i standarti ratifikatsiya qilindi

Shunday qilib, siz simsiz adapter sotib oldingiz, uni tarmoqqa ulab, internetga ulanishni o'rnatdingiz va siz to'liq simsiz erkinlikka egasiz


i standarti ratifikatsiya qilindi


Download 156.54 Kb.
bet11/12
Sana28.12.2022
Hajmi156.54 Kb.
#1017040
1   ...   4   5   6   7   8   9   10   11   12
Bog'liq
kiber

802.11i standarti ratifikatsiya qilindi
25 iyun 2004 yil. Elektr va elektron muhandislar instituti (IEEE) simsiz mahalliy tarmoqlarda xavfsizlikni ta'minlash uchun uzoq kutilgan standartni ratifikatsiya qildi - 802.11i.
Uni qabul qilishdan oldin, 2002 yilda Wi-Fi Alliance sanoat konsortsiumi WPA protokolidan oraliq variant sifatida foydalanishni taklif qildi. TKIP shifrlash va RADIUS protokoli asosida 802.1x foydalanuvchi autentifikatsiya qilish tizimidan foydalanish kabi ba'zi 802.11i mexanizmlari mavjud. WPA protokoli ikki versiyada mavjud: engil (uy foydalanuvchilari uchun) va 802.1x autentifikatsiya standarti (korporativ foydalanuvchilar uchun).
Rasmiy 802.11i standarti WPA protokoli imkoniyatlarini AES shifrlash standartidan foydalanish talabini qo'shdi, bu AQSh hukumati foydalanadigan FIPS sinf 140-2 (Federal Ma'lumotlar Standartlash Standartining) talablariga mos keladigan himoya darajasini ta'minlaydi. Biroq, ko'plab mavjud tarmoqlarda, AES protokoli maxsus shifrlash va parol hal qilish vositalari bilan jihozlanmagan bo'lsa, uskunani almashtirishni talab qilishi mumkin.
Bundan tashqari, yangi standart bir nechta noma'lum xususiyatlarga ega bo'ldi. Ulardan biri, kalitlarni keshlash, foydalanuvchi haqida sezilarli ravishda ma'lumotni qayd etib, simsiz tarmoq qamrovi maydonidan chiqib, keyin unga qaytib kirib, uni o'zi haqidagi barcha ma'lumotlarni kiritmaslikka imkon beradi.
Ikkinchi yangiliklar - oldindan tasdiqlash. Uning mazmuni quyidagilardan iborat: foydalanuvchi hozirda bog'langan kirish nuqtasidan oldindan autentifikatsiya qilish paketi boshqa nuqtaga jo'natiladi, bu foydalanuvchi yangi nuqtada ro'yxatga olinishdan avval oldindan autentifikatsiya qilishni ta'minlaydi va shu bilan kirish nuqtalari .
Wi-Fi Alliance shu yilning sentyabr oyiga qadar yangi standartga (u WPA2 deb ham ataladi) muvofiq asboblarni sinovdan o'tkazishni rejalashtirmoqda. Uning vakillarining bayonotiga ko'ra, uskunalarni keng miqyosda almashtirish kerak emas. Agar WPA1 qo'llab-quvvatlaydigan qurilmalar rivojlangan shifrlash va RADIUS autentifikatsiyasi talab qilinmasa ishlashi mumkin bo'lsa, 802.11i mahsulotlarini AESni qo'llab-quvvatlaydigan WPA-uskunasi deb hisoblash mumkin.

Hozirgi mavjud Wi-Fi qurilmalarining ko'pchiligi WEP texnologiyasini o'rnini olgan WPA (Wi-Fi Protected Access) texnologiyasini qo'llab-quvvatlaydi.
WPA texnologiyasi bir nechta komponentdan iborat:

  • - 802.1x protokoli - autentifikatsiya qilish, avtorizatsiyalash va hisobga olish uchun universal protokoli (AAA);

  • - EAP protokoli - kengaytiriladigan autentifikatsiya protokoli;

  • - TKIP protokoli - vaqt kalitining yaxlitligi protokoli, yana bir tarjima variantini vaqtinchalik kalit tamoyillari bayonnomasi (Temporal Key Integrity Protocol);

  • - MIC - kriptografik paketlar yaxlitligini tekshirish (Message Integrity Code);

  • - RADIUS protokoli.

TKIP WPA-da ma'lumotlarni shifrlash uchun javob beradi, bu WEPdan farqli o'laroq, dinamik kalitlarni (ya'ni, kalitlar tez-tez o'zgartiriladi) ishlatadi. U uzoqroq ishga tushirish vektoridan foydalanadi va paketlarning butunligini tekshirish uchun kriptografik checksum (MIK) dan foydalanadi (ikkinchisi manba va manzillarning funksiyasi, shuningdek ma'lumotlar maydoni).
RADIUS protokoli odatda RADIUS serveri bo'lgan autentifikatsiya serveri bilan birgalikda ishlashga mo'ljallangan. Bunday holda simsiz ulanish nuqtalari korxona rejimida ishlaydi.
Tarmoqda RADIUS-server bo'lmasa, kirish nuqtasi o'zi autentifikatsiya serverining vazifasini bajaradi - WPA-PSK (oldindan almashtirilgan kalit) kaliti. Ushbu rejimda umumiy kalit barcha kirish nuqtalarining sozlashlarida oldindan ro'yxatga olinadi. Shuningdek, mijozning simsiz qurilmalarida ham qo'llaniladi. Ushbu himoya qilish usuli boshqaruv nuqtai nazaridan juda mos kelmaydi. Barcha simsiz qurilmalarda ro'yxatdan o'tish uchun PSK-kaliti talab qilinadi, simsiz qurilmalar foydalanuvchilari uni ko'rishlari mumkin. Agar mijozga tarmoqqa kirishni blokirovka qilish zarur bo'lsa, tarmoqdagi barcha qurilmalarda yangi PSKni qayta ro'yxatdan o'tkazishingiz kerak va hokazo. Boshqacha qilib aytadigan bo'lsak, WPA-PSK uy tarmog'i va ehtimol kichik ofis uchun javob beradi, ammo boshqa.
WPA2 TKIP o'rniga Cipher Block Chaining Message Authentication Code Protocol bilan protsessor rejimidan foydalanadi va Advanced Encryption Standard (AES) dan foydalanadi. Va kalitlarni boshqarish va taqsimlash uchun 802.1x protokoli hali ham qo'llanilmoqda.
Yuqorida aytib o'tilganidek, 802.1x protokoli bir nechta funktsiyalarni bajarishi mumkin. Bu holatda biz foydalanuvchi autentifikatsiya qilish funktsiyalari va shifrlash kalitlari taqsimotiga qiziqamiz. Shuni ta'kidlash kerakki, autentifikatsiya «port darajasida», ya'ni foydalanuvchining haqiqiyligi tasdiqlanmaguncha, u faqat autentifikatsiya qilish jarayoniga (hisob ma'lumotlari) va boshqa hech qanday ma'lumotga ega bo'lmagan paketlarni jo'natish / olish uchun ruxsat etiladi. Faqat muvaffaqiyatli autentifikatsiya qilinganidan so'ng, qurilma porti ochiladi va foydalanuvchi tarmoq resurslariga kirish huquqiga ega bo'ladi.
Autentifikatsiya qilish funktsiyalari EAR protokoli uchun belgilanadi, bu protokolning ramkasi Fig. 5.13. EAP protokoli faqat autentifikatsiya qilish usullari uchun asosdir. Ushbu protokol autentifikatorda (kirish nuqtasi) amalga oshirish juda oson, chunki u turli autentifikatsiya usullarining o'ziga xos xususiyatlarini bilish shart emas. Autentifikator faqat mijoz va autentifikatsiya serveri o'rtasidagi aloqa sifatida xizmat qiladi. Autentifikatsiya usullari juda ko'p:

  • - EAP-SIM, EAP-AKA - mobil aloqa uchun GSM tarmoqlarida ishlatiladi;

  • - Cisco tizimidan LEAP usuli;

  • - EAP-MD5 - eng oddiy usul, CHAPga o'xshash (doimiy emas);

  • - EAP-MSCHAP V2 - MS tarmoqlarida foydalanuvchi login / parol asosida autentifikatsiya qilish usuli;

  • - EAP-TLS - raqamli sertifikatlar asosida autentifikatsiya qilish;

  • - EAP-SecurelD usuli - bir martalik parollar asosida.

Shakl. 5.13.
Yuqorida aytib o'tilganlardan tashqari, EAP-TTLS va EAP-REAPning ikkita usulini qayd etish kerak. Avvalgi usullardan farqli o'laroq, bu ikki usul, foydalanuvchini to'g'ridan-to'g'ri autentifikatsiya qilishdan avval mijoz va autentifikatsiya server o'rtasida TLS tunelini yaratadi. Bu tunnelda autentifikatsiya qilish o'zi ham standart EAP (MD5, TLS) yoki eski usullar (PAP, CHAP, MS-CHAP, MS-CHAP v2) yordamida amalga oshiriladi, ikkinchisi faqat EAP-TTLS bilan ishlaydi (REAP faqat birgalikda ishlatiladi) EAP usullari bilan). Pre-tunneling, insonni in-markazi, sessiya hihacking yoki lug'atga asoslangan hujumlardan himoya qilish orqali autentifikatsiya xavfsizligini oshiradi.
PPP protokoli shakl. 5.13 chunki dastlab EAPni PPP tunnellaridan foydalanish rejalashtirildi. Biroq, mahalliy protokoldagi autentifikatsiya qilish uchun ushbu protokoldan foydalanish haddan tashqari ko'paytirilganda, EAP xabarlari mijoz va autentifikator (kirish nuqtasi) o'rtasida ma'lumot almashish uchun ishlatiladigan LAN (EAPOL) paketlari orqali EAPda paketlangan.
Autentifikatsiya sxemasi uch komponentdan iborat:

  • - Tarmoqqa ulanishga harakat qiluvchi mijoz mashinasida ishlovchi dasturiy ta'minot;

  • - Autentifikator - kirish node, autentifikator (simsiz kirish nuqtasi yoki 802Lx protokolni qo'llab-quvvatlaydigan kabeli kalit);

  • - Autentifikatsiya Server - autentifikatsiya serveri (odatda RADIUS serveri).

Endi autentifikatsiya jarayonini ko'rib chiqing. U quyidagi bosqichlardan iborat:

  • 1. Mijoz kirish nuqtasiga qarab autentifikatsiya so'rovini (EAP-start xabarini) yuborishi mumkin

  • 2. Kirish nuqtasi (autentifikator) javob sifatida, mijozga mijoz identifikatsiya so'rovi (EAP-request / identity message) yuboradi. Autentifikator EAP so'rovini o'z portali orqali yuborishi mumkin, agar uning portlaridan har biri faol holatga o'tib ketganini ko'rsa.

  • 3. Mijoz, javob sifatida, EAP javob paketini kerakli ma'lumotlar bilan ta'minlaydi, bu kirish nuqtasi (autentifikator) Radius serveriga (autentifikatsiya serveriga) yo'naltiriladi.

  • 4. Autentifikatsiya serveri autentifikatorga (kirish nuqtasiga) shikoyat qiladi (mijozning autentifikatsiya ma'lumotlarini so'rash). Autentifikator uni mijozga yuboradi.

  • 5. Keyin serverni va mijozni o'zaro identifikatsiya qilish jarayoni keladi. Paket o'tkazish bosqichlarining soni EAP usuliga qarab farq qiladi, ammo simsiz tarmoqlar uchun faqat mijozlar va server o'zaro autentifikatsiya (EAP-TLS, EAP-TTLS, EAP-REAP) bilan kuchli autentifikatsiya qilish va aloqa kanali oldindan shifrlash qabul qilinadi.

  • 6. Keyingi bosqichda autentifikatsiya serveri mijozdan kerakli ma'lumotni olgach, xabarni autentifikatorga yuborib, xabarga kirishni rad etadi (rad etadi) yoki rad etadi (rad etadilar). Agar RADIUS serverida ijobiy javob (qabul qilinsa) qabul qilinsa, autentifikator (kirish nuqtasi) so'rovi uchun portni ochadi.

  • 7. Port ochilib, autentifikator mijozga muvaffaqiyatli yakunlovchi xabari yuboradi va mijoz tarmoqqa kira oladi.

  • 8. Mijozni ajratib bo'lgandan keyin, kirish nuqtasidagi port yana yopiq holatda bo'ladi.

Mijoz (aloqa operatori) va kirish nuqtasi (autentifikator) o'rtasidagi aloqa uchun EAPOL paketlari ishlatiladi. RADIUS protokoli autentifikator (kirish nuqtasi) va RADIUS-server (autentifikatsiya serveri) o'rtasida ma'lumot almashish uchun ishlatiladi. Ma'lumotlar mijoz va autentifikatsiya serveri o'rtasida tranzitda yuborilganda, EAP paketlari autentifikatorda bir formatdan boshqasiga qayta paketlanadi.
Dastlabki autentifikatsiya ma'lumotlar mijozlar va autentifikatsiya serverlari (login / parol, sertifikat va boshqalar) kabi ma'lum bo'lgan ma'lumotlar asosida amalga oshiriladi - bu bosqichda Master Key ishlab chiqariladi. Asosiy kalitdan foydalangan holda autentifikatsiya serveri va mijoz dasturni autentifikatsiya serveridan autentifikatsiyaga uzatiladigan Pairwise ustasi kalitini (juftlangan asosiy kalit) ishlab chiqaradi. Va allaqachon Pairwise Magistr Kalitiga asoslangan holda, barcha boshqa dinamik kalitlar ishlab chiqariladi va bu orqali uzatilgan trafik yopiladi. Shuni eslatib o'tish kerakki, Pairwise Magistr Kalitining o'zi ham dinamik o'zgarishga ta'sir ko'rsatishi mumkin.
Ruxsatsiz foydalanish - tegishli organ bo'lmasa, ma'lumotni o'qish, yangilash yoki yo'q qilish.
Ruxsatsiz kirish, qoida tariqasida, boshqa birovning ismini ishlatish, qurilmalarning jismoniy manzillarini o'zgartirish, muammolarni hal qilgandan keyin qolgan ma'lumotlarni ishlatish, dasturiy ta'minot va axborot dasturlarini o'zgartirish, saqlash vositalarini o'g'irlash, yozuv asboblarini o'rnatish.
O'zining ma'lumotlarini muvaffaqiyatli himoya qilish uchun foydalanuvchi ruxsatsiz foydalanishning mumkin bo'lgan usullari haqida to'liq tasavvurga ega bo'lishi kerak. Ruxsatsiz ma'lumot olishning asosiy odatiy usullari:
· Saqlash omborlari va sanoat chiqindilari o'g'irlanishi;
· Muhofaza choralarini bartaraf qilish vositalarini nusxalash;
· Ro'yxatga olingan foydalanuvchi sifatida yashirish;
· Mystifikatsiya (tizim talablariga maskalash);
Operatsion tizimlar va dasturlash tillarida kamchiliklarni ishlatish;
· Troyan Horse tipidagi dasturning xatcho'plari va dastur bloklarini ishlatish;
· Elektron nurlanishining oldini olish;
· Akustik radiatsiyani to'xtatish;
· Uzoq suratga olish;
Tinglovchi qurilmalardan foydalanish;
· Mudofaa mexanizmlari va boshqalarni zararli bajarish.
Ma'lumotni ruxsatsiz kirishdan himoya qilish uchun quyidagi amallarni bajaring:
1) tashkiliy tuzilmalar;
2) texnik vositalar;
3) dasturiy ta'minot;
4) shifrlash.
Tashkiliy tadbirlarga quyidagilar kiradi:
· Kirishni boshqarish;
· OAV va qurilmalarni xavfsiz joyda saqlash (floppi, monitor, klaviatura va boshqalar);
· Kompyuter xonalariga kirishning cheklanishi va boshqalar.
Texnik vositalari quyidagilarni o'z ichiga oladi:
· Uskunalar, filtrlar, ekranlar;
· Klaviaturani qulflash uchun kalit;
· Autentifikatsiya asboblari - barmoq izlarini, qo'lning shakli, eri, tezligi va bosib chiqarish metodikasi va h.k.ni o'qish uchun;
· Elektron chiplar va boshqalar.
Dasturiy vositalar:
· Parolga kirish - foydalanuvchi vakolatini belgilash;
· Norton Utilites to'plamidagi Diskreet dasturidagi tugmalar birikmasini yordamida qulflash ekrani va klaviatura;
· BIOS parolini muhofaza qilish vositalaridan foydalanish - BIOS-da va butun kompyuterda.
Shifrlash - bu ommaviy axborotning shifrlangan, tashqi ko'rinishdagi tomonidan tushunilmaydigan tarzda o'zgartirilishi (kodlash). Xabarlarni shifrlash va ochish usullari to'rt ming yillik tarixga ega bo'lgan kriptologiya ilmi bilan o'rganiladi.

Download 156.54 Kb.

Do'stlaringiz bilan baham:
1   ...   4   5   6   7   8   9   10   11   12



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling