WLAN 安全加固指南(V200版本)
无线攻击检测和反制
安全策略
WLAN网络很容易受到各种网络威胁的影响,如未经授权的AP、用户、Ad-hoc网络等,设备支持以下两种技术,分别用于检测和反制非法设备和干扰设备:
- 无线入侵检测系统WIDS(Wireless Intrusion Detection System)可以检测出非法AP、非法网桥、非法STA、Adhoc以及干扰AP、干扰网桥、干扰STA。
- 无线干扰防御系统WIPS(Wireless Intrusion Prevention System)可以断开合法用户与仿冒AP的WLAN连接,也可以断开非法设备和干扰设备的接入,实现对非法设备和干扰设备的反制。
WIDS/WIPS还支持攻击检测功能,可以检测泛洪攻击,弱IV向量攻击、欺骗攻击、暴力破解WPA/WPA2/WAPI的预共享密钥和WEP的共享密钥,及时发现网络的不安全因素,通过日志,统计信息以及告警方式及时通知网络管理员。对于检测到的进行泛洪攻击和暴力破解密钥攻击的设备,设备可以将其加入黑名单,在动态黑名单老化时间内,拒绝接收其发送的报文。
配置方法
配置非法设备和干扰设备检测和反制。
检测并反制以下非法设备或干扰设备:
- 认证方式为open的非法AP或干扰AP
- 仿冒SSID的非法AP或干扰AP
- 非法用户终端或干扰用户终端
- Ad-hoc设备
<HUAWEI> system-view [HUAWEI] wlan [HUAWEI-wlan-view] ap-group name ap-group1 [HUAWEI-wlan-ap-group-ap-group1] radio 0 [HUAWEI-wlan-group-radio-ap-group1/0] work-mode normal [HUAWEI-wlan-group-radio-ap-group1/0] wids device detect enable [HUAWEI-wlan-group-radio-ap-group1/0] wids contain enable [HUAWEI-wlan-group-radio-ap-group1/0] quit [HUAWEI-wlan-view] wids-profile name default [HUAWEI-wlan-wids-prof-default] contain-mode open-ap [HUAWEI-wlan-wids-prof-default] contain-mode spoof-ssid-ap [HUAWEI-wlan-wids-prof-default] contain-mode client [HUAWEI-wlan-wids-prof-default] contain-mode adhoc [HUAWEI-wlan-wids-prof-default] quit [HUAWEI-wlan-view] ap-group name ap-group1 [HUAWEI-wlan-ap-group-ap-group1] wids-profile default [HUAWEI-wlan-ap-group-ap-group1] quit
配置攻击检测功能和动态黑名单。对泛洪攻击、弱向量攻击、欺骗攻击、暴力破解密钥攻击进行检测,并将进行泛洪攻击和暴力破解密钥攻击的设备加入动态黑名单。
V200R019C00及之前版本:
<HUAWEI> system-view [HUAWEI] wlan [HUAWEI-wlan-view] ap-group name ap-group1 [HUAWEI-wlan-ap-group-ap-group1] radio 0 [HUAWEI-wlan-group-radio-ap-group1/0] wids attack detect enable all [HUAWEI-wlan-group-radio-ap-group1/0] quit [HUAWEI-wlan-ap-group-ap-group1] quit [HUAWEI-wlan-view] wids-profile name default [HUAWEI-wlan-wids-prof-default] dynamic-blacklist enable [HUAWEI-wlan-wids-prof-default] quit [HUAWEI-wlan-view] ap-group name ap-group1 [HUAWEI-wlan-ap-group-ap-group1] wids-profile default [HUAWEI-wlan-ap-group-ap-group1] quit
V200R019C10版本:
<HUAWEI> system-view [HUAWEI] wlan [HUAWEI-wlan-view] ap-group name ap-group1 [HUAWEI-wlan-ap-group-ap-group1] radio 0 [HUAWEI-wlan-group-radio-ap-group1/0] wids attack detect all enable [HUAWEI-wlan-group-radio-ap-group1/0] quit [HUAWEI-wlan-ap-group-ap-group1] quit [HUAWEI-wlan-view] wids-profile name default [HUAWEI-wlan-wids-prof-default] undo dynamic-blacklist disable [HUAWEI-wlan-wids-prof-default] quit [HUAWEI-wlan-view] ap-group name ap-group1 [HUAWEI-wlan-ap-group-ap-group1] wids-profile default [HUAWEI-wlan-ap-group-ap-group1] quit
V200R019C10之后版本:
<HUAWEI> system-view [HUAWEI] wlan [HUAWEI-wlan-view] ap-group name ap-group1 [HUAWEI-wlan-ap-group-ap-group1] radio 0 [HUAWEI-wlan-group-radio-ap-group1/0] wids attack detect all enable [HUAWEI-wlan-group-radio-ap-group1/0] quit [HUAWEI-wlan-ap-group-ap-group1] quit [HUAWEI-wlan-view] wids-profile name default [HUAWEI-wlan-wids-prof-default] undo dynamic-blacklist disable [HUAWEI-wlan-wids-prof-default] quit
检查加固结果
- 执行命令display wids-profile name profile-name,根据Contain rogue mode字段查看反制模式,根据Dynamic blacklist字段查看动态黑名单开关。
- 执行命令display wids-profile name profile-name,根据Work mode字段查看AP的工作模式,根据WIDS attack detect字段查看开启了检测的攻击类型,根据WIDS device detect字段查看设备检测开关,根据WIDS contain switch字段查看设备反制开关。
- 执行命令display ap config-info { ap-id ap-id | ap-name ap-name },根据Work mode字段查看AP的工作模式,根据WIDS attack detect字段查看开启了检测的攻击类型,根据WIDS device detect字段查看设备检测开关,根据WIDS contain switch字段查看设备反制开关。
- 执行命令display references wids-profile name profile-name,查看WIDS模板的引用信息。