無線網路IPS｜AirTight SpectraGuard Enterprise 提供多種無線網路防護功

最近我們測試了AirTight的SpectraGuard Enterprise，它是一款專門用於無線網路的IPS（WIPS）設備，它的功能有別於一般企業網路常見的網路型IPS（NIPS）設備，產品本身不會檢測封包內容，主要是偵測異常的無線網路連線，及內部基地臺的安全漏洞，同時能予以阻斷。

就架構而言，除了建置設備本身之外，還必須另外部署感測器的裝置。SpectraGuard Enterprise在出廠時即已內建25臺感測器的管理授權，而企業也能另購授權，增加感測器的部署數量，最多可達500臺。

除此之外，AirTight還有推出安裝在個人端電腦的SpectraGuard SAFE軟體，管理Wi-Fi、3G，及藍牙等具備網路傳輸功能的射頻裝置的使用及連線。這套產品同時可以整合SpectraGuard Enterprise，將違反SpectraGuard SAFE管理政策的事件顯示於WIPS的管理介面，讓管理者即時掌握相關訊息。

可透過原廠的軟體工具，執行規畫測試

SpectraGuard Enterprise的安裝相當容易，當設備以預設值啟動時，透過序列埠，連接終端機的文字介面，將會出現訊息，詢問我們是否開啟設定精靈的功能，接著可以快速完成基本設定，如IP組態、Server ID（預設值為1，當網路當中有多臺SpectraGuard Enterprise，則需要為各臺設備設定不同的Server ID，做為識別之用），及提供管理者從遠端登入管理的SSH伺服器等，隨後就可以連接網頁介面，透過此處的設定精靈，及其他方式，繼續完成部署設備所需的設定。

不同於SpectraGuard Enterprise，AirTight的感測器裝置只有終端機一種設定方式，分為2步驟來完成與WIPS設備間的連線，受其管理。首先是執行「set ip config」指令，決定感測器要透過預設的DHCP，或者以固定IP的方式連接網路；其次，則是透過「set server discovery」指令，提供SpectraGuard Enterprise所在的IP位址，或者是WIPS的Server ID等其他資訊，讓感測器透過TCP/UDP的3851埠建立連線。

這次送測的感測器型號為SS-300-AT，為AirTight感測器裝置的最高階型號，它的外觀與一般的無線基地臺相仿，支援802.11a/b/g/n的無線網路規格，頂端有6根天線，以3根1組的架構，管理2.4GHz及5GHz的無線網路訊號，1臺感測器可以同時防護周圍的20個無線網路用戶端裝置，提供切斷連線的功能，至於偵測則沒有數量上的限制。

感測器的部署位置，視企業的需求不同而有差異。假設是為了防範外部使用者以DDoS等方式攻擊無線網路，這時就需要在辦公室的邊緣地帶也設置感測器，盡可能延長無線網路訊號的偵測範圍，而當主要的防護對象只有內部使用者，避免他們連接如WiFly的外部無線網路服務，或者Rogue AP等不屬於企業所提供的無線網路時，只需要將感測器放置於可以涵蓋辦公室的地點即可。

若要進行產品部署前的規畫測試，我們可以透過AirTight的SpectraGuard Planner軟體，用它繪製辦公室的平面圖，根據所輸入的面積、裝潢材質等資訊，大致算出感測器的放置地點，及所需數量，隨後還能將它匯出，提供給SpectraGuard Enterprise繼續使用，或者企業也可以上傳先前透過AutoCAD等軟體繪出的平面圖，交由WIPS使用。

無線網路防護功能相當完整

SpectraGuard Enterprise的網頁介面相當視覺化，我們可以很輕易從首頁的圖表，理解無線網路的安全狀態。部署SpectraGuard Enterprise時，我們必須將企業內部的樓層及外部據點，畫分為多個不同區域，當然感測器收集到安全問題，回報給WIPS之後，可以從對應的區域位置，找到問題發生的所在地點。

SpectraGuard Enterprise預設將周圍的所有基地臺歸類到「Extrenal」群組，意即不是企業所提供的無線網路，因此在管理上，我們必須將架設於內部網路的基地臺搬移到「Authorized」的群組，使其受到WIPS的防護。

而在用戶端裝置管理的部分，則需要將所有網卡的MAC位址匯入WIPS，成為一份白名單，當有清單以外的用戶端裝置，試圖連接Authorized群組內的基地臺，WIPS就會視為是非法存取，而發出警訊，並傳送De-Auth封包，使其無法與連線到基地臺。另外，用戶端裝置還能根據使用者的身分不同進行分類，像是內部使用者就無法存取訪客專用的SSID，存取原本受到企業管制的網站。

若是企業巳經確認短期內不會新增任何的基地臺，及用戶端裝置時，可以啟用鎖定的功能，日後所有出現於內部網路的基地臺，將會被視為私架的裝置，並歸類為Rogue AP，任何人皆無法與其連線。同樣的，當有新增的裝置試圖連接內部網路的基地臺時，SpectraGuard Enterprise也會以Rogue Client的方式進行管理。

而在沒有開啟鎖定功能的情況下，SpectraGuard Enterprise會將出現在內部網路的未加密基地臺，視為私架裝置，並提供定位的功能，以便能夠在最短時間內將其移除。我們在一處約為7×6.4公尺範圍的場所，放置2臺SS-300-AT，隨後並將一臺未經加密的基地臺連接到測試環境的網路，在WIPS的基地臺列表上，可以看到設備被標註為Rogue AP專屬的紅色，在基地臺列表點選此一裝置，開啟進階資訊的視窗，切換到「Locate」的頁籤之後，就可以看到WIPS的定位結果，距離最近的感測器，其周圍會顯示為藍色。一般來說，感測器部署數量愈多，WIPS定位的效果也會更加準確。

針對不同環境及設備，SpectraGuard Enterprise內建多種無線網路的監控範本，並隨著新韌體的推出而有所更新，當有新版韌體推出時，網頁介面的上方會出現跳動的圖示，點選之後，可由此處取得韌體的安裝檔案。

對於Authorized群組內未經加密，或者僅啟動WEP做為防護措施的基地臺來說，SpectraGuard Enterprise將其定位為「Mis-Configured」的基地臺，若我們啟動相關的範本，則WIPS會在基地臺列表上將其標注為黃色。

報表格式支援多種資安法案的要求

SpectraGuard Enterprise內建完整且相當細緻的的報表範本，能根據企業需求，以符合沙賓（SOX）、HIPPA等資安法案所規範的內容輸出，透過郵寄或者手動下載的方式提供，不僅如此，報表內容當中，還能根據法案的不同章節做分類，使得企業能夠快速對照。另外，企業也可以自訂內容，製作客製化的報表。

SS-300-AT可透過PoE及外接電源等2種方式，獲得電力。

SpectraGuard Enterprise的網頁介面相當視覺化，我們可以很輕易從首頁的圖表，理解無線網路的安全狀態。

產品本身亦提供定位的功能，以便能夠在最短時間內將私架的裝置移除。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】