取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

WLC 最佳实践-安全【原创翻译】

2566
查看次数
20
有帮助
5
评论
092544t73wjegjw3m8my7e.jpg
安全AP上的802.1x

  • 说明-通过在高安全性网络的AP上启用802.1X,提供更高的网络安全性。

  • 状态:


    • 兼容-已启用AP的802.1x身份验证

    • 不合规-已禁用AP的802.1x身份验证


  • CLI选项-通过输入以下命令在AP上启用802.1x:

  • (Cisco Controller) >config ap 802.1Xuser addusername ap-user password password all

CPU ACL

  • 说明-控制对WLC的整体访问

  • 状态:


    • 兼容-已配置

    • 不合规-未配置



客户排除

  • 说明?使Cisco WLC在特定条件下排除客户端加入。单击立即修复,将排除所有事件的客户端。

  • 状态:


    • 合规-为所有事件启用客户端排除

    • 不合规-所有事件均禁用客户端排除


  • CLI选项-通过输入以下命令为所有事件启用客户端排除:

    (Cisco Controller)>config wpsclient-exclusion all enable


旧版IDS

  • 说明-启用无线IDS功能和17个内置签名,以避免入侵攻击。单击立即修复,以启用签名检查。
    为使此最佳做法起作用,请确保至少启用了一个WLAN,并且已为WLAN启用了客户端排除列表。要启用WLAN的客户端排除列表,请使用conf wlan exclusionlist wlan-id enabled命令。

  • 状态:


    • 兼容-启用所有标准签名检查

    • 不合规-禁用所有标准签名检查


  • CLI选项-通过输入以下命令来启用签名检查:

  • (Cisco Controller) >config wps signature enable


本地管理密码策略

  • 说明?应该实施强密码策略。单击立即修复,将启用以下强密码策略:


    • 大小写检查-连续三次检查同一字符的出现

    • 连续检查—检查是否使用了默认值或其变体

    • 默认检查-检查用户名或反向使用

    • all-checks-启用/禁用所有强密码检查

    • 位置检查-从旧密码检查四个字符的范围

    • case-digit-check-检查所有四个组合是否存在:小写,大写,数字和特殊字符


  • 状态:


    • 兼容-启用了所有强密码策略

    • 不合规-启用某些密码策略或不启用密码策略


  • CLI选项-通过输入以下命令来启用所有强密码策略:

  • (Cisco Controller) >config switchconfig strong-pwd all-checks enable




最低Rogue RSSI阈值

  • 说明?指定流氓应该有的最小RSSI值,以便AP能够检测到它们以及在Cisco WLC中创建的流氓条目。推荐值为–80 dBm。单击立即修复,将流氓应具有的最小RSSI值更改为–80 dBm。

  • 状态:


    • 兼容–设置为–80 dBm

    • 不合规—设置为小于–80 dBm


  • CLI选项-通过输入以下命令来设置流氓应具有的最小RSSI值:

  • (Cisco Controller) >config rogue detection min-rssi rssi-in-dBm
点对点

  • 说明-对等阻止功能禁用客户端之间同一子网上的流量桥接。仅在不希望客户端到客户端通信的高安全性网络上才建议这样做。不建议在企业和语音部署中使用。

  • 状态:


    • 兼容-在一个或多个WLAN上启用了对等阻止

    • 不合规-对等阻塞在所有WLAN上均被禁用


  • CLI选项-通过输入以下命令启用对等阻塞:

  • (Cisco Controller) >config wlan peer-blockingdrop wlan-id



Rogue 策略

  • 说明-政策至少应为高。单击立即修复,将恶意检测安全级别设置为高。

  • 状态:


    • 合规-政策设置为高或更高

    • 不合规-策略设置为“自定义”。


  • 通过输入以下命令,将恶意检测安全级别设置为“高”:

  • (Cisco Controller) >config rogue detection security-level high


SSH / Telnet访问

  • 说明?默认情况下,应启用到WLC的SSH。单击立即修复,将启用S​​SH并禁用Telnet到WLC。

  • 状态:


    • 兼容-启用SSH;Telnet已禁用

    • 不合规-已启用SSH和Telnet,或者已禁用SSH和Telnet


  • CLI选项:


    • 通过输入以下命令来启用SSH:

      (CiscoController) >config network ssh enable

    • 通过输入以下命令来禁用Telnet:
      (Cisco Controller) >config network telnet disable




用户登录策略

  • 说明-提供用户登录策略以限制控制器本地网络用户的并发登录数。您可以限制并发登录的数量,并且建议大于默认值0(无限制)。

  • 状态:


    • 兼容-已配置

    • 不合规-不存在用户登录策略


  • CLI选项:


    • 通过输入以下命令来验证netuser的限制:
      (CiscoController) >show netuser summary

    • 通过输入以下命令来配置用户登录策略:
      (思科控制器)>
      (Cisco Controller) >config netuser maxUserLogin count





具有WPA2或802.1X的WLAN

  • 说明-WLAN应该使用802.1X或WPA安全性。没有修复按钮。提供到WLAN页面的链接。默认情况下,第0天不强制使用802.1X。

  • 状态:


    • 兼容-如果至少一个WLAN使用802.1X或WPA,则启用

    • 不合规-已禁用





具有WPA2和AES策略的WLAN

  • 说明-我们建议您使用WPA2 + AES代替WPA + AES和TKIP,因为WPA2 + AES提供了更高的安全性。不建议使用WPA + AES,因此不建议使用。

  • 状态:


    • 兼容-所有配置了WPA + WPA2的WLAN都具有WPA2 + AES安全策略

    • 不合规-使用WPA + WPA2配置的所有WLAN都具有以下安全策略:


      • WPA + AES,WPA2 + AES

      • WPA + AES



  • CLI选项-使用以下CLI在WLAN上启用WPA2 + AES:

  • (Cisco Controller) >config wlan security wpaenable wlan-id




评论
xuxianda7
Engager
谢谢版主分享,学些了
jm.nie
Rising star
学一点,谢谢:D:D:D:D
liu_zhimin
Rising star
请问版主企业里WLC如何如AD域账号联动进行802.1X认证呢
likuo
Community Member
翻译的还可以。
bo chen
Beginner
干货满满,WLAN+802.1x确实是最佳无线认证解决方案
创建
认可您的同行
Content for Community-Ad