网络WiFi-ArubaOS无线入侵防护(WIP)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ArubaOS无线入侵防护(WIP)

Aruba 的无线入侵防护(WIP) 模块可以保护网络的移动边缘免受有害网络安全的无线威胁。将无线入侵防护集成到移动边缘基础结构中,就不再需要射频端子和安全设备的独立系统。WIP 模块为Aruba 移动系统提供了特殊功能,使管理员可以清楚地观察网络,阻挡恶意无线攻击、伪冒和未认证的入侵。

防止欺诈AP

欺诈AP 分类和自动阻拦

拒绝服务(DoS) 攻击侦测

管理框架洪水

未认证的入侵

认证洪水

探测请求洪水

伪冒AP 洪水

零探测响应

EAP 握手洪水

探测和网络发现

网络障碍侦测和广播探测

客户机入侵防护

蜜罐AP 防护

有效站点防护

网络入侵侦测

无线网桥

ASLEAP 攻击

监视

脆弱加密执行侦测

伪冒侦测和防护

MAC 地址欺骗

AP 伪冒

中间人攻击

不规则序列号侦测

侦测本身仅仅是保证企业环境免受不希望的无线访问的第一步。如果没有足够的方法来快速关闭入侵,侦测几乎是毫无用处的。没有对AP 和站点的精确分类(例如有效、欺诈或邻居),就无法对可能的入侵提供自动响应。

Aruba AP 定期扫描射频频谱的所有信道,捕获所有的802.11 通信,并在本地检查所有捕获的数据。只发送违反策略的数据到中央移动控制器,这样可以保证将其对无线网络性能的影响降到最小。当扫描环境时,Aruba 系统了解所有AP和站点的信息,并根据在线路上和在空气中发现的通信流为这些设备分类。这些通信是在移动控制器上收集并进行相互关联的。

Aruba 的WIP 模块提供了侦测和防护两种功能。它可以对用户和设备进行侦测和分类,这样管理员可以对无心和恶意的WLAN 访问作出反应。市场上没有其它任何产品提供这样的功能。

它能够精确地侦测并停止欺诈AP

独一无二的站点和用户分类

Aruba 无串谋分类系统对连接到网络的AP 和站点进行自动识别和分类。系统通过比较空气中的通信量和线路中的通信量来运作。当找到匹配时,则可以肯定设备属于本地网络,而不是邻近网络。这可以避免管理员收到错误警报,因为只有对真正的欺诈设备才进行这样的分类。

侦测和禁用欺诈AP

Aruba 的分类法则允许系统精确地确定哪些AP 构成威胁,哪些不构成威胁。一旦将这些AP 分类为欺诈,则将自动禁用它们。同时也会通知管理员这些欺诈设备的存在以及在平面图上指出它们的精确物理位置,这样就可以从网络移除它们。

拒绝服务和伪冒防护

由于无线网络的特性,因此它是拒绝服务攻击的一个有吸引力的目标。这些攻击包括用联合请求阻塞网络的软件,让一台笔记本计算机看起来像是上千个AP 的攻击,以及未认证洪水。Aruba 移动控制器配备有ArubaOS WIP 模块,可以维护许多不同无线攻击的签名,并可以阻塞它们,这样服务就不会中断。

高级拒绝服务(DoS) 防护将保护企业的安全免受许多种无线攻击的威胁,包括联合请求和未认证洪水、蜜罐以及AP 和站点伪冒。根据位置签名和客户机分类,Aruba AP 将删除非法请求并生成警告以通知管理员此类威胁。

中间人防护

在无线网络中,“中间人”攻击是一种很常见的攻击。在中间人攻击期间,黑客伪装成一个合法AP。然后,通过假扮成一个中继点,这个中间人欺骗用户和其他AP 通过未认证的设备发送数据。接着,一个攻击者可以修改或覆盖数据或执行密码破解程序。

Aruba AP 监视空气以侦测其它伪装成有效AP 的无线站点。当侦测到这些伪装点时,将会采取合适的防护机制。Aruba 移动控制器也会在网络上追踪每台无线客户机独一无二的“签名”。如果引入的新站点宣称自己是一台特殊的客户机,但又没有正确的签名,则侦测出它是伪冒站点。

策略定义和执行

ArubaOS WIP 模块提供了许多策略,当违反策略时,可以将这些策略配置为自动采取行动。无线策略的示例包括脆弱WEP 执行侦测、AP 误配置保护、自组织网络侦测和保护、未认证NIC 类型侦测以及无线网桥侦测等等。

使用无线来保护有线网络

即使此时无线网络还未得到认可,但没有安全意识的企业无法做任何工作。当欺诈AP 不知不觉地接入网络端口时,Aruba WIP 避免无线通信进入有线网络。使用配备有WIP 的Aruba 移动系统,可以保护企业网络免受无线安全漏洞的威胁。而且当企业准备部署无限局域网时,可以方便地重新配置Aruba 系统以提供可升级和安全的无线局域网基础结构。

使用无线来保护现有的无线网络

配备有WIP 的Aruba 移动系统可以提供必要的侦测和保护,使现有的无线网络拒绝不希望的无线访问。ArubaOS WIP 通过提供第一代无线产品不具备的高级射频安全和控制功能,补充并增强了现有的WLAN 部署,包括Cisco 部署。

无线入侵防护侦测所有范围的射频威胁

功能优点

完成无线入侵侦测和防护在单个企业类系统中保护系统免受所有已知的无线威胁。

无串谋无线分类引擎独一无二的威胁分类并启用基于策略的自动响应。

实时远程监测和入侵分析无需任何网络安全职员的全方位24 x 7 保护。友好的WAN friendly — 不占用大量带宽。

集中管理全球配置企业WLAN 策略,而在每个AP 进行本地执行。

可编程的签名分析侦测和保护普通网络免受探测以及攻击工具(例如Net Stumbler、Wellenreiter 和AirJack)的攻击。

可升级和可编程的WIP 系统针对新的攻击快速提供保护。

弹性部署选项将Aruba WIP 部署为现有无线环境中的一个集成部分或一个可以防护无线入侵和欺诈AP 的覆盖。

相关文档
最新文档