- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-WIPS配置
本章節下載: 02-WIPS配置 (634.51 KB)
WIPS(Wireless Intrusion Prevention System,無線入侵防禦係統)是針對802.11協議開發的二層協議檢測和防護功能。WIPS通過對信道進行監聽及分析處理,從中檢測出威脅網絡安全、幹擾網絡服務、影響網絡性能的無線行為或設備,並提供對入侵的無線設備的反製,為無線網絡提供一套完整的安全解決方案。
WIPS由Sensor、AC以及網管軟件組成。
· 開啟WIPS功能的AP稱為Sensor,Sensor負責監聽無線信道,並將收集的信息經過簡單加工後,上傳至AC進行綜合分析。
· AC會分析攻擊源並對其實施反製,同時向網管軟件輸出日誌信息。
· 網管軟件提供豐富的圖形界麵,提供係統控製、報表輸出、告警日誌管理功能。
WIPS支持以下功能:
· 攻擊檢測:提供多種攻擊方式的攻擊檢測功能。WIPS通過分析偵聽到的802.11報文,來檢測針對WLAN網絡的無意或者惡意的攻擊,並以告警的方式通知網絡管理員。
· Signature檢測:通過配置Signature規則實現自定義攻擊行為的檢測。
· 設備分類:通過偵聽無線信道的802.11報文來識別無線設備,並對其進行分類。
· 反製:對非法設備進行攻擊,使其它設備無法關聯到非法設備,從而保護用戶網絡的安全。
泛洪攻擊是指通過向無線設備發送大量同類型的報文,使無線設備會被泛洪攻擊報文淹沒而無法處理合法報文。WIPS通過持續地監控AP或客戶端的流量來檢測泛洪攻擊。當大量同類型的報文超出上限時,認為無線網絡正受到泛洪攻擊。
攻擊者通過模擬大量的客戶端向AP發送鑒權請求幀,AP收到大量攻擊報文後無法處理合法客戶端的鑒權請求幀。
攻擊者通過模擬大量的客戶端向AP發送探查請求/關聯請求/重關聯請求幀,AP收到大量攻擊報文後無法處理合法客戶端的探測請求/關聯請求/重關聯請求幀。
IEEE 802.1X標準定義了一種基於EAPOL(EAP over LAN,局域網上的可擴展認證協議)的認證協議,該協議通過客戶端發送EAPOL-Start幀開始一次認證流程。AP接收到EAPOL-Start後會回複一個EAP-Identity-Request,並為該客戶端分配一些內部資源來記錄認證狀態。攻擊者可以通過模擬大量的客戶端向AP發送EAPOL-Start來耗盡該AP的資源,使AP無法處理合法客戶端的認證請求。
攻擊者通過仿冒AP向與其關聯的客戶端發送廣播/單播的解除鑒權幀,使得被攻擊的客戶端與AP的關聯斷開。這種攻擊非常突然且難以防範。單播取消鑒權攻擊是針對某一個客戶端,而廣播取消鑒權攻擊是針對與該AP關聯的所有客戶端。
攻擊原理同廣播/單播解除鑒權泛洪攻擊。攻擊者是通過仿冒AP向與其關聯的客戶端發送廣播/單播解除關聯幀,使得被攻擊的客戶端與AP的關聯斷開。這種攻擊同樣非常突然且難以防範。
在無線網絡中,通信雙方需要遵循虛擬載波偵聽機製,通過RTS(Request to Send,發送請求)/CTS(Clear to Send,清除發送請求)交互過程來預留無線媒介,通信範圍內的其它無線設備在收到RTS和(或)CTS後,將根據其中攜帶的信息來延遲發送數據幀。RTS/CTS泛洪攻擊利用了虛擬載波偵聽機製的漏洞,攻擊者能通過泛洪發送RTS和(或)CTS來阻塞WLAN網絡中合法無線設備的通信。
該攻擊通過仿冒客戶端發送偽造的Block ACK幀來影響Block ACK機製的正常運行,導致通信雙方丟包。
該攻擊通過仿冒合法客戶端向與其關聯的AP發送Null-Data幀,並且將Null-Data幀的節電位置位,使得AP誤認為合法的客戶端進入省電模式,將發往該客戶端的數據幀進行暫存。如果攻擊者持續發送Null-Data幀,當暫存幀的存儲時間超過AP暫存幀老化時間後,AP會將暫存幀丟棄,妨害了合法客戶端的正常通信。
該攻擊是通過發送大量的Beacon幀使客戶端檢測到多個虛假AP,導致客戶端選擇正常的AP進行連接時受阻。
在EAPOL認證環境中,當通過認證的客戶端需要斷開連接時,會發送一個EAPOL-Logoff幀來關閉與AP間的會話。但AP對接收到的EAPOL-Logoff幀不會進行認證,因此攻擊者通過仿冒合法客戶端向AP發送EAPOL-Logoff幀,可以使AP關閉與該客戶端的連接。如果攻擊者持續發送仿冒的EAPOL-Logoff幀,將使被攻擊的客戶端無法保持同AP間的連接。
在使用802.1X認證的WLAN環境中,當客戶端認證成功時,AP會向客戶端發送一個EAP-Success幀(code字段為success的EAP幀);當客戶端認證失敗時,AP會向客戶端發送一個EAP-Failure幀(code字段為failure的EAP幀)。攻擊者通過仿冒AP向請求認證的客戶端發送EAP-Failure幀或EAP-Success幀來破壞該客戶端的認證過程,通過持續發送仿冒的EAP-Failure幀或EAP-Success幀,可以阻止被攻擊的客戶端與AP間的認證。
畸形報文攻擊是指攻擊者向受害客戶端發送有缺陷的報文,使得客戶端在處理這樣的報文時會出現崩潰。WIPS利用Sensor監聽無線信道來獲取無線報文,通過報文解析檢測出具有某些畸形類型特征的畸形報文,並發送告警。
該檢測是針對所有管理幀的檢測。信息元素(Information Element,簡稱IE)是管理幀的組成元件,每種類型的管理幀包含特定的幾種IE。報文解析過程中,當檢測到該報文包含的某個IE的長度為非法時,該報文被判定為IE長度非法的畸形報文。完成報文解析過程後,當檢測到IE的剩餘長度不為0時,該報文被判定為IE長度非法的畸形報文。
該檢測是針對所有管理幀的檢測。當解析某報文時,該報文所包含的某IE重複出現時,則判斷該報文為重複IE畸形報文。因為廠商自定義IE是允許重複的,所以檢測IE重複時,不檢測廠商自定義IE。
該檢測是針對所有管理幀的檢測。報文解析過程中,當檢測到既不屬於報文應包含的IE,也不屬於reserved IE時,判斷該IE為多餘IE,則該報文被判定為多餘IE的畸形報文。
該檢測是針對所有管理幀的檢測。當解析完報文主體後,IE的剩餘長度不等於0時,則該報文被判定為報文長度非法的畸形報文。
該檢測是針對Beacon幀和探查響應幀進行的檢測。當報文中的IBSS和ESS都置位為1時,由於此種情況在協議中沒有定義,所以該報文被判定為IBSS和ESS置位異常的畸形報文。
該檢測是針對認證幀的檢測。當檢測到以下情況時請求認證過程失敗,會被判斷為認證畸形報文。
· 當對認證幀的身份認證算法編號(Authentication algorithm number)的值不符合協議規定,並且其值大於3時;
· 當標記客戶端和AP之間的身份認證的進度的Authentication Transaction Sequence Number的值等於0時;
· 當標記客戶端和AP之間的身份認證的進度的Authentication Transaction Sequence Number 的值等於1,且狀態代碼status code不為0時;
· 當標記客戶端和AP之間的身份認證的進度的Authentication Transaction Sequence Number的值大於4時。
該檢測是針對關聯請求幀的檢測。當收到關聯請求幀中的SSID的長度等於0時,判定該報文為畸形關聯請求報文。
該檢測是針對Beacon、探查響應幀、關聯響應幀、重關聯請求幀的檢測。當檢測到以下情況時,判定為HT IE的畸形報文,發出告警,在靜默時間內不再告警。
· 解析出HT Capabilities IE的SM Power Save值為2時;
· 解析出HT Operation IE的Secondary Channel Offset值等於2時。
該檢測是針對單播管理幀、單播數據幀以及RTS、CTS、ACK幀的檢測。如果報文解析結果中該報文的Duration值大於指定的門限值,則為Duration超大的畸形報文。
該檢測是針對探查響應報文。當檢測到該幀為非Mesh幀,但同時該幀的SSID Length等於0,這種情況不符合協議(協議規定SSID Length等於0的情況是Mesh幀),則判定為無效探查響應報文。
該檢測是針對解除認證畸形幀的檢測。當解除認證畸形幀攜帶的Reason code的值屬於集合[0,67~65535]時,則屬於協議中的保留值,此時判定該幀為含有無效原因值的解除認證畸形報文。
該檢測是針對解除關聯幀的檢測。當解除關聯幀攜帶的Reason code的值屬於集合[0,67~65535]時,則屬於協議中的保留值,此時判定該幀為含有無效原因值的解除關聯畸形報文。
該檢測是針對Beacon、探查請求、探查響應、關聯請求幀的檢測。當解析報文的SSID length大於32字節時,不符合協議規定的0~32字節的範圍,則判定該幀為SSID超長的畸形報文。
該檢測是針對認證幀的檢測。Fata-Jack畸形類型規定,當身份認證算法編號即Authentication algorithm number的值等於2時,則判定該幀為Fata-Jack畸形報文。
該檢測是針對所有管理幀的檢測。當檢測到該幀的TO DS等於1時,表明該幀為客戶端發給AP的,如果同時又檢測到該幀的源MAC地址為廣播或組播,則該幀被判定為Invalid-Source-Address畸形報文。
該檢測是針對EAPOL-Key幀的檢測。當檢測到該幀的TO DS等於1且其Key Length大於0時,則判定該幀為Key長度超長的EAPOL報文。Key length長度異常的惡意的EAPOL-Key幀可能會導致DOS攻擊。
Spoofing攻擊是指攻擊者仿冒其他設備,從而威脅無線網絡的安全。例如:無線網絡中的客戶端已經和AP關聯,並處於正常工作狀態,此時如果有攻擊者仿冒AP的名義給客戶端發送解除認證/解除關聯報文就可能導致客戶端下線,從而達到破壞無線網絡正常工作的目的;又或者攻擊者仿冒成合法的AP來誘使合法的客戶端關聯,攻擊者仿冒成合法的客戶端與AP關聯等,從而可能導致用戶賬戶信息泄露。
該仿冒是指攻擊者使用AP仿冒正常工作的AP的MAC地址,向客戶端發送報文的行為。WIPS通過報文的接收時間和報文中的時間戳計算出AP的啟動時間,並與之前記錄的該AP的啟動時間進行比較來判斷是否發生仿冒。如果計算出的本次AP啟動時間早於之前計算出的AP啟動時間,則判定為發生AP仿冒AP攻擊。
WIPS通過偵聽無線網絡內的Beacon或探查響應幀報文來檢測AP仿冒AP行為。
該仿冒是指攻擊者使用AP仿冒合法客戶端的MAC地址發送報文。WIPS通過檢測AP發送的報文中的MAC地址是否存在於客戶端列表中來判斷是否有仿冒發生。如果該AP的MAC地址存在於客戶端列表中,則判定為發生了AP仿冒客戶端。
該仿冒是指攻擊者使用客戶端仿冒合法AP的MAC地址發送報文。WIPS通過檢測客戶端發送的報文中發送端的MAC地址是否存在於AP列表中來判斷是否有仿冒發生。如果該客戶端的MAC地址存在於AP列表中,則判定為發生了客戶端仿冒AP。
WEP安全協議使用的RC4加密算法存在一定程度的缺陷,當其所用的IV值不安全時會大大增加其密鑰被破解的可能性,當IV值的第一個字節小於16(10進製)且第二個字節為FF時,該類IV值即被稱為Weak IV。WIPS特性通過檢測每個WEP報文的IV值來預防這種攻擊。
Omerta是一個基於802.11協議的DoS攻擊工具,它通過向信道上所有發送數據幀的客戶端回應解除關聯幀,使客戶端中斷與AP的關聯。Omerta發送的解除關聯幀中的原因代碼字段為0x01,表示未指定。由於正常情況下不會出現此類解除關聯幀,因此WIPS可以通過檢測每個解除關聯幀的原因代碼字段來檢測這種攻擊。
當攻擊者仿冒成合法的AP,發送目的MAC地址為廣播地址的解除關聯幀或者解除認證幀時,會使合法AP下關聯的客戶端下線,對無線網絡造成攻擊。
支持802.11n標準無線設備可以支持20MHz和40MHz兩種帶寬模式。在無線環境中,如果與AP關聯的某個無線客戶端禁用了40MHz帶寬模式,會影響與該AP關聯的其它無線客戶端使用網絡,從而影響到整個網絡的通信能力。WIPS通過檢測無線客戶端發送的探測請求幀來發現禁用40MHz帶寬模式的無線客戶端。
對於處於非節電模式下的無線客戶端,攻擊者可以通過發送節電模式開啟報文(Null幀),誘使AP相信與其關聯的無線客戶端始終處於睡眠狀態,並為該無線客戶端暫存幀。被攻擊的無線客戶端因為處於非節電模式而無法獲取這些暫存幀,在一定的時間之後暫存幀會被自動丟棄。WIPS通過檢測節電模式開啟/關閉報文的比例判斷是否存在節電攻擊。
用戶可以設置合法信道集合,並開啟非法信道檢測,如果WIPS在合法信道集合之外的其它信道上監聽到無線通信,則認為在監聽到無線通信的信道上存在入侵行為。
軟AP是指客戶端上的無線網卡在應用軟件的控製下對外提供AP的功能。攻擊者可以利用這些軟AP所在的客戶端接入公司網絡,並發起網絡攻擊。WIPS通過檢測某個MAC地址在無線客戶端和AP這兩個角色上的持續活躍時長來判斷其是否是軟AP,不對遊離的無線客戶端進行軟AP檢測。
當一個連接到有線網絡的無線客戶端使用有線網卡建立了Windows網橋時,該無線客戶端就可以通過連接外部AP將外部AP與內部有線網絡進行橋接。此組網方式會使外部AP對內部的有線網絡造成威脅。WIPS會對已關聯的無線客戶端發出的數據幀進行分析,來判斷其是否存在於Windows網橋中。
在無線網絡中,如果有授權AP或信任的無線客戶端使用的配置是未加密的,網絡攻擊者很容易通過監聽來獲取無線網絡中的數據,從而導致網絡信息泄露。WIPS會對信任的無線客戶端或授權AP發出的管理幀或數據幀進行分析,來判斷其是否使用了加密配置。
熱點攻擊指惡意AP使用熱點SSID來吸引周圍的無線客戶端來關聯自己。攻擊者通過偽裝成公共熱點來引誘這些無線客戶端關聯自己。一旦無線客戶端與惡意AP關聯上,攻擊者就會發起一係列的安全攻擊,獲取用戶的信息。用戶通過在WIPS中配置熱點信息,來指定WIPS對使用這些熱點的AP和信任的無線客戶端進行熱點攻擊檢測。
在AP扮演者攻擊中,攻擊者會安裝一台惡意AP設備,該AP設備的BSSID和ESSID與真實AP一樣。當該惡意AP設備在無線環境中成功扮演了真實AP的身份後,就可以發起熱點攻擊,或欺騙檢測係統。WIPS通過檢測收到Beacon幀的間隔是否小於Beacon幀中攜帶的間隔值來判斷其是否為攻擊者扮演的惡意AP。
當無線設備使用802.11n 綠野模式時,不可以和其他802.11a/b/g 設備共享同一個信道。通常當一台設備偵聽到有其他設備占用信道發送和接收報文的時候,會延遲報文的發送直到信道空閑時再發送。但是802.11a/b/g設備不能和綠野模式的AP進行通信,無法被告知綠野模式的AP當前信道是否空閑,會立刻發送自己的報文。這可能會導致報文發送衝突、差錯和重傳。
攻擊者在合法AP附近搭建一個蜜罐 AP,通過該AP發送與合法AP SSID相似的Beacon幀或Probe Response幀,蜜罐AP的發送信號可能被調得很大以誘使某些授權客戶端與之關聯。當有客戶端連接到蜜罐AP,蜜罐AP便可以向客戶端發起某些安全攻擊,如端口掃描或推送虛假的認證頁麵來騙取客戶端的用戶名及密碼信息等。因此,需要檢測無線環境中對合法設備構成威脅的蜜罐AP。WIPS係統通過對外部AP使用的SSID進行分析,若與合法SSID的相似度值達到一定閾值就發送蜜罐AP告警。
在中間人攻擊中,攻擊者在合法AP和合法客戶端的數據通路中間架設自己的設備,並引誘合法客戶端下線並關聯到攻擊者的設備上,此時攻擊者就可以劫持合法客戶端和合法AP之間的會話。在這種情況下,攻擊者可以刪除,添加或者修改數據包內的信息,獲取驗證密鑰、用戶密碼等機密信息。中間人攻擊是一種組合攻擊,客戶端在關聯到蜜罐AP後攻擊者才會發起中間人攻擊,所以在配置中間人攻擊檢測之前需要開啟蜜罐AP檢測。
攻擊者可以通過接入無線網橋侵入公司網絡的內部,對網絡安全造成隱患。WIPS通過檢測無線網絡環境中是否存在無線網橋數據以確定周圍環境中是否存在無線網橋。當檢測到無線網橋時,WIPS係統即產生告警,提示當前無線網絡環境存在安全隱患。如果該無線網橋是Mesh網絡時,則記錄該Mesh鏈路。
關聯/重關聯DoS攻擊通過模擬大量的客戶端向AP發送關聯請求/重關聯請求幀,使AP的關聯列表中存在大量虛假的客戶端,達到拒絕合法客戶端接入的目的。
AP設備在完成部署後通常是固定不動的,正常情況下WIPS通過檢測發現網絡環境中的AP設備的數目達到穩定後不會大量增加。當檢測到AP的數目超出預期的數量時, WIPS係統即產生告警,提示當前無線網絡環境存在安全隱患。
如果攻擊者通過發送大量報文來增加WIPS的處理開銷,可以通過檢測周期內學習到設備的表項來判斷是否需要對表項學習進行限速處理。設備在統計周期內學習到的AP或客戶端表項達到觸發告警閾值,設備會發送告警信息,並停止學習AP表項和客戶端表項。
當WIPS檢測到某個無線設備在設定的時間內沒有收發報文,則會將該無線設備的狀態從active切換到inactive,這段時間即為非活躍時間。如果該無線設備在設定的老化時間內沒有收發報文,則會刪除該無線設備的表項。
Signature檢測是指用戶可以根據實際的網絡狀況來配置Signature規則,並通過該規則來實現自定義攻擊行為的檢測。WIPS利用Sensor監聽無線信道來獲取無線報文,通過報文解析,檢測出具有某些自定義類型特征的報文,並將分析檢測的結果進行歸類處理。
每個Signature檢測規則中最多支持配置6條子規則,分別對報文的6種特征進行定義和匹配。當AC解析報文時,如果發現報文的特征能夠與已配置的子規則全部匹配,則認為該報文匹配該自定義檢測規則,AC將發送告警信息或記錄日誌。
可以通過子規則定義的6種報文特征包括:
· 幀類型
· MAC地址
· 序列號
· SSID長度
· SSID
· 報文中指定位置的字段取值
WIPS將檢測到的AP分為以下幾類:
· 授權AP(Authorized AP):允許在無線網絡中使用的AP。包括已經關聯到AC上且不在禁用列表中的AP、手動指定的授權AP、添加到信任列表中的AP和通過自定義規則分類的授權AP;
· 非法AP(Rogue AP):不允許在無線網絡中使用的AP。包括禁用設備列表中的AP、不在OUI配置文件中的AP、手動指定的非法AP和通過自定義規則分類的非法AP。有線接入但是未關聯的AP有可能是非法AP;
· 配置錯誤的AP(Misconfigured AP):無線服務配置錯誤,但是允許在無線網絡中使用的AP。包括手動指定的配置錯誤的AP和通過自定義規則分類的配置錯誤的AP;
· 外部AP(External AP):其他無線網絡中的AP。WIPS可能會檢測到鄰近網絡中的AP,例如鄰近公司或個人住宅中的AP。目前僅支持手工指定的外部AP和通過自定義規則分類的外部AP;
· Ad hoc:運行在Ad hoc模式的AP。WIPS通過檢測Beacon幀將其分類為Ad hoc;
· Mesh:運行在Mesh模式的AP。WIPS通過檢測Beacon幀將其分類為Mesh;
· 潛在授權的AP(Potential-authorized AP):無法確定但可能是授權的AP。如果AP既不在信任設備、信任OUI列表、信任SSID列表和禁用設備列表中,也不是未關聯AP,並且未對其進行手工分類和符合自定義規則分類,那麼該AP很可能是授權的AP,如Remote AP;
· 潛在非法的AP(Potential-rogue AP):無法確定但可能是非法的AP。如果AP既不在信任設備或信任OUI列表中也不在禁用設備列表中,而且它的無線服務配置也不正確,那麼,如果檢測到它的有線端口可能連接到網絡中,則認為其為潛在非法的AP;如果能確定其有線端口連接到網絡中,則認為其為非法AP,如惡意入侵者私自接入網絡的AP;
· 潛在外部的AP(Potential-external AP):無法確定但可能是外部的AP。如果AP既不在信任設備或信任OUI列表中也不在禁用設備列表中,而且它的無線服務配置也不正確,同時也沒有檢測到它的有線端口連接到網絡中,則該AP很可能是外部的AP;
· 未分類AP(Uncategorized AP):無法確定歸屬類別的AP。
WIPS對檢測到的AP的分類處理流程如圖1-1所示:
圖1-1 WIPS對檢測到的AP設備的分類處理流程示意圖
在AP設備的分類處理流程中,僅支持對H3C設備進行是否連入有線網絡的檢測。
WIPS將檢測到的客戶端分為以下幾類:
· 授權客戶端(Authorized Client):允許使用的客戶端,如關聯到授權AP上的受信任的客戶端或通過加密認證方式關聯到授權AP上的客戶端都是授權的客戶端;
· 未授權客戶端(Unauthorized Client):不允許使用的客戶端。如在禁用設備列表中的客戶端、連接到Rogue AP上的客戶端以及不在OUI配置文件中的客戶端都是未授權客戶端;
· 錯誤關聯客戶端(Misassociation Client):信任設備列表中的客戶端關聯到非授權AP上。錯誤關聯的客戶端可能會對網絡信息安全帶來隱患;
· 未分類客戶端(Uncategorized Client):無法確定歸屬類別的客戶端。
WIPS對檢測到的客戶端的分類處理流程如圖1-2所示:
圖1-2 WIPS對檢測到的客戶端的分類處理流程示意圖
在無線網絡中設備分為兩種類型:非法設備和合法設備。非法設備可能存在安全漏洞或被攻擊者操縱,因此會對用戶網絡的安全造成嚴重威脅或危害。反製功能可以對這些設備進行攻擊使其他無線終端無法關聯到非法設備。
WIPS配置任務如下:
(1) 開啟WIPS功能
(2) 配置攻擊檢測
a. 配置攻擊檢測策略
b. 應用攻擊檢測策略
(3) 配置Signature檢測
(4) 配置設備分類
a. 配置自動分類策略
b. 配置手工分類策略
c. 應用分類策略
(5) 配置反製
a. 配置反製策略
b. 應用反製策略
c. 配置Sensor檢測到非法設備後發送反製報文的時間間隔
d. 配置Sensor檢測到非法設備後采用加強模式發送反製報文
(6) 配置WIPS高級功能
¡ 配置OUI信息
WLAN網絡在組網過程中可以根據職能不同在邏輯上劃分成多個區域,每個區域對接入服務的安全性、安全級別、無線設備的無線行為要求不同,我們稱這些不同的區域為VSD(Virtual Security Domain,虛擬安全域),用戶可以對無線接入網絡的各個VSD采用不同的安全檢測策略。開啟WIPS功能前,需要將AP加入到指定VSD中。
WIPS不能和RRM及Mesh功能同時開啟,否則會導致WIPS功能不生效。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 進入AP組視圖的AP型號視圖。
wlan ap-group group-name
(3) 將AP加入到指定的VSD中。
wips virtual-security-domain vsd-name
缺省情況下:
¡ AP視圖:繼承AP組配置。
¡ AP組視圖:沒有將AP組加入到任何的VSD中。
(4) 進入Radio視圖/AP組Radio視圖。
¡ 進入Radio視圖。
radio radio-id
¡ 進入AP組Radio視圖。
ap-model ap-model
radio radio-id
(5) 開啟WIPS功能。
wips enable
缺省情況下:
¡ AP視圖:繼承AP組配置。
¡ AP組Radio視圖:WIPS功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 創建攻擊檢測策略,並進入攻擊檢測策略視圖。
detect policy policy-name
(4) 配置泛洪攻擊檢測功能。
¡ 配置關聯請求幀泛洪攻擊檢測功能。
flood association-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,關聯請求幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置認證請求幀泛洪攻擊檢測功能。
flood authentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,認證請求幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置Beacon幀泛洪攻擊檢測功能。
flood beacon [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,Beacon幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置Block ACK幀泛洪攻擊檢測功能。
flood block-ack [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,Block ACK幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置RTS幀泛洪攻擊檢測功能。
flood rts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,RTS幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置CTS幀泛洪攻擊檢測功能。
flood cts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,CTS幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置解除認證幀泛洪攻擊檢測功能。
flood deauthentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,解除認證幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置解除關聯幀泛洪攻擊檢測功能。
flood disassociation [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,解除關聯幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置EAPOL-Start幀泛洪攻擊檢測功能。
flood eapol-start [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,EAPOL-Start幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置Null-Data幀泛洪攻擊檢測功能。
flood null-data [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,Null-Data幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置探查請求幀泛洪攻擊檢測功能。
flood probe-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,探查請求幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置重關聯幀泛洪攻擊檢測功能。
flood reassociation-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,重關聯幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置EAPOL-Logoff幀泛洪攻擊檢測功能。
flood eapol-logoff [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,EAPOL-Logoff幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置EAP-Failure幀泛洪攻擊檢測功能。
flood eap-failure [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,EAP-Failure幀泛洪攻擊檢測功能處於關閉狀態。
¡ 配置EAP-Success幀泛洪攻擊檢測功能。
flood eap-success [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,EAP-Success幀泛洪攻擊檢測功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入攻擊檢測策略視圖。
detect policy policy-name
(4) 配置畸形報文檢測功能。
¡ 配置IE重複的畸形報文檢測功能。
malformed duplicated-ie [ quiet quiet-value ]
缺省情況下,IE重複的畸形報文檢測功能處於關閉狀態。
¡ 配置Fata-Jack畸形報文檢測功能。
malformed fata-jack [ quiet quiet-value ]
缺省情況下,Fata-Jack畸形報文檢測功能處於關閉狀態。
¡ 配置IBSS和ESS置位異常的畸形報文檢測功能。
malformed illegal-ibss-ess [ quiet quiet-value ]
缺省情況下,IBSS和ESS置位異常的畸形報文檢測功能處於關閉狀態。
¡ 配置源地址為廣播或者組播的認證和關聯畸形報文檢測功能。
malformed invalid-address-combination [ quiet quiet-value ]
缺省情況下,源地址為廣播或者組播的認證和關聯畸形報文檢測功能處於關閉狀態。
¡ 配置畸形關聯請求報文檢測功能。
malformed invalid-assoc-req [ quiet quiet-value ]
缺省情況下,畸形關聯請求報文檢測功能處於關閉狀態。
¡ 配置畸形認證請求報文檢測功能。
malformed invalid-auth [ quiet quiet-value ]
缺省情況下,畸形認證請求報文檢測功能處於關閉狀態。
¡ 配置含有無效原因值的解除認證畸形報文檢測功能。
malformed invalid-deauth-code [ quiet quiet-value ]
缺省情況下,含有無效原因值的解除認證畸形報文檢測功能處於關閉狀態。
¡ 配置含有無效原因值的解除關聯畸形報文檢測功能。
malformed invalid-disassoc-code [ quiet quiet-value ]
缺省情況下,含有無效原因值的解除關聯畸形報文檢測功能處於關閉狀態。
¡ 配置IE長度非法的畸形報文檢測功能。
malformed invalid-ie-length [ quiet quiet-value ]
缺省情況下,IE長度非法的畸形報文檢測功能處於關閉狀態。
¡ 配置畸形HT IE報文檢測功能。
malformed invalid-ht-ie [ quiet quiet-value ]
缺省情況下,畸形HT IE報文檢測功能處於關閉狀態。
¡ 配置報文長度非法的畸形報文檢測功能。
malformed invalid-pkt-length [ quiet quiet-value ]
缺省情況下,報文長度非法的畸形報文檢測功能處於關閉狀態。
¡ 配置Duration字段超大的畸形報文檢測功能。
malformed large-duration [ quiet quiet-value | threshold value ]
缺省情況下,Duration字段超大的畸形報文檢測功能處於關閉狀態。
¡ 配置無效探查響應報文檢測功能。
malformed null-probe-resp [ quiet quiet-value ]
缺省情況下,無效探查響應報文檢測功能處於關閉狀態。
¡ 配置key長度超長的EAPOL報文檢測功能。
malformed overflow-eapol-key [ quiet quiet-value ]
缺省情況下,key長度超長的EAPOL報文檢測功能處於關閉狀態。
¡ 配置SSID長度超長的畸形報文檢測功能。
malformed overflow-ssid [ quiet quiet-value ]
缺省情況下,SSID長度超長的畸形報文檢測功能處於關閉狀態。
¡ 配置多餘IE畸形報文檢測功能。
malformed redundant-ie [ quiet quiet-value ]
缺省情況下,多餘IE畸形報文檢測功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入攻擊檢測策略視圖。
detect policy policy-name
(4) 配置攻擊檢測功能。
¡ 配置客戶端地址仿冒檢測功能。
client-spoofing [ quiet quiet-value ]
缺省情況下,客戶端地址仿冒檢測功能處於關閉狀態。
¡ 配置AP地址仿冒檢測功能。
ap-spoofing [ quiet quiet-value ]
缺省情況下,AP地址仿冒檢測功能處於關閉狀態。
¡ 配置Weak IV檢測功能。
weak-iv [ quiet quiet-value ]
缺省情況下,Weak IV檢測功能處於關閉狀態。
¡ 配置Omerta攻擊檢測功能。
omerta [ quiet quiet-value ]
缺省情況下,Omerta攻擊檢測功能處於關閉狀態。
¡ 配置廣播解除關聯幀檢測功能。
disassociation-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,廣播解除關聯幀檢測功能處於關閉狀態。
¡ 配置仿冒Deauthentication幀檢測功能。
deauth-spoofing [ quiet quiet ]
缺省情況下,仿冒Deauthentication幀檢測功能處於關閉狀態。
¡ 配置廣播解除認證幀檢測功能。
deauthentication-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,廣播解除認證幀檢測功能處於關閉狀態。
¡ 配置客戶端是否開啟了禁用802.11n 40MHz模式檢測功能。
ht-40mhz-intolerance [ quiet quiet-value ]
缺省情況下,客戶端是否開啟了禁用802.11n 40MHz模式檢測功能處於關閉狀態。
¡ 配置節電攻擊檢測功能。
power-save [ interval interval-value | minoffpacket packet-value | onoffpercent percent-value | quiet quiet-value ] *
缺省情況下,節電攻擊檢測功能處於關閉狀態。
¡ 配置Windows網橋檢測功能。
windows-bridge [ quiet quiet-value ]
缺省情況下,Windows網橋檢測功能處於關閉狀態。
¡ 配置未加密授權AP檢測功能。
unencrypted-authorized-ap [ quiet quiet-value ]
缺省情況下,未加密授權AP檢測功能處於關閉狀態。
¡ 配置未加密信任客戶端檢測功能。
unencrypted-trust-client [ quiet quiet-value ]
缺省情況下,未加密的信任客戶端檢測功能處於關閉狀態。
¡ 配置軟AP檢測功能。
soft-ap [ convert-time time-value ]
缺省情況下,軟AP檢測功能處於關閉狀態。
¡ 配置AP扮演者攻擊檢測功能。
ap-impersonation [ quiet quiet-value ]
缺省情況下,AP扮演者攻擊檢測功能處於關閉狀態。
¡ 配置綠野模式檢測功能。
ht-greenfield [ quiet quiet-value ]
缺省情況下,綠野模式檢測功能處於關閉狀態。
¡ 配置關聯/重關聯DoS攻擊檢測功能。
association-table-overflow [ quiet quiet-value ]
缺省情況下,關聯/重關聯DoS攻擊檢測功能處於關閉狀態。
¡ 配置無線網橋檢測功能。
wireless-bridge [ quiet quiet-value ]
缺省情況下,無線網橋檢測功能處於關閉狀態。
¡ 配置AP泛洪攻擊檢測功能。
ap-flood [ apnum apnum-value | exceed exceed-value | quiet quiet-value ] *
缺省情況下,AP泛洪攻擊檢測功能處於關閉狀態。
¡ 配置蜜罐AP檢測功能。
honeypot-ap [ similarity similarity-value | quiet quiet-value ] *
缺省情況下,蜜罐AP檢測功能處於關閉狀態。
¡ 配置中間人攻擊檢測功能。
man-in-the-middle [ quiet quiet-value ]
缺省情況下,中間人攻擊檢測功能處於關閉狀態。
¡ 配置AP信道變化檢測功能。
ap-channel-change [ quiet quiet-value ]
缺省情況下,AP信道變化檢測功能處於關閉狀態。
¡ 配置隨機偽MAC地址過濾功能。
random-mac-scan enable
缺省情況下,隨機偽MAC地址過濾功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 創建攻擊檢測策略,並進入攻擊檢測策略視圖。
detect policy policy-name
(4) 配置合法信道集。
permit-channel channel-id-list
缺省情況下,未配置合法信道集。
(5) 配置非法信道檢測功能。
prohibited-channel [ quiet quiet-value ]
缺省情況下,非法信道檢測功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 配置熱點信息。
¡ 導入熱點信息的配置文件。
import hotspot file-name
缺省情況下,不存在熱點信息的配置文件,僅存在內置的熱點SSID。
¡ 配置指定的SSID為熱點SSID。
hotspot ssid ssid-name
缺省情況下,未配置熱點SSID,僅存在內置的熱點SSID。
(4) 進入攻擊檢測策略視圖。
detect policy policy-name
(5) 配置熱點攻擊檢測功能。
hotspot-attack [ quiet quiet-value ]
缺省情況下,熱點攻擊檢測功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入攻擊檢測策略視圖。
detect policy policy-name
(4) 配置客戶端表項的檢測參數。
¡ 配置客戶端表項學習的速率。
client-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,學習客戶端表項的統計周期為60秒,發送告警信息後的靜默時間為1200秒,客戶端表項的閾值為512。
¡ 配置客戶端表項的時間參數。
client-timer inactive inactive-value aging aging-value
缺省情況下,客戶端表項的非活躍時間為300秒,老化時間為600秒。
(5) 配置AP表項的檢測參數。
¡ 配置AP表項學習的速率。
ap-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,學習AP表項的統計周期為60秒,發送告警信息後的靜默時間為1200秒,AP表項的閾值為64。
¡ 配置AP表項的時間參數。
ap-timer inactive inactive-value aging aging-value
缺省情況下,AP表項的非活躍時間為300秒,老化時間為600秒。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入攻擊檢測策略視圖。
detect policy policy-name
(4) 配置WIPS根據信號強度對無線設備進行檢測。
rssi-threshold { ap ap-rssi-value | client client-rssi-value }
缺省情況下,未配置WIPS根據信號強度對無線設備進行檢測。
(5) 配置WIPS檢測無線設備的信號強度變化閾值。
rssi-change-threshold threshold-value
缺省情況下,未配置WIPS檢測無線設備的信號強度變化閾值。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入攻擊檢測策略視圖。
detect policy policy-name
(4) 配置WIPS根據信號強度對無線設備進行檢測。
detect dissociate-client enable
缺省情況下,WIPS檢測遊離客戶端功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入攻擊檢測策略視圖。
detect policy policy-name
(4) 配置WIPS根據信號強度對無線設備進行檢測。
report-interval interval
缺省情況下,Sensor上報檢測到的設備信息的時間間隔為30000毫秒。
通過在虛擬安全域上應用攻擊檢測策略,使已配置的攻擊檢測策略在虛擬安全域內的Radio上生效。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 創建VSD,並進入VSD視圖。
virtual-security-domain vsd-name
(4) 在VSD上應用攻擊檢測策略。
apply detect policy policy-name
缺省情況下,沒有在VSD上應用攻擊檢測策略。
在配置Signature檢測時,首先要創建一個Signature規則,並進入Signature規則視圖。在該視圖下,可以定義一條或多條用於Signature檢測的子規則。
當配置了多個Signature檢測規則時,設備會根據Signature檢測規則的ID編號由小到大依次匹配,匹配上一條Signature檢測規則後,將不再繼續匹配其它Signature檢測規則。
每個Signature規則中最多支持配置6條子規則,分別對報文的6種特征進行定義和匹配。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 創建Signature規則,並進入Signature規則視圖。
signature rule rule-id
(4) 配置Signature規則的子規則。
¡ 配置Signature規則中匹配幀類型的子規則。
frame-type { control | data | management [ frame-subtype { association-request | association-response | authentication | beacon | deauthentication | disassociation | probe-request } ] }
缺省情況下,未配置Signature規則中匹配幀類型的子規則。
¡ 配置Signature規則中匹配報文中攜帶的MAC地址的子規則。
mac-address { bssid | destination | source } mac-address
缺省情況下,未配置Signature規則中匹配報文中攜帶的MAC地址的子規則。
¡ 配置Signature規則中匹配序列號的子規則。
seq-number seq-value1 [ to seq-value2 ]
缺省情況下,未配置Signature規則中匹配序列號的子規則。
¡ 配置Signature規則中匹配SSID長度的子規則。
ssid-length length-value1 [ to length-value2 ]
缺省情況下,未配置Signature規則中匹配SSID長度的子規則。
¡ 配置Signature規則中匹配SSID的子規則。
ssid [ case-sensitive ] [ not ] { equal | include } string
缺省情況下,未配置Signature規則中匹配SSID的子規則。
¡ 配置Signature規則中匹配報文中指定位置的字段的子規則。
pattern pattern-number offset offset-value mask hex-value value1 [ to value2 ] [ from-payload ]
缺省情況下,未配置Signature規則中匹配報文中指定位置的字段的子規則。
¡ 配置Signature規則的匹配子規則的匹配關係為邏輯與。
match all
缺省情況下,Signature規則的匹配子規則的匹配關係為邏輯或。
通過在Signature策略上應用Signature規則,使已配置的Signature規則在Signature策略內生效。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入Signature策略視圖。
signature policy policy-name
(4) 應用Signature規則。
apply signature rule rule-id
缺省情況下,Signature策略中沒有應用Signature規則。
(5) 開啟對符合Signature規則的報文檢測功能。
detect signature [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
缺省情況下,對符合Signature規則的報文檢測功能處於開啟狀態,統計周期為60秒,發送告警日誌後的靜默時間為600秒,觸發告警閾值為50。
通過在虛擬安全域上應用Signature策略,使已配置的Signature策略在虛擬安全域內的Radio上生效。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入VSD視圖。
virtual-security-domain vsd-name
(4) 在VSD上應用Signature策略。
apply signature policy policy-name
缺省情況下,VSD內沒有應用Signature策略。
可以通過兩種配置方式實現設備分類,其中手工分類的優先級高於自動分類。
· 自動分類:通過信任設備列表、信任OUI列表和靜態禁用設備列表對所有設備進行分類;或通過自定義的AP分類規則對AP設備進行分類。
· 手工分類:通過手動指定AP的類型對設備進行分類。手工分類的優先級高於自動分類。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 創建分類策略,並進入分類策略視圖。
classification policy policy-name
(4) 配置設備分類策略。
¡ 配置對非法OUI的設備進行分類。
invalid-oui-classify illegal
缺省情況下,不對非法OUI的設備進行分類。
¡ 將指定的MAC地址添加到信任設備列表中。
trust mac-address mac-address
缺省情況下,信任設備列表中不存在MAC地址。
¡ 將指定的OUI添加到信任OUI列表中。
trust oui oui
缺省情況下,信任OUI列表中不存在OUI。
該命令隻能對AP進行分類。
¡ 將指定的SSID添加到信任設備列表中。
trust ssid ssid-name
缺省情況下,信任設備列表中不存在SSID。
¡ 將指定的MAC地址添加到靜態禁用設備列表中。
block mac-address mac-address
缺省情況下,靜態禁用設備列表中不存在MAC地址。
¡ 使用WIPS係統OUI庫中所有的內置OUI信息對設備進行分類
embedded-oui-classify enable
缺省情況下,不使用內置OUI對設備進行分類。
¡ 在設備分類策略上應用AP分類規則。
apply ap-classification rule rule-id { authorized-ap | { { external-ap | misconfigured-ap | rogue-ap } [ severity-level level ] } }
缺省情況下,分類策略中沒有應用AP分類規則。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 創建AP分類規則,並進入AP分類規則視圖。
ap-classification rule rule-id
(4) 配置AP分類規則。
¡ 配置自定義AP信號RSSI規則。
rssi value1 [ to value2 ]
缺省情況下,沒有在AP分類規則中對AP信號的信號強度進行匹配。
¡ 配置自定義SSID規則。
ssid [ case-sensitive ] [ not ] { equal | include } ssid-string
缺省情況下,沒有在AP分類規則中對AP使用無線服務的SSID進行匹配。
¡ 配置自定義AP運行時間規則。
up-duration value1 [ to value2 ]
缺省情況下,沒有在AP分類規則中對AP的運行時間進行匹配。
¡ 配置自定義AP關聯客戶端數量規則。
client-online value1 [ to value2 ]
缺省情況下,沒有在AP分類規則中對AP上已關聯的無線客戶端數量進行匹配。
¡ 配置自定義發現AP的Sensor數量規則。
discovered-ap value1 [ to value2 ]
缺省情況下,沒有在AP分類規則中對發現AP的sensor數量進行匹配。
¡ 配置自定義安全方式規則。
security { equal | include } { clear | wep | wpa | wpa2 }
缺省情況下,沒有在AP分類規則中對AP使用無線服務的數據安全方式進行匹配。
¡ 配置自定義認證方式規則。
authentication { equal | include } { 802.1x | none | other | psk }
缺省情況下,沒有在AP分類規則中對AP使用無線服務的安全認證方式進行匹配。
¡ 配置自定義OUI信息規則。
oui oui-info
缺省情況下,沒有在AP分類規則中對AP設備的OUI信息進行匹配。
¡ 配置AP分類規則的匹配關係為邏輯與。
match all
缺省情況下,AP分類規則的匹配關係為邏輯或。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入分類策略視圖。
classification policy policy-name
(4) 配置AP手工分類。
manual-classify mac-address mac-address { authorized-ap | external-ap | misconfigured-ap | rogue-ap }
缺省情況下,沒有對AP進行手工分類。
通過在虛擬安全域上應用分類策略,使已配置的分類策略在虛擬安全域內的Radio上生效。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入VSD視圖。
virtual-security-domain vsd-name
(4) 在VSD上應用分類策略。
apply classification policy policy-name
缺省情況下,沒有在VSD上應用分類策略。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 創建反製策略,並進入反製策略視圖。
countermeasure policy policy-name
(4) 配置對AP進行反製。
¡ 配置對外部AP進行反製。
countermeasure external-ap
缺省情況下,未配置對外部AP進行反製。
¡ 配置對配置錯誤的AP進行反製。
countermeasure misconfigured-ap
缺省情況下,未配置對配置錯誤的AP進行反製。
¡ 配置對潛在授權AP進行反製。
countermeasure potential-authorized-ap
缺省情況下,未配置對潛在授權AP進行反製。
¡ 配置對潛在外部AP進行反製。
countermeasure potential-external-ap
缺省情況下,未配置對潛在外部AP進行反製。
¡ 配置對潛在Rogue AP進行反製。
countermeasure potential-rogue-ap
缺省情況下,未配置對潛在Rogue AP進行反製。
¡ 配置對Rogue AP進行反製。
countermeasure rogue-ap
缺省情況下,未配置對Rogue AP進行反製。
¡ 配置對未確定分類的AP進行反製。
countermeasure uncategorized-ap
缺省情況下,未配置對未確定分類的AP進行反製。
(5) 配置對客戶端進行反製。
¡ 配置對關聯錯誤的客戶端進行反製。
countermeasure misassociation-client
缺省情況下,未配置對關聯錯誤的客戶端進行反製。
¡ 配置對未授權的客戶端進行反製。
countermeasure unauthorized-client
缺省情況下,未配置對未授權的客戶端進行反製。
¡ 配置對未確定分類的客戶端進行反製。
countermeasure uncategorized-client
缺省情況下,未配置對未確定分類的客戶端進行反製。
(6) 配置對發起攻擊的設備進行反製。
¡ 配置對發起廣播解除認證幀攻擊的設備進行反製。
countermeasure attack deauth-broadcast
缺省情況下,未配置對發起廣播解除認證幀攻擊的設備進行反製。
¡ 配置對發起廣播解除關聯幀攻擊的設備進行反製。
countermeasure attack disassoc-broadcast
缺省情況下,未配置對發起廣播解除關聯幀攻擊的設備進行反製。
¡ 配置對發起蜜罐AP攻擊的設備進行反製。
countermeasure attack honeypot-ap
缺省情況下,未配置對發起蜜罐AP攻擊的設備進行反製。
¡ 配置對發起熱點攻擊的設備進行反製。
countermeasure attack hotspot-attack
缺省情況下,未配置對發起熱點攻擊的設備進行反製。
¡ 配置對禁用802.11n 40MHz模式的設備進行反製。
countermeasure attack ht-40-mhz-intolerance
缺省情況下,未配置對禁用802.11n 40MHz模式的設備進行反製。
¡ 配置對發起畸形報文攻擊的設備進行反製。
countermeasure attack malformed-packet
缺省情況下,未配置對發起畸形報文攻擊的設備進行反製。
¡ 配置對發起中間人攻擊的設備進行反製。
countermeasure attack man-in-the-middle
缺省情況下,未配置對發起中間人攻擊的設備進行反製。
¡ 配置對發起Omerta攻擊的設備進行反製。
countermeasure attack omerta
缺省情況下,未配置對發起Omerta攻擊的設備進行反製。
¡ 配置對發起節電攻擊的設備進行反製。
countermeasure attack power-save
缺省情況下,未配置對發起節電攻擊的設備進行反製。
¡ 配置對發起軟AP攻擊的設備進行反製。
countermeasure attack soft-ap
缺省情況下,未配置對發起軟AP攻擊的設備進行反製。
¡ 配置對Weak IV設備進行反製。
countermeasure attack weak-iv
缺省情況下,未配置對Weak IV設備進行反製。
¡ 配置對Windows網橋的設備進行反製。
countermeasure attack windows-bridge
缺省情況下,未配置對Windows網橋設備進行反製。
¡ 配置對未加密的信任客戶端進行反製。
countermeasure attack unencrypted-trust-client
缺省情況下,未配置對未加密的信任客戶端進行反製。
¡ 配置對所有發起攻擊的設備進行反製。
countermeasure attack all
缺省情況下,未配置對所有發起攻擊的設備進行反製。
(7) 配置對ad hoc設備進行反製。
countermeasure adhoc
缺省情況下,未配置對ad hoc設備進行反製。
(8) 配置根據指定的MAC地址對設備進行手工反製。
countermeasure mac-address mac-address [ except-authorized-ap ]
缺省情況下,未配置根據指定的MAC地址對設備進行手工反製。
(9) 配置所有Sensor進行反製功能。
select sensor all
缺省情況下,所有Sensor進行反製功能處於關閉狀態。
通過在虛擬安全域上應用反製策略,使已配置的反製策略在虛擬安全域內的Radio上生效。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入VSD視圖。
virtual-security-domain vsd-name
(4) 在VSD上應用反製策略。
apply countermeasure policy policy-name
缺省情況下,沒有在VSD上應用反製策略。
當Sensor檢測到非法設備並且開啟了反製功能時,Sensor會在檢測到非法設備的信道中進行反製,即在該信道的掃描周期內按照本命令配置的時間間隔發送反製報文。
需要注意的是:Sensor僅會在檢測到非法設備的信道的信道掃描周期內進行反製,其餘時間是不會發送反製報文的,有關信道掃描的詳細信息,請參見“射頻資源管理命令參考”中的“信道掃描”。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入反製策略視圖。
countermeasure policy policy-name
(4) 配置Sensor檢測到非法設備後發送反製報文的時間間隔。
countermeasure packet-sending-interval interval
缺省情況下,Sensor檢測到非法設備發送反製報文的時間間隔為30毫秒。
如果非法AP支持雙射頻,且雙射頻同時綁定到同一個SSID,對關聯到此非法AP支持雙頻的客戶端進行反製時,客戶端會在非法AP的雙頻上來回切換,反製效果不佳,配置反製加強模式後可以有效對此環境下的非法AP進行反製。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入反製策略視圖。
countermeasure policy policy-name
(4) 配置Sensor檢測到非法設備後采用加強模式發送反製報文。
countermeasure enhance
缺省情況下,Sensor檢測到非法設備發送反製報文不采用加強模式。
私接代理是指無線客戶端為非法的用戶共享網絡的行為,在AP上開啟私接代理檢測功能後,可以檢測到有非法網絡共享行為的無線客戶端信息並生成表項。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組視圖的AP型號視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 進入AP組視圖的AP型號視圖。
wlan ap-group group-name
(3) 開啟私接代理檢測功能。
wlan nat-detect enable
缺省情況下:
¡ AP視圖:繼承AP組配置。
¡ AP組視圖:私接代理檢測功能處於關閉狀態。
(4) 開啟反製私接代理功能。
wlan nat-detect countermeasure
缺省情況下:
¡ AP視圖:繼承AP組配置。
¡ AP組視圖:反製私接代理功能處於關閉狀態。
配置該功能後,對於可以忽略WIPS告警信息的設備列表中的無線設備,WIPS仍然會對其做正常的監測,但是不會產生與該設備相關的任何WIPS告警信息。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 配置忽略WIPS告警信息的設備列表。
ignorelist mac-address mac-address
缺省情況下,未配置忽略WIPS告警信息的設備列表。
開啟Sensor在接入時間段內開啟WIPS掃描後,WIPS的檢測和防禦效果將會增強,但同時無線客戶端的接入能力將減弱。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 配置Sensor在接入時間段內執行WIPS掃描功能。
access-scan enable
缺省情況下,Sensor在接入時間段內執行WIPS掃描功能處於關閉狀態。
OUI(Organizationally Unique Identifier,全球統一標識符),它是設備MAC地址前3個字節,即供應商標識。
AC啟動後,會自動導入標準OUI文件到WIPS係統的OUI庫中。用戶也可以將自己需要的設備OUI信息做成標準OUI文件的格式,然後導入到WIPS係統的OUI庫中,從而便於對設備進行配置和控製。
· 用戶可以將WIPS係統的OUI庫中的OUI信息以固定格式,通過export oui命令導出到某個文件中,導出成功後會有導出成功和導出失敗的個數信息,從而便於查看WIPS係統OUI庫中具體OUI信息。
· 用戶也可以將需要導入的OUI信息,以標準OUI文件的格式填寫到配置文件中,然後通過import oui命令將文件導入到WIPS係統OUI庫中,導入成功後會有導入個數,更新個數,存在個數和導入失敗個數等提示信息。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 指定導入配置文件中的OUI信息。
import oui file-name
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) OUI配置文件的導出。
export oui file-name
客戶端關聯表項是指客戶端關聯AP後在AC上建立的用於保存客戶端信息的表項。
客戶端關聯AP時,需要向AP發送關聯請求幀,然後AP向客戶端發送關聯響應幀,未開啟本功能的情況下,Sensor必須等AP向客戶端發送關聯響應幀,客戶端與AP關聯成功後,才能學習網絡中客戶端的關聯表項。開啟本功能後,Sensor隻需要在客戶端發送關聯請求幀或AP向客戶端發送關聯響應幀時,便可學習客戶端關聯表項,這樣可以盡快學習到客戶端關聯表項,而不必等到一個完整的關聯交互過程結束後。
如果Sensor在客戶端發送關聯請求幀時學習到了客戶端關聯表項,則在AP向客戶端發送關聯響應幀時會更新該表項,即每次檢測到客戶端發送給AP的關聯請求幀或AP發送給客戶端的關聯響應幀時,都會更新客戶端關聯表項。
本功能雖然可以提高Sensor學習客戶端關聯表項的效率,但同時會降低學習客戶端關聯表項的準確性,因此通常建議在需要快速檢測網絡中的攻擊並進行反製的情況下開啟本功能。
(1) 進入係統視圖。
system-view
(2) 進入WIPS視圖。
wips
(3) 進入攻擊檢測策略視圖。
detect policy policy-name
(4) 開啟Sensor快速學習客戶端關聯表項的功能
client-association fast-learn enable
缺省情況下,Sensor快速學習客戶端關聯表項的功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後WIPS的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除WIPS的信息。
表2-1 WIPS顯示和維護
|
命令 |
|
|
顯示所有Sensor信息 |
display wips sensor |
|
顯示Sensor上報的WLAN攻擊檢測統計信息 |
display wips statistics [ receive | virtual-security-domain vsd-name ] |
|
顯示被反製過設備的信息 |
display wips virtual-security-domain vsd-name countermeasure record |
|
顯示在指定VSD內檢測到的無線設備的信息 |
display wips virtual-security-domain vsd-name device [ ap [ adhoc | authorized | external | mesh | misconfigured | potential-authorized | potential-external | potential-rogue | rogue | uncategorized ] | client [ [ dissociative-client ] [ authorized | misassociation | unauthorized | uncategorized ] ] | mac-address mac-address ] [ verbose ] |
|
顯示私接代理檢測信息 |
display wlan nat-detect [ mac-address mac-address ] |
|
刪除WIPS係統OUI庫中所有的內置OUI信息 |
reset wips embedded-oui |
|
清除所有Sensor上報的WLAN攻擊檢測統計信息 |
reset wips statistics |
|
清除指定VSD內所有被反製過的設備信息 |
reset wips virtual-security-domain vsd-name countermeasure record |
|
清除指定VSD內學習到的AP表項和客戶端表項 |
reset wips virtual-security-domain vsd-name { ap { all | mac-address mac-address} | client { all | mac-address mac-address } | all } |
|
清除指定VSD內所有被反製過的設備信息 |
reset wips virtual-security-domain vsd-name countermeasure record |
|
清除私接代理檢測信息表項 |
reset wlan nat-detect |
如圖2-1所示,AP通過交換機與AC相連,AP1和AP2為Client提供無線服務,SSID為“abc”,在Sensor上開啟WIPS功能,配置分類策略,將非法客戶端的MAC地址(000f-1c35-12a5)添加到靜態禁用列表中,將SSID“abc”添加到靜態信任列表中,要求對檢測到的潛在外部AP和未授權客戶端進行反製。
圖2-1 WIPS分類與反製組網圖
在AC上完成無線服務的相關配置,具體配置步驟可參見“WLAN接入”,此處不再重複。
# 配置虛擬安全域vsd1。
<AC> system-view
[AC] wips
[AC-wips] virtual-security-domain vsd1
[AC-wips-vsd-vsd1] quit
[AC-wips] quit
# 創建AP名稱為Sensor,開啟WIPS功能。
[AC] wlan ap Sensor model WA6320
[AC-wlan-ap-Sensor] serial-id 219801A28N819CE0002T
[AC-wlan-ap-Sensor] radio 1
[AC-wlan-ap-Sensor-radio-1] radio enable
[AC-wlan-ap-Sensor-radio-1] wips enable
[AC-wlan-ap-Sensor-radio-1] quit
# 配置Sensor加入虛擬安全域vsd1。
[AC-wlan-ap-Sensor] wips virtual-security-domain vsd1
[AC-wlan-ap-Sensor] quit
# 配置分類策略class1,將Client 2的MAC地址配置禁用MAC地址,並且將名為“abc”的SSID配置為信任SSID。
[AC] wips
[AC-wips] classification policy class1
[AC-wips-cls-class1] block mac-address 000f-1c35-12a5
[AC-wips-cls-class1] trust ssid abc
[AC-wips-cls-class1] quit
# 虛擬安全域vsd1應用分類策略class1。
[AC-wips] virtual-security-domain vsd1
[AC-wips-vsd-vsd1] apply classification policy class1
[AC-wips-vsd-vsd1] quit
# 配置反製策略protect,反製未授權客戶端和潛在外部AP。
[AC-wips] countermeasure policy protect
[AC-wips-cms-protect] countermeasure unauthorized-client
[AC-wips-cms-protect] countermeasure potential-external-ap
[AC-wips-cms-protect] quit
# 虛擬安全域vsd1應用反製策略protect。
[AC-wips] virtual-security-domain vsd1
[AC-wips-vsd-vsd1] apply countermeasure policy protect
[AC-wips-vsd-vsd1] quit
[AC-wips] quit
(1) 通過display wips virtual-security-domain命令查看無線設備的分類結果。
[AC] display wips virtual-security-domain vsd1 device
Total 3 detected devices in virtual-security-domain vsd1
Class: Auth - authorization; Ext - extern; Mis - mistake;
Unauth - unauthorized; Uncate - uncategorized;
(A) - associate; (C) - config; (P) - potential
MAC address Type Class Duration Sensors Channel Status
00e0-fc00-5829 AP Auth 00h 10m 24s 1 149 Active
000f-e228-2528 AP Auth 00h 10m 04s 1 149 Active
000f-e223-1616 AP Ext(P) 00h 10m 46s 1 149 Active
000f-1c35-12a5 Client Unauth 00h 10m 02s 1 149 Active
000f-e201-0102 Client Auth 00h 10m 02s 1 149 Active
在虛擬安全域vsd1,MAC地址為000f-e223-1616的AP被分類成潛在外部AP,MAC地址為000f-1c35-12a5的客戶端被分類為未授權的客戶端。
(2) 通過命令行display wips virtual-security-domain vsd1 countermeasure record命令查看反製過的設備記錄信息。
[AC] display wips virtual-security-domain vsd1 countermeasure record
Total 2 times countermeasure, current 2 countermeasure record in virtual-security-domain vsd1
Reason: Attack; Ass - associated; Black - blacklist;
Class - classification; Manu - manual;
MAC address Type Reason Countermeasure AP Radio ID Time
00e0-fc00-5829 AP Class Sensor 1 2020-06-03/09:30:25
000f-e228-2528 AP Class Sensor 1 2020-06-03/19:31:56
000f-e223-1616 AP Class Sensor 1 2020-06-03/10:30:36
000f-1c35-12a5 Client Class Sensor 1 2020-06-03/09:13:26
000f-e201-0102 Client Class Sensor 1 2020-06-03/09:33:46
在虛擬安全域vsd1,MAC地址為000f-1c35-12a5的未授權客戶端和MAC地址為000f-e223-1616的潛在外部AP被反製。
如圖2-2所示,AP通過交換機與AC相連,將兩台AP分別配置為Sensor,配置虛擬安全域VSD_1,並配置兩台Sensor屬於這個虛擬安全域,當檢測到攻擊者對無線網絡進行IE重複的畸形報文或Beacon幀泛洪攻擊時,AP向AC發送告警信息。
在AC上完成無線服務的相關配置,具體配置步驟可參見“WLAN接入”,此處不再重複。
# 創建AP名稱為sensor1,開啟WIPS功能。
<AC> system-view
[AC] wlan ap sensor1 model WA6320
[AC-wlan-ap-sensor1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-sensor1] radio 1
[AC-wlan-ap-sensor1-radio-1] radio enable
[AC-wlan-ap-sensor1-radio-1] wips enable
[AC-wlan-ap-sensor1-radio-1] return
# 創建AP名稱為sensor2,開啟WIPS功能。
<AC> system-view
[AC] wlan ap sensor2 model WA6320
[AC-wlan-ap-sensor2] serial-id 219801A28N819CE0002T
[AC-wlan-ap-sensor2] radio 1
[AC-wlan-ap-sensor2-radio-1] radio enable
[AC-wlan-ap-sensor2-radio-1] wips enable
[AC-wlan-ap-sensor2-radio-1] quit
[AC-wlan-ap-sensor2] quit
# 配置虛擬安全域VSD_1。
[AC] wips
[AC-wips] virtual-security-domain VSD_1
[AC-wips-vsd-VSD_1] quit
# 創建攻擊檢測策略,當檢測到IE重複的畸形報文和Beacon幀泛洪攻擊時,向AC發送日誌信息或告警信息。檢測IE重複的畸形報文的靜默時間為50秒,檢測Beacon幀的統計周期為100秒,觸發閾值為200,靜默時間為50秒。
[AC-wips] detect policy dtc1
[AC-wips-dtc-dtc1] malformed duplicated-ie quiet 50
[AC-wips-dtc-dtc1] flood beacon interval 100 quiet 50 threshold 200
[AC-wips-dtc-dtc1] quit
# 在虛擬安全域VSD_1上應用攻擊檢測策略。
[AC-wips] virtual-security-domain VSD_1
[AC-wips-vsd-VSD_1] apply detect policy dtc1
[AC-wips-vsd-VSD_1] quit
[AC-wips] quit
# 配置sensor1加入虛擬安全域VSD_1。
[AC] wlan ap sensor1
[AC-wlan-ap-sensor1] wips virtual-security-domain VSD_1
[AC-wlan-ap-sensor1] quit
# 配置sensor2加入虛擬安全域VSD_1。
[AC] wlan ap sensor2
[AC-wlan-ap-sensor2] wips virtual-security-domain VSD_1
[AC-wlan-ap-sensor2] return
(1) 當網絡中沒有攻擊者時,在AC上通過命令行display wips statistics receive命令查看收到報文的統計信息,畸形報文和泛洪報文的統計個數為0。
<AC> display wips statistics receive
Information from sensor 1
Information about attack statistics:
Detected association-request flood messages: 0
Detected authentication flood messages: 0
Detected beacon flood messages: 0
Detected block-ack flood messages: 0
Detected cts flood messages: 0
Detected deauthentication flood messages: 0
Detected disassociation flood messages: 0
Detected eapol-start flood messages: 0
Detected null-data flood messages: 0
Detected probe-request flood messages: 0
Detected reassociation-request flood messages: 0
Detected rts flood messages: 0
Detected duplicated-ie messages: 0
Detected fata-jack messages: 0
Detected illegal-ibss-ess messages: 0
Detected invalid-address-combination messages: 0
Detected invalid-assoc-req messages: 0
Detected invalid-auth messages: 0
Detected invalid-deauth-code messages: 0
Detected invalid-disassoc-code messages: 0
Detected invalid-ht-ie messages: 0
Detected invalid-ie-length messages: 0
Detected invalid-pkt-length messages: 0
Detected large-duration messages: 0
Detected null-probe-resp messages: 0
Detected overflow-eapol-key messages: 0
Detected overflow-ssid messages: 0
Detected redundant-ie messages: 0
Detected AP spoof AP messages: 0
Detected AP spoof client messages: 0
Detected AP spoof ad-hoc messages: 0
Detected ad-hoc spoof AP messages: 0
Detected client spoof AP messages: 0
Detected weak IV messages: 0
Detected excess AP messages: 0
Detected excess client messages: 0
Detected sig rule messages: 0
Information from sensor 2
Information about attack statistics:
Detected association-request flood messages: 0
Detected authentication flood messages: 0
Detected beacon flood messages: 0
Detected block-ack flood messages: 0
Detected cts flood messages: 0
Detected deauthentication flood messages: 0
Detected disassociation flood messages: 0
Detected eapol-start flood messages: 0
Detected null-data flood messages: 0
Detected probe-request flood messages: 0
Detected reassociation-request flood messages: 0
Detected rts flood messages: 0
Detected duplicated-ie messages: 0
Detected fata-jack messages: 0
Detected illegal-ibss-ess messages: 0
Detected invalid-address-combination messages: 0
Detected invalid-assoc-req messages: 0
Detected invalid-auth messages: 0
Detected invalid-deauth-code messages: 0
Detected invalid-disassoc-code messages: 0
Detected invalid-ht-ie messages: 0
Detected invalid-ie-length messages: 0
Detected invalid-pkt-length messages: 0
Detected large-duration messages: 0
Detected null-probe-resp messages: 0
Detected overflow-eapol-key messages: 0
Detected overflow-ssid messages: 0
Detected redundant-ie messages: 0
Detected AP spoof AP messages: 0
Detected AP spoof client messages: 0
Detected AP spoof ad-hoc messages: 0
Detected ad-hoc spoof AP messages: 0
Detected client spoof AP messages: 0
Detected weak IV messages: 0
Detected excess AP messages: 0
Detected excess client messages: 0
Detected sig rule messages: 0
(2) 當檢測到IE重複的畸形報文和Beacon幀泛洪攻擊時,在AC上通過命令行display wips statistics receive查看收到報文的統計信息,IE重複的畸形報文的統計個數為28和Beacon幀泛洪攻擊的統計個數為18。
<AC> display wips statistics receive
Information from sensor 1
Information about attack statistics:
Detected association-request flood messages: 0
Detected authentication flood messages: 0
Detected beacon flood messages: 18
Detected block-ack flood messages: 0
Detected cts flood messages: 0
Detected deauthentication flood messages: 0
Detected disassociation flood messages: 0
Detected eapol-start flood messages: 0
Detected null-data flood messages: 0
Detected probe-request flood messages: 0
Detected reassociation-request flood messages: 0
Detected rts flood messages: 0
Detected duplicated-ie messages: 0
Detected fata-jack messages: 0
Detected illegal-ibss-ess messages: 0
Detected invalid-address-combination messages: 0
Detected invalid-assoc-req messages: 0
Detected invalid-auth messages: 0
Detected invalid-deauth-code messages: 0
Detected invalid-disassoc-code messages: 0
Detected invalid-ht-ie messages: 0
Detected invalid-ie-length messages: 0
Detected invalid-pkt-length messages: 0
Detected large-duration messages: 0
Detected null-probe-resp messages: 0
Detected overflow-eapol-key messages: 0
Detected overflow-ssid messages: 0
Detected redundant-ie messages: 0
Detected AP spoof AP messages: 0
Detected AP spoof client messages: 0
Detected AP spoof ad-hoc messages: 0
Detected ad-hoc spoof AP messages: 0
Detected client spoof AP messages: 0
Detected weak IV messages: 0
Detected excess AP messages: 0
Detected excess client messages: 0
Detected sig rule messages: 0
Information from sensor 2
Information about attack statistics:
Detected association-request flood messages: 0
Detected authentication flood messages: 0
Detected beacon flood messages: 0
Detected block-ack flood messages: 0
Detected cts flood messages: 0
Detected deauthentication flood messages: 0
Detected disassociation flood messages: 0
Detected eapol-start flood messages: 0
Detected null-data flood messages: 0
Detected probe-request flood messages: 0
Detected reassociation-request flood messages: 0
Detected rts flood messages: 0
Detected duplicated-ie messages: 28
Detected fata-jack messages: 0
Detected illegal-ibss-ess messages: 0
Detected invalid-address-combination messages: 0
Detected invalid-assoc-req messages: 0
Detected invalid-auth messages: 0
Detected invalid-deauth-code messages: 0
Detected invalid-disassoc-code messages: 0
Detected invalid-ht-ie messages: 0
Detected invalid-ie-length messages: 0
Detected invalid-pkt-length messages: 0
Detected large-duration messages: 0
Detected null-probe-resp messages: 0
Detected overflow-eapol-key messages: 0
Detected overflow-ssid messages: 0
Detected redundant-ie messages: 0
Detected AP spoof AP messages: 0
Detected AP spoof client messages: 0
Detected AP spoof ad-hoc messages: 0
Detected ad-hoc spoof AP messages: 0
Detected client spoof AP messages: 0
Detected weak IV messages: 0
Detected excess AP messages: 0
Detected excess client messages: 0
Detected sig rule messages: 0
如圖2-3所示,AP通過交換機與AC相連,AP1和AP2為Client提供無線服務,SSID為“abc”,在Sensor上開啟WIPS功能,配置Signature檢測,檢測無線環境中是否存在其他的無線服務,對SSID不是abc的Beacon幀進行檢測,Sensor向AC發送告警信息。
圖2-3 WIPS的攻擊檢測組網圖
在AC上完成無線服務的相關配置,具體配置步驟可參見“WLAN接入”,此處不再重複。
# 創建AP名稱為sensor1,開啟WIPS功能。
<AC> system-view
[AC] wlan ap sensor1 model WA6320
[AC-wlan-ap-sensor1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-sensor1] radio 1
[AC-wlan-ap-sensor1-radio-1] radio enable
[AC-wlan-ap-sensor1-radio-1] wips enable
[AC-wlan-ap-sensor1-radio-1] quit
[AC-wlan-ap-sensor1 ] quit
# 創建虛擬安全域vsd1。
[AC] wips
[AC-wips] virtual-security-domain vsd1
[AC-wips] quit
# 配置sensor1加入虛擬安全域vsd1。
[AC] wlan ap sensor1
[AC-wlan-ap-sensor1] wips virtual-security-domain vsd1
[AC-wlan-ap-sensor1] quit
# Signature規則1,配置子規則對SSID不是abc的Beacon幀進行檢測。
[AC] wips
[AC-wips] signature rule 1
[AC-wips-sig-rule-1] frame-type management frame-subtype beacon
[AC-wips-sig-rule-1] ssid not equal abc
[AC-wips-sig-rule-1] quit
# 創建Signature策略sig1,應用Signature規則1,配置統計周期為5秒,發出告警後的靜默時間為60秒,統計次數的閾值為60。
[AC-wips] signature policy sig1
[AC-wips-sig-sig1] apply signature rule 1
[AC-wips-sig-sig1] detect signature interval 5 quiet 60 threshold 60
[AC-wips-sig-sig1] quit
# 配置虛擬安全域vsd1,應用Signature策略。
[AC] wips
[AC-wips] virtual-security-domain vsd1
[AC-wips-vsd-vsd1] apply signature policy sig1
[AC-wips-vsd-vsd1] quit
(1) 當檢測到SSID為“free_wlan”的無線服務後,AC會收到Sensor發送的告警信息。
WIPS/5/WIPS_SIGNATURE: -VSD=vsd1-RuleID=1; Signature rule matched.
(2) 在AC上通過命令行display wips statistics receive查看Signature檢測統計信息,Signature檢測統計計數為 26。
[AC] display wips statistics receive
Information from sensor
Information about attack statistics:
Detected association-request flood messages: 0
Detected authentication flood messages: 0
Detected beacon flood messages: 0
Detected block-ack flood messages: 0
Detected cts flood messages: 0
Detected deauthentication flood messages: 0
Detected disassociation flood messages: 0
Detected eapol-start flood messages: 0
Detected null-data flood messages: 0
Detected probe-request flood messages: 0
Detected reassociation-request flood messages: 0
Detected rts flood messages: 0
Detected duplicated-ie messages: 0
Detected fata-jack messages: 0
Detected illegal-ibss-ess messages: 0
Detected invalid-address-combination messages: 0
Detected invalid-assoc-req messages: 0
Detected invalid-auth messages: 0
Detected invalid-deauth-code messages: 0
Detected invalid-disassoc-code messages: 0
Detected invalid-ht-ie messages: 0
Detected invalid-ie-length messages: 0
Detected invalid-pkt-length messages: 0
Detected large-duration messages: 0
Detected null-probe-resp messages: 0
Detected overflow-eapol-key messages: 0
Detected overflow-ssid messages: 0
Detected redundant-ie messages: 0
Detected AP spoof AP messages: 0
Detected AP spoof client messages: 0
Detected AP spoof ad-hoc messages: 0
Detected ad-hoc spoof AP messages: 0
Detected client spoof AP messages: 0
Detected weak IV messages: 0
Detected excess AP messages: 0
Detected excess client messages: 0
Detected sig rule messages: 26
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
