Мобил алоқа тизимларда ахборот хавфсизлиги
bob. Simsiz va mobil tarmoqlar xavfsizliGIni ta’minlovchi texnologiyalar
Yüklə 2,64 Mb.
|
8 bob. Simsiz va mobil tarmoqlar xavfsizliGIni ta’minlovchi texnologiyalar8.1. Simsiz va mobil tarmoqlar uchun bazaviy standart Tarmoq xavfsizligini oshirishga mo’ljallangan ko’pgina texnologiyalar mavjud bo’lib, ularning barchasi ma’lumotlarni himoyalash sohasidagi siyosatning muhim komponentlari, ya’ni autentifikatsiya, ma’lumotlar yaxlitligini madadlash va aktiv tekshirish uchun yechimlarni taklif etadi. Autentifikatsiya deganda keyingi avtorizatsiyalash maqsadida, foydalanuvchi yoki oxirgi qurilmani (mijoz xostini, serverni, kompyuterni, tarmoqlararo ekranni va h.) va uning joylashgan joyini autentifikatsiyasi tushuniladi. Ma’lumotlar yaxlitligi tarmoq infrastrukturasi xavfsizligi, perimetr xavfsizligi va ma’lumotlar konfidensialligi kabi strukturalarni o’z ichiga oladi. Aktiv tekshirish xavfsizlik sohasida o’rnatilgan siyosatning amalda rioya qilinishiga ishonishga va barcha anomal hodisalarni va ruxsatsiz foydalanishga urinishlarini kuzatishga yordam beradi. Simsiz va mobil tarmoqlarda axborotni uzatishni ta’minlovchi bazaviy standart, ma’lumotlarni uzatish uchun protokollar naboridan tashkil topgan IEEE 802.11 (Wi-Fi 802.11) standarti hisoblanadi. Uning asosiy vazifasi - autentifikatsiya. An’anaviy xavfsizlik (Tradition Security Network, TSN) IEEE 802.11 standarti simsiz mijozlarni autentifikatsiyasining ikkita mexanizmini ko’zda tutadi: - ochiq autentifikatsiyani (Open Authentication); - umumiy kalitli autentifikatsiyani (Shared Key Authentication). Ochiq autentifikatsiya foydalanish nuqtasining mijozga tarmoqdan foydalanishga ruxsat berilganligini yoki berilmaganligini aniqlashga imkon bermaydi. Bu, agar simsiz yoki mobil tarmoqda WEP-shifrlash ishlatilmasa, xavfsizlik tizimidagi zaif joyi bo’lib qoladi. WEP-shifrlash xususida ma’lumot pastroqda keltirilgan. IEEE 802.11 standarti mijozning MAC-adresini va radiofoydalanish nuqtalarini ochiq ko’rinishda uzatishni talab qiladi. Natijada, MAC-adres bo’yicha autentifikatsiyani ishlatuvchi simsiz tarmoqda niyati buzuq o’zining MAC-adresini ruxsat etilganiga almashtirish yo’li bilan autentifikatsiya usulini aldashi mumkin. Umumiy kalitli autentifikatsiya ochiq autentifikatsiyaga o’xshash, ammo undan farqli holda WEP-shifrlashning statik kalitini sozlashni talab etadi. IEEE 802.11 standarti bo’yicha autentifikatsiya, simli tarmoqdan farqli holda, tarmoq resurslaridan foydalanuvchi muayyan mijozga emas, balki mijozning radiofoydalanish qurilmasini autentifikatsiyasiga mo’ljallangan. Autentifikatsiya jarayoni quyidagi bosqichlardan iborat (8.1-rasm). 8.1-rasm. 802.11 standarti bo’yicha autentifikatsiya 1. Mijoz Probe Request so’rovi kadrini (freymini) barcha radiokanallarga jo’natadi. 2. Ta’sir doirasida mijoz bo’lgan radiofoydalanishning har bir nuqtasi javob tariqasida Probe Response freymini jo’natadi. 3. Mijoz o’ziga maqul radiofoydalanish nuqtasini tanlaydi va unga xizmat qiluvchi radiokanalga Authentication Request (autentifikatsiyaga so’rov) jo’natadi. 4. Radiofoydalanish nuqtasi Authentication Reply (autentifikatsiya javobini) jo’natadi. 5. Muvaffaqiyatli autentifikatsiya holida mijoz foydalanish nuqtasiga ulanishga Association Request (assotsiyalangan so’rovni) jo’natadi. 6. Foydalanish nuqtasi javob tariqasida Association Response (assotsiyalangan javob) assotsiatsiya tasdig’i freymini jo’natadi. 7. Endi mijoz radiofoydalanish nuqtasi bilan foydalanish trafigini almashishi mumkin. Hozirda IEEE 802.11 ma’lumotlarni turli tezlikda, turli chastota diapazonida va tarmoq xavfsizligining turli darajasida uzatishga imkon beruvchi standartlar guruhidan iborat. IEEE 802.11a - 802.11b ga uzatishning nisbatan yuqori tezligini tavsiflaydi. 5 GGs chastota spektridagi chastota kanallaridan foydalaniladi. Protokol 802.11b bilan qushilishmaydi. IEEE 802.11b - uzatishning katta tezligini tavsiflaydi va katta texnologik cheklashlarni kiritadi. Ushbu standart dastlab Wi-Fi deb atalar edi. 2.4 GGs chastota spektridagi chastota kanallaridan foydalaniladi. IEEE 802.11g - IEEE 802.11a ga ekvivalent ma’lumotlarni uzatish tezligini tavsiflaydi. Protokol IEEE 802.11b bilan qo’shilishadi. IEEE 802.11n - eng ilg’or tijoriy Wi-Fi-standart. 2.4 GGs va 5 GGs chastota spektrlaridagi chastota kanallaridan foydalaniladi. 11b/11a/11g bilan qo’shilishadi. 802.11i - IEEE 802.11 standartining eng himoyalangan varianti. 802.11as yangi Wi-Fi-standart. Faqat 5 GGs chastota polosasida ishlaydi va nisbatan yuqori tezlikni ta’minlaydi. Wi-Fi 802.11a, b, g, n asosiy standartlardan bir qatorda turli servis funksiyalarini amalga oshirish uchun qo’shimcha standartlar ishlatiladi (802.11d, 802.11e, 802.11f, 802.11h, 802.11k, 802.11m, 802.11p, 802.11r, 802.11s, 802.11t, 802.11u, 802.11v, 802.11y, 802.11w). IEEE 802.11i standarti tarkibida autentifikatsiya, har bir sessiya uchun yangi kalitlarni yaratish, kalitlarni boshqarish (Remote Access Dial-In User Service, RADIUS texnologiyasi asosida), paketlar haqiqiyligini tekshirish va h. qismtizimlari mavjud. Ishlab chiqarilgan IEEE 802.11i standarti, uzatiluvchi ma’lumotlarni shifrlash vositalarini, hamda foydalanuvchilarni va ishchi stansiyalarni markazlashgan autentifikatsiyasini ko’zda tutgan holda, IEEE 802.11 standarti imkoniyatlarini kengaytirishga mo’ljallangan. Wi-Fi (Wi-Fi Alliance i IEEE) standartlarni ishlab chiqishda va ilgari surishda ishtirok etuvchi tashkilotlar IEEE 802.11i standartning tarkibiy qismi bo’lib qolgan WPA (Wi-Fi Protected Access, Wi-Fi dan himoyalangan foydalanish) standartni tarqatdi. Ushbu standart turli ishlab chiqaruvchilar uskunalarining qo’shiluvchanligini ham ta’minlaydi. Xavfsizlikning yangi standarti WPA xavfsizlik darajasini WEP ga qaraganda yuqoriroq ta’minlaydi va eski uskunaning dasturiy ta’minotini apparat o’zgarishisiz yangisiga almashtirishga imkon beradi. Keyinroq WPA ning birinchi versiyasiga nisbatan xavfsizlikning yanada yuqoriroq darajasini ta’minlovchi WPA2 standarti ishlab chiqildi va tasdiqlandi. WPA/WPA2 simsiz aloqa qurilmalarini sertifikatsiyalovchi yangilangan dastur hisoblanadi. WPA ning afzalligi - ma’lumotlarning kuchaytirilgan xavfsizligi va simsiz tarmoqlardan foydalanishdagi nazoratning talabchanligi. WPA azaldan RC4 shifrlash usulini ishlatuvchi TKIP (Temporal Key Integrity Protocol) protokolga asoslangan. Shu orada WPA2 standarti RC4 ga nisbatan shifrlashning quvvatliroq yangi usuli CCMP ga (Counter-Mode with CBC-MAC Protocol ga) asoslangan AES (Advanced encryption Standard) shifrlash algoritmidan foydalanadi. Undan tashqari WPA/WPA2 da IEEE 802.1x standartini, EAP protokolini va xabarlar yaxlitligini tekshirish MIC (Message Integrity Check) ni madadlash ta’minlangan. Wi-Fi Alliance WPA mohiyatini quyidagi formula orqali aniqlaydi: WPA = IEEE 802.1x + TKIP + EAP + MIC Ushbu formuladan ko’rinib turibdiki, WPA mohiyatan, bir necha texnologiyalarning yig’indisidan iborat. WPA ikkita rejimda ishlashi mumkin: enterprise (korporativ) va Pre-Shared Key (shahsiy). Birinchi holda, katta tarmoqlarda ma’lumotlar bazasini saqlash va IEEE 802.1x standart bo’yicha autentitlikni tekshirish, odatda, maxsus server, ko’pincha RADIUS orqali amalga oshiriladi. Ikkinchi holda WPA ni simsiz tarmoqlarning barcha kategoriyali foydalanuvchilari tomonidan ishlatilishi ko’zda tutiladi, ya’ni murakkab mexanizmlarni talab qilmaydigan soddalashtirilgan rejimga ega. Ushbu rejim WPA‑PSK (Pre-Shared Key) deb ataladi va simsiz tarmoqning har bir uzeliga (foydalanish nuqtasiga, simsiz marshrutizatorga, mijoz adapteriga, ko’prikka) bitta parol kiritilishi ko’zda tutiladi. Parollar mos kelgan vaqtgacha, mijoz tarmoqdan foydalana oladi. Payqash mumkinki, paroldan foydalanib yondashish WPA-PSK ni saralash usuli orqali hujumga zaif qilib qo’yadi. Ammo ushbu rejim WEP kalitlar bilan chalkashliklardan qutqaradi. Ularni raqam-xarfli parol asosidagi yaxlit va aniq tizim bilan almashtiriladi. Xabarlar yaxlitligini tekshirish MIC (Message Integrity Check) autentifikatsiyaning yana bir muhim mexanizmi hisoblanadi. Undan ma’lumotlar paketini tutib olishini bartaraf etishda foydalaniladi. Chunki tutib olingan paket mazmuni o’zgartirilishi va modifikatsiyalangan paket yana tarmoq orqali uzatilishi mumkin. 802.11i (WPA2) - eng barqaror va xavfsiz yechim bo’lib, birinchi navbatda kalitlarni boshqarish va ma’murlash asosiy bosh og’rig’i hisoblanuvchi katta tashkilotlarga mo’ljallangan. WPA2 barcha sertifikatsiyalangan Wi-Fi qurilmalar uchun majburiy hisoblanadi. Yuqorida tilga olingan WEP protokol ma’lumotlarni shifrlashning birinchi standarti hisoblanadi. WEP-shifrlashning muolajasi quyidagicha. Uzatiluvchi paketdagi ma’lumotlar avvalo, dastlabki xabar oxiriga qo’shiluvchi yaxlitlik nazorati qiymatini (Integrity Check Value, ICV) olish uchun, yaxlitlikka tekshiriladi (CRC-32 algoritmi). So’ngra 24-bitli initsializatsiya vektori generatsiyalanadi, unga esa statik (40 yoki 104 bitli) maxfiy kalit qo’shiladi. Shu tariqa olingan 64 yoki 128-bitli kalit ma’lumotlarni shifrlashda ishlatiluvchi psevdotasodifiy sonni generatsiyalash uchun dastlabki kalit hisoblanadi. So’ngra ma’lumotlar XOR mantiqiy amali yordamida psevdotasodifiy kalit ketma-ketligi bilan aralashtiriladi (shifrlanadi) va initsializatsiya vektori kadrning xizmatchi hoshiyasiga qo’shiladi. 8.2-rasmda WEP-kadrning formati keltirilgan. Parollarga asoslangan har qanday xavfsizlik tizimiga o’xshab, WEP ishonchligi kalitning uzunligiga va tarkibiga hamda uning almashtirilish chastotasiga bog’liq. Birinchi jiddiy kamchiligi - statik kalitning ishlatilishi bo’lib, uni nisbatan kichik vaqt mobaynida saralash yo’li bilan topish mumkin. WEP-shifrlashning ikkinchi kamchiligi - initsializatsiya vektori har bir paket bilan shifrlanmagan matn orqali uzatiladi va vaqtning katta bo’lmagan oralig’ida qaytariladi. 8.2-rasm. WEP -kadr formati Simsiz tarmoqlarda autentifikatsiya uchun 802.11 standartning qismi hisoblanmaydigan ikkita boshqa mexanizmlar ham keng ishlatiladi: - simsiz lokal tarmoqning identifikatorini belgilash (Service Set Identifier, SSID); - mijozning, uning MAC-adresi bo’yicha, autentifikatsiyasi (MAC Address Authentication). Yüklə 2,64 Mb. Dostları ilə paylaş:
|