2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇
2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇
author:leadlife
time:2022/3/11
知识星球:LeadlifeSec
技术交流群:775454947
在前面的篇章中,我们完成了 RS,FW,WAF,NETLOG 等安全设备配置,但仅缺无线 AC 与 AP 的配置过程,让我继续带领大家进入 WLAN 的题目,一步一步参悟与解析,望能对大家起到抛砖引玉的作用。
文章目录
WS DHCP 下发三层发现 AP 被动上线
涉及题目
WS上配置DHCP,管理VLAN为VLAN101,为AP下发管理地址,保证完成AP注册; 为无线用户VLAN10,20, 有线用户VLAN 30,40下发IP地址;
注意点
- AP 上需要配置 DHCP 服务,通过 Option 43 特殊字段下发
- RS 需要配置 DHCP 服务,为业务用户下发 IP 地址,同时做 DHCP 中继转发 WS DHCP 报文以 AP 被动发现
操作
WS 配置 DHCP 服务下发 IP
WS#config
WS(config)#service dhcp
WS(config)#ip dhcp pool AP
WS(dhcp-ap-config)#network-address 192.168.101.0 255.255.255.0
WS(dhcp-ap-config)#default-router 192.168.101.1
WS(dhcp-ap-config)#option 43 hex 0104C0A86401 `这里注意,是 AP 的 VLAN 100 管理地址 hex`
WS(dhcp-ap-config)#exit
WS(config)#ip dhcp pool 10
WS(dhcp-10-config)#network-address 172.16.10.0 255.255.255.0
WS(dhcp-10-config)#default-router 172.16.10.1
WS(dhcp-10-config)#exit
WS(config)#ip dhcp pool 20
WS(dhcp-20-config)#network-address 172.16.20.0 255.255.255.128
WS(dhcp-20-config)#default-router 172.16.20.1
WS(dhcp-20-config)#exit
WS(config)#ip dhcp pool 30
WS(dhcp-30-config)#network-address 172.16.30.0 255.255.255.192
WS(dhcp-30-config)#default-router 172.16.30.1
WS(dhcp-30-config)#exit
WS(config)#ip dhcp pool 40
WS(dhcp-40-config)#network-address 172.16.40.0 255.255.255.192
WS(dhcp-40-config)#default-router 172.16.40.1
WS(dhcp-40-config)#exit
WS(config)#ip forward-protocol udp bootps
RS 开启 DHCP 中继转发 DHCP 服务器 AC VLAN
CS6200-28X-EI(config)#service dhcp
CS6200-28X-EI(config)#ip forward-protocol udp bootps
CS6200-28X-EI(config)#int vlan 101
CS6200-28X-EI(config-if-vlan101)#ip helper-address 192.168.100.1
CS6200-28X-EI(config-if-vlan101)#exit
以上操作完毕后,AP 应当获取到 IP 地址,且 AC 与 AP 可通信
WS#show ip dhcp binding
Total dhcp binding items: 1, the matched: 1
IP address Hardware address Lease expiration Type
192.168.101.2 00-03-0F-82-2D-B0 Tue Jan 03 01:39:00 2006 Dynami
WS#ping 192.168.101.2
Sending 5 56-byte ICMP Echos to 192.168.101.2, timeout is 2 seconds.
!!!!!
WS 操刀 AP 三层被动上线
WS(config)#wireless
WS(config-wireless)#enable
WS(config-wireless)#no auto-ip-assign
WS(config-wireless)#static-ip 192.168.100.1
WS(config-wireless)#ap authentication none
WS(config-wireless)#discovery ip-list 192.168.101.2
WS(config-wireless)#ap database 00-03-0F-82-2D-B0
完成上述步骤后,AP 应当成功上线
WS#show wireless ap status
(*) Peer Managed IP Address Profile Status Status Age
------------------ --------------------------------------- ------- ------- ------------
00-03-0f-82-2d-b0 192.168.101.2 1 Managed Success 0d:00:00:04
WS WLAN SSID 与安全配置
涉及题型
在NETWORK下配置SSID,需求如下:
1:NETWORK 1下设置SSID ABC2021,VLAN10,加密模式为wpa-personal,其口令为ABCE2024;
2:NETWORK 2下设置SSID GUEST,VLAN20不进行认证加密,做相应配置隐藏该SSID;
注意点
- 加密模式需要注意
- NETWORK 2 需要注意,不进行加密认证,却隐藏
操作
(1)
WS(config-wireless)#network 1
WS(config-network)#ssid ABC2021
WS(config-network)#vlan 10
WS(config-network)#security mode wpa-personal
WS(config-network)#wpa key ABCE2024
(2)
WS(config-network)#network 2
WS(config-network)#ssid GUEST
WS(config-network)#vlan 20
WS(config-network)#hide-ssi
WS WLAN 本地认证
涉及题型
NETWORK 1开启内置portal+本地认证的认证方式,账号为ABC密码为ABCE2024;
注意点
- 开启内置 portal
- 开启本地认证
命令
code | explanation |
---|---|
captive-portal | 进入 WS 本地认证模块 |
authentication-type internal | 设置认证模式为内置认证(内置本地认证),需要注意,这里并非本地认证,可以当作一个登录模式 |
verification local | 配置为本地认证 |
group a | 给予绑定用户的用户组 |
interface ws-network 1 | 加入绑定无线节点 |
操作
WS(config)#captive-portal
WS(config-cp)#enable
WS(config-cp)#authentication-type internal
WS(config-cp)#user ABC
WS(config-cp-local-user)#password ABCE2024
WS(config-cp-local-user)#group a
WS(config-cp-local-user)#exit
WS(config-cp)#configuration 1
WS(config-cp-instance)#verification local
WS(config-cp-instance)#group a
WS(config-cp-instance)#interface ws-network 1
WS WLAN 接入控制-用户隔离
涉及题型
配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户,并对GUEST网络进行流控,上行1M,下行2M;配置所有无线接入用户相互隔离;
操作
WS(config-cp)#exit
WS(config)#wireless
WS(config-wireless)#network 2
WS(config-wireless)#max-clients 10
WS(config-network)#time-limit from 00:00 to 06:00 weekday all
WS(config-network)#qos max-bandwidth up 1024
WS(config-network)#qos max-bandwidth down 2048
WS(config-network)#exit
这里需要将无线的用户所处端口加入隔离组
WS(config-ap-profile)#station-isolation allowed vlan add 10
WS(config-ap-profile)#station-isolation allowed vlan add 20
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#station-isolation
WS WLAN AP 版本检测自动升级-延迟 AP 发送帧时间 -配置 AP 超时状态-AP 脱离 AC 情况自主工作
类似题型
配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为1秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时;配置AP在脱离AC管理时依然可以正常工作;
操作
检测 AP 版本不符自动升级操作
WS(config)#wireless
WS(config-wireless)#ap auto-upgrade
延迟 AP 发送帧时间操作
WS(config-wireless)#ap profile 1
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#beacon-interval 1000
操作 AP 超时状态-AP 脱离 AC 情况自主工作
WS(config-wireless)#wireless ap anti-flood agetime 120 `超时探测时间`
WS(config-wireless)#agetime ap-failure 2 `状态失败超时时间`
WS(config-wireless)#ap profile 1
WS(config-ap-profile)#ap ?
escape 开启或关闭AP 逃生模式
WS(config-ap-profile)#ap escape
WS(config-ap-profile)#ap escape client-persist
WS WALN 低于 num% 信号值禁止连接-AP 威胁探测
涉及题目
为防止外部人员蹭网,现需在设置信号值低于50%的终端禁止连接无线信号;为防止非法AP假冒合法SSID,开启AP威胁检测功能;
操作
操作低于阈值禁止链接
WS(config-wireless)#ap profile 1
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#client-reject rssi-threshold 50
WS(config-ap-profile-radio)#exit
WS(config-ap-profile)#exit
操作 AP 威胁探测
WS(config-wireless)#wids-security fakeman-ap-managed-ssid
WS(config-wireless)#wids-security ap-de-auth-attack
WS(config-wireless)#wids-security managed-ap-ssid-invalid
WS(config-wireless)#end
WS#wireless ap profile apply 1
关于这题,我建议这里全打上,多打不扣分
罕见赛题的总结
RS、WS运行静态组播路由和因特网组管理协议第二版本;PC1启用组播,使用VLC工具串流播放视频文件1.mpg,组地址228.10.10.7,端口:3456,实现PC2可以通过组播查看视频播放。
VLAN 40 RS ETH1/0/4 | 172.16.40.1/26 | PC2 |
---|---|---|
VLAN 30 WS ETH1/0/3 | 172.16.30.1/26 | PC1 |
操作
ip igmp snooping
ip igmp snooping vlan 100
ip igmp snooping vlan 100 static-group 228.10.10.5 source 192.168.100.1 interface e1/0/
RS(config)#ip igmp snooping vlan 100
RS(config)#ip igmp snooping vlan 100 l2-general-querier-version 2
版本
RS(config)#int vlan 100
RS(config-if-vlan100)#ip igmp version 2
End
仅此,《2021-技能大赛-信息安全管理与评估-DCN 设备总结》 篇章已完毕,感谢大家的阅读并提出宝贵的意见,也感谢我的指导老师,为此我开源自身对 DCN 安全设备篇的配置总结,仅为广大安全业界贡献一份自身的薄力,提升大家对安全设备的一些理解与渗透,仅此,误念