2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇


author:leadlife
time:2022/3/11
知识星球:LeadlifeSec
技术交流群:775454947

在前面的篇章中,我们完成了 RS,FW,WAF,NETLOG 等安全设备配置,但仅缺无线 AC 与 AP 的配置过程,让我继续带领大家进入 WLAN 的题目,一步一步参悟与解析,望能对大家起到抛砖引玉的作用。

WS DHCP 下发三层发现 AP 被动上线

涉及题目

WS上配置DHCP,管理VLAN为VLAN101,为AP下发管理地址,保证完成AP注册; 为无线用户VLAN10,20, 有线用户VLAN 30,40下发IP地址;

注意点

  • AP 上需要配置 DHCP 服务,通过 Option 43 特殊字段下发
  • RS 需要配置 DHCP 服务,为业务用户下发 IP 地址,同时做 DHCP 中继转发 WS DHCP 报文以 AP 被动发现

操作

WS 配置 DHCP 服务下发 IP
WS#config          
WS(config)#service dhcp     
WS(config)#ip dhcp pool AP           
WS(dhcp-ap-config)#network-address 192.168.101.0 255.255.255.0
WS(dhcp-ap-config)#default-router 192.168.101.1                                  
WS(dhcp-ap-config)#option 43 hex 0104C0A86401 `这里注意,是 AP 的 VLAN 100 管理地址 hex`
WS(dhcp-ap-config)#exit 

WS(config)#ip dhcp pool 10        
WS(dhcp-10-config)#network-address 172.16.10.0 255.255.255.0
WS(dhcp-10-config)#default-router 172.16.10.1
WS(dhcp-10-config)#exit

WS(config)#ip dhcp pool 20
WS(dhcp-20-config)#network-address 172.16.20.0 255.255.255.128
WS(dhcp-20-config)#default-router 172.16.20.1
WS(dhcp-20-config)#exit

WS(config)#ip dhcp pool 30           
WS(dhcp-30-config)#network-address 172.16.30.0 255.255.255.192
WS(dhcp-30-config)#default-router 172.16.30.1    
WS(dhcp-30-config)#exit

WS(config)#ip dhcp pool 40        
WS(dhcp-40-config)#network-address 172.16.40.0 255.255.255.192
WS(dhcp-40-config)#default-router 172.16.40.1
WS(dhcp-40-config)#exit

WS(config)#ip forward-protocol udp bootps 
RS 开启 DHCP 中继转发 DHCP 服务器 AC VLAN
CS6200-28X-EI(config)#service dhcp
CS6200-28X-EI(config)#ip forward-protocol udp bootps 
CS6200-28X-EI(config)#int vlan 101
CS6200-28X-EI(config-if-vlan101)#ip helper-address 192.168.100.1
CS6200-28X-EI(config-if-vlan101)#exit

以上操作完毕后,AP 应当获取到 IP 地址,且 AC 与 AP 可通信

WS#show ip dhcp binding 
Total dhcp binding items: 1, the matched: 1
IP address          Hardware address         Lease expiration         Type
192.168.101.2       00-03-0F-82-2D-B0        Tue Jan 03 01:39:00 2006 Dynami

WS#ping 192.168.101.2
Sending 5 56-byte ICMP Echos to 192.168.101.2, timeout is 2 seconds.
!!!!!
WS 操刀 AP 三层被动上线
WS(config)#wireless 
WS(config-wireless)#enable 
WS(config-wireless)#no auto-ip-assign 
WS(config-wireless)#static-ip 192.168.100.1
WS(config-wireless)#ap authentication none                 
WS(config-wireless)#discovery ip-list 192.168.101.2
WS(config-wireless)#ap database 00-03-0F-82-2D-B0

完成上述步骤后,AP 应当成功上线

WS#show wireless ap status
           
 (*) Peer Managed  IP Address                              Profile Status     Status           Age      
------------------ --------------------------------------- ------- ------- ------------
 00-03-0f-82-2d-b0 192.168.101.2                           1       Managed Success       0d:00:00:04

WS WLAN SSID 与安全配置

涉及题型

在NETWORK下配置SSID,需求如下:
1:NETWORK 1下设置SSID ABC2021,VLAN10,加密模式为wpa-personal,其口令为ABCE2024;
2:NETWORK 2下设置SSID GUEST,VLAN20不进行认证加密,做相应配置隐藏该SSID;

注意点

  • 加密模式需要注意
  • NETWORK 2 需要注意,不进行加密认证,却隐藏

操作

(1)
WS(config-wireless)#network 1
WS(config-network)#ssid ABC2021
WS(config-network)#vlan 10
WS(config-network)#security mode wpa-personal 
WS(config-network)#wpa key ABCE2024
(2)
WS(config-network)#network 2
WS(config-network)#ssid GUEST
WS(config-network)#vlan 20
WS(config-network)#hide-ssi

WS WLAN 本地认证

涉及题型

NETWORK 1开启内置portal+本地认证的认证方式,账号为ABC密码为ABCE2024;

注意点

  • 开启内置 portal
  • 开启本地认证

命令

code explanation
captive-portal 进入 WS 本地认证模块
authentication-type internal 设置认证模式为内置认证(内置本地认证),需要注意,这里并非本地认证,可以当作一个登录模式
verification local 配置为本地认证
group a 给予绑定用户的用户组
interface ws-network 1 加入绑定无线节点

操作

WS(config)#captive-portal 
WS(config-cp)#enable 

WS(config-cp)#authentication-type internal 
WS(config-cp)#user ABC
WS(config-cp-local-user)#password ABCE2024
WS(config-cp-local-user)#group a 
WS(config-cp-local-user)#exit

WS(config-cp)#configuration 1
WS(config-cp-instance)#verification local 
WS(config-cp-instance)#group a
WS(config-cp-instance)#interface ws-network 1

WS WLAN 接入控制-用户隔离

涉及题型

配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户,并对GUEST网络进行流控,上行1M,下行2M;配置所有无线接入用户相互隔离;

操作

WS(config-cp)#exit
WS(config)#wireless 
WS(config-wireless)#network 2
WS(config-wireless)#max-clients 10
WS(config-network)#time-limit from 00:00 to 06:00 weekday all
WS(config-network)#qos max-bandwidth up 1024
WS(config-network)#qos max-bandwidth down 2048
WS(config-network)#exit


这里需要将无线的用户所处端口加入隔离组
WS(config-ap-profile)#station-isolation allowed vlan add 10  
WS(config-ap-profile)#station-isolation allowed vlan add 20
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#station-isolation

WS WLAN AP 版本检测自动升级-延迟 AP 发送帧时间 -配置 AP 超时状态-AP 脱离 AC 情况自主工作

类似题型

配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为1秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时;配置AP在脱离AC管理时依然可以正常工作;

操作

检测 AP 版本不符自动升级操作
WS(config)#wireless 
WS(config-wireless)#ap auto-upgrade 
延迟 AP 发送帧时间操作
WS(config-wireless)#ap profile 1
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#beacon-interval 1000
操作 AP 超时状态-AP 脱离 AC 情况自主工作
WS(config-wireless)#wireless ap anti-flood agetime 120	`超时探测时间`
WS(config-wireless)#agetime ap-failure 2				`状态失败超时时间`

WS(config-wireless)#ap profile 1
WS(config-ap-profile)#ap ?
  escape  开启或关闭AP 逃生模式

WS(config-ap-profile)#ap escape
WS(config-ap-profile)#ap escape client-persist

WS WALN 低于 num% 信号值禁止连接-AP 威胁探测

涉及题目

为防止外部人员蹭网,现需在设置信号值低于50%的终端禁止连接无线信号;为防止非法AP假冒合法SSID,开启AP威胁检测功能;

操作

操作低于阈值禁止链接
WS(config-wireless)#ap profile 1           
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#client-reject rssi-threshold 50
WS(config-ap-profile-radio)#exit
WS(config-ap-profile)#exit
操作 AP 威胁探测
WS(config-wireless)#wids-security fakeman-ap-managed-ssid  
                
WS(config-wireless)#wids-security ap-de-auth-attack 

WS(config-wireless)#wids-security managed-ap-ssid-invalid 

WS(config-wireless)#end            
              
WS#wireless ap profile apply 1

关于这题,我建议这里全打上,多打不扣分

罕见赛题的总结


RS、WS运行静态组播路由和因特网组管理协议第二版本;PC1启用组播,使用VLC工具串流播放视频文件1.mpg,组地址228.10.10.7,端口:3456,实现PC2可以通过组播查看视频播放。

VLAN 40 RS ETH1/0/4 172.16.40.1/26 PC2
VLAN 30 WS ETH1/0/3 172.16.30.1/26 PC1

操作

ip igmp snooping
ip igmp snooping vlan 100
ip igmp snooping vlan 100 static-group 228.10.10.5 source 192.168.100.1 interface e1/0/
RS(config)#ip igmp snooping vlan 100
RS(config)#ip igmp snooping vlan 100 l2-general-querier-version 2

版本

RS(config)#int vlan 100
RS(config-if-vlan100)#ip igmp version 2

End

仅此,《2021-技能大赛-信息安全管理与评估-DCN 设备总结》 篇章已完毕,感谢大家的阅读并提出宝贵的意见,也感谢我的指导老师,为此我开源自身对 DCN 安全设备篇的配置总结,仅为广大安全业界贡献一份自身的薄力,提升大家对安全设备的一些理解与渗透,仅此,误念