Nguyễn Thị Cẩm Hà
Ký Vân Tùng
Ký Vân Tùng
I. Wireless IDS:
I.1. Wireless IDS là gì?
IDS trong mạng WLAN(WIDS) làm việc có nhiều khác biệt so với môi trường mạng LAN có dây truyền thống. Trong WLAN, môi trường truyền là không khí, các thiết bị có hỗ trợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập vào mạng. Do đó cần có sự giám sát cả bên trong và bên ngoài hệ thống mạng. Một hệ thống WIDS thường là một hệ thống máy tính có phần cứng và phần mềm đặc biệt để phát hiện các hoạt động bất thường. Phần cứng wireless có nhiều tính năng so với card mạng wireless thông thường , nó bao gồm việc giám sát tần số sóng(RF_Radio frequency), phát hiện nhiễu,…. Một WIDS bao gồm một hay nhiều thiết bị lắng nghe để thu thập địa chỉ MAC (Media Access Control), SSID, các đặc tính được thiết lập ở các trạm, tốc độ truyền, kênh hiện tại, trạng thái mã hóa, …..
I.2. Nhiệm vụ của WIDS:
Giám sát và phân tích các hoạt động của người dùng và hệ thống.
Nhận diện các loại tấn công đã biết
Xác định các hoạt động bất thường của hệ thống mạng.
Xác định các chính sách bảo mật cho WLAN.
Thu thập tất cả truyền thông trong mạng không dây và đưa ra các cảnh báo dự trên những dấu hiệu đã biết hay sự bất thường trong truyền thông.
I.3. Mô hình hoạt động:
WIDS có 2 mô hình hoạt động là: tập trung và phân tán:
I.3.1. WIDS tập trung (centralized WIDS):
WIDS tập trung có một bộ tập trung để thu thập tất cả các dữ liệu của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý . Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Các log file và các tín hiệu báo động đều được gửi về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. WIDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.
WIDS tập trung có một bộ tập trung để thu thập tất cả các dữ liệu của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý . Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Các log file và các tín hiệu báo động đều được gửi về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. WIDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.
I.3.2. WIDS phân tán (decentralize WIDS):
WIDS phân tán thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít Access Point, wireless IDS phân tán tiết kiệm chi phí hơn so với WIDS tập trung
WIDS phân tán thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít Access Point, wireless IDS phân tán tiết kiệm chi phí hơn so với WIDS tập trung
II.1. AirDefense:
Là một hệ thống ngăn ngừa sự xâm nhập máy và cung cấp cho giải pháp tiện lợi nhất phát hiện , dò tìm sự xâm nhập, chính sách giám sát, tự bảo vệ, phân tích sự cố và sửa chữa từ xa.
II.1.1. Airmagnet:
Cung cấp rất nhiểu giải pháp về Wireless IDS. AirMagnet cung cấp giải pháp phận tích WLAN từ xa cho Cisco,
III. Tìm hiểu vế thiết bị Aircap:
III.1. Giới thiệu:
Liên hệ: http://www.cacetech.com/products/airpcap.htm
Là sản phẩm hổ trợ quản trị mạng không dây. AirPcap kết hợp cùng với phần mềm bắt gói(capture)Wireshark Network Analyzer cung cấp các đầy đủ hông tin về truyền thông chuẩn 802.11, bao gồm khung điều khiển(ACK,RTS,CLT), các khung quản lý (Beacon,….) và các khung dữ liệu.
III.2. Đặc điểm của AirPcap:
AirPcap hoạt động hoàn toàn thụ động. Nó chỉ bắt gói trên 1 kênh do người dùng chọn mà không liên quan đến Access Point nào, hay truy tìm theo một thiết bị không dây nào. Vì nó không truyền thông nên không bị phát hiện bởi một thiết bị không dây nào khác.
Hỗ trợGiám sát nhiều kênh trong cùng thời điểm: Nhiều card Airpcap có thể cắm đồng thời trên một máy tính và được sử dụng để bắt gói ở nhiều kênh khác nhau.
Di động và đa năng: Chuẩn kết nối là USB mở rộng rất thuật lợi cho việc phân tích mạng không dây:
Có thể để gọn trong túi áo, và di chuyển dễ dàn từ máy tính để bàn và máy tính xách tay.
Phân tích đa kênh chỉ việc cắm 2 hay nhiều card AirPcap vào máy tính.
Vẫn có thể sử dụng kết nối không dây trong khi hệ thống phân tích hoạt động.
Khả năng thích ứng và mở rộng: AirpCap devleloper’s pack hỗ trợ Visual Studio 6/2003/2005 và trình biên dịch GNU/Cygwin. Nó hoạt động hoạt động rất tốt trên cả Linux và Unix.
III.3. Giá thành sản phẩm:
Ghi chú:
V: có
X: không
Comment