实训 无线安全教学课件电子教案.pptx

《实训 无线安全教学课件电子教案.pptx》由会员分享，可在线阅读，更多相关《实训 无线安全教学课件电子教案.pptx（18页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、实训18 无线安全实训18 无线安全目 录contents 01010202030304040505背景描述背景描述实训原理实训原理实训步骤实训步骤赛点链接赛点链接0606易错分析易错分析实训目的实训目的01实训目的0101实训目的实训目的1.了解无线安全工作原理、运行机制；2.熟练掌握无线安全配置。02背景描述0202背景描述如果内部员工利用局域网互相访问和传递数据，也会占用网络资源，致使网络拥塞，因此达通集团北京总部网络管理员计划针对SSID DTJT-Internet采用用户隔离禁止用户间互相访问。动态黑名单（Dynamic Blacklist）属于无线安全功能模块中防DOS攻击的部分。

2、当检测到某个终端设备发送泛洪报文超过安全阈值，达通集团北京总部网络管理员计划将该终端设备添加到黑名单列表。背景描述0202背景描述实训拓扑0202背景描述需求分析在无线控制器DCWS针对SSID DTJT-Internet配置用户隔离功能，配置动态黑名单。03实训原理0303实训原理集中式转发方式中，AP驱动层不会对802.11数据包做任何处理，直接转成802.3格式封装隧道送往AC处理。因此，用户隔离全部都是在AC上实现。这里主要利用了控制器芯片的L2 Port Bridge功能。正常情况下，控制器在二层查表时如果发现入端口和出端口一样，会丢弃该报文。但如果开启了Port的L2 Port B

3、ridge功能，则允许二层转发时，从接收的端口再发送回去，每个Port可以单独配置L2 Port Bridge功能；当然，如果关闭了L2 Port Bridge功能，则AP下相同VLAN的Client在二层就不能互通。同时，它不影响不同VLAN间的三层转发，即经过L3查表转发的报文可以从接收端口发送。因此，利用L2 Port Bridge功能可以隔离相同VLAN下的无线用户，且不影响不同VLAN间的三层互通。泛洪攻击（Flooding 攻击）是指WLAN 设备会在短时间内接收了大量的同种类型的报文。此时WLAN设备会被泛洪的攻击报文淹没而无法处理真正的无线终端的报文。泛洪攻击分为五种，探查请求

4、帧泛洪攻击、关联请求帧泛洪攻击、解关联请求帧泛洪攻击、认证请求帧泛洪攻击以及解认证请求帧泛洪攻击。04实训步骤 04041.配置思路：在AC上分别配置用户隔离和动态黑名单。2.操作步骤：（1）用户隔离DCWS-6028(config)wirelessDCWS-6028(config-wireless)#l2tunnel station-isolation allowed vlan 20（2）动态黑名单DCWS-6028(config-wireless)#wids-security client configured-probe-rateDCWS-6028(config-wireless)#wi

5、ds-security client threshold-value-probe 120DCWS-6028(config-wireless)#wids-security client configured-assoc-rateDCWS-6028(config-wireless)#wids-security client threshold-value-assoc 120DCWS-6028(config-wireless)#wids-security client configured-disassoc-rateDCWS-6028(config-wireless)#wids-security c

6、lient threshold-value-disassoc 120DCWS-6028(config-wireless)#wids-security client configured-auth-rateDCWS-6028(config-wireless)#wids-security client threshold-value-auth 120DCWS-6028(config-wireless)#wids-security client configured-deauth-rateDCWS-6028(config-wireless)#wids-security client threshol

7、d-value-deauth 120实训步骤05赛点链接0505赛点链接配置所有无线接入用户相互隔离，Network模式下限制SSID FenZhiXX-IN每天早上0点到6点禁止终端接入，开启SSID FenZhiXX-Internet ARP抑制功能。2018年国赛无线配置第三题06易错解析0606易错解析易错易错解析解析在配置、使用动态黑名单（Client）威胁检测时，可能会由于物理连接、配置错误等原因导致本项检测未能正常运行或出现错误检测。请检查是否是如下原因： 1保证物理连接的正确无误。2. 确认已启动动态黑名单Client威胁检测。3. 确认相应阈值（认证请求帧泛洪攻击、探查请求帧泛洪攻击、解认证请求帧泛洪攻击和认证失败最大次数）设置是否合适。THANKS