易路平安无线入侵防御系统


易路平安无线IPS产品是易路平安针对无线安全风险,最近研发出来的无线安全产品,内置丰富的无线攻击特征库,基于协议的射频阻断,保护空间内的许可AP,禁止非法AP通讯,从而打造一个安全的无线应用空间。产品在协议分析的基础上,识别出攻击流量,并利用射频干扰和压制的原理使恶意的AP和终端无法传输数据,从而保护了用户的空间网络。产品采用独立的外置方式,不需要改变用户原有的网络拓扑,自成体系,方便部署。

易路平安无线IPS由三部分组成:探头、管理器和管理软件。

探头部署在我们要保护的区域,内置多个天线,能够感知空间所有的wifi信号,并将这些信息上传给管理器,如果有违反策略的行为,也是管理器通过探头来实现干扰和压制。探头需要配置IP地址,和管理器相连。

管理器负责将探头收集来的信息汇总,并实时分析,内置威胁分析引擎,对恶意行为下达阻断指令。并保存日志,生成报表等。

管理软件需要安装在windows系统的PC机上,从远端来对管理器进行管理、配置。所有的操作都是通过管理软件来完成的。

探头和管理器通过有线网络连接,管理软件需要安装在windows系统的管理机上,对探头进行配置,升级,日志分析,统一管理。

1.1.1       综合监控屏幕

为更好的对系统使用及网络状况进行监测,直观了解系统整体的运行情况。产品提供了综合监控屏幕的功能,灵活设置监控的内容,目前可监控终端流量,攻击统计,AP状态,主要威胁排序等十几个内容。极大的方便了对系统运行状况的统一掌握。

1.1.2       空间安全态势

无线安全的一大特点和困扰是无线信号在空间传输过程中不可见,这就给其安全防范带来很大难度。也是和传统的有线安全非常不一样的地方。易路平安WIPS实时的捕获当前空间中的无线传播数据,分析出数据流量中的恶意攻击行为,和威胁特征库比对后,精准的识别并展示,分别采取报警和阻断措施。有助于管理员快速的了解当前管理空间内的安全威胁情况,洞察威胁来源。

1.1.3       无线设备列表

设备搜索中,可列出当前运行的探头,及探头所发现的AP和终端。在有多个探头的情况下,探头之间会自动分配所发现的AP和终端。选择AP,可以列出AP的详细属性信息,并列出AP所连接的终端,一目了然的清楚整个网络连接情况。选择终端,除列出终端所有信息之外,还可以把终端和当前的实际用户关联起来,便于了解真实用户的连接细节。也能及时发现未知的连入网络的设备。方便的搜索功能,快速定位管理员所要了解的AP和终端。

1.1.4       黑白名单模式

AP和终端设备可定义成五种模式,分别为许可,访客,流氓,外部,未分类,管理员根据实际环境,灵活的定义条件,来管理AP和终端之间的通讯。例如,允许许可终端访问许可AP,禁止许可终端访问流氓AP等。由于环境中的AP是不断变化的,而用户自己的AP相对稳定,可以设置成缺省对未知AP黑名单,对用户自己AP白名单,这样不管环境中的AP如何变化,都保证了对用户自己AP的安全防护。

1.1.5       攻击自动阻断

对AP的阻断支持两种方式,一种是手动,可以手动的阻断或者临时阻断AP,适用于一些紧急情况;一种是自动阻断,根据内置的威胁特征库,如破解密码,DOS攻击,AP未设密码。不符合规则的连接等行为,自动进行阻断,实现入侵检测的功能。

1.1.6       设备精准定位

无线信号在空中传播,肉眼不可见,即使通过技术手段发现有非法设备存在,也很难准确定位,给实际的无线空间管理工作中增加了很多难度。为切实解决这个问题,易路平安WIPS采用三点定位的原理,通过至少三个探头对无线AP的信号分析,对非法设备准确定位,并在平面图上显现出来,有助于在实际环境中快速发现非法设备,消除隐患。

1.1.7       灵活策略模板

策略模板中包含两类策略,一个是安全威胁模板,一个是特征库模板。安全威胁模板主要覆盖如错误配置AP,终端行为不当,不同分类设备之间的访问控制等;特征库模板涵盖一些协议攻击,DOS攻击等,只能报警。在具体使用的过程中,首先设定组,在组内定义要配置的探头,然后把策略和组结合起来。这样设计的好处是可以根据实际情况对探头分组,对不同的组采用不同的策略,应用过程比较灵活。并可设置策略生效时间,如上班时间,下班时间都可使用不同的策略,兼顾安全和实际业务,增加了策略的弹性。

1.1.8       全面日志报表

整个WIPS 系统的设备,威胁,特征库,操作都有详细的日志记录,帮助管理员掌握设备和网络管理及恶意攻击情况。配合强大的搜索功能,根据探头、群组、威胁、SSID、MAC地址等条件细致的了解AP所受到的恶意攻击和非法连接;并可生成报告,全面记录AP,终端,攻击,流量等信息,通过图表的形式给与直观的展示。

1.1.9       丰富管理功能

通过控制台可以添加管理账户,对管理器及探头进行BIOS升级,特征库升级,定义探头监控的信道,日志传送的syslog服务器,现有LDAP服务器用户导入等。对用户需求的深入探讨,使产品具备了细致丰富的管理功能,极大的提高了用户的操作体验。

1.1.10  4G 远程管理

探头除了可以通过有线连接的方式管理之外,还可以使用4G模块来连接配置,适用于空旷空间组网或者分支机构。使用USB 4G MODEM连接探头,插入SIM卡后,可以在管理器上远程配置。适用于不方便连网的环境。如地铁、港口,仓库,厂区等。