■河南 許紅軍

保護(hù)Layer1 層面的安全

Layer1 層面的安全策略可以限制客戶的登錄認(rèn)證次數(shù)。如果用戶使用暴力破解來(lái)頻繁嘗試登錄，就會(huì)被攔截并被放置到排除列表中，只有超過(guò)預(yù)設(shè)時(shí)間后才允許再次進(jìn)行連接。

在某款思科WLC 設(shè)備命令行環(huán)境下執(zhí)行“show wlan x”命令，在返回信息中的“Exclusionlist Timeout”欄中顯示目標(biāo)WLAN 的超時(shí)時(shí)間。執(zhí)行“config wlan exclusionlist x y”命令，設(shè)置超時(shí)時(shí)間，其中的“x”為具體的WLAN 編號(hào)，“y”表示超時(shí)時(shí)間，單位為秒，“0”表示永久禁用。也可以在WLC 管理界面中打開(kāi)目標(biāo)WLAN 的屬性窗口，在“Advanced”面板中的“Client Exclusion”欄中設(shè)置該超時(shí)時(shí)間。

在WLC 管理界面工具欄上選擇“SECURITY”項(xiàng)，在左側(cè)選擇“Wireless Protection Policies”→“Client Exclusion Policies”項(xiàng)，在右側(cè)選擇“Exclussive 802.11 Association Failures”項(xiàng)，表示對(duì)于802.11 來(lái)說(shuō)，如果關(guān)聯(lián)六次的話，如果前五次連續(xù)失敗，則將其放置到排除列表中。選擇“Exclussive 802.11 Authenticationn Failures”項(xiàng)，表示對(duì)于802.11 來(lái)說(shuō)，如果認(rèn)證六次的話，如果前五次連續(xù)失敗，則將其放置到排除列表中。

選擇“Exclussive802.1X Authenticationn Failures”項(xiàng)，表示對(duì)于802.1X 來(lái)說(shuō)，如果認(rèn)證四次的話，如果前三次連續(xù)失敗，則將其放置到排除列表中。選擇“IP Theft or IP Resume”項(xiàng)，表示該客戶端的IP 已經(jīng)被占用，當(dāng)其連接時(shí)會(huì)被放置到排除列表中。選擇“Exclussive Web Authenticationn Failures”項(xiàng)，表示對(duì)于Web 認(rèn)證來(lái)說(shuō)，如果認(rèn)證四次的話，如果前三次連續(xù)失敗，則將其放置到排除列表中。為了防止客戶隨意無(wú)線網(wǎng)絡(luò)，可以關(guān)閉SSID 廣播功能，客戶只能通過(guò)手動(dòng)方式來(lái)設(shè)置網(wǎng)絡(luò)連接參數(shù)。

保護(hù)Layer2 和Layer3 層面安全

Layer2 層利用了工業(yè)化的安全解決方案，例如擴(kuò)展認(rèn)證協(xié)議（EAP，即DOTT1X）、Wi-Fi 保護(hù)控制（WPA/WPA2）等措施，來(lái)提供更高級(jí)的安全和加密操作?？蛻舳说紸P 的數(shù)據(jù)會(huì)通過(guò)WAP/WAP2/WEP/802.11i 等協(xié)議，利用AES/TKIP 進(jìn)行加密。對(duì)于AP 到WLC 控制器CAP 隧道來(lái)說(shuō)，默認(rèn)數(shù)據(jù)層面是不加密的，為了提高安全性，也可以開(kāi)啟加密功能。這樣不管是無(wú)線還是有線部分，都實(shí)現(xiàn)了嚴(yán)密的安全保護(hù)。

Layer3 層安全支持本地和RADIUS 的MAC 地址過(guò)濾功能，讓符合條件的客戶端才可以連接進(jìn)來(lái)。中小型無(wú)線網(wǎng)絡(luò)還可以使用本地或RADIUS 認(rèn)證方式來(lái)對(duì)用戶登錄進(jìn)行管理，其實(shí)這就是Web 認(rèn)證服務(wù)，所有的用戶名和密碼可以存放在WLC 本地，也可以存放在RADIUS 服務(wù)器上。對(duì)于后者來(lái)說(shuō)，Web認(rèn)證的流量會(huì)發(fā)送到RADIUS服務(wù)器上，如果通過(guò)認(rèn)證則可以順利連接。

思科UWN 是基于802.1X的3A（即認(rèn)證、授權(quán)和審計(jì)）機(jī)制運(yùn)作的，對(duì)于在WLC 本地?zé)o法實(shí)現(xiàn)的安全功能，可以借助于ACS/ISE 設(shè)備來(lái)完成。對(duì)于WLC 和AP 來(lái)說(shuō)，在其所有接口上都支持802.1X認(rèn)證和授權(quán)的協(xié)議。對(duì)于基于每WLAN 的安全解決方案來(lái)說(shuō)，每個(gè)AP 最多廣播16個(gè)WLAN，減少了更多AP 的需求，但是增加了干擾并減少了系統(tǒng)吞吐量。通過(guò)RRM（射頻資源管理）來(lái)連續(xù)的監(jiān)控干擾和安全事件，及時(shí)通知管理員查看檢測(cè)到的時(shí)間。

使用密碼策略，實(shí)現(xiàn)安全連接

對(duì)于安全認(rèn)證來(lái)說(shuō)，密碼的作用是極為重要的，普通的密碼難以應(yīng)對(duì)黑客攻擊。為此可以在WLC上開(kāi)啟增強(qiáng)的密碼檢查功能，來(lái)強(qiáng)化密碼的安全性。

密碼策略會(huì)影響到本地管理和AP 用戶。登錄到WLC 管理界面，在工具欄上選擇“SECURITY”項(xiàng)，在左側(cè)選擇“AAA”→“Password Policies”項(xiàng)，在右側(cè)的“Local Management User and AP”欄中針對(duì)本地管理員和AP 用戶設(shè)置密碼策略。

依次包括激活密碼復(fù)雜度要求（至少包含三個(gè)不同的內(nèi)容），在密碼中不能包含連續(xù)三個(gè)以上重讀的字符，密碼不能使用諸如“cisco”和“admin”之類的名稱等。

在“Management User”和“SNMPv3 User”欄中分別針對(duì)管理用戶和SNMP V3 用戶設(shè)置控制策略，依次包括激活管理員/SNMP v3 鎖定功能、嘗試登錄次數(shù)、鎖定時(shí)間、密碼有效期等。在左側(cè)選擇“AAA”→“General”項(xiàng)，在右側(cè)的“Maximum Local Databse entries”欄中可以設(shè)置本地最大數(shù)據(jù)庫(kù)的條目，包括本地管理員用戶、本地網(wǎng)絡(luò)用戶、MAC Filter 條目、排除清單條目、AP 授權(quán)列表?xiàng)l目等。

使用MAC 過(guò)濾，攔截非法客戶

MAC Filter 可以針對(duì)客戶和管理員實(shí)現(xiàn)認(rèn)證功能，首先需要在WLAN 級(jí)別進(jìn)行激活，當(dāng)開(kāi)啟了MAC 地址過(guò)濾功能后，需將所需MAC 地址加入白名單。注意，MAC 認(rèn)證優(yōu)先級(jí)高于本地MAC 過(guò)濾。

在WLC 管理界面工具欄上點(diǎn)擊“WLANs”，選擇某個(gè)WLAN 項(xiàng)目，在屬性窗口中的“Security”面板打開(kāi)“Layer2”標(biāo)簽，選擇“MAC Filtering”激活MAC 過(guò)濾功能。在工具欄上選擇“SECURITY”項(xiàng)，在左側(cè)選擇“AAA”、“MAC Filtering”項(xiàng)，在右側(cè)輸入MAC 地址、名稱、描述信息、對(duì)應(yīng)IP 地址，在“Interface Name”列表中關(guān)聯(lián)的接口名稱。點(diǎn)擊“Apply”按鈕，將其添加到白名單中。

在默認(rèn)情況下，WLC 會(huì)自動(dòng)激活I(lǐng)P 和MAC 地址綁定功能，即WLC 會(huì)自動(dòng)記錄關(guān)聯(lián)上來(lái)的客戶端設(shè)備的MAC和IP 地址。當(dāng)客戶的數(shù)據(jù)包發(fā)給WLC 時(shí)，WLC 會(huì)檢測(cè)其中的MAC 和IP 地址是否匹配，如果不匹配則拒絕轉(zhuǎn)發(fā)。如果需要禁用該功能，可以在WLC 的命令行接口中執(zhí)行“config network ip-macbinding disable”命令即可。

管理DHCP 中繼代理

在默認(rèn)情況下，WLC 會(huì)充當(dāng)DHCP 中繼代理的角色，客戶端必須通過(guò)WLC 才可以和DHCP 服務(wù)器進(jìn)行聯(lián)系。WLC在執(zhí)行DHCP 中繼任務(wù)時(shí)，會(huì)通過(guò)DHCP 82 號(hào)選項(xiàng)，在回應(yīng)信息中插入一些信息。

例如，對(duì)于多個(gè)VLAN 的環(huán)境中，WLC 會(huì)將每個(gè)VALN的SVI 地址插入進(jìn)來(lái)，讓DHCP 服務(wù)器來(lái)關(guān)聯(lián)對(duì)應(yīng)的地址池，之后將所需地址送給特定VLAN 中的主機(jī)。利用這一特性可以插入更多信息，實(shí)現(xiàn)高級(jí)管理功能。

例如，插入AP 的MAC 地址和SSID 信息，之后在DHCP上配置復(fù)雜的策略，實(shí)現(xiàn)靈活的地址推送功能。在工具欄上選擇“CONTROLLER”項(xiàng)，在左側(cè)選擇“Interfaces”，選擇某個(gè)動(dòng)態(tài)接口，該接口和特定VLAN 綁定。在右側(cè)的“DHCP Information”欄選擇“Enable DHCP Option 82”，激活該插入功能。在左側(cè)選擇“Advanced →DHCP”項(xiàng)，在右側(cè)的“DHCP Option 82 RemoteIdfieldformat”列表中顯示所有可以插入的格式。

例如，選擇“AP-ETHMACSSID”項(xiàng)，來(lái)插入AP 的MAC地址和SSID 信息。在充當(dāng)DHCP 服務(wù)器的某交換機(jī)上執(zhí)行“ip dhcp poolap”，“class APESSID”，“addressrange172.1.1.210172.1.1.220”，“calssdefault”，“address range 172.1.1.1 172.1.1.199”之類的命令，來(lái)創(chuàng)建所需的地址池。執(zhí)行：

其中“xxx”為AP 的MAC加上SSID 的內(nèi)容。如果檢測(cè)到該MAC 和SSID 的組合，就為其分配指定范圍內(nèi)地址。如果不符合該格式，就使用默認(rèn)的地址范圍。

激活CAPWAP 加密功能

為保護(hù)AP和WLC之間數(shù)據(jù)傳輸安全性，可以啟用CAPWAP 數(shù)據(jù)層面加密功能。在工具欄上選擇“WIRELESS”項(xiàng)，選擇某個(gè)AP，在屬性窗口中的“Advanced”面板選擇“Data Encryption”，重啟AP激活該功能。將WLC 和IDS聯(lián)合運(yùn)作可有效提高無(wú)線網(wǎng)卡安全性。當(dāng)IDS 檢測(cè)到惡意連接請(qǐng)求后，就會(huì)提交給WLC，WLC 通知目標(biāo)AP 在邊界位置將該惡意用戶阻斷。

在工具欄上點(diǎn)擊“SECURITY”項(xiàng)，在左側(cè)選擇“Advanced”→“CIDS”→“Sensors”項(xiàng)，在右側(cè)輸入IDS/IPS 設(shè)備的IP、IDS 的用戶名和密碼，在“Status”欄中選擇“Enabled”項(xiàng)，將其激活接口。這樣，WLC 會(huì)在預(yù)設(shè)的周期（默認(rèn)為60秒）向IDS 設(shè)備進(jìn)行詢問(wèn)，來(lái)獲取需要阻斷的用戶信息。其實(shí)，在WLC 已經(jīng)內(nèi)建了簡(jiǎn)單的IDS 功能模塊，提供了17 種特征碼，來(lái)匹配和抵御符合條件的無(wú)線攻擊行為。在上述窗口左側(cè)選擇“Wireless Protection Policies”→“Standard Signatures”項(xiàng)，在右側(cè)顯示標(biāo)準(zhǔn)的特征碼信息。

利用ACL 列表，管控客戶訪問(wèn)

ACL 列表可有效管控WLC特定端口的訪問(wèn)行為，可以將ACL 放置到管理接口、動(dòng)態(tài)接口以及WLAN 等位置。在上述窗口左側(cè)選擇“Access Control List → Access Contrl List”項(xiàng)，在右側(cè)可以創(chuàng)建針對(duì)數(shù)據(jù)層面的ACL項(xiàng)目，即主要對(duì)客戶端和WLC之間的傳輸?shù)臄?shù)據(jù)流量進(jìn)行管理。點(diǎn)擊“New”按鈕輸入該ACL 名稱（例如“Acl1”），在“ACL Type”欄中選擇其類型，包括IPv4 和IPv6。

在其屬性窗口中點(diǎn)擊“Add New Rule”，設(shè)置所需的源和目的地址、協(xié)議及方向等。例如，在“Protocol”列表中選擇“ICMP”協(xié)議，在“Destination”中輸入目的地址段，如20.1.1.0/255.255.255.0。在“Action”列表中選擇“Deny”項(xiàng)。同理創(chuàng)建新的規(guī)則，放行所有的流量。這樣，針對(duì)特定地址的ICMP 流量就會(huì)被攔截。

在工具欄上選擇“CONTROLLER”項(xiàng)，然后選擇“Interfaces”，選擇某個(gè)動(dòng)態(tài)接口，在右側(cè)“ACL Name”列表中選擇上述“Acl1”項(xiàng)，將其綁定到該接口上。

這樣就可以阻止來(lái)自該接口的特定的ICMP 流量。當(dāng)然，也可以選擇某個(gè)WLAN，在屬性窗口中的“Advanced”面板的“Override Interface ACL”列表中選擇所需ACL 項(xiàng)目，使兩者綁定。CPU 的ACL可以針對(duì)抵達(dá)WLC 的管理和控制層面的流量進(jìn)行管理的ACL，例如先按照上述方法創(chuàng)建一個(gè)普通ACL 項(xiàng)目（如“Cpuacl”），添加兩個(gè)規(guī)則，分別實(shí)現(xiàn)攔截HTTP 的流量和放行所有流量。

選擇“Access Control List →CPU Access Contro List”項(xiàng)，在右側(cè)選擇“Enable CPU ACL”項(xiàng)，激活A(yù)CL 控制列表。在“ACL Name”列表中選擇上述“Cpuacl”。這樣，即使已經(jīng)開(kāi)啟了HTTP 網(wǎng)管功能，也被該ACL 禁止。Layer2 控制列表基于以太網(wǎng)類型進(jìn)行判斷，選擇“Access Control List →Layer2 ACLs”項(xiàng)，點(diǎn)擊“New”輸入該ACL 名稱（如“Acl2”），在屬性窗口添加一個(gè)規(guī)則，在“EtherType”列表選擇以太網(wǎng)類型，例如選擇“PPPoE Discovery Stage”，在“Action”列表中選擇“Deny”。

同理，創(chuàng)建新的規(guī)則，針對(duì)“PPPoESession Stage”類型進(jìn)行攔截。之后再創(chuàng)建一個(gè)規(guī)則，選擇“Custom”類型，在“Ether Type(Custom)”和“EtherMask(Custom)”欄中輸入“0”，表示放行所有流量。選擇WAN 項(xiàng)目的屬性窗口“Advanced”→“Layer 2 Acl”列表，選擇該ACL 項(xiàng)目。這樣在該WLAN 中就可禁止傳輸PPPoE 的流量。FlexConnect ACL 適用于FlexConnect 轉(zhuǎn)發(fā)模式，需要將ACL 列表推送給AP。

選擇“Access Control List”→“FlexConnect ACLs”項(xiàng)，創(chuàng)建新的ACL（例如“Flexacl”），創(chuàng)建兩條規(guī)則，實(shí)現(xiàn)攔截去往諸如172.1.1.0/255.255.255.0之類地址段的ICMP 流量和放行所有的流量。注意，目標(biāo)AP 必須處于FlexConnect模式。在目標(biāo)WLAN 的屬性窗口中的“Advanced”面板中選擇“FlexConnect Local Switching”項(xiàng)，將其切換到FlexConnect 狀態(tài)下。

在目標(biāo)AP 屬性窗口中的“FlexConnect”面板中選擇“VLAN Support”項(xiàng)，在“Native VLAN”欄中輸入對(duì)應(yīng)的VLAN 號(hào)（例如“20”），點(diǎn)擊“Apply”和“VALN Mapping”，在打開(kāi)窗口中點(diǎn)擊“Go”按鈕，在上述VLAN“Ingress ACL”和“Egress ACL”列表中分別選擇上述“Flexacl”項(xiàng)目，點(diǎn)擊“Apply”按鈕推送到該AP。這樣，在該VLAN 中就可以攔截特定的ICMP 流量了。

保護(hù)管理幀

在802.11 中，管理幀始終沒(méi)有得到認(rèn)證和加密保護(hù)，而使用WPA/WPA2 等協(xié)議是可以加密數(shù)據(jù)流的，這就會(huì)引發(fā)一些安全問(wèn)題。

例如，攻擊者可以使用偽裝AP 的管理幀攻擊與其關(guān)聯(lián)的客戶端，讓客戶頓無(wú)法正常連接。使用這種攻擊方法可以在WLAN 上執(zhí)行DoS攻擊，當(dāng)重新連接時(shí)，可以在客戶端上進(jìn)行中間人攻擊。

對(duì)于這種攻擊來(lái)說(shuō)，只有使用管理幀保護(hù)才可以進(jìn)行有效防御。在AP 之間是可以發(fā)送一些管理幀的，這些管理幀需要被保護(hù)。對(duì)于客戶端和AP 之間發(fā)送的管理幀，也需要進(jìn)行保護(hù)。對(duì)于基礎(chǔ)架構(gòu)的MPF 來(lái)說(shuō)，所有管理幀被秘密進(jìn)行散列化處理，來(lái)創(chuàng)建消息完整性檢查，并被添加到幀的末端。

當(dāng)一個(gè)或多個(gè)WLAN 上啟用MPF 時(shí)，WLC 將唯一的密鑰發(fā)送到每個(gè)已經(jīng)注冊(cè)的AP上，AP通過(guò)啟用MPF的WLAN 發(fā)送管理幀，任何試圖修改幀的操作都會(huì)使消息變得無(wú)效?？蛻舳薓FP 屏蔽了來(lái)自偽裝幀的已認(rèn)證的客戶端，阻止了對(duì)無(wú)線網(wǎng)絡(luò)的很多常見(jiàn)的攻擊。即客戶端MPF 加密在接入點(diǎn)和CCXv5客戶端之間發(fā)送的管理幀，以便接入點(diǎn)和客戶端均能采取預(yù)防措施并丟棄偽裝的第三類管理幀?？蛻舳薓PF 可以有效利用IEEE802.11i 定義的安全機(jī)制來(lái)保護(hù)這些類型為第三類的管理幀，從而防御來(lái)自常見(jiàn)拒絕服務(wù)攻擊的客戶端接入點(diǎn)會(huì)話。

當(dāng)然，在客戶端必須使用支持CCXv5 MPF 的網(wǎng)卡才行。在WLC 界面工具欄選擇“SECURITY”，選擇“Wireless Protection Policies →AP Authentication”項(xiàng)，在右側(cè)的“Protection Type”列表中選擇“Management Frame Protection”項(xiàng)，激活基礎(chǔ)設(shè)施的管理幀保護(hù)功能。在工具欄上選擇“WLANs”項(xiàng)，選擇某個(gè)WLAN，在屬性窗口中的“Advanced”面板中的“MPF Client Protection”列表中選擇“Required”項(xiàng)，激活基于客戶端的MPF 功能。

利用本地認(rèn)證，配置管控策略

WLC 本地策略可基于HTTP/DHCP 等協(xié)議來(lái)識(shí)別客戶端設(shè)備。利用這一特性，可以基于設(shè)備類型（例如安卓手機(jī)等），來(lái)推送對(duì)應(yīng)策略，管控客戶端行為。注意，最多可配置64 個(gè)本地策略。其匹配條件靈活，當(dāng)匹配合適的條件后，可以執(zhí)行各種授權(quán)操作。

在選定的WLAN 屬性窗口中的“Advanced”面板中的“Local Client Profiling”欄選擇“DHCP Profiling”和“HTTP Profiling”項(xiàng)，激活本地設(shè)備識(shí)別功能。即在本地收集DHCP 和HTTP協(xié)議的信息，對(duì)設(shè)備進(jìn)行識(shí)別操作。在工具欄上選擇“MONITOR”項(xiàng)，在左側(cè)選擇“Local Profiles”項(xiàng)，在右側(cè)顯示識(shí)別出來(lái)的設(shè)備信息（例如是Windows 7 的主機(jī)等）。在工具欄上選擇“SECURITY”項(xiàng)，在左側(cè)選擇“Local Policies”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，輸入該策略名稱。

在其屬性編輯窗口中的“Device Type”列表中選擇設(shè)備類型，例如“Windows7-Workstation”項(xiàng)。點(diǎn)擊“Add”按鈕，在“Action”欄中可以設(shè)置匹配的動(dòng)作，例如設(shè)置ACL、VLAN 等。在“Active Hours”欄中設(shè)置具體的日期和時(shí)間，來(lái)確定策略的有效期。當(dāng)創(chuàng)建了策略后，需要在工具欄上選擇“WLANs”項(xiàng)，在選定的WLAN的“Policy →Mapping”面板中的“Local Policy”列表中選擇該策略，點(diǎn)擊“Add”按鈕，來(lái)調(diào)用該策略才可以讓其生效。