部署無(wú)線IPS

　　無(wú)線技術(shù)的廣泛應(yīng)用使無(wú)線入侵防護(hù)系統(tǒng)日益受到追捧。但所有無(wú)線IPS廠商都聲稱，它們的解決方案可以提供全面的入侵防護(hù)。真的是這樣嗎？每家廠商定義無(wú)線IPS的方式都各不相同，因此，產(chǎn)品在設(shè)計(jì)、偵測(cè)攻擊方式以及如何應(yīng)對(duì)攻擊者等方面各不相同; 此外，也不可能一種產(chǎn)品能適合所有的環(huán)境。那么，該如何部署無(wú)線入侵防護(hù)系統(tǒng)呢？

　　Forrester研究公司稱，選擇正確的入侵防護(hù)系統(tǒng)并不只是“一種產(chǎn)品適合所有環(huán)境”的簡(jiǎn)單問(wèn)題，比如，最適合市區(qū)辦公室的產(chǎn)品對(duì)于郊區(qū)的校園也許就大材小用了。所以，在選擇時(shí)，人們應(yīng)該擦亮眼睛。

　　選擇正確的無(wú)線IPS

　　有線和無(wú)線入侵偵測(cè)與預(yù)防解決方案有很多相同之處：兩者均能監(jiān)控周邊情況，發(fā)現(xiàn)不友好的行為方式，并采取相應(yīng)的措施。兩者均尋求把假攻擊的數(shù)量降至最低，并集中資源應(yīng)對(duì)真正的問(wèn)題。但兩者的相同之處也就僅此而已。有線IPS可以監(jiān)控已經(jīng)在網(wǎng)絡(luò)上運(yùn)行的設(shè)備的行為，并偵測(cè)和封鎖潛在的有害活動(dòng)。與此形成對(duì)比的是，無(wú)線IPS的目的是確保只有授權(quán)了的設(shè)備可以參與網(wǎng)絡(luò)。

　　因此，無(wú)線IPS解決方案關(guān)注的主要是無(wú)線設(shè)備與網(wǎng)絡(luò)連接的那一時(shí)刻，而不是已經(jīng)與網(wǎng)絡(luò)連接的那些設(shè)備都在干些什么。同樣地，大多數(shù)好的無(wú)線IPS解決方案只在數(shù)據(jù)連接層或更低層工作，以便把它們所運(yùn)行的無(wú)線環(huán)境里占優(yōu)勢(shì)的情況考慮在內(nèi)。在市區(qū)環(huán)境里，這一點(diǎn)尤其重要，因?yàn)樵谑袇^(qū)環(huán)境里，相鄰辦公室、家庭，甚至路過(guò)的送貨車都配備了無(wú)線接入點(diǎn)，都會(huì)使那些簡(jiǎn)單的“無(wú)賴接入點(diǎn)”偵測(cè)解決方案陷入大混亂中。

　　制訂無(wú)線IPS需求清單

　　在制訂潛在無(wú)線IPS廠商清單之前，問(wèn)自己以下的問(wèn)題。

　　首先要明確，你需要使用無(wú)線IPS解決什么問(wèn)題？明確你實(shí)現(xiàn)無(wú)線入侵偵測(cè)系統(tǒng)(IDS)或IPS的目標(biāo)將有助于你盡早縮小你的清單范圍。比如，AirMagnet公司、Network Chemistry公司以及AirDefense公司之類的廠商的目標(biāo)是偵測(cè)和封鎖WLAN上的異常行為，如“無(wú)賴接入點(diǎn)”，或封鎖來(lái)自諸如NetStumbler或AirSnort之類常見(jiàn)攻擊工具的刺探等。而AirTight Networks公司和Newbury Networks公司之類的其他廠商關(guān)注的更多是，如何根據(jù)未授權(quán)無(wú)線設(shè)備所在位置之類的因素，使這些未授權(quán)設(shè)備無(wú)法進(jìn)入網(wǎng)絡(luò)。

　　其次，你的無(wú)線基礎(chǔ)設(shè)施戰(zhàn)略是什么？無(wú)線IDS僅僅只是全面的無(wú)線安全戰(zhàn)略的一部分。比如Aruba Wireless Networks公司和AireSpace公司之類的廠商把無(wú)線IPS功能與那些性能和設(shè)備管理之類范圍更廣泛的基礎(chǔ)設(shè)施功能融為了一體。然而，由于這些產(chǎn)品重點(diǎn)都不是很明確，因此，它們的攻擊偵測(cè)和防護(hù)方法開發(fā)得也就不是很好。

　　第三，你對(duì)廠商風(fēng)險(xiǎn)的要求是什么？目前在無(wú)線空間打拼的許多廠商都是些剛起步的小型公司。因此，它們一定期待合并和收購(gòu)。那些大廠商，如Cisco公司、3Com公司以及Hewlett-Packard等最終將進(jìn)入這一空間，但是，他們肯定會(huì)有所懷疑——因?yàn)檫@些聯(lián)網(wǎng)巨擎始終都把功能和速度放在比安全更優(yōu)的地位。

　　向潛在廠商提出重要問(wèn)題

　　一旦明確了實(shí)現(xiàn)無(wú)線IPS的重點(diǎn)，并得到了最終候選廠商的回應(yīng)，那么，你將很快地發(fā)現(xiàn)，廠商解決問(wèn)題的方法極其不同。如下是你必須向潛在廠商提出的四個(gè)至關(guān)重要的問(wèn)題。

　　1. 它將如何解決問(wèn)題？解決方案，如AirMagnet公司的解決方案等，都是用網(wǎng)絡(luò)傳感器處理通信信息。這樣雖然會(huì)減少傳感器與中央服務(wù)器之間所需的網(wǎng)絡(luò)帶寬，但是，這卻意味著，管理和更新傳感器變得更為關(guān)鍵了。AirDefense公司和Network Chemistry公司的無(wú)線IDS可以在把數(shù)據(jù)傳送給中央服務(wù)器接受檢查之前，在傳感器上進(jìn)行初步的數(shù)據(jù)分析和清除。這樣雖然將增加網(wǎng)絡(luò)和中央服務(wù)器的負(fù)擔(dān)，但卻允許對(duì)來(lái)自多個(gè)接入點(diǎn)的數(shù)據(jù)進(jìn)行更為復(fù)雜的相互關(guān)聯(lián)。

　　2. 它將如何偵測(cè)攻擊？有些無(wú)線IPS主要使用基于簽名的攻擊偵測(cè)。然而，這些基于簽名的解決方案的技巧卻極為不同。例如，Cisco Works Wireless LAN Solution Engine(WLSE)里的功能除了能偵測(cè)“無(wú)賴接入點(diǎn)”之外，基本上不能做別的。與此形成對(duì)比的是，AirMagnet公司、AirDefense公司和Network Chemistry公司則為其基于簽名的偵測(cè)功能增加了基于固件的偵測(cè)功能，以應(yīng)對(duì)更為復(fù)雜的拒絕服務(wù)(DoS)攻擊。Newbury Networks公司和AirTight Networks公司采用的是更加基于政策的方法來(lái)偵測(cè)攻擊，使用已知設(shè)備的數(shù)據(jù)庫(kù)和技術(shù)以及可以確定設(shè)備物理定位的技術(shù)，來(lái)偵測(cè)針對(duì)無(wú)線網(wǎng)絡(luò)的未經(jīng)授權(quán)的行動(dòng)。

　　3. 它將如何應(yīng)對(duì)攻擊？無(wú)線IPS采用許多不同的方法來(lái)隔離那些與未授權(quán)的活動(dòng)有關(guān)的設(shè)備。更簡(jiǎn)單的解決方案只能使那些“無(wú)賴接入點(diǎn)”端口失效。其他解決方案，如AirMagnet公司和Network Chemistry公司的解決方案，則發(fā)送“解除關(guān)系”或“取消授權(quán)”信息包，斷開客戶機(jī)與未經(jīng)授權(quán)的接入點(diǎn)的連接，或者，定位未經(jīng)授權(quán)的客戶機(jī)。更復(fù)雜的解決方案，其中包括AirDefense公司和AirTight Networks公司的解決方案，則可以識(shí)別攻擊者的構(gòu)造和模型，并發(fā)送組合信息包，這種信息包可以在該設(shè)備發(fā)動(dòng)另一次攻擊之前，以最長(zhǎng)的時(shí)間最有效地定位該設(shè)備。

　　4. 廠商的合作伙伴是誰(shuí)？無(wú)線IPS、無(wú)線聯(lián)網(wǎng)以及其他廠商之間的合作伙伴關(guān)系網(wǎng)非常復(fù)雜。確信最后挑選的廠商的合作伙伴能夠更有效更輕松地與你進(jìn)行互操作。例如，AirMagnet公司與AirLink Communications公司和Wavelink公司建立了良好的合作伙伴關(guān)系，而AirDefense公司最近也宣布與Cisco公司建立了合作伙伴關(guān)系，并計(jì)劃把其產(chǎn)品與Cisco公司的Aironet WLAN基礎(chǔ)設(shè)施產(chǎn)品進(jìn)行集成。令人困惑的是，廠商經(jīng)常在OEM或聯(lián)合商標(biāo)的基礎(chǔ)上轉(zhuǎn)售相互之間的元件。出自Newbury Networks公司和Bluesocket公司的無(wú)線IPS產(chǎn)品就融入了Network Chemistry公司的傳感器。

　　一種產(chǎn)品并不適合所有環(huán)境

　　如何為你的環(huán)境找到正確的無(wú)線IPS取決于許多因素，如用戶的連接方式、公司安全標(biāo)準(zhǔn)以及預(yù)算等等。

　　以下是要考慮的幾個(gè)重點(diǎn)問(wèn)題。

　　首先，確定你的無(wú)線重點(diǎn)。最適合于你的產(chǎn)品取決于你的無(wú)線策略。如果你制訂的是沒(méi)有無(wú)線的策略，或者，如果你運(yùn)行的是開放的無(wú)線網(wǎng)絡(luò)，而這個(gè)網(wǎng)絡(luò)要求VPN客戶機(jī)與公司資源連接，那么，你必須把對(duì)“無(wú)賴接入點(diǎn)”的偵測(cè)列為你的重中之重。對(duì)于作為公司網(wǎng)絡(luò)的一部分的WLAN而言， 你最為關(guān)注的則必須是如何減少對(duì)客戶機(jī)和接入點(diǎn)的攻擊。

　　其次，選擇適合你的網(wǎng)絡(luò)和物理環(huán)境的系統(tǒng)。對(duì)與你的環(huán)境有關(guān)的產(chǎn)品的技術(shù)優(yōu)勢(shì)和不足進(jìn)行評(píng)估。在擁擠的市區(qū)環(huán)境里的辦公室需要比郊區(qū)校園環(huán)境里的辦公室需要更先進(jìn)的解決方案，以便把鄰近無(wú)線網(wǎng)絡(luò)活動(dòng)與真正的攻擊區(qū)分開來(lái)。同樣地，如果辦公室之間的網(wǎng)絡(luò)通信已使你的WAN擁擠不堪，那么，請(qǐng)選擇一個(gè)更加分散式的解決方案。

　　第三，考慮隱形成本。在對(duì)比不同無(wú)線IPS解決方案的成本的時(shí)候，請(qǐng)記住把安裝新的網(wǎng)絡(luò)硬件的成本包括進(jìn)去。如果解決方案要求使用單獨(dú)的IPS傳感器，那么，安裝成本將非常巨大，因?yàn)閭鞲衅魍ǔ６急仨毑渴鹪跓o(wú)法訪問(wèn)的地方。在這些難以抵達(dá)的地方，Power over Ethernet(PoE)可以大幅度地降低成本。你還必須考慮為了支持解決方案所需要的任何基于中央服務(wù)器的數(shù)據(jù)處理你所需要的硬件和軟件的成本。