8 BOB. SIMSIZ VA MOBIL TARMOQLAR XAVFSIZLIGINI
TA’MINLOVCHI TEXNOLOGIYALAR
8.1. Simsiz va mobil tarmoqlar uchun bazaviy standart
Tarmoq
xavfsizligini
oshirishga
mo’ljallangan
ko’pgina
texnologiyalar mavjud bo’lib, ularning barchasi ma’lumotlarni himoyalash
sohasidagi siyosatning muhim komponentlari, ya’ni autentifikatsiya,
ma’lumotlar yaxlitligini madadlash va aktiv tekshirish uchun yechimlarni
taklif etadi.
Autentifikatsiya deganda keyingi avtorizatsiyalash maqsadida,
foydalanuvchi yoki oxirgi qurilmani (mijoz xostini, serverni, kompyuterni,
tarmoqlararo ekranni va h.) va uning joylashgan joyini autentifikatsiyasi
tushuniladi.
Ma’lumotlar yaxlitligi tarmoq infrastrukturasi xavfsizligi, perimetr
xavfsizligi va ma’lumotlar konfidensialligi kabi strukturalarni o’z ichiga
oladi.
Aktiv tekshirish xavfsizlik sohasida o’rnatilgan siyosatning amalda
rioya qilinishiga ishonishga va barcha anomal hodisalarni va ruxsatsiz
foydalanishga urinishlarini kuzatishga yordam beradi.
Simsiz va mobil tarmoqlarda axborotni uzatishni ta’minlovchi
bazaviy standart, ma’lumotlarni uzatish uchun protokollar naboridan
tashkil topgan IEEE 802.11
(Wi-Fi 802.11) standarti hisoblanadi. Uning
asosiy vazifasi - autentifikatsiya.
An’anaviy xavfsizlik (Tradition Security Network, TSN) IEEE
802.11
standarti
simsiz
mijozlarni
autentifikatsiyasining
ikkita
mexanizmini ko’zda tutadi:
- ochiq autentifikatsiyani (Open Authentication);
- umumiy kalitli autentifikatsiyani (Shared Key Authentication).
Ochiq autentifikatsiya
foydalanish nuqtasining mijozga tarmoqdan
foydalanishga ruxsat berilganligini yoki berilmaganligini aniqlashga
imkon bermaydi. Bu, agar simsiz yoki mobil tarmoqda WEP-shifrlash
ishlatilmasa, xavfsizlik tizimidagi zaif joyi bo’lib qoladi. WEP-shifrlash
xususida ma’lumot pastroqda keltirilgan.
IEEE 802.11 standarti mijozning MAC-adresini va radiofoydalanish
nuqtalarini ochiq ko’rinishda uzatishni talab qiladi. Natijada, MAC-adres
94
bo’yicha autentifikatsiyani ishlatuvchi simsiz tarmoqda niyati buzuq
o’zining MAC-adresini ruxsat etilganiga almashtirish yo’li bilan
autentifikatsiya usulini aldashi mumkin.
Umumiy kalitli autentifikatsiya
ochiq autentifikatsiyaga o’xshash,
ammo undan farqli holda WEP-shifrlashning statik kalitini sozlashni talab
etadi.
IEEE 802.11 standarti bo’yicha autentifikatsiya, simli tarmoqdan
farqli holda, tarmoq resurslaridan foydalanuvchi muayyan mijozga emas,
balki
mijozning
radiofoydalanish
qurilmasini
autentifikatsiyasiga
mo’ljallangan.
Autentifikatsiya jarayoni quyidagi bosqichlardan iborat (8.1-rasm).
8.1-rasm. 802.11 standarti bo’yicha autentifikatsiya
1. Mijoz
Probe Request
so’rovi kadrini (freymini) barcha
radiokanallarga jo’natadi.
2. Ta’sir doirasida mijoz bo’lgan radiofoydalanishning har bir
nuqtasi javob tariqasida
Probe Response
freymini jo’natadi.
3. Mijoz o’ziga maqul radiofoydalanish nuqtasini tanlaydi va unga
xizmat qiluvchi radiokanalga
Authentication Request
(autentifikatsiyaga
so’rov) jo’natadi.
4. Radiofoydalanish nuqtasi
Authentication Reply
(autentifikatsiya
javobini) jo’natadi.
5. Muvaffaqiyatli autentifikatsiya holida mijoz foydalanish nuqtasiga
ulanishga
Association Request
(assotsiyalangan so’rovni) jo’natadi.
6. Foydalanish nuqtasi javob tariqasida
Association Response
(assotsiyalangan javob) assotsiatsiya tasdig’i freymini jo’natadi.
95
7. Endi mijoz radiofoydalanish nuqtasi bilan foydalanish trafigini
almashishi mumkin.
Hozirda IEEE 802.11 ma’lumotlarni turli tezlikda, turli chastota
diapazonida va tarmoq xavfsizligining turli darajasida uzatishga imkon
beruvchi standartlar guruhidan iborat.
IEEE 802.11a - 802.11b ga uzatishning nisbatan yuqori tezligini
tavsiflaydi. 5 GGs chastota spektridagi chastota kanallaridan foydalaniladi.
Protokol 802.11b bilan qushilishmaydi.
IEEE 802.11b - uzatishning katta tezligini tavsiflaydi va katta
texnologik cheklashlarni kiritadi. Ushbu standart dastlab Wi-Fi deb atalar
edi. 2.4 GGs chastota spektridagi chastota kanallaridan foydalaniladi.
IEEE 802.11g - IEEE 802.11a ga ekvivalent ma’lumotlarni uzatish
tezligini tavsiflaydi. Protokol IEEE 802.11b bilan qo’shilishadi.
IEEE 802.11n - eng ilg’or tijoriy Wi-Fi-standart. 2.4 GGs va 5 GGs
chastota spektrlaridagi chastota kanallaridan foydalaniladi. 11b/11a/11g
bilan qo’shilishadi.
802.11i - IEEE 802.11 standartining eng himoyalangan varianti.
802.11as yangi Wi-Fi-standart. Faqat 5 GGs chastota polosasida
ishlaydi va nisbatan yuqori tezlikni ta’minlaydi.
Wi-Fi 802.11a, b, g, n asosiy standartlardan bir qatorda turli servis
funksiyalarini amalga oshirish uchun qo’shimcha standartlar ishlatiladi
(802.11d, 802.11e, 802.11f, 802.11h, 802.11k, 802.11m, 802.11p, 802.11r,
802.11s, 802.11t, 802.11u, 802.11v, 802.11y, 802.11w).
IEEE 802.11i standarti tarkibida autentifikatsiya, har bir sessiya
uchun yangi kalitlarni yaratish, kalitlarni boshqarish (Remote Access Dial-
In User Service, RADIUS texnologiyasi asosida), paketlar haqiqiyligini
tekshirish va h. qismtizimlari mavjud.
Ishlab chiqarilgan IEEE 802.11i standarti, uzatiluvchi ma’lumotlarni
shifrlash vositalarini, hamda foydalanuvchilarni va ishchi stansiyalarni
markazlashgan autentifikatsiyasini ko’zda tutgan holda, IEEE 802.11
standarti imkoniyatlarini kengaytirishga mo’ljallangan.
Wi-Fi (Wi-Fi Alliance i IEEE) standartlarni ishlab chiqishda va ilgari
surishda ishtirok etuvchi tashkilotlar IEEE 802.11i standartning tarkibiy
qismi bo’lib qolgan WPA (Wi-Fi Protected Access, Wi-Fi dan
himoyalangan foydalanish) standartni tarqatdi. Ushbu standart turli ishlab
chiqaruvchilar uskunalarining qo’shiluvchanligini ham ta’minlaydi.
96
Xavfsizlikning yangi standarti WPA xavfsizlik darajasini WEP ga
qaraganda yuqoriroq ta’minlaydi va eski uskunaning dasturiy ta’minotini
apparat o’zgarishisiz yangisiga almashtirishga imkon beradi.
Keyinroq WPA ning birinchi versiyasiga nisbatan xavfsizlikning
yanada yuqoriroq darajasini ta’minlovchi WPA2 standarti ishlab chiqildi
va tasdiqlandi. WPA/WPA2 simsiz aloqa qurilmalarini sertifikatsiyalovchi
yangilangan dastur hisoblanadi. WPA ning afzalligi - ma’lumotlarning
kuchaytirilgan xavfsizligi va simsiz tarmoqlardan foydalanishdagi
nazoratning talabchanligi.
WPA azaldan RC4 shifrlash usulini ishlatuvchi TKIP (Temporal Key
Integrity Protocol) protokolga asoslangan. Shu orada WPA2 standarti
RC4 ga nisbatan shifrlashning quvvatliroq yangi usuli CCMP ga (Counter-
Mode with CBC-MAC Protocol ga) asoslangan AES (Advanced
encryption Standard) shifrlash algoritmidan foydalanadi. Undan tashqari
WPA/WPA2 da IEEE 802.1x standartini, EAP protokolini va xabarlar
yaxlitligini tekshirish MIC (Message Integrity Check) ni madadlash
ta’minlangan. Wi-Fi Alliance WPA mohiyatini quyidagi formula orqali
aniqlaydi:
WPA = IEEE 802.1x + TKIP + EAP + MIC
Ushbu formuladan ko’rinib turibdiki, WPA mohiyatan, bir necha
texnologiyalarning yig’indisidan iborat.
WPA ikkita rejimda ishlashi mumkin: enterprise (korporativ) va
Pre-Shared Key (shahsiy).
Birinchi holda, katta tarmoqlarda ma’lumotlar bazasini saqlash va
IEEE 802.1x standart bo’yicha autentitlikni tekshirish, odatda, maxsus
server, ko’pincha RADIUS orqali amalga oshiriladi.
Ikkinchi holda WPA ni simsiz tarmoqlarning barcha kategoriyali
foydalanuvchilari tomonidan ishlatilishi ko’zda tutiladi, ya’ni murakkab
mexanizmlarni talab qilmaydigan soddalashtirilgan rejimga ega. Ushbu
rejim WPA-PSK (Pre-Shared Key) deb ataladi va simsiz tarmoqning har
bir uzeliga (foydalanish nuqtasiga, simsiz marshrutizatorga, mijoz
adapteriga, ko’prikka) bitta parol kiritilishi ko’zda tutiladi.
Parollar mos kelgan vaqtgacha, mijoz tarmoqdan foydalana oladi.
Payqash mumkinki, paroldan foydalanib yondashish WPA-PSK ni saralash
usuli orqali hujumga zaif qilib qo’yadi. Ammo ushbu rejim WEP kalitlar
97
bilan chalkashliklardan qutqaradi. Ularni raqam-xarfli parol asosidagi
yaxlit va aniq tizim bilan almashtiriladi.
Xabarlar yaxlitligini tekshirish MIC (Message Integrity Check)
autentifikatsiyaning yana bir muhim mexanizmi hisoblanadi. Undan
ma’lumotlar paketini tutib olishini bartaraf etishda foydalaniladi. Chunki
tutib olingan paket mazmuni o’zgartirilishi va modifikatsiyalangan paket
yana tarmoq orqali uzatilishi mumkin.
802.11i (WPA2) - eng barqaror va xavfsiz yechim bo’lib, birinchi
navbatda kalitlarni boshqarish va ma’murlash asosiy bosh og’rig’i
hisoblanuvchi
katta
tashkilotlarga
mo’ljallangan.
WPA2
barcha
sertifikatsiyalangan Wi-Fi qurilmalar uchun majburiy hisoblanadi.
Yuqorida tilga olingan WEP protokol ma’lumotlarni shifrlashning
birinchi standarti hisoblanadi.
WEP-shifrlashning muolajasi quyidagicha. Uzatiluvchi paketdagi
ma’lumotlar avvalo, dastlabki xabar oxiriga qo’shiluvchi yaxlitlik nazorati
qiymatini (Integrity Check Value, ICV) olish uchun, yaxlitlikka
tekshiriladi (CRC-32 algoritmi). So’ngra 24-bitli initsializatsiya vektori
generatsiyalanadi, unga esa statik (40 yoki 104 bitli) maxfiy kalit
qo’shiladi. Shu tariqa olingan 64 yoki 128-bitli kalit ma’lumotlarni
shifrlashda ishlatiluvchi psevdotasodifiy sonni generatsiyalash uchun
dastlabki kalit hisoblanadi. So’ngra ma’lumotlar XOR mantiqiy amali
yordamida psevdotasodifiy kalit ketma-ketligi bilan aralashtiriladi
(shifrlanadi) va initsializatsiya vektori kadrning xizmatchi hoshiyasiga
qo’shiladi. 8.2-rasmda WEP-kadrning formati keltirilgan.
Parollarga asoslangan har qanday xavfsizlik tizimiga o’xshab, WEP
ishonchligi kalitning uzunligiga va tarkibiga hamda uning almashtirilish
chastotasiga bog’liq. Birinchi jiddiy kamchiligi - statik kalitning
ishlatilishi bo’lib, uni nisbatan kichik vaqt mobaynida saralash yo’li bilan
topish mumkin. WEP-shifrlashning ikkinchi kamchiligi - initsializatsiya
vektori har bir paket bilan shifrlanmagan matn orqali uzatiladi va vaqtning
katta bo’lmagan oralig’ida qaytariladi.
802.11
sarlavhasi
IV
Ma’lumotlar
ICV
Kadrning shifrlanuvchi qismi
98
8.2-rasm. WEP -kadr formati
Simsiz tarmoqlarda autentifikatsiya uchun 802.11 standartning qismi
hisoblanmaydigan ikkita boshqa mexanizmlar ham keng ishlatiladi:
- simsiz lokal tarmoqning identifikatorini belgilash (Service Set
Identifier, SSID);
- mijozning, uning MAC-adresi bo’yicha, autentifikatsiyasi (MAC
Address Authentication).
|