RAPIDS
WIDS/WIPS 服务用于 AOS 10.
Rogue 接入点入侵检测系统(RAPIDS)通过专利的无线和有线网络扫描组合,自动检测并定位未经授权的接入点(AP),无论您的部署角色如何。RAPIDS 使用现有的、授权的 AP 在 RF 环境中扫描任何范围内的未经授权设备。RAPIDS 还扫描您的有线网络,以确定无线检测到的Rogues设备是否已物理连接。客户可以将此解决方案部署为“混合”AP,既作为 AP 也作为传感器,或作为叠加架构,其中 Aruba AP 充当被称为空中监控器(AM)的专用传感器。RAPIDS 使用来自专用传感器和已部署 AP 的数据,提供对无线环境的最全面视图。该解决方案提升网络安全、管理合规性要求,并降低手动安全工作的成本。
- Rogues设备检测是无线安全的核心组成部分。
- RAPIDS 规则引擎和隔离选项允许创建详细的定义,说明什么构成Rogues设备,并能快速对Rogues AP 采取调查、限制措施或两者兼施。
- 一旦发现Rogues设备,RAPIDS 可以提醒安全团队潜在的威胁,并提供定位和管理威胁所需的关键信息。
- RAPIDS 功能集包含在基础订阅中。
RAPIDS 流
RAPIDS 提供了对Rogues和其他形式的无线入侵的有效防御。为了实现这些目标,RAPIDS 将:
- 执行多种类型的无线扫描。
- 关联各种扫描的结果,以整合关于已识别设备的所有可用信息。
- 根据定制以满足组织安全需求的规则,对发现的设备进行分类。
- 生成关于 IT 的自动化警报和报告,包含有关未授权设备的关键信息,包括物理位置和交换机端口(尽可能提供)。
- 部署遏制机制以中和潜在威胁。
使用 RAPIDS 的主要特性与优势
| 特性 | 优势 |
|---|---|
| 利用现有接入点和 AM 传感器的无线扫描 | 节省时间和成本。无需进行巡检或购买额外的 RF 传感器或专用服务器。 |
| 默认或自定义规则的威胁分类 | 节省时间和资源。使员工能够专注于最重要的风险缓解任务。针对组织量身定制的全面设备分类意味着减少在误报上的调查时间。 |
| 自动化警报 | 更快的响应时间。警报在检测到非法设备时立即通知工作人员,减少反应时间,进一步提升安全性。 |
| 非法接入点位置和交换机/端口信息 | 更快的威胁缓解。极大简化了对非法设备的安全防护和潜在威胁的移除任务。 |
| 报告 | 降低监管成本。全面的非法设备和审计报告帮助企业符合各种行业标准和监管要求。 |
| IDS 事件管理 | 单点控制。为您提供网络安全的全景图。通过聚合数据进行模式检测,提升安全性。 |
| 手动和自动隔离 | 持续安全。通过即使在网络工作人员不在场时也能立即采取行动来提升安全性。 |
RAPIDS 用例
合规性是驱动许多组织为其企业无线网络实施严格安全流程的关键动力。最常见的法规包括支付卡行业(PCI)数据安全标准、健康保险携带与责任法案(HIPAA)和萨班斯-奥克斯利法案(SOX)。
RAPIDS 报告有助于合规审计
- PCI DSS 要求所有接受信用卡或借记卡进行购买的组织保护其网络免受通过Rogues或未授权的无线接入点和客户端的攻击。即使商户没有为其自身使用部署无线网络,这一要求仍然适用。
- RAPIDS 协助零售商和其他受覆盖组织遵守这些要求。RAPIDS 还使企业能够设置自动化的优先级警报,当检测到恶意行为时,可以通过电子邮件发送到指定的分发列表。
- 医院使用 RAPIDS 来保护患者数据以及系统安全。他们需要知道网络中是否存在不良设备,以及用于患者护理的关键医疗设备。
WIDS 与 RAPIDS
无线入侵检测服务(WIDS)通过不断扫描射频环境中的预定义无线签名,为无线网络提供额外的行为信息和安全保障。入侵检测功能集成在 AOS 中,采用签名匹配逻辑,而非 RAPIDS 使用的规则匹配。
- AOS 可以根据配置的威胁检测级别(高、中、低)触发警报,称为 WIDS 事件。
- WIDS 事件可以分为两类:
- 基础设施检测事件
- 客户端检测事件
RAPIDS 将会利用 WIDS 事件,以清晰且易于理解的方式呈现事件信息,包括日志和Rogues位置(rogue location)信息。安全事件很少孤立发生,攻击通常会生成多个 WIDS 事件,因此 RAPIDS 会将多个相关攻击的报告合并为一个事件,以减少噪声。
- Central 中的 RAPIDS 会聚合 WIDS 事件,并提供一种查看环境中触发了哪些事件的方法。
- 每个事件都具有特定的受害者MAC地址;这些事件会为每个受害者MAC进行汇总。
- 多个接入点报告相同的事件。
- 针对同一MAC的多次攻击。
- 在界面、NBAPI 和 API 流中的可见性
- 设备分类是云处理和边缘处理的结合。
- Aruba 接入点可以自主发现Rogues接入点,无需 Aruba Central 干预(持续监控)。
- Aruba Central 分类优先级最高。
RAPIDS 分类
RAPIDS 按照以下层级进行分类。
- 干扰性
- 疑似Rogues
- 违规
- 邻居(已知干扰源)
- 手动封堵(DoS)
- Valid
在被监控的AP的生命周期中,分类只能向上晋升(即在列表中位置更靠前——换句话说,在下图中从左到右),绝不可能向下降级(即返回到较低的值)
如果邻居达到“Valid”(橙色)分类,则视为“最终状态”。意味着,AP将停止对该AP应用其自身的分类算法,并且AP将保持在该状态(除非被淘汰,或用户手动将其分类为其他类别)
同样的行为也适用于自定义规则。例如,如果邻居AP已被分类为 Rogue,即使它匹配某个规则,也绝不会被降级为 Suspected Rogue
RAPIDS对分类进行以下层级排序:干扰、Suspected Rogue、Rogue、邻居(已知干扰)、手动封锁(DoS)、Valid
同样的行为也适用于自定义规则。例如,如果邻居AP已被分类为 Rogue,即使它匹配某个规则,也绝不会被降级为 Suspected Rogue
配置规则
在UI中启用RAPIDS后,将生效一组3个默认分类规则
对于现有的RAPIDS客户,这些规则与之前版本中应用的规则相同。最多可以配置32个单一规则。单个规则中的所有条件使用“AND”操作符,这意味着只有当该规则中的所有条件都满足时,规则才会被应用
配置自定义规则
创建自定义规则
为你的规则添加一个或多个条件
分类条件
- 信号强度 - 用户可以指定最小信号强度范围为 -120 到 0 dB
- 检测 AP 数量 - 能够“看到”被监控 AP 的检测 AP 数量为 2 到 255
- WLAN 分类 – 有效的、干扰的、不安全的、DOS、未知、已知干扰、疑似不安全
- SSID 包含 - 用于匹配被监控 AP 的 SSID 值的模式。
- SSID 排除 - 用于匹配被监控 AP 的 SSID 值的模式。
- 已知有效 SSID - 与客户账户中配置的所有已知有效 SSID 进行匹配。正则表达式匹配
- 连接有线网络 - 当存在受管理的 PVOS/CX 交换机,并且邻近的 AP 被判定为连接到有线网络时,依据交换机报告的 BSSID 与已知有线 MAC 地址的前 40 位匹配。
- 网络上的时间 - 自监控到的接入点首次出现在网络上的最小分钟数
- 站点 - 适用此规则的站点ID列表。如果未填写,则对所有站点应用此规则。
- 频段 - 被监控接入点的无线频段。80211B(2.4 GHz)、A(5 GHz)、G(2.4 GHz)、AG(未使用)、6GHz
- 有效的客户端 MAC 匹配 - 将任何监控的 BSSID 与当前有效的站点缓存列表进行匹配。此匹配必须是完全一致的。
- 加密 - 加密:OPEN(开放)、WEP、WPA、WPA2、WPA3
规则的排序很重要;规则按照自定义规则列表中的从上到下的顺序进行评估。
只要匹配到规则;那么该规则就会被执行,并且停止进一步的规则评估。
因此,按照从低分类到高分类的顺序排列规则非常重要。
手动分类将被尊重;如果邻居AP已经由用户手动分类,那么不会对该AP进行规则评估。
如果分类规则选择了非最终状态的分类(即干扰或疑似Rogues),那么边缘的APRogues检测算法将继续应用。理论上,它们可能会判断该AP实际上是Rogues,并将分类提升为Rogues。
Rogues面板
Rogues面板提供了关于您的无线环境的详细信息。以下是提供信息的示例。
Rogues面板
最后修改时间:2025年4月30日(b5e28cf)