- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
06-WLAN IDS配置
本章節下載: 06-WLAN IDS配置 (381.36 KB)
802.11網絡很容易受到各種網絡威脅的影響,如未經授權的AP用戶、Ad-hoc網絡、拒絕服務型攻擊等。Rogue設備對於企業網絡安全來說是一個很嚴重的威脅。WIDS(Wireless Intrusion Detection System)用於對有惡意的用戶攻擊和入侵無線網絡進行早期檢測。WIPS(Wireless Intrusion Prevention System)可以保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。Rogue設備檢測功能是WIDS/WIPS功能的一部分,它用於檢測WLAN網絡中的Rogue設備,並對它們采取反製措施,以阻止其工作。
· Wireless Intrusion Detection System (WIDS):WIDS用於放置到已有的無線網絡中,它可以對網絡外惡意的攻擊和入侵無線網絡進行檢測。
· Rogue AP:網絡中未經授權或者有惡意的AP,它可以是私自接入到網絡中的AP、未配置的AP、鄰居AP或者攻擊者操作的AP。如果在這些AP上存在漏洞的話,黑客就有機會危害你的網絡安全。
· Rogue Client:非法客戶端,網絡中未經授權或者有惡意的客戶端,類似於rogue AP。
· Rogue Wireless Bridge:非法無線網橋,網絡中未經授權或者有惡意的網橋。
· Monitor AP:網絡中用於掃描或監聽無線介質,並試圖檢測無線網絡中的攻擊。
· Ad-hoc mode:把無線客戶端的工作模式設置為Ad-hoc模式,Ad-hoc終端可以不需要任何設備支持而直接進行通訊。
· Passive Scanning:在被動掃描模式下,monitor AP監聽該信道下空氣介質中所有的802.11幀。
· Active Scanning:在監聽802.11幀的同時,monitor AP發送廣播探查請求並在該信道上等待所有的探查響應消息。每一個在monitor AP附近的AP都將回應探查請求,這樣就可以通過處理探查響應幀來分辨friend AP和rogue AP。在發送探查請求時,Monitor AP是偽裝成客戶端的。
Rogue設備檢測比較適合於大型的WLAN網絡。通過在已有的WLAN網絡中製定非法設備檢測規則,可以對整個WLAN網絡中的異常設備進行監視。
Rogue設備檢測可以檢測WLAN網絡中的多種設備,例如Rogue AP,Rogue client,無線網橋,Ad-hoc終端等等。
在檢測到Rogue設備後,可以使能反製功能,根據反製的模式,Monitor AP從無線控製器下載攻擊列表,並對Rogue設備采取措施。
例如:如果反製模式是config,那麼Monitor AP將隻對靜態配置的攻擊列表中的設備采取反製措施。啟動反製措施後,Monitor AP通過使用Rogue設備的地址發送假的解除認證幀來對Rogue設備進行反製。
Rogue AP檢測特性支持下列功能:
· 不同信道RF監視
· Rogue AP檢測
· Rogue客戶端檢測
· Adhoc網絡檢測
· 無線網橋檢測
· 對Rogue AP、Rogue Client和adhoc網絡采取反製措施
為了及時發現WLAN網絡的惡意或者無意的攻擊,通過記錄信息或者發送日誌信息的方式通知網絡管理者。目前設備支持的入侵檢測主要包括泛洪攻擊檢測、Spoof檢測以及Weak IV檢測。
泛洪攻擊(Flooding攻擊)是指WLAN設備會在短時間內接收了大量的同種類型的報文。此時WLAN設備會被泛洪的攻擊報文淹沒而無法處理合法無線客戶端的報文。
攻擊檢測通過持續地監控每台無線客戶端的流量大小來預防這種泛洪攻擊。當流量超出可容忍的上限時,該無線客戶端將被認定在實施泛洪攻擊。如果在WLAN設備上開啟動態黑名單功能,此時被檢測到的攻擊設備將被加入黑名單,在後續一段時間內將被禁止接入WLAN網絡。
入侵檢測支持對下列報文的泛洪攻擊檢測:
· 認證請求/解除認證請求(Authentication / De-authentication);
· 關聯請求/解除關聯請求/重新關聯請求(Association / Disassociation / Reassociation);
· 探查請求(Probe Request);
· 802.11 Null數據幀;
· 802.11 Action幀;
Spoofing攻擊是指潛在的攻擊者會仿冒其他設備的名義發送攻擊報文,以達到破壞無線網絡正常工作的目的。例如:無線網絡中的客戶端已經和AP關聯,並處於正常工作狀態,此時如果有攻擊者仿冒AP的名義給客戶端發送解除認證報文就可能導致客戶端下線,同樣如果攻擊者仿冒客戶端的名義給AP發送解除認證報文也會影響無線網絡的正常工作。
目前,Spoofing攻擊檢測支持對仿冒AP名義發送的廣播解除認證和廣播解除關聯報文進行檢測。當接收到這兩種報文時,設備會將其定義為Spoofing攻擊並被記錄到日誌中。
使用WEP加密的時候,WLAN設備對於每一個報文都會使用初始化向量(IV,Initialization Vector),IV和Key一起作為輸入來生成Key Stream,使相同密鑰產生不同加密效果。當一個WEP報文被發送時,用於加密報文的IV也作為報文頭的一部分被發送。如果WLAN設備使用不安全的方法生成IV,例如始終使用固定的IV,就可能會暴露共享的密鑰,如果潛在的攻擊者獲得了共享的密鑰,攻擊者將能夠控製網絡資源。
檢測IDS攻擊可以通過識別每個WEP報文的IV來預防這種攻擊,當一個有Weak IV的報文被檢測到時,這個檢測將立刻被記錄到日誌中。
|
配置任務 |
說明 |
詳細配置 |
|
|
配置AP的工作模式 |
必選 |
||
|
配置Rogue設備檢測 |
配置對Rogue設備進行檢測(僅檢測) |
可選 |
|
|
配置對檢測到的Rogue設備進行防攻擊 |
|||
|
Rogue設備檢測顯示和維護 |
|||
|
配置IDS攻擊檢測 |
配置IDS攻擊檢測 |
可選 |
|
|
IDS攻擊檢測顯示和維護 |
|||
WLAN網絡由跨越建築物提供不同WLAN服務的AP組成,由於rogue設備的存在,管理員需要其中的一些AP監視WLAN。AP可以工作在Normal、Monitor或Hybrid三種模式之一。
· 標準(Normal)模式:AP僅傳輸WLAN用戶的數據,不進行任何監測。
· 監控(Monitor)模式:在這種模式下,AP需要掃描WLAN中的設備,此時AP僅做監測AP,不做接入AP。當AP工作在Monitor模式時,該AP提供的所有WLAN服務都將關閉。Monitor模式的AP,監聽所有802.11幀。
· 混合(Hybrid)模式:在這種模式下,AP可以在監測無線環境中設備的同時傳輸WLAN數據。
表1-2 配置AP的工作模式
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AP模板視圖 |
wlan ap ap-name model model-name |
- |
|
配置AP工作在Monitor模式 |
work-mode monitor |
兩者選擇其一 缺省情況下,AP為Normal模式,僅提供WLAN服務 需要注意的是: · 當AP從Normal模式切換到Monitor模式時,AP不會重啟 · 當AP從Monitor模式切換到Normal模式時,AP會重啟 |
|
配置AP工作在Hybrid模式 |
device-detection enable |
· 如果AP工作模式為Hybrid模式,需要配置服務模板,這樣AP在監測無線設備的同時可以提供無線服務。
· 如果AP工作模式為Monitor模式,那麼AP不需要提供無線服務,不需要配置服務模板。
配置檢測規則就是製定Rogue設備識別策略。設備會根據設置的Rogue設備策略進行匹配,最終確定哪些設備為Rogue設備。
· 判斷AP是否為非法設備:
圖1-1 判斷AP是否為非法設備的流程圖
· 判斷Client是否為非法設備:
圖1-2 判斷Client是否為非法設備的流程圖
· 判斷Adhoc網絡或無線網橋是否為非法設備:
圖1-3 判斷Adhoc網絡或無線網橋是否為非法設備的流程圖
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入IDS視圖 |
wlan ids |
- |
|
配置允許的MAC地址列表 |
device permit mac-address mac-address |
可選 缺省情況下,不存在允許表項 |
|
配置允許的SSID列表 |
device permit ssid ssid |
可選 缺省情況下,不存在允許表項 |
|
配置允許的廠商列表 |
device permit vendor oui |
可選 缺省情況下,不存在允許表項 |
用戶可以通過該命令設置設備上入侵列表中表項的老化時間,如果在老化時間超時後,該設備沒有再次被檢測到,則從列表中清除該表項,如果該設備是Rogue設備,則將該表項移至曆史記錄表中。
表1-4 配置設備超時時間
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入IDS視圖 |
wlan ids |
- |
|
配置設備超時時間 |
device aging-duration duration |
可選 缺省為600秒 |
用戶可以通過添加某個設備的MAC地址到攻擊列表中,將該設備配置為Rogue設備。
表1-5 配置攻擊規則
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入IDS視圖 |
wlan ids |
- |
|
配置靜態攻擊列表 |
device attack mac-address mac-address |
可選 缺省情況下,不存在攻擊表項 |
反製模式用來設置對哪些設備采取反製措施。Monitor AP可以設置4種反製模式:
· 所有Rogue設備
· 靜態攻擊列表中的設備
· Rogue AP
· adhoc客戶端
目前暫不支持對檢測為Rogue的無線網橋進行反製措施。
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入IDS視圖 |
wlan ids |
- |
|
配置反製模式 |
countermeasures mode { all | { rogue | adhoc | config } * } |
可選 缺省情況下,反製模式為config |
|
使能反製功能 |
countermeasures enable |
必選 缺省情況下,反製Rogue設備的功能處於關閉狀態 如果選擇config模式,需要首先使用device attack mac-address命令手工配置靜態攻擊列表 |
在完成上述配置後,在任意視圖下執行display命令可以顯示Rogue設備檢測配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Rogue設備檢測統計信息。
表1-7 Rogue設備檢測顯示和維護
|
配置 |
命令 |
|
查看WIDS的反製攻擊列表 |
display wlan ids attack-list { config | all | ap ap-name } [ | { begin | exclude | include } regular-expression ] |
|
查看WLAN檢測到的各種設備 |
display wlan ids detected { all | rogue { ap | client } | adhoc | ssid | mac-address mac-address } [ | { begin | exclude | include } regular-expression ] |
|
顯示所有從列表裏刪除的Rogue設備 |
display wlan ids rogue-history [ | { begin | exclude | include } regular-expression ] |
|
查看WLAN信任的mac-address、ssid或者vendor列表 |
display wlan ids permitted { mac-address | ssid | vendor } [ | { begin | exclude | include } regular-expression ] |
|
清除WLAN中檢測到的設備列表 |
reset wlan ids detected { all | rogue { ap | client } | adhoc | ssid | mac-address mac-address } |
|
清除WLAN中的rogue曆史列表 |
reset wlan ids rogue-history |
表1-8 配置IDS攻擊檢測
|
配置 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入IDS視圖 |
wlan ids |
- |
|
配置IDS攻擊檢測 |
attack-detection enable { all | flood | weak-iv | spoof } |
必選 缺省情況下,攻擊檢測功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示IDS攻擊檢測配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除IDS攻擊檢測統計信息。
表1-9 IDS攻擊檢測顯示和維護
|
配置 |
命令 |
|
顯示WLAN係統的攻擊檢測曆史信息 |
display wlan ids history [ | { begin | exclude | include } regular-expression ] |
|
顯示檢測到的攻擊數 |
display wlan ids statistics [ | { begin | exclude | include } regular-expression ] |
|
清除WLAN係統攻擊檢測的曆史信息 |
reset wlan ids history |
|
清除WLAN係統攻擊檢測的統計信息 |
reset wlan ids statistics |
AC連接到一個交換機,Monitor AP(Serial ID為210235A29G007C000020)、AP 1(Serial ID為210235A29G007C000021)通過2層交換機連接到AC。
· AP 1為Normal模式,隻提供WLAN服務。
· AP 2的工作模式為Monitor模式,對非法設備進行檢測。
· Client 1(MAC地址為000f-e215-1515)、Client 2(MAC地址為000f-e215-1530)、Client 3(MAC地址為000f-e213-1235)連接到無線網絡中,享受AP 1提供的WLAN服務。
· Client 4(MAC地址為000f-e220-405e)為非法客戶端(Rogue Client),並對AP 2進行攻擊。
圖1-4 WIDS配置組網圖
# 創建WLAN ESS接口。
<AC> system-view
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服務模板(明文模板),配置SSID為normal,並將WLAN-ESS接口與該服務模板綁定。
<AC> system-view
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid normal
[AC-wlan-st-1] bind wlan-ess 1
# 配置無線客戶端接入該無線服務(SSID)的認證方式為開放式係統認證,並使能服務模板1。
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP 1為Normal模式,即隻提供WLAN服務。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 配置AP 1的radio1的射頻類型為802.11g,將AC上配置的clear類型的服務模板1與射頻1進行關聯,並使能AP 1上的radio 1。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
# 配置AP 2的工作模式為Monitor模式,即此時AP僅做監測AP(對非法設備進行檢測),不做接入AP。。
[AC] wlan ap ap2 model WA2100
[AC-wlan-ap-ap2] serial-id 210235A29G007C000021
[AC-wlan-ap-ap2] work-mode monitor
# 配置AP 2的radio1的射頻類型為802.11g,並使能AP 2上的radio 1。
[AC-wlan-ap-ap2] radio 1 type dot11g
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] return
# 配置規則,允許Client 1、Client 2和Client 3連接到無線網絡中,享受AP 1提供的WLAN服務。。
<AC> system-view
[AC] wlan ids
[AC-wlan-ids] device permit mac-address 000f-e215-1515
[AC-wlan-ids] device permit mac-address 000f-e215-1530
[AC-wlan-ids] device permit mac-address 0015-e213-1235
# 配置Client 4為非法客戶端(Rogue Client),並對其進行反製。
[AC-wlan-ids] device attack mac-address 0015-e220-405e
[AC-wlan-ids] countermeasures mode config
[AC-wlan-ids] countermeasures enable
幀過濾是802.11MAC和WIDS(Wireless Intrusion Detection System,無線入侵檢測係統)子特性的一個小特性。
無線控製器包括白名單列表(列表中的當前表項是被許可,並可以通過命令行配置的),靜態黑名單列表(列表中的當前表項是不被許可,但可以通過命令行配置的)和動態黑名單列表(列表中的當前表項是不被許可,並隻有在無線入侵檢測係統檢測到泛洪攻擊時才被添加)。
過濾行為實體維持了AP上的MAC地址,並且過濾行為隻有在輸入的MAC地址匹配的情況下才執行。
在WLAN網絡環境中,可以通過黑白名單功能設定一定的規則過濾無線客戶端,實現對無線客戶端的接入控製。
黑白名單維護三種類型的列表。
· 白名單列表:該列表包含允許接入的無線客戶端的MAC地址。如果使用了白名單,則隻有白名單中指定的無線客戶端可以接入到WLAN網絡中,其他的無線客戶端將被拒絕接入。
· 靜態黑名單列表:該列表包含拒絕接入的無線客戶端的MAC地址。
· 動態黑名單列表:當WLAN設備檢測到來自某一設備的非法攻擊時,可以選擇將該設備動態加入到黑名單中,拒絕接收任何來自於該設備的報文,直至該動態黑名單表項老化為止,從而實現對WLAN網絡的安全保護。動態黑名單支持與ARP Detection功能聯動,即當ARP Detection檢測到攻擊時,發送非法報文的用戶(MAC地址)也會被加入到動態黑名單中。關於“ARP Detection功能”的功能介紹請參見“安全配置指導”中的“ARP攻擊防禦配置”。
黑白名單按照以下步驟對接收到的802.11報文進行過濾,隻有滿足條件的報文允許通過,其他的所有的報文都會被丟棄。
· 當AP接收到一個802.11幀時,將針對該802.11幀的源MAC進行過濾;
· 如果設置了白名單列表,但接收幀的源MAC不在白名單列表內,該幀將被丟棄;
· 如果源MAC在白名單內,該幀將被作為合法幀進一步處理;
· 如果沒有設置白名單列表,則繼續搜索靜態和動態的黑名單列表。如果源MAC在靜態或動態黑名單列表內,該幀將被丟棄;
· 如果源MAC沒有在靜態或動態黑名單列表內,或者黑名單列表為空,則該幀將被作為合法幀進一步處理。
需要注意的是,靜態黑名單、白名單和動態黑名單的作用範圍有所不同。在AC上設置靜態黑名單、白名單後,靜態黑名單、白名單會對所有與AC相連的AP生效;而動態黑名單隻會對接收到攻擊報文的AP生效。
在如圖2-1所示的組網中,有三個AP連接到AC。
· 在AC上配置白名單和靜態黑名單。假設Client 1的MAC地址存在於靜態黑名單列表中,則Client 1不能與任何一個AP發生關聯。當隻有Client 1的MAC地址存在於白名單列表中時,該客戶端可以和任何一個AP發生關聯,其他的客戶端不能與任何一個AP發生關聯。
· 在AC上開啟動態黑名單功能。假設Client 1的攻擊報文是在AP 1上接收到的,那麼Client 1不能與AP 1關聯,但仍然可以與AP 2和AP 3發生關聯。若AP 2或者AP 3也接收到Client 1的攻擊報文,則會在列表中產生新的動態黑名單表項。
WIDS-Frame Filtering配置包括白名單列表、靜態黑名單列表和動態黑名單列表。
各種名單列表的特性如下:
· 切換到IDS視圖下可以配置靜態黑名單列表、白名單列表、使能動態黑名單列表功能以及動態黑名單中的對應列表的生存時間。
· 隻有當表項存在於白名單列表中時,對應的客戶端才能通過幀過濾。用戶可以通過命令行添加或刪除表項。
· 當輸入表項存在於黑名單列表中時將被拒絕通過,當WIDS檢測到泛洪攻擊時,該表項將被動態添加到動態黑名單列表中。對於存在於動態黑名單中的表項,用戶可以通過命令行設置生存時間。在該時間超時後,該設備接口將被從動態列表中刪除。
無線控製器產品支持的靜態黑名單表項的最大個數與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
表2-1 配置靜態列表
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ids視圖 |
wlan ids |
- |
|
配置白名單列表 |
whitelist mac-address mac-address |
可選 |
|
配置靜態黑名單列表 |
static-blacklist mac-address mac-address |
可選 |
無線控製器產品支持的動態黑名單表項的最大個數與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入ids視圖 |
wlan ids |
- |
|
使能動態黑名單列表功能 |
dynamic-blacklist enable |
可選 缺省情況下,不使能動態黑名單列表功能 |
|
設置動態黑名單中的對應列表的生存時間 |
dynamic-blacklist lifetime lifetime |
可選 缺省情況下,生存時間為300秒 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後WIDS-Frame Filtering的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令清除WIDS-Frame Filtering的相關信息。
表2-3 WIDS-Frame Filtering顯示和維護
|
操作 |
命令 |
|
顯示黑名單列表 |
display wlan blacklist { static | dynamic } [ | { begin | exclude | include } regular-expression ] |
|
顯示白名單列表 |
display wlan whitelist [ | { begin | exclude | include } regular-expression ] |
|
清除動態黑名單列表選項 |
reset wlan dynamic-blacklist { mac-address mac-address | all } |
AC與二層交換機相連。無線接入點AP 1、AP 2通過L2 Switch與AC相連。其中Client 1(0000-000f-1211)為已知非法客戶端,為了保證無線網絡的安全性,網絡管理員需要將其的MAC地址加入到AC的黑名單列表中,使其無法通過任何AP接入網絡。
圖2-2 幀過慮配置組網圖
<AC> system-view
[AC] wlan ids
# 將Client 1的MAC地址0000-000f-1211添加到靜態黑名單列表。
[AC-wlan-ids] static-blacklist mac-address 0000-000f-1211
完成配置後,非法客戶端Client 1(0000-000f-1211)無法接入AP 1、AP 2,其它客戶端正常接入網絡。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
售前谘詢
售後谘詢
人工在線谘詢
