WLAN Təhlükəsizlik tədbirləri Cədvəl 2.4

39 
fundamental kriptoqrafik zəifliyə görə alınmadı. Cədvəl 2.4-də ümumiləşdirilmiş 
təhlükəsizlik tədbirləri siyahısından, WEP, giriş nöqtəsinə daxil olan və hər hansı 
bir stansiya tərəfindən tanınması tələb olunan gizli bir açardan, adətən bir paroldan 
istifadə etməklə məhdud dərəcədə girişə nəzarət və məlumatların məxfiliyini təmin 
edir.
WEP şifrələməsi parolu 64 bitlik şifrələmə açarı yaratmaq üçün 24 bit 
başlanğıc vektoru əlavə olunan 40 bitlik gizli açarına çevirir. WEP şifrələməsini 
gücləndirmək üçün müvəqqəti bir cəhd olaraq, bəzi satıcılar açar uzunluğunu 128 
bitə artırdılar. Bu, çox dərəcədə kosmetik inkişaf etdiricisi oldu, çünki aşağıda təsvir 
olunduğu kimi, əsas zəiflik, 40 bitli və ya 104 bitli açarların istifadə olunduğundan 
qulaq asma cihazının hələ də təxminən 4 milyon ötürülən çərçivəni təhlil edərək 
açarı əldə edə biləcəyini ifadə etdi. 
Düz mətn kimi kriptoqrafik terminologiyada bilinən giriş məlumat axını, 
şifrəli şifrə mətnini yaratmaq üçün XOR (eksklüziv OR) əməliyyatındakı yalançı 
təsadüfi açar bit axını ilə birləşdirilir. WEP, 256 mümkün baytın hamısının 
permutasiyası olan bir ardıcıllıqla S-dən yalançı təsadüfi seçim etmək üçün RC4 
alqoritmindən istifadə edərək əsas bit axını yaradır.
RC4 əsas axındakı növbəti baytı seçir; 
Addım (1) i sayğacın dəyərini artırmaq, 
Addım (2) ardıcıllıqla S (i), i-ci baytın qiymətini j-in əvvəlki dəyərinə əlavə 
etməklə ikinci sayğacın artırılması, j 
Addım (3) iki sayğac tərəfindən indekslənmiş iki bayt S (i) və S (j) 
dəyərlərini axtarır və onları birlikdə 256 modul əlavə edir 
Addım (4) S (i) + S (j) ilə indekslənmiş bayt K-ı çıxarır 
yəni K = S (S (i) + S (j)). 
Baytların S (i) və S (j) dəyərləri sonrakı baytı seçmək üçün addım (1) -ə 
qayıtmadan əvvəl mübadilə olunur. 
S baytların ilkin permutasiyası baytların şəxsiyyət permutasiyasından 
başlayaraq S daxilində baytların oxşar manipulyasiyasından istifadə edən açar 

40 
planlaşdırma alqoritmi ilə müəyyən edilir, lakin hər addımda (2), sayğac artırıldıqda 
sayğaca 64 bit və ya 128 bit şifrələmə açarından bir bayt da əlavə olunur. 
WEP ayrıca şifrələmədən əvvəl məlumat blokuna əlavə edilən 32 bitlik 
bütövlüyünün yoxlanılması dəyərini (ICV) hesablamaq üçün bir dövri boşluq 
yoxlanışı istifadə edərək məhdud mesaj bütövlüyünün yoxlanılmasını təmin edir. 
Tam WEP hesablama ardıcıllığı aşağıdakı kimidir ; 
Addım (1), məlumat blokunun çərçivəyə ötürülməsi üçün 
ICV
hesablanır. 
Addım (2), məlumat blokuna əlavə edilir. 
Addım (3) Başlanğıc vektoru tam şifrləmə açarı yaratmaq üçün gizli açarla 
birləşdirilir. 
Addım (4) RC4 alqoritmi şifrləmə açarını açar axına çevirmək üçün istifadə 
olunur. 
Addım (5) əsas axın və Addım (2) çıxışı arasında bir XOR əməliyyatı 
aparılır. 
Addım (6) başlanğıc vektoru şifrə mətni ilə birləşdirilir. 
WEP, təsadüfi qulaq asma qulaqcıqlarına qarşı ağlabatan bir təhlükəsizlik 
təmin etsə də, zəif cəhətləri 802.11 standartının bir hissəsi kimi buraxıldıqdan dərhal 
sonra tanındı. 2001-ci ildə kriptoqraflar Scott Fluhrer, Itsik Mantin və Adi Shamir 
başa düşdülər ki, RC4 açarları planlaşdırma alqoritmində zəif olduğuna görə çıxış 
açarı axını əhəmiyyətli dərəcədə təsadüfi deyil. Bu, şifrələmə açarını açardan 
istifadə edərək şifrələnmiş kifayət qədər çox sayda məlumat paketini analiz etməklə 
müəyyən etməyə imkan verir. 
Əslində, WEP şifrələnmiş açar haqqında məlumatı şifrələnmiş mesajın bir 
hissəsi kimi ötürür ki, lazımi alətlərlə təchiz olunmuş hacker şifrləmə açarını 
çıxarmaq üçün ötürülən məlumatları toplaya və təhlil edə bilsin. Bunun üçün bir 
neçə milyon paketin tutulması və təhlil edilməsi tələb olunur, lakin yenə də bir saat 
ərzində yüksək bir trafik şəbəkəsində həyata keçirilə bilər. WEP, eyni zamanda 
WLAN-da işləyən hər bir cihazda yeni açarın və ya parolun yenidən əllə daxil 
edilməsindən başqa açarın dəyişdirilməsi üçün bir mexanizm olmadığı üçün statik 
paylaşılan bir açardan istifadə edir. 

41 
802.11-də istifadə olunan şifrələmə alqoritminin gücünü məhdudlaşdıran 
texnoloji məhdudiyyətlər deyildi, amma maraqlısı odur ki, məlumatların şifrlənməsi 
texnologiyasının ixracı ABŞ hökuməti tərəfindən milli təhlükəsizliyə təhdid hesab 
edildi və nəticədə WEP sxemi beynəlxalq standart olaraq qəbul ediləcəyi təqdirdə 
ən güclü ola bilmədi. Bu məhdudiyyətlər qaldırıldı və yeni, daha güclü şifrələmə 
üsulları, məsələn, Advanced Encryption Standard hazırlanmışdır. 
Orijinal 802.11 təhlükəsizlik tətbiqində bu məlum zəiflikləri aradan 
qaldırmaq üçün, Wi-Fi Alliance, hədəf hücumlardan geniş qorunma təmin etmək 
üçün bir vasitə olaraq Wi-Fi Protected Access (WPA) inkişaf etdirdi. WPA, 802.11i 
standartının bir hissəsi olaraq 802.11 TGi tərəfindən hələ inkişaf etdirilən 
gücləndirilmiş təhlükəsizlik mexanizmlərinin alt hissəsinə əsaslanan müvəqqəti bir 
tədbir idi. 
WPA, açar idarəetmə üçün TKIP istifadə edir və müəssisə WLAN 
təhlükəsizliyi (Müəssisə rejimi) üçün EAP ilə birlikdə 802.1x identifikasiya 
çərçivəsini və ya daha əvvəlcədən paylaşılan açarı (PSK) identifikasiya serveri 
olmayan şəxsi və ya kiçik ofis şəbəkəsi üçün identifikasiya (Şəxsi rejim) təklif edir. 
Əvvəlcə Wi-Fi uyğun cihazlarda proqram təminatının yenilənməsi kimi 
mövcud olan bu tədbirlər ilk dəfə 2003-cü ilin əvvəlində bazara çıxdı. 2004-cü ildə 
ikinci nəsil WPA2-də şifrələmənin daha da gücləndirilməsi tətbiq olundu. Bu, hələ 
də WPA-da istifadə olunan RC4, 2004-cü ilin iyununda 802.11i standartının bir 
hissəsi kimi təsdiqlənmiş inkişaf etmiş şifrələmə standartı (AES) ilə əvəz edilmişdir.
WEP şifrələməsinin zəifliyi WPA-da iki yeni MAC təbəqəsi xüsusiyyətləri 
ilə həll edildi: TKIP və bir mesaj bütövlüyünün yoxlanılması funksiyası adlı əsas 
yaradılması və idarəetmə protokolu. 
Bir stansiya təsdiqləndikdən sonra, ya bir autentifikasiya serveri tərəfindən 
hazırlanmış və ya əl ilə daxil edilmiş bir seans üçün 128 bitlik müvəqqəti bir açar 
yaradılır. TKIP, açarı stansiyaya və giriş nöqtəsinə paylamaq və sessiya üçün açar 
idarəetmə qurmaq üçün istifadə olunur. TKIP, müvəqqəti açarı hər stansiyanın MAC 
ünvanı, üstəgəl TKIP ardıcıllığı sayğacı ilə birləşdirir və məlumat şifrələməsi üçün 
ilkin açarları istehsal etmək üçün 48 bit başlanğıc vektoru əlavə edir. 

42 
Bu yanaşma ilə hər bir stansiya ötürülən məlumatları şifrələmək üçün 
müxtəlif açarlərdən istifadə edəcəkdir. TKIP, təhlükəsizlik tələblərindən asılı olaraq 
hər paketdən bir dəfə 10.000 paketə qədər ola bilən bir konfiqurasiya edilə bilən açar 
müddəti bitdikdən sonra bütün şifrələmə açarlarının yenilənməsini və yayılmasını 
idarə edir. Eyni RC4 şifrəsi şifrləmə açarı axını yaratmaq üçün istifadə olunsa da, 
TKIP-in əsas qarışdırma və paylama metodu WLAN təhlükəsizliyini əhəmiyyətli 
dərəcədə yaxşılaşdırır, WEP-də istifadə olunan vahid statik açarı 280 trilyon 
mümkün açarlardan dinamik dəyişən seçimlə əvəz edir. 
WPA, TKIP-i bir təcavüzkarın məlumat paketlərini ələ keçirdiyini, 
dəyişdirdiyini təyin edən bir mesaj bütövlüyünün yoxlanılması ilə tamamlayır. 
Dürüstlük hər bir məlumat paketində bir riyazi bir funksiyanı hesablayan 
ötürücü və qəbuledici stansiyalar tərəfindən yoxlanılır. 
IEEE 802.1x istifadəçilərin identifikasiyası ilə şəbəkələrin qorunmasını 
təmin edən bir giriş nəzarət protokoludur. Uğurlu identifikasiyadan sonra şəbəkəyə 
giriş üçün giriş nöqtəsində bir virtual port açılır, identifikasiya uğursuz olduqda 
rabitə bloklanır. 802.1x identifikasiyası üç elementi müəyyənləşdirir; 
■ Tətbiqçi - identifikasiyası istəyən simsiz stansiyada işləyən proqram 
■ Authenticator - müraciət edən adından identifikasiyası tələb edən simsiz 
giriş nöqtəsi 
■ Authentication Server - bir identifikasiya məlumat bazasından istifadə 
edərək mərkəzləşdirilmiş identifikasiya və giriş nəzarətini təmin edən RADIUS və 
ya Kerberos kimi bir identifikasiya protokolunu işləyən server. 
Standart, uzadıla bilən identifikasiya protokolunun (EAP) məlumat 
bağlantısı təbəqəsi tərəfindən müraciət və identifikasiya serveri arasında 
identifikasiya 
məlumatlarını 
ötürmək üçün necə istifadə olunduğunu 
müəyyənləşdirir. Həqiqi identifikasiya prosesi istifadə olunan xüsusi EAP tipindən 
asılı olaraq müəyyənləşdirilir və idarə olunur və təsdiqləyici kimi çıxış nöqtəsi, 
müraciət edənə və autentifikasiya serverinə əlaqə yaratmağa imkan verir. 
Müəssisə WLAN-da 802.1x identifikasiyasının tətbiqi, şəbəkə daxilində 
təsdiq edilmiş istifadəçilərin adları və etimadnamələrini saxlanan siyahısına qarşı 

43 
identifikasiya edə biləcək bir identifikasiya serverinin olmasını tələb edir. Ən çox 
istifadə edilən identifikasiya protokolu, WPA uyğun giriş nöqtələri tərəfindən 
dəstəklənən və mərkəzləşdirilmiş identifikasiya, avtorizasiya və mühasibat 
xidmətləri təmin edən uzaqdan identifikasiya yığma istifadəçi xidmətidir 
(RADIUS). 
Bir giriş nöqtəsi vasitəsilə şəbəkə əldə etmək istəyən bir simsiz müştərini 
eyniləşdirmək üçün RADIUS serverində bir müştəri olaraq çıxış nöqtəsi, tələb 
olunan bağlantı parametrləri haqqında məlumat ilə birlikdə istifadəçinin 
etimadnaməsini ehtiva edən serverə RADIUS mesajı göndərir. RADIUS server hər 
iki halda cavab mesajını göndərərək istəyi təsdiqləyir və ya təsdiq edir və ya rədd 
edir. 
RADIUS mesajı hər bir atribut tələb olunan bağlantı haqqında məlumat 
parçasını göstərərək RADIUS başlığı və RADIUS atributlarından ibarətdir. 
Məsələn, bir giriş-sorğu mesajında istifadəçi adı və etimadnaməsi, istifadəçi 
tərəfindən tələb olunan xidmət növü və bağlantı parametrləri, Giriş-Qəbul mesajı isə 
icazə verilən əlaqə növü üçün atributları ehtiva edir. 
Bütün təhlükəsizlik zəifliklərinin tanınması və həll edilməsini təmin etmək 
üçün hər WLAN tətbiqində təhlükəsizlik üçün üç aspekt - idarəetmə, texniki və 
əməliyyat nəzərdən keçirilməlidir. Bu üç sahədəki ən yaxşı təcrübə təhlükəsizliyi 
tədbirlərinin geniş siyahısı, ABŞ Milli Elm və Texnologiya İnstitutu tərəfindən nəşr 
edilmişdir. 
İdarəetmə təhlükəsizlik tədbirləri WLAN-ı hazırlayarkən və tətbiq edərkən 
nəzərə alınmalı olan problemləri həll edir. NIST nəzarət siyahısında ən yaxşı təcrübə 
kimi tövsiyə olunan bəzi əsas idarəetmə təhlükəsizlik tədbirləri Cədvəl 2.5-də təsvir 
edilmişdir. 

Yüklə 1,56 Mb.

Dostları ilə paylaş: