Hệ thống phát hiện xâm nhập trong mạng không dây ( wifi ) IDS I. Những nguy cơ về bảo mật của mạng không dây Ngày nay mạng không dây (Wireless LAN) đang là một xu thế mới trong sự phát triển của công nghệ mạng. Mạng không dây mang lại cho người dùng sự tiện lợi bởi tính cơ động, sự không phụ thuộc vào dây nối và người dùng mạng không dây có thể truy cập mạng tại bất cứ vị trí nào miễn là nơi đó có các điểm truy nhập (Access Point - AP). Tuy nhiên, trong mạng không dây cũng tồn tại những nguy cơ rất lớn về bảo mật, những lỗ hổng cho phép tin tặc có thể xâm nhập vào hệ thống để ăn cắp thông tin hay phá hoại. Không có một mạng nào là an toàn tuyệt đối. Đối với mạng không dây, cấu trúc vật lý mang lại sự an toàn nhưng cơ chế truyền tin không dây giữa các node mạng lại kéo theo những lỗ hổng bảo mật, do vậy luôn cần phải chứng thực giữa các người dùng trong mạng. Những hình thức tấn công xâm nhậplợi dụng những lỗ hổng của mạng không dây phổ biến nhất là nghe trộm, xâm nhập trái phép vào mạng, tấn công vào tính toàn vẹn của dữ liệu, từ chối dịch vụ v.v Công nghệ không dây có nhiều chuẩn khác nhau như 802.11, 802.11a. 802.11b, 802.11g, 802.16 v.v , mỗi chuẩn có những lỗ hổng về kỹ thuật khác nhau nhưng nhìn chung những lố hổng đó đều được tin tặc khai thác nhằm vào sự tin cậy, tính toàn vẹn của dữ liệu, hay gây ra các cuộc tấn công từ chối dịch vụ làm treo cả hệ thống. 802.11 là một trong những mạng không dây đầu tiên đã trở nên rất phổ biến, bởi vậy các tin tặc rất quan tâm đến những lỗi dễ bị tấn công của 802.11 để thực hiện hành vi trộm cắp dịch vụ. Bài báo này sẽ đề cập đến một số hình thức tấn công xâm nhập cũng như hệ thống phát hiện xâm nhập (Intrusion Detection System) trong mạng không dây chuẩn 802.11. II. Một số hình thức tấn công xâm nhập mạng phổ biến 2.1 Tấn công không qua chứng thực 2.2 Tấn công truyền lại 2.3 Giả mạo AP 2.4 Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý 2.5 Giả địa chỉ MAC 2 .6 Tấn công từ chối dịch vụ III. Hệ thống phát hiện xâm nhập trong mạng không dây (WLAN Intrusion Detection System) 3.1. Các kỹ thuật phát hiện xâm nhập IDS (Intrusion Detection System) Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng sai, lạm dụng đối với hệ thống máy tính gây ra bởi cả người dùng trong hệ thống lẫn người xâm nhập ngoài hệ thống. Phát hiện xâm nhập trái phép là một công việc đầy khó khăn do ảnh hưởng của sự tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất (hệ điều hành hỗn hợp), nhiều giao thức truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập so với người dùng hợp lệ. Người ta phân chia thành một số loại IDS như sau: Network-based IDS và Host-Based IDS: Network-based IDS dùng các phân tích tải mạng để so sánh dữ liệu phiên với cơ sở dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khi phát hiện được, network-based IDS có thể phản ứng lại bằng cách ghi lại phiên truyền thông, cảnh báo nhà quản trị, chấm dứt phiên đó, và có thể đưa vào firewall. Host-based IDS thì phân tích log của hệ điều hành và ứng dụng của hệ thống, so sánh sự kiện với cơ sở dữ liệu đã biết về các vi phạm bảo mật và các chính sách được đặt ra. Chúng xem xét log của hệ điều hành, log truy nhập, log của ứng dụng, cũng như các chính sách của ứng dụng do người dùng định nghĩa. Nếu thấy có vi phạm chúng có thể phản ứng bằng cách ghi lại hành động đó, cảnh báo cho nhà quản trị, và trong một số trường hợp ngừng hành động trước khi nó xảy ra. Sự kết hợp của network based IDS và host-based IDS cung cấp sự bảo vệ đáng kể và sự thi hành chính sách với công ty mọi cỡ và chức năng kinh doanh. Misuse-based IDS và Anomaly-based IDS: Misuse-based IDS có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công, đó là knowledge-based và signature-based. Misuse-based IDS với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới. . Hệ thống phát hiện xâm nhập trong mạng không dây ( wifi ) IDS I. Những nguy cơ về bảo mật của mạng không dây Ngày nay mạng không dây (Wireless LAN). dịch vụ III. Hệ thống phát hiện xâm nhập trong mạng không dây (WLAN Intrusion Detection System) 3.1. Các kỹ thuật phát hiện xâm nhập IDS (Intrusion Detection