Mô tả:
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng bảo mật
Khả năng thu thập thông tin
Khả năng ghi log
Khả năng phát hiện
Khả năng ngăn chặn
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
1
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng thu thập thông tin
Hầu hết Wireless IDS/IPS đều có khả năng thu
thập thông tin trên các thiết bị wireless.
- Xác định các thiết bị WLAN: cảm biến có thể
tạo và duy trì bảng tóm tắt về các thiết bị WLAN
được quan sát (AP, WLAN client...) dựa trên
SSID và MAC address.
- Xác định WLANs: cảm biến theo dõi các
WLANs được quan sát, và xác định chúng bởi
các SSIDs. Quản trị mạng có thể đánh dấu
WLAN có thẩm quyền hoặc WLAN lừa đảo.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
2
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng ghi log
Các trường dữ liệu thường được ghi log bởi
wireless IDS/IPS:
Timestamp (ngày và giờ)
Loại cảnh báo hoặc sự kiện
Đánh giá mức độ ưu tiên và nghiêm trọng
Địa chỉ MAC nguồn
Số hiệu kênh (Channel number)
ID của bộ cảm biến đã giám sát sự kiện
Hành động ngăn chặn đã được thực hiện (nếu có).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
3
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện
Wireless IDS/IPS có khả năng phát hiện tấn
công, cấu hình sai và các vi phạm chính sách
ở cấp độ giao thức WLAN; chủ yếu là kiểm
tra việc truyền thông giao thức IEEE
802.11a,b,g và i. Wireless IDS/IPS không
xem xét thông tin truyền thông tại các lớp
cao hơn (payload của IP address hay
application).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
4
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện:
- Các thiết bị WLAN và WLANs trái phép
(unauthorized)
- Các thiết bị WLAN với bảo mật kém
- Các dạng sử dụng bất thường (unusual usage
patterns)
- Việc sử dụng dò tìm mạng wireless (wireless
network scanners)
- Tấn công DoS
- Tấn công man-in-the-midle và giả danh
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
5
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện (tt)
Các thiết bị WLAN và WLANs trái phép
(unauthorized): dựa trên khả năng thu thập
thông tin, các cảm biến wireless IDS/IPS có
khả năng phát hiện các AP giả mạo, các STA
truy cập trái phép, và các WLANs trái phép.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
6
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện (tt)
Các thiết bị WLAN với bảo mật kém: hầu hết các
cảm biến wireless IDS/IPS có khả năng xác định AP
và STA không dùng các điều khiển bảo mật đúng
đắn (cấu hình sai, sử dụng các giao thức WLAN
yếu). Điều này được thực hiện bằng cách xác định
độ lệch của chính sách cụ thể của tổ chức với các
thiết lập như là mã hóa, chứng thực, tốc độ dữ liệu,
tên SSID và các kênh (channel).
Ví dụ: bộ cảm biến có thể phát hiện một STA dùng
WEP thay vì phải dùng WPA2.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
7
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện (tt)
Các dạng sử dụng bất thường (unusual usage
patterns): một số cảm biến có thể sử dụng các
phương pháp phát hiện dựa trên bất thường
(anomaly) để phát hiện các dạng sử dụng bất thường.
Ví dụ: có quá nhiều STA đang sử dụng một AP cụ
thể nào đó hơn bình thường. Hoặc lưu lượng giữa
một STA và AP cao hơn bình thường. Điều này có
thể do một thiết bị đã bị xâm nhập, hoặc có các thiết
bị đang truy nhập trái phép vào WLAN.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
8
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện (tt)
Việc sử dụng dò tìm mạng wireless (wireless network
scanners): Việc dò tìm mạng có thể sử dụng để xác định các
WLAN không bảo mật hoặc bảo mật yếu.
Lưu ý:
- Các cảm biến wireless IDS/IPS chỉ có thể phát hiện việc dò
tìm mạng chủ động (active). Chủ động có nghĩa là việc dò
tìm mạng tạo ra các lưu lượng mạng.
- Các cảm biến wireless IDS/IPS không thể phát hiện việc dò
tìm mạng bị động (passive) – chỉ giám sát và phân tích lưu
lượng được quan sát.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
9
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện (tt):
Tấn công DoS:
- Một số lượng lớn thông tin được gửi tới một AP với
tốc độ cao.
- Gây nhiễu (jamming): phát ra năng lượng điện từ trên
các tầng số của WLAN để tạo ra các tần số không thể
sử dụng được bởi WLAN đó.
- DoS có thể được phát hiện thông qua phân tích trạng
thái giao thức (stateful protocol analysis) và phát hiện
bất thường (anomaly).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
10
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng phát hiện (tt)
Các loại sự kiện được phát hiện (tt):
Tấn công man-in-the-midle và mạo danh: một số
cảm biến wireless IDS/IPS có khả năng phát hiện khi
một thiết bị cố gắng mạo danh danh tính của một thiết
bị khác. Điều này được thực hiện bằng cách xác định
những điểm khác nhau trong các đặc điểm của hành
động.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
11
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng ngăn chặn
Cảm biến wireless IDS/IPS cung cấp 2 loại khả
năng ngăn chặn xâm nhập: wireless và wired
Wireless: một số cảm biến có thể kết thúc các kết nối
giữa một STA giả hoặc cấu hình sai và một AP có thẩm
quyền và ngược lại. Việc này được thực hiện bằng
cách gửi thông tin tới thiết bị đầu cuối để nói cho các
thiết bị đó phải ngắt liên lạc hiện tại. Cảm biến sau đó
sẽ từ chối cho phép một kết nối mới được thiết lặp.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
12
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Khả năng ngăn chặn (tt)
Cảm biến wireless IDS/IPS cung cấp 2 loại khả
năng ngăn chặn xâm nhập: (tt)
Wired: một số cảm biến có thể “hướng dẫn” switch
trên một mạng có dây (wired) để khóa hoạt động mạng
của một STA hoặc AP nào đó dựa trên địa chỉ MAC
của thiết bị đó hoặc switch port.
Ví du: nếu một STA đang gửi các tấn công đến 1
server trên một mạng dây, thì cảm biến có thể hướng
dẫn wired swich khóa tất cả các hoạt động của STA đó.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
13
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Tích hợp Wireless và Network IDS/IPS
Wireless IDS/IPS và Network IDS/IPS có vai trò hỗ
trợ nhau:
- Wireless IDS/IPS có ý nghĩa trong việc giám sát,
phát hiện và giảm thiểu các mối nguy hiểm và bất
thường liên quan cụ thể tới môi trường 802.11 RF.
- Network IDS/IPS có ý nghĩa trong việc giám sát,
phát hiện và giảm thiểu các mối nguy hiểm và bất
thường trong lưu lượng của client, cũng như là bảo vệ
các dịch vụ và các thiết bị hạ tầng mạng.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
14
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Mô hình
Wireless IDS/IPS và NIDS/NIPS Cisco
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
15
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Mô hình
Wireless IDS/IPS và NIDS/NIPS Cisco
IDS/IPS
Đặc tính Wireless
IDS/IPS của WLC
NIDS/NIPS của
Cisco IPS
Mối nguy hiểm WLAN
Phát hiện và giảm nhẹ
AP giả
Phát hiện, xác định vị trí và ngăn
chặn
Client giả
Phát hiện và ngăn chặn
Ad-hoc network
Phát hiện và ngăn chặn
802.11 DoS
Dấu hiệu tấn công DoS 802.11
Công cụ tấn công 802.11
Dấu hiệu giám sát 802.11
Đánh cắp IP và sử dụng lại
Phát hiện và ngăn chặn
Nhiễu RF
Quản lý tài nguyên radio
Lưu lượng WLAN xấu
Ví dụ: worm, virus, spyware,
các vi phạm chính sách
Phát hiện dựa trên dấu hiệu
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
16
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Tích hợp Cisco WLC và IPS
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
17
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Cisco WLC và IPS hợp tác như thế nào?
Sự hợp tác giữa Cisco WLC và Cisco IPS cung cấp
một công cụ tự động giảm nhẹ mối nguy hiểm. Điều
này cho phép hành động ngăn chặn 1 host trên một IPS
sẽ được áp dụng trực tiếp lên WLAN. Sự hợp tác này
bao gồm:
- Đồng bộ giữa Cisco WLC và IPS.
- Thực thi việc chặn một host từ IPS lên WLC.
- Rút lại việc ngăn chặn host trên Cisco IPS (Cisco
IPS host block retraction)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
18
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Cisco WLC và IPS hợp tác như thế nào?
Đồng bộ giữa Cisco WLC
và IPS: Cisco WLC và IPS
sẽ đồng bộ thông tin khóa
host chủ động (active host
block information) bằng
cách WLC sẽ định kỳ yêu
cầu danh sách loại bỏ (a
shun list request) từ IPS.
Cisco IPS sẽ cung cấp danh
sách này cho WLC.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
19
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Cisco WLC và IPS hợp tác như thế nào?
Thực thi việc chặn một host từ IPS lên WLC:
Bước 1: Việc chặn một host (a host block) được khởi tạo
trên Cisco IPS. Đưa ra địa chỉ IP nguồn của client bị chặn.
Bước 2: WLC nhận bảng cập nhật danh sách chặn host
(an updated active host block list).
Bước 3: WLC cập nhật danh sách loại bỏ client của nó
(the shunned client list).
Bước 4: WLC kiểm tra có hay không một client (với địa
chỉ IP nguồn phù hợp với một entry trong danh sách loại
bỏ client của nó) đang có liên hệ với nó hay không.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
20
- Xem thêm -