Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Tìm hiểu về ids và ids trong mạng không dây

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Tìm hiểu về ids và ids trong mạng không dây

    TÌM HIỂU VỀ IDS VÀ IDS TRONG MẠNG KHÔNG DÂY

    I. IDS(Intrusion Detection Systems)

    I.1. Khái niệm về IDS

    IDS(Intrusion Detection System_ hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị . Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,…..

    IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.

    Ta có thể hiểu tóm tắt về IDS như sau :

    + Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ

    --------Giám sát :
    lưu lượng mạng + các hoạt động khả nghi.
    --------Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.
    -------- Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.

    + Chức năng mở rộng :

    ------- Phân biệt : "thù trong giặc ngoài"
    ------- Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline




    I.2. Phân loại IDS

    Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS):

    I.2.1. NIDS :

    Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra.
    Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng.Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.
    NIDS :
    ------Ví trí : mạng bên trong --NIDS---mạng bên ngoài
    ------Loại : hardware (phần cứng) hoặc software (phần mềm)
    ------Nhiệm vụ : chủ yếu giám sát lưu lượng ra vào mạng.
    ------Nhược điểm : Có thể xảy ra hiện tượng nghẽn khi lưu lượng mạng hoạt động ờ mức cao.




    Một số sản phẩm NIDS :
    -Cisco IDS
    http://www.cisco.com/en/US/products/...113/index.html
    -Dragon® IDS/IPS
    http://www.enterasys.com/products/ad...rotection.aspx

    I.2.2. HIDS

    Được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. Kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới máy tính HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm. HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows , mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác.

    HIDS :
    ------Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS.
    ------Loại : software (phần mềm)
    ------Nhiệm vụ : phân tích lưu lượng ra vào mạng chuyển tới máy tính cài đặt HIDS
    ------Ưu điểm :
    ----------------+ Cài đặt trên nhiều dạng máy tính : xách tay, PC,máy chủ ...
    ----------------+ Phân tích lưu lượng mạng rồi mới forward.
    ------Nhược điểm : Đa số chạy trên hệ điều hành Window . Tuy nhiên cũng đã có 1 số chạy được trên Unix và những hệ điều hành khác.




    Một số sản phẩm HIDS :

    -Snort(Miễn phí_ open source)
    Liên hệ: http://www.snort.org/

    -GFI EventsManager 7
    Liên hệ: http://www.gfi.com/lanselm/?adv=142&...ickid=13108213



    -ELM 5.0 TNT software:
    Liên hệ: http://www.tntsoftware.com/default.aspx

    I.3. Các kỹ thuật xử lý dữ liệu được sử dụng trong các hệ thống phát hiện xâm nhập:

    Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau cũng được sử dụng cho dữ liệu đối với một IDS.

    -Hệ thống Expert (Expert systems)

    Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T).


    -Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection):

    Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi(record). Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)).


    -Phân biệt ý định người dùng(User intention identification):

    Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra.


    -Phân tích trạng thái phiên (State-transition analysis):

    Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước.


    -Phương pháp phân tích thống kê (Statistical analysis approach):

    Đây là phương pháp thường được sử dụng.
    Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như là: đăng nhập người dùng, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng không thế hợp được với mô hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả.

    Vì vậy, một mô hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên được nâng cấp để bắt kịp với thay đổi trong hành vi người dùng. Các phương pháp thống kê thường được sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng thông thường.


    Sau khi đã có một số khái niệm cơ bản về IDS ( Hệ thống phát hiện xâm nhập) dùng chung cho cả mạng có dây và mạng không dây.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    II. Wireless IDS

    I.1. Wireless IDS là gì?

    IDS trong mạng WLAN(WIDS) làm việc có nhiều khác biệt so với môi trường mạng LAN có dây truyền thống.
    Trong WLAN, môi trường truyền là không khí, các thiết bị có hỗ trợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập vào mạng. Do đó cần có sự giám sát cả bên trong và bên ngoài hệ thống mạng. Một hệ thống WIDS thường là một hệ thống máy tính có phần cứng và phần mềm đặc biệt để phát hiện các hoạt động bất thường. Phần cứng wireless có nhiều tính năng so với card mạng wireless thông thường , nó bao gồm việc giám sát tần số sóng(RF_Radio frequency), phát hiện nhiễu,…. Một WIDS bao gồm một hay nhiều thiết bị lắng nghe để thu thập địa chỉ MAC (Media Access Control), SSID, các đặc tính được thiết lập ở các trạm, tốc độ truyền, kênh hiện tại, trạng thái mã hóa, …..

    Tóm lại Wireless IDS có :
    + Vị trí cần phải giám sát (rất chặt chẽ) : bên trong và bên ngoài mạng.
    +Thiết bị và chức năng : phần cứng và phần mềm chuyên dụng có nhiều tín năng : thu thập địa chỉ MAC, SSID, đặc tính : thiết lập các trạm + tốc độ truyền + kênh + trạng thái mã hóa.




    II.2. Nhiệm vụ của WIDS:

    -Giám sát và phân tích các hoạt động của người dùng và hệ thống.
    -Nhận diện các loại tấn công đã biết.
    -Xác định các hoạt động bất thường của hệ thống mạng.
    -Xác định các chính sách bảo mật cho WLAN.
    -Thu thập tất cả truyền thông trong mạng không dây và đưa ra các cảnh báo dựa trên những dấu hiệu đã biết hay sự bất thường trong truyền thông.

    II.3. Mô hình hoạt động:

    WIDS có 2 mô hình hoạt động là: tập trung phân tán:

    II.3.1. WIDS tập trung (centralized WIDS):

    WIDS tập trung có một bộ tập trung để thu thập tất cả các dữ liệu của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý.
    Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Các log file và các tín hiệu báo động đều được gửi về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. WIDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.



    II.3.2. WIDS phân tán (decentralize WIDS):

    WIDS phân tán thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít Access Point, wireless IDS phân tán tiết kiệm chi phí hơn so với WIDS tập trung.



    II.4. Giám sát lưu lượng mạng( Traffic monitoring)

    II.4.1. Xây dựng hệ thống WIDS để phân tích hiệu suất hoạt động của mạng wireless

    Phân tích khả năng thực thi của mạng wireless là đề cập đến việc thu thập gói và giải mã. Sau đó tái hợp gói lại để thực hiện kết nối mạng. Việc phân tích giúp ta biết được sự cố xảy ra đối với mạng đang hoạt động.
    Hệ thống WIDS giám sát toàn bộ WLAN, chuyển tiếp lưu lượng đã được tổng hợp và thu thập lưu lượng từ các bộ cảm biến. Sau đó phân tích lưu lượng đã thu thập được. Nếu lưu lượng đã được phân tích có sự bất thường thì cảnh báo sẽ được hiển thị.
    Lưu lượng thu thập được có thể được lưu trữ trên một hệ thống khác hoặc được log vào database.

    WIDS -> thu thập lưu lượng mạng-> phân tích-> phát hiện bất thường-> cảnh báo


    II.4.2. Hệ thống WIDS có thể gửi cảnh báo trong một số trường hợp sau:

    -AP bị quá tải khi có quá nhiều trạm kết nối vào.
    -Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh.
    -AP có cấu hình không thích hợp hoặc không đồng nhất với các AP khác trong hệ thống mạng.
    -Số các gói fragment quá nhiều.
    -WIDS dò ra được các trạm ẩn.
    -Số lần thực hiện kết nối vào mạng quá nhiều.
    -
    I.1.3. Lập báo cáo về khả năng thực thi mạng

    Thông tin thu thập được bởi WIDS tạo ra cơ sở dữ liệu được sử dụng để lập báo cáo về tình trạng hoạt động của mạng và lập ra kế hoạch cho hệ thống mạng
    Báo cáo của WIDS có thể bao gồm 10 AP có cảnh báo nhiều nhất, biểu đồ hoạt động của các trạm theo thời gian, cách sử dụng trãi phổ…
    Xu hướng gửi cảnh báo là khi AP biểu hiện một số vấn đề mới, hay là hoạt động mạng bị gián đoạn. Khảo sát cảnh báo của các AP khác ở cùng vị trí giúp ta nhận ra được sự khác nhau của các thiết bị bất thường và điều kiện môi trường đã làm ảnh hưởng đến mỗi AP trong vùng như thế nào. Mặt khác, so sánh cảnh báo của các AP qua nhiều vị trí có thể giúp ta xác định được vấn đề gây ra do bởi sự khác nhau về các dòng sản phẩm, phiên bản về phần mềm hệ thống( firmware), và về cấu hình.

    Đến đây chúng ta hầu như đã có cái nhìn sơ bộ về WIDS, và việc cần làm là dùng những thiết bị WIDS để áp dụng vào mạng không dây của doanh nghiệp.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      III. Một số sản phẩm WIDS:

      III. Một số sản phẩm WIDS:

      III.1. AirDefense:




      Liên hệ:http://www.airdefense.net/products/index.php

      Là một hệ thống ngăn ngừa sự xâm nhập máy và cung cấp cho giải pháp tiện lợi nhất phát hiện , dò tìm sự xâm nhập, chính sách giám sát, tự bảo vệ, phân tích sự cố và sửa chữa từ xa.

      III.2. Airmagnet:

      Liên hệ:http://www.airmagnet.com/
      Cung cấp rất nhiều giải pháp về Wireless IDS.
      AirMagnet cung cấp giải pháp phân tích WLAN từ xa cho Cisco.

      IV. Cấu hình cho AP tham gia vào IDS

      IV.1. Cấu hình cho AP ở chế độ scanner mode


      Ở chế độ scanner mode, AP sẽ quét tất cả các kênh đang được kích hoạt . Một AP ở chế độ scanner sẽ không chấp nhận sự kết nối của client. Dùng CLI để cấu hình AP tham gia vào chế độ scanner:

      AP(config)# int dot11radio 0
      AP(config)# station role scanner

      AP(config)#end


      1.Cấu hình AP ở chế độ monitor

      Khi AP được cấu hình ở chế độ scanner nó cũng thực hiện bắt gói ở chế độ monitor. Ở chế độ monitor AP bắt gói 802.11 và chuyển tiếp đến máy có cài đặt IDS. AP thêm 28 byte header vào mỗi frame mà nó chuyển tiếp, và bộ máy có cài đặt IDS sử dụng thông tin header để phân tích. AP sử dụng giao thức UDP để để chuyển tiếp gói đã được bắt. Nhiều gói được bắt sẽ kết hợp với một gói UDP để hạn chế việc tiêu tốn băng thông.
      Ở chế độ scanner, AP sẽ quét tất cả các kênh đang được kích hoạt. Tuy nhiên, ở chế độ monitor AP chỉ quét kênh đã được cấu hình.
      Những bước cấu hình cho AP tham gia bắt gói và chuyển gói 802.11:

      AP(config)# int dot11radio 0
      AP(config)# monitor frames endpoint ip address 192.168.1.10 port 2000 truncate 512


      Kiểm tra cấu hình đang chạy:

      AP#show runBuilding configuration...
      Current configuration : 1525 bytes

      !

      version 12.4

      no service pad

      service timestamps debug datetime msec

      service timestamps log datetime msec

      service password-encryption
      !
      hostname ap

      !

      enable secret 5 $1$dEaG$.lrLC4DffBIIXqHJEcsMy1

      !
      no aaa new-model
      !

      resource policy
      !
      ip subnet-zero

      !
      !!
      dot11 ssid BCVT
      authentication open
      !

      dot11 ssid bcvt

      !

      !

      !

      username Cisco password 7 1531021F0725

      !

      bridge irb

      !
      !interface Dot11Radio0
      no ip address

      no ip route-cache

      !

      ssid BCVT
      !
      station-role scanner

      monitor frames endpoint ip address 192.168.1.10 port 2000 truncate 512
      bridge-group 1
      bridge-group 1 subscriber-loop-control

      bridge-group 1 block-unknown-source

      no bridge-group 1 source-learning

      unicast-flooding

      bridge-group 1 spanning-disabled

      !

      interface Dot11Radio1

      no ip address

      no ip route-cache

      shutdown

      dfs band 3 block

      channel dfs

      station-role root

      bridge-group 1

      bridge-group 1 subscriber-loop-control

      bridge-group 1 block-unknown-source

      no bridge-group 1 source-learning

      no bridge-group 1 unicast-flooding

      bridge-group 1 spanning-disabled

      !
      interface FastEthernet0

      no ip address
      no ip route-cache
      duplex auto

      speed auto

      bridge-group 1
      source-learning
      bridge-group 1 spanning-disabled

      !

      interface BVI1

      ip address 192.168.1.1 255.255.255.0

      no ip route-cache

      !
      ip http server
      no ip http secure-server

      ip http help-path
      http://www.cisco.com/warp/public/779...onfig/help/eag

      !

      control-plane

      !

      bridge 1 route ip

      !

      !
      !
      line con 0
      line vty 0 4

      login local

      !
      End



      Đến đây ta xem như đã hoàn thành xong bước đầu tiên của WIDS : Lí thuyết tổng quát.
      Phạm Minh Tuấn

      Email : phamminhtuan@vnpro.org
      Yahoo : phamminhtuan_vnpro
      -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment

      Working...
      X