警。

目前支持的畸形报文检测包括:

1. IE长度非法检测

该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,每种类型的管理帧包含特定的几种IE。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。完成报文解析过程后,当检测到IE的剩余长度不为0时,该报文被判定为IE长度非法的畸形报文。

2. 重复IE检测

该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。

3. 多余IE检测

该检测是针对所有管理帧的检测。报文解析过程中,当检测到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE的畸形报文。

4. 报文长度非法检测

该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于0时,则该报文被判定为报文长度非法的畸形报文。

5. IBSS和ESS置位异常检测

该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以该报文被判定为IBSS和ESS置位异常的畸形报文。

6. 畸形Authentication帧检测

该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断为认证畸形报文。

·     当对认证帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;

·     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number 的值等于1,且状态代码status code不为0时;

·     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。

7. 畸形Association-Request帧检测

该检测是针对关联请求帧的检测。当收到关联请求帧中的SSID的长度等于0时,判定该报文为畸形关联请求报文。

8. 畸形的HT IE检测

该检测是针对Beacon、探查响应帧、关联响应帧、重关联请求帧的检测。当检测到以下情况时,判定为HT IE的畸形报文,发出告警,在静默时间内不再告警。

·     解析出HT Capabilities IE的SM Power Save值为2时;

·     解析出HT Operation IE的Secondary Channel Offset值等于2时。

9. Duration超大检测

该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。

10. Null-Probe-Response检测

该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于0,这种情况不符合协议(协议规定SSID Length等于0的情况是Mesh帧),则判定为无效探查响应报文。

11. Invalid-Deauth-Code检测

该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。

12. Invalid-Disassoc-Code检测

该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。

13. SSID超长检测

该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。

14. Fata-Jack检测

该检测是针对认证帧的检测。Fata-Jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为Fata-jack畸形报文。

15. Invalid-Source-Address检测

该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-Source-Address畸形报文。

16. Overflow-EAPOL-Key检测

该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于0时,则判定该帧为Key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。

1.2.3  Spoofing检测

Spoofing攻击是指攻击者仿冒其他设备,从而威胁无线网络的安全。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证/解除关联报文就可能导致客户端下线,从而达到破坏无线网络正常工作的目的;又或者攻击者仿冒成合法的AP来诱使合法的客户端关联,攻击者仿冒成合法的客户端与AP关联等,从而可能导致用户账户信息泄露。

目前支持的Spoofing检测包括:

1. AP仿冒AP

该仿冒是指攻击者使用AP仿冒正常工作的AP的MAC地址,向客户端发送报文的行为。WIPS通过报文的接收时间和报文中的时间戳计算出AP的启动时间,并与之前记录的该AP的启动时间进行比较来判断是否发生仿冒。如果计算出的本次AP启动时间早于之前计算出的AP启动时间,则判定为发生AP仿冒AP攻击。

WIPS通过侦听无线网络内的Beacon或探查响应帧报文来检测AP仿冒AP行为。

2. AP仿冒客户端

该仿冒是指攻击者使用AP仿冒合法客户端的MAC地址发送报文。WIPS通过检测AP发送的报文中的MAC地址是否存在于客户端列表中来判断是否有仿冒发生。如果该AP的MAC地址存在于客户端列表中,则判定为发生了AP仿冒客户端。

3. 客户端仿冒AP

该仿冒是指攻击者使用客户端仿冒合法AP的MAC地址发送报文。WIPS通过检测客户端发送的报文中发送端的MAC地址是否存在于AP列表中来判断是否有仿冒发生。如果该客户端的MAC地址存在于AP列表中,则判定为发生了客户端仿冒AP。

1.2.4  Weak IV检测

WEP安全协议使用的RC4加密算法存在一定程度的缺陷,当其所用的IV值不安全时会大大增加其密钥被破解的可能性,当IV值的第一个字节小于16(10进制)且第二个字节为FF时,该类IV值即被称为Weak IV。WIPS特性通过检测每个WEP报文的IV值来预防这种攻击。

1.2.5  Omerta检测

Omerta是一个基于802.11协议的DoS攻击工具,它通过向信道上所有发送数据帧的客户端回应解除关联帧,使客户端中断与AP的关联。Omerta发送的解除关联帧中的原因代码字段为0x01,表示未指定。由于正常情况下不会出现此类解除关联帧,因此WIPS可以通过检测每个解除关联帧的原因代码字段来检测这种攻击。

1.2.6  广播解除关联帧/解除认证帧攻击检测

当攻击者仿冒成合法的AP,发送目的MAC地址为广播地址的解除关联帧或者解除认证帧时,会使合法AP下关联的客户端下线,对无线网络造成攻击。

1.2.7  客户端禁用802.11n 40MHz检测

支持802.11n标准无线设备可以支持20MHz和40MHz两种带宽模式。在无线环境中,如果与AP关联的某个无线客户端禁用了40MHz带宽模式,会导致AP与该AP关联的其它无线客户端也降低无线通信带宽到20MHz,从而影响到整个网络的通信能力。WIPS通过检测无线客户端发送的探测请求帧来发现禁用40MHz带宽模式的无线客户端。

1.2.8  节电攻击检测

对于处于非节电模式下的无线客户端,攻击者可以通过发送节电模式开启报文(Null帧),诱使AP相信与其关联的无线客户端始终处于睡眠状态,并为该无线客户端暂存帧。被攻击的无线客户端因为处于非节电模式而无法获取这些暂存帧,在一定的时间之后暂存帧会被自动丢弃。WIPS通过检测节电模式开启/关闭报文的比例判断是否存在节电攻击。

1.2.9  非法信道检测

用户可以设置合法信道集合,并开启非法信道检测,如果WIPS在合法信道集合之外的其它信道上监听到无线通信,则认为在监听到无线通信的信道上存在入侵行为。

1.2.10  软AP检测

软AP是指客户端上的无线网卡在应用软件的控制下对外提供AP的功能。攻击者可以利用这些软AP所在的客户端接入公司网络,并发起网络攻击。当某个MAC地址从无线客户端切换为AP的时间间隔大于配置的检测时间间隔时,则判断该无线客户端为软AP,不对游离的无线客户端进行软AP检测。

1.2.11  Windows网桥检测

当一个连接到有线网络的无线客户端使用有线网卡建立了Windows网桥时,该无线客户端就可以通过连接外部AP将外部AP与内部有线网络进行桥接。此组网方式会使外部AP对内部的有线网络造成威胁。WIPS会对已关联的无线客户端发出的数据帧进行分析,来判断其是否存在于Windows网桥中。

1.2.12  未加密设备检测

在无线网络中,如果有授权AP或信任的无线客户端使用的配置是未加密的,网络攻击者很容易通过监听来获取无线网络中的数据,从而导致网络信息泄露。WIPS会对信任的无线客户端或授权AP发出的管理帧或数据帧进行分析,来判断其是否使用了加密配置。

1.2.13  热点攻击检测

热点攻击指恶意AP使用热点SSID来吸引周围的无线客户端来关联自己。攻击者通过伪装成公共热点来引诱这些无线客户端关联自己。一旦无线客户端与恶意AP关联上,攻击者就会发起一系列的安全攻击,获取用户的信息。用户通过在WIPS中配置热点文件,来指定WIPS对使用这些热点的AP和信任的无线客户端进行热点攻击检测。

1.2.14  AP扮演者攻击检测

在AP扮演者攻击中,攻击者会安装一台恶意AP设备,该AP设备的BSSID和ESSID与真实AP一样。当该恶意AP设备在无线环境中成功扮演了真实AP的身份后,就可以发起热点攻击,或欺骗检测系统。WIPS通过检测收到Beacon帧的间隔是否小于Beacon帧中携带的间隔值来判断其是否为攻击者扮演的恶意AP。

1.2.15  绿野模式检测

当无线设备使用802.11n 绿野模式时,不可以和其他802.11a/b/g 设备共享同一个信道。通常当一台设备侦听到有其他设备占用信道发送和接收报文的时候,会延迟报文的发送直到信道空闲时再发送。但是802.11a/b/g设备不能和绿野模式的AP进行通信,无法被告知绿野模式的AP当前信道是否空闲,会立刻发送自己的报文。这可能会导致报文发送冲突、差错和重传。

1.2.16  蜜罐AP检测

攻击者在合法AP附近搭建一个蜜罐 AP,通过该AP发送与合法AP SSID相似的Beacon帧或Probe Response帧,蜜罐AP的发送信号可能被调得很大以诱使某些授权客户端与之关联。当有客户端连接到蜜罐AP,蜜罐AP便可以向客户端发起某些安全攻击,如端口扫描或推送虚假的认证页面来骗取客户端的用户名及密码信息等。因此,需要检测无线环境中对合法设备构成威胁的蜜罐AP。WIPS系统通过对外部AP使用的SSID进行分析,若与合法SSID的相似度值达到一定阈值就发送蜜罐AP告警。

1.2.17  中间人攻击检测

在中间人攻击中,攻击者在合法AP和合法客户端的数据通路中间架设自己的设备,并引诱合法客户端下线并关联到攻击者的设备上,此时攻击者就可以劫持合法客户端和合法AP之间的会话。在这种情况下,攻击者可以删除,添加或者修改数据包内的信息,获取验证密钥、用户密码等机密信息。中间人攻击是一种组合攻击,客户端在关联到蜜罐AP后攻击者才会发起中间人攻击,所以在配置中间人攻击检测之前需要开启蜜罐AP检测。

1.2.18  无线网桥检测

攻击者可以通过接入无线网桥侵入公司网络的内部,对网络安全造成隐患。WIPS通过检测无线网络环境中是否存在无线网桥数据以确定周围环境中是否存在无线网桥。当检测到无线网桥时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。如果该无线网桥是Mesh网络时,则记录该Mesh链路。

1.2.19  关联/重关联DoS攻击检测

关联/重关联DoS攻击通过模拟大量的客户端向AP发送关联请求/重关联请求帧,使AP的关联列表中存在大量虚假的客户端,达到拒绝合法客户端接入的目的。

1.2.20  AP泛洪攻击检测

AP设备在完成部署后通常是固定不动的,正常情况下WIPS通过检测发现网络环境中的AP设备的数目达到稳定后不会大量增加。当检测到AP的数目超出预期的数量时, WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。

1.2.21  WIPS学习表项的攻击检测

如果攻击者通过发送大量报文来增加WIPS的处理开销等。通过检测周期内学习到设备的表项来判断是否需要对表项学习进行限速处理。设备在统计周期内学习到的AP或客户端表项达到触发告警阈值,设备会发送告警信息,并停止学习AP表项和客户端表项。

1.2.22  Signature检测

Signature检测是指用户可以根据实际的网络状况来配置Signature规则,并通过该规则来实现自定义攻击行为的检测。WIPS利用Sensor监听无线信道来获取无线报文,通过报文解析,检测出具有某些自定义类型特征的报文,并将分析检测的结果进行归类处理。

每个Signature检测规则中最多支持配置6条子规则,分别对报文的6种特征进行定义和匹配。当AC解析报文时,如果发现报文的特征能够与已配置的子规则全部匹配,则认为该报文匹配该自定义检测规则,AC将发送告警信息或记录日志。

可以通过子规则定义的6种报文特征包括:

·     帧类型;

·     MAC地址;

·     序列号;

·     SSID长度;

·     SSID;

·     报文中指定位置的字段取值。

1.3  设备分类

1.3.1  AP的分类类别

WIPS将检测到的AP分为以下几类:

·     授权AP(Authorized AP):允许在无线网络中使用的AP。包括已经关联到AC上且不在禁用列表中的AP、手动指定的授权AP、添加到信任列表中的AP和通过自定义规则分类的授权AP;

·     非法AP(Rouge AP):不允许在无线网络中使用的AP。包括禁用设备列表中的AP、不在OUI配置文件中的AP、手动指定的非法AP和通过自定义规则分类的非法AP。有线接入但是未关联的AP有可能是非法AP;

·     外部AP(External AP):其他无线网络中的AP。WIPS可能会检测到邻近网络中的AP,例如邻近公司或个人住宅中的AP。目前仅支持手工指定的外部AP和通过自定义规则分类的外部AP;

·     配置错误的AP(Misconfigured AP):无线服务配置错误,但是允许在无线网络中使用的AP;包括手动指定的配置错误的AP和通过自定义规则分类的配置错误的AP;

·     Ad hoc:运行在Ad hoc模式的AP。WIPS通过检测Beacon帧将其分类为Ad hoc;

·     Mesh:运行在Mesh模式的AP。WIPS通过检测Beacon帧将其分类为Mesh;

·     潜在授权的AP(Potential-authorized AP):无法确定但可能是授权的AP。如果AP既不在信任设备、信任OUI列表、信任SSID列表和禁用设备列表中,也不是未关联AP,并且未对其进行手工分类和符合自定义规则分类,那么该AP很可能是授权的AP,如Remote AP;

·     潜在非法的AP(Potential-rogue AP):无法确定但可能是非法的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,那么,如果检测到它的有线端口可能连接到网络中,则认为其为潜在非法的AP;如果能确定其有线端口连接到网络中,则认为其为非法AP,如恶意入侵者私自接入网络的AP;

·     潜在外部的AP(Potential-external AP):无法确定但可能是外部的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,同时也没有检测到它的有线端口连接到网络中,则该AP很可能是外部的AP。

WIPS对检测到的AP的分类处理流程如图1-1所示:

图1-1 WIPS对检测到的AP设备的分类处理流程示意图

 

1.3.2  客户端的分类类别

WIPS将检测到的客户端分为以下几类:

·     授权客户端(Authorized Client):允许使用的客户端,如关联到授权AP上的受信任的客户端或通过加密认证方式关联到授权AP上的客户端都是授权的客户端;

·     未授权客户端(Unauthorized Client):不允许使用的客户端。如在禁用设备列表中的客户端、连接到Rogue AP上的客户端以及不在OUI配置文件中的客户端都是未授权客户端;

·     错误关联客户端(Misassociation Client):信任设备列表中的客户端关联到非授权AP上。错误关联的客户端可能会对网络信息安全带来隐患;

·     未分类客户端(Uncategorized Client):无法确定归属类别的客户端。

WIPS对检测到的客户端的分类处理流程如图1-2所示:

图1-2 WIPS对检测到的客户端的分类处理流程示意图

 

1.4  反制

在无线网络中设备分为两种类型:非法设备和合法设备。非法设备可能存在安全漏洞或被攻击者操纵,因此会对用户网络的安全造成严重威胁或危害。反制功能可以对这些设备进行攻击使其他无线终端无法关联到非法设备。

1.5  WIPS配置任务简介

表1-1 WIPS配置任务简介

配置任务

说明

详细配置

开启WIPS功能

必选

1.6 

配置攻击检测

配置泛洪攻击检测

各类型的攻击检测之间没有先后顺序,可根据实际组网需求,配置其中的一种或多种

1.7.1 

配置畸形报文检测

1.7.2 

配置攻击检测策略

1.7.3 

配置WIPS学习表项的攻击检测

1.7.4 

配置WIPS根据信号强度对无线设备进行检测

1.7.5 

应用攻击检测策略

1.7.6 

配置Signature规则

1.7.7 

应用Signature规则

1.7.8 

应用Signature策略

1.7.9 

配置忽略告警信息的MAC地址列表

1.7.10 

配置设备分类

配置分类策略

根据实际组网需求进行配置

1.8.1 

应用分类策略

1.8.2 

配置反制

配置反制策略

根据实际组网需求进行配置

1.9.1 

应用反制策略

1.9.2 

配置Sensor上报检测到的设备信息的时间间隔

可选

1.10  1.11 

开启WIPS检测游离客户端功能

可选

1.11 

 

1.6  开启WIPS功能

WLAN网络在组网过程中可以根据职能不同在逻辑上划分成多个区域,每个区域对接入服务的安全性、安全级别、无线设备的无线行为要求不同,我们称这些不同的区域为VSD(Virtual Security Domain,虚拟安全域),用户可以对无线接入网络的各个VSD采用不同的安全检测策略。开启WIPS功能前,需要将AP加入到指定VSD中。

表1-2 开启WIPS功能(Radio视图)

操作

命令

说明

进入系统视图

system-view

-

配置AP名称和型号名称,并进入AP视图

wlan ap ap-name [ model model-name]

只有在AP被创建时才定义型号名称

将AP加入到指定的VSD中

wips virtual-security-domain vsd-name

缺省情况下,继承AP组配置

进入Radio视图

radio radio-id

-

开启WIPS功能

wips enable

缺省情况下,继承AP组配置

 

表1-3 开启WIPS功能(AP组Radio视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP组视图

wlan ap-group group-name

-

将AP组加入到指定的VSD中

wips virtual-security-domain vsd-name

缺省情况下,没有将AP组加入到任何的VSD中

进入AP型号视图

ap-model ap-model

-

进入Radio视图

radio radio-id

-

开启WIPS功能

wips enable

缺省情况下,WIPS功能处于关闭状态

 

1.7  配置攻击检测

创建一个攻击检测策略,定义一个或多个用于攻击检测的特征项。

1.7.1  配置泛洪攻击检测

表1-4 配置泛洪攻击检测

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建攻击检测策略,并进入攻击检测策略视图

detect policy policy-name

缺省情况下,不存在攻击检测策略

配置检测关联请求帧泛洪攻击

flood association-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对关联请求帧泛洪攻击进行检测

配置检测认证请求帧泛洪攻击

flood authentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对认证请求帧泛洪攻击进行检测

配置检测Beacon帧泛洪攻击

flood beacon [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对Beacon帧泛洪攻击进行检测

配置检测Block ACK帧泛洪攻击

flood block-ack [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对Block ACK帧泛洪攻击进行检测

配置检测RTS帧泛洪攻击

flood rts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对RTS帧泛洪攻击进行检测

配置检测CTS帧泛洪攻击

flood cts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对CTS帧泛洪攻击进行检测

配置检测解除认证帧泛洪攻击

flood deauthentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对解除认证帧泛洪攻击进行检测

配置检测解除关联帧泛洪攻击

flood disassociation [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对解除关联帧泛洪攻击进行检测

配置检测EAPOL-Start帧泛洪攻击

flood eapol-start [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对EAPOL-Start帧泛洪攻击进行检测

配置检测Nul-Data帧泛洪攻击

flood null-data [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对Null-Data帧泛洪攻击进行检测

配置探查请求帧泛洪攻击

flood probe-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对探查请求帧泛洪攻击进行检测

配置检测重关联帧泛洪攻击

flood reassociation-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对重关联帧泛洪攻击进行检测

配置检测EAPOL-Logoff帧泛洪攻击

flood eapol-logoff [ interval interval-value | quiet quiet-value | threshold threshold-value ]*

缺省情况下,不对EAPOL-Logoff帧泛洪攻击进行检测

配置检测EAP-Failure帧泛洪攻击

flood eap-failure [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对EAP-Failure帧泛洪攻击进行检测

配置检测EAP-Success帧泛洪攻击

flood eap-success [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不对EAP-Success帧泛洪攻击进行检测

 

1.7.2  配置畸形报文检测

表1-5 配置畸形报文检测

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建攻击检测策略,并进入攻击检测策略视图

detect policy policy-name

缺省情况下,不存在攻击检测策略

配置检测IE重复的畸形报文

malformed duplicated-ie [ quiet quiet-value ]

缺省情况下,不检测IE重复的畸形报文

配置检测Fata-Jack畸形报文

malformed fata-jack [ quiet quiet-value ]

缺省情况下,不检测Fata-Jack畸形报文

配置检测IBSS和ESS置位异常的畸形报文

malformed illegal-ibss-ess [ quiet quiet-value ]

缺省情况下,不检测IBSS和ESS置位异常的畸形报文

配置检测源地址为广播或者组播的认证和关联畸形报文

malformed invalid-address-combination [ quiet quiet-value ]

缺省情况下,不检测源地址为广播或者组播的认证和关联畸形报文

配置检测畸形关联请求报文

malformed invalid-assoc-req [ quiet quiet-value ]

缺省情况下,不检测畸形关联请求报文

配置检测畸形认证请求报文

malformed invalid-auth [ quiet quiet-value ]

缺省情况下,不检测畸形认证请求报文

配置检测含有无效原因值的解除认证畸形报文

malformed invalid-deauth-code [ quiet quiet-value ]

缺省情况下,不检测含有无效原因值的解除认证畸形报文

配置检测含有无效原因值的解除关联畸形报文

malformed invalid-disassoc-code [ quiet quiet-value ]

缺省情况下,不检测含有无效原因值的解除关联畸形报文

配置检测IE长度非法的畸形报文

malformed invalid-ie-length [ quiet quiet-value ]

缺省情况下,不检测IE长度非法的畸形报文

配置检测畸形HT IE报文

malformed invalid-ht-ie [ quiet quiet-value ]

缺省情况下,不检测畸形HT IE报文

配置检测报文长度非法的畸形报文

malformed invalid-pkt-length [ quiet quiet-value ]

缺省情况下,不检测报文长度非法的畸形报文

配置检测Duration字段超大的畸形报文

malformed large-duration [ quiet quiet-value | threshold value ]

缺省情况下,不检测Duration字段超大的畸形报文

配置检测无效探查响应报文

malformed null-probe-resp [ quiet quiet-value ]

缺省情况下,不检测无效探查响应报文

配置检测key长度超长的EAPOL报文

malformed overflow-eapol-key [ quiet quiet-value ]

缺省情况下,不检测key长度超长的EAPOL报文

配置检测SSID长度超长的畸形报文

malformed overflow-ssid [ quiet quiet-value ]

缺省情况下,不检测SSID长度超长的畸形报文

配置检测多余IE畸形报文

malformed redundant-ie [ quiet quiet-value ]

缺省情况下,不检测多余IE畸形报文

 

1.7.3  配置攻击检测策略

表1-6 配置攻击检测策略

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建攻击检测策略,并进入攻击检测策略视图

detect policy policy-name

缺省情况下,不存在攻击检测策略

配置客户端地址仿冒检测

client-spoofing [ quiet quiet-value ]

缺省情况下,客户端地址仿冒检测功能处于关闭状态

配置AP地址仿冒检测

ap-spoofing [ quiet quiet-value ]

缺省情况下,AP地址仿冒检测功能处于关闭状态

配置Weak IV检测

weak-iv [ quiet quiet-value ]

缺省情况下,不进行Weak IV检测

配置Omerta检测

omerta [ quiet quiet-value ]

缺省情况下,不检测Omerta攻击

配置广播解除关联帧检测

disassociation-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不检测目的MAC地址为广播地址的解除关联帧

配置广播解除认证帧检测

deauthentication-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,不检测目的MAC地址为广播地址的解除认证帧

配置检测客户端是否禁用了802.11n 40MHz模式

ht-40mhz-intolerance [ quiet quiet-value ]

缺省情况下,不检测客户端是否禁用了802.11n 40MHz模式

配置节电攻击检测

power-save [ interval interval-value | minoffpacket packet-value | onoffpercent percent-value | quiet quiet-value ] *

缺省情况下,不检测节电攻击

配置合法信道集

permit-channel channel-id-list

缺省情况下,没有配置合法信道集

配置非法信道检测

prohibited-channel [ quiet quiet-value ]

缺省情况下,没有配置非法信道检测

配置Windows网桥检测

windows-bridge [ quiet quiet-value ]

缺省情况下,不进行Windows网桥检测

配置未加密授权AP检测

unencrypted-authorized-ap [ quiet quiet-value ]

缺省情况下,不进行未加密授权AP的检测

配置未加密信任客户端检测

unencrypted-trust-client [ quiet quiet-value ]

缺省情况下,不对未加密的信任客户端进行检测

配置软AP检测

soft-ap [ convert-time time-value ]

缺省情况下,不进行软AP检测

配置AP扮演者攻击检测

ap-impersonation [ quiet quiet-value ]

缺省情况下,不对AP扮演者攻击进行检测

配置绿野模式检测

ht-greenfield [ quiet quiet-value ]

缺省情况下,不对绿野模式进行检测

配置关联/重关联DoS攻击检测

association-table-overflow [ quiet quiet-value ]

缺省情况下,不对关联/重关联DoS攻击进行检测

配置无线网桥检测

wireless-bridge [ quiet quiet-value ]

缺省情况下,不对无线网桥进行检测

配置AP泛洪攻击检测

ap-flood [ apnum apnum-value | exceed exceed-value | quiet quiet-value ] *

缺省情况下,不对AP泛洪攻击进行检测

配置蜜罐AP检测

honeypot-ap [ similarity similarity-value | quiet quiet-value ] *

缺省情况下,不对蜜罐AP进行检测

配置中间人攻击检测

man-in-the-middle [ quiet quiet-value ]

缺省情况下,不对中间人攻击进行检测

配置AP信道变化检测

ap-channel-change [ quiet quiet-value ]

缺省情况下,不对AP信道变化进行检测

退出到WIPS视图

quit

-

导入热点信息的配置文件

import hotspot file-name

缺省情况下,没有导入热点信息的配置文件

创建攻击检测策略,并进入攻击检测策略视图

detect policy policy-name

缺省情况下,不存在攻击检测策略

配置热点攻击检测

hotspot-attack [ quiet quiet-value ]

缺省情况下,不进行热点攻击检测

 

1.7.4  配置WIPS学习表项的攻击检测

当WIPS检测到某个无线设备在设定的时间内没有收发报文,则会将该无线设备的状态从active切换到inactive,这段时间即为非活跃时间。如果该无线设备在设定的老化时间内没有收发报文,则会删除该无线设备的表项。

表1-7 配置WIPS学习表项的攻击检测

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建攻击检测策略,并进入攻击检测策略视图

detect policy policy-name

缺省情况下,不存在攻击检测策略

控制客户端表项学习的速率

client-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,学习客户端表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,客户端表项的阈值为512

配置客户端表项的时间参数

client-timer inactive inactive-value aging aging-value

缺省情况下,客户端表项的非活跃时间为300秒,老化时间为600秒

控制AP表项学习的速率

ap-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,学习AP表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,AP表项的阈值为64

配置AP表项的时间参数

ap-timer [ inactive inactive-value aging aging-value ]

缺省情况下,AP表项的非活跃时间为300秒,老化时间为600秒

 

1.7.5  配置WIPS根据信号强度对无线设备进行检测

表1-8 配置WIPS根据信号强度对无线设备进行检测

操作

命令

说明

进入系统视图

system-view

-

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建攻击检测策略,并进入攻击检测策略视图

detect policy policy-name

-

配置WIPS根据信号强度对无线设备进行检测

rssi-threshold { ap ap-rssi-value | client client-rssi-value }

缺省情况下,未配置WIPS根据信号强度对无线设备进行检测

配置WIPS检测无线设备的信号强度变化阈值

rssi-change-threshold threshold-value

缺省情况下,WIPS检测无线设备的信号强度变化阈值为20

 

1.7.6  应用攻击检测策略

通过在虚拟安全域上应用攻击检测策略,使已配置的攻击检测策略在虚拟安全域内的Radio上生效。

表1-9 应用攻击检测策略

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建VSD,并进入VSD视图

virtual-security-domain vsd-name

缺省情况下,不存在VSD

在VSD上应用攻击检测策略

apply detect policy policy-name

缺省情况下,没有在VSD上应用攻击检测策略

 

1.7.7  配置Signature规则

在配置Signature检测时,首先要创建一个Signature规则,并进入Signature规则视图。在该视图下,可以定义一条或多条用于Signature检测的子规则。

当配置了多个Signature检测规则时,设备会根据Signature检测规则的ID编号由小到大依次匹配,匹配上一条Signature检测规则后,将不再继续匹配其它Signature检测规则。

表1-10 配置Signature规则

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建Signature规则,并进入Signature规则视图

signature rule rule-id

缺省情况下,不存在Signature规则

配置Signature规则中匹配帧类型的子规则

frame-type { control | data | management [ frame-subtype { association-request | association-response | authentication | beacon | deauthentication | disassociation | probe-request } ] }

缺省情况下,没有配置Signature规则中匹配帧类型的子规则

配置Signature规则中匹配报文中携带的MAC地址的子规则

mac-address { bssid | destination | source } mac-address

缺省情况下,没有配置Signature规则中匹配MAC地址的子规则

配置Signature规则中匹配序列号的子规则

seq-number seq-value1 [ to seq-value2 ]

缺省情况下,没有配置Signature规则中匹配序列号的子规则

配置Signature规则中匹配SSID长度的子规则

ssid-length length-value1 [ to length-value2 ]

缺省情况下,没有配置Signature规则中匹配SSID长度的子规则

配置Signature规则中匹配SSID的子规则

ssid [ case-sensitive ] [ not ] { equal | include } string

缺省情况下,没有配置Signature规则中匹配SSID的子规则

配置Signature规则中匹配报文中指定位置的字段的子规则

pattern pattern-number offset offset-value mask hex-value value1 [ to value2 ] [ from-payload ]

缺省情况下,没有配置Signature规则中匹配报文中指定位置的字段的子规则

 

1.7.8  应用Signature规则

通过在Signature策略上应用Signature规则,使已配置的Signature规则在Signature策略内生效。

表1-11 应用Signature规则

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建Signature策略,并进入Signature策略视图

signature policy policy-name

缺省情况下,没有创建Signature策略

应用Signature规则

apply signature rule rule-id

缺省情况下,Signature策略没有应用Signature规则

开启对符合Signature规则的报文检测功能

detect signature [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

缺省情况下,对符合Signature规则的报文检测功能处于开启状态,统计周期为60秒,发送告警日志后的静默时间为600秒,触发告警阈值为50

 

1.7.9  应用Signature策略

通过在虚拟安全域上应用Signature策略,使已配置的Signature策略在虚拟安全域内的Radio上生效。

表1-12 应用Signature策略

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建VSD,并进入VSD视图

virtual-security-domain vsd-name

缺省情况下,不存在VSD

在VSD上应用Signature策略

apply signature policy policy-name

缺省情况下,VSD内没有应用Signature策略

 

1.7.10  配置忽略告警信息的MAC地址列表

对于可以忽略WIPS告警信息的设备列表中的无线设备,WIPS仍然会对其做正常的监测,但是不会产生与该设备相关的任何WIPS告警信息。

表1-13 配置忽略列表

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

配置忽略WIPS告警信息的设备列表

ignorelist mac-address mac-address

缺省情况下,没有配置忽略WIPS告警信息的设备列表

 

1.8  配置设备分类

创建一个分类策略,对设备进行分类。

1.8.1  配置分类策略

可以通过两种配置方式实现设备分类,其中手工分类的优先级高于自动分类。

·     自动分类:通过信任设备列表、信任OUI列表和静态禁用设备列表对所有设备进行分类;或通过自定义的AP分类规则对AP设备进行分类。

·     手工分类:通过手动指定AP的类型对设备进行分类。

具体分类处理流程请参见图1-1图1-2

1. 配置自动分类

表1-14 配置分类策略(自动分类)

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

指定导入配置文件中的OUI信息

import oui file-name

缺省情况下,没有导入配置文件的OUI信息

创建分类策略,并进入分类策略视图

classification policy policy-name

缺省情况下,没有创建分类策略

配置对非法OUI的设备进行分类

invalid-oui-classify illegal

缺省情况下,不对非法OUI的设备进行分类

将指定的MAC地址添加到信任设备列表中

trust mac-address mac-address

缺省情况下,信任设备列表中不存在MAC地址

将指定的OUI添加到信任OUI列表中

trust oui oui

缺省情况下,信任OUI列表中不存在OUI

该命令只能对AP进行分类

将指定的SSID添加到信任设备列表中

trust ssid ssid-name

缺省情况下,信任设备列表中不存在SSID

将指定的MAC地址添加到静态禁用设备列表中

block mac-address mac-address

缺省情况下,静态禁用设备列表中不存在MAC地址

在设备分类策略上应用AP分类规则

apply ap-classification rule rule-id { authorized-ap | { { external-ap | misconfigured-ap | rogue-ap } [ severity-level level ] } }

缺省情况下,分类策略没有应用AP分类规则

 

表1-15 配置AP分类规则

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建AP分类规则,并进入AP分类规则视图

ap-classification rule rule-id

缺省情况下,没有创建AP分类规则

配置自定义AP信号RSSI规则

rssi value1 [ to value2 ]

缺省情况下,没有配置自定义AP信号RSSI规则

配置自定义SSID规则

ssid [ case-sensitive ] [ not ] { equal | include } ssid-string

缺省情况下,没有配置自定义SSID规则

配置自定义AP运行时间规则

up-duration value1 [ to value2 ]

缺省情况下,没有配置自定义AP运行时间规则

配置自定义AP关联客户端数量规则

client-online value1 [ to value2 ]

缺省情况下,没有配置自定义AP关联客户端数量规则

配置自定义发现AP的Sensor数量规则

discovered-ap value1 [ to value2 ]

缺省情况下,没有配置自定义发现AP的Sensor数量规则

配置自定义安全方式规则

security { equal | include } { clear | wep | wpa | wpa2 }

缺省情况下,没有配置自定义安全方式规则

配置自定义认证方式规则

authentication { equal | include } { 802.1x | none | other | psk }

缺省情况下,没有配置自定义认证方式规则

配置自定义OUI信息规则

oui oui-info

缺省情况下,没有配置自定义OUI信息规则

 

2. 配置手工分类

表1-16 配置分类策略(手工分类)

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建分类策略,并进入分类策略视图

classification policy policy-name

缺省情况下,没有创建分类策略

配置手工AP分类

manual-classify mac-address mac-address { authorized-ap | external-ap | misconfigured-ap | rogue-ap }

缺省情况下,没有对AP进行手工分类

 

1.8.2  应用分类策略

通过在虚拟安全域上应用分类策略,使已配置的分类策略在虚拟安全域内的Radio上生效。

表1-17 应用分类策略

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建VSD,并进入VSD视图

virtual-security-domain vsd-name

缺省情况下,不存在VSD

在VSD上应用分类策略

apply classification policy policy-name

缺省情况下,没有在VSD上应用分类策略

 

1.9  配置反制

创建一个反制策略,配置对一个或多个反制设备类型进行反制。

1.9.1  配置反制策略

表1-18 配置反制策略

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建反制策略,并进入反制策略视图

countermeasure policy policy-name

缺省情况下,不存在反制策略

对外部AP进行反制

countermeasure external-ap

缺省情况下,不对外部AP进行反制

对配置错误的AP进行反制

countermeasure misconfigured-ap

缺省情况下,不对配置错误的AP进行反制

对关联错误的客户端进行反制

countermeasure misassociation-client

缺省情况下,不对关联错误的客户端进行反制

对潜在外部AP进行反制

countermeasure potential-external-ap

缺省情况下,不对潜在外部AP进行反制

对潜在授权AP进行反制

countermeasure potential-authorized-ap

缺省情况下,不对潜在授权AP进行反制

对潜在Rogue AP进行反制

countermeasure potential-rogue-ap

缺省情况下,不对潜在Rogue AP进行反制

对Rogue AP进行反制

countermeasure rogue-ap

缺省情况下,不对Rogue AP进行反制

对未授权的客户端进行反制

countermeasure unauthorized-client

缺省情况下,不对未授权的客户端进行反制

对未确定分类的AP进行反制

countermeasure uncategorized-ap

缺省情况下,不对未确定分类的AP进行反制

对未确定分类的客户端进行反制

countermeasure uncategorized-client

缺省情况下,不对未确定分类的客户端进行反制

对指定设备进行手工反制

countermeasure mac-address mac-address

缺省情况下,不对设备进行手工反制

配置对ad hoc设备进行反制

countermeasure adhoc

缺省情况下,未配置对ad hoc设备进行反制

配置对发起广播解除认证帧攻击的设备进行反制

countermeasure attack deauthentication-broadcast

缺省情况下,未配置对发起广播解除认证帧攻击的设备进行反制

配置对发起广播解除关联帧攻击的设备进行反制

countermeasure attack disassociation-broadcast

缺省情况下,未配置对发起广播解除关联帧攻击的设备进行反制

配置对发起蜜罐AP攻击的设备进行反制

countermeasure attack honeypot-ap

缺省情况下,未配置对发起蜜罐AP攻击的设备进行反制

配置对发起热点攻击的设备进行反制

countermeasure attack hotspot-attack

缺省情况下,未配置对发起热点攻击的设备进行反制

配置对禁用802.11n 40MHz模式的设备进行反制

countermeasure attack ht-40-mhz-intolerance

缺省情况下,未配置对禁用802.11n 40MHz模式的设备进行反制

配置对发起畸形报文攻击的设备进行反制

countermeasure attack malformed-packet

缺省情况下,未配置对发起畸形报文攻击的设备进行反制

配置对发起中间人攻击的设备进行反制

countermeasure attack man-in-the-middle

缺省情况下,未配置对发起中间人攻击的设备进行反制

配置对发起Omerta攻击的设备进行反制

countermeasure attack omerta

缺省情况下,未配置对发起Omerta攻击的设备进行反制

配置对发起节电攻击的设备进行反制

countermeasure attack power-save

缺省情况下,未配置对发起节电攻击的设备进行反制

配置对发起软AP攻击的设备进行反制

countermeasure attack soft-ap

缺省情况下,未配置对发起软AP攻击的设备进行反制

配置对未加密的信任客户端进行反制

countermeasure attack unencrypted-trust-client

缺省情况下,未配置对未加密的信任客户端进行反制

配置对Weak IV设备进行反制

countermeasure attack weak-iv

缺省情况下,未配置对Weak IV设备进行反制

配置对Windows网桥设备进行反制

countermeasure attack windows-bridge

缺省情况下,未配置对Windows网桥设备进行反制

配置对所有发起攻击的设备进行反制

countermeasure attack all

缺省情况下,未配置对所有发起攻击的设备进行反制

开启所有Sensor进行反制功能

select sensor all

缺省情况下,所有Sensor进行反制功能处于关闭状态

 

1.9.2  应用反制策略

通过在虚拟安全域上应用反制策略,使已配置的反制策略在虚拟安全域内的Radio上生效。

表1-19 应用反制策略

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建VSD,并进入VSD视图

virtual-security-domain vsd-name

缺省情况下,不存在VSD

在VSD上应用反制策略

apply countermeasure policy policy-name

缺省情况下,没有在VSD上应用反制策略

 

1.10  配置Sensor上报检测到的设备信息的时间间隔

在大型的组网中系统会存在多个Sensor,当多个Sensor同时上报设备信息给AC时会对AC造成冲击,通过配置Sensor上报检测到的设备信息的时间间隔可以控制Sensor上报信息的频率,降低AC的压力。

表1-20 配置Sensor上报检测到的设备信息的时间间隔

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建攻击检测策略,并进入攻击检测策略视图

detect policy policy-name

-

配置Sensor上报检测到的设备信息的时间间隔

report-interval interval

缺省情况下,Sensor上报检测到的设备信息的时间间隔为30000毫秒

 

1.11  开启WIPS检测游离客户端功能

用户可以通过该功能配置WIPS对游离客户端是否进行检测,当网络环境中存在大量的游离客户端时,Sensor检测到的设备信息表项中也会存在大量游离客户端,这部分内容占用了大量的系统资源,不建议开启该功能。

表1-21 配置Sensor上报检测到的设备信息的时间间隔

操作

命令

说明

进入系统视图

system-view

-

进入WIPS视图

wips

-

创建攻击检测策略,并进入攻击检测策略视图

detect policy policy-name

-

开启WIPS检测游离客户端功能

detect dissociate-client enable

缺省情况下,WIPS检测游离客户端功能处于关闭状态

 

1.12  私接代理检测功能

私接代理是指无线客户端为非法的用户共享网络的行为,在AP上开启私接代理检测功能后,可以检测到有非法网络共享行为的无线客户端信息并生成表项。

表1-22 配置私接代理检测功能(AP视图)

操作

命令

说明

进入系统视图

system-view

-

配置AP名称和型号名称,并进入AP视图

wlan ap ap-name [ model model-name ]

只有在AP被创建时才定义型号名称

开启私接代理检测功能

wlan nat-detect enable

缺省情况下,继承AP组配置

 

表1-23 配置私接代理检测功能(AP组视图)

操作

命令

说明

进入系统视图

system-view

-

创建AP组,并进入AP组视图

wlan ap-group group-name

缺省情况下,存在默认组default-group,不允许删除

开启私接代理检测功能

wlan nat-detect enable

缺省情况下,私接代理检测功能处于关闭状态

 

1.13  WIPS显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后WIPS的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除WIPS的信息。

表1-24 WIPS显示和维护

操作

命令

显示所有Sensor信息

display wips sensor

显示AC收到Sensor上报的攻击检测信息

display wips statistics [ receive | virtual-security-domain vsd-name ]

显示在指定VSD内检测到的无线设备的信息

display wips virtual-security-domain vsd-name device [ ap [ adhoc | authorized | external | misconfigured | potential-authorized | potential-external | potential-rogue | rogue ] | client [ [ dissociative-client ] [ authorized | misassociation | unauthorized | uncategorized ] ] | mac-address mac-address ] [ verbose ]

显示被反制过设备的信息

display wips virtual-security-domain vsd-name countermeasure record

显示私接代理检测信息

display wlan nat-detect [ mac-address mac-address ]

清除所有Sensor上报的信息

reset wips statistics

清除指定VSD内内学习到的AP表项和客户端表项

reset wips virtual-security-domain vsd-name { ap { all | mac-address mac-address} | client { all | mac-address mac-address } | all }

清除指定VSD内所有被反制过的设备信息

reset wips virtual-security-domain vsd-name countermeasure record

清除私接代理检测信息表项

reset wlan nat-detect

 

1.14  WIPS典型配置举例

1.14.1  WIPS分类与反制配置举例

1. 组网需求

图1-3所示,AP通过交换机与AC相连,AP1和AP2为Client提供无线服务,SSID为“abc”,在Sensor上开启WIPS功能,配置分类策略,将非法客户端的MAC地址(000f-1c35-12a5)添加到静态禁用列表中,将SSID“abc”添加到静态信任列表中,要求对检测到的潜在外部AP和未授权客户端进行反制。

2. 组网图

图1-3 WIPS分类与反制组网图

 

3. 配置步骤

在AC上完成无线服务的相关配置,具体配置步骤可参见“WLAN配置指导”中的“WLAN接入”,此处不再重复。

# 配置虚拟安全域vsd1。

<AC> system-view

[AC] wips

[AC-wips] virtual-security-domain vsd1

[AP-wips-vsd-vsd1] quit

[AC-wips] quit

# 创建AP名称为Sensor,开启WIPS功能。

[AC] wlan ap Sensor model WA5320E-WiNet

[AC-wlan-ap-Sensor] serial-id 219801A1FF8171E00361

[AC-wlan-ap-Sensor] radio 1

[AC-wlan-ap-Sensor-radio-1] radio enable

[AC-wlan-ap-Sensor-radio-1] wips enable

[AC-wlan-ap-Sensor-radio-1] quit

# 配置Sensor加入虚拟安全域vsd1。

[AC-wlan-ap-Sensor] wips virtual-security-domain vsd1

[AC-wlan-ap-Sensor] quit

# 配置分类策略class1,将Client 2的MAC地址配置禁用MAC地址,并且将名为“abc”的SSID配置为信任SSID。

[AC] wips

[AC-wips] classification policy class1

[AC-wips-cls-class1] block mac-address 000f-1c35-12a5

[AC-wips-cls-class1] trust ssid abc

[AC-wips-cls-class1] quit

# 虚拟安全域vsd1应用分类策略class1。

[AC-wips] virtual-security-domain vsd1

[AC-wips-vsd-vsd1] apply classification policy class1

[AC-wips-vsd-vsd1] quit

# 配置反制策略protect,反制未授权客户端和潜在外部AP。

[AC-wips] countermeasure policy protect

[AC-wips-cms-protect] countermeasure unauthorized-client

[AC-wips-cms-protect] countermeasure potential-external-ap

[AC-wips-cms-protect] quit

# 虚拟安全域vsd1应用反制策略protect。

[AC-wips] virtual-security-domain vsd1

[AC-wips-vsd-vsd1] apply countermeasure policy protect

[AC-wips-vsd-vsd1] quit

[AC-wips] quit

4. 验证配置

(1)     通过display wips virtual-security-domain命令查看无线设备的分类结果。

[AC] display wips virtual-security-domain vsd1 device

Total 3 detected devices in virtual-security-domain vsd1

 

Class: Auth - authorization; Ext - extern; Mis - mistake;

       Unauth - unauthorized; Uncate - uncategorized;

       (A) - associate; (C) - config; (P) - potential

 

MAC address    Type   Class    Duration    Sensors Channel Status

00e0-fc00-5829 AP     Auth     00h 10m 24s 1       149     Active

000f-e228-2528 AP     Auth     00h 10m 04s 1       149     Active

000f-e223-1616 AP     Ext(P)   00h 10m 46s 1       149     Active

000f-1c35-12a5 Client Unauth   00h 10m 02s 1       149     Active

000f-e201-0102 Client Auth     00h 10m 02s 1       149     Active

在虚拟安全域vsd1,MAC地址为000f-e223-1616的AP被分类成潜在外部AP,MAC地址为000f-1c35-12a5的客户端被分类为未授权的客户端。

(2)     通过命令行display wips virtual-security-domain vsd1 countermeasure record命令查看反制过的设备记录信息。

[AC] display wips virtual-security-domain vsd1 countermeasure record

Total 2 times countermeasure, current 2 countermeasure record in virtual-security-domain vsd1

 

Reason: Attack; Ass - associated; Black - blacklist;                           

        Class - classification; Manu - manual;                                 

                                                                                

MAC address    Type   Reason   Countermeasure AP      Radio ID   Time          

000f-e223-1616 AP     Class    Sensor                 1          2014-06-03/10:30:36

000f-1c35-12a5 Client Class    Sensor                 1          2014-06-03/09:13:26

在虚拟安全域vsd1,MAC地址为000f-1c35-12a5的未授权客户端和MAC地址为000f-e223-1616的潜在外部AP被反制。

1.14.2  WIPS畸形报文检测和泛洪攻击检测配置举例

1. 组网需求

图1-4所示,AP通过交换机与AC相连,将两台AP分别配置为Sensor,配置虚拟安全域VSD_1,并配置两台Sensor属于这个虚拟安全域,当检测到攻击者对无线网络进行IE重复的畸形报文或Beacon帧泛洪攻击时,AP向AC发送告警信息。

2. 组网图

图1-4 畸形报文检测和泛洪攻击检测组网图

 

 

3. 配置步骤

在AC上完成无线服务的相关配置,具体配置步骤可参见“WLAN配置指导”中的“WLAN接入”,此处不再重复。

# 创建AP名称为sensor1,开启WIPS功能。

<AC> system-view

[AC] wlan ap sensor1 model WA5320E-WiNet

[AC-wlan-ap-sensor1] serial-id 219801A1FF8171E00361

[AC-wlan-ap-sensor1] radio 1

[AC-wlan-ap-sensor1-radio-1] radio enable

[AC-wlan-ap-sensor1-radio-1] wips enable

[AC-wlan-ap-sensor1-radio-1] return

# 创建AP名称为sensor2,开启WIPS功能。

<AC> system-view

[AC] wlan ap sensor2 model WA5320E-WiNet

[AC-wlan-ap-sensor2] serial-id 219801A1FF8171E00363

[AC-wlan-ap-sensor2] radio 1

[AC-wlan-ap-sensor2-radio-1] radio enable

[AC-wlan-ap-sensor2-radio-1] wips enable

[AC-wlan-ap-sensor2-radio-1] quit

[AC-wlan-ap-sensor2] quit

# 配置虚拟安全域VSD_1。

[AC] wips

[AC-wips] virtual-security-domain VSD_1

[AP-wips-vsd-VSD_1] quit

# 创建攻击检测策略,当检测到IE重复的畸形报文和Beacon帧泛洪攻击时,向AC发送日志信息或告警信息。检测IE重复的畸形报文的静默时间为50秒,检测Beacon帧的统计周期为100秒,触发阈值为200,静默时间为50秒。

[AC-wips] detect policy dtc1

[AC-wips-dtc-dtc1] malformed duplicated-ie quiet 50

[AC-wips-dtc-dtc1] flood beacon interval 100 quiet 50 threshold 200

[AC-wips-dtc-dtc1] quit

# 在虚拟安全域VSD_1上应用攻击检测策略。

[AC-wips] virtual-security-domain VSD_1

[AC-wips-vsd-VSD_1] apply detect policy dtc1

[AC-wips-vsd-VSD_1] quit

[AC-wips] quit

# 配置sensor1加入虚拟安全域VSD_1。

[AC] wlan ap sensor1

[AC-wlan-ap-sensor1] wips virtual-security-domain VSD_1

[AC-wlan-ap-sensor1] quit

# 配置sensor2加入虚拟安全域VSD_1。

[AC] wlan ap sensor2

[AC-wlan-ap-sensor2] wips virtual-security-domain VSD_1

[AC-wlan-ap-sensor2] return

4.  验证结果

(1)     当网络中没有攻击者时,在AC上通过命令行display wips statistics receive命令查看收到报文的统计信息,畸形报文和泛洪报文的统计个数为0。

<AC> display wips statistics receive

Information from sensor 1

Information about attack statistics:

Detected association-request flood messages: 0

Detected authentication flood messages: 0

Detected beacon flood messages: 0

Detected block-ack flood messages: 0

Detected cts flood messages: 0

Detected deauthentication flood messages: 0

Detected disassociation flood messages: 0

Detected eapol-start flood messages: 0

Detected null-data flood messages: 0

Detected probe-request flood messages: 0

Detected reassociation-request flood messages: 0

Detected rts flood messages: 0

Detected duplicated-ie messages: 0

Detected fata-jack messages: 0

Detected illegal-ibss-ess messages: 0

Detected invalid-address-combination messages: 0

Detected invalid-assoc-req messages: 0

Detected invalid-auth messages: 0

Detected invalid-deauth-code messages: 0

Detected invalid-disassoc-code messages: 0

Detected invalid-ht-ie messages: 0

Detected invalid-ie-length messages: 0

Detected invalid-pkt-length messages: 0

Detected large-duration messages: 0

Detected null-probe-resp messages: 0

Detected overflow-eapol-key messages: 0

Detected overflow-ssid messages: 0

Detected redundant-ie messages: 0

Detected AP spoof AP messages: 0

Detected AP spoof client messages: 0

Detected AP spoof ad-hoc messages: 0

Detected ad-hoc spoof AP messages: 0

Detected client spoof AP messages: 0

Detected weak IV messages: 0

Detected excess AP messages: 0

Detected excess client messages: 0

Detected sig rule messages: 0

Information from sensor 2

Information about attack statistics:

Detected association-request flood messages: 0

Detected authentication flood messages: 0

Detected beacon flood messages: 0

Detected block-ack flood messages: 0

Detected cts flood messages: 0

Detected deauthentication flood messages: 0

Detected disassociation flood messages: 0

Detected eapol-start flood messages: 0

Detected null-data flood messages: 0

Detected probe-request flood messages: 0

Detected reassociation-request flood messages: 0

Detected rts flood messages: 0

Detected duplicated-ie messages: 0

Detected fata-jack messages: 0

Detected illegal-ibss-ess messages: 0

Detected invalid-address-combination messages: 0

Detected invalid-assoc-req messages: 0

Detected invalid-auth messages: 0

Detected invalid-deauth-code messages: 0

Detected invalid-disassoc-code messages: 0

Detected invalid-ht-ie messages: 0

Detected invalid-ie-length messages: 0

Detected invalid-pkt-length messages: 0

Detected large-duration messages: 0

Detected null-probe-resp messages: 0

Detected overflow-eapol-key messages: 0

Detected overflow-ssid messages: 0

Detected redundant-ie messages: 0

Detected AP spoof AP messages: 0

Detected AP spoof client messages: 0

Detected AP spoof ad-hoc messages: 0

Detected ad-hoc spoof AP messages: 0

Detected client spoof AP messages: 0

Detected weak IV messages: 0

Detected excess AP messages: 0

Detected excess client messages: 0

Detected sig rule messages: 0

(2)     当检测到IE重复的畸形报文和Beacon帧泛洪攻击时,在AC上通过命令行display wips statistics receive查看收到报文的统计信息,IE重复的畸形报文的统计个数为28和Beacon帧泛洪攻击的统计个数为18。

<AC> display wips statistics receive

Information from sensor 1

Information about attack statistics:

Detected association-request flood messages: 0

Detected authentication flood messages: 0

Detected beacon flood messages: 18

Detected block-ack flood messages: 0

Detected cts flood messages: 0

Detected deauthentication flood messages: 0

Detected disassociation flood messages: 0

Detected eapol-start flood messages: 0

Detected null-data flood messages: 0

Detected probe-request flood messages: 0

Detected reassociation-request flood messages: 0

Detected rts flood messages: 0

Detected duplicated-ie messages: 0

Detected fata-jack messages: 0

Detected illegal-ibss-ess messages: 0

Detected invalid-address-combination messages: 0

Detected invalid-assoc-req messages: 0

Detected invalid-auth messages: 0

Detected invalid-deauth-code messages: 0

Detected invalid-disassoc-code messages: 0

Detected invalid-ht-ie messages: 0

Detected invalid-ie-length messages: 0

Detected invalid-pkt-length messages: 0

Detected large-duration messages: 0

Detected null-probe-resp messages: 0

Detected overflow-eapol-key messages: 0

Detected overflow-ssid messages: 0

Detected redundant-ie messages: 0

Detected AP spoof AP messages: 0

Detected AP spoof client messages: 0

Detected AP spoof ad-hoc messages: 0

Detected ad-hoc spoof AP messages: 0

Detected client spoof AP messages: 0

Detected weak IV messages: 0

Detected excess AP messages: 0

Detected excess client messages: 0

Detected sig rule messages: 0

Information from sensor 2

Information about attack statistics:

Detected association-request flood messages: 0

Detected authentication flood messages: 0

Detected beacon flood messages: 0

Detected block-ack flood messages: 0

Detected cts flood messages: 0

Detected deauthentication flood messages: 0

Detected disassociation flood messages: 0

Detected eapol-start flood messages: 0

Detected null-data flood messages: 0

Detected probe-request flood messages: 0

Detected reassociation-request flood messages: 0

Detected rts flood messages: 0

Detected duplicated-ie messages: 28

Detected fata-jack messages: 0

Detected illegal-ibss-ess messages: 0

Detected invalid-address-combination messages: 0

Detected invalid-assoc-req messages: 0

Detected invalid-auth messages: 0

Detected invalid-deauth-code messages: 0

Detected invalid-disassoc-code messages: 0

Detected invalid-ht-ie messages: 0

Detected invalid-ie-length messages: 0

Detected invalid-pkt-length messages: 0

Detected large-duration messages: 0

Detected null-probe-resp messages: 0

Detected overflow-eapol-key messages: 0

Detected overflow-ssid messages: 0

Detected redundant-ie messages: 0

Detected AP spoof AP messages: 0

Detected AP spoof client messages: 0

Detected AP spoof ad-hoc messages: 0

Detected ad-hoc spoof AP messages: 0

Detected client spoof AP messages: 0

Detected weak IV messages: 0

Detected excess AP messages: 0

Detected excess client messages: 0

Detected sig rule messages: 0

1.14.3  Signature检测配置举例

1. 组网需求

图1-5所示,AP通过交换机与AC相连,AP1和AP2为Client提供无线服务,SSID为“abc”,在Sensor上开启WIPS功能,配置Signature检测,检测无线环境中是否存在其他的无线服务,对SSID不是abc的Beacon帧进行检测, Sensor向AC发送告警信息。

2. 组网图

图1-5 WIPS的攻击检测组网图

 

 

3. 配置步骤

在AC上完成无线服务的相关配置,具体配置步骤可参见“WLAN配置指导”中的“WLAN接入”,此处不再重复。

# 创建AP名称为sensor1,开启WIPS功能。

<AC> system-view

[AC] wlan ap sensor1 model WA5320E-WiNet

[AC-wlan-ap-sensor1] serial-id 219801A1FF8171E00361

[AC-wlan-ap-sensor1] radio 1

[AC-wlan-ap-sensor1-radio-1] radio enable

[AC-wlan-ap-sensor1-radio-1] wips enable

[AC-wlan-ap-sensor1-radio-1] quit

[AC-wlan-ap-sensor1 ] quit

# 创建虚拟安全域vsd1。

[AC] wips

[AC-wips] virtual-security-domain vsd1

[AC-wips] quit

# 配置sensor1加入虚拟安全域vsd1。

[AC] wlan ap sensor1

[AC-wlan-ap-sensor1] wips virtual-security-domain vsd1

[AC-wlan-ap-sensor1] quit

# Signature规则1,配置子规则对SSID不是abc的Beacon帧进行检测。

[AC] wips

[AC-wips] signature rule 1

[AC-wips-sig-rule-1] frame-type management frame-subtype beacon

[AC-wips-sig-rule-1] ssid not equal abc

[AC-wips-sig-rule-1] quit

# 创建Signature策略sig1,应用Signature规则1,配置统计周期为5秒,发出告警后的静默时间为60秒,统计次数的阈值为60。

[AC-wips] signature policy sig1

[AC-wips-sig-sig1] apply signature rule 1

[AC-wips-sig-sig1] detect signature interval 5 quiet 60 threshold 60

[AC-wips-sig-sig1] quit

# 配置虚拟安全域vsd1,应用Signature策略。

[AC] wips

[AC-wips] virtual-security-domain vsd1

[AP-wips-vsd-vsd1] apply signature policy sig1

[AP-wips-vsd-vsd1] quit

4. 验证结果

(1)     当检测到SSID为“free_wlan”的无线服务后,AC会收到Sensor发送的告警信息。

WIPS/5/WIPS_SIGNATURE: -VSD=vsd1-RuleID=1; Signature rule matched.

(2)     在AC上通过命令行display wips statistics receive查看Signature检测统计信息,Signature检测统计计数为 26。

[AC] display wips statistics receive

Information from sensor

Information about attack statistics:

Detected association-request flood messages: 0

Detected authentication flood messages: 0

Detected beacon flood messages: 0

Detected block-ack flood messages: 0

Detected cts flood messages: 0

Detected deauthentication flood messages: 0

Detected disassociation flood messages: 0

Detected eapol-start flood messages: 0

Detected null-data flood messages: 0

Detected probe-request flood messages: 0

Detected reassociation-request flood messages: 0

Detected rts flood messages: 0

Detected duplicated-ie messages: 0

Detected fata-jack messages: 0

Detected illegal-ibss-ess messages: 0

Detected invalid-address-combination messages: 0

Detected invalid-assoc-req messages: 0

Detected invalid-auth messages: 0

Detected invalid-deauth-code messages: 0

Detected invalid-disassoc-code messages: 0

Detected invalid-ht-ie messages: 0

Detected invalid-ie-length messages: 0

Detected invalid-pkt-length messages: 0

Detected large-duration messages: 0

Detected null-probe-resp messages: 0

Detected overflow-eapol-key messages: 0

Detected overflow-ssid messages: 0

Detected redundant-ie messages: 0

Detected AP spoof AP messages: 0

Detected AP spoof client messages: 0

Detected AP spoof ad-hoc messages: 0

Detected ad-hoc spoof AP messages: 0

Detected client spoof AP messages: 0

Detected weak IV messages: 0

Detected excess AP messages: 0

Detected excess client messages: 0

Detected sig rule messages: 26

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!