Guruh: 417-18-guruh talabasi Bajardi: Abdijabbarov Humoyunbek Tekshirdi: Toshkent – 2021 Reja: 2

Download 201,46 Kb.

Sana	30.04.2022
Hajmi	201,46 Kb.
	#595192

Bog'liq
Khumoyunbek Abdijabbarov cisco mus ishi

Toshkent – 2021 Reja: 1. 2. 3.

O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI
MUXAMMAD AL-XORAZMIY NOMIDAGI
TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI

Mustaqil ish

Mavzu:

Guruh: 417-18-guruh talabasi
Bajardi: Abdijabbarov Humoyunbek
Tekshirdi:

Toshkent – 2021
Reja:
1.
2.
3.

Har xil kompyuterlar va turli dasturlar tarmoq aloqasi jarayonida birbirlarini tushunish uchun maxsus texnik qoidalar qo`llaniladi. Tarmoq sohasida

bunday qoidalar to`plami protokol (bayonnoma) deb ataladi.

Simsiz tarmoq xavfsizligini ta’minlashda zamonaviy protokollarni ahamiyati

Zamonaviy axborot texnologiyalarining taraqqiyoti kompyuter jinoyatchiligi, konfedensial ma’lumotlarga ruxsatsiz kirish, o‘zgartirish, yo‘qotish kabi salbiy hodisalar bilan birgalikda kuzatilmoqda. Simsiz aloqa tarmoqlari bundan mustasno emas, uning xavfsizligini ta’minlash bo‘yicha ko‘pgina muzokarali qarashlar gobal tarmoq orqali keng tarqalmoqda. Qanday qilib, tarmog‘ingiz xavfsizligini yuqori darajaga ko‘tarish mumkin?

Har qanday tarmoq kirish nuqtasi va simsiz mijoz aloqasi quyidagicha qurilgan:
• Autentifikatsiya — mijoz va kirish nuqtasi bir — birlariga qanday tanishtirilishi va o‘zaro aloqa qilishga huquqini tasdiqlaydi;
• Shifrlash — uzatiluvchi ma’lumotlarda qanday shifrlash algoritmlari qo‘llanilishi, qanday qilib shifrlash kaliti shakllantirilishi va u qachon o‘zgartirilishi.
Simsiz aloqa tarmog‘i ko‘rsatkichlari, birinchi navbatda uning nomi, tarmoq paketlari yordamida bog‘lanish nuqtasi bilan doim aloqada bo‘ladi. Kutilgan xavfsizlik sozlamalaridan tashqari, xohishga ko‘ra bir necha ko‘rsatkichlar uzatilishi mumkin: QoS (xizmat ko‘rsatish sifati) va 802.11n (simsiz aloqa standarti) ma’lumot almashish tezligi hamda boshqa qo‘shnilar haqida axborot beradi. Autentifikatsiya mijozni kirish nuqtasiga o‘zini tanishtirishni aniqlab beradi.
Yuz berishi mumkin bo‘lgan variantlar:
• Open — ochiq tarmoq, barcha ulanuvchi qurilmalar oldindan avtorizatsiya qilingan;
• Shared — ulanuvchi qurilma haqiqiyligi kalit yoki parol bilan tekshirilishi lozim;
• EAP — ulanuvchi qurilma haqiqiyligi tashqi server EAP protokoli bilan tekshirilishi lozim.
Tarmoqning ochiqligi istalgan kishi unda xohlagan ishini qilishi mumkin degani emas. Bunday tarmoqda ma’lumot uzatish uchun qo‘llanilayotgan shifrlash algoritmining mos kelishi va unga mos ravishda to‘g‘ri shifrlangan ulanish o‘rnatilishi zarur.
Shifrlash algoritmlari quyidagicha:
• None — shifrlashning yo‘qligi, ma’lumotlar ochiq holda uzatiladi;
• WEP — RC4 algoritmiga asoslangan turli uzunlikdagi shifr statik yoki dinamik kalit (64 yoki 128 bit);
• CKIP — Cisco’dan WEP protokoli o‘rnini bosa oluvchi, TKIP ning oldingi versiyasi;
• TKIP — WEP protokoli o‘rinini bosa oluvchi yangilangan algoritm, qo‘shimcha tekshirish va himoya bilan ta’minlangan;
• AES/CCMP — mukammalroq algoritm, AES256 algoritmga asoslangan qo‘shimcha tekshirishlar va himoyaga ega.
Open Authentication, No Encryption kombinatsiyasi korxona yoki mehmonxonalarda Internetga ulanish kirish tizimlarida keng qo‘llaniladi. Ulanish uchun faqat simsiz tarmoq nomini bilish yetarli. Odatda bunday ulanish Captive Portal da qo‘shimcha tekshirish bilan birgalikda qo‘llaniladi. Tarmoqqa ulanish uchun foydalanuvchi kirishi HTTP so‘rov orqali qo‘shimcha sahifaga yo‘naltirilishi mumkin. Bu sahifada shaxsni tasdiqlash (login-parol, qoidalar bilan rozilik va boshqalar) amalini amalga oshirish so‘rovini tashkil etish mumkin. WEP shifrlash algoritmini buzish yo‘llari keng tarqalgan, shuning uchun uni ishlatish mumkin emas (hattoki dinamik kalit kiritilgan holat uchun ham).
Keng uchraydigan WPA va WPA2 tushunchalari shifrlash algoritmini (TKIP yoki AES) aniqlab beradi. Anchadan beri foydalanuvchi adapterlari WPA2 (AES) qo‘llay olish imkoniga ega bo‘lganligi sababli TKIP protokolini ishlatish ma’nosizdir. Barcha xavfsizlik ko‘rsatkichlari quyidagi jadvalda keltirilgan.

Agar WPA2 Personal (WPA2 PSK)da ishlash jarayoni tushunarli bo‘lsa, korporativ yechim qo‘shimcha qayta ko‘rib chiqishni talab qiladi.
WPA2 Personal va WPA2 Enterprise o‘rtasidagi farq shundan iboratki, AES algoritmi ishlashida foydalaniladigan shifrlash kalitlarining olinadigan joyidir. Xususiy foydalanish holatlarida (uyda) minimal uzunligi 8 belgidan iborat statik kalit (parol, kod so‘zi) ishlatiladi. Ushbu kalit barcha mijozlarning simsiz tarmoqlariga kirish nuqtasida kiritilishi zarur.
Agar bunday kalit xavfsizligi buzilsa (parolni aytib qo‘yish, ishchi bo‘shab ketganda, noutbuk o‘g‘irlanganda), zudlik bilan barcha mijozlardan parol almashtirishni talab qiladi. Korporativ ko‘rinishda foydalanganda hozirda ishlab turgan har bir ishchilar uchun individual bo‘lgan dinamik kalitdan foydalaniladi. Bu kalit ulanishda uzilish bo‘lmasligi uchun davriy ravishda almashtirilib turishi mumkin. Uning almashishiga qo‘shimcha dasturiy qism — avtorizatsiya serveri yoki ko‘pincha bu RADIUS-serverga yuklanishi mumkin.
1-Rasm. WPA2 Enterprise

Bu yerda qo‘shimcha turli protokollar to‘plami bilan ish olib boramiz. Mijoz tomonida maxsus dasturiy ta’minot qo‘yilgan bo‘lib, supplicant (odatda OT tarkibiy qismi) AAA server avtorizatsiya qismi bilan o‘zaro aloqa qiladi. Quyidagi misolda yengil kirish nuqtasi va kontroller asosida qurilgan unifitsiyalangan radiotarmoq ishi ko‘rsatilgan. «Miyali» kirish nuqtalarini ishlatilgan holatda mijoz va server o‘rtasidagi barcha vazifani kirish nuqtasi o‘ziga olishi mumkin. Bu holatda ma’lumotlar mijoz uzatish qurilmasi orqali 802.1x (EAPOL) protokoliga sifatida shakllantirilgan uzatiladi. Kontroller (qabul qilish qurilmasi)da esa ular RADIUS-paketlarga qayta aylantiriladi.

Tarmog‘ingizda EAP avtorizatsiya mexanizmidan foydalanish mijoz autentifikatsiyadan o‘tgandan so‘ng u mijozdan RADIUS-server infratuzilmasida avtorizatsiyadan o‘tishni talab etadi. WPA2 Enterprise dan foydalanish sizning tarmog‘ingizda RADIUS-serverini talab qiladi. Hozirgi kunda xavfsizlikni ta’minlash qobiliyatiga ko‘ra yuqori turuvchi quyidagi mahsulotlar bor:
• Microsoft Network Policy Server (NPS), oldin foydalanilgan IAS —MMC orqali sozlanadi, bu dastur bepul, ammo qattiq disk sotib olish zarur.
• Cisco Secure Access Control Server (ACS) 4.2, 5.3 veb-interfeys orqali sozlanadi, funksiyalari ko‘paytirilgan, taqsimlangan chidamli tizimlarni yaratish imkonini beradi, narxi qimmat.
• FreeRADIUS — bepul, matn sozlamalari orqali sozlanadi, boshqarishda va monitoringda qulay.
Bunda kontroller axborot almashishi jarayonini diqqat bilan kuzatib boradi va avtorizatsiyadan o‘tishni yoki undagi xatolikni kutadi. RADIUS-server muvaffaqiyatli o‘tishdan so‘ng RADIUS-serverga kirish nuqtasiga qo‘shimcha ko‘rsatkichlarni (abonentni qaysi tarmoqqa ulash, unga qanday IP-manzil berish, QoS darajasi) berish mumkin. Uzatish to‘xtagandan so‘ng RADIUS-server mijoz va kirish nuqtasiga shifrlash kalitlarini yaratish va almashtirishga yordam beradi.

Simsiz tarmoqlar xavfsizligi protokollari. Himoyalangan ulanishlar protokoli — Secure Sockets Layer (SSL) Internet brauzerlarining xavfsizligi muammosini yechish uchun yaratilgan. SSL taklif etgan birinchi brauzer —Netscape Navigator tijorat tranzaksiyalari uchun Internet tarmog`ini xavfsiz qildi, natijada ma’lumotlarni uzatish uchun xavfsiz kanal paydo bo‘ldi. SSL protokoli shaffof, ya’ni ma’lumotlar tayinlangan joyga shifrlash va ras-shifrovka qilish jarayonida o‘zgarmasdan keladi. SHu sababli, SSL ko‘pgina ilovalar uchun ishlatilishi mumkin.

SSL o‘zidan keyingi TLS (Transport Layer Security - transport sathi himoyasi protokoli) bilan Internetda keng tarqalgan xavfsizlik protokolidir. Netscape kompaniyasi tomonidan 1994 yili tatbiq etilgan SSL/TLS hozirda har bir brauzerga va elektron pochtaning ko‘pgina dasturlariga o‘rnatiladi. SSL/TLS xavfsizlikning boshqa protokollari, masalan, Private Communication Technology
(PCT — xususiy kommunikatsiya texnologiyasi), Secure Transport Layer Protocol (STLP-xavfsiz sathning transport protokoli) va Wireless Transport Layer Security (WTLS — simsiz muhitda transport sathini himoyalash protokoli) uchun asos vazifasini o‘tadi.
SSL/TLSning asosiy vazifasi tarmoq trafigini yoki gipermatnni uzatish protokoli HTTPni himoyalashdir. SSL/TLS aloqa jarayonining asosida yotadi. Oddiy HTTP-kommunikatsiyalarda TCP-ulanish o‘rnatiladi, xujjat xususida so‘rov yuboriladi, so‘ngra xujjatning o‘zi yuboriladi. SSL/TLS ulanishlarni autentifikatsiyalash va shifrlash uchun ishlatiladi. Bu jarayonlarda simmetrik va asimmetrik algoritmlarga asoslangan turli texnologiya -lar kombinatsiyalari ishtirok etadi. SSL/TLSda mijozni va serverni identifikatsiyalash mavjud, ammo aksariyat hollarda server autentifikatsiyalanadi. SSL/TLS turli tarmoq kommunikatsiyalar xavfsizligini ta’minlashi mumkin. Protokolning juda keng tarqalishi elektron pochta, yangiliklar, Telnet va FTP (File Transfer Protocol — fayllarni uzatish protokoli) kabi mashxur TCPkommunikatsiyalar bilan bog`liq. Aksariyat hollarda SSL/TLS yordamida kommunikatsiya uchun alohida portlar ishlatiladi. TLS va uning oldingi versiyasi SSL kriptografik protokollar bo`lib, internet tarmog`ida uzellar aro berilganlarni uzatishda himoyalashni ta’minlaydi. TLS va SSL autentifikatsiyalash uchun asimmetrik kriptografiyadan ishonchlilikni ta’minlash uchun ularni autentifik kodlaridan foydalanadi.Berilgan protokol internet tarmog`i bilan ishlashda ilovalardan keng foydalanadi. Masalan, veb – brovzerlarda elektron pochtalar bilan ishlashda, IP –telefonlarda va ko`p ma’lumot almashishda foydalaniladi.TLS - protokoli Netscape Communications kompaniyasi tomonidan ishlab chiqilgan SSL 3.0 versiyasi spesifikatsiyasiga asoslangan.
Havfsizlik. Protokolning oldingi versiyalarni pasayishini yoki shifrlash algoritmini ishonchlikini kamayishinidan himoyalash

Ilovalardagi ketma – ket yozuvlarni nomerlash va ma`lumotlarni autintifikatsiyasi (MAC) kodidagi tartib nomeridan foydalanish.

Ma`lumotlarning identifikatoridagi kalitdan foydalanish ( faqat egasigina ma`lum bo`lgan kalit orqali ma`lumotlar autintifikatsiyasi kodini tekshirish mumkin) xesh – ma`lumotlarning identifikatsiya kodi bo`lib, RFC 2104 da aniqlangan TLS shifrlar to`plamidagi ko`pgina shifrlarda foydalaniladi.
Barcha ma`lumotlar xeshlardan iborat bo`lib, bog`lanishlarni tasdiqlash bilan yakunlanadi bunda bog`lanishlarni tasdiqlash davomida tomonlar alamashadi.
Psivdotasodifiy funksiyalari 2 qismga bo`linadi va har biri turli xesh funksiyalarda qayta ishlanadi, shuningdek ma`lumotlarning autintifikatsiyasilarini yaratishda olingan o`ramlar uchun XOR hisoblanadi.
Bu esa xesh funksiyalardan birida bo`ladigan zaifliklar himoyasini taminlaydi. TLS 1.0 protokolining zaifligi 2011- yil sentabrda Ekoparty konferensiyasida nazariy jihatdan ko`rsatildi. Namoyish foydalanuvchilarning autintifikatsiyasiuchun ishlatiladigan cookieslar deshifrini o`z ichiga oladi.
EAP protokolining o‘zi konteyner hisoblanadi, ya’ni, avtorizatsiyadan o‘tish mexanizmi to‘liqligicha ichki protokollar hisobidan amalga oshadi.
Hozirgi kunda keng foydalanishga quyidagilar tatbiq qilingan:

2-Rasm. EAP avtorizatsiya protokoli

• EAR-FAST http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol — EAP-FAST (Flexible Authentication via Secure Tunneling) — Cisco tashkiloti tomonidan yaratilgan; Foydalanuvchi va RADIUS-server o‘rtasida TLS tunneli ichida uzatiladigan login va parol orqali avtorizatsiya o‘tkazishni imkonini beradi;
• EAR-TLS (Transport Layer Security). Sertifikatlar orqali mijoz va server (foydalanuvchi va RADIUS-server) avtorizatsiyasi uchun ochiq kalitlar (PKI) infratuzilmasidan foydalanadi. Har bir simsiz aloqa qurilmasiga mijoz sertifikatini yozish va o‘rnatishni talab qiladi, shuning uchun, faqat boshqariluvchi koorporativ muxit uchun mos keladi. Agar mijoz — domen a’zosi bo‘lsa, Windows sertifikatlar serveri mijozga mustaqil ravishda sertifikat yaratish imkonini beruvchi vositalarga ega. Mijozni yopib qo‘yish uning sertifikatini bekor qilish (qayd yozuvini bekor) orqali amalga oshiriladi.
• EAR-TTLS (Tunneled Transport Layer Security) EAP-TLS protokoliga o‘xshash, lekin tennulni yaratishda mijoz sertifikati talab qilinmaydi. Bunday tunnelda brauzer SSL-ulanishiga o‘xshash qo‘shimcha avtorizatsiyani amalga oshiriladi.
• PEAP-MSCHAPv2 http://en.wikipedia.org/wiki/Protected_Extensible_ Authentication_Protocol — PEAPv0_ with_EAP-MSCHAPv2 (Protected EAP) — EAP-TTLS protokoliga server sertifikatini talab qiluvchi mijoz va server o‘rtasida shifrlangan TLS protokoliga o‘xshash tunnelini o‘rnatish bosqichi bilan bir xil.
• PEAP-GTC (Generic Token Card) — Protected EAP protokoliga o‘xshash, ammo bir martalik parollarda foydalanishni talab qiladi.
Yuqoridagi barcha usullar (EAP-FAST protokolidan tashqari) tasdiqlash markazi tomonidan berilgan server sertifikatini (RADIUS-serverda) bo‘lishini talab qiladi. Bu holatda tasdiqlash markazi sertifikati mijoz qurilmasida ro‘yxatdan o‘tgan bo‘lishi kerak.
Qo‘shimcha sifatida EAP-TLS individual mijoz sertifakatini ham talab qiladi. Mijozning haqiqiyligini tekshirish raqamli imzo va mijoz tomonidan taqdim etilgan RADIUS-server sertifikatini PKI-infratuzilmasidan (Active Directory) olganligini taqqoslash orqali tekshiriladi.
EAP protokollaridan ixtiyoriy bittasini qo‘llash tarmoq ma’muri tomonidan bajarilishi zarur. Windows XPGVistaG7, iOS, Android OTga o‘rnatilgan standartlar kamida EAP-TLS va EAP-MSCHAPv2 protokollarini ishlata oladi. Windows osti Intel mijoz adarterlarini ProSet utilitasini (mavjud ro‘yxatni kengaytira oluvchi) taqdim etadi. Buni Cisco Any Connect Client amalga oshiradi. Open Authentication va No Encryption uchun hech narsa kerak emas, tarmoqqa ulanishni o‘zi kifoya. Radio muhit ochiqligi sababli signal barcha yo‘nalishlarda tarqaladi va uni to‘sib qolish qiyin masala. Ulanishga qo‘shilish mumkinligi mos mijoz adapterlari tufayli tarmoq trafigi hujum qiluvchiga o‘zini xuddi simli aloqa tarmog‘ida, NUV da, SPAN-port kommutatoridagidek xis qiladi. WEP protokoliga asoslangan shifrlash uchun TKIP yoki AES asoslangan shifrlash uchun to‘g‘ridan — to‘g‘ri deshifrlash nazariyada iloji bor, ammo amaliyotda buzish xolati uchramagan. Albatta, PSK kalit uchun yoki EAP protokolidan biriga parol tanlashni sinab ko‘rish mumkin. Berilgan hujumlarning qo‘llanilishi noma’lum. Bu jarayonda ijtimoiy injeneriya yoki kriptoanaliz usullaridan foydalanish mumkin.

EAP-FAST, EAP-TTLS, PEAP-MSCHAPv2 protokollari bilan himoyalangan tarmoqlarga kirishni amalga oshirish faqat foydalanuvchi login-parolini bilgan holda amalga oshirish mumkin. Parol terishga o‘xshash yoki MSCHAP kamchiligiga yo‘naltirilgan hujumlarnig ham ilofji yo‘q yoki EAP protokolining kanali «mijoz — server» shifrlangan tunnel bilan himoyalangan. Yopiq EAP-TLS tarmog‘iga kirish foydalanuvchi sertifikatini (yashirin kalit bilan) o‘g‘irlaganda yoki soxta sertifikat orqali amalga oshirilishi mumkin. Bunday xolat faqat tasdiqlash markazini buzgandan so‘nggina iloji bor. Kuchli kompaniyalarda bu markazlarni eng qimmat AT-manbasi sifatida asrashadi.

Modomiki, yuqorida sanab o‘tilgan usullar (PEAP-GTC dan tashqari) parollar va sertifikatlarni saqlash imkonini beradi. Mobil qurilmani o‘g‘irlanganda hujum qiluvchi tarmoq tomonidan barcha huquqlarga so‘zsiz ega bo‘ladi. Xavfdan himoyalanish chorasi sifatida qattiq diskni to‘liq shifrlash va qo‘rilmani yoqilganda parol so‘rovini qo‘yish orqali ta’minlash mumkin. Xulosa qilib, shuni aytish mumkinki simsiz tarmoqni to‘g‘ri va xatosiz loyihalashtirish, tarmoqni himoyalanganlik darajasini oshirish imkoniyatini beradi. Bunday tarmoqni buzish vositalari (chegaralangan darajada) mavjud emas.

Download 201,46 Kb.

Do'stlaringiz bilan baham: