[Wireless LAN]WLAN : Khái niệm , mô hình và tiêu chuẩn

[tranmyphuc1988]

II. Wireless IDS:

I.1. Wireless IDS là gì?

IDS trong mạng WLAN(WIDS) làm việc có nhiều khác biệt so với môi trường mạng LAN có dây truyền thống.
Trong WLAN, môi trường truyền là không khí, các thiết bị có hỗ trợ chuẩn 802.11 trong phạm vi phủ sóng đều có thể truy cập vào mạng. Do đó cần có sự giám sát cả bên trong và bên ngoài hệ thống mạng. Một hệ thống WIDS thường là một hệ thống máy tính có phần cứng và phần mềm đặc biệt để phát hiện các hoạt động bất thường. Phần cứng wireless có nhiều tính năng so với card mạng wireless thông thường , nó bao gồm việc giám sát tần số sóng(RF_Radio frequency), phát hiện nhiễu,…. Một WIDS bao gồm một hay nhiều thiết bị lắng nghe để thu thập địa chỉ MAC (Media Access Control), SSID, các đặc tính được thiết lập ở các trạm, tốc độ truyền, kênh hiện tại, trạng thái mã hóa, …..

Tóm lại Wireless IDS có :
+ Vị trí cần phải giám sát (rất chặt chẽ) : bên trong và bên ngoài mạng.
+Thiết bị và chức năng : phần cứng và phần mềm chuyên dụng có nhiều tín năng : thu thập địa chỉ MAC, SSID, đặc tính : thiết lập các trạm + tốc độ truyền + kênh + trạng thái mã hóa.

II.2. Nhiệm vụ của WIDS:

-Giám sát và phân tích các hoạt động của người dùng và hệ thống.
-Nhận diện các loại tấn công đã biết.
-Xác định các hoạt động bất thường của hệ thống mạng.
-Xác định các chính sách bảo mật cho WLAN.
-Thu thập tất cả truyền thông trong mạng không dây và đưa ra các cảnh báo dựa trên những dấu hiệu đã biết hay sự bất thường trong truyền thông.

II.3. Mô hình hoạt động:

WIDS có 2 mô hình hoạt động là: tập trung và phân tán:

II.3.1. WIDS tập trung (centralized WIDS):

WIDS tập trung có một bộ tập trung để thu thập tất cả các dữ liệu của các cảm biến mạng riêng lẻ và chuyển chúng tới thiết bị quản lý trung tâm, nơi dữ liệu IDS được lưu trữ và xử lý.
Hầu hết các IDS tập trung đều có nhiều cảm biến để có thể phát hiện xâm nhập trong phạm vi toàn mạng. Các log file và các tín hiệu báo động đều được gửi về thiết bị quản lý trung tâm, thiết bị này có thể dùng quản lý cũng như cập nhật cho tất cả các cảm biến. WIDS tập trung phù hợp với mạng WLAN phạm vi rộng vì dễ quản lý và hiệu quả trong việc xử lý dữ liệu.



II.3.2. WIDS phân tán (decentralize WIDS):

WIDS phân tán thực hiện cả chức năng cảm biến và quản lý. Mô hình này phù hợp với mạng WLAN nhỏ và có ít Access Point, wireless IDS phân tán tiết kiệm chi phí hơn so với WIDS tập trung.



II.4. Giám sát lưu lượng mạng( Traffic monitoring)

II.4.1. Xây dựng hệ thống WIDS để phân tích hiệu suất hoạt động của mạng wireless

Phân tích khả năng thực thi của mạng wireless là đề cập đến việc thu thập gói và giải mã. Sau đó tái hợp gói lại để thực hiện kết nối mạng. Việc phân tích giúp ta biết được sự cố xảy ra đối với mạng đang hoạt động.
Hệ thống WIDS giám sát toàn bộ WLAN, chuyển tiếp lưu lượng đã được tổng hợp và thu thập lưu lượng từ các bộ cảm biến. Sau đó phân tích lưu lượng đã thu thập được. Nếu lưu lượng đã được phân tích có sự bất thường thì cảnh báo sẽ được hiển thị.
Lưu lượng thu thập được có thể được lưu trữ trên một hệ thống khác hoặc được log vào database.

WIDS -> thu thập lưu lượng mạng-> phân tích-> phát hiện bất thường-> cảnh báo

II.4.2. Hệ thống WIDS có thể gửi cảnh báo trong một số trường hợp sau:

-AP bị quá tải khi có quá nhiều trạm kết nối vào.
-Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh.
-AP có cấu hình không thích hợp hoặc không đồng nhất với các AP khác trong hệ thống mạng.
-Số các gói fragment quá nhiều.
-WIDS dò ra được các trạm ẩn.
-Số lần thực hiện kết nối vào mạng quá nhiều.
-…
I.1.3. Lập báo cáo về khả năng thực thi mạng

Thông tin thu thập được bởi WIDS tạo ra cơ sở dữ liệu được sử dụng để lập báo cáo về tình trạng hoạt động của mạng và lập ra kế hoạch cho hệ thống mạng
Báo cáo của WIDS có thể bao gồm 10 AP có cảnh báo nhiều nhất, biểu đồ hoạt động của các trạm theo thời gian, cách sử dụng trãi phổ…
Xu hướng gửi cảnh báo là khi AP biểu hiện một số vấn đề mới, hay là hoạt động mạng bị gián đoạn. Khảo sát cảnh báo của các AP khác ở cùng vị trí giúp ta nhận ra được sự khác nhau của các thiết bị bất thường và điều kiện môi trường đã làm ảnh hưởng đến mỗi AP trong vùng như thế nào. Mặt khác, so sánh cảnh báo của các AP qua nhiều vị trí có thể giúp ta xác định được vấn đề gây ra do bởi sự khác nhau về các dòng sản phẩm, phiên bản về phần mềm hệ thống( firmware), và về cấu hình.

Đến đây chúng ta hầu như đã có cái nhìn sơ bộ về WIDS, và việc cần làm là dùng những thiết bị WIDS để áp dụng vào mạng không dây của doanh nghiệp.
III. Một số sản phẩm WIDS
IV. Cấu hình cho AP tham gia vào IDS

[tranmyphuc1988]

III. Một số sản phẩm WIDS:

III.1. AirDefense:




Liên hệ:http://www.airdefense.net/products/index.php
Là một hệ thống ngăn ngừa sự xâm nhập máy và cung cấp cho giải pháp tiện lợi nhất phát hiện , dò tìm sự xâm nhập, chính sách giám sát, tự bảo vệ, phân tích sự cố và sửa chữa từ xa.

III.2. Airmagnet:

Liên hệ:http://www.airmagnet.com/
Cung cấp rất nhiều giải pháp về Wireless IDS. AirMagnet cung cấp giải pháp phân tích WLAN từ xa cho Cisco.

IV. Cấu hình cho AP tham gia vào IDS

IV.1. Cấu hình cho AP ở chế độ scanner mode

Ở chế độ scanner mode, AP sẽ quét tất cả các kênh đang được kích hoạt . Một AP ở chế độ scanner sẽ không chấp nhận sự kết nối của client. Dùng CLI để cấu hình AP tham gia vào chế độ scanner:

AP(config)# int dot11radio 0
AP(config)# station role scanner
AP(config)#end

1.Cấu hình AP ở chế độ monitor

Khi AP được cấu hình ở chế độ scanner nó cũng thực hiện bắt gói ở chế độ monitor. Ở chế độ monitor AP bắt gói 802.11 và chuyển tiếp đến máy có cài đặt IDS. AP thêm 28 byte header vào mỗi frame mà nó chuyển tiếp, và bộ máy có cài đặt IDS sử dụng thông tin header để phân tích. AP sử dụng giao thức UDP để để chuyển tiếp gói đã được bắt. Nhiều gói được bắt sẽ kết hợp với một gói UDP để hạn chế việc tiêu tốn băng thông.
Ở chế độ scanner, AP sẽ quét tất cả các kênh đang được kích hoạt. Tuy nhiên, ở chế độ monitor AP chỉ quét kênh đã được cấu hình. Những bước cấu hình cho AP tham gia bắt gói và chuyển gói 802.11:

AP(config)# int dot11radio 0
AP(config)# monitor frames endpoint ip address 192.168.1.10 port 2000 truncate 512

Kiểm tra cấu hình đang chạy:

AP#show runBuilding configuration...
Current configuration : 1525 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption!
hostname ap
!
enable secret 5 $1$dEaG$.lrLC4DffBIIXqHJEcsMy1
!no aaa new-model
!
resource policy!
ip subnet-zero
!!!
dot11 ssid BCVT authentication open
!
dot11 ssid bcvt
!
!
!
username Cisco password 7 1531021F0725
!
bridge irb
!!interface Dot11Radio0
no ip address
no ip route-cache
!
ssid BCVT !
station-role scanner
monitor frames endpoint ip address 192.168.1.10 port 2000 truncate 512
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled

!
interface FastEthernet0
no ip address no ip route-cache
duplex auto
speed auto
bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path
http://www.cisco.com/warp/public/779...onfig/help/eag
!
control-plane
!
bridge 1 route ip
!

!
!
line con 0
line vty 0 4
login local
!End



Đến đây ta xem như đã hoàn thành xong bước đầu tiên của WIDS : Lí thuyết tổng quát.
Chương 5 :

XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP WIDS

Sẽ giúp các bạn có thể xây dựng một hệ thống phát hiện xâm nhập cho mạng WLAN của doanh nghiệp mình.

Nhầm giúp cho các bạn dễ dàng lưu trữ và sử dụng , tôi đã tập hợp chương 4 thành 2 file tài liệu

File.doc
File.pdf

[tiensidien]

Bạn ơi ? sao không attach cho mọi người cái file, donwnload về in ra làm tại liệu dễ coi hơn....

Cám ơn, tài liệu hay lắm !....

[haodalat]

cảm ơn tranmyphuc1988 dã chia sẻ

[lqkhoi]

Tks, bài viết này tương đương 1 luận văn tốt nghiệp phần lý thuyết nếu đây là bài viết của chính bạn và bạn sinh đúng năm 1988 thì đáng nể

[babylearnit]

cùng ý kiến với lqkhoi, dù sao cũng cám ơn bạn nhé!

[heocondethuong]

Cảm ơn về bài viết của bạn nhưng sao bạn không post link download để dễ in ra làm tài liệu!

[ElNino111]

Bài viết rất chi tiết,cám ơn nhiều...^^

[hoanggiathe1988]

bài này hay wá rất có ích cho mọi người mình nghĩ vậy.thank bạn nhiều nhá!!!

[master2007]

Chờ load lâu và đọc mỏi mắt quá bạn ơi. Lần sau để lại đường link là được rồi