1、WLAN设备安全配置规范v30大纲 1.WLAN设备应用安全管理 2.WLAN设备通用安全功能和配置要求 3.WLAN设备安全功能和配置要求 4.WLAN安全配置基线实用案例大纲 1.WLAN设备应用安全管理 1.1安全管理概述 1.2设备初始化管理 1.3日志安全管理 1.4设备授权访问管理 1.5配置管理 1.6设备冗余管理 2.WLAN设备通用安全功能和配置要求 3.WLAN设备安全功能和配置要求 4.WLAN安全配置基线实用案例1.1 安全管理概述(1)有效保护系统安全的核心是进行持续、科学的风险管理。WLAN设备安全管理不仅是安全技术的实施,而应是将良好的安全意识、安全规范融入到日常
2、的维护工作中。1.1 安全管理概述(1)安全管理员 制定安全工作相关规范和制度 在网络规划阶段中牵头负责网络安全的同步规划,并负责督促安全技术员和系统管理员在网络建设和运维两个阶段中安全技术措施的具体落实。安全技术员 依据安全工作相关规范和制度 在网络规划阶段参与网络安全的同步规划,提交具体安全防护方案供安全管理员审核,在网络建设和运维两个阶段向系统管理员提供安全技术支持。系统管理员 依据安全工作相关规范和制度 在安全技术员的指导下负责网络建设和运维两个阶段安全工作的具体实施。为了做好安全管理工作,不同岗位工作职责在网络规划、建设、运维三个阶段的关系如下:1.1 安全管理概述(2)1.2 设备
3、初始化管理(1)为确保设备的使用安全,WLAN设备在入网启用前应当遵循一定的安全规范进行相应的安全性配置,其中应重点关注如下三个方面。1.端口及服务最小化2.安全补丁及时加载3.包过滤规则设定1.2 设备初始化管理(2)端口及服务最小化 未使用的设备端口应及时关闭。WLAN设备除了提供Telnet远程登录服务外,还提供很多二层、三层的服务。WLAN设备运行的服务越多,安全隐患就越大。很多服务WLAN设备通常是不需要的,应该根据各种服务的用途,实现服务最小化,关闭WLAN设备上不必要的服务,减少安全隐患。1.2 设备初始化管理(3)常见WLAN设备服务功能以及应对措施服务名称服务名称服务功能服务
4、功能建议措施建议措施HTTP server允许管理员通过Web页面远程管理路由器 关闭IP directed broadcast 允许AC转发其他网段的直接广播包关闭SNMP 远程网管使用、数据集采、状态采集根据实际情况,缺省使用,及时更改SNMP口令IP source-route允许路由器处理带源路由选项标记的流关闭1.2 设备初始化管理(4)安全补丁 曾经在某IT杂志上公布,C公司宣布其WLAN设备所有xx版本的操作系统软件存在一个漏洞。此漏洞可使攻击者截取和修改出入WLAN设备的TCP数据。显而易见,该漏洞影响是广泛的,属于严重隐患,由于C公司及时发布了安全版本,所以几乎没有用户因此受到
5、攻击。因此,建议如无特殊情况在设备启用时,WLAN设备应当尽量采用厂家的最新版本,并将所有安全补丁打上。更重要的是,在今后的设备运行过程中,也应当及时进行补丁加载,始终保持最新版本。1.2 设备初始化管理(5)包过滤规则 在WLAN设备启用前,应当根据当时的网络环境制定合理的包过滤规则,对某些病毒、木马的特定端口进行封闭。严格的配置仅传递允许进入网络的的数据包。总之,配置完善的包过滤规则并在今后的运行维护过程中随时更新可以降低安全事件发生的概率。1.3 日志安全管理(1)日志安全管理 对网络维护者而言,日志是设备运行的性能监测、安全审计以及安全事件发生后的追踪与调查等的重要依据.因此在日常的维
6、护中应注意开启设备的重要日志功能。AC作为WLAN组网的重要的网络设备,其安全性至关重要,因此建立强大、完善的日志系统是必须的。通过日常对日志文件的审查,可以预先发现许多安全攻击并及时采取措施将安全事件的发生可能性降至最低。操作日志登陆日志:异常分析命令操作日志:分析异常操作标准系统日志:非法攻击留下的日志痕迹运行状态CPU资源监控内存占用监控磁盘空间监控系统日志端口状态异常路由交互信息.1.3 日志安全管理(2)1.3 日志安全管理(3)为保证在突发事件发生时,能够通过分析日志快速解决问题,日志的备份、存放等日常安全管理是必须的。对于设备日志,应当遵照相关安全规范定期进行备份,保留规定时间,
7、并对备份介质进行妥善保管。由于AC设备内存有限,一些日志信息存储后掉电就会丢失,有条件的情况下,应建立日志服务器,采用日志服务器可以获取更加丰富的端口状态、运行状态以及异常故障等信息,轻松掌握网络情况。1.3 日志安全管理(4)建立日志服务器之后,同时应当对服务器自身进行安全加固,例如:安装防病毒软件、定期进行系统补丁以及对访问进行严格控制等,来保障日志安全。1.4 设备授权访问管理(1)设备授权访问管理包括:账号口令管理 应当对AC系统所有密码进行加密,基于角色按需分配的权限管理给予能够操作者完成工作的最低权限的许可。并采取增强口令强度、设置口令有效期、删除停止使用的帐号等手段,提高帐号口令
8、管理效能。访问管理 为防止非法授权访问,应当采用相应限制措施1.4 设备授权访问管理(2)账号口令管理应关注以下几点:应按照用户分配账号。避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。用户口令足够强壮,符合复杂度要求。设备密码使用加密模式存放,禁用明文存放密码。SNMP服务启用时,禁止使用public、private等公用community,如需提供RW权限的community,需保证community的安全性。1.4 设备授权访问管理(3)访问管理应关注以下几点:本地访问对AC系统Consle设置访问密码,对Console口与终端的会话配置较短闲置时间后自动退出局域网访问交
9、换机端口进行vlan划分、端口绑定等措施,WLAN设备上采用IP地址与MAC地址绑定远程访问传统的远程访问服务程序telnet,在网络上用明文传送口令和数据,容易被截获。同时其安全验证方式也存在弱点,容易遭受“中间人”(man-in-the-middle)攻击。因此,应当采用Ssh(Secure Shell)等安全远程访问方式,其将所有传输数据进行加密,保证了传输安全,同时在安全验证方面也有所提高。同时设备的VTY端口应限制登录的IP地址范围。路由协议访问WLAN设备尽可能采用安全的路由协议版本,以及在启用路由协议接口之间设置MD5认证,防止信息外漏。1.5 配置管理 配置管理 WLAN设备的
10、配置文件安全是不容忽视的,通常设备配置应当定期备份,并保存在安全的介质中,原则上备份介质应当至少两份,一份与设备放置一处,以备应急使用,另一份应当放置在异地的安全位置。在发生安全事故时,可以取出备份文件,将系统恢复到已知状态。此外,配置文件应当尽可能不通过公共网络进行传输,特殊情况下应当对传输进行加密 1.6 设备冗余管理 设备冗余管理 在WLAN设备组网过程中,应当尽可能组建主备双节点、双链路结构,路由协议采用动态路由与静态路由相结合的方式,以及采用VRRP或则HSRP等冗余协议,提高网络的可用性和可靠性。大纲 1.WLAN设备应用安全管理 2.WLAN设备通用安全功能和配置要求 2.1账号
11、管理及认证授权要求 2.2日志安全要求 2.3IP协议安全要求 2.4设备其他安全要求 3.WLAN设备安全功能和配置要求 4.WLAN安全配置基线实用案例2.WLAN设备通用安全功能和配置要求 本规范所指的设备为Wi-Fi使用的WLAN设备。本规范提出的安全功能要求要求,在未特别说明的情况下,均适用于各类WLAN设备。本规范从WLAN设备的认证授权功能、安全日志功能以及IP网络安全功能,其他自身安全配置功能和WLAN具体设备类型提出安全要求。2.1 账号管理及认证授权要求 认证认证功能功能 用于确认登录WLAN的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等
12、。授权功能授权功能 赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。对于存在字符或图形界面(WEB界面)的人机交互的WLAN设备,应提供账号管理及认证授权功能,并应满足以下各项要求。2.1.1账号安全要求编编 号:号:安全要求-设备-配置-1要要 求求 内内 容容:应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。安全性分析:安全性分析:用户共享账号在很多机房管理中存在,从而带来大量的安全风险。直接影响就是用户操作带来的直接系统风险,如果是高级权限账号共用,则可能引发由于人为操作不当而引起的系统灾难性故障
13、,且通过系统日志无法判别具体操作人员。操作指南操作指南:1、参考配置操作利用管理员账号或根用户账号登录设备,在系统上预先设置多个账号(35个),如图增添三个用户2.1.1账号安全要求检测方法:检测方法:1、判定条件能够登录成功并且可以进行常用操作;2、检测操作使用不同的账号进行登录并进行一些常用操作;2.1.1账号安全要求编编 号:号:安全要求-设备-配置-2要要 求求 内内 容容:应删除与设备运行、维护等工作无关的账号。安全性分析:安全性分析:日常维护工作中,由于人员调动等因素,系统中可能存在多用户账号已经不再使用,但仍然未被删除的情况。这些与设备运行、维护等工作无关的账号不但在系统日常巡检
14、过程中容易被当成巡查死角,造成管理账户混乱,当系统被黑且植入非法账号时无法快速通过对比历史巡查数据而分析出可疑账号,从而造成系统风险。操作指南操作指南:1、参考配置操作2.1.1账号安全要求检测方法:检测方法:1、判定条件被锁定的账号无法正常登陆;2、检测操作先将账号锁定然后用锁定的账号登陆验证能否登陆;2.1.1账号安全要求编编 号:号:安全要求-设备-配置-3要要 求求 内内 容容:WLAN应限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。安全性分析:安全性分析:有些管理员习惯性地直接指配高级权限账户进行远程登陆
15、操作。当网路被监听时,高级权限账户可能被窃取,并被实施非法登陆。行之有效的方法就是要先配置普通权限用户远程登陆后再切换到管理权限账号进行操作,避免监听窃取密码的风险。2.1.1账号安全要求操作指南操作指南:1、利用管理员账号或根用户账号登录设备,账号:root,口令:fitap_2、通过系统新建两个账号,一个账号为:a,口令:aaa,设置它可以远程登录;另一个账号:b,口令:bbb,设置它不能远程登录。2.1.1账号安全要求检测方法:检测方法:1、判定条件设备系统应能提供用于配置是否允许用户进行远程登录的用户属性选项;2、检测操作被配置为能进行远程登录的账号A可以实现远程访问;被配置为不能进行
16、远程登录的账号B无法实现远程登录。2.1.2口令安全要求编编 号:号:安全要求-设备-配置-4要要 求求 内内 容容:对于采用静态口令认证技术的WLAN,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。安全性分析:安全性分析:静态口令系统只能通过人为更新,这种更新一般都具备较长的周期。因此密码强度必须足够强大,用以对付通过密码强猜而被盗取密码的可能性。操作指南操作指南:local-user username Bnas$%password Bnas$%检测检测方法:方法:用配置账户登陆验证2.1.2口令安全要求编编 号:号:安全要求-设备-配置-5要要 求求 内内 容容
17、:对于采用静态口令认证技术的WLAN,账户口令的生存期不长于90天。安全性分析安全性分析:操作指南操作指南:在管理平台下登陆#vi setupinfo1:3:6:1:2第四个字段表示口令生存周期为1天检测方法:检测方法:到期后查看指令生存周期2.1.2口令安全要求编编 号:号:安全要求-设备-配置-6要要 求求 内内 容容:对于采用静态口令认证技术的WLAN,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。安全性安全性分析分析:操作指南操作指南:在管理平台下登陆#vi setupinfo1:3:6:1:2第5个字段表示不允许相同口令重复出现的次数为2次。检测方法:检测方法:测试
18、指令重复次数2.1.2口令安全要求编编 号:号:安全要求-设备-配置-7要要 求求 内内 容容:对于采用静态口令认证技术的WLAN,应配置当用户连续认证失败次数超过6次(不含6次),锁定该用户使用的账号。安全性安全性分析分析:操作指南操作指南:利用超级管理员账号登陆,打开账户管理/用户组管理,进入的页面可以看到有认证失败重试次数的设置项检测方法:检测方法:连续认证失败6次,查看是否被锁定2.1.2授权安全要求编编 号:号:安全要求-设备-配置-12要要 求求 内内 容容:在WLAN权限配置能力内,根据用户的业务需要,配置其所需的最小权限。安全性安全性分析分析:操作指南操作指南:利用管理员账号或
19、根用户账号登录设备,对账户分组进行设置,超级管理员为最高权限,管理员有修改权限,普通用户只有查看权限检测方法:检测方法:1、判定条件普通用户不能对设备配置进行修改2、检测操作利用普通用户登陆尝试对设备配置进行修改2.1.2授权安全要求编编 号:号:安全要求-设备-配置-13要要 求求 内内 容容:对于用户可通过人机交互界面访问文件系统的WLAN,在WLAN权限配置能力内,根据用户的业务需要,对文件系统中的目录和文件,给不同用户或用户组分别授予读、写、执行的最小权限。安全性安全性分析分析:操作指南操作指南:利用管理员账号或根用户账号登录设备,对账户分组进行设置,超级管理员为最高权限,管理员有修改
20、权限,普通用户只有查看权限检测方法:检测方法:1、判定条件普通用户不能对设备配置进行修改,管理员账户不能修改用户状态2、检测操作利用普通用户登陆尝试对设备配置进行修改,利用管理员账户登陆尝试修改用户状态2.2 日志安全要求编编 号:号:安全要求-设备-配置-16要要 求求 内内 容容:WLAN设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。安全性安全性分析分析:操作指南操作指南:利用超级管理员账号登陆,查看系统日志,检查日志系统是否记录了上述操作的详细信息,包括实施操作的账号信息、操作时间、操作内容以及操作结果
21、2.2 日志安全要求检测方法:检测方法:查看是否有AC的操作信息2.2 日志安全要求编编 号:号:安全要求-设备-配置-17要要 求求 内内 容容:WLAN设备应配置日志功能,记录用户对设备的操作,包括但不限于以下内容:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。安全性安全性分析分析:操作指南操作指南:利用管理员账号登陆,查看系统日志,检查日志系统是否记录了上述操作的详细信息,包括实施操作的账号信息、操作时间、操作内容以及操作结果2.2 日志安全要求检测方法:检测方法:查
22、看是否有AC的操作信息2.2 日志安全要求编编 号:号:安全要求-设备-配置-18要要 求求 内内 容容:WLAN设备应配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。安全性安全性分析分析:操作指南操作指南:登陆AC选择SYSLOG配置2.2 日志安全要求检测方法:检测方法:检验目标地址能否收到系统日志2.2 日志安全要求编编 号:号:安全要求-设备-配置-19要要 求求 内内 容容:WLAN设备应配置日志功能,记录对与WLAN相关的安全事件。安全性安全性分析分析:操作指南操作指南:1、利用常用漏洞扫描软件(如XSCAN)对设备发起扫描:在命令提示符拖入Xdos.exe程序,然后输
23、入:12.0.0.2 99 t 50 s 119.0.0.8,如下图:2、利用DoS攻击发起软件对设备发起DoS攻击;步骤2所示,即开始dos攻击:2.2 日志安全要求操作指南操作指南:3、查看系统日志,检查日志系统是否记录了上述相关安全事件的信息:在AC管理平台下输入:cat/var/log/messages 命令:可知日志中已经记录了dos攻击的信息。检测方法:检测方法:针对模拟的安全攻击,系统是否产生了相应的日志记录2.2 日志安全要求编编 号:号:安全要求-设备-配置-20要要 求求 内内 容容:WLAN设备应配置权限,控制对日志文件读取、修改和删除权限操作。安全性安全性分析分析:操作
24、指南操作指南:利用超级管理员账号登陆,打开账户管理/用户组管理,进入的页面可以看到日志权限的设置项检测方法:检测方法:利用只有查看权限的用户登陆,尝试删除日志2.2 日志安全要求编编 号:号:安全要求-设备-配置-21要要 求求 内内 容容:日志保存时间应满足:通过WLAN设备本地端口直接操作的系统操作日志本地保存不小于7天。安全性安全性分析分析:操作指南操作指南:利用管理员账号登陆在日志功能项中操作日志的保存时间设置为7天检测方法:检测方法:查看日志是否有7天前的日志2.3 IP协议安全要求编编 号:号:安全要求-设备-配置-22要要 求求 内内 容容:对于具备TCP/UDP协议功能的WLA
25、N,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。安全性安全性分析分析:2.3 IP协议安全要求操作指南操作指南:配置拒绝PC所对应IP地址对被测设备访问的策略 rule jujue deny ip 19.1.1.2 255.255.255.255 192.168.4.20 255.255.255.255filter-policy testfilter-rule jujue ip-pool sta alloc-mode localdhcp max-lease 120000 default-router 19
26、.1.1.1 ipaddress 19.1.1.1 255.255.255.0 available-interface port 0-4 filter-policy test检测检测方法:方法:通过pc向被测设备系统发起telnet以及其他连接请求,查看请求是否被拒绝2.3 IP协议安全要求编编 号:号:安全要求-设备-配置-23要要 求求 内内 容容:对于通过IP协议进行远程维护的WLAN,应使用HTTPS、SSH等加密协议进行远程维护。安全性安全性分析分析:操作指南操作指南:使用https方式登录被测设备,确认可以使用https方式进行管理;检测方法:检测方法:通过https方式登陆管理设
27、备2.3 IP协议安全要求编编 号:号:安全要求-设备-配置-24要要 求求 内内 容容:对于通过IP协议进行远程维护的WLAN,应设定允许登录到该设备的IP地址范围。安全性安全性分析分析:操作指南操作指南:1、在接入平台上配置以下命令,允许192.168.4.225 和192.168.3.26的ip访问AC的接入平台:telnet controltelnet allowed-ip 192.168.4.1 255.255.255.0telnet allowed-ip 192.168.3.1 255.255.255.02、同时配置rule deny deny tcp 192.168.2.1 25
28、5.255.255.0 192.168.4.25 255.255.255.255 23 rule all permit ip 0.0.0.0 0.0.0.0 192.168.4.25 255.255.255.255 filter-policy deny filter-rule deny filter-rule allaccess-list-local filter-policy bound deny2.3 IP协议安全要求检测检测方法:方法:利用允许和未允许的ip登陆设备,查看是否能登陆成功2.4 设备其他安全要求编编 号:号:安全要求-设备-配置-27要要 求求 内内 容容:对于具备字符交互
29、界面的WLAN,应配置定时账户自动登出。安全性安全性分析分析:操作指南操作指南:#telnet timeout 60 (单位是秒)检测方法:检测方法:登陆设备,持续60秒不进行任何操作,查看账号是否已经自动登出系统2.4 设备其他安全要求编编 号:号:安全要求-设备-配置-28要要 求求 内内 容容:对于具备图形界面(含WEB界面)的WLAN,应配置定时自动屏幕锁定。安全性安全性分析分析:操作指南操作指南:利用超级管理员账号登陆,打开账户管理/用户组管理,进入的页面可以看到空闲超时的设置项检测方法检测方法:登陆后不做任何操作,等待锁屏,锁屏后,需要进行身份认证才能解除锁屏2.4 设备其他安全要
30、求编编 号:号:安全要求-设备-配置-29要要 求求 内内 容容:对于具备console口的WLAN,应配置console口密码保护功能。安全性安全性分析分析:操作指南操作指南:1、local-user username Bnas$%password Bnas$%2、在pc上打开针对console口的操作界面,系统要求进行密码认证检测方法检测方法:用console口登陆,查看是否需要密码大纲 1.WLAN设备应用安全管理 2.WLAN设备通用安全功能和配置要求 3.WLAN设备安全功能和配置要求 3.1AC安全要求 4.WLAN安全配置基线实用案例3.WLAN设备安全功能和配置要求如下WLAN
31、设备安全功能和配置要求与专项要求不冲突,WLAN设备应在满足专项要求基础上,符合WLAN设备安全功能和配置要求。3.1 AC安全要求编编 号:号:安全要求-设备-配置-34要要 求求 内内 容容:无线控制器应配置无线客户端隔离功能安全性分析:安全性分析:操作指南操作指南:进入AC的web页面,打开无线参数无线参数高级配置,选择隔离单播 3.1 AC安全要求检测检测方法:方法:两个用户拿到地址后互ping,查看能否ping通3.1 AC安全要求编编 号:号:安全要求-设备-配置-35要要 求求 内内 容容:无线控制器应配置无线拒绝服务攻击检测功能安全性分析:安全性分析:操作指南操作指南:1、在A
32、C页面无线安全/入侵检测设置将各检测开关开启(阀值和时间设置由实际应用而定)。2、在ap上查看以上参数配置是否下发到ap上,使用攻击软件向ap发起攻击。3.1 AC安全要求检测检测方法:方法:在AC页面日志/入侵检测日志处应该可以看到ap上报的攻击信息。3.1 AC安全要求编编 号:号:安全要求-设备-配置-36要要 求求 内内 容容:无线控制器应配置MAC与AP的绑定功能。安全性分析:安全性分析:操作指南操作指南:1、配置地址池ip-pool TESTipaddress10.1.1.1 255.255.255.0 alloc-mode localdhcp default-router 10.
33、1.1.1 option-60 enterprise-code 18603 max-lease 900 option-60 ac-manage-ip 117.130.192.209 option-43 ip-list 117.130.192.209 available-interface port 42、查看ap获取的ip并输入指令#ip dhcp mac-bind-ip3.1 AC安全要求检测检测方法:方法:拔掉ap与AC之间接的网线,同时在AC上release掉ap的ip,再次插上ap与AC之间的网线,查看ap获取的ip3.1 AC安全要求编编 号:号:安全要求-设备-配置-37要要 求求
34、 内内 容容:无线控制器应配置DNS安全检测功能。安全性分析:安全性分析:操作指南操作指南:1、在AC上配置用户的过滤规则。只允许访问ip为8.8.8.8的dns服务器。rule dns1 permit udp 0.0.0.0 0.0.0.0 8.8.8.8 255.255.255.255 532、和portal过滤规则rule portal permit ip 0.0.0.0 0.0.0.0 192.168.9.10 255.255.255.255一起应用到过滤策略dns1中filter-policy dns1filter-rule dns1filter-rule portal3.1 AC安
35、全要求操作指南操作指南:3、在用户地址池中应该该过滤策略ip-pool sta5 ipaddress 17.0.0.1 255.255.255.0 alloc-mode localdhcp max-lease 600 available-interface port 0-4 default-router 17.0.0.1 filter-policy dns13.1 AC安全要求检测方法:检测方法:用户获取该地址池地址,并进行web认证,在弹portal时用户过滤抓取dns报文。3.1 AC安全要求编编 号:号:安全要求-设备-配置-38要要 求求 内内 容容:无线控制器应配置DHCP FLOO
36、D攻击检测功能。安全性分析:安全性分析:操作指南操作指南:1、PC机处抓取用户在AC上获取地址的dhcp请求报文。2、由报文可知接入端口和接入vlan可以使用基于端口+vlan的控制。up-limit port-vlan port 0 cvlan 900 3(对于0口接入vlan为900的数据包每秒只能上传3个,若不到vlan上来的话,直接可以配置为up-limit port-vlan port 0 3)3、在接入平台上使用命令show rmios up-limit-statis port-vlan port 0 cvlan 900查看数据包上传丢弃情况。4、对于目的端口和源端口都固定的情况,
37、可以使用命令:up-limit udp port 67 3 bothup-limit udp port 68 3 both(由于dhcp报文的源和目的端口都为68和67)5、用台PC机直连到AC上,用anysend工具向AC发送大量的dhcp请求包。3.1 AC安全要求检测方法:检测方法:在接入平台上用命令show rmios up-limit-statis unuserudp查看67和68口数据包的上传和丢弃情况3.1 AC安全要求编编 号:号:安全要求-设备-配置-39要要 求求 内内 容容:无线控制器应配置CAPWAP协议检测。安全性分析:安全性分析:操作指南操作指南:AC上正确配置AP
38、信息:厂商,设备型号,硬件版本;检测方法:检测方法:AP连上AC,在AP和AC之间抓取报文;在AC上配置错误的AP信息3.1 AC安全要求编编 号:号:安全要求-设备-配置-40要要 求求 内内 容容:无线控制器应配置检测STA提交的大量的DHCP 请求,防止AC的DHCP地址池耗光的攻击。安全性分析:安全性分析:操作指南操作指南:1、Sta在AC上获取地址,并抓取sta的dhcp请求报文。2、该功能是通过上传流控来实现的,在AC接入平台advance模式下配置语句。up-limit ippooluser-packet otherall 13、在sta处用anysend向AC发送步骤1中抓取的
39、dhcp请求报文,在接入平台上使用命令show rmios up-limit-statis ippool-user 27.0.0.4(sta ip)数据包显示情况。4、若步骤1中数据包是带着vlan上来的,则可以根据端口和vlan来做限制,使用命令:up-limit port-vlan port 0 cvlan 900 2(对0口上来的vlan为900的数据包进行限制每秒上传2个数据包)3.1 AC安全要求检测方法:检测方法:在AC上使用命令show rmios up-limit-statis port-vlan port 0 cvlan 900查看数据包上传丢包情况。3.1 AC安全要求编编
40、 号:号:安全要求-设备-配置-41要要 求求 内内 容容:无线控制器应配置细化到IP的DNS访问控制策略。安全性分析:安全性分析:操作指南操作指南:1、在AC上配置用户的过滤规则。只允许访问ip为8.8.8.8的dns服务器。rule dns1 permit udp 0.0.0.0 0.0.0.0 8.8.8.8 255.255.255.255 532、和portal过滤规则rule portal permit ip 0.0.0.0 0.0.0.0 192.168.9.10 255.255.255.255一起应用到过滤策略dns1中filter-policy dns1filter-rule
41、dns1filter-rule portal3、在用户地址池中应该该过滤策略ip-pool sta5 ipaddress 17.0.0.1 255.255.255.0 alloc-mode localdhcp max-lease 600 available-interface port 0-4 default-router 17.0.0.1 filter-policy dns13.1 AC安全要求检测方法:检测方法:用户获取该地址池地址,并进行web认证,在弹portal时用户过滤抓取dns报文3.1 AC安全要求编编 号:号:安全要求-设备-配置-42要要 求求 内内 容容:无线控制器应配置
42、扩展型访问控制列表安全性分析:安全性分析:操作指南操作指南:1、该功能是通过配置过滤策略来实现的。以下仅举例一些常用的过滤规则。2、如在AC接入上配置命令,控制用户禁止访问AC的23端口别端口的都可以访问。rule tcp deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 23rule all permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.03、将步骤2中的过滤规则应用到过滤策略deny中,并应用到用户地址池sta1中。filter-policy denyfilter-rule tcpfilter-rule all4、用户获取s
43、ta1地址池中的地址,并尝试连接AC的23端口,查看是否可以连接成功。5、如在AC接入上配置命令,只允许用户访问ip为192.168.9.11的地址。rule portal1 permit ip 0.0.0.0 0.0.0.0 192.168.9.11 255.255.255.2556、将步骤5中的过滤规则应用到过滤策略permit中,并应用到用户地址池sta2中。filter-policy permitfilter-rule portal3.1 AC安全要求检测方法:检测方法:用户获取sta2地址池中的地址,并尝试ping192.168.9.11的地址及ping用户自己的网关,查看是否成功。
44、3.1 AC安全要求编编 号:号:安全要求-设备-配置-43要要 求求 内内 容容:无线控制器应配置三/四层DoS防护功能。安全性分析:安全性分析:操作指南操作指南:由于X-DOS攻击的源端口会一直在变,故只能通过以下命令来限制该上传报文:在 接入平台advance模式下配置:up-limit tcp 10 unuser(每秒钟非用户上传的tcp报文为10个,该处没有指定具体的tcp端口默认为所有的tcp端口,不过dos攻击时,攻击的目的端口和源端口都可能在变,故该测试只能这样配置,查看具体的上传报数使用该命令show rmios up-limit-statis unusertcp)但是做了该
45、限制之后,别的tcp功能几乎做不了了,都被该攻击给占满了3.1 AC安全要求编编 号:号:安全要求-设备-配置-44要要 求求 内内 容容:无线控制器应配置一定复杂度的SNMP Community String。安全性分析:安全性分析:操作指南操作指南:1、通过网管采集攻击如MG-Soft MIB Browser将读口令节点znCapwapAcRoCommunity和写口令节点znCapwapAcRWCommunity的值设置为想要设置的读写口令或在AC页面上配置具有一定复杂度的SNMP Community String。如下:检测检测方法:方法:使用SNMP扫描软件IP Network Br
46、owser,输入之前在AC配置的Community String,尝试连接已配置A3.1 AC安全要求编编 号:号:安全要求-设备-配置-45要要 求求 内内 容容:无线控制器应配置dhcp-discover 阀值,防止因DHCP discover攻击造成的AP退服事件。安全性分析:安全性分析:操作指南操作指南:1、使用ac(config)#advanced concurrency-redirect enable命令开启国人并发重定向功能。2、使用ac(config)#advanced up-limit dhcp-discover 100命令限制国人对于dhcp-discover请求的阀值。3
47、.1 AC安全要求操作指南操作指南:3、使用show running-config 命令查看并确认配置结果4、观察cpu使用率的变化,如有下降则证明配置生效。检测方法:检测方法:1、使用DHCP flood攻击工具发起大量的DHCP discover请求包。2、观察AC下面的AP列表状态。3.1 AC安全要求编编 号:号:安全要求-设备-配置-46要要 求求 内内 容容:无线控制器应配置ARP阀值,防止因ARP广播风暴攻击造成WLAN业务系统大量AP退服。安全性分析:安全性分析:操作指南操作指南:1、使用limit命令限制了,arp的请求门阀,解决了此问题。Up-limit arp 802、在
48、AC上静态绑定AP的MAC和IP地址对应关系,保持AC与AP的稳定通信,对于网络中的ARP请求一律拒绝。配置建议:配置拒绝ARP规则mac access-list extended ARP-DENY-WIRELESS deny any ff:ff:ff:ff:ff:ff/ff:ff:ff:ff:ff:ff type arp rule-precedence 10 permit any any type arp rule-precedence 15 permit any any rule-precedence 20 permit any any type ip rule-precedence 50
49、00在相应的WLAN策略中应用wlan-acl 1 ARP-DENY-WIRELESS out3.1 AC安全要求检测检测方法:方法:在测试环境中发起大量的免费ARP的请求观察AC的下所管理AP的状态变化。大纲 1.WLAN设备应用安全管理 2.WLAN设备通用安全功能和配置要求 3.WLAN设备安全功能和配置要求 4.WLAN安全配置基线实用案例基线实用案例 1portalserver 221.176.1.140 external url-head 221.176.1.140/wlan/index.php rule dns permit udp 0.0.0.0 0.0.0.0 0 211.1
50、37.241.35 255.255.255 53 rule dns permit udp 0.0.0.0 0.0.0.0 0 211.137.241.34 255.255.255 53 ip dhcp active ip dhcp server 10.120.255.4 wireless ssid-match-domain enable portal-bind-type domainip-pool STA ipaddress 218.203.82.1 255.255.254.0 alloc-mode localdhcp default-router 218.203.82.1 max-lease
