1、Motorola Airdefens 產(chǎn)品培訓(xùn),主講：杜昕, Motorola Solutions, SE 2011 Nov SHANGHAI,Part 1 Airdefense 組網(wǎng)結(jié)構(gòu),服務(wù)平臺硬件,中央伺服器 輸入： 遠(yuǎn)程監(jiān)控傳感器 切換集成,總部,外地辦事處,外地辦事處,通用平臺,無線切換,遠(yuǎn)程傳感器監(jiān)測所有802.11 無線通訊信號（與廠商無關(guān)）， 并向中央伺服器反饋報(bào)告。,網(wǎng)絡(luò)連接,https:8543,控制臺客戶端,ADSP 伺服器,作為傳感器的AP,瀏覽器客戶端,https: 443,傳感器,https: 443,https: 443,SSH:22,設(shè)備硬件,傳感器選擇,專用傳

2、感器與兩用 AP-傳感器 802.11 a/b/g 與 802.11a/b/g/n 內(nèi)置與外接天線 室內(nèi)與室外 附加模塊,不同的部署類型有多種傳感器選項(xiàng),組合 AP 與傳感器,配置摩托羅拉雙頻接入點(diǎn) ，將一路射頻模塊作為專用WIPS傳感器 Band Un-locked AP技術(shù)可讓單頻的傳感器同時進(jìn)行不同頻段的掃描（5 GHz和2.4G） 降低部署成本 不存在重疊傳感器部署 AP不需實(shí)現(xiàn)定時切換實(shí)現(xiàn)部分時間傳感，更好的數(shù)據(jù)性能和服務(wù)質(zhì)量。,將單個設(shè)備用于全時基礎(chǔ)設(shè)施和全時傳感，最大限度降低部署成本。,Motorola 各種型號傳感器功能的支持,部署傳感器,清單 是專用傳感器還是兩用 AP-Se

3、nsor傳感器？ AirDefense主服務(wù)器IP地址 故障轉(zhuǎn)移輔助服務(wù)器IP地址 傳感器IP 地址（DHCP 默認(rèn)） 使用 AirDefense LANPlanner 預(yù)測傳感器布置 確定是否使用以太網(wǎng)供電 記錄傳感器信息（IP，MAC 等）和在地圖上的位置 訂購纜線（如需要） 配置傳感器 在指定位置安裝傳感器,探針的合理覆蓋范圍,探針部署時應(yīng)以盡量減少錯失任何終端在空口上的報(bào)文監(jiān)控為重點(diǎn)，按普通筆記本終端的發(fā)射功率為參考依舊考慮探針的覆蓋范圍。,可使用一個普通的可調(diào)節(jié)功率AP，把發(fā)射功率調(diào)節(jié)到約40mW ,進(jìn)行實(shí)地勘察，以估算出探針的最大覆蓋范圍。,探針的合理覆蓋范圍,根據(jù)用途的不同及應(yīng)用

4、場景的差異，探針的范圍可進(jìn)行適當(dāng)?shù)臄U(kuò)大， 如：若客戶只需要進(jìn)行WIPS及脆弱性分析功能時，可按探針最大的接收靈敏度進(jìn)行衡量。 若客戶需要進(jìn)行AP-TEST告警及用戶性能告警等分析用途時，必須確保探針?biāo)采w相鄰的BSS都在探針(20dBm)發(fā)射功率的范圍內(nèi)。（功率對稱時可按-75dB的場強(qiáng)進(jìn)行考慮）,傳感器通訊概述,傳感器只能通過有線網(wǎng)絡(luò)連接到服務(wù)器 傳感器使用 PKI鑒權(quán) 以明文或加密（默認(rèn)）通信 通過 TCP/IP通信（Layer 3）傳感器發(fā)起通信（不需要翻譯網(wǎng)絡(luò)地址） 錯過“心跳”將導(dǎo)致傳感器故障轉(zhuǎn)移到輔助服務(wù)器,傳感器將通過配置的IP地址發(fā)現(xiàn)和連接伺服器,傳感器配置,所需的設(shè)置： 傳感

5、器 IP 或 DHCP 主伺服器 IP WIPS模式,傳感器將通過所配置的IP地址發(fā)現(xiàn)和連接伺服器,AP-7131 作為 11n 傳感器,在“無線”下面的單一新GUI頁面上提供WIPS配置。 每個無線射頻被設(shè)為“WLAN” 或 “WIPS” （互斥） 雙頻 AP-7131 選項(xiàng)： 雙頻均為 WLAN 無 WIPS 一個射頻為WIPS，一個射頻為 WLAN 同時為WIPS 和 WLAN 雙頻均為 WIPS 無 WLAN （專用傳感器并行掃描 2.4GHz 和 5GHz ）,在 AP-7131 Web UI中配置AirDefense主伺服器IP地址,AP650 作為 11n 傳感器,連接到AP65

6、0 獲取 IP 地址 登錄進(jìn)入 AP650 傳感器配置 設(shè)置IP地址的步驟,AP-650 的純傳感器（sensor-only）配置（沒有無線控制器）,實(shí)驗(yàn)室 將 AP650 配置為傳感器,AP 650是基于控制器的 AP AP 650默認(rèn)為 DHCP 客戶端,選修實(shí)驗(yàn)： 將 AP 650 作為傳感器需做此實(shí)驗(yàn),總結(jié),制定部署計(jì)劃 初始系統(tǒng)配置 傳感器配置,18,問題？,探針的部署 （Step by Step）,1.探針固件版本的升級 探針在安裝前的預(yù)配置 探針在安裝后的固件升級 ADSP服務(wù)器的地址部署策略,（Step 1）探針的軟件版本升級,探針的Wi-NG 5.x 版本升級,可采取兩種升級

7、辦法： 1. 利用摩托羅拉無線交換機(jī)進(jìn)行版本同步。 2. 在沒有無線交換機(jī)的環(huán)境下可采用DHCP SERVER 服務(wù)器方式進(jìn)行升級（AP650，AP621不支持該方式）,（Step 1）探針的軟件版本升級,方法1：利用摩托羅拉無線交換機(jī)進(jìn)行版本批量同步。 可直接訪問 進(jìn)行注冊并申請下載摩托羅拉無線交換機(jī)Wi-NG 5.x軟件版本 （注：所有無線交換機(jī)版固件均不含摩托羅拉AAP的固件，需另行下載并進(jìn)行掛載，一經(jīng)掛載后所有關(guān)聯(lián)到該AC的AAP均會被自動同步升級（autoinstall firmware enable） 掛載AAP固件的操作如下：,（Step 1）探針的軟件版本升級,方法2：在沒有A

8、C情況下利用DHCP服務(wù)器進(jìn)行批量升級 從 網(wǎng)站下載相應(yīng)AP 的WiNG 5.x 固件版本。（AP650，AP621不適用該操作） 準(zhǔn)備一臺三層交換機(jī)或一臺windows2003的PC作為DHCP 服務(wù)器，并搭建一臺FTP/TFTP 服務(wù)器。建立一個AP的DHCP地址池，并使用以下兩個option 屬性： 186- String (ftp/tftp address from which image will be downloaded) 187-string (image file name),（Step 2）探針的配置,對于小規(guī)模部署或探針需要使用靜態(tài)地址時，需逐個對探針進(jìn)行配置。 一個Mo

9、torola 的AP轉(zhuǎn)換為探針需要如下4步的CLI配置： 1、設(shè)置country-code 2、修改AP 的radio RF模式為 Sensor 3、配置Airdefense 服務(wù)器地址 4、設(shè)定AP 的IP 地址及網(wǎng)關(guān)。,對于大規(guī)模部署，當(dāng)面對數(shù)以百計(jì)以上的探針數(shù)量時，使用靜態(tài)地址將會變得不可取。另外每個探針都需要經(jīng)過手動配置轉(zhuǎn)換為探針模式及設(shè)定ADSP服務(wù)器地址，此項(xiàng)工作將會十分費(fèi)時。因此需要批量進(jìn)行探針配置時，DHCP的配置同步方法可提供高效而快速的部署方案。（該方法只適用于探針使用DHCP動態(tài)分配地址，也可用于復(fù)位探針的配置）,（Step 2）探針的配置,準(zhǔn)備一臺三層交換機(jī)或一臺win

10、dows2003的PC作為DHCP 服務(wù)器，并搭建一臺FTP/TFTP 服務(wù)器。建立一個AP的DHCP地址池，并使用以下兩個option 屬性： 186- String (ftp/tftp address from which image will be downloaded) 188-string (config file name) 把以下腳本添加到一個startup文件中， 并上傳至一臺FTP/TFTP服務(wù)器 所有的探針將會通過DHCP獲取 IP 地址后，自動覆蓋該配置文件 中的所有指令部分。,對于已經(jīng)部署完畢的探針，若需要對探針的版本進(jìn)行升級一共有三個 辦法： 1、利用無線控制器到熱點(diǎn)

11、現(xiàn)場進(jìn)行2層的關(guān)聯(lián)升級 2、利用Airdefense 的SNMP 探針管理模式進(jìn)行設(shè)備升級 3、把探針指向一臺無線控制器進(jìn)行升級,（Step 3）探針部署后的軟件升級,ADSP服務(wù)器公網(wǎng)訪問的必要性 在進(jìn)行ADSP服務(wù)器與探針進(jìn)行地址規(guī)劃時可選擇一下幾種思路： 1.ADSP服務(wù)器 （公網(wǎng)） - sensor (公網(wǎng)） 2. ADSP 服務(wù)器 （公網(wǎng)）- Sensor （私網(wǎng)），Sensor 需要做NAT 3.ADSP 服務(wù)器 （私網(wǎng)）- Sensor （私網(wǎng)），ADSP服務(wù)器映射8543端口,（Step 4）IP 的規(guī)劃,28,問題？,系統(tǒng)部署,基本系統(tǒng)配置 使用命令行界面（CLI）進(jìn)行設(shè)備配

12、置 使用圖形用戶界面進(jìn)行系統(tǒng)配置 用戶、角色和權(quán)限 樹形層次和設(shè)備布置 傳感器分區(qū)域和配置,設(shè)置清單,位置和設(shè)備 服務(wù)器設(shè)備和對話框內(nèi)容 100-240 VAC 50/60 Hz 連接 UPS（不間斷電源） 鍵盤和監(jiān)視器 標(biāo)準(zhǔn)19英寸機(jī)架（1U 高度）和安裝底座 對服務(wù)器設(shè)備的要求 口令表 smxmgr/smxmgr admin/motorola ADSP 許可證/校驗(yàn)碼 IP 地址、子網(wǎng)掩碼、FQDN或域名稱 決定是否指定時間設(shè)置或使用NTP服務(wù)器。,網(wǎng)絡(luò)信息 供設(shè)備使用的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān) DNS 服務(wù)器 郵件中繼 IP 地址（管理員使用的系統(tǒng)地址） 網(wǎng)絡(luò)訪問要求 TCP 443

13、（https） 當(dāng)傳感器連接到ADSP服務(wù)器時使用 TCP 8543 默認(rèn)，供通過網(wǎng)頁瀏覽器遠(yuǎn)程訪問使用 TCP 22 用于 SSH（僅限協(xié)議2）接入處理偶然管理任務(wù),初始系統(tǒng)設(shè)置 CLI （第 1部分）,命令行界面 （CLI） 建立網(wǎng)絡(luò)初始連接 訪問和使用 “ADSPadmin” 菜單 直接訪問 SSH 默認(rèn)用戶名/口令：smxmgr/smxmgr 必要設(shè)置（服務(wù)器 IP，時區(qū)，時間 ） 可選設(shè)置（ GUI 中多個可變選項(xiàng)）,使用終端和鍵盤通過 CLI （服務(wù)器 IP，時區(qū)，時間， DNS）建立 伺服器網(wǎng)絡(luò)連接,實(shí)驗(yàn)室 - CLI 配置,必選實(shí)驗(yàn)室：網(wǎng)絡(luò)連接配置,實(shí)驗(yàn)室 - CLI 配置 （

14、續(xù)）,必選實(shí)驗(yàn)室：網(wǎng)絡(luò)連接配置,初始系統(tǒng)設(shè)置 GUI （第2部分）,圖形用戶界面 瘦客戶端（基于瀏覽器）： https:/:8543 胖客戶端（ADSP 工具包要求Java 作為獨(dú)立應(yīng)用程序）： MotorolaADSP-install.exe ADMU 授權(quán) 其他用戶 連接 平臺配置,使用ADSP GUI 完成其他配置,默認(rèn) GUI 管理員賬戶,默認(rèn) GUI 管理員賬戶 用戶名：admin 口令： motorola 可以通過CLI恢復(fù)默認(rèn)設(shè)置。,實(shí)驗(yàn)室 - GUI 配置,必選實(shí)驗(yàn)室：GUI ADSP的使用,實(shí)驗(yàn)室 - GUI 工具包下載,必選實(shí)驗(yàn)室：GUI ADSP的使用,授權(quán),授權(quán)文件 檢

15、索 .enc 加密文件（如 0007E9059845.enc） 選擇 “Get Server Keys” 應(yīng)用 .lic 授權(quán)文件 （如 0007E9059845.lic） “Update Licenses” 校驗(yàn)碼 RaiwfOg5ae 互聯(lián)網(wǎng)交換 .enc 和 .lic 文件,ADSP GUI 菜單 設(shè)備管理器 授權(quán),實(shí)驗(yàn)室 平臺授權(quán),必須實(shí)驗(yàn)室：開啟功能和附加模塊功能,建立和編輯用戶賬號,GUI 配置 設(shè)備管理 用戶賬號,基本角色,模板應(yīng)用的功能權(quán)限包括： 管理員 服務(wù)臺 操作中心 來賓,您可以為用戶訪問應(yīng)用模板或選擇單獨(dú)的功能,功能權(quán)限,用戶定制 - 限制用戶使用ADSP中的特定功能,

16、功能角色和范圍權(quán)限,定義系統(tǒng)中用戶擁有特權(quán)的部分 功能角色： 定義用戶訪問的警報(bào)類型，如安全、性能 范圍： 范圍權(quán)限將用戶操作限制在網(wǎng)絡(luò)內(nèi)的特定范圍。,用戶首選項(xiàng),每個用戶可以定制自己的視圖,菜單 配置 平臺配置用戶首選項(xiàng),實(shí)驗(yàn)室 創(chuàng)建用戶賬號,必選實(shí)驗(yàn)室：設(shè)置，每個用戶應(yīng)當(dāng)有自己的賬戶和相應(yīng)權(quán)限,實(shí)驗(yàn)室 - 用戶首選項(xiàng),選選實(shí)驗(yàn)室：基于用戶需求的配置步驟,平臺配置,實(shí)驗(yàn)室 創(chuàng)建樹層次結(jié)構(gòu),手工配置 導(dǎo)入 CSV,必選實(shí)驗(yàn)室：設(shè)置，實(shí)現(xiàn)設(shè)備配置文件的繼承和用戶角色的適當(dāng)分配,實(shí)驗(yàn)室 導(dǎo)入 CSV,選選實(shí)驗(yàn)室：獲得所要求的設(shè)置的方法，實(shí)現(xiàn)設(shè)備配置文件的適當(dāng)繼承和用戶角色的分配,實(shí)驗(yàn)室 布置設(shè)備,

17、手工布置設(shè)備 自動布置,選選實(shí)驗(yàn)室：確保設(shè)備在樹結(jié)構(gòu)中位于適當(dāng)位置的方法，以節(jié)省系統(tǒng)實(shí)施的時間。,Part 2 Airdefense Functionality,ADSP “平臺”功能,儀表板 頻譜分析 實(shí)時查看 告警管理 取證分析 AP-TEST 數(shù)據(jù)報(bào)表 無線定位 終端遠(yuǎn)程排錯 基礎(chǔ)設(shè)施管理 報(bào)告和報(bào)告定制化 設(shè)備導(dǎo)入和布置 傳感器管理 取證分析 （歷史數(shù)據(jù)儲存）,“服務(wù)平臺”支持在所有ADSP服務(wù)中通用的基本功能,調(diào)校AirDefense服務(wù)平臺,儀表板個性化定制,支持8組儀表臺模板 可分區(qū)域進(jìn)行查看 支持任意組合 多達(dá)60組的數(shù)據(jù)組件供選擇,儀表板,組件 改變組件 儀表板定義： 根據(jù)功

18、能預(yù)定義 用戶定制 矩陣視圖 2x2 或 3x3 范圍 自動更新,高度客戶定制儀表板,2,3,1,4,網(wǎng)絡(luò)樹,改變樹的設(shè)備視圖 擴(kuò)大/縮小網(wǎng)絡(luò)樹 鼠標(biāo)放在設(shè)備 設(shè)備明細(xì) 右擊設(shè)備：,1,2,3,4,登錄標(biāo)題,可在程序管理器中修改登錄標(biāo)題,根據(jù)設(shè)備種類進(jìn)行選擇,設(shè)備查看,對選定的設(shè)備進(jìn)行操作,分組顧慮器,設(shè)備查看,選擇視圖模式（表格/樹形）,選擇樹形視圖,可調(diào)節(jié)視野范圍,設(shè)備分類,將設(shè)備定義為您的設(shè)備、周邊設(shè)備或不明設(shè)備,實(shí)驗(yàn)室 手工分類,必選實(shí)驗(yàn)室：要求對ADSP的使用分類。手工分類是實(shí)現(xiàn)這一目標(biāo)的一種方法。,自動分類,根據(jù)行為分析，可把設(shè)備狀態(tài)指定為獲準(zhǔn)、未獲準(zhǔn)或周邊設(shè)備,實(shí)驗(yàn)室 設(shè)備發(fā)現(xiàn),

19、可選實(shí)驗(yàn)室：將 WLAN 設(shè)備添加到 ADSP的方法,實(shí)驗(yàn)室 - 通訊設(shè)置,必選實(shí)驗(yàn)室： ADSP 能夠與 WLAN設(shè)備通訊,實(shí)驗(yàn)室 - 添加一個中繼服務(wù)器,可選實(shí)驗(yàn)室：ADSP 能夠管理設(shè)備和固件變動,導(dǎo)入設(shè)備,“導(dǎo)入設(shè)備”操作用于從以下任一來源導(dǎo)入設(shè)備： 遠(yuǎn)程文件 SNMP 使用網(wǎng)絡(luò)列表進(jìn)行掃描時的發(fā)現(xiàn) 無線管理器/交換機(jī) 本地文件,導(dǎo)入設(shè)備（續(xù)）,設(shè)置因所使用的導(dǎo)入方法不同而有所不同,遠(yuǎn)程文件設(shè)置,SNMP發(fā)現(xiàn)設(shè)置,本地文件設(shè)置,無線管理器/交換機(jī)設(shè)置,68,問題？,調(diào)查工具,頻譜分析（授權(quán)） Live View（含） 連接排障工具 取證分析 基本取證 （含） 高級取證（授權(quán)）,頻譜分析

20、物理層故障排除,頻譜分析模塊 檢測非802.11干擾 微波、藍(lán)牙、調(diào)頻設(shè)備等 支持2.4 和 5 GHz 波段 遠(yuǎn)程實(shí)時頻譜圖 利用現(xiàn)有傳感器 不需專用硬件 自動檢測干擾 主動檢測影響應(yīng)用的干擾 遠(yuǎn)程實(shí)時L1 故障排除,對干擾源分類,確認(rèn)干擾問題的源頭,頻譜分析模式,后臺掃描 用部分時間掃描功率譜密度（Layer 1），同時傳感器繼續(xù)掃描WIDS （Layer 2）。 在ADSP中生成“RF頻譜分析”警報(bào)（藍(lán)牙，微波，跳頻，連續(xù)波） 專用頻譜視圖 傳感器臨時專用于頻譜分析 用于頻譜視圖時，傳感器不提供協(xié)議分析（在用戶配置的時間之后，傳感器默認(rèn)返回WIPS） 掃描選項(xiàng)： 全面掃描模式 掃描全部

21、2.4-2.5 GHz 和 4.9-6.1 GHz 頻譜， 以確認(rèn)干擾的存在（掃描的頻道較多，在每個頻道上使用的時間較少） 干擾掃描模式 掃描特定的頻段，對干擾源分類 （掃描的頻道較少，在每個頻道上使用的時間較多）,可使用單個射頻單元進(jìn)行全頻段掃描或只掃描存在干擾的信道,觀察各信道的負(fù)載情況，此利用率能反映各信道上802.11數(shù)據(jù)幀活躍的負(fù)荷程度,頻譜分析能收集802.11及非802.11各信道上所有的頻譜場強(qiáng),全面掃描模式,掃描 4.9-6.1GHz 頻譜,顯示平均和當(dāng)前的占空比,顯示 5-20 MHz 波段隨時間推移的功率變化,顯示檢測到的干擾源的類型和時間,掃描 2.4-2.5GHz 頻

22、譜,可定義掃描的電磁波強(qiáng)度閥值，及監(jiān)聽電磁脈沖的間隔,可選擇只掃描 “ 信任 ”BSS的所在信道或進(jìn)行全頻段掃描,可定義多種的頻譜探測告警，包括藍(lán)牙，微波爐，持續(xù)微波及調(diào)頻設(shè)備的探測,開啟背景頻譜掃描，使能頻譜分析告警,借助LiveView實(shí)現(xiàn)遠(yuǎn)程可視化,WLAN實(shí)時視圖 將傳感器變成“嗅探器” 全面第二層幀捕獲 無線信號流量可視化 28 種不同的圖形視圖,幀捕獲,實(shí)時流量,連接分析,通過實(shí)時分析，遠(yuǎn)程排除WLAN 故障,Live View,實(shí)時查看無線信號流量 右擊任何設(shè)備調(diào)用 Live View 用傳感器進(jìn)行遠(yuǎn)程數(shù)據(jù)包捕獲,實(shí)時圖表統(tǒng)計(jì)分析,實(shí)時連接關(guān)系視圖,設(shè)備歸類統(tǒng)計(jì),可切換信令圖，方

23、便查閱,實(shí)時查看空口報(bào)文,可任意打開每一個幀的結(jié)構(gòu)及內(nèi)容,可設(shè)定定時抓包及抓取的時長,內(nèi)置幀分析器，可隨時調(diào)取保存在服務(wù)器上或管理員本機(jī)上的空口捕獲文件,連接故障排除向?qū)?連接故障排除 1級服務(wù)臺支持 快速確定無線或有線網(wǎng)絡(luò)問題 簡單調(diào)試無線問題 僅在必要時上報(bào) 確認(rèn)： 設(shè)備問題 無線網(wǎng)絡(luò)狀態(tài)問題 有線網(wǎng)絡(luò)的可用性 無線網(wǎng)絡(luò)設(shè)備連接問題 有線網(wǎng)絡(luò)設(shè)備連接問題,輕松確定問題，以快速上報(bào)和補(bǔ)救,可導(dǎo)出測試過程的所有空口報(bào)文供取證及人為分析,只需輸入終端mac地址，無需知道終端位置，立即輸出測試結(jié)果,測試過程的捕獲報(bào)文可存在本機(jī),可使用內(nèi)置幀分析器打開進(jìn)行觀察,取證分析,基本取證分析 高級取證分析,

24、為什么取證分析如此重要？,歷史追蹤任何設(shè)備并查看以下內(nèi)容的能力： 誰 曾與設(shè)備聯(lián)系 站點(diǎn)和接入點(diǎn)的所有關(guān)聯(lián) 什么時間 發(fā)生過聯(lián)系 所有關(guān)聯(lián)的起止時間 流量發(fā)送和接收時間的詳細(xì)粒度（上午3:00 對下午3:00） 什么 被記入歷史觀察 設(shè)備的所有其他狀態(tài)和統(tǒng)計(jì)信息 數(shù)據(jù)利用率、流量類型、SSID、信號強(qiáng)度、加密和校驗(yàn)類型 有多少 流量被發(fā)送 發(fā)送和接收的字節(jié)與幀數(shù),取證需要回答有關(guān)設(shè)備或事件的安全威脅和暴露的問題,AirDefense 取證 綜合視圖,隨時間推移的威脅指數(shù),發(fā)射與接收總流量,關(guān)聯(lián)分析,信號強(qiáng)度,基本取證分析,基本與高級取證,關(guān)聯(lián)分析,高級取證分析,廣泛的取證數(shù)據(jù) 每設(shè)備每分鐘 3

25、25次的采集統(tǒng)計(jì) 設(shè)備連接記錄 確定事件的精確時間和影響 優(yōu)勢 從瞬態(tài)威脅中理解暴露 減少全天候人員配置的需求 簡化大數(shù)據(jù)量分析 高級取證（附加） 增加趨勢分析和圖表 可視化顯示事件時線 倒回及審核詳細(xì)的無線活動,洞察網(wǎng)絡(luò)活動與威脅,摘要視圖,高級取證 威脅分析,按設(shè)備查看警報(bào),跟蹤事件序列,高級取證 設(shè)備信息,跟蹤設(shè)備作業(yè)，以診斷故障,訪問詳細(xì)的按分鐘統(tǒng)計(jì)的數(shù)據(jù),高級取證 關(guān)聯(lián)分析,查看關(guān)聯(lián)次數(shù)和持續(xù)時間,確定最大流量使用者,確認(rèn)異常使用的次數(shù),高級取證 流量分析,查看流量統(tǒng)計(jì)的深層次細(xì)節(jié),識別異常流量模式,高級取證 信號分析,追蹤隨時間推移的設(shè)備信號強(qiáng)度,為網(wǎng)絡(luò)保證取證,詳細(xì)取證分析 按分

26、鐘統(tǒng)計(jì) 設(shè)備、威脅、關(guān)聯(lián)、流量、信號和位置趨勢 歷史位置追蹤 記錄無線性能和連接問題 網(wǎng)絡(luò)趨勢分析 取證分析和審計(jì)支持 允許對間歇性無線問題進(jìn)行歷史分析 查看性能趨勢并建立網(wǎng)絡(luò)基線,流量分析,事件序列,更快確定和恢復(fù)根本問題,98,問題？,Part 3 Airdefense Security,關(guān)于 WIPS,報(bào)警類型和配置 安全規(guī)范 私接檢測 事件調(diào)查 緩解技術(shù) 無線脆弱性評估,警報(bào)類型和警報(bào)配置,配置 平臺配置 警報(bào)配置,ADSP一共分為9類告警,安全規(guī)則配置,定義安全配置文件 配置 傳感器監(jiān)控 安全配置文件,主要的安全規(guī)則,定義安全配置文件 配置 傳感器監(jiān)控 安全配置文件,基于私有認(rèn)證及加

27、密方式的核查規(guī)則,選擇 Privacy 標(biāo)簽,基于速率的核查規(guī)則,安全配置文件的分配,分配預(yù)定義安全配置文件 繼承或覆寫,私接定義,無線網(wǎng)絡(luò)上的未獲準(zhǔn) AP 無線網(wǎng)絡(luò)上的未獲準(zhǔn)站點(diǎn) 入侵 檢測要求： 準(zhǔn)確和輕松區(qū)分有線網(wǎng)絡(luò)上的AP與周邊或瞬時AP 檢測所有類型的私接 橋接 AP 路由器 檢測私接設(shè)備狀態(tài)，與AP使用的校驗(yàn)和加密方法無關(guān)。 檢測算法，不要求復(fù)雜的網(wǎng)絡(luò)配置或改變ACL/防火墻。,私接檢測,私接定義 私接檢測 有線掃描 有線/無線關(guān)聯(lián) 無線/無線關(guān)聯(lián),有線檢測,必須配置 SNMP discovery 以進(jìn)行端口查訪,無線檢測,無線私接檢測至少需要一個授權(quán)AP,AirDefense私接 AP 檢測,AirDefense 使用多種檢測算法，發(fā)現(xiàn)所有不依賴傳感器/服務(wù)器放置的私接案例,無線 VLAN,1,AP,6,防火墻,AP,111,非授權(quán) AP,無線控制器交換機(jī),SOHO 路由器/AP,服務(wù)器,分段式非無線 VLAN,服務(wù)器,交換機(jī),POS,ACL/非路由用戶VLAN,路由用戶VLAN,桌面,私接報(bào)警,緩解技術(shù),空中終止 端口抑制 ACL,空中終止（AirTermination）,中斷連接必須由管理員啟用 在警報(bào)中右擊設(shè)備,私接客戶端,中斷,有線端口查訪和抑制,首先找到非法私接點(diǎn)所在的端口 其次抑制該端口或拔去該非法私接點(diǎn),搜索標(biāo)準(zhǔn),搜索結(jié)果,私接 AP,自動化主