Утасгүй сүлжээ болон түүний нууцлал хамгаалалт, баталгаажуулалт
Утасгүй сүлжээ гэж юу вэ?
[засварлах | кодоор засварлах]Утасгүй сүлжээ гэдэг нь 2 ба түүнээс дээш төхөөрөмж тархалтат долгион (spread spectrum division multiplexing) эсвэл OFDM(Orthogonal frequince division multiplexing) хувиргалтын технелоги ашиглан утасгүй холбогдон мэдээлэл солилцохыг хэлнэ.1970 онд Хавайн их сургуульд туршигдаж эхэлсэн ба 1985 он гэхэд Америкын холбоо харилцааны зөвлөл болох FCC(Federal Communication Committee) энгийн хэрэглээнд зориулан долгионы үелзэлийг суллаж өгснөөр хоёр дахь үеийн төхөөрөмжүүд хийгдэж эхэлсэн.Энэ технелоги 1997 он гэхэд IEEE -802.11 нэршилтэй стандарт болж батлагдсан.
Утасгүй сүлжээний нууцлал хамгаалалт
[засварлах | кодоор засварлах]Утасгүй сүлжээний нууцлал хамгаалалт:
Утасгүй сүлжээний аюулгүй байдал гэдэг бол утасгүй сүлжээг ашиглаад тухайн мэдээлэл болон компьютерт хууль бусаар хандах, эвдэрлээс урьдчилан сэргийлэхийг хэлнэ. Нууцлал хамгаалалыг хэрэгжүүлэх арга барил: Бодит байдал дээр утасгүй сүлжээний аюулгүй байдал янз бүрийн хүрээнд байдаг. Үр нөлөөтэй аргууд нь дараах болно
- SSID hiding : Service Set Identifier hiding :Утасгүй сүлжээний хувьд SSID-г нууна гэдэг бол хялбар боловч үр дүн муутай арга.
- MAC ID Filtering : мөн хялбар аргуудын нэг бөгөөд зөвхөн урдчилан мэдэж байгаа MAC address –тай төхөөрөмжид хандах эрх өгнө. Бүх wireless access point адилхан MAC ID filtering төрөл агуулдаг. Халдагч буюу дайрагчийн хувьд баталгаажсан хэрэглэгчин MAC хаягийг шүүж олж авхад амархан.
- Static IP addressing: жирийн wireless access point нь client буюу хэрэглэгчдэд DHCP протоколоор дамжуулан IP хаяг түгээдэг. Wireless access point-с client/хэрэглэгч нь үргэлж IP хаяг хүсэх буюу broadcast request message явуулдаг. Энэ нь процесс нь халдагчдад бас нэг боломжийг олгодог.
- Wireless Security protocol: утасгүй сүлжээний аюулгүй байдлыг хангахын тулд хэд хэдэн төрлийн протоколууд хэрэглэх ба үүнийг тоймлож үзвэл:
Эхэн үеийн шифрлэх протокол | Завсарын үеийн шифрлэх | Одоо үеийн шифрлэх протокол |
---|---|---|
WEP | WPA | 802.11i/WPA2 |
|
|
|
Суурь болсон дамжуулах техникүүдээс гадна 802.11 сүлжээнүүд нь төрөл бүрийн аюулгүй байдлын арга замуудтай байдаг. Анхдагч 802.11 тодорхойлолтууд нь WEP гэгддэг аюулгүй байдлын энгийн протоколыг тодорхойлсон билээ. Энэ протокол нь тогтмол, урьдчилан хуваалцсан түлхүүр болон RC4 криптограф шифр ашиглан сүлжээнд дамжуулагдах өгөгдлийг кодчилдог. Станцууд нь өөр хоорондоо холбогдохын тулд бүгд нэг тогтмол түлхүүр дээр зөвшилцөх ёстой. Энэ схемийг амархан эвдэх боломжтойг харуулсан бөгөөд дамжин өнгөрөх хэрэглэгчдийг сүлжээнд нэгдэхийг зөвлөдөггүйгээс бусад тохиолдолд одоо ховор ашиглагдах болсон байна. Криптографийн шинэ шифрүүд болон станцуудыг хандалтын цэгт танин нэвтрүүлж өгөгдлийн холболтыг хийхийн тулд түлхүүрүүдийг солилцох нэмэлт протоколыг тодорхойлдог IEEE® 802.11i тодорхойлолтоор одоогийн аюулгүй байдлын практикийг тодорхойлдог. Мөн криптограф түлхүүрүүд нь үе үе шинэчлэгддэг бөгөөд халдлагын оролдлогуудыг илрүүлэх (ба халдлагын оролдлогуудыг сөрөх) арга замууд бас байдаг. Утасгүй сүлжээнүүдэд түгээмэл ашиглагддаг өөр нэг аюулгүй байдлын протоколын тодорхойлолт нь WPA юм. Энэ нь үйлдвэрлэлийн бүлгийн тодорхойлсон 802.11i-ийн өмнөх протокол бөгөөд 802.11i-г батлахыг хүлээж байх хугацаанд түр зуурын арга хэмжээ болох юм. WPA нь 802.11i-д байгаа шаардлагуудын дэд олонлогийг тодорхойлж хуучин тоног төхөөрөмжүүд дээрх шийдэлд зориулагдан хийгджээ. Ялангуяа WPA нь анхдагч WEP шифрээс гарсан TKIP шифрийг зөвхөн шаарддаг. 802.11i нь TKIP-ийн хэрэглээг зөвшөөрдөг боловч өгөгдлийг шифрлэхэд зориулж илүү хүчирхэг шифр болох AES-CCM-ийн дэмжлэгийг бас шаарддаг. (AES шифр нь WPA-д шаардагддаггүй, учир нь үүнийг хуучин тоног төхөөрөмж дээр хийхэд тооцооллын хувьд өртөгтэй гэж үздэг.)
WEP – Wireless Equivalent Privacy: WEP нь IEEE 802.11 утасгүй сүлжээг хамгаалах алгоритм бөгөөд өнөө үед нилээн хоцрогдсон. Утасгүй сүлжээний мэдээлэл нь агаараар радио долгионоор цацагдан дамждаг учир ердийн утастай сүлжээг бодвол дохио замаас барьж аван "хулгайлах" боломжтой байдаг. Иймээс 1997 онд утасгүй сүлжээнд нууцлал нзвтрүүлэх зорилгоор WEP-г анх гаргажээ.WEP нь 40-бит, 128-бит болон заримдаа 256-битийн урттай түлхүүр ашиглан утасгүй сүлжээнд төхөөрөмж холбогдох үед урьдчилан тохируулсан нууц үгийг 16-тын тооллоор асуух байдлаар нууцлал хийдэг хэдий ч нууц түлхүүрийн энгийн хэлбэр, радио долгионоор дамжуулж байгаа мэдээлэл дундаас чухал түлхүүр хэсгийг барих боломжтой зэргээс шалтгаалан харьцангүй хялбараар нууц үгийг тайлан сүлжээнд зөвшөөрөлгүй нэвтэрч болдог байна.
WPA/WPAv2: Шинэчлэгдэн гарсан эдгээр нууцлалын стандартууд нь өмнөх WEP-ийн сул талуудыг арилгахыг зорьсон. WPA – Wi-Fi Protected Access WPA нь утасгүй сүлжээнд холбогдосон төхөөрөмжүүдын найдвартай байдлыг үзүүлж байгаа аюулгүй байдлын стандарт юм. Үүний гол зорилго нь WEP дахь сул байдлыг шийдвэрлэхэд оршино. Утасгүй сүлжээнд хандах үедээ 128 bit –н TKIP агуулдаг. TKIP (Temporal Key Integrity Protocol ) агуулсанаараа нэмэлт нууцлалыг хангана гэж үзэж байсан ч TKIP нь тодорхой хэмжээний сул талтай эрсдэлтэй байсан учир EAP ( Extensible Authentication Protocol ) –г нэмж нэвтрүүлсэн байна. TKIP-г тайлж унших боломж байдаг ч энэ хэцүү.
WPA2 -Wi-Fi Protected Access 2 WPA2 нь утасгүй сүлжээнд холбогдосон төхөөрөмжүүдын найдвартай байдлыг үзүүлж байгаа аюулгүй байдлын стандарт юм. Үүний гол зорилго нь IEEE 802.11i стандардын дагуу шаардлагатай түвшинд хүргэх явдал юм. WPA-гийн сайжруулсан хувилбар бөгөөд Wi-Fi Alliance-гийн гэрчилгээг шаардахаас гадна. ( Advanced Encryption Standard ) нэмэгдэсэнээр илүү сайн хамгаалалт болж чадсан. Өнөөдрийн байдлаар хамгийн сайн хэрэглэж гэж хэрэгдэж байгаа утасгүй сүлжээний аюулгүй байдлын стандарт юм. WPA 2 нь IEEE.11i стандартын дагуу бүрэн ажилдаг.
TKIP- Temporal Key Integrity Protocol | AES- Advanced Encryption Standard |
---|---|
|
|
WPA ба WPA2 нь хэрэглэгч нарт Target буюу тухай Access point оо зааж өгхөд 2 өөр арга хэрэглэдэг. WPA/WPA2 - Personal: ямар нэгэн authentication server шаардахгүй. WPA-PSK -г WPA2PSK эсвэл WPA Personal гэж нэрлэдэг. Pre-Shared Key ( PSK) бол Wi-Fi connection эсвэл wireless LAN(WLAN) хэрэглэгч нарыг таниулан нэвтрэх болон баталгаажуулах зорилгоор ашигладаг аюулгүй байдлын механизм юм. WPA-PSK -тэй WLAN-н нууц үг нь 8-63 тэмдэгтээр бичсэн байх үед л ажилдаг. Нууцлалын үндэс нь Access-Point (router) –д хэрэглэгчидын холболтыг тодорхойлхын тулд 256 bit-н тэмдэгт key үүсгэдэг. AP болон хэрэглэгчийн төхөөрөмж нь encryption ба decryption хийхийн тулд хувааж хэрэглэдэг. WPA/WPA2 - Enterprise: RADIUS authentication server шаардана. Энэ aвтоматаар key үүсгэдэг ба томоохон аж ахуйн хүрээнд баталгаажуулдаг. Extensible Authentication Protocol (EAP ) бол Point to Point ( P2P ) утасгүй сүлжээ ба Local area Network ( LAN ) нь authentication механизмын төрөл бүрийн өгөгдөлийн мэдээлэл шаардаг. EAP нь энгийн dialup болон LAN холболтыг танихад ашигладаг.
Утасгүй сүлжээнд хэрэгжүүлэх адилтган танилт
[засварлах | кодоор засварлах]Утасгүй сүлжээнд 802.11i хэрэгжүүлэлтээс гадна Router/access point(s) 2-г найдвартай байлгах ѐстой. Мөн түүнчилэн бүх client төхөөрөмж нь сүлжээнд шифрлэлт хийх, дэмжих зориулалтай байх хэрэгтэй. Хэрвээ ийм бол RADIUS, ADS, NDS, эсвэл LDAP гэх мэт серверүүдтэй нэгтгэх хэрэгтэй. Энэ сервер нь local network дахь computer ба хандалтын цэг / баталгаажуулсан сервэр бүхий router мөн remote server байж болох бөгөөд доорх адилтган танилтыг хэрэглэдэг.
Open authentication Open authentication нь IEEE802.11 утасгүй сүлжээнд байдаг хамгийн суурь authentication юм. Open authentication нь null authentication буюу бүх адилтган таних хүсэлт нь хүлээн авахад автоматаар зөвшөөрөгддөг. 802.11-н утасгүй сүлжээний эхэн үед нээлттэй адилтган танилт нь WEP түлхүүртэй хосолж хэрэглэгддэг ба утасгүй сүлжээнд холбогдохдоо адилтган танилт хийгдсэн (хэрэглэгчид WEP түлхүүр байх ёстой ба уг түлхүүр нь access point дээрх түлхүүртэй таарч байх ёстой) хэрэглэгч хандах боломжтой юм. Энэ арга нь өнөөг хүртэл хэрэглэгдэж байгаа ба энэ нь сүлжээн дээрх веб болон хамгаалалтгүй утасгүй сүлжээнд өргөн хэрэглэгдэж байгаа арга юм.
Shared authentication Энэ арга нь 802.11 стандартын хамгийн сайн хамгаалалттай төрөл ба энэ нь хуваалцсан түлхүүрийг (shared key) солилцох юм. Түлхүүрийг 128-битийн ил бичвэртэй хамт шифрлэлт хийх арга юм. Хуваалцсан адилтган танилтын үйл явцын турш, шифрлэгдсэн өгөгдөл нь 2 хэсэг буюу адилтган таних хүсэлт болон хариу. Хэрвээ энэ 2 таарч байвал хэрэглэгч нь утасгүй сүлжээнд хандахыг зөвшөөрнө. Энэ арга дээр гардаг гол асуудал нь халдагч эх текст, шифрлэгдсэн өгөгдөл болон ашигласан алгоритмыг цуглуулж идэвхигүй халдлагын нэг болох шинжлэх аргаар түлхүүрийг амархан мэдэх боломжтой байдаг. Чадвартай халдагч нь хуваалцсан түлхүүртэй мөн сүлжээ рүү хандаж чадахгүй ч, сүлжээгээр дамжиж байгаа ямар ч өгөгдөл, мэдээллийг тайлж чадах юм. Уг арга нь нээлттэй адилтган танилтын аргаас илүү их халдлагат өртсөн. Үүний эмзэг байдлын үр дүнд, энэ аргыг хэрэглэхээс татгалзсан
MAC address authentication
MAC хаягийн адилтган таних арга нь MAC хаягийн шүүлтүүр хийх арга ба IEEE 802.11 стандарт-д ордоггүй. Энэ арга нь утасгүй сүлжээнд хандахдаа илүү их төхөөрөмжинд адилтган таних хийх аргад суурилсан. Radius сервер эсхүл хандалтын цэг дээр зөвшөөрөгдсөн mac хаягтай хэрэглэгчийн хандах хаягийн тохируулж өгсөн байдаг. Хэрэглэгч сүлжээнд хандах хүсэлт илгээхэд, хандалтын цэг эсхүл radius сервер нь үүний mac хаягийг итгэмжлэгдсэн бичиг гэж үзэн хандалтын цэг нь өөрийн local жагсаалтнаас, radius сервер нь өөрийн жагсаалтнаас хардаг. Хэрвээ mac хаяг нь олдох юм бол, хэрэглэгчийг сүлжээнд хандахыг зөвшөөрдөг. MAC хаягийн адилтган танилт нь илүү хамгаалалт сайтай байхын тулд нээлттэй эсхүл хуваалцсан адилтган таних аргуудтай хамтран хэрэглэгддэг. Энэ арга дээр гардаг асуудал нь хэрвээ хэрэглэгч нь зөвшөөрөлтэй mac хаягийг мэдэж байгаа үед, уг mac хаягийг өөрийн төхөөрөмж дээрээ дуурайн хандах боломжтой байдаг.
Advanced 802.IX authentication
Дээр дурдагдсан утасгүй сүлжээний адилтган таних аргууд нь Enterprise утасгүй сүлжээний аюулгүй байдлыг хангахад дутагдалтай байгаа юм. Тийм учраас 802.1Х стандарт буюу дараагийн загвар нь гарч ирсэн ба энэ нь утастай сүлжээний порт хамгаалалт дээр суурилсан технологи юм. Энэ стандарт нь голдуу порт-руу хандахад шалгах загвараар тодорхойлогдсон ба утасгүй сүлжээний хувьд, утасгүй сүлжээ нь ААА ажиллаж байгаа Radius сервер дээр итгэмжлэгдсэн хэрэглэгчийг хандахыг зөвшөөрдөг. Энгийнээр хэлвэл, хэрвээ хэрэглэгч нь Radius сервер бүртгэлтэй мөн тодорхой баталгаажуулалтыг хангах юм бол сүлжээнд нэвтрэхийг зөвшөөрнө. Утасгүй сүлжээний 802.1Х стандарт нь Extensible Authentication Protocols буюу EAP-г дэмжин ажилладаг. EAP нь IETF стандартын 1 ба сүүлд нь 802.1X-тэй нэгдсэн. Radius нь 802.1Х-д сонголттойгоор хэрэглэгддэг ба ихэнх EAP нь Radius адилтган таних дээр суурилсан ба 802.1Х-ын баталгаажуулалтын функц нь Radius клиенттэй адилхан байхаар хийгдсэн. Энэ номонд Radius нь бүх 802.1Х-д хэрэглэгдэж байгаа гэж таамаглаж байна, гагцхүү зарим онцгой тохиолдолд хэрэглэгддэггүй байж магадгүй. 802.1X дээр EAP хэрхэн ажилладгийг мэдэхийн тулд EAP-ийг ашиглан 802.1X-ийн чухал элементүүдийг мэдэх нь чухал.
Supplicant Supplicant нь утасгүй сүлжээнд хандах хүсэлтийг илгээдэг төхөөрөмж юм. Энэ элемент нь клиент гэдгээрээ танигдсан ба EAP адилтган танилтын боловсруулалтыг эхлүүлэх болон дэмжих програм хангамж хэрэгтэй юм. 802.1Х дээр supplicant нь клиент-ийг зааж өгч байгааг мэдэх хэрэгтэй. Ихэнх хэрэглээнд supplicant нь хэрэглэгчийн програм хангамж эсхүл адаптор програм хангамж болон утасгүй төхөөрөмж болох laptop, PDA, хоолойны төхөөрөмж, гэх төхөөрөмж дээрх driver-ууд юм.
Server (RADIUS server)Адилтган танилтын сервер гэдгээрээ хэрэглээнд танигдсан ба баталгаажуулалт болон хэрэглэгчийн өгөгдлийн санг өөр дээрээ хадгалдаг мөн хэрэглэгчийн хүсэлтийг зөвшөөрөх үү, үгүй гэдгийг шийддэг. Серверийн хариуцлага нь хандалтыг зөвшөөрөх болон цуцлах гэсэн хариуг хэрэглэгчрүү илгээдэг. Адилтган танилтын серверийн үүргийг энэ бүлэгт илүү дэлгэрэнгүй тай лбарлах болно. Authenticator Адилтган баталгаажуулагч нь supplicant-аас ирсэн хүсэлтийг хүлээн авч адилтган баталгаажуулалтын сервер рүү илгээдэг. Бие даасан хандалтын цэгтэй утасгүй сүлжээний орчинд authenticator нь хандалтын цэг юм. Орчин үеийн утасгүй сүлжээний төвлөрүүлсэн байрлуулалтанд authenticator нь cisco утасгүй LAN хянагч болж байгаа ба энэ нь хэрэглэгч холбогдсон хандалтын цэгийг зохицуулдаг. Үүний үүрэг нь Radius proxy төхөөрөмжтэй адилхан юм. Өөрөөр хэлвэл, Radius-ын хүсэлтийг хүлээн авч сервер рүү илгээдэг ба холболтыг зөвшөөрөх үү татгалзах уу гэдгийг шийддэг.
EAP нь ерөнхий 3 элементтэй. ЕАР-ийн боловсруулалт нь supplicant болон серверийн хооронд дундын authentication хийдэг. Энэ нь сервер зөвшөөрөлтэй хэрэглэгч үү гэж баталгаажуулдаг хэрэглэгчийн authentication фаз байна. 802.1Х-д утасгүй сүлжээний аюулгүй байдал, замын түгжрэлгүй, шифрлэгдсэн өгөгдлийн солилцоо-нууд нь боловсруулалт дуустал идэвтэй байдаг. Шат дарааллаар нь доор үзүүлэв. 1. Утасгүй сүлжээтэй ажилладаг утасгүй хэрэглэгч эсвэл supplicant 2. Authenticator нь хүсэлтийг хүлээн аван EAP таних хүсэлттэй хамт хариу илгээдэг 3. Утасгүй хэрэглэгч нь Authentication сервер рүү илгээгдсэн EAP таних хүсэлтийг authenticator руу илгээдэг 4. Authentication сервер нь supplicant руу илгээгдсэн authentication хүсэлтийг authenticator руу илгээдэг 5. Supplicant нь authenticator руу илгээгдсэн болон authentication сервер рүү илгээгдсэн authentication хариуг хариу илгээдэг 6. Authentication сервер нь authenticator руу зөвшөөрөх эсхүл татгалзсан хариуг илгээдэг. Хэрвээ хариу нь зөвшөөрсөн бол хэрэглэгч утасгүй сүлжээ руу дамжуулалт хийх болон хүлээн авахыг зөвшөөрдөг 7. Дамжуулагдаж байгаа өгөгдлийг шифрлэгдсэн түлхүүр удирдлага нь ажиллаж хамгаалдаг 8. Шифрлэгдсэн өгөгдлийг хэсэг ажиллаж эхлэнэ Дараагийн хэсгүүдэд өөр өөр 801.1Х authentication төрлүүд нь хэрэглэгч болон сервер authentication phase-нд мандат хэрэглэсэн болон мөн phase-ууд хэрхэн ажиллаж байгааг. Бүх боловсруулалт нь EAP төрлөөс хамаарахгүйгээр бүгд ижилхэн.
LEAP
Lightweight Encryption Protocol (LEAP) нь EAP-Cisco-ээр танигдсан ба энэ нь 802.11b утасгүй сүлжээний технологи гарсан үед өргөн хэрэглэгдэж эхэлсэн cisco-ийн authentication арга юм. LEAP нь authentication-д хэрэглэгчийн нэр болон нууц үгийг баталгаажуулат болон ашигладаг ба дамжуулагдаж буй өгөгдлийг шифрлэхдээ dynamic WEP-г ашигладаг. LEAP нь дундын authentication-г дэмждэг гэвч сүүлийн үед хэрэглэгдэхээ больсон ба шалтгаан нь 2003 онд толь бичигний халдлаганд эмзэг байдлыг нь ашиглан довтолсон учраас юм. Үүний эмзэг байдлыг LEAP-ийн хөгжүүлэлтэнд хүчтэй нууц үгийн бодлогыг хэрэгжүүлэх зөвлөмж гарсан ба LEAP-ийн залгамжлагч болох EAP-FAST-д эмзэг байдлыг нь арилгаж хөгжүүлсэн. LEAP нь дараах аргаар боловсруулагддаг.
1.Утасгүй сүлжээтэй ажилладаг утасгүй хэрэглэгч эсвэл supplicant
2.Authenticator нь хүсэлтийг хүлээн аван EAP таних хүсэлттэй хамт хариу илгээдэг
3.Утасгүй хэрэглэгч нь Authentication сервер рүү илгээгдсэн EAP таних хүсэлтийг authenticator руу илгээдэг
4.Хэрэглэгчийн authentication нь Radius сервер дээр хэрэглэгчийн нэр болон нууц үгийг шалгаж баталгаажуулдаг
5.Сервер authentication ажиллаж шифрлэх боловсруулалтанд зориулж session түлхүүрнүүд үүсдэг
Access point болон client холбогдох явцад хэрхэн authentication хийгдэх вэ?
[засварлах | кодоор засварлах]Access point нь тодорхой давтамжтайгаар өөрийн мэдээлэл агуулсан frame цацаж байдаг.
Probes: тухайн цацаж буй утасгүй сүлжээг client олж авах буюу SSID олж авж сүлжээнд холбогдох хүсэлт илгээнэ.
Authentication: 802.11 нь 2 төрлийн authentication хийдэг.
- Null буюу ямар нэгэн password шаардахгүй.
- Key: client болон access point нь хоорондоо түлхүүр үг share хийж тухайн түлхүүр дээр үндэслэж authentication хийдэг. Үүнийг ерөнхийдөө WEP буюу wired Equivalency Protection гэж ойлгож болно.'
Association: client болон AP нь хоорондоо data link үүсгэх ба bit rate options, security хийж холболтоо бүрэн болгож дуусгадаг.