华为WLAN配置攻击检测功能示例

news2024/12/23 13:20:44

华为WLAN配置攻击检测功能示例

组网图形

图1 配置攻击检测功能组网图

  • 配置流程
  • 组网需求
  • 配置思路
  • 配置注意事项
  • 操作步骤
  • 配置文件

配置流程

WLAN不同的特性和功能需要在不同类型的模板下进行配置和维护,这些模板统称为WLAN模板,如域管理模板、射频模板、VAP模板、AP系统模板、AP有线口模板、WIDS模板。当用户在配置WLAN业务功能时,需要在对应功能的WLAN模板中进行参数配置,配置完成后,须将此模板引用到AP组或AP中,配置才会自动下发到RU,进而配置的功能在RU上生效。由于模板之间是存在相互引用关系的,因此在用户配置过程中,需要提前了解各个模板之间存在的逻辑关系。模板的逻辑关系和基本配置流程请参见WLAN业务配置流程

组网需求

如图1所示,中心AP直接与RU连接,企业部署了WLAN基本业务实现移动办公。为了保障网络的稳定和安全,预防泛洪攻击和暴力破解PSK密钥攻击,可以配置攻击检测和动态黑名单。通过将检测到的攻击设备加入动态黑名单,丢弃攻击设备的报文,阻止攻击行为。

配置思路
  1. 配置WLAN基本业务,实现STA可以正常接入WLAN网络。
  2. 配置WPA2-PSK认证方式的防暴力破解密钥攻击检测和泛洪攻击检测功能,可以检测到发起攻击的设备信息。
  3. 配置动态黑名单功能,可以将发起攻击的设备信息加入动态黑名单,在配置的老化时间内,拒绝接收其发送的报文。

下面以在2.4G射频上配置攻击检测功能为例,5G射频上的配置与2.4G射频上的配置类似。

表1 数据规划表

配置项

数据

DHCP服务器

中心AP作为DHCP服务器为STA和RU分配IP地址

RU的IP地址池

10.23.100.2~10.23.100.254/24

STA的IP地址池

10.23.101.2~10.23.101.254/24

AP组

  • 名称:ap-group1
  • 引用模板:VAP模板wlan-vap、域管理模板domain1、WIDS模板wlan-wids
  • AP组射频0的攻击检测类型:WPA2-PSK认证方式的暴力破解密钥攻击检测、泛洪攻击检测

域管理模板

  • 名称:domain1
  • 国家码:CN

SSID模板

  • 名称:wlan-ssid
  • SSID名称:wlan-net

安全模板

  • 名称:wlan-security
  • 安全策略:WPA2-PSK-AES
  • 密码:a1234567

VAP模板

  • 名称:wlan-vap
  • 业务VLAN:VLAN101
  • 引用模板:SSID模板wlan-ssid、安全模板wlan-security

WIDS模板

  • 名称:wlan-wids
  • 暴力破解密钥攻击检测周期:70秒
  • 暴力破解密钥攻击检测的静默时间:700秒
  • 暴力破解密钥攻击检测周期内允许密钥错误的次数:25
  • 泛洪攻击检测周期:70秒
  • 泛洪攻击检测的静默时间:700秒
  • 泛洪攻击检测阈值 :350
  • 动态黑名单功能:开启

AP系统模板

  • 名称:wlan-system
  • 动态黑名单老化时间:200秒

配置注意事项

建议在与RU直连的设备接口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内形成大量不必要的广播报文,导致网络阻塞,影响用户体验。

操作步骤
  1. 配置中心AP,使RU与中心AP之间能够传输CAPWAP报文

    # 配置中心AP,将接口GE0/0/1加入VLAN100(管理VLAN)。
    
    <HUAWEI> system-view
    [HUAWEI] sysname AP
    [AP] vlan batch 100 101
    [AP] interface gigabitethernet 0/0/1
    [AP-GigabitEthernet0/0/1] port link-type trunk
    [AP-GigabitEthernet0/0/1] port trunk pvid vlan 100
    [AP-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
    [AP-GigabitEthernet0/0/1] quit

  2. 配置中心AP与上层网络设备互通

    根据实际组网情况在中心AP上行口配置业务VLAN透传,和上行网络设备互通。
    
    # 配置中心AP上行接口GE0/0/24加入VLAN101(业务VLAN)。
    
    [AP] interface gigabitethernet 0/0/24
    [AP-GigabitEthernet0/0/24] port link-type trunk
    [AP-GigabitEthernet0/0/24] port trunk allow-pass vlan 101
    [AP-GigabitEthernet0/0/24] quit

  3. 配置中心AP作为DHCP服务器,为STA和RU分配IP地址

    # 配置基于接口地址池的DHCP服务器,其中,VLANIF100接口为RU提供IP地址,VLANIF101为STA提供IP地址。
    
    DNS服务器地址请根据实际需要配置。常用配置方法如下:
    接口地址池场景,需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
    全局地址池场景,需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。
    [AP] dhcp enable
    [AP] interface vlanif 100
    [AP-Vlanif100] ip address 10.23.100.1 24
    [AP-Vlanif100] dhcp select interface
    [AP-Vlanif100] quit
    [AP] interface vlanif 101
    [AP-Vlanif101] ip address 10.23.101.1 24
    [AP-Vlanif101] dhcp select interface
    [AP-Vlanif101] quit

  4. 配置RU上线

    # 创建AP组,用于将相同配置的RU都加入同一AP组中。
    
    [AP] wlan
    [AP-wlan-view] ap-group name ap-group1
    [AP-wlan-ap-group-ap-group1] quit
    # 创建域管理模板,在域管理模板下配置中心AP的国家码并在AP组下引用域管理模板。
    
    [AP-wlan-view] regulatory-domain-profile name domain1
    [AP-wlan-regulate-domain-domain1] country-code cn
    [AP-wlan-regulate-domain-domain1] quit
    [AP-wlan-view] ap-group name ap-group1
    [AP-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu e?[Y/N]:y  
    [AP-wlan-ap-group-ap-group1] quit
    [AP-wlan-view] quit
    # 配置中心AP上RU的管理VLAN。
    [AP] management-vlan 100
    # 在中心AP上离线导入RU,并将RU加入AP组“ap-group1”中。假设RU的MAC地址为60de-4476-e360,并且根据RU的部署位置为RU配置名称,便于从名称上就能够了解RU的部署位置。例如MAC地址为60de-4476-e360的RU部署在1号区域,命名此RU为area_1。
    ap auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap auth-mode mac-auth。
    
    举例中使用的RU为R240D,具有射频0和射频1两个射频。R240D的射频0为2.4GHz射频,射频1为5GHz射频。
    
    [AP] wlan
    [AP-wlan-view] ap auth-mode mac-auth
    [AP-wlan-view] ap-id 1 ap-mac 60de-4476-e360
    [AP-wlan-ap-1] ap-name area_1
    [AP-wlan-ap-1] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y  
    [AP-wlan-ap-1] quit
    # 将RU上电后,当执行命令display ap all查看到RU的“State”字段为“nor”时,表示RU正常上线。
    
    [AP-wlan-view] display ap all
    Total AP information:  
    nor  : normal          [1]  
    Extra information:  
    P  : insufficient power supply  
    ----------------------------------------------------------------------------------------------------  
    ID   MAC            Name   Group     IP            Type                State STA Uptime      ExtraInfo  
    ----------------------------------------------------------------------------------------------------  
    1    00e0-fc76-e360 area_1 ap-group1 10.23.100.254 R240D               nor   0   10S         -  
    ----------------------------------------------------------------------------------------------------  
    Total: 1

  5. 配置攻击检测功能

    # 开启WPA2-PSK认证方式的暴力破解密钥攻击检测功能和泛洪攻击检测功能。
    
    [AP-wlan-view] ap-group name ap-group1
    [AP-wlan-ap-group-ap-group1] radio 0
    [AP-wlan-group-radio-ap-group1/0] wids attack detect enable wpa2-psk
    [AP-wlan-group-radio-ap-group1/0] wids attack detect enable flood
    [AP-wlan-group-radio-ap-group1/0] quit
    [AP-wlan-ap-group-ap-group1] quit
    # 创建名为“wlan-wids”的WIDS模板。
    
    [AP-wlan-view] wids-profile name wlan-wids
    # 配置WPA2-PSK认证方式的暴力破解密钥攻击检测的检测周期为70秒,检测周期内允许密钥错误的次数为25次,静默时间为700秒。
    
    [AP-wlan-wids-prof-wlan-wids] brute-force-detect interval 70
    [AP-wlan-wids-prof-wlan-wids] brute-force-detect threshold 25
    [AP-wlan-wids-prof-wlan-wids] brute-force-detect quiet-time 700
    # 配置泛洪攻击检测的检测周期为70秒,泛洪攻击检测阈值为350个,静默时间为700秒。
    
    [AP-wlan-wids-prof-wlan-wids] flood-detect interval 70
    [AP-wlan-wids-prof-wlan-wids] flood-detect threshold 350
    [AP-wlan-wids-prof-wlan-wids] flood-detect quiet-time 700
    # 使能动态黑名单功能。
    
    [AP-wlan-wids-prof-wlan-wids] dynamic-blacklist enable
    [AP-wlan-wids-prof-wlan-wids] quit
    # 创建名为“wlan-system”的AP系统模板,配置动态黑名单老化时间为200秒。
    
    [AP-wlan-view] ap-system-profile name wlan-system
    [AP-wlan-ap-system-prof-wlan-system] dynamic-blacklist aging-time 200
    [AP-wlan-ap-system-prof-wlan-system] quit

  6. 配置WLAN业务参数

    # 创建名为“wlan-security”的安全模板,并配置安全策略。
    
    [AP-wlan-view] security-profile name wlan-security
    [AP-wlan-sec-prof-wlan-security] security wpa2 psk pass-phrase a1234567 aes
    [AP-wlan-sec-prof-wlan-security] quit
    # 创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“wlan-net”。
    
    [AP-wlan-view] ssid-profile name wlan-ssid
    [AP-wlan-ssid-prof-wlan-ssid] ssid wlan-net
    [AP-wlan-ssid-prof-wlan-ssid] quit
    # 创建名为“wlan-vap”的VAP模板,配置业务VLAN,并且引用安全模板和SSID模板。
    
    [AP-wlan-view] vap-profile name wlan-vap
    [AP-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101
    [AP-wlan-vap-prof-wlan-vap] security-profile wlan-security
    [AP-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
    [AP-wlan-vap-prof-wlan-vap] quit
    # 配置AP组引用VAP模板“wlan-vap”、WIDS模板“wlan-wids”和AP系统模板“wlan-system”。
    
    [AP-wlan-view] ap-group name ap-group1
    [AP-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0
    [AP-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1
    [AP-wlan-ap-group-ap-group1] wids-profile wlan-wids
    [AP-wlan-ap-group-ap-group1] ap-system-profile wlan-system
    [AP-wlan-ap-group-ap-group1] quit

  7. 验证配置结果

    配置完成后,当有其他设备对WLAN网络进行攻击时,通过display wlan ids attack-detected all命令,可以查看到检测到的攻击设备。
    
    [AP-wlan-view] display wlan ids attack-detected all
    #AP: Number of monitor APs that have detected the device
    AT: Last detected attack type
    CH: Channel number
    act: Action frame            asr: Association request
    aur: Authentication request  daf: Deauthentication frame
    dar: Disassociation request  wiv: Weak IV detected
    pbr: Probe request           rar: Reassociation request
    eaps: EAPOL start frame      eapl: EAPOL logoff frame
    saf: Spoofed disassociation frame
    sdf: Spoofed deauthentication frame
    otsf: Other types of spoofing frames
    -------------------------------------------------------------------------------
    MAC address     AT     CH   RSSI(dBm)  Last detected time     #AP
    -------------------------------------------------------------------------------
    000b-c002-9c81  pbr    165  -87        2014-11-20/15:51:13    1
    0024-2376-03e9  pbr    165  -84        2014-11-20/15:51:13    1
    0046-4b74-691f  act    165  -67        2014-11-20/15:51:13    1
    -------------------------------------------------------------------------------
    Total: 3, printed: 3
    通过display wlan dynamic-blacklist all命令,可以查看加入动态黑名单的攻击设备。
    
    [AP-wlan-view] display wlan dynamic-blacklist all
    #AP: Number of monitor APs that have detected the device
    act: Action frame            asr: Association request
    aur: Authentication request  daf: Deauthentication frame
    dar: Disassociation request  eapl: EAPOL logoff frame
    pbr: Probe request           rar: Reassociation request
    eaps: EAPOL start frame
    -------------------------------------------------------------------------------
    MAC address       Last detected time    Reason   #AP
    -------------------------------------------------------------------------------
    000b-c002-9c81    2014-11-20/16:15:53   pbr      1   
    0024-2376-03e9    2014-11-20/16:15:53   pbr      1   
    0046-4b74-691f    2014-11-20/16:15:53   act      1   
    -------------------------------------------------------------------------------
    Total: 3, printed: 3

配置文件
中心AP的配置文件

#
 sysname AP
#
vlan batch 100 to 101
#
dhcp enable
#
interface Vlanif100
 ip address 10.23.100.1 255.255.255.0
 dhcp select interface
#
interface Vlanif101
 ip address 10.23.101.1 255.255.255.0
 dhcp select interface
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 101
#
management-vlan 100
#
wlan
 security-profile name wlan-security
  security wpa2 psk pass-phrase %^%#4R-.UpLuaWW`dGKS3R':Hg.h4g.hh:ygc7*P$q("%^%# aes
 ssid-profile name wlan-ssid
  ssid wlan-net
 vap-profile name wlan-vap
  service-vlan vlan-id 101
  ssid-profile wlan-ssid
  security-profile wlan-security
 regulatory-domain-profile name domain1
 wids-profile name wlan-wids
  flood-detect interval 70
  flood-detect threshold 350
  flood-detect quiet-time 700
  brute-force-detect interval 70
  brute-force-detect threshold 25
  brute-force-detect quiet-time 700
  dynamic-blacklist enable
 ap-system-profile name wlan-system
  dynamic-blacklist aging-time 200
 ap-group name ap-group1
  ap-system-profile wlan-system
  regulatory-domain-profile domain1
  wids-profile wlan-wids
  radio 0
   vap-profile wlan-vap wlan 1
   wids attack detect enable flood 
   wids attack detect enable wpa2-psk
  radio 1
   vap-profile wlan-vap wlan 1
 ap-id 1 type-id 19 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
  ap-name area_1
  ap-group ap-group1
#
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1522252.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux使用git命令行教程

. 个人主页&#xff1a;晓风飞 专栏&#xff1a;数据结构|Linux|C语言 路漫漫其修远兮&#xff0c;吾将上下而求索 文章目录 git安装git仓库的创建.git 文件添加文件git 三板斧(add,commit,push)解释拓展git log.gitignore git安装 首先输入git --version看看有没有安装git 如…

力扣每日一题 矩阵中移动的最大次数 DP

Problem: 2684. 矩阵中移动的最大次数 复杂度 ⏰ 时间复杂度: O ( n m ) O(nm) O(nm) &#x1f30e; 空间复杂度: O ( n m ) O(nm) O(nm) Code class Solution { public int maxMoves(int[][] grid){int n grid.length;int m grid[0].length;int[][] f new int[n][m]…

嵌入式硬件设计(一)|利用 NodeMCU-ESP8266 开发板和继电器结合APP“点灯•blinker”制作Wi-Fi智能开关(附有关硬件详细资料)

概述 本文主要讲述利用 NodeMCU-ESP8266 开发板和继电器通过手机 APP “ 点灯 • Blinker ” 制作一款能够由手机控制的WiFi 智能开关&#xff0c;从而实现智能物联。NodeMCU 是基于 Lua 的开源固件&#xff0c;ESP8266-NodeMCU是一个开源硬件开发板&#xff0c;支持WiFi功能&a…

SAP CAP篇十五:写个ERP的会计系统吧,Part II

本文目录 本系列文章目标开发步骤数据库表设计初始数据初始数据&#xff1a;AccountCategories初始数据&#xff1a;AccountUsages初始数据&#xff1a;ChartOfAccounts初始数据&#xff1a;AccountSubjects Service 定义生成Fiori AppApp运行 本系列文章 SAP CAP篇一: 快速创…

ABC345(A-C)

A - Leftrightarrow(100 points) 语法题&#xff0c;输入一个字符串&#xff0c;判断是否是&#xff1a;的样式&#xff0c;输入后只需判断是第一个和最后一个字符是否分别为">"和"<",再判断中间是否都是""即可。 #include<bits/stdc…

zookeeper快速入门二:zookeeper基本概念

本文是zookeeper系列之快速入门中的第二篇&#xff0c;欢迎大家观看与指出不足。 目录 一、zookeeper的存储结构 二、什么是znode 三、znode节点的四种类型 四、权限控制ACL&#xff08;Access Control List&#xff09; 五、事件监听watcher 一、zookeeper的存储结构 z…

消息队列思想学习(以及池化思想延展)

目录 消息队列的功能 消息中间件必备 池化思想以及弹性线程池的设计 弹性连接池 [核心参数&#xff1a;初始连接数&#xff0c;最大连接数&#xff0c;最大空闲时间] 弹性线程池 [核心参数&#xff1a;coreThreadCount, maxThreadCount] 引言&#xff1a;为啥要把消息队列…

C语言从入门到熟悉------第五阶段

结构体 结构体很重要&#xff0c;一定要掌握。但是在很多C语言书籍中结构体的内容讲得非常少&#xff0c;因为从结构体开始&#xff0c;后面介绍的内容已经超出C语言基础的范畴&#xff0c;属于C高级编程部分了。仅仅具备前面的知识是远远不够的&#xff0c;因为在实际编程中&…

用 Visual Studio 调试器中查看内存中图像

返回目录&#xff1a;OpenCV系列文章目录&#xff08;持续更新中......&#xff09; 前一篇&#xff1a;OpenCV4.9.0在windows系统下的安装 后一篇&#xff1a; ​警告 本教程可以包含过时的信息。 Image Watch 是 Microsoft Visual Studio 的插件&#xff0c;可用于在调…

鸿蒙Harmony应用开发—ArkTS声明式开发(基础手势:Rating)

提供在给定范围内选择评分的组件。 说明&#xff1a; 该组件从API Version 7开始支持。后续版本如有新增内容&#xff0c;则采用上角标单独标记该内容的起始版本。 子组件 无 接口 Rating(options?: { rating: number, indicator?: boolean }) 从API version 9开始&#…

linux源配置:ubuntu、centos

1、ubuntu源配置 1&#xff09;先查电脑版本型号: lsb_release -c2&#xff09;再编辑源更新&#xff0c;源要与上面型号对应 参考&#xff1a;https://midoq.github.io/2022/05/30/Ubuntu20-04%E6%9B%B4%E6%8D%A2%E5%9B%BD%E5%86%85%E9%95%9C%E5%83%8F%E6%BA%90/ /etc/apt/…

海外直播带货对直播网络的要求

海外直播带货已成为电商领域的热门趋势&#xff0c;吸引了越来越多的品牌和商家参与。然而&#xff0c;要实现成功的海外直播带货&#xff0c;稳定、高效的直播网络是至关重要的。以下是海外直播带货对直播网络的主要要求&#xff1a; 1、稳定的网络连接&#xff1a; 海外直播带…

业务场景解析——如何执行重要的批次任务

业务场景解析之——如何执行批次重要的任务 前言一、流程时序二、并发设计 前言 这次业务场景上需要跑一批任务识别任务&#xff0c;而每个具体任务识别都比较重要&#xff0c;需要调用外部接口进行计费&#xff0c;而量又比较大&#xff0c;这就要求这个任务是比较稳定安全的。…

macbook删除软件只需几次点击即可彻底完成?macbook删除软件没有叉 苹果笔记本MacBook电脑怎么卸载软件? cleanmymac x怎么卸载

在MacBook的使用过程中&#xff0c;软件安装和卸载是我们经常需要进行的操作。然而&#xff0c;不少用户在尝试删除不再需要的软件时&#xff0c;常常发现这个过程既复杂又耗时。尽管MacOS提供了一些基本的macbook删除软件方法&#xff0c;但很多时候这些方法并不能彻底卸载软件…

实验室管理系统 |基于springboot框架+ Mysql+JSP技术+Tomcat的实验室管理系统 设计与实现(可运行源码+数据库+设计文档)

推荐阅读100套最新项目 最新ssmjava项目文档视频演示可运行源码分享 最新jspjava项目文档视频演示可运行源码分享 最新Spring Boot项目文档视频演示可运行源码分享 目录 用户后台功能模块 用户后台管理 管理员功能登录前台功能效果图 系统功能设计 数据库E-R图设计 lunw…

怎么利用视频截取gif?三步在线转换gif

在当今的社交媒体和网络世界中&#xff0c;GIF图像已经成为了一种非常受欢迎的表达方式。它们以简洁、循环播放的形式&#xff0c;能够生动地展示一系列图像的变化。你可能好奇&#xff0c;如何从视频中提取GIF图呢&#xff1f;很简单&#xff0c;使用视频转gif工具手机、pc均可…

爱发电开发者Webhook URL如何配置并且成功返回响应

Webhook URL 爱发电提供了webhook和api两种方式为开发者提供便利。 webhook功能需要配置好url&#xff0c;每当有订单时&#xff0c;会请求配置的url&#xff1b;API功能需要开发者通过token生成sign签名&#xff0c;主动请求接口查询历史订单 Webhook URL&#xff08;用来被…

pta-猜帽子游戏

宝宝们在一起玩一个猜帽子游戏。每人头上被扣了一顶帽子&#xff0c;有的是黑色的&#xff0c;有的是黄色的。每个人可以看到别人头上的帽子&#xff0c;但是看不到自己的。游戏开始后&#xff0c;每个人可以猜自己头上的帽子是什么颜色&#xff0c;或者可以弃权不猜。如果没有…

鸿蒙Harmony应用开发—ArkTS声明式开发(容器组件:Row)

沿水平方向布局容器。 说明&#xff1a; 该组件从API Version 7开始支持。后续版本如有新增内容&#xff0c;则采用上角标单独标记该内容的起始版本。 子组件 可以包含子组件。 接口 Row(value?:{space?: number | string }) 从API version 9开始&#xff0c;该接口支持在…

Rust写一个wasm入门并在rspack和vite项目中使用(一)

rust打包wasm文档 文档地址 安装cargo-generate cargo install cargo-generate 安装过程中有问题的话手动安装cargo-generate下载地址 根据自己的系统下载压缩包&#xff0c;然后解压到用户/.cargo/bind目录下&#xff0c;将解压后的文件放到该目录下即可。 创建wasm项目 …