Tải bản đầy đủ (.pdf) (32 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Năng Mềm
    3. >>
  3. Kỹ năng lãnh đạo

Bài tập lớn môn an toàn mạng (76)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.23 MB, 32 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN
----------------------------

Học phần: An tồn mạng
Bài báo cáo:

Tìm hiểu về hệ thống phát hiện xâm
nhập không dây (Wireless IDS WIDS)

Giảng viên hướng dẫn: TS. Đặng Minh Tuấn

Sinh viên:

Trần Hoài Nam

Mã sinh viên:

B18DCAT168

Nhóm mơn học:

02

Hà Nội 2021


Mục lục
Mục lục

1



DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT

3

DANH MỤC CÁC HÌNH VẼ

4

LỜI MỞ ĐẦU

4

Chương 1. Khái quát về Wireless IDS
Giới thiệu sơ lược về Wireless IDS.
Bảo mật máy tính và vai trị của nó.
Hệ thống phát hiện xâm nhập là gì?
Tại sao sử dụng Hệ thống phát hiện xâm nhập không dây (WIDS)?

5
5
5
6
6

Chương 2. Tiêu chuẩn mạng cục bộ không dây (WLAN)

8

Chương 3. Các thành phần và kiến trúc

Các thành phần tiêu biểu
Chuyên dụng:
Đi kèm với một AP:
Đi kèm với một công tắc không dây:
Kiến trúc mạng
Vị trí cảm biến
Bảo mật vật lý:
Vị trí cảm biến:

9
10
10
11
12
12
13
13
14

Chương 4. Sự quản lý
Thực hiện
Vận hành và Bảo trì

15
15
15

Chương 5. Thực thi chính sách

16


Chương 6. Chống lại các mối đe dọa WLANS

17

Chương 7: Sơ đồ phát hiện tấn công
Sơ đồ quy trình phát hiện/lấy cắp dữ liệu
Sơ đồ các bước phát hiện/tấn công
Kẻ tấn công thiết lập điểm truy cập giả của mình giống với tên AP của nạn nhân
WIDS detected Evil Twins
Kẻ tấn công đã gửi hủy xác thực đến máy khách và điểm truy cập
WIDS detected Deauth flooding
Nạn nhân bất cẩn kết nối với điểm truy cập giả do kẻ tấn công thiết lập
Thay đổi kết nối từ điểm truy cập này sang điểm truy cập khác

18
18
18
18
19
19
19
20
20

Một số hệ thống phát hiện xâm nhập:

21

Các câu lệnh Wireless IDS trong Kali Tool: ./wids.py [option] <args>


21

1


Demo

22

Tóm lược

28

Kết Luận

29

Tài liệu tham khảo

30

2


DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT
Từ
Thuật ngữ tiếng Anh/Giải
viết tắt thích


Thuật ngữ tiếng Viêt/Giải
thích

IDS

Intrusion Detection Systems

Hệ thống phát hiện xâm
nhập

WIDS

Wireless Intrusion Detection
Systems

Hệ thống phát hiện xâm
nhập không dây

WLAN

Wireless Local Area Network

Mạng cục bộ không dây

LAN

Local Area Network

Mạng cục bộ


IEEE

Institute of Electrical and
Electronics Engineers

Hội Kỹ sư Điện và Điện tử

WPA

Wi-Fi Protected Access

Truy cập Wi-Fi được bảo
vệ

WEP

Wired Equivalent Privacy

Chính sách tương đương
khơng dây

PDA

Personal Digital Assistants

Hỗ trợ kỹ thuật số cá nhân

RF

Radio Frequency


Tần số vô tuyến

NIC

Network Interface Card

Thẻ giao diện mạng

STA

Station

Trạm

AP

Access Point

Điểm truy cập

WAP

Wireless Application Protocol

Giao thức Ứng dụng không
dây

3



DANH MỤC CÁC HÌNH VẼ
Hình 1.1 Mơ tả các tính chất có cùng mức độ với độ tin cậy
Hình 3.1 Ví dụ kiến trúc mạng LAN khơng dây
Hình 3.2 Kiến trúc WIDS

LỜI MỞ ĐẦU
Sự gia tăng nhanh chóng của các mạng khơng dây và các ứng
dụng điện tốn di động đã làm thay đổi toàn cảnh về an ninh mạng. Các
cuộc tấn công từ chối dịch vụ vào các trang web lớn trên Internet gần
đây đã cho chúng ta thấy, khơng một mạng máy tính mở nào có thể
miễn nhiễm với các cuộc xâm nhập. Mạng ad-hoc không dây đặc biệt dễ
bị tấn cơng do các tính năng của nó là phương tiện mở, cấu trúc liên kết
thay đổi động, các thuật toán hợp tác, thiếu điểm quản lý và giám sát tập
trung và thiếu một tuyến phòng thủ rõ ràng. Cách bảo vệ mạng truyền
thống bằng tường lửa và phần mềm mã hóa khơng cịn đủ và hiệu quả
nữa.
Cơng cụ IDS là đơn vị điều khiển của hệ thống phát hiện xâm
nhập. Mục đích chính của nó là quản lý hệ thống, tức là giám sát tất cả
các hoạt động của hệ thống phát hiện xâm nhập. Nhiệm vụ của nó phụ
thuộc vào phương pháp phát hiện xâm nhập được sử dụng. Không dây
đã mở ra một thế giới mới và thú vị cho nhiều người trong chúng ta.
Công nghệ của nó đang tiến bộ và thay đổi mỗi ngày và sự phổ biến của
nó ngày càng tăng. Tuy nhiên, mối quan tâm lớn nhất với mạng không
dây là bảo mật.
IDS có dây truyền thống là một hệ thống tuyệt vời, nhưng tiếc là
nó khơng mang lại nhiều lợi ích cho thế giới không dây. Việc triển khai
các hệ thống WIDS chắc chắn là một bước đi đúng hướng. Nếu bạn có
mạng khơng dây và lo ngại về các cuộc tấn cơng và những kẻ xâm
nhập, WIDS có thể là một ý tưởng tuyệt vời.


4


Chương 1. Khái quát về Wireless IDS
I.

Giới thiệu sơ lược về Wireless IDS.
Cuộc cách mạng mạng cuối cùng đã đến tuổi. Các khả năng
và cơ hội đối với sự thay đổi của điện tốn internet là vơ hạn; rủi ro
và cơ hội xâm nhập độc hại cũng vậy.
Điều rất quan trọng là các cơ chế bảo mật của hệ thống
được thiết kế để ngăn chặn việc truy cập trái phép vào tài nguyên
và dữ liệu của hệ thống. Tuy nhiên,hiện tại, việc ngăn chặn hoàn
toàn các hành vi vi phạm an ninh là khơng thực tế. Tuy nhiên,
chúng tơi có thể cố gắng phát hiện những nỗ lực xâm nhập này để
có thể thực hiện hành động sửa chữa thiệt hại sau này. Lĩnh vực
nghiên cứu này được gọi là Phát hiện xâm nhập. Không dây đã
mở ra một thế giới mới và thú vị cho nhiều người trong chúng ta.
Cơng nghệ của nó đang tiến bộ và thay đổi mỗi ngày và sự phổ
biến của nó ngày càng tăng. Tuy nhiên, mối quan tâm lớn nhất với
mạng không dây là bảo mật. Cùng với các phương án mã hóa
được cải tiến, một giải pháp mới giúp chống lại vấn đề này là Hệ
thống phát hiện xâm nhập không dây (WIDS). Trong thế giới bảo
mật và không dây, điều này đã nhanh chóng trở thành một phần
chính của việc bảo mật mạng.

II.

Bảo mật máy tính và vai trị của nó.

Garfinkel và Spafford đưa ra một định nghĩa rộng rãi về hệ
thống máy tính an tồn là một định nghĩa có thể phụ thuộc vào để
hoạt động như mong đợi. Tích hợp bảo mật với độ tin cậy luôn là
một điểm có lợi và làm thế nào để có được một hệ thống máy tính
đáng tin cậy.
Độ tin cậy là độ tin cậy của một hệ thống và có thể được coi
là chất lượng của dịch vụ mà hệ thống cung cấp. Tích hợp bảo
mật và độ tin cậy có thể được thực hiện theo nhiều cách khác
nhau. Một cách tiếp cận là coi bảo mật như một đặc điểm của độ
tin cậy ở cùng mức độ như tính khả dụng, độ tin cậy và an tồn
như thể hiện trong hình.

5


Hình 1.1 mơ tả các tính chất cùng mức độ với độ tin cậy
Định nghĩa hẹp hơn về bảo mật là khả năng hệ thống bảo vệ
các đối tượng liên quan đến tính bảo mật, xác thực, tính tồn vẹn
và khơng từ chối.
Tính bảo mật: Chuyển đổi dữ liệu để chỉ các bên được ủy
quyền mới có thể giải mã.
Xác thực: Chứng minh hoặc bác bỏ danh tính đã được xác
nhận của ai đó hoặc điều gì đó.
Kiểm tra tính tồn vẹn: Đảm bảo rằng dữ liệu khơng thể
được sửa đổi nếu khơng phát hiện được việc sửa đổi đó.
Khơng từ chối: Chứng minh rằng một nguồn dữ liệu nào đó
trên thực tế đã gửi dữ liệu mà sau này anh ta có thể từ chối gửi.

III.


Hệ thống phát hiện xâm nhập là gì?
Hệ thống phát hiện xâm nhập (IDS) là một phần mềm hoặc
công cụ phần cứng được sử dụng để phát hiện truy cập trái phép
vào hệ thống máy tính hoặc mạng. IDS khơng dây thực hiện tác vụ
này dành riêng cho mạng không dây. Các hệ thống này giám sát
lưu lượng truy cập trên mạng của bạn để tìm kiếm và ghi lại các
mối đe dọa và cảnh báo nhân viên để ứng phó.

IV.

Tại sao sử dụng Hệ thống phát hiện xâm nhập không
dây (WIDS)?
Hệ thống IDS có dây truyền thống khơng làm được rất nhiều
cho thế giới không dây. Vấn đề với mạng không dây là ngồi các
cuộc tấn cơng có thể được thực hiện trên mạng có dây, bản thân
phương tiện truyền thơng phải được bảo vệ. Để làm được điều
này, có nhiều biện pháp có thể được thực hiện, tuy nhiên thậm chí
cịn có nhiều công cụ được thiết kế để phá vỡ chúng. Do bản chất

6


của mạng LAN khơng dây (WLAN), có thể khó kiểm sốt các khu
vực truy cập. Thường thì phạm vi của mạng khơng dây vươn ra
ngồi ranh giới vật lý của một tổ chức. Với vấn đề về bảo mật
không dây như vậy, việc phát triển và triển khai các hệ thống
WIDS chắc chắn là một bước đi đúng hướng. Nếu bạn có mạng
khơng dây và lo ngại về các cuộc tấn cơng và những kẻ xâm nhập,
WIDS có thể là một ý tưởng tuyệt vời.
Một số lượng lớn các cuộc tấn cơng có thể xảy ra có thể

được phát hiện bởi WIDS. Sau đây sẽ liệt kê các cuộc tấn cơng và
sự kiện chính có thể được phát hiện với sự trợ giúp của WIDS.
Các thiết bị giả mạo, chẳng hạn như một nhân viên đang cắm vào
bộ định tuyến khơng dây trái phép, cấu hình khơng chính xác, sự
cố kết nối, gây nhiễu, tấn công man-in-themiddle, wardrivers, quét
bằng các chương trình như Netstumbler hoặc Kismet, nhiễu RF,
giả mạo MAC, tấn cơng DoS, nỗ lực bạo lực để có được vượt qua
802.1x, RFI mạnh hoặc sử dụng các công cụ cung cấp lưu lượng
truy cập. Các thiết bị và phần mềm WIDS khác nhau có các khả
năng khác nhau trong những gì có thể được phát hiện. Đảm bảo
WIDS bạn chọn sẽ phù hợp với hồ sơ của công ty bạn.
Hiện chỉ có một số nhà cung cấp cung cấp giải pháp IDS
không dây - nhưng các sản phẩm này hiệu quả và có bộ tính năng
mở rộng. Các giải pháp IDS không dây phổ biến bao gồm
Airdefense, RogueWatch và Airdefense Guard, và các sản phẩm
máy chủ quét không dây Hệ thống An ninh Internet (Internet
Security Systems Realsecure Server) và các sản phẩm máy qt
khơng dây. Ví dụ, một IDS khơng dây cây nhà lá vườn có thể được
phát triển với việc sử dụng hệ điều hành Linux và một số phần
mềm miễn phí có sẵn. Các giải pháp mã nguồn mở bao gồm
Snort-Wireless và WIDZ, trong số những giải pháp khác.

7


Chương 2. Tiêu chuẩn mạng cục bộ không dây
(WLAN)
Hầu hết các mạng WLAN sử dụng họ chuẩn WLAN 802.11 của
Viện Kỹ sư Điện và Điện tử (IEEE). Các tiêu chuẩn truyền dẫn vô tuyến
WLAN được sử dụng phổ biến nhất là IEEE 802.11b và IEEE 802.11g,

sử dụng băng tần 2,4 gigahertz (GHz) và IEEE 802.11a, sử dụng băng
tần 5 GHz. IEEE 802.11a, b và g bao gồm các tính năng bảo mật được
gọi chung là Quyền riêng tư tương đương có dây (WEP). Thật khơng
may, WEP có một số vấn đề bảo mật được ghi nhận đầy đủ. Để khắc
phục những điều này, IEEE 802.11i đã được tạo ra; nó chỉ định các
thành phần bảo mật hoạt động cùng với IEEE 802.11a, b và g.
Một bộ tiêu chuẩn WLAN khác đã được tạo ra bởi một tổ chức phi
lợi nhuận gồm các nhà cung cấp thiết bị và phần mềm mạng WLAN có
tên là Wi-Fi Alliance. Trong khi IEEE đang làm việc để hoàn thiện tiêu
chuẩn 802.11i, Alliance đã tạo ra một giải pháp tạm thời được gọi là
Wi-Fi Protected Access (WPA). Được xuất bản vào tháng 10 năm 2002,
WPA về cơ bản là một tập hợp con của các yêu cầu dự thảo IEEE
802.11i có sẵn tại thời điểm đó. WPA cung cấp bảo mật mạnh mẽ hơn
cho truyền thông WLAN so với WEP. Cùng với việc phê chuẩn bản sửa
đổi IEEE 802.11i, Liên minh Wi-Fi đã giới thiệu WPA2, thuật ngữ chỉ thiết
bị tương thích có khả năng hỗ trợ các yêu cầu của IEEE 802.11i. WPA2
cung cấp các biện pháp kiểm soát bảo mật mạnh mẽ hơn WPA hoặc
WEP.

8


Chương 3. Các thành phần và kiến trúc
Phần này mô tả các thành phần chính của IDS khơng dây điển
hình và minh họa các kiến trúc mạng phổ biến nhất cho các thành phần
này. Nó cũng cung cấp các khuyến nghị về vị trí của các thành phần
nhất định. (Tham khảo Hình 3.1) Mạng WLAN IEEE 802.11 có hai thành
phần kiến trúc cơ bản:
Station (STA). STA là một thiết bị điểm cuối khơng dây. Ví dụ điển hình
của STA là máy tính xách tay, trợ lý kỹ thuật số cá nhân (PDA), điện

thoại di động và các thiết bị điện tử tiêu dùng khác có khả năng IEEE
802.11.
Access Point (AP). Một AP kết nối hợp lý các STA với hệ thống phân
phối (DS), thường là cơ sở hạ tầng có dây của tổ chức. DS là phương
tiện mà các STA có thể giao tiếp với mạng LAN có dây của tổ chức và
các mạng bên ngồi như Internet. Hình 3.1 cho thấy một ví dụ về cách
các AP, STA và DS có liên quan với nhau.

Hình 3.1 Ví dụ kiến trúc mạng LAN không dây

Một số mạng WLAN cũng sử dụng bộ chuyển mạch không dây.
Switch không dây là một thiết bị đóng vai trị trung gian giữa các AP và
DS. Chuẩn IEEE 802.11 cũng xác định hai kiến trúc WLAN sau:

9


Chế độ Ad Hoc: Chế độ đặc biệt không sử dụng các AP. Chế độ Ad
Hoc, còn được gọi là chế độ ngang hàng, liên quan đến hai hoặc nhiều
STA giao tiếp trực tiếp với nhau.
Chế độ cơ sở hạ tầng: Trong chế độ cơ sở hạ tầng, một AP kết nối các
STA không dây với một DS, thường là mạng có dây.

I.

Các thành phần tiêu biểu
Các thành phần điển hình trong IDS khơng dây là bảng điều
khiển, máy chủ cơ sở dữ liệu (tùy chọn), máy chủ quản lý và cảm
biến.
IDS không dây hoạt động bằng cách lấy mẫu lưu lượng. Có

hai băng tần để theo dõi (2,4 GHz và 5 GHz) và mỗi băng tần
được tách thành các kênh. Hiện tại, cảm biến không thể giám sát
đồng thời tất cả lưu lượng trên một băng tần; một cảm biến phải
giám sát một kênh tại một thời điểm. Khi cảm biến sẵn sàng theo
dõi một kênh khác, cảm biến phải tắt radio, thay đổi kênh, sau đó
bật radio. Một kênh đơn được theo dõi càng lâu, thì cảm biến càng
có nhiều khả năng bỏ sót hoạt động độc hại xảy ra trên các kênh
khác. Để tránh điều này, các cảm biến thường thay đổi các kênh
thường xuyên, được gọi là quét kênh, để chúng có thể theo dõi
mỗi kênh một vài lần mỗi giây. Để giảm hoặc loại bỏ tính năng
qt kênh, các cảm biến chun dụng có sẵn sử dụng một số
radio và anten công suất cao, với mỗi cặp radio / anten giám sát
một kênh khác nhau. Do độ nhạy cao hơn, các anten công suất
cao cũng có phạm vi giám sát lớn hơn các anten thơng thường.
Một số triển khai điều phối các mẫu quét giữa các cảm biến có
phạm vi chồng chéo để mỗi cảm biến cần giám sát ít kênh hơn.
Cảm biến khơng dây có sẵn ở nhiều dạng:

1. Chuyên dụng:
Cảm biến chuyên dụng là một thiết bị thực hiện các chức
năng IDS không dây nhưng không chuyển lưu lượng mạng từ
10


nguồn đến đích. Các cảm biến chun dụng thường hồn toàn thụ
động, hoạt động ở chế độ giám sát tần số vô tuyến (RF) để đánh
hơi lưu lượng mạng không dây. Một số cảm biến chuyên dụng
thực hiện phân tích lưu lượng mà chúng giám sát, trong khi các
cảm biến khác chuyển tiếp lưu lượng mạng đến máy chủ quản lý
để phân tích. Cảm biến thường được kết nối với mạng có dây (ví

dụ: cáp Ethernet giữa cảm biến và công tắc). Cảm biến chuyên
dụng thường được thiết kế cho một trong hai kiểu triển khai:
Fixed — cảm biến được triển khai đến một vị trí cụ thể. Các cảm
biến như vậy thường phụ thuộc vào cơ sở hạ tầng của tổ chức (ví
dụ: nguồn, mạng có dây). Cảm biến cố định thường dựa trên thiết
bị.
Mobile — cảm biến được thiết kế để sử dụng khi đang chuyển
động. Ví dụ: quản trị viên bảo mật có thể sử dụng cảm biến di
động khi đi qua các tịa nhà và khn viên của tổ chức để tìm các
AP giả mạo. Cảm biến di động dựa trên thiết bị hoặc dựa trên
phần mềm (ví dụ: phần mềm được cài đặt trên máy tính xách tay
có NIC khơng dây có khả năng thực hiện giám sát RF).

2. Đi kèm với một AP:
Một số nhà cung cấp đã thêm khả năng IDS vào các AP. Một
AP đi kèm thường cung cấp khả năng phát hiện ít nghiêm ngặt
hơn so với một cảm biến chuyên dụng vì AP cần phân chia thời
gian giữa việc cung cấp quyền truy cập mạng và giám sát nhiều
kênh hoặc băng tần để tìm hoạt động độc hại. Nếu IDS chỉ cần
giám sát một băng tần và kênh duy nhất, thì một giải pháp đi kèm
có thể cung cấp khả năng bảo mật hợp lý và tính khả dụng của
mạng. Nếu IDS phải theo dõi nhiều băng tần hoặc nhiều kênh, thì
cảm biến cần thực hiện quét kênh, điều này sẽ làm gián đoạn các
chức năng AP của cảm biến bằng cách làm cho nó tạm thời khơng
khả dụng trên băng tần và kênh chính của nó.

11


3. Đi kèm với một công tắc không dây:

Thiết bị chuyển mạch không dây nhằm hỗ trợ quản trị viên
quản lý và giám sát các thiết bị không dây; một số công tắc này
cũng cung cấp một số khả năng IDS không dây như một chức
năng phụ. Các thiết bị chuyển mạch không dây thường không
cung cấp khả năng phát hiện mạnh mẽ như các AP đi kèm hoặc
cảm biến chun dụng.
Bởi vì các cảm biến chun dụng có thể tập trung vào việc
phát hiện và không cần mang theo lưu lượng truy cập không dây,
chúng thường cung cấp khả năng phát hiện mạnh hơn các cảm
biến không dây đi kèm với AP hoặc bộ chuyển mạch không dây.
Tuy nhiên, cảm biến chuyên dụng thường đắt hơn để mua, cài đặt
và bảo trì so với cảm biến đi kèm vì cảm biến đi kèm có thể được
cài đặt trên phần cứng hiện có, trong khi cảm biến chuyên dụng
liên quan đến phần cứng và phần mềm bổ sung. Các tổ chức nên
cân nhắc cả vấn đề bảo mật và chi phí khi lựa chọn cảm biến IDS
khơng dây.
Một số nhà cung cấp cũng có phần mềm cảm biến IDS
khơng dây dựa trên máy chủ có thể được cài đặt trên STA, chẳng
hạn như máy tính xách tay. Phần mềm cảm biến phát hiện các
cuộc tấn công trong phạm vi của các STA, cũng như các cấu hình
sai của các STA và báo cáo thông tin này cho máy chủ quản lý.
Phần mềm cảm biến cũng có thể thực thi các chính sách bảo mật
trên STA, chẳng hạn như hạn chế quyền truy cập vào các giao
diện không dây.

II.

Kiến trúc mạng
Các thành phần IDS không dây thường được kết nối với
nhau thơng qua mạng có dây. Một mạng quản lý riêng biệt hoặc

các mạng tiêu chuẩn của tổ chức có thể được sử dụng cho giao
tiếp thành phần IDS không dây. Vì đã có sự phân tách được kiểm
sốt chặt chẽ giữa mạng khơng dây và mạng có dây, nên việc sử
dụng mạng quản lý hoặc mạng tiêu chuẩn nên được chấp nhận
12


cho các thành phần IDS khơng dây. Ngồi ra, một số cảm biến IDS
không dây (đặc biệt là cảm biến di động) được sử dụng độc lập và
không cần kết nối mạng có dây. (Tham khảo Hình 3.2).

Hình 3.2 Kiến trúc WIDS

III.

Vị trí cảm biến
Chọn vị trí cảm biến để triển khai IDS không dây về cơ bản
là một vấn đề khác với việc chọn vị trí cho bất kỳ loại cảm biến IDS
nào khác. Nếu tổ chức sử dụng mạng WLAN, các cảm biến không
dây nên được triển khai để chúng giám sát phạm vi RF của mạng
WLAN của tổ chức (cả AP và STA), thường bao gồm các thành
phần di động như máy tính xách tay. Nhiều tổ chức cũng muốn
triển khai các cảm biến để giám sát các vùng vật lý trong cơ sở
của họ, nơi không được có hoạt động của mạng WLAN, cũng như
các kênh và băng tần mà mạng WLAN của tổ chức không nên sử
dụng, như một cách phát hiện các AP giả mạo và mạng WLAN
đặc biệt.

1. Bảo mật vật lý:


13


Cảm biến thường được triển khai ở các vị trí mở (ví dụ: trần
nhà ở hành lang, phịng hội nghị) vì phạm vi của chúng ở đó lớn
hơn nhiều so với các vị trí đóng (ví dụ: tủ đi dây). Cảm biến đơi khi
cũng được triển khai ngồi trời. Nói chung, các cảm biến ở các vị
trí mở bên trong và các vị trí bên ngồi dễ bị ảnh hưởng bởi các
mối đe dọa vật lý hơn các cảm biến khác. Nếu các mối đe dọa vật
lý là đáng kể, các tổ chức có thể cần chọn các cảm biến có tính
năng chống giả mạo hoặc triển khai các cảm biến ở những nơi
chúng ít có khả năng bị truy cập vật lý hơn (ví dụ: trong tầm nhìn
của camera an ninh).
2. Vị trí cảm biến:
Phạm vi thực tế của cảm biến thay đổi dựa trên các cơ sở
xung quanh (ví dụ: tường, cửa). Một số nhà cung cấp IDS khơng
dây cung cấp phần mềm mơ hình hóa có thể phân tích sơ đồ mặt
bằng của tịa nhà và đặc điểm suy giảm của tường, cửa và các
thành phần cơ sở khác để xác định vị trí hiệu quả cho các cảm
biến. Phạm vi cảm biến cũng có thể thay đổi dựa trên vị trí của
những người trong cơ sở và các đặc điểm thay đổi khác, do đó,
các cảm biến nên được triển khai sao cho phạm vi của chúng có
một số trùng lặp (ví dụ: ít nhất 20%).

14


Chương 4. Sự quản lý

I.


Thực hiện
Khi một sản phẩm IDS không dây đã được chọn, quản trị
viên cần thiết kế kiến trúc, thực hiện kiểm tra thành phần IDS, bảo
mật các thành phần IDS và sau đó triển khai chúng. Việc triển khai
IDS khơng dây có thể dẫn đến sự cố mạng không dây trong thời
gian ngắn nếu các AP hoặc bộ chuyển mạch khơng dây hiện có
cần được nâng cấp hoặc cài đặt phần mềm IDS. Nói chung, việc
triển khai các cảm biến khơng gây ra tình trạng mất mạng.

II.

Vận hành và Bảo trì
Bảng điều khiển IDS khơng dây cung cấp khả năng quản lý,
giám sát, phân tích và báo cáo tương tự. Một điểm khác biệt đáng
kể là bảng điều khiển IDPS khơng dây có thể hiển thị vị trí thực
của các mối đe dọa. Một điểm khác biệt nhỏ là do cảm biến IDS
không dây phát hiện một loạt các sự kiện tương đối nhỏ, so với
các loại IDS khác, chúng có xu hướng cập nhật chữ ký ít thường
xuyên hơn.

15


Chương 5. Thực thi chính sách

IDS khơng dây khơng chỉ phát hiện kẻ tấn cơng mà cịn có thể
giúp thực thi chính sách. Mạng WLAN có một số vấn đề liên quan đến
bảo mật, nhưng nhiều điểm yếu về bảo mật có thể khắc phục được. Với
chính sách khơng dây mạnh mẽ và việc thực thi thích hợp, mạng khơng

dây có thể an tồn như mạng có dây tương đương - và IDS khơng dây
có thể giúp thực thi chính sách như vậy.
Giả sử chính sách quy định rằng tất cả các thông tin liên lạc không
dây phải được mã hóa. IDS khơng dây có thể liên tục giám sát các giao
tiếp 802.11 và nếu phát hiện thấy WAP hoặc thiết bị 802.11 khác đang
giao tiếp mà khơng có mã hóa, IDS sẽ phát hiện và thơng báo về hoạt
động. Nếu IDS khơng dây được định cấu hình trước với tất cả các WAP
được phép và một WAP không xác định (giả mạo) được đưa vào khu
vực, IDS sẽ nhanh chóng xác định nó. Các tính năng như phát hiện
WAP giả mạo và thực thi chính sách nói chung, sẽ giúp tăng cường bảo
mật cho mạng WLAN một cách lâu dài. Hỗ trợ bổ sung mà IDS không
dây cung cấp liên quan đến việc thực thi chính sách cũng có thể tối đa
hóa việc phân bổ nguồn nhân lực. Điều này là do IDS có thể tự động
hóa một số chức năng mà thông thường con người sẽ được yêu cầu để
thực hiện theo cách thủ công, chẳng hạn như giám sát các WAP giả
mạo.

16


Chương 6. Chống lại các mối đe dọa
WLANS
Các cuộc tấn công không dây thường yêu cầu kẻ tấn công hoặc
một thiết bị do kẻ tấn công đặt ở trong phạm vi vật lý gần với mạng
không dây. Tuy nhiên, nhiều mạng WLAN được cấu hình để chúng
khơng u cầu bất kỳ xác thực nào hoặc chỉ yêu cầu các hình thức xác
thực yếu; điều này làm cho những kẻ tấn công cục bộ dễ dàng thực hiện
một số kiểu tấn công, chẳng hạn như cuộc tấn công man-in-the-middle.
Hầu hết các mối đe dọa WLAN liên quan đến kẻ tấn công có
quyền truy cập vào liên kết vơ tuyến giữa STA và AP (hoặc giữa hai

STA, ở chế độ đặc biệt). Nhiều cuộc tấn công dựa vào khả năng của kẻ
tấn công để đánh chặn liên lạc mạng hoặc đưa thêm thơng điệp vào
chúng.
Tin tặc cũng có thể tấn cơng một mạng WLAN và thu thập dữ liệu
nhạy cảm bằng cách đưa một WAP giả mạo vào vùng phủ sóng của
mạng WLAN. WAP giả mạo có thể được định cấu hình để trơng giống
như một WAP hợp pháp và vì nhiều máy khách không dây chỉ cần kết
nối với WAP với cường độ tín hiệu tốt nhất, người dùng có thể bị "lừa"
vơ tình liên kết với WAP giả mạo. Sau khi người dùng được liên kết, tất
cả các thông tin liên lạc có thể bị theo dõi bởi tin tặc thông qua WAP giả
mạo.

17


Chương 7: Sơ đồ phát hiện tấn công
I.

Sơ đồ quy trình phát hiện/lấy cắp dữ liệu

II.

Sơ đồ các bước phát hiện/tấn công

1. Kẻ tấn công thiết lập điểm truy cập giả của mình giống với tên
AP của nạn nhân

18



2. WIDS detected Evil Twins

3. Kẻ tấn công đã gửi hủy xác thực đến máy khách và điểm truy
cập

4. WIDS detected Deauth flooding

19


5. Nạn nhân bất cẩn kết nối với điểm truy cập giả do kẻ tấn công
thiết lập

6. Thay đổi kết nối từ điểm truy cập này sang điểm truy cập khác

20


Một số hệ thống phát hiện xâm nhập:
-

Snort
AirDefense Enterprise
WIDZ
AirMagnet Enterprise
AirMagnet Wifi Analyzer Pro
RFProtect Wireless Intrusion Protection

Các câu lệnh Wireless IDS trong Kali Tool:
./wids.py [option] <args>

Options:
-h

--hh

- hiển thị thông báo trợ giúp cơ bản và thốt

--update
--remove

-hiển thị thơng báo trợ giúp nâng cao và thoát
- kiểm tra cập nhật
- gỡ cài đặt ứng dụng

-l

--loop <args>

- chạy số vòng lặp trước khi thoát

-i

--iface <args>

- đặt giao diện để sử dụng

-t

--timeout <args>


- khoảng thời gian cần chụp trước khi phân
tích dữ liệu đã chụp

-hh

-hp --hideprobe

- ẩn hiển thị với thiết bị thăm dò

-la

--log-a

- nối vào chi tiết nhật ký quét hiện tại

-lo

--log-o
--log

- ghi đè nhật ký quét hiện có
- tương tự như --log-o

21


Demo
1. Cài đặt Wireless IDS trên Kali Tool
- git clone />
- cd wireless-ids/

- sudo chmod +x wids.py
- sudo ./wids.py

22


2. Thực thi các câu lệnh
- ./wids.py -hh

- ./wids.py --update

23


- ./wids.py --timeout 10

- ./wids.py --remove

24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×