Bezprzewodowy system detekcji i prewencji działa odmiennie od systemów przewodowych. Tradycyjny system IDS/IPS skupia się na warstwie 3 modelu sieciowego OSI/ISO oraz warstwach wyższych. Wynika to z założenia, że zabezpieczenia warstwy 1 i 2 modelu sieciowego OSI/ISO są trudniejsze do złamania w sieciach przewodowych (wymagany jest dostęp do fizycznego okablowania lub urządzeń sieciowych). Także sieci bezprzewodowe są narażone na identyczne zagrożenia w warstwach 3 i wyższych. W przypadku sieci bezprzewodowych pracujących w standardach 802.11, pojawia się dodatkowo zupełnie inny problem. Infrastruktura działająca zgodnie z 802.11 jest wrażliwa na szereg zagrożeń pojawiających się w warstwie 1 i 2. Każdy, kto ma dostęp do środowiska RF danej sieci bezprzewodowej, ma możliwość jej nadużycia. Zwiększa to specjalne wymagania wobec bezprzewodowych systemów wykrywania i prewencji włamań – WIDS/WIPS.

Jak działa WIDS/WIPS?

Systemy WIDS/WIPS to zazwyczaj scentralizowane oprogramowanie, które proaktywnie chroni sieć Wi-Fi oraz jej użytkowników przed zagrożeniami. System WIDS/WIPS wspiera infrastrukturę w osiąganiu maksymalnej wydajności. W momencie, gdy pojawia się zagrożenie, powinien szybko poinformować o jego źródle oraz sposobie rozwiązania problemu.

Architektura WIPS/WIDS składa się z kilku elementów. Pierwszym z nich jest sensor systemu w postaci niezależnego sprzętu lub zintegrowanego z punktem dostępowym. Sensor to urządzenie radiowe, skanujące określony zakres kanałów częstotliwości i wyposażone w logikę, która pozwala analizować środowisko bezprzewodowe oraz przekazywać informacje do serwera WIDS/WIPS. Sensory rozmieszczone są w różnych punktach sieci bezprzewodowej. Kolejnym ważnym elementem sieci WIDS/WIPS jest serwer monitorujący. Integruje on dane pochodzące z sensorów, ma także wbudowane mechanizmy do zbierania danych, analizy i wnioskowania. Serwer jest zintegrowany z innymi elementami zabezpieczenia sieci, takimi jak zapory sieciowe czy systemy bezpieczeństwa. Zbiera z sensorów informacje o bezpieczeństwie sieci bezprzewodowej, zdarzeniach i incydentach. Serwer także wysyła informacje do konsoli systemu WIDS/WIPS, która służy do zarządzania i raportowania. Konsola to w rzeczywistości zestaw narzędzi stworzonych do monitorowania, udoskonalania i zarządzania wszystkimi komponentami WIDS/WIPS. Jest ona wyposażona w interfejs, dzięki któremu użytkownik może komunikować się z systemem WIDS/WIPS. Komponenty WIDS/WIPS mogą wyglądać odmiennie w zależności od dostawcy rozwiązania. Realizowane funkcje i sprzęt powinny być jednak podobne. Systemy WIDS/WIPS zazwyczaj pracują w ramach struktury klient-serwer. Serwer wykorzystuje sygnatury ataków, analizę behawioralną oraz analizę widma RF, w celu wykrywania potencjalnych zagrożeń.

WIDS powiadamia o potencjalnych atakach, natomiast WIPS dodatkowo chroni sieć bezprzewodową przed atakami i niweluje skutki zaistniałych. WIDS/WIPS potrafi wykryć obce punkty dostępowe, nieautoryzowanych klientów, pakiety deautentykacji, wrogie skanowanie sieci, niepoprawne numery sekwencyjne pakietów w sieci bezprzewodowej, brak szyfrowania danych, domyślne SSID oraz ich zmiany, podmienione MAC adresy klientów i punktów dostępowych, podszywanie się pod nazwę sieci BSSID.