无线入侵防御系统

在计算领域，无线入侵防御系统 (WIPS) 是一种网络设备，它可以xxx无线电频谱中是否存在未经授权的接入点（入侵检测），并可以自动采取对策（入侵防御）。

WIPS 的主要目的是防止无线设备对局域网和其他信息资产进行未经授权的网络访问。 这些系统通常作为现有无线 LAN 基础设施的覆盖层来实现，尽管它们可以独立部署以在组织内实施非无线策略。 一些高级无线基础设施集成了 WIPS 功能。

拥有众多员工的大型组织特别容易受到流氓接入点造成的安全漏洞的影响。 如果某个位置的员工（受信任的实体）带来了一个易于使用的无线路由器，则整个网络可能会暴露给信号范围内的任何人。

无线入侵检测系统 (WIDS) 监控无线电频谱是否存在未经授权的恶意接入点和无线攻击工具的使用。 该系统监控无线 LAN 使用的无线电频谱，并在检测到流氓接入点时立即向系统管理员发出警报。 通常，它是通过比较参与的无线设备的 MAC 地址来实现的。

恶意设备可以将授权网络设备的 MAC 地址伪装成自己的。 新研究使用指纹识别方法来清除具有欺骗性 MAC 地址的设备。 这个想法是将每个无线设备发出的信号所显示的独特签名与预授权的已知无线设备的已知签名进行比较。

除了入侵检测之外，WIPS 还包括自动防止威胁的功能。 对于自动防御，要求WIPS能够准确检测并自动分类威胁。

良好的 WIPS 可以防止以下类型的威胁：

• 流氓接入点——WIPS 应该了解流氓 AP 和外部（邻居的）AP 之间的区别
• AP 配置错误
• 客户错误关联
• 未经授权的关联
• 中间人攻击
• 临时网络
• MAC 欺骗
• 蜜罐/邪恶双胞胎攻击
• 拒绝服务攻击

WIPS 配置由三个部分组成：

• 传感器——这些设备包含天线和无线电，可扫描无线频谱中的数据包，并安装在整个受保护区域
• 服务器——WIPS 服务器集中分析传感器捕获的数据包
• 控制台——控制台为系统提供了主要的用户界面，用于管理和报告

一个简单的入侵检测系统可以是一台连接到无线信号处理设备的计算机，以及遍布整个设施的天线。 对于大型组织，多网络控制器提供对多个 WIPS 服务器的中央控制，而对于 SOHO 或 SMB 客户，WIPS 的所有功能都可以在一个盒子中使用。

在 WIPS 实现中，用户首先在 WIPS 中定义操作无线策略。 然后 WIPS 传感器分析空中的流量并将此信息发送到 WIPS 服务器。 WIPS 服务器将信息关联起来，根据定义的策略对其进行验证，并对其是否构成威胁进行分类。 然后，WIPS 的管理员会收到有关威胁的通知，或者，如果相应地设置了策略，WIPS 会采取自动保护措施。

WIPS 配置为网络实施或托管实施。

在网络 WIPS 实施中，服务器、传感器和控制台都放置在专用网络内，无法从 Internet 访问。

传感器使用专用端口通过专用网络与服务器通信。 由于服务器驻留在专用网络上，用户只能从专用网络内访问控制台。

网络实施适用于所有位置都在专用网络内的组织。

在托管 WIPS 实施中，传感器安装在专用网络内。 但是，服务器托管在安全的数据中心，并且可以通过 Internet 访问。 用户可以从 Internet 上的任何地方访问 WIPS 控制台。 托管 WIPS 实施与网络实施一样安全，因为数据流在传感器和服务器之间以及服务器和控制台之间进行了加密。