WLAN设备安全配置规范 v3.0.0.ppt

WLAN设备安全配置规范v3.0,安全服务与培训部2012年5月,大纲,1.WLAN设备应用安全管理2.WLAN设备通用安全功能和配置要求3.WLAN设备安全功能和配置要求4.WLAN安全配置基线实用案例,大纲,1.WLAN设备应用安全管理1.1安全管理概述1.2设备初始化管理1.3日志安全管理1.4设备授权访问管理1.5配置管理1.6设备冗余管理2.WLAN设备通用安全功能和配置要求3.WLAN设备安全功能和配置要求4.WLAN安全配置基线实用案例,1.1安全管理概述（1）,有效保护系统安全的核心是进行持续、科学的风险管理。,WLAN设备安全管理不仅是安全技术的实施，而应是将良好的安全意识、安全规范融入到日常的维护工作中。,1.1安全管理概述（1）,为了做好安全管理工作，不同岗位工作职责在网络规划、建设、运维三个阶段的关系如下：,1.1安全管理概述（2）,1.2设备初始化管理（1）,为确保设备的使用安全，WLAN设备在入网启用前应当遵循一定的安全规范进行相应的安全性配置，其中应重点关注如下三个方面。端口及服务最小化安全补丁及时加载包过滤规则设定,1.2设备初始化管理（2）,端口及服务最小化未使用的设备端口应及时关闭。WLAN设备除了提供Telnet远程登录服务外，还提供很多二层、三层的服务。WLAN设备运行的服务越多，安全隐患就越大。很多服务WLAN设备通常是不需要的，应该根据各种服务的用途，实现服务最小化，关闭WLAN设备上不必要的服务，减少安全隐患。,1.2设备初始化管理（3）,常见WLAN设备服务功能以及应对措施,1.2设备初始化管理（4）,安全补丁曾经在某IT杂志上公布，C公司宣布其WLAN设备所有xx版本的操作系统软件存在一个漏洞。此漏洞可使攻击者截取和修改出入WLAN设备的TCP数据。显而易见，该漏洞影响是广泛的，属于严重隐患，由于C公司及时发布了安全版本，所以几乎没有用户因此受到攻击。因此，建议如无特殊情况在设备启用时，WLAN设备应当尽量采用厂家的最新版本，并将所有安全补丁打上。更重要的是，在今后的设备运行过程中，也应当及时进行补丁加载，始终保持最新版本。,1.2设备初始化管理（5）,包过滤规则在WLAN设备启用前，应当根据当时的网络环境制定合理的包过滤规则，对某些病毒、木马的特定端口进行封闭。严格的配置仅传递允许进入网络的的数据包。总之，配置完善的包过滤规则并在今后的运行维护过程中随时更新可以降低安全事件发生的概率。,1.3日志安全管理（1）,日志安全管理对网络维护者而言，日志是设备运行的性能监测、安全审计以及安全事件发生后的追踪与调查等的重要依据.因此在日常的维护中应注意开启设备的重要日志功能。AC作为WLAN组网的重要的网络设备，其安全性至关重要，因此建立强大、完善的日志系统是必须的。通过日常对日志文件的审查，可以预先发现许多安全攻击并及时采取措施将安全事件的发生可能性降至最低。,操作日志登陆日志：异常分析命令操作日志：分析异常操作标准系统日志：非法攻击留下的日志痕迹,运行状态CPU资源监控内存占用监控磁盘空间监控,系统日志端口状态异常路由交互信息.,1.3日志安全管理（2）,1.3日志安全管理（3）,为保证在突发事件发生时，能够通过分析日志快速解决问题，日志的备份、存放等日常安全管理是必须的。对于设备日志，应当遵照相关安全规范定期进行备份，保留规定时间，并对备份介质进行妥善保管。由于AC设备内存有限，一些日志信息存储后掉电就会丢失，有条件的情况下，应建立日志服务器，采用日志服务器可以获取更加丰富的端口状态、运行状态以及异常故障等信息，轻松掌握网络情况。,1.3日志安全管理（4）,建立日志服务器之后，同时应当对服务器自身进行安全加固，例如：安装防病毒软件、定期进行系统补丁以及对访问进行严格控制等，来保障日志安全。,1.4设备授权访问管理（1）,设备授权访问管理包括：账号口令管理应当对AC系统所有密码进行加密，基于角色按需分配的权限管理给予能够操作者完成工作的最低权限的许可。并采取增强口令强度、设置口令有效期、删除停止使用的帐号等手段，提高帐号口令管理效能。访问管理为防止非法授权访问，应当采用相应限制措施,1.4设备授权访问管理（2）,账号口令管理应关注以下几点：应按照用户分配账号。避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。用户口令足够强壮，符合复杂度要求。设备密码使用加密模式存放，禁用明文存放密码。SNMP服务启用时，禁止使用public、private等公用community，如需提供RW权限的community，需保证community的安全性。,1.4设备授权访问管理（3）,访问管理应关注以下几点：本地访问对AC系统Consle设置访问密码，对Console口与终端的会话配置较短闲置时间后自动退出局域网访问交换机端口进行vlan划分、端口绑定等措施，WLAN设备上采用IP地址与MAC地址绑定远程访问传统的远程访问服务程序telnet,在网络上用明文传送口令和数据，容易被截获。同时其安全验证方式也存在弱点，容易遭受“中间人”（man-in-the-middle）攻击。因此，应当采用Ssh（SecureShell）等安全远程访问方式，其将所有传输数据进行加密，保证了传输安全，同时在安全验证方面也有所提高。同时设备的VTY端口应限制登录的IP地址范围。路由协议访问WLAN设备尽可能采用安全的路由协议版本，以及在启用路由协议接口之间设置MD5认证，防止信息外漏。,1.5配置管理,配置管理WLAN设备的配置文件安全是不容忽视的，通常设备配置应当定期备份，并保存在安全的介质中，原则上备份介质应当至少两份，一份与设备放置一处，以备应急使用，另一份应当放置在异地的安全位置。在发生安全事故时，可以取出备份文件，将系统恢复到已知状态。此外，配置文件应当尽可能不通过公共网络进行传输，特殊情况下应当对传输进行加密,1.6设备冗余管理,设备冗余管理在WLAN设备组网过程中，应当尽可能组建主备双节点、双链路结构，路由协议采用动态路由与静态路由相结合的方式，以及采用VRRP或则HSRP等冗余协议，提高网络的可用性和可靠性。,大纲,1.WLAN设备应用安全管理2.WLAN设备通用安全功能和配置要求2.1账号管理及认证授权要求2.2日志安全要求2.3IP协议安全要求2.4设备其他安全要求3.WLAN设备安全功能和配置要求4.WLAN安全配置基线实用案例,2.WLAN设备通用安全功能和配置要求,本规范所指的设备为Wi-Fi使用的WLAN设备。本规范提出的安全功能要求要求，在未特别说明的情况下，均适用于各类WLAN设备。本规范从WLAN设备的认证授权功能、安全日志功能以及IP网络安全功能，其他自身安全配置功能和WLAN具体设备类型提出安全要求。,2.1账号管理及认证授权要求,认证功能用于确认登录WLAN的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。对于存在字符或图形界面（WEB界面）的人机交互的WLAN设备，应提供账号管理及认证授权功能，并应满足以下各项要求。,2.1.1账号安全要求,编号：安全要求-设备-配置-1要求内容：应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。安全性分析：用户共享账号在很多机房管理中存在，从而带来大量的安全风险。直接影响就是用户操作带来的直接系统风险，如果是高级权限账号共用，则可能引发由于人为操作不当而引起的系统灾难性故障，且通过系统日志无法判别具体操作人员。操作指南：1、参考配置操作利用管理员账号或根用户账号登录设备,在系统上预先设置多个账号（35个），如图增添三个用户,2.1.1账号安全要求,检测方法：1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；,2.1.1账号安全要求,编号：安全要求-设备-配置-2要求内容：应删除与设备运行、维护等工作无关的账号。安全性分析：日常维护工作中，由于人员调动等因素，系统中可能存在多用户账号已经不再使用，但仍然未被删除的情况。这些与设备运行、维护等工作无关的账号不但在系统日常巡检过程中容易被当成巡查死角，造成管理账户混乱，当系统被黑且植入非法账号时无法快速通过对比历史巡查数据而分析出可疑账号，从而造成系统风险。操作指南：1、参考配置操作,2.1.1账号安全要求,检测方法：1、判定条件被锁定的账号无法正常登陆；2、检测操作先将账号锁定然后用锁定的账号登陆验证能否登陆；,2.1.1账号安全要求,编号：安全要求-设备-配置-3要求内容：WLAN应限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。安全性分析：有些管理员习惯性地直接指配高级权限账户进行远程登陆操作。当网路被监听时，高级权限账户可能被窃取，并被实施非法登陆。行之有效的方法就是要先配置普通权限用户远程登陆后再切换到管理权限账号进行操作，避免监听窃取密码的风险。,2.1.1账号安全要求,操作指南：1、利用管理员账号或根用户账号登录设备，账号：root,口令：fitap_2、通过系统新建两个账号，一个账号为：a，口令：aaa，设置它可以远程登录；另一个账号：b,口令：bbb，设置它不能远程登录。,2.1.1账号安全要求,检测方法：1、判定条件设备系统应能提供用于配置是否允许用户进行远程登录的用户属性选项；2、检测操作被配置为能进行远程登录的账号A可以实现远程访问；被配置为不能进行远程登录的账号B无法实现远程登录。,2.1.2口令安全要求,编号：安全要求-设备-配置-4要求内容：对于采用静态口令认证技术的WLAN，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。安全性分析：静态口令系统只能通过人为更新，这种更新一般都具备较长的周期。因此密码强度必须足够强大，用以对付通过密码强猜而被盗取密码的可能性。操作指南：local-userusernameBnas$%passwordBnas$%检测方法：用配置账户登陆验证,2.1.2口令安全要求,编号：安全要求-设备-配置-5要求内容：对于采用静态口令认证技术的WLAN，账户口令的生存期不长于90天。安全性分析：操作指南：在管理平台下登陆#visetupinfo1：3：6：1：2第四个字段表示口令生存周期为1天检测方法：到期后查看指令生存周期,2.1.2口令安全要求,编号：安全要求-设备-配置-6要求内容：对于采用静态口令认证技术的WLAN，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。安全性分析：操作指南：在管理平台下登陆#visetupinfo1：3：6：1：2第5个字段表示不允许相同口令重复出现的次数为2次。检测方法：测试指令重复次数,2.1.2口令安全要求,编号：安全要求-设备-配置-7要求内容：对于采用静态口令认证技术的WLAN，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。安全性分析：操作指南：利用超级管理员账号登陆，打开账户管理/用户组管理，进入的页面可以看到有认证失败重试次数的设置项检测方法：连续认证失败6次，查看是否被锁定,2.1.2授权安全要求,编号：安全要求-设备-配置-12要求内容：在WLAN权限配置能力内，根据用户的业务需要，配置其所需的最小权限。安全性分析：操作指南：利用管理员账号或根用户账号登录设备,对账户分组进行设置，超级管理员为最高权限，管理员有修改权限，普通用户只有查看权限检测方法：1、判定条件普通用户不能对设备配置进行修改2、检测操作利用普通用户登陆尝试对设备配置进行修改,2.1.2授权安全要求,编号：安全要求-设备-配置-13要求内容：对于用户可通过人机交互界面访问文件系统的WLAN，在WLAN权限配置能力内，根据用户的业务需要，对文件系统中的目录和文件，给不同用户或用户组分别授予读、写、执行的最小权限。安全性分析：操作指南：利用管理员账号或根用户账号登录设备,对账户分组进行设置，超级管理员为最高权限，管理员有修改权限，普通用户只有查看权限检测方法：1、判定条件普通用户不能对设备配置进行修改，管理员账户不能修改用户状态2、检测操作利用普通用户登陆尝试对设备配置进行修改，利用管理员账户登陆尝试修改用户状态,2.2日志安全要求,编号：安全要求-设备-配置-16要求内容：WLAN设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。安全性分析：操作指南：利用超级管理员账号登陆，查看系统日志，检查日志系统是否记录了上述操作的详细信息，包括实施操作的账号信息、操作时间、操作内容以及操作结果,2.2日志安全要求,检测方法：查看是否有AC的操作信息,2.2日志安全要求,编号：安全要求-设备-配置-17要求内容：WLAN设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。安全性分析：操作指南：利用管理员账号登陆，查看系统日志，检查日志系统是否记录了上述操作的详细信息，包括实施操作的账号信息、操作时间、操作内容以及操作结果,2.2日志安全要求,检测方法：查看是否有AC的操作信息,2.2日志安全要求,编号：安全要求-设备-配置-18要求内容：WLAN设备应配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。安全性分析：操作指南：登陆AC选择SYSLOG配置,2.2日志安全要求,检测方法：检验目标地址能否收到系统日志,2.2日志安全要求,编号：安全要求-设备-配置-19要求内容：WLAN设备应配置日志功能，记录对与WLAN相关的安全事件。安全性分析：操作指南：1、利用常用漏洞扫描软件（如XSCAN）对设备发起扫描：在命令提示符拖入Xdos.exe程序，然后输入：99t50s,如下图：2、利用DoS攻击发起软件对设备发起DoS攻击；步骤2所示，即开始dos攻击：,2.2日志安全要求,操作指南：3、查看系统日志，检查日志系统是否记录了上述相关安全事件的信息：在AC管理平台下输入：cat/var/log/messages命令：可知日志中已经记录了dos攻击的信息。检测方法：针对模拟的安全攻击，系统是否产生了相应的日志记录,2.2日志安全要求,编号：安全要求-设备-配置-20要求内容：WLAN设备应配置权限，控制对日志文件读取、修改和删除权限操作。安全性分析：操作指南：利用超级管理员账号登陆，打开账户管理/用户组管理，进入的页面可以看到日志权限的设置项检测方法：利用只有查看权限的用户登陆，尝试删除日志,2.2日志安全要求,编号：安全要求-设备-配置-21要求内容：日志保存时间应满足：通过WLAN设备本地端口直接操作的系统操作日志本地保存不小于7天。安全性分析：操作指南：利用管理员账号登陆在日志功能项中操作日志的保存时间设置为7天检测方法：查看日志是否有7天前的日志,2.3IP协议安全要求,编号：安全要求-设备-配置-22要求内容：对于具备TCP/UDP协议功能的WLAN，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。安全性分析：,2.3IP协议安全要求,操作指南：配置拒绝PC所对应IP地址对被测设备访问的策略rulejujuedenyip55055filter-policytestfilter-rulejujueip-poolstaalloc-modelocaldhcpmax-lease120000default-routeripaddressavailable-interfaceport0-4filter-policytest检测方法：通过pc向被测设备系统发起telnet以及其他连接请求，查看请求是否被拒绝,2.3IP协议安全要求,编号：安全要求-设备-配置-23要求内容：对于通过IP协议进行远程维护的WLAN，应使用HTTPS、SSH等加密协议进行远程维护。安全性分析：操作指南：使用https方式登录被测设备，确认可以使用https方式进行管理；检测方法：通过https方式登陆管理设备,2.3IP协议安全要求,编号：安全要求-设备-配置-24要求内容：对于通过IP协议进行远程维护的WLAN，应设定允许登录到该设备的IP地址范围。安全性分析：操作指南：1、在接入平台上配置以下命令，允许25和6的ip访问AC的接入平台：telnetcontroltelnetallowed-iptelnetallowed-ip2、同时配置ruledenydenytcp55523ruleallpermitip555filter-policydenyfilter-ruledenyfilter-ruleallaccess-list-localfilter-policybounddeny,2.3IP协议安全要求,检测方法：利用允许和未允许的ip登陆设备，查看是否能登陆成功,2.4设备其他安全要求,编号：安全要求-设备-配置-27要求内容：对于具备字符交互界面的WLAN，应配置定时账户自动登出。安全性分析：操作指南：#telnettimeout60(单位是秒)检测方法：登陆设备，持续60秒不进行任何操作，查看账号是否已经自动登出系统,2.4设备其他安全要求,编号：安全要求-设备-配置-28要求内容：对于具备图形界面（含WEB界面）的WLAN，应配置定时自动屏幕锁定。安全性分析：操作指南：利用超级管理员账号登陆，打开账户管理/用户组管理，进入的页面可以看到空闲超时的设置项检测方法：登陆后不做任何操作，等待锁屏，锁屏后，需要进行身份认证才能解除锁屏,2.4设备其他安全要求,编号：安全要求-设备-配置-29要求内容：对于具备console口的WLAN，应配置console口密码保护功能。安全性分析：操作指南：1、local-userusernameBnas$%passwordBnas$%2、在pc上打开针对console口的操作界面，系统要求进行密码认证检测方法：用console口登陆,查看是否需要密码,大纲,1.WLAN设备应用安全管理2.WLAN设备通用安全功能和配置要求3.WLAN设备安全功能和配置要求3.1AC安全要求4.WLAN安全配置基线实用案例,3.WLAN设备安全功能和配置要求,如下WLAN设备安全功能和配置要求与专项要求不冲突，WLAN设备应在满足专项要求基础上，符合WLAN设备安全功能和配置要求。,3.1AC安全要求,编号：安全要求-设备-配置-34要求内容：无线控制器应配置无线客户端隔离功能安全性分析：操作指南：进入AC的web页面，打开无线参数无线参数高级配置，选择隔离单播,3.1AC安全要求,检测方法：两个用户拿到地址后互ping，查看能否ping通,3.1AC安全要求,编号：安全要求-设备-配置-35要求内容：无线控制器应配置无线拒绝服务攻击检测功能安全性分析：操作指南：1、在AC页面无线安全/入侵检测设置将各检测开关开启（阀值和时间设置由实际应用而定）。2、在ap上查看以上参数配置是否下发到ap上，使用攻击软件向ap发起攻击。,3.1AC安全要求,检测方法：在AC页面日志/入侵检测日志处应该可以看到ap上报的攻击信息。,3.1AC安全要求,编号：安全要求-设备-配置-36要求内容：无线控制器应配置MAC与AP的绑定功能。安全性分析：操作指南：1、配置地址池ip-poolTESTipaddressalloc-modelocaldhcpdefault-routeroption-60enterprise-code18603max-lease900option-60ac-manage-ip09option-43ip-list09available-interfaceport42、查看ap获取的ip并输入指令#ipdhcpmac-bind-ip,3.1AC安全要求,检测方法：拔掉ap与AC之间接的网线，同时在AC上release掉ap的ip，再次插上ap与AC之间的网线，查看ap获取的ip,3.1AC安全要求,编号：安全要求-设备-配置-37要求内容：无线控制器应配置DNS安全检测功能。安全性分析：操作指南：1、在AC上配置用户的过滤规则。只允许访问ip为的dns服务器。ruledns1permitudp55532、和portal过滤规则ruleportalpermitip055一起应用到过滤策略dns1中filter-policydns1filter-ruledns1filter-ruleportal,3.1AC安全要求,操作指南：3、在用户地址池中应该该过滤策略ip-poolsta5ipaddressalloc-modelocaldhcpmax-lease600available-interfaceport0-4default-routerfilter-policydns1,3.1AC安全要求,检测方法：用户获取该地址池地址，并进行web认证，在弹portal时用户过滤抓取dns报文。,3.1AC安全要求,编号：安全要求-设备-配置-38要求内容：无线控制器应配置DHCPFLOOD攻击检测功能。安全性分析：操作指南：1、PC机处抓取用户在AC上获取地址的dhcp请求报文。2、由报文可知接入端口和接入vlan可以使用基于端口+vlan的控制。up-limitport-vlanport0cvlan9003（对于0口接入vlan为900的数据包每秒只能上传3个，若不到vlan上来的话，直接可以配置为up-limitport-vlanport03）3、在接入平台上使用命令showrmiosup-limit-statisport-vlanport0cvlan900查看数据包上传丢弃情况。4、对于目的端口和源端口都固定的情况，可以使用命令：up-limitudpport673bothup-limitudpport683both（由于dhcp报文的源和目的端口都为68和67）5、用台PC机直连到AC上，用anysend工具向AC发送大量的dhcp请求包。,3.1AC安全要求,检测方法：在接入平台上用命令showrmiosup-limit-statisunuserudp查看67和68口数据包的上传和丢弃情况,3.1AC安全要求,编号：安全要求-设备-配置-39要求内容：无线控制器应配置CAPWAP协议检测。安全性分析：操作指南：AC上正确配置AP信息：厂商，设备型号，硬件版本；检测方法：AP连上AC,在AP和AC之间抓取报文；在AC上配置错误的AP信息,3.1AC安全要求,编号：安全要求-设备-配置-40要求内容：无线控制器应配置检测STA提交的大量的DHCP请求，防止AC的DHCP地址池耗光的攻击。安全性分析：操作指南：1、Sta在AC上获取地址，并抓取sta的dhcp请求报文。2、该功能是通过上传流控来实现的，在AC接入平台advance模式下配置语句。up-limitippooluser-packetotherall13、在sta处用anysend向AC发送步骤1中抓取的dhcp请求报文，在接入平台上使用命令showrmiosup-limit-statisippool-user（staip）数据包显示情况。4、若步骤1中数据包是带着vlan上来的，则可以根据端口和vlan来做限制，使用命令：up-limitport-vlanport0cvlan9002（对0口上来的vlan为900的数据包进行限制每秒上传2个数据包）,3.1AC安全要求,检测方法：在AC上使用命令showrmiosup-limit-statisport-vlanport0cvlan900查看数据包上传丢包情况。,3.1AC安全要求,编号：安全要求-设备-配置-41要求内容：无线控制器应配置细化到IP的DNS访问控制策略。安全性分析：操作指南：1、在AC上配置用户的过滤规则。只允许访问ip为的dns服务器。ruledns1permitudp55532、和portal过滤规则ruleportalpermitip055一起应用到过滤策略dns1中filter-policydns1filter-ruledns1filter-ruleportal3、在用户地址池中应该该过滤策略ip-poolsta5ipaddressalloc-modelocaldhcpmax-lease600available-interfaceport0-4default-routerfilter-policydns1,3.1AC安全要求,检测方法：用户获取该地址池地址，并进行web认证，在弹portal时用户过滤抓取dns报文,3.1AC安全要求,编号：安全要求-设备-配置-42要求内容：无线控制器应配置扩展型访问控制列表安全性分析：操作指南：1、该功能是通过配置过滤策略来实现的。以下仅举例一些常用的过滤规则。2、如在AC接入上配置命令，控制用户禁止访问AC的23端口别端口的都可以访问。ruletcpdenytcp23ruleallpermitip3、将步骤2中的过滤规则应用到过滤策略deny中，并应用到用户地址池sta1中。filter-policydenyfilter-ruletcpfilter-ruleall4、用户获取sta1地址池中的地址，并尝试连接AC的23端口，查看是否可以连接成功。5、如在AC接入上配置命令，只允许用户访问ip为1的地址。ruleportal1permitip1556、将步骤5中的过滤规则应用到过滤策略permit中，并应用到用户地址池sta2中。filter-policypermitfilter-ruleportal,3.1AC安全要求,检测方法：用户获取sta2地址池中的地址，并尝试ping1的地址及ping用户自己的网关，查看是否成功。,3.1AC安全要求,编号：安全要求-设备-配置-43要求内容：无线控制器应配置三/四层DoS防护功能。安全性分析：操作指南：由于X-DOS攻击的源端口会一直在变，故只能通过以下命令来限制该上传报文：在接入平台advance模式下配置：up-limittcp10unuser（每秒钟非用户上传的tcp报文为10个，该处没有指定具体的tcp端口默认为所有的tcp端口，不过dos攻击时，攻击的目的端口和源端口都可能在变，故该测试只能这样配置，查看具体的上传报数使用该命令showrmiosup-limit-statisunusertcp）但是做了该限制之后，别的tcp功能几乎做不了了，都被该攻击给占满了,3.1AC安全要求,编号：安全要求-设备-配置-44要求内容：无线控制器应配置一定复杂度的SNMPCommunityString。安全性分析：操作指南：1、通过网管采集攻击如MG-SoftMIBBrowser将读口令节点znCapwapAcRoCommunity和写口令节点znCapwapAcRWCommunity的值设置为想要设置的读写口令或在AC页面上配置具有一定复杂度的SNMPCommunityString。如下：检测方法：使用SNMP扫描软件IPNetworkBrowser，输入之前在AC配置的CommunityString，尝试连接已配置A,3.1AC安全要求,编号：安全要求-设备-配置-45要求内容：无线控制器应配置dhcp-discover阀值,防止因DHCPdiscover攻击造成的AP退服事件。安全性分析：操作指南：1、使用ac(config)#advancedconcurrency-redirectenable命令开启国人并发重定向功能。2、使用ac(config)#advancedup-limitdhcp-discover100命令限制国人对于dhcp-discover请求的阀值。,3.1AC安全要求,操作指南：3、使用showrunning-config命令查看并确认配置结果4、观察cpu使用率的变化,如有下降则证明配置生效。检测方法：1、使用DHCPflood攻击工具发起大量的DHCPdiscover请求包。2、观察AC下面的AP列表状态。,3.1AC安全要求,编号：安全要求-设备-配置-46要求内容：无线控制器应配置ARP阀值,防止因ARP广播风暴攻击造成WLAN业务系统大量AP退服。安全性分析：操作指南：1、使用limit命令限制了,arp的请求门阀,解决了此问题。Up-limitarp802、在AC上静态绑定AP的MAC和IP地址对应关系,保持AC与AP的稳定通信,对于网络中的ARP请求一律拒绝。配置建议:配置拒绝ARP规则macaccess-listextendedARP-DENY-WIRELESSdenyanyff:ff:ff:ff:ff:ff/ff:ff:ff:ff:ff:fftypearprule-precedence10permitanyanytypearprule-precedence15permitanyanyrule-precedence20permitanyanytypeiprule-precedence5000在相应的WLAN策略中应用wlan-acl1ARP-DENY-WIRELESSout,3.1AC安全要