选择区域语言: EN CN HK

H3C WA系列Fat AP典型配置案例集-6W104

09-H3C WA系列动态黑名单典型配置举例

本章节下载  (143.26 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Typical_Configuration_Example/H3C_WA_Fat_AP-6W104/201909/1225116_30005_0.htm

09-H3C WA系列动态黑名单典型配置举例

H3C WA系列动态黑名单典型配置举例

关键词:WIDS

 要:本文介绍了用H3C公司WA系列AP部署动态黑名单功能时的必需的配置。

缩略语:

缩略语

英文全名

中文解释

WIDS

Wireless Intrusion Detection System

无线入侵检测系统

 



1 特性简介

1.1  特性介绍

1.1.1  泛洪攻击检测

泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪攻击报文淹没而无法处理真正的无线终端的报文。

IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。

IDS支持下列报文的泛洪攻击检测。

l              认证请求/解除认证请求Authentication / De-authentication

l              关联请求/解除关联请求/重新关联请求Association / Disassociation / Reassociation

l              探查请求Probe request

l              空数据帧;

l              Action帧;

当一个AP支持超过一个BSSID时,无线终端会发送探查请求报文到每个单独的BSSID。所以在报文为探查请求报文的情况下,需要考虑源端和目的地的共同流量,而对于其它类型的报文,只需要考虑源端的流量即可。

1.2  特性优点

作为一种防护手段,有效地应对了网络中潜在存在的客户端对AP发起的泛洪攻击,保障AP正常工作。

2 应用场合

复杂网络中,有潜在攻击的场合。

3 注意事项

(1)        AP上WIDS功能配置正确。

(2)        动态黑名单功能启用。

4 配置举例

4.1  组网需求

本配置举例中的AP使用的是WA2200系列无线局域网接入点设备,IP地址为192.168.0.50/24。AP的配置应根据具体的AP型号和序列号进行配置。

 

本配置举例中Client 1和Client 2是两个无线用户,当他们对AP发起泛洪攻击时,AP就可以把他们添加到动态黑名单里。

图4-1 WA系列动态黑名单组网图

 

4.2  配置思路

l              使能WIDS

l              配置动态黑名单功能

4.3  使用版本

<AP> display version

H3C Comware Platform Software

Comware Software, Version 5.20, Beta 1108

Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

WA2220E-AG uptime is 0 week, 0 day, 0 hour, 17 minutes

 

 CPU type: AMCC PowerPC 266MHz

 64M bytes SDRAM Memory

 8M bytes Flash Memory

 Pcb             Version:  Ver.B

 Basic  BootROM  Version:  1.11

 Extend BootROM  Version:  1.11

 [SLOT  1]CON           (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]ETH1/0/1      (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/1    (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/2    (Hardware)Ver.A, (Driver)1.0

4.4  配置步骤

1. 配置信息:

<AP> display current-configuration

#

 version 5.20, Beta 1108

#

 sysname AP

#

 domain default enable system

#

 telnet server enable

#

vlan 1

#

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-group system

#

local-user admin

 password simple admin

 authorization-attribute level 3

 service-type telnet

#

wlan rrm

 dot11a mandatory-rate 6 12 24

 dot11a supported-rate 9 18 36 48 54

 dot11b mandatory-rate 1 2

 dot11b supported-rate 5.5 11

 dot11g mandatory-rate 1 2 5.5 11

 dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan service-template 1 clear

 ssid SYS

 service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.0.50 255.255.255.0

#

interface Ethernet1/0/1

#

interface WLAN-BSS1

#

interface WLAN-Radio1/0/1

#

interface WLAN-Radio1/0/2

 channel 1

 service-template 1 interface wlan-bss 1

#

wlan ids

 dynamic-blacklist enable

 dynamic-blacklist lifetime 500

 attack-detection enable flood

#

 load xml-configuration

#

user-interface con 0

user-interface vty 0 4

 authentication-mode scheme

#

return

<AP>

2. 主要配置步骤

# 配置WIDS。

[AP] wlan ids

# 使能泛洪攻击入侵检测。

[AP-wlan-ids] attack-detection enable flood

# 使能动态黑名单功能。

[AP-wlan-ids] dynamic-blacklist enable

#设置动态黑名单表项生命周期。

[AP-wlan-ids] dynamic-blacklist lifetime 300

当Client被加入到动态黑名单中时,Client将被“管制”所设置的lifetime的时间。Client从黑名单中“释放”的条件是lifetime时间到期且client不再发攻击报文。这个lifetime时长可以根据要求设置,范围是1分钟到1小时,设备默认时长是300秒。

3. 验证结果

当Client 发起对AP泛洪攻击时(例如:Client向AP发送大量攻击性关联帧报文,或者向AP发送大量攻击性去关联帧报文),AP将该Client 加入到动态黑名单中,在一段时间内该Client将不能与任何AP发生关联。

<AP> display wlan blacklist dynamic   

Total Number of Entries: 2

                               Dynamic Blacklist                         

----------------------------------------------------------------------

 MAC-Address    Lifetime(s) Last Updated Since(hh:mm:ss)     Reason      

----------------------------------------------------------------------

 000e-35b2-8be9 500          00:02:11                         Assoc-Flood 

 0000-0000-0002 500          00:01:17                         Deauth-Flood

 

Assoc-Flood指该Client因发送关联帧攻击而被加入黑名单;Deauth-Flood是指该Client因发送去关联帧攻击而被加入到黑名单中。

5 相关资料

5.1  相关协议和标准

5.2  其它相关资料

《H3C WA系列无线局域网接入点设备 用户手册》“WLAN分册”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!