Nie sposób nie zgodzić się ze stwierdzeniem, że w świecie idealnym administratorzy sieci powinni zarządzać bezprzewodowym i przewodowym LAN z jednego okna na ekranie. Jednak cel ten staje się wyzwaniem, kiedy protokoły każdej sieci są rożne, takie jak Wi-Fi i Ethernet.
Podobnie jak multicast czy QoS (Quality of Service), funkcja wykrywania i zapobiegania wtargnięciom (IDS/IPS) działa inaczej po stronie przewodowej i bezprzewodowej korporacyjnego przełącznika Ethernet.
Systemy wykrywania i zapobiegania wtargnięciom w środowisku bezprzewodowym (WIDS/WIPS) mają wgląd w warstwę 2 klienta Wi-Fi i punktów dostępowych (AP). Identyfikują nieautoryzowane urządzenia podejmujące próbę podłączenia się do sieci i stanowią punkt obserwacyjny dla możliwych ataków na protokół Wi-Fi.
Takie ataki mogą obejmować próby "instruowania" klienta w celu rozłączenie się z AP lub połączenia się z wrogim AP. Ponieważ nie ma tu fizycznego kabla łączącego, zakłócenie transmisji może pojawić się na poziomie fizycznym połączenia radiowego (poziom 1) i może być zamierzone lub nie. I tak np. zakłócenia częstotliwości radiowej mogą powodować całkowitą odmowę usługi (DoS). Inne zakłócenia, pochodzące np. z kuchenek mikrofalowych, bezprzewodowych kamer wideo, telefonów bezprzewodowych, zakłóceń międzykanałowych itp. - mogą stanowić mniejsze utrapienie, nie wpływające na wydajność, ale mogą również powodować zablokowania WLAN.
Monitorowanie i klasyfikacja urządzeń zakłócających na poziomie 1 jest nazywana ogólnie "analizą widma", a nie WIPS. Analiza widma jest funkcją kontroli wydajności i lokalizowania problemów, a nie typową funkcją ochronną.
Po stronie przewodowej Ethernet, tradycyjne IDS/IPS działają w wyższej warstwie sieciowej, skupiając się na bezpieczeństwie. Wyszukują ataki na protokół IP, aplikacje i system operacyjny. Oprogramowanie antywirusowe na laptopach może pracować w połączeniu z oprogramowaniem IDS/IPS w routerach dostępowych WAN, i może być w innych miejscach sieci przewodowych, monitorując przepływ ruchu w sieci przewodowej pod kątem malware lub podejrzanych sygnatur ruchu. Z chwilą znalezienia takiej sygnatury, ten fragment ruchu może być poddany kwarantannie lub odfiltrowany z ruchu.
Wniosek z tego wszystkiego jest taki, że chociaż funkcje IDS/IPS są podobnie nazwane, różnią się w zależności od tego, czy są wykonywane po "radiowej" stronie sieci, czy po ethernetowej. Na dzisiaj oznacza to, że muszą być konfigurowane i utrzymywane oddzielnie, i to na ogół z różnych ekranów zarządzania.
Wprowadził: Józef Muszyński, IDG News Service
