Wireless IDS (Wireless Intrusion Detection System)
Hệ thống phát hiện và phòng chống xâm nhạp mạng không dây có lẽ là cách hiệu quả nhất của việc bảo vệ chống lại các cuộc tấn công DoS. Hệ thống như vậy tìm kiếm:
Unauthorized MAC addresses (giả mạo địa chỉ MAC)
Unauthorized broadcast traffic (chiếm băng thông bằng cách broadcast ) Jamming (gây nhiễu)
Association floods (gây ngập lụt bằng cách gởi frame association) Authentication floods (gây ngập lụt bằng cách gởi frame authentication) Disassociation attacks (tấn công xác thực lại)
Deauthentication attacks (tấn công xác thực lại )
Hầu hết WIDS theo dõi trạng thái truyền thông không dây, và có thể tìm kiếm giao thức bất thường khác nhau. Ví dụ, truyền dữ liệu được quan sát thấy sau khi yêu cầu
68
deauthentication hoặc disassociation, hệ thống WIDS có thể phát hiện, xác định rằng các yêu cầu là bất hợp pháp, và phá bỏ sự liên kết giao tiếp.
IDS trong mạng wireless (WIDS) làm việc có nhiều khác biệt so với môi trường mạng LAN có dây truyền thống. Trong WLAN, môi trường truyền là không khí, các thiết bị hỗ trợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập vào mạng.
Do đó cần có sự giám sát cả bên trong và bên ngoài hệ thống mạng. Một hệ thống WIDS thường là một hệ thống máy tính có phần cứng và phần mềm đặc biệt để phát hiện các hoạt động bất thường. Phần cứng wireless có nhiều tính năng so với card mạng wireless thông thường, nó bao gồm việc giám sát tần số sóng(RF_Radio frequency), phát hiện nhiễu,… Một WIDS bao gồm một hay nhiều thiết bị lắng nghe để thu thập địa chỉ MAC (Media Access Control), SSID, các đặc tính được thiết lập ở các trạm, tốc độ truyền, kênh hiện tại, trạng thái mã hóa, …
Nhiệm vụ của WIDS:
Giám sát và phân tích các hoạt động của người dùng và hệ thống. Nhận diện các loại tấn công đã biết.
Xác định các hoạt động bất thường của hệ thống. Xác định các chính sách bảo mật cho WLAN.
Thu thập tất cả truyền thông trong mạng không dây và đưa ra các cảnh báo dựa trên các dấu hiệu đã biết hay sự bất thường trong truyền thông.
Hệ thống WIDS có thể gửi cảnh báo trong một số trường hợp sau: AP bị quá tải khi có quá nhiều trạm kết nối vào.
Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh. AP có cấu hình không thích hợp hoặc không đồng nhất với các AP khác trong hệ thống mạng.
69 WIDS dò ra được các trạm ẩn.
Số lần thực hiện kết nối vào mạng quá nhiều
Cấp độ phòng thủ hệ thống với chi phí thấp (System Level Defences with Low Overhead)
Có hai loại lỗ hổng của 802.11 dễ bị tấn công nhất, là lỗ hổng bảo mật nhận dạng và lỗ hổng Media Access. Một Attacker có thể giả mạo danh tính của các thiết bị khác và sau đó yêu cầu dịch vụ lớp MAC thay mặt họ tiến hành một số loại tấn công DoS. Các cuộc tấn công nhận dạng bao gồm deauthentication,authentication và power saving. Lỗ hỗng Media Access bao gồm cơ chế cảm nhận sóng mang ảo trong 802.11. Cho thấy các cuộc tấn công bằng cách sử dụng phần cứng, tiến hành phân tích tác động của cuộc tấn công deauthentication và tấn công cảm nhận sóng mang ảo và đề xuất cơ chế phòng chống.
Trì hoãn những tác động của các yêu cầu (Delaying the Effects of Requests) Bằng cách trì hoãn những tác động của De-authentication hoặc Disassociation (ví dụ xếp hàng theo yêu cầu 5-10 giây) AP có cơ hội để quan sát các gối tin tiếp theo từ client. Nếu một gói dữ liệu đến sau khi de-authentication hoặc disassociation là hàng đợi, thì yêu cầu được loại bỏ như client hợp pháp sẽ không bao giờ tạo ra các gói tin theo thứ tự. Cách tiếp cận tương tự có thể được sử dụng theo chiều ngược lại để giảm bớt giả mạo de- authentication các gói dữ liệu gởi cho client trên danh nghĩa AP. Tuy nhiên giải pháp này sẽ mở ra một lỗ hổng mới cho các trạm di động chuyển vùng, mặc dù điều này không phải là một hạn chế quan trọng xem từ quan điểm thực tế.
Hạn chế giá trị trường thời gian- Limiting Duration Field Value
Bốn key frame có chứa giá trị thời gian là ACK, data, RTS, CTS. Những frame này có thể gây ra một cuộc tấn công từ chối dịch vụ (DoS) bằng cách thay đổi phân bổ mạng lưới vector (NAV). Nên đặt một giới hạn trên các giá trị thời gian của các khung điều khiển được đề cập ở trên được chấp nhận bởi các nút. Các giải pháp rõ ràng các cuộc tấn công là để mở rộng việc chứng thực rõ ràng frame điều khiển 802.11.
70 In tín hiệu - Signal Print
In tín hiệu để giải quyết các cuộc tấn công dựa trên nhận dạng. In tín hiệu được xác định bởi các tuple của các giá trị cường độ tín hiệu báo cáo bởi các AP hoạt động như các cảm biến. In tín hiệu là một cách tốt hơn trong việc xác định các thiết bị như các attacker, kể từ khi kiểm soát các tín hiệu in so với biện pháp nhận dạng khác như địa chỉ MAC. Như hầu hết các cuộc tấn công DoS ở mạng 802.11 được thực hiện thông qua giả mạo địa chỉ MAC của một thiết bị cụ thể hoặc thay đổi địa chỉ MAC không xác định, có một biện pháp nhận dạng mạnh mẽ có thể giúp làm giảm các cuộc tấn công như vậy. Bản in tín hiệu liên quan chặt chẽ với vị trí địa lý của client, với các bản in tín hiệu tương tựđược tìm thấy chủ yếu ở gần nhau. Điều này giúp phát hiện một kẻ tấn công không phải là gần với các thiết bị nạn nhân.
Các vụ phát tán gói tin được truyền bởi một thiết bị tạo ra signalprints tương tự với xác suất cao. Do đó kẻ tấn công gắn kết một cuộc tấn công cạn kiệt tài nguyên sử dụng địa chỉ MAC ngẫu nhiên có thể dễ dàng phát hiện. trong khi không phải tất cả signalprints có thể phù hợp với nhau, mạng lưới vẫn có thể phát hiện rằng một máy phát duy nhất chịu trách nhiệm cho các yêu cầu với tỉ lệ cao. Signalprints cho phép mạng WLAN chính kiểm soát đáng tin cậy để duy nhất client ra. Thay vào đó xác định chúng dựa trên địa chỉ MAC hoặc dữ liệu khác mà họ cung cấp, signalprints cho phép hệ thống nhận ra chúng dựa trên những gì trông thấy về mức cường độ tín hiệu.
Xét hai loại tấn công DoS.đầu tiên là tấn công làm suy giảm tài nguyên, trong đó kẻ tấn công gởi một số lượng lớn các yêu cầu chứng thực với nhiều địa chỉ MAC khác nhau để làm tiêu hao tài nguyên của AP. Thứ hai là tấn công giả mạo, trong đó mục tiêu của kẻ tấn công là một client cụ thể hoặc một AP bằng cách nhân bản địa chỉ MAC của nó. Nếu một kẻ tấn công gởi một yêu cầu de-authentication cho một trạm đã được chứng thực sau đó tấn công có thể xác định được bằng cách so sánh hai bản in tín hiệu xung đột cho cùng một địa chỉ MAC.
Tuy nhiên, với việc dựa trên các bản in tín hiệu rất khó để phân biệt giữa các thiết bị vật lý nằm ở gần nhau sẽ cho ra những bản in tín hiệu tương tự. Một nhược điểm khác với
71
phương pháp tiếp cận là nó sẽ không làm việc nếu chỉ có một AP trong mạng. Hơn nữa, bản in tín hiệu có thể phân biệt giữa các trạm nằm tại các vị trí khác nhau, tuy nhiên nó không thể xác định vị trí chính xác của trạm để có thể giúp trong việc xác định trạm độc hại. (adsbygoogle = window.adsbygoogle || []).push({});
Phát hiện giả mạo địa chỉ MAC - MAC Address Spoof Detection
Thêm một phương pháp để phát hiện giả mạo địa chỉ MAC dựa trên các trường số thứ tự, có giá trị tăng lên một cho mỗi khung không bị phân mảnh. Một kẻ tấn công không thể có khả năng để thay đổi giá trị của số thứ tự này họ thường không thể kiểm soát các chức năng phần mềm của card mạng không dây của mình. Thông qua việc phân tích các mô hình số thứ tự của lưu lượng truy cập không dây bắt được, hệ thống phát hiện đã được chứng minh là có khả năng phát hiện giả mạo địa chỉ MAC để xác định các cuộc tấn công deauthentication/disassociation.
Dãy số dựa trên hệ thống phát hiện giả mạo địa chỉ MAC cũng có giá trị cho đến khi phân tích cấu tạo “thẻ tấn công” cho phép các khung với các dãy số tùy ý trở thành nơi phổ biến.
Câu đố máy khách mạng không dây- Wireless Client Puzzle
Bất cứ máy khách nào muốn tham gia mạng lưới đầu tiên sẽ lắng nghe sóng radio khu vực của họ. Câu đố là điều kiện về mối quan hệ cường độ tín hiệu cho các trạm khác do thực tế là một kẻ tấn công có thể dễ dàng thay đổi sức mạnh truyền dẫn của nó, định hướng ăng ten hoặc vị trí địa lý của nó. Bất kỳ thay đổi nào điều ảnh hưởng đến vùng lân cận của một tín hiệu tái xác định các câu đố và áp đặt thêm các chi phí giải quyết nó. Kỹ thuật câu đố máy khách chỉ làm chậm lại các cuộc tấn công DoS và không hoàn toàn các cuộc tấn công như vậy vào mạng 802.11.
Giải thích va chạm - Explainability of Collisions
Cơ chế phát hiện không tham số các phương tiện truyền thông kiểm soát truy cập các cuộc tấn công DoS mà không yêu cầu bất kỳ sửa đổi giao thức hiện có. Kỹ thuật này dựa trên tuần tự M-truncated thống kê Kolmogrov-Smirnov, giám sát truyền thành công và va
72
chạm của các thiết bịđầu cuối trong mạng và xác định làm thế nào giải thích va chạm được quan sát như vậy. Một cuộc tấn công gây nhiễu sẽ dẫn đến sự gia tăng số lượng các va chạm trong mạng. Để phân biệt giữa hoạt động (gây nhiễu) bình thường và bất thường, ta quan sát các biến đổi trong sự phân bố của các va chạm. Phạm vi của cơ chế này là giới hạn để chỉ những cuộc tấn công gây nhiễu thông minh mà kết quả trong va chạm. Nó không thể phát hiện bất kỳ cuộc tấn công cạn kiệt tài nguyên , các cuộc tấn công giả mạo hoặc tấn công nhận dạng trên cơ sở khác. Nó chỉ cung cấp cho các báo động va chạm không giải thích được và không cung cấp thông tin về trạm gây ra những va chạm.
Kênh lướt sóng và không gian tĩnh- Channel Surfing and Spatial Retreats
Hai chiến lược để phòng ngừa tấn công DoS gây nhiễu trong các mạng không dây (thay vì tấn công làm cạn kiệt tài nguyên). Đầu tiên là kênh lướt sóng (channel surfing) là một hình thức trốn quang phổ có liên quan đến các thiết bị không dây hợp pháp thay đổi các kênh mà họ đang hoạt động. Chiến lược thứ hai là không gian tĩnh, nó là một hình thức trốn không gian, theo đó các thiết bị di động hợp pháp di chuyển ra khỏi vùng. Hai chiến lược được kiểm tra cho ba lớp mạng: hai bên liên lạc vô tuyến, mạng cơ sở hạ tầng và mạng ad-hoc.
Để phát hiện các lỗi truy cập kênh trong mạng cơ sở hạ tầng, một cơ chế ngưỡng dựa trên cảm biến thời gian để phân biệt ở lớp MAC giữa sự chậm trễ bình thường và chậm trễ bất thường do hoạt động độc hại. Nếu thời gian trên ngưỡng này thì xem như có cuộc tấn công DoS. Tuy nhiên, nó không thể phân biệt báo động sai tích cực. Phương pháp này không đưa ra thông tin về kẻ tấn công có thể giúp ngăn chặn các cuộc tấn công hơn nữa.
Bảng 2.1 Các loại tấn công DoS và biện pháp đối phó
Cách tấn công Mục tiêu Biện pháp đối phó hiện nay Tấn công yêu cầu thăm dò
(Probe Request Attack )
AP In tín hiệu (signal print)
Tấn công yêu cầu xác thực (Authentication request attack)
AP In tín hiệu (signal print), Câu đố cho máy khách (Client Puzzle)
73 Tấn công xác thực lại
(Deauthentication Attack )
Station và AP In tín hiệu (signal print), phát hiện giả mạo MAC, trì hoãn những tác động của các yêu cầu. Association Request Flood AP In tín hiệu (signal print)
Tấn công ngắt kết nối (Deassociation Attack)
Station và AP In tín hiệu, phát hiện giả mạo MAC, trì hoãn những tác động của các yêu cầu.
Tấn công cảm nhận sóng mang ảo (Virtual Carrier Sense Attacks)
Medium Access Giải thích va chạm, không gian tĩnh
Tấn công làm ngủ Node (Sleeping Node Attack)
Station và AP In tín hiệu, phát hiện giả mạo MAC, hạn chế giá trị trường thời gian.