Đăng ký Đăng nhập

Tài liệu Khả năng bảo mật

.PDF
31
441
130

Mô tả:

Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng bảo mật Khả năng thu thập thông tin Khả năng ghi log Khả năng phát hiện Khả năng ngăn chặn Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 1 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng thu thập thông tin Hầu hết Wireless IDS/IPS đều có khả năng thu thập thông tin trên các thiết bị wireless. - Xác định các thiết bị WLAN: cảm biến có thể tạo và duy trì bảng tóm tắt về các thiết bị WLAN được quan sát (AP, WLAN client...) dựa trên SSID và MAC address. - Xác định WLANs: cảm biến theo dõi các WLANs được quan sát, và xác định chúng bởi các SSIDs. Quản trị mạng có thể đánh dấu WLAN có thẩm quyền hoặc WLAN lừa đảo. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 2 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng ghi log Các trường dữ liệu thường được ghi log bởi wireless IDS/IPS: Timestamp (ngày và giờ) Loại cảnh báo hoặc sự kiện Đánh giá mức độ ưu tiên và nghiêm trọng Địa chỉ MAC nguồn Số hiệu kênh (Channel number) ID của bộ cảm biến đã giám sát sự kiện Hành động ngăn chặn đã được thực hiện (nếu có). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 3 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện Wireless IDS/IPS có khả năng phát hiện tấn công, cấu hình sai và các vi phạm chính sách ở cấp độ giao thức WLAN; chủ yếu là kiểm tra việc truyền thông giao thức IEEE 802.11a,b,g và i. Wireless IDS/IPS không xem xét thông tin truyền thông tại các lớp cao hơn (payload của IP address hay application). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 4 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện: - Các thiết bị WLAN và WLANs trái phép (unauthorized) - Các thiết bị WLAN với bảo mật kém - Các dạng sử dụng bất thường (unusual usage patterns) - Việc sử dụng dò tìm mạng wireless (wireless network scanners) - Tấn công DoS - Tấn công man-in-the-midle và giả danh Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 5 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt) Các thiết bị WLAN và WLANs trái phép (unauthorized): dựa trên khả năng thu thập thông tin, các cảm biến wireless IDS/IPS có khả năng phát hiện các AP giả mạo, các STA truy cập trái phép, và các WLANs trái phép. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 6 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt) Các thiết bị WLAN với bảo mật kém: hầu hết các cảm biến wireless IDS/IPS có khả năng xác định AP và STA không dùng các điều khiển bảo mật đúng đắn (cấu hình sai, sử dụng các giao thức WLAN yếu). Điều này được thực hiện bằng cách xác định độ lệch của chính sách cụ thể của tổ chức với các thiết lập như là mã hóa, chứng thực, tốc độ dữ liệu, tên SSID và các kênh (channel). Ví dụ: bộ cảm biến có thể phát hiện một STA dùng WEP thay vì phải dùng WPA2. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 7 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt) Các dạng sử dụng bất thường (unusual usage patterns): một số cảm biến có thể sử dụng các phương pháp phát hiện dựa trên bất thường (anomaly) để phát hiện các dạng sử dụng bất thường. Ví dụ: có quá nhiều STA đang sử dụng một AP cụ thể nào đó hơn bình thường. Hoặc lưu lượng giữa một STA và AP cao hơn bình thường. Điều này có thể do một thiết bị đã bị xâm nhập, hoặc có các thiết bị đang truy nhập trái phép vào WLAN. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt) Việc sử dụng dò tìm mạng wireless (wireless network scanners): Việc dò tìm mạng có thể sử dụng để xác định các WLAN không bảo mật hoặc bảo mật yếu. Lưu ý: - Các cảm biến wireless IDS/IPS chỉ có thể phát hiện việc dò tìm mạng chủ động (active). Chủ động có nghĩa là việc dò tìm mạng tạo ra các lưu lượng mạng. - Các cảm biến wireless IDS/IPS không thể phát hiện việc dò tìm mạng bị động (passive) – chỉ giám sát và phân tích lưu lượng được quan sát. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 9 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt): Tấn công DoS: - Một số lượng lớn thông tin được gửi tới một AP với tốc độ cao. - Gây nhiễu (jamming): phát ra năng lượng điện từ trên các tầng số của WLAN để tạo ra các tần số không thể sử dụng được bởi WLAN đó. - DoS có thể được phát hiện thông qua phân tích trạng thái giao thức (stateful protocol analysis) và phát hiện bất thường (anomaly). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 10 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng phát hiện (tt) Các loại sự kiện được phát hiện (tt): Tấn công man-in-the-midle và mạo danh: một số cảm biến wireless IDS/IPS có khả năng phát hiện khi một thiết bị cố gắng mạo danh danh tính của một thiết bị khác. Điều này được thực hiện bằng cách xác định những điểm khác nhau trong các đặc điểm của hành động. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng ngăn chặn Cảm biến wireless IDS/IPS cung cấp 2 loại khả năng ngăn chặn xâm nhập: wireless và wired Wireless: một số cảm biến có thể kết thúc các kết nối giữa một STA giả hoặc cấu hình sai và một AP có thẩm quyền và ngược lại. Việc này được thực hiện bằng cách gửi thông tin tới thiết bị đầu cuối để nói cho các thiết bị đó phải ngắt liên lạc hiện tại. Cảm biến sau đó sẽ từ chối cho phép một kết nối mới được thiết lặp. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 12 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng ngăn chặn (tt) Cảm biến wireless IDS/IPS cung cấp 2 loại khả năng ngăn chặn xâm nhập: (tt) Wired: một số cảm biến có thể “hướng dẫn” switch trên một mạng có dây (wired) để khóa hoạt động mạng của một STA hoặc AP nào đó dựa trên địa chỉ MAC của thiết bị đó hoặc switch port. Ví du: nếu một STA đang gửi các tấn công đến 1 server trên một mạng dây, thì cảm biến có thể hướng dẫn wired swich khóa tất cả các hoạt động của STA đó. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Tích hợp Wireless và Network IDS/IPS Wireless IDS/IPS và Network IDS/IPS có vai trò hỗ trợ nhau: - Wireless IDS/IPS có ý nghĩa trong việc giám sát, phát hiện và giảm thiểu các mối nguy hiểm và bất thường liên quan cụ thể tới môi trường 802.11 RF. - Network IDS/IPS có ý nghĩa trong việc giám sát, phát hiện và giảm thiểu các mối nguy hiểm và bất thường trong lưu lượng của client, cũng như là bảo vệ các dịch vụ và các thiết bị hạ tầng mạng. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Mô hình Wireless IDS/IPS và NIDS/NIPS Cisco Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 15 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Mô hình Wireless IDS/IPS và NIDS/NIPS Cisco IDS/IPS Đặc tính Wireless IDS/IPS của WLC NIDS/NIPS của Cisco IPS Mối nguy hiểm WLAN Phát hiện và giảm nhẹ AP giả Phát hiện, xác định vị trí và ngăn chặn Client giả Phát hiện và ngăn chặn Ad-hoc network Phát hiện và ngăn chặn 802.11 DoS Dấu hiệu tấn công DoS 802.11 Công cụ tấn công 802.11 Dấu hiệu giám sát 802.11 Đánh cắp IP và sử dụng lại Phát hiện và ngăn chặn Nhiễu RF Quản lý tài nguyên radio Lưu lượng WLAN xấu Ví dụ: worm, virus, spyware, các vi phạm chính sách Phát hiện dựa trên dấu hiệu Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Tích hợp Cisco WLC và IPS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco WLC và IPS hợp tác như thế nào? Sự hợp tác giữa Cisco WLC và Cisco IPS cung cấp một công cụ tự động giảm nhẹ mối nguy hiểm. Điều này cho phép hành động ngăn chặn 1 host trên một IPS sẽ được áp dụng trực tiếp lên WLAN. Sự hợp tác này bao gồm: - Đồng bộ giữa Cisco WLC và IPS. - Thực thi việc chặn một host từ IPS lên WLC. - Rút lại việc ngăn chặn host trên Cisco IPS (Cisco IPS host block retraction) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 18 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco WLC và IPS hợp tác như thế nào? Đồng bộ giữa Cisco WLC và IPS: Cisco WLC và IPS sẽ đồng bộ thông tin khóa host chủ động (active host block information) bằng cách WLC sẽ định kỳ yêu cầu danh sách loại bỏ (a shun list request) từ IPS. Cisco IPS sẽ cung cấp danh sách này cho WLC. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco WLC và IPS hợp tác như thế nào? Thực thi việc chặn một host từ IPS lên WLC: Bước 1: Việc chặn một host (a host block) được khởi tạo trên Cisco IPS. Đưa ra địa chỉ IP nguồn của client bị chặn. Bước 2: WLC nhận bảng cập nhật danh sách chặn host (an updated active host block list). Bước 3: WLC cập nhật danh sách loại bỏ client của nó (the shunned client list). Bước 4: WLC kiểm tra có hay không một client (với địa chỉ IP nguồn phù hợp với một entry trong danh sách loại bỏ client của nó) đang có liên hệ với nó hay không. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 20
- Xem thêm -

Tài liệu liên quan