Giới thiệu về IDS va WIDS
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (560.83 KB, 15 trang )
!!"#$%
!"!#$%&%'
"(%)*+,-#%&%
.!&/ '01,2!'3#
#4#56/$2,178,#),9:;#2
!"<**
-2='>,>0 '?@'?
@>1 ,0 @'?@
,$*7A,?70#B'&CD
#4'6EC7&7A,&70
#B'#=&7&,7A,?
!!&/&'()*!) ##!FG,#=
H,70$1*
Quote:
Ta có thể hiểu tóm tắt về IDS như sau :
+ Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ
Giám sát : lưu lượng mạng + các hoạt động khả nghi.
Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.
Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
+ Chức năng mở rộng :
Phân biệt : "thù trong giặc ngoài"
Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự
so sánh thông lượng mạng hiện tại với baseline
+,-*./!
I2J!)01.234'()5+&.(04'()5
KL
+6
M5#B>,$6!'?&!'?#=
'5&,*
I2=6')E.?'#56N,E
C#B?O*IG678#=#5!#5
P7Q*R?2=%,5ST,$5
!!#U.,*
Quote:
NIDS :
Ví trí : mạng bên trong NIDS mạng bên ngoài
Loại : hardware (phần cứng) hoặc software (phần mềm)
Nhiệm vụ : chủ yếu giám sát lưu lượng ra vào mạng.
Nhược điểm : Có thể xảy ra hiện tượng nghẽn khi lưu lượng mạng hoạt động ờ mức
cao.
V%FL
−!(7.
LWWXXX**WWYW7W***ZZ[W7*
−2'.89,
LWWXXX*,*W7W,7****,
++
M5#BQ'?O2U?!D
C&/+*\=5&,?O"2
=#5=$,?CO!*K2
=#5#B?C7!O$,Q=
G"!"O,*K]'!A
!#!!+$ =A
#5*^5#4P/OK#5O&=(,
6_$ .,4=*K#56$6!#
G6?#C`7X"B78&&a2%F
!#C.7QY+b&C#C$*
Quote:
HIDS :
Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS.
Loại : software (phần mềm)
Nhiệm vụ : phân tích lưu lượng ra vào mạng chuyển tới máy tính cài đặt HIDS
Ưu điểm :
+ Cài đặt trên nhiều dạng máy tính : xách tay, PC,máy chủ
+ Phân tích lưu lượng mạng rồi mới forward.
Nhược điểm : Đa số chạy trên hệ điều hành Window . Tuy nhiên cũng đã có 1 số
chạy được trên Unix và những hệ điều hành khác.
V%F6
−.20:!;<=>.<)(.?27)@
^?LLWWXXX**W
−AB$)0('')2C
^?LLWWXXX*c*W,Wd,7&eZfJg***$7eZ[ZhiJZ[
−ELM 5.0 TNT software:
^?LLWWXXX*jX,*W7j,*,
D 73E0?F0GH*I5J*!"?KL7(H5M02.7 7"0N
< 0!"G-#F<6
:Q&$=D#5P7Q#="
D6Pk$,-#5P7Q7>#&/
*
−Hệ thống Expert l
Quote:
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để
miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào
cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom &
Sense và ComputerWatch (được phát triển tại AT&T).
−, 0!"G-#F<5O'02P*?F0:?*)Q4'()502?(!.
)0)70!.@6
Quote:
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về
tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp.
Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi(record). Một kịch bản
tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công
hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Phương pháp này
sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát hiện được
thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó
là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví dụ
như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)).
−,-&!"0IKRS!5T:()2!0)0!.!5)0!U7'0!.@6
Quote:
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập
nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức
năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh
sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có
thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện
thì một cảnh báo sẽ được sinh ra.
−,-0=702/0 !<!P:0'0)Q02'(!0!.''*V(!(@6
Quote:
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện
bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ
trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp
trả theo các hành động đã được định trước.
−,< <<-0=70N3P:0'0!(0!7'*''*V(!(
'<<2.'7@6
Quote:
!"
W$!S!5T'V"0N:0F<7 70?X70=@KL70=
0).#X0(N&!Y0S!!'mO7Q"'6L#n1
78"#n0"$%1,"
0P7Q$ ,#o,"'/"I:Y"<I$p02=
,#T@&_#6*K)2o,
q'6#5P7Q#=A&5(r#5#)
o,@/*+,%D#D%-$ 65
#5&/ H&178#=H*ID7A,
&&D(, &C178?s&/'6
2#4#5!-O2(%*
mH&" H&D&C&178#4#5
='3P7Q 178t!B7!*
I 1?#50#='t$)&/,#T
&178*ID$?1#5P
7Q&'T7A,? &1
78 1*
Z!2)*)((6
#$%&
!`^u+`&7[!%?3 7&!"0&/
1!^u+27C*
R`^u+" 1C$ $O"6')2q5
FihJ*ZZ!&G2#C2=&!*
#2E2(O! #( 07\&P02.$W&P.W!"0N
#/V`1O2E
.&EC#B'#=!#'01*
,]7^1!2)*)((2COn&/,7!X
1"2',;&giám sát tần số sóngvwv,7
j("phát hiện nhiễu"<*V`',;,C6
')t#=#),9_V7,uI""
#BO#56U!"#C"$?!"
!42,"<**
Quote:
Tóm lại Wireless IDS có :
+ Vị trí cần phải giám sát (rất chặt chẽ) : bên trong và bên ngoài mạng.
+Thiết bị và chức năng : phần cứng và phần mềm chuyên dụng có nhiều tín năng : thu
thập địa chỉ MAC, SSID, đặc tính : thiết lập các trạm + tốc độ truyền + kênh + trạng thái
mã hóa.
'()*"+,$-
−x&O!#G,178&*
−+7!0 #4'6*
−b#)!#'01G,!*
−b#)O'%`^u+*
−R0%C !$ 7&#,,
%'7A,?>70#4'6,A'01
C *
./0%12-
`2J H!#L&L
.#$3,4!$-
Z0F<02?2'#=0%7>
G,%'6!?s&=_/6')(%k
"D7>#5>&Pk*
KE6#C2C%'6#=2=
!&!*Ic&O'
##C#5P&C6')(%k"6')2=
78(%k-0%%'6*Z0F<
02?<TL<$`!#/Za_</#$!2X$b5;c?\*I$W
!"?c?\02.$!"7GH*I5J*!"?
.'$!,4$-
`A%56789*:7;*d
bWV<TL<$`!#/Za_e$W7[=0_77)((,.!0f
1!2)*)((<-0 0!Y03!"#7!<=(.$`!Z0F<
02?
<=1>,?
<#@!A)B$CD)E1
2+,1F
:O$%nAG,!X#C#6&
2&%4*,#252!#=A$6!*
mO_,'6#5A%,#&/!#,!
#*
K`'`^u+"=65#4#5
T5&5@'%'6*,#2O
5#4#5*+65#4#5O2A'0
1H%'S#5=)*
^5#52=#5>?$
B#5&7,,',*
Quote:
WIDS -> thu thập lưu lượng mạng-> phân tích-> phát hiện bất thường-> cảnh báo
<'G)B$HC 782B
,-
−u:')(%$2(C!$6&*
−\?C(%$2(Cu:B5P7Q8
$?*
−u:20H$ O5B$ #;0&/u:
$!*
−2j,(C*
−`7y,#5!F*
−EA$6&!(C*
−<
DaF<& .7 .$%3\g0O70!#/
R #5'U`!,DU7>#5P7Q#=
'&CH!!#G,!&,$6!
!
zG,`2=',;h_,7[7\& .!%?i0f
&!j?Kk./0KX7l'7 702/#0).0S!!'f7 7(H5M
02m!<no
b/P%'$u:'=&0#C/",
!#!')#!*\%%'G,u:$U
8&)O_,,#5A$,G,6')'0
1&#C$ 1#4%U#6qu:
&86*VB$"%'G,u:(,C&)
O2=_,#)#5&0#C,7'UA$,&C
7y%F"?'%&CECcX,"&
&C0H*
M6#_,E#42HD'&C`"&&E
78>6')`#=7Q&!$ 7G,
7,*
III. Một số sản phẩm WIDS:
III.1. AirDefense:
Liên hệ:
Là một hệ thống ngăn ngừa sự xâm nhập máy và cung cấp cho giải pháp tiện lợi nhất
phát hiện , dj tìm sự xâm nhập, chính sách giám sát, tự bảo vệ, phân tích sự cố và sửa
chữa từ xa.
III.2. Airmagnet:
Liên hệ:
Cung cấp rất nhiều giải pháp về Wireless IDS. AirMagnet cung cấp giải pháp phân tích
WLAN từ xa cho Cisco.
IV. Cấu hình cho AP tham gia vào IDS
IV.1. Cấu hình cho AP ở chế độ scanner mode
Ở chế độ scanner mode, AP sẽ quét tất cả các kênh đang được kích hoạt . Một AP ở chế
độ scanner sẽ không chấp nhận sự kết nối của client. Dùng CLI để cấu hình AP tham gia
vào chế độ scanner:
AP(config)# int dot11radio 0
AP(config)# station role scanner
AP(config)#end
1.Cấu hình AP ở chế độ monitor
Khi AP được cấu hình ở chế độ scanner nó cũng thực hiện bắt gói ở chế độ monitor. Ở
chế độ monitor AP bắt gói 802.11 và chuyển tiếp đến máy có cài đặt IDS. AP thêm 28
byte header vào mỗi frame mà nó chuyển tiếp, và bộ máy có cài đặt IDS sử dụng thông
tin header để phân tích. AP sử dụng giao thức UDP để để chuyển tiếp gói đã được bắt.
Nhiều gói được bắt sẽ kết hợp với một gói UDP để hạn chế việc tiêu tốn băng thông.
Ở chế độ scanner, AP sẽ quét tất cả các kênh đang được kích hoạt. Tuy nhiên, ở chế độ
monitor AP chỉ quét kênh đã được cấu hình. Những bước cấu hình cho AP tham gia bắt
gói và chuyển gói 802.11:
AP(config)# int dot11radio 0
AP(config)# monitor frames endpoint ip address 192.168.1.10
port 2000 truncate 512
Kiểm tra cấu hình đang chạy:
AP#show runBuilding configuration
Current configuration : 1525 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption!
hostname ap
!
enable secret 5 $1$dEaG$.lrLC4DffBIIXqHJEcsMy1
!no aaa new-model
!
resource policy!
ip subnet-zero
!!!
dot11 ssid BCVT authentication open
!
dot11 ssid bcvt
!
!
!
username Cisco password 7 1531021F0725
!
bridge irb
!!interface Dot11Radio0
no ip address
no ip route-cache
!
ssid BCVT !
station-role scanner
monitor frames endpoint ip address 192.168.1.10 port 2000
truncate 512
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address no ip route-cache
duplex auto
speed auto
bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path
onfig/help/eag
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!End
