保护

HPE Aruba Networking Central 如何实现隔离,以及提供的基础设施和客户端隔离选项类型

WIDS 提供了丰富的保护功能,以防止检测到的威胁对网络造成影响。设备检测和分类是保护网络环境免受未授权无线接入的第一步。采取快速关闭入侵的措施对于保护敏感信息和网络资源至关重要。

入侵保护功能支持对接入点(AP)或客户端设备的隔离。在 AP 的情况下,所有连接或尝试连接到该 AP 的客户端都将被断开。在客户端的情况下,目标是断开客户端与 AP 的关联。

支持以下隔离机制:

  • 有线隔离 - 启用后,AP 在有线网络上生成 ARP 包以隔离无线攻击。

此功能实现从网络有线端的隔离。有线隔离的基本功能会隔离那些其有线接口 MAC 地址与其 BSSID 相同(或相差一个字符)的第 3 层 AP。增强的有线隔离功能还可以识别并隔离具有预设有线 MAC 地址且与 AP 的 BSSID 完全不同的 AP。在许多非 HPE Aruba Networking AP 中,AP 提供给无线客户端作为网关的 MAC 地址与其有线 MAC 地址相差一个字符。此增强功能允许 AOS 检查疑似第 3 层Rogues AP 的 MAC 地址是否遵循此常见模式。

建议启用。基于 MAC 模式假设的有线Rogues检测是一种有效的机制,可以保护您的有线网络免受Rogues攻击。在启用之前,应咨询安全和法律部门并获得批准。

  • 无线隔离 - 启用后,系统会尝试断开所有连接或尝试连接到已识别接入点的客户端。

在启用任何隔离选项之前,请先查阅当地的法律法规,并注意并非所有监管机构都允许这些功能的使用。

基础设施入侵保护选项

以下是在 HPE Aruba Networking Central 中可以启用的基础设施入侵事件保护选项。

针对Rogues隔离的保护

默认情况下,Rogues AP 不会被自动禁用。Rogues隔离会自动禁用Rogues AP,通过阻止客户端与该 AP 关联。

此选项默认未启用,因为其对 FCC 及可能的罚款具有深远影响。在启用之前,应咨询安全和法律部门并获得批准。首选的隔离方法应为 Tarpitting(延迟处理)。

保护 SSID

保护 SSID 确保只有有效的 AP 才能使用有效/受保护的 SSID。违规 AP 通过阻止客户端与其关联来实现隔离。

这可能会影响 Govroam 和 eduroam 等服务,因为仅举两个例子。此功能不应启用,因为其行为对本地监管机构和可能的罚款具有深远影响。在启用此功能之前,应咨询安全和法律部门并获得批准。

防止 AP 冒充

防止 AP 冒充涉及同时隔离合法 AP 和冒充的 AP,以防止客户端连接到任一 AP。

不应启用,可能会造成干扰。如果启用,应仅在所有 AP 冒充警报已验证无误后进行。

防止临时网络

防止临时网络涉及隔离临时网络,以防止客户端连接到违规设备。

如有需要,应谨慎启用此功能,因为可能会影响 WLAN 质量,因为大量的空中时间将用于取消认证临时设备。

AOS 8 中的遗留选项

保护 40 MHz 802.11n 高吞吐设备

防止支持 40 MHz HT 的 AP,涉及隔离 AP,使客户端无法连接。

建议禁用,此设置具有巨大影响。属于遗留设置,绝不应启用。

保护 802.11n 高吞吐设备

防止支持 HT 的 AP,涉及隔离 AP,使客户端无法连接。

建议禁用,此设置具有巨大影响。属于遗留设置,绝不应启用。

防止配置错误的 AP

保护配置错误的 AP,确保只有正确配置的 AP 才能使用。违规 AP 通过阻止客户端与其关联来实现隔离。

除非在高度安全区域且无法看到其他 BSSID/ESSID,否则不应启用。仅在隔离 WLAN 环境中(没有邻近建筑物)使用。此设置可能对邻近 WLAN 产生深远影响。已获批准的非 HPE Aruba Networking WLAN 需标记为有效。

防止无线托管网络

使用 Windows 无线托管网络功能的客户端可以作为接入点,允许其他无线客户端连接,实际上成为 Wi-Fi 热点。这为企业带来安全风险,因为未授权用户可以利用托管网络访问企业网络,连接到托管网络的有效用户也可能受到攻击或安全漏洞的威胁。此功能检测无线托管网络,并隔离托管该网络的客户端。

应禁用此功能,因为其对 FCC 及可能的罚款具有深远影响。在任何客户现场启用之前,应咨询安全和法律部门并获得批准。

防止疑似Rogues隔离

默认情况下,疑似Rogues AP 不会被自动隔离。结合疑似Rogues隔离的置信度级别,疑似Rogues隔离会自动禁用嫌疑Rogues设备,通过阻止客户端与该设备关联。

此功能应禁用,因为其对 FCC 及可能的罚款具有深远影响。在任何客户现场启用之前,应咨询安全和法律部门并获得批准。这是最危险的隔离措施,因为疑似Rogues警报仅基于置信度,容易被误配置。

客户端入侵保护选项

以下是在 HPE Aruba Networking Central 中可以启用的针对客户端入侵事件的保护选项。

保护有效的站点

保护有效客户端涉及在其连接到非有效 AP 时断开该客户端。

建议禁用。如果考虑启用,应非常谨慎,确保没有有效客户端会因监控 WLAN 而连接到其他非有效 WLAN。如果附近有热点、餐厅等,可能会导致有效站点离线并连接到非有效 WLAN。

保护 Windows 桥接

保护 Windows 桥接涉及隔离形成桥的客户端,防止其连接到 AP。

建议禁用,除非检测到 Windows 桥接,并且调查显示不是误报。

AP 与 AM 的隔离区别

在接入点模式和空中监控模式下的 AP 能检测并缓解无线网络中的潜在安全威胁。

AP 可以执行无线隔离,但会优先处理客户端流量而非隔离。这是一个非常重要的区别,也是建议启用无线隔离时推荐使用空中监控器(AM)的原因。例如,如果一个 AP 在信道 36 上为客户端服务,而在信道 48 上有Rogues,AP 不会切换信道以隔离Rogues。如果Rogues恰好在信道 36 上,AP 会在为客户端服务的同时执行无线隔离。

相反,空中监控器(AM)在隔离时会调整扫描算法,确保频繁访问发生隔离的信道,同时继续扫描其他信道以检测其他威胁。

AP 和 AM 都支持Rogues AP 的隔离,防止客户端连接到Rogues AP。如果满足以下任一条件,它们会进行 tarpit 或取消认证隔离:

  • 当 AP 被标记为拒绝服务(DoS)时,会发送单个广播取消认证帧以断开连接,如果站点未响应广播消息,则会发送两个单播取消认证帧以断开站点与 AP 的连接,反之亦然。
  • 为了将有效的站点与无效的接入点解除关联,会从站点的MAC地址向接入点发送单播的去认证帧,反之亦然。
  • AP 冒充已激活,并通过发送单播解除认证帧将所有站点与无效的 AP 解除关联。

最后修改时间:2024年7月29日(6115eca)

返回顶部

© Copyright 2025 Hewlett Packard Enterprise Development LP