WX系列Rogue AP的检测和反制
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WX系列Rogue AP的检测和反制
一、组网需求
本配置举例中AC使用WX3024无线控制器,版本为3120p13。
AC作为AP 的网关(Vlan-int1:192.168.1.254/24),配置DHCP Server地址池为Fit AP分配IP地址,并作为STA的网关(Vlan-int10:192.168.10.254/24)配置DHCP Server 地址池为Client 分配IP地址。
AP的交换模板使能POE功能,为AP供电
二、配置步骤
一、AC侧配置
[WX3024]dis cu
#
version 5.20, Release 3120P13
#
sysname WX3024
#
domain default enable system
#
telnet server enable
#使能端口安全
port-security enable
#
oap management-ip 192.168.0.101 slot 0 #
password-recovery enable
#管理vlan
vlan 1
#业务vlan
vlan 10
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#AP注册地址池
dhcp server ip-pool pool-ap
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.254
#业务地址池
dhcp server ip-pool pool-client
network 192.168.10.0 mask 255.255.255.0
gateway-list 192.168.10.254
dns-list 8.8.8.8
#
user-group system
group-attribute allow-guest
#
local-user admin
password cipher $c$3$Rpm6XcShL5Ye3Uaq4F7d5RiMqjB7eI+Z authorization-attribute level 3
service-type telnet
#
wlan rrm
dot11a mandatory-rate 6 12 24
dot11a supported-rate 9 18 36 48 54
dot11b mandatory-rate 1 2
dot11b supported-rate 5.5 11
dot11g mandatory-rate 1 2 5.5 11
dot11g supported-rate 6 9 12 18 24 36 48 54 #配置无线服务模板
wlan service-template 1 clear
ssid www
bind WLAN-ESS 1
service-template enable
#
wlan ap-group default_group
ap ap1
ap ap2
ap ap3
#
interface NULL0
#
interface Vlan-interface1
ip address 192.168.1.254 255.255.255.0
#
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
#
interface GigabitEthernet1/0/1
#设置无线虚接口
interface WLAN-ESS1
port access vlan 10
#创建AP管理模板
wlan ap ap1 model WA2612-AGN id 1 serial-id 210235A35WB09C000028 device-detection enable
radio 1
max-power 10
service-template 1
radio enable
#进入wlan ids视图进行相关配置wlan ids
countermeasures enable countermeasures mode all
device permit ssid IToIP
device permit ssid H3C-iMC-BYOD #使能dhcp
dhcp enable
#使能arp-snooping功能
arp-snooping enable
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
#
Return
二、配置关键点
1.使能AP的设备检测功能,既能提供接入服务,也能够进行非法AP检测:[AC-wlan-ap-ap] device-detection enable
2.在WLAN IDS视图下添加所允许的SSID/MAC/OUI列表
①基于SSID的Rogue AP检测
[AC-wlan-ids]device permit ssid h3c
②基于MAC的Rogue AP检测
[AC-wlan-ids]device permit mac-address H-H-H
③基于OUI的Rogue AP检测
[AC-wlan-ids]device permit vendor
3.攻击Rogue AP,先使能反制rogue设备的功能,再配置反制模式为all:[AC-wlan-ids] countermeasures enable
[AC-wlan-ids] countermeasures mode all
4.查看Rogue AP
[AC]display wlan ids detected all
三、结果验证
1.查看Rogue AP,发现SSID=IT o IP,SSID=H3C-Imc-BYOD为p,即permit AP。
2. [WX3024]display wlan ids attack-list all
查看WIDS的反制攻击列表,说明反制已被应用,由于测试连接的
SSID=H3C-MAC,认证模式属于open-system,故反制现象感知很低。
对于802.1x 认证等反制效果应该会更好些。
3.若AP开启了设备检测功能,即AC设备上连接的AP,则此AP发送的SSID 信号不会出现在Rogue AP检测列表中。
可以通过两个AP设置不同SSID都开启检测功能,通过查看Rogue AP检测列表,就能看见与AC相连AP发送的SSID信号,但是检测出此信号的设备是由对端AP检测到的。