М.Н. Иманқұл, А.А. Жарылқасынов
Жергiлiктi сымсыз желiлерiнде ақпаратты қорғау
(Л.Н. Гумилев атындағы Еуразия ұлттық университетi, Астана қ., Қазақстан )
WLAN желiнiң қолдану саласы, мүмкiндiктерi, жетiстiктерi және кемшiлiктерi көрсетiлген. Деректердi тасымалдау қауiпсiздiгiне қойылатын талаптар мен оларды қорғау механизмдерi көрсетiлген. WEP алгоритмi сипатталып, оның жетiстiктерi мен ақаулары көрсетiлген. WLAN қауiпсiздiгiн қамтамасыз ету жолдары көрсетiлген (ААА процедуралары:
аудентификациялау, авторизациялау, есептiк операциялар; RADIUS серверiн қолдану). WLAN кемшiлiктерiнiң проблемасын шешпеген WEP2 нұсқасы көрсетiлген. WPA мен WPA2 жаңа алгоритмдерi қарастырылған. WPA-ның технологиялық ерекшелiктерi мен кемшiлiктерi көрсетiлген. WPA2 ең жоғарғы деңгейлi қорғау алгоритмi ретiнде қарастырылады. Бүгiнгi таңда жұмыс атқаратын WLAN-дағы кейбiр қорғау әдiстерi көрсетiлген. Қорғалған WLAN-ды жобалауға қойылатын талаптар жалпыландырылған.
Бүкiл дүние жүзiнде сымсыз байланысқа, әсiресе бизнес аймағында қажеттiлiгi артуда.
Ақпаратқа сымсыз байланыс арқылы қатынауды (access) қолданушы барлық кезде және әр уақытта сым арқылы байланысқан телефонмен және компьютерлiк желiлердi қолданатын әрiптесiне қарағанда өнiмдi және тиiмдi жұмыс жасай алады.
Кез келген желiнiң мақсаты - жеке дербес компьютерден (ДК) тысқары орналасқан қорларға (ресурстарға) қолжетiмдiлiгi. Бұл ресурстар әдетте қымбат немесе бiр уақытта бiрнеше қолданушыға қолжетiмдi болу керек.
Сымсыз желiнi орнатуының негiзгi себептерiнiң бiрi - Internet-ке ортақ бiр жоғары жылдамдықты арнаға қолжетiмдiлiгiнiң қажеттiлiгi. Осындай желiнi конфигурациялау типiнде фирманың кез келген мүшесi кабельдi модеммен немесе DSL (Digital Subscriber Line, цифрлық абоненттiк жол) арқылы қамтамасыз етiлген бiр жоғары жылдамдықты байланысты қолдана алады. Бұндай тәжiрибе бiрiгiп қабылданған және офистiң кез келген жерiнде отырып тұтынушылар бiр уақытта Интернетке қолжетiмдi болғандықтан жабдықтарды үнемдi жасауға болады. Сымсыз желi бұндай жағдайда жоғары икемдiлiктi иемденедi, себебi кез келген уақытта оған жаңа жұмыс станциясын енгiзуге болады.
Сымсыз желiсi бар компания басқа аймақтардағы жұмыскерлерге мүмкiндiк бередi, сонымен қатар сымсыз компьютерлiк құрылғылары бар клиенттерге минималды конфигурацияда жылдам қосылуға мүмкiндiк бередi. Интернет ресурстарын қолдану тысқары өзiнiң офистен аймағында немесе үйде айтарлықтай оның өнiмдiлiгiн арттырады.
Келушi тек ноутбуктi ашып және өзiнiң керектi қосымшасына қолы жете алады.
Қарастырылып отырған жағдайда сымсыз желi қызметкерлерге электронды хаттарды алып және жiбере алады, өндiрiстiк жиналыстар кезiнде Web-парақтарды қарай алады, сонымен қатар қолданушылар дискуссияларға қатыса алады. Яғни күн сайын шешiмдердi шешуге уақыт босайды. Осылай компания жабдықтарды үнемдейдi, себебi олардың көлемi жұмысшының жұмыс сағатына байланысты болады.
Желiнi ұйымдастыру кезiнде адаптерлер инфрақұрылым режимiне ауысады, ал қатынау нүктесi - қолжетiмдiлiк нүкте режимiне. Осыған қоса барлық қолданушылар бар бiр қызмет зонасы құрылады.
Қатынау нүктесi барлық жұмыс орындарындағы қажеттi байланыс сапасын қамтамасыз ету керек. Ескеретiн жағдай - желiнi кеңейткен және қолданушылар саны артқан жағдайда байланыс жылдамдығы кемидi. Сондықтан желiнi кеңейту үшiн uplink-портын қол жетiмдiлiк нүктесiн қолдану керек. Желiнi кеңейткен кезде көршiлес қолжетiмдiлiк нүктесi өзара қақтығыс және жiберу жылдамдығының төмендеуi болмау үшiн бақылау қажет. Осымен қатар желi жұмысының тиiмдi бағасы, оның ағымдағы қалпының құжатталуы, өнiмдiлiгiнiң оптимизациясы (тиiмдеуi), даму мүмкiндiгiнiң анализi (талдауы), сонымен қатар - желi ресурстарын рационалды қолдануы үшiн ұсыныс құрылуын қамтамасыз ету.
WLAN (Wireless Location Area Network, жергiлiктi сымсыз желi) немесе Wi-Fi (Wireless Fi- delity, сымсыз байланыс) деректердi әмбебап жоғары жылдамдықпен жiберудi қамтамасыз ететiн және UMTS (Universal Mobile Telecommunication System, мобильдi (жылжымалы) байланыстың әмбебап жүйе) желiсiне қарағанда арзан тұратын ең перпективтi технология
болып табылады. UMTS 3GPP-ге (Third Generation Partnership Project, үшiншi буын (3G) өндiрушiлерiнiң (ұялы байланыс саласында) серiктестiк жобасы) сәйкес ITU (Internation- al Telecommunications Union, телекоммуникацияның халықаралық одағы) жасап жатқан технологиялардың бiрi. WLAN технологияны пайдаланудың қарапайымдылығына және дайындылығына негiзделген.
WLAN желiсi абоненттерге AP (Access Point, қатынау нүктесi) қолжетiмдi нүктесiнде шексiз сыйымдылықты ұсынады, ал GPRS (General Packet Radio Service, пакеттiк радиохабардың жалпыланған сервистерi) желiсi GSM (Global System for Mobile Telecommu- nication, мобильдiк байланыстың ауқымды жүйесi) желiсi сияқты қорғанысты қамтамасыз етедi. Құрылымдық жағынан GPRS iшкi жүйесiнiң арналары GSM жүйесiнiң арналары арқылы қондырылады (ол келесi тайм-слоттар құрылымын қолданады: 114 ақпараттық биттер, қызметтiк ақпарат және үйрету тiзбегi (train)).
WLAN жергiлiктi сымсыз желiлерiн ұйымдастыруға арналған кең жолақты радиобайланыс жабдығының стандарты. Хэндовердiң арқасында тұтынушылар WLAN желiсi қамтитын зона iшiнде байланыс үзiлместен қатынау нүктелерiнiң арасында жүре беруiне болады. Оны Wi-Fi Alliance консорциумы IEEE 802.11 стандарттары базасында жасаған. Хэндовер - абоненттiң бiр ұядан басқасына ауысқанда байланыстың барын қамтамасыз ететiн процедура. Wi-Fi технологиялар (IEEE 802.11.a/q және 802.11.b протоколдары) жергiлiктi желiлерде LAN (Lo- cal area networks) офистарда немесе 100м артық емес жақын орналасқан ғимараттарды, территорияларда қолданылады, яғни азырақ мобильдiлiгi бар. Мобильдiлiк категориясына көбiне қалалық MAN (Metropolitan area networks) және глобалдық WAN (Wide area networks) желiлерi жатады, олардың құрастырылуы Wi-MAX технологияларына (IEEE 802.16.e және 802.20 протоколдары) бағытталған, олардың жiберу жылдамдығы секундына ондаған мегабит.
Барлық қатынау нүктелерiн 802.11 a/b/g стандарттары қолдайды. Бiр АР-нiң қамту радиусы 100 метрден аспайды және қосымша АР-лерiн құру арқасында ұлғаю мүмкiн. Бiр АР бiр уақытта бiрнеше ондаған белсендi (активтi) клиенттерге қызмет ете алады. Жұмыс iстеу үшiн клиентке ноутбук, PCMCIA WLAN (Personal Computer Memory Card International Association WLAN, сымсыз жергiлiктi желiге арналған халықаралық ассоциациясының дербес компьютерлiк еске сақтау картасы) адаптер немесе модулi IEEE 802.11 қалталық ДК қажет.
Бүгiнгi инфокоммуникациялық жүйеде тек қана ақпаратты тасымалдау емес, сонымен қатар сол ақпараттарды өңдеу мен сақтау кезiндегi қауiпсiздiк те өте маңызды.
WLAN артықшылығы: таралудың қарапайымдылығы (қосымша кабельдiң қажетсiздiгi);
бұрыннан бар болып табылатын кең жолақты желiнi тиiмдi пайдалану мүмкiндiгi бар жоғары жылдамдықты желi. Басты WLAN желiсi корпоративтi клиенттердiң қажеттiлiгiне бағытталаған. WLAN негiзiндегi соңғы қызмет - сымсыз желiге деген жоғары жылдамдықты қолжетiмдiлiк және шектелген аймақтарда мәлiметтердi жылдам жеткiзу. Бiрақ Wi-Fi байланысы шынайы мобильдiлiктi (жылжымалылықты) қамтамасыз етпейдi. Абонент оны тек AP-ге жақын жерде ғана қолдана алады. WLAN-желiсiнiң тағы бiр мәселесi - әлсiз қорғаныс.
Жеткiлiктi қорғанысы жоқ жеке WLAN-ға көше арқылы қосылудың бiршама жағдайлары бар. Қауiпсiздiк қазiргi заманғы бизнесте шешушi фактор ретiнде жалғаса қала бередi. Қазiргi заманғы инфокоммуникациялық жүйеде тек қана ақпаратты жiберу емес, сонымен қатар сол ақпараттарды өңдеу мен сақтау кезiндегi қауiпсiздiк те өте маңызды. Одан басқа, бұрыннан бар болып табылатын фактордың бiрi - желiнiң ұзақ өмiр сүруi, өйткенi желiнiң жарамсыз болып қалуының нәтижесiнде ақпараттардың жоғалып кетуi сырқаттан кем емес.
Сымды байланыс желiде программаланатын коммутаторды пайдалану трафиктi заңсыз тыңдаудан белгiлi қорғауды қамтамасыз етедi. Сымсыз желiде (СЖ) желiге қолжетiмдiлiктi (қатынауды) бақылау мүмкiн емес. СЖ-де кез келген қамтып тұрған диапазонда орналасқан құрылғы желiлiк өзарақатынастың мүшесi болып келедi. Сондықтан арналы деңгейдегi қажеттi қорғанысты қамтамасыз ету керек.
IEEE 802.11 стандарты OSI (Open System Interconnection, ашық жүйелердiң әрекеттестiгi) эталондық моделiнiң төменгi екi деңгейiн қарастырады: физикалық және арналық.
Физикалық деңгейде IEEE 802.11 стандарты тасымалдау ортасымен жұмыс iстеу тәсiлдерiн, жылдамдықты және модуляция әдiстерiн анықтайды. MAC-деңгейiнде жалпы арнаны бөлетiн (пайдаланатын) құрылғының принципi жүзеге асады, сонымен қатар құрылғылардың қатынау нүктеге қосылу әдiсi және олардың аутентификациясы, деректердi қорғау механизмдерi анықталады. Қарастырылған стандарт 48-биттiк адрестiк пакетiмен жiберiлетiн пакеттердi қарастырады [1]. Арналық деңгей DLL (Data Link Layer, деректердiң байланыс деңгейi) деп аталады және өзi екi бөлiкке бөлiнедi - LLC (Logical Link Control, логикалық байланысты басқару деңгейшесi) және MAC (Media Access Control, қатынау ортасын басқару деңгейшесi).
Деректердi тасымалдаудың қауiпсiздiгi жергiлiктi сымсыз желiнiң маңызды талабы болып табылады. Сондықтан MAC-деңгейiнде станцияның аутентификациясы және жеке шифрленiп жiберiлген деректердi қамтитын деректердi қорғау механизмi ұсынылған. Бұл WEP (Wired Equivalent Privacy, сымды конфиденциалдылықтың эквивалентi) деп аталатын алгоритм.
Шифрлеу RSA Security компаниясының RC4 (Ron’s Code 4) алгоритмi арқылы өтедi. WEP ескiрген технология болып табылады, бiрақ өзiнiң қолданысын жалғастырады. WEP-алгоритмi кiрiс деректер блогын дәл сондай ұзындықтағы псевдокездейсоқ тiзбектiлiкке (train) көбейтедi.
Псевдокездейсоқ генератордың тiзбектiлiгi 64-разрядтық санмен инициализацияланады, ол 24-разрядтық инициализацияланған IV вектордан (Initialization Vector) және 40-разрядты құпия кiлттерден (құпия кiлт 64, 128 бит және т.б. болуы мүмкiн) тұрады. WEP алгоритмi кездейсоқ түрде кез келген бiрегей IV пакетiн таңдайды. Егер құпия кiлт WLAN құрылғысына белгiлi болса және ол тұрақты болса, вектор IV пакеттен пакетке өзгеруi мүмкiн. Жiберiлген ақпараттарды санкцияланбаған өзгерiстерден қорғау үшiн әрбiр шифрленген пакет 32- разрядты ICV (Integrity Check Value) бақылаулық суммамен қорғалады. Шифрлеу арқылы берiлген ақпараттарға 8 байт қосылады: ICV үшiн 4, IV үшiн 3, 1 байт қолданылған құпия кiлттiң нөмiрi туралы ақпаратты қамтиды. WEP-алгоритмiнiң артықшылығына жатқызуға болады:
- кiлттiң периодтты ауысу және IV жиi ауысу мүмкiндiгi;
- әрбiр хабарлама арқылы шифрдiң өз бетiмен синхронизациялануы пакеттердiң жоғалып кету ықтималдығын төмендетедi;
- алгоритмнiң тиiмдiлiгi және олардың бағдарламалық және аппаратты құрылғылармен жүзеге асу мүмкiндiгi;
- қосымша мүмкiндiктер статусы қолданушыға алгоритмдердi пайдалану жөнiндегi сұрақтарды өздерiнiң шешуiне мүмкiндiк бередi.
WEP үш негiзгi қорғаныс проблемасын шешуге арналды:
- Құпиялылық. Сымсыз трафиктi қаскүнемнiң оқуынан сақтау.
- Қолжетiмдiлiктi (қатынауды) бақылау. Желi ресурстарын қаскүнемнiң заңсыз қолдануынан сақтау.
- Деректердiң бүтiндiгi. Сымсыз желi арқылы деректердiң берiлуi кезiнде қаскүнемнiң модификациясынан сақтау.
WEP протоколын сипаттайық.
Жiберушi мен қабылдаушы ортақ құпия k кiлттi қолданады, бiрiншiден жiберушiден қабылдаушыға қорғалған арна арқылы жiберiледi. М хабарды жiберу үшiн жiберушi келесi амалдарды орындайды:
- с(М) хабардың бақылаулық қосындысын есептейдi (ескеретiн жағдай, k кiлтiнен тәуелсiз), және оны хабардың өзiне қосады: P=<M,c(M)>. - v инициализация векторын (Initialisation Vector, IV) таңдайды және RC4(v,k) кiлттiк ағымды (keystream) генерациялайды- кездейсоқ биттердiң бiрiздiлiгi, IV v және k кiлтiне тәуелдi.
- Разрядтық операцияларды қолданады "ИЛИ"(XOR)-дан P-ге және кiлттiк ағымға, C = P xor RC4(v,k) деген шифртекстi ала отырып. - Инициализация векторын және сымсыз желiден шифртекстi жiбередi.
Оны мына түрде көрсетуге болады: A -[wireless link]-> B: [v,(P xor RC4(v,k))], мұндағы P
= <M, c(M)>.
Қабылдаушы келесi амалдарды орындайды:
- Қабылданған v векторды қолдана отырып және k құпия кiлттi, RC4(v,k) кiлттiк ағынды генерациялайды.
- XOR операциясын "С шифртекст - RC4(v,k) кiлттiк ағын "жұбына қолданады, M’ хабарын және бақылаулық сомманы c’ ала отырып. Оны мынадай үлгiде елестетуге болады: P’ = C xor RC4(v,k) = (P xor RC4(v,k)) xor RC4(v,k) = P.
- c’=c(M’) теңдiгiн тексередi. Егер ол дұрыс болса, онда M’=M, яғни ағымдық код болып келедi.
- WEP протоколдың барлық сенiмдiлiгi RC4 ағымдық шифрда құрылған.
- Ағымдық шифрды қолдана отырып жiберушi кiлттiк ағынды генерациялап және осы ағынды ашық текстпен көшiрме жасап, шифртекстi алады.
- Қабылдаушы осы кейстримдi генерациялай отырып, онымен шифртекстi көшiрме жасап, ағымдағы ашық текстi алады.
Радиоалмасудың ашық трафигi сол стандартта жұмыс iстейтiн құрылғылармен жеңiл жұмыс iстейдi. Қаскүнемдер қарапайым тыңдауға қолжетiмдi парольды алуға әдiстенген.
Сондықтан IEEE 802.1x-ның құрама бөлiгi EAP (Extensible Authentication Protocol, кеңейтiлген аутентификация хаттамасы) протоколы болып табылады, ол заңды қолданушыға байланыстың ашық арнасының көмегiмен парольды беруге мүмкiндiк бередi. Клиент аутентификациясы және АР қатынау нүктесiнiң өзара процедураларын қолданатын EAP протоколы iс-әрекеттiң стандартты тiзбектiлiгiн аутентификациясы мен желi абонентiнiң авторизациясы арқылы құрады. Қауiпсiздiктi қамтамасыз ету үш тапсырманы шешуге негiзделедi:
- сымсыз желiнi заңсыз қолданушылардың қосылуынан қорғау;
- желi ресурстарындағы санкцияланбаған қолжетiмдiлiктiң (қатынаудың) алдын алу;
- жiберiлген деректердiң толықтығына және конфиденциалдығына кепiлдiлiк беру.
Алғашқы екi мәселенi шешуге AAA (Authentication, Authorization, Accounting - аутентификация, авторизация, тiркелген операциялар) процедурасы қолданылады.
Аутентификация, авторизация және тiркеу функцияларының құрылымы сымсыз желiнiң қауiпсiздiгiн қамтамасыз ететiн жалпы элемент ретiнде қарастырылады. Сымсыз желi үшiн қабылданған қолжетiмдi шешiмдер болып қолжетiмдi сервердi қолдануға негiзделген ААА орталық жүйесi табылады. WLAN қолжетiмдiлiктiң орталық жүйесiнен RADIUS (Remote Au- thentication Dial-In User Service, абоненттерге көрсетiлген қызметтер аутентификациялануы, авторизациялануы, көлемi есептелуi үшiн арналған хаттама) серверi кең таралған, ол сымды желi үшiн де, сымсыз желi үшiн де тағайындалған. RADIUS серверi жоғарыда белгiленген үш қорғау процедурасының орындалуын қамтамасыз етедi. [1].
WEP-тегi шабуылдар RC4 шифрiнiң кемшiлiгiне негiзделген. Жеке түрде, IPSec (IPSecurity, IP-желiсiндегi мәлiметтердi қорғау протоколдар жиынтығы) көмегiмен сымсыз желi арқылы туннелдеудi қабылдау қауiпсiздiк мәселесiн шешедi.
Сымсыз трафик қорғанысы үшiн бүгiнгi таңда бәрiнен сенiмдiрегi өзiнiң сенiмдiлiгiн дәстүрлi шешiмдермен дәлелдейтiндердi пайдалану, мысалы, VPN (Virtual Private Network, виртуальдық жекеменшiк желi) немесе IPSec (Internet Protocol Security, Интернет желiсiнде ақпарат қорғау механизмi). WEP желiнi басқаруға мүмкiндiк бермейдi, демек, атынау нүктесiне MAC-адресi бойынша қосымша фильтрация (сүзгiлеу) қамтамасыз ету, өзiмен бiрге қол жетiмдiлiктi басқару тiзiмi болуы керек. Тағы бiр рет ескертемiз, стандарт периодтық ауысымда құпия кiлттi талап етпейдi. Өкiнiшке орай, бұл талап бәрiнде дерлiк сақталмайды, сондай-ақ оперативтi және қауiпсiз қолмен iрi желiде кiлттi ауыстыру - қиын тапсырма. Ең тез шешiм - SSID-дiң (Service Set Identifier, желiлiк атау) таратылымын тоқтату. Барлық әдiстер қаскүнемнiң тапсырмасын қиындата алады. Инициализация векторы бар - бiрақ ол қандай, қалай ауыстырылуы мiндет, оның таңдауы қандай алгоритм? Бақылаулық қосындылау бар - бiрақ ол қандай алгоритммен? RC4 шифры бар, бiрақ оны осында қолдануға бола ма?
2001 жылы IEEE WEP дизайнында фундаменттiк (маңызды) кемшiлiктер табылған соң WEP2 (WEP version 2) жаңа спецификациясын ұсынды, оған 128 биттiк кiлт және 128 биттiк инициализация векторы қолданылған. Дәл сол уақытта оған да дәл RC4 шифрлеу алгоритмi қолданылған және дәл CRC32 (Cyclic Redundancy Code 32, 32-разрядты циклдiк артық код) толық басқару жүйесi қолданылған. Оның күшiне ие, WEP2 барлық жоғары сипатты мәселелердi шешпейдi және сондықтан кең қолданыс тапқан жоқ. WEP-тiң сенiмсiздiгi шифрлеу алгоритмiнiң криптографиялық әлсiздiгiнде тұр. Кiлтiнiң ұзындығы 104 битке ұзарған WEP2 версиясы желiнiң кемiстiк мәселесiн шеше алған жоқ. WEP-тiң бұрыннан бар болған кемшiлiгi - автоматты түрде өзгермейтiн және сымсыз AP сияқты шифрлеу үшiн қолданылатын кiлттердi қолмен енгiзудi қажет етедi.
Әлбетте, көптеген компаниялар өзiнiң сымсыз трафиктерiн қорғайтын механизмдерiн өңдедi. Cisco Aironet жабдықтарында кейбiр мәселелер LEAP (Lightweight Extensible Au- thentication Protocol, аутентификацияның қарапайым кеңейтiлген протоколы) протоколымен шешiледi. Үнемi тұрақты бiр WEP-кiлтiн қолданудың орнына клиенттер әр кезде регистрация (тiркеу) арқылы кезектегi жұмыс сеансына жаңасын динамикалық түрде генерациялайды.
Барлық клиенттердегi кiлттер бiрегей, ол IV (инициализация векторы) конфликтiнiң қауiп- қатерiн төмендетедi. Қытай өкiметi өзiнiң сымсыз желiсiн қорғайтын WAPI (WLAN Authentica- tion and Privacy Infrastructure) стандартын енгiзген, бiрақ ол өз жерiнде кең қолдау тапқан жоқ.
2004 жылы IEEE өзiне WPA (Wi-Fi-Protected Access) және WPA2 (WPA version 2) қауiпсiздiктi қамтамасыз ететiн жаңа алгоритмдердi енгiзетiн 802.11 стандартына түзетулер енгiздi. Бүгiнгi күнде WLAN желiсiндегi қауiпсiздiк үшiн WPA қолдану ұсынылады, ол TKIP (Temporal Key Integrity Protocol) уақытша кiлтiмен интергацияланған протокол арқылы шифрлеудi ұсынады.
WPA кiлтiнiң ұзындығы 8 символдан 63 символға дейiн, ол қорғауды жақсартады. WPA- ны таңдау тек AP және барлық WPA-ға сәйкес болғанда ғана мүмкiн. WPA Wi-Fi Alliance ұйымдастыру формуласымен анықталады: WPA=802.1x+EAP+TKIP+MIC.
Қауiпсiздiктiң жаңа стандарты WPA қауiпсiздiк деңгейiн қамтамасыз етуде WEP- тiң ұсынысынан көп бере алады. Ол WEP пен 802.11i стандарт арасындағы көпiршенi қайта лақтырады және микропрограммалық қамтамасыздандыруда көп ескi құрылғыларды аппараттық өзгерiске салмастан айырбастау басымдылығына ие.
WPA-да WEP модернизациясы үшiн арнайы өңделген TКIP (Temporal Key Integrity Pro- tocol, уақыттық кiлттерiнiң тұтастық протоколы) қолданылады. Бұл дегенiмiз, WEP-тiң барлық негiзгi құрама бөлiгi бар, бiрақ, қауiпсiздiк мәселесiне жауапты сәйкес өлшеммен қабылдау. Ноутбуктар мен қалта дербес компьютерлерi WPA немесе 802.11i стандартындағы қауiпсiз желi жүйесiнде жұмыс жасауы үшiн, олар 802.1x стандартын қолдайтын клиенттiк программалармен жабдықталған. Funk және Meetinghouse компаниялары әртүрлi клиенттiк ОЖ-ге сондай программаларды ұсынады (қосалқы модуль түрiнде), ал Cisco фирмасы оны өзiнiң Aironet Client Utility уилитiне жатқызады. Microsoft компаниясы Windows XP операциялық жүйесiнде (ОЖ) 802.1x стандартының қолдауын алдын-ала қараған; клиенттiк программаларға сәйкес Windows 2000 ОЖ-iн оның Web-серверерiнен тегiн жүктеп алуға болады. Өкiнiшке орай бұл клиенттiк программалар алдын-ала ОЖ-ге және басқа да орталарға қосылған, ереже бойынша ол EAP барлық аутентификацияларын қолдай бермейдi.
TКIP автоматты түрде таңдалынған бiрегей 128-биттiк кiлттi қолданады, жалпы вариация мөлшерi 500 млрд. құрайды. WPA кiлтпен басқару функциясымен толықтанған, ол кiлт бiр рет енгiзiледi және периодты түрде ауысып отырады. TKIP алгоритмi шифрлеу операциясын орындау үшiн сымсыз құрылғыларда пайдаланатын есептеу функцияларын қолданады.
Алгоритмнiң иерархиялық жүйесi кiлттi және олардың әрбiр 10 Кбайт сайын динамикалық ауысуын талдай отырып жүйенi қорғайды. TKIP қолдауы қазiргi күнгi көптеген WLAN- дарда клиенттiк бағдарламаларды қамтамасыз ету мен драйверлердi жаңарту жолымен жүзеге асады.
TKIP протоколымен WPA стандартын күшейтудi бес пунктерге бөлуге болады:
- Вектор ұзындығын ұлғайту IV (Initialization Vector) тен 48 битке дейiн вектор коллизиясынан
қашуға мүмкiндiк бередi және мың жылдар бойы олар қайталанбауға кепiлдiк бередi. Сонымен қатар, IV векторы қазiр бiрiздiлiк өлшеуiшiне жұмыс жасайды - TSC (TKIP Sequence Counter), мәлiметтердiң қайталануынан құтқарады, бұл WEP-тiң басты осалдығы.
- WPA танымал әлсiз IV мәндi қолданудан қашады. Әрбiр пакет үшiн әр түрлi құпия кiлттер болады.
- WEP-тың WPA дан айырмашылығы шебер-кiлт ешқашан тiкелей қолданылмайды.
Кiлт иерархиясы, шебер арқылы шығару, криптография көзқарасы бойынша қауiпсiздеу қолданылады. Кiлт иерархиясы TKIP, WEP-тiң бiр статикалық кiлтiн шамамен 500 млрд.
мүмкiн болатын кiлттерiмен алмастырады.
- WPA-да iшкi қауiпсiздiктi кiлтпен басқару, бұл мәселе түкте емес (WEP-те көптеген басқару механизмдерi және құпия кiлттердiң ауысыу жоқ болды).
- Дәлелденгендей, WEP-тiң тұтас хабарламасын тексеру тиiмдi емес. WPA-да iшкi қайшылықтар мен ақпараттардың өзгеруiнiң алдын алу үшiн MIC (Message Integrity Check) хабарламасының толықтығын тексеру технологиясы қолданылады. MIC алгоритмi шабуылдың алдын алатын кадр есептегiшiне негiзделген. MIC алгоритмi хабарламалардың толықтығының 8 разрядты кодын есептейдi. MIC қауiпсiз коды IEEE 802.11 кадрында мәлiметтер фрагментiмен және контрольдiк сумманың 4 байттық мәнiмен таралады.
Теориялық тұрғыдан дұрыс MIC-дi табу ықтималдылығы бiр миллиондыққа тең, Michael шабуылды анықтап және оларға жол бермеуге қарсы әдiстердi қолданады, қосымша қауiпсiздiктi қамтамасыз етедi.
WPA технологиялық функциясы құпиялық және тұтастық мәлiметi TKIP протоколына негiзделедi, WEP протоколы болса кiлттермен басқаруда эффективтi механизм, бiрақ дәл сол мәлiметтердi шифрлеу үшiн RC4 алгоритмi қолданылады. TKIP протоколына сәйкес, желiлiк құрылғы 48 биттiк нинциализация векторымен жұмыс жасайды (24-биттiк инициализация векторы WEP протоколынан айырмашылығы). TKIP протоколында алдын ала қаралған генерациялық жаңа кiлт әрбiр берiлген пакет пен ұлғайтылған бақылауға хабарлама тұтастығы криптографикалық баға бақылау MIC (Message Integrity Code) көмегiмен жүзеге асырылады.
WPA стандарты сонымен қатар 802.1x протоколын және EAP (Extensible Authen- tication Protocol) кең таралған аутентификация протоколын қолданады, ол желiлiк администраторларға RADIUS серверiнiң құрылғыларымен клиенттер аутентификациясының алгоритмдер жиынтығына әрекет етуге мүмкiндiк бередi. 802.1х - сымды және сымсыз желiге арналған, желi арқылы берiлетiн аутентификация стандарты: клиент және аутентификация арасындағы екiжақты мықты құрылғы; әрбiр сессияға және әрбiр қолданушыларға арналған динамикалық кiлт. 802.1 протоколы әртүрлi функцияларды орындауы мүмкiн, мысалы, клиент аутентификациясы, EAP-ға бекiтiлген және AP (аутентификатор, интеллектуальды коммутатор) порттары деңгейiнде жүзеге асатын, шифрлеу кiлтiн бөле отырып орналастыру.
WPA2 жеке және корпоративтi клиенттер үшiн деректердi қорғаудың және бақылаудың ең жоғары дәрежелi қорғалуын қамтамасыз етедi. 2006 жылы 13 наурыздан бастап WPA2 қолдауы барлық сертификацияланған Wi-Fi құрылғысы үшiн мiндеттi шарт болып табылады.
WPA2 қауiпсiздiк стандарты неғұрлым тұрақты AES (Advanced Encryption Standard, iлгерлеу шифрлеу стандарты) шифрлау криптоалгоритмiн қолданады.
AES стандартында шифрлеу алгоритмi ұзындығы 128 бит болатын блоктармен операцияланады. Мәлiметтiң кiрiстiк блогы, аралық мән және шифрленген мәлiметтер алгоритмнiң шығысында 16-байттық байттар массивi түрiнде болады, яғни төрт баған және төрт қатардан тұратын (әрбiр баған және қатар осы жағдайда 32-разрядты сөз сияқты интерпретациялануы мүмкiн). Шифрлеудiң әрбiр раунды төрт әртүрлi аударудан тұрады: SubBytes() байтымен алмастыру; ShiftRows() қатарды жылжыту; MixColumns бағанды араластыру және AddRoundKey раундтық кiлтпен қосу [2].
AES CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Proto- col - аутентификация кодымен, хабарламамен және блок пен есептеуiштi тiркеу режимiмен, блоктық шифрлеу хаттамасы) протоколын қолданады - ол қауiпсiздiктi қамтамасыз ету
протоколы, бiр мезгiлде кiлтпен басқару және бақылаулық қосындыны құру функциясын орындайды. ССМР хабарламаны аутентификациялау кодымен, тiзбектелу және есептеу режимiмен құрылатын блоктық шифрлеудiң протоколы болып табылады. Ол WPA2 стандартының мiндеттi бөлiгi және WPA стандартының мiндеттi емес бөлiгi болып табылатын блоктық шифрлеудiң әртүрлi алгоритмдерiмен жұмыс жасай алады. ССМР шифрленбеген пакеттер мәтiнiн айналдырады және оны мәлiметтер пакетiнде инкапсуляциялайды.
Сонымен қатар CCMP TKIP сияқты шабуылдан қорғау, толықтықты, аутентификацияны, конфиденциалдылықты (құпиялылықты) қамтамасыз етуге тағайындалған. ССМР-да қолданылатын барлық AES-процестер AES-дi 128-биттiк кiлтпен және 128-биттiк өлшемдегi блокпен қолданады. Орнату процедуралары және TKIP алгоритмi мен ССМР алгоритмi үшiн кiлттредi ауыстыру бiрдей болады.
AES-шифрлеуi сымсыз клиенттiк құрылғының орталық процессорына үлкен жүктеме түсiредi. Бағдарламалық ортаның AES алгоритмi арқылы шифрлеу бiрнеше клиенттер үшiн бiр уақытта сәйкес аппараттық қамтаманы талап етедi. [3]. Мысалы, ноутбукке арналған Pen- tium 2,5 ГГц өлшемдi микропроцессор. IEEE 802.11i комитетi желiнi сенiмдi түрде қорғаудың концепциясын RSN (Robust Security Network) технологиясымен анықтаған. Осы сымсыз клиенттiк өнiмнiң концепциясына сәйкес және АР күрделi шифрлеу алгоритмiн қолдаудың үлкен есептеу күшiне ие. Сөйтiп, WPA, WPA2 WLAN-дi көптеген желiлiк шабуылдардан 802,1x, EAP, TKIP, AES-дi қолдана отырып қорғайды - сымсыз байланыс құрылғысы сертификациясының жаңарған бағдарламасы. Бүгiнгi күнде TKIP процедурасын қолданатын шифрлеу алгоритмi WPA деп аталады, ал CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) процедуасы - WPA2 деп аталады.
Байланыстың қауiпсiздiгi - бұл түсiнiк өте кең және көптеген әртүрлi аспектiлердi қамтиды.
WEP-дегi әлсiздiкке байланысты WLAN WPA және WPA2 қолжетiмдi қорғалған техникамен өңделген. WPA-ның WEP-дан айырмашылығы динамикалық (жиi ауысып отыратын) кiлттердi қолданады.
Келесiде белгiленетiн, ақпаратты жиi қорғауға алу ақпараттарды жiберудiң қауiпсiздiгiн қамтамасыз етуге әкеледi. Бiрақ қазiргi заманғы инфокоммуникациялық жүйеде тек қана ақпаратты жiберу емес, сонымен қатар сол ақпараттарды өңдеу мен сақтау да өте маңызды.
Одан басқа, бұрыннан бар болып табылатын фактордың бiрi - желiнiң ұзақ өмiр сүруi, өйткенi желiнiң жарамсыз болып қалуының нәтижесiнде ақпараттардың жоғалып кетуi сырқаттан кем емес. Қазiргi кездегi WLAN желiсiнде әрекет ететiн қорғаудың бiрнеше әдiстерiн карастырайық:
- MAC адресiн фиьлтрациялау - желi адаптерiн бақылайтын құрылғы, MAC-адрестер тiзiмiнде енгiзiлген передатчиктi қабылдауға қолжетiмдiлiгi бар. Бұл әдiс шифрлеуге WEP-пен сәйкес аутентификацияларға қолданылады. Егер сымсыз желi картасы тiзiмде жоқ болған болса, онда оны қолжетiмдiлiктен алып тастайды;
- SSID (Service Set Identifier, желiлiк атау) - WLAN арқылы берiлетiн әрбiр пакет бөлiктерi үшiн қызмет етедi. SSID-ны бiлмей тұрып желiге қосылуға болмайды. Әрбiр желiлiк тетiк тек бiр SSID передатчикпен бапталуы тиiс;
- WLAN үшiн клиенттен серверге арнаны формалау жолымен VPN (Virtual Private Net- work) байланысын орнату. VPN-ны орнату шифрлеу көлемiнiң әсерiнен желiнiң өнiмдiлiгiн төмендетуi мүмкiн. VPN бағдарламалық қамтамасы жылжымалы шифрлеу мезанизмiн пайдаланады. Мысалы, AES, трафиктiң шифрленуiн қиындатады;
- желiаралық экранды (брандмауэр/файервол) пайдалану.
Бизнес үшiн коммуникация - компания мен талап етушiлер арасындағы қызмет ету ортасы.
Производители WLAN-құрылғылар өңдеушiлерi өз шешiмiн нақтылады, жеке түрде, АР Linksys WRT 54 G -дiң бесiншi версиясы Secure Easy Setup мастерi болып табылады, ол AP-дi баптаудың қауiпсiздiгiне қызмет ететiн аппараттық және бағдарламалық қадамдарды интеграциялайды. Үлкен емес желiлердi қосымша қорғау үшiн көптеген АР сымсыз желiсiнде жүзеге асатын МАС-адрестiк фильтрацияны қолдануға болады. Сымсыз құрылғыны
сәйкестiкке тексеру үшiн сертификацияланған өнiмдер тiзбегiн пайдалану керек, оларды Wi- Fi Alliance ұйымының Web-сайтынан таба аласыздар [5]. Windows XP ОЖ құрамындағы клиенттiк программалық қамтама көптеген желiлерде және семьялық кеңселерде жақсы жұмыс жасайды, бiрақ мәлiметтердi қорғауда оны жаңарту қажет [6].
Қауiпсiздiктiң жаңа стандарты WPA қауiпсiздiк деңгейiн қамтамасыз етуде WEP- тiң ұсынысынан көп бере алады. Ол WEP пен 802.11i стандарт арасындағы көпiршенi қайта орнатады және микропрограммалық қамтамасыздандыруда көп ескi құрылғыларды аппараттық өзгерiске салмастан айырбастау басымдылығына ие.
Ақпаратты қорғаудың сәйкес технологиясын пайдалану арқылы желi IEEE 802.11 стандарты негiзiнде компанияның қызметкерлермен, бөлiмшелермен, офистермен, филиалдармен, сонымен қатар сыртқы контактылы топтармен: клиенттер және партнерлермен өзара әрекеттi тиiмдi қамтамасыз етуге мүмкiндiк бередi. Қорғалған WLAN-дi жоспарлау арқылы кез келген шифрлеу және басқа манипуляцияларды еске сақтау керек.
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР
1. Шахнович И.В. Современные технологии беспроводной связи. Издание второе, исправленное и дополненное. М.: Техносфера, 2006. - 288 с.
2. Вишневский В.М., Ляхов А.И., Портной С.Л., Шахнович И.В. Широкополосные беспроводные сети передачи информации. - М.: Техносфера, 2005. - 592 с.
3. Алгоритм AES: http://www.nist.gov/ae
4. Бабенко Л.К, Ищукова Е.А. Современные алгоритмы блочного шифрования и методы их анализа. - М: Гелиос АРВ, 2006. - 376 с.
5. http://www.wi-fi.org/OpenSection/certified_products.asp 6. http://support.microsoft.com
Иманкул М.Н., Жарылкасынов А.А.
Защита информации в беспроводных локальных сетях
Рассмотрены вопросы, связанные с областью использования, возможностями, достижениями и недостатками WLAN (Wireless Location Area Network, беспроводная локальная сеть). Раскрыты механизмы защиты и требования к безопасной передаче информации в исследуемой сети. Приведены основные направления обеспечения безопасности WLAN: процедуры ААА (аутентификация, авторизация, учетные операции); использование сервера RADIUS и др.
Приведены алгоритмы шифрования WEP и WEP2, так и не решившие проблем в обеспечении безопасности беспроводных локальных сетей. Рассмотрены новые алгоритмы WPA и WPA2, их технологические особенности. WPA2 рассматривается как алгоритм высокоуровневой защиты. Указаны обобщенные требования к проектированию защищенных WLAN-сетей.
Imankul M.N., Zharylkassynov A.A.
Information protections in Wireless Local Area Networks
The area of use, possibility, merits and demerits of WLAN network is noted. Requirements of safety of data transmission, mechanisms of their protection are led. Algorithm WEP is described; its advantages and defects are shown. Ways of maintenance of safety WLAN are noted (procedures ААА: Authentication, Authorization, Accounting; use of server RADIUS). Version WEP2 which has not solved problems of defect WLAN is resulted. New algorithms WPA and WPA2 are considered. Technological features and lacks of WPA are noted. WPA2 is considered as algorithm with the highest level of protection. Some methods of protection are noted which are used for working WLAN today. Requirements to planning protected WLAN are generalised.
Редакцияға 05.01.11. қабылданды Басылымға 29.01.11. жiберiлдi
