2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇
生活随笔
收集整理的這篇文章主要介紹了
2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
2021-技能大賽-信息安全管理與評估-DCN 設備總結 (下)-任務二-無線與安全配置篇-終結篇
author:leadlife
time:2022/3/11
知識星球:LeadlifeSec
技術交流群:775454947
在前面的篇章中,我們完成了 RS,FW,WAF,NETLOG 等安全設備配置,但僅缺無線 AC 與 AP 的配置過程,讓我繼續帶領大家進入 WLAN 的題目,一步一步參悟與解析,望能對大家起到拋磚引玉的作用。
文章目錄
- 2021-技能大賽-信息安全管理與評估-DCN 設備總結 (下)-任務二-無線與安全配置篇-終結篇
- WS DHCP 下發三層發現 AP 被動上線
- 涉及題目
- 注意點
- 操作
- WS 配置 DHCP 服務下發 IP
- RS 開啟 DHCP 中繼轉發 DHCP 服務器 AC VLAN
- WS 操刀 AP 三層被動上線
- WS WLAN SSID 與安全配置
- 涉及題型
- 注意點
- 操作
- (1)
- (2)
- WS WLAN 本地認證
- 涉及題型
- 注意點
- 命令
- 操作
- WS WLAN 接入控制-用戶隔離
- 涉及題型
- 操作
- WS WLAN AP 版本檢測自動升級-延遲 AP 發送幀時間 -配置 AP 超時狀態-AP 脫離 AC 情況自主工作
- 類似題型
- 操作
- 檢測 AP 版本不符自動升級操作
- 延遲 AP 發送幀時間操作
- 操作 AP 超時狀態-AP 脫離 AC 情況自主工作
- WS WALN 低于 num% 信號值禁止連接-AP 威脅探測
- 涉及題目
- 操作
- 操作低于閾值禁止鏈接
- 操作 AP 威脅探測
- 罕見賽題的總結
- RS、WS運行靜態組播路由和因特網組管理協議第二版本;PC1啟用組播,使用VLC工具串流播放視頻文件1.mpg,組地址228.10.10.7,端口:3456,實現PC2可以通過組播查看視頻播放。
- 操作
- 版本
- End
WS DHCP 下發三層發現 AP 被動上線
涉及題目
WS上配置DHCP,管理VLAN為VLAN101,為AP下發管理地址,保證完成AP注冊; 為無線用戶VLAN10,20, 有線用戶VLAN 30,40下發IP地址;注意點
- AP 上需要配置 DHCP 服務,通過 Option 43 特殊字段下發
- RS 需要配置 DHCP 服務,為業務用戶下發 IP 地址,同時做 DHCP 中繼轉發 WS DHCP 報文以 AP 被動發現
操作
WS 配置 DHCP 服務下發 IP
WS#config WS(config)#service dhcp WS(config)#ip dhcp pool AP WS(dhcp-ap-config)#network-address 192.168.101.0 255.255.255.0 WS(dhcp-ap-config)#default-router 192.168.101.1 WS(dhcp-ap-config)#option 43 hex 0104C0A86401 `這里注意,是 AP 的 VLAN 100 管理地址 hex` WS(dhcp-ap-config)#exit WS(config)#ip dhcp pool 10 WS(dhcp-10-config)#network-address 172.16.10.0 255.255.255.0 WS(dhcp-10-config)#default-router 172.16.10.1 WS(dhcp-10-config)#exitWS(config)#ip dhcp pool 20 WS(dhcp-20-config)#network-address 172.16.20.0 255.255.255.128 WS(dhcp-20-config)#default-router 172.16.20.1 WS(dhcp-20-config)#exitWS(config)#ip dhcp pool 30 WS(dhcp-30-config)#network-address 172.16.30.0 255.255.255.192 WS(dhcp-30-config)#default-router 172.16.30.1 WS(dhcp-30-config)#exitWS(config)#ip dhcp pool 40 WS(dhcp-40-config)#network-address 172.16.40.0 255.255.255.192 WS(dhcp-40-config)#default-router 172.16.40.1 WS(dhcp-40-config)#exitWS(config)#ip forward-protocol udp bootpsRS 開啟 DHCP 中繼轉發 DHCP 服務器 AC VLAN
CS6200-28X-EI(config)#service dhcp CS6200-28X-EI(config)#ip forward-protocol udp bootps CS6200-28X-EI(config)#int vlan 101 CS6200-28X-EI(config-if-vlan101)#ip helper-address 192.168.100.1 CS6200-28X-EI(config-if-vlan101)#exit以上操作完畢后,AP 應當獲取到 IP 地址,且 AC 與 AP 可通信
WS#show ip dhcp binding Total dhcp binding items: 1, the matched: 1 IP address Hardware address Lease expiration Type 192.168.101.2 00-03-0F-82-2D-B0 Tue Jan 03 01:39:00 2006 DynamiWS#ping 192.168.101.2 Sending 5 56-byte ICMP Echos to 192.168.101.2, timeout is 2 seconds. !!!!!WS 操刀 AP 三層被動上線
WS(config)#wireless WS(config-wireless)#enable WS(config-wireless)#no auto-ip-assign WS(config-wireless)#static-ip 192.168.100.1 WS(config-wireless)#ap authentication none WS(config-wireless)#discovery ip-list 192.168.101.2 WS(config-wireless)#ap database 00-03-0F-82-2D-B0完成上述步驟后,AP 應當成功上線
WS#show wireless ap status(*) Peer Managed IP Address Profile Status Status Age ------------------ --------------------------------------- ------- ------- ------------00-03-0f-82-2d-b0 192.168.101.2 1 Managed Success 0d:00:00:04WS WLAN SSID 與安全配置
涉及題型
在NETWORK下配置SSID,需求如下: 1:NETWORK 1下設置SSID ABC2021,VLAN10,加密模式為wpa-personal,其口令為ABCE2024; 2:NETWORK 2下設置SSID GUEST,VLAN20不進行認證加密,做相應配置隱藏該SSID;注意點
- 加密模式需要注意
- NETWORK 2 需要注意,不進行加密認證,卻隱藏
操作
(1)
WS(config-wireless)#network 1 WS(config-network)#ssid ABC2021 WS(config-network)#vlan 10 WS(config-network)#security mode wpa-personal WS(config-network)#wpa key ABCE2024(2)
WS(config-network)#network 2 WS(config-network)#ssid GUEST WS(config-network)#vlan 20 WS(config-network)#hide-ssiWS WLAN 本地認證
涉及題型
NETWORK 1開啟內置portal+本地認證的認證方式,賬號為ABC密碼為ABCE2024;注意點
- 開啟內置 portal
- 開啟本地認證
命令
| captive-portal | 進入 WS 本地認證模塊 |
| authentication-type internal | 設置認證模式為內置認證(內置本地認證),需要注意,這里并非本地認證,可以當作一個登錄模式 |
| verification local | 配置為本地認證 |
| group a | 給予綁定用戶的用戶組 |
| interface ws-network 1 | 加入綁定無線節點 |
操作
WS(config)#captive-portal WS(config-cp)#enable WS(config-cp)#authentication-type internal WS(config-cp)#user ABC WS(config-cp-local-user)#password ABCE2024 WS(config-cp-local-user)#group a WS(config-cp-local-user)#exitWS(config-cp)#configuration 1 WS(config-cp-instance)#verification local WS(config-cp-instance)#group a WS(config-cp-instance)#interface ws-network 1WS WLAN 接入控制-用戶隔離
涉及題型
配置SSID GUEST每天早上0點到6點禁止終端接入; GUSET最多接入10個用戶,并對GUEST網絡進行流控,上行1M,下行2M;配置所有無線接入用戶相互隔離;操作
WS(config-cp)#exit WS(config)#wireless WS(config-wireless)#network 2 WS(config-wireless)#max-clients 10 WS(config-network)#time-limit from 00:00 to 06:00 weekday all WS(config-network)#qos max-bandwidth up 1024 WS(config-network)#qos max-bandwidth down 2048 WS(config-network)#exit這里需要將無線的用戶所處端口加入隔離組 WS(config-ap-profile)#station-isolation allowed vlan add 10 WS(config-ap-profile)#station-isolation allowed vlan add 20 WS(config-ap-profile)#radio 1 WS(config-ap-profile-radio)#station-isolationWS WLAN AP 版本檢測自動升級-延遲 AP 發送幀時間 -配置 AP 超時狀態-AP 脫離 AC 情況自主工作
類似題型
配置當AP上線,如果AC中儲存的Image版本和AP的Image版本號不同時,會觸發AP自動升級;配置AP發送向無線終端表明AP存在的幀時間間隔為1秒;配置AP失敗狀態超時時間及探測到的客戶端狀態超時時間都為2小時;配置AP在脫離AC管理時依然可以正常工作;操作
檢測 AP 版本不符自動升級操作
WS(config)#wireless WS(config-wireless)#ap auto-upgrade延遲 AP 發送幀時間操作
WS(config-wireless)#ap profile 1 WS(config-ap-profile)#radio 1 WS(config-ap-profile-radio)#beacon-interval 1000操作 AP 超時狀態-AP 脫離 AC 情況自主工作
WS(config-wireless)#wireless ap anti-flood agetime 120 `超時探測時間` WS(config-wireless)#agetime ap-failure 2 `狀態失敗超時時間`WS(config-wireless)#ap profile 1 WS(config-ap-profile)#ap ?escape 開啟或關閉AP 逃生模式WS(config-ap-profile)#ap escape WS(config-ap-profile)#ap escape client-persistWS WALN 低于 num% 信號值禁止連接-AP 威脅探測
涉及題目
為防止外部人員蹭網,現需在設置信號值低于50%的終端禁止連接無線信號;為防止非法AP假冒合法SSID,開啟AP威脅檢測功能;操作
操作低于閾值禁止鏈接
WS(config-wireless)#ap profile 1 WS(config-ap-profile)#radio 1 WS(config-ap-profile-radio)#client-reject rssi-threshold 50 WS(config-ap-profile-radio)#exit WS(config-ap-profile)#exit操作 AP 威脅探測
WS(config-wireless)#wids-security fakeman-ap-managed-ssid WS(config-wireless)#wids-security ap-de-auth-attack WS(config-wireless)#wids-security managed-ap-ssid-invalid WS(config-wireless)#end WS#wireless ap profile apply 1關于這題,我建議這里全打上,多打不扣分
罕見賽題的總結
RS、WS運行靜態組播路由和因特網組管理協議第二版本;PC1啟用組播,使用VLC工具串流播放視頻文件1.mpg,組地址228.10.10.7,端口:3456,實現PC2可以通過組播查看視頻播放。
| VLAN 30 WS ETH1/0/3 | 172.16.30.1/26 | PC1 |
操作
ip igmp snooping ip igmp snooping vlan 100 ip igmp snooping vlan 100 static-group 228.10.10.5 source 192.168.100.1 interface e1/0/ RS(config)#ip igmp snooping vlan 100 RS(config)#ip igmp snooping vlan 100 l2-general-querier-version 2版本
RS(config)#int vlan 100 RS(config-if-vlan100)#ip igmp version 2End
僅此,《2021-技能大賽-信息安全管理與評估-DCN 設備總結》 篇章已完畢,感謝大家的閱讀并提出寶貴的意見,也感謝我的指導老師,為此我開源自身對 DCN 安全設備篇的配置總結,僅為廣大安全業界貢獻一份自身的薄力,提升大家對安全設備的一些理解與滲透,僅此,誤念
總結
以上是生活随笔為你收集整理的2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: JS实现投票
- 下一篇: SteamVR---抓取物体