Tải bản đầy đủ (.pptx) (37 trang)

Slide bài giảng môn mạng không dây: Chương 4: IDS TRONG WLAN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.22 MB, 37 trang )

Trường Cao Đẳng Kỹ Thuật Cao Thắng

CHƯƠNG 4: IDS TRONG WLAN
GV: LƯƠNG MINH HUẤN


NỘI DUNG
I. Khái niệm IDS
II. Wireless IDS
III. Một số sản phẩm Wireless IDS


I. KHÁI NIỆM IDS
 Khái niệm IDS
 Ứng dụng của IDS
 Phân loại IDS
 Ưu điểm và nhược điểm của IDS
 IPS


I.1 KHÁI NIỆM IDS
 IDS (Intrusion Detection System - Hệ thống phát hiện xâm phạm)
là một hệ thống phòng chống, nhằm phát hiện các hành động tấn
công vào một mạng.
 Mục đích là phát hiện và ngăn ngừa các hành động phá hoại đối
với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến
trình tấn công như quét các cổng.


I.1 KHÁI NIỆM IDS
 Một tính năng chính của hệ thống này là cung cấp thông tin nhận


biết về những hành động không bình thường và đưa ra các thông
báo cho quản trị viên mạng để khóa các kết nối đang tấn công.
 Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn
công từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và
tấn công bên ngoài (tấn công từ hacker). 


I.1 KHÁI NIỆM IDS
 Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng
chống cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu
tấn công và có thể đẩy lùi nó.
 Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành
động thích hợp


I.1 KHÁI NIỆM IDS
 Khi một sự xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến
các quản trị viên hệ thống về sự việc này.
 Bước tiếp theo được thực hiện bởi các quản trị viên hoặc có thể là
bản thân IDS


I.1 KHÁI NIỆM IDS
 Khác với firewall, IDS không thực hiện các thao tác ngăn chặn
truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra các
dấu hiệu của tấn công và cảnh báo cho người quản trị mạng.
 Một điểm khác biệt khác đó là mặc dù cả hai đều liên quan đến
bảo mật mạng, nhưng firewall theo dõi sự xâm nhập từ bên ngoài
và ngăn chặn chúng xảy ra, firewall không phát hiện được cuộc tấn
công từ bên trong mạng.

 IDS đánh giá sự xâm nhập đáng ngờ khi nó đã diễn ra đồng thời
phát ra cảnh báo, nó theo dõi được các cuộc tấn công có nguồn gốc
từ bên trong một hệ thống.


I.1 KHÁI NIỆM IDS
 Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện xâm
nhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn
công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất.
 Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp nó
có khả năng dự đoán được tấn công (prediction) và thậm chí
phản ứng lại các tấn công đang diễn ra (Active response).


I.1 KHÁI NIỆM IDS
 Mô hình hoạt động của IDS


I.2 ỨNG DỤNG IDS
 Tính năng quan trọng nhất của hệ thống phát hiện xâm nhập –
IDS là:
 Giám sát lưu lượng mạng và các hoạt động khả nghi.
 Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.
 Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành
một hệ thống bảo mật hoàn chỉnh.


I.2 ỨNG DỤNG IDS
 Một số loại tấn công mà IDS có thể phân biệt được bao gồm:
 Những tấn công liên quan đến sự truy cập trái phép đến tài nguyên.

• Việc bẻ khóa và sự vi phạm truy cập
• Trojan horses
• Đánh chặn; hầu hết kết hợp với việc lấy cắp TCP/IP và sự đánh chặn
thường sử dụng các cơ chế bổ sung để thỏa hiệp hệ thống
• Sự giả mạo
• Quét cổng và dịch vụ, gồm có quét ICMP (ping), UDP, TCP
• ….


I.2 ỨNG DỤNG IDS
 Sự thay đổi tài nguyên trái phép (sau khi đã chiếm được quyền truy
cập)
• Xuyên tạc tính đồng nhất, ví dụ: để lấy được các quyền quản trị viên
hệ thống.
• Thay đổi và xóa thông tin
• Truyền tải và tạo dữ liệu trái phép, ví dụ: lập một cơ sở dữ liệu về các
số thẻ tín dụng đã bị mất cắp trên một máy tính của chính phủ.
• Thay đổi cấu hình trái phép đối với hệ thống và các dịch vụ mạng
(máy chủ)


I.2 ỨNG DỤNG IDS
 Từ chối dịch vụ (DoS)
• Làm lụt (Flooding) – thỏa hiệp một hệ thống bằng việc gửi đi một số
lượng lớn các thông tin không giá trị để làm tắc nghẽn lưu lượng hạn
chế dịch vụ.
• Gây tổn hại hệ thống bằng việc lợi dụng các lỗ hổng 

 Tấn công ứng dụng web; các tấn công lợi dụng lỗi ứng dụng có thể
gây ra 



I.2 ỨNG DỤNG IDS
 Để ngăn chặn xâm nhập tốt cần phải kết hợp tốt giữa “bả và bẫy”
được trang bị cho việc nghiên cứu các mối đe dọa.
 Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên
được bảo vệ là một nhiệm vụ quan trọng khác.
 Cả hệ thống thực và hệ thống bẫy cần phải được kiểm tra một cách
liên tục.
 Dữ liệu được tạo ra bằng các hệ thống phát hiện xâm nhập được
kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS)
để phát hiện các dấu hiệu tấn công (sự xâm nhập)



I.3 PHÂN LOẠI IDS
Phân loại IDS:
 Phân loại theo phạm vi giám sát:
 Network-based IDS (NIDS): là những IDS giám sát trên toàn bộ
mạng.
 Host-based IDS (HIDS): là những IDS giám sát hoạt động của từng
máy tính riêng biệt



I.3 PHÂN LOẠI IDS
 Phân loại theo kỹ thuật:
 Signature-based IDS: phát hiện xâm nhập dựa trên dấu hiệu của
hành vi xâm nhập, căn cứ trên nhật ký hoạt động của hệ thống.
 Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang

tính thống kê) các hành vi hiện tại với hoạt động bình thường của hệ
thống để phát hiện các bất thường.



I.4 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM CỦA IDS
 Ưu điểm:
 Cung cấp một cách nhìn toàn diện về toàn bộ lưu lượng mạng.
 Giúp kiểm tra các sự cố xảy ra với hệ thống mạng.
 Sử dụng để thu thập bằng chứng cho điều tra và ứng cứu sự cố.

 Nhược điểm:
 Có thể gây ra tình trạng báo động nhầm nếu cấu hình không hợp lý.
 Khả năng phân tích lưu lượng bị mã hóa tương đối thấp.
 Chi phí triển khai và vận hành hệ thống tương đối lớn .


I.5 IPS
 IDS là một hệ thống thuần túy phát hiện xâm nhập, nó không thực
hiện ngăn chặn xâm nhập mà chỉ cảnh báo cho người quản trị.
 IPS là một hệ thống giúp phát hiện xâm nhập và ngăn chặn xâm
nhập.
 Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu
giữ các thông tin này. Sau đó kết hợp với firewall để dừng ngay
các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các
hoạt động xâm nhập trái phép trên.
 Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS


II. WIRELESS IDS

 Khái niệm Wireless IDS
 Nhiệm vụ Wireless IDS
 Mô hình hoạt động của WIDS
 Ứng dụng giám sát lưu lượng mạng


II.1 KHÁI NIỆM WIRELESS IDS
 IDS trong mạng WLAN(WIDS) làm việc có nhiều khác biệt so
với môi trường mạng LAN có dây truyền thống. 
 Trong WLAN, môi trường truyền là không khí, các thiết bị có hỗ
trợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập vào
mạng. Do đó cần có sự giám sát cả bên trong và bên ngoài hệ
thống mạng. 


II.1 KHÁI NIỆM WIRELESS IDS
 Wireless IDS có :
 Vị trí cần phải giám sát (rất chặt chẽ) : bên trong và bên ngoài
mạng.
 Thiết bị và chức năng : phần cứng và phần mềm chuyên dụng có
nhiều tín năng : thu thập địa chỉ MAC, SSID, đặc tính : thiết lập các
trạm + tốc độ truyền + kênh + trạng thái mã hóa.


×