Tài liệu Các dạng cảm biến wireless

  • Số trang: 36 |
  • Loại file: PDF |
  • Lượt xem: 103 |
  • Lượt tải: 0
tranphuong

Đã đăng 59174 tài liệu

Mô tả:

Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các dạng cảm biến wireless - Dành riêng (dedicated) - Được tích hợp với Access point (Bundled with an AP) - Được tích hợp với wireless switch (Bundled with a Wireless Switch) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 1 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các dạng cảm biến wireless (tt) Dành riêng (dedicated): bộ cảm biến dành riêng (dedicated sensor) là một thiết bị thực hiện chức năng wireless IDPS nhưng sẽ không chuyển lưu lượng mạng từ nguồn tới đích. Cảm biến này hoạt động thụ động và ở chế độ giám sát tần số radio để đánh hơi các lưu lương mạng không dây. - Một số cảm dedicated sensor thực hiện phân tích lưu lượng mà chúng vừa giám sát; còn một số khác thì chuyển lưu lượng này đến cho Management server để phân tích. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 2 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các dạng cảm biến wireless (tt) Dành riêng (dedicated): (tt) 2 dạng của dedicated sensor - Cố định (Fixed): cảm biến được triển khai ở 1 vị trí cụ thể và phụ thuộc vào cơ sở hạ tầng của tổ chức (ví dụ: nguồn điện, mạng có dây...). - Di động (mobile): cảm biến được thiết kế để có thể sử dụng trong khi di động. Ví dụ: người quản trị có thể dùng mobile sensor trong khi di chuyển quanh tòa nhà để tìm ra Access point giả mạo. Sensor này có thể là thiết bị phần cứng chuyên dụng hoặc phần mềm cài trên Laptop Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 3 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các dạng cảm biến wireless (tt) Được tích hợp với Access point (Bundled with an AP): khả năng IDS/IPS có thể được tích hợp vào AP. - Khả năng IDS/IPS của một AP sẽ ít nghiêm ngặt hơn dedicated sensor, bởi vì AP cần chia thời gian giữa việc cung cấp truy nhập mạng và việc giám sát các kênh (channels) cho các hành động nguy hiểm. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 4 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các dạng cảm biến wireless (tt) Được tích hợp với wireless switch (Bundled with a Wireless Switch): Wireless switch được dùng để giúp đỡ người quản trị quản lý và giám sát các thiết bị wireless. Một số wireless switch cũng cung cấp khả năng IDS/IPS. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 5 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng bảo mật Khả năng thu thập thông tin Khả năng ghi log Khả năng phát hiện Khả năng ngăn chặn Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 6 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng thu thập thông tin Hầu hết Wireless IDS/IPS đều có khả năng thu thập thông tin trên các thiết bị wireless. - Xác định các thiết bị WLAN: cảm biến có thể tạo và duy trì bảng tóm tắt về các thiết bị WLAN được quan sát (AP, WLAN client...) dựa trên SSID và MAC address. - Xác định WLANs: cảm biến theo dõi các WLANs được quan sát, và xác định chúng bởi các SSIDs. Quản trị mạng có thể đánh dấu WLAN có thẩm quyền hoặc WLAN lừa đảo. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 7 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng ghi log Các trường dữ liệu thường được ghi log bởi wireless IDS/IPS: Timestamp (ngày và giờ) Loại cảnh báo hoặc sự kiện Đánh giá mức độ ưu tiên và nghiêm trọng Địa chỉ MAC nguồn Số hiệu kênh (Channel number) ID của bộ cảm biến đã giám sát sự kiện Hành động ngăn chặn đã được thực hiện (nếu có). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện Wireless IDS/IPS có khả năng phát hiện tấn công, cấu hình sai và các vi phạm chính sách ở cấp độ giao thức WLAN; chủ yếu là kiểm tra việc truyền thông giao thức IEEE 802.11a,b,g và i. Wireless IDS/IPS không xem xét thông tin truyền thông tại các lớp cao hơn (payload của IP address hay application). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 9 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện: - Các thiết bị WLAN và WLANs trái phép (unauthorized) - Các thiết bị WLAN với bảo mật kém - Các dạng sử dụng bất thường (unusual usage patterns) - Việc sử dụng dò tìm mạng wireless (wireless network scanners) - Tấn công DoS - Tấn công man-in-the-midle và giả danh Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 10 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt) Các thiết bị WLAN và WLANs trái phép (unauthorized): dựa trên khả năng thu thập thông tin, các cảm biến wireless IDS/IPS có khả năng phát hiện các AP giả mạo, các STA truy cập trái phép, và các WLANs trái phép. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt) Các thiết bị WLAN với bảo mật kém: hầu hết các cảm biến wireless IDS/IPS có khả năng xác định AP và STA không dùng các điều khiển bảo mật đúng đắn (cấu hình sai, sử dụng các giao thức WLAN yếu). Điều này được thực hiện bằng cách xác định độ lệch của chính sách cụ thể của tổ chức với các thiết lập như là mã hóa, chứng thực, tốc độ dữ liệu, tên SSID và các kênh (channel). Ví dụ: bộ cảm biến có thể phát hiện một STA dùng WEP thay vì phải dùng WPA2. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 12 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt) Các dạng sử dụng bất thường (unusual usage patterns): một số cảm biến có thể sử dụng các phương pháp phát hiện dựa trên bất thường (anomaly) để phát hiện các dạng sử dụng bất thường. Ví dụ: có quá nhiều STA đang sử dụng một AP cụ thể nào đó hơn bình thường. Hoặc lưu lượng giữa một STA và AP cao hơn bình thường. Điều này có thể do một thiết bị đã bị xâm nhập, hoặc có các thiết bị đang truy nhập trái phép vào WLAN. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt) Việc sử dụng dò tìm mạng wireless (wireless network scanners): Việc dò tìm mạng có thể sử dụng để xác định các WLAN không bảo mật hoặc bảo mật yếu. Lưu ý: - Các cảm biến wireless IDS/IPS chỉ có thể phát hiện việc dò tìm mạng chủ động (active). Chủ động có nghĩa là việc dò tìm mạng tạo ra các lưu lượng mạng. - Các cảm biến wireless IDS/IPS không thể phát hiện việc dò tìm mạng bị động (passive) – chỉ giám sát và phân tích lưu lượng được quan sát. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt): Tấn công DoS: - Một số lượng lớn thông tin được gửi tới một AP với tốc độ cao. - Gây nhiễu (jamming): phát ra năng lượng điện từ trên các tầng số của WLAN để tạo ra các tần số không thể sử dụng được bởi WLAN đó. - DoS có thể được phát hiện thông qua phân tích trạng thái giao thức (stateful protocol analysis) và phát hiện bất thường (anomaly). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 15 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt): Tấn công man-in-the-midle và mạo danh: một số cảm biến wireless IDS/IPS có khả năng phát hiện khi một thiết bị cố gắng mạo danh danh tính của một thiết bị khác. Điều này được thực hiện bằng cách xác định những điểm khác nhau trong các đặc điểm của hành động. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng ngăn chặn Cảm biến wireless IDS/IPS cung cấp 2 loại khả năng ngăn chặn xâm nhập: wireless và wired Wireless: một số cảm biến có thể kết thúc các kết nối giữa một STA giả hoặc cấu hình sai và một AP có thẩm quyền và ngược lại. Việc này được thực hiện bằng cách gửi thông tin tới thiết bị đầu cuối để nói cho các thiết bị đó phải ngắt liên lạc hiện tại. Cảm biến sau đó sẽ từ chối cho phép một kết nối mới được thiết lặp. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng ngăn chặn (tt) Cảm biến wireless IDS/IPS cung cấp 2 loại khả năng ngăn chặn xâm nhập: (tt) Wired: một số cảm biến có thể “hướng dẫn” switch trên một mạng có dây (wired) để khóa hoạt động mạng của một STA hoặc AP nào đó dựa trên địa chỉ MAC của thiết bị đó hoặc switch port. Ví du: nếu một STA đang gửi các tấn công đến 1 server trên một mạng dây, thì cảm biến có thể hướng dẫn wired swich khóa tất cả các hoạt động của STA đó. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 18 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Tích hợp Wireless và Network IDS/IPS Wireless IDS/IPS và Network IDS/IPS có vai trò hỗ trợ nhau: - Wireless IDS/IPS có ý nghĩa trong việc giám sát, phát hiện và giảm thiểu các mối nguy hiểm và bất thường liên quan cụ thể tới môi trường 802.11 RF. - Network IDS/IPS có ý nghĩa trong việc giám sát, phát hiện và giảm thiểu các mối nguy hiểm và bất thường trong lưu lượng của client, cũng như là bảo vệ các dịch vụ và các thiết bị hạ tầng mạng. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Mô hình Wireless IDS/IPS và NIDS/NIPS Cisco Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 20
- Xem thêm -