2.5-Сурет. Mimo-ofd қабылдағышының жалпы сұлбасы
2,4 және 5 ГГц диапазонда жұмыс істейтін барлық жүйелердің артықшылықтары мен кемшіліктерін қарастырғаннан кейін, бастапқы кезде желіге қойылатын талаптарды құрастыру керек. Ол оған таңдап алатын компоненттерді алғанда қажет болады. Нақты талаптар болмаса дұрыс шешім қабылданбауы мүмкін.
2.1.3 802.11I стандарты
Бұл стандарттың пайда болғанына көп уақыт болған жоқ. Оның қолдану аясы енді ғана көбейіп келе жатыр. 802.11i стандартында шифрлау және мәліметтерді жіберу операциялары жақсы дамыған. Бұл стандарт сымсыз желіні бұзатын адмдарға қарсы құрастырылған стандарт болып табылады.
802.11i стандартының параметрлері:
1. Максималды жылдамдығы 125 Mbps;
2. Желінің жұмыс істеу радиусы 50 м;
3. Қауіпсіздікті қамтамасыздандыратын хаттамалар WEP, WPA, WPA2;
4. Қауіпсіздіктің жоғарғы деңгейлігі.
Замануи технологияларға қарамастан, мәліметтердің саплы түрде жетуі мен қауіпсіздік деңгейінің санімділігі құрылғылардың дұрыс орнатуы мен бағдарламалық қамтамасыздандыруға байланысты болады. Ал оны тәжірибелі мамандар орнатады.
Wpa2 қауіпсіздік стандарты
WPA стандартына қарағанда айтарлықтай тұрақты AES шифрлану алгоритмі қолданылады. WPA2 WPA секілді екі типке бөлінеді: WPA2-PSK және WPA2-802.1x.
Мәліметтердің сенімділігін қамтамасыз ету үшін жаңа механизмдер ойластырылып жатыр:
Advanced Encryption Standard (AES) шифрлық алгоритміндегі Counter Cipher-Block Chaining Mode (CCM) режиміне негізделген (Counter-Mode-CBC-MAC Protocol) ССМР хаттамасы. ССМ екі механизмді біріктіреді: Counter (CTR) жекебастылықты қамтамасыздандырады және и Cipher Block Chaining Message Authentication Code (CBC-MAC) аутентификация үшін керек.
Шифрлық алгоритміндегі Offset Codebook (OCB) режиміне негізделген (Wireless Robust Authentication Protocol) хаттамасы.
Бұрын шығарылған құрылғылармен арасындағы кері сыйсымдылықты қамтамасыздандыратын ТКІР хаттамасы.
IEEE 802.1x/EAP хаттамалар негізіндегі кілтердің алып келуі мен өзара аутенфикация.
Ad-Hoc желілеріндегі қауіпсіздікті жоғарлату үшін қауіпсіз Independent Basic Service Set (IBSS).
роумингпен қамтамасыздандыру.
IEEE 802.11i стандарты мен ССМР механизмдердің сымсыз желілер қауіпсіздігін қамтамасызандыратын үлестер. Сенімді қорғалған желілердің (Robust Security Network, RSN) және сенімді сақтандырылған желілік байланыстар (Robust Security Network Association, RSNA) соңынан енгізіледі, осыдан кейін барлық алгоритмдерді келесі түрлерге бөледі:
RSNA-алгоритмы (RSNA-ды ойлап шығару мен қолдану үшін);
Pre-RSNA-алгоритмы.
Pre-RSNA-алгоритмдарына жататындар:
WEP;
IEEE 802.11 бар аутентификациясы (1999 жылғы стандартта белгіленген аутентификация).
Берілген алгоритм түрлеріне WEP-шифрлық және онсыз Open System аутентификациялары және Shared Key.
RSNA-алгоритмдарына жататындар:
TKIP;
CCMP;
Орналастыру үрдісі мен RSNA терминациясы (IEEE 802.1xаутентификациясын қолданған кезде);
кілтермен алмасу үрдісі.
Соның өзінде ССМР алгоритмі негізгі болады да, ал ТКІР – опционалды және ескі құрылғылармен расындағы сыйсымдылықты қамтамасыздандырады.
Бұл стандартта екі функционалдық модель қарастырылған: ЕАР хаттамалары қолданылатын IEEE 802.1x бойынща аутентификация және алдын ала қарастырылған кілті бар жазылған аутентификация және клиент (мұндай режим Preshared Key, PSK деп аталады). Бұл жағдайда PSK кілтінің рөлін РМК кілті орындайды және ары қарай жүргізілетін аутентификация мен генерация поцедураларының айырмашылығы жоқ.
ТКІР процедуралары қолданылатын шифрлану алгоритмдерін WPA деп атауға болады деп шешілді, ал ССМР процедураларын – WPA2, тағы RSNA қанағаттандыратын шифрлану әдістері: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal).
ТКІР және ССМР алгоритмдерінің кілтерінің алмасу мен байланысты орналастыру процедуралары бірдей болып табылады. CCMP (Counter mode (CTR) with CBC-MAC (Cipher-Block Chaining (CBC) with Message Authentication Code (MAC) Protocol) ТКІР секілді құпиялықты, аутентификацияны, бүтіндікті және жаңғыртудың шабуылдың қорғанысын қамтамасыз етеді. Берілген алгоритм AES шифрлық ССМ-алгоритмінің әдісіне негізделген, ол FIPS PUB 197 спецификациясында анықталған. ССМР-да қолданылатын AES-үрдістерінің барлығы 128-биттік кілт пен 128-биттік блок мөлшерін қолданады.
Стандарттың соңғы енгізгендері қолжетімділік нүктелер арасындағы жедел роуминг технологиялар мен олардың РМК кілттерінің кэштау процедураларының қолдануы және аутентификациялануы болып табылады.
РМК кэштау процедурасының негізі қолданушы кез келген қол жетімділік нүктесінен толық аутентификацияны өтіп, соңында оны растайтын кодты алады да, сол кодты екінші рет қосылған кезде растаушы код ретінді қолдана алатынында болып табылады. Ол кодты РМК кілті ретінде қолдана береді. Осымен аутентификация аяқталады, яғни 4 жақты қолалмасу (4-Way Handshake) қажет емес.
Қайта аутентификациялану үрдісінің негізі қолданушы қолжетімділік нүктесінде қосылып, толық аутентификацияны өтсе, ол параллель (алдына-ала) қалған қолжетімділік нүктелерінде (өзі «өзі еститін») аутентификацияны өте алады, мысалы, SSID секілді, яғни, олардан алдын ала РМК кілтін алып алады. Егер болашақта қолданушы қолданып отырған қолжетімділік нүктесі істен шықса немесе оның сигналы әлсіз болса, онда қолданушы кэшталған РМК кілттері арқылы тез арада қайта қосылуды жүргізе алады. 2.4 кестеде сымсыз желілерде қолдануға болатын шифрлау хаттамаларының мүмкіндіктері көрсетілген.
2001 жылы шыққан WEP2 сертификациясы кілттің ұзындығын 104 битке ұзартты, бірақ мәселерді шеше алмады, өйткені инициализация векторының ұзындығы және мәліметтердің тұтастығын тексеретін әдістер сол қалыпты қалды.
2.4 кесте. Сымсыз желілерде қолдануға болатын шифрлау хаттамаларының мүмкіндіктері
|
Хаттама |
Open System |
Shared Key |
WPA-PSK |
WPA-EAP |
WPA2-PSK |
WPA2-EAP |
|
Шифралау алгоритмі |
RC4 |
RC4 |
RC4 |
RC4 |
AES (CTR) |
AES (CTR) |
|
Аутентификация |
жоқ |
Preshared Key |
Preshared Key |
IEEE 802.1x |
Preshared Key |
IEEE 802.1x |
|
Кілттің ұзындығы, бит |
64 немесе 128 |
64 немесе 128 |
128 (шифрлық), 64 (аутент.) |
128 (шифрлық), 64 (аутент.) |
128 |
128 |
|
Кілтті тексеру алатындығы |
24-биттік IV |
24-биттік IV |
48-биттік TSC |
48-биттік TSC |
48-биттік PN |
48-биттік PN |
|
Мәліметтердің тұтастығы |
CRC-32 |
CRC-32 |
Michael |
Michael |
AES (CBC-MAC) |
AES (CBC-MAC) |
|
Тақырыптың тұтастығы |
жоқ |
жоқ |
Michael |
Michael |
AES (CBC-MAC) |
AES (CBC-MAC) |
|
Кілттермен басқару |
Барлық желілер үшін |
ЕАР негізінде |
Барлық желілер үшін |
ЕАР негізінде | ||
2.2 Сымсыз желілердің қорғанысы
Ақпараттың қорңанысыСымсыз қолжетімділікті ойлап тапқандар судың астындағы суасты рифтарды байқамаған, сол себептен бастапқыда әлемді сымсыз технологиялармен жаулап алу жүзеге аспай қалды. Сыссыз технологияларды кең таралуына бөгет болған, яғни айтып отырғандай «риф», қауіпсіздіктің жоғары деңгейінің жоқтығы болып табылады.
WEP және оның орын басушылары
Сымсыз желі жүйелері WEP кілттерінің шифрлануы мен МАС-адрестерден тұрғандықтан, айтарлықтай қорғаныспен қамтамасыздандырылмаған, сол себептен көптеген компаниялар қоррғаныс әдістерін өздері ойлап шығара бастады. Оның бірінші жолы шифрлау кілтінің ұзартылыуы болып табылды. Ол 40-тан 128 және 256 битке дейін ұзарды. Осы жолмен D-Link, U.S. Robotics және тағы бірнеше компаниялар барды. Бірақ осындай кеңейтуді қолдану, WEP2 деген атқа ие болған, басқа өндірушілердің қолданысындағы құрылғыларымен сәйкес келмеді. Сонымен қатар кілттің ұзын болуы қосымша жұмыстың көбеюйне алып келді.
Қорғаныстың төмен деңгейі сымсыз технологиялардыңғ дамуына тосқауыл болатынын түсінген өндірушілер 802.1х сертификациясына көп көңіл бөле бастады. Ол 802 стандарттарының топтарынтарындағы желі механизмдеріндегі қолжетімділікті басқаруды бір түрде көрсетуге көзделген. Бұл стандарт тағы да динамикалық WEP деп аталады. Сонымен қатар сымсыз технологияларда да қолданылады да, EAP (Extensible Authentication Protocol) хаттамасын қолдану арқылы жүзеге асады. Бұл хаттама жалған қолжетімділік нүктелерін жоюға, трафиктің криптографиялық құндылығын жоғарлатуға, қолжетімділік нүктелеріндегі абонент желілеріне аутентификацияланған ақпараттарды бөлуді жеңілдетуді қамтамасыз етеді. Уақыт өте ЕАР хаттамасы өзгерістерге ұшырады. Қазіргі уақытта оның біренеше түрлері қоланылады:
1. Cisco Wireless EAP (LEAP);
2. Protected EAP (PEAP);
3. EAP-Transport Layer Security (EAP-TLS);
4. EAP-Tunneled (EAP-TTLS);
5. EAP-Subscriber Identity Module (EAP-SIM).
802.1х стандарттарының мүмкіндіктері оны қолданған кездерде біршама қиындықтарды туғызады. Біріншіден, әр түрлі өндірушілердің құрылғыларының арасындағы сәйкес келмеушілік, екншіден, 802.1х стандартының кейбір қолданушылары үшін қолжетімділік құрылғысынң жетіспейшілігі болып табылады. Бұл мәселелер қазіргі таңда шешіліп жатыр, енді алдағы уақыттарда стандарт қабылданып, бүкіл жерлерде сымсыз қолжетімділік аутентификациясында қолданыла бастайды. Сонымен қатар кез келегн технологиялардың қорғанысын жоғарлатуға кедергі келтіретін адамдық фактор да бар. Мысалы, Например, Microsoft тапсырысы бойынша TNS Intersearch тексерісінің нәтижесінде барлыө компаниялардың ішінде өздерінің желілерінде сымсыз қолжетімділікті орнатқандар саны 42%. Онда аутентификация механизмдері іске қосылған, мұндай жағдайларда техникалық шешімдер көмектеспейді.
Бірақ базалық механизмдердің қорғанысының төмен болуы тек қана аутентификациямен ғана шектеліп қоймайды. Онда дешифрлану трафигңнңғ сұрақтары, кілттерді басқару, хабарландырумен алмасу жіне т.б.с. сұрақтар әлемдік бірлестікте шешіледі. Мысалы, ең соңғы мәселелер МІС(Message Integrity Check) хаттмасы арқылы жойылады, ол жіберіліп жатқан пакеттерді өзгерістерден қорғайды.
Әлсіз WEP криптографиясы біртіндеп басқа алгоритмдермен алмастырылып жатыр. Кейбір өндірілушілер RC4 альтернативі ретінде DES немесе TripleDES қолдануды ұсынады. Fortress компаниясы ұсынған хаттама wLLS (wireless Link Layer Security) арналық деңгейде ойлап тапты. Олар қарастырады:
1. Диффи-Хеллман кілттерін алмасу алгоритмдерін;
2. 128-разрядтық IDEA шифрлану (сонымен қатар DES және 3DES);
3. әр 2 сағат сайын кілттердің динамикалық алмасуын;
4. 2 жұп кілттің қолданылуын (желілік трафикті шифрлау мен кілттерді алмастыру кезіндегі шифрлау).
WEP шифрлануының бір кілтті қайта-қайта қолдануы қаскүнемдердің мәліметтерді жинап, қолданылып отырған криптографияны бұзуға алып соқтырды. Бұл мәселенің шешімін Fortress компаниясы өзінің wLLS хаттамасында кілттерді динамикалық алмасуы ретінде жүзеге асырды. Әр 2 сағатта кілттеррдің динамикалық алмасуы криптоаналитиктің жұмысын қиындатты.
Екінші жол ретінде ТКІР (Temporal Key Integrity Protocol) хаттмасы болып табылады. Ол кілттерді әр 10 Кбайт мәліметтерден кейін алмастырып отырады. Бұл хаттама қолданушыларға бөлінетін және шифлау кілттерін статистикалы өзгеруін алмастырып, оның ұзындығын 40-тан 128 битке дейін ұзартты. Соның өзінде RC4 сол қалыпты шифрлау алгортимі болып қалды.
Көптеген өндірушілер AES күрделі алгортиміне ұсыныс білдіртеді, оның шифрлау кілтінің ұзындығы 128, 192 және 256 битті құрайды. Ол АҚШ-та халықаралық шифрлау стандарты болып есептелінеді. Бірақ оны енгізу құрылғыларда жаңа микросұлбаларды енгізуді талап етеді, содан ол жаңа түрге көшу және оның бағасына да әсер етеді.
Жаңа алгоритмдер мен хаттамалар сымсыз технологияларды қорғауды әлдеқайда жоғарлатты және оның кең таралуына себеп болды, бірақ өзара жаман интегрилданды, ал оны қолданатын құрылғылар айтарлықтай ықпалды қолданғаннан кейін ғана түйісеті. Бұл кемшіліктердің барлығын WPA (Wi-Fi Protected Access) стандарты шешеді, ол 2002 жылдың 31 қазанындағы Wi-Fi альянсымен (бұрынғы WECA) орындалынады. Берілген стандарт 802.11 сымсыз желісінің барлық технологияларының қауіпсіздігін қамтамасыздандыру үшін құрастырылған. Қазіргі кезде осы стандартқа кіретіндер:
1. 802.1х және ЕАР көмегімен қолданушыларды аутентификациялау;
2. ТКІР көмегімен шифрлау;
3. 802.1х көмегімен кілшттердің динамикалық бөлінуі;
4. МІС (Michael) көмегімен бүтіндікті басқару.
WPA стандарты жаңа кеңейтілген спецификацияланған 802.11і (немесе WPA2) түріне түрлендіріледі. WAP2 шифрлау алгоритмі AES-ті алмастырады.
Мәліметтерді жіберу кезіндегі қорғанысты қамтамасыз ету басты мақсат болып табылады. Бірақ ол үшін құрылғылармен жұмыс істеуді тоқтатудың қажеті жоқ. Мысалы, шифрлаудың көптеген әдістері бар. Сымсыз желінің жұмысын қорғанысын қамтамасыз ету үшін білікті кадрлар мен мәліметтерді қорғау кезіндегі әрекеттердің жиынтығы қажет. Онда қолжетімділік нүктесіне ноутбугі бар біреу келіп, оған тиесілі емес ақпаратты алуы да мүмкін.
Қарапайым мысал ретінде, жылжымалы хост радиожелі ішінде қорғалмаған жерлерінде қорғалған және шифрланған байланысты иеленеді.
Әрбір Wi-Fi қолданушысының үй желісі келесі кескінде болады. Желіге қосылған жеке меншік ІР адресі бар кез келген DHCPDхаттамасы бар екі арналы шлюз орнатылған. Сонымен қатар оынң үйіне ноутбугі бар қонақ келсе, ол Ғаламторда емін-еркін «қаңғып» жүре беретін. Сөздің қысқасы ол қарапайым, кескіні типті болып табылады.
2.3 Бағдарламалық қамтамасыз ету
Шешiм сымсыз желiлердi қорғаныс үшiн әр түрлi өндiрушiлермен ұсынады. Бағдарламалық қамтамасыз ету үш мақсатқа жетуге рұқсат бередi:
Бөтендерді табу, яғни, сымсыз желілерді санкцияланбаған қолжетімділік нүктелерін мен сымсыз клиентерді табу үшін қолдану, олар трафикты тыңдау мен абоненттердің өзара жұмыс істеуін қамтамасыз етеді;
Өздеріндікін тексеру, яғни, орнатылған сымсыз құрылғылардағы тесіктерді жою тәсілдері мен жөндеу сапасын бақылау;
Өздеріндікін қорғау, яғни, сымсыз желі сегментіндегі түйіндерге жасалатын шабуылдар мен санкцияланбаған қолжетімділіктен қорғау.
2.4 Сымсыз құрылғылар қауіпсіздігін талдау
Сымсыз құрылғылардағы тесiктерiн iздестiру утилиталар мен құралдар арқылы жүзеге асырылады, бiрақ тесiктердi iздестiру WEP шифрлаудың кiлттерiнiң бұзу әрекетін шектейді. Мысалы, мұндай қағидат бойымен AirSnort және WEPCrack жұмыс жасайды.
Аса қызықты болып табылатын арнайы құрылғылар болып табылады, ол сымсыз құрылғылардың жан-жақты аудитін қамтамасыз етеді. Ондай өнімдер қазіргі уақытта аз болып табылады. Егер нақты айтсақ, қазіргі таңда тек жалғыз — Wireless Scanner, ол Internet Security Systems компаниясының өнімі.
Бұл жүйе бәріне белгілі әлемдік қорғаныс сканерінде Internet Scanner қарастырылады, ол инвертаризиция жүргізеді, сонымен қатар санкцияланған және сакцияланбаған сымсыз қолжетімділік нүктелерін табады. Содан кейін құрылғының жан-жақты талдауын жүргізеді. Ол талдаудың жүргізуінің басты мақсаты қорғаныс жүйесінің ең әлсіз жерлерін анықтау болып табылады. Wireless Scanner базасының әлсіз жерлері Cisco, Avaya, 3Com, Lucent, Cabletron негізгі ойыншылардың басты мәселесі болып табылады. Wireless Security Auditor (WSA) етөмен көлемдегі тексерісті ІВМ компаниясының бағдарламалық өнімдері жүргізеді. Ол қазіргі таңда тек қана прототип болса, түбінде шығатын тітижесі қандай болатынын айту қиын. Жоғарыда айтылған жүйе WSA жүйесінің инвертиризациясын жүргізіп, қорғаныс жағынан құрылғылардың конфигурациясын зерттейді.
2.5 Сымсыз желілердегі шабуылдарды анықтау
Бөгде құрылғыларды тапқанда және өздеріндегі тесіктерді жойғаннан кейін қолданушылардың назарына сымсыз желілерді үздіксіз қорғау мақсаты туындайды және оның түйіндерінде пайда болатын шабуылдарды анықтайды. Ол мақсатты шабуылдарды анықтайтын жүйелер шешеді, сонымен қатар олардың саны көп болып табылады, сол себептен оны таңдау алдында ойлану керек. Сымсыз желілерде сканер, инвертирациялайтын желі мен шабуылды анықтайтын жүйелер арасында шекті қою қиынға түседі, өйткені көптеген өндірірушілер санкцияланбаған қолжетімділік нүктелерін идентификациялайды. Олардың арасындағы айырмашылық сканер бұл мәселені берілген интервал арасында команда арқылы жасайды, ал анықтау жүйелері тұрақты тексеріп отырады.
Нарықта сымсыз желілердің қорғанысын қамтамасыз ететін жүйелердің көшбасшысы ретінде Airdefense атты компанияны айтуға болады. Ол келесі параметрлерді қамтамасыз етеді:
•желіге қосылған барлық сымсыз құрылғыларды автоматты түрде табады;
• сымсыз құрылғылар орнатылған нүктелердің желі карталарын құру;
• сымсыз құрылғылар құрамындағы өзгерістерді бақылау (өшу, ұрлау, істен шықты және т.б.);
• желі трафигін бақылау;
•әр түрлі шабуылдар мен сканерлеу нәтижелерін табу.
Екінші бөлімге қорытынды:
Бұл бөлімге тоқтала отырып,әрбір стандарттың артықшылығымен кемшілігін зерттедік.Соған қоса сымсыз желі жүйелері WEP кілттерінің шифрлануы мен МАС-адрестерден тұрғандығын, сымсыз желілерге шабуыл уакытында бағдарламалық қамтамасыз ету жолдарын қарастырдық.
3 РАДИОБАЙЛАНЫС ЖЕЛІЛЕРІН ЖОБАЛАУ ӘДІСТЕРІ МЕН РАДИОЖҮЙЕЛЕРДІ ҚҰРУ ПРИНЦИПТЕРІ
3.1 Wi-Fi технологиясының құрылу приниптері
Wi-Fi (Wireless Fidelity) атымен белгілі IEEE 802.11b стандарты 1999 жылы қабылданған. 1999 жылы күзде Wi – Fi брендінің иесі болып табылатын Wireless Ethernet Compatibility Alliance организациясы құрылды. Пресс – конференция барысында бұл организацияның тұлғалары бұл технологияны сымсыз Ethernet (Wireless Ethernet) желілерінің трафигі сыртқы орта әсерінен көбірек қорғалған болса, онда Wi – Fi желілерінің трафигі радиотолқындар арқылы беріледі және жүйе жұмысына кедергі келтіріп, тоқтатып тастайтын атмосфералық ауытқуларға бейім. Wi-Fi сымсыз локальдік желіні және жоғары жылдамдықтағы сымсыз Интернетке қосылу мүмкіндігін қамтамасыз ете алады, 3.1 – суретте көрсетілген.
