Жергiлiктi сымсыз желiлерiнде ақпаратты қорғау

Сымсыз трафик қорғанысы  үшiн бүгiнгi таңда бәрiнен сенiмдiрегi өзiнiң сенiмдiлiгiн  дәстүрлi шешiмдермен дәлелдейтiндердi пайдалану, мысалы, VPN (Virtual Private Network,  виртуальдық жекеменшiк желi) немесе IPSec (Internet Protocol Security, Интернет желiсiнде  ақпарат қорғау механизмi). WEP желiнi басқаруға мүмкiндiк бермейдi, демек, атынау  нүктесiне MAC-адресi бойынша қосымша фильтрация (сүзгiлеу) қамтамасыз ету, өзiмен бiрге  қол жетiмдiлiктi басқару тiзiмi болуы керек. Тағы бiр рет ескертемiз, стандарт периодтық  ауысымда құпия кiлттi талап етпейдi. Өкiнiшке орай, бұл талап бәрiнде дерлiк сақталмайды,  сондай-ақ оперативтi және қауiпсiз қолмен iрi желiде кiлттi ауыстыру - қиын тапсырма. Ең тез  шешiм - SSID-дiң (Service Set Identifier, желiлiк атау) таратылымын тоқтату. Барлық әдiстер   қаскүнемнiң тапсырмасын қиындата алады. Инициализация векторы бар - бiрақ ол қандай,  қалай ауыстырылуы мiндет, оның таңдауы қандай алгоритм? Бақылаулық қосындылау бар -  бiрақ ол қандай алгоритммен? RC4 шифры бар, бiрақ оны осында қолдануға бола ма?  2001 жылы IEEE WEP дизайнында фундаменттiк (маңызды) кемшiлiктер табылған соң  WEP2 (WEP version 2) жаңа спецификациясын ұсынды, оған 128 биттiк кiлт және 128  биттiк инициализация векторы қолданылған. Дәл сол уақытта оған да дәл RC4 шифрлеу  алгоритмi қолданылған және дәл CRC32 (Cyclic Redundancy Code 32, 32-разрядты циклдiк  артық код) толық басқару жүйесi қолданылған. Оның күшiне ие, WEP2 барлық жоғары  сипатты мәселелердi шешпейдi және сондықтан кең қолданыс тапқан жоқ. WEP-тiң сенiмсiздiгi  шифрлеу алгоритмiнiң криптографиялық әлсiздiгiнде тұр. Кiлтiнiң ұзындығы 104 битке   ұзарған WEP2 версиясы желiнiң кемiстiк мәселесiн шеше алған жоқ. WEP-тiң бұрыннан  бар болған кемшiлiгi - автоматты түрде өзгермейтiн және сымсыз AP сияқты шифрлеу үшiн  қолданылатын кiлттердi қолмен енгiзудi қажет етедi.

Әлбетте, көптеген компаниялар  өзiнiң сымсыз трафиктерiн қорғайтын  механизмдерiн  өңдедi. Cisco Aironet жабдықтарында кейбiр мәселелер LEAP (Lightweight Extensible Authentication Protocol, аутентификацияның қарапайым кеңейтiлген протоколы) протоколымен  шешiледi. Үнемi тұрақты бiр WEP-кiлтiн қолданудың орнына клиенттер әр кезде регистрация  (тiркеу) арқылы кезектегi жұмыс сеансына жаңасын динамикалық түрде генерациялайды.

Барлық клиенттердегi кiлттер  бiрегей, ол IV (инициализация векторы) конфликтiнiң қауiп- қатерiн төмендетедi. Қытай өкiметi өзiнiң сымсыз желiсiн қорғайтын WAPI (WLAN Authentication and Privacy Infrastructure) стандартын енгiзген, бiрақ ол өз жерiнде кең қолдау тапқан жоқ. 2004 жылы IEEE өзiне WPA (Wi-Fi-Protected Access) және WPA2 (WPA version 2) қауiпсiздiктi қамтамасыз ететiн жаңа алгоритмдердi енгiзетiн 802.11 стандартына түзетулер енгiздi. Бүгiнгi  күнде WLAN желiсiндегi қауiпсiздiк үшiн WPA қолдану ұсынылады, ол TKIP (Temporal Key Integrity Protocol) уақытша кiлтiмен интергацияланған протокол арқылы шифрлеудi ұсынады.  WPA кiлтiнiң ұзындығы 8 символдан 63 символға дейiн, ол қорғауды жақсартады. WPA-  ны таңдау тек AP және барлық WPA-ға сәйкес болғанда ғана мүмкiн. WPA Wi-Fi Alliance  ұйымдастыру формуласымен анықталады: WPA=802.1x+EAP+TKIP+MIC.  Қауiпсiздiктiң жаңа стандарты WPA қауiпсiздiк деңгейiн қамтамасыз етуде WEP-  тiң ұсынысынан көп бере алады. Ол WEP пен 802.11i стандарт арасындағы көпiршенi  қайта лақтырады және микропрограммалық қамтамасыздандыруда көп ескi құрылғыларды  аппараттық өзгерiске салмастан айырбастау басымдылығына ие.

WPA-да WEP модернизациясы үшiн  арнайы өңделген TКIP (Temporal Key Integrity Protocol, уақыттық кiлттерiнiң тұтастық протоколы) қолданылады. Бұл дегенiмiз, WEP-тiң барлық негiзгi құрама бөлiгi бар, бiрақ, қауiпсiздiк мәселесiне жауапты сәйкес өлшеммен қабылдау. Ноутбуктар мен қалта дербес компьютерлерi WPA немесе 802.11i стандартындағы  қауiпсiз желi жүйесiнде жұмыс жасауы үшiн, олар 802.1x стандартын қолдайтын клиенттiк   программалармен жабдықталған. Funk және Meetinghouse компаниялары әртүрлi клиенттiк  ОЖ-ге сондай программаларды ұсынады (қосалқы модуль түрiнде), ал Cisco фирмасы  оны өзiнiң Aironet Client Utility уилитiне жатқызады. Microsoft компаниясы Windows XP  операциялық жүйесiнде (ОЖ) 802.1x стандартының қолдауын алдын-ала қараған; клиенттiк  программаларға сәйкес Windows 2000 ОЖ-iн оның Web-серверерiнен тегiн жүктеп алуға  болады. Өкiнiшке орай бұл клиенттiк программалар алдын-ала ОЖ-ге және басқа да   орталарға қосылған, ереже бойынша ол EAP барлық аутентификацияларын қолдай бермейдi.  TКIP автоматты түрде таңдалынған бiрегей 128-биттiк кiлттi қолданады, жалпы вариация   мөлшерi 500 млрд. құрайды. WPA кiлтпен басқару функциясымен толықтанған, ол кiлт бiр  рет енгiзiледi және периодты түрде ауысып отырады. TKIP алгоритмi шифрлеу операциясын  орындау үшiн сымсыз құрылғыларда пайдаланатын есептеу функцияларын қолданады.  Алгоритмнiң иерархиялық жүйесi кiлттi және олардың әрбiр 10 Кбайт сайын динамикалық  ауысуын талдай отырып жүйенi қорғайды. TKIP қолдауы қазiргi күнгi көптеген WLAN-  дарда клиенттiк бағдарламаларды қамтамасыз ету мен драйверлердi жаңарту жолымен жүзеге  асады.

TKIP протоколымен WPA стандартын  күшейтудi бес пунктерге бөлуге  болады:

- Вектор ұзындығын ұлғайту  IV (Initialization Vector) тен 48 битке дейiн  вектор коллизиясынан қашуға мүмкiндiк бередi және мың жылдар бойы олар қайталанбауға кепiлдiк бередi. Сонымен қатар, IV векторы қазiр бiрiздiлiк өлшеуiшiне жұмыс жасайды - TSC (TKIP Sequence Counter),  мәлiметтердiң қайталануынан құтқарады, бұл WEP-тiң басты осалдығы.

- WPA танымал әлсiз IV мәндi қолданудан қашады. Әрбiр пакет  үшiн әр түрлi құпия кiлттер  болады.

- WEP-тың WPA дан айырмашылығы  шебер-кiлт ешқашан тiкелей қолданылмайды. Кiлт иерархиясы, шебер арқылы шығару, криптография көзқарасы бойынша қауiпсiздеу қолданылады. Кiлт иерархиясы TKIP, WEP-тiң бiр статикалық кiлтiн шамамен 500 млрд.

мүмкiн болатын кiлттерiмен  алмастырады.

- WPA-да iшкi қауiпсiздiктi кiлтпен  басқару, бұл мәселе түкте емес (WEP-те көптеген басқару  механизмдерi және құпия кiлттердiң ауысыу жоқ болды).

- Дәлелденгендей, WEP-тiң тұтас  хабарламасын тексеру тиiмдi емес. WPA-да iшкi  қайшылықтар мен ақпараттардың өзгеруiнiң алдын алу үшiн MIC (Message Integrity  Check) хабарламасының толықтығын тексеру технологиясы қолданылады. MIC алгоритмi  шабуылдың алдын алатын кадр есептегiшiне негiзделген. MIC алгоритмi хабарламалардың  толықтығының 8 разрядты кодын есептейдi. MIC қауiпсiз коды IEEE 802.11 кадрында  мәлiметтер фрагментiмен және контрольдiк сумманың 4 байттық мәнiмен таралады. Теориялық тұрғыдан дұрыс MIC-дi табу ықтималдылығы бiр миллиондыққа тең, Michael  шабуылды анықтап және оларға жол бермеуге қарсы әдiстердi қолданады, қосымша  қауiпсiздiктi қамтамасыз етедi.

WPA технологиялық функциясы  құпиялық және тұтастық мәлiметi TKIP протоколына  негiзделедi, WEP протоколы болса кiлттермен басқаруда эффективтi механизм, бiрақ дәл сол  мәлiметтердi шифрлеу үшiн RC4 алгоритмi қолданылады. TKIP протоколына сәйкес, желiлiк  құрылғы 48 биттiк нинциализация векторымен жұмыс жасайды (24-биттiк инициализация  векторы WEP протоколынан айырмашылығы). TKIP протоколында алдын ала қаралған  генерациялық жаңа кiлт әрбiр берiлген пакет пен ұлғайтылған бақылауға хабарлама тұтастығы   криптографикалық баға бақылау MIC (Message Integrity Code) көмегiмен жүзеге асырылады.   WPA стандарты сонымен қатар 802.1x протоколын және EAP (Extensible Authentication Protocol) кең таралған аутентификация протоколын қолданады, ол желiлiк  администраторларға RADIUS серверiнiң құрылғыларымен клиенттер аутентификациясының  алгоритмдер жиынтығына әрекет етуге мүмкiндiк бередi. 802.1х - сымды және сымсыз желiге  арналған, желi арқылы берiлетiн аутентификация стандарты: клиент және аутентификация  арасындағы екiжақты мықты құрылғы; әрбiр сессияға және әрбiр қолданушыларға арналған  динамикалық кiлт. 802.1 протоколы әртүрлi функцияларды орындауы мүмкiн, мысалы,  клиент аутентификациясы, EAP-ға бекiтiлген және AP (аутентификатор, интеллектуальды  коммутатор) порттары деңгейiнде жүзеге асатын, шифрлеу кiлтiн бөле отырып орналастыру. WPA2 жеке және корпоративтi клиенттер үшiн деректердi қорғаудың және бақылаудың  ең жоғары дәрежелi қорғалуын қамтамасыз етедi. 2006 жылы 13 наурыздан бастап WPA2  қолдауы барлық сертификацияланған Wi-Fi құрылғысы үшiн мiндеттi шарт болып табылады.  WPA2 қауiпсiздiк стандарты неғұрлым тұрақты AES (Advanced Encryption Standard, iлгерлеу   шифрлеу стандарты) шифрлау криптоалгоритмiн қолданады.

AES стандартында шифрлеу  алгоритмi ұзындығы 128 бит болатын  блоктармен  операцияланады. Мәлiметтiң кiрiстiк блогы, аралық мән және шифрленген мәлiметтер   алгоритмнiң шығысында 16-байттық байттар массивi түрiнде болады, яғни төрт баған  және төрт қатардан тұратын (әрбiр баған және қатар осы жағдайда 32-разрядты сөз   сияқты интерпретациялануы мүмкiн). Шифрлеудiң әрбiр раунды төрт әртүрлi аударудан   тұрады: SubBytes() байтымен алмастыру; ShiftRows() қатарды жылжыту; MixColumns бағанды   араластыру және AddRoundKey раундтық кiлтпен қосу.

AES CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol - аутентификация  кодымен, хабарламамен және блок  пен есептеуiштi тiркеу режимiмен, блоктық шифрлеу хаттамасы) протоколын қолданады - ол қауiпсiздiктi қамтамасыз ету  протоколы, бiр мезгiлде кiлтпен басқару және бақылаулық қосындыны құру функциясын  орындайды. ССМР хабарламаны аутентификациялау кодымен, тiзбектелу және есептеу  режимiмен құрылатын блоктық шифрлеудiң протоколы болып табылады. Ол WPA2  стандартының мiндеттi бөлiгi және WPA стандартының мiндеттi емес бөлiгi болып табылатын  блоктық шифрлеудiң әртүрлi алгоритмдерiмен жұмыс жасай алады. ССМР шифрленбеген   пакеттер мәтiнiн айналдырады және оны мәлiметтер пакетiнде инкапсуляциялайды.  Сонымен қатар CCMP TKIP сияқты шабуылдан қорғау, толықтықты, аутентификацияны, конфиденциалдылықты (құпиялылықты) қамтамасыз етуге тағайындалған. ССМР-да  қолданылатын барлық AES-процестер AES-дi 128-биттiк кiлтпен және 128-биттiк өлшемдегi  блокпен қолданады. Орнату процедуралары және TKIP алгоритмi мен ССМР алгоритмi үшiн  кiлттредi ауыстыру бiрдей болады.

AES-шифрлеуi сымсыз клиенттiк  құрылғының орталық процессорына  үлкен жүктеме  түсiредi. Бағдарламалық ортаның AES алгоритмi арқылы шифрлеу бiрнеше клиенттер үшiн  бiр уақытта сәйкес аппараттық қамтаманы талап етедi. [3]. Мысалы, ноутбукке арналған Pentium 2,5 ГГц өлшемдi микропроцессор. IEEE 802.11i комитетi желiнi сенiмдi түрде қорғаудың  концепциясын RSN (Robust Security Network) технологиясымен анықтаған. Осы сымсыз  клиенттiк өнiмнiң концепциясына сәйкес және АР күрделi шифрлеу алгоритмiн қолдаудың  үлкен есептеу күшiне ие. Сөйтiп, WPA, WPA2 WLAN-дi көптеген желiлiк шабуылдардан  802,1x, EAP, TKIP, AES-дi қолдана отырып қорғайды - сымсыз байланыс құрылғысы сертификациясының жаңарған бағдарламасы. Бүгiнгi күнде TKIP процедурасын қолданатын  шифрлеу алгоритмi WPA деп аталады, ал CCMP (Counter Mode with Cipher Block Chaining   Message Authentication Code Protocol) процедуасы - WPA2 деп аталады.  Байланыстың қауiпсiздiгi - бұл түсiнiк өте кең және көптеген әртүрлi аспектiлердi қамтиды.  WEP-дегi әлсiздiкке байланысты WLAN WPA және WPA2 қолжетiмдi қорғалған техникамен  өңделген. WPA-ның WEP-дан айырмашылығы динамикалық (жиi ауысып отыратын) кiлттердi  қолданады.

Келесiде белгiленетiн, ақпаратты  жиi қорғауға алу ақпараттарды жiберудiң  қауiпсiздiгiн  қамтамасыз етуге әкеледi. Бiрақ қазiргi заманғы инфокоммуникациялық  жүйеде тек қана  ақпаратты жiберу емес, сонымен қатар сол ақпараттарды өңдеу мен сақтау да өте маңызды.  Одан басқа, бұрыннан бар болып табылатын  фактордың бiрi - желiнiң ұзақ өмiр  сүруi,  өйткенi желiнiң жарамсыз болып  қалуының нәтижесiнде ақпараттардың  жоғалып кетуi  сырқаттан кем  емес. Қазiргi кездегi WLAN желiсiнде әрекет ететiн қорғаудың бiрнеше әдiстерiн  карастырайық:

- MAC адресiн фиьлтрациялау  - желi адаптерiн бақылайтын құрылғы, MAC-адрестер тiзiмiнде  енгiзiлген  передатчиктi қабылдауға қолжетiмдiлiгi  бар. Бұл әдiс шифрлеуге WEP-пен  сәйкес  аутентификацияларға қолданылады.  Егер сымсыз желi картасы тiзiмде  жоқ болған болса, онда  оны  қолжетiмдiлiктен алып тастайды;

- SSID (Service Set Identifier, желiлiк  атау) - WLAN арқылы берiлетiн әрбiр  пакет бөлiктерi  үшiн қызмет  етедi. SSID-ны бiлмей тұрып желiге қосылуға болмайды. Әрбiр желiлiк тетiк тек  бiр SSID передатчикпен бапталуы тиiс;

- WLAN үшiн клиенттен серверге арнаны формалау жолымен VPN (Virtual Private Network) байланысын орнату. VPN-ны орнату шифрлеу көлемiнiң әсерiнен желiнiң өнiмдiлiгiн  төмендетуi мүмкiн. VPN бағдарламалық қамтамасы жылжымалы шифрлеу мезанизмiн   пайдаланады. Мысалы, AES, трафиктiң шифрленуiн қиындатады;

- желiаралық экранды (брандмауэр/файервол) пайдалану.

Бизнес үшiн коммуникация - компания мен талап етушiлер  арасындағы қызмет ету ортасы.  Производители WLAN-құрылғылар өңдеушiлерi өз шешiмiн нақтылады, жеке түрде, АР  Linksys WRT 54 G -дiң бесiншi версиясы Secure Easy Setup мастерi болып табылады, ол  AP-дi баптаудың қауiпсiздiгiне қызмет ететiн аппараттық және бағдарламалық қадамдарды   интеграциялайды. Үлкен емес желiлердi қосымша қорғау үшiн көптеген АР сымсыз  желiсiнде жүзеге асатын МАС-адрестiк фильтрацияны қолдануға болады. Сымсыз құрылғыны  сәйкестiкке тексеру үшiн сертификацияланған өнiмдер тiзбегiн пайдалану керек, оларды WiFi Alliance ұйымының Web-сайтынан таба аласыздар . Windows XP ОЖ құрамындағы  клиенттiк программалық қамтама көптеген желiлерде және семьялық кеңселерде жақсы

жұмыс жасайды, бiрақ мәлiметтердi қорғауда оны жаңарту қажет. Қауiпсiздiктiң жаңа стандарты WPA қауiпсiздiк деңгейiн қамтамасыз етуде WEP- тiң ұсынысынан көп бере алады. Ол WEP пен 802.11i стандарт арасындағы көпiршенi қайта орнатады және микропрограммалық қамтамасыздандыруда көп ескi құрылғыларды   аппараттық өзгерiске салмастан айырбастау басымдылығына ие. Ақпаратты қорғаудың сәйкес технологиясын пайдалану арқылы желi IEEE 802.11 стандарты негiзiнде компанияның қызметкерлермен, бөлiмшелермен, офистермен,  филиалдармен, сонымен қатар сыртқы контактылы топтармен: клиенттер және партнерлермен  өзара әрекеттi тиiмдi қамтамасыз етуге мүмкiндiк бередi. Қорғалған WLAN-дi жоспарлау  арқылы кез келген шифрлеу және басқа манипуляцияларды еске сақтау керек.

ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР

1. Шахнович И.В. Современные технологии беспроводной связи. Издание второе, исправленное и дополненное. М.: Техносфера, 2006. - 288 с.
2. Вишневский В.М., Ляхов А.И., Портной С.Л., Шахнович И.В. Широкополосные беспроводные сети передачи информации. - М.: Техносфера, 2005. - 592 с.
3. Алгоритм AES: http://www.nist.gov/ae
4. Бабенко Л.К, Ищукова Е.А. Современные алгоритмы блочного шифрования и методы их анализа. - М: Гелиос АРВ, 2006. - 376 с.
5. http://www.wi-fi.org/OpenSection/certified_products.asp
6. http://support.microsoft.com