你在这里

无线网络IPS─AirTight SpectraGuard Enterprise评测

除侦测异常联机行为外,亦能发现建置在企业内部的无线路由器安全问题,并提供防护

最近我们测试了AirTight的SpectraGuard Enterprise,它是一款专门用于无线网络的IPS(WIPS)设备,它的功能有别于一般企业网络常见的网络型IPS(NIPS)设备,产品本身不会检测封包内容,主要是侦测异常的无线网络联机,及内部无线路由器的安全漏洞,同时能予以阻断。

就架构而言,除了建置设备本身之外,还必须另外部署传感器(Sensor)的装置。SpectraGuard Enterprise在出厂时即已内建25台传感器的管理授权,而企业也能另购授权,增加传感器的部署数量,最多可达500台。

除此之外,AirTight还有推出安装在个人端计算机的SpectraGuard SAFE软件,管理Wi-Fi、3G、及蓝牙等具备网络传输功能的射频装置的使用及联机。这套产品同时可以整合SpectraGuard Enterprise,将违反SpectraGuard SAFE管理策略的事件显示于WIPS的管理接口,让管理者实时掌握相关信息。


可透过原厂的软件工具,执行规画测试

SpectraGuard Enterprise的安装相当容易,当设备以默认值启动时,透过串行端口,连接终端机的文字接口,将会出现信息询问我们是否开启设定向导的功能,接着可以快速完成基本设定,如IP组态、Server ID(默认值为1,当网络当中有多台SpectraGuard Enterprise,则需要为各台设备设定不同的Server ID,做为识别之用),及提供管理者从远程登录管理的SSH服务器等,随后就可以连接网页接口,透过此处的设定向导及其他方式,继续完成部署设备所需的设定。 

不同于SpectraGuard Enterprise,AirTight的传感器装置只有终端机一种设定方式,分为2步骤来完成与WIPS设备间的联机,受其管理。首先是执行「set ip config」指令,决定传感器要透过默认的DHCP,或者以固定IP的方式连接网络;其次,则是透过「set server discovery」指令,提供SpectraGuard Enterprise所在的IP地址,或者是WIPS的Server ID等其他信息,让传感器透过TCP/UDP的3851埠建立联机。 

这次送测的传感器型号为SS-300-AT,为AirTight传感器装置的最高阶型号,它的外观与一般的无线路由器相仿,支持802.11a/b/g /n的无线网络规格,顶端有6根天线,以3根1组的架构,管理2.4GHz及5GHz的无线网络讯号,1台传感器可以同时防护周围的20个无线网络客户装置,提供切断联机的功能,至于侦测则没有数量上的限制。 

传感器的部署位置,视企业的需求不同而有差异。假设是为了防范外部使用者以DDoS等方式攻击无线网络,这时就需要在办公室的边缘地带也设置传感器,尽可能延长无线网络讯号的侦测范围,而当主要的防护对象只有内部用户,避免他们连接如 CMCC 的外部无线网络服务,或者Rogue AP等不属于企业所提供的无线网络时,只需要将传感器放置于可以涵盖办公室的地点即可。 

若要进行产品部署前的规画测试,我们可以透过AirTight的SpectraGuard Planner软件,用它绘制办公室的平面图,根据所输入的面积、装潢材质等信息,大致算出传感器的放置地点及所需数量,随后还能将它导出,提供给 SpectraGuard Enterprise继续使用,或者企业也可以上传先前透过AutoCAD等软件绘出的平面图,交由WIPS使用。


无线网络防护功能相当完整

SpectraGuard Enterprise的网页接口相当可视觉化,我们可以很轻易从首页的图表,理解无线网络的安全状态。部署SpectraGuard Enterprise时,我们必须将企业内部的楼层及外部据点,画分为多个不同区域,当然传感器收集到安全问题,回报给WIPS之后,可以从对应的区域位置,找到问题发生的所在地点。

SpectraGuard Enterprise默认将周围的所有无线路由器归类到「External」群组,意即不是企业所提供的无线网络,因此在管理上,我们必须将架设于内部网络的基地台搬移到「Authorized」的群组,使其受到WIPS的防护。 

而在客户端装置管理的部分,则需要将所有网卡的MAC地址导入WIPS,成为一份白名单,当有列表以外的客户端装置,试图连接Authorized群组内的无线路由器,WIPS就会视为是非法存取,而发出警讯,并传送De-Auth封包,使其无法与联机到无线路由器。另外,客户端装置还能根据用户的身分不同进行分类,像是内部使用者就无法存取访客专用的SSID,存取原本受到企业管制的网站。 

若是企业巳经确认短期内不会新增任何的无线路由器及客户端装置时,可以启用锁定的功能,日后所有出现于内部网络的无线路由器,将会被视为私架的装置,并归类为 Rogue AP,任何人皆无法与其联机。同样的,当有新增的装置试图连接内部网络的无线路由器时,SpectraGuard Enterprise也会以Rogue Client的方式进行管理。 

而在没有开启锁定功能的情况下,SpectraGuard Enterprise会将出现在内部网络的未加密无线路由器,视为私架装置,并提供定位的功能,以便能够在最短时间内将其移除。我们在一处约为7×6.4公尺范围的场所,放置2台SS-300-AT,随后并将一台未经加密的无线路由器连接到测试环境的网络,在WIPS的基地台列表上,可以看到设备被标注为 Rogue AP专属的红色,在无线路由器列表点选此一装置,开启进阶信息的窗口,切换到「Locate」的页签之后,就可以看到WIPS的定位结果,距离最近的传感器,其周围会显示为蓝色。一般来说,传感器部署数量愈多,WIPS定位的效果也会更加准确。

针对不同环境及设备,SpectraGuard Enterprise内建多种无线网络的监控模板,并随着新固件的推出而有所更新,当有新版固件推出时,网页接口的上方会出现跳动的图示,点选之后,可由此处取得固件的安装档案。 

对于Authorized群组内未经加密,或者仅启动WEP做为防护措施的无线路由器来说,SpectraGuard Enterprise将其定位为「Mis-Configured」的无线路由器,若我们启动相关的模板,则WIPS会在无线路由器列表上将其标注为黄色。


报表格式支持多种资安法案的要求

SpectraGuard Enterprise内建完整且相当细致的的报表模板,能根据企业需求,以符合沙宾(SOX)、HIPPA等资安法案所规范的内容输出,透过邮寄或者手动下载的方式提供,不仅如此,报表内容当中,还能根据法案的不同章节做分类,使得企业能够快速对照。另外,企业也可以自定义内容,制作客制化的报表。


文章来源:ITHome / http://www.ithome.com.tw/itadm/article.php?c=65936