12-WIPS配置指导
本章节下载: 12-WIPS配置指导 (597.53 KB)
· 本特性的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
· 目前只有WA2600系列、WA3600系列和WA2110-GN型号的AP支持WLAN IPS特性。
802.11网络容易受到各种干扰源、恶意入侵者、非法客户端以及周边无线设施的威胁或影响。WIDS(Wireless Intrusion Detection System,无线入侵检测)用于对有恶意的用户攻击及入侵无线网络进行早期检测。WIPS(Wireless Intrusion Prevention System,无线入侵防护)可以根据企业用户自定义的无线安全策略对802.11网络中存在的威胁网络安全、干扰网络服务、影响网络性能的无线行为或设备进行全面的检测及防护。
WLAN网络在组网过程中可以根据职能不同在逻辑上划分成多个区域,每个区域对接入服务的安全性、安全级别、无线设备的无线行为要求不同,我们称这些不同的区域为虚拟安全域(Virtual Security Domain)。
WLAN IPS可以对无线接入网络的各个虚拟安全域采用不同的安全检测及防护策略。
Sensor是指开启了WIPS功能的AP。WIPS通过Sensor来监听无线信道并对非法无线设备实施反制。
Sensor按照工作模式的不同可以分为两类:
AP上的一个或多个Radio专门用于执行WIPS功能,此时该Radio不能提供接入服务。
AP上的一个或多个Radio在提供接入服务的同时还可以执行WIPS功能。带内Sensor根据WIPS对无线信道执行扫描的时长不同可以采用以下三种策略:
· 接入优先策略:无线信道用于无线接入的时长较长,用于WIPS扫描监听的时长较短,无线客户端数据通信丢包少、接入效果好。相对地,由于Sensor对无线信道的扫描时间较短,WIPS对无线信道的监听能力较弱,遗漏可识别无线设备非法入侵行为的无线报文的概率大,WIPS的检测与防护效果差。
· 扫描优先策略:无线信道用于WIPS扫描监听的时长较长,用于无线接入的时长较短,无线客户端数据通信丢包多、接入效果差,语音、视频等实时业务无法使用。相对地,由于Sensor对无线信道的扫描时间较长,WIPS对无线信道的监听能力加强,WIPS的检测与防护效果好。
· 均衡策略:兼顾无线接入与WIPS的效果,对上述两种策略采取折中策略。
信任设备列表中保存了允许在无线网络中使用的AP或无线客户端的MAC地址。用户可以通过静态添加和动态学习两种方式来添加信任设备的MAC地址到信任设备列表中。其中,动态学习方式是针对无线客户端的。当WIPS检测到一个无线客户端通过加密认证方式从授权AP上线后,就认为该无线客户端是受信任的,并将其添加到信任设备列表中。
静态信任OUI列表记录了可信任设备OUI或设备厂商vendor信息,它可以作为信任设备列表的补充。用户通过设置信任OUI列表,可以决定具备哪些OUI或vendor信息的设备被允许在无线网络中使用。
禁用设备列表中保存了禁止在无线网络中使用的AP或无线客户端的MAC地址。对于禁用的无线客户端,WIPS还可以阻止其接入无线服务。
WIPS将AC上配置并启用的无线服务信息(主要包括该无线服务的SSID、加密套件、安全IE以及认证方式等信息)记录下来作为当前无线网络中合法使用的无线服务策略。符合这些无线服务策略的AP才会被认为是配置正确的AP,不符合要求的AP被认为是配置错误的AP。
WIPS通过侦听无线信道的802.11报文来识别无线设备,并对其进行WIPS分类。
WIPS将检测到的AP设备分为以下几类:
· 授权AP(Authorized AP):允许在无线网络中使用的AP。可以是已经关联到AC上的AP,或是信任设备列表或静态信任OUI列表中的AP且它使用的无线服务配置正确,也可以是通过自定义AP分类规则配置或手动指定的AP。
· 非法AP(Rogue AP):不允许在无线网络中使用的AP。可以是禁用设备列表中的AP,或是WIPS检测出的有危害网络安全行为的AP,也可以是通过自定义AP分类规则配置或手动指定的AP。
· 配置错误的AP(Misconfigured AP):允许在无线网络中使用的AP,但是它的无线服务配置不正确。比如一个在信任设备列表中的AP,它的SSID不是网络中允许使用的SSID。
· 外部AP(External AP):周边其他无线网络中的AP。WIPS可能会检测到邻近网络中的AP,比如临近公司或个人住宅中的AP,这种AP对于本网络是不存在安全威胁。
· Ad hoc:运行在Ad hoc模式的无线设备。Ad hoc设备间可以直接进行通讯,这种行为对网络信息安全是存在一定威胁的。
· Mesh AP:配置为mesh网络模式的AP设备。Mesh AP之间可以通过搭建无线网桥直接进行数据通信,这种行为对网络信息安全是存在一定威胁的。
· 潜在授权的AP(Potential-authorized AP):无法确定但可能是授权的AP。如果AP既不在信任设备列表中也不在禁用设备列表中,同时也不在静态信任OUI列表中,但它的无线服务配置正确,并且检测到它的有线端口连接到网络中,则该AP很可能是授权的AP,如Remote AP。
· 潜在非法的AP(Potential-rogue AP):无法确定但可能是非法的AP。如果AP既不在信任设备或信任OUI列表中也不在禁用设备列表中,而且它的无线服务配置也不正确,那么,如果检测到它的有线端口可能连接到网络中,则认为其为潜在非法的AP;如果能确定其有线端口连接到网络中,则认为其为非法AP,如恶意入侵者私自接入网络的AP。
· 潜在外部的AP(Potential-external AP):无法确定但可能是外部的AP。如果AP既不在信任设备列表中也不在禁用设备列表中,同时也不在静态信任OUI列表中,而且它的无线服务配置也不正确,同时也没有检测到它的有线端口连接到网络中,则该AP很可能是外部的AP。
· 无法确认的AP(Uncategorized AP):无法确定归属类别的AP。
图1-1 WIPS对检测到的AP设备的分类处理流程
WIPS将检测到的无线客户端分为以下几类:
· 授权的无线客户端(Authorized Client):允许使用的无线客户端。如关联到授权AP上的受信任的无线客户端或通过加密认证方式关联到授权AP上的客户端都是授权的无线客户端,对于后者,如果AP上开启了认证且使用了非WEP方式加密,则客户端还会被自动地添加到信任设备列表中。
· 未授权的无线客户端(Unauthorized Client):不允许使用的无线客户端。如在禁用设备列表中的无线客户端或连接到Rogue AP上的无线客户端都是未授权的无线客户端。
· 错误关联的无线客户端(Misassociation Client):信任设备列表中的无线客户端关联到非授权AP上。合法的无线客户端只能连接到授权AP上,如果它有意或无意的关联到非授权AP上会对网络信息安全带来隐患。
· 无法确认的无线客户端(Uncategorized Client):无法确定归属类别的无线客户端。
· 未关联的无线客户端(Unassociated Client):未关联AP的无线客户端。
图1-2 WIPS对检测到的无线客户端的分类处理流程
WIPS通过分析侦听到的802.11无线报文,来检测针对WLAN网络的无意或者恶意的攻击,并以告警的方式通知网络管理员。目前WIPS支持的攻击检测包括Spoofing检测、Ad hoc网络检测、非法信道检测、DoS攻击检测、Flood攻击检测、自定义攻击检测和针对WIPS系统的攻击检测。
Spoofing攻击是指潜在的攻击者会仿冒其他设备的名义来威胁无线网络的安全。例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证报文就可能导致客户端下线,从而达到破坏无线网络正常工作的目的;又或者攻击者仿冒成合法的AP来诱使合法的客户端关联,攻击者仿冒成合法的客户端与AP关联等,从而可能导致用户账户信息的泄露。
WIPS系统支持AP仿冒和客户端仿冒两种Spoofing检测。
Ad hoc网络是由若干无线客户端组成的,不需要使用AP即可直接进行通信的无线网络。Ad hoc网络的结构特点导致该类型网络的安全性是不可预计的,所以Ad hoc网络更容易遭受各种无线入侵威胁并导致无线客户端感染病毒等问题。例如,如果组成Ad hoc网络的无线客户端不使用加密,则它们之间通信都将暴露给监听者,从而导致用户私密信息的泄露。
用户可以设置合法信道集合,如果WIPS系统在合法信道集合之外的其它信道上监听到无线通信,则认为在监听到无线通信的信道上存在入侵行为。
WIPS系统将攻击无线设备表项的攻击行为归类为DoS类攻击。这类攻击是利用WLAN网络协议的缺陷来破坏正常无线网络的工作,攻击的目标通常是AP,使其无法正常处理合法客户端的请求。
· 鉴权DoS攻击
该攻击通过模拟大量的客户端向AP发送鉴权请求帧来攻击AP的关联客户端列表。当列表中表项数目达到上限时,该AP就无法处理合法客户端的鉴权请求了。
· 关联/重关联DoS攻击
该攻击通过模拟大量的客户端向AP发送关联请求/重关联请求帧,使AP的关联列表中存在大量虚假的客户端,达到拒绝合法客户端接入的目的。
· EAPOL-Start DoS攻击
IEEE 802.1X标准定义了一种基于EAPOL的认证协议,该协议通过客户端发送EAPOL-Start帧开始一次认证流程。AP接收到EAPOL-Start后会回复一个EAP-Identity-Request,并为该客户端分配一些内部资源来记录认证状态。攻击者可以通过模拟大量的客户端向AP发送EAPOL-Start来耗尽该AP的内部资源,达到拒绝合法客户端的认证请求的目的。
泛洪攻击(Flooding攻击)是指无线设备会在短时间内收到大量的同种类型的报文,此时无线设备会被泛洪的攻击报文淹没而无法处理合法无线客户端的报文。
· 广播/单播解除鉴权泛洪攻击
该攻击通过仿冒AP向与其关联的客户端发送广播/单播的解除鉴权帧,使得被攻击的客户端与AP的关联断开。这种攻击在中断客户端无线服务方面非常有效和迅速,其中单播取消鉴权攻击是针对某一个客户端,而广播取消鉴权攻击是针对与该AP关联的所有客户端。
· 广播/单播解除关联泛洪攻击
攻击原理同广播/单播解除鉴权泛洪。该攻击是通过仿冒AP向与其关联的客户端发送广播/单播解除关联帧,使得被攻击的客户端与AP的关联断开。这种攻击同样在中断客户端无线服务方面非常有效和迅速。
· EAPOL-Logoff泛洪攻击
IEEE 802.1X标准定义了一种基于EAPOL的认证协议。当通过认证的客户端想断开连接时,该客户端会发送一个EAPOL-Logoff来关闭与AP间的会话。但EAPOL-Logoff帧是无认证的,因此攻击者能仿冒合法客户端向AP发送EAPOL-Logoff使得AP关闭该客户端的连接。持续的发送仿冒的EAPOL-Logoff能使被攻击的客户端无法保持同AP间的连接。
WLAN可能通过802.1X协议对无线客户端进行认证。当认证成功时,AP会向客户端发送一个EAP-Success;当认证失败时,AP会向客户端发送一个EAP-Failure。攻击者能仿冒AP向请求认证的客户端发送EAP-Failure或EAP-Success来破坏该客户端的认证过程。持续的发送仿冒的EAP-Failure或EAP-Success能有效的阻止被攻击的客户端与AP间的认证。
· PS-Poll泛洪攻击
该攻击是利用了WLAN中节电管理机制的漏洞。当无线客户端处于休眠状态时,AP会替该客户端缓存数据帧,并通告客户端其有缓存数据。客户端结束休眠后通过PS-Poll帧向AP获取缓存的帧,对于每个PS-Poll帧AP会回应一个缓存的该客户端的数据帧。攻击者可以通过仿冒客户端向AP泛洪发送PS-Poll帧,AP将向对应的客户端发送缓存的数据帧。如果当前该客户端仍处于休眠状态,则这些数据帧都将被错误的丢弃,最终导致真正地客户端无法接收到数据帧。
· AP 泛洪攻击
Fake AP通过产生大量虚假的AP来保护真实的AP不被攻击者发现,是一种常用的保护WLAN网络的工具。但攻击者也可以通过该工具产生大量虚假的AP,从而达到误导合法客户端的关联、消耗网络带宽以及干扰WIPS系统等目的。
· RTS/CTS泛洪攻击
RTS(Request to Send发送请求)/CTS(Clear to Send清除发送请求)泛洪攻击是利用了虚拟载波机制的漏洞。无线通信双方通过RTS/CTS交互过程预留无线媒介,通信范围内的其它无线设备在收到RTS和(或)CTS后,将根据其中携带的信息来延迟发送。攻击者能通过泛洪发送RTS和(或)CTS来阻塞WLAN网络中合法无线设备的通信。
· BA泛洪攻击
BA泛洪攻击是指攻击者通过仿冒Block Ack会话请求方,发送Block Ack会话请求帧(ADDBA Request)给接收方,改变接收窗口的大小和接收窗口的起始序列号,使得来自发送方的帧被接收方丢弃,从而导致接收方无法接收到数据帧。
用户可以根据实际的网络状况来配置Signature规则,并通过该规则来实现自定义攻击行为的检测。WIPS系统允许用户灵活的配置Signature规则,如指定攻击行为涉及的帧类型、MAC地址、SSID特征等,这样有效的提高了WIPS系统的攻击检测能力。
这类攻击的目标是WIPS系统,如通过发送大量无效的报文来增加WIPS的处理开销或者攻击WIPS系统的内部表项等。WIPS系统能检测出这类攻击,并通过报文过滤和报文限速等方式来降低这类攻击对系统的影响。
WIPS系统OUI库中导入了合法的OUI设备信息,当用户开启非法OUI检测功能后,对于其OUI不属于WIPS系统OUI库的设备,会被检测为invalid-oui,同时用户可以将这类非法OUI的AP设备分类为Rogue,而Client设备会归类为非授权。
WEP安全协议使用的RC4加密算法存在一定程度的缺陷,当其所用的IV值不安全时会大大增加其密钥被破解的可能性,该类IV值即被称为Weak IV。WIPS特性通过检测每个WEP报文的IV值来预防这种攻击,当检测到Weak IV时,WIPS即产生告警,提示当前无线网络环境存在安全隐患,同时用户还可以配置发出告警后的静默时间,避免短时间生成大量Weak IV告警事件。
热点攻击指恶意AP使用热点SSID来吸引周围的无线客户端来关联自己。许多企业的用户使用的是移动式wifi来连接企业网,同时这些移动式wifi也会在机场、咖啡厅等地方配置热点。攻击者通过伪造这些热点来引诱这些无线客户端关联自己。一旦无线客户端与恶意AP关联上,攻击者就会发起一系列的安全攻击,获取企业网络的信息。用户通过在WIPS系统中配置热点列表,来指定WIPS系统对使用这些热点的AP和信任的Client进行热点攻击检测。当检测到热点攻击时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患,同时用户还可以配置发出告警后的静默时间,避免短时间生成大量节电攻击类型的告警事件。
在企业网络中,如果有授权AP或信任的Client使用的配置是未加密的,那么很容易导致企业网络中的内容被外面的攻击者监听获取到,从而导致企业网络信息泄露。WIPS系统会对信任的无线客户端或授权AP发出的管理帧或数据帧进行分析,来判断其是否使用了加密配置。当检测到有授权AP未加密或信任Client关联到了未加密AP上时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患,同时用户还可以配置发出告警后的静默时间,避免短时间生成大量节电攻击类型的告警事件。
未加密设备检测分为两类:未加密授权AP检测和未加密信任无线客户端检测。
对于处于节电模式下的Client,攻击者可以通过发送节电模式开启报文(Null帧)的方式诱使AP相信与其关联的Client始终处于睡眠状态,并为该Client暂存帧。被攻击的Client因为处于非节电模式而无法获取这些暂存帧。根据暂存帧老化原则,在一定的时间之后暂存帧会被自动丢弃,从而达到破坏无线服务的目的。WIPS系统通过检测节电模式开启关闭报文比例值判断是否存在节电攻击。当检测到该攻击时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患,同时用户还可以配置发出告警后的静默时间,避免短时间生成大量节电攻击类型的告警事件。
当一个连接到有线网络中的无线客户端与有线网卡建立了windows网桥时,该无线客户端就可以通过连接外部AP将外部AP与内部有线网络进行桥接。此组网方式会使外部AP对内部的有线网络造成威胁。WIPS系统会对已关联的无线客户端发出的数据帧进行分析,来判断其是否有无线客户端存在于windows 网桥中。当检测到windows网桥时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。
在AP扮演者攻击中,攻击者会安装一台恶意AP设备,该AP设备的BSSID和ESSID与真实AP一样。当该恶意AP设备在无线环境中成功扮演了真实AP的身份后,就可以发起中间人攻击、热点攻击,或欺骗检测系统。WIPS系统通过检测AP在一段时间内发出的Beacon帧数量是否超过阈值来判断其是否被攻击者扮演。当检测到AP扮演者攻击时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患,同时用户还可以配置发出告警后的静默时间,避免短时间生成大量节电攻击类型的告警事件。
软AP是指便携机或PDA上的无线网卡在应用软件的控制下对外提供AP的功能。攻击者可以利用这些软AP所在的客户端接入公司网络,并发起网络攻击。WIPS系统通过检测某MAC在无线客户端和AP这两个角色上的持续活跃时长来判断其是否是软AP。当检测到软AP时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。
当一个设备使用802.11n 高吞吐量Greenfield(绿野)模式时,不可以和其他802.11a/b/g 设备分享同一个信道。通常,当一台设备侦听到有其他设备占用信道发送和接收报文的时候,会延迟报文的发送直到信道空闲时再发送。但是802.11a/b/g设备不能和Greenfield AP设备进行通信,无法被告知Greenfield设备是否在占用当前信道,会立刻发送自己的报文。这可能会导致发送冲突、差错和重传。WIPS通过检测HT-greenfield模式的设备,及时通知用户当前无线网络环境中存在的安全隐患。
攻击者在合法AP附近建立一个蜜罐 AP,通过该AP发送与合法AP SSID相似的Beacon帧或Probe Response帧,蜜罐AP的发送信号可能被调得很大以诱使某些授权客户端与之关联。当有客户端连接到蜜罐AP,蜜罐AP便可以向客户端发起某些安全攻击,如端口扫描或推送虚假的认证页面来骗取客户端的用户名及密码信息等。因此,需要检测无线环境中对合法设备构成威胁的蜜罐AP。WIPS系统通过对外部AP使用的SSID进行分析,若与合法SSID的相似度值达到一定阈值就发送蜜罐AP告警。
Deauthentication帧仿冒检测主要针对攻击者仿冒合法AP设备向关联无线客户端发送Deauthentication帧的行为。该行为会迫使无线客户端与合法AP断开,影响AP和客户端之间的通信,并为后续的其他攻击提供条件。WIPS维护了一张与网络内部合法AP关联的无线客户端表。当WIPS扫描到Deauthentication帧时,通过查询该表来判断该Deauthentication帧是否为攻击者仿冒的。当检测到Deauthentication仿冒攻击时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。
在中间人攻击中,攻击者在合法AP和合法客户端的数据通路中间架设自己的设备,并引诱合法客户端关联到攻击者的设备上,此时攻击者就可以劫持合法客户端和合法AP之间的会话。在这种情况下,攻击者可以删除,添加或者修改数据包内的信息,获取验证密钥、用户密码等机密信息。中间人攻击是一种组合攻击。WIPS系统通过检测某客户端与合法AP之间是否受到了Deauthenticaiton仿冒攻击且该客户端关联到了蜜罐AP上,以确定该客户端是否受到了中间人攻击。当检测到中间人攻击时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。中间人攻击没有配置开关。当蜜罐AP和Deauthentication仿冒攻击检测同时开启时,WIPS即可对中间人攻击进行检测。
对于支持802.11n标准的高吞吐量无线设备来说,它可以支持20MHz和40MHz两种频宽模式。在无线空口环境中,如果与AP关联的无线客户端禁用了40MHz频宽模式,那么其该AP关联的其它无线客户端也必须降低无线通信频宽到20MHz,从而影响到整个网络的通信能力。WIPS系统通过检测与AP关联的无线客户端发送的探测请求帧发现这样的无线客户端。如果AP支持20MHz和40MHz,而与其关联的无线客户端设置了40MHz禁用,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。
攻击者可以通过接入无线网桥侵入公司网络的内部,对网络安全造成隐患。WIPS通过检测无线网络环境中是否存在无线网桥数据以确定周围环境中是否存在无线网桥。当检测到无线网桥时,WIPS系统即产生告警,提示当前无线网络环境存在安全隐患。如果该无线网桥是mesh网络时,将该mesh链路记录。
畸形报文检测是WIPS系统利用Sensor监听无线信道来获取空口的无线报文,通过报文解析,检测出具有某些畸形类型特征的畸形报文,并将分析检测的结果进行归类处理,以发送告警、写日志事件等,同时也为后续模块处理或者人工干预做好准备。目前支持的畸形报文检测的畸形类型有16种。
该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,其长度不定。信息元素通常包含一个元素识别码位(Element ID)、一个长度位(Length)以及一个长度不定的位。每种类型的管理帧包含特定的几种IE,IE的长度的取值范围应遵守最新802.11协议的规定。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。
该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则检测该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不需要考虑厂商自定义IE。
该检测是针对所有管理帧的检测。报文解析过程中,当遇到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE畸形报文。
该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于零时,则该报文被判定为报文长度非法畸形报文。
该检测是针对Beacon帧和Probe Response帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以该报文被判定为IBSS和ESS置位异常的畸形报文。
该检测是针对Authentication帧的检测。当检测到以下情况时请求认证过程失败,会被判断为畸形Authentication帧。此时,Authentication帧被判定为Malformed-auth的畸形报文。
· 当对Authentication帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;
· 当标记无线终端用户和AP之间的身份认证的进度的Authentication Transaction Sequence Number 的值等于1,且状态代码status code不为零时;
· 当Authentication Transaction Sequence Number的值大于4时。
该检测是针对Association Request帧的检测。当Association Request帧的SSID的长度等于零时,则记录无线终端用户欲加入的AP的SSID信息不存在,会导致无线终端用户的连接请求失败。此时,该报文被判定为malformed-assoc-req的畸形类型报文。
该检测是针对Beacon、Probe Response、Association Response、Reassociation Request帧的检测。当检测到以下情况时,报文被判定为HT IE的畸形报文。
· 当报文解析出HT Capabilities IE的SM Power Save值为2时,该值在协议中属于reserved值,没有意义;
· 当HT Operation IE 的Secondary Channel Offset值等于2时,该值在协议中也属于reserved值,没有意义。
该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。该检测与虚拟安全域下应用的畸形报文检测策略有关,用户对large-duration检测项配置一个门限值threshold,并将其下发至Sensor上。当报文解析结果中该报文的duration值大于门限值时,则判定该报文Duration超大,即该报文被检测为Duration超大的畸形报文。另外,当用户不手动配置threshold值时,large-duration的判定门限值为畸形报文检测策略的自动配置的default值,5000微秒。
该检测是针对Probe Response帧的检测。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于零(协议规定SSID等于零的情况是Mesh帧),这种情况不符合协议,则判定为Null-Probe-Response类型的畸形报文。
该检测是针对Deauthentication帧的检测。当deauthentication帧携带的Reason code的value属于集合[0,67~65535]时,则属于协议中的reserved值,没有意义。此时判定该帧为Invalid-deauth-code类型的畸形报文。
该检测是针对Disassociation帧的检测。当disassociation帧携带的Reason code的value属于集合[0,67~65535]时,则属于协议中的reserved 值,没有意义。此时判定该帧为Invalid-disassoc-code类型的畸形报文。
该检测是针对Beacon、Probe request、Probe response、Association request帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。
该检测是针对Authentication帧的检测。fata-jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为fata-jack畸形报文。而2012版802.11协议中对Authentication algorithm number的取值定义有变化,该值为2时代表Fast BSS Transition,WIPS畸形报文检测项目对fata-jack畸形类型的定义是遵守原有协议,没有跟踪2012版802.11协议的变化。
该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为Client发往AP的,如果同时又检测到其源MAC地址为广播或组播时,则该帧被判定为Invalid-source-address的畸形报文。
该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于零时,则判定该帧为Overflow-eapol-key的畸形报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。
该检测是针对错误信道宣告的Beacon帧的检测。当检测到该帧携带的信道字段信息与当前工作信道不在相同模式下(11an\11gn),则该帧被判定为invalid-channel的畸形报文。
WIPS既可以独立组网,也可以兼容已有的WLAN网络进行组网。
独立组网是指由AC及带外Sensor搭建一个专用的WIPS网络,该网络独立于已有的无线接入网络。如下图所示,WIPS网络与被检测和保护的无线接入网络之间在物理上相互独立。
图1-3 WIPS独立组网
WIPS可以在现有的WLAN网络中直接部署,这种组网模式可以通过在已有WLAN网络中新增带外Sensor来增加WIPS覆盖,也可以将已有接入AP配置为带内Sensor来补充WIPS覆盖,如下图所示。
图1-4 兼容已有的WLAN网络组网
开启WIPS功能 |
||
配置带内Sensor在接入时间段内开启WIPS扫描 |
||
WIPS配置文件的导入和导出 |
||
配置热点列表 |
可选 |
|
配置自定义AP分类规则 |
||
配置畸形报文检测策略 |
可选 |
|
配置虚拟安全域 |
可选 |
|
配置可以忽略WIPS告警信息的设备列表 |
||
配置Mesh链路老化时间 |
可选 |
|
开启WIPS日志自动存储功能 |
可选 |
|
配置WIPS日志文件的总大小 |
||
开启ADOS功能 |
||
配置手动指定AP分类 |
||
配置无线探针功能 |
可选 |
|
配置本地管理MAC过滤功能 |
可选 |
|
配置信道扫描列表 |
可选 |
只有开启了WIPS,才能够使用WIPS所提供的各种功能。在WIPS配置过程中,如果仅开启WIPS功能,不配置其他WIPS配置任务,系统仅能检测到无线环境中的设备及其相关的基本信息,如设备的统计量和分类。
进入WIPS视图 |
||
开启WIPS功能 |
缺省情况下,WIPS功能处于关闭状态 |
如果无线客户端开启802.11w保护管理帧功能,WIPS功能将不能正常工作。
Sensor分为带内Sensor和带外Sensor两种类型。带内Sensor在提供WIPS检测功能的同时还可以提供无线接入服务,带外Sensor只能用来作WIPS检测,可以根据组网需要将Sensor配置为不同的类型。
表1-3 配置Sensor的工作模式
进入AP模板视图 |
||
radio radio-number [ type { dot11a | dot11an | dot11b | dot11g | dot11gn } ] |
本命令的缺省情况与AP设备的型号有关,请以设备的实际情况为准 |
|
配置Sensor的工作模式 |
wips detect mode { access-first | access-only [ scan-time time-value ] | detect-first | detect-only | middle } |
缺省情况下,AP的射频上没有配置Sensor模式 · 配置带内Sensor时必须绑定服务模板,否则WIPS无法进行扫描 · 配置带内Sensor工作在 access-only模式时,仅扫描工作信道 · 当 带内Sensor工作在hybrid模式时,Sensor只能在当前的工作信道进行反制 |
表1-4 配置Sensor的扫描模式
进入RRM视图 |
||
缺省情况下,扫描模式为自动扫描,即只扫描Sensor所属国家码支持的信道集合 |
· 如果AP的射频配置为带外Sensor,则该射频上不能绑定无线服务和Mesh服务。
· scan channel { auto | all }命令的相关介绍请参见“WLAN RRM命令”手册。
带内Sensor在提供接入服务的同时还执行WIPS功能,由于接入和WIPS功能分时使用射频资源,所以为了保证接入的性能,就需要缩减WIPS功能所占用的扫描时间,因此会影响到非法设备对带内Sensor本身的攻击检测。通过配置带内Sensor在接入时间段内开启WIPS扫描,可以确保WIPS功能一直处于开启状态,不再与接入分时使用射频资源,这就有效的保证了WIPS的检测和防御效果,但同时需要注意的是接入的性能将会降低。
表1-5 配置带内Sensor在接入时间段内开启WIPS扫描
进入WIPS视图 |
||
配置带内Sensor在接入时间段内开启WIPS扫描 |
缺省情况下,带内Sensor在接入时间段内不执行WIPS扫描 |
OUI(Organizational Unique Identifier,全球统一标识符),它是设备MAC地址前3个字节,即供应商标识。
AC启动后,会自动导入标准OUI文件到WIPS系统的OUI库中。用户也可以将自己需要的设备OUI信息做成标准OUI文件的格式,然后导入到WIPS系统的OUI库中,从而便于对设备进行配置和控制。
· 用户可以将WIPS系统的OUI库中的OUI信息以固定格式,通过export wips-cfg-file oui命令导出到某个文件中,导出成功后会有导出成功和导出失败的个数信息,从而便于查看WIPS系统OUI库中具体OUI信息。
· 用户也可以将需要导入的OUI信息,以标准OUI文件的格式填写到配置文件中,然后通过import wips-cfg-file oui命令将文件导入到WIPS系统OUI库中,导入成功后会有导入个数,更新个数,存在个数和导入失败个数等提示信息。
表1-6 OUI配置文件的导入、导出和OUI配置信息的清除
进入WIPS视图 |
||
OUI配置文件的导入 |
缺省情况下,WIPS系统启动时,自动从系统内置的配置文件中导入OUI信息到WIPS系统OUI库中 |
|
OUI配置文件的导出 |
缺省情况下,不会将WIPS系统OUI库中的OUI配置信息导出 |
|
OUI库中OUI配置信息的清除 |
undo wips-cfg-file oui |
可选 缺省情况下,不删除WIPS系统OUI库的OUI信息 |
用户通过在热点列表中添加存在潜在威胁的热点SSID,来指定WIPS系统对使用这些热点的AP设备或受信任的无线客户端进行热点攻击检测。
表1-7 配置WIPS热点列表
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WIPS视图 |
wlan ips |
必选 |
添加热点列表 |
hotspot ssid-name |
必选 缺省情况下,系统没有配置热点列表 |
AP的威胁等级是WIPS对于潜在合法的AP、潜在非法的AP、潜在外部的AP以及无法确认的AP等几种类别的AP设备特别增加的信息项,用来提示用户该AP设备对当前网络可能会产生的安全危害的严重程度,AP的威胁等级越高对网络的危害性就越大。
用户可以根据自身网络的特点定制自己的AP分类规则。自定义的AP分类规则中可以配置AP的归属类别,可以将符合该规则的匹配条件的AP直接归属到指定的AP分类中。也可以不配置AP的归属类别,只指定AP的威胁等级,此时符合该规则的匹配条件的AP的威胁等级值就会增加相应的大小。如果存在多条自定义的AP分类规则,用户可以指定每个AP分类规则的优先级大小并且按照如下的原则进行匹配处理:
· 当匹配上一个自定义AP分类规则时,如果该分类规则中配置了AP的归属类别则将该AP归为此分类类别并终止匹配处理;
· 当匹配上一个自定义AP分类规则时,如果分类规则中没有配置AP的归属类别,则将该分类规则配置的AP威胁等级增加给该AP,并继续对下一个自定义AP分类规则的匹配处理。
表1-8 配置自定义AP分类规则
用户可以根据自身网络的特点及虚拟安全域的划分,配置不同的攻击检测策略应用到不同的虚拟安全域中。
进入WIPS视图 |
||
配置攻击检测策略 |
缺省情况下,系统存在一个名称为default的攻击检测策略,攻击检测策略default不能被用户创建或删除 |
|
缺省情况下,关闭对Ad hoc网络的检测 |
||
配置检测AP MAC地址仿冒 |
缺省情况下,关闭对AP MAC地址仿冒攻击的检测 |
|
配置检测无线客户端MAC地址仿冒 |
缺省情况下,关闭对无线客户端MAC地址仿冒攻击的检测 |
|
detect prohibited-channel [ action classify rogue ] |
||
detect dos-association [ quiet-time time-value ] |
缺省情况下,关闭对关联DoS攻击的检测 |
|
detect dos-reassociation [ quiet-time time-value ] |
缺省情况下,关闭对重关联DoS攻击的检测 |
|
detect dos-authentication [ quiet-time time-value ] |
缺省情况下,关闭对鉴权DoS攻击的检测 |
|
detect dos-eapol-start [ quiet-time time-value ] |
||
配置检测AP泛洪攻击 |
detect ap-flood [ quiet-time time-value ] |
缺省情况下,关闭对AP泛洪攻击的检测 |
detect weak-iv [ quiet-time time-value ] |
||
配置检测非法oui设备以并对设备分类 |
||
配置检测热点攻击 |
detect hotspot-attack [ action classify rogue ] |
可选 缺省情况下,关闭当前攻击检测策略中对热点攻击的检测 |
配置检测未加密授权AP |
detect unencrypted-authorized-ap [ quiet-time quiet-time-value ] |
可选 缺省情况下,关闭当前攻击检测策略中对未加密授权AP的检测 |
配置检测节电攻击 |
detect ps-attack [ quiet-time quiet-time-value | threshold { minoffpacket minoffpacket-value | onoffpercent onoffpercent-value }* ]* |
可选 缺省情况下,关闭当前攻击检测策略中对节电攻击的检测 |
配置检测Windows网桥 |
detect windows-bridge |
可选 缺省情况下,关闭当前攻击检测策略中对Windows网桥的检测 |
配置检测AP扮演者攻击 |
detect ap-impersonation [ quiet-time time-value | beacon-inc-threshold beacon-inc-threshold-value | beacon-inc-wait-time beacon-inc-wait-time-value ]* |
可选 缺省情况下,关闭当前攻击检测策略中对AP扮演者的检测 |
配置软AP |
detect soft-ap [ convert-time convert-time-value ]* |
可选 缺省情况下,关闭当前攻击检测策略中对软AP的检测 |
配置检测未加密信任无线客户端 |
detect unencrypted-trust-client [ quiet-time quiet-time-value ] |
可选 缺省情况下,关闭当前攻击检测策略中对未加密信任无线客户端的检测 |
配置检测支持绿野模式的AP |
detect ht-greenfield [ quiet-time quiet-time-value ] |
可选 缺省情况下,关闭当前攻击检测策略中对支持绿野模式AP的检测 |
配置检测蜜罐AP |
detect honeypot-ap [ quiet-time time-value | similarity similarity-value ]* [ action classify rogue ] |
可选 缺省情况下,关闭当前攻击检测策略中对蜜罐AP的检测 |
配置检测deauthentication仿冒 |
detect deauth-spoofing |
可选 缺省情况下,关闭当前攻击检测策略中对deauthentication仿冒的检测 |
配置检测客户端禁用40MHz |
detect ht-40mhz-intolerance [ quiet-time time-value ] |
可选 缺省情况下,关闭当前攻击检测策略中对客户端禁用40MHz的检测 |
配置检测无线网桥 |
detect wireless-bridge [ quiet-time time-value ] |
可选 缺省情况下,关闭当前攻击检测策略中对无线网桥的检测 |
用户可以根据自身网络的特点及虚拟安全域的划分,配置不同的畸形报文检测策略应用到不同的虚拟安全域中。
表1-10 配置畸形报文检测策略
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WIPS视图 |
wlan ips |
必选 |
配置畸形报文检测策略 |
malformed-detect-policy policy-name |
必选 缺省情况下,系统存在一个名称为default的畸形报文检测策略,畸形报文检测策略default不能被用户创建或删除 |
配置再次检测到畸形报文后等待的静默时间 |
quiet-time time-value |
可选 缺省情况下,上报畸形报文类型的静默周期为600秒 |
配置开启IE长度非法检测的日志信息或告警信息的功能 |
detect invalid-ie-length action { log | trap }* |
可选 缺省情况下,当检测到IE长度非法时不发送日志信息和告警信息 |
配置开启IE重复的检测的日志信息或告警信息的功能 |
detect duplicated-ie action { log | trap }* |
可选 缺省情况下,当检测到IE重复时,不发送日志信息和告警信息 |
配置开启多余IE检测的日志信息或告警信息的功能 |
detect redundant-ie action { log | trap }* |
可选 缺省情况下,当检测到IE多余时不发送日志信息和告警信息 |
配置开启报文长度非法检测的日志信息或告警信息的功能 |
detect invalid-pkt-length action { log | trap }* |
可选 缺省情况下,配置当检测到报文长度非法检测时不发送日志信息和告警信息 |
配置开启IBSS和ESS置位异常检测的日志信息或告警信息功能 |
detect illegal-ibss-ess action { log | trap }* |
可选 缺省情况下,当检测到IBSS和ESS置位异常时不发送日志信息和告警信息 |
配置开启EAPOL报文key长度超长检测的日志信息或告警信息功能 |
detect overflow-eapol-key action { log | trap }* |
可选 缺省情况下,当检测到EAPOL报文key长度超长时不发送日志信息和告警信息 |
配置开启畸形Authentication帧检测的日志信息或告警信息的功能 |
detect malformed-auth action { log | trap }* |
可选 缺省情况下,当检测到畸形的Authentication帧时不发送日志信息和告警信息 |
配置开启畸形Association request帧检测的日志信息或告警信息功能 |
detect malformed-assoc-req action { log | trap }* |
可选 缺省情况下,当检测到畸形Association request帧时不发送日志信息和告警信息 |
配置开启畸形HT IE检测的日志信息或告警信息功能 |
detect malformed-ht-ie action { log | trap }* |
可选 缺省情况下,当检测到畸形的HT IE时不发送日志信息和告警信息 |
配置开启Duration超大检测的日志信息或告警信息功能 |
detect large-duration { threshold time| action { log | trap }*}* |
可选 缺省情况下,当检测到Duration超大时不发送日志信息和告警信息 |
配置开启Probe response帧中SSID为空的检测的日志信息或告警信息功能 |
detect null-probe-resp action { log | trap }* |
可选 缺省情况下,当检测到Probe response帧中SSID为空时不发送日志信息和告警信息 |
配置开启无效的Deauthentication reason code检测的日志信息或告警信息功能 |
detect invalid-deauth-code action { log | trap }* |
可选 缺省情况下,当检测到无效的Deauthentication reason code时不发送日志信息和告警信息 |
配置开启无效的Disassociation reason code检测的日志信息或告警信息功能 |
detect invalid-disassoc-code action { log | trap }* |
可选 缺省情况下,当检测到无效的Disassociation reason code时不发送日志信息和告警信息 |
配置开启SSID长度超长检测的日志信息或告警信息功能 |
detect overflow-ssid action { log | trap }* |
可选 缺省情况下,当检测到SSID长度超长时不发送日志信息和告警信息 |
配置开启Fata-jack检测的日志信息或告警信息功能 |
detect fata-jack action { log | trap }* |
可选 缺省情况下,当检测到FATA Jack类型攻击时不发送日志信息和告警信息 |
配置开启发送源地址为广播或者组播的Authentication/Association Request 帧检测的日志信息或告警信息功能 |
detect invalid-source-address action { log | trap }* |
可选 缺省情况下,当检测到发送源地址为广播或组播的Authentication/Association Request 帧时不发送日志信息和告警信息 |
配置开启invalid-channel检测的日志信息或告警信息功能 |
detect invalid-channel action { log | trap }* |
可选 缺省情况下,当检测到错误信道宣告的Beacon帧时不发送日志信息和告警信息 |
配置开启当前畸形报文检测策略中全部的检测项的日志信息或告警信息 |
detect all action { log | trap }* |
可选 缺省情况下,没有开启全部的检测项的日志信息或告警信息 |
一条Signature规则包含了对一种特征报文的识别方式和对该特征报文所采取的动作。Signature规则通过Signature策略应用到虚拟安全域下,虚拟安全域下的Sensor都将对检测到的无线报文进行Signature分析,即根据Signature规则的优先级从高到低依次匹配,匹配上一条Signature规则后执行该Signature规则定义的动作,并停止后续的Signature规则匹配。
Signature规则分为内置Signature规则和自定义Signature规则。
内置Signature规则是WIPS系统预先定义的用于检测部分已知的攻击行为的规则,在系统初始化时就已经创建。内置Signature规则的子规则、子规则匹配方式、跟踪和处理方式均不可配置,其中所有内置Signature的子规则匹配方式都为与,处理方式都为发送告警。内置Signature规则目前包括表1-11所示的各类泛洪攻击。当WIPS系统检测到某个MAC地址发动泛洪攻击时,如果该MAC为客户端,则将该MAC增加到动态黑名单列表中。对于存在于动态黑名单中的表项,用户可以通过命令行设置生存时间。在该时间超时后,该设备接口将被从动态列表中删除。关于“动态黑名单”的介绍请参见“WLAN配置指导”中的“WLAN IDS配置”。
WIPS系统支持的内置Signature规则如下:
缺省情况下,匹配跟踪方式为per-mac,统计周期为10s,统计周期内匹配Signature规则的次数为10,静默时间为900s |
|||
缺省情况下,匹配跟踪方式为per-mac,统计周期为10s,统计周期内匹配Signature规则的次数为5,静默时间为900s |
|||
缺省情况下,匹配跟踪方式为per-mac,统计周期为10s,统计周期内匹配Signature规则的次数为10,静默时间为900s |
|||
缺省情况下,匹配跟踪方式为per-mac,统计周期为10s,统计周期内匹配Signature规则的次数为5,静默时间为900s |
|||
用于检测EAPOL-Logoff泛洪攻击 |
缺省情况下,匹配跟踪方式为per-mac,统计周期为3s,统计周期内匹配Signature规则的次数为60,静默时间为900s |
||
用于检测EAP-Success泛洪攻击 |
缺省情况下,匹配跟踪方式为per-mac,统计周期为3s,统计周期内匹配Signature规则的次数为60,静默时间为900s |
||
用于检测EAP-Failure泛洪攻击 |
缺省情况下,匹配跟踪方式为per-mac,统计周期为3s,统计次数为60,静默时间为900s |
||
用于检测PS-Poll泛洪攻击 |
缺省情况下,匹配跟踪方式为per-mac,统计周期为5s,统计周期内匹配Signature规则的次数为1000,静默时间为900s |
||
用于检测CTS泛洪攻击 |
缺省情况下,匹配跟踪方式为per-sig,统计周期为5s,统计周期内匹配Signature规则的次数为5000,静默时间为900s |
||
用于检测RTS泛洪攻击 |
缺省情况下,匹配跟踪方式为per-sig,统计周期为5s,统计周期内匹配Signature规则的次数为5000,静默时间为900s |
自定义Signature规则是用户根据自身网络的实际特点来定制的,用于实现自定义的攻击行为检测。WIPS系统允许用户灵活的配置自定义Signature规则,如指定特征报文涉及的帧类型、MAC地址、SSID特征等,这样有效的提高了WIPS系统的报文识别能力和攻击检测能力。
进入WIPS视图 |
||
缺省情况下,WIPS具有内置Signature规则 |
||
配置Signature规则的匹配跟踪方式 |
缺省情况下,系统默认的自定义Signature规则的匹配跟踪方式为both;内置Signature规则的匹配跟踪方式根据具体的Signature规则而定 |
|
配置Signature规则的统计周期 |
缺省情况下,自定义Signature规则的统计周期为60秒;内置Signature规则的统计周期根据具体的内置Signature规则而定 |
|
配置统计周期内匹配Signature规则的次数 |
缺省情况下,自定义Signature规则的统计次数为1000次;内置Signature规则的统计次数根据具体的Signature规则而定 |
|
配置Signature规则的处理方式 |
缺省情况下,自定义Signature规则的处理方式为none;内置Signature规则的处理方式为report,具体的告警级别根据具体的Signature规则而定 |
|
配置Signature规则的静默时间 |
缺省情况下,自定义Signature规则的静默时间为900秒;内置Signature规则的静默时间根据具体的Signature规则而定 |
|
配置Signature规则的匹配子规则的匹配关系为逻辑与 |
缺省情况下,自定义Signature规则的匹配子规则的匹配关系是逻辑或,即报文只要符合Signature规则的任何一条子规则,就匹配上该Signature规则;内置Signature规则的匹配子规则的匹配关系是逻辑与 |
|
配置MAC地址匹配条件 |
sub-rule mac { source-mac mac-address | dest-mac mac- address | bssid mac-address } |
对报文的MAC地址进行匹配 缺省情况下,不对报文的MAC地址进行匹配 |
配置SSID匹配条件 |
sub-rule ssid { [ case-sensitive ] [ not ] { equal | include } string } |
对报文的SSID进行匹配 缺省情况下,不对报文的SSID进行匹配 |
配置SSID长度匹配条件 |
sub-rule ssid-length { equal length-value | greater-than min-value | less-than max-value | between min-value max-value } |
对报文的SSID长度进行匹配 缺省情况下,不对报文的SSID长度进行匹配 |
sub-rule seq-number { equal seq-value | greater-than min-value | less-than max-value | between min-value max-value } |
||
sub-rule pattern pattern-id id [ pattern-name name ] offset offset-value mask hex-value { equal value | greater-than min-value | less-than max-value | between min-value max-value } [ from-payload ] |
Signature策略是一组Signature规则的集合,用户可以根据自身网络的特点及虚拟安全域的划分,配置不同的Signature策略应用到不同的虚拟安全域中。
进入WIPS视图 |
||
缺省情况下,虚拟安全域使用名称名称为default的Signature策略,Signature策略default不能被用户创建或删除 |
||
signature { signature-name name-string | signature-id signature-list } [ precedence level ] |
缺省情况下,Signature策略下没有配置Signature规则 |
用户可以通过在信任或禁用设备列表中添加或者删除AP或无线客户端的MAC地址,或者在静态信任OUI列表中添加设备OUI信息或设备厂商vendor信息,来提高设备分类的准确度和控制无线客户端的接入。
进入WIPS视图 |
||
配置信任设备列表 |
||
配置信任OUI列表 |
缺省情况下,系统没有配置静态信任OUI列表 |
|
配置禁用设备列表 |
||
配置WIPS信任设备列表中动态添加的无线设备的老化时间 |
可选 缺省情况下,WIPS信任设备列表中动态添加的无线设备的老化时间为300秒 |
合法信道是用户通过手动配置指定的无线网络中允许使用的无线信道。WIPS系统在监听无线报文的过程中如果发现在合法信道外的其他信道上存在报文通信则会向用户发出WIPS告警。
进入WIPS视图 |
||
配置合法信道 |
permit-channel channel-list |
需要注意的是,permit-channel命令需要与detect prohibited-channel命令配合使用,在非法信道检测开启后,通过permit-channel命令指定的合法无线信道才会生效 |
网络中可以配置多个虚拟安全域,每个虚拟安全域所应用的攻击检测策略、自定义AP分类规则和Signature策略都可以不同。
进入WIPS视图 |
||
配置虚拟安全域 |
virtual-security-domain vsd-name |
缺省条件下,WIPS系统使用名称为default的虚拟安全域作为缺省虚拟安全域,虚拟安全域default不能被用户创建或删除 |
缺省情况下,sensor都加入到default域中 |
||
配置该虚拟安全域中使用的攻击检测策略 |
attack-detect-policy policy-name |
缺省情况下,虚拟安全域使用名称为default的攻击检测策略 |
配置该虚拟安全域中使用的畸形报文检测策略 |
malformed-detect-policy policy-name |
可选 缺省情况下,虚拟安全域使用名称为default的畸形报文检测策略 |
ap-classification-rule rule-name [ precedence number ] |
可选 |
|
缺省情况下,虚拟安全域使用名称为default的Signature策略 |
||
入侵反制是指WIPS系统为了阻止指定的非法AP或无线客户端与网络中的合法设备进行通信所采取的措施。
· 通过控制授权AP阻止非法客户端接入
· 通过Sensor发送802.11协议报文切断非法设备的无线连接
· 通过关闭非法设备在接入交换机上的连接端口来切断非法设备对网络的入侵
WIPS目前仅支持前两种反制方式,尚不支持第三种。
通过配置阻止非法客户端接入网络,可以阻止在禁用设备列表中的客户端通过授权AP接入网络中。
进入WIPS视图 |
||
必选 |
用户可以在WIPS视图配置指定无线设备添加到静态反制列表,全部的虚拟安全域都会对其采取反制措施。
表1-18 配置WIPS静态反制列表
进入WIPS视图 |
||
配置WIPS静态反制列表 |
countermeasure static mac-address |
必选 |
用户可以根据自身网络环境及虚拟安全域的划分,配置不同的反制策略应用到不同的虚拟安全域中,实现对指定的无线设备类别和指定的无线设备进行反制。
进入WIPS视图 |
||
配置攻击检测策略 |
缺省情况下,系统存在一个名称为default的反制策略,反制策略default不能被用户创建或删除 |
|
缺省情况下,对设备类别为rogue的AP不启用反制功能 |
||
缺省情况下,对设备类别为潜在rogue的AP不启用反制功能 |
||
缺省情况下,对设备类别为配置错误的AP不启用反制功能 |
||
缺省情况下,对设备类别为外部的AP不启用反制功能 |
||
缺省情况下,对设备类别为潜在外部的AP不启用反制功能 |
||
缺省情况下,对设备类别为未确定分类的AP不启用反制功能 |
||
countermeasure potential-authorized-ap [ precedence number ] |
缺省情况下,对设备类别为潜在授权的AP不启用反制功能 |
|
缺省情况下,对设备类别为误关联的client不启用反制功能 |
||
缺省情况下,对设备类别为未确定分类的client不启用反制功能 |
||
缺省情况下,对设备类别为未授权的client不启用反制功能 |
||
countermeasure static mac-address |
必选 |
· 只有应用了当前反制策略的虚拟安全域才会对该反制策略下静态反制列表中的无线设备采取反制措施。
· Sensor固定信道反制后,将会停止在其他信道进行扫描。
对于可以忽略WIPS告警信息的设备列表中的无线设备,WIPS仍然会对其作正常的监测,但是不会产生与该设备相关的任何WIPS告警信息。
进入WIPS视图 |
||
配置可忽略WIPS告警信息的设备列表 |
ignorelist mac-address |
缺省情况下,系统没有配置可忽略WIPS告警信息的设备 |
对于WIPS发现的AP和已关联无线客户端设备,当WIPS检测到某个无线设备在设定的时长内没有收发报文,则会将该无线设备的状态从active切换到inactive。如果该无线设备在设定的老化时间内持续处于inactive状态,则认为该无线设备的信息已经没有继续保留的必要,该无线设备会被WIPS自动删除。
对于WIPS发现的未关联无线客户端设备,当WIPS检测到某个未关联无线客户端在设定的时长内没有收发报文,则会认为该无线客户端设备的信息已经没有继续保留的必要,该无线客户端设备会被WIPS自动删除。
进入WIPS视图 |
||
配置AP设备切换到inactive状态的时间 |
timer ap-inactivity time |
缺省情况下,AP设备从active状态切换到inactive状态所需的时间为300秒 |
缺省情况下,已关联无线客户端从active状态切换到inactive状态所需的时间为600秒 |
||
timer device-aging time |
必选 |
当Sensor探测到无线设备信息(如工作信道、身份认证方式和安全机制等)发生变化时,会立即通知AC对该无线设备信息进行更新。当Sensor探测到无线设备信息没有变化的情况下,Sensor会定时向AC上报无线环境中探测到的无线设备当前状态,使AC能够及时准确了解无线环境中无线设备的当前状态。
进入WIPS视图 |
||
配置无线设备信息更新时间 |
Sensor在对无线报文进行监听和统计的同时,会周期性地将报文统计结果上报给AC,这个周期就是无线报文的统计周期。用户可以设置该统计周期的时长并查看该统计周期内的报文统计结果。
进入WIPS视图 |
||
配置无线报文统计周期 |
缺省情况下,无线报文统计周期为900秒 |
WIPS对检测到的AP及无线客户端会定期地进行重分类处理以适应系统中攻击检测策略的变化。所以用户需要根据实际情况,配置合适的无线设备重分类时间间隔。如果用户配置的重分类时间间隔过长,可能会导致系统对无线设备的分类结果不够准确。如果用户配置的重分类时间间隔太短,可能会导致重分类处理过于频繁,增加WIPS的系统资源消耗。
表1-24 配置无线设备重分类时间间隔
进入WIPS视图 |
||
配置无线设备重分类时间间隔 |
缺省情况下,WIPS系统对检测到的AP及无线客户端进行重分类时间间隔为600秒 |
对于WIPS发现的Mesh链路,当WIPS检测到某条Mesh链路在设定的老化时间内没有收发报文,则认为该Mesh链路的信息已经没有继续保留的必要,该Mesh链路会被WIPS自动删除。
表1-25 配置Mesh链路老化时间
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WIPS视图 |
wlan ips |
必选 |
配置Mesh链路老化时间 |
timer mesh-link-aging time-value |
必选 缺省情况下,WIPS系统对Mesh链路老化时间为600秒 |
表1-26 开启WIPS日志自动存储功能
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WIPS视图 |
wlan ips |
必选 |
开启WIPS日志自动存储功能 |
wipslogfile enable |
必选 缺省情况下,WIPS日志自动存储功能处于关闭状态 |
WIPS会将系统事件和检测到的错误报文分别记录在对应类型的日志文件中。当检测到的系统事件或者错误报文日志的总大小超过限值,则删除对应类型的最早生成的日志。
表1-27 配置WIPS日志文件的总大小
进入WIPS视图 |
||
配置WIPS记录系统事件的日志的总大小 |
wipslogfile event size value |
缺省情况下,系统事件日志的总大小与设备型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 |
配置WIPS记录错误报文的日志的总大小 |
缺省情况下,错误报文日志的总大小与设备型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍 |
ADOS(Anti Deny of Service,防DoS攻击)功能是指WIPS系统自身的防攻击能力。开启该功能后,将检测针对WIPS系统的攻击行为,并通过报文限速和报文过滤等方式来降低这类攻击对系统的影响。
进入WIPS视图 |
||
开启防DoS攻击功能 |
缺省情况下,防DoS攻击功能处于关闭状态 |
手动指定AP分类用于手动配置WIPS检测到的AP设备的分类,目前支持的AP分类只包括授权AP、外部AP、配置错误的AP和非法AP。
表1-29 配置手动指定AP分类(WIPS视图)
进入WIPS视图 |
||
配置手动指定AP分类 |
manual-classify ap { authorized-ap | external-ap | misconfigured-ap | rogue-ap } mac-address &<1-2> |
缺省情况下,不配置AP的WIPS设备类型 |
表1-30 配置手动指定AP分类(虚拟安全域视图)
进入WIPS视图 |
||
配置手动指定AP分类 |
manual-classify ap { authorized-ap | external-ap | misconfigured-ap | rogue-ap } mac-address &<1-2> |
缺省情况下,不配置虚拟安全域中AP的WIPS设备类型 |
无线探针功能通过侦听解析无线客户端发送的探测请求帧快速发现并收集周围网络环境中存在的无线客户端信息。AC周期性地从探针AP上更新所探测到的无线客户端信息并生成相应的日志。网络管理员可以根据探测到的无线客户端列表或日志来分析无线网络环境中的客户端情况。
表1-31 配置探针功能
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WIPS视图 |
wlan ips |
必选 |
配置上报无线设备信息的服务器 |
wireless-probe server ip ip-address port port-number [ interval interval ] preshared-key [ cipher | simple ] key-string |
可选 缺省情况下,没有配置上报无线设备信息的服务器 |
配置无线探针忽略检测到的无线设备信息 |
wireless-probe ignore { ap | rssi rssi-value } |
可选 缺省情况下,没有配置无线探针忽略检测到的无线设备信息 |
配置无线探针客户端老化时间 |
wireless-probe client-aging time-value |
可选 缺省情况下,探针功能探测到的无线客户端老化时间为300秒 |
关闭WIPS无线设备检测功能 |
detect wireless-device disable |
可选 缺省情况下,WIPS无线设备检测功能处于开启状态 |
退出 |
quit |
- |
进入AP模板视图 |
wlan ap ap-name model model-name |
必选 |
配置上报无线设备信息的服务器 |
wireless-probe server ip ip-address port port-number [ interval interval ] preshared-key [ cipher | simple ] key-string |
可选 缺省情况下,没有配置上报无线设备信息的服务器 本命令在AP模板视图下的配置优先级高于WIPS视图下的配置 |
开启无线探针功能 |
wireless-probe enable |
必选 缺省情况下,无线探针功能处于关闭状态 |
配置探针AP经纬度信息 |
wireless-probe location longitude longitude-value latitude latitude-value |
可选 缺省情况下,没有配置探针AP的经纬度信息 |
配置探针AP与AC的时区差 |
wireless-probe timezone { add | minus } timevalue |
可选 缺省情况下,没有配置探针AP与AC的时区差 |
当苹果手机作为无线客户端时,会使用本地管理MAC随机发送无线探测请求帧,从而造成游离客户端列表和探针功能检测到实际上并不存在的设备。当苹果手机作为热点时,会以本地管理MAC做为BSSID,影响苹果手机热点的检测。通过本地管理MAC过滤功能,用户可根据实际情况选择是否过滤本地管理MAC。
表1-32 本地管理MAC过滤功能配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WIPS视图 |
wlan ips |
- |
开启本地管理MAC过滤功能 |
detect admin-mac-scan enable |
必选 缺省情况下,本地管理MAC过滤功能处于关闭状态。 |
WIPS支持的信道扫描方式是轮询扫描,而全信道扫描和国家码信道扫描则需要对很多信道进行扫描,对同一信道进行扫描的时间间隔较长,这样会导致一些重要的无线网络信息避过WIPS的检测。为了能够严密监测某些特定的信道,用户按照实际情况配置扫描信道列表。所有带外模式的Sensor会按照用户的配置扫描指定信道。
表1-33 配置信道扫描列表
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入WIPS视图 |
wlan ips |
必选 |
配置信道扫描列表 |
detect scan-channel channel-list |
可选 缺省情况下,未配置信道扫描列表 |
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN IPS的运行情况,通过查看显示信息验证配置的效果。
表1-34 WLAN IPS的显示和维护
|
||
显示自定义AP分类规则信息 |
display wlan ips ap-classification-rule [ rule-name ] [ | { begin | exclude | include } regular-expression ] |
|
display wlan ips attack-detect-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ] |
|
|
显示WIPS禁用设备列表 |
|
|
display wlan ips channel [ permit | prohibit ] [ | { begin | exclude | include } regular-expression ] |
|
|
显示畸形报文检测策略信息 |
display wlan ips malformed-detect-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ] |
|
display wlan ips [ vsd vsd-name ] countermeasure-devices [ static [ countermeasure | pending | idle ] | dynamic [ countermeasure | pending ] | mac-address mac-addr ] [ verbose ] [ | { begin | exclude | include } regular-expression ] |
|
|
|
||
显示指定虚拟安全域或所有虚拟安全域中检测到的无线网络的信息 |
display wlan ips [ vsd vsd-name ] network bss [ verbose ] [ name network-name | hotspot ] [ | { begin | exclude | include } regular-expression ] display wlan ips [ vsd vsd-name ] network [ mesh ] [ verbose ] [ name network-name ] [ | { begin | exclude | include } regular-expression ]] |
|
显示WIPS系统生成的指定的或所有的告警事件 |
display wlan ips event [ source-mac source-mac | causer-mac causer-mac | id event-id | level event-level | type event-type | vsd vsd-name ] [ verbose ] [ | { begin | exclude | include } regular-expression ] |
|
显示系统中添加的热点信息 |
display wlan ips hotspotlist [ | { begin | exclude | include } regular-expression ] |
|
显示系统中添加的信任SSID信息 |
display wlan ips authssidlist [ | { begin | exclude | include } regular-expression ] |
|
显示可以忽略WIPS告警信息的设备列表 |
display wlan ips ignorelist [ mac-address mac-addr ] [ | { begin | exclude | include } regular-expression ] |
|
display wlan ips [ vsd vsd-name ] network [ verbose ] [ ssid ssid-name ] [ | { begin | exclude | include } regular-expression ] |
|
|
display wlan ips sensor [ vsd vsd-name ] [ | { begin | exclude | include } regular-expression ] |
|
|
display wlan ips statistics { sensor sensor-name } { device [ mac-address mac-address ] | channel [ channel-num ] } { total | recent } [ | { begin | exclude | include } regular-expression ] |
||
显示指定sensor上发现的畸形报文的统计计数 |
display wlan ips statistics sensor sensor-name malformed-counter |
|
删除WIPS系统中指定Sensor上的畸形报文统计信息 |
reset wlan ips statistics sensor [ sensor-name ] malformed-counter |
|
显示当前系统的WIPS状态或指定虚拟安全域的WIPS状态 |
display wlan ips summary [ vsd vsd-name ] [ | { begin | exclude | include } regular-expression ] |
|
显示WIPS信任设备列表 |
display wlan ips trustlist [ static | dynamic | mac-address mac-addr ] [ | { begin | exclude | include } regular-expression ] |
|
display wlan ips vsd-policy [ vsd vsd-name ] [ | { begin | exclude | include } regular-expression ] |
|
|
删除WIPS系统生成的指定的或所有的告警事件 |
reset wlan ips event { all | causer-mac causer-mac | id event-id | level event-level | source-mac source-mac | type event-type } |
|
显示Signature规则信息 |
display wlan ips signature { all | custom | signature-id id-value | signature-name name-string | standard } [ verbose ] [ | { begin | exclude | include } regular-expression ] |
|
显示Signature策略信息 |
|
|
|
||
显示静态信任OUI列表的表项信息 |
|
|
显示WIPS系统OUI库中指定厂商的所有OUI信息 |
|
某公司内部的无线网络采用802.11gn模式,要求无线环境的合法信道为1、6、11。无线网络分为试验区和办公区两部分,要求每个区域采用不同的WIPS策略。网络中的接入设备AP1、AP2、AP3和AP4均采用合法信道作为接入信道。
· Client1通过AP1接入网络;
· AP5试图仿冒AP1的MAC地址000f-e203-3320与Client1进行通信;
· AP6使用无效的OUI(111111,该OUI不在WIPS系统的OUI库中)进行通信。
在试验区部署一个带外Sensor(Sensor1),同时配置WIPS攻击检测策略为开启MAC仿冒检测和非法OUI检测。
· 办公区中的Client2和Client3使用非法信道3通过Ad hoc模式通信;
· Coffee_AP为外部AP,Client4存在于静态信任设备列表中,通过Coffee_AP接入SSID为coffee_wlan的网络;
· 办公区对误关联的Client进行反制。
在办公区部署一个带内Sensor(Sensor2),同时配置WIPS网络策略为开启Ad hoc网络检测和非法信道检测。
图1-5 WIPS网络策略应用配置举例组网图
(1) 配置合法信道并开启WIPS功能
# 配置合法信道列表为1、6、11。
[AC] wlan ips
[AC-wlan-ips] permit-channel 1 6 11
# 开启WIPS功能。
[AC-wlan-ips] quit
# 配置Sensor1的工作模式为带外Sensor,射频类型为802.11gn。
[AC] wlan ap sensor1 model WA2610E-AGN
[AC-wlan-ap-sensor1] serial-id 210235A29G007C000020
[AC-wlan-ap-sensor1] radio 2 type dot11gn
[AC-wlan-ap-sensor1-radio-2] wips detect mode detect-only
[AC-wlan-ap-sensor1-radio-2] radio enable
[AC-wlan-ap-sensor1-radio-2] quit
[AC-wlan-ap-sensor1] quit
# 配置试验区使用的攻击检测策略lab:开启MAC仿冒检测和非法OUI检测,并将非法OUI设备归类为rogue。
[AC-wlan-ips] attack-detect-policy lab
[AC-wlan-ips-dctp-lab] detect ap-spoofing
[AC-wlan-ips-dctp-lab] detect invalid-oui action classify rogue
[AC-wlan-ips-dctp-lab] quit
# 配置试验区使用的虚拟安全域vsd_lab,将试验区的攻击检测策略lab应用于该虚拟安全域,并指定Sensor1属于该虚拟安全域。
[AC-wlan-ips] virtual-security-domain vsd_lab
[AC-wlan-ips-vsd-vsd_lab] attack-detect-policy lab
[AC-wlan-ips-vsd-vsd_lab] sensor sensor1
[AC-wlan-ips-vsd-vsd_lab] quit
[AC-wlan-ips] quit
(3) 办公区网络策略
# 配置无线服务:创建WLAN ESS接口,配置WLAN服务模板,SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC-WLAN-ESS1] quit
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置Sensor2的工作模式为带内Sensor,射频类型为802.11gn,将Sensor2绑定到服务模板,并采用扫描优先策略。
[AC] wlan ap sensor2 model WA2610E-AGN
[AC-wlan-ap-sensor2] serial-id 210235A29G007C000021
[AC-wlan-ap-sensor2] radio 2 type dot11gn
[AC-wlan-ap-sensor2-radio-2] wips detect mode detect-first
[AC-wlan-ap-sensor2-radio-2] service-template 1
[AC-wlan-ap-sensor2-radio-2] channel 1
[AC-wlan-ap-sensor2-radio-2] radio enable
[AC-wlan-ap-sensor2-radio-2] quit
[AC-wlan-ap-sensor2] quit
# 配置办公区使用的攻击检测策略office:开启Ad hoc检测和非法信道检测。
[AC-wlan-ips] attack-detect-policy office
[AC-wlan-ips-dctp-office] detect adhoc-network
[AC-wlan-ips-dctp-office] detect prohibited-channel
[AC-wlan-ips-dctp-office] quit
# 配置自定义AP分类规则ex_ap:将Coffee_AP(SSID为coffee_wlan)归为外部的AP。
[AC-wlan-ips] ap-classification-rule ex_ap
[AC-wlan-ips-class-ex_ap] classify-type external-ap
[AC-wlan-ips-class-ex_ap] sub-rule ssid equal coffee_wlan
[AC-wlan-ips-class-ex_ap] quit
# 配置办公区使用的反制策略officecmp,反制误关联client。
[AC-wlan-ips] countermeasure-policy officecmp
[AC-wlan-ips-cmep-officecmp] countermeasure misassociation-client
[AC-wlan-ips-cmep-officecmp] quit
# 配置办公区的虚拟安全域vsd_office,将办公区的攻击检测策略office和反制策略officecmp应用于该虚拟安全域,同时应用自定义AP分类规则ex_ap,并指定Sensor2属于该虚拟安全域。
[AC-wlan-ips] virtual-security-domain vsd_office
[AC-wlan-ips-vsd-vsd_office] attack-detect-policy office
[AC-wlan-ips-vsd-vsd_office] countermeasure-policy officecmp
[AC-wlan-ips-vsd-vsd_office] ap-classification-rule ex_ap
[AC-wlan-ips-vsd-vsd_office] sensor sensor2
[AC-wlan-ips-vsd-vsd_office] quit
# 配置添加Client4的MAC地址到信任设备列表中
[AC-wlan-ips] static-trustlist 0012-f0cc-3f54
(1) 通过命令行display wlan ips event type invalid-oui verbose查看无效OUI的告警信息。
[AC] display wlan ips event type invalid-oui verbose
Total Number of Events: 1
WIPS Events
----------------------------------------------------------------------------------------
ID: 289 Event Level: 2
Event Type : invalid-oui
Reported Time : 2013-08-06/17:53:45 - 2013-08-06/17:53:45
Aggregate times : 1
Causer : 1111-11f0-43cc
Source:
Source 1 : c4ca-d9f0-8ba0 VSD: -NA-
Detail Information:
In the VSD vsd_lab, detect AP invalid OUI 11-11-11, MAC 1111-11f0-43cc.
----------------------------------------------------------------------------------------
在虚拟安全域vsd_lab中,Sensor1探测到无线环境中存在使用非法OUI 111111 的无线设备AP6,并发出告警。
(2) 通过命令行display wlan ips vsd vsd_lab devices verbose查看虚拟安全域vsd_lab的无线设备信息。
[AC] display wlan ips vsd vsd_lab devices verbose
Detected Wireless Devices
--------------------------------------------------------------------------------
VSD: vsd_lab
BSSID : 1111-11F0-43CC
Vendor: -NA-
SSID : InvalidOUI_test
Hotspot :No
Status : Active
Classification : Rogue
Severity Level : 0
Security : Clear
Encrypt Method : -NA-
Authentication Method : None
Radio Type : 802.11gn
Channel : 6
In Countermeasure List : No
Up Time : 2013-07-30/11:33:08
First Reported Time : 2013-08-06/14:41:01
Last Reported Time : 2013-08-06/14:51:19
Reporting Sensor : 1
Sensor 1 : Sensor1
RadioId : 2
RSSI : 34
Last Reported Time : 2013-08-06/14:51:19
Attached Clients : 0
--------------------------------------------------------------------------------
在虚拟安全域vsd_lab中,MAC地址为1111-11f0-43cc的无线设备AP 6,被探测到使用了无效的OUI,并被分类为Rogue AP。
(3) 通过命令行display wlan ips event type ap-mac-spoof verbose查看MAC仿冒告警信息。
[AC] display wlan ips event type ap-mac-spoof verbose
Total Number of Events: 1
WIPS Events
----------------------------------------------------------------------------------------
ID: 204 Event Level: 2
Event Type : ap-mac-spoof
Reported Time : 2013-08-06/16:08:49 - 2013-08-06/16:08:49
Aggregate times : 1
Causer : 000f-e203-3320
Source:
Source 1 : c4ca-d9f0-8ba0 VSD: vsd_lab
Detail Information:
In the VSD vsd_lab, detect AP spoofing, MAC 000f-e203-3320.
--------------------------------------------------------------------------------------
在虚拟安全域vsd_lab中,探测到了对MAC地址为000f-e203-3320的无线设备AP 1存在MAC仿冒行为。
(4) 通过命令行display wlan ips event type prohibited-chl verbose查看非法信道告警信息。
[AC] display wlan ips event type prohibited-chl verbose
Total Number of Events: 1
WIPS Events
--------------------------------------------------------------------------------
ID: 429 Event Level: 2
Event Type : prohibited-chl
Reported Time : 2013-08-07/19:40:31 - 2013-08-07/19:40:31
Aggregate times : 1
Causer : -NA-
Source:
Source 1 : c4ca-d9f0-70cc VSD: vsd_office
Detail Information:
In the VSD vsd_office, inhibitory channel 3 is active.
--------------------------------------------------------------------------------
在虚拟安全域vsd_office中,存在非法信道告警,提示在非法信道3上存在无线通信。
(5) 通过命令行display wlan ips event type adhoc-ap verbose查看Ad hoc网络告警信息。
[AC] display wlan ips event type adhoc-ap verbose
Total Number of Events: 1
WIPS Events
----------------------------------------------------------------------------------------
ID: 382 Event Level: 4
Event Type : adhoc-ap
Reported Time : 2013-08-07/18:55:10 - 2013-08-07/18:55:10
Aggregate times : 1
Causer : 0023-54de-ecf1
Source:
Source 1 : c4ca-d9f0-70cc VSD: vsd_office
Detail Information:
In the VSD vsd_office, AP 0023-54de-ecf1 is classified as Adhoc AP.
----------------------------------------------------------------------------------------
在虚拟安全域vsd_office中,探测到了Client2采用Ad hoc模式进行通信。
(6) 通过命令行display wlan ips vsd vsd_office devices verbose查看虚拟安全域vsd_office的设备信息。
[AC] display wlan ips vsd vsd_office devices verbose
Detected Wireless Devices
--------------------------------------------------------------------------------
VSD: vsd_office
Total Number of APs: 4
--------------------------------------------------------------------------------
BSSID : 0023-54de-ef32
Vendor: New H3C Technologies Co., Ltd.
SSID : coffee_wlan
Hotspot :No
Status : Active
Classification : External
Severity Level : 0
Security : Clear
Encrypt Method : -NA-
Authentication Method : None
Radio Type : 802.11gn
Channel : 1
In Countermeasure List : No
Up Time : 2013-08-01/16:42:04
First Reported Time : 2013-08-06/14:40:59
Last Reported Time : 2013-08-06/16:42:40
Reporting Sensor : 1
Sensor 1 : Sensor2
RadioId : 1
RSSI : 12
Last Reported Time : 2013-08-06/16:43:18
Attached Clients : 1
Client 1 : 0012-f0cc-3f54
--------------------------------------------------------------------------------
BSSID : 0023-54de-ecf1
Vendor: New H3C Technologies Co., Ltd.
SSID : h3c_adhoc
Hotspot :No
Status : Inactive
Classification : Adhoc
Severity Level : 0
Security : Clear
Encrypt Method : -NA-
Authentication Method : None
Radio Type : 802.11g
Channel : 10
In Countermeasure List : No
Up Time : 2013-08-06/16:38:18
First Reported Time : 2013-08-06/16:38:21
Last Reported Time : 2013-08-06/16:38:21
Reporting Sensor : 1
Sensor 1 : Sensor2
RadioId : 1
RSSI : 14
Last Reported Time : 2013-08-06/16:38:21
Attached Clients : 1
Client 1 : 0023-54de-ecf2
--------------------------------------------------------------------------------
Total Number of Clients: 2
--------------------------------------------------------------------------------
MAC Address: 0012-f0cc-3f54
Vendor: Intel Corporate
BSSID : 0023-54de-ef32
Status : Active
State : Association
Classification : misassociation
RadioType : 802.11gn
Channel : 1
In Countermeasure List : Yes
First Reported Time : 2013-08-06/17:10:07
Last Reported Time : 2013-08-06/17:10:51
Reporting Sensor : 1
Sensor 1 : Sensor2
RadioId : 1
RSSI : 50
Last Reported Time : 2013-08-06/17:10:51
--------------------------------------------------------------------------------
在虚拟安全域vsd_office中,Client2被识别为Ad hoc设备,MAC地址为0023-54de-ef32设备Coffee_AP被分类为外部AP,Client4因在信任设备列表中并与外部AP关联被分类为误关联Client,并处于反制状态。
(7) 通过命令行display wlan ips vsd vsd_office countermeasure-devices verbose查看反制列表信息:
[AC] display wlan ips vsd vsd_office countermeasure-devices verbose
VSD = virtual security domain
Countermeasure Devices
----------------------------------------------------------------------------------------
VSD: vsd_office
Device: 0012-f0cc-3f54
Type : Dynamic
Classification : misassociation-client
Precedence : 6
State : Countermeasure
Channel : 1
Sensor : Sensor2
Start-Time : 2013-08-06/18:59:42
Global Countermeasure : NO
Applied to Countermeasure-policies : officecmp
Countermeasure records :
2013-08-06/18:59:42 - 2013-08-06/18:59:42 Pending
--------------------------------------------------------------------------------------
在虚拟安全域vsd_office,MAC地址为0012-f0cc-3f54的无线客户端Client4分类为误关联客户端,被动态加入到反制列表中并处于反制状态,反制执行者为Sensor2。
将两AP分别配置为带外模式sensor1和带内模式sensor2,AC通过Switch分别与两个sensor相连。网络中存在两个攻击者Attacker1和Attacker2,不断发送各类畸形报文。配置虚拟安全域VSD_1和VSD_2,并配置sensor1和sensor2分别归属于这两个虚拟安全域。
· 畸形报文检测策略的配置:在AC上配置两个畸形报文检测策略malf1和malf2,并开启畸形报文检测策略所有检测项的log开关。设置静默时间为50秒,超大Duration检测的Threshold值为200微秒。
· 攻击者持续发送包含invalid-source-address、FATA-JACK、malformed-auth三种畸形类型的authentication帧、包含illegal-ibss-ess、redundant-ie、malformed-ht-ie三种畸形类型的beacon帧、包含invalid-source-address、duplicated-ie、invalid-pkt-length三种畸形类型的association request帧和包含overflow-eapol-key畸形类型的eapol-key帧。
图1-6 畸形报文检测策略组网图
无线服务的相关配置略,具体配置请参见“WLAN配置指导”中的“WLAN接入配置”。
# 开启WIPS功能。
<AC>system-view
[AC] wlan ips
[AC-wlan-ips]wips enable
[AC-wlan-ips]quit
# 创建AP名称为sensor1,并配置sensor1的工作模式为带外sensor。
[AC]wlan ap sensor1 model WA2620i-AGN
[AC-wlan-ap-sensor1] 210235A29G007C000020
[AC-wlan-ap-sensor1]radio 1
[AC-wlan-ap-sensor1-radio-1]wips detect mode detect-only
[AC-wlan-ap-sensor1-radio-1]radio enable
[AC-wlan-ap-sensor1-radio-1]quit
[AC-wlan-ap-sensor1]quit
# 创建AP名称为sensor2,并配置sensor2的工作模式为带内sensor。
[AC] wlan ap sensor2 model WA3628i-AGN
[AC-wlan-ap-sensor2] serial-id 210235A29G007C000020
[AC-wlan-ap-sensor2] radio 2 type dot11gn
[AC-wlan-ap-sensor2-radio-2] service-template 1
[AC-wlan-ap-sensor2-radio-2] wips detect mode middle
[AC-wlan-ap-sensor2-radio-2] radio enable
[AC-wlan-ap-sensor2-radio-2] return
# 创建畸形报文检测策略malf1和malf2,创建虚拟安全域VSD_1和VSD_2,配置当检测到畸形报文时,向AC发送畸形报文的日志信息或告警信息的操作。
<AC>system-view
[AC ]wlan ips
[AC-wlan-ips] malformed-detect-policy malf1
[AC-wlan-ips-mfdp-malf1] detect all action log
[AC-wlan-ips-mfdp-malf1] quiet-time 50
[AC-wlan-ips-mfdp-malf1] detect large-duration threshold 200 action log trap
[AC-wlan-ips-mfdp-malf1] quit
[AC-wlan-ips] virtual-security-domain VSD_1
[AC-wlan-ips-vsd-vsd_1] malformed-detect-policy malf1
[AC-wlan-ips-vsd-vsd_1] quit
[AC-wlan-ips] malformed-detect-policy malf2
[AC-wlan-ips-mfdp-malf2] detect all action log
[AC-wlan-ips-mfdp-malf2] quiet-time 50
[AC-wlan-ips-mfdp-malf2] detect large-duration threshold 200 action log trap
[AC-wlan-ips-mfdp-malf2]quit
[AC-wlan-ips] virtual-security-domain VSD_2
[AC-wlan-ips-vsd-vsd_2] malformed-detect-policy malf2
[AC-wlan-ips-vsd-vsd_2] quit
[AC-wlan-ips]quit
#开启信息中心
[AC]info-center enable
(1) 当网络没有攻击者时,依次使能sensor1和sensor2,使用display wlan ips event命令观察AC上没有畸形报文告警事件,且在AC上通过命令行display wlan ips statistics sensor sensor-name malformed-counter查看畸形报文统计信息,畸形报文的统计个数为0。
[AC] display wlan ips statistics sensor sensor1 malformed-counter
Sensor name: sensor1
In the VSD: VSD_1
Malformation-Specify Count
------------------------------------------------------------------------
invalid-ie-length : 0
duplicated-ie : 0
redundant-ie : 0
invalid-pkt-length : 0
illegal-ibss-ess : 0
invalid-source-address : 0
overflow-eapol-key : 0
malformed-auth : 0
malformed-assoc-req : 0
malformed-ht-ie : 0
large-duration : 0
null-probe-resp : 0
invalid-deauth-code : 0
invalid-disassoc-code : 0
overflow-ssid : 0
fata-jack : 0
[AC] display wlan ips statistics sensor sensor2 malformed-counter
Sensor name: sensor2
In the VSD: VSD_2
Malformation-Specify Count
------------------------------------------------------------------------
invalid-ie-length : 0
duplicated-ie : 0
redundant-ie : 0
invalid-pkt-length : 0
illegal-ibss-ess : 0
invalid-source-address : 0
overflow-eapol-key : 0
malformed-auth : 0
malformed-assoc-req : 0
malformed-ht-ie : 0
large-duration : 0
null-probe-resp : 0
invalid-deauth-code : 0
invalid-disassoc-code : 0
overflow-ssid : 0
fata-jack : 0
------------------------------------------------------------------------
(2) 使能sensor1,不使能sensor2,在收到攻击者持续发送畸形包的攻击后,可以在AC上持续收到invalid-source-address、FATA-JACK、malformed-auth 、illegal-ibss-ess、redundant-ie、malformed-ht-ie、duplicated-ie、invalid-pkt-length、overflow-eapol-key畸形类型的畸形报文告警事件,且一段时间后在AC上通过命令行display wlan ips statistics sensor sensor-name malformed-counter查看畸形报文统计信息。
[AC] display wlan ips statistics sensor sensor1 malformed-counter
Sensor name: sensor1
In the VSD: VSD_1
Malformation-Specify Count
------------------------------------------------------------------------
invalid-ie-length : 0
duplicated-ie : 566
redundant-ie : 1255
invalid-pkt-length : 488
illegal-ibss-ess : 154
invalid-source-address : 889
overflow-eapol-key : 463
malformed-auth : 445
malformed-assoc-req : 0
malformed-ht-ie : 789
large-duration : 0
null-probe-resp : 0
invalid-deauth-code : 0
invalid-disassoc-code : 0
overflow-ssid : 0
fata-jack : 878
------------------------------------------------------------------------
在AC上通过命令行display wlan ips event type event-type可 查看invalid-source-address、FATA-JACK、malformed-auth 、illegal-ibss-ess、redundant-ie、malformed-ht-ie、duplicated-ie、invalid-pkt-length、 overflow-eapol-key这九种事件类型的event信息。
[AC] display wlan ips event type redundant-ie verbose
Total Number of Events: 2
WIPS Events
---------------------------------------------------------------------------
ID: 437 Event Level: 5
Event Type : redundant-ie
Reported Time : 2013-05-25/23:55:31 - 2013-05-26/00:14:58
Aggregate times : 170
Causer : 1666-6699-3d44
Source:
Source 1 : 000f-e2a1-bf80 VSD: VSD_1
Detail Information:
In the VSD default, detect the device 1666-6699-3d44 launching a redundant
-ie malformed packet.
---------------------------------------------------------------------------
ID: 407 Event Level: 5
Event Type : redundant-ie
Reported Time : 2013-05-25/23:55:23 - 2013-05-26/00:14:58
Aggregate times : 424
Causer : 1666-6699-3cfc
Source:
Source 1 : 000f-e2a1-bf80 VSD: VSD_1
Detail Information:
In the VSD han, detect the device 1666-6699-3cfc launching a redundant-ie m
alformed packet.
---------------------------------------------------------------------------
同时,可查看信息中心的log信息文件,查看到这几种畸形类型报文的相关信息。
(3) 使能sensor2,不使能sensor1,在收到攻击者持续发送畸形包的攻击后,可以在AC上每隔一段时间(sensor处于detect模式的时段可以检测畸形报文)收到invalid-source-address、FATA-JACK、malformed-auth 、illegal-ibss-ess、redundant-ie、malformed-ht-ie、duplicated-ie、invalid-pkt-length、 overflow-eapol-key畸形类型的畸形报文告警事件,且一段时间后在AC上通过命令行display wlan ips statistics sensor sensor-name malformed-counter查看畸形报文统计信息。
[AC] display wlan ips statistics sensor sensor2 malformed-counter
Sensor name: sensor2
In the VSD: VSD_2
Malformation-Specify Count
------------------------------------------------------------------------
invalid-ie-length : 0
duplicated-ie : 100
redundant-ie : 162
invalid-pkt-length : 45
illegal-ibss-ess : 71
invalid-source-address : 254
overflow-eapol-key : 156
malformed-auth : 120
malformed-assoc-req : 0
malformed-ht-ie : 312
large-duration : 0
null-probe-resp : 0
invalid-deauth-code : 0
invalid-disassoc-code : 0
overflow-ssid : 0
fata-jack : 263
------------------------------------------------------------------------
并且,在AC上通过命令行display wlan ips event type event-type可 查看invalid-source-address、FATA-JACK、malformed-auth 、illegal-ibss-ess、redundant-ie、malformed-ht-ie、duplicated-ie、invalid-pkt-length、 overflow-eapol-key这九种事件类型的event信息。
[AC] display wlan ips event type redundant-ie verbose
Total Number of Events: 2
WIPS Events
---------------------------------------------------------------------------
ID: 589 Event Level: 5
Event Type : redundant-ie
Reported Time : 2013-05-25/23:55:31 - 2013-05-26/00:14:58
Aggregate times : 170
Causer : 000e-ff00-0f04
Source:
Source 1 : 000f-e3a1-a050 VSD: VSD_2
Detail Information:
In the VSD default, detect the device 000e-ff00-0f04 launching a redundant
-ie malformed packet.
---------------------------------------------------------------------------
ID: 407 Event Level: 5
Event Type : redundant-ie
Reported Time : 2013-05-25/23:55:23 - 2013-05-26/00:14:58
Aggregate times : 424
Causer : 000e-ff00-0f04
Source:
Source 1 : 000f-e3a1-a050 VSD: VSD_2
Detail Information:
In the VSD han, detect the device 000e-ff00-0f04 launching a redundant-ie m
alformed packet.
---------------------------------------------------------------------------
同时,可查看信息中心的log信息文件,查看到这几种畸形类型报文的相关信息。
AC通过交换机Switch与AP1、AP2和Sensor相连。Sensor的工作模式为带外模式。无线客户端Client1(MAC地址为3ce5-a644-1c50)与AP2关联并正常通信。网络中的攻击者Client2(MAC地址为0012-f0cc-f77d)模拟AP2向Client1持续发送单播解除关联帧。Client2向coffee_wlan网络持续高速发送probe_request报文。在AC上配置一条自定义Signature规则和一条内置Signature规则,内容如下:
· 自定义Signature规则:当检测到咖啡馆的AP(SSID为“coffee_wlan”)时,如果在10s内检测到的探测响应帧数目超过50个,则发送告警;
· 内置Signature规则:用于检测单播解除关联泛洪攻击,并能够发送单播解除关联攻击告警
图1-7 Signature配置举例组网图
# 开启WIPS功能。
[AC] wlan ips
[AC-wlan-ips] wips enable
[AC-wlan-ips] quit
# 创建AP名称为sensor,并配置sensor的工作模式为带外sensor。
[AC] wlan ap sensor model WA2610E-AGN
[AC-wlan-ap-sensor] serial-id 210235A29G007C000022
[AC-wlan-ap-sensor] radio 1
[AC-wlan-ap-sensor-radio-1] wips detect mode detect-only
[AC-wlan-ap-sensor-radio-1] radio enable
[AC-wlan-ap-sensor-radio-1] quit
[AC-wlan-ap-sensor] quit
# 配置自定义Signature规则sig1:根据MAC地址做检测和统计,当10s内检测到SSID为coffee_wlan的探测响应帧数目超过50个,则发送级别为6的signature告警。
[AC-wlan-ips] signature sig1
[AC-wlan-ips-sig-sig1] track-method per-mac
[AC-wlan-ips-sig-sig1] detect-period 10
[AC-wlan-ips-sig-sig1] detect-threshold per-mac 50
[AC-wlan-ips-sig-sig1] action report event-level 6
[AC-wlan-ips-sig-sig1] sub-rule frame-type management frame-subtype probe-request
[AC-wlan-ips-sig-sig1] sub-rule ssid equal coffee_wlan
[AC-wlan-ips-sig-sig1] match all
[AC-wlan-ips-sig-sig1] quit
# 配置Signature策略floor。
[AC-wlan-ips] signature-policy floor
# 在Signature策略floor下绑定内置Signature规则disassoc_flood(该规则用于检测单播解除关联泛洪攻击)和自定义Signature规则 sig1。
[AC-wlan-ips-sig-policy-floor] signature signature-name disassoc_flood
[AC-wlan-ips-sig-policy-floor] signature signature-name sig1
[AC-wlan-ips-sig-policy-floor] quit
# 配置虚拟安全域vsd_1。
[AC-wlan-ips] virtual-security-domain vsd_1
# 在虚拟安全域vsd_1下应用Signature策略floor,并指定sensor属于该虚拟安全域
[AC-wlan-ips-vsd-vsd_1] signature-policy floor
[AC-wlan-ips-vsd-vsd_1] sensor sensor
[AC-wlan-ips-vsd-vsd_1] quit
(1) 通过命令行display wlan ips event type flood-disassoc verbose查看告警信息。
[AC] display wlan ips event type flood-disassoc verbose
Total Number of Events: 1
WIPS Events
----------------------------------------------------------------------------------------
ID: 115 Event Level: 2
Event Type : flood-disassoc
Reported Time : 2013-08-07/16:06:17 - 2013-08-07/16:06:17
Aggregate times : 1
Causer : 3ce5-a644-1c50
Source:
Source 1 : c4ca-d9f0-8ba0 VSD: vsd_1
Detail Information:
In the VSD vsd_1, detect a disassociation-flood attack to the device 3ce5-a644-1c50. Related channel: 11
----------------------------------------------------------------------------------------
在虚拟安全域vsd_1存在单播解除关联攻击告警,提示Sensor发现针对Client1的单播解除关联泛洪攻击。
(2) 通过命令行display wlan ips event type flood-custom verbose查看告警信息。
[AC] display wlan ips event type flood-custom verbose
Total Number of Events: 1
WIPS Events
----------------------------------------------------------------------------------------
ID: 68 Event Level: 6
Event Type : flood-custom
Reported Time : 2013-08-07/15:56:27 - 2013-08-07/15:56:35
Aggregate times : 2
Causer : 0012-f0cc-f77d
Source:
Source 1 : c4ca-d9f0-8ba0 VSD: vsd_1
Detail Information:
In the VSD vsd_1, detect the device 0012-f0cc-f77d launching a custom-flood-sig1 attack. Related channel: 11
----------------------------------------------------------------------------------------
虚拟安全域vsd_1存在自定义Signature告警,提示Sensor发现Client2在10s内向SSID为coffee_wlan的AP发送的探测请求帧数目超过50个。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!