AirDefense无线局域网安全和关键基础设施保护

1、,加固无线网络,Air Defense无线局域网安全和关键基础设施保护,服务器,用户,传统有线网络,通过防火墙进行网络边界控制,互联网,安全的内部网络,用户,互联网,上网（无线局域网）不能连接网络,停车场上的黑客,Users Connecting to Neighboring Networks,非法接入点,网络边缘模糊、穿透防火墙的新手段层出不穷,无线技术改变了一切,服务器,无线传输难以控制,无线传输显著加大了攻击面,来自堪萨斯州劳伦斯市城区一个接入点的信号,无处不在的Wi-Fi,分清非法无线终端和邻居的能力至关重要,5th Avenue, New York, Source: Google E

2、arth, W,无线钓鱼,入侵终端（软AP）,以无线方式窃取秘密,破解WEP,破解WEP事件的发生频率 2001 不可破解 2003 数年一次 2004 数日一次 2005 几小时一次 2006 几分钟一次 2007 几秒钟一次,数十种攻击 密钥破解 无重放保护 消息完整性不够 共享密钥 RC4实施不力,尽快从WEP升级至WPA2,破解WPA,破解WPA事件的发生频率 2006 80个密钥/秒 2007 130个密钥/秒 30,000个密钥/秒 100,000个密钥/秒,新型攻击浮出水面 WPA预共享密钥不是十分安全 采用并行处理（显卡和FPGA加速器）加快PSK破解速度 WPA TKIP受到

3、威胁：小帧解码和任意帧慢速注入,采用带AES加密的WPA2，以及企业模式802.1X鉴权,802.11网络安全漏洞汇总,主要基础设施安全防护标准,NERC标准,CIP-002：关键网络资产识别 CIP-003：安全管理控制 CIP-004：人事和培训 CIP-005：电子安全边界 CIP-006：关键网络资产物理安全 CIP-007：系统安全管理 CIP-008：事件报告和应急预案 CIP-009：关键网络资产恢复计划,CIP-005无线网络要求,R3. 监控电子接入负责机构应当制定和实施相关流程，对电子安全边界的接入点的访问情况进行全天候的监控和记录。 R3.2. 只要技术上可行，所制定的安

4、全监控流程应当能够查明非法接入（试图和实际接入），并发出报警。这些报警应当为指定的响应人员发出相应的通知。如果技术上不可行，责任机构应至少每90天对非法接入（试图和实际接入）记录进行评估。 R4. 网络漏洞评估责任机构应至少每年对电子安全边界的电子接入点进行网络漏洞评估。 R4.3. 电子安全边界所有接入点的发现； R5.3. 责任机构应至少保留90天的电子接入记录。可报告事件的记录应按照CIP-008的要求加以保留。,1.2.3 “验证任何无线网络和存储持卡人数据的系统之间安装了边界防火墙，而且这些防火墙可以拒绝或控制（如果对业务是必须的）从无线网络传送至持卡人数据环境的流量。”,PCI D

5、SS v1.2 无线网络 “如果使用无线技术存储、处理和传输持卡人数据（例如，POS 交易数据和“绿色通道”），或者部分持卡人数据环境与无线局域网相连（例如，未使用防火墙明确地隔离），必须采用并执行针对无线环境的PCI DSS要求和测试程序（例如要求1.2.3、2.1.1和4.1.1）。”,PCI DSS v1.2 无线网络,摩托罗拉AirDefense解决方案,总部,现场办公室,现场办公室,摩托罗拉AirDefense解决方案企业版,创新附加模块,无线网络漏洞评估 主动评估无线网络安全情况,频率分析 查明和划分常见射频干扰类型，包括微波和蓝牙等,LiveRF 实时分析无线网络性能，集中分析和

6、解决连接问题,高级取证 检查详细的无线网络活动记录，进行取证分析和故障检测,高级排障 更快解决无线网络相关问题，主动解决问题,移动办公人员保护 端点安全性，保护移动工作人员（不论他们身在何处）,流氓接入点检测和禁闭 入侵检测 自动阻断 出具审计报告 无线网络故障检测 取证分析 位置跟踪 企业级可扩展性,无线接入点和传感器合二为一,设置摩托罗拉双模接入点，将其中一个频段专门用于WIPS检测,频段未锁定接入点和传感器可以同时采用同一频段（2.4或5 GHz）,降低部署成本不需要另外配备传感器,接入点不需要专门留出时间进行检测，从而改善了数据业务性能和服务质量,接入点和传感器结合可改善统计信息收集（

7、例如用于位置跟踪的RSSI）,业界第一种未锁定频段的全时接入点+全天候专用传感器解决方案,阻断非法设备,自动区分邻居和非法设备,查明连接到网络上的各类非法设备,连接和业务历史记录,自动阻断,远程办公室,邻居,检测 分析 阻断,Rogue Devices Can be Anywhere on the Network and can be Encrypted,综合性入侵检测,Sensors,协议滥用,反常行为,签名分析,策略管理,可查明200多种威胁 侦察和探测 拒绝服务攻击 身份盗窃、恶意关联 字典攻击、违反安全策略,误判数量最小化 多个检测引擎关联减少误判数量 最准确的攻击检测,检测,AIRD

8、EFENSE服务器应用,发现,分析,自动化无线网络防护,无线连接中断 针对性地断开无线连接 对正常网络业务没有影响 符合相关法律和FCC规定,固网端口抑制 搜索固网查找非法终端连接的交换机端口 仅仅断开非法终端的连接,无线ACL 防止无线终端连接WLAN,传感器,WIPS设备,交换机,笔记本,邻居AP,接入点,Wireless Station,AP,中断：意外关联,端口抑制：非法AP,ACL执行：流氓终端,远程接入点测试,自动漏洞评估 将传感器转化为终端，对一个或多个接入点进行主动测试 人工或自动定期测试，生成详细测试报告 第二层无线网络鉴权和关联测试 第三层DHCP、Ping、DNS、Tra

9、ceroute测试和端口扫描,取证分析,丰富的取证数据 可从系统中调用几个月的历史数据 每分钟每个终端325多条统计信息 终端连接和活动记录,宝贵的业务信息 用于取证分析和达标声明的准确记录 判定攻击的确切时间和影响 无线网络性能和连接问题记录,取证汇总,关联分析,历史位置跟踪,审计报表,具体的无线网络安全政策,可定制报表,摩托罗拉AirDefense无线网络安全漏洞评估模块,模块描述 一种创新无线网络安全漏洞扫描工具，能够利用现有的WIPS传感器，模拟黑客身份，对无线网络进行主动测试 客户选择该模块的理由 在发生黑客攻击之前，主动查明网络安全问题 验证无线网络与持卡人数据彼此隔离 远程安全漏

10、洞扫描，降低顾问和差旅费用 自动完成无线网络扫描 模块功能 无线网络安全漏洞评估（7.3.4版）查明客户无线网络中的安全漏洞 模块价格 7.3.4或更高版本的附加模块 每个传感器的许可费为295美元，所有传感器必须单独购买许可证,无线网络安全漏洞扫描面临的挑战,Challenges with Todays Wireless Scanning,如今，无线网络扫描是一项费时费力的工作，前往设备安装现场进行扫描浪费了大量时间 顾问/员工必须亲临现场进行无线网络安全漏洞扫描，导致高昂的差旅费用 不能自动完成无线网络扫描导致整个流程效率低下 手工扫描可能导致结果不一致 符合PCI要求1.2.3 （目前未

11、被任何WIPS覆盖）,主动扫描的优势,Proactive,在黑客发起攻击之前查明安全漏洞！ 主动扫描结合传统的被动WIPS方式，提供全面的安全保护 在实施阶段查明实施问题（上线之前测试环境）,WIPS的发展全面的安全防护,主动,AP测试（高级排障） 无线网络安全漏洞评估 全新推出!,被动,入侵检测 入侵防范 实时检查 取证分析 频率分析 性能分析,摩托罗拉AirDefense产品,总部,现场办公室,现场办公室,摩托罗拉AirDefense企业版,创新附加模块,无线网络漏洞评估 主动评估无线网络安全情况,频率分析 查明和划分常见射频干扰类型，包括微波和蓝牙等,LiveRF 实时分析无线网络性能，

12、集中分析和解决连接问题,高级取证 检查详细的无线网络活动记录，进行取证分析和故障检测,高级排障 更快解决无线网络相关问题，主动解决问题,移动办公人员保护 端点安全性，保护移动工作人员（不论他们身在何处）,流氓接入点检测和禁闭 入侵检测 自动中断 达标 无线网络故障检测 取证分析 位置跟踪 企业级可扩展性,WVA概览,利用传感器模拟笔记本，连接无线网络执行漏洞扫描。 主动扫描可以让用户发现黑客可能攻击哪些设备和服务。 这还关系到达标，譬如PCI。,无线网络安全漏洞评估扫描示例,WAN,A 10.5.1.15,IP: 192.168.1.45,DNS: 10.5.1.10,执行扫描，以判定该系统是

13、否可以接入,A,可通过无线网络访问信用卡系统!,黑名单信用卡系统“Appsrvr1” 该信用卡系统“不可”通过无线网络访问,!,客户审查漏洞报告 有人通过无线网络访问信用卡系统“Appsrvr1”！ 客户需要重新配置防火墙，阻止这种访问,无线网络安全漏洞评估测试,2. WVA排程,1. 配置无线网络漏洞评估参数,3. 浏览漏洞评估测试结果,无线网络安全漏洞评估测试,2. 远程确认“补漏”措施,1. 客户“填补”漏洞，然后再次进行扫描,目标客户直销,WVA适合现已安装无线网络的所有企业。目标客户包括： 已部署无线网络但WIPS不是首要任务的企业。关注的重点：主动安全的重要性 已部署无线网络且WI

14、PS是首要任务的企业。WVA可以提供一个附加安全层，让他们领先一步 重视网络安全、希望增加一个安全层的现有AirDefense客户 垂直市场 零售：PCI DSS 1.2.3达标 政府机构 医疗 教育,结论,无线网络安全至关重要 不加监控的无线网络存在着非法接入关键基础设施边界的风险 最近发起了几起通过无线网络盗用数据的事件,需要集中式无线网络安全监控解决方案 流氓无线接入和无线攻击有增无减 解决无线局域网连接和性能问题所需的运营成本居高不下,摩托罗拉AIRDEFENSE专门开发和提供WIPS系统 自动禁闭各类流氓无线终端 可以查明200多种攻击和违反安全政策的情况 专用于无线网络的集中式高级

15、排障和漏洞分析 NERC无线网络安全达标验证和报告 独立部署，不受网络设备厂商的限制 与摩托罗拉无线局域网设备一起部署常规接入点+传感器硬件、集成化管理,全方位企业接入和移动（TEAM）,VoWLAN语音数据集成化解决方案,企业移动化梦想成真,企业IT系统发展历程,电话系统,数字PBX,IP PBX专有系统,二十世纪八十年代,二十世纪九十年代,WLAN （用于数据业务）,网络连接,专有网络,IP网络,IP PBX SIP,虚拟局域网,支持语音业务的WLAN,蜂窝网络,二十一世纪,模拟,数字2G 2.5G 2.75G,3G,FMC,VoWLAN,终端,网络,通信和中间件,应用和服务,无线局域网、

16、WiMAX、公网、蜂窝网络、有线电视网络,终端客户端软件、服务器和网关,电话、消息、双向对讲机、互联网和系列商务应用,统一管理,移动应用不断演进,当前,未来,移动语音解决方案,移动消息解决方案,即时通信解决方案,移动计算解决方案,数据捕获解决方案,针对特定任务的“垂直式”移动解决方案 通信孤岛 未实现共同安全 各自为政的管理系统 完成任务需要使用多部终端 针对特定终端和/或网络的用户体验和特性,跨任何网络使用任何终端 终端整合 所有终端提供共同的“水平式”功能语音、视频、数据 共同的用户体验，在建筑物内部和路途上实现特性透明化 统一的安全和管理方法,统一安全,全方位企业接入和移动（TEAM）解

17、决方案,Motorola推出了名为“全方位企业接入和移动（TEAM）”的产品系列 TEAM产品系列将基于多种不同终端和网络的安全移动接入企业通信转变成： 集团电话（PBX） 对讲机 公司邮件、日历、通讯录和其他个人信息管理（PIM）应用 文本消息服务 访问互联网和企业内部网 系列商务应用 TEAM产品系列将提供全面的语音和数据通信，以满足几乎所有企业的所有员工的需求 在无线局域网上提供语音业务（VoWLAN）初始解决方案 TEAM Express语音客户端基本的对讲机互通 射频链路解决方案将TEAM解决方案延伸至与双向对讲机系统互通 即将推出双模蜂窝网络/无线局域网解决方案,摩托罗拉TEAM

18、VoWLAN解决方案,功能 在无线局域网上提供语音业务 连接至PBX/PSTN的长话级质量电话 对讲机/调度席 私密呼叫 组呼 电子邮件/日历/通讯录同步 文本消息服务 访问互联网/企业内部网 基于Windows Mobile 6.10的系列商务应用,它是什么完备的解决方案,应用和软件 无线服务管理器（WSM） 网络服务管理器（NSM） 客户端接入许可证（CAL）,企业WLAN智能手机,全面的TEAM产品系列从VoWLAN开始,目标用户 主要是在建筑物中工作的员工（如，零售业、物流业、医疗行业和制造业） 解决方案内容 在无线局域网上提供语音业务的经济法教案 通过PBX/PSTN提供电话服务 对

19、讲机（PTT） 文本消息服务 移动电子邮件/日历/通讯录 Windows Mobile应用,目标用户 需要移动计算机提供PTT功能的按小时计酬的员工（如，库房员工需要支持语音功能的条码扫描器或移动计算终端） 解决方案内容 在移动计算机上运行的PTT应用 为各项工作职能提供适当的终端,目标用户 有时候会离开企业园区的知识型员工 任务型员工的管理者（如，商店经理） 医生 解决方案内容 在无线局域网和蜂窝网络之间无缝漫游，在建筑物内部提供完备的VoWLAN功能（PTT）,初始解决方案,单模VoWLAN,TEAM Express 语音客户端,双模 VoWLAN和蜂窝网络,TEAM VoWLAN解决方案

20、,互联网,全方位企业接入和移动,单模 VoWLAN,合作,系列商务服务器,电子邮件,客户的营业场所,企业/IT服务器 DHCP, DNS, AAA,TEAM VoWLAN解决方案射频链路解决方案,互联网,全方位企业接入和移动,单模 VoWLAN,合作,系列商务服务器,电子邮件,客户的营业场所,企业/IT服务器 DHCP, DNS, AAA,现有的双向对讲机系统,射频链路解决方案,TEAM Express解决方案基本的易于部署的PTT通信,互联网,全方位企业接入和移动,现有的PBX和WLAN,WLAN,防火墙,合作,系列商务服务器,电子邮件,客户的营业场所,企业/IT服务器 DHCP, DNS,

21、 AAA,现有的双向对讲机系统,射频链路解决方案,公网,宏蜂窝网络/ PSTN,TEAM解决方案的架构经专门设计，可以支持未来的功能,互联网,全方位企业接入和移动,现有的PBX和WLAN,WLAN,IP-PBX / TDM PBX,PSTN,防火墙,合作,系列商务服务器,电子邮件,客户的营业场所,企业/IT服务器 DHCP, DNS, AAA,卫生服务过滤器 （特性设备）,网络服务管理器 （管理和配置）,现有的双向对讲机系统,射频链路解决方案,单模VoWLAN,公共无线网络,蜂窝网络,双模WLAN + 蜂窝网络,路线图计划信息并非提供任何产品、产品特性或软件功能的承诺或义务，摩托罗拉保留更改任

22、何产品、产品特性或软件版本的内容和上市时间及价格的权利。,无线服务管理器（WSM）设备的独特优势,企业级灵活性,每个无线服务管理器最多可支持2,000个用户,易于集成,延长电池工作时间,可以与已有的IP和TDM PBX互通,卸载了维持与无线服务管理器之间的语音连接所需的大部分处理任务，节省了电池电力,高效的对讲机服务,能够最大限度地减少通常与对讲机风格语音通信相关的业务量，确保了无线局域网的性能和吞吐量,充分利用PBX功能,能够克服PBX接口局限性，允许企业将PBX功能移动化，从而对其加以充分利用,强健的安全性和管理策略,IT部门可以轻松地通过单一控制点，以远程方式管理语音和数据服务，并确保其

23、安全性,当前的通信缺口 双向对讲机 双向对讲机仅用于简短的交谈，采用内部“合用线”；部分员工不可使用 双向对讲机不能与电话互连要接听外部呼叫，必须使用电话 寻呼广播 分散购物者的注意力 不能确保相关人员收到消息 仅提供语音业务的VoWLAN或无绳解决方案 仅限于语音通信 有限的组呼PTT功能 不能即时建立PTT通信,零售业应用,业务/作业需求 客户服务 满足客户来电请求 店内（现场）响应客户需求 最大限度地提高员工生产率 能够立即联系到适当的员工,认识Phil,家居用品商店管材部 销售人员,摩托罗拉TEAM解决方案 最大限度地延长员工停留在工作现场的时间 接听/拨打电话不需要离开工作现场 直接

24、在卖场接听客户来电 得益于移动接入公司通信工具，员工可以在工作现场完成“桌面”任务 当场向客户提供承包商信息 改善人际联络方式 客户与销售人员间的通信（PBX） 客户可以直接向 Phil提出疑问 销售人员之间的通信（(PTT或PBX） Phil可以迅速帮顾客找到五金部的店员 实现新的功能查看库存、核对价格 高性能终端，具备行业领先的 电池工作时间（多档） 话音质量,当前的通信缺口 寻呼广播 干扰 公开 不能确保相关人员收到消息 座机 在远离活动点的地方进行通信 要求放下主要职责，耽误时间 仅提供语音业务的VoWLAN或无绳解决方案 仅限于语音通信 有限的组呼PTT功能 不能即时建立PTT通信

25、不能将呼叫流程与作业过程相整合,医疗行业应用,业务/作业需求 生产率 平衡紧急、私密、确保 病患护理加快恢复/改善疗效,认识Samantha,医院产科病房的注册护士,摩托罗拉TEAM解决方案 减少了用于反反复复电话留言，到有座机的地方拨打/回复电话的时间 Samantha可以在查房的同时拨打/接听电话 “到时候”联系医生 响应紧急的病人请求 更高话音质量，缩短了呼叫时间，降低了发生误解的风险 支持同时访问语音和数据应用，允许用户在现场获取/验证至关重要的信息 在致电告知药房处方的同时，验证药物的禁忌症 密封性良好的坚固耐用的终端，可以擦拭干净 高性能终端，具备行业领先的 电池工作时间（多档：8

26、-10小时通话时间；170-200小时待机时间） 话音质量,当前的通信缺口 寻呼广播 干扰 公开 不能确保相关人员收到消息 双向对讲机 不能与电话互通 座机 工厂作业要求用户经常离开办公桌，因此无法联系他们 仅提供语音业务的VoWLAN或无绳解决方案 仅限于语音通信；需要第二部终端用于数据业务 有限的组呼PTT功能 不能即时建立PTT通信,制造业应用,业务/作业需求 提高生产率和质量 快速响应生产线故障或处于危险情况的生产线 通过合作，改善作业过程 为在企业园区内不停移动的工程师、技术人员、监管者提供支持,认识Chuck,工业品制造企业的 制造工程师,摩托罗拉TEAM解决方案 随时随地联系到适

27、当的人员 工厂任何角落发生问题时，可以立即通知Chuck 他可以在现场打电话求助 立即联系到适当的人员 向支持团队发起PTT组呼 最大限度地延长停留在车间的时间 在车间做事的同时， Chuck可以拨打/接听电话 访问关键数据和应用（甚至在语音呼叫过程中） 实时报告积分卡指标 坚固耐用、密封性良好的终端，适用于恶劣的环境 多档电池工作时间 在嘈杂、恶劣的环境下，提供杰出的话音质量，降低了发生误解的风险,当前的通信缺口 座机 使用户受限于办公桌 要求放下主要职责，耽误时间 仅提供语音业务的VoWLAN或无绳解决方案 仅限于语音通信 蜂窝网络 室内覆盖,普通办公室应用,业务/作业需求 最大限度地提高

28、员工生产率 响应度,认识Steve,产品经理,摩托罗拉TEAM解决方案 最大限度地提高生产率 在远离办公桌的地方拨打和接听电话（甚至无需使用手机或蜂窝网覆盖） 在无线局域网上使用智能手机功能 电子邮件 通讯录 日历 文本消息服务 访问公司内部网和应用,其他行业应用,提高生产率和响应度 及时通知订单变更或回答询问,增加收入 避免因未能及时回电而丢单；立即转接至另一个部门,加快响应客人需求 不论在任何地方，现场联系内务部、餐饮部或维护部工作人员,促进合作，灵活安排教室和人员 即使当管理者和教师在多个房间中时，及时联系他们,促进合作，而不会影响合规性和安全性 允许经纪人实现漫游和合作，同时仍然通过P

29、BX与客户保持通话,酒店业,教育业,金融服务业,批发业,物流业,对讲机（PTT）/ 调度席 私密呼叫企业内部用户之间的一对一呼叫 组呼通话组内部的群体通信 多个通话组最多可支持255个通话组 呼叫提示能够留下提示，以便用户通过私密呼叫快速回应 快速建立呼叫从按键操作到允许通话提示音之间的呼叫建立时间通常不到1秒 系统和频谱效率该解决方案不要求为每个调度呼叫提供专门的连接 应用灵活性Windows Mobile 6 数据库/系列商务应用 文本消息服务 多厂商设备互通,最强健的VoWLAN解决方案已经上市,电话 拨打和接听电话 呼叫转移 呼叫等待/多用户呼入 呼叫保持/恢复 呼叫转接（前转和后转）

30、 来电显示（号码、姓名、阻止） 缩位拨号 三方呼叫/多方电话会议 语音邮件指示器 急救电话911 二次拨号 中途加入型会议（最初仅Avaya提供） 电子邮件/个人信息管理（PIM） 通过消息服务或微软Active Sync同步软件访问电子邮件、日历、通讯录、任务列表 访问企业内部网/互联网 文本消息服务,TEAM EWP1000/2000 VoWLAN智能手机,技术规格 频段/模式： WLAN Tri 频段802.11a/b/g 重量： 145g（EWP1000）/ 152g（EWP2000） 外形尺寸： 120 x 52 x 17.2 mm（EWP 1000） 120.5 x 54 x 18.7 mm（EWP 2000） 通话时间：7-9小时（标准/超高容量电池） 待机时间： 140-170小时（标准/超高容量电池） 显示屏： 2英寸，320 x 240 265K TMR彩色显示屏 操作系统： 微软 Windows Mobile 6.1 浏览器： 兼容HTML/W