Tài liệu Tìm hiểu vê IDS và IDS trong mạng không dây (P2) ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (214.15 KB, 5 trang )
Tìm hiểu vê IDS và IDS trong mạng không dây (P2)
II. Wireless IDS:
I.1. Wireless IDS là gì?
IDS trong mạng WLAN(WIDS) làm việc có nhiều khác biệt so với môi
trường mạng LAN có dây truyền thống.
Trong WLAN, môi trường truyền là không khí, các thiết bị có hỗ trợ chuẩn
802.11 trong phạm vi phủ sóng đều có thể truy cập vào mạng.
Do đó cần có sự giám sát cả bên trong và bên ngoài hệ thống mạng. Một hệ
thống WIDS thường là một hệ thống máy tính có phần cứng và phần mềm đặc biệt để phát hiện
các hoạt động bất thường. Phần cứng wireless có nhiều tính năng so với card mạng wireless
thông thường , nó bao gồm việc giám sát tần số sóng(RF_Radio frequency), phát hiện nhiễu,….
Một WIDS bao gồm một hay nhiều thiết bị lắng nghe để thu thập địa chỉ MAC (Media Access
Control), SSID, các đặc tính được thiết lập ở các trạm, tốc độ truyền, kênh hiện tại, trạng thái mã
hóa, …..
Trích:
Tóm lại Wireless IDS có :
+ Vị trí cần phải giám sát (rất chặt chẽ) : bên trong và bên ngoài mạng.
+Thiết bị và chức năng : phần cứng và phần mềm chuyên dụng có nhiều tín năng :
thu thập địa chỉ MAC, SSID, đặc tính : thiết lập các trạm + tốc độ truyền + kênh +
trạng thái mã hóa.
II.2. Nhiệm vụ của WIDS:
-Giám sát và phân tích các hoạt động của người dùng và hệ thống.
-Nhận diện các loại tấn công đã biết.
-Xác định các hoạt động bất thường của hệ thống mạng.
-Xác định các chính sách bảo mật cho WLAN.
-Thu thập tất cả truyền thông trong mạng không dây và đưa ra các cảnh báo dựa trên những dấu
hiệu đã biết hay sự bất thường trong truyền thông.
II.3. Mô hình hoạt độ
ng:
WIDS có 2 mô hình hoạt động là: tập trung và phân tán:
II.3.1. WIDS tập trung (centralized WIDS):
WIDS tập trung có một bộ tập trung để thu thập tất cả các dữ liệu của các cảm biến mạng riêng
lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý.
Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi
toàn mạng. Các log file và các tín hiệu báo động đều
được gửi về thiết bị quản lý trung tâm, thiết
bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. WIDS tập trung phù hợp
với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.
II.3.2. WIDS phân tán (decentralize WIDS):
WIDS phân tán thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng
WLAN nhỏ và có ít Access Point, wireless IDS phân tán tiết kiệm chi phí hơn so với WIDS tập
trung.
II.4. Giám sát lưu lượng mạng( Traffic monitoring)
II.4.1. Xây dựng hệ thống WIDS để phân tích hiệu suất hoạt động của mạng wireless
Phân tích khả năng thực thi của mạng wireless là đề cập đến việc thu thập gói và giải mã. Sau đó
tái hợp gói lại để thực hiện kết nối mạng. Việc phân tích giúp ta biết được sự cố xảy ra đối với
mạng đang hoạt động.
Hệ thống WIDS giám sát toàn bộ WLAN, chuyển tiếp lưu lượng đã được tổng hợp và thu thập
lưu lượng từ các bộ cảm biến. Sau đó phân tích lưu lượng đã thu thập được. Nếu lưu lượng đã
được phân tích có sự bất thường thì cảnh báo sẽ được hiển thị.
Lưu lượng thu thập được có thể được lưu trữ trên một hệ thống khác hoặc được log vào database.
Trích:
WIDS -> thu th
ập lưu lượng mạng-> phân tích-> phát hiện bất thường-> cảnh
báo
II.4.2. Hệ thống WIDS có thể gửi cảnh báo trong một số trường hợp sau:
-AP bị quá tải khi có quá nhiều trạm kết nối vào.
-Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh.
-AP có cấu hình không thích hợp hoặc không đồng nhất với các AP khác trong hệ thống mạng.
-Số các gói fragment quá nhiều.
-WIDS dò ra được các trạm ẩn.
-Số lần thực hiện kết nối vào mạng quá nhiều.
-…
I.1.3. Lập báo cáo về khả năng thực thi mạng
Thông tin thu thập được bởi WIDS tạo ra cơ sở dữ liệu được sử dụng để lập báo cáo về tình trạng
hoạt động của mạng và lập ra kế hoạch cho hệ thống mạng
Báo cáo của WIDS có thể bao gồm 10 AP có cảnh báo nhiều nhất, biểu đồ hoạt động của các
trạm theo thời gian, cách sử dụng trãi phổ…
Xu hướng gửi cảnh báo là khi AP biểu hiện một số vấn đề mới, hay là hoạt động mạng bị gián
đoạn. Khảo sát cảnh báo của các AP khác ở cùng vị trí giúp ta nhận ra được sự khác nhau của
các thiết bị bất thường và điều kiện môi trường đã làm ảnh hưởng đến mỗi AP trong vùng như
thế nào. Mặt khác, so sánh cảnh báo của các AP qua nhiều vị trí có thể giúp ta xác định được vấn
đề gây ra do bởi sự khác nhau về các dòng sản phẩm, phiên bản về phần mềm hệ thống(
firmware), và về cấu hình.
Đến đây chúng ta hầu như đã có cái nhìn sơ bộ về WIDS, và việc cần làm là dùng những thiết bị
WIDS để áp dụng vào mạng không dây của doanh nghiệp.
