设为首页   锐捷官网
用其他帐号登录:
查看: 1307|回复: 0

AP反制功能

[复制链接]

25

主题

25

帖子

152

积分

版主

Rank: 7Rank: 7Rank: 7

积分
152
发表于 2016-1-9 19:37:58 | 显示全部楼层 |阅读模式
本帖 * 后由 浪天涯星仔 于 2016-1-9 19:37 编辑

功能介绍:
一般在无线网络中设备分为两种类型:非法设备(Rogue 设备)和合法设备。Rogue设备可能存在安全漏洞或被攻击者操纵,因此会对用户网络的安全造成严重威胁或危害。在AP上开启反制功能可以对这些设备进行攻击使其他无线终端无法关联到Rogue设备。
适用场景说明
在无线环境中还有其他的AP在工作,而又不想因为其他未知无线AP影响无线网络的安全性和稳定性,那么可以使用该方案。其他无线设备可能存在安全漏洞或被攻击者操纵,因此会对用户网络的安全造成严重威胁或危害。使用该方案后可以让那些未知的AP不能使用无线网络。
优点:增加无线网络的安全性和稳定性
缺点:消耗无线设备的运行资源,需要增加额外的配置。
一、组网需求
无线设备环境里出现流氓AP,开启无线反制功能使流氓AP不能使用无线网络

二、组网拓扑
    QQ截图20160105025454.png
三、配置要点
1、配置AP工作模式
2、启用反制功能

四、配置步骤

1、配置AP工作模式为monitor或hybird
AC(config)# ap-config ap220-e
AC(ap-config)# device mode hybrid 或者AC(ap-config)# device mode monitor
注:monitor模式为AP不提供无线热点功能,只做检测使用;hybrid模式为AP即提供检测功能又提供无线热点功能,性能会根据检测间隔受到一定影响
2、配置反制及静态攻击列表
1)1B18及之前的版本, * 配置命令:
AC (config)#wids        ----->进入wids模式
AC (config-wids)#countermeasures enable        ----->开启反制
AC (config-wids)#countermeasures mode config        ----->反制模式为config
AC (config-wids)#device attack mac-address 061b.b120.700c        ----->添加静态攻击列表, 061b.b120.700c为非法AP的BSSID,通过wirelessMon等无线扫描可以获取到流氓AP的BSSID
2)1B19版本, * 配置命令:
AC (config)#ap-config AP220-I  ----->进入AP模式
AC (config-ap)#countermeasure enable   ----->开启反制
AC (config-ap)#countermeasures mode  config  ----->反制模式为config,
AC (config)#wids        ----->进入wids模式
AC (config-wids)#device attack mac-address 061b.b120.700c  ----->添加静态攻击列表, 061b.b120.700c为非法AP的BSSID,通过wirelessMon等无线扫描可以获取到流氓AP的BSSID
3)11.X版本【必须关联某个SSID】
AC(config)#wlan-config 5 monitor   ----->配置wlan用于反制AP发出BSSID
AC(config-wlan)#no enable-broad-ssid  ----->隐藏SSID,只用于反制
AC(config)#ap-group fanzhi   ----->配置ap-group用于反制AP调用
AC(config-group)#interface-mapping 5 1   ----->配置SSID与vlan关联,该SSID只用于AP发出BSSID,因此vlan可以随意选择
AC (config)#ap-config AP220-I  ----->进入AP模式
AC(config-ap)#device mode monitor --->把AP调整成monitor模式。只有在monitor和 hybrid}状态的AP才支持反制,默认是normal
AC(config-ap)#ap-group fanzhi   --->11.X的设备射频卡必须调用ap-group,让AP发出信号。可以把该信号配置成隐藏SSID
AC(config-ap)#exit
AC (config)#wids        ----->进入wids模式
AC (config-wids)#countermeasure enable   ----->开启反制
AC (config-wids)#countermeasures mode  config  ----->反制模式为config,
AC (config-wids)#device attack mac-address 061b.b120.700c  ----->添加静态攻击列表, 061b.b120.700c为非法AP的BSSID,通过wirelessMon等无线扫描可以获取到流氓AP的BSSID

反制模式解释:
SSID    Countermeasures mode SSID information 反制和该AC发出相同的SSID的AP
adhoc   Countermeasures mode adhoc information 反制热点网络(Adhoc需要用手机创建,电脑创建的可以检测到但无法反制)
config  Countermeasures mode config information 反制手动配置的攻击列表中的AP
rogue   Countermeasures mode rogue information 反制不在合法AP列表中的所有检测到的AP(show wids detected rogue ap查看),环境中含较多第三方AP时,建议采用SSID模式。
可选配置:(反制不生效或者效果不好时可以配置调试)
1、基于信道反制(广播反制)。
Ruijie#configure terminal
Ruijie(config)#wids
Ruijie(config-wids)#countermeasures channel-match ----->配置基于信道反制模式,AP能够在每个信道上去反制,需要先配置countermeasures enable
Ruijie(config-wids)#exit
Ruijie(config)#ap-config 001a.a94e.d529----->进入到反制AP中
Ruijie#(config-ap)#scan-channels 802.11b channels 1 2 3 4 5 6 7 8 9 10 11 12 13  --->需要反制的信道
Ruijie#(config-ap)#scan-channels 802.11a channels 149 153 157 161 165  --->需要反制的信道
2、未知名STA检测功能(单播反制)。
Ruijie#configure terminal
Ruijie(config)#wids
Ruijie(config-wids)#device unknown-sta dynamic-enable ----->未知名STA检测功能开启,需要先开启反制功能和配置反制模式
Ruijie(config-wids)#device unknown-sta mac-address 1234.1234.1234----->手动配置未知名STA名单
3、配置允许设备。
Ruijie#configure terminal
Ruijie(config)#wids
Ruijie(config-wids)# device permit mac-address 1234.1234.1236----->配置1234.1234.1236到允许MAC表项
Ruijie(config-wids)# device permit mac-address 1234.1234.1236----->配置1234.1234.1236到允许MAC表项
Ruijie(config-wids)# device permit ssid test----->配置test到允许ssid表项
Ruijie(config-wids)# device permit vendor bssid 1234.1234.1236----->配置1234.1234.1236到允许产商表项,允许产商表项的前三位地址才有效
   4、配置配置 Rogue 设备反制参数
Ruijie#configure terminal
Ruijie(config)#wids
Ruijie(config-wids)#countermeasures interval 2000-----> 配置Rogue 设备反制周期为2000ms
Ruijie(config-wids)#countermeasures ap-max 256   --->配置每次反制周期反制的设备 * 数量,默认为 30,可配置范围 1~256
Ruijie(config-wids)#countermeasures rssi-min 5   --->反制阈值,这个值很低,基本上会将周围的其他非我司设备都反制,这个值建议不要太小
Ruijie(config-wids)#device detected-ap-max 100   --->配置扫描 AP 检测链表 * 个数,默认2048.配置值越小会导致 AP上检测的数据过少,设备反制功能可能会由于检测数据太少,反制效果不明显,配置值越大,需要占用更多的内存。
   Ruijie(config-wids)#device aging duration 1000  --->配置检测设备超时时间,默认 1200s,可配置范围 500~5000s
五、配置验证
无线用户连接到流氓AP,确认是否会出现掉线或者丢包等现象。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则