Жергiлiктi сымсыз желiлерiнде ақпаратты қорғау

ҚАЗАҚСТАН  РЕСПУБЛИКАСЫНЫҢ  БІЛІМ ЖӘНЕ  ҒЫЛЫМ МИНИСТЕРЛІГІ 

             ШӘКӘРІМ  АТЫНДАҒЫ  СЕМЕЙ МЕМЛЕКЕТТІК   УНИВЕРСИТЕТІ

 

 

 

 

 

 

 

 

 

СӨЖ

 

Тақырыбы: «Жергiлiктi сымсыз желiлерiнде ақпаратты қорғау»

 

 

 

 

 

 

 

 

 

                                                                         Орындаған:.

                                                                     Тексерген:

 

 

 

 

 

 

 

 

 

 

Семей 2012 жыл

 

Жергiлiктi сымсыз желiлерiнде  ақпаратты қорғау

WLAN желiнiң қолдану саласы, мүмкiндiктерi, жетiстiктерi және кемшiлiктерi көрсетiлген. Деректердi тасымалдау қауiпсiздiгiне қойылатын талаптар мен оларды қорғау механизмдерi көрсетiлген. WEP алгоритмi сипатталып, оның жетiстiктерi мен ақаулары көрсетiлген. WLAN қауiпсiздiгiн қамтамасыз ету жолдары көрсетiлген (ААА процедуралары: аудентификациялау, авторизациялау, есептiк операциялар; RADIUS серверiн қолдану). WLAN кемшiлiктерiнiң проблемасын шешпеген WEP2 нұсқасы көрсетiлген. WPA мен WPA2 жаңа алгоритмдерi қарастырылған. WPA-ның технологиялық ерекшелiктерi мен кемшiлiктерi көрсетiлген. WPA2 ең жоғарғы деңгейлi қорғау алгоритмi ретiнде қарастырылады. Бүгiнгi таңда жұмыс атқаратын WLAN-дағы кейбiр қорғау әдiстерi көрсетiлген. Қорғалған WLAN-ды жобалауға қойылатын талаптар жалпыландырылған.

Бүкiл дүние жүзiнде  сымсыз байланысқа, әсiресе бизнес аймағында  қажеттiлiгi артуда. Ақпаратқа сымсыз байланыс арқылы қатынауды (access) қолданушы  барлық кезде және әр уақытта сым  арқылы байланысқан телефонмен және компьютерлiк желiлердi қолданатын әрiптесiне қарағанда өнiмдi және тиiмдi жұмыс  жасай алады. Кез келген желiнiң мақсаты - жеке дербес компьютерден (ДК) тысқары орналасқан қорларға (ресурстарға) қолжетiмдiлiгi. Бұл ресурстар әдетте қымбат немесе бiр уақытта бiрнеше қолданушыға қолжетiмдi болу керек. Сымсыз желiнi орнатуының негiзгi себептерiнiң бiрi - Internet-ке ортақ бiр жоғары жылдамдықты арнаға қолжетiмдiлiгiнiң қажеттiлiгi. Осындай желiнi конфигурациялау  типiнде фирманың кез келген мүшесi кабельдi модеммен немесе DSL (Digital Subscriber Line, цифрлық абоненттiк жол) арқылы қамтамасыз етiлген бiр жоғары жылдамдықты байланысты  қолдана алады. Бұндай тәжiрибе бiрiгiп қабылданған және офистiң кез келген жерiнде отырып  тұтынушылар бiр уақытта Интернетке қолжетiмдi болғандықтан жабдықтарды үнемдi жасауға  болады. Сымсыз желi бұндай жағдайда жоғары икемдiлiктi иемденедi, себебi кез келген  уақытта оған жаңа жұмыс станциясын енгiзуге болады. Сымсыз желiсi бар компания басқа аймақтардағы жұмыскерлерге мүмкiндiк бередi, сонымен қатар сымсыз компьютерлiк құрылғылары бар клиенттерге минималды  конфигурацияда жылдам қосылуға мүмкiндiк бередi. Интернет ресурстарын қолдану  тысқары өзiнiң офистен аймағында немесе үйде айтарлықтай оның өнiмдiлiгiн арттырады.

Келушi тек ноутбуктi ашып және өзiнiң керектi қосымшасына қолы жете алады. Қарастырылып отырған жағдайда сымсыз желi қызметкерлерге электронды хаттарды алып және жiбере алады, өндiрiстiк  жиналыстар кезiнде Web-парақтарды қарай  алады, сонымен қатар қолданушылар дискуссияларға қатыса алады. Яғни күн  сайын шешiмдердi  шешуге уақыт  босайды. Осылай компания жабдықтарды  үнемдейдi, себебi олардың көлемi  жұмысшының жұмыс сағатына байланысты болады.  Желiнi ұйымдастыру кезiнде  адаптерлер инфрақұрылым режимiне ауысады, ал қатынау  нүктесi - қолжетiмдiлiк  нүкте режимiне. Осыған қоса барлық қолданушылар бар бiр қызмет  зонасы құрылады.

Қатынау нүктесi барлық жұмыс  орындарындағы қажеттi байланыс сапасын  қамтамасыз  ету керек. Ескеретiн  жағдай - желiнi кеңейткен және қолданушылар саны артқан жағдайда  байланыс жылдамдығы кемидi. Сондықтан желiнi кеңейту  үшiн uplink-портын қол жетiмдiлiк  нүктесiн  қолдану керек. Желiнi кеңейткен кезде  көршiлес қолжетiмдiлiк нүктесi өзара  қақтығыс және жiберу жылдамдығының  төмендеуi болмау үшiн бақылау қажет. Осымен  қатар желi жұмысының тиiмдi бағасы, оның ағымдағы қалпының құжатталуы, өнiмдiлiгiнiң  оптимизациясы (тиiмдеуi), даму мүмкiндiгiнiң анализi (талдауы), сонымен қатар – желi  ресурстарын  рационалды қолдануы үшiн ұсыныс құрылуын қамтамасыз ету.

WLAN (Wireless Location Area Network, жергiлiктi сымсыз желi) немесе Wi-Fi (Wireless Fidelity, сымсыз  байланыс) деректердi әмбебап жоғары  жылдамдықпен жiберудi қамтамасыз  ететiн және UMTS (Universal Mobile Telecommunication System, мобильдi (жылжымалы)  байланыстың  әмбебап жүйе) желiсiне қарағанда  арзан тұратын ең перпективтi технология  болып табылады. UMTS 3GPP-ге (Third Generation Partnership Project, үшiншi буын (3G)  өндiрушiлерiнiң (ұялы байланыс  саласында) серiктестiк жобасы) сәйкес ITU (International Telecommunications Union, телекоммуникацияның  халықаралық одағы) жасап жатқан  технологиялардың бiрi. WLAN технологияны пайдаланудың қарапайымдылығына және  дайындылығына негiзделген.

WLAN желiсi абоненттерге AP (Access Point, қатынау нүктесi) қолжетiмдi нүктесiнде  шексiз сыйымдылықты  ұсынады, ал GPRS (General Packet Radio Service, пакеттiк   радиохабардың жалпыланған сервистерi) желiсi GSM (Global System for Mobile Telecommunication, мобильдiк  байланыстың ауқымды жүйесi) желiсi  сияқты қорғанысты қамтамасыз  етедi. Құрылымдық жағынан GPRS iшкi жүйесiнiң арналары GSM жүйесiнiң арналары  арқылы қондырылады (ол келесi  тайм-слоттар құрылымын қолданады: 114 ақпараттық  биттер, қызметтiк  ақпарат және үйрету тiзбегi (train)).  WLAN жергiлiктi сымсыз желiлерiн ұйымдастыруға  арналған кең жолақты радиобайланыс   жабдығының стандарты. Хэндовердiң  арқасында тұтынушылар WLAN желiсi  қамтитын зона  iшiнде байланыс  үзiлместен қатынау нүктелерiнiң  арасында жүре беруiне болады. Оны Wi-Fi  Alliance консорциумы IEEE 802.11 стандарттары базасында жасаған.  Хэндовер – абоненттiң  бiр  ұядан басқасына ауысқанда байланыстың  барын қамтамасыз ететiн процедура. Wi-Fi  технологиялар (IEEE 802.11.a/q және 802.11.b протоколдары) жергiлiктi желiлерде  LAN (Local area networks) офистарда немесе 100м  артық емес жақын орналасқан  ғимараттарды,  территорияларда  қолданылады, яғни азырақ мобильдiлiгi  бар. Мобильдiлiк категориясына   көбiне қалалық MAN (Metropolitan area networks) және глобалдық WAN (Wide area networks)  желiлерi жатады, олардың құрастырылуы Wi-MAX технологияларына (IEEE 802.16.e және  802.20 протоколдары) бағытталған, олардың  жiберу жылдамдығы секундына ондаған  мегабит.

Барлық қатынау нүктелерiн 802.11 a/b/g стандарттары қолдайды. Бiр АР-нiң  қамту  радиусы 100 метрден аспайды  және қосымша АР-лерiн құру арқасында  ұлғаю мүмкiн. Бiр

АР бiр уақытта бiрнеше  ондаған белсендi (активтi) клиенттерге  қызмет ете алады. Жұмыс  iстеу үшiн  клиентке ноутбук, PCMCIA WLAN (Personal Computer Memory Card International  Association WLAN, сымсыз жергiлiктi желiге арналған халықаралық ассоциациясының  дербес  компьютерлiк еске сақтау картасы) адаптер немесе модулi IEEE 802.11 қалталық ДК қажет.  Бүгiнгi инфокоммуникациялық  жүйеде тек қана ақпаратты тасымалдау емес, сонымен  қатар сол ақпараттарды өңдеу мен сақтау кезiндегi қауiпсiздiк  те өте маңызды.  WLAN артықшылығы: таралудың қарапайымдылығы (қосымша  кабельдiң қажетсiздiгi);  бұрыннан бар болып табылатын кең жолақты  желiнi тиiмдi пайдалану мүмкiндiгi бар  жоғары жылдамдықты желi. Басты WLAN желiсi корпоративтi клиенттердiң қажеттiлiгiне  бағытталаған. WLAN негiзiндегi соңғы қызмет - сымсыз желiге деген жоғары жылдамдықты  қолжетiмдiлiк және шектелген аймақтарда мәлiметтердi жылдам жеткiзу. Бiрақ Wi-Fi  байланысы шынайы мобильдiлiктi (жылжымалылықты) қамтамасыз етпейдi. Абонент оны  тек  AP-ге жақын жерде ғана қолдана  алады. WLAN-желiсiнiң тағы бiр мәселесi - әлсiз қорғаныс.

Жеткiлiктi қорғанысы жоқ  жеке WLAN-ға көше арқылы қосылудың бiршама  жағдайлары  бар. Қауiпсiздiк қазiргi заманғы бизнесте шешушi фактор ретiнде  жалғаса қала бередi. Қазiргi  заманғы  инфокоммуникациялық жүйеде тек  қана ақпаратты жiберу емес, сонымен  қатар сол  ақпараттарды өңдеу  мен сақтау кезiндегi қауiпсiздiк те өте маңызды. Одан басқа, бұрыннан   бар болып табылатын фактордың  бiрi - желiнiң ұзақ өмiр сүруi, өйткенi желiнiң жарамсыз  болып қалуының нәтижесiнде ақпараттардың жоғалып  кетуi сырқаттан кем емес.  Сымды  байланыс желiде программаланатын коммутаторды пайдалану трафиктi заңсыз  тыңдаудан  белгiлi қорғауды қамтамасыз етедi. Сымсыз желiде (СЖ) желiге қолжетiмдiлiктi  (қатынауды) бақылау мүмкiн емес. СЖ-де кез  келген қамтып тұрған диапазонда орналасқан  құрылғы желiлiк өзарақатынастың  мүшесi болып келедi. Сондықтан арналы деңгейдегi   қажеттi қорғанысты қамтамасыз ету керек.  IEEE 802.11 стандарты OSI (Open System Interconnection, ашық жүйелердiң әрекеттестiгi)  эталондық моделiнiң төменгi екi деңгейiн қарастырады: физикалық және арналық.  Физикалық деңгейде IEEE 802.11 стандарты тасымалдау ортасымен жұмыс iстеу тәсiлдерiн,  жылдамдықты және модуляция әдiстерiн анықтайды. MAC-деңгейiнде жалпы арнаны бөлетiн (пайдаланатын) құрылғының принципi жүзеге асады, сонымен қатар құрылғылардың қатынау нүктеге қосылу әдiсi және олардың аутентификациясы, деректердi қорғау механизмдерi  анықталады. Қарастырылған стандарт 48-биттiк адрестiк пакетiмен жiберiлетiн пакеттердi  қарастырады. Арналық деңгей DLL (Data Link Layer, деректердiң байланыс деңгейi) деп  аталады және өзi екi бөлiкке бөлiнедi - LLC (Logical Link Control, логикалық байланысты  басқару деңгейшесi) және MAC (Media Access Control, қатынау ортасын басқару деңгейшесi). Деректердi тасымалдаудың қауiпсiздiгi жергiлiктi сымсыз желiнiң маңызды талабы болып  табылады. Сондықтан MAC-деңгейiнде станцияның аутентификациясы және жеке шифрленiп  жiберiлген деректердi қамтитын деректердi қорғау механизмi ұсынылған. Бұл WEP (Wired  Equivalent Privacy, сымды конфиденциалдылықтың эквивалентi) деп аталатын алгоритм.

Шифрлеу RSA Security компаниясының RC4 (Ron’s Code 4) алгоритмi арқылы өтедi. WEP  ескiрген технология болып табылады, бiрақ өзiнiң қолданысын жалғастырады. WEP-алгоритмi  кiрiс деректер блогын дәл сондай ұзындықтағы псевдокездейсоқ  тiзбектiлiкке (train) көбейтедi.  Псевдокездейсоқ  генератордың тiзбектiлiгi 64-разрядтық  санмен инициализацияланады, ол  24-разрядтық  инициализацияланған IV вектордан (Initialization Vector) және 40-разрядты  құпия кiлттерден (құпия кiлт 64, 128 бит және т.б. болуы  мүмкiн) тұрады. WEP алгоритмi  кездейсоқ  түрде кез келген бiрегей IV пакетiн  таңдайды. Егер құпия кiлт WLAN құрылғысына  белгiлi болса және ол тұрақты болса, вектор IV пакеттен пакетке өзгеруi мүмкiн. Жiберiлген  ақпараттарды санкцияланбаған  өзгерiстерден қорғау үшiн әрбiр  шифрленген пакет 32- разрядты ICV (Integrity Check Value) бақылаулық суммамен қорғалады. Шифрлеу арқылы  берiлген ақпараттарға 8 байт қосылады: ICV үшiн 4, IV үшiн 3, 1 байт қолданылған құпия  кiлттiң нөмiрi туралы ақпаратты қамтиды. WEP-алгоритмiнiң  артықшылығына жатқызуға  болады:

- кiлттiң периодтты ауысу  және IV жиi ауысу мүмкiндiгi;

- әрбiр хабарлама арқылы  шифрдiң өз бетiмен синхронизациялануы  пакеттердiң  жоғалып кету ықтималдығын төмендетедi;

- алгоритмнiң тиiмдiлiгi  және олардың бағдарламалық және  аппаратты құрылғылармен жүзеге асу мүмкiндiгi;

- қосымша мүмкiндiктер  статусы қолданушыға алгоритмдердi пайдалану жөнiндегi сұрақтарды өздерiнiң шешуiне мүмкiндiк бередi.

WEP үш негiзгi қорғаныс  проблемасын шешуге арналды:

- Құпиялылық. Сымсыз трафиктi  қаскүнемнiң оқуынан сақтау.

- Қолжетiмдiлiктi (қатынауды)  бақылау. Желi ресурстарын қаскүнемнiң  заңсыз қолдануынан сақтау.

- Деректердiң бүтiндiгi. Сымсыз  желi арқылы деректердiң берiлуi кезiнде қаскүнемнiң модификациясынан сақтау.

WEP протоколын сипаттайық.

Жiберушi мен қабылдаушы ортақ  құпия k кiлттi қолданады, бiрiншiден жiберушiден  қабылдаушыға қорғалған арна арқылы жiберiледi. М хабарды жiберу үшiн жiберушi келесi  амалдарды орындайды:

- с(М) хабардың бақылаулық  қосындысын есептейдi (ескеретiн  жағдай, k кiлтiнен тәуелсiз), және оны хабардың өзiне қосады: P=<M,c(M)>. - v инициализация векторын (Initialisation  Vector, IV) таңдайды және RC4(v,k) кiлттiк ағымды (keystream) генерациялайды- кездейсоқ биттердiң бiрiздiлiгi, IV v және k кiлтiне тәуелдi.

- Разрядтық операцияларды  қолданады "ИЛИ"(XOR)-дан P-ге  және кiлттiк ағымға, C = P  xor RC4(v,k) деген шифртекстi ала отырып. - Инициализация векторын және сымсыз желiден  шифртекстi жiбередi. Оны мына түрде көрсетуге болады: A -[wireless link]-> B: [v,(P xor RC4(v,k))], мұндағы P= <M, c(M)>.

Қабылдаушы келесi амалдарды  орындайды:

- Қабылданған v векторды  қолдана отырып және k құпия кiлттi, RC4(v,k) кiлттiк ағынды  генерациялайды.

- XOR операциясын "С шифртекст  - RC4(v,k) кiлттiк ағын "жұбына қолданады, M’ хабарын  және бақылаулық сомманы c’ ала отырып. Оны мынадай үлгiде елестетуге болады: P’ = C xor RC4(v,k) = (P xor RC4(v,k)) xor RC4(v,k) = P.

- c’=c(M’) теңдiгiн тексередi. Егер ол дұрыс болса, онда M’=M, яғни ағымдық код болып келедi.

- WEP протоколдың барлық  сенiмдiлiгi RC4 ағымдық шифрда құрылған.

- Ағымдық шифрды қолдана  отырып жiберушi кiлттiк ағынды  генерациялап және осы  ағынды ашық текстпен көшiрме жасап, шифртекстi алады.

- Қабылдаушы осы кейстримдi  генерациялай отырып, онымен шифртекстi  көшiрме жасап,  ағымдағы ашық текстi алады. Радиоалмасудың ашық трафигi сол стандартта жұмыс iстейтiн құрылғылармен жеңiл  жұмыс iстейдi. Қаскүнемдер қарапайым тыңдауға қолжетiмдi парольды алуға әдiстенген.

Сондықтан IEEE 802.1x-ның құрама бөлiгi EAP (Extensible Authentication Protocol, кеңейтiлген  аутентификация хаттамасы) протоколы болып табылады, ол заңды қолданушыға байланыстың  ашық арнасының көмегiмен парольды беруге мүмкiндiк бередi. Клиент аутентификациясы  және АР қатынау нүктесiнiң өзара процедураларын қолданатын EAP протоколы iс-әрекеттiң  стандартты тiзбектiлiгiн аутентификациясы мен желi абонентiнiң авторизациясы арқылы құрады. Қауiпсiздiктi қамтамасыз ету үш тапсырманы шешуге негiзделедi:

- сымсыз желiнi заңсыз  қолданушылардың қосылуынан қорғау;

- желi ресурстарындағы  санкцияланбаған қолжетiмдiлiктiң  (қатынаудың) алдын  алу;

- жiберiлген деректердiң  толықтығына және конфиденциалдығына  кепiлдiлiк беру.

Алғашқы екi мәселенi шешуге AAA (Authentication, Authorization, Accounting - аутентификация, авторизация, тiркелген операциялар) процедурасы қолданылады. Аутентификация, авторизация және тiркеу функцияларының құрылымы сымсыз желiнiң  қауiпсiздiгiн қамтамасыз ететiн жалпы элемент ретiнде қарастырылады. Сымсыз желi үшiн  қабылданған қолжетiмдi шешiмдер болып қолжетiмдi сервердi қолдануға негiзделген ААА орталық жүйесi табылады. WLAN қолжетiмдiлiктiң орталық жүйесiнен RADIUS (Remote Authentication Dial-In User Service, абоненттерге көрсетiлген қызметтер аутентификациялануы,  авторизациялануы, көлемi есептелуi үшiн арналған хаттама) серверi кең таралған, ол сымды  желi үшiн де, сымсыз желi үшiн де тағайындалған. RADIUS серверi жоғарыда белгiленген үш  қорғау процедурасының орындалуын қамтамасыз етедi. WEP-тегi шабуылдар RC4 шифрiнiң кемшiлiгiне негiзделген. Жеке түрде, IPSec (IPSecurity, IP-желiсiндегi мәлiметтердi қорғау протоколдар жиынтығы) көмегiмен сымсыз желi арқылы  туннелдеудi қабылдау қауiпсiздiк мәселесiн шешедi.