Dedicated Air Monitors? You Decide

最近着手研究Aruba无线技术 还是官方的英文文档给力

Aruba的客户经常会问?
我需要部署Aruba 的Air monitor吗?或者仅仅只部署一个AP?

我们的回答是:
Aruba AP可拥有双倍性能的Air monitor,即 Air monitor能 提供了额外的性能和保护特性。

一台Aruba可以被配置为一台瘦AP以提供802.11a/b/g的无线接入用户。被当作一台Air monitor 通常扫描射频频谱,或者做为一台同时具备AP和Air monitor功能的设备(具备扫描功能的AP)。

任一Aruba 被动态的配置为Air monitor模式,如Aruba 70系列的双无线电AP可以一个无线电工作在AP模式,为客户端提供服务,另外一个无线电可以工作在Air monitor模式。一台Air monitor会进入”只听“模式,并在其频段内,不间断的去扫描所有信道。

一台AP能在它配置的通道里自动的提供监测。例如,一台AP在channel 1为客户端提供服务,那么他就能在channel 1里提供无安全的监测服务。如果被设置为为运行off-channel 扫描,AP将在频段内花费比较简短的时间间隔去扫描其他的信道。扫描的间隔越短,客户端性能受到的影响越小。

在off-channel模式下的扫描,一些性能影响是不可避免的。最近许多厂商的实验测试发现,当使用scannning AP为客户端服务或off-channel监测,会花费大量的去off-channel可能吞吐量会下降到16%。

真的需要一台专用的Air monitor?虽然Aruba给了用户这样一个选择,我们强烈推荐他们使用。以下一些观点详细的说明了使用专用的monitor设备的好处:

安全方面:
专用的Air monitor 通过扫描APs 承担了大量的与安全相关的增强功能多重任务。
恶意 APs:
恶意AP是未经管理员许可和授权的AP,通常情况下,一些并非恶意的员工未能意识到恶意AP连接到网络所造成的安全风险。通过以下功能能快速的响应增强的安全监控:
1.检测
一台专用的Air monitor能在数秒内识别恶意的AP,数分钟内发现恶意AP在不同信道间的恶意操作。否则他将永远不能发现所有的流氓行为。因为AP监控那个channel时,在短暂的时间内少量的使用恶意AP是不会产生流量的。
2.分类
恶意的AP区分是取决于看他有没有能力接入到有线网络中去,并且看他连到哪里了。Aruba发明了一个算法,就是在网络范围内进行数据抽样,Aruba正在申请自动分类算法的专利。AP或者Air monitor在一个channel上对数据抽样所花费的时间越长,分类算法的结果将越精确,其所呈现的结果将具准确性和及时性。扫描为客户端提供服务的AP也能类别出恶意AP,由于他们要为客户端付出时间,因此他们会变得很慢。
3.遏制
一旦恶意AP已经发现并标识出来后,Aruba能快速的禁用它使用较低的带宽的有线和无线拒绝服务攻击。要实施无线DoS攻击,发出的设备必须与恶意AP 处于同一channel上来实行遏制行动。如果恶意AP在不同的channel上,通过off-channel来对恶意AP实行遏制,会比本地遏制所产生 的吞吐量产生的影响要多一些。


Ad - hoc 网络监测和遏制
Ad-hoc网络监测和遏制与恶意AP遏制和监测是相关联的。Aruba是第一家能自动检测,分类和禁用Ad-hoc的厂商。可是Ad-hoc通常产生比 恶意APs更少的流量,由于这种原因,在短暂的时间间隔内,通过扫描AP来发现Ad-hoc网络的可能性将变得更低。通过专用的Air monitor,Ad-hoc网络将很快的被检测到并禁用掉。

Honey-pot AP侦测
在一个honey-pot攻击中,入侵者在无线网络范围内设置了一个AP(经常在建筑物外边),并开始冠以企业网络的ESSID。毫不知情的客户端设备关 联到入侵者的AP之后,并相信他们漫游到了一个有效的AP。然后攻击者直接从二层连入客户端的设备。开始大量的额外攻击,例如中间人攻击,ARP毒 害,DHCP/DNS劫持,网络蠕虫和病毒的注入。
为避免检测,通常使用非常用的信道,如在802.11b/g使用channel 2.专用的Air monitor能马上检测出这些设备,识别出他们在使用一个预留的企业ESSID,并禁用跨越空气的DoS攻击的设备。Air monitor与入侵的AP保持在相同的channel上,以确保没有站点关联到它。一个扫描的AP可以为它服务的客户端执行一些动作,但是经验上会出现 两个严重的问题:①发现honey-pot会产生延误;②最终由于在off-channel上花费大量的时间而造成网络性能的降低。

无线网桥的检测
通常会用在互联的建筑物中,无线网桥是公司间谍最喜欢的工具。通常放置于会议室的桌子上或门廊的底下。网桥能悄悄的连入公司网络,由于他们是定向的信号且缺乏信标,是很难被检测出来的。扫描AP去监测一个信道,是无法在短时间内发现他们的,一个专用的Air monitor却能快速的发现它们。一旦它被定位后,IT人员能会很容易移除他们。

多样性的报告点
更多的数据源,产生更大的覆盖范围和精度。基础设施的AP无法监听到它,一个攻击的AP能被客户端设备发现。解决这种问题的最好方法是打量部署APs。在Aruba无线网络的设计中会详细介绍,并增加少量的高增益天线的Air monitor。

射频的管理和排错
远程抓包
数据包抓取或嗅探,启用网络管理来对网络进行排错。AP能在配置的channel上进行抓包,在另外的channel上执行此功能会影响客户端的流量。一台专用的Air monitor能够解决这些问题,因为它能在任一channel上进行抓包。

另外,一台AP能够抓取接收的数据,但转发的时候不能监听自己。如果在转发的电路上部分失败,数据包在抓取自己数据可能会导致错误。专用的Air monitor提供了一个"独立的第三方"网络流量视图,和客户端的角度视图而不是AP的视图。

统计监测
统计监测是另一个有价值的统计监测工具。Aruba收集了丰富的RF环境统计信息,如干扰水平,设备数目,最高用量,帧重试速率,RSSI,设备的范围, 帧类型/大小分布。APs提供了自己的channels并给出了有限的事件发生和其它channel上的事件的视图。专用的Air monitor 用更长的驻留时间去扫描channel,并为每一个channel提供了更多的图片形式。

报告点的多样性
例如安全监测,更多的数据资源提供了更大的准确性。一个干扰源可以被定位例如基础AP不能收听到它,但是客户端设备可以,密集部署监测设备提供发现问题的机会。

高可用性
容错
专用的Air monitor 担当一个冗余AP的角色提高了网络的可靠性。在AP失效的事件中,一台Air monitor通过设置来通告网络失效的事件,自动将自己转化为一台AP。几乎没有down的时间间隔,并告知网络管理员。

未来的潜力
专用的Air monitor提供了额外的特性:
按需超出的覆盖率。Air monitor,感知网络中的高流量,能够被设置来通告流量并将他们转换为APs为按需的超出覆盖率高需求的环境如一个大型的公司会议。
按需的室外无线接入。Air monitor被用来保护建筑物的边缘被转化为APs,并提供临时的覆盖率。
临时增长的覆盖率。Air monitor能被自动的转化为APs起到增长时的缓冲作用。

你可能感兴趣的:(secure,职场,AP,wlan,休闲,Aruba)