WLAN Təhlükəsizlik tədbirləri Cədvəl 2.4.
Təhlükəsizlik tədbiri
Təsvir
İstifadəçi identifikasiyası
Şəbəkə əldə etməyə çalışan istifadəçilərin kim olduqlarını söylədiklərini
təsdiqləyir.
İstifadəçi girişinə nəzarət
Şəbəkəyə yalnız giriş icazəsi olan təsdiq edilmiş istifadəçilərə giriş imkanı
verir.
Məlumat gizliliyi
Şəbəkə üzərindən ötürülən məlumatların qulaq asma və ya digər icazəsiz
giriş şifrələməsi ilə qorunmasını təmin edir.
Açar idarəetmə
Məlumatların və digər mesajların şifrlənməsi üçün istifadə olunan
açarların yaradılması, qorunması və yayılması.
Adından göründüyü kimi, WEP-nin məqsədi simli şəbəkəyə bərabər
səviyyəli təhlükəsizlik səviyyəsini təmin etmək idi, baxmayaraq ki, bu istək
39
fundamental kriptoqrafik zəifliyə görə alınmadı. Cədvəl 2.4-də ümumiləşdirilmiş
təhlükəsizlik tədbirləri siyahısından, WEP, giriş nöqtəsinə daxil olan və hər hansı
bir stansiya tərəfindən tanınması tələb olunan gizli bir açardan, adətən bir paroldan
istifadə etməklə məhdud dərəcədə girişə nəzarət və məlumatların məxfiliyini təmin
edir.
WEP şifrələməsi parolu 64 bitlik şifrələmə açarı yaratmaq üçün 24 bit
başlanğıc vektoru əlavə olunan 40 bitlik gizli açarına çevirir. WEP şifrələməsini
gücləndirmək üçün müvəqqəti bir cəhd olaraq, bəzi satıcılar açar uzunluğunu 128
bitə artırdılar. Bu, çox dərəcədə kosmetik inkişaf etdiricisi oldu, çünki aşağıda təsvir
olunduğu kimi, əsas zəiflik, 40 bitli və ya 104 bitli açarların istifadə olunduğundan
qulaq asma cihazının hələ də təxminən 4 milyon ötürülən çərçivəni təhlil edərək
açarı əldə edə biləcəyini ifadə etdi.
Düz mətn kimi kriptoqrafik terminologiyada bilinən giriş məlumat axını,
şifrəli şifrə mətnini yaratmaq üçün XOR (eksklüziv OR) əməliyyatındakı yalançı
təsadüfi açar bit axını ilə birləşdirilir. WEP, 256 mümkün baytın hamısının
permutasiyası olan bir ardıcıllıqla S-dən yalançı təsadüfi seçim etmək üçün RC4
alqoritmindən istifadə edərək əsas bit axını yaradır.
RC4 əsas axındakı növbəti baytı seçir;
Addım (1) i sayğacın dəyərini artırmaq,
Addım (2) ardıcıllıqla S (i), i-ci baytın qiymətini j-in əvvəlki dəyərinə əlavə
etməklə ikinci sayğacın artırılması, j
Addım (3) iki sayğac tərəfindən indekslənmiş iki bayt S (i) və S (j)
dəyərlərini axtarır və onları birlikdə 256 modul əlavə edir
Addım (4) S (i) + S (j) ilə indekslənmiş bayt K-ı çıxarır
yəni K = S (S (i) + S (j)).
Baytların S (i) və S (j) dəyərləri sonrakı baytı seçmək üçün addım (1) -ə
qayıtmadan əvvəl mübadilə olunur.
S baytların ilkin permutasiyası baytların şəxsiyyət permutasiyasından
başlayaraq S daxilində baytların oxşar manipulyasiyasından istifadə edən açar
40
planlaşdırma alqoritmi ilə müəyyən edilir, lakin hər addımda (2), sayğac artırıldıqda
sayğaca 64 bit və ya 128 bit şifrələmə açarından bir bayt da əlavə olunur.
WEP ayrıca şifrələmədən əvvəl məlumat blokuna əlavə edilən 32 bitlik
bütövlüyünün yoxlanılması dəyərini (ICV) hesablamaq üçün bir dövri boşluq
yoxlanışı istifadə edərək məhdud mesaj bütövlüyünün yoxlanılmasını təmin edir.
Tam WEP hesablama ardıcıllığı aşağıdakı kimidir ;
Addım (1), məlumat blokunun çərçivəyə ötürülməsi üçün
ICV
hesablanır.
Addım (2), məlumat blokuna əlavə edilir.
Addım (3) Başlanğıc vektoru tam şifrləmə açarı yaratmaq üçün gizli açarla
birləşdirilir.
Addım (4) RC4 alqoritmi şifrləmə açarını açar axına çevirmək üçün istifadə
olunur.
Addım (5) əsas axın və Addım (2) çıxışı arasında bir XOR əməliyyatı
aparılır.
Addım (6) başlanğıc vektoru şifrə mətni ilə birləşdirilir.
WEP, təsadüfi qulaq asma qulaqcıqlarına qarşı ağlabatan bir təhlükəsizlik
təmin etsə də, zəif cəhətləri 802.11 standartının bir hissəsi kimi buraxıldıqdan dərhal
sonra tanındı. 2001-ci ildə kriptoqraflar Scott Fluhrer, Itsik Mantin və Adi Shamir
başa düşdülər ki, RC4 açarları planlaşdırma alqoritmində zəif olduğuna görə çıxış
açarı axını əhəmiyyətli dərəcədə təsadüfi deyil. Bu, şifrələmə açarını açardan
istifadə edərək şifrələnmiş kifayət qədər çox sayda məlumat paketini analiz etməklə
müəyyən etməyə imkan verir.
Əslində, WEP şifrələnmiş açar haqqında məlumatı şifrələnmiş mesajın bir
hissəsi kimi ötürür ki, lazımi alətlərlə təchiz olunmuş hacker şifrləmə açarını
çıxarmaq üçün ötürülən məlumatları toplaya və təhlil edə bilsin. Bunun üçün bir
neçə milyon paketin tutulması və təhlil edilməsi tələb olunur, lakin yenə də bir saat
ərzində yüksək bir trafik şəbəkəsində həyata keçirilə bilər. WEP, eyni zamanda
WLAN-da işləyən hər bir cihazda yeni açarın və ya parolun yenidən əllə daxil
edilməsindən başqa açarın dəyişdirilməsi üçün bir mexanizm olmadığı üçün statik
paylaşılan bir açardan istifadə edir.
41
802.11-də istifadə olunan şifrələmə alqoritminin gücünü məhdudlaşdıran
texnoloji məhdudiyyətlər deyildi, amma maraqlısı odur ki, məlumatların şifrlənməsi
texnologiyasının ixracı ABŞ hökuməti tərəfindən milli təhlükəsizliyə təhdid hesab
edildi və nəticədə WEP sxemi beynəlxalq standart olaraq qəbul ediləcəyi təqdirdə
ən güclü ola bilmədi. Bu məhdudiyyətlər qaldırıldı və yeni, daha güclü şifrələmə
üsulları, məsələn, Advanced Encryption Standard hazırlanmışdır.
Orijinal 802.11 təhlükəsizlik tətbiqində bu məlum zəiflikləri aradan
qaldırmaq üçün, Wi-Fi Alliance, hədəf hücumlardan geniş qorunma təmin etmək
üçün bir vasitə olaraq Wi-Fi Protected Access (WPA) inkişaf etdirdi. WPA, 802.11i
standartının bir hissəsi olaraq 802.11 TGi tərəfindən hələ inkişaf etdirilən
gücləndirilmiş təhlükəsizlik mexanizmlərinin alt hissəsinə əsaslanan müvəqqəti bir
tədbir idi.
WPA, açar idarəetmə üçün TKIP istifadə edir və müəssisə WLAN
təhlükəsizliyi (Müəssisə rejimi) üçün EAP ilə birlikdə 802.1x identifikasiya
çərçivəsini və ya daha əvvəlcədən paylaşılan açarı (PSK) identifikasiya serveri
olmayan şəxsi və ya kiçik ofis şəbəkəsi üçün identifikasiya (Şəxsi rejim) təklif edir.
Əvvəlcə Wi-Fi uyğun cihazlarda proqram təminatının yenilənməsi kimi
mövcud olan bu tədbirlər ilk dəfə 2003-cü ilin əvvəlində bazara çıxdı. 2004-cü ildə
ikinci nəsil WPA2-də şifrələmənin daha da gücləndirilməsi tətbiq olundu. Bu, hələ
də WPA-da istifadə olunan RC4, 2004-cü ilin iyununda 802.11i standartının bir
hissəsi kimi təsdiqlənmiş inkişaf etmiş şifrələmə standartı (AES) ilə əvəz edilmişdir.
WEP şifrələməsinin zəifliyi WPA-da iki yeni MAC təbəqəsi xüsusiyyətləri
ilə həll edildi: TKIP və bir mesaj bütövlüyünün yoxlanılması funksiyası adlı əsas
yaradılması və idarəetmə protokolu.
Bir stansiya təsdiqləndikdən sonra, ya bir autentifikasiya serveri tərəfindən
hazırlanmış və ya əl ilə daxil edilmiş bir seans üçün 128 bitlik müvəqqəti bir açar
yaradılır. TKIP, açarı stansiyaya və giriş nöqtəsinə paylamaq və sessiya üçün açar
idarəetmə qurmaq üçün istifadə olunur. TKIP, müvəqqəti açarı hər stansiyanın MAC
ünvanı, üstəgəl TKIP ardıcıllığı sayğacı ilə birləşdirir və məlumat şifrələməsi üçün
ilkin açarları istehsal etmək üçün 48 bit başlanğıc vektoru əlavə edir.
42
Bu yanaşma ilə hər bir stansiya ötürülən məlumatları şifrələmək üçün
müxtəlif açarlərdən istifadə edəcəkdir. TKIP, təhlükəsizlik tələblərindən asılı olaraq
hər paketdən bir dəfə 10.000 paketə qədər ola bilən bir konfiqurasiya edilə bilən açar
müddəti bitdikdən sonra bütün şifrələmə açarlarının yenilənməsini və yayılmasını
idarə edir. Eyni RC4 şifrəsi şifrləmə açarı axını yaratmaq üçün istifadə olunsa da,
TKIP-in əsas qarışdırma və paylama metodu WLAN təhlükəsizliyini əhəmiyyətli
dərəcədə yaxşılaşdırır, WEP-də istifadə olunan vahid statik açarı 280 trilyon
mümkün açarlardan dinamik dəyişən seçimlə əvəz edir.
WPA, TKIP-i bir təcavüzkarın məlumat paketlərini ələ keçirdiyini,
dəyişdirdiyini təyin edən bir mesaj bütövlüyünün yoxlanılması ilə tamamlayır.
Dürüstlük hər bir məlumat paketində bir riyazi bir funksiyanı hesablayan
ötürücü və qəbuledici stansiyalar tərəfindən yoxlanılır.
IEEE 802.1x istifadəçilərin identifikasiyası ilə şəbəkələrin qorunmasını
təmin edən bir giriş nəzarət protokoludur. Uğurlu identifikasiyadan sonra şəbəkəyə
giriş üçün giriş nöqtəsində bir virtual port açılır, identifikasiya uğursuz olduqda
rabitə bloklanır. 802.1x identifikasiyası üç elementi müəyyənləşdirir;
■ Tətbiqçi - identifikasiyası istəyən simsiz stansiyada işləyən proqram
■ Authenticator - müraciət edən adından identifikasiyası tələb edən simsiz
giriş nöqtəsi
■ Authentication Server - bir identifikasiya məlumat bazasından istifadə
edərək mərkəzləşdirilmiş identifikasiya və giriş nəzarətini təmin edən RADIUS və
ya Kerberos kimi bir identifikasiya protokolunu işləyən server.
Standart, uzadıla bilən identifikasiya protokolunun (EAP) məlumat
bağlantısı təbəqəsi tərəfindən müraciət və identifikasiya serveri arasında
identifikasiya
məlumatlarını
ötürmək üçün necə istifadə olunduğunu
müəyyənləşdirir. Həqiqi identifikasiya prosesi istifadə olunan xüsusi EAP tipindən
asılı olaraq müəyyənləşdirilir və idarə olunur və təsdiqləyici kimi çıxış nöqtəsi,
müraciət edənə və autentifikasiya serverinə əlaqə yaratmağa imkan verir.
Müəssisə WLAN-da 802.1x identifikasiyasının tətbiqi, şəbəkə daxilində
təsdiq edilmiş istifadəçilərin adları və etimadnamələrini saxlanan siyahısına qarşı
43
identifikasiya edə biləcək bir identifikasiya serverinin olmasını tələb edir. Ən çox
istifadə edilən identifikasiya protokolu, WPA uyğun giriş nöqtələri tərəfindən
dəstəklənən və mərkəzləşdirilmiş identifikasiya, avtorizasiya və mühasibat
xidmətləri təmin edən uzaqdan identifikasiya yığma istifadəçi xidmətidir
(RADIUS).
Bir giriş nöqtəsi vasitəsilə şəbəkə əldə etmək istəyən bir simsiz müştərini
eyniləşdirmək üçün RADIUS serverində bir müştəri olaraq çıxış nöqtəsi, tələb
olunan bağlantı parametrləri haqqında məlumat ilə birlikdə istifadəçinin
etimadnaməsini ehtiva edən serverə RADIUS mesajı göndərir. RADIUS server hər
iki halda cavab mesajını göndərərək istəyi təsdiqləyir və ya təsdiq edir və ya rədd
edir.
RADIUS mesajı hər bir atribut tələb olunan bağlantı haqqında məlumat
parçasını göstərərək RADIUS başlığı və RADIUS atributlarından ibarətdir.
Məsələn, bir giriş-sorğu mesajında istifadəçi adı və etimadnaməsi, istifadəçi
tərəfindən tələb olunan xidmət növü və bağlantı parametrləri, Giriş-Qəbul mesajı isə
icazə verilən əlaqə növü üçün atributları ehtiva edir.
Bütün təhlükəsizlik zəifliklərinin tanınması və həll edilməsini təmin etmək
üçün hər WLAN tətbiqində təhlükəsizlik üçün üç aspekt - idarəetmə, texniki və
əməliyyat nəzərdən keçirilməlidir. Bu üç sahədəki ən yaxşı təcrübə təhlükəsizliyi
tədbirlərinin geniş siyahısı, ABŞ Milli Elm və Texnologiya İnstitutu tərəfindən nəşr
edilmişdir.
İdarəetmə təhlükəsizlik tədbirləri WLAN-ı hazırlayarkən və tətbiq edərkən
nəzərə alınmalı olan problemləri həll edir. NIST nəzarət siyahısında ən yaxşı təcrübə
kimi tövsiyə olunan bəzi əsas idarəetmə təhlükəsizlik tədbirləri Cədvəl 2.5-də təsvir
edilmişdir.
Dostları ilə paylaş: |