部署无线IPS

　　无线技术的广泛应用使无线入侵防护系统日益受到追捧。但所有无线IPS厂商都声称，它们的解决方案可以提供全面的入侵防护。真的是这样吗？每家厂商定义无线IPS的方式都各不相同，因此，产品在设计、侦测攻击方式以及如何应对攻击者等方面各不相同; 此外，也不可能一种产品能适合所有的环境。那么，该如何部署无线入侵防护系统呢？

　　Forrester研究公司称，选择正确的入侵防护系统并不只是“一种产品适合所有环境”的简单问题，比如，最适合市区办公室的产品对于郊区的校园也许就大材小用了。所以，在选择时，人们应该擦亮眼睛。

　　选择正确的无线IPS

　　有线和无线入侵侦测与预防解决方案有很多相同之处：两者均能监控周边情况，发现不友好的行为方式，并采取相应的措施。两者均寻求把假攻击的数量降至最低，并集中资源应对真正的问题。但两者的相同之处也就仅此而已。有线IPS可以监控已经在网络上运行的设备的行为，并侦测和封锁潜在的有害活动。与此形成对比的是，无线IPS的目的是确保只有授权了的设备可以参与网络。

　　因此，无线IPS解决方案关注的主要是无线设备与网络连接的那一时刻，而不是已经与网络连接的那些设备都在干些什么。同样地，大多数好的无线IPS解决方案只在数据连接层或更低层工作，以便把它们所运行的无线环境里占优势的情况考虑在内。在市区环境里，这一点尤其重要，因为在市区环境里，相邻办公室、家庭，甚至路过的送货车都配备了无线接入点，都会使那些简单的“无赖接入点”侦测解决方案陷入大混乱中。

　　制订无线IPS需求清单

　　在制订潜在无线IPS厂商清单之前，问自己以下的问题。

　　首先要明确，你需要使用无线IPS解决什么问题？明确你实现无线入侵侦测系统(IDS)或IPS的目标将有助于你尽早缩小你的清单范围。比如，AirMagnet公司、Network Chemistry公司以及AirDefense公司之类的厂商的目标是侦测和封锁WLAN上的异常行为，如“无赖接入点”，或封锁来自诸如NetStumbler或AirSnort之类常见攻击工具的刺探等。而AirTight Networks公司和Newbury Networks公司之类的其他厂商关注的更多是，如何根据未授权无线设备所在位置之类的因素，使这些未授权设备无法进入网络。

　　其次，你的无线基础设施战略是什么？无线IDS仅仅只是全面的无线安全战略的一部分。比如Aruba Wireless Networks公司和AireSpace公司之类的厂商把无线IPS功能与那些性能和设备管理之类范围更广泛的基础设施功能融为了一体。然而，由于这些产品重点都不是很明确，因此，它们的攻击侦测和防护方法开发得也就不是很好。

　　第三，你对厂商风险的要求是什么？目前在无线空间打拼的许多厂商都是些刚起步的小型公司。因此，它们一定期待合并和收购。那些大厂商，如Cisco公司、3Com公司以及Hewlett-Packard等最终将进入这一空间，但是，他们肯定会有所怀疑——因为这些联网巨擎始终都把功能和速度放在比安全更优的地位。

　　向潜在厂商提出重要问题

　　一旦明确了实现无线IPS的重点，并得到了最终候选厂商的回应，那么，你将很快地发现，厂商解决问题的方法极其不同。如下是你必须向潜在厂商提出的四个至关重要的问题。

　　1. 它将如何解决问题？解决方案，如AirMagnet公司的解决方案等，都是用网络传感器处理通信信息。这样虽然会减少传感器与中央服务器之间所需的网络带宽，但是，这却意味着，管理和更新传感器变得更为关键了。AirDefense公司和Network Chemistry公司的无线IDS可以在把数据传送给中央服务器接受检查之前，在传感器上进行初步的数据分析和清除。这样虽然将增加网络和中央服务器的负担，但却允许对来自多个接入点的数据进行更为复杂的相互关联。

　　2. 它将如何侦测攻击？有些无线IPS主要使用基于签名的攻击侦测。然而，这些基于签名的解决方案的技巧却极为不同。例如，Cisco Works Wireless LAN Solution Engine(WLSE)里的功能除了能侦测“无赖接入点”之外，基本上不能做别的。与此形成对比的是，AirMagnet公司、AirDefense公司和Network Chemistry公司则为其基于签名的侦测功能增加了基于固件的侦测功能，以应对更为复杂的拒绝服务(DoS)攻击。Newbury Networks公司和AirTight Networks公司采用的是更加基于政策的方法来侦测攻击，使用已知设备的数据库和技术以及可以确定设备物理定位的技术，来侦测针对无线网络的未经授权的行动。

　　3. 它将如何应对攻击？无线IPS采用许多不同的方法来隔离那些与未授权的活动有关的设备。更简单的解决方案只能使那些“无赖接入点”端口失效。其他解决方案，如AirMagnet公司和Network Chemistry公司的解决方案，则发送“解除关系”或“取消授权”信息包，断开客户机与未经授权的接入点的连接，或者，定位未经授权的客户机。更复杂的解决方案，其中包括AirDefense公司和AirTight Networks公司的解决方案，则可以识别攻击者的构造和模型，并发送组合信息包，这种信息包可以在该设备发动另一次攻击之前，以最长的时间最有效地定位该设备。

　　4. 厂商的合作伙伴是谁？无线IPS、无线联网以及其他厂商之间的合作伙伴关系网非常复杂。确信最后挑选的厂商的合作伙伴能够更有效更轻松地与你进行互操作。例如，AirMagnet公司与AirLink Communications公司和Wavelink公司建立了良好的合作伙伴关系，而AirDefense公司最近也宣布与Cisco公司建立了合作伙伴关系，并计划把其产品与Cisco公司的Aironet WLAN基础设施产品进行集成。令人困惑的是，厂商经常在OEM或联合商标的基础上转售相互之间的元件。出自Newbury Networks公司和Bluesocket公司的无线IPS产品就融入了Network Chemistry公司的传感器。

　　一种产品并不适合所有环境

　　如何为你的环境找到正确的无线IPS取决于许多因素，如用户的连接方式、公司安全标准以及预算等等。

　　以下是要考虑的几个重点问题。

　　首先，确定你的无线重点。最适合于你的产品取决于你的无线策略。如果你制订的是没有无线的策略，或者，如果你运行的是开放的无线网络，而这个网络要求VPN客户机与公司资源连接，那么，你必须把对“无赖接入点”的侦测列为你的重中之重。对于作为公司网络的一部分的WLAN而言， 你最为关注的则必须是如何减少对客户机和接入点的攻击。

　　其次，选择适合你的网络和物理环境的系统。对与你的环境有关的产品的技术优势和不足进行评估。在拥挤的市区环境里的办公室需要比郊区校园环境里的办公室需要更先进的解决方案，以便把邻近无线网络活动与真正的攻击区分开来。同样地，如果办公室之间的网络通信已使你的WAN拥挤不堪，那么，请选择一个更加分散式的解决方案。

　　第三，考虑隐形成本。在对比不同无线IPS解决方案的成本的时候，请记住把安装新的网络硬件的成本包括进去。如果解决方案要求使用单独的IPS传感器，那么，安装成本将非常巨大，因为传感器通常都必须部署在无法访问的地方。在这些难以抵达的地方，Power over Ethernet(PoE)可以大幅度地降低成本。你还必须考虑为了支持解决方案所需要的任何基于中央服务器的数据处理你所需要的硬件和软件的成本。
来源：计算机世界报 第09期 B32、B33