b. Xác thực 802.1x/EAP
4.3.5. Hệ thống phát hiện xâm nhập không dây (Wireless IDS) cho mạng WLAN
sử dụng nó? Tuy mỗi giải pháp, cơ chế, hệ thống bảo mật còn có những điểm yếu, lỗ hổng riêng, nhưng nếu biết kết hợp các giải pháp lại, sử dụng một cách mềm dẻo thì sẽ tạo ra được một giải pháp bảo mật tối ưu, cần thiết đáp ứng được nhu cầu bảo mật cho mạng WLAN. Trong thực tế, để bảo mật một mạng WLAN, người ta thường kết hợp sử dụng nhiều giải pháp bảo mật lại với nhau để tạo thành một hệ thống bảo mật đảm bảo, chắc chắn.
Hình 4.31: Kết hợp nhiều giải pháp bảo mật trong một hệ thống.
4.3.5. Hệ thống phát hiện xâm nhập không dây (Wireless IDS) cho mạngWLAN WLAN
IDS(Intrusion Detection System_ hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,…
Trong WLAN, môi trường truyền là không khí, các thiết bị có hỗ trợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập vào mạng. Do đó cần có sự giám sát cả bên trong và bên ngoài hệ thống mạng. Một hệ thống WIDS thường là một hệ thống máy tính có phần cứng và phần mềm đặc biệt để phát hiện các hoạt động bất
thường. Phần cứng wireless có nhiều tính năng so với card mạng wireless thông thường, nó bao gồm việc giám sát tần số sóng (RF_Radio frequency), phát hiện nhiễu,… Một WIDS bao gồm một hay nhiều thiết bị lắng nghe để thu thập địa chỉ MAC (Media Access Control), SSID, các đặc tính được thiết lập ở các trạm, tốc độ truyền, kênh hiện tại, trạng thái mã hóa, …..
Nhiệm vụ của WIDS là:
+ Giám sát và phân tích các hoạt động của người dùng và hệ thống. + Nhận diện các loại tấn công đã biết.
+ Xác định các hoạt động bất thường của hệ thống mạng. + Xác định các chính sách bảo mật cho WLAN.
+ Thu thập tất cả truyền thông trong mạng không dây và đưa ra các cảnh báo dựa trên những dấu hiệu đã biết hay sự bất thường trong truyền thông.
WIDS (Wireless Intrusion Detection System) có thể cấu hình theo mô hình tập trung hoặc phân tán.
Hình 4.32: Mô hình WIDS tập trung
Trong mô hình tập trung, một bộ phận tập trung sẽ thu thập tất cả các dữ liệu tần số 802.11 của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý để phát hiện xâm nhập. Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Để thuận tiện, các tín hiệu báo động đều được đưa về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.
Trong khi đó Wireless IDS phân tán bao gồm một hoặc nhiều thiết bị thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít hơn 3 AP, Wireless IDS phân tán tất nhiên sẽ tiết kiệm chi phí hơn.
Hình 4.33: Mô hình WIDS phân tán
Wireless IDS sẽ kiểm tra mạng WLAN bằng cách sử dụng thiết bị kết hợp giữa phần mềm và phần cứng, gọi là cảm biến phát hiện xâm nhập. Cảm biến này sẽ đứng trong mạng và kiểm tra tất cả các lưu lượng trong mạng. Vì vậy, để triển khai hệ thống WIDS, việc đầu tiên là phải xác định nơi nào tốt nhất để đặt cảm biến. Để ra được quyết định trước hết có vài phân tích chi tiết về mạng WLAN được xây dựng hiện tại:
♦ Tòa nhà được xây dựng bằng loại vật liệu gì? Khung thép, gỗ hay vật liệu khác? (với khung thép sẽ giới hạn phạm vi truyền sóng), khu vực mạng có cần cách biệt không?, địa chỉ MAC nào đang dùng? Và những điểm truy cập hợp lệ đã có là gì?...
Dựa trên những thông tin này và những thông tin có được từ việc quét mạng có thể sử dụng phần mềm (Kismet, Netstumbler...). Sau đó, ta sẽ khái quát được hệ thống WLAN của mình cần xây dựng với các đặc điểm: AP đặt ở đâu, ai dùng chung, cường độ tín hiệu... Từ đó, ta sẽ xác định vị trí và số lượng của các cảm biến IDS cần lắp đặt.
Khi ta đã có các cảm biến trong mạng, cường độ tín hiệu của các AP có thể được điều chỉnh hoặc chặn lại để có phạm vi phủ sóng mong muốn, lưu lượng mạng có thể được phân tích. Nếu có sự bất thường về lưu lượng thì cảnh báo sẽ được phát ra. Hệ thống WIDS có thể gửi cảnh báo khi:
♦ Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh. ♦ AP có cấu hình không thích hợp hoặc không đồng nhất với các AP khác trong hệ thống mạng.
♦ Số lần thực hiện kết nối vào mạng quá nhiều…
Như vậy, việc triển khai thiết bị WIDS áp dụng vào mạng không dây của doanh nghiệp là thật sự cần thiết trong việc phát hiện, ngăn chặn các truy cập trái phép vào mạng. Cùng với các giải pháp bảo mật trên, việc triển khai lắp đặt hệ thống WIDS sẽ giúp cho việc bảo mật trong mạng WLAN trở nên an toàn, hiệu quả hơn.