草庐IT

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇

LeadlifeSec0x 2023-07-18 原文

2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇

author:leadlife
time:2022/3/11
知识星球:LeadlifeSec
技术交流群:775454947

在前面的篇章中,我们完成了 RS,FW,WAF,NETLOG 等安全设备配置,但仅缺无线 AC 与 AP 的配置过程,让我继续带领大家进入 WLAN 的题目,一步一步参悟与解析,望能对大家起到抛砖引玉的作用。

文章目录

WS DHCP 下发三层发现 AP 被动上线

涉及题目

WS上配置DHCP,管理VLAN为VLAN101,为AP下发管理地址,保证完成AP注册; 为无线用户VLAN10,20, 有线用户VLAN 30,40下发IP地址;

注意点

  • AP 上需要配置 DHCP 服务,通过 Option 43 特殊字段下发
  • RS 需要配置 DHCP 服务,为业务用户下发 IP 地址,同时做 DHCP 中继转发 WS DHCP 报文以 AP 被动发现

操作

WS 配置 DHCP 服务下发 IP
WS#config          
WS(config)#service dhcp     
WS(config)#ip dhcp pool AP           
WS(dhcp-ap-config)#network-address 192.168.101.0 255.255.255.0
WS(dhcp-ap-config)#default-router 192.168.101.1                                  
WS(dhcp-ap-config)#option 43 hex 0104C0A86401 `这里注意,是 AP 的 VLAN 100 管理地址 hex`
WS(dhcp-ap-config)#exit 

WS(config)#ip dhcp pool 10        
WS(dhcp-10-config)#network-address 172.16.10.0 255.255.255.0
WS(dhcp-10-config)#default-router 172.16.10.1
WS(dhcp-10-config)#exit

WS(config)#ip dhcp pool 20
WS(dhcp-20-config)#network-address 172.16.20.0 255.255.255.128
WS(dhcp-20-config)#default-router 172.16.20.1
WS(dhcp-20-config)#exit

WS(config)#ip dhcp pool 30           
WS(dhcp-30-config)#network-address 172.16.30.0 255.255.255.192
WS(dhcp-30-config)#default-router 172.16.30.1    
WS(dhcp-30-config)#exit

WS(config)#ip dhcp pool 40        
WS(dhcp-40-config)#network-address 172.16.40.0 255.255.255.192
WS(dhcp-40-config)#default-router 172.16.40.1
WS(dhcp-40-config)#exit

WS(config)#ip forward-protocol udp bootps
RS 开启 DHCP 中继转发 DHCP 服务器 AC VLAN
CS6200-28X-EI(config)#service dhcp
CS6200-28X-EI(config)#ip forward-protocol udp bootps 
CS6200-28X-EI(config)#int vlan 101
CS6200-28X-EI(config-if-vlan101)#ip helper-address 192.168.100.1
CS6200-28X-EI(config-if-vlan101)#exit

以上操作完毕后,AP 应当获取到 IP 地址,且 AC 与 AP 可通信

WS#show ip dhcp binding 
Total dhcp binding items: 1, the matched: 1
IP address          Hardware address         Lease expiration         Type
192.168.101.2       00-03-0F-82-2D-B0        Tue Jan 03 01:39:00 2006 Dynami

WS#ping 192.168.101.2
Sending 5 56-byte ICMP Echos to 192.168.101.2, timeout is 2 seconds.
!!!!!
WS 操刀 AP 三层被动上线
WS(config)#wireless 
WS(config-wireless)#enable 
WS(config-wireless)#no auto-ip-assign 
WS(config-wireless)#static-ip 192.168.100.1
WS(config-wireless)#ap authentication none                 
WS(config-wireless)#discovery ip-list 192.168.101.2
WS(config-wireless)#ap database 00-03-0F-82-2D-B0

完成上述步骤后,AP 应当成功上线

WS#show wireless ap status
           
 (*) Peer Managed  IP Address                              Profile Status     Status           Age      
------------------ --------------------------------------- ------- ------- ------------
 00-03-0f-82-2d-b0 192.168.101.2                           1       Managed Success       0d:00:00:04

WS WLAN SSID 与安全配置

涉及题型

在NETWORK下配置SSID,需求如下:
1:NETWORK 1下设置SSID ABC2021,VLAN10,加密模式为wpa-personal,其口令为ABCE2024;
2:NETWORK 2下设置SSID GUEST,VLAN20不进行认证加密,做相应配置隐藏该SSID;

注意点

  • 加密模式需要注意
  • NETWORK 2 需要注意,不进行加密认证,却隐藏

操作

(1)
WS(config-wireless)#network 1
WS(config-network)#ssid ABC2021
WS(config-network)#vlan 10
WS(config-network)#security mode wpa-personal 
WS(config-network)#wpa key ABCE2024
(2)
WS(config-network)#network 2
WS(config-network)#ssid GUEST
WS(config-network)#vlan 20
WS(config-network)#hide-ssi

WS WLAN 本地认证

涉及题型

NETWORK 1开启内置portal+本地认证的认证方式,账号为ABC密码为ABCE2024;

注意点

  • 开启内置 portal
  • 开启本地认证

命令

codeexplanation
captive-portal进入 WS 本地认证模块
authentication-type internal设置认证模式为内置认证(内置本地认证),需要注意,这里并非本地认证,可以当作一个登录模式
verification local配置为本地认证
group a给予绑定用户的用户组
interface ws-network 1加入绑定无线节点

操作

WS(config)#captive-portal 
WS(config-cp)#enable 

WS(config-cp)#authentication-type internal 
WS(config-cp)#user ABC
WS(config-cp-local-user)#password ABCE2024
WS(config-cp-local-user)#group a 
WS(config-cp-local-user)#exit

WS(config-cp)#configuration 1
WS(config-cp-instance)#verification local 
WS(config-cp-instance)#group a
WS(config-cp-instance)#interface ws-network 1

WS WLAN 接入控制-用户隔离

涉及题型

配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户,并对GUEST网络进行流控,上行1M,下行2M;配置所有无线接入用户相互隔离;

操作

WS(config-cp)#exit
WS(config)#wireless 
WS(config-wireless)#network 2
WS(config-wireless)#max-clients 10
WS(config-network)#time-limit from 00:00 to 06:00 weekday all
WS(config-network)#qos max-bandwidth up 1024
WS(config-network)#qos max-bandwidth down 2048
WS(config-network)#exit


这里需要将无线的用户所处端口加入隔离组
WS(config-ap-profile)#station-isolation allowed vlan add 10  
WS(config-ap-profile)#station-isolation allowed vlan add 20
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#station-isolation

WS WLAN AP 版本检测自动升级-延迟 AP 发送帧时间 -配置 AP 超时状态-AP 脱离 AC 情况自主工作

类似题型

配置当AP上线,如果AC中储存的Image版本和AP的Image版本号不同时,会触发AP自动升级;配置AP发送向无线终端表明AP存在的帧时间间隔为1秒;配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时;配置AP在脱离AC管理时依然可以正常工作;

操作

检测 AP 版本不符自动升级操作
WS(config)#wireless 
WS(config-wireless)#ap auto-upgrade
延迟 AP 发送帧时间操作
WS(config-wireless)#ap profile 1
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#beacon-interval 1000
操作 AP 超时状态-AP 脱离 AC 情况自主工作
WS(config-wireless)#wireless ap anti-flood agetime 120	`超时探测时间`
WS(config-wireless)#agetime ap-failure 2				`状态失败超时时间`

WS(config-wireless)#ap profile 1
WS(config-ap-profile)#ap ?
  escape  开启或关闭AP 逃生模式

WS(config-ap-profile)#ap escape
WS(config-ap-profile)#ap escape client-persist

WS WALN 低于 num% 信号值禁止连接-AP 威胁探测

涉及题目

为防止外部人员蹭网,现需在设置信号值低于50%的终端禁止连接无线信号;为防止非法AP假冒合法SSID,开启AP威胁检测功能;

操作

操作低于阈值禁止链接
WS(config-wireless)#ap profile 1           
WS(config-ap-profile)#radio 1
WS(config-ap-profile-radio)#client-reject rssi-threshold 50
WS(config-ap-profile-radio)#exit
WS(config-ap-profile)#exit
操作 AP 威胁探测
WS(config-wireless)#wids-security fakeman-ap-managed-ssid  
                
WS(config-wireless)#wids-security ap-de-auth-attack 

WS(config-wireless)#wids-security managed-ap-ssid-invalid 

WS(config-wireless)#end            
              
WS#wireless ap profile apply 1

关于这题,我建议这里全打上,多打不扣分

罕见赛题的总结

RS、WS运行静态组播路由和因特网组管理协议第二版本;PC1启用组播,使用VLC工具串流播放视频文件1.mpg,组地址228.10.10.7,端口:3456,实现PC2可以通过组播查看视频播放。

VLAN 40 RS ETH1/0/4172.16.40.1/26PC2
VLAN 30 WS ETH1/0/3172.16.30.1/26PC1

操作

ip igmp snooping
ip igmp snooping vlan 100
ip igmp snooping vlan 100 static-group 228.10.10.5 source 192.168.100.1 interface e1/0/

RS(config)#ip igmp snooping vlan 100
RS(config)#ip igmp snooping vlan 100 l2-general-querier-version 2

版本

RS(config)#int vlan 100
RS(config-if-vlan100)#ip igmp version 2

End

仅此,《2021-技能大赛-信息安全管理与评估-DCN 设备总结》 篇章已完毕,感谢大家的阅读并提出宝贵的意见,也感谢我的指导老师,为此我开源自身对 DCN 安全设备篇的配置总结,仅为广大安全业界贡献一份自身的薄力,提升大家对安全设备的一些理解与渗透,仅此,误念

安全管理终结spanclasstoken安全网络linux

有关2021-技能大赛-信息安全管理与评估-DCN 设备总结 (下)-任务二-无线与安全配置篇-终结篇的更多相关文章

  1. ruby-on-rails - Rails 常用字符串(用于通知和错误信息等) - 2

    大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje

  2. ruby - 解析 RDFa、微数据等的最佳方式是什么,使用统一的模式/词汇(例如 schema.org)存储和显示信息 - 2

    我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i

  3. ruby - 如何使用 Ruby aws/s3 Gem 生成安全 URL 以从 s3 下载文件 - 2

    我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A

  4. ruby - 如何安全地删除文件? - 2

    在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?

  5. 【鸿蒙应用开发系列】- 获取系统设备信息以及版本API兼容调用方式 - 2

    在应用开发中,有时候我们需要获取系统的设备信息,用于数据上报和行为分析。那在鸿蒙系统中,我们应该怎么去获取设备的系统信息呢,比如说获取手机的系统版本号、手机的制造商、手机型号等数据。1、获取方式这里分为两种情况,一种是设备信息的获取,一种是系统信息的获取。1.1、获取设备信息获取设备信息,鸿蒙的SDK包为我们提供了DeviceInfo类,通过该类的一些静态方法,可以获取设备信息,DeviceInfo类的包路径为:ohos.system.DeviceInfo.具体的方法如下:ModifierandTypeMethodDescriptionstatic StringgetAbiList​()Obt

  6. MIMO-OFDM无线通信技术及MATLAB实现(1)无线信道:传播和衰落 - 2

     MIMO技术的优缺点优点通过下面三个增益来总体概括:阵列增益。阵列增益是指由于接收机通过对接收信号的相干合并而活得的平均SNR的提高。在发射机不知道信道信息的情况下,MIMO系统可以获得的阵列增益与接收天线数成正比复用增益。在采用空间复用方案的MIMO系统中,可以获得复用增益,即信道容量成倍增加。信道容量的增加与min(Nt,Nr)成正比分集增益。在采用空间分集方案的MIMO系统中,可以获得分集增益,即可靠性性能的改善。分集增益用独立衰落支路数来描述,即分集指数。在使用了空时编码的MIMO系统中,由于接收天线或发射天线之间的间距较远,可认为它们各自的大尺度衰落是相互独立的,因此分布式MIMO

  7. 神州数码无线产品(AC+AP)配置 - 2

    注意:本文主要掌握DCN自研无线产品的基本配置方法和注意事项,能够进行一般的项目实施、调试与运维AP基本配置命令AP登录用户名和密码均为:adminAP默认IP地址为:192.168.1.10AP默认情况下DHCP开启AP静态地址配置:setmanagementstatic-ip192.168.10.1AP开启/关闭DHCP功能:setmanagementdhcp-statusup/downAP设置默认网关:setstatic-ip-routegeteway192.168.10.254查看AP基本信息:getsystemgetmanagementgetmanaged-apgetrouteAP配

  8. ruby - 用 YAML.load 解析 json 安全吗? - 2

    我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("

  9. ruby - what is - gets is a directory - 错误信息 - 2

    我遇到了这个奇怪的错误.../Users/gideon/Documents/ca_ruby/rubytactoe/lib/player.rb:13:in`gets':Isadirectory-spec(Errno::EISDIR)player_spec.rb:require_relative'../spec_helper'#theuniverseisvastandinfinite...itcontainsagame....butnoplayersdescribe"tictactoegame"docontext"theplayerclass"doit"musthaveahumanplay

  10. ruby-on-rails - 安全地显示使用回形针 gem 上传的图像 - 2

    默认情况下:回形针gem将所有附件存储在公共(public)目录中。出于安全原因,我不想将附件存储在公共(public)目录中,所以我将它们保存在应用程序根目录的uploads目录中:classPost我没有指定url选项,因为我不希望每个图像附件都有一个url。如果指定了url:那么拥有该url的任何人都可以访问该图像。这是不安全的。在user#show页面中:我想实际显示图像。如果我使用所有回形针默认设置,那么我可以这样做,因为图像将在公共(public)目录中并且图像将具有一个url:Someimage:看来,如果我将图像附件保存在公共(public)目录之外并且不指定url(同

随机推荐