WLAN系统安全配置1.docx
- 文档编号:29184605
- 上传时间:2023-07-21
- 格式:DOCX
- 页数:10
- 大小:56.05KB
WLAN系统安全配置1.docx
《WLAN系统安全配置1.docx》由会员分享,可在线阅读,更多相关《WLAN系统安全配置1.docx(10页珍藏版)》请在冰豆网上搜索。
WLAN系统安全配置1
WLAN系统主要安全风险解决措施中AC、AP设备的配置示例
以下按照“关于进一步强化WLAN系统安全管理的通知”文件中“一、WLAN系统当前面临的主要安全风险和问题”部分解决措施中涉及AC、AP设备的配置示例。
(以下以中太设备命令配置为例)
(二)网络滥用
1.如果非法用户获得AP、AC、交换机等WLAN系统设备地址后,将终端设置为相同地址段IP,能够实现免费上网。
原因分析:
WLAN用户和WLAN网络设备在无线侧是通过共同的网络设备向上访问,两个地址段属于不同的VLAN,但互相之间无法做隔离。
因此,非法用户在获得AP、AC、交换机等WLAN系统设备地址后,可将自己的终端设置为相同地址段IP,则可能实现免费上网。
解决手段:
限制设备地址段访问互联网,从而抑制黑客使用设备地址进行非法攻击的可能;设置无需访问公网的设备(如AP、交换机等)地址为私网地址。
配置示例:
中太AC会检测DHCP地址池中的用户进行检测,对手动设置的地址不进行转发。
以下为在中太AC上对地址池和域中设置访问规则,限制用户在认证前和认证后可以访问的地址。
认证前的策略配置在地址池生效:
ruleaprulepermitip0.0.0.00.0.0.010.0.0.0255.0.0.0
//定义规则“aprule”,允许用户认证前访问10.0.0.0/8的地址段
filter-policyaprule
filter-ruleaprule
//定义过滤策略“aprule”,并将规则“aprule”加入
ip-poolfit-ap
filter-policyaprule
//将过滤策略“aprule”应用到AC地址池“fit-ap”,使用户在认证通过之前只能访问过滤策略“aprule”中所规定的ip地址
认证后的策略配置是在域里面生效:
ruletestpermitip0.0.0.00.0.0.0218.207.4.0255.255.255.0
ruletest1denyip10.12.2.3255.255.255.255218.207.4.0255.255.255.0
//定义“test”和“test1”两条规则,禁止用户地址10.12.2.3访问218.207.4.0/24地址段,但允许源其它地址访问该地址段
filter-policyweb
filter-ruletest
filter-ruletest1
//定义过滤策略“web”,并将规则“test”和“test1”加入
service-policyweb//服务策略“web”中加入过滤策略
filter-policyweb
//定义服务策略“web”,并将过滤策略规则“web”加入
domainCMCC
service-policyweb
//将服务策略“web”应用到域“CMCC”,使IP地址为10.12.2.3的用户在认证通过不能访问服务策略“web”中所规定的ip地址段218.207.4.0/24
2.WLANAC对外访问策略控制不严格,可被利用实现免费上网。
如WLAN用户利用VPN、Socket代理等软件,通过访问流量封装在DNS数据流中,利用外部非法上网代理服务器,实现免费访问互联网。
原因分析:
WLAN用户在未认证时也需要进行DNS解析,因此目前AC会无条件放行所有来自用户的DNS解析请求(即目标端口为UDP53的数据包)。
未经过认证的用户可应用Socket代理、openvpn之类的vpn软件或者端口重定向工具,模拟DNS数据流,将访问流量定向到互联网特定服务器的UDP53端口进行转发,从而实现免费访问互联网。
解决手段:
配置AC的DNS白名单或ACL,用户在认证前只允许访问特定DNS服务器。
配置示例:
以下为在中太AC上配置ACL,限制用户在认证前只能访问特定DNS。
rulednspermitudpip0.0.0.00.0.0.0211.138.106.2255.255.255.25553
ruledns1permitudpip0.0.0.00.0.0.0211.138.106.7255.255.255.25553
//定义“dns”和“dns1”两条规则,只允许访问制定的两个DNS服务器地址211.138.106.2和211.138.106.7
filter-policyweb
filter-ruledns
filter-ruledns1
service-policywebauth
filter-policyweb
//定义过滤策略“web”,并将规则“dns”和“dns1”加入,将“web”策略关联到“webauth”组
ip-poolsta
ipaddress111.10.101.1255.255.255.0
alloc-modelocaldhcp
default-router111.10.101.1
dns-server211.138.106.2211.138.106.7
max-lease2400
available-interfaceport1vlan3202
service-policywebauth
//地址池“sta”中配置用户通过DHCP方式可获得的DNS地址
service-policywebauth
filter-policyweb
//将过滤策略组“webauth”应用到地址池“sta”,使用户在认证通过之前只能访问过滤策略“web”中所规定的dns服务器
(三)设备被利用
1.WLAN设备管理IP地址段与普通WLAN用户IP地址段未做有效隔离。
AC公网地址访问策略不严格,WLAN设备易被攻击控制。
原因分析:
WLAN用户和WLAN网络设备在网络侧经过同样的物理设备,未做有效隔离,因此无线侧设备可直接访问WLAN系统设备地址,从而发起对设备的攻击。
同时,由于承载网业务需求,AC设备需配置为公网设备地址,因此如不做安全防护,则互联网可直接访问AC,AC受攻击可能性很大。
解决手段:
限制用户地址段访问设备地址段,取消用户地址与设备地址路由;在设备自身上限制用户网段与设备管理口互访。
配置示例:
以下为在中太AC上配置禁止WLAN用户访问AC设备。
ipforwardbnas-accessdisable
//配置AC禁止用户访问设备
b.限制有限地址对AC的访问,禁止对互联网开放访问规则。
配置示例:
以下为在中太AC上配置限制有限地址对AC设备的telnet访问。
telnetallowed-ip218.208.0.0255.255.0.0
//允许218.208.0.0/16地址段telnet访问AC设备
telnetallowed-ip218.208.33.23
//允许单个地址218.208.33.23telnet访问AC设备
telnetcontrol
//打开telnet访问控制
2.管理AC设备时未采用SSH、HTTPS等加密形式登陆设备,使得维护过程中账号、口令在互联网明文传输时被窃听。
原因分析:
部分AC设备不支持SSH、HTTPS等加密形式登陆,使得维护过程中账号、口令在互联网传输存在被窃听可能。
解决手段:
增强账号、密码的复杂度;升级登陆接口变为可加密的协议进行登陆认证,如SSH、HTTPS等;限制有限地址源作为有效访问源,拒绝非授权IP访问AC。
配置示例:
中太AC默认web登录方式为HTTPS;现有版本暂不支持SSH方式登录。
以下为在中太AC上配置用户名密码。
local-userusernamemonitorpassword********levelpriv-level
//配置用户“monitor”的密码和用户权限等级
以下为在中太AC上配置限制有限地址对AC设备的telnet访问(中太AC现有版本暂不支持web登录方式限制源地址)。
telnetallowed-ip218.208.0.0255.255.0.0
//允许218.208.0.0/16地址段telnet访问AC设备
telnetallowed-ip218.208.33.23
//允许单个地址218.208.33.23telnet访问AC设备
telnetcontrol
//打开telnet访问控制
3.WLAN系统设备自身存在的安全漏洞、脆弱性,可被利用控制操纵WLAN设备。
如AC设备应用层存在漏洞,可能造成任意用户在不通过验证的情况下下载WLAN设备配置文件,进而破解系统管理账号、密码,获得AC的控制权。
原因分析:
WLAN设备如AC、Radius等多基于Unix/Linux等通用操作系统。
如果设备自身存在安全漏洞,且互联网可达,则易被攻击并成为肉鸡。
同时,某些AC设备应用层存在漏洞,如未对Cookies或者Session做判断,可能造成任意用户在不通过验证的情况下下载设备配置文件,进而破解管理员密码,获得AC的控制权。
解决手段:
提升WLAN设备自身安全性,及时对漏洞进行补丁修补,降低被攻击且利用可能;限制有限地址源作为有效访问源,拒绝非授权IP访问WLAN设备。
配置示例:
以下为在中太AC上配置限制有限地址对AC设备的telnet访问。
telnetallowed-ip218.208.0.0255.255.0.0
//允许218.208.0.0/16地址段telnet访问AC设备
telnetallowed-ip218.208.33.23
//允许单个地址218.208.33.23telnet访问AC设备
telnetcontrol
//打开telnet访问控制
(四)网络不可用
2.AC多采用WEB方式管理,容易遭受针对WEB服务的DoS攻击,造成设备不可用。
原因分析:
AC多采用WEB方式管理,自身运行httpd等web服务,可能遭受针对WEB服务的DoS攻击,造成设备负荷过高。
解决手段:
在AC上配置ACL等手段,限制有限地址作为访问源,拒绝非授权IP访问AC。
配置示例:
以下为在中太AC上配置限制有限地址对AC设备的telnet访问。
telnetallowed-ip218.208.0.0255.255.0.0
//允许218.208.0.0/16地址段telnet访问AC设备
telnetallowed-ip218.208.33.23
//允许单个地址218.208.33.23telnet访问AC设备
telnetcontrol
//打开telnet访问控制
3.AC针对不同AP的VLAN划分不严格,易使网络遭受ARP泛滥攻击,致使AC向各AP转发大量数据,造成网络拥塞瘫痪。
原因分析:
攻击者发起洪泛ARP广播请求,致使AC向各AP转发大量数据,造成网络拥塞。
解决手段:
AC严格划分VLAN,将AP划分到不同VLAN中,并严禁VLAN间互通;开启AC用户隔离功能和交换机端口隔离功能;禁止AP向与其关联的所有终端广播ARP报文。
配置示例:
在AC管理平台上可以对所有广播进行二层隔离,配置如下:
以下为在中太AC的WEB页面设置VLAN。
点击WLAN-WLAN分组,
建立分组后在VLANID里输入对应VLAN
进入web页面,在基本配置一栏的AC配置中可以实现用户隔离。
//配置用户隔离
以下为在中兴2826交换机上做端口隔离,限制广播报文。
setpvlansession1addisolated-port1
setpvlansession1addisolated-port2
……
4.AC作为用户分配IP地址的DHCPServer,易遭受DHCP泛洪DoS攻击,使AC的IP地址池资源被耗尽,正常用户无法上网。
原因分析:
AC作为为用户分配IP地址的DHCPServer,可能遭受基于DHCP的DoS攻击。
攻击者冒充用户发送大量DHCP请求,恶意耗尽AC的IP地址池资源,导致新用户无法接入。
同时,恶意用户也可以伪装自身为DHCP服务器来向用户分配虚假IP,造成用户无法上网。
解决手段:
在AC上启用DHCPSnooping与DHCP报文检查功能,只对已无线关联的用户分配IP地址;将AC中DHCP地址释放时长配置为大于30分钟。
配置示例:
中太AC现有版本暂不支持DHCPsnooping功能。
以下为在中太AC上配置用户隔离。
ipforwarduser-accessdisable
//配置用户隔离
配置DHCP地址池:
ip-poolsta
ipaddress111.10.101.1255.255.255.0
alloc-modelocaldhcp
default-router111.10.101.1
dns-server211.138.106.2211.138.106.7
max-lease2400
available-interfaceport1vlan3202
//配置“sta”地址池,设置地址池释放时间为2400秒,只有通过vlan3202的用户可以在“sta”地址池获取地址。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WLAN 系统安全 配置