Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 WLAN IDS/IPS Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 2 WLAN - WLAN: Wireless Local Area Network - Các chuẩn 802.11: + 802.11a – sử dụng tần số vô tuyến (radio) 5 GHz; tốc độ có thể đạt đến 54Mbps + 802.11b – sử dụng tần số vô tuyến (radio) 2.4 GHz; tốc độ có thể đạt đến 11 Mbps + 802.11g – sử dụng tần số 2.4 GHz; tốc độ có thể lên đến 56 Mbps. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 3 Thành phần WLAN IEEE 802.11 WLANs có 2 thành phần cơ bản: - Station (STA) - Access point Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 4 kiến trúc Infrastructure Infrastructure Mode Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 5 kiến trúc Ad-hoc Ad-hoc Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 6 Các mối nguy hiểm - Điểm truy cập giả mạo (Rogue Access Points and Clients) - Client Misassociation - Tấn công từ chối dịch vụ và cố gắng xâm nhập (Denial-of-Service Attacks and Penetration Attempts) - Thăm dò (Reconnaissance Probes) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 7 Thành phần của WLAN IDS/IPS Các thành phần của WLAN IDS/IPS cũng giống như NIDS/IPS. Bao gồm: consoles, database servers, management servers, và sensors. Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 9 Các dạng cảm biến wireless - Dành riêng (dedicated) - Được tích hợp với Access point (Bundled with an AP) - Được tích hợp với wireless switch (Bundled with a Wireless Switch) Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 10 Các dạng cảm biến wireless (tt) Dành riêng (dedicated): bộ cảm biến dành riêng (dedicated sensor) là một thiết bị thực hiện chức năng wireless IDPS nhưng sẽ không chuyển lưu lượng mạng từ nguồn tới đích. Cảm biến này hoạt động thụ động và ở chế độ giám sát tần số radio để đánh hơi các lưu lương mạng không dây. - Một số cảm dedicated sensor thực hiện phân tích lưu lượng mà chúng vừa giám sát; còn một số khác thì chuyển lưu lượng này đến cho Management server để phân tích. [...]... tính và truyền thông Cisco WLC và IPS hợp tác như thế nào? Sự hợp tác giữa Cisco WLC và Cisco IPS cung cấp một công cụ tự động giảm nhẹ mối nguy hiểm Điều này cho phép hành động ngăn chặn 1 host trên một IPS sẽ được áp dụng trực tiếp lên WLAN Sự hợp tác này bao gồm: - Đồng bộ giữa Cisco WLC và IPS - Thực thi việc chặn một host từ IPS lên WLC - Rút lại việc ngăn chặn host trên Cisco IPS (Cisco IPS host... kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 31 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco WLC và IPS hợp tác như thế nào? Đồng bộ giữa Cisco WLC và IPS: Cisco WLC và IPS sẽ đồng bộ thông tin khóa host chủ động (active host block information) bằng cách WLC sẽ định kỳ yêu cầu danh sách loại bỏ (a shun list request) từ IPS Cisco IPS sẽ cung cấp danh sách này cho WLC Hệ thống... hiện và ngăn ngừa xâm nhập ThS Hồ Hải 32 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco WLC và IPS hợp tác như thế nào? Thực thi việc chặn một host từ IPS lên WLC: Bước 1: Việc chặn một host (a host block) được khởi tạo trên Cisco IPS Đưa ra địa chỉ IP nguồn của client bị chặn Bước 2: WLC nhận bảng cập nhật danh sách chặn host (an updated active host block list) Bước 3: WLC cập... chặn host trên IPS (ở bước 8) Bước 10: Nếu việc loại bỏ client hết hạn trên WLC nhưng việc ngăn chặn host vẫn còn hiệu lực trên IPS, thì WLC sẽ tạo một loại bỏ client mới (nếu client đang bị loại bỏ đó vẫn cố gắng kết nối tới WLC) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 35 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco WLC và IPS hợp tác như thế nào? Thực thi... client list) Bước 4: WLC kiểm tra có hay không một client (với địa chỉ IP nguồn phù hợp với một entry trong danh sách loại bỏ client của nó) đang có liên hệ với nó hay không Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 33 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco WLC và IPS hợp tác như thế nào? Thực thi việc chặn một host từ IPS lên WLC: (tt) Bước 5: Nếu... WLC Bước 8: Việc ngăn chặn một host có hiệu lực trên một IPS cho đến khi hết hạn hoặc bị loại bỏ Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 34 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Cisco WLC và IPS hợp tác như thế nào? Thực thi việc chặn một host từ IPS lên WLC: (tt) Bước 9: Việc loại bỏ một client on WLC có hiệu lực cho đến khi việc loại bỏ này hết hạn Thời... Khoa Mạng máy tính và truyền thông Mô hình Wireless IDS /IPS và NIDS/NIPS Cisco IDS /IPS Phát hiện, xác định vị trí và ngăn chặn Client giả Phát hiện và ngăn chặn Ad-hoc network Phát hiện và ngăn chặn 802.11 DoS Dấu hiệu tấn công DoS 802.11 Công cụ tấn công 802.11 Dấu hiệu giám sát 802.11 Đánh cắp IP và sử dụng lại Phát hiện và ngăn chặn Nhiễu RF NIDS/NIPS của Cisco IPS Phát hiện và giảm nhẹ AP giả Đặc... thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 26 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Tích hợp Wireless và Network IDS /IPS Wireless IDS /IPS và Network IDS /IPS có vai trò hỗ trợ nhau: - Wireless IDS /IPS có ý nghĩa trong việc giám sát, phát hiện và giảm thiểu các mối nguy hiểm và bất thường liên quan cụ thể tới môi trường 802.11 RF - Network IDS /IPS có ý nghĩa trong... nghĩa trong việc giám sát, phát hiện và giảm thiểu các mối nguy hiểm và bất thường trong lưu lượng của client, cũng như là bảo vệ các dịch vụ và các thiết bị hạ tầng mạng Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 27 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Mô hình Wireless IDS /IPS và NIDS/NIPS Cisco Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải... nhẹ AP giả Đặc tính Wireless IDS /IPS của WLC Mối nguy hiểm WLAN Quản lý tài nguyên radio Lưu lượng WLAN xấu Ví dụ: worm, virus, spyware, các vi phạm chính sách Phát hiện dựa trên dấu hiệu Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải 29 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Tích hợp Cisco WLC và IPS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS Hồ Hải . kiếm, phát hiện và ngăn ngừa xâm nhập 7 Thành phần của WLAN IDS /IPS Các thành phần của WLAN IDS /IPS cũng giống như NIDS /IPS. Bao gồm: consoles, database servers, management servers, và sensors. Đại. thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1 WLAN IDS /IPS Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ. tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông ThS. Hồ Hải Hệ thống tìm kiếm, phát hiện và