09-H3C WA系列动态黑名单典型配置举例
本章节下载: 09-H3C WA系列动态黑名单典型配置举例 (143.26 KB)
H3C WA系列动态黑名单典型配置举例
关键词:WIDS
摘 要:本文介绍了用H3C公司WA系列AP部署动态黑名单功能时的必需的配置。
缩略语:
缩略语 |
英文全名 |
中文解释 |
WIDS |
Wireless Intrusion Detection System |
无线入侵检测系统 |
目 录
泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪攻击报文淹没而无法处理真正的无线终端的报文。
IDS攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击。当流量超出可容忍的上限时,该设备将被认为要在网络内泛洪从而被锁定,此时如果使能了动态黑名单,检查到的攻击设备将被加入动态黑名单。
IDS支持下列报文的泛洪攻击检测。
l 认证请求/解除认证请求(Authentication / De-authentication);
l 关联请求/解除关联请求/重新关联请求(Association / Disassociation / Reassociation);
l 探查请求(Probe request);
l 空数据帧;
l Action帧;
当一个AP支持超过一个BSSID时,无线终端会发送探查请求报文到每个单独的BSSID。所以在报文为探查请求报文的情况下,需要考虑源端和目的地的共同流量,而对于其它类型的报文,只需要考虑源端的流量即可。
作为一种防护手段,有效地应对了网络中潜在存在的客户端对AP发起的泛洪攻击,保障AP正常工作。
复杂网络中,有潜在攻击的场合。
(1) AP上WIDS功能配置正确。
(2) 动态黑名单功能启用。
本配置举例中的AP使用的是WA2200系列无线局域网接入点设备,IP地址为192.168.0.50/24。AP的配置应根据具体的AP型号和序列号进行配置。
本配置举例中Client 1和Client 2是两个无线用户,当他们对AP发起泛洪攻击时,AP就可以把他们添加到动态黑名单里。
图4-1 WA系列动态黑名单组网图
l 使能WIDS
l 配置动态黑名单功能
H3C Comware Platform Software
Comware Software, Version 5.20, Beta 1108
Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
WA2220E-AG uptime is 0 week, 0 day, 0 hour, 17 minutes
CPU type: AMCC PowerPC 266MHz
64M bytes SDRAM Memory
8M bytes Flash Memory
Pcb Version: Ver.B
Basic BootROM Version: 1.11
Extend BootROM Version: 1.11
[SLOT 1]CON (Hardware)Ver.A, (Driver)1.0
[SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/2 (Hardware)Ver.A, (Driver)1.0
<AP> display current-configuration
#
version 5.20, Beta 1108
#
sysname AP
#
domain default enable system
#
telnet server enable
#
vlan 1
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
#
local-user admin
password simple admin
authorization-attribute level 3
service-type telnet
#
wlan rrm
dot11a mandatory-rate 6 12 24
dot11a supported-rate 9 18 36 48 54
dot11b mandatory-rate 1 2
dot11b supported-rate 5.5 11
dot11g mandatory-rate 1 2 5.5 11
dot11g supported-rate 6 9 12 18 24 36 48 54
#
wlan service-template 1 clear
ssid SYS
service-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 192.168.0.50 255.255.255.0
#
interface Ethernet1/0/1
#
interface WLAN-BSS1
#
interface WLAN-Radio1/0/1
#
interface WLAN-Radio1/0/2
channel 1
service-template 1 interface wlan-bss 1
#
wlan ids
dynamic-blacklist enable
dynamic-blacklist lifetime 500
attack-detection enable flood
#
load xml-configuration
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
<AP>
# 配置WIDS。
[AP] wlan ids
# 使能泛洪攻击入侵检测。
[AP-wlan-ids] attack-detection enable flood
# 使能动态黑名单功能。
[AP-wlan-ids] dynamic-blacklist enable
#设置动态黑名单表项生命周期。
[AP-wlan-ids] dynamic-blacklist lifetime 300
当Client被加入到动态黑名单中时,Client将被“管制”所设置的lifetime的时间。Client从黑名单中“释放”的条件是lifetime时间到期且client不再发攻击报文。这个lifetime时长可以根据要求设置,范围是1分钟到1小时,设备默认时长是300秒。
当Client 发起对AP泛洪攻击时(例如:Client向AP发送大量攻击性关联帧报文,或者向AP发送大量攻击性去关联帧报文),AP将该Client 加入到动态黑名单中,在一段时间内该Client将不能与任何AP发生关联。
<AP> display wlan blacklist dynamic
Total Number of Entries: 2
Dynamic Blacklist
----------------------------------------------------------------------
MAC-Address Lifetime(s) Last Updated Since(hh:mm:ss) Reason
----------------------------------------------------------------------
000e-35b2-8be9 500 00:02:11 Assoc-Flood
0000-0000-0002 500 00:01:17 Deauth-Flood
Assoc-Flood指该Client因发送关联帧攻击而被加入黑名单;Deauth-Flood是指该Client因发送去关联帧攻击而被加入到黑名单中。
无
《H3C WA系列无线局域网接入点设备 用户手册》“WLAN分册”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!