II I BẢO MẬT TRONG MẠNG LAN KHÔNG DÂY
3.5. Hệ thống phát hiện xâm nhập không dây (Wireless IDS) cho mạng
IDS(Intrusion Detection System_ hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,…
Trong WLAN, môi trường truyền là không khí, các thiết bị có hỗ trợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập vào mạng. Do đó cần có sự giám sát cả bên trong và bên ngoài hệ thống mạng. Một hệ thống WIDS thường là một hệ thống máy tính có phần cứng và phần mềm đặc biệt để phát hiện các hoạt động bất thường. Phần cứng wireless có nhiều tính năng so với card mạng wireless thông thường, nó bao gồm việc giám sát tần số sóng (RF_Radio frequency), phát hiện nhiễu,… Một WIDS bao gồm một hay nhiều thiết bị lắng nghe để thu thập địa chỉ MAC (Media Access Control), SSID, các đặc tính được thiết lập ở các trạm, tốc độ truyền, kênh hiện tại, trạng thái mã hóa, …..
Nhiệm vụ của WIDS là:
+ Giám sát và phân tích các hoạt động của người dùng và hệ thống. + Nhận diện các loại tấn công đã biết.
+ Xác định các hoạt động bất thường của hệ thống mạng. + Xác định các chính sách bảo mật cho WLAN.
+ Thu thập tất cả truyền thông trong mạng không dây và đưa ra các cảnh báo dựa trên những dấu hiệu đã biết hay sự bất thường trong truyền thông.
WIDS (Wireless Intrusion Detection System) có thể cấu hình theo mô hình tập trung hoặc phân tán.
Hình 3.32: Mô hình WIDS tập trung
Trong mô hình tập trung, một bộ phận tập trung sẽ thu thập tất cả các dữ liệu tần số 802.11 của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý để phát hiện xâm nhập. Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Để thuận tiện, các tín hiệu báo động đều được đưa về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.
Trong khi đó Wireless IDS phân tán bao gồm một hoặc nhiều thiết bị thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít hơn 3 AP, Wireless IDS phân tán tất nhiên sẽ tiết kiệm chi phí hơn.
Hình 3.33: Mô hình WIDS phân tán
Wireless IDS sẽ kiểm tra mạng WLAN bằng cách sử dụng thiết bị kết hợp giữa phần mềm và phần cứng, gọi là cảm biến phát hiện xâm nhập. Cảm biến này sẽ đứng trong mạng và kiểm tra tất cả các lưu lượng trong mạng. Vì vậy, để triển khai hệ thống WIDS, việc đầu tiên là phải xác định nơi nào tốt nhất để đặt cảm biến. Để ra được quyết định trước hết có vài phân tích chi tiết về mạng WLAN được xây dựng hiện tại:
♦ Tòa nhà được xây dựng bằng loại vật liệu gì? Khung thép, gỗ hay vật liệu khác? (với khung thép sẽ giới hạn phạm vi truyền sóng), khu vực mạng có cần cách biệt không?, địa chỉ MAC nào đang dùng? Và những điểm truy cập hợp lệ đã có là gì?... Dựa trên những thông tin này và những thông tin có được từ việc quét mạng có thể sử dụng phần mềm (Kismet, Netstumbler...). Sau đó, ta sẽ khái quát được hệ thống WLAN của mình cần xây dựng với các đặc điểm: AP đặt ở đâu, ai dùng chung, cường độ tín hiệu... Từ đó, ta sẽ xác định vị trí và số lượng của các cảm biến IDS cần lắp đặt.
Khi ta đã có các cảm biến trong mạng, cường độ tín hiệu của các AP có thể được điều chỉnh hoặc chặn lại để có phạm vi phủ sóng mong muốn, lưu lượng mạng có thể được phân tích. Nếu có sự bất thường về lưu lượng thì cảnh báo sẽ được phát ra. Hệ thống WIDS có thể gửi cảnh báo khi:
♦ AP quá tải khi có nhiều trạm kết nối vào.
♦ Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh. ♦ AP có cấu hình không thích hợp hoặc không đồng nhất với các AP khác trong hệ thống mạng.
♦ Số lần thực hiện kết nối vào mạng quá nhiều…
Như vậy, việc triển khai thiết bị WIDS áp dụng vào mạng không dây của doanh nghiệp là thật sự cần thiết trong việc phát hiện, ngăn chặn các truy cập trái phép vào mạng. Cùng với các giải pháp bảo mật trên, việc triển khai lắp đặt hệ thống WIDS sẽ giúp cho việc bảo mật trong mạng WLAN trở nên an toàn, hiệu quả hơn.
KẾT LUẬN
Trên đây là những phương pháp bảo mật trong mạng không dây WLAN. Trọng tâm của bài viết đi sâu vào phân tích những ưu điểm, nhược điểm của các phương thức bảo mật, mỗi phương pháp sử dụng cơ chế mã hóa và xác thực khác nhau. Bảo mật WEP tồn tại nhiễu lỗ hổng dễ dàng cho các tội phạm mạng tấn công, vì vậy nó được nâng cấp và thay thế bởi WPA, chuẩn bảo mật mới có độ bảo mật cao hơn do Wifi Alliance và IEEE đã kết hợp với nhau đưa ra vào tháng 10 năm 2003. Tuy nhiên WPA vẫn chưa là sự lựa chọn tối ưu bởi những nhược điểm của nó, và WPA2, một tiêu chuẩn bảo mật tốt hơn được Wi-Fi Alliance thông qua tháng 9 năm 2004.
Theo khuyến cáo của các chuyên gia bảo mật, WPA2 là phương pháp đáng tin cậy hiện nay, nhưng điều đó không có nghĩa là tuyệt đối an toàn, bởi vì các hacker vẫn bẻ khóa WPA2 được. Bên cạnh đó, việc lựa chọn giải pháp bảo mật nào là tùy thuộc vào quy mô, vào khả năng tài chính cũng như mức độ cần bảo mật của mỗi cá nhân, mỗi doanh nghiệp. Và lời khuyên mà các chuyên gia bảo mật đưa ra là nên kết hợp các biện pháp bảo mật một cách chặt chẽ và logic, đó là chính sách bảo mật an toàn tối ưu.
TÀI LIỆU THAM KHẢO [1]. Vũ Đình Cường, Từng Bước Khám Phá An Ninh Mạng:
Hack Internet-OS và Bảo Mật (tập 1&2), Nhà xuất bản Lao Động – Xã Hội.
[2]. TS. Phạm Thế Quế, Công Nghệ Mạng Máy Tính, Nhà xuất bản Bưu Điện, Hà Nội.
[3]. A. Stubblefield, J. Ioannidis, A.D. Rubin, “Using the Fluhrer, Mantin and Shamir Attack to Break WEP”, AT&T Labs Technical Report.
[4]. Pejman Roshan, Jonathan Leary, 802.11 Wireless LAN Fundamentals, Cisco Press.