BOB. SIMSIZ VA MOBIL TARMOQLAR XAVFSIZLIGINI




Download 2,59 Mb.
Pdf ko'rish
bet38/56
Sana03.06.2024
Hajmi2,59 Mb.
#259799
1   ...   34   35   36   37   38   39   40   41   ...   56
Bog'liq
10.-S.K.GanievT.A.Kuchkarov.TarmoqxavfsizligiMobiltarmoqxavfsizligi

8 BOB. SIMSIZ VA MOBIL TARMOQLAR XAVFSIZLIGINI 
TA’MINLOVCHI TEXNOLOGIYALAR 
8.1. Simsiz va mobil tarmoqlar uchun bazaviy standart 
Tarmoq 
xavfsizligini 
oshirishga 
mo’ljallangan 
ko’pgina 
texnologiyalar mavjud bo’lib, ularning barchasi ma’lumotlarni himoyalash 
sohasidagi siyosatning muhim komponentlari, ya’ni autentifikatsiya, 
ma’lumotlar yaxlitligini madadlash va aktiv tekshirish uchun yechimlarni 
taklif etadi. 
Autentifikatsiya deganda keyingi avtorizatsiyalash maqsadida, 
foydalanuvchi yoki oxirgi qurilmani (mijoz xostini, serverni, kompyuterni, 
tarmoqlararo ekranni va h.) va uning joylashgan joyini autentifikatsiyasi 
tushuniladi. 
Ma’lumotlar yaxlitligi tarmoq infrastrukturasi xavfsizligi, perimetr 
xavfsizligi va ma’lumotlar konfidensialligi kabi strukturalarni o’z ichiga 
oladi. 
Aktiv tekshirish xavfsizlik sohasida o’rnatilgan siyosatning amalda 
rioya qilinishiga ishonishga va barcha anomal hodisalarni va ruxsatsiz 
foydalanishga urinishlarini kuzatishga yordam beradi. 
Simsiz va mobil tarmoqlarda axborotni uzatishni ta’minlovchi 
bazaviy standart, ma’lumotlarni uzatish uchun protokollar naboridan 
tashkil topgan IEEE 802.11
(Wi-Fi 802.11) standarti hisoblanadi. Uning 
asosiy vazifasi - autentifikatsiya. 
An’anaviy xavfsizlik (Tradition Security Network, TSN) IEEE 
802.11 
standarti 
simsiz 
mijozlarni 
autentifikatsiyasining 
ikkita 
mexanizmini ko’zda tutadi: 
- ochiq autentifikatsiyani (Open Authentication); 
- umumiy kalitli autentifikatsiyani (Shared Key Authentication). 
Ochiq autentifikatsiya
foydalanish nuqtasining mijozga tarmoqdan 
foydalanishga ruxsat berilganligini yoki berilmaganligini aniqlashga 
imkon bermaydi. Bu, agar simsiz yoki mobil tarmoqda WEP-shifrlash 
ishlatilmasa, xavfsizlik tizimidagi zaif joyi bo’lib qoladi. WEP-shifrlash 
xususida ma’lumot pastroqda keltirilgan. 
IEEE 802.11 standarti mijozning MAC-adresini va radiofoydalanish 
nuqtalarini ochiq ko’rinishda uzatishni talab qiladi. Natijada, MAC-adres 


94 
bo’yicha autentifikatsiyani ishlatuvchi simsiz tarmoqda niyati buzuq 
o’zining MAC-adresini ruxsat etilganiga almashtirish yo’li bilan 
autentifikatsiya usulini aldashi mumkin. 
Umumiy kalitli autentifikatsiya
ochiq autentifikatsiyaga o’xshash, 
ammo undan farqli holda WEP-shifrlashning statik kalitini sozlashni talab 
etadi. 
IEEE 802.11 standarti bo’yicha autentifikatsiya, simli tarmoqdan 
farqli holda, tarmoq resurslaridan foydalanuvchi muayyan mijozga emas, 
balki 
mijozning 
radiofoydalanish 
qurilmasini 
autentifikatsiyasiga 
mo’ljallangan. 
Autentifikatsiya jarayoni quyidagi bosqichlardan iborat (8.1-rasm). 
8.1-rasm. 802.11 standarti bo’yicha autentifikatsiya 
1. Mijoz 
Probe Request 
so’rovi kadrini (freymini) barcha 
radiokanallarga jo’natadi. 
2. Ta’sir doirasida mijoz bo’lgan radiofoydalanishning har bir 
nuqtasi javob tariqasida 
Probe Response 
freymini jo’natadi. 
3. Mijoz o’ziga maqul radiofoydalanish nuqtasini tanlaydi va unga 
xizmat qiluvchi radiokanalga 
Authentication Request 
(autentifikatsiyaga 
so’rov) jo’natadi. 
4. Radiofoydalanish nuqtasi 
Authentication Reply 
(autentifikatsiya 
javobini) jo’natadi. 
5. Muvaffaqiyatli autentifikatsiya holida mijoz foydalanish nuqtasiga 
ulanishga 
Association Request 
(assotsiyalangan so’rovni) jo’natadi. 
6. Foydalanish nuqtasi javob tariqasida 
Association Response 
(assotsiyalangan javob) assotsiatsiya tasdig’i freymini jo’natadi. 


95 
7. Endi mijoz radiofoydalanish nuqtasi bilan foydalanish trafigini 
almashishi mumkin. 
Hozirda IEEE 802.11 ma’lumotlarni turli tezlikda, turli chastota 
diapazonida va tarmoq xavfsizligining turli darajasida uzatishga imkon 
beruvchi standartlar guruhidan iborat. 
IEEE 802.11a - 802.11b ga uzatishning nisbatan yuqori tezligini 
tavsiflaydi. 5 GGs chastota spektridagi chastota kanallaridan foydalaniladi. 
Protokol 802.11b bilan qushilishmaydi. 
IEEE 802.11b - uzatishning katta tezligini tavsiflaydi va katta 
texnologik cheklashlarni kiritadi. Ushbu standart dastlab Wi-Fi deb atalar 
edi. 2.4 GGs chastota spektridagi chastota kanallaridan foydalaniladi. 
IEEE 802.11g - IEEE 802.11a ga ekvivalent ma’lumotlarni uzatish 
tezligini tavsiflaydi. Protokol IEEE 802.11b bilan qo’shilishadi. 
IEEE 802.11n - eng ilg’or tijoriy Wi-Fi-standart. 2.4 GGs va 5 GGs 
chastota spektrlaridagi chastota kanallaridan foydalaniladi. 11b/11a/11g 
bilan qo’shilishadi. 
802.11i - IEEE 802.11 standartining eng himoyalangan varianti. 
802.11as yangi Wi-Fi-standart. Faqat 5 GGs chastota polosasida 
ishlaydi va nisbatan yuqori tezlikni ta’minlaydi. 
Wi-Fi 802.11a, b, g, n asosiy standartlardan bir qatorda turli servis 
funksiyalarini amalga oshirish uchun qo’shimcha standartlar ishlatiladi 
(802.11d, 802.11e, 802.11f, 802.11h, 802.11k, 802.11m, 802.11p, 802.11r, 
802.11s, 802.11t, 802.11u, 802.11v, 802.11y, 802.11w). 
IEEE 802.11i standarti tarkibida autentifikatsiya, har bir sessiya 
uchun yangi kalitlarni yaratish, kalitlarni boshqarish (Remote Access Dial-
In User Service, RADIUS texnologiyasi asosida), paketlar haqiqiyligini 
tekshirish va h. qismtizimlari mavjud. 
Ishlab chiqarilgan IEEE 802.11i standarti, uzatiluvchi ma’lumotlarni 
shifrlash vositalarini, hamda foydalanuvchilarni va ishchi stansiyalarni 
markazlashgan autentifikatsiyasini ko’zda tutgan holda, IEEE 802.11 
standarti imkoniyatlarini kengaytirishga mo’ljallangan. 
Wi-Fi (Wi-Fi Alliance i IEEE) standartlarni ishlab chiqishda va ilgari 
surishda ishtirok etuvchi tashkilotlar IEEE 802.11i standartning tarkibiy 
qismi bo’lib qolgan WPA (Wi-Fi Protected Access, Wi-Fi dan 
himoyalangan foydalanish) standartni tarqatdi. Ushbu standart turli ishlab 
chiqaruvchilar uskunalarining qo’shiluvchanligini ham ta’minlaydi. 


96 
Xavfsizlikning yangi standarti WPA xavfsizlik darajasini WEP ga 
qaraganda yuqoriroq ta’minlaydi va eski uskunaning dasturiy ta’minotini 
apparat o’zgarishisiz yangisiga almashtirishga imkon beradi. 
Keyinroq WPA ning birinchi versiyasiga nisbatan xavfsizlikning 
yanada yuqoriroq darajasini ta’minlovchi WPA2 standarti ishlab chiqildi 
va tasdiqlandi. WPA/WPA2 simsiz aloqa qurilmalarini sertifikatsiyalovchi 
yangilangan dastur hisoblanadi. WPA ning afzalligi - ma’lumotlarning 
kuchaytirilgan xavfsizligi va simsiz tarmoqlardan foydalanishdagi 
nazoratning talabchanligi. 
WPA azaldan RC4 shifrlash usulini ishlatuvchi TKIP (Temporal Key 
Integrity Protocol) protokolga asoslangan. Shu orada WPA2 standarti 
RC4 ga nisbatan shifrlashning quvvatliroq yangi usuli CCMP ga (Counter-
Mode with CBC-MAC Protocol ga) asoslangan AES (Advanced 
encryption Standard) shifrlash algoritmidan foydalanadi. Undan tashqari 
WPA/WPA2 da IEEE 802.1x standartini, EAP protokolini va xabarlar 
yaxlitligini tekshirish MIC (Message Integrity Check) ni madadlash 
ta’minlangan. Wi-Fi Alliance WPA mohiyatini quyidagi formula orqali 
aniqlaydi: 
WPA = IEEE 802.1x + TKIP + EAP + MIC 
Ushbu formuladan ko’rinib turibdiki, WPA mohiyatan, bir necha 
texnologiyalarning yig’indisidan iborat. 
WPA ikkita rejimda ishlashi mumkin: enterprise (korporativ) va 
Pre-Shared Key (shahsiy). 
Birinchi holda, katta tarmoqlarda ma’lumotlar bazasini saqlash va 
IEEE 802.1x standart bo’yicha autentitlikni tekshirish, odatda, maxsus 
server, ko’pincha RADIUS orqali amalga oshiriladi. 
Ikkinchi holda WPA ni simsiz tarmoqlarning barcha kategoriyali 
foydalanuvchilari tomonidan ishlatilishi ko’zda tutiladi, ya’ni murakkab 
mexanizmlarni talab qilmaydigan soddalashtirilgan rejimga ega. Ushbu 
rejim WPA-PSK (Pre-Shared Key) deb ataladi va simsiz tarmoqning har 
bir uzeliga (foydalanish nuqtasiga, simsiz marshrutizatorga, mijoz 
adapteriga, ko’prikka) bitta parol kiritilishi ko’zda tutiladi. 
Parollar mos kelgan vaqtgacha, mijoz tarmoqdan foydalana oladi. 
Payqash mumkinki, paroldan foydalanib yondashish WPA-PSK ni saralash 
usuli orqali hujumga zaif qilib qo’yadi. Ammo ushbu rejim WEP kalitlar 


97 
bilan chalkashliklardan qutqaradi. Ularni raqam-xarfli parol asosidagi 
yaxlit va aniq tizim bilan almashtiriladi. 
Xabarlar yaxlitligini tekshirish MIC (Message Integrity Check) 
autentifikatsiyaning yana bir muhim mexanizmi hisoblanadi. Undan 
ma’lumotlar paketini tutib olishini bartaraf etishda foydalaniladi. Chunki 
tutib olingan paket mazmuni o’zgartirilishi va modifikatsiyalangan paket 
yana tarmoq orqali uzatilishi mumkin. 
802.11i (WPA2) - eng barqaror va xavfsiz yechim bo’lib, birinchi 
navbatda kalitlarni boshqarish va ma’murlash asosiy bosh og’rig’i 
hisoblanuvchi 
katta 
tashkilotlarga 
mo’ljallangan. 
WPA2 
barcha 
sertifikatsiyalangan Wi-Fi qurilmalar uchun majburiy hisoblanadi. 
Yuqorida tilga olingan WEP protokol ma’lumotlarni shifrlashning 
birinchi standarti hisoblanadi. 
WEP-shifrlashning muolajasi quyidagicha. Uzatiluvchi paketdagi 
ma’lumotlar avvalo, dastlabki xabar oxiriga qo’shiluvchi yaxlitlik nazorati 
qiymatini (Integrity Check Value, ICV) olish uchun, yaxlitlikka 
tekshiriladi (CRC-32 algoritmi). So’ngra 24-bitli initsializatsiya vektori 
generatsiyalanadi, unga esa statik (40 yoki 104 bitli) maxfiy kalit 
qo’shiladi. Shu tariqa olingan 64 yoki 128-bitli kalit ma’lumotlarni 
shifrlashda ishlatiluvchi psevdotasodifiy sonni generatsiyalash uchun 
dastlabki kalit hisoblanadi. So’ngra ma’lumotlar XOR mantiqiy amali 
yordamida psevdotasodifiy kalit ketma-ketligi bilan aralashtiriladi 
(shifrlanadi) va initsializatsiya vektori kadrning xizmatchi hoshiyasiga 
qo’shiladi. 8.2-rasmda WEP-kadrning formati keltirilgan. 
Parollarga asoslangan har qanday xavfsizlik tizimiga o’xshab, WEP 
ishonchligi kalitning uzunligiga va tarkibiga hamda uning almashtirilish 
chastotasiga bog’liq. Birinchi jiddiy kamchiligi - statik kalitning 
ishlatilishi bo’lib, uni nisbatan kichik vaqt mobaynida saralash yo’li bilan 
topish mumkin. WEP-shifrlashning ikkinchi kamchiligi - initsializatsiya 
vektori har bir paket bilan shifrlanmagan matn orqali uzatiladi va vaqtning 
katta bo’lmagan oralig’ida qaytariladi. 
802.11 
sarlavhasi 
IV 
Ma’lumotlar 
ICV 
Kadrning shifrlanuvchi qismi 


98 
8.2-rasm. WEP -kadr formati 
Simsiz tarmoqlarda autentifikatsiya uchun 802.11 standartning qismi 
hisoblanmaydigan ikkita boshqa mexanizmlar ham keng ishlatiladi: 
- simsiz lokal tarmoqning identifikatorini belgilash (Service Set 
Identifier, SSID); 
- mijozning, uning MAC-adresi bo’yicha, autentifikatsiyasi (MAC 
Address Authentication).

Download 2,59 Mb.
1   ...   34   35   36   37   38   39   40   41   ...   56




Download 2,59 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



 BOB. SIMSIZ VA MOBIL TARMOQLAR XAVFSIZLIGINI

Download 2,59 Mb.
Pdf ko'rish