分类
定义及用于保护网络的分类方法
检测到后,接入点(AP)和客户端设备必须被准确分类,以判断它们是否有效、干扰或Rogues设备
术语
在扫描无线信道时发现的接入点(AP)和客户端设备会被分类到不同的组别
AP定义
| 分类 | 描述 |
|---|---|
| 已授权 | 作为企业一部分提供 WLAN 服务的接入点。 |
| 邻居 | 当已知 BSSIDS 时,邻近的 AP 即为邻居 AP。经过分类后,邻居 AP 不会改变其分类。 |
| 干扰 | 在射频环境中被检测到但未连接到有线网络的接入点(AP)。干扰接入点不被视为直接的安全威胁,因为它未连接到有线网络。例如,干扰接入点可以是属于邻近办公室 WLAN 的接入点,但不属于您的 WLAN 网络。 |
| Rogue | 未经授权的接入点,插入到网络的有线端。 |
| 怀疑的Rogues设备 | 怀疑的Rogues接入点是指可能连接到网络有线端的未授权接入点。 |
| 包含 | 手动启用 DoS 的接入点。 |
客户端定义
| 分类 | 描述 |
|---|---|
| 授权 | 任何成功通过有效接入点进行认证并传输加密流量的客户端。 |
| 包含 | 所有手动启用 DoS 的客户端。 |
| 干扰 | 关联到任何接入点(AP)且无效的客户端。 |
方法
通过以下方法将已发现的设备归类为上述定义之一:
- 内部启发式方法
- 设备层级分类
- 基于规则的分类
- 手动分类
设备级别分类
设备分类是云端处理和边缘处理相结合的结果。默认情况下,HPE Aruba Networking 接入点可以持续监控网络并发现Rogues接入点,无需中央干预。当启用中央分类时,优先级更高。
内部启发式算法
内部启发式算法通过检查发现的接入点是否与客户网络中的有线设备通信来工作。这是通过匹配发现的接入点网络中设备的 MAC 地址与用户有线网络的 MAC 地址来实现的。发现的接入点网络中设备的 MAC 地址被称为匹配 MAC。
匹配方法
匹配方法包括:
- Plus One - 检测到的 MAC 地址与已检测到的设备的 MAC 地址相关联,且最后一位比匹配 MAC 的最后一位多一。
- Minus One - 检测到的 MAC 地址与已检测到设备的 MAC 地址相关联,且该 MAC 地址的最后一位比匹配的 MAC 地址少一。
- 相等 - 匹配对象为相同的 MAC 地址。
- OUI - 该匹配项是针对有线设备的制造商OUI。
匹配类型
Eth-Wired-MAC
由接入点在以太网接口上学习到的有线设备的MAC地址。
GW-Wired-MAC
所有管理设备的网关MAC的集合。
AP-Wired-MAC
通过监控来自其他有效和RoguesAP的流量学习到的有线设备的MAC地址。
Config-Wired-MAC
由用户配置的MAC地址,通常是网络中知名服务器的MAC地址。
Manual
用户触发的分类。
External-Wired-MAC
匹配已在外部数据库中维护的一组已知有线设备的MAC地址。
Mobility-Manager
该分类由Mobility Manager确定。
Classification-off
由于分类已被禁用,AP被归类为Rogues,导致所有非授权AP都被归类为Rogues。
Propagated-Wired-MAC
由除用于分类Rogues的AP之外的其他AP学习到的有线设备的MAC地址。
Base-BSSID-Override
该分类是从另一个属于支持在无线接口上配置多个BSSID的AP的BSSID派生的。对于HPE Aruba Networking的OUI,如果信标的基础BSSID与已知有效BSSID的基础BSSID匹配,则新BSSID不被视为有效。
AP-Rule
已匹配到用户定义的AP分类规则。
System-Wired-MAC
在管理设备上学习到的有线设备的MAC地址。
System-Gateway-MAC
在管理设备上学习到的网关MAC地址。
基于规则的分类
可用于分类的规则依赖于所使用的环境,并且在AOS 8与AOS 10之间有所不同。
Mobility Conductor (AOS-8)
AP分类规则配置仅在Mobility Conductor上执行。规则由ASCII字符字符串名称(最多32个字符)标识。AP分类规则有三种可能的规格。
AP的SSID
每个规则最多可以有6个SSID参数。如果在规则中指定了一个或多个SSID,可以选择是否匹配任何SSID或不匹配所有SSID。默认是进行匹配操作。
AP的SNR
每个规则只能有一个SNR的规格。可以在每个规则中指定最小和/或最大值,规格以SNR(dB)表示。
已发现的AP数量或能看到该AP的AP数量
每个规则只能有一个已发现AP数量的规格。每个规则可以指定已发现AP数量的最小值或最大值。如果指定了已发现AP数量,则必须指定最小或最大操作。默认设置为检查最小已发现AP数量。
Central (AOS-10)
Central中的WIDS规则与AP上的WIDS模块协同工作。虽然AP不依赖Central检测Rogues事件,但Central的分类优先于设备级分类。
在Central中启用WIDS后,管理员可以创建详细定义何为Rogues设备的规则,并可以迅速对RoguesAP采取调查、限制措施或两者兼施。
AP分类规则配置在Central上进行。提供three default rules帮助分类Rogues和疑似Rogues设备,并可以基于检测AP数量、SSID值、在网络上花费的时间等不同标准创建custom rule sets。Rule Classification Criteria页面描述了所有在Central中可配置的标准。
手动分类
通过此方法,无线管理员监控IDS事件,并手动将一个或多个设备重新分类为干扰、疑似Rogues或Rogues等定义。
分类层级
WIDS使用层级结构对检测到的设备进行分类:
- 干扰
- 疑似Rogues
- 恶意行为
- 邻居(已知干扰源)
- 手动封堵(DoS)
- 有效
在被监控的AP的生命周期中,分类只能向上提升(即在列表中位置更高),绝不可能向下降级(即降低到更低的值)
同样的行为也适用于自定义规则。例如,如果邻居AP已经被分类为RoguesAP,那么任何后续的规则匹配都不会将分类降级为可疑RoguesAP。
检测到的基础设施设备的WIDS分类。
最后修改时间:2024年7月29日(6115eca)