Ақпараттық Технологиялар Факультеті

6. 
   Қайталағыш
   

Сымсыз желілер кабельдіктен ашық жүйенің жеті деңгейлік моделінің алғашқы екі – физикалық және арналық (МАС) деңгейлерімен еркшеленеді. Жоғарғы деңгейлер сымды желілерде жүзеге аысрылады, ал желінің нақты қауіпсіздігін қамтамасыз ететін осы деңгейлер болып табылады. Сондықтан осы немесе басқа желілердің қауіпсіздігінің айырмашылықтары физикалық және МАС деңгейлерінің қауіпсіздігіне байланысты болып келеді.

Қазіргі таңда Wi-Fi желісін қорғау үшін аутентификацияның, мәліметтерді шифрлеу және оларды жіберудегі бүтіндігін қадағалаудың қиын алгоритмдік математикалық модельдері пайдаланылады. Егер желіні баптауға қажетті назар аударылмаса, онда қаскүнем келесілерге қол жеткізе алады:

• 
  Wi-Fi желісінің пайдаланушысының дисктері мен ресурстарына, ал одан LAN ресурстарына да рұқсат алауы мүмкін;
  
• 
  Трафикті тыңдап, одан жасырын ақпаратты алады;
  
• 
  Желідегі өтіп жатқан ақпаратты бұрмалайды;
  
• 
  Интернет-трафикті рұқсатсыз пайдаланады;
  
• 
  ДК пайдаланушылары мен желі серверлеріне шабуыл жасайды;
  
• 
  Жалған рұқсат нүктелерін шығарады;
  
• 
  Спам таратады және сіздің желіңіздің атынан құқыққа қарсы іс-әрекеттер жасайды.
  

Wi-Fi желісін пайдаланудың алғашқы кезеңінде жергілікті желіге рұқсат үшін SSID (Server Set ID) паролі пайдаланылды, бірақ уақыт өте келе бұл технология сенімді қорғанысты қамтамасыз ете алмайтын болып шықты.

Ұзақ уақыт бойы басты қорғаныс Wired Equivalent Privacy (WEP) функциясының көмегімен мәліметтер легін шифрлейтін цифрлық кілттер пайдалану болып табылды. Кілттер ұзындығы ASCII-дің 5-тен 13-ке дейін символдардан тұратын қарапайым парольдер болып келеді. Мәліметтер 40 тан 104 битке дейінгі разрядты кілттермен шифрленеді. Бірақ бұл толық кілт емес, тек оның статистикалық құрамасы. Қорғанысты күшейту үшін әртүрлі мәліметтер пакеттеріне арналған шифрлеудің түрлі вариацияларын қамтамасыз ететін кілттің қосымша бөлігін рандомазациялауға тағайындалған инициализация векторы Initialization Vector (IV) пайдаланылады. Берілген вектор 24 битті болып табылады. Осылайша, нәтижесінде біз 64(40+24) тен 128(104+24) битке дейін разрядты жалпы шифрлеуді аламыз, шифрлеу нәтижесінде тұрақты және кездейсоқ таңдалған символдарға сүйенеміз. Бірақ бұл қорғанысты бұзу үшін Интернетте бар сәйкес утилиттермен (мысалы, AirSnort, WEPcrack) бұзуға болатыны анықталды. Оның негізгі осал жері – бұл инициализация векторы. Біз 24 бит туралы айтқандықтан, мұнда 16 миллион комбинация деген сөз, осы санды қолдланғаннан кейін кілт қайталана береді. Хекер осы қайталануларды табуы қажет (40 бит кілт үшін 15 минуттан бір сағатқа дейін уақыт), сонда секунд ішінде кілттің қалған бөлігін де бұза алады. Осыдан кейін ол желіге тіркелеген пайдаланушы ретінде кіре алады.

Уақыт көрсеткендей, WEP те қорғаныстың сенімді емес технологиясы болып шықты. 2001 жылдан кейін сымды және сымсыз желілер үшін IEEE 802.1X жаңа стандарты шықты, ол динамикалық 128-разрядты шифрлеу кілтінің нұсқаларын пайдаланады, яғни уақыт бойынша периодты өзгеретіндер. Осылайша, пайдаланушылар желіде сеанстармен жұмыс жасайды, аяқталған соң оларға жаңа кілт жіберіледі. Мысалы, Windows XP берілген стандартт қолдайды және үнсіздік бойынша бір сеанс 30 минутқа тең. IEEE 802.1X – бұл сымсыз желінің толығымен индустриясының дамуы үшін кілт болып табылатын жаңа стандарт. Негізіне 802.11-де қолданылатын қауіпсіздік технологияларының кемшіліктерін түзету алынған, соның ішінде WEP бұзу мүмкіндігі, өндірушілер технологиясына тәуелділік және т.с.с. 802.1X желіге сымысз байланысты пайдалы қолданатын PDA-құрылғыларын да қосуға мүкіндік береді. Бір жағынан 802.1X және 802.11 үйлесімді стандарттар болып табылады. 802.1X-та дәл сол WEP, RC-4 кейбір артықшылықтары бар алгоритмдер пайдаланады. 802.1X кеңейтілген аутентификация хаттамасына (EAP), көліктік деңгейді қорғау хаттамасына (TLS) және рұқсат серверіне Remote Access Dial-in User Server негізделеді. Көліктік деңгейді қорғау хаттамасы TLS өзара аутентификация мен мәліметтерді жіберудің бүтіндігін қамтамасыз етеді. Барлық кілттер үнсіздік бойынша 128-разрядты болып келеді.

2003 жылдың аяғында уақытша кілт интеграциясының хаттамасын TKIP кеңейтілген аутентификация хаттамасымен (EAP) және хабарламалардың бүтіндігін тексеру технологиясымен MIC кодтаумен IEEE 802.1X кілттерін динамикалық жаңартумен ерекшеленетін Wi-Fi Protected Access (WPA) стандарты шықты. WPA – бұл құрылғыларды өндірушілер келісімімен IEEE 802.11i жүзеге асқанға дейінгі шыққан уақытша стандарт. WPA = 802.1X + EAP + TKIP + MIC, мұндағы:

• 
  WPA – сымсыз желілерге қорғалған рұқсат технологиясы;
  
• 
  EAP – кеңейтілген аутентификация хаттамасы (Extensible Authentication Protocol);
  
• 
  TKIP – уақытша кілтті интеграциялау хаттамасы (Temporal Key Integrity Protocol);
  
• 
  MIC – хабарлама бүтіндігін тексеру технологиясы (Message Integrity Check).
  

Сонымен бірге, әртүрлі өндірушілердің шығарған жеке қорғаныс стандарттары да параллельді дамып жатыр, дәл осы бағытта Intel мен Cisco үлкен жетістіктерге жетуде. 2004 жылы қазіргі уақыттағы максималды қорғанысты қамтамсыз ететін WPA2 немесе 802.11i пайда болды.

Осылайша, қазіргі таңда қарапайым пайдаланушылар мен желі администраторларының Wi-Fi сенімді қорғанысыс үшін қажетті барлық құралдары бар және қателіктер (адамдық фактор әсері) болмаған жағдайда желідегі ақпарат бағалылығына сәйкес қауіпсіздік деңгейін қамтамасыз етуге болады.

Қазірде егер қауіпсіздік жүйесінің негізгі үш құрамасы функцияланатын болса, яғни пайдаланушы аутентификациясы, жіберілетін ақпараттың бүтіндігі мен жасырындылығы қамтамасыз етілсе, сымсыз желіні қорғалған деп санайды. Қажетті қорғаныс деңгейіне жету үшін жеке Wi-Fi желісін баптауды ұйымдастыру кезінде ережелер тізбегін пайдалану міндетті:

• 
  Мәліметтерді әртүрлі жүйелердің көмегімен шифрлеу. Максималды қорғаныс деңгейіне VPN-ді қолдану арқылы жетуге болады;
  
• 
  802.1Х хаттамасын пайдалану керек;
  
• 
  Сымсыз қосылудың көмегімен рұқсат нүктелерін баптауға рұқсатты шектеу;
  
• 
  МАС-адрестер бойынша клиенттердің рұқсатын басқару;
  
• 
  SSID идентификаторының эфирге трансляциялануын шектеу;
  
• 
  Антендерді терезелерден, ғимараттардың сыртқы қабырғаларынан мүмкіндігінше алыс жерге орнату, сонымен қатар радио сәулелену қуатын шектеу;
  
• 
  Максималды ұзындықты кілттер пайдалану;
  
• 
  Статистикалық кілттер мен парольдерді ауыстыру;
  
• 
  “Shared Key” WEP-аутентификация тәсілін пайдалану, себебі клиенттің желіге кіруі үшін WEP-кілтті білуі міндетті;
  
• 
  Рұқсат нүктесінің баптауы үшін қиын парольдер пайдалану;
  
• 
  Сымсыз желілерде мүмкіндік бойынша жалпы рұқсатты принтерлері, файлдары және қаптама ұйымдастыру үшін TCP/IP хаттамасын пайдаланбаған жөн. Берілген жағдайда NetBEUI құралдарымен бөлінетін ресурстарды ұйымдастыру қауіпсіздірек болып келеді;
  
• 
  Жалпы рұқсат ресурстарына қонақтық рұқсат бермеу және ұзын, қиын пароль пайдалану керек.
  
• 
  Сымсыз желіде DHCP қолданбау керек. Легитимді клиенттер арасында статистикалық IP-адрестерді қолмен қою керек қауіпсіз;
  
• 
  Сымсыз желі ішіндегі барлық дербес компьютерлерге файерволлдар орнату керек, ал брандмауэрден тыс рұқсат нүктесін орнатуға болмайды және хаттамалар ішінде WLAN аз пайдаланған жөн (мысалы, тек HTTP және SMTP);
  
• 
  Желінің осалдығын арнайы қауіпсіздіктің сканерлерінің көмегімен жиі тексеріп отыру керек;
  
• 
  Арнайы желілік операциялық жүйелерді пайдалану қажет. Мысалы, Windows NT, Windows 2003, Windows XP және Windows Vista.