I.1. Wireless IDS là gì?
IDS trong mạng WLAN(WIDS) làm việc có nhiều khác biệt so với môi trường mạng LAN có dây truyền thống.
Trong WLAN, môi trường truyền là không khí, các thiết bị có hỗ trợ chuẩn 802.11 trong phạm vi phủ sóng ñều có thể truy cập vào mạng. Do ñó cần có sự giám sát cả bên trong và bên ngoài hệ thống mạng. Một hệ thống WIDS thường là một hệ thống máy tính có phần cứng và phần mềm ñặc biệt ñể phát hiện các hoạt ñộng bất thường. Phần cứng wireless có nhiều tính năng so với card mạng wireless thông thường , nó bao gồm việc giám sát tần số sóng(RF_Radio frequency), phát hiện nhiễu,…. Một WIDS bao gồm một hay nhiều thiết bị lắng nghe ñể thu thập ñịa chỉ MAC (Media Access Control), SSID, các ñặc tính ñược thiết lập ở các trạm, tốc ñộ truyền, kênh hiện tại, trạng thái mã hóa, …..
Tóm lại Wireless IDS có :
+ Vị trí cần phải giám sát (rất chặt chẽ) : bên trong và bên ngoài mạng.
+Thiết bị và chức năng : phần cứng và phần mềm chuyên dụng có nhiều tín năng : thu thập ñịa chỉ MAC, SSID, ñặc tính : thiết lập các trạm + tốc ñộ truyền + kênh + trạng thái mã hóa.
ht.destiny@gmail.com - ĐVT- ĐHKTCN - Thái Nguyên Sưu tầm
Vĩnh Phúc 2009 36
II.2. Nhiệm vụ của WIDS:
-Giám sát và phân tích các hoạt ñộng của người dùng và hệ thống. -Nhận diện các loại tấn công ñã biết.
-Xác ñịnh các hoạt ñộng bất thường của hệ thống mạng. -Xác ñịnh các chính sách bảo mật cho WLAN.
-Thu thập tất cả truyền thông trong mạng không dây và ñưa ra các cảnh báo dựa trên những dấu hiệu ñã biết hay sự bất thường trong truyền thông.
II.3. Mô hình hoạt ñộng:
WIDS có 2 mô hình hoạt ñộng là: tập trung và phân tán:
II.3.1. WIDS tập trung (centralized WIDS):
WIDS tập trung có một bộ tập trung ñể thu thập tất cả các dữ liệu của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS ñược lưu trữ và xử lý.
Hầu hết các IDS tập trung ñều có nhiều cảm biến ñể có thể phát hiện xâm nhập trong phạm vi toàn mạng. Các log file và các tín hiệu báo ñộng ñều ñược gửi về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. WIDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.
Đ Đ
II.3.2. WIDS phân tán (decentralize WIDS):
WIDS phân tán thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít Access Point, wireless IDS phân tán tiết kiệm chi phí hơn so với WIDS tập trung.
ht.destiny@gmail.com - ĐVT- ĐHKTCN - Thái Nguyên Sưu tầm
Vĩnh Phúc 2009 38
II.4. Giám sát lưu lượng mạng( Traffic monitoring)
II.4.1. Xây dựng hệ thống WIDS ñể phân tích hiệu suất hoạt ñộng của mạng wireless
Phân tích khả năng thực thi của mạng wireless là ñề cập ñến việc thu thập gói và giải mã. Sau ñó tái hợp gói lại ñể thực hiện kết nối mạng. Việc phân tích giúp ta biết ñược sự cố xảy ra ñối với mạng ñang hoạt ñộng.
Hệ thống WIDS giám sát toàn bộ WLAN, chuyển tiếp lưu lượng ñã ñược tổng hợp và thu thập lưu lượng từ các bộ cảm biến. Sau ñó phân tích lưu lượng ñã thu thập ñược. Nếu lưu lượng ñã ñược phân tích có sự bất thường thì cảnh báo sẽ ñược hiển thị.
Lưu lượng thu thập ñược có thể ñược lưu trữ trên một hệ thống khác hoặc ñược log vào database. WIDS -> thu thập lưu lượng mạng-> phân tích-> phát hiện bất thường-> cảnh báo
II.4.2. Hệ thống WIDS có thể gửi cảnh báo trong một số trường hợp sau:
-AP bị quá tải khi có quá nhiều trạm kết nối vào.
-Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh.
-AP có cấu hình không thích hợp hoặc không ñồng nhất với các AP khác trong hệ thống mạng. -Số các gói fragment quá nhiều.
-WIDS dò ra ñược các trạm ẩn.
-Số lần thực hiện kết nối vào mạng quá nhiều. -…
Đ Đ
Thông tin thu thập ñược bởi WIDS tạo ra cơ sở dữ liệu ñược sử dụng ñể lập báo cáo về tình trạng hoạt ñộng của mạng và lập ra kế hoạch cho hệ thống mạng
Báo cáo của WIDS có thể bao gồm 10 AP có cảnh báo nhiều nhất, biểu ñồ hoạt ñộng của các trạm theo thời gian, cách sử dụng trãi phổ…
Xu hướng gửi cảnh báo là khi AP biểu hiện một số vấn ñề mới, hay là hoạt ñộng mạng bị gián ñoạn. Khảo sát cảnh báo của các AP khác ở cùng vị trí giúp ta nhận ra ñược sự khác nhau của các thiết bị bất thường và ñiều kiện môi trường ñã làm ảnh hưởng ñến mỗi AP trong vùng như thế nào. Mặt khác, so sánh cảnh báo của các AP qua nhiều vị trí có thể giúp ta xác ñịnh ñược vấn ñề gây ra do bởi sự khác nhau về các dòng sản phẩm, phiên bản về phần mềm hệ thống( firmware), và về cấu hình.
Đến ñây chúng ta hầu như ñã có cái nhìn sơ bộ về WIDS, và việc cần làm là dùng những thiết bị WIDS ñể áp dụng vào mạng không dây của doanh nghiệp.