IV, Khoỏ mó từng gúi dữ liệu
7. 3 Kiến trỳc IDS
Một IDS khụng dõy cú thể tập trung hoặc khụng tập trung. Một hệ IDS khụng dõy tập trung thường được kết hợp bởi cỏc bộ cảm biến đơn lẻ, làm nhiệm vụ thu thập và chuyển cỏc dữ liệu 802.11 đến hệ thống quản lý trung tõm, nơi mà cỏc dữ liệu IDS khụng dõy sẽ được lưu trữ và xử lý. Hệ thống IDS khụng dõy khụng tập trung thường bao gồm một hoặc nhiều thiết bị tiến hành cả việc thu thập dữ liệu và xử lý, bỏo cỏo. Phương phỏp khụng tập trung phự hợp nhất với cỏc hệ thống mạng khụng dõy nhỏ (1-2 AP) vỡ vấn đề giỏ thành và quản lý. Chi phớ của cỏc bộ cảm biết với khả năng xử lý dữ liệu cú thể trở thành cao đến mức khụng thể mua được khi cần đến số lượng lớn cỏc bộ cảm biến. Tuy nhiờn, việc quản lý nhiều cỏc bộ cảm biến làm nhiệm vụ xử lý, bỏo cỏo cú thể mất nhiều thời gian hơn nhiều so với hệ thống IDS tập trung.
Cỏc hệ thống mạng khụng dõy WLAN thường bao gồm một phạm vi vật lý rộng lớn. Trong trường hợp này, rất nhiều AP khụng dõy cú thể được
85
triển khai để cung cấp tớn hiệu khụng dõy đủ mạnh tới một phạm vi nào đú. Một khớa cạnh nhạy cảm của việc triển khai một giải phỏp IDS khụng dõy là việc cài đặt bộ cảm biến tại nơi nào cú AP khụng dõy. Bằng việc bao phủ toàn bộ cỏc phạm vi đặt AP khụng dõy, phần lớn cỏc tấn cụng và sử dụng sai hệ thống mạng cú thể được phỏt hiện. Một thuận lợi khỏc của việc đặt cỏc bộ cảm biến ở gần vị trớ của AP khụng dõy cũng cải thiện khả năng xỏc định vị trớ vật lý của những kẻ tấn cụng.
7.4 – Dũ tỡm vị trớ vật lý
Việc phỏt hiện cỏc vị trớ vật lý là một trong những khớa cạnh chớnh của cỏc hệ thống IDS khụng dõy. Những người tấn cụng 802.11 thường ở một vị trớ tương đối gần với cỏc WAP thực thi trong một thời gian ngắn. Chớnh vỡ thế, việc trả lời cỏc kẻ tấn cụng cần phải linh hoạt, khụng chỉ là những thụng điệp kiểu chặn địa chỉ IP của người tấn cụng, mà cũn phải kết hợp với việc triển khai vật lý của từng cỏ nhõn để xỏc thực được người tấn cụng, và đưa ra cõu trả lời đỳng giờ. Với mạng khụng dõy, kẻ tấn cụng thường ở gần phạm vi toà nhà, một hệ thống mạng IDS khụng dõy cú thể hỗ trợ trong việc phỏt hiện vị trớ của người tấn cụng bằng việc cung cấp ớt nhất một dự đoỏn nào đú,dựa trờn cỏc tương quan giữa cỏc dữ liệu 802.11 lấy được từ cỏc bộ cảm biến và vị trớ của AP bị xõm nhập. Một tiếp cận cú tham vọng lớn hơn là xỏc định vị trớ vật lý của người tấn cụng dựa trờn việc sử dụng cỏc ăng ten cú định hướng và phương phỏp đo đạc tam giỏc. Khi mà vị trớ địa lý bị khoanh vựng hẹp lại, ta cú thể sử dụng cỏc phần mềm kiểu như Kismet hay Airopeek để rà soỏt tớn hiệu và thu hẹp vựng nghi ngờ. Với cả hai phương phỏp này (sử dụng IDS và cỏc cụng cụ quột tớn hiệu), việc định vị và ngăn chặn tấn cụng sẽ dễ dàng hơn rất nhiều.
86