WLAN设备安全配置规范v课件

1、WLAN设备安全配置规范 v3.0 1WLAN设备安全配置规范v 大纲 1.WLAN设备应用安全管理 2.WLAN设备通用安全功能和配置要求 3. WLAN设备安全功能和配置要求 4.WLAN安全配置基线实用案例 2WLAN设备安全配置规范v 大纲 1. WLAN设备应用安全管理 1.1安全管理概述 1.2设备初始化管理 1.3日志安全管理 1.4设备授权访问管理 1.5配置管理 1.6设备冗余管理 2. WLAN设备通用安全功能和配置要求 3. WLAN设备安全功能和配置要求 4. WLAN安全配置基线实用案例 3WLAN设备安全配置规范v 1.1安全管理概述（1） 有效保护系统安全的核心是

2、进行持续、科 学的风险管理。 WLAN设备安全管理不仅是安全技术的实 施，而应是将良好的安全意识、安全规范 融入到日常的维护工作中。 4WLAN设备安全配置规范v 1.1安全管理概述（1） 安全管理员 制定安全工作相关规范和制度 在网络规划阶段中牵头负责网络安全的同步规划，并负责督促安全技术员和系统管 理员在网络建设和运维两个阶段中安全技术措施的具体落实。 安全技术员 依据安全工作相关规范和制度 在网络规划阶段参与网络安全的同步规划，提交具体安全防护方案供安全管理员 审核，在网络建设和运维两个阶段向系统管理员提供安全技术支持。 系统管理员 依据安全工作相关规范和制度 在安全技术员的指导下负责网

3、络建设和运维两个阶段安全工作的具体实施。 为了做好安全管理工作，不同岗位工作职责在网络规划、建设、运维三个 阶段的关系如下： 5WLAN设备安全配置规范v 1.1安全管理概述（2） 6WLAN设备安全配置规范v 1.2设备初始化管理（1） 为确保设备的使用安全，WLAN设备在入网启用前应当遵循一定的安 全规范进行相应的安全性配置，其中应重点关注如下三个方面。 1. 端口及服务最小化 2. 安全补丁及时加载 3. 包过滤规则设定 7WLAN设备安全配置规范v 1.2设备初始化管理（2） 端口及服务最小化 未使用的设备端口应及时关闭。 WLAN设备除了提供Telnet远程登录服务外，还提供很多二层

4、、三层的服务。 WLAN设备运行的服务越多，安全隐患就越大。很多服务WLAN设备通常是不需 要的，应该根据各种服务的用途，实现服务最小化，关闭WLAN设备上不必要 的服务，减少安全隐患。 8WLAN设备安全配置规范v 1.2设备初始化管理（3） 常见WLAN设备服务功能以及应对措施 服务名称服务名称服务功能服务功能建议措施建议措施 HTTP server允许管理员通过Web页面远程管理路由器 关闭 IP directed broadcast 允许AC转发其他网段的直接广播包关闭 SNMP 远程网管使用、数据集采、状态采集 根据实际情况， 缺省使用，及 时更改SNMP口 令 IP source-

5、route允许路由器处理带源路由选项标记的流关闭 9WLAN设备安全配置规范v 1.2设备初始化管理（4） 安全补丁 曾经在某IT杂志上公布，C公司宣布其WLAN设备所有xx版本的操作系统软件存在 一个漏洞。此漏洞可使攻击者截取和修改出入WLAN设备的TCP数据。 显而易见，该漏洞影响是广泛的，属于严重隐患，由于C公司及时发布了安全版 本，所以几乎没有用户因此受到攻击。 因此，建议如无特殊情况在设备启用时，WLAN设备应当尽量采用厂家的最新版本， 并将所有安全补丁打上。更重要的是，在今后的设备运行过程中，也应当及时进 行补丁加载，始终保持最新版本。 10WLAN设备安全配置规范v 1.2设备初

6、始化管理（5） 包过滤规则 在WLAN设备启用前，应当根据当时的网络环境制定合理的包过滤规则，对某 些病毒、木马的特定端口进行封闭。严格的配置仅传递允许进入网络的的数 据包。总之，配置完善的包过滤规则并在今后的运行维护过程中随时更新可 以降低安全事件发生的概率。 11WLAN设备安全配置规范v 1.3日志安全管理（1） 日志安全管理 对网络维护者而言，日志是设备运行的性能监测、安全审计以及安全事件发 生后的追踪与调查等的重要依据.因此在日常的维护中应注意开启设备的重 要日志功能。 AC作为WLAN组网的重要的网络设备，其安全性至关重要，因此建立强大、完 善的日志系统是必须的。通过日常对日志文件

7、的审查，可以预先发现许多安 全攻击并及时采取措施将安全事件的发生可能性降至最低。 12WLAN设备安全配置规范v 操作日志 登陆日志：异常分析 命令操作日志：分析异常操作 标准系统日志：非法攻击留下 的日志痕迹 运行状态 CPU资源监控 内存占用监控 磁盘空间监控 系统日志 端口状态 异常路由交互信息 . 1.3日志安全管理（2） 13WLAN设备安全配置规范v 1.3日志安全管理（3） 为保证在突发事件发生时，能够通过分析日志快速解决问题，日志的备份、 存放等日常安全管理是必须的。 对于设备日志，应当遵照相关安全规范定期进行备份，保留规定时间，并 对备份介质进行妥善保管。 由于AC设备内存有

8、限，一些日志信息存储后掉电就会丢失，有条件的情况 下，应建立日志服务器，采用日志服务器可以获取更加丰富的端口状态、 运行状态以及异常故障等信息，轻松掌握网络情况。 14WLAN设备安全配置规范v 1.3日志安全管理（4） 建立日志服务器之后，同时应当对服务器自 身进行安全加固，例如：安装防病毒软件、 定期进行系统补丁以及对访问进行严格控制 等，来保障日志安全。 15WLAN设备安全配置规范v 1.4设备授权访问管理 （1） 设备授权访问管理包括： 账号口令管理 应当对AC系统所有密码进行加密，基于角色按需分配的权限管理给予能够操作者 完成工作的最低权限的许可。并采取增强口令强度、设置口令有效期

9、、删除停止 使用的帐号等手段，提高帐号口令管理效能。 访问管理 为防止非法授权访问，应当采用相应限制措施 16WLAN设备安全配置规范v 1.4设备授权访问管理 （2） 账号口令管理应关注以下几点： 应按照用户分配账号。避免不同用户间共享账号，避免用户账号和设备间通信使 用的账号共享。 用户口令足够强壮，符合复杂度要求。 设备密码使用加密模式存放，禁用明文存放密码。 SNMP服务启用时，禁止使用public、private等公用community，如需提供RW权限 的community，需保证community的安全性。 17WLAN设备安全配置规范v 1.4设备授权访问管理 （3） 访问管理

10、应关注以下几点： 本地访问 对AC系统Consle设置访问密码，对Console口与终端的会话配置较短闲置时间后自动退出 局域网访问 交换机端口进行vlan划分、端口绑定等措施，WLAN设备上采用IP地址与MAC地址绑定 远程访问 传统的远程访问服务程序telnet,在网络上用明文传送口令和数据，容易被截获。同时其安全验 证方式也存在弱点，容易遭受“中间人”（man-in-the-middle）攻击。因此，应当采用Ssh （Secure Shell）等安全远程访问方式，其将所有传输数据进行加密，保证了传输安全，同时在 安全验证方面也有所提高。同时设备的VTY端口应限制登录的IP地址范围。 路由

11、协议访问 WLAN设备尽可能采用安全的路由协议版本，以及在启用路由协议接口之间设置MD5认证，防止信 息外漏。 18WLAN设备安全配置规范v 1.5配置管理 配置管理 WLAN设备的配置文件安全是不容忽视的，通常设备配置应当定期备份，并保 存在安全的介质中，原则上备份介质应当至少两份，一份与设备放置一处， 以备应急使用，另一份应当放置在异地的安全位置。在发生安全事故时，可 以取出备份文件，将系统恢复到已知状态。 此外，配置文件应当尽可能不通过公共网络进行传输，特殊情况下应当对传 输进行加密 19WLAN设备安全配置规范v 1.6设备冗余管理 设备冗余管理 在WLAN设备组网过程中，应当尽可能

12、组建主备双节点、双链路结构，路由协 议采用动态路由与静态路由相结合的方式，以及采用VRRP或则HSRP等冗余协 议，提高网络的可用性和可靠性。 20WLAN设备安全配置规范v 大纲 1.WLAN设备应用安全管理 2.WLAN设备通用安全功能和配置要求 2.1账号管理及认证授权要求 2.2日志安全要求 2.3IP协议安全要求 2.4设备其他安全要求 3. WLAN设备安全功能和配置要求 4.WLAN安全配置基线实用案例 21WLAN设备安全配置规范v 2.WLAN设备通用安全功能 和配置要求 本规范所指的设备为Wi-Fi使用的WLAN设备。本规范提出的安全功 能要求要求，在未特别说明的情况下，均

13、适用于各类WLAN设备。 本规范从WLAN设备的认证授权功能、安全日志功能以及IP网络安全 功能，其他自身安全配置功能和WLAN具体设备类型提出安全要求。 22WLAN设备安全配置规范v 2.1账号管理及认证授权 要求 认证认证功能功能 用于确认登录WLAN的用户真实身份。认证功能的具体实现方式包括静态口令、 动态口令、指纹等生物鉴别技术等。 授权功能授权功能 赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口 令管理功能是实现正确认证和授权的基础。 对于存在字符或图形界面（WEB界面）的人机交互的WLAN设备，应 提供账号管理及认证授权功能，并应满足以下各项要求。 23WLA

14、N设备安全配置规范v 2.1.1账号安全要求 编 号：安全要求-设备-配置-1 要 求 内 容 ：应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的 账号共享。 安全性分析：用户共享账号在很多机房管理中存在，从而带来大量的安全风险。直接影响就是用户操 作带来的直接系统风险，如果是高级权限账号共用，则可能引发由于人为操作不当而引起的系统灾难 性故障，且通过系统日志无法判别具体操作人员。 操作指南 ： 1、参考配置操作 利用管理员账号或根用户账号登录设备,在系统上预先设置多个账号（35个），如图增添三个用户 24WLAN设备安全配置规范v 2.1.1账号安全要求 检测方法：

15、 1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 25WLAN设备安全配置规范v 2.1.1账号安全要求 编 号：安全要求-设备-配置-2 要 求 内 容 ：应删除与设备运行、维护等工作无关的账号。 安全性分析： 日常维护工作中，由于人员调动等因素，系统中可能存在多用户账号已经不再使用，但仍然未被删除 的情况。这些与设备运行、维护等工作无关的账号不但在系统日常巡检过程中容易被当成巡查死角， 造成管理账户混乱，当系统被黑且植入非法账号时无法快速通过对比历史巡查数据而分析出可疑账号， 从而造成系统风险。 操作指南 ： 1、参考配置操作 2

16、6WLAN设备安全配置规范v 2.1.1账号安全要求 检测方法： 1、判定条件 被锁定的账号无法正常登陆； 2、检测操作 先将账号锁定然后用锁定的账号登陆验证能否登陆； 27WLAN设备安全配置规范v 2.1.1账号安全要求 编 号：安全要求-设备-配置-3 要 求 内 容 ：WLAN应限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普 通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。 安全性分析： 有些管理员习惯性地直接指配高级权限账户进行远程登陆操作。当网路被监听时，高级权限账户可能 被窃取，并被实施非法登陆。行之有效的方法就是要先配置普通权限用户远程登陆后再切

17、换到管理权 限账号进行操作，避免监听窃取密码的风险。 28WLAN设备安全配置规范v 2.1.1账号安全要求 操作指南 ： 1、利用管理员账号或根用户账号登录设备，账号：root,口令：fitap_ 2、通过系统新建两个账号，一个账号为：a，口令：aaa，设置它可以远程登录；另一个账号：b,口 令：bbb，设置它不能远程登录。 29WLAN设备安全配置规范v 2.1.1账号安全要求 检测方法： 1、判定条件 设备系统应能提供用于配置是否允许用户进行远程登录的用户属性选项； 2、检测操作 被配置为能进行远程登录的账号A可以实现远程访问；被配置为不能进行远程登录的账号B无法实现 远程登录。 30W

18、LAN设备安全配置规范v 2.1.2口令安全要求 编 号：安全要求-设备-配置-4 要 求 内 容 ：对于采用静态口令认证技术的WLAN，口令长度至少6位，并包括数字、小写字母、大 写字母和特殊符号4类中至少2类。 安全性分析：静态口令系统只能通过人为更新，这种更新一般都具备较长的周期。因此密码强度必须 足够强大，用以对付通过密码强猜而被盗取密码的可能性。 操作指南 ： local-user username Bnas$% password Bnas$% 检测方法： 用配置账户登陆验证 31WLAN设备安全配置规范v 2.1.2口令安全要求 编 号：安全要求-设备-配置-5 要 求 内 容 ：

19、对于采用静态口令认证技术的WLAN，账户口令的生存期不长于90天。 安全性分析： 操作指南 ： 在管理平台下登陆 #vi setupinfo 1：3：6：1：2 第四个字段表示口令生存周期为1天 检测方法： 到期后查看指令生存周期 32WLAN设备安全配置规范v 2.1.2口令安全要求 编 号：安全要求-设备-配置-6 要 求 内 容 ：对于采用静态口令认证技术的WLAN，应配置设备，使用户不能重复使用最近5次（含 5次）内已使用的口令。 安全性分析： 操作指南 ： 在管理平台下登陆 #vi setupinfo 1：3：6：1：2 第5个字段表示不允许相同口令重复出现的次数为2次。 检测方法：

20、 测试指令重复次数 33WLAN设备安全配置规范v 2.1.2口令安全要求 编 号：安全要求-设备-配置-7 要 求 内 容 ：对于采用静态口令认证技术的WLAN，应配置当用户连续认证失败次数超过6次（不含 6次），锁定该用户使用的账号。 安全性分析： 操作指南 ： 利用超级管理员账号登陆，打开账户管理/用户组管理，进入的页面可以看到有认证失败重试次数的 设置项 检测方法： 连续认证失败6次，查看是否被锁定 34WLAN设备安全配置规范v 2.1.2授权安全要求 编 号：安全要求-设备-配置-12 要 求 内 容 ：在WLAN权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 安全性分

21、析： 操作指南 ： 利用管理员账号或根用户账号登录设备,对账户分组进行设置，超级管理员为最高权限，管理员有修 改权限，普通用户只有查看权限 检测方法： 1、判定条件 普通用户不能对设备配置进行修改 2、检测操作 利用普通用户登陆尝试对设备配置进行修改 35WLAN设备安全配置规范v 2.1.2授权安全要求 编 号：安全要求-设备-配置-13 要 求 内 容 ：对于用户可通过人机交互界面访问文件系统的WLAN，在WLAN权限配置能力内，根 据用户的业务需要，对文件系统中的目录和文件，给不同用户或用户组分别授予读、写、执行的最小 权限。 安全性分析： 操作指南 ： 利用管理员账号或根用户账号登录设

22、备,对账户分组进行设置，超级管理员为最高权限，管理员有修 改权限，普通用户只有查看权限 检测方法： 1、判定条件 普通用户不能对设备配置进行修改，管理员账户不能修改用户状态 2、检测操作 利用普通用户登陆尝试对设备配置进行修改，利用管理员账户登陆尝试修改用户状态 36WLAN设备安全配置规范v 2.2日志安全要求 编 号：安全要求-设备-配置-16 要 求 内 容 ：WLAN设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账 号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 安全性分析： 操作指南 ： 利用超级管理员账号登陆，查看系统日志，检查日志系统是否记录

23、了上述操作的详细信息，包括实施 操作的账号信息、操作时间、操作内容以及操作结果 37WLAN设备安全配置规范v 2.2日志安全要求 检测方法： 查看是否有AC的操作信息 38WLAN设备安全配置规范v 2.2日志安全要求 编 号：安全要求-设备-配置-17 要 求 内 容 ：WLAN设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号 创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数 据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。 安全性分析： 操作指南 ： 利用管理员账号登陆，查看系统日志，检查日志系统是否

24、记录了上述操作的详细信息，包括实施操作 的账号信息、操作时间、操作内容以及操作结果 39WLAN设备安全配置规范v 2.2日志安全要求 检测方法： 查看是否有AC的操作信息 40WLAN设备安全配置规范v 2.2日志安全要求 编 号：安全要求-设备-配置-18 要 求 内 容 ：WLAN设备应配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。安 全性分析： 操作指南 ： 登陆AC选择SYSLOG配置 41WLAN设备安全配置规范v 2.2日志安全要求 检测方法： 检验目标地址能否收到系统日志 42WLAN设备安全配置规范v 2.2日志安全要求 编 号：安全要求-设备-配置-19 要

25、求 内 容 ：WLAN设备应配置日志功能，记录对与WLAN相关的安全事件。 安全性分析： 操作指南 ： 1、利用常用漏洞扫描软件（如XSCAN）对设备发起扫描： 在命令提示符拖入Xdos.exe程序，然后输入： 99 t 50 s ,如下图： 2、利用DoS攻击发起软件对设备发起DoS攻击； 步骤2所示，即开始dos攻击： 43WLAN设备安全配置规范v 2.2日志安全要求 操作指南 ： 3、查看系统日志，检查日志系统是否记录了上述相关安全事件的信息： 在AC管理平台下输入：cat /var/log/messages 命令： 可知日志中已经记录了dos攻击的信

26、息。 检测方法： 针对模拟的安全攻击，系统是否产生了相应的日志记录 44WLAN设备安全配置规范v 2.2日志安全要求 编 号：安全要求-设备-配置-20 要 求 内 容 ：WLAN设备应配置权限，控制对日志文件读取、修改和删除权限操作。 安全性分析： 操作指南 ： 利用超级管理员账号登陆，打开账户管理/用户组管理，进入的页面可以看到日志权限的设置项 检测方法： 利用只有查看权限的用户登陆，尝试删除日志 45WLAN设备安全配置规范v 2.2日志安全要求 编 号：安全要求-设备-配置-21 要 求 内 容 ：日志保存时间应满足：通过WLAN设备本地端口直接操作的系统操作日志本地保存不 小于7天

27、。 安全性分析： 操作指南 ： 利用管理员账号登陆在日志功能项中操作日志的保存时间设置为7天 检测方法： 查看日志是否有7天前的日志 46WLAN设备安全配置规范v 2.3IP协议安全要求 编 号：安全要求-设备-配置-22 要 求 内 容 ：对于具备TCP/UDP协议功能的WLAN，设备应根据业务需要，配置基于源IP地址、通 信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。 安全性分析： 47WLAN设备安全配置规范v 2.3IP协议安全要求 操作指南 ： 配置拒绝PC所对应IP地址对被测设备访问的策略 rule jujue deny ip 19.

28、1.1.2 55 0 55 filter-policy test filter-rule jujue ip-pool sta alloc-mode localdhcp max-lease 120000 default-router ipaddress available-interface port 0-4 filter-policy test 检测方法： 通过pc向被测设备系统发起telnet以及其他连接请求，查看请求是否被拒绝 48WLAN设备安全配置规

29、范v 2.3IP协议安全要求 编 号：安全要求-设备-配置-23 要 求 内 容 ：对于通过IP协议进行远程维护的WLAN，应使用HTTPS、SSH等加密协议进行远程维 护。 安全性分析： 操作指南 ： 使用https方式登录被测设备，确认可以使用https方式进行管理； 检测方法： 通过https方式登陆管理设备 49WLAN设备安全配置规范v 2.3IP协议安全要求 编 号：安全要求-设备-配置-24 要 求 内 容 ：对于通过IP协议进行远程维护的WLAN，应设定允许登录到该设备的IP地址范围。 安全性分析： 操作指南 ： 1、在接入平台上配置以下命令，允许25 和

30、6的ip访问AC的接入平台： telnet control telnet allowed-ip telnet allowed-ip 2、同时配置 rule deny deny tcp 5 55 23 rule all permit ip 5 55 filter-policy deny filt

31、er-rule deny filter-rule all access-list-local filter-policy bound deny 50WLAN设备安全配置规范v 2.3IP协议安全要求 检测方法： 利用允许和未允许的ip登陆设备，查看是否能登陆成功 51WLAN设备安全配置规范v 2.4设备其他安全要求 编 号：安全要求-设备-配置-27 要 求 内 容 ：对于具备字符交互界面的WLAN，应配置定时账户自动登出。 安全性分析： 操作指南 ： #telnet timeout 60 (单位是秒) 检测方法： 登陆设备，持续60秒不进行任何操作 ，查看账号是否已经自动登出系统 52WL

32、AN设备安全配置规范v 2.4设备其他安全要求 编 号：安全要求-设备-配置-28 要 求 内 容 ：对于具备图形界面（含WEB界面）的WLAN，应配置定时自动屏幕锁定。 安全性分析： 操作指南 ： 利用超级管理员账号登陆，打开账户管理/用户组管理，进入的页面可以看到空闲超时的设置项 检测方法： 登陆后不做任何操作，等待锁屏，锁屏后，需要进行身份认证才能解除锁屏 53WLAN设备安全配置规范v 2.4设备其他安全要求 编 号：安全要求-设备-配置-29 要 求 内 容 ：对于具备console口的WLAN，应配置console口密码保护功能。 安全性分析： 操作指南 ： 1、local-use

33、r username Bnas$% password Bnas$% 2、在pc上打开针对console口的操作界面，系统要求进行密码认证 检测方法： 用console口登陆,查看是否需要密码 54WLAN设备安全配置规范v 大纲 1.WLAN设备应用安全管理 2.WLAN设备通用安全功能和配置要求 3. WLAN设备安全功能和配置要求 3.1AC安全要求 4.WLAN安全配置基线实用案例 55WLAN设备安全配置规范v 3. WLAN设备安全功能和配 置要求 如下WLAN设备安全功能和配置要求与专项要求不冲突，WLAN 设备应在满足专项要求基础上，符合WLAN设备安全功能和配置要求。 56WL

34、AN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-34 要 求 内 容 ：无线控制器应配置无线客户端隔离功能 安全性分析： 操作指南 ： 进入AC的web页面，打开无线参数无线参数高级配置，选择隔离单播 57WLAN设备安全配置规范v 3.1AC安全要求 检测方法： 两个用户拿到地址后互ping，查看能否ping通 58WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-35 要 求 内 容 ：无线控制器应配置无线拒绝服务攻击检测功能 安全性分析： 操作指南 ： 1、在AC页面无线安全/入侵检测设置将各检测开关开启（阀值和时间设置由实际应用而定

35、）。 2、在ap上查看以上参数配置是否下发到ap上，使用攻击软件向ap发起攻击。 59WLAN设备安全配置规范v 3.1AC安全要求 检测方法： 在AC页面日志/入侵检测日志处应该可以看到ap上报的攻击信息。 60WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-36 要 求 内 容 ：无线控制器应配置MAC与AP的绑定功能。 安全性分析： 操作指南 ： 1、配置地址池 ip-pool TEST ipaddress alloc-mode localdhcp default-router option-60

36、 enterprise-code 18603 max-lease 900 option-60 ac-manage-ip 09 option-43 ip-list 09 available-interface port 4 2、查看ap获取的ip并输入指令 # ip dhcp mac-bind-ip 61WLAN设备安全配置规范v 3.1AC安全要求 检测方法： 拔掉ap与AC之间接的网线，同时在AC上release掉ap的ip，再次插上ap与AC之间的网线，查看ap获 取的ip 62WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全

37、要求-设备-配置-37 要 求 内 容 ：无线控制器应配置DNS安全检测功能。 安全性分析： 操作指南 ： 1、 在AC上配置用户的过滤规则。只允许访问ip为的dns服务器。 rule dns1 permit udp 55 53 2、和portal过滤规则rule portal permit ip 0 55 一起应用到过滤策略dns1中 filter-policy dns1 filter-rule dns1 filter-rul

38、e portal 63WLAN设备安全配置规范v 3.1AC安全要求 操作指南 ： 3、在用户地址池中应该该过滤策略 ip-pool sta5 ipaddress alloc-mode localdhcp max-lease 600 available-interface port 0-4 default-router filter-policy dns1 64WLAN设备安全配置规范v 3.1AC安全要求 检测方法： 用户获取该地址池地址，并进行web认证，在弹portal时用户过滤抓取dns报文。 65WLAN设备安全配置规范

39、v 3.1AC安全要求 编 号：安全要求-设备-配置-38 要 求 内 容 ：无线控制器应配置DHCP FLOOD攻击检测功能。 安全性分析： 操作指南 ： 1、PC机处抓取用户在AC上获取地址的dhcp请求报文。 2、由报文可知接入端口和接入vlan可以使用基于端口+vlan的控制。 up-limit port-vlan port 0 cvlan 900 3 （对于0口接入vlan为900的数据包每秒只能上传3个，若不 到vlan上来的话，直接可以配置为up-limit port-vlan port 0 3） 3、在接入平台上使用命令show rmios up-limit-statis po

40、rt-vlan port 0 cvlan 900查看数据包上传 丢弃情况。 4、对于目的端口和源端口都固定的情况，可以使用命令： up-limit udp port 67 3 both up-limit udp port 68 3 both （由于dhcp报文的源和目的端口都为68和67） 5、用台PC机直连到AC上，用anysend工具向AC发送大量的dhcp请求包。 66WLAN设备安全配置规范v 3.1AC安全要求 检测方法： 在接入平台上用命令show rmios up-limit-statis unuserudp查看67和68口数据包的上传和丢弃情 况 67WLAN设备安全配置规范v

41、 3.1AC安全要求 编 号：安全要求-设备-配置-39 要 求 内 容 ：无线控制器应配置CAPWAP协议检测。 安全性分析： 操作指南 ： AC上正确配置AP信息：厂商，设备型号，硬件版本； 检测方法： AP连上AC,在AP和AC之间抓取报文； 在AC上配置错误的AP信息 68WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-40 要 求 内 容 ：无线控制器应配置检测STA提交的大量的DHCP 请求，防止AC的DHCP地址池耗光的 攻击。 安全性分析： 操作指南 ： 1、Sta在AC上获取地址，并抓取sta的dhcp请求报文。 2、该功能是通过上传流控来实现的

42、，在AC接入平台advance模式下配置语句。 up-limit ippooluser-packet otherall 1 3、在sta处用anysend向AC发送步骤1中抓取的dhcp请求报文，在接入平台上使用命令show rmios up-limit-statis ippool-user （sta ip）数据包显示情况。 4、若步骤1中数据包是带着vlan上来的，则可以根据端口和vlan来做限制，使用命令： up-limit port-vlan port 0 cvlan 900 2 （对0口上来的vlan为900的数据包进行限制每秒上传2个数 据包） 69WLAN设备安全配

43、置规范v 3.1AC安全要求 检测方法： 在AC上使用命令show rmios up-limit-statis port-vlan port 0 cvlan 900查看数据包上传丢包情况。 70WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-41 要 求 内 容 ：无线控制器应配置细化到IP的DNS访问控制策略。 安全性分析： 操作指南 ： 1、在AC上配置用户的过滤规则。只允许访问ip为的dns服务器。 rule dns1 permit udp 55 53 2、和portal

44、过滤规则rule portal permit ip 0 55 一起应用到过滤策略dns1中 filter-policy dns1 filter-rule dns1 filter-rule portal 3、在用户地址池中应该该过滤策略 ip-pool sta5 ipaddress alloc-mode localdhcp max-lease 600 available-interface port 0-4 default-router filter-p

45、olicy dns1 71WLAN设备安全配置规范v 3.1AC安全要求 检测方法： 用户获取该地址池地址，并进行web认证，在弹portal时用户过滤抓取dns报文 72WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-42 要 求 内 容 ：无线控制器应配置扩展型访问控制列表 安全性分析： 操作指南 ： 1、该功能是通过配置过滤策略来实现的。以下仅举例一些常用的过滤规则。 2、如在AC接入上配置命令，控制用户禁止访问AC的23端口别端口的都可以访问。 rule tcp deny tcp 23 rul

46、e all permit ip 3、将步骤2中的过滤规则应用到过滤策略deny中，并应用到用户地址池sta1中。 filter-policy deny filter-rule tcp filter-rule all 4、用户获取sta1地址池中的地址，并尝试连接AC的23端口，查看是否可以连接成功。 5、如在AC接入上配置命令，只允许用户访问ip为1的地址。 rule portal1 permit ip 1 55 6、将步骤5中的

47、过滤规则应用到过滤策略permit中，并应用到用户地址池sta2中。 filter-policy permit filter-rule portal 73WLAN设备安全配置规范v 3.1AC安全要求 检测方法： 用户获取sta2地址池中的地址，并尝试ping1的地址及ping用户自己的网关，查看是否 成功。 74WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-43 要 求 内 容 ：无线控制器应配置三/四层DoS防护功能。 安全性分析： 操作指南 ： 由于X-DOS攻击的源端口会一直在变，故只能通过以下命令来限制该上传报文： 在 接入平台a

48、dvance模式下配置： up-limit tcp 10 unuser （每秒钟非用户上传的tcp报文为10个，该处没有指定具体的tcp端口默认为 所有的tcp端口，不过dos攻击时，攻击的目的端口和源端口都可能在变，故该测试只能这样配置， 查看具体的上传报数使用该命令show rmios up-limit-statis unusertcp）但是做了该限制之后，别 的tcp功能几乎做不了了，都被该攻击给占满了 75WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-44 要 求 内 容 ：无线控制器应配置一定复杂度的SNMP Community String。 安全性

49、分析： 操作指南 ： 1、通过网管采集攻击如MG-Soft MIB Browser将读口令节点znCap和写口令节点znCap的值设置为 想要设置的读写口令或在AC页面上配置具有一定复杂度的SNMP Community String。如下： 检测方法： 使用SNMP扫描软件IP Network Browser，输入之前在AC配置的Community String，尝试连接 已配置A 76WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-45 要 求 内 容 ：无线控制器应配置dhcp-discover 阀值, 防止因DHCP discover攻击造成的AP退服事 件

50、。 安全性分析： 操作指南 ： 1、使用ac(config)# advanced concurrency-redirect enable命令开启国人并发重定向功能。 2、使用ac(config)# advanced up-limit dhcp-discover 100命令限制国人对于dhcp-discover请求 的阀值。 77WLAN设备安全配置规范v 3.1AC安全要求 操作指南 ： 3、使用show running-config 命令查看并确认配置结果 4、观察cpu使用率的变化,如有下降则证明配置生效。 检测方法： 1、使用DHCP flood攻击工具发起大量的DHCP discove

51、r请求包。 2、观察AC下面的AP列表状态。 78WLAN设备安全配置规范v 3.1AC安全要求 编 号：安全要求-设备-配置-46 要 求 内 容 ：无线控制器应配置ARP阀值,防止因ARP广播风暴攻击造成WLAN业务系统大量AP退服。 安全性分析： 操作指南 ： 1、使用limit命令限制了,arp的请求门阀,解决了此问题。 Up-limit arp 80 2、在AC上静态绑定AP的MAC和IP地址对应关系,保持AC与AP的稳定通信,对于网络中的ARP请求一律拒绝。 配置建议: 配置拒绝ARP规则 mac access-list extended ARP-DENY-WIRELESS den

52、y any ff:ff:ff:ff:ff:ff/ff:ff:ff:ff:ff:ff type arp rule-precedence 10 permit any any type arp rule-precedence 15 permit any any rule-precedence 20 permit any any type ip rule-precedence 5000 在相应的WLAN策略中应用 wlan-acl 1 ARP-DENY-WIRELESS out 79WLAN设备安全配置规范v 3.1AC安全要求 检测方法： 在测试环境中发起大量的免费ARP的请求观察AC的下所管理AP

53、的状态变化。 80WLAN设备安全配置规范v 大纲 1.WLAN设备应用安全管理 2.WLAN设备通用安全功能和配置要求 3. WLAN设备安全功能和配置要求 4.WLAN安全配置基线实用案例 81WLAN设备安全配置规范v 基线实用案例 1 portalserver portalserver 40 external url-head 40 external url-head http:/40/wlan/index.php40/wlan/index.php rule dns permit udp

54、 0 rule dns permit udp 0 5 5 255.255.255 53255.255.255 53 rule dns permit udp 0 rule dns permit udp 0 4 4 255.255.255 53255.255.255 53 ip dhcp active ip dhcp active ip dhcp server 10.1

55、20.255.4 ip dhcp server wireless ssid-match-domain enable wireless ssid-match-domain enable portal-bind-type portal-bind-type domaindomain ip-pool ip-pool STASTA ipaddress ipaddress alloc-mode localdhcp alloc-mode localdhcp default-router default-router max-lease 7200 max-lease 7200 available-interface port 1 available-interface port 1 dns-server 4 5 dns-server 4 5 service-policy service-policy dnsdns 82WLAN设备安全配置规范v 基线实用案例 2