Cisco WLC và IPS hợp tác như thế nào

Khả năng phát hiện ttCác loại sự kiện được phát hiện: - Các thiết bị WLAN và WLANs trái phép unauthorized - Các thiết bị WLAN với bảo mật kém - Các dạng sử dụng bất thường unusual usage

WLAN IDS/IPS

kiến trúc Infrastructure

Infrastructure Mode

kiến trúc Ad-hoc

Ad-hoc

Các mối nguy hiểm

- Điểm truy cập giả mạo (Rogue Access Points and Clients)

- Client Misassociation

- Tấn công từ chối dịch vụ và cố gắng xâm nhập (Denial-of-Service Attacks and Penetration Attempts)

- Thăm dò (Reconnaissance Probes)

Thành phần của WLAN IDS/IPS

Các thành phần của WLAN IDS/IPS cũng giống như NIDS/IPS.

Bao gồm: consoles, database servers,

management servers, và sensors.

Các dạng cảm biến wireless (tt)

Dành riêng (dedicated): bộ cảm biến dành riêng

(dedicated sensor) là một thiết bị thực hiện chức năng wireless IDPS nhưng sẽ không chuyển lưu lượng mạng từ nguồn tới đích Cảm biến này hoạt động thụ động và ở chế độ giám sát tần số radio

để đánh hơi các lưu lương mạng không dây.

- Một số cảm dedicated sensor thực hiện phân tích lưu lượng mà chúng vừa giám sát; còn một

số khác thì chuyển lưu lượng này đến cho Management server để phân tích.

Các dạng cảm biến wireless (tt)

Dành riêng (dedicated): (tt) 2 dạng của

dedicated sensor

- Cố định (Fixed): cảm biến được triển khai ở 1

vị trí cụ thể và phụ thuộc vào cơ sở hạ tầng của tổ chức (ví dụ: nguồn điện, mạng có dây ).

- Di động (mobile): cảm biến được thiết kế để có

thể sử dụng trong khi di động Ví dụ: người quản trị có thể dùng mobile sensor trong khi di chuyển quanh tòa nhà để tìm ra Access point giả mạo Sensor này có thể là thiết bị phần cứng chuyên dụng hoặc phần mềm cài trên Laptop

và việc giám sát các kênh (channels) cho các hành động nguy hiểm.

Khả năng bảo mật

Khả năng thu thập thông tin

Khả năng ghi log

Khả năng phát hiện

Khả năng ngăn chặn

Khả năng thu thập thông tin

Hầu hết Wireless IDS/IPS đều có khả năng thu thập thông tin trên các thiết bị wireless.

- Xác định các thiết bị WLAN: cảm biến có thể

tạo và duy trì bảng tóm tắt về các thiết bị WLAN được quan sát (AP, WLAN client ) dựa trên SSID và MAC address.

- Xác định WLANs: cảm biến theo dõi các

WLANs được quan sát, và xác định chúng bởi các SSIDs Quản trị mạng có thể đánh dấu WLAN có thẩm quyền hoặc WLAN lừa đảo.

Khả năng ghi log

Các trường dữ liệu thường được ghi log bởi wireless IDS/IPS:

Timestamp (ngày và giờ)

Loại cảnh báo hoặc sự kiện

Đánh giá mức độ ưu tiên và nghiêm trọng

Địa chỉ MAC nguồn

Số hiệu kênh (Channel number)

ID của bộ cảm biến đã giám sát sự kiện

Khả năng phát hiện (tt)

Các loại sự kiện được phát hiện:

- Các thiết bị WLAN và WLANs trái phép (unauthorized)

- Các thiết bị WLAN với bảo mật kém

- Các dạng sử dụng bất thường (unusual usage patterns)

- Việc sử dụng dò tìm mạng wireless (wireless network scanners)

- Tấn công DoS

- Tấn công man-in-the-midle và giả danh

Khả năng phát hiện (tt)

Các loại sự kiện được phát hiện (tt)

Các thiết bị WLAN và WLANs trái phép (unauthorized): dựa trên khả năng thu thập

thông tin, các cảm biến wireless IDS/IPS có khả năng phát hiện các AP giả mạo, các STA truy cập trái phép, và các WLANs trái phép.

Khả năng phát hiện (tt)

Các loại sự kiện được phát hiện (tt)

Các thiết bị WLAN với bảo mật kém: hầu hết các

cảm biến wireless IDS/IPS có khả năng xác định AP

và STA không dùng các điều khiển bảo mật đúng đắn (cấu hình sai, sử dụng các giao thức WLAN yếu) Điều này được thực hiện bằng cách xác định

độ lệch của chính sách cụ thể của tổ chức với các thiết lập như là mã hóa, chứng thực, tốc độ dữ liệu, tên SSID và các kênh (channel).

Ví dụ: bộ cảm biến có thể phát hiện một STA dùng

WEP thay vì phải dùng WPA2.

Khả năng phát hiện (tt)

Các loại sự kiện được phát hiện (tt)

Các dạng sử dụng bất thường (unusual usage patterns): một số cảm biến có thể sử dụng các

phương pháp phát hiện dựa trên bất thường (anomaly) để phát hiện các dạng sử dụng bất thường.

Ví dụ: có quá nhiều STA đang sử dụng một AP cụ

thể nào đó hơn bình thường Hoặc lưu lượng giữa một STA và AP cao hơn bình thường Điều này có thể do một thiết bị đã bị xâm nhập, hoặc có các thiết

bị đang truy nhập trái phép vào WLAN.

Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt)

Việc sử dụng dò tìm mạng wireless (wireless network scanners): Việc dò tìm mạng có thể sử dụng để xác định các

WLAN không bảo mật hoặc bảo mật yếu.

Lưu ý:

- Các cảm biến wireless IDS/IPS chỉ có thể phát hiện việc dò

tìm mạng chủ động (active) Chủ động có nghĩa là việc dò

tìm mạng tạo ra các lưu lượng mạng.

- Các cảm biến wireless IDS/IPS không thể phát hiện việc dò tìm mạng bị động (passive) – chỉ giám sát và phân tích lưu

sử dụng được bởi WLAN đó.

- DoS có thể được phát hiện thông qua phân tích trạng thái giao thức (stateful protocol analysis) và phát hiện

Khả năng phát hiện (tt)

Các loại sự kiện được phát hiện (tt):

Tấn công man-in-the-midle và mạo danh: một số

cảm biến wireless IDS/IPS có khả năng phát hiện khi một thiết bị cố gắng mạo danh danh tính của một thiết

bị khác Điều này được thực hiện bằng cách xác định những điểm khác nhau trong các đặc điểm của hành động.

Khả năng ngăn chặn

Cảm biến wireless IDS/IPS cung cấp 2 loại khả năng ngăn chặn xâm nhập: wireless và wired

Wireless: một số cảm biến có thể kết thúc các kết nối

giữa một STA giả hoặc cấu hình sai và một AP có thẩm quyền và ngược lại Việc này được thực hiện bằng cách gửi thông tin tới thiết bị đầu cuối để nói cho các thiết bị đó phải ngắt liên lạc hiện tại Cảm biến sau đó

sẽ từ chối cho phép một kết nối mới được thiết lặp.

Khả năng ngăn chặn (tt)

Cảm biến wireless IDS/IPS cung cấp 2 loại khả năng ngăn chặn xâm nhập: (tt)

Wired: một số cảm biến có thể “hướng dẫn” switch

trên một mạng có dây (wired) để khóa hoạt động mạng của một STA hoặc AP nào đó dựa trên địa chỉ MAC của thiết bị đó hoặc switch port.

Ví du: nếu một STA đang gửi các tấn công đến 1

server trên một mạng dây, thì cảm biến có thể hướng dẫn wired swich khóa tất cả các hoạt động của STA đó.

Tích hợp Wireless và Network IDS/IPS

Wireless IDS/IPS và Network IDS/IPS có vai trò hỗ trợ nhau:

- Wireless IDS/IPS có ý nghĩa trong việc giám sát,

phát hiện và giảm thiểu các mối nguy hiểm và bất thường liên quan cụ thể tới môi trường 802.11 RF.

- Network IDS/IPS có ý nghĩa trong việc giám sát,

phát hiện và giảm thiểu các mối nguy hiểm và bất thường trong lưu lượng của client, cũng như là bảo vệ các dịch vụ và các thiết bị hạ tầng mạng.

Wireless IDS/IPS và NIDS/NIPS Cisco

Wireless IDS/IPS và NIDS/NIPS Cisco

IDS/IPS Mối nguy hiểm WLAN Phát hiện và giảm nhẹ

Đặc tính Wireless

IDS/IPS của WLC

AP giả Phát hiện, xác định vị trí và ngăn

chặn Client giả Phát hiện và ngăn chặn Ad-hoc network Phát hiện và ngăn chặn 802.11 DoS Dấu hiệu tấn công DoS 802.11 Công cụ tấn công 802.11 Dấu hiệu giám sát 802.11

Đánh cắp IP và sử dụng lại Phát hiện và ngăn chặn Nhiễu RF Quản lý tài nguyên radio

NIDS/NIPS của

Cisco IPS

Lưu lượng WLAN xấu

Ví dụ: worm, virus, spyware, các vi phạm chính sách

Phát hiện dựa trên dấu hiệu

Tích hợp Cisco WLC và IPS

Cisco WLC và IPS hợp tác như thế nào?

Sự hợp tác giữa Cisco WLC và Cisco IPS cung cấp

một công cụ tự động giảm nhẹ mối nguy hiểm Điều này cho phép hành động ngăn chặn 1 host trên một IPS

sẽ được áp dụng trực tiếp lên WLAN Sự hợp tác này

bao gồm:

- Đồng bộ giữa Cisco WLC và IPS.

- Thực thi việc chặn một host từ IPS lên WLC.

IPS host block retraction)

Cisco WLC và IPS hợp tác như thế nào?

Đồng bộ giữa Cisco WLC

và IPS: Cisco WLC và IPS

sẽ đồng bộ thông tin khóa

host chủ động (active host

cách WLC sẽ định kỳ yêu

cầu danh sách loại bỏ (a

shun list request) từ IPS.

Cisco IPS sẽ cung cấp danh

sách này cho WLC.

Cisco WLC và IPS hợp tác như thế nào?

Thực thi việc chặn một host từ IPS lên WLC:

Bước 1: Việc chặn một host (a host block) được khởi tạo

trên Cisco IPS Đưa ra địa chỉ IP nguồn của client bị chặn.

Bước 2: WLC nhận bảng cập nhật danh sách chặn host

(an updated active host block list).

Bước 3: WLC cập nhật danh sách loại bỏ client của nó

(the shunned client list).

Bước 4: WLC kiểm tra có hay không một client (với địa

chỉ IP nguồn phù hợp với một entry trong danh sách loại

bỏ client của nó) đang có liên hệ với nó hay không.

Cisco WLC và IPS hợp tác như thế nào?

Thực thi việc chặn một host từ IPS lên WLC: (tt)

Bước 5: Nếu một client với địa chỉ IP nguồn phù hợp với

danh sách loại bỏ client (shunned client list), thì WLC sẽ tạo một “loại bỏ client” (client exclusive) Việc loại bỏ này

dựa trên địa chỉ MAC của client Bước này sẽ thực thi

hành động ngăn chặn host của IPS.

Bước 6: client bị ngăn chặn sẽ bị ngắt kết nối.

Bước 7: mỗi lần client với địa chỉ MAC đã bị loại bỏ

(exclusive) cố gắng kết nối, nó sẽ bị ngắt kết nối bởi WLC.

Bước 8: Việc ngăn chặn một host có hiệu lực trên một IPS

Cisco WLC và IPS hợp tác như thế nào?

Thực thi việc chặn một host từ IPS lên WLC: (tt)

Bước 9: Việc loại bỏ một client on WLC có hiệu lực cho

đến khi việc loại bỏ này hết hạn Thời gian hết hạn của

việc loại bỏ một client được định nghĩa cho mỗi WLAN profile trên WLAN đó Thời gian này độc lập với thời gian hết hạn cho việc chặn host trên IPS (ở bước 8).

Bước 10: Nếu việc loại bỏ client hết hạn trên WLC nhưng

việc ngăn chặn host vẫn còn hiệu lực trên IPS, thì WLC sẽ

tạo một loại bỏ client mới (nếu client đang bị loại bỏ đó

vẫn cố gắng kết nối tới WLC).

Cisco WLC và IPS hợp tác như thế nào?

Thực thi việc chặn

một host từ IPS lên WLC: (tt)

Cisco WLC và IPS hợp tác như thế nào?

Rút lại việc ngăn chặn host trên Cisco IPS (Cisco IPS host block retraction): việc rút lại ngăn chặn một host

trên IPS được dựa trên một trong các sự kiện sau:

- Việc ngăn chặn host hết hạn.

- Xóa ngăn chặn host bằng tay (manual).

Lưu ý: khi ngăn chặn một host trên Cisco IPS được rút lại,

thì WLC sẽ nhận một bản cập nhật danh sách ngăn chặn host Sau đó, WLC sẽ cập nhật danh sách chặn client của nó.

Cisco WLC và IPS hợp tác như thế nào?

Rút lại việc ngăn chặn host trên Cisco IPS (Cisco IPS host block retraction): việc rút lại ngăn chặn một host

trên IPS được dựa trên một trong các sự kiện sau:

- Việc ngăn chặn host hết hạn.

- Xóa ngăn chặn host bằng tay (manual).

Lưu ý: khi ngăn chặn một host trên Cisco IPS được rút lại,

thì WLC sẽ nhận một bản cập nhật danh sách ngăn chặn host Sau đó, WLC sẽ cập nhật danh sách chặn client của nó.

Tích hợp Cisco IDS trên WLAN

Tích hợp Cisco IDS trên WLAN

Tích hợp Cisco IPS trên WLAN