Simsiz tarmoqlar xavfsizligi protokollari. Reja: Autentifikatsiya va shifrlash jarayonlari. Simsiz tarmoqlarni himoya qilish usullari
Hozirgi kunda keng foydalanishga quyidagilar tatbiq qilingan
Yüklə 444,2 Kb.
|
- Bu səhifədəki naviqasiya:
- EAR-TLS (Transport Layer Security).
- EAR-TTLS (Tunneled Transport Layer Security)
- PEAP-GTC (Generic Token Card)
| Hozirgi kunda keng foydalanishga quyidagilar tatbiq qilingan:
• EAR-FAST http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol — EAP-FAST (Flexible Authentication via Secure Tunneling) — Cisco tashkiloti tomonidan yaratilgan; Foydalanuvchi va RADIUS-server o‘rtasida TLS tunneli ichida uzatiladigan login va parol orqali avtorizatsiya o‘tkazishni imkonini beradi; • EAR-TLS (Transport Layer Security). Sertifikatlar orqali mijoz va server (foydalanuvchi va RADIUS-server) avtorizatsiyasi uchun ochiq kalitlar (PKI) infratuzilmasidan foydalanadi. Har bir simsiz aloqa qurilmasiga mijoz sertifikatini yozish va o‘rnatishni talab qiladi, shuning uchun, faqat boshqariluvchi koorporativ muxit uchun mos keladi. Agar mijoz — domen a’zosi bo‘lsa, Windows sertifikatlar serveri mijozga mustaqil ravishda sertifikat yaratish imkonini beruvchi vositalarga ega. Mijozni yopib qo‘yish uning sertifikatini bekor qilish (qayd yozuvini bekor) orqali amalga oshiriladi. • EAR-TTLS (Tunneled Transport Layer Security) EAP-TLS protokoliga o‘xshash, lekin tennulni yaratishda mijoz sertifikati talab qilinmaydi. Bunday tunnelda brauzer SSL-ulanishiga o‘xshash qo‘shimcha avtorizatsiyani amalga oshiriladi. • PEAP-MSCHAPv2 http://en.wikipedia.org/wiki/Protected_Extensible_ Authentication_Protocol — PEAPv0_ with_EAP-MSCHAPv2 (Protected EAP) — EAP-TTLS protokoliga server sertifikatini talab qiluvchi mijoz va server o‘rtasida shifrlangan TLS protokoliga o‘xshash tunnelini o‘rnatish bosqichi bilan bir xil. • PEAP-GTC (Generic Token Card) — Protected EAP protokoliga o‘xshash, ammo bir martalik parollarda foydalanishni talab qiladi. Yuqoridagi barcha usullar (EAP-FAST protokolidan tashqari) tasdiqlash markazi tomonidan berilgan server sertifikatini (RADIUS-serverda) bo‘lishini talab qiladi. Bu holatda tasdiqlash markazi sertifikati mijoz qurilmasida ro‘yxatdan o‘tgan bo‘lishi kerak. Qo‘shimcha sifatida EAP-TLS individual mijoz sertifakatini ham talab qiladi. Mijozning haqiqiyligini tekshirish raqamli imzo va mijoz tomonidan taqdim etilgan RADIUS-server sertifikatini PKI-infratuzilmasidan (Active Directory) olganligini taqqoslash orqali tekshiriladi. EAP protokollaridan ixtiyoriy bittasini qo‘llash tarmoq ma’muri tomonidan bajarilishi zarur. Windows XPGVistaG7, iOS, Android OTga o‘rnatilgan standartlar kamida EAP-TLS va EAP-MSCHAPv2 protokollarini ishlata oladi. Windows osti Intel mijoz adarterlarini ProSet utilitasini (mavjud ro‘yxatni kengaytira oluvchi) taqdim etadi. Buni Cisco Any Connect Client amalga oshiradi. Open Authentication va No Encryption uchun hech narsa kerak emas, tarmoqqa ulanishni o‘zi kifoya. Radio muhit ochiqligi sababli signal barcha yo‘nalishlarda tarqaladi va uni to‘sib qolish qiyin masala. Ulanishga qo‘shilish mumkinligi mos mijoz adapterlari tufayli tarmoq trafigi hujum qiluvchiga o‘zini xuddi simli aloqa tarmog‘ida, NUV da, SPAN-port kommutatoridagidek xis qiladi. WEP protokoliga asoslangan shifrlash uchun TKIP yoki AES asoslangan shifrlash uchun to‘g‘ridan — to‘g‘ri deshifrlash nazariyada iloji bor, ammo amaliyotda buzish xolati uchramagan. Albatta, PSK kalit uchun yoki EAP protokolidan biriga parol tanlashni sinab ko‘rish mumkin. Berilgan hujumlarning qo‘llanilishi noma’lum. Bu jarayonda ijtimoiy injeneriya yoki kriptoanaliz usullaridan foydalanish mumkin. Yüklə 444,2 Kb. Dostları ilə paylaş:
|