Hệ thống phát hiện xâm nhập trong mạng không dây ( wifi ) IDS
Ngày nay mạng không dây (Wireless LAN) đang là một xu thế mới trong sự phát triển của công nghệ mạng.
Mạng không dây mang lại cho người dùng sự tiện lợi bởi tính cơ động, sự không phụ thuộc vào dây nối và người dùng mạng không dây có thể truy cập mạng tại bất cứ vị trí nào miễn là nơi đó có các điểm truy nhập (Access Point - AP). Tuy nhiên, trong mạng không dây cũng tồn tại những nguy cơ rất lớn về bảo mật, những lỗ hổng cho phép tin tặc có thể xâm nhập vào hệ thống để ăn cắp thông tin hay phá hoại.
I. Những nguy cơ về bảo mật của mạng không dây
Ngày nay mạng không dây (Wireless LAN) đang là một xu thế mới trong sự phát triển của công nghệ mạng. Mạng không dây mang lại cho người dùng sự tiện lợi bởi tính cơ động, sự không phụ thuộc vào dây nối và người dùng mạng không dây có thể truy cập mạng tại bất cứ vị trí nào miễn là nơi đó có các điểm truy nhập (Access Point - AP). Tuy nhiên, trong mạng không dây cũng tồn tại những nguy cơ rất lớn về bảo mật, những lỗ hổng cho phép tin tặc có thể xâm nhập vào hệ thống để ăn cắp thông tin hay phá hoại.
Không có một mạng nào là an toàn tuyệt đối. Đối với mạng không dây, cấu trúc vật lý mang lại sự an toàn nhưng cơ chế truyền tin không dây giữa các node mạng lại kéo theo những lỗ hổng bảo mật, do vậy luôn cần phải chứng thực giữa các người dùng trong mạng. Những hình thức tấn công xâm nhập lợi dụng những lỗ hổng của mạng không dây phổ biến nhất là nghe trộm, xâm nhập trái phép vào mạng, tấn công vào tính toàn vẹn của dữ liệu, từ chối dịch vụ v.v.. Công nghệ không dây có nhiều chuẩn khác nhau như 802.11, 802.11a. 802.11b, 802.11g, 802.16 v.v.., mỗi chuẩn có những lỗ hổng về kỹ thuật khác nhau nhưng nhìn chung những lố hổng đó đều được tin tặc khai thác nhằm vào sự tin cậy, tính toàn vẹn của dữ liệu, hay gây ra các cuộc tấn công từ chối dịch vụ làm treo cả hệ thống. 802.11 là một trong những mạng không dây đầu tiên đã trở nên rất phổ biến, bởi vậy các tin tặc rất quan tâm đến những lỗi dễ bị tấn công của 802.11 để thực hiện hành vi trộm cắp dịch vụ. Bài báo này sẽ đề cập đến một số hình thức tấn công xâm nhập cũng như hệ thống phát hiện xâm nhập (Intrusion Detection System) trong mạng không dây chuẩn 802.11.
II. Một số hình thức tấn công xâm nhập mạng phổ biến
2.1 Tấn công không qua chứng thực
Tấn công không qua chứng thực (Deauthentication attack) là sự khai thác gần như hoàn hảo lỗi nhận dạng trong mạng 802.11. Trong mạng 802.11 khi một nút mới gia nhập vào mạng nó sẽ phải đi qua quá trình xác nhận cũng như các quá trình có liên quan khác rồi sau đó mới được phép truy cập vào mạng. Bất kỳ các nút ở vị trí nào cũng có thể gia nhập vào mạng bằng việc sử dụng khoá chia sẻ tại vị trí nút đó để biết được mật khẩu của mạng. Sau quá trình xác nhận, các nút sẽ đi tới các quá trình có liên quan để có thể trao đổi dữ liệu và quảng bá trong toàn mạng. Trong suốt quá trình chứng thực chỉ có một vài bản tin dữ liệu, quản lý và điều khiển là được chấp nhận. Một trong các bản tin đó mang lại cho các nút khả năng đòi hỏi không qua chứng thực từ mỗi nút khác. Bản tin đó được sử dụng khi một nút muốn chuyển giữa hai mạng không dây khác nhau. Ví dụ nếu trong cùng một vùng tồn tại nhiều hơn một mạng không dây thì nút đó sẽ sử dụng bản tin này. Khi một nút nhận được bản tin “không qua chứng thực” này nó sẽ tự động rời khỏi mạng và quay trở lại trạng thái gốc ban đầu của nó.
Trong tấn công không qua chứng thực, tin tặc sẽ sử dụng một nút giả mạo để tìm ra địa chỉ của AP đang điều khiển mạng. Không quá khó để tìm ra địa chỉ của AP bởi nó không được bảo vệ bởi thuật toán mã hoá, địa chỉ của chúng có thể được tìm thấy nếu chúng ta lắng nghe lưu lượng giữa AP và các nút khác. Khi tin tặc có được địa chỉ của AP, chúng sẽ gửi quảng bá các bản tin không chứng thức ra toàn mạng khiến cho các nút trong mạng ngay lập tức dừng trao đổi tin với mạng. Sau đó tất cả các nút đó sẽ cố kết nối lại, chứng thực lại và liên kết lại với AP tuy nhiên do việc truyền các bản tin không qua chứng thực được lặp lại liên tục khiến cho mạng rơi vào tình trạng bị dừng hoạt động.
2.2 Tấn công truyền lại
Tấn công truyền lại (Replay Attack) là tin tặc đứng chắn ngang việc truyền thông tin hợp lệ và rồi sử dụng lại nó. Tin tặc không thay đổi bản tin mà chỉ gửi lại nó trong thời điểm thích hợp theo sự lựa chọn của tin tặc
Trong mạng 802.11, tấn công truyền lại tạo ra kiểu tấn công từ chối dịch vụ vì khi nút nhận được một bản tin hợp lệ nó sẽ chiếm dụng băng thông và tính toán thời gian để giải mã bản tin đó. Các lỗi dễ bị tấn công nhất trong 802.11 rất nhạy với hình thức tấn công này là các bản tin không có thứ tự một cách rõ ràng. Trong 802.11 không có cách nào để dò và loại bỏ các bản tin bị truyền lại.
2.3 Giả mạo AP
Giả mạo AP là kiểu tấn công “man in the middle” cổ điển. Đây là kiểu tấn công mà tin tặc đứng ở giữa và trộm lưu lượng truyền giữa 2 nút. Kiểu tấn công này rất mạnh vì tin tặc có thể trộm tất cả lưu lượng đi qua mạng. Rất khó khăn để tạo một cuộc tấn công “man in the middle” trong mạng có dây bởi vì kiểu tấn công này yêu cầu truy cập thực sự đến đường truyền. Trong mạng không dây thì lại rất dễ bị tấn công kiểu này. Tin tặc cần phải tạo ra một AP thu hút nhiều sự lựa chọn hơn AP chính thống. AP giả này có thể được thiết lập bằng cách sao chép tất cả các cấu hình của AP chính thống đó là: SSID, địa chỉ MAC v.v..
Bước tiếp theo là làm cho nạn nhân thực hiện kết nối tới AP giả. Cách thứ nhất là đợi cho nguời dùng tự kết nối. Cách thứ hai là gây ra một cuộc tấn công từ chối dịch vụ DoS trong AP chính thống do vậy nguời dùng sẽ phải kết nối lại với AP giả. Trong mạng 802.11 sự lựa chọn AP được thực hiện bởi cường độ của tín hiệu nhận. Điều duy nhất tin tặc phải thực hiện là chắc chắn rằng AP của mình có cường độ tín hiệu mạnh hơn cả. Để có được điều đó tin tặc phải đặt AP của mình gần người bị lừa hơn là AP chính thống hoặc sử dụng kỹ thuật anten định hướng. Sau khi nạn nhân kết nối tới AP giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP chính thống khác thì dữ liệu của nạn nhân đều đi qua AP giả. Tin tặc sẽ sử dụng các tiện ích để ghi lại mật khẩu của nạn nhân khi trao đổi với Web Server. Như vậy tin tặc sẽ có được tất cả những gì anh ta muốn để đăng nhập vào mạng chính thống.
Kiểu tấn công này tồn tại là do trong 802.11 không yêu cầu chứng thực 2 hướng giữa AP và nút. AP phát quảng bá ra toàn mạng. Điều này rất dễ bị tin tặc nghe trộm và do vậy tin tặc có thể lấy được tất cả các thông tin mà chúng cần. Các nút trong mạng sử dụng WEP để chứng thực chúng với AP nhưng WEP cũng có những lỗ hổng có thể khai thác. Một tin tặc có thể nghe trộm thông tin và sử dụng bộ phân tích mã hoá để trộm mật khẩu của người dùng.
2.4 Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý
Tần số là một nhược điểm bảo mật trong mạng không dây. Mức độ nguy hiểm thay đổi phụ thuộc vào giao diện của lớp vật lý. Có một vài tham số quyết định sự chịu đựng của mạng là: năng lượng máy phát, độ nhạy của máy thu, tần số RF, băng thông và sự định hướng của anten.
Trong 802.11 sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh va chạm.CSMA là một thành phần của lớp MAC. CSMA được sử dụng để chắc chắn rằng sẽ không có va chạm dữ liệu trên đường truyền.. Kiểu tấn công này không sử dụng tạp âm để tạo ra lỗi cho mạng nhưng nó sẽ lợi dựng chính chuẩn đó. Thậm chí là kỹ thuật sử dụng trải phổ tuần tự trực tiếp (DSSS), mã sửa sai FEC hay CRC đều vô ích với kiểu tấn công này.
Có nhiều cách để khai thác giao thức cảm nhận sóng mang vật lý. Cách đơn giản là làm cho các nút trong mạng đều tin tưởng rằng có một nút đang truyền tin tại thời điểm hiện tại. Cách dễ nhất đạt được điều này là tạo ra một nút giả mạo để truyền tin một cách liên tục. Một cách khác là sử dụng bộ tạo tín hiệu RF. Một cách tấn công tinh vi hơn là làm cho card mạng chuyển vào chế độ kiểm tra mà ở đó nó truyền đi liên tiếp một mẫu kiểm tra. Tất cả các nút trong phạm vi của một nút giả là rất nhạy với sóng mang và trong khi có một nút đang truyền thì sẽ không có nút nào được truyền. Theo như tin tặc thì đó là kiểu rất dễ bị tấn công vì nó không đòi hỏi thiết bị đặc biệt.
2.5 Giả địa chỉ MAC
Trong 802.11 địa chỉ MAC là một cách để ngăn người dùng bất hợp pháp gia nhập vào mạng. Việc giả địa chỉ MAC là một nhiêm vụ khá dễ dàng đối với tin tặc. Trong khi giá trị được mã hoá trong phần cứng là không thể thay đổi thì giá trị được đưa ra trong phần sụn (chương trình cơ sở) của phần cứng lại có thể thay đổi được. Có nhiều chương trình sử dụng cho các hệ điều hành khác nhau có thể thay đổi được địa chỉ MAC được đưa ra trong bộ điều hợp mạng. Thủ tục này thực sự là rất dễ và có thể được thực hiện trong vài phút. Thậm chí sau khi giả địa chỉ MAC trở nên phổ biến, 802.11 vẫn còn sử dụng phương pháp chứng thực này bởi vì địa chỉ MAC 48 bit là đủ dài để ngăn chặn các cuộc tấn công vào nó. Nhiều chương trình mới đã được tạo ra để cho phép tin tặc vượt qua được sự khó khăn này. Tin tặc không phải đi tìm địa chỉ MAC bởi vì nó được phát quảng bá ra toàn mạng do chuẩn 802.11 yêu cầu như vậy. Chỉ có một vài gói tin mà tin tặc cần chặn lại để lấy địa chỉ MAC và do vậy bằng việc giả mạo địa chỉ MAC tin tặc đã được nhận dạng như một người dùng hợp pháp của mạng.
2 .6 Tấn công từ chối dịch vụ
Đây là hình thức tấn công làm cho các mạng không dây không thể phục vụ được người dùng, từ chối dịch vụ với những người dùng hợp pháp. Trong mạng có dây có các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) phổ biến như Ping of Death, SYN Flooding. Các hình thức này dựa trên cơ chế của bộ giao thức TCP/IP, có thể khiến cho máy chủ bị treo. Mạng không dây tồn tại những điểm yếu để tấn công DoS khác với mạng có dây ví dụ như khi sóng radio truyền trong môi trường, nó rất dễ bị ảnh hưởng bởi các yếu tố khách quan cũng như chủ quan. Một kẻ tấn công có thể tạo ra các sóng có cùng tần số với tần số truyền tín hiệu để gây nhiễu cho đường truyền. Điều này đòi hỏi một bộ phát sóng đủ đảm bảo tín hiệu ổn định cho mạng.
III. Hệ thống phát hiện xâm nhập trong mạng không dây (WLAN Intrusion Detection System)
3.1. Các kỹ thuật phát hiện xâm nhập IDS (Intrusion Detection System)
Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng sai, lạm dụng đối với hệ thống máy tính gây ra bởi cả người dùng trong hệ thống lẫn người xâm nhập ngoài hệ thống.
Phát hiện xâm nhập trái phép là một công việc đầy khó khăn do ảnh hưởng của sự tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất (hệ điều hành hỗn hợp), nhiều giao thức truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập so với người dùng hợp lệ.
Người ta phân chia thành một số loại IDS như sau:
Network-based IDS và Host-Based IDS:
Network-based IDS dùng các phân tích tải mạng để so sánh dữ liệu phiên với cơ sở dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khi phát hiện được, network-based IDS có thể phản ứng lại bằng cách ghi lại phiên truyền thông, cảnh báo nhà quản trị, chấm dứt phiên đó, và có thể đưa vào firewall.
Host-based IDS thì phân tích log của hệ điều hành và ứng dụng của hệ thống, so sánh sự kiện với cơ sở dữ liệu đã biết về các vi phạm bảo mật và các chính sách được đặt ra. Chúng xem xét log của hệ điều hành, log truy nhập, log của ứng dụng, cũng như các chính sách của ứng dụng do người dùng định nghĩa. Nếu thấy có vi phạm chúng có thể phản ứng bằng cách ghi lại hành động đó, cảnh báo cho nhà quản trị, và trong một số trường hợp ngừng hành động trước khi nó xảy ra. Sự kết hợp của network based IDS và host-based IDS cung cấp sự bảo vệ đáng kể và sự thi hành chính sách với công ty mọi cỡ và chức năng kinh doanh.
Misuse-based IDS và Anomaly-based IDS:
Misuse-based IDS có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công, đó là knowledge-based và signature-based.
Misuse-based IDS với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới.
Knowledge-based IDS
- Signature-based IDS là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin có liên quan đến kiểu tấn công đã biết. Thường thì dấu hiệu được lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý, sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ tạo ra cảnh báo. Signature-based IDS hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo và thường yêu cầu ít tài nguyên tính toán.Tuy nhiên, chúng có những điểm yếu sau:
+ Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu.
+ Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu, nên kích cỡ của nó sẽ trở nên rất lớn.
+ Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó.
Ví dụ quen thuộc về signature-based IDS là Snort, EMERALD và nhiều sản phẩm thương mại khác.
Anomaly-based IDS: Dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu, do đó trước tiên hệ cần xây dựng mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường (như những hành động không phù hợp với mẫu hành động đã cho).
Anomaly-based IDS
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó.
Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi. Hơn nữa, sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi trường nhất định là rất khó, vì sự không bình thường là đặc tính của môi trường. Cuối cùng, một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện.
Khi chúng ta so sánh IDS thông thường (IDS trong mạng có dây) với IDS trong mạng không dây thì khác biệt duy nhất đó là topology của mạng và phải rà quét trong không gian chứ không phải trên dây dẫn, tất cả các thành phần khác đều giống nhau.
3.2 Wireless IDS
Cách làm việc của IDS trong mạng WLAN có nhiều khác biệt so với môi trường mạng LAN truyền thống. Trong môi trường mạng có dây ta có toàn quyền quản lý đối với các loại lưu lượng được truyền trên dây dẫn. Trong WLAN, không khí là môi trường truyền dẫn, tất cả mọi người trong phạm vi phủ sóng của tần số theo chuẩn 802.11 đều có thể truy cập vào mạng. Do đó cần phải có sự giám sát cả bên trong và bên ngoài mạng WLAN. Một khác biệt nữa là wireless IDS cần cho mạng máy tính đã triển khai WLAN và cả những nơi chưa triển khai WLAN. Lý do là dù khả năng bị tấn công từ mạng WLAN vào mạng LAN chưa rõ ràng nhưng đó là một mối đe dọa thực sự. Sự đe dọa này được coi là chỉ liên quan đến ai sử dụng WLAN nhưng sự thực thì toàn bộ tổ chức mạng LAN đều nên giám sát lưu lượng lưu chuyển trong mạng WLAN để chắc chắn loại bỏ sự đe dọa từ không gian xung quanh. Một điều luôn phải để tâm đến là các AP giả mạo bất kể bạn đang dùng mạng không dây hay mạng LAN truyền thống. Luôn nhớ rằng AP giả mạo có thể là thiết bị được cài đặt dù có hay không có ý đồ xấu. Đôi khi bạn không thể biết chắc ai đó đã triển khai WLAN trong khi bạn cho rằng công nghệ không dây chưa được thực hiện trong mạng của mình.
Wireless IDS có thể cấu hình theo mô hình tập trung hoặc phân tán. Trong mô hình tập trung, một bộ tập trung sẽ thu thập tất cả các dữ liệu tần số 802.11 của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý để phát hiện xâm nhập. Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Để thuận tiện, log file và các tín hiệu báo động đều được đưa về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu
Trong khi đó Wireless IDS phân tán bao gồm một hoặc nhiều thiết bị thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít hơn 3 AP, wireless IDS phân tán tất nhiên sẽ tiết kiệm chi phí hơn.
WLAN thường được thiết kế để có thể bao phủ một phạm vi vật lý rộng lớn đảm bảo cho người dùng hợp pháp có thể truy cập thuận tiện từ nhiều nơi khác nhau. Chính vì lý do đó, nhiều điểm truy cập không dây phải được thiết lập ở các vị trí khác nhau trong mạng để đảm bảo độ đồng đều tín hiệu cho toàn mạng. Một quy tắc chung khi triển khai giải pháp IDS không dây là các cảm biến phải đặt ngay ở nơi AP được cài đặt. Lợi thế rõ nhất của việc làm này là có thể bảo vệ cho mạng WLAN một cách toàn diện và triệt để. Ngoài ra tuân theo quy tắc này kẻ tấn công sẽ bị định vị chính xác dễ dàng hơn sau khi người quản trị xác định được cảm biến nào đặt gần kẻ tấn công nhất. Hầu hết các chính sách bảo mật cho WLAN đều đề xuất rằng mọi truyền thông trong mạng không dây đều cần mã hóa. Do đó wireless IDS có thể kiểm soát tất cả các lưu lượng và dữ liệu từ AP tới các thiết bị không dây khác và cảnh báo bất cứ khi nào phát hiện thấy dữ liệu chưa được mã hóa. Một thuộc tính khác có thể thực hiện cho Wireless IDS là tạo một danh sách các AP hợp lệ, do đó bất cứ khi nào không nhận diện được hay phát hiện ra một AP giả mạo Wireless IDS có thể nhanh chóng phát hiện và cảnh báo.
3.3 Triển khai hệ thống Wireless IDS
Wireless IDS sẽ kiểm tra mạng WLAN bằng cách sử dụng thiết bị kết hợp giữa phần mềm và phần cứng, gọi là cảm biến phát hiện xâm nhập. Cảm biến này sẽ đứng trong mạng và kiểm tra tất cả các lưu lượng trong mạng. Việc đầu tiên khi thiết lập IDS là phải xác định nơi nào tốt nhất để đặt cảm biến. Để ra được quyết định trước hết phải có vài phân tích chi tiếp về mạng WLAN hiện tại.
- Tòa nhà được xây dựng bằng loại vật liệu gì? Khung thép hay gỗ ?(Với khung thép sẽ giới hạn phạm vi truyền sóng không dây)
- Khu vực mạng có phải giữ biệt lập không?
- Địa chỉ MAC nào đang dùng (danh sách này có thể dùng như một vạch ranh giới để so sánh sau này)
- Những điểm truy cập hợp lệ đã có là gì ? (Tất nhiên, danh sách này cũng dùng để so sánh sau này) v.v..
Dựa trên những thông tin này và những thông tin có được từ việc rà quét mạng- dùng một phần mềm mã nguồn mở như Kismet ta có thể dựng nên một bức tranh về hệ thống WLAN của mình: AP đặt ở đâu, ai dùng chúng, cường độ tín hiệu. Từ đây ta sẽ xác định vị trí và số lượng của các cảm biến IDS.
Khi ta đã có các cảm biến trong mạng, cường độ tín hiệu của các AP có thể được điều chỉnh hoặc chặn lại để có phạm vi che phủ mong muốn, lưu lượng mạng có thể được phân tích. Theo kinh nghiệm của các tác giả, bốn cảm biến và một máy chủ (trung tâm được thiết kế để tiếp nhận các thông tin từ các IDS) là một mô hình triển khai tối thiểu cho các mạng WLAN vừa và nhỏ và yêu cầu phải thành thạo các kỹ thuật sau:
- Phân tích dữ liệu IDS, nghĩa là phải làm sáng tỏ các báo động của IDS và đưa ra phương án đối phó.
- Lập trình phần mềm để lập trình cho các công cụ tương hợp
- Quản lý cơ sở dữ liệu IDS
Cách đơn giản nhất để thiết lập một Wireless IDS là sử dụng công cụ mã nguồn mở rà quét giống như tin tặc. Những công cụ đó chia làm hai loại, quét chủ động và quét thụ động hay còn gọi là sniffer. Những phần mềm dạng này như Kismet và Netstumbler miễn phí trên Internet.
IV. Kết luận
Bất cứ một mạng nào, kể cả mạng không dây lẫn có dây, đều có những lỗ hổng về mặt kỹ thuật cho phép tin tặc có thể xâm nhập vào hệ thống để ăn cắp thông tin hay phá hoại và do đó trên thực tế sẽ không có một mạng nào có thể được xem là bảo mật tuyệt đối. Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật đi kèm với các mạng để bảo đảm tính an toàn cho mạng. Đối với mạng không dây có thể sử dụng các phương pháp mã hóa để bảo đảm tính bí mật của thông tin, sử dụng các cơ chế chứng thực để kiểm tra tính hợp pháp của người dùng, ngoài ra cũng có thể sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng. Mặc dù việc triển khai IDS cho mạng WLAN có nhiều khó khăn tuy nhiên những lợi ích mà nó đem lại là rất lớn. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng không dây. Theo tạp chí Bưu chính
Bạn có thể ứng dụng chức năng UTM của Firewall để bảo mật cho hệ thống mạng không dây hay có thể sử dụng các wireless có tính năng bảo mật mới nhất WPA2 của hãng EDIMAX
Xem thêm tại
www.planet.vn
Ghi chú:
UTM (Unified Threat Management)
IPS (Intrusion Prevention System)
IDS (Intrusion Detection System)
WPA2 (Wifi Proteced Access)
Không có nhận xét nào:
Đăng nhận xét