Tweet
1/Các kỹ thuật phát hiện xâm nhập IDS (Intrusion Detection System)
Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng sai, lạm dụng đối với hệ thống máy tính gây ra bởi cả người dùng trong hệ thống lẫn người xâm nhập ngoài hệ thống.
Phát hiện xâm nhập trái phép là một công việc đầy khó khăn do ảnh hưởng của sự tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất (hệ điều hành hỗn hợp), nhiều giao thức truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập so với người dùng hợp lệ.
Người ta phân chia thành một số loại IDS như sau:
+Network-based IDS và Host-Based IDS:
- Network-based IDS dùng các phân tích tải mạng để so sánh dữ liệu phiên với cơ sở dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khi phát hiện được, network-based IDS có thể phản ứng lại bằng cách ghi lại phiên truyền thông, cảnh báo nhà quản trị, chấm dứt phiên đó, và có thể đưa vào firewall.
- Host-based IDS thì phân tích log của hệ điều hành và ứng dụng của hệ thống, so sánh sự kiện với cơ sở dữ liệu đã biết về các vi phạm bảo mật và các chính sách được đặt ra. Chúng xem xét log của hệ điều hành, log truy nhập, log của ứng dụng, cũng như các chính sách của ứng dụng do người dùng định nghĩa. Nếu thấy có vi phạm chúng có thể phản ứng bằng cách ghi lại hành động đó, cảnh báo cho nhà quản trị, và trong một số trường hợp ngừng hành động trước khi nó xảy ra. Sự kết hợp của network based IDS và host-based IDS cung cấp sự bảo vệ đáng kể và sự thi hành chính sách với công ty mọi cỡ và chức năng kinh doanh.
+Misuse-based IDS và Anomaly-based IDS:
Misuse-based IDS có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công, đó là knowledge-based và signature-based.
- Misuse-based IDS với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới.
- Signature-based IDS là hệ sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu hiệu. Dấu hiệu bao gồm một nhóm các thông tin cần thiết để mô tả kiểu tấn công. Ví dụ như hệ network IDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin có liên quan đến kiểu tấn công đã biết.
Thường thì dấu hiệu được lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý, sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ tạo ra cảnh báo. Signature-based IDS hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo và thường yêu cầu ít tài nguyên tính toán.Tuy nhiên, chúng có những điểm yếu sau:
+ Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu.
+ Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu, nên kích cỡ của nó sẽ trở nên rất lớn.
+ Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó.
Ví dụ quen thuộc về signature-based IDS là Snort, EMERALD và nhiều sản phẩm thương mại khác.
Anomaly-based IDS: Dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu, do đó trước tiên hệ cần xây dựng mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường (như những hành động không phù hợp với mẫu hành động đã cho).
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó.
Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi. Hơn nữa, sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi trường nhất định là rất khó, vì sự không bình thường là đặc tính của môi trường. Cuối cùng, một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện.
Khi chúng ta so sánh IDS thông thường (IDS trong mạng có dây) với IDS trong mạng không dây thì khác biệt duy nhất đó là topology của mạng và phải rà quét trong không gian chứ không phải trên dây dẫn, tất cả các thành phần khác đều giống nhau.
2/ Wireless IDS
Cách làm việc của IDS trong mạng WLAN có nhiều khác biệt so với môi trường mạng LAN truyền thống. Trong môi trường mạng có dây ta có toàn quyền quản lý đối với các loại lưu lượng được truyền trên dây dẫn. Trong WLAN, không khí là môi trường truyền dẫn, tất cả mọi người trong phạm vi phủ sóng của tần số theo chuẩn 802.11 đều có thể truy cập vào mạng. Do đó cần phải có sự giám sát cả bên trong và bên ngoài mạng WLAN. Một khác biệt nữa là wireless IDS cần cho mạng máy tính đã triển khai WLAN và cả những nơi chưa triển khai WLAN. Lý do là dù khả năng bị tấn công từ mạng WLAN vào mạng LAN chưa rõ ràng nhưng đó là một mối đe dọa thực sự. Sự đe dọa này được coi là chỉ liên quan đến ai sử dụng WLAN nhưng sự thực thì toàn bộ tổ chức mạng LAN đều nên giám sát lưu lượng lưu chuyển trong mạng WLAN để chắc chắn loại bỏ sự đe dọa từ không gian xung quanh. Một điều luôn phải để tâm đến là các AP giả mạo bất kể bạn đang dùng mạng không dây hay mạng LAN truyền thống. Luôn nhớ rằng AP giả mạo có thể là thiết bị được cài đặt dù có hay không có ý đồ xấu. Đôi khi bạn không thể biết chắc ai đó đã triển khai WLAN trong khi bạn cho rằng công nghệ không dây chưa được thực hiện trong mạng của mình.
Wireless IDS có thể cấu hình theo mô hình tập trung hoặc phân tán. Trong mô hình tập trung, một bộ tập trung sẽ thu thập tất cả các dữ liệu tần số 802.11 của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý để phát hiện xâm nhập. Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Để thuận tiện, log file và các tín hiệu báo động đều được đưa về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu
Trong khi đó Wireless IDS phân tán bao gồm một hoặc nhiều thiết bị thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít hơn 3 AP, wireless IDS phân tán tất nhiên sẽ tiết kiệm chi phí hơn.
WLAN thường được thiết kế để có thể bao phủ một phạm vi vật lý rộng lớn đảm bảo cho người dùng hợp pháp có thể truy cập thuận tiện từ nhiều nơi khác nhau. Chính vì lý do đó, nhiều điểm truy cập không dây phải được thiết lập ở các vị trí khác nhau trong mạng để đảm bảo độ đồng đều tín hiệu cho toàn mạng. Một quy tắc chung khi triển khai giải pháp IDS không dây là các cảm biến phải đặt ngay ở nơi AP được cài đặt. Lợi thế rõ nhất của việc làm này là có thể bảo vệ cho mạng WLAN một cách toàn diện và triệt để. Ngoài ra tuân theo quy tắc này kẻ tấn công sẽ bị định vị chính xác dễ dàng hơn sau khi người quản trị xác định được cảm biến nào đặt gần kẻ tấn công nhất. Hầu hết các chính sách bảo mật cho WLAN đều đề xuất rằng mọi truyền thông trong mạng không dây đều cần mã hóa. Do đó wireless IDS có thể kiểm soát tất cả các lưu lượng và dữ liệu từ AP tới các thiết bị không dây khác và cảnh báo bất cứ khi nào phát hiện thấy dữ liệu chưa được mã hóa. Một thuộc tính khác có thể thực hiện cho Wireless IDS là tạo một danh sách các AP hợp lệ, do đó bất cứ khi nào không nhận diện được hay phát hiện ra một AP giả mạo Wireless IDS có thể nhanh chóng phát hiện và cảnh báo.
3/ Triển khai hệ thống Wireless IDS
Wireless IDS sẽ kiểm tra mạng WLAN bằng cách sử dụng thiết bị kết hợp giữa phần mềm và phần cứng, gọi là cảm biến phát hiện xâm nhập. Cảm biến này sẽ đứng trong mạng và kiểm tra tất cả các lưu lượng trong mạng. Việc đầu tiên khi thiết lập IDS là phải xác định nơi nào tốt nhất để đặt cảm biến. Để ra được quyết định trước hết phải có vài phân tích chi tiếp về mạng WLAN hiện tại.
- Tòa nhà được xây dựng bằng loại vật liệu gì? Khung thép hay gỗ ?(Với khung thép sẽ giới hạn phạm vi truyền sóng không dây)
- Khu vực mạng có phải giữ biệt lập không?
- Địa chỉ MAC nào đang dùng (danh sách này có thể dùng như một vạch ranh giới để so sánh sau này)
- Những điểm truy cập hợp lệ đã có là gì ? (Tất nhiên, danh sách này cũng dùng để so sánh sau này) v.v..
Dựa trên những thông tin này và những thông tin có được từ việc rà quét mạng- dùng một phần mềm mã nguồn mở như Kismet ta có thể dựng nên một bức tranh về hệ thống WLAN của mình: AP đặt ở đâu, ai dùng chúng, cường độ tín hiệu. Từ đây ta sẽ xác định vị trí và số lượng của các cảm biến IDS.
Khi ta đã có các cảm biến trong mạng, cường độ tín hiệu của các AP có thể được điều chỉnh hoặc chặn lại để có phạm vi che phủ mong muốn, lưu lượng mạng có thể được phân tích. Theo kinh nghiệm của các tác giả, bốn cảm biến và một máy chủ (trung tâm được thiết kế để tiếp nhận các thông tin từ các IDS) là một mô hình triển khai tối thiểu cho các mạng WLAN vừa và nhỏ và yêu cầu phải thành thạo các kỹ thuật sau:
- Phân tích dữ liệu IDS, nghĩa là phải làm sáng tỏ các báo động của IDS và đưa ra phương án đối phó.
- Lập trình phần mềm để lập trình cho các công cụ tương hợp
- Quản lý cơ sở dữ liệu IDS
Cách đơn giản nhất để thiết lập một Wireless IDS là sử dụng công cụ mã nguồn mở rà quét giống như tin tặc. Những công cụ đó chia làm hai loại, quét chủ động và quét thụ động hay còn gọi là sniffer. Những phần mềm dạng này như Kismet và Netstumbler miễn phí trên Internet.
Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùng sai, lạm dụng đối với hệ thống máy tính gây ra bởi cả người dùng trong hệ thống lẫn người xâm nhập ngoài hệ thống.
Phát hiện xâm nhập trái phép là một công việc đầy khó khăn do ảnh hưởng của sự tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất (hệ điều hành hỗn hợp), nhiều giao thức truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập so với người dùng hợp lệ.
Người ta phân chia thành một số loại IDS như sau:
+Network-based IDS và Host-Based IDS:
- Network-based IDS dùng các phân tích tải mạng để so sánh dữ liệu phiên với cơ sở dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khi phát hiện được, network-based IDS có thể phản ứng lại bằng cách ghi lại phiên truyền thông, cảnh báo nhà quản trị, chấm dứt phiên đó, và có thể đưa vào firewall.
- Host-based IDS thì phân tích log của hệ điều hành và ứng dụng của hệ thống, so sánh sự kiện với cơ sở dữ liệu đã biết về các vi phạm bảo mật và các chính sách được đặt ra. Chúng xem xét log của hệ điều hành, log truy nhập, log của ứng dụng, cũng như các chính sách của ứng dụng do người dùng định nghĩa. Nếu thấy có vi phạm chúng có thể phản ứng bằng cách ghi lại hành động đó, cảnh báo cho nhà quản trị, và trong một số trường hợp ngừng hành động trước khi nó xảy ra. Sự kết hợp của network based IDS và host-based IDS cung cấp sự bảo vệ đáng kể và sự thi hành chính sách với công ty mọi cỡ và chức năng kinh doanh.
+Misuse-based IDS và Anomaly-based IDS:
Misuse-based IDS có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểu tấn công, đó là knowledge-based và signature-based.
- Misuse-based IDS với cơ sở dữ liệu knowledge-based lưu dữ thông tin về các dạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung của cơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện không trùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng. Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chi tiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới.
Thường thì dấu hiệu được lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Trong quá trình xử lý, sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ tạo ra cảnh báo. Signature-based IDS hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo và thường yêu cầu ít tài nguyên tính toán.Tuy nhiên, chúng có những điểm yếu sau:
+ Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu.
+ Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào cơ sở dữ liệu, nên kích cỡ của nó sẽ trở nên rất lớn.
+ Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó.
Ví dụ quen thuộc về signature-based IDS là Snort, EMERALD và nhiều sản phẩm thương mại khác.
Anomaly-based IDS: Dựa trên giả thiết là những hành động không bình thường là có ý đồ xấu, do đó trước tiên hệ cần xây dựng mẫu hành động bình thường của hệ thống rồi mới xác định các hành động không bình thường (như những hành động không phù hợp với mẫu hành động đã cho).
Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó.
Nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung là tính đa dạng và thay đổi. Hơn nữa, sự nhập nhằng của giao thức tầng dưới và sự khác biệt của các ứng dụng làm việc phát hiện các hành vi không bình thường trong một môi trường nhất định là rất khó, vì sự không bình thường là đặc tính của môi trường. Cuối cùng, một vài kiểu tấn công mới có khả năng giả mạo các hành động hợp pháp và có thể không bị phát hiện.
Khi chúng ta so sánh IDS thông thường (IDS trong mạng có dây) với IDS trong mạng không dây thì khác biệt duy nhất đó là topology của mạng và phải rà quét trong không gian chứ không phải trên dây dẫn, tất cả các thành phần khác đều giống nhau.
2/ Wireless IDS
Cách làm việc của IDS trong mạng WLAN có nhiều khác biệt so với môi trường mạng LAN truyền thống. Trong môi trường mạng có dây ta có toàn quyền quản lý đối với các loại lưu lượng được truyền trên dây dẫn. Trong WLAN, không khí là môi trường truyền dẫn, tất cả mọi người trong phạm vi phủ sóng của tần số theo chuẩn 802.11 đều có thể truy cập vào mạng. Do đó cần phải có sự giám sát cả bên trong và bên ngoài mạng WLAN. Một khác biệt nữa là wireless IDS cần cho mạng máy tính đã triển khai WLAN và cả những nơi chưa triển khai WLAN. Lý do là dù khả năng bị tấn công từ mạng WLAN vào mạng LAN chưa rõ ràng nhưng đó là một mối đe dọa thực sự. Sự đe dọa này được coi là chỉ liên quan đến ai sử dụng WLAN nhưng sự thực thì toàn bộ tổ chức mạng LAN đều nên giám sát lưu lượng lưu chuyển trong mạng WLAN để chắc chắn loại bỏ sự đe dọa từ không gian xung quanh. Một điều luôn phải để tâm đến là các AP giả mạo bất kể bạn đang dùng mạng không dây hay mạng LAN truyền thống. Luôn nhớ rằng AP giả mạo có thể là thiết bị được cài đặt dù có hay không có ý đồ xấu. Đôi khi bạn không thể biết chắc ai đó đã triển khai WLAN trong khi bạn cho rằng công nghệ không dây chưa được thực hiện trong mạng của mình.
Wireless IDS có thể cấu hình theo mô hình tập trung hoặc phân tán. Trong mô hình tập trung, một bộ tập trung sẽ thu thập tất cả các dữ liệu tần số 802.11 của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý để phát hiện xâm nhập. Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Để thuận tiện, log file và các tín hiệu báo động đều được đưa về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. Wireless IDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu
Trong khi đó Wireless IDS phân tán bao gồm một hoặc nhiều thiết bị thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít hơn 3 AP, wireless IDS phân tán tất nhiên sẽ tiết kiệm chi phí hơn.
WLAN thường được thiết kế để có thể bao phủ một phạm vi vật lý rộng lớn đảm bảo cho người dùng hợp pháp có thể truy cập thuận tiện từ nhiều nơi khác nhau. Chính vì lý do đó, nhiều điểm truy cập không dây phải được thiết lập ở các vị trí khác nhau trong mạng để đảm bảo độ đồng đều tín hiệu cho toàn mạng. Một quy tắc chung khi triển khai giải pháp IDS không dây là các cảm biến phải đặt ngay ở nơi AP được cài đặt. Lợi thế rõ nhất của việc làm này là có thể bảo vệ cho mạng WLAN một cách toàn diện và triệt để. Ngoài ra tuân theo quy tắc này kẻ tấn công sẽ bị định vị chính xác dễ dàng hơn sau khi người quản trị xác định được cảm biến nào đặt gần kẻ tấn công nhất. Hầu hết các chính sách bảo mật cho WLAN đều đề xuất rằng mọi truyền thông trong mạng không dây đều cần mã hóa. Do đó wireless IDS có thể kiểm soát tất cả các lưu lượng và dữ liệu từ AP tới các thiết bị không dây khác và cảnh báo bất cứ khi nào phát hiện thấy dữ liệu chưa được mã hóa. Một thuộc tính khác có thể thực hiện cho Wireless IDS là tạo một danh sách các AP hợp lệ, do đó bất cứ khi nào không nhận diện được hay phát hiện ra một AP giả mạo Wireless IDS có thể nhanh chóng phát hiện và cảnh báo.
3/ Triển khai hệ thống Wireless IDS
Wireless IDS sẽ kiểm tra mạng WLAN bằng cách sử dụng thiết bị kết hợp giữa phần mềm và phần cứng, gọi là cảm biến phát hiện xâm nhập. Cảm biến này sẽ đứng trong mạng và kiểm tra tất cả các lưu lượng trong mạng. Việc đầu tiên khi thiết lập IDS là phải xác định nơi nào tốt nhất để đặt cảm biến. Để ra được quyết định trước hết phải có vài phân tích chi tiếp về mạng WLAN hiện tại.
- Tòa nhà được xây dựng bằng loại vật liệu gì? Khung thép hay gỗ ?(Với khung thép sẽ giới hạn phạm vi truyền sóng không dây)
- Khu vực mạng có phải giữ biệt lập không?
- Địa chỉ MAC nào đang dùng (danh sách này có thể dùng như một vạch ranh giới để so sánh sau này)
- Những điểm truy cập hợp lệ đã có là gì ? (Tất nhiên, danh sách này cũng dùng để so sánh sau này) v.v..
Dựa trên những thông tin này và những thông tin có được từ việc rà quét mạng- dùng một phần mềm mã nguồn mở như Kismet ta có thể dựng nên một bức tranh về hệ thống WLAN của mình: AP đặt ở đâu, ai dùng chúng, cường độ tín hiệu. Từ đây ta sẽ xác định vị trí và số lượng của các cảm biến IDS.
Khi ta đã có các cảm biến trong mạng, cường độ tín hiệu của các AP có thể được điều chỉnh hoặc chặn lại để có phạm vi che phủ mong muốn, lưu lượng mạng có thể được phân tích. Theo kinh nghiệm của các tác giả, bốn cảm biến và một máy chủ (trung tâm được thiết kế để tiếp nhận các thông tin từ các IDS) là một mô hình triển khai tối thiểu cho các mạng WLAN vừa và nhỏ và yêu cầu phải thành thạo các kỹ thuật sau:
- Phân tích dữ liệu IDS, nghĩa là phải làm sáng tỏ các báo động của IDS và đưa ra phương án đối phó.
- Lập trình phần mềm để lập trình cho các công cụ tương hợp
- Quản lý cơ sở dữ liệu IDS
Cách đơn giản nhất để thiết lập một Wireless IDS là sử dụng công cụ mã nguồn mở rà quét giống như tin tặc. Những công cụ đó chia làm hai loại, quét chủ động và quét thụ động hay còn gọi là sniffer. Những phần mềm dạng này như Kismet và Netstumbler miễn phí trên Internet.
Comment