Bài giảng Mạng không dây: Chương 4 - Lương Minh Huấn

Bài giảng Mạng không dây - Chương 4: IDS trong WLAN có cấu trúc gồm 3 phần trình bày các nội dung: Khái niệm IDS, Wireless IDS, một số sản phẩm Wireless IDS. Mời các bạn cùng tham khảo nội dung chi tiết.

Trường Cao Đẳng Kỹ Thuật Cao Thắng

CHƯƠNG 4: IDS TRONG WLAN

GV: LƯƠNG MINH HUẤN

I KHÁI NIỆM IDS

Khái niệm IDS

Ứng dụng của IDS

Phân loại IDS

Ưu điểm và nhược điểm của IDS

IPS

I.1 KHÁI NIỆM IDS

IDS (Intrusion Detection System - Hệ thống phát hiện xâm phạm)

là một hệ thống phòng chống, nhằm phát hiện các hành động

công vào một mạng

Mục đích là phát hiện và ngăn ngừa các hành động phá hoại

với vấn đề bảo mật hệ thống, hoặc những hành động trong

trình tấn công như quét các cổng

I.1 KHÁI NIỆM IDS

Một tính năng chính của hệ thống này là cung cấp thông tin nhậnbiết về những hành động không bình thường và đưa ra các thông

báo cho quản trị viên mạng để khóa các kết nối đang tấn công

Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những

công từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng)

tấn công bên ngoài (tấn công từ hacker)

I.1 KHÁI NIỆM IDS

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòngchống cho một hệ thống máy tính bằng cách phát hiện các dấu

tấn công và có thể đẩy lùi nó

Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hànhđộng thích hợp

I.1 KHÁI NIỆM IDS

Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này

Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS

I.1 KHÁI NIỆM IDS

Khác với firewall, IDS không thực hiện các thao tác ngăn

truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra

dấu hiệu của tấn công và cảnh báo cho người quản trị mạng

Một điểm khác biệt khác đó là mặc dù cả hai đều liên quan

bảo mật mạng, nhưng firewall theo dõi sự xâm nhập từ bên ngoài

và ngăn chặn chúng xảy ra, firewall không phát hiện được cuộc

công từ bên trong mạng

IDS đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng

phát ra cảnh báo, nó theo dõi được các cuộc tấn công có nguồn

từ bên trong một hệ thống

I.1 KHÁI NIỆM IDS

Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiệnnhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi

công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất.Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp

có khả năng dự đoán được tấn công (prediction) và thậm phản ứng lại các tấn công đang diễn ra (Active response).

I.1 KHÁI NIỆM IDS

Mô hình hoạt động của IDS

I.2 ỨNG DỤNG IDS

Tính năng quan trọng nhất của hệ thống phát hiện xâm nhập IDS là:

 Giám sát lưu lượng mạng và các hoạt động khả nghi.

 Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.

 Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ thống bảo mật hoàn chỉnh.

I.2 ỨNG DỤNG IDS

Một số loại tấn công mà IDS có thể phân biệt được bao gồm:

 Những tấn công liên quan đến sự truy cập trái phép đến tài nguyên.

• Việc bẻ khóa và sự vi phạm truy cập

• Thay đổi và xóa thông tin

• Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở dữ liệu về các

số thẻ tín dụng đã bị mất cắp trên một máy tính của chính phủ.

• Thay đổi cấu hình trái phép đối với hệ thống và các dịch vụ mạng

(máy chủ)

I.2 ỨNG DỤNG IDS

 Từ chối dịch vụ (DoS)

• Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việc gửi đi một số lượng lớn các thông tin không giá trị để làm tắc nghẽn lưu lượng hạn chế dịch vụ.

• Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng

 Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng có thể gây ra

I.2 ỨNG DỤNG IDS

Để ngăn chặn xâm nhập tốt cần phải kết hợp tốt giữa “bả và

được trang bị cho việc nghiên cứu các mối đe dọa

Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyênđược bảo vệ là một nhiệm vụ quan trọng khác

Cả hệ thống thực và hệ thống bẫy cần phải được kiểm tra một

I.3 PHÂN LOẠI IDS

Phân loại IDS:

Phân loại theo phạm vi giám sát:

 Network-based IDS (NIDS): là những IDS giám sát trên toàn bộ

mạng.

 Host-based IDS (HIDS): là những IDS giám sát hoạt động của từng

máy tính riêng biệt

I.3 PHÂN LOẠI IDS

Phân loại theo kỹ thuật:

 Signature-based IDS: phát hiện xâm nhập dựa trên dấu hiệu của

hành vi xâm nhập, căn cứ trên nhật ký hoạt động của hệ thống.

 Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang

tính thống kê) các hành vi hiện tại với hoạt động bình thường của hệ thống để phát hiện các bất thường.

I.4 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM CỦA IDS

Ưu điểm:

 Cung cấp một cách nhìn toàn diện về toàn bộ lưu lượng mạng.

 Giúp kiểm tra các sự cố xảy ra với hệ thống mạng.

 Sử dụng để thu thập bằng chứng cho điều tra và ứng cứu sự cố.

Nhược điểm:

 Có thể gây ra tình trạng báo động nhầm nếu cấu hình không hợp lý.

 Khả năng phân tích lưu lượng bị mã hóa tương đối thấp.

 Chi phí triển khai và vận hành hệ thống tương đối lớn

I.5 IPS

IDS là một hệ thống thuần túy phát hiện xâm nhập, nó không

hiện ngăn chặn xâm nhập mà chỉ cảnh báo cho người quản trị

IPS là một hệ thống giúp phát hiện xâm nhập và ngăn chặn

nhập

Chức năng chính của IPS là xác định các hoạt động nguy hại,

giữ các thông tin này Sau đó kết hợp với firewall để dừng ngaycác hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về

hoạt động xâm nhập trái phép trên

Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS

II WIRELESS IDS

Khái niệm Wireless IDS

Nhiệm vụ Wireless IDS

Mô hình hoạt động của WIDS

Ứng dụng giám sát lưu lượng mạng

II.1 KHÁI NIỆM WIRELESS IDS

IDS trong mạng WLAN(WIDS) làm việc có nhiều khác biệt

với môi trường mạng LAN có dây truyền thống

Trong WLAN, môi trường truyền là không khí, các thiết bị cótrợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập

mạng Do đó cần có sự giám sát cả bên trong và bên ngoài thống mạng.

II.1 KHÁI NIỆM WIRELESS IDS

Wireless IDS có :

 Vị trí cần phải giám sát (rất chặt chẽ) : bên trong và bên ngoài

mạng.

 Thiết bị và chức năng : phần cứng và phần mềm chuyên dụng

nhiều tín năng : thu thập địa chỉ MAC, SSID, đặc tính : thiết lập

trạm + tốc độ truyền + kênh + trạng thái mã hóa.

II.1 KHÁI NIỆM WIRELESS IDS

II.2 NHIỆM VỤ CỦA WIDS

Giám sát và phân tích các hoạt động của người dùng và hệ thốngNhận diện các loại tấn công đã biết

Xác định các hoạt động bất thường của hệ thống mạng

Xác định các chính sách bảo mật cho WLAN

Thu thập tất cả truyền thông trong mạng không dây và đưa ra

cảnh báo dựa trên những dấu hiệu đã biết hay sự bất thường trongtruyền thông

II.3 MÔ HÌNH HOẠT ĐỘNG

WIDS có 2 mô hình hoạt động:

 Mô hình hoạt động tập trung (centralize WIDS)

 Mô hình hoạt động phân tán (decentralize WIDS)

II.3.1 WIDS TẬP TRUNG

WIDS tập trung có một bộ tập trung để thu thập tất cả các dữ

của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản

lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý

Các log file và các tín hiệu báo động đều được gửi về thiết bị quản

lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập

cho tất cả các cảm biến

WIDS tập trung phù hợp với mạng WLAN phạm vi rộng vì

quản lý và hiệu quả trong việc xử lý dữ liệu.

II.3.1 WIDS TẬP TRUNG

II.3.2 WIDS PHÂN TÁN

WIDS phân tán thực hiện cả chức năng cảm biến và quản lý.

Mô hình này phù hợp với mạng WLAN nhỏ và có ít Access

Point, wireless IDS phân tán tiết kiệm chi phí hơn so với WIDS tập trung.

II.3.2 WIDS PHÂN TÁN

II.4 ỨNG DỤNG GIÁM SÁT LƯU LƯỢNG MẠNG

Phân tích khả năng thực thi của mạng wireless là đề cập đến việc thu thập gói và giải mã

Sau đó tái hợp gói lại để thực hiện kết nối mạng

Việc phân tích giúp ta biết được sự cố xảy ra đối với mạng đang hoạt động

WIDS

Thu thập lưu lượng mạng

Phân tích

Phát hiện dấu hiệu bất thường

Cảnh báo

II.4 ỨNG DỤNG GIÁM SÁT LƯU LƯỢNG MẠNG

Hệ thống WIDS có thể gửi cảnh báo trong một số trường hợp sau:

 AP bị quá tải khi có quá nhiều trạm kết nối vào.

 Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh.

 AP có cấu hình không thích hợp hoặc không đồng nhất với các AP khác trong hệ thống mạng.

 Số các gói fragment quá nhiều.

 WIDS dò ra được các trạm ẩn.

 Số lần thực hiện kết nối vào mạng quá nhiều.

II.4 ỨNG DỤNG GIÁM SÁT LƯU LƯỢNG MẠNG

Lập báo cáo về khả năng thực thi mạng

 Thông tin thu thập được bởi WIDS tạo ra cơ sở dữ liệu được sử dụng

để lập báo cáo về tình trạng hoạt động của mạng và lập ra kế hoạch cho hệ thống mạng

III MỘT SỐ SẢN PHẨM CỦA WIRELESS IDS

Air defense

 Là một hệ thống ngăn ngừa sự xâm nhập máy và cung cấp cho giả

pháp tiện lợi nhất phát hiện , dò tìm sự xâm nhập, chính sách giám

sát, tự bảo vệ, phân tích sự cố và sửa chữa từ xa.

Air Magnet

 Cung cấp rất nhiều giải pháp về Wireless IDS AirMagnet cung

cấp giải pháp phân tích WLAN từ xa cho Cisco.

III.1 AIR DEFENSE