Andijon davlar universiteti fizika- matematika fakulteti axborot texnologiyalari kafedrasi
Bluetooth xavfsizlik mexanizmlari
Yüklə 66,02 Kb.
|
|
3. Bluetooth xavfsizlik mexanizmlari
IT spetsifikatsiyasi uchta mexanizmni ta'minlovchi xavfsizlik modeliga asoslangan: autentifikatsiya (autentifikatsiya), avtorizatsiya (ruxsat olish) va shifrlash (shifrlash). Identifikatsiyaning mohiyati, aloqa sessiyasini boshlagan qurilma, uning da'vosiga sabab bo'lganligini aniqlashdir. E1 algoritmi Ushbu operatsiyani bajarish 48 bitli Bluetooth qurilmasi manzilini (BDA) identifikatorini jo'natishga asoslangan (u ishlab chiqaruvchi tomonidan har bir qurilmaga beriladi). Natijada, odatda, "oldingi" qurilma tuzilishi (vaqtinchalik yoki boshlang'ich aloqa kaliti yaratiladi) yoki aloqa o'rnatishga qodir emas. Bu erda hech qanday xavfsizlik to'g'risida hech narsa aytilmaydi, BDA doimo ochiq-oydin uzatiladi va har qanday antenna egasi yaxshi sezgirlik bilan ishlaydigan IT-foydalanuvchilarni "ko'rishadi" va hatto ularni ushbu identifikator yordamida aniqlashi mumkin. Shunday qilib, BDA kontseptsiyasining o'ziga xosligi juda silliqdir. Ruxsat berish jarayoni qurilmaga ulangan ruxsatnomalar o'rnatishni o'z ichiga oladi va ruxsat etiladigan uchta kirish darajasidan birini tanlashingiz mumkin: ishonchli (resurslarga cheklanmagan manba), ishonchsiz (resurslardan foydalanishga ruxsat yo'q, lekin uni ochish mumkin) va noma'lum (noma'lum qurilma, kirish taqiqlangan) har qanday holatda). O'rnatilgan kirish darajasi mos keladigan qurilmaga ishonch darajasiga to'g'ri keladi va farq qilishi mumkin. Har qanday BT qurilmasida xavfsizlik darajasini oshirish menejeri (protokolning bir qismi) mavjud bo'lib, ushbu darajalarni nafaqat maxsus qurilmalar, balki xizmatlar yoki xizmat guruhlari uchun ham o'rnatishga imkon beradi. Masalan, bu erda fayl uzatish faqat autentifikatsiya va avtorizatsiya qilingandan keyin amalga oshirilishi mumkin. Shifrlash Kalit (uzunligi 8 dan 128 bitgacha farq qiladi) yordamida amalga oshiriladi, bu o'z navbatida 128 bitlik autentifikatsiya kalitiga asoslanadi. Boshqacha aytganda, parolni hal qilish kaliti aloqa kalitiga asoslangan; bir tomondan, kalitlarni ishlab chiqarish jarayonini soddalashtiradi, biroq ayni paytda tizimni buzish jarayonini osonlashtiradi. Bundan tashšari, autentifikatsiya šilish paytida kodni qo'lda yoki avtomatik tarzda dastur darajasida bajarish mumkin. Muhim vaziyat - bu kodni foydalanuvchi tomonidan tiklash (bu har qanday qurilmaning ulanishiga yo'l qo'yiladi degan ma'noni anglatadi), bu xavfsizlik tizimining samaradorligini sezilarli darajada pasaytiradi. Bu mexanizmlarning barchasi o'rnatilgan, shuning uchun ular IT qurilmalarini o'zlari emas, balki foydalanuvchining haqiqiyligini tasdiqlash uchun mo'ljallangan. Shuning uchun, ba'zi bir qurilmalarda, masalan, foydalanuvchi identifikatori chiplari uchun keng qamrovli himoya (qo'shimcha parol, smart-kartani ishlatish va boshqalar) ta'minlash kerak. Tasodifiy emaski, korporativ sektorga yo'naltirilgan uyali telefonlar, PDA va noutbuklarning ayrim modellari biometrik muhofaza bilan ta'minlangan. Qurilmalarni yo'qotish yoki o'g'irlash mumkin, xavfsizlik zanjirida yana bir qo'shimcha havfsizlik tizimi faqat umumiy xavfsizlikni yaxshilaydi. 1.4. Bo'lim yakunlari Natijada, Wi-Fi mobil va amaliy bo'lgan zamonaviy simsiz texnologiyadir, ammo uning xavfsizligi juda kerakli. Yuqorida ta'kidlanganidek, WEP - bu eskirgan simsiz xavfsizlik protokoli. Tarmoqda aylanadigan axborot tijoriy ahamiyatga ega bo'lsa, WEPni ishlatmaslik tavsiya etiladi. WEP protokoli o'rniga kelgan WPA protokoli haqida gapirganda, uning afzalliklari simsiz tarmoqlarga ma'lumot xavfsizligi va kengaytirilgan foydalanishni boshqarish imkonini beradi. Biroq, WPA protokoliga hujumni amalga oshirishning amaldagi misolida, WPA protokoli kabi WEP kabi bir qancha kamchiliklarga ega ekanligi aniq. WPA protokolini xavfsiz tarzda ishlatish uchun parolni tanlashda hech qanday mazmunga ega bo'lmagan so'zlarni (axdrtyh5nuo275bgdds - tasodifiy yoki pseudo-tasodifiy ketma-ketlikdagi ketma-ketlik) ishlatish kerak, bunday so'zlarni ishlatish lug'at hujumining muvaffaqiyatli bajarilishi ehtimolligi nolga teng. Simsiz tarmoqlar uchun ishonchli xavfsizlik tizimlarini yaratish uchun ko'plab usullar ishlab chiqildi. Masalan, eng ishonchli yo'l virtual xususiy tarmoq (VPN) (Virtual Private Network) dan foydalanishdir. Simsiz virtual xususiy tarmoqni yaratish shluzi to'g'ridan-to'g'ri kirish nuqtasi oldida o'rnatishni va tarmoq foydalanuvchilari ish stantsiyalarida VPN mijozlarini o'rnatishni o'z ichiga oladi. Virtual xususiy tarmoqni boshqarish orqali shluzi va tarmoqdagi har bir VPN mijozi o'rtasida virtual xususiy ulanish (VPN tuneli) tuziladi. Biroq, VPN-tarmoqlari kichik ofis tarmoqlarida kamdan kam qo'llaniladi va ular uyda amalda foydalanilmaydi. 802.1x standarti singari, VPN-lar korporativ tarmoqlarning imtiyozi hisoblanadi. Bluetooth qurilmalarini himoya qilish bo'yicha kompleks chora-tadbirlar juda ahamiyatsiz. Qurilmani aniqlash funksiyasini o'chirib qo'yish va uni yangi qurilmaga ulash zarur bo'lsa, uni yoqish kerak. Ba'zi telefonlarda bu quyidagicha amalga oshiriladi: farqlash funktsiyasi faqat 60 soniya davomida faollashadi, undan keyin u avtomatik ravishda o'chiriladi. Ushbu qarshi choralar mutlaq mudofaa emas, aksariyat hollarda samarali hisoblanadi. Mobil telefonlardan ko'ra aqlli bo'lgan qurilmalarda odatda taqdim etilgan xizmatlarni sozlash mumkin. Ushbu qurilmada ishlatilmaydigan narsalarni o'chirib qo'yish kerak. Faol foydalaniladigan xizmatlar uchun Mode 3 (Mode 3) va ehtimol, qo'shimcha avtorizatsiyadan foydalanish talab etiladi. Juftlik jarayonida faqat maxsus joylarda ishonchli qurilmalar bilan ishlashni xohlashingiz kerak. Vaqti-vaqti bilan, begona narsalarning mavjudligi uchun bog'langan qurilmalarning ro'yxatini tekshirishingiz va birinchi marta o'rganilmagan ushbu yozuvlarni o'chirishingiz kerak. Xavfsizlik yangiliklarini boshqarishni unutmang. Yamalar faqat Windows uchun emas, balki mobil telefonlar va PDA-lar uchun ham chiqariladi. Chop etish taramasida javob berish xususiyatini o'chirib qo'ying. Ko'rib turganingizdek, ko'plab zaifliklar har qanday qurilma uchun xosdir, lekin bu haqda tashvishlanmang. Buning 2 ta sababi bor: birinchisi, Bluetooth diapazoni juda kichik, navbati bilan, sizni ko'rish uchun kerak bo'lgan hujumlar uchun; ikkinchidan, barcha qurilmalar sizni Bluetooth himoyasini yoqishga yoki hech bo'lmaganda boshqalarga ko'rinmas holga keltirishga imkon beradi. GSM uyali aloqa texnologiyasiga doir tadqiqotlar o'tkazildi. ATPning strukturasi aniqlandi va GSM standartidagi axborot xavfsizligi mexanizmlari ko'rib chiqildi. Amalga oshirilgan IS mexanizmlari tahlili amalga oshirildi va 3G tarmoqlarida IS-quvvatlash mexanizmlarini rivojlantirish istiqbollari prognozi taqdim etildi. ATP tarmoqlarida axborot xavfsizligi va zaifliklarga mavjud tahdidlarni tahlil qilish. O'tkazilgan tahlil natijalariga ko'ra, GSM ATP tarmoqlari birlashgan tizim bo'lib, tarmoq abonentlarining axborot xavfsizligini ta'minlash mexanizmlarini o'z ichiga oladi. Shu bilan birga, yuqorida aytib o'tilganidek, SPS tarmoqlarida ishlatiladigan aloqa texnologiyalari, jumladan, axborot xavfsizligi mexanizmlari rivojlanib bormoqda. Biroq, GSM SPS tarmoqlarining tahdidlari va zaifliklari tahlili ko'rsatilgandek, ularning xavfsizligi xavf ostida bo'lishi mumkin. Umumiy holda, GSM tarmog'iga hujumlarni amalga oshirish juda ko'p pul talab qiladi. Bir necha yuz ming dollardan milliongacha miqdordagi mablag'lar bilan belgilanadi, keng jamoatchilik zarur, xavfsizlik kuchlarining qo'llab-quvvatlanishi kerak. Agar buzg'unchilar ma'lum vaqt mobaynida mobil aloqani bostirish uchun vazifa bersa, u bino, ofis maydoni bo'lsin, bu operatsiya juda ko'p ish va pulni talab qilmaydi. Bunday operatsiya uchun uskunalar bir necha yuz dollardan bir necha minggacha. Axborot xavfsizligi sohasidagi barcha mutaxassislar, keng ommalashgan tizimlar uchun maxfiy ravishda xavfsizlik choralarini ishlab chiqish, asosan, noinsoniy yo'ldir. Ishonchli xavfsizlikni kafolatlashning yagona usuli - barcha ekspertlar tizimini tizimni tahlil qilish imkonini beradi. 2. Simli tarmoqlar salohiyati Simsiz tarmoq tezligi bir necha omillarga bog'liq. Simsiz LAN ishlashi ular qo'llab-quvvatlaydigan Wi-Fi standarti bilan belgilanadi. 802.11n standartini qo'llab-quvvatlaydigan tarmoqlar maksimal tarmoqli kengligi taqdim etishi mumkin - 600 Mbit / s gacha (MIMO yordamida). 802.11a yoki 802.11g standartlarini qo'llab-quvvatlaydigan tarmoqlarning o'tkazuvchanligi 54 Mbit / s gacha bo'lishi mumkin. (100 yoki 1000 Mbps tarmoqli kengligi bilan standart kabeli chekilgan tarmoqlari bilan solishtiring). Amalda, hatto eng yuqori signal darajasiga ega bo'lsa ham, Wi-Fi tarmoqlarining ishlashi hech qachon yuqorida ko'rsatilgan nazariy maksimumga etib bormaydi. Misol uchun, 802.11b standartini qo'llab-quvvatlaydigan tarmoqlarning tezligi odatda nazariy maksimal qiymatining 50 foizidan ko'p emas, ya'ni taxminan 5,5 Mbit / s. Shunga mos ravishda standart 802.11a yoki 802.11g ni qo'llab-quvvatlaydigan tarmoqlarning tezligi odatda 20Mbps dan oshmaydi. Nazariya va amaliyot o'rtasidagi farqning sabablari protokol kodirovkasi, signalga parazit qilish, shuningdek, qabul qiluvchi va uzatuvchi o'rtasidagi masofani o'zgartirish bilan Hamming masofasining o'zgarishidir. Bundan tashqari, tarmoqdagi qo'shimcha qurilmalar bir vaqtning o'zida ma'lumotlarni almashishda ishtirok etsa, qurilma uchun tarmoqli tarmoqli kengligi past bo'ladi, bu tabiiy ravishda bitta kirish nuqtasi yoki routerga ulanish uchun mos bo'lgan qurilmalar sonini cheklaydi (boshqa cheklov o'rnatilgan DHCP serverining ishlashi, intervalda joylashgan qurilmalar umumiy soni 26 dan 255 gacha bo'lgan qurilmalarga ega). Bir qator ishlab chiqaruvchilar nazariy maksimal ish tezligi 22 Mbit / s va 108 Mbit / s ni tashkil etuvchi 802.11b va 802.11g protokollarining maxsus kengaytmasini qo'llab-quvvatlovchi qurilmalarni chiqazdi, ammo standart protokollar bilan solishtirilganda tezda radikal o'sish yo'q. Bundan tashqari, har qanday juftlikning tezligi signal darajasining pasayishi bilan sezilarli darajada tushadi, shuning uchun odatda masofadan turib qurilmalar uchun yuqori daromadli antennalar yordamida tezlikni oshirishning eng samarali usuli hisoblanadi. Ether - va, shuning uchun, radio kanali - uzatish vositasi sifatida faqat bitta nusxada mavjud va chekilgan tarmoqdagi uyadan xuddi shunday harakat qiladi: signallar bir necha taraflar tomonidan uzatilishga harakat qilinganda signallar bir vaqtning o'zida bir-biriga aralashadi. Shuning uchun, WLAN standartlari stansiya uzatishdan oldin vositaning bo'shligini tekshiradi. Biroq, bu ikkita stantsiya bir vaqtning o'zida vositani erkin va boshlang'ich etkazib berishni aniqlayotgan vaziyatni istisno qilmaydi. "Birgalikda" Ethernetda mos keladigan effekt to'qnashuv deb ataladi. Simli tarmoqda jo'natuvchilar etkazish jarayonida allaqachon to'qnashuvlarni aniqlab, uni uzib, tasodifiy vaqt oralig'idan keyin qayta urinib ko'rishlari mumkin. Biroq, radioeshittirishlarda bunday choralar etarli emas. Shuning uchun, 802.11da qabul qiluvchi jo'natuvchiga yuboradigan "tasdiqlash paket" (ACK) taqdim etiladi; bu jarayon kutish uchun qo'shimcha vaqt talab etadi. Protokol bilan belgilangan barcha kutish vaqtlarini qo'shsangiz - qisqa interfer intervali (Short Inter Frame Space, SIFS) va 802.11a simsiz tarmoq uchun tarqatilgan Muvofiqlashtirish funktsiyasi Inter Frame Space (DIFS) interfeysi intervallari bilan tarqatiladi, to'plam boshiga 50 mikron Agar WLAN-stantsiyani uzatishni boshlash va ishg'ol qilingan muhitni topa boshlagan bo'lsa, unda biroz kutishga to'g'ri keladi. Atrof-muhitga kirish turli uzunlikdagi "interrame intervallari" orqali (DIFS va SIFS) Bundan tashqari, xarajatlarni hisoblashda, har bir ma'lumotlar to'plami nafaqat foydali ma'lumotlarni, balki ko'plab protokol qatlamlari uchun kerakli sarlavhani ham o'z ichiga olishi kerakligini ta'kidlash kerak Uzunligi 5400 kbit / sek bo'lgan 802.11 standartiga ko'ra uzatiladigan 1500 baytlik paketli bo'lsa, 20 mitsa qiymatida "qo'shimcha" 64 bayt paydo bo'ladi. ACK to'plami ma'lumotlar to'plami bilan bir xil tarzda jismoniy qatlam bilan ishlov berib, uning qismlari faqat summa summasiga ega emas. Bundan tashqari, sarlavha qisqartirildi, shuning uchun ACK paketiga faqat 24 ms kerak. 54 Mbit / s tezlikda 1500 baytlik foydali yuk 325 mil, ya'ni haqiqiy uzatish tezligi 37 Mbit / s ni tashkil qiladi. TCP / IP protseduralarini hisobga olgan holda (paketga nisbatan yana 40 bayt, TCP tasdiqlash paketlari) va uzatishning uzilishlari sababli takroriy takrorlash amaliyotida qo'lga kiritilgan tezlik 25 Mbit / s ni tashkil etadi - nominal / haqiqiy tezlikning bir xil nisbati 802.11b (5 dan 6 gacha 11 Mbit / s gacha). 802.11g uchun, vorisi 11b uchun, operatsion printsipi 802.11a dan farq qilmaydi, IEEE 802.11b bilan orqaga qarab muvofiqligi zarurati, uzatish tezligi ham past bo'ladi. Muammo 802.11b kartasi ikkita 11g stantsiyalarining muloqotiga xalaqit berganda paydo bo'ladi: 802.11g uslubi 11b dan boshqa modulyatsiya usulini qo'llaganligi sababli, vosita hozirda band bo'lganligini bilish imkoniga ega emas. Yüklə 66,02 Kb. Dostları ilə paylaş:
|