Hệ thống phát hiện xâm nhập trong mạng không dây ( wifi ) IDS

I. Những nguy cơ về bảo mật của mạng không dây Ngày nay mạng không dây (Wireless LAN) đang là một xu thế mới trong sự phát triển của công nghệ mạng. Mạng không dây mang lại cho người dùng sự tiện lợi bởi tính cơ động, sự không phụ thuộc vào dây nối và người dùng mạng không dây có thể truy cập mạng tại bất cứ vị trí nào miễn là nơi đó có các điểm truy nhập (Access Point - AP). Tuy nhiên, trong mạng không dây cũng tồn tại những nguy cơ rất lớn về bảo...
Nội dung trích xuất từ tài liệu:
Hệ thống phát hiện xâm nhập trong mạng không dây ( wifi ) IDS Hệ thống phát hiện xâm nhập trong mạng không dây ( wifi ) IDSI. Những nguy cơ về bảo mật của mạng không dâyNgày nay mạng không dây (Wireless LAN) đang là một xu thế mới trong sự pháttriển của công nghệ mạng. Mạng không dây mang lại cho người dùng sự tiện lợibởi tính cơ động, sự không phụ thuộc vào dây nối và người dùng mạng không dâycó thể truy cập mạng tại bất cứ vị trí nào miễn là nơi đó có các điểm truy nhập(Access Point - AP). Tuy nhiên, trong mạng không dây cũng tồn tại những nguycơ rất lớn về bảo mật, những lỗ hổng cho phép tin tặc có thể xâm nhập vào hệthống để ăn cắp thông tin hay phá hoại.Không có một mạng nào là an toàn tuyệt đối. Đối với mạng không dây, cấu trúcvật lý mang lại sự an toàn nhưng cơ chế truyền tin không dây giữa các node mạnglại kéo theo những lỗ hổng bảo mật, do vậy luôn cần phải chứng thực giữa cácngười dùng trong mạng. Những hình thức tấn công xâm nhậplợi dụng những lỗhổng của mạng không dây phổ biến nhất là nghe trộm, xâm nhập trái phép vàomạng, tấn công vào tính toàn vẹn của dữ liệu, từ chối dịch vụ v.v.. Công nghệkhông dây có nhiều chuẩn khác nhau như 802.11, 802.11a. 802.11b, 802.11g,802.16 v.v.., mỗi chuẩn có những lỗ hổng về kỹ thuật khác nhau nhưng nhìnchung những lố hổng đó đều được tin tặc khai thác nhằm vào sự tin cậy, tính toànvẹn của dữ liệu, hay gây ra các cuộc tấn công từ chối dịch vụ làm treo cả hệ thống.802.11 là một trong những mạng không dây đầu tiên đã trở nên rất phổ biến, bởivậy các tin tặc rất quan tâm đến những lỗi dễ bị tấn công của 802.11 để thực hiệnhành vi trộm cắp dịch vụ. Bài báo này sẽ đề cập đến một số hình thức tấn côngxâm nhập cũng như hệ thống phát hiện xâm nhập (Intrusion Detection System)trong mạng không dây chuẩn 802.11.II. Một số hình thức tấn công xâm nhập mạng phổ biến2.1 Tấn công không qua chứng thực2.2 Tấn công truyền lại2.3 Giả mạo AP2.4 Tấn công dựa trên sự cảm nhận sóng mang lớp vật lý2.5 Giả địa chỉ MAC2 .6 Tấn công từ chối dịch vụIII. Hệ thống phát hiện xâm nhập trong mạng không dây (WLAN IntrusionDetection System)3.1. Các kỹ thuật phát hiện xâm nhập IDS (Intrusion Detection System)Mục tiêu của việc phát hiện xâm nhập là xác định các hoạt động trái phép, dùngsai, lạm dụng đối với hệ thống máy tính gây ra bởi cả người dùng trong hệ thốnglẫn người xâm nhập ngoài hệ thống.Phát hiện xâm nhập trái phép là một công việc đầy khó khăn do ảnh hưởng của sựtăng trưởng nhanh chóng các kết nối mạng, môi trường máy tính không đồng nhất(hệ điều hành hỗn hợp), nhiều giao thức truyền thông và sự phân loại đáng kể củacác ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựngdựa trên sự khác biệt ứng xử của kẻ xâm nhập so với người dùng hợp lệ.Người ta phân chia thành một số loại IDS như sau:Network-based IDS và Host-Based IDS:Network-based IDS dùng các phân tích tải mạng để so sánh dữ liệu phiên với cơsở dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khiphát hiện được, network-based IDS có thể phản ứng lại bằng cách ghi lại phiêntruyền thông, cảnh báo nhà quản trị, chấm dứt phiên đó, và có thể đưa vàofirewall.Host-based IDS thì phân tích log của hệ điều hành và ứng dụng của hệ thống, sosánh sự kiện với cơ sở dữ liệu đã biết về các vi phạm bảo mật và các chính sáchđược đặt ra. Chúng xem xét log của hệ điều hành, log truy nhập, log của ứng dụng,cũng như các chính sách của ứng dụng do người dùng định nghĩa. Nếu thấy có viphạm chúng có thể phản ứng bằng cách ghi lại hành động đó, cảnh báo cho nhàquản trị, và trong một số trường hợp ngừng hành động trước khi nó xảy ra. Sự kếthợp của network based IDS và host-based IDS cung cấp sự bảo vệ đáng kể và sựthi hành chính sách với công ty mọi cỡ và chức năng kinh doanh.Misuse-based IDS và Anomaly-based IDS:Misuse-based IDS có thể phân chia thành hai loại dựa trên cơ sở dữ liệu về kiểutấn công, đó là knowledge-based và signature-based.Misuse-based IDS với cơ sở dữ liệu knowledge-based lưu dữ thông tin về cácdạng tấn công. Dữ liệu kiểm kê được thu thập bởi IDS để so sánh với nội dung củacơ sở dữ liệu, và nếu thấy có sự giống nhau thì tạo ra cảnh báo. Sự kiện khôngtrùng với bất cứ dạng tấn công nào thì được coi là những hành động chính đáng.Lợi thế của mô hình này là chúng ít khi tạo ra cảnh báo sai do dựa trên mô tả chitiết về kiểu tấn công. Tuy nhiên mô hình này có điểm yếu, trước tiên với số lượngkiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ l àm cơ sở dữliệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thểphát hiện được các kiểu tấn công đã biết trước nên cần phải được cập nhật thườngxuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới. ...