Hệ thống phát hiện xâm nhập trong mạng không
dây ( wifi ) IDS
I. Những nguy cơ về bảo mật của mạng không dây
Ngày nay mạng không dây (Wireless LAN) đang là một xu thế mới trong sự phát
triển của công nghệ mạng. Mạng không dây mang lại cho người dùng sự tiện lợi
bởi tính cơ động, sự không phụ thuộc vào dây nối và người dùng mạng không dây
có thể truy cập mạng tại bất cứ vị trí nào miễn là nơi đó có các điểm truy nhập
(Access Point - AP). Tuy nhiên, trong mạng không dây cũng tồn tại những nguy
cơ rất lớn về bảo mật, những lỗ hổng cho phép tin tặc có thể xâm nhập vào hệ
thống để ăn cắp thông tin hay phá hoại.
Không có một mạng nào là an toàn tuyệt đối. Đối với mạng không dây, cấu trúc
vật lý mang lại sự an toàn nhưng cơ chế truyền tin không dây giữa các node mạng
lại kéo theo những lỗ hổng bảo mật, do vậy luôn cần phải chứng thực giữa các
người dùng trong mạng. Những hình thức tấn công xâm nhậplợi dụng những lỗ
hổng của mạng không dây phổ biến nhất là nghe trộm, xâm nhập trái phép vào
mạng, tấn công vào tính toàn vẹn của dữ liệu, từ chối dịch vụ v.v Công nghệ
không dây có nhiều chuẩn khác nhau như 802.11, 802.11a. 802.11b, 802.11g,
802.16 v.v , mỗi chuẩn có những lỗ hổng về kỹ thuật khác nhau nhưng nhìn
chung những lố hổng đó đều được tin tặc khai thác nhằm vào sự tin cậy, tính toàn
vẹn của dữ liệu, hay gây ra các cuộc tấn công từ chối dịch vụ làm treo cả hệ thống.
802.11 là một trong những mạng không dây đầu tiên đã trở nên rất phổ biến, bởi
vậy các tin tặc rất quan tâm đến những lỗi dễ bị tấn công của 802.11 để thực hiện
hành vi trộm cắp dịch vụ. Bài báo này sẽ đề cập đến một số hình thức tấn công
xâm nhập cũng như hệ thống phát hiện xâm nhập (Intrusion Detection System)
trong mạng không dây chuẩn 802.11.
II. Một số hình thức tấn công xâm nhập mạng phổ biến
2.1 Tấn công không qua chứng thực
2.2 Tấn công truyền lại
2.3 Giả mạo AP
2.4 Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý
2.5 Giả địa chỉ MAC
2 .6 Tấn công từ chối dịch vụ
III. Hệ thống phát hiện xâm nhập trong mạng không dây (WLAN Intrusion
Detection System)
3.1. Các kỹ thuật phát hiện xâm nhập IDS (Intrusion Detection System)
Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng
sai, lạm dụng đối với hệ thống máy tính gây ra bởi cả người dùng trong hệ thống
lẫn người xâm nhập ngoài hệ thống.
Phát hiện xâm nhập trái phép là một công việc đầy khó khăn do ảnh hưởng của sự
tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất
(hệ điều hành hỗn hợp), nhiều giao thức truyền thông và sự phân loại đáng kể của
các ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng
dựa trên sự khác biệt ứng xử của kẻ xâm nhập so với người dùng hợp lệ.
Người ta phân chia thành một số loại IDS như sau:
Network-based IDS và Host-Based IDS:
Network-based IDS dùng các phân tích tải mạng để so sánh dữ liệu phiên với cơ
sở dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khi
phát hiện được, network-based IDS có thể phản ứng lại bằng cách ghi lại phiên
truyền thông, cảnh báo nhà quản trị, chấm dứt phiên đó, và có thể đưa vào
firewall.
Host-based IDS thì phân tích log của hệ điều hành và ứng dụng của hệ thống, so
sánh sự kiện với cơ sở dữ liệu đã biết về các vi phạm bảo mật và các chính sách
được đặt ra. Chúng xem xét log của hệ điều hành, log truy nhập, log của ứng dụng,
cũng như các chính sách của ứng dụng do người dùng định nghĩa. Nếu thấy có vi
phạm chúng có thể phản ứng bằng cách ghi lại hành động đó, cảnh báo cho nhà
quản trị, và trong một số trường hợp ngừng hành động trước khi nó xảy ra. Sự kết
hợp của network based IDS và host-based IDS cung cấp sự bảo vệ đáng kể và sự
thi hành chính sách với công ty mọi cỡ và chức năng kinh doanh.
Misuse-based IDS và Anomaly-based IDS:
Misuse-based IDS có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu
tấn công, đó là knowledge-based và signature-based.
Misuse-based IDS với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các
dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của
cơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không
trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng.
Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi
tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng
kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ
liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể
phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường
xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới.