Simsiz tarmoq xavfsizligini ta’minlashda zamonaviy protokollarni ahamiyati
01.05.2014
Rukn: Sharh va fikr-mulohazalar.
Muallif: Sarvarbek Erniyazov.

Zamonaviy axborot texnologiyalarining taraqqiyoti kompyuter jinoyatchiligi, konfedensial ma’lumotlarga ruxsatsiz kirish, o‘zgartirish, yo‘qotish kabi salbiy hodisalar bilan birgalikda kuzatilmoqda. Simsiz aloqa tarmoqlari bundan mustasno emas, uning xavfsizligini ta’minlash bo‘yicha ko‘pgina muzokarali qarashlar gobal tarmoq orqali keng tarqalmoqda. Qanday qilib, tarmog‘ingiz xavfsizligini yuqori darajaga ko‘tarish mumkin?

Har qanday tarmoq kirish nuqtasi va simsiz mijoz aloqasi quyidagicha qurilgan:
Autentifikatsiya — mijoz va kirish nuqtasi bir — birlariga qanday tanishtirilishi va o‘zaro aloqa qilishga huquqini tasdiqlaydi;
Shifrlash — uzatiluvchi ma’lumotlarda qanday shifrlash algoritmlari qo‘llanilishi, qanday qilib shifrlash kaliti shakllantirilishi va u qachon o‘zgartirilishi.

Simsiz aloqa tarmog‘i ko‘rsatkichlari, birinchi navbatda uning nomi, tarmoq paketlari yordamida bog‘lanish nuqtasi bilan doim aloqada bo‘ladi. Kutilgan xavfsizlik sozlamalaridan tashqari, xohishga ko‘ra bir necha ko‘rsatkichlar uzatilishi mumkin: QoS (xizmat ko‘rsatish sifati) va 802.11n (simsiz aloqa standarti) ma’lumot almashish tezligi hamda boshqa qo‘shnilar haqida axborot beradi. Autentifikatsiya mijozni kirish nuqtasiga o‘zini tanishtirishni aniqlab beradi.

Yuz berishi mumkin bo‘lgan variantlar:
Open — ochiq tarmoq, barcha ulanuvchi qurilmalar oldindan avtorizatsiya qilingan;
Shared — ulanuvchi qurilma haqiqiyligi kalit yoki parol bilan tekshirilishi lozim;
EAP — ulanuvchi qurilma haqiqiyligi tashqi server EAP protokoli bilan tekshirilishi lozim.

Tarmoqning ochiqligi istalgan kishi unda xohlagan ishini qilishi mumkin degani emas. Bunday tarmoqda ma’lumot uzatish uchun qo‘llanilayotgan shifrlash algoritmining mos kelishi va unga mos ravishda to‘g‘ri shifrlangan ulanish o‘rnatilishi zarur.

Shifrlash algoritmlari quyidagicha:
None — shifrlashning yo‘qligi, ma’lumotlar ochiq holda uzatiladi;
WEP — RC4 algoritmiga asoslangan turli uzunlikdagi shifr statik yoki dinamik kalit (64 yoki 128 bit);
CKIP — Cisco’dan WEP protokoli o‘rnini bosa oluvchi, TKIP ning oldingi versiyasi;
TKIP — WEP protokoli o‘rinini bosa oluvchi yangilangan algoritm, qo‘shimcha tekshirish va himoya bilan ta’minlangan;
AES/CCMP — mukammalroq algoritm, AES256 algoritmga asoslangan qo‘shimcha tekshirishlar va himoyaga ega.

Open Authentication, No Encryption kombinatsiyasi korxona yoki mehmonxonalarda Internetga ulanish kirish tizimlarida keng qo‘llaniladi. Ulanish uchun faqat simsiz tarmoq nomini bilish yetarli. Odatda bunday ulanish Captive Portal da qo‘shimcha tekshirish bilan birgalikda qo‘llaniladi. Tarmoqqa ulanish uchun foydalanuvchi kirishi HTTP so‘rov orqali qo‘shimcha sahifaga yo‘naltirilishi mumkin. Bu sahifada shaxsni tasdiqlash (login-parol, qoidalar bilan rozilik va boshqalar) amalini amalga oshirish so‘rovini tashkil etish mumkin. WEP shifrlash algoritmini buzish yo‘llari keng tarqalgan, shuning uchun uni ishlatish mumkin emas (hattoki dinamik kalit kiritilgan holat uchun ham).

Keng uchraydigan WPA va WPA2 tushunchalari shifrlash algoritmini (TKIP yoki AES) aniqlab beradi. Anchadan beri foydalanuvchi adapterlari WPA2 (AES) qo‘llay olish imkoniga ega bo‘lganligi sababli TKIP protokolini ishlatish ma’nosizdir. Barcha xavfsizlik ko‘rsatkichlari quyidagi jadvalda keltirilgan.

sim_1_05_2014

Agar WPA2 Personal (WPA2 PSK)da ishlash jarayoni tushunarli bo‘lsa, korporativ yechim qo‘shimcha qayta ko‘rib chiqishni talab qiladi.

WPA2 Personal va WPA2 Enterprise o‘rtasidagi farq shundan iboratki, AES algoritmi ishlashida foydalaniladigan shifrlash kalitlarining olinadigan joyidir. Xususiy foydalanish holatlarida (uyda) minimal uzunligi 8 belgidan iborat statik kalit (parol, kod so‘zi) ishlatiladi. Ushbu kalit barcha mijozlarning simsiz tarmoqlariga kirish nuqtasida kiritilishi zarur. Agar bunday kalit xavfsizligi buzilsa (parolni aytib qo‘yish, ishchi bo‘shab ketganda, noutbuk o‘g‘irlanganda), zudlik bilan barcha mijozlardan parol almashtirishni talab qiladi. Korporativ ko‘rinishda foydalanganda hozirda ishlab turgan har bir ishchilar uchun individual bo‘lgan dinamik kalitdan foydalaniladi. Bu kalit ulanishda uzilish bo‘lmasligi uchun davriy ravishda almashtirilib turishi mumkin. Uning almashishiga qo‘shimcha dasturiy qism — avtorizatsiya serveri yoki ko‘pincha bu RADIUS-serverga yuklanishi mumkin.

sim_1_05_2014_1

1-Rasm. WPA2 Enterprise

Bu yerda qo‘shimcha turli protokollar to‘plami bilan ish olib boramiz. Mijoz tomonida maxsus dasturiy ta’minot qo‘yilgan bo‘lib, supplicant (odatda OT tarkibiy qismi) AAA server avtorizatsiya qismi bilan o‘zaro aloqa qiladi. Quyidagi misolda yengil kirish nuqtasi va kontroller asosida qurilgan unifitsiyalangan radiotarmoq ishi ko‘rsatilgan. «Miyali» kirish nuqtalarini ishlatilgan holatda mijoz va server o‘rtasidagi barcha vazifani kirish nuqtasi o‘ziga olishi mumkin. Bu holatda ma’lumotlar mijoz uzatish qurilmasi orqali 802.1x (EAPOL) protokoliga sifatida shakllantirilgan uzatiladi. Kontroller (qabul qilish qurilmasi)da esa ular RADIUS-paketlarga qayta aylantiriladi.

Tarmog‘ingizda EAP avtorizatsiya mexani­zmidan foydalanish mijoz autentifikatsiyadan o‘tgandan so‘ng u mijozdan RADIUS-server infratuzilmasida avtorizatsiyadan o‘tishni talab etadi. WPA2 Enterprise dan foydalanish sizning tarmog‘ingizda RADIUS-serverini talab qiladi. Hozirgi kunda xavfsizlikni ta’minlash qobiliyatiga ko‘ra yuqori turuvchi quyidagi mahsulotlar bor:

Microsoft Network Policy Server (NPS), oldin foydalanilgan IAS —MMC orqali sozlanadi, bu dastur bepul, ammo qattiq disk sotib olish zarur.
Cisco Secure Access Control Server (ACS) 4.2, 5.3 veb-interfeys orqali sozlanadi, funksiyalari ko‘paytirilgan, taqsimlangan chidamli tizimlarni yaratish imkonini beradi, narxi qimmat.
FreeRADIUS — bepul, matn sozlamalari orqali sozlanadi, boshqarishda va monitoringda qulay.

Bunda kontroller axborot almashishi jarayonini diqqat bilan kuzatib boradi va avtorizatsiyadan o‘tishni yoki undagi xatolikni kutadi. RADIUS-server muvaffaqiyatli o‘tishdan so‘ng RADIUS-serverga kirish nuqtasiga qo‘shimcha ko‘rsatkichlarni (abonentni qaysi tarmoqqa ulash, unga qanday IP-manzil berish, QoS darajasi) berish mumkin. Uzatish to‘xtagandan so‘ng RADIUS-server mijoz va kirish nuqtasiga shifrlash kalitlarini yaratish va almashtirishga yordam beradi.

EAP
EAP protokolining o‘zi konteyner hisoblanadi, ya’ni, avtorizatsiyadan o‘tish mexanizmi to‘liqligicha ichki protokollar hisobidan amalga oshadi.
Hozirgi kunda keng foydalanishga quyidagilar tatbiq qilingan:

sim_1_05_2014_2

2-Rasm. EAP avtorizatsiya protokoli

EAR-FAST http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol — EAP-FAST (Flexible Authentication via Secure Tunneling) — Cisco tashkiloti tomonidan yaratilgan; Foydalanuvchi va RADIUS-server o‘rtasida TLS tunneli ichida uzatiladigan login va parol orqali avtorizatsiya o‘tkazishni imkonini beradi;
EAR-TLS (Transport Layer Security). Sertifikatlar orqali mijoz va server (foydalanuvchi va RADIUS-server) avtorizatsiyasi uchun ochiq kalitlar (PKI) infratuzilmasidan foydalanadi. Har bir simsiz aloqa qurilmasiga mijoz sertifikatini yozish va o‘rnatishni talab qiladi, shuning uchun, faqat boshqariluvchi koorporativ muxit uchun mos keladi. Agar mijoz — domen a’zosi bo‘lsa, Windows sertifikatlar serveri mijozga mustaqil ravishda sertifikat yaratish imkonini beruvchi vositalarga ega. Mijozni yopib qo‘yish uning sertifikatini bekor qilish (qayd yozuvini bekor) orqali amalga oshiriladi.
EAR-TTLS (Tunneled Transport Layer Security) EAP-TLS protokoliga o‘xshash, lekin tennulni yaratishda mijoz sertifikati talab qilinmaydi. Bunday tunnelda brauzer SSL-ulanishiga o‘xshash qo‘shimcha avtorizatsiyani amalga oshiriladi.
PEAP-MSCHAPv2 http://en.wikipedia.org/wiki/Protected_Extensible_ Authentication_Protocol — PEAPv0_ with_EAP-MSCHAPv2 (Protected EAP) — EAP-TTLS protokoliga server sertifikatini talab qiluvchi mijoz va server o‘rtasida shifrlangan TLS protokoliga o‘xshash tunnelini o‘rnatish bosqichi bilan bir xil.
PEAP-GTC (Generic Token Card) — Protected EAP protokoliga o‘xshash, ammo bir martalik parollarda foydalanishni talab qiladi.

Yuqoridagi barcha usullar (EAP-FAST protokolidan tashqari) tasdiqlash markazi tomonidan berilgan server sertifikatini (RADIUS-serverda) bo‘lishini talab qiladi. Bu holatda tasdiqlash markazi sertifikati mijoz qurilmasida ro‘yxatdan o‘tgan bo‘lishi kerak. Qo‘shimcha sifatida EAP-TLS individual mijoz sertifakatini ham talab qiladi. Mijozning haqiqiyligini tekshirish raqamli imzo va mijoz tomonidan taqdim etilgan RADIUS-server sertifikatini PKI-infratuzilmasidan (Active Directory) olganligini taqqoslash orqali tekshiriladi.

EAP protokollaridan ixtiyoriy bittasini qo‘llash tarmoq ma’muri tomonidan bajarilishi zarur. Windows XPG`VistaG`7, iOS, Android OTga o‘rnatilgan standartlar kamida EAP-TLS va EAP-MSCHAPv2 protokollarini ishlata oladi. Windows osti Intel mijoz adarterlarini ProSet utilitasini (mavjud ro‘yxatni kengaytira oluvchi) taqdim etadi. Buni Cisco Any Connect Client amalga oshiradi. Open Authentication va No Encryption uchun hech narsa kerak emas, tarmoqqa ulanishni o‘zi kifoya. Radio muhit ochiqligi sababli signal barcha yo‘nalishlarda tarqaladi va uni to‘sib qolish qiyin masala. Ulanishga qo‘shilish mumkinligi mos mijoz adapterlari tufayli tarmoq trafigi hujum qiluvchiga o‘zini xuddi simli aloqa tarmog‘ida, NUV da, SPAN-port kommutatoridagidek xis qiladi. WEP protokoliga asoslangan shifrlash uchun TKIP yoki AES asoslangan shifrlash uchun to‘g‘ridan — to‘g‘ri deshifrlash nazariyada iloji bor, ammo amaliyotda buzish xolati uchramagan. Albatta, PSK kalit uchun yoki EAP protokolidan biriga parol tanlashni sinab ko‘rish mumkin. Berilgan hujumlarning qo‘llanilishi noma’lum. Bu jarayonda ijtimoiy injeneriya yoki kriptoanaliz usullaridan foydalanish mumkin.

EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 protokollari bilan himoyalangan tarmoqlarga kirishni amalga oshirish faqat foydalanuvchi login-parolini bilgan holda amalga oshirish mumkin. Parol terishga o‘xshash yoki MSCHAP kamchiligiga yo‘naltirilgan hujumlarnig ham ilofji yo‘q yoki EAP protokolining kanali «mijoz — server» shifrlangan tunnel bilan himoyalangan. Yopiq EAP-TLS tarmog‘iga kirish foydalanuvchi sertifikatini (yashirin kalit bilan) o‘g‘irlaganda yoki soxta sertifikat orqali amalga oshirilishi mumkin. Bunday xolat faqat tasdiqlash markazini buzgandan so‘nggina iloji bor. Kuchli kompaniyalarda bu markazlarni eng qimmat AT-manbasi sifatida asrashadi.

Modomiki, yuqorida sanab o‘tilgan usullar (PEAP-GTC dan tashqari) parollar va sertifikatlarni saqlash imkonini beradi. Mobil qurilmani o‘g‘irlanganda hujum qiluvchi tarmoq tomonidan barcha huquqlarga so‘zsiz ega bo‘ladi. Xavfdan himoyalanish chorasi sifatida qattiq diskni to‘liq shifrlash va qo‘rilmani yoqilganda parol so‘rovini qo‘yish orqali ta’minlash mumkin. Xulosa qilib, shuni aytish mumkinki simsiz tarmoqni to‘g‘ri va xatosiz loyihalashtirish, tarmoqni himoyalanganlik darajasini oshirish imkoniyatini beradi. Bunday tarmoqni buzish vositalari (chegaralangan darajada) mavjud emas.

Orphus system
O'zbеkistonda AKT yangiliklaridan birinchilar qatorida xabardor bo'lish uchun Telegramda infoCOM.UZ kanaliga obuna bo'ling.
Telegramga qo`shmoq
WhatsAppga qo`shmoq
Odnoklassnikiga yubormoq
VKontakteda bo`lishmoq