Air Defense无线局域网安全和关键基础设施保护.ppt

加固无线网络 AirDefense无线局域网安全和关键基础设施保护 服务器 用户 传统有线网络 通过防火墙进行网络边界控制 互联网 安全的内部网络 用户 互联网 上网 无线局域网 不能连接网络 停车场上的黑客 UsersConnectingtoNeighboringNetworks 非法接入点 网络边缘模糊 穿透防火墙的新手段层出不穷 无线技术改变了一切 服务器 无线传输难以控制 无线传输显著加大了攻击面 来自堪萨斯州劳伦斯市城区一个接入点的信号 无处不在的Wi Fi 分清非法无线终端和邻居的能力至关重要 5thAvenue NewYork Source GoogleEarth W 无线钓鱼 入侵终端 软AP 以无线方式窃取秘密 破解WEP 破解WEP事件的发生频率2001不可破解2003数年一次2004数日一次2005几小时一次2006几分钟一次2007几秒钟一次 数十种攻击密钥破解无重放保护消息完整性不够共享密钥RC4实施不力 尽快从WEP升级至WPA2 破解WPA 破解WPA事件的发生频率200680个密钥 秒2007130个密钥 秒30 000个密钥 秒100 000个密钥 秒 新型攻击浮出水面WPA预共享密钥不是十分安全采用并行处理 显卡和FPGA加速器 加快PSK破解速度WPATKIP受到威胁 小帧解码和任意帧慢速注入 采用带AES加密的WPA2 以及企业模式802 1X鉴权 802 11网络安全漏洞汇总 主要基础设施安全防护标准 NERC标准 CIP 002 关键网络资产识别CIP 003 安全管理控制CIP 004 人事和培训CIP 005 电子安全边界CIP 006 关键网络资产物理安全CIP 007 系统安全管理CIP 008 事件报告和应急预案CIP 009 关键网络资产恢复计划 CIP 005无线网络要求 R3 监控电子接入 负责机构应当制定和实施相关流程 对电子安全边界的接入点的访问情况进行全天候的监控和记录 R3 2 只要技术上可行 所制定的安全监控流程应当能够查明非法接入 试图和实际接入 并发出报警 这些报警应当为指定的响应人员发出相应的通知 如果技术上不可行 责任机构应至少每90天对非法接入 试图和实际接入 记录进行评估 R4 网络漏洞评估 责任机构应至少每年对电子安全边界的电子接入点进行网络漏洞评估 R4 3 电子安全边界所有接入点的发现 R5 3 责任机构应至少保留90天的电子接入记录 可报告事件的记录应按照CIP 008的要求加以保留 1 2 3 验证任何无线网络和存储持卡人数据的系统之间安装了边界防火墙 而且这些防火墙可以拒绝或控制 如果对业务是必须的 从无线网络传送至持卡人数据环境的流量 PCIDSSv1 2 无线网络 如果使用无线技术存储 处理和传输持卡人数据 例如 POS交易数据和 绿色通道 或者部分持卡人数据环境与无线局域网相连 例如 未使用防火墙明确地隔离 必须采用并执行针对无线环境的PCIDSS要求和测试程序 例如要求1 2 3 2 1 1和4 1 1 PCIDSSv1 2 无线网络 摩托罗拉AirDefense解决方案 总部 现场办公室 现场办公室 摩托罗拉AirDefense解决方案企业版 创新附加模块 无线网络漏洞评估主动评估无线网络安全情况 频率分析查明和划分常见射频干扰类型 包括微波和蓝牙等 LiveRF实时分析无线网络性能 集中分析和解决连接问题 高级取证检查详细的无线网络活动记录 进行取证分析和故障检测 高级排障更快解决无线网络相关问题 主动解决问题 移动办公人员保护端点安全性 保护移动工作人员 不论他们身在何处 流氓接入点检测和禁闭入侵检测自动阻断出具审计报告无线网络故障检测取证分析位置跟踪企业级可扩展性 无线接入点和传感器合二为一 设置摩托罗拉双模接入点 将其中一个频段专门用于WIPS检测 频段未锁定 接入点和传感器可以同时采用同一频段 2 4或5GHz 降低部署成本 不需要另外配备传感器 接入点不需要专门留出时间进行检测 从而改善了数据业务性能和服务质量 接入点和传感器结合可改善统计信息收集 例如用于位置跟踪的RSSI 业界第一种未锁定频段的全时接入点 全天候专用传感器解决方案 阻断非法设备 自动区分邻居和非法设备 查明连接到网络上的各类非法设备 连接和业务历史记录 自动阻断 远程办公室 邻居 检测 分析 阻断 RogueDevicesCanbeAnywhereontheNetworkandcanbeEncrypted 综合性入侵检测 Sensors 协议滥用 反常行为 签名分析 策略管理 可查明200多种威胁侦察和探测拒绝服务攻击身份盗窃 恶意关联字典攻击 违反安全策略 误判数量最小化多个检测引擎关联减少误判数量最准确的攻击检测 检测 AIRDEFENSE服务器应用 发现 分析 自动化无线网络防护 无线连接中断针对性地断开无线连接对正常网络业务没有影响符合相关法律和FCC规定 固网端口抑制搜索固网查找非法终端连接的交换机端口仅仅断开非法终端的连接 无线ACL防止无线终端连接WLAN 传感器 WIPS设备 交换机 笔记本 邻居AP 接入点 WirelessStation AP 中断 意外关联 端口抑制 非法AP ACL执行 流氓终端 远程接入点测试 自动漏洞评估将传感器转化为终端 对一个或多个接入点进行主动测试人工或自动定期测试 生成详细测试报告第二层无线网络鉴权和关联测试第三层DHCP Ping DNS Traceroute测试和端口扫描 取证分析 丰富的取证数据可从系统中调用几个月的历史数据每分钟每个终端325多条统计信息终端连接和活动记录 宝贵的业务信息用于取证分析和达标声明的准确记录判定攻击的确切时间和影响无线网络性能和连接问题记录 取证汇总 关联分析 历史位置跟踪 审计报表 具体的无线网络安全政策 可定制报表 摩托罗拉AirDefense无线网络安全漏洞评估模块 模块描述一种创新无线网络安全漏洞扫描工具 能够利用现有的WIPS传感器 模拟黑客身份 对无线网络进行主动测试客户选择该模块的理由在发生黑客攻击之前 主动查明网络安全问题验证无线网络与持卡人数据彼此隔离远程安全漏洞扫描 降低顾问和差旅费用自动完成无线网络扫描模块功能无线网络安全漏洞评估 7 3 4版 查明客户无线网络中的安全漏洞模块价格7 3 4或更高版本的附加模块每个传感器的许可费为295美元 所有传感器必须单独购买许可证 无线网络安全漏洞扫描面临的挑战 ChallengeswithToday sWirelessScanning 如今 无线网络扫描是一项费时费力的工作 前往设备安装现场进行扫描浪费了大量时间顾问 员工必须亲临现场进行无线网络安全漏洞扫描 导致高昂的差旅费用不能自动完成无线网络扫描导致整个流程效率低下手工扫描可能导致结果不一致符合PCI要求1 2 3 目前未被任何WIPS覆盖 主动扫描的优势 Proactive 在黑客发起攻击之前查明安全漏洞 主动扫描结合传统的被动WIPS方式 提供全面的安全保护在实施阶段查明实施问题 上线之前测试环境 WIPS的发展 全面的安全防护 主动 AP测试 高级排障 无线网络安全漏洞评估 全新推出 被动 入侵检测入侵防范实时检查取证分析频率分析性能分析 摩托罗拉AirDefense产品 总部 现场办公室 现场办公室 摩托罗拉AirDefense企业版 创新附加模块 无线网络漏洞评估主动评估无线网络安全情况 频率分析查明和划分常见射频干扰类型 包括微波和蓝牙等 LiveRF实时分析无线网络性能 集中分析和解决连接问题 高级取证检查详细的无线网络活动记录 进行取证分析和故障检测 高级排障更快解决无线网络相关问题 主动解决问题 移动办公人员保护端点安全性 保护移动工作人员 不论他们身在何处 流氓接入点检测和禁闭入侵检测自动中断达标无线网络故障检测取证分析位置跟踪企业级可扩展性 WVA概览 利用传感器模拟笔记本 连接无线网络执行漏洞扫描 主动扫描可以让用户发现黑客可能攻击哪些设备和服务 这还关系到达标 譬如PCI 无线网络安全漏洞评估扫描示例 WAN A10 5 1 15 IP 192 168 1 45 DNS 10 5 1 10 执行扫描 以判定该系统是否可以接入 A 可通过无线网络访问信用卡系统 黑名单信用卡系统 Appsrvr1 该信用卡系统 不可 通过无线网络访问 客户审查漏洞报告有人通过无线网络访问信用卡系统 Appsrvr1 客户需要重新配置防火墙 阻止这种访问 无线网络安全漏洞评估测试 2 WVA排程 1 配置无线网络漏洞评估参数 3 浏览漏洞评估测试结果 无线网络安全漏洞评估测试 2 远程确认 补漏 措施 1 客户 填补 漏洞 然后再次进行扫描 目标客户 直销 WVA适合现已安装无线网络的所有企业 目标客户包括 已部署无线网络但WIPS不是首要任务的企业 关注的重点 主动安全的重要性已部署无线网络且WIPS是首要任务的企业 WVA可以提供一个附加安全层 让他们领先一步重视网络安全 希望增加一个安全层的现有AirDefense客户垂直市场零售 PCIDSS1 2 3达标政府机构医疗教育 结论 无线网络安全至关重要不加监控的无线网络存在着非法接入关键基础设施边界的风险最近发起了几起通过无线网络盗用数据的事件 需要集中式无线网络安全监控解决方案流氓无线接入和无线攻击有增无减解决无线局域网连接和性能问题所需的运营成本居高不下 摩托罗拉AIRDEFENSE专门开发和提供WIPS系统自动禁闭各类流氓无线终端可以查明200多种攻击和违反安全政策的情况专用于无线网络的集中式高级排障和漏洞分析NERC无线网络安全达标验证和报告独立部署 不受网络设备厂商的限制与摩托罗拉无线局域网设备一起部署 常规接入点 传感器硬件 集成化管理 全方位企业接入和移动 TEAM VoWLAN语音数据集成化解决方案 企业移动化梦想成真 企业IT系统发展历程 电话系统 数字PBX IPPBX专有系统 二十世纪八十年代 二十世纪九十年代 WLAN 用于数据业务 网络连接 专有网络 IP网络 IPPBXSIP 虚拟局域网 支持语音业务的WLAN 蜂窝网络 二十一世纪 模拟 数字2G 2 5G 2 75G 3G FMC VoWLAN 终端 网络 通信和中间件 应用和服务 无线局域网 WiMAX 公网 蜂窝网络 有线电视网络 终端客户端软件 服务器和网关 电话 消息 双向对讲机 互联网和系列商务应用 统一管理 移动应用不断演进 当前 未来 移动语音解决方案 移动消息解决方案 即时通信解决方案 移动计算解决方案 数据捕获解决方案 针对特定任务的 垂直式 移动解决方案通信孤岛未实现共同安全各自为政的管理系统完成任务需要使用多部终端针对特定终端和 或网络的用户体验和特性 跨任何网络使用任何终端终端整合所有终端提供共同的 水平式 功能 语音 视频 数据共同的用户体验 在建筑物内部和路途上实现特性透明化统一的安全和管理方法 统一安全 全方位企业接入和移动 TEAM 解决方案 Motorola推出了名为 全方位企业接入和移动 TEAM 的产品系列TEAM产品系列将基于多种不同终端和网络的安全移动接入企业通信转变成 集团电话 PBX 对讲机公司邮件 日历 通讯录和其他个人信息管理 PIM 应用文本消息服务访问互联网和企业内部网系列商务应用TEAM产品系列将提供全面的语音和数据通信 以满足几乎所有企业的所有员工的需求在无线局域网上提供语音业务 VoWLAN 初始解决方案TEAMExpress语音客户端 基本的对讲机互通射频链路解决方案 将TEAM解决方案延伸至与双向对讲机系统互通即将推出 双模蜂窝网络 无线局域网解决方案 摩托罗拉TEAMVoWLAN解决方案 功能在无线局域网上提供语音业务连接至PBX PSTN的长话级质量电话对讲机 调度席私密呼叫组呼电子邮件 日历 通讯录同步文本消息服务访问互联网 企业内部网基于WindowsMobile6 10的系列商务应用 它是什么 完备的解决方案 应用和软件无线服务管理器 WSM 网络服务管理器 NSM 客户端接入许可证 CAL 企业WLAN智能手机 全面的TEAM产品系列 从VoWLAN开始 目标用户主要是在建筑物中工作的员工 如 零售业 物流业 医疗行业和制造业 解决方案内容在无线局域网上提供语音业务的经济法教案通过PBX PSTN提供电话服务对讲机 PTT 文本消息服务移动电子邮件 日历 通讯录WindowsMobile应用 目标用户需要移动计算机提供PTT功能的按小时计酬的员工 如 库房员工需要支持语音功能的条码扫描器或移动计算终端 解决方案内容在移动计算机上运行的PTT应用为各项工作职能提供适当的终端 目标用户有时候会离开企业园区的知识型员工任务型员工的管理者 如 商店经理 医生解决方案内容在无线局域网和蜂窝网络之间无缝漫游 在建筑物内部提供完备的VoWLAN功能 PTT 初始解决方案 单模VoWLAN TEAMExpress语音客户端 双模VoWLAN和蜂窝网络 TEAMVoWLAN解决方案 互联网 全方位企业接入和移动 单模VoWLAN 合作 系列商务服务器 电子邮件 客户的营业场所 企业 IT服务器DHCP DNS AAA TEAMVoWLAN解决方案 射频链路解决方案 互联网 全方位企业接入和移动 单模VoWLAN 合作 系列商务服务器 电子邮件 客户的营业场所 企业 IT服务器DHCP DNS AAA 现有的双向对讲机系统 射频链路解决方案 TEAMExpress解决方案 基本的易于部署的PTT通信 互联网 全方位企业接入和移动 现有的PBX和WLAN WLAN 防火墙 合作 系列商务服务器 电子邮件 客户的营业场所 企业 IT服务器DHCP DNS AAA 现有的双向对讲机系统 射频链路解决方案 公网 宏蜂窝网络 PSTN TEAM解决方案的架构经专门设计 可以支持未来的功能 互联网 全方位企业接入和移动 现有的PBX和WLAN WLAN IP PBX TDMPBX PSTN 防火墙 合作 系列商务服务器 电子邮件 客户的营业场所 企业 IT服务器DHCP DNS AAA 卫生服务过滤器 特性设备 网络服务管理器 管理和配置 现有的双向对讲机系统 射频链路解决方案 单模VoWLAN 公共无线网络 蜂窝网络 双模WLAN 蜂窝网络 路线图计划信息并非提供任何产品 产品特性或软件功能的承诺或义务 摩托罗拉保留更改任何产品 产品特性或软件版本的内容和上市时间及价格的权利 无线服务管理器 WSM 设备的独特优势 企业级灵活性 每个无线服务管理器最多可支持2 000个用户 易于集成 延长电池工作时间 可以与已有的IP和TDMPBX互通 卸载了维持与无线服务管理器之间的语音连接所需的大部分处理任务 节省了电池电力 高效的对讲机服务 能够最大限度地减少通常与对讲机风格语音通信相关的业务量 确保了无线局域网的性能和吞吐量 充分利用PBX功能 能够克服PBX接口局限性 允许企业将PBX功能移动化 从而对其加以充分利用 强健的安全性和管理策略 IT部门可以轻松地通过单一控制点 以远程方式管理语音和数据服务 并确保其安全性 当前的通信缺口双向对讲机双向对讲机仅用于简短的交谈 采用内部 合用线 部分员工不可使用双向对讲机不能与电话互连 要接听外部呼叫 必须使用电话寻呼广播分散购物者的注意力不能确保相关人员收到消息仅提供语音业务的VoWLAN或无绳解决方案仅限于语音通信有限的组呼PTT功能不能即时建立PTT通信 零售业应用 业务 作业需求客户服务满足客户来电请求店内 现场 响应客户需求最大限度地提高员工生产率能够立即联系到适当的员工 认识Phil 家居用品商店管材部销售人员 摩托罗拉TEAM解决方案最大限度地延长员工停留在工作现场的时间接听 拨打电话不需要离开工作现场直接在卖场接听客户来电得益于移动接入公司通信工具 员工可以在工作现场完成 桌面 任务当场向客户提供承包商信息改善人际联络方式客户与销售人员间的通信 PBX 客户可以直接向Phil提出疑问销售人员之间的通信 PTT或PBX Phil可以迅速帮顾客找到五金部的店员实现新的功能 查看库存 核对价格高性能终端 具备行业领先的电池工作时间 多档 话音质量 当前的通信缺口寻呼广播干扰公开不能确保相关人员收到消息座机在远离活动点的地方进行通信要求放下主要职责 耽误时间仅提供语音业务的VoWLAN或无绳解决方案仅限于语音通信有限的组呼PTT功能不能即时建立PTT通信不能将呼叫流程与作业过程相整合 医疗行业应用 业务 作业需求生产率平衡 紧急 私密 确保病患护理 加快恢复 改善疗效 认识Samantha 医院产科病房的注册护士 摩托罗拉TEAM解决方案减少了用于反反复复电话留言 到有座机的地方拨打 回复电话的时间Samantha可以在查房的同时拨打 接听电话 到时候 联系医生响应紧急的病人请求更高话音质量 缩短了呼叫时间 降低了发生误解的风险支持同时访问语音和数据应用 允许用户在现场获取 验证至关重要的信息在致电告知药房处方的同时 验证药物的禁忌症密封性良好的坚固耐用的终端 可以擦拭干净高性能终端 具备行业领先的电池工作时间 多档 8 10小时通话时间 170 200小时待机时间 话音质量 当前的通信缺口寻呼广播干扰公开不能确保相关人员收到消息双向对讲机不能与电话互通座机工厂作业要求用户经常离开办公桌 因此无法联系他们仅提供语音业务的VoWLAN或无绳解决方案仅限于语音通信 需要第二部终端用于数据业务有限的组呼PTT功能不能即时建立PTT通信 制造业应用 业务 作业需求提高生产率和质量快速响应生产线故障或处于危险情况的生产线通过合作 改善作业过程为在企业园区内不停移动的工程师 技术人员 监管者提供支持 认识Chuck 工业品制造企业的制造工程师 摩托罗拉TEAM解决方案随时随地联系到适当的人员工厂任何角落发生问题时 可以立即通知Chuck他可以在现场打电话求助立即联系到适当的人员向支持团队发起PTT组呼最大限度地延长停留在车间的时间在车间做事的同时 Chuck可以拨打 接听电话访问关键数据和应用 甚至在语音呼叫过程中 实时报告积分卡指标坚固耐用 密封性良好的终端 适用于恶劣的环境多档电池工作时间在嘈杂 恶劣的环境下 提供杰出的话音质量 降低了发生误解的风险 当前的通信缺口座机使用户受限于办公桌要求放下主要职责 耽误时间仅提供语音业务的VoWLAN或无绳解决方案仅限于语音通信蜂窝网络室内覆盖 普通办公室应用 业务 作业需求最大限度地提高员工生产率响应度 认识Steve 产品经理 摩托罗拉TEAM解决方案最大限度地提高生产率在远离办公桌的地方拨打和接听电话 甚至无需使用手机或蜂窝网覆盖 在无线局域网上使用智能手机功能电子邮件通讯录日历文本消息服务访问公司内部网和应用 其他行业应用 提高生产率和响应度及时通知订单变更或回答询问 增加收入避免因未能及时回电而丢单 立即转接至另一个部门 加快响应客人需求不论在任何地方 现场联系内务部 餐饮部或维护部工作人员 促进合作 灵活安排教室和人员即使当管理者和教师在多个房间中时 及时联系他们 促进合作 而不会影响合规性和安全性允许经纪人实现漫游和合作 同时仍然通过PBX与客户保持通话 酒店业 教育业 金融服务业 批发业 物流业 对讲机 PTT 调度席私密呼叫 企业内部用户之间的一对一呼叫组呼 通话组内部的群体通信多个通话组 最多可支持255个通话组呼叫提示 能够留下提示 以便用户通过私密呼叫快速回应快速建立呼叫 从按键操作到允许通话提示音之间的呼叫建立时间通常不到1秒系统和频谱效率 该解决方案不要求为每个调度呼叫提供专门的连接应用灵活性 WindowsMobile6数据库 系列商务应用文本消息服务多厂商设备互通 最强健的VoWLAN解决方案已经上市 电话拨打和接听电话呼叫转移呼叫等待 多用户呼入呼叫保持 恢复呼叫转接 前转和后转 来电显示 号码 姓名 阻止 缩位拨号三方呼叫 多方电话会议语音邮件指示器急救电话911二次拨号中途加入型会议 最初仅Avaya提供 电子邮件 个人信息管理 PIM 通过消息服务或微软ActiveSync同步软件访问电子邮件 日历 通讯录 任务列表访问企业内部网 互联网文本消息服务 TEAMEWP1000 2000VoWLAN智能手机 技术规格频段 模式 WLANTri 频段802 11a b g重量 145g EWP1000 152g EWP2000 外形尺寸 120 x52x17 2mm EWP1000 120 5x54x18 7mm EWP2000 通话时间 7 9小时 标准 超高容量电池 待机时间 140 170小时 标准 超高容量电池 显示屏 2英寸 320 x240265KTMR彩色显示屏操作系统 微软 WindowsMobile 6 1浏