- L2TP
9. Các kỹ thuật phát hiện xâm nhập IDS
Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng sai, lạm dụng đối với hệ thống máy tính gây ra bởi cả ngưòi dùng trong hệ thống lẫn người xâm nhập ngoài hệ thống.
Phát hiện xâm nhập trái phép là một việc làm đầy khó khăn do ảnh hưởng của sự tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất (hệ điều hành hỗn hợp), nhiều giao thức truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập với người dùng hợp lệ.
Người ta phân chia thành một số loại IDS như sau : Network – based IDS và Host – based IDS
Network – based IDS dùng các phân tích tải mạng để so sánh dữ liệu phiên với các dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khi phát hiện được network – based IDS có thể phản ứng lại bằng cách ghi lại phiên truyền thông, cảnh báo nhà quản trị, chấm dứt phiên truyền thông đó và có thể đưa vào firewall.
Host – based IDS thì phân tích log của hệ điều hành và ứng dụng của hệ thống, so sánh sự kiện với cơ sở dữ liệu đã biết về các phạm vi bảo mật và các chính sách được đặt ra. Chúng xem xét log của hệ điều hành, log truy nhập, log ứng dụng, cũng như các chính sách của các ứng dụng do người dùng định nghĩa. Nếu thấy có vi phạm chúng có thể phản ứng bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và trong một số trường hợp ngừng hành động trước khi nó xảy ra. Sự kết hợp của network – based IDS và host – based IDS cung cấp
sự bảo vệ đáng kế và sự thi hành chính sách vói công ty mọi cỡ và chức năng kinh doanh.
Misuse – based IDS và Anomaly – based IDS :
Misuse – based IDS có thể phân chia thành hai loại dựa trên kiểu tấn công, đó là knowledge –based và signature – based.
Misuse – based IDS với cơ sở dữ liệu knowledge –based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu và nếu thấy có sự giống nhau thì đưa ra sự cảnh báo. Sự kiện không trùng với bất kỳ sự tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được những kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện những kiểu tấn công và lỗ hổng mới
Hình 4.9 : Knowledge – based IDS
Signture –based IDS là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin liên quan đến kiểu tấn công
đã biết. Thường thì dấu hiệu lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ tạo ra cảnh báo. Signture – based IDS hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo và thường yêu cầu ít tài nguyên tính toán. Tuy nhiên, chúng có những điểm yếu sau:
+ mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu
+ mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu nên kích cỡ của nó sẽ trở nên rất lớn.
+ dấu hiệu càng cụ thể thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó.
Anomaly – based IDS dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu, do đó trước tiên hệ cần xây dựng những mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường
Hình 4.10 : Anomaly – based IDS
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai trong đó có rất nhiều các cảnh báo là cảnh báo từ những hành động bình thường, chỉ có một vài hành động là có ý xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có
ít khả năng giới hạn các cảnh báo nhầm đó
Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi. Hơn nữa, sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi truờng nhất định là rất khó, vì sự không bình thường là đặc tính của môi trường. Cuối cùng, một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện.
Khi chúng ta so sánh IDS thông thường ( IDS trong các mạng có dây) và IDS trong mạng không dây thì khác biệt duy nhất đó là topology của mạng và phải rà quét trong không gian chứ không phải trong dây dẫn, còn tất cả các thành phần khác đều giống nhau.
Wireless IDS
Cách làm việc của Wireless IDS có hơi khác so với IDS trong mạng LAN truyền thống. Trong môi trường mạng có dây ta có toàn quyền quản lý đối với các loại lưu lượng được truyền dẫn trên dây. Trong WLAN, không khí là môi trường truyền dẫn, tất cả mọi ngưòi trong phạm vi phủ sóng của tấn số theo chuẩn 802.11 đều có thể truy cập vào mạng. Do đó cần phải có sự giám sát cả bên trong và bên ngoài mạng. Một khác biệt nữa là Wireless IDS cần cho mạng máy tính đã triển khai WLAN và cả những nơi chưa triển khai WLAN. Lý do là dù khả năng bị tấn công từ mạng WLAN vào mạng LAN chưa rõ ràng nhưng đó là mối đe doạ thực sự. Sự đe doạ này được coi là chỉ liên quan đến ai sử dụng mạng WLAN nhưng thực sự thì toàn bộ tổ chức mạng LAN đều nên giám sát lưu lượng lưu chuyển trong mạng WLAN
để chắc chắn loại bỏ sự đe doạ từ không gian xung quanh. Một điều luôn phải để tâm đến là các AP giả mạo bất kể bạn đang dùng mạng không dây hay mạng LAN truyền thống .
Wireless IDS có thể được cấu hình theo mô hình tập trung hoặc phân tán. Trong mô hình tập trung, một bộ tập trung sẽ thu thập tất cả các dữ liệu tần số 802.11 của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý để phát hiện xâm nhập. Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Để thuận tiện log file và các tín hiệu báo động đêu được đưa về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.
Trong khi đó Wireless IDS phân tán bao gồm một hoặc nhiều thiết bị thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít hơn 3AP.
WLAN thường được thiết kế để bảo phủ một phạm vi vật lý rộng lớn đảm bảo cho người dùng hợp pháp có thể truy cập thuận tiện từ nhiều nơi khác nhau. Chính vì lý dó đó, nhiều điểm truy cập không dây phải được thiết lập ở các vị trí khác nhau trong mạng để đảm bảo độ đồng đều về tín hiệu cho toàn mạng. Một quy tắc chung khi triển khai giải pháp IDS không dây là các cảm biến phải được đặt ngay ở nơi AP được cài đặt. Lợi thế rõ nhất của việc làm này là có thể bảo vệ cho mạng WLAN một cách toàn diện và triệt để. Ngoài ra nếu tuân theo quy tắc này, kẻ tấn công sẽ bị định vị chính xác dễ dàng hơn sau khi người quản
trị xác định được cảm biến nào đặt gần kẻ tấn công nhất. Hầu hết các chính sách bảo mật của WLAN đều để xuất rằng mọi truyền thông trong mạng không dây đều cần mã hoá. Một thuộc tính khác có thể được thực hiện cho Wireless IDS là tạo một danh sách các AP hợp lệ, do đó bất cứ khi nào không nhận diện được hay phát hiện ra một AP giả mạo Wireless IDS có thể nhanh chóng phát hiện và cảnh báo.
KẾT LUẬN
WLAN ngày càng phát triển và đóng vai trò quan trọng trong cuộc sống và công việc do những đặc tính mà nó đem lại.Chính vì sự tiện lợi của mạng không dây, nên nó đang dần thay thế cho các hệ thống mạng có dây truyền thống. Tuy nhiên WLAN do mới ra đời nên còn chưa được thử thách và còn chứa đứng nhiều vấn đề trong nó những vấn đề bảo mật.
Để góp phần vào việc xây dựng giải pháp bảo mật mạng không dây cho nhu cầu phát triển mạnh mẽ của mạng không dây, hiện nay và trong tương lai, đề tài “Bảo mật trong mạng WLAN” đã đi vào nghiên cứu vào một số vấn đề sau:
- Nghiên cứu lý thuyết mạng không dây , phân tích các đặc trưng của mạng không dây, phương thức truyền dẫn, các giao thức mạng, các phương thức mã hóa bảo mật sẵn có.
- Phân tích tính dễ tấn công của mạng không dây, các điểm yếu của mạng về truyền dẫn cũng như mã hóa bảo mật, phân tích và chỉ ra các nguy cơ và các phương thức tấn công.
- Đưa ra , phân tích các phương thức khắc phục điểm yếu về mã hóa bảo mật, các phương thức xác thực cho mạng không dây, hệ thống VPN cho mạng không dây.
Mặc dù các giải pháp bảo mật đưa ra còn ở tính khái quát, chưa đi vào chi tiết triển khai thực hiện nhưng nó sẽ góp phần cho việc lựa chọn giải pháp khi xây dựng nên hệ thống mạng không dây mới hay
mở rộng ra từ cơ sở mạng có dây cũ. Các phương thức và giải pháp đưa ra một phần dựa trên nền tảng mã hóa và bảo mật sẵn có hiện nay , một phần là các phương thức mới đang dần được hòan thiện cho sự triển khai mạng không dây.
Do điều kiện và kinh nghiệm còn hạn chế nên đò án tốt nghiệp này còn rất nhiều thiếu sót và tồn tại nhất định. Kính mong các Thầy và bạn bè đóng góp để xây dựng thành một đề tài hoàn chỉnh.
Xin chân thành cảm ơn các thầy cô và bạn bè trực tiếp và gián tiếp giúp đỡ tôi hoàn thành đề tài nghiên cứu này.
Hà Nội , tháng 6 năm 2009. Sinh Viên
Đặng Bích Thủy
TÀI LIỆU THAM KHẢO
01) Mạng căn bản Tổng hợp và biên dịch : VN-Guide, NXB Thống kê 02) Mạng máy tính Lược dịch và biên soạn : Hồ Anh Phong, NXB Thống kê
03) Frank Ohrtman and KonradRoeder, Wi-Fi Handbook Building
802.11bWireless Networks- Wi-Fi Security, McGraw- Hill, 2003
04) Jffrey Wheat, Randy Hiser, Alicia Neely, Andy McCullough,
Designing a Wireless Network, SynGress
05) Juliana Aldous, C# Language Specifications, MSPress, 2001
06) Lawrence Harte, Introduction to 802.11 Wireless LAN (WLAN),
ALTHOS, 2004
07) Matthew A Gast, 802.11 Wireless Networks Definitive Guide,
O’Reilly, April 2002
08) Michel Daoud Yacoub, Wireless Technology Protocol Standards
andTechniques, CRC Press, 2002
09) Mohammad Ilyas,The Handbook of Ad hoc Wireless Networks, CRC
Press,2003
10) Nathan J. Muller, Wireless A to Z, McGraw-Hill, 2003
11) Ramjee Prasad and Luis Muñoz, WLANs And WPANs Towards 4G
Wireless, Artech House, 2003
12) Russell Dean Vines, Wireless Security Essentials, Wiley, 2002