Wie zu Vergleichen und zu Verwenden, die Wireless-Intrusion-Detection-und-Prevention-Systeme
Sie sich dann bieten, reporting und Warnmeldungen, die gesendet werden können, um workflow-Systeme, trouble-ticketing-Systemen oder Netzwerk-management-Konsolen, oder Sie können gesendet werden, per e-mail oder pager an die Administratoren. Wireless-IDP-Systeme können auch verhindern, dass gegen Bedrohungen automatisch durch die Erkennung und Klassifizierung von Bedrohungen.
Dieser Artikel untersucht die wichtigsten Kräfte, die hinter der Annahme, wichtige Kriterien für den Vergleich und die Auswahl an WLAN-IDP-Systeme sowie dos und don ' TS für die Umsetzung.
Siehe auch die Schlüssel-features und-Funktionen in Wireless-Intrusion-System: Auswahl-Kriterien
Wireless-IDP-Markt-Treiber
Laut Gartner die wireless-intrusion-prevention-system-Markt ist relativ stabil. Weltweite Umsatz wuchs um 18 Prozent zwischen 2007 und 2008 von $119 Millionen auf 140 Millionen US-Dollar, nach John Pescatore, analyst bei Gartner. Er projiziert ein 14 Prozent bis 15 Prozent Wachstum im Jahr 2009.
Markt-Fahrer, jedoch hat sich in dieser Zeitspanne", sagt er. Vor zwei oder drei Jahren wurden die Unternehmen kaufen wireless IDP zu erkennen und zu verhindern, dass wireless-oder vor Angriffen zu schützen, die in den wenigen Bereichen des Unternehmens, wo es erlaubt war. Mit der wachsenden Akzeptanz von WLAN, jedoch, viele Unternehmen investieren in diese Instrumente zur Bewertung der Anfälligkeit für, zum Beispiel, falsch konfigurierte APs, rogue APs, außen-PCs eine Verbindung herstellen möchten der Firma APs oder der zufälligen Vereinigung von Firmen-PCs mit ausländischen APs.
"In einer dichten Umgebung können Sie eine Verbindung zum Netzwerk des Unternehmens im Obergeschoss oder über die Gasse," sagt Pescatore. "Sie sind also im Grunde die Bereitstellung hören sensoren um das Gebäude zu erkennen, diese Dinge."
Wireless-IDP-tools sind ebenfalls angedeutet als "best practice" in der PCI Data Security Standard, sagt John Kindervag, senior analyst bei Forrester Research. "Wir sehen es als einen Wachstumsbereich, da die PCI ist die Förderung Ihrer Nutzung für die drahtlose übertragung von Scans," Kindervag sagt.
Vordergrund der Überlegungen und der Vergleich Punkte
Integrierte versus overlay. Wireless-Netzwerk-Infrastruktur-Anbietern wie Aruba und Cisco bieten eine integrierte IDP-Funktionen, während andere Anbieter bieten overlay-Systeme, bereitgestellt und verwaltet getrennt von den operativen wireless-system. Infrastruktur-Anbieter-tools sind eng gekoppelt an die Hersteller der APs, die Durchführung der dual-Funktionen für den Zugang und Scannen für sicherheitsrelevante Informationen. Allerdings können Sie nicht erfüllen beide Funktionen zur gleichen Zeit, so gibt es Versorgungslücken, Pescatore Punkte aus. Auch, sagt er, Sie in der Regel nur überwachen, auf den Frequenzen, dass die AP sich selbst arbeitet. Inzwischen overlay-Systeme bieten sensoren, die zu 100 Prozent im "empfangen" - Modus und bieten full-security-monitoring über alle Frequenzen.
In der Regel, Pescatore, sagt, Unternehmen, die wollen, um zu verhindern, dass die Verwendung von drahtlos-Netzwerken—sowie Unternehmen gesperrt in älteren WLAN-Technologien berücksichtigen sollten overlay-Produkte. Diejenigen, die nicht über das budget für overlay-security-Systeme oder kleine drahtlose Netzwerk-Exposition oder geringen Sicherheitsanforderungen erfüllen können Ihre Bedürfnisse mit einem integrierten Ansatz, sagt er.
Paul DeBeasi, analyst bei der Burton Group, stimmt zu, dass für die große Mehrheit der Unternehmen, mit einem gemeinsamen sensor ist gut genug. "Die Menschen, die am meisten Risiko-Aversion und den Haushalt haben, sollten Sie gehen mit einem speziellen sensor", sagt er.
Chris Roberts, manager der Netzwerk-und security-Operationen bei Fahrzeug-Auktion provider Adesa, wählte die overlay-Ansatz von AirTight Networks, weil er sich trennen wollte, die data-transport-Funktion die Sicherheits-Funktion. "Ich mag es zu wissen, dass meine security-Produkt ist auch nicht meine Daten-transport-Produkt", sagt er. "Am Ende des Tages, alle Geräte sind anfällig für Fehler, und halten Sie isoliert—während mehr teuer—mehr rein, und ich bekomme viel höheren Wert."
Smart versus thin-sensor. Es gibt Unterschiede, wie wireless-IDP-sensoren und-Motoren arbeiten zusammen, die beeinflussen können, wie remote-management behandelt und die Bandbreite der Belastung im Netzwerk, Burton Group Punkte aus. Mit smart-sensoren, zum Beispiel, ein Teil der Daten ist-Analyse durchgeführt, die auf den sensor, die zu einer Reduzierung der Daten, die gesendet werden, um die Analyse-engine. Ein potentieller Nachteil dieser Architektur ist, dass die software auf die sensoren, erfordern möglicherweise upgrades auf dem Laufenden zu bleiben. Mit dünnen sensoren, die Burton Group, sagt, die Daten an den server zur Analyse. Obwohl einige Anbieter bieten eine Bandbreiten-management, diese Architektur führt im Ergebnis zu mehr Verkehr über das Netzwerk und Verarbeitung schwerer Lasten auf dem server, Burton Group, sagt.
Wireless-Intrusion-Detection-Dos und Don ' TS
Planen, Zeit zu verbringen Einstellung des Gerätes. Für Ryan Holland, CIO der Infrastruktur an Der Ohio State University, ein Schlüssel Faktor für den Erfolg der Verwendung der wireless-IDP-system von Aruba war, um das tool verwenden, benutzerdefinierte Regeln, um zu definieren, was ein rogue-AP ist. Mit der Universität befindet sich in der Nähe vieler Geschäfte, Wohnung, Gebäuden und Abteilungen, die auch die Bereitstellung von wireless-Netzwerken, den er nur knapp definiert, rogue-APs als diejenigen, die an der Uni Netzwerk-IDS erscheinen aber nicht auf der Liste der APs gelungen, durch seine Organisation. "Wir können sehen, dass APs von McDonald' s und Panera Bread, aber wir wollen nicht, Maßnahmen zu ergreifen gegen diejenigen, die, weil Sie unsere bekannten Nachbarn", sagt er.
Mit Aruba die übernahme von AirWave—das bietet ein rogue-Erkennung Modul innerhalb seiner wireless-management-suite—Holland gibt es sogar mehr Granularität, um die system-Regel-Anpassung. Zum Beispiel, kann er definieren, Schurken, basierend auf Eigenschaften wie Signalpegel-Schwellenwerten, oder ob der AP verbunden ist, um sowohl die drahtlose und drahtgebundene Netzwerke. Holland mag auch, dass er einmal die Form seiner Richtlinien und Warnungen, das system stellt automatisch eine Panne, die Klassifizierung der Arten von APs im Netzwerk. Dies trug zur Verringerung der Tausende von APs, die das system gemeldet, die auf etwa 30. "Wir könnten das Unkraut aus den Sachen, die wir nicht kümmern und berichten, was wir kümmern uns um", sagt er. "Sie bringt es auf ein menschliches Maß."
Jon Covington, senior network engineer bei UCLA Medical, sagt die Universität widmet eine Vollzeit-Ressource zu nutzen, die Motorola AirDefense-tool. "Wir wollen wissen, was dieser Knopf tut, was die Glocke oder Pfeife nicht", sagt er. "Es gibt auch Spiegel über mich selbst, die wissen müssen, es gibt gute ROI-und TCO ist, dass es nicht nur ein gadget." Es war es Wert, sagt er. "Wir waren in der Lage, den Entwurf einer Sicherheitsrichtlinie mit den Zähnen hinter sich, die es zu erfüllen HIPAA-standards", sagt er.
Covington ist auch damit einverstanden, dass es braucht Zeit, um mit dem system arbeiten, um zu helfen, den Sinn der Bände der gesammelten Daten. "Als es hört, es erfasst alles, was es sieht, aber Sie haben nur ein festes Volumen an Speicherplatz", sagt er. "Sie haben aggressiv zu sein zu wissen, was Sie wollen."
Auf diese Weise, sagt er, wireless IDP ist nicht für das schwache des Herzens. Covington schätzt, dass in zwei Jahren Zeit, seine Gruppe absolviert hat, um mit über 65 Prozent der tool-features. "Man kann nicht einfach hängen Sie es und lassen Sie es von selbst", sagt er. "Der 'wow' - Erfahrung, die Sie haben, um mit ihm zu arbeiten."
Siehe auch Wireless-Sicherheit: Die Grundlagen
Denken Sie über die integration mit einem management-tool. Pescatore empfiehlt, dass die security-und operations-Gruppen, die versuchen, zusammen zu arbeiten bei der Auswahl eines Systems, dass sowohl die drahtlose überwachung und Sicherheit. Das ist, weil, wenn die Gesellschaft entscheidet, ist voll zu unterstützen wireless, es ist nicht lange, bevor der Helpdesk beginnt immer Anrufe von Benutzer nicht auf das Netzwerk und Vorgänge braucht, um zu bestimmen, was das problem ist—ob es die access point -, Interferenz-oder dem client-PC. Air Magnet ist ein Anbieter, der Ihren Ursprung auf die Leistung und die Kapazität der Seite des Hauses, und zusätzlichen Sicherheitsfunktionen, betont er.
Roberts sagt Luftdicht ist, management-Fähigkeiten waren ein großer Grund, warum er in der Lage war, zu rechtfertigen, die Kosten der overlay-Lösung, besonders in seiner freien Umgebung, in denen die installation von WLAN-IDP-und access-points war besonders kostspielig, erfordern den Einsatz einer Scherenhebebühne und Fachpersonal.
"Als wir die Entscheidung, ein standalone-system, wussten wir gingen zu absorbieren zusätzliche Kosten, um die Arbeit zu tun", sagt er. Da jedoch Luftdichten system führt auch Verwaltungsaufgaben, Roberts sagt, fand er 40.000 US-Dollar in Kosteneinsparungen in nicht mit zu installieren wireless-Analysatoren, die verkauft für ungefähr $1.000 pro Gerät.
"Mit Luftdichten sensoren, Sie geben Ihnen direkten Zugriff auf die Daten, so dass Sie ziehen-Pakete aus der Luft und bringen Sie Sie nach unten, um die software-analyzer auf dem PC. Sie bekommen zwei Funktionen, die die Branche hatte nicht zusammen vor." Adesa-Netzwerk-Ingenieure auch die Liebe mit der Fähigkeit zu tun-real-time troubleshooting mit den Kunden, sagt er.
An der Ohio State, die Aruba sensoren senden Daten an die AirWave-controller, bietet monitoring, reporting, Konfiguration, Visualisierung und rogue-Erkennung. Obwohl Holland noch nicht in Anspruch genommen all diese Fähigkeiten, kann er sehen, seine zukünftigen Potentiale in der Universität ist dezentral Umgebung. Zum Beispiel, wenn eine andere Abteilung mit einer anderen WLAN-Infrastruktur-Anbieter wie Cisco will die Verwaltung durch Hollands zentrale Dienste Gruppe, die er unterbringen konnte, weil AirWave funktioniert mit mehreren Anbietern. "Wir würden in der Lage sein, um es von einem Ort", sagt er.
Übersehen Sie NICHT die Auswirkungen auf die Bandbreite. Holland sagt, es ist wichtig, das Gleichgewicht Daten-Granularität mit der Bandbreite betrifft. Während das system von Aruba ist nicht Bandbreiten-intensive, sagt er, es tut fügen Sie den Verwaltungsaufwand und zusätzliche Verarbeitung an den Controller", so müssen Sie prüfen, ob das Netzwerk unterstützen können, das erhöhen", sagt er.
Dies gilt insbesondere in Unternehmen mit remote-Niederlassungen. "Wenn Sie ein Feld Lage mit 180 kbit link zurück zum Hauptquartier und der sensor beginnt mit der gesamten 180 Kilobit, Sie können nicht Leben, dass Art und Weise", sagt Pescatore. Wenn Sie Netzwerken mit geringer Bandbreite, sollten Sie den Fokus auf Anbieter, die weitere Verarbeitung an den access point und reduzieren von Daten über das Netzwerk.
Erwarte NICHT, dass Präzision von location-services. Viele WLAN-IDP-tools bieten standortbezogene Dienste, die darauf angewiesen sind, triangulation Technologie zu schätzen, die physikalische Position eines drahtlosen Geräts, sorgt für die Genauigkeit innerhalb von drei Metern, wenn drei access points kann das signal zu erkennen, entsprechend zu InfoTech.
Einige haben auch Hinzugefügt, Lage und zone-based authentication, welche es dem Kunden ermöglicht, Zugriff auf die Daten von bestimmten APs im Netzwerk oder erstellen Sie die Authentifizierung Zonen, basierend auf client-Standort. Diese Technologie ist in der hohen Nachfrage, nach InfoTech.
Jedoch, Holland weist darauf hin, dass ein Produkt die Standort-Funktionen sind vollständig abhängig von sound-design. An der Universität, er sagt z.B., dass die APs sind so platziert, dass Sie nicht in der Lage bist, zu bestimmen, Schurke Position durch triangulation.
In der Tat, während die Hersteller behaupten, Sie können Ihnen die genaue Lage von Schurken oder falsch konfigurierte APs, Pescatore sagt, sind Sie eher, um einzugrenzen, um ein paar Liegeboxen oder die Ecke eines Gebäudes. Das ist, weil es gibt viele Dinge, die in Gebäuden, wie Metall, können block-AP-Signale, und die Platzierung hat oft mehr damit zu tun, wo Sie macht haben-oder Ethernet-verbindungen als optimal triangulation. Als Pescatore sagt, "don' T fall in love with location Fähigkeiten."
Holland war in der Lage zu verwenden, Aruba location services und Zeitstempel Unterstützung bei einer Untersuchung über einen Schüler, der spammt Universitäts-e-mail-Konten. "Es hat geholfen, die Detektive in der Lage sein zu sagen, 'Wir wissen, wurden Sie in dieser Zeit hier", sagt er. "Mit diesen Informationen, ist es schwer für den Angreifer zu leugnen, was er getan hat."
Roberts sagt, er sei beeindruckt von der location services, die Luftdicht versehentlich war in der Lage, um die Anzeige während einer Produkt-demo. Das tool detected rogue AP drei Büros entfernt—es stellte sich heraus—sein team hatte bereits bei einem anderen test einen Monat vor und vergessen hatte, zu demontieren. "Sie waren nur vier Meter entfernt von der tatsächlichen Lage", sagt er.
Verwenden Sie automatische Prävention sparsam. Holland nicht verwenden Aruba automatische prevention-Funktionen überhaupt. Stattdessen, er Bewertungen wöchentliche Berichte, zu klassifizieren, rogue APs im Netzwerk erkannt. Er untersucht diese Fälle, als Sie entdeckt wurden, von denen die APs -, signal-Stärke und-Dauer auf das Netzwerk. Wenn es gerechtfertigt ist, seine Gruppe geht an den Ort, wo der rogue erkannt wurde, für eine körperliche Untersuchung. "Die Erfahrung hat gezeigt, dass die meisten Fälle sind jemand misconfiguring Ihren laptop, wenn Sie versuchen, zu verbinden", sagt er.
Holland kann auch aus der Ferne "enthalten" APs, die bestimmte Kriterien erfüllen, die schützt Benutzer von der Teilnahme, dass AP während der Holland-Gruppe beginnt eine Untersuchung.
Siehe auch: Verantwortlichkeit im Enterprise-Wireless-Netzwerke
Sie betrachten ease-of-use, Eigentum und Betrieb. Roberts sagt Luftdicht ist, automatisierte management-und setup-Funktionen waren ein großer Grund, warum er schließlich ausgewählt, dass das Produkt, einschließlich der am Eingang der bekannten Geräte, und access-points. Mit 800 access points, könnte es nehmen Sie sich 15 Minuten pro Gerät anmelden, überprüfen Sie log-Daten und Schwachstellen zu erkennen, ganz zu schweigen von security-audits. Mit Luftdichten, jedoch device-management erfordert nicht einmal eine Vollzeitstelle. "Es ist Teil der WLAN-person die Aufgabe, die benötigen über 20 Prozent Ihrer Zeit", sagt er. "Luftdicht die Automatisierung hat in der hohen 90-Prozent-Bereich."
"Nun, das WLAN ist ziemlich gut angenommen, die Leute finden heraus, dass Sie brauchen nicht immer das beste system in Bezug auf die Sicherheit, die Sie brauchen, die Sie sich leisten können," Pescatore stimmt. Prüfen verfügbaren Werkzeuge für Ihre reporting -, Benutzer-interface und die zusätzlichen Informationen, die Sie bieten zu helfen, isolieren von Problemen wie denial-of-service-Angriff gegen Störungen aus einem undichten Mikrowelle, sagt er.
Covington, sagt er schätzt Motorola AirDefense benutzerfreundliche reporting-Funktionen. Während andere Werkzeuge benötigen Sie zum exportieren von Daten in eine separate reporting-system ermöglicht es Ihnen, erstellen Sie das visual Grafiken, sodass Führungskräfte es vorziehen, anpassen von berichten und senden Sie Sie einfach an die Menschen, die Sie sehen müssen. Für die Funktionen, sind weniger intuitiv, er sagt, seine Gruppe arbeitet mit Motorola direkt darauf hin, wo Sie konnten Steigerung der Benutzerfreundlichkeit. "Ohne, dass das feedback, Sie würden nicht wissen,"
er sagt.
Übersehen Sie NICHT nonsoftware Kosten. Wenn es um drahtlose IDP-Kosten, hardware ist nur ein element, Roberts sagt. Es ist leicht zu übersehen, die Kosten der Verkabelung, Solarmodule und Akkus zur Stromversorgung der sensoren, vor allem für outdoor-Implementierungen. "Es ist nicht die hardware-Kosten, die Sie brauchen, besorgt zu sein", sagt er. "Es ist die elektrischen Kosten für die Bereitstellung von Strom und Anbindung an das Netzwerk."
TUN bewerten neue wireless-Technologie Abdeckung. Als neue wireless-Technologien wie 802.11 n, WiMAX-und 3G-Zelle von data services angezeigt, die Benutzer zu bringen rogue APs auf den Arbeitsplatz wird heute wieder mehr verbreitet, als in den frühen Tagen der drahtlosen, sagt Pescatore.
"Es gibt schnellere Formen der drahtlosen arbeiten Ihren Weg in jenseits von 802.11 und WLAN", sagt er. Air-Karten sind ein weiteres element, Mitarbeiter oder Besucher führen können über Ihre laptops, entweder unbeabsichtigt durch und ließ Sie laufen oder gezielt zu umgehen, URL-Blockierung. Einige WLAN-IDP-tools erkennen diese neueren Technologien, während andere nicht, sagt Pescatore.
© CXO Media Inc.
Autor: Keylogger.Org Team