|
Simsiz tarmoq xavfsizlik protokollari
|
| bet | 2/4 | | Sana | 13.05.2024 | | Hajmi | 450,97 Kb. | | #228664 |
Bog'liq Mustaqil ish 2 Simsiz tarmoqdan foydalanuvchilarga bo‘ladigan hujumlarSimsiz tarmoq xavfsizlik protokollari
Simsiz tarmoq xavfsizligi - WLAN infratuzilmasi va undan o'tadigan trafikni himoya qilish uchun ishlatiladigan amaliyotlar va vositalar to'plami. Keng ma'noda, simsiz xavfsizlik Wi-Fi tarmog'ida tarmoqqa kirish va xavfsizlik siyosati orqali qaysi so'nggi nuqtalar va ruxsat berilmaganligini ifodalaydi. Texnologiya ushbu qoidalarni qo'llaydi va tarmoqni uni buzishga urinayotgan har kimdan yoki har qanday narsadan himoya qiladi.
Simsiz xavfsizlik qanday ishlaydi?
Simli tarmoq xavfsizligi kalitlar, marshrutizatorlar va Ethernet kabelidan foydalanadigan barcha narsalar kabi qurilmalar o'rtasida harakatlanadigan trafikni himoya qiladi. Bundan farqli o'laroq, simsiz xavfsizlik birinchi navbatda simsiz qurilmalar o'rtasida havo orqali o'tadigan trafik bilan bog'liq. Bularga simsiz ulanish nuqtalari ( AP-Access Point ) boshqaruvchi qurilma bilan (yoki tarmoq tarmog'ida, bir-biri bilan), shuningdek, Wi-Fi tarmog'iga ulangan AP va so'nggi nuqtalar o'rtasidagi aloqa kiradi.
Shifrlash xavfsiz tarmoqni yaratish uchun ishlatiladigan eng muhim vositalardan biri bo'lib, jumladan, va ehtimol, ayniqsa, simsiz LANda. U simsiz qurilmalar o'rtasida harakatlanayotganda xabarlarni shifrlash uchun algoritmlar deb nomlanuvchi formulalar yordamida ishlaydi. Qabul qilingan taqdirda ham, bu xabarlar parolni hal qilish kaliti bo'lmagan ruxsatsiz foydalanuvchilar uchun tushunarsizdir.
Yillar davomida simsiz shifrlash standartlari o'zgaruvchan tarmoq talablari, paydo bo'ladigan xavfsizlik muammolari va oldingi shifrlash protokollarida zaifliklarning aniqlanishiga javoban rivojlandi.
Qulflanmagan bino o'g'rilar uchun ochiq taklif bo'lgani kabi, himoyalanmagan tarmoq ham ma'lumotlarni o'g'irlash, tinglash yoki boshqa zararli harakatlarni amalga oshirishga intilayotgan ichki yoki tashqi tahdidlar tomonidan xavf ostida qolish xavfi yuqori. Qaysidir ma'noda, simsiz tarmoqdagi ulushlar yanada yuqori, chunki diapazondagi har bir kishi Wi-Fi trafigini tashuvchi radio to'lqinlarni ushlab turishi mumkin -- apparatga to'g'ridan-to'g'ri kirish shart emas.
Simsiz xavfsizlik protokollarining turlari
Ko'pgina simsiz ulanish nuqtalari to'rtta simsiz shifrlash standartlaridan birini yoqish qobiliyatiga ega:
Simli ekvivalent maxfiylik (WEP- Wired Equivalent Privacy)
Wi-Fi himoyalangan kirish (WPA- Wi-Fi Protected Access)
WPA2
WPA3
WEP, WPA, WPA2 va WPA3: qaysi biri yaxshiroq?
WEP, WPA, WPA2 va WPA3 simsiz xavfsizlik protokollaridan birini tanlashda mutaxassislar WPA3 Wi-Fi xavfsizligi uchun eng yaxshisi ekanligiga rozi bo'lishadi. Eng zamonaviy simsiz shifrlash protokoli sifatida WPA3 eng xavfsiz tanlovdir. Biroq, ba'zi simsiz ulanish nuqtalari WPA3 ni qo'llab-quvvatlamaydi. Bunday holda, keyingi eng yaxshi variant - bugungi kunda korxona maydonida keng tarqalgan WPA2.
Ayni paytda hech kim simsiz xavfsizlik protokoli WEP yoki hatto uning bevosita vorisi WPA dan foydalanmasligi kerak, chunki ikkalasi ham eskirgan va simsiz tarmoqlarni tashqi tahdidlarga juda zaif qiladi. Tarmoq ma'murlari WEP yoki WPA-ni qo'llab-quvvatlaydigan har qanday simsiz kirish nuqtasi yoki routerni WPA2 yoki WPA3 bilan mos keladigan yangiroq qurilma bilan almashtirishlari kerak.
WEP qanday ishlaydi?
Wi-Fi Alliance WEP ni ishlab chiqdi -- 802.11 standarti uchun birinchi shifrlash algoritmi -- bitta asosiy maqsad: mijozlar va APlar o'rtasida uzatilayotgan simsiz ma'lumotlarni xakerlar tomonidan o'zlashtirilishini oldini olish. Biroq, 1990-yillarning oxirida tashkil etilganidan beri WEP ushbu maqsadga erishish uchun zarur kuchga ega emas edi.
WEP autentifikatsiya va shifrlash uchun RC4 (Rivest Cipher 4) oqim shifridan foydalanadi. Standart dastlab 40 bitli, oldindan taqsimlangan shifrlash kalitini belgilab bergan. 104 bitli kalit keyinchalik AQSh hukumati ma'lum federal cheklovlarni bekor qilgandan so'ng mavjud bo'ldi.
Administrator shifrlashni kuchaytirish maqsadida 24-bitli ishga tushirish vektori (IV) bilan birlashtirilgan kalitni qoʻlda kiritishi va yangilashi kerak. IV ning kichik o'lchami foydalanuvchilarning kalitlarni qayta ishlash ehtimolini oshiradi, ammo ularni buzishni osonlashtiradi. Bu xususiyat, bir qator boshqa xavfsizlik kamchiliklari va zaifliklar, jumladan, muammoli autentifikatsiya mexanizmlari bilan bir qatorda, WEP ni simsiz xavfsizlik uchun xavfli tanlovga aylantiradi.
Kiberxavfsizlik bo'yicha mutaxassislar 2001 yilda WEP-da bir nechta jiddiy kamchiliklarni aniqladilar va natijada korxona va iste'molchi qurilmalarida WEP-dan foydalanishni bosqichma-bosqich to'xtatish bo'yicha sanoat miqyosida tavsiyalar berildi. Tergovchilar 2009-yilda TJMaxx’ga qarshi keng ko‘lamli kiberhujumni WEP tomonidan fosh qilingan zaifliklarga qarab kuzatganlaridan so‘ng, To‘lov kartalari sanoati ma’lumotlar xavfsizligi standarti chakana sotuvchilar va kredit karta ma’lumotlarini qayta ishlovchi boshqa tashkilotlarga WEP’dan foydalanishni taqiqladi.
WPA qanday ishlaydi?
WEPdagi ko'plab kamchiliklar muqobilga zudlik bilan ehtiyoj borligini ko'rsatdi. Ammo yangi xavfsizlik spetsifikatsiyasini yozish uchun zarur bo'lgan ataylab sekin va ehtiyotkor jarayonlar vaziyatning dolzarbligiga zid edi. Bunga javoban, Wi-Fi Alliance 2003 yilda vaqtinchalik standart sifatida WPA-ni chiqardi , IEEE esa WEP uchun yanada rivojlangan, uzoq muddatli almashtirishni ishlab chiqish ustida ishladi.
WPA korporativ foydalanuvchilar va shaxsiy foydalanish uchun diskret rejimlarga ega. Korxona rejimi, WPA-kengaytirilgan autentifikatsiya protokoli (WPA-EAP) yanada qattiqroq 802.1x autentifikatsiyadan foydalanadi va autentifikatsiya serveridan foydalanishni talab qiladi. Shaxsiy rejim, WPA-Pre-Shared Key (WPA-PSK) iste'molchilar va kichik ofislar o'rtasida osonroq amalga oshirish va boshqarish uchun oldindan ulashilgan kalitlardan foydalanadi.
WPA ham RC4-ga asoslangan bo'lsa-da, u shifrlash uchun bir nechta yaxshilanishlarni kiritdi, xususan, vaqtinchalik kalit yaxlitligi protokolidan ( TKIP ) foydalanish . TKIP WLAN xavfsizligini yaxshilash uchun quyidagi funktsiyalar to'plamini o'z ichiga oladi:
256 bitli kalitlardan foydalanish;
har bir paket uchun o'ziga xos kalit hosil qiluvchi har bir paketli kalitlarni aralashtirish;
yangilangan kalitlarni avtomatik ravishda uzatish;
xabarning yaxlitligini tekshirish;
48bit yordamida kattaroq IV o'lcham; va
IV qayta foydalanishni kamaytirish mexanizmlari.
Wi-Fi Alliance WPA-ni tez va oson qabul qilishni rag'batlantirish uchun WEP bilan orqaga qarab mos keladigan tarzda ishlab chiqdi. Tarmoq xavfsizligi bo'yicha mutaxassislar oddiy proshivka yangilanishi bilan WEP-ga asoslangan ko'plab qurilmalarda yangi standartni qo'llab-quvvatlashga muvaffaq bo'lishdi. Biroq, bu ramka, shuningdek, taqdim etilgan xavfsizlik WPA u qadar keng qamrovli emasligini anglatardi.
WPA2 qanday ishlaydi?
WPA vorisi sifatida WPA2 standarti IEEE tomonidan 2004 yilda 802.11i sifatida ratifikatsiya qilingan. O'zidan oldingi kabi, WPA2 ham korporativ va shaxsiy rejimlarni taklif etadi.
WPA2 RC4 va TKIP ni ikkita kuchli shifrlash va autentifikatsiya mexanizmlari bilan almashtiradi:
Advanced Encryption Standard (AES), shifrlash mexanizmi; va
Autentifikatsiya mexanizmi bo'lgan Cipher Block Chaining Message Authentication Code Protocol (CCMP) bilan hisoblagich rejimi.
Bundan tashqari, orqaga qarab mos kelishi nazarda tutilgan, agar qurilma CCMP-ni qo'llab-quvvatlamasa, WPA2 TKIP-ni zaxira sifatida qo'llab-quvvatlaydi.
Maxfiy ma'lumotlarni himoya qilish uchun AQSh hukumati tomonidan ishlab chiqilgan AES uchta simmetrik blokli shifrni o'z ichiga oladi. Har bir shifr 128, 192 va 256 bitli kalitlar yordamida 128 bitli bloklardagi ma'lumotlarni shifrlaydi va shifrlaydi. Garchi AES dan foydalanish AP va mijozlardan ko'proq hisoblash quvvatini talab qilsa-da, kompyuter va tarmoq apparatidagi doimiy yaxshilanishlar unumdorlik bilan bog'liq muammolarni yumshatdi.
CCMP faqat avtorizatsiya qilingan tarmoq foydalanuvchilariga ma'lumotlarni olish imkonini berish orqali ma'lumotlarning maxfiyligini himoya qiladi. Xabar yaxlitligini ta'minlash uchun u shifrlangan blok zanjiri xabar autentifikatsiya kodidan foydalanadi.
WPA2, shuningdek, mijozlarga Pairwise Master Key (PMK) keshlash yoki oldindan autentifikatsiyadan foydalanib, qayta autentifikatsiya qilmasdan bir xil Wi-Fi tarmog'ida bir AP dan ikkinchisiga o'tish imkonini beruvchi yanada uzluksiz roumingni joriy qildi.
2017-yilda belgiyalik xavfsizlik tadqiqotchisi Meti Vanxoef WPA2-da simsiz shifrlash kalitlarini qayta o‘rnatishdan foydalanadigan kalitni qayta o‘rnatish hujumi (KRACK) zaifligi sifatida tanilgan asosiy xavfsizlik kamchiligini aniqladi . WPA2-Enterprise EAP dan foydalanganligi sababli autentifikatsiya sxemasiga ega bo'lsa-da, WPA2-Personal bilan solishtirganda, u oldindan taqsimlangan kalitlardan foydalanadi -- KRACK zaifligi shifrlash bosqichida mavjud. Natijada, u barcha WPA2 ilovalariga ta'sir qiladi.
Yangi Wi-Fi tarmog'iga ulanish so'nggi nuqta va AP o'rtasidagi kriptografik to'rt tomonlama qo'l siqish bilan boshlanadi, bunda ikkala qurilma ham bir qator oldinga va orqaga xabarlar orqali oldindan o'rnatilgan autentifikatsiya kodini bilishlarini isbotlaydi -- korporativ rejimda PMK va PSK shaxsiy rejimda -- hech kim buni aniq ko'rsatmasdan. Autentifikatsiyadan so'ng, to'rt tomonlama qo'l siqishning uchinchi bosqichi mijozga trafik shifrlash kalitini uzatishni o'z ichiga oladi. Agar oxirgi nuqta kalitni olganligini tan olmasa, AP ulanish muammosini o'z zimmasiga oladi va uni qayta-qayta jo'natadi va qayta o'rnatadi. KRACK tajovuzkorlari -- mijoz va tarmoqning jismoniy diapazonida bo'lishi kerak -- kalitni aniqlamaguncha, shifrlashni buzmaguncha va tarmoq ma'lumotlariga kirish imkoniga ega bo'lgunga qadar ushbu qayta uzatishlarni ishga tushirishi, qo'lga kiritishi, tahlil qilishi, o'zgartirishi va takrorlashi mumkin.
"Zaif tomonlar Wi-Fi standartining o'zida, alohida mahsulotlar yoki ilovalarda emas", deb yozgan Vanxoef o'sha paytda. "Shuning uchun, WPA2 ning har qanday to'g'ri amalga oshirilishi ta'sir qilishi mumkin."
Sanoat tahlilchilari KRACK-ni WPA2 xavfsizligining jiddiy kamchiligi sifatida tan olishdi. Topilma texnologiya provayderlarini simsiz xavfsizlikning keyingi avlodi kelguniga qadar xavfni kamaytirish uchun dasturiy ta'minot yamoqlarini tezda chiqarishga undadi. Ammo ko'plab mutaxassislar KRACK zaifligidan haqiqiy dunyoda foydalanish qiyin bo'lishini ta'kidladilar.
Kiberxavfsizlik bo'yicha tadqiqotchi Martijn Grooten tvitterda "Imkoniyatingiz bo'lganda yamoq qiling, lekin vahima qo'ymang".
To'rt tomonlama qo'l siqish usuli, shuningdek, zaif parollarga ega WPA2 tarmoqlarini oflayn lug'at hujumlariga, ya'ni yuzlab, minglab yoki millionlab oldindan tuzilgan mumkin bo'lgan parollarni maqsadli tarmoqdan tashqarida tizimli ravishda sinab ko'rishni o'z ichiga olgan shafqatsiz kuch hujumiga qarshi himoyasiz qiladi. Ushbu stsenariyda tajovuzkor WPA2 qo'l siqishini qo'lga olishi, ushbu ma'lumotni oflayn rejimiga o'tkazishi va mavjud qo'l siqish ma'lumotlariga mantiqiy mos keladigan kodni topish maqsadida uni ehtimoliy kodlar ro'yxati bilan solishtirish uchun kompyuter dasturidan foydalanishi mumkin. Katta va kichik harflar, raqamlar va maxsus belgilar kombinatsiyasidan iborat uzun parollarga qarshi lug'at hujumlarining muvaffaqiyat qozonish ehtimoli ancha past.
WPA3 qanday ishlaydi?
2018 yilda Wi-Fi Alliance eng so'nggi simsiz xavfsizlik standarti bo'lgan va hozirda mutaxassislar eng xavfsiz deb hisoblagan WPA3 uchun sertifikatlashni boshladi. 2020-yil iyul oyidan boshlab Wi-Fi Alliance Wi-Fi sertifikatiga ega boʻlgan barcha qurilmalardan WPA3-ni qoʻllab-quvvatlashini talab qildi.
WPA3 tinglash va qalbakilashtirishdan himoyalangan Himoyalangan boshqaruv ramkalarini qabul qilishni talab qiladi. Shuningdek, u 128 bitli kriptografik to'plamni standartlashtiradi va eskirgan xavfsizlik protokollariga ruxsat bermaydi. WPA3-Enterprise ixtiyoriy 192-bitli xavfsizlik shifrlash va nozik korporativ, moliyaviy va hukumat maʼlumotlarini himoya qilish uchun 48-bitli IV-ga ega. WPA3-Personal CCMP-128 va AES-128 dan foydalanadi.
WPA2-ning KRACK zaifligini aniqlagan Vanxoef Twitter-da WPA3-ning kelishini olqishladi.
WPA3 WPA2-ning KRACK zaifligini yanada xavfsizroq kriptografik qo‘l siqish bilan hal qiladi, PSK to‘rt tomonlama qo‘l siqishini bir vaqtning o‘zida autentifikatsiyasi (SAE) bilan almashtiradi, bunda mijoz yoki AP aloqani boshlashi mumkin bo‘lgan Internet muhandislik ishchi guruhining ninachi bilan qo‘l siqish versiyasi. Keyin har bir qurilma oʻzining autentifikatsiya maʼlumotlarini berish va olish, koʻp qismli suhbat oʻrniga diskret, bir martalik xabarda uzatadi. Muhimi, SAE shifrlash kalitlarini qayta ishlatishni ham yo'q qiladi, bu har bir o'zaro ta'sirda yangi kodni talab qiladi. AP va mijoz o'rtasidagi ochiq aloqasiz yoki shifrlash kalitini qayta ishlatmasdan, kiberjinoyatchilar osongina tinglay olmaydi yoki o'zlarini almashishga qo'sha olmaydi.
SAE foydalanuvchilarni faol, saytdagi autentifikatsiya urinishlari bilan cheklaydi -- ma'lum miqdordagi parolni taxmin qilishdan oshib ketgan har bir kishiga belgi qo'yadi. Bu xususiyat odatiy Wi-Fi tarmog'ini oflayn lug'at hujumlariga chidamliroq qilishi kerak. Har bir ulanish uchun yangi shifrlash parolini talab qilish orqali SAE, shuningdek , parolni buzgan tajovuzkorlarning avval qo'lga kiritgan va saqlagan ma'lumotlarini shifrlash uchun undan foydalanishiga yo'l qo'ymaslik uchun oldinga siljish deb nomlangan xususiyatni ham faollashtiradi .
WPA3 bilan bir qatorda Wi-Fi Alliance Wi-Fi Easy Connect deb nomlangan yangi protokolni ham taqdim etdi, bu QR-kodni skanerlash kabi mexanizm orqali vizual konfiguratsiya interfeyslariga ega bo'lmagan IoT qurilmalari uchun ulanish jarayonini soddalashtiradi. Va nihoyat, Wi-Fi Enhanced Open deb nomlangan qo‘shimcha xususiyat har bir mijoz va AP o‘rtasidagi ma’lumotlarni yangi noyob kalit yordamida avtomatik shifrlash orqali umumiy Wi-Fi tarmoqlariga ulanishni xavfsizroq qiladi.
Amalda, WPA3 tahdidlarga chidamli emas. KRACK ni kashf etgan xavfsizlik bo‘yicha mutaxassis Vanxoef va Tel-Aviv universiteti tadqiqotchisi Eyal Ronen 2019-yilda WPA3-da bir nechta yangi xavfsizlik kamchiliklarini nashr etishdi. Dragonblood deb ataladigan zaifliklar qatoriga ikkita pasaytirish hujumi kiradi, bunda tajovuzkor qurilmani orqaga qaytarishga majbur qiladi. WPA2 va ikkita yon kanalli hujumlar, bu esa oflayn lug'at hujumlarini amalga oshiradi. Wi-Fi Alliance xavflarni kamaytirdi, ammo sotuvchilar dasturiy ta'minotni yangilash orqali ularni osonlikcha kamaytirishi mumkinligini aytdi. Potentsial zaifliklardan qat'i nazar, mutaxassislar WPA3 bugungi kunda mavjud bo'lgan eng xavfsiz simsiz protokol ekanligiga rozi.
|
| |
