Симсиз тармоқлар хавфсизлиги протоколлари
SSL/TLS протоколлари. Ҳимояланган уланишлар протоколи – Secure Sockets Layer (SSL) Internet браузерларининг хавфсизлиги муаммосини ечиш учун яратилган. SSL таклиф этган биринчи браузер – Netscape Navigator тижорат транзакциялари учун Internet тармоғини хавфсиз қилди, натижада маълумотларни узатиш учун хавфсиз канал пайдо бўлди. SSL протоколи шаффоф, яъни маълумотлар тайинланган жойга шифрлаш ва расшифровка қилиш жараёнида ўзгармасдан келади. Шу сабабли, SSL кўпгина иловалар учун ишлатилиши мумкин.
SSL ўзидан кейинги TLS (Transport Layer Security - транспорт сатҳи ҳимояси протоколи) билан Internetда кенг тарқалган хавфсизлик протоколидир. Netscape компанияси томонидан 1994 йили татбиқ этилган SSL/TLS ҳозирда ҳар бир браузерга ва электрон почтанинг кўпгина дастурларига ўрнатилади. SSL/TLS хавфсизликнинг бошқа протоколлари, масалан, Private Communication Technology (PCT – хусусий коммуникация технологияси), Secure Transport Layer Protocol (STLP-хавфсиз сатҳнинг транспорт протоколи) ва Wireless Transport Layer Security (WTLS – симсиз муҳитда транспорт сатҳини ҳимоялаш протоколи) учун асос вазифасини ўтади.
SSL/TLSнинг асосий вазифаси тармоқ трафигини ёки гиперматнни узатиш протоколи HTTPни ҳимоялашдир. SSL/TLS алоқа жараёнининг асосида ётади. Оддий HTTP-коммуникацияларда TCP-уланиш ўрнатилади, хужжат хусусида сўров юборилади, сўнгра хужжатнинг ўзи юборилади.
SSL/TLS уланишларни аутентификациялаш ва шифрлаш учун ишлатилади. Бу жараёнларда симметрик ва асимметрик алгоритмларга асосланган турли технологиялар комбинациялари иштирок этади. SSL/TLSда мижозни ва серверни идентификациялаш мавжуд, аммо аксарият ҳолларда сервер аутентификацияланади.
SSL/TLS турли тармоқ коммуникациялар хавфсизлигини таъминлаши мумкин. Протоколнинг жуда кенг тарқалиши электрон почта, янгиликлар, Telnet ва FTP (File Transfer Protocol – файлларни узатиш протоколи) каби машхур TCP-коммуникациялар билан боғлиқ. Аксарият ҳолларда SSL/TLS ёрдамида коммуникация учун алоҳида портлар ишлатилади.
SSH протоколи. Secure Shell протоколи, SSL/TLSкаби коммуникацияларни ҳимоялаш учун 1995 йили яратилган. ¡зининг мосланувчанлиги ва ишлатилишининг соддалиги туфайли SSH оммавий хавфсизлик протоколига айланди ва ҳозирда аксарият операцион тизимларда стандарт илова ҳисобланади.
SSHда алоқа сеанси жараёнида маълумотларни узатиш учун симметрик калитдан фойдаланилади. Серверни, ҳам мижозни аутентификациялаш учун SSHни осонгина қайта конфигурациялаш мумкин.
Кўпинча SSH тармоқ хостларини бошқаришда ишлатиладиган, кўп тармқалган илова – telnet ни алмаштириш учун ишлатилади.
Баъзида ишлаб чиқарувчилар SSHни telnet ёки FTPни алмаштирувчи сифатида мададламайдилар. Бундай ҳолларда SSHни telnet, FTP, POP (Post Office Protocol - почта хабарлари протоколи) ёки ҳатто HTTP каби хавфсиз бўлмаган иловалар хавфсизлигини таъминлаш учун ишлатиш мумкин. 12.13-расмда трафикни хавфсиз бўлмаган тармоқдан SSH серверга ўтказиш учун конфигурацияланган брандмауэр келтирилган.
Хавфсиз бўлмаган тармоқдан SSH серверга ва аксинча ҳеч қандай трафик ўтказилмайди. SSH-сервернинг SSH дан терминал фойдаланишидан ташқари, портнинг қайта йўналтирилиши электрон почта трафигини SSH-серверга хавфсиз тармоқ бўйича узатилишини таъминлаши мумкин. Сўнгра SSH-сервер пакетларни электрон почта серверига қайта йўналтиради. Электрон почта серверига трафик SSH-сервердан келганидек туюлади ва пакетлар SSH-серверга, фойдаланувчига туннеллаш учун юборилади.
WLTS протоколи. SSL/TLSга асосланган WLTS протоколи WAP (Wireless Application Protocol – симсиз иловалар протоколи) қурилмаларида, масалан, уяли телефонларда ва чўнтак компьютерларида ишлатилади. SSL ва WLTS бир-биридан транспорт сатҳи билан фарқланади. SSL йўқолган пакетларни қайта узатишда ёки ностандарт пакетларни узатишда TCP ишига ишонади. WLTSдан фойдаланувчи WAP қурилмалари ўз функцияларини бажаришида TCPни қўллай олмайдилар, чунки фақат UDP (user Datagram Protocol) бўйича ишлайдилар. UDP протоколи эса уланишга мўлжалланмаган, шу сабабли бу функциялар WLTSга киритилиши лозим.
"Қўл бериб кўришиш" жараёнида қуйидаги учта синф фаоллашиши мумкин:
- WLTS – 1-синф. Сертификатсиз;
- WLTS – 2-синф. Сертифкатлар серверда;
- WLTS – 3-синф. Сертифкатлар серверда ва мижозда.
1-синфда аутентификациялаш бажарилмайди, протокол эса шифрланган канални ташкил этишда ишлатилади. 2-синфда мижоз (одатда фойдаланувчи терминал) серверни аутентификациялайди, аксарият ҳолларда сертификатлар терминалнинг дастурий таъминотига киритилади. 3-синфда мижоз ва сервер аутентификацияланади.
802.1х протоколи. Бу протоколнинг асосий вазифаси - аутентификациялашдир; баъзи ҳолларда протоколдан шифрловчи калитларни ўрнатишда фойдаланиш мумкин. Уланиш ўрнатилганидан сўнг ундан фақат 802.1х. трафиги ўтади, яъни DHCP (Dynamic Host Configuration Protocol - хостларни динамик конфигурациялаш протоколи), IP ва ҳ. каби протоколларга рухсат берилмайди. Extensible Authentification Protocol (EAP) (RFC 2284) фойдаланувчиларни аутентификациялашда ишлатилади. Бошланишида EAP "нуқта-нуқта" (PPP, Point-to-Point Protocol) пртоколи ёрдамида аутентификациялашнинг баъзи муаммоларини ҳал этиш учун ишлаб чиқилган эди, аммо унинг асосий вазифаси симсиз алоқа муаммоларини ҳал этишга қаратилиши лозим. EAPнинг аутентифкациялаш пакетлари фойдаланувчи маълумотларини киритган фойдаланиш нуқтасига юборилади; аксарият ҳолларда бу маълумотлар фойдаланувчи исми (login) ва паролдан иборат бўлади. Фойдаланиш нуқтаси тармоқ яратувчиси танлаган воситаларнинг бири билан фойдаланувчини идентификациялаши мумкин. Фойдаланувчи идентификацияланганидан ва шифрлаш учун канал ўрнатилганидан сўнг алоқа мумкин бўлади ва DHCP каби протоколларнинг ўтишига рухсат берилади (12.14-расм).
IPSec протоколи. Протоколлар стекида IPSec протоколи SSL/TLS, SSH ёки WLTS протоколларидан пастда жойлашган. Хавфсизликни таъминлаш IP-сатҳида ва Internet-моделда амалга оширилади. IPSec ни татбиқ қилиш усулларидан кўп тарқалгани туннеллаш бўлиб, у битта сессияда IP-трафикни шифрлаш ва аутентификациялаш имконини беради. IPSec ҳозирда Internetда ишлатилувчи аксарият виртуал хусусий тармоқлардаги (VPN-Virtual Private Network) асосий технология ҳисобланади. IPSecнинг мослашувчанлиги ва иловалар танланишининг кенглиги сабабли, кўпчилик айнан бу схемадан симсиз иловалар хавфсизлигини таъминлашда фойдаланади.
IPSecни иловаларга асосланган қўлланишининг жуда кўп имкониятлари мавжуд. Хавфсиз коммуникациялар учун IPSecнинг қўлланиши кўпинча Internet орқали масофадан фойдаланиш виртуал хусусий тармоғи VPN билан боғлиқ. Қачонки умумфойдаланувчи тармоқ хусусий тармоқ функцияларини амалга ошириш учун ишлатилса, уни VPN деб аташ мумкин. Бундай таърифга ATM (Asynchronous Transfer Mode - узатишнинг асинхрон усули), Frame Relay ва X.25 каби тармоқ технологиялари ҳам тушади, аммо аксарият одамлар Internet бўйича шифрланган канални ташкил этиш хусусида гап кетганида VPNатамасини ишлатишади. Корпоратив тармоқ периметри бўйича 12.15-расмда кўрсатилганидек шлюзлар ўрнатилади ва IPSec-туннел орқали шлюздан масофадан фойдаланиш амалга оширилади.
12.4. Симсиз қурилмалар хавфсизлиги муаммолари
Симсиз қурилмаларни тўртта категорияга ажратиш мумкин: ноутбуклар, чўнтак компьютерлари (PDA), симсиз инфраструктура (кўприклар, фойдаланиш нуқталари ва ҳ.) ва уяли телефонлар.
Ноутбуклар – корпоратив симсиз тармоқларда ва SOHO (Small Office Home Office – кичик ва уй офислари) тармоқларида кенг тарқалган қурилма.
Физик хавфсизлик ноутбуклар учун жиддий муаммо ҳисобланади. Бундай компьютерларни харид қилишдаги параметрлардан бири-унинг ўлчами. Ноутбук қанчалик кичкина бўлса, у шунчалик қиммат туради. Бошқа тарафдан, ноутбук қанчалик кичкина бўлса, уни ўғирлаш шунчалик осонлашади. Шифрлаш калитларининг, масалан, WEP-калитлар (Wired Equivalent Privacy), дастурий калитлар, пароллар ёки шахсий калитларнинг (PGP, Pretty Good Privace кабилар) йўқотилиши катта муаммо ҳисобланади ва уни иловалар яратилиши босқичидаёқ ҳисобга олиш зарур. Нияти бузуқ одам ноутбукни ўз ихтиёрига олганидан сўнг аксарият хавфсизлик механизмлари бузилиши мумкин.
Ноутбукларнинг мобиллилиги уларнинг корпоратив тармоқлараро экранлар (брандмауэрлар) билан ҳимояланмаган бошқа тармоқлар билан уланиш эҳтимоллигини оширади. Бу Internet-уланишлар, фойдаланувчи тармоқлар, асбоб-ускуна ишлаб чиқарувчиларининг тармоғи ёки рақиблар ҳам жойланувчи меҳмонхона ёки кўргазмалардаги умумфойдаланувчи тармоқлар бўлиши мумкин. Бундай ҳолларда мобил компьютерларнинг ахборот хавфсизлиги хусусида жиддий ўйланиш лозим.
Ноутбукларнинг физик сақланишларини таъминлаш усулларидан бири-хавфсизлик кабелидан фойдаланиш. Ушбу кабел ноутбукни столга ёки бошқа йирик предметга "бойлаб" қўйишга мўлжалланган. Албатта, бу юз фоизлик кафолатни бермайди, аммо ҳар холда ўғрининг анчагина куч сарф қилишига тўғри келади.
Ноутбукларнинг тез-тез ўғирланиши сабабли, ахборотни архивлашнинг хавфсизликни таъминлашга нисбатан муҳимлиги кам эмас. Шифрлаш дастурлари файллар хавфсизлигини таъминлашда ёки қаттиқ дискларда шифрланган маълумотлар хажмини яратишда ишлатилади. Бу маълумотларни расшифровка қилиш учун, одатда, паролни киритиш ёки шахсий калитларни ишлатиш талаб этилади. Барча ахборотларни шифрланган файлларда ёки архивларда сақланиши керакли файллар наборини архив учун нусхалашни енгиллаштиради, чунки улар энди маълум жойда жойлашган бўлади.
Ўғрилар учун ноутбуклар "биринчи номерли нишон" эканлигини фойдаланувчилар тушуниб етишлари ва уларни қаровсиз қолдирмасликлари зарур. Ҳатто офисларда ноутбукни кечага қолдириш мумкин эмас, чунки офисга кўп кишилар (компания ходимлари, фаррошлар, мижозлар) ташриф буюрадилар.
Ахборотнинг чиқиб кетиши ноутбук эгасининг кўп одамлар тўпланган жойларда ҳам содир бўлиши мумкин. Самолет – компания менеджерлари фойдаланадиган одатдаги транспорт воситасидир. Самолетда қўшни креслодаги йўловчи ноутбук эгасининг елкаси устидан муҳим ахборотни ўқиб олиши мумкин. Ҳатто "уй шароитидаги" ноутбуклар ҳам ҳимояланиши зарур. Бу ҳолда компьютернинг ҳимояси сервер ҳимоясидан фарқланмайди. Жуда ҳам зарур бўлмаган сервисларнинг ўчирилиши қурилма ишлашини яхшилайди.
Ўзининг дастурий таъминотини ноутбукка ўрнатган нияти бузуқ одам хавфсизликнинг барча механизмларини четлаб ўтиш имкониятига эга бўлади. Компьютерни ўз ихтиёрига олган ўғри унга ўзининг дастурини ўрнатганида уни тухтатиб бўлмайди. BIOSда (Basic Input/Output System-киритиш/чиқаришнинг базавий тизими) ва қаттиқ дискда ўрнатилган пароллар ўғриланган ноутбукдан фойдаланишга тўсқинлик қилиши мумкин.
Ушбу барча воситалар, афсуски, тажрибали хакер учун тўсиқ бўлаолмайди.
Чўнтак компьютерлари. PDA(Personal Digital Assistans – "шахсий рақамли ёрдамчилар")нинг кўпгина хилларидан симсиз иловалар билан ишлашда фойдаланилади. Махсус қурилган PDAларда тиббиёт, саноат ёки авиация иловалари ишга туширилади. Чўнтак компьютерлари ҳам мавжуд бўлиб, уларда симсиз алоқа учун ўрнатилган карточка, штрих кодларнинг сканери, хизмат муддати узоқ бўлган батареялар ёки магнит ҳошияли карталарни ўқувчи қурилма каби қўшимча қурилмалар билан биргаликда Palm OS ёки Windows SE операцион тизим ўрнатилган. Бундай компьютерлардан фойдаланиш учун махсус техник тайёргарлик талаб этилмайди. Шунга ўхшаш қурилмаларни ёки иловаларни ҳимоялаш айниқса мураккаб масала ҳисобланади.
PDAдан фойдаланишга хоҳиш билдирган хужумловчи учун ундаги ахборот киритиш механизмларининг барчаси нишон ҳисобланади. Ундан ташқари, аксарият чўнтак компьютерлари шундай ишлаб чиқилганки, уларни ишлаб чиқувчилари учун иловалардаги хатоликларни осонгина аниқлаш йўллари таъминланган. Хатоликларни аниқлашда ишлатилувчи интерфейслар нияти бузуқ одамлар учун ҳақиқий "тешик" хизматини ўташи мумкин.
Чўнтак компьютери ишлайдиган ахборотни ҳимоялаш учун ахборотни чўнтак компьютерида эмас, балки маълумотларнинг хавфсиз резерв базасида сақлаш лозим. Яна бир вариант – JAVA тили иловасидан ёки фойдаланувчи учун махсус яратилган иловалардан фойдаланиш. Бу ҳолда ахборот қурилмада сақланмайди, аммо, PDAнинг дисплейида акслантирилади. Бошқача айтганда, симсиз иловалардан фақат симсиз тармоқдан фойдаланиш мавжуд бўлган жойларда фойдаланиш мумкин.
Аксарият PDAларда парол ёрдамида блокировка ва разблокировка қилиш имконияти мавжуд. Бу усулларга бутунлай ишонмаслик лозим, аммо улар нияти бузуқ одамларни вақтинча тухтатиб туриши мумкин. Ундан ташқари PDAни блокировка қилиш тизими қурилмадаги иловалардан ёки ахборотдан нияти бузуқ одамларнинг фойдаланишни қийинлаштиради. PDAнинг зарур бўлмаган барча функцияларини ўчириб қуйиш лозим, чунки ҳар бир ўчирилган киритиш механизми бўлиши мумкин бўлган хужумлар сонини камайтиради.
Чўнтак компьютерида муҳим ахборотни сақлаш учун шифрлашни қўллаш ва унга қўшимча сифатида манбани улаш ва экранни блокировка қилиш учун пароллар ўрнатиш тавсия этилади.
Симсиз инфраструктура. Симсиз инфраструктура қурилмалари одатда одамлар йиғилган ерда жойлаштирилади. Уларга кафелар, аэропортлар, корпоратив тадбирларни ўтказиш жойлари ва ҳ. киради. Турли хил одамлар EAP(Extensible Authentification Protocol – аутентифкациялашнинг кенгайтирилувчи протоколи) ёки WEP каби хавфсизлик воситаларини ишдан чиқариш ёки тармоққа суқилиб кириш учун тармоқ конфигурацияси хусусидаги ахборотни қўлга киритиш мақсадида ушбу компонентлардан фойдаланишни хохлашлари мумкин.
Симсиз инфраструктура қурилмаларида тармоқни бошқариш функцияларининг хавфсизлигини таъминлаш учун улардан фойдаланишда SSH, SSL (Secure Sockets Layer) ёки SNMP3 (Simple Network Management Protocol 3 – тармоқни оддий бошқариш протоколи, 3-версия) каби хавфсиз протоколлардан фойдаланиш лозим. Ундан ташқари telnet, HTTP даги тўғри матн, ва SNMP (биринчи версия) каби хавфсизлик етарли даражасини мададламайдиган протоколлар ўчирилиши лозим. Хавфсиз бошқаришни таъминлаш иложи бўлмаса, фойдаланишнинг баъзи бир нуқталарини кетма-кет портлар орқали бошқариш мантиқан тўғри ҳисобланади. Фойдаланиш нуқталарини юқорига қўл етмайдиган жойга маҳкамлаб қўйиш ҳам уларни ўғирланишдан сақлайди.
Уяли телефонлар. Уяли телефонлар учун хавфсизлик мулохазалари ноутбук ва PDAларга нисбатан келтирилган мулоҳазаларга ўхшаш. Қурилмаларнинг ўзи ва мос дастурий таъминот учун хавфсизлик муаммоси ҳам ҳеч нимаси билан фарқ қилмайди.
Уяли телефонлар ҳам бошқа симсиз қурилмаларга бўладиган хужумларга дучор бўладилар. Одатда буфернинг тўлиб-тошиши, қатор форматига хужумлаш, грамматик хатоликлар ишлатилади, натижада хужумловчи ўғирланган қурилмада ўзининг дастурини ишга туширишга эришади. Мисол сифатида SMSнинг қисқа хабарларини кўрсатиш мумкин. Ўзининг телефони орқали SMS жўнатган фойдаланувчига хужумга дучор бўлиши хавфи туғилади. Бу хужум натижасида хизмат қилиш тўхтатилади ёки фойдаланувчи терминалида бегонанинг командалари бажарилади.
Ундан ташқари SIM-карталарни (Subscriber Idenity Module – абонент идентифкацияси модули) ишлаб чиқарувчилари қурилмаларига уяли телефонга симсиз интерфейс орқали юкланилиши рухсат этиладиган қўшимча функцияларни кирита бошладилар. Мисол тариқасида Sim Toolkit ва MEXEни кўрсатиш мумкин. Зарарли иловаларни бошқа фойдаланувчига узатишни олдини олувчи усуллар ташқи хужумларга дучор бўлади. Бундай иловаларнинг моҳияти шундаки у нияти бузуқ одамга фойданувчининг адрес китобини ёки телефондаги бутун SMS рўйхатини узатиши мумкин. Баъзи ечимлар DES стандарти асосида ишлайди, аммо худди шундай DES-калитлар ҳар бир SIM-карталар учун ишлатилади.
Терминаллар учун парол ёки PIN-кодларни ишлатиш тавсия этилади. GSM(Global System for Mobile Communications – мобил коммуникацияларнинг глобал тизими) тармоқларида ишловчи телефонлар хавфсизлигини таъминлашда SIM PIN керак бўлади. Бу функциядан максимал фойдаланиш учун барча бўлиши мумкин бўлган PINлардан фойдаланиш ҳамда IMEI (International Mobile Equipment Identity – мобил қурилманинг ҳарқаро номери)нинг ишончли жойда ёзилиши тавсия этилади.
Муҳим ахборотни узатиш учун терминалдан фойдаланишида ахборотни албатта шифрлаш зарур. Кредит карточкалар номерларини ёки бошқа шахсий ахборотни узатиш учун албатта SSL-ҳимояли WTLS-уланиш хизматидан фойдаланиш зарур. Ундан ташқари GSM ичидаги алгоритмларга бўладиган аксарият хужумлар нияти бузуқ одамга фойдаланувчининг телефон номерини ўйлаб чиқаришга (клонировка) имкон беради. Бу хужумлар одатда телефон мавжудлигини талаб қилади, шу сабабли телефонни хавфсиз жойда сақлаш, йўқотилган ёки ўғирланган ҳолда тезлик билан операторга хабар бериш лозим.
|
