无线

思科自适应无线入侵防御系统:保护移动信息

简介

无线频谱是许多IT机构的新领域。和其他网络介质一样,无线频谱也必须得到适当的保护,即使现场未部署无线网络也是如此。

思科® 自适应无线入侵防御系统(IPS)集成在思科统一无线网络基础设施中,提供特定的无线网络威胁检测和防护功能,并能防御恶意攻击、安全漏洞和性能破坏源。思科自适应无线IPS能够查看、分析和识别无线威胁,并集中管理安全及性能问题,有效防护与解决相关问题。思科自适应无线IPS还提供前瞻性的威胁防御功能,支持强化无线网络核心,使大多数无线攻击都无法对其产生影响。

业务挑战

无线网络的扩展和新型移动计算设备的激增,已使可信和不可信网络间的传统边界变得模糊,并使最受关注的安全问题从网络边界转变为信息保护和用户安全性。为了保持公司信息和系统的完整性,必须保护移动信息并控制无线环境以防止非法接入。无论是安装了无线网络的公司,还是希望确保禁止非法使用无线技术的公司,都需要保护无线频谱。

在2007年,国家网络安全联盟(National Cyber Security Alliance)和思科对使用无线网络的公司进行了调查,发现67%的公司不了解其无线安全策略,或是采用性能不佳的过时无线安全方法,在接受调查的企业中,只有52%的企业定期扫描其RF环境。因为没有适当的无线威胁防御措施,客户网络易于发生以下情况:

  • 试图用于正规用途的员工在不经意状态下插入了恶意无线接入点,或是外部入侵者故意插入了恶意无线接入点,但无论如何,这都建立了到公司网络的后门接入。对于已部署了无线网络的公司和还未部署无线网络的公司来说,这都是一个问题。
  • 众多支持Wi-Fi的客户端也会创建到公司网络的后门接入。
  • 黑客接入点试图欺骗用户与其连接,以便修改网络或盗窃专用信息。
  • 拒绝服务攻击会中断或禁用您的无线网络。
  • 无线网络侦察、窃听和流量解密。
  • 随着其可用性和功能日益强大,蓝牙等非802.11无线设备会对无线网络造成巨大威胁。

出于对业务优势的考虑,必须对公司范围内的RF频谱等企业资产进行管理和保护。黑客过去主要是为了出名,现在更多地成为了国际犯罪集团的一部分,不断开发新的攻击方法来获取财务和保密信息。最近,很多未能很好保护其RF环境的公司发现黑客破坏了它们的客户财务数据,这些案例屡见不鲜;这些公司受到了公开的批评,被迫支付高额罚金。实际上,违背客户或财务数据安全策略的相关成本包括:

  • 法规罚金
  • 第三方安全审计成本
  • 客户或合作伙伴赔偿
  • 客户信任度降低,从而减少未来收入
  • 破坏公司品牌形象
  • 市场损失

移动性对IT经理来说既有利也有弊。移动性需要更开放的网络和自由访问公司信息,这与许多需要更少接入和更有力控制的安全策略相冲突。而且,许多管理员都使用多种工具来保护网络。但不幸的是,这些工具常常提供杂乱无章的安全威胁视图,从而无法将事件和诊断攻击相关联。

虽然在无线安全领域有许多需要考虑的问题,但庆幸的是所有这些问题都能通过内置于无线控制器、接入点、移动服务引擎和无线控制系统(WCS)中的安全技术解决,上述组件构成了思科统一无线网络的基础设施。因此,为您的用户提供连接的无线设备也能为整个部署提供安全性。

安全移动的优势

为了帮助企业提供安全无线接入,思科可以提供构建安全无线部署所需的所有组件,并将他们集成在统一无线网络基础设施中。思科利用此基础设施提供网络服务和高级安全性,在降低投资开支和简化安全运行的同时,提供了全面的无线安全和入侵防御功能。思科

为无线IPS提供了一个全面集成解决方案,无需独立的单一目的设备、软件或管理工具。

思科自适应无线IPS解决方案的核心是一个前瞻性威胁防御网络。为了发现未知威胁,无线IPS能实时查看WLAN基础设施中的流量和设备,而且同时了解它们在有线和无线网络中的性能。这改进了检测和关联功能,提高了威胁检测准确性,与仅监控RF环境相比更为高效。

作为思科自防御网络的一个组成部分,思科自适应无线IPS与思科有线网络安全产品系列共同使用,为有线和无线网络提供了一个网络级威胁防御超级特性集。此外,创建分层防御还能进行更全面的保护,提高准确性,并优化IT部门中网络运行和安全运行团队的效率。

思科自适应无线IPS能帮助公司创建安全网络,以支持移动设备的普及并访问移动中的业务应用。该系统还能使企业满足法规遵从性要求,其中包括支付卡行业 (PCI)的规定、Sarbanes-Oxley法案、HIPAA和其他法规。利用思科自适应无线IPS,企业能持续把握移动机遇,并确保关键企业资产和信息始终安全。

面的威胁检测与主动防御并与有线安全协作相结合

思科统一了全面的无线威胁检测和无线及有线网络基础设施防御和威胁消除功能,提供了业界最全面、准确和经济高效的无线安全解决方案。在此基础设施上我们还构建了RF智能层、无线入侵防御和有线网络安全协作,以防御从第一层(物理频率)到第七层(应用层)的所有攻击。

以下三个组件构成了这一独特、全面的无线入侵防御方法的基础:

  • 无线基础设施中集成网络分析和基于签名的入侵防御技术,能够防御恶意接入点和恶意客户端、空中无线威胁、零日攻击、性能下降,以及安全配置漏洞。我们正不断进行威胁研究,以开发新的检测和防护技术。
  • 无线基础设施中集成前瞻性威胁防御功能,支持网络级用户和基础设施验证与加密、无线管理帧保护,以及自动无线安全漏洞评估和报告,来强化无线网络核心。
  • 与思科有线网络安全产品系列的协作,为无线安全保护提供了一个分层超级特性集。

图1. 全面保护:思科无线IPS威胁检测与主动防御及有线安全协作相结合

 全面保护:思科无线IPS威胁检测与主动防御及有线安全协作相结合

全面的无线威胁检测和消除

思科自适应无线IPS直接集成到思科统一无线网络基础设施中。通过利用标准思科无线控制器、接入点、思科移动服务引擎和无线控制系统来进行无线威胁检测和防御,您能降低成本、简化运行并提供全面保护。

思科自适应无线IPS的核心是一种先进的无线威胁检测和性能管理方法。目前大多数市场上的解决方案都只采用被动的无线流量监控,而思科自适应无线IPS结合了网络流量分析、网络设备和拓扑信息、基于签名的技术,以及异常流量检测,来提供高度准确、全面的无线威胁防御。由于该解决方案集成在基础设施中,因此思科能持续监控有线和无线网络上的无线流量,并使用网络智能特性来从不同信息来源分析攻击,更准确地指出问题所在,前瞻性地防御攻击,而不是等到发生了破坏后再进行防御。

思科自适应无线IPS以核心检测功能为基础,提供了丰富的攻击分类功能,以及威胁告警和报告特性。从分类角度来看,该系统为用户提供了灵活的规则,能自动对安全事件分类。自动分类和系统内置的准确性相结合,大大缩减了人工调查系统所检测到的潜在威胁的相关运营开支。这一分类功能还能与威胁消除措施相关联,根据安全事件的严重程度,人工或自动采取消除措施。此外,该系统还能针对事件的严重度级别,提醒IT操作员检测和消除安全事件。

为了确保全面查看无线环境,思科自适应无线IPS还能检测与性能相关的问题以及非802.11设备(蓝牙、雷达、微波等)和攻击。利用无线资源管理(RRM),该系统提供了无与伦比的性能和网络自行恢复功能。所收集的噪音和干扰信息,以及客户端信号强度和其他数据,都能实时用于接入点的动态分配信道并调整发射功率,以避免信道间干扰,绕行故障设备并减少覆盖漏洞。对于由非802.11来源引起的性能下降和攻击,该解决方案提供了RF频谱分析专家,能够检测非802.11设备或干扰源,防御非802.11设备发出的拒绝服务攻击。例如,蓝牙接入点等非802.11设备可能会影响无线网络的性能,甚至采取更具破坏性的行动,通过已验证的客户端设备创建到您无线网络的临时连接。

思科无线控制系统(WCS)提供了无线IPS网络管理和对统一配置的报告,以及安全事件的管理和报告,能够跟踪网络上安全事件发生的物理地点。利用系统分析功能,管理员能够回放事件,跟踪、定位和捕获任意WLAN或RF事件。通过WCS中的整合安全仪表盘,您能查看实时安全状态和事件。而使用移动服务引擎作为平台,即能存储历史事件数据,访问大型文件,通过WCS了解多年来的分析数据报告。藉此,就能进行长期、复杂的分析,并提供法规遵从性报告。

具有前瞻性威胁防御功能的强化网络核心

保护您网络的最佳方法就是设计一个能够在攻击造成破坏前就主动防御它们的系统。思科无线IPS解决方案构建于强化无线基础设施之上,采用了网络级用户和基础设施验证与加密功能,充分利用了IEEE 802.11i和802.1X、思科的无线管理帧保护(MFP),以及主动无线安全漏洞评估和报告功能。此外,持续监控无线客户端活动还能防止不符合策略的客户端或恶意客户端接入网络。

Cisco Aironet®接入点需要有效的801.1X有线端口验证才能连接到有线端口,这实际上消除了恶意接入点进入有线网络的可能性。高级加密为传输中的数据提供了保护,管理帧保护(MFP,IEEE 802.11w标准的基础)则能通过保护无线传输的802.11管理帧,来防御大多数无线攻击。MFP与强大的验证功能相结合,能够主动防御大多数空中无线攻击,并通过无线数字签名的使用,来提高恶意接入点检测的可靠性,使非法无线侦听失效。

该无线网络能自动执行24/7全天候无线安全漏洞监控和评估,主动、持续地扫描无线网络,寻找安全配置漏洞。实时了解无线网络的安全状态是攻击防御中最重要的一个方面。

用于部署思科自适应无线IPS的组件

思科统一无线网络中内置了安全部署和运行无线网络基础设施所需的所有组件。自适应无线IPS系统由以下CUWN组件组成(下面的网络图中也列出了这些组件):

  • 配备思科自适应无线IPS的思科移动服务引擎
  • Cisco Aironet接入点
  • 思科WLAN控制器和无线控制系统

利用思科统一无线网络中的思科移动服务引擎,思科自适应无线IPS能扩展满足最大型网络的最高要求。Cisco Aironet接入点进行24 x 7全天候持续监控,将信息反馈到移动服务引擎中的集中处理平台。藉此,思科能够高效地收集和关联网络中所有无线流量分析及安全状态信息,提供简单、统一的无线网络安全状态视图。

图2.思科自适应无线IPS解决方案的组件

 思科自适应无线IPS解决方案的组件

思科移动服务引擎提供了出色的分析处理性能和可扩展性、用于历史报告和分析的存储容量,以及用于定位或联系资产跟踪和客户端安全管理等服务的集成功能。随着企业移动网络的扩展,思科自适应无线IPS解决方案能监控和分析越来越多的新设备和频谱,以确保持续保护关键业务信息。

思科能从思科接入点提供无线IPS扫描,同时服务于用户流量,也能将接入点配置为全天候专门进行无线IPS监控。提供共享和专用监控选项,旨在灵活地满足站点特定部署要求。在本地模式下,思科接入点用部分时间向无线客户端传输数据,并用部分时间执行无线IPS扫描。而在监控模式下,接入点全天候执行无线IPS扫描。这两种模式的接入点能够混用,以满足网络架构的整体需求。

无线控制系统(WCS)提供了集中规划、配置、管理和报告功能,支持IT经理从单一控制台,设计、控制和监控分布于广泛地理区域的数百个思科无线局域网控制器和数千个接入点,简化操作,并降低总体拥有成本。为了方便使用并使无线局域网管理员对WLAN安全设置充满信心,WCS提供了一个强大的图形化用户界面、策略模板和漏洞扫描功能,并能根据思科最佳实践提出威胁防御建议,以帮助管理员进行无线局域网安全配置、监控和管理。WCS还具有网络级报告功能,包括一个统一仪表盘,用于所有安全事件和法规遵从性报告,如PCI评估报告等。WCS是一个针对所有无线和有线安全操作的管理工具,能够简化工作流、减少培训操作人员所需的时间,并降低软件成本。

通过与有线网络安全的协作来增强无线安全性

这一自适应无线IPS系统能与思科有线网络安全产品系列协作,提供超级无线安全保护。与有线网络的协作能防御恶意软件、实施一致的客户端安全状态,并在网络中进行统一的有线/无线安全监控。这提供了一个实现无线安全的分层方法。

例如,思科无线IPS和有线IPS平台能实时协作,断开传播病毒或蠕虫的无线用户的连接。思科网络准入控制能实施无线客户端安全状态。此外,从思科无线IPS向思科MARS安全信息管理系统发送所有无线安全事件的能力,为实现有线和无线安全性提供了网络级视图和分析。这通过为您的有线和无线网络创建一个通用平台,提供了层次化防御,能进行更全面的保护,提高准确性,并优化IT部门中网络运行和安全运行团队的效率。

与传统工具不同,思科自适应无线IPS解决方案提供了一个整体的威胁防御系统,能够实现前瞻性的保护,并在有线和无线网络上实施真正的威胁抑制功能,目前只有它才能做到这一点。

为什么选择思科?

思科®统一无线网络使企业能够在分立网络上部署移动应用。个人、专用网和公共网间的界限消失了,取而代之的是一种安全、统一的移动体验。当您部署思科统一无线网络时,我们丰富的技术和部署经验与思科合作伙伴解决方案相结合,能帮助您的公司受益于高性能、灵活、可扩展的无线基础设施。

思科通过以下功能,使IT机构能够满足甚或超出其员工和资产的企业移动需要:

  • 在分立网络上提供协作安全性
  • 前瞻性地防御因移动设备数量和种类不断增加而导致的威胁
  • 提供设备-网络-应用集成和安全性
  • 为开发移动应用而创建一个安全的开放平台

思科服务和无线局域网专业合作伙伴提供了出色的服务,来支持实现企业移动的实用新方法,以帮助公司达成技术和业务目标。思科的蓝图统一了移动网络,保护和管理了移动设备,并为移动应用创建了一个开放的价值链。这是通过构建一个集成平台而实现的,藉此,移动解决方案的规划、部署和管理更为高效,且大大扩展和提高了无线客户端管理、环境感知型解决方案服务,和固定-移动融合的能力,通过端到端服务管理和调配增强了应用移动性,保护了您的投资。

思科服务机构使网络、应用和使用它们的人员更好地相互配合。如需了解更多有关思科,以及由我们具有丰富技术经验的无线局域网专业化认证合作伙伴组成的全球网络,能如何帮助您提高部署或迁移至集中型思科统一无线网络解决方案的准确性、速度和效率的信息,请访问:http://www.cisco.com/go/wirelesslanservices ,或联系您的当地客户代表。

了解更多信息:

如需了解更多有关思科自适应无线入侵防御解决方案的信息,请访问: http://www.cisco.com/go/wips

如需了解更多有关思科自防御网络的信息,请访问:http://www.cisco.com/go/sdn

如需了解更多有关思科移动服务引擎的信息,请访问: http://www.cisco.com/go/mse

如需了解更多有关思科统一无线网络的信息,请访问:http://www.cisco.com/go/wireless


联系我们