     !!"#$%   !"!#$%&%' "(%)*+,-#%&% .!&/ '01,2!'3# #4#56/$2,178,#),9:;#2 !"<** -2='>,>0 '?@'? @>1 ,0 @'?@ ,$*7A,?70#B'&CD #4'6EC7&7A,&70 #B'#=&7&,7A,?  !!&/&'()*!) ##!FG,#= H,70$1* Quote: Ta có thể hiểu tóm tắt về IDS như sau : + Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ Giám sát : lưu lượng mạng + các hoạt động khả nghi. Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị. Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. + Chức năng mở rộng : Phân biệt : "thù trong giặc ngoài" Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline +,-*./! I2J!)01.234'()5+&.(04'()5 KL +6 M5#B>,$6!'?&!'?#= '5&,* I2=6')E.?'#56N,E C#B?O*IG678#=#5!#5 P7Q*R?2=%,5ST,$5 !!#U.,* Quote: NIDS : Ví trí : mạng bên trong NIDS mạng bên ngoài Loại : hardware (phần cứng) hoặc software (phần mềm) Nhiệm vụ : chủ yếu giám sát lưu lượng ra vào mạng. Nhược điểm : Có thể xảy ra hiện tượng nghẽn khi lưu lượng mạng hoạt động ờ mức cao. V%FL −!(7. LWWXXX**WWYW7W***ZZ[W7* −2'.89, LWWXXX*,*W7W,7****, ++ M5#BQ'?O2U?!D C&/+*\=5&,?O"2 =#5=$,?CO!*K2 =#5#B?C7!O$,Q= G"!"O,*K]'!A !#!!+$ =A #5*^5#4P/OK#5O&=(, 6_$ .,4=*K#56$6!# G6?#C`7X"B78&&a2%F !#C.7QY+b&C#C$* Quote: HIDS : Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS. Loại : software (phần mềm) Nhiệm vụ : phân tích lưu lượng ra vào mạng chuyển tới máy tính cài đặt HIDS Ưu điểm : + Cài đặt trên nhiều dạng máy tính : xách tay, PC,máy chủ + Phân tích lưu lượng mạng rồi mới forward. Nhược điểm : Đa số chạy trên hệ điều hành Window . Tuy nhiên cũng đã có 1 số chạy được trên Unix và những hệ điều hành khác. V%F6 −.20:!;<=>.<)(.?27)@ ^?LLWWXXX**W −AB$)0('')2C ^?LLWWXXX*c*W,Wd,7&eZfJg***$7eZ[ZhiJZ[ −ELM 5.0 TNT software: ^?LLWWXXX*jX,*W7j,*, D 73E0?F0GH*I5J*!"?KL7(H5M02.7 7"0N < 0!"G-#F<6 :Q&$=D#5P7Q#=" D6Pk$,-#5P7Q7>#&/ * −Hệ thống Expert l Quote: Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom & Sense và ComputerWatch (được phát triển tại AT&T). −, 0!"G-#F<5O'02P*?F0:?*)Q4'()502?(!. )0)70!.@6 Quote: Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn công. Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi(record). Một kịch bản tấn công có thể được mô tả, ví dụ như một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được trong cuộc kiểm định. Phương pháp này sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định. Sự phát hiện được thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường được sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)). −,-&!"0IKRS!5T:()2!0)0!.!5)0!U7'0!.@6 Quote: Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra. −,-0=702/0 !<!P:0'0)Q02'(!0!.''*V(!(@6 Quote: Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ trạng thái phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các hành động đã được định trước. −,< <<-0=70N3P:0'0!(0!7'*''*V(!( '<<2.'7@6 Quote:  !" W$!S!5T'V"0N:0F<7 70?X70=@KL70= 0).#X0(N&!Y0S!!'mO7Q"'6L#n1 78"#n0"$%1," 0P7Q$ ,#o,"'/"I:Y"<I$p02= ,#T@&_#6*K)2o, q'6#5P7Q#=A&5(r#5#) o,@/*+,%D#D%-$ 65 #5&/ H&178#=H*ID7A, &&D(, &C178?s&/'6 2#4#5!-O2(%* mH&" H&D&C&178#4#5 ='3P7Q 178t!B7!* I 1?#50#='t$)&/,#T &178*ID$?1#5P 7Q&'T7A,? &1 78 1* Z!2)*)((6 #$%& !`^u+`&7[!%?3 7&!"0&/  1!^u+27C* R`^u+" 1C$ $O"6')2q5 FihJ*ZZ!&G2#C2=&!* #2E2(O! #( 07\&P02.$W&P.W!"0N #/V`1O2E .&EC#B'#=!#'01* ,]7^1!2)*)((2COn&/,7!X  1"2',;&giám sát tần số sóngvwv,7 j("phát hiện nhiễu"<*V`',;,C6 ')t#=#),9_V7,uI"" #BO#56U!"#C"$?!" !42,"<** Quote: Tóm lại Wireless IDS có : + Vị trí cần phải giám sát (rất chặt chẽ) : bên trong và bên ngoài mạng. +Thiết bị và chức năng : phần cứng và phần mềm chuyên dụng có nhiều tín năng : thu thập địa chỉ MAC, SSID, đặc tính : thiết lập các trạm + tốc độ truyền + kênh + trạng thái mã hóa. '()*"+,$- −x&O!#G,178&* −+7!0 #4'6* −b#)!#'01G,!* −b#)O'%`^u+* −R0%C !$ 7&#,, %'7A,?>70#4'6,A'01 C * ./0%12- `2J H!#L&L .#$3,4!$- Z0F<02?2'#=0%7> G,%'6!?s&=_/6')(%k "D7>#5>&Pk* KE6#C2C%'6#=2= !&!*Ic&O' ##C#5P&C6')(%k"6')2= 78(%k-0%%'6*Z0F< 02?<TL<$`!#/Za_</#$!2X$b5;c?\*I$W !"?c?\02.$!"7GH*I5J*!"? .'$!,4$- `A%56789*:7;*d bWV<TL<$`!#/Za_e$W7[=0_77)((,.!0f 1!2)*)((<-0 0!Y03!"#7!<=(.$`!Z0F< 02? <=1>,? <#@!A)B$CD)E1 2+,1F :O$%nAG,!X#C#6& 2&%4*,#252!#=A$6!* mO_,'6#5A%,#&/!#,! #* K`'`^u+"=65#4#5 T5&5@'%'6*,#2O 5#4#5*+65#4#5O2A'0 1H%'S#5=)* ^5#52=#5>?$ B#5&7,,',* Quote: WIDS -> thu thập lưu lượng mạng-> phân tích-> phát hiện bất thường-> cảnh báo [...]... nhiều vị trí có thể giúp ta xác định được vấn đề gây ra do bởi sự khác nhau về các dòng sản phẩm, phiên bản về phần mềm hệ thống( firmware), và về cấu hình Đến đây chúng ta hầu như đã có cái nhìn sơ bộ về WIDS, và việc cần làm là dùng những thiết bị WIDS để áp dụng vào mạng không dây của doanh nghiệp III Một số sản phẩm WIDS: III.1 AirDefense: Liên hệ:http://www.airdefense.net/products/index.php Là... các trạm ẩn −Số lần thực hiện kết nối vào mạng quá nhiều −… I.1.3 Lập báo cáo về khả năng thực thi mạng Thông tin thu thập được bởi WIDS tạo ra cơ sở dữ liệu được sử dụng để lập báo cáo về tình trạng hoạt động của mạng và lập ra kế hoạch cho hệ thống mạng Báo cáo của WIDS có thể bao gồm 10 AP có cảnh báo nhiều nhất, biểu đồ hoạt động của các trạm theo thời gian, cách sử dụng trãi phổ… Xu hướng gửi... thống WIDS có thể gửi cảnh báo trong một số trường hợp sau: −AP bị quá tải khi có quá nhiều trạm kết nối vào −Kênh truyền quá tải khi có quá nhiều AP hoặc lưu lượng sử dụng cùng kênh −AP có cấu hình không thích hợp hoặc không đồng nhất với các AP khác trong hệ thống mạng −Số các gói fragment quá nhiều WIDS dò ra được các trạm ẩn −Số lần thực hiện kết nối vào mạng quá nhiều −… I.1.3 Lập báo cáo về khả... chính sách giám sát, tự bảo vệ, phân tích sự cố và sửa chữa từ xa III.2 Airmagnet: Liên hệ:http://www.airmagnet.com/ Cung cấp rất nhiều giải pháp về Wireless IDS AirMagnet cung cấp giải pháp phân tích WLAN từ xa cho Cisco IV Cấu hình cho AP tham gia vào IDS IV.1 Cấu hình cho AP ở chế độ scanner mode Ở chế độ scanner mode, AP sẽ quét tất cả các kênh đang được kích hoạt Một AP ở chế độ scanner sẽ không... độ monitor Khi AP được cấu hình ở chế độ scanner nó cũng thực hiện bắt gói ở chế độ monitor Ở chế độ monitor AP bắt gói 802.11 và chuyển tiếp đến máy có cài đặt IDS AP thêm 28 byte header vào mỗi frame mà nó chuyển tiếp, và bộ máy có cài đặt IDS sử dụng thông tin header để phân tích AP sử dụng giao thức UDP để để chuyển tiếp gói đã được bắt Nhiều gói được bắt sẽ kết hợp với một gói UDP để hạn chế việc . ##!FG,#= H,70$1* Quote: Ta có thể hiểu tóm tắt về IDS như sau : + Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ Giám sát : lưu lượng mạng + các hoạt động khả nghi. Cảnh báo : báo cáo về tình trạng mạng cho. .,4=*K#56$6!# G6?#C`7X"B78&&a2%F !#C.7QY+b&C#C$* Quote: HIDS : Ví trí : cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS. Loại : software (phần mềm) Nhiệm vụ : phân tích lưu lượng ra vào mạng chuyển tới máy tính cài đặt HIDS . hệ:http://www.airmagnet.com/ Cung cấp rất nhiều giải pháp về Wireless IDS. AirMagnet cung cấp giải pháp phân tích WLAN từ xa cho Cisco. IV. Cấu hình cho AP tham gia vào IDS IV.1. Cấu hình cho AP ở chế độ scanner