Mô tả:
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
WLAN IDS/IPS
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
1
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
WLAN
- WLAN: Wireless Local Area Network
- Các chuẩn 802.11:
+ 802.11a – sử dụng tần số vô tuyến (radio)
5 GHz; tốc độ có thể đạt đến 54Mbps
+ 802.11b – sử dụng tần số vô tuyến (radio)
2.4 GHz; tốc độ có thể đạt đến 11 Mbps
+ 802.11g – sử dụng tần số 2.4 GHz; tốc độ
có thể lên đến 56 Mbps.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
2
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Thành phần WLAN
IEEE 802.11 WLANs có 2 thành phần cơ
bản:
- Station (STA)
- Access point
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
3
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
kiến trúc Infrastructure
Infrastructure Mode
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
4
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
kiến trúc Ad-hoc
Ad-hoc
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
5
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các mối nguy hiểm
- Điểm truy cập giả mạo (Rogue Access
Points and Clients)
- Client Misassociation
- Tấn công từ chối dịch vụ và cố gắng xâm
nhập (Denial-of-Service Attacks and
Penetration Attempts)
- Thăm dò (Reconnaissance Probes)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
6
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Thành phần của WLAN IDS/IPS
Các thành phần của WLAN IDS/IPS cũng
giống như NIDS/IPS.
Bao gồm: consoles, database servers,
management servers, và sensors.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
7
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
8
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các dạng cảm biến wireless
- Dành riêng (dedicated)
- Được tích hợp với Access point (Bundled
with an AP)
- Được tích hợp với wireless switch (Bundled
with a Wireless Switch)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
9
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các dạng cảm biến wireless (tt)
Dành riêng (dedicated): bộ cảm biến dành riêng
(dedicated sensor) là một thiết bị thực hiện chức
năng wireless IDPS nhưng sẽ không chuyển lưu
lượng mạng từ nguồn tới đích. Cảm biến này hoạt
động thụ động và ở chế độ giám sát tần số radio
để đánh hơi các lưu lương mạng không dây.
- Một số cảm dedicated sensor thực hiện phân
tích lưu lượng mà chúng vừa giám sát; còn một
số khác thì chuyển lưu lượng này đến cho
Management server để phân tích.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
10
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các dạng cảm biến wireless (tt)
Dành riêng (dedicated): (tt) 2 dạng của
dedicated sensor
- Cố định (Fixed): cảm biến được triển khai ở 1
vị trí cụ thể và phụ thuộc vào cơ sở hạ tầng của tổ
chức (ví dụ: nguồn điện, mạng có dây...).
- Di động (mobile): cảm biến được thiết kế để có
thể sử dụng trong khi di động. Ví dụ: người quản
trị có thể dùng mobile sensor trong khi di chuyển
quanh tòa nhà để tìm ra Access point giả mạo.
Sensor này có thể là thiết bị phần cứng chuyên
dụng hoặc phần mềm cài trên Laptop
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
11
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các dạng cảm biến wireless (tt)
Được tích hợp với Access point (Bundled
with an AP): khả năng IDS/IPS có thể được
tích hợp vào AP.
- Khả năng IDS/IPS của một AP sẽ ít nghiêm
ngặt hơn dedicated sensor, bởi vì AP cần chia
thời gian giữa việc cung cấp truy nhập mạng
và việc giám sát các kênh (channels) cho các
hành động nguy hiểm.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
12
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các dạng cảm biến wireless (tt)
Được tích hợp với wireless switch
(Bundled with a Wireless Switch):
Wireless switch được dùng để giúp đỡ người
quản trị quản lý và giám sát các thiết bị
wireless. Một số wireless switch cũng cung
cấp khả năng IDS/IPS.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
13
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng bảo mật
Khả năng thu thập thông tin
Khả năng ghi log
Khả năng phát hiện
Khả năng ngăn chặn
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
14
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng thu thập thông tin
Hầu hết Wireless IDS/IPS đều có khả năng thu
thập thông tin trên các thiết bị wireless.
- Xác định các thiết bị WLAN: cảm biến có thể
tạo và duy trì bảng tóm tắt về các thiết bị WLAN
được quan sát (AP, WLAN client...) dựa trên
SSID và MAC address.
- Xác định WLANs: cảm biến theo dõi các
WLANs được quan sát, và xác định chúng bởi
các SSIDs. Quản trị mạng có thể đánh dấu
WLAN có thẩm quyền hoặc WLAN lừa đảo.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
15
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng ghi log
Các trường dữ liệu thường được ghi log bởi
wireless IDS/IPS:
Timestamp (ngày và giờ)
Loại cảnh báo hoặc sự kiện
Đánh giá mức độ ưu tiên và nghiêm trọng
Địa chỉ MAC nguồn
Số hiệu kênh (Channel number)
ID của bộ cảm biến đã giám sát sự kiện
Hành động ngăn chặn đã được thực hiện (nếu có).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
16
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện
Wireless IDS/IPS có khả năng phát hiện tấn
công, cấu hình sai và các vi phạm chính sách
ở cấp độ giao thức WLAN; chủ yếu là kiểm
tra việc truyền thông giao thức IEEE
802.11a,b,g và i. Wireless IDS/IPS không
xem xét thông tin truyền thông tại các lớp
cao hơn (payload của IP address hay
application).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
17
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện:
- Các thiết bị WLAN và WLANs trái phép
(unauthorized)
- Các thiết bị WLAN với bảo mật kém
- Các dạng sử dụng bất thường (unusual usage
patterns)
- Việc sử dụng dò tìm mạng wireless (wireless
network scanners)
- Tấn công DoS
- Tấn công man-in-the-midle và giả danh
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
18
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện (tt)
Các thiết bị WLAN và WLANs trái phép
(unauthorized): dựa trên khả năng thu thập
thông tin, các cảm biến wireless IDS/IPS có
khả năng phát hiện các AP giả mạo, các STA
truy cập trái phép, và các WLANs trái phép.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
19
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện (tt)
Các thiết bị WLAN với bảo mật kém: hầu hết các
cảm biến wireless IDS/IPS có khả năng xác định AP
và STA không dùng các điều khiển bảo mật đúng
đắn (cấu hình sai, sử dụng các giao thức WLAN
yếu). Điều này được thực hiện bằng cách xác định
độ lệch của chính sách cụ thể của tổ chức với các
thiết lập như là mã hóa, chứng thực, tốc độ dữ liệu,
tên SSID và các kênh (channel).
Ví dụ: bộ cảm biến có thể phát hiện một STA dùng
WEP thay vì phải dùng WPA2.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
20
- Xem thêm -