配置WIDS攻击检测和动态黑名单
背景信息
为了及时发现WLAN网络中的攻击行为,可以配置攻击检测功能,能够识别泛洪攻击,弱向量攻击、欺骗攻击和暴力破解WPA-PSK/WPA2-PSK/WAPI-PSK/WEP-SK密钥攻击,记录攻击设备的信息。如果配置动态黑名单功能,则自动将攻击设备加入动态黑名单,设备会丢弃攻击设备发送的所有报文。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan ac,进入WLAN视图。
- 在AP组射频下或AP射频下使能攻击检测功能。
使能攻击检测功能可以在AP组射频或AP射频下配置。AP组射频下的配置对AP组内所有的AP指定射频生效,AP射频下的配置只对单个AP指定的射频生效,且AP射频下的配置优先级高于AP组射频下的配置。
- 在AP组射频下使能攻击检测功能。
- 执行命令ap-group name group-name,进入AP组视图。
- 执行命令radio radio-id,进入射频视图。
执行命令wids attack detect enable { all | flood | weak-iv | spoof | wpa-psk | wpa2-psk | wapi-psk | wep-share-key },在AP组射频下使能攻击检测功能。
缺省情况下,未使能AP组射频的攻击检测功能。
执行命令quit,返回AP组视图。
- 在AP射频下使能攻击检测功能。
- 执行命令ap-id ap-id、ap-mac ap-mac或ap-name ap-name,进入AP视图。
- 执行命令radio radio-id,进入射频视图。
执行命令wids attack detect enable { all | flood | weak-iv | spoof | wpa-psk | wpa2-psk | wapi-psk | wep-share-key },在AP射频下使能攻击检测功能。
缺省情况下,未使能AP射频的攻击检测功能。
执行命令quit,返回AP视图。
- 在AP组射频下使能攻击检测功能。
- 执行命令quit,返回WLAN视图。
- 执行命令wids-profile name profile-name,进入WIDS模板视图。
- 根据3中使能的攻击检测类型配置相关参数。
泛洪攻击检测
执行命令flood-detect interval interval,配置泛洪攻击的检测周期。
缺省情况下,泛洪攻击检测周期为60秒。
执行命令flood-detect threshold threshold,配置泛洪攻击检测阈值。
缺省情况下,泛洪攻击检测阈值为300。
执行命令flood-detect quiet-time quiet-time-value,配置AP检测到泛洪攻击后上报AC的静默时间。
缺省情况下,AP检测到泛洪攻击后上报AC的静默时间为600秒。
弱向量攻击检测
执行命令weak-iv-detect quiet-time quiet-time-value,配置AP检测到弱向量攻击后上报AC的静默时间。
缺省情况下,AP检测到弱向量攻击后上报AC的静默时间为600秒。
欺骗攻击检测
执行命令spoof-detect quiet-time quiet-time-value,配置AP检测到欺骗攻击后上报AC的静默时间。
缺省情况下,AP检测到欺骗攻击后上报AC的静默时间为600秒。
暴力破解密钥攻击检测
执行命令brute-force-detect interval interval,配置暴力破解密钥攻击的检测周期。
缺省情况下,暴力破解密钥攻击的检测周期为60秒。
执行命令brute-force-detect threshold threshold,配置暴力破解密钥攻击的检测周期内,允许密钥错误的次数。
缺省情况下,暴力破解密钥攻击的检测周期内AP最多允许密钥协商失败的次数为20次。
执行命令brute-force-detect quiet-time quiet-time-value,配置AP检测到暴力破解密钥攻击后上报AC的静默时间。
缺省情况下,AP检测到暴力破解密钥攻击后上报AC的静默时间为600秒。
- 执行命令dynamic-blacklist enable,使能动态黑名单功能。
缺省情况下,动态黑名单功能未使能。
动态黑名单保存在AP上,使能动态黑名单,表示检测到的攻击设备信息会自动加入动态黑名单,在动态黑名单表项的老化时间内,设备会丢弃黑名单上的设备所发送的报文。动态黑名单的老化时间,可以通过命令dynamic-blacklist aging-time配置。