使用手冊(cè)學(xué)習(xí)adsp

MotorolaAirdefens產(chǎn)品交流主講：杜昕,

MotorolaSolutions,SE2011NovSHANGHAIPart1Airdefense組網(wǎng)結(jié)構(gòu)服務(wù)平臺(tái)硬件中央伺服器輸入：遠(yuǎn)程監(jiān)控傳感器切換集成總部ADSP伺服器傳感器外地辦事處外地辦事處通用平臺(tái)無(wú)線切換遠(yuǎn)程傳感器監(jiān)測(cè)所有802.11無(wú)線通訊信號(hào)（與廠商無(wú)關(guān)），并向中央伺服器反饋報(bào)告。網(wǎng)絡(luò)連接https:8543控制臺(tái)客戶端ADSP伺服器作為傳感器的AP瀏覽器客戶端https:443傳感器https:443https:443SSH:22設(shè)備硬件Parameter1250型3650型

4250型

CPU3.4GHzIntel?Pentium?4處理器2.13GHzIntel?CoreTM2Duo4處理器

2.33GHzIntel?Xeon?5140雙核

Memory1GBRAM4GBRAM8GBRAMStorage1x250GB7,200RPMSATA2x250GB7,200RPMSATA（RAID1）2x500GB7,200RPMSATA（RAID1）Powersupply單電源單電源1+1冗余電源尺寸1U外形，深16”1U外形，深16”2U外形，深21.5”Sensor100400750Activedevice3,75020,00037,500Toteldevice22,50080,000150,000+傳感器選擇

專用傳感器與兩用AP-傳感器802.11a/b/g與802.11a/b/g/n內(nèi)置與外接天線室內(nèi)與室外附加模塊不同的部署類型有多種傳感器選項(xiàng)組合AP與傳感器配置摩托羅拉雙頻接入點(diǎn)，將一路射頻模塊作為專用WIPS傳感器BandUn-locked–AP技術(shù)可讓單頻的傳感器同時(shí)進(jìn)行不同頻段的掃描（5GHz和2.4G）降低部署成本–不存在重疊傳感器部署AP不需實(shí)現(xiàn)定時(shí)切換實(shí)現(xiàn)部分時(shí)間傳感，更好的數(shù)據(jù)性能和服務(wù)質(zhì)量。將單個(gè)設(shè)備用于全時(shí)基礎(chǔ)設(shè)施和全時(shí)傳感，最大限度降低部署成本。AP7131具備ExpressCardslot可自持ExpressCard的WWAN網(wǎng)卡，使用3G作為數(shù)據(jù)回傳Y–Cable解決熱點(diǎn)重復(fù)布線的問(wèn)題Motorola各種型號(hào)傳感器功能的支持部署傳感器清單是專用傳感器還是兩用AP-Sensor傳感器？AirDefense主服務(wù)器IP地址故障轉(zhuǎn)移輔助服務(wù)器IP地址傳感器IP地址（DHCP默認(rèn)）使用AirDefenseLANPlanner預(yù)測(cè)傳感器布置確定是否使用以太網(wǎng)供電記錄傳感器信息（IP，MAC等）和在地圖上的位置訂購(gòu)纜線（如需要）配置傳感器在指定位置安裝傳感器探針的合理覆蓋范圍探針部署時(shí)應(yīng)以盡量減少錯(cuò)失任何終端在空口上的報(bào)文監(jiān)控為重點(diǎn)，按普通筆記本終端的發(fā)射功率為參考依舊考慮探針的覆蓋范圍?？墒褂靡粋€(gè)普通的可調(diào)節(jié)功率AP，把發(fā)射功率調(diào)節(jié)到約40mW,進(jìn)行實(shí)地勘察，以估算出探針的最大覆蓋范圍。探針的合理覆蓋范圍根據(jù)用途的不同及應(yīng)用場(chǎng)景的差異，探針的范圍可進(jìn)行適當(dāng)?shù)臄U(kuò)大，如：若客戶只需要進(jìn)行WIPS及脆弱性分析功能時(shí)，可按探針最大的接收靈敏度進(jìn)行衡量。若客戶需要進(jìn)行AP-TEST告警及用戶性能告警等分析用途時(shí)，必須確保探針?biāo)采w相鄰的BSS都在探針(20dBm)發(fā)射功率的范圍內(nèi)。（功率對(duì)稱時(shí)可按-75dB的場(chǎng)強(qiáng)進(jìn)行考慮）傳感器通訊概述

傳感器只能通過(guò)有線網(wǎng)絡(luò)連接到服務(wù)器傳感器使用PKI鑒權(quán)以明文或加密（默認(rèn)）通信通過(guò)TCP/IP通信（Layer3）傳感器發(fā)起通信（不需要翻譯網(wǎng)絡(luò)地址）錯(cuò)過(guò)“心跳”將導(dǎo)致傳感器故障轉(zhuǎn)移到輔助服務(wù)器傳感器將通過(guò)配置的IP地址發(fā)現(xiàn)和連接伺服器15問(wèn)題？Part2AirdefenseFunctionalityADSP“平臺(tái)”功能儀表板頻譜分析實(shí)時(shí)查看告警管理取證分析AP-TEST數(shù)據(jù)報(bào)表無(wú)線定位終端遠(yuǎn)程排錯(cuò)基礎(chǔ)設(shè)施管理報(bào)告和報(bào)告定制化設(shè)備導(dǎo)入和布置傳感器管理取證分析（歷史數(shù)據(jù)儲(chǔ)存）“服務(wù)平臺(tái)”支持在所有ADSP服務(wù)中通用的基本功能調(diào)查工具頻譜分析（授權(quán)）LiveView（含）

連接排障工具AP-TEST取證分析基本取證（含）高級(jí)取證（授權(quán)）頻譜分析——物理層故障排除頻譜分析模塊檢測(cè)非802.11干擾–微波、藍(lán)牙、調(diào)頻設(shè)備等支持2.4和5GHz波段遠(yuǎn)程實(shí)時(shí)頻譜圖利用現(xiàn)有傳感器–不需專用硬件自動(dòng)檢測(cè)干擾主動(dòng)檢測(cè)影響應(yīng)用的干擾遠(yuǎn)程實(shí)時(shí)L1故障排除對(duì)干擾源分類確認(rèn)干擾問(wèn)題的源頭頻譜分析模式后臺(tái)掃描用部分時(shí)間掃描功率譜密度（Layer1），同時(shí)傳感器繼續(xù)掃描WIDS（Layer2）。

在ADSP中生成“RF頻譜分析”警報(bào)（藍(lán)牙，微波，跳頻，連續(xù)波）專用頻譜視圖傳感器臨時(shí)專用于頻譜分析用于頻譜視圖時(shí)，傳感器不提供協(xié)議分析（在用戶配置的時(shí)間之后，傳感器默認(rèn)返回WIPS）掃描選項(xiàng)：全面掃描模式

–掃描全部2.4-2.5GHz和4.9-6.1GHz頻譜，以確認(rèn)干擾的存在（掃描的頻道較多，在每個(gè)頻道上使用的時(shí)間較少）干擾掃描模式

–掃描特定的頻段，對(duì)干擾源分類（掃描的頻道較少，在每個(gè)頻道上使用的時(shí)間較多）可使用單個(gè)射頻單元進(jìn)行全頻段掃描或只掃描存在干擾的信道觀察各信道的負(fù)載情況，此利用率能反映各信道上802.11數(shù)據(jù)幀活躍的負(fù)荷程度頻譜分析能收集802.11及非802.11各信道上所有的頻譜場(chǎng)強(qiáng)全面掃描模式掃描4.9-6.1GHz頻譜顯示平均和當(dāng)前的占空比顯示5-20MHz波段隨時(shí)間推移的功率變化顯示檢測(cè)到的干擾源的類型和時(shí)間掃描2.4-2.5GHz頻譜可定義掃描的電磁波強(qiáng)度閥值，及監(jiān)聽電磁脈沖的間隔可選擇只掃描“信任”BSS的所在信道或進(jìn)行全頻段掃描可定義多種的頻譜探測(cè)告警，包括藍(lán)牙，微波爐，持續(xù)微波及調(diào)頻設(shè)備的探測(cè)開啟背景頻譜掃描，使能頻譜分析告警借助LiveView實(shí)現(xiàn)遠(yuǎn)程可視化WLAN實(shí)時(shí)視圖將傳感器變成“嗅探器”全面第二層幀捕獲無(wú)線信號(hào)流量可視化28種不同的圖形視圖幀捕獲實(shí)時(shí)流量連接分析通過(guò)實(shí)時(shí)分析，遠(yuǎn)程排除WLAN故障LiveView實(shí)時(shí)查看無(wú)線信號(hào)流量右擊任何設(shè)備調(diào)用LiveView用傳感器進(jìn)行遠(yuǎn)程數(shù)據(jù)包捕獲實(shí)時(shí)圖表統(tǒng)計(jì)分析實(shí)時(shí)連接關(guān)系視圖設(shè)備歸類統(tǒng)計(jì)可切換信令圖，方便查閱實(shí)時(shí)查看空口報(bào)文可任意打開每一個(gè)幀的結(jié)構(gòu)及內(nèi)容可設(shè)定定時(shí)抓包及抓取的時(shí)長(zhǎng)內(nèi)置幀分析器，可隨時(shí)調(diào)取保存在服務(wù)器上或管理員本機(jī)上的空口捕獲文件連接故障排除向?qū)нB接故障排除1級(jí)服務(wù)臺(tái)支持快速確定無(wú)線或有線網(wǎng)絡(luò)問(wèn)題簡(jiǎn)單調(diào)試無(wú)線問(wèn)題僅在必要時(shí)上報(bào)確認(rèn)：設(shè)備問(wèn)題無(wú)線網(wǎng)絡(luò)狀態(tài)問(wèn)題有線網(wǎng)絡(luò)的可用性無(wú)線網(wǎng)絡(luò)設(shè)備連接問(wèn)題有線網(wǎng)絡(luò)設(shè)備連接問(wèn)題輕松確定問(wèn)題，以快速上報(bào)和補(bǔ)救可導(dǎo)出測(cè)試過(guò)程的所有空口報(bào)文供取證及人為分析只需輸入終端mac地址，無(wú)需知道終端位置，立即輸出測(cè)試結(jié)果測(cè)試過(guò)程的捕獲報(bào)文可存在本機(jī)可使用內(nèi)置幀分析器打開進(jìn)行觀察AP連接測(cè)試從無(wú)線角度進(jìn)行的端到端網(wǎng)絡(luò)連接測(cè)試核實(shí)對(duì)無(wú)線應(yīng)用服務(wù)器的訪問(wèn)模擬終端主動(dòng)進(jìn)行網(wǎng)絡(luò)測(cè)試及時(shí)發(fā)現(xiàn)AP假死現(xiàn)象35數(shù)據(jù)中心安全服務(wù)器WANDHCP服務(wù)器應(yīng)用服務(wù)器遠(yuǎn)程位置AP測(cè)試AP測(cè)試多種可視化的結(jié)果展示界面可清晰展現(xiàn)問(wèn)題的根源定時(shí)——AP測(cè)試定時(shí)AP測(cè)試是性能告警中最有價(jià)值的一個(gè)告警取證分析基本取證分析高級(jí)取證分析為什么取證分析如此重要？歷史追蹤任何設(shè)備并查看以下內(nèi)容的能力：誰(shuí)曾與設(shè)備聯(lián)系站點(diǎn)和接入點(diǎn)的所有關(guān)聯(lián)什么時(shí)間發(fā)生過(guò)聯(lián)系所有關(guān)聯(lián)的起止時(shí)間流量發(fā)送和接收時(shí)間的詳細(xì)粒度（上午3:00對(duì)下午3:00）什么被記入歷史觀察設(shè)備的所有其他狀態(tài)和統(tǒng)計(jì)信息數(shù)據(jù)利用率、流量類型、SSID、信號(hào)強(qiáng)度、加密和校驗(yàn)類型有多少

流量被發(fā)送發(fā)送和接收的字節(jié)與幀數(shù)取證需要回答有關(guān)設(shè)備或事件的安全威脅和暴露的問(wèn)題AirDefense取證–綜合視圖隨時(shí)間推移的威脅指數(shù)發(fā)射與接收總流量關(guān)聯(lián)分析信號(hào)強(qiáng)度基本取證分析基本與高級(jí)取證基本取證分析高級(jí)取證分析模塊數(shù)據(jù)窗口僅限24小時(shí)期限任何時(shí)間期限可調(diào)窗口–縮/放功能數(shù)據(jù)顯示以表格形式顯示數(shù)據(jù)圖形顯示交互式圖形用戶界面允許用戶迅速移動(dòng)到問(wèn)題區(qū)域取證定位不可用對(duì)系統(tǒng)數(shù)據(jù)文件中的任何無(wú)線設(shè)備進(jìn)行歷史位置追蹤。關(guān)聯(lián)分析高級(jí)取證分析廣泛的取證數(shù)據(jù)每設(shè)備每分鐘325次的采集統(tǒng)計(jì)設(shè)備連接記錄確定事件的精確時(shí)間和影響優(yōu)勢(shì)從瞬態(tài)威脅中理解暴露減少全天候人員配置的需求簡(jiǎn)化大數(shù)據(jù)量分析高級(jí)取證（附加）增加趨勢(shì)分析和圖表可視化顯示事件時(shí)線倒回及審核詳細(xì)的無(wú)線活動(dòng)洞察網(wǎng)絡(luò)活動(dòng)與威脅摘要視圖高級(jí)取證–威脅分析按設(shè)備查看警報(bào)跟蹤事件序列高級(jí)取證–設(shè)備信息跟蹤設(shè)備作業(yè)，以診斷故障訪問(wèn)詳細(xì)的按分鐘統(tǒng)計(jì)的數(shù)據(jù)高級(jí)取證–關(guān)聯(lián)分析查看關(guān)聯(lián)次數(shù)和持續(xù)時(shí)間確定最大流量使用者確認(rèn)異常使用的次數(shù)高級(jí)取證–流量分析查看流量統(tǒng)計(jì)的深層次細(xì)節(jié)識(shí)別異常流量模式高級(jí)取證–信號(hào)分析追蹤隨時(shí)間推移的設(shè)備信號(hào)強(qiáng)度為網(wǎng)絡(luò)保證取證詳細(xì)取證分析按分鐘統(tǒng)計(jì)設(shè)備、威脅、關(guān)聯(lián)、流量、信號(hào)和位置趨勢(shì)歷史位置追蹤記錄無(wú)線性能和連接問(wèn)題網(wǎng)絡(luò)趨勢(shì)分析取證分析和審計(jì)支持允許對(duì)間歇性無(wú)線問(wèn)題進(jìn)行歷史分析查看性能趨勢(shì)并建立網(wǎng)絡(luò)基線流量分析事件序列更快確定和恢復(fù)根本問(wèn)題51問(wèn)題？Part3AirdefenseSecurity關(guān)于WIPS報(bào)警類型和配置安全規(guī)范私接檢測(cè)事件調(diào)查緩解技術(shù)無(wú)線脆弱性評(píng)估警報(bào)類型和警報(bào)配置配置>平臺(tái)配置>警報(bào)配置ADSP一共分為9類告警安全規(guī)則配置定義安全配置文件配置>傳感器監(jiān)控>安全配置文件主要的安全規(guī)則定義安全配置文件配置>傳感器監(jiān)控>安全配置文件基于私有認(rèn)證及加密方式的核查規(guī)則選擇Privacy標(biāo)簽基于速率的核查規(guī)則安全配置文件的分配分配預(yù)定義安全配置文件繼承或覆寫私接定義無(wú)線網(wǎng)絡(luò)上的未獲準(zhǔn)AP無(wú)線網(wǎng)絡(luò)上的未獲準(zhǔn)站點(diǎn)入侵檢測(cè)要求：準(zhǔn)確和輕松區(qū)分有線網(wǎng)絡(luò)上的AP與周邊或瞬時(shí)AP檢測(cè)所有類型的私接橋接AP路由器檢測(cè)私接設(shè)備狀態(tài)，與AP使用的校驗(yàn)和加密方法無(wú)關(guān)。檢測(cè)算法，不要求復(fù)雜的網(wǎng)絡(luò)配置或改變ACL/防火墻。私接檢測(cè)私接定義私接檢測(cè)有線掃描有線/無(wú)線關(guān)聯(lián)無(wú)線/無(wú)線關(guān)聯(lián)有線檢測(cè)必須配置SNMPdiscovery以進(jìn)行端口查訪無(wú)線檢測(cè)無(wú)線私接檢測(cè)至少需要一個(gè)授權(quán)APAirDefense私接AP檢測(cè)AirDefense使用多種檢測(cè)算法，發(fā)現(xiàn)所有不依賴傳感器/服務(wù)器放置的私接案例無(wú)線VLAN1AP6防火墻AP64非授權(quán)AP無(wú)線控制器交換機(jī)SOHO路由器/AP服務(wù)器分段式非無(wú)線VLAN5私接AP服務(wù)器交換機(jī)POSACL/非路由用戶VLAN4私接AP路由用戶VLAN2私接AP桌面3使用加密的私接AP私接報(bào)警緩解技術(shù)空中終止端口抑制ACL空中終止（AirTermination）中斷連接必須由管理員啟用在警報(bào)中右擊設(shè)備私接客戶端中斷有線端口查訪和抑制首先找到非法私接點(diǎn)所在的端口其次抑制該端口或拔去該非法私接點(diǎn)

搜索標(biāo)準(zhǔn)搜索結(jié)果私接AP自動(dòng)化主動(dòng)防御使用操作管理器自動(dòng)端口抑制自動(dòng)運(yùn)行AirTermination自動(dòng)報(bào)表電子郵件SNMP系統(tǒng)日志自動(dòng)幀捕獲配置對(duì)事件的自動(dòng)響應(yīng)總結(jié)將發(fā)生安全事件ADSP將檢測(cè)安全事件您可以調(diào)查私接取證信息儲(chǔ)存在系統(tǒng)中，供將來(lái)使用ADSP可以主動(dòng)保護(hù)您的網(wǎng)絡(luò)。71問(wèn)題？性能告警性能告警性能告警—配置性能配