Кіріспе......................................................................................................................3

1 - бөлім

1. IPsec..........................................................................................................4

2. Брандмауэрлер..................................................................................9

3. Сымсыз желілердің қауіпсіздігі........................................................12

4. 802.11 желісіндегі қауіпсіздік...........................................................14

5. Bluetooth жүйелеріндегі қауіпсіздік.................................................16

6. WAP 2.0 қауіпсіздігі.........................................................................17

2 – бөлім

1. Жалпы жасырынды кілтке негізделген аутентификация................17

2. Кілттерді тарату орталығы арқылы аутентификация....................22

3. Kerberos протоколы көмегі арқылы аутентификация....................26

Қорытынды...........................................................................................................29

Қолданылған әдебиеттер.....................................................................................30

1. Ipsec протоколының қауіпсіздігі

Көптеген жылдар бойы IETF проблемалы топтары интернетте өзінің қауіпсіздігінің жоқтығына шыдап жүрді. Қауіпсіздікпен қамтамасыз ету оңайға түскен жоқ.өйткені Интер-неттің дәл қай бөлігін қорғау керек екені туралы талас жүрді. Қамтамасыз ету жөніндегі эксперттердің көбі сенімділік жүйесі мәліметтер бүтіндігінің толассыз шифрациясын және мәліметтер бүтіндігінің толассыз қамсыздандырылуын орындау керек деген сенімде(яғни, осының бәрі қолданбалы деңгейде орындалу керек ). Ол мынаны білдіреді, шығыс-процесі мәліметтер бүтіндігін шифрлейді және/немесе оған қорғаныш қояды және оны осыған сәйкес берілгендерді дешифрлейтін және оны бүтіндікке тексеретін алу- процесіне жібереді. Сонда кез-келген бұзу талпыныстарын көруге болады. Осындай ыңғайдың кемшілігі мынада, яғни оның барлық үсемелерін қауіпсіздікпен қамтамасыздандыру керек. Яғни, шифрацияны транс-порттық деңгейге “түсіру” керек немесе қолданбалы және транспорттық деңгейлер арасына жаңа әдейіленген деңгей бөлігін ұйымдастыру керек дегенді білдіреді. Ол деңгей бөлігі то-лассыз болу керек, бірақ сол кезде үсемелерге өзгерістерді енгізуді талап етпеу керек.

Қарама-қарсы көзқарасқа келетін болсақ, бұл жерде қолданушылар қауіпсіздік шараларын қолдану керек екендігін сезінбейді және олар осы берілген мүмкіндіктердің барлығын қалай-ша дұрыс қолдана алмайды. Сонымен қатар ешкім қандай да бір әдіспен бар программаларды өзгерткісі келмейді, сондықтан желілік деңгей қолданушыға білдірмей дұрыстыққа тексеруді және мәлімдемелерді шифрлеуді орындау керек. Көптеген шайқасу жылдары осы көзқарас-тың жеңісіне әкелді: желілік деңгейге бағдарланған қауіпсіздік стандарт үлгісі жасалды. Дә-лелдемелердің бірі ол желілік деңгейде шифрлеу, ол бір жағынан, қауіпсіздікке байыппен қа-райтын қолданушыларға кедергі келтірмейді, және екінші жағынан – аңқау қолданушыларды қорғап қалады.

Осы барлық пікірталастардың нәтижесі –ол IPsec стандартының құрылуы, ол RFC 2401, 2402, 2406 және т.б. сипатталған. Қолданушылардың барлығына бірігудің шифрациясы талап етілмейді. Бірақ, шифрацияны міндетті емес етудің орнына, қолданушыға қажеттілік жағ-дайда бос алгоритмді таңдау ұсынылады. RFC 2410- да бос алгоритмнің жетістіктері қарапа-йым, оңай орындалатын және тез жылдамдығымен сипатталады.

IPsec көптеген қызметшілерге, алгоритмдерге және модульдерге тірек болып келеді. Көпте-ген қызметтердің бар болу себебінен, көбісі әр уақытта корсетілген қызмет үшін төлегілері келмейді, сондықтан керекті сервистер бөліктеп беріледі. Негізгі қызметтер мынадай: құпия-лылық, мәліметтер бүтіндігі, мәліметтердің қайталану әдісімен бұзылудан қорғаныш. Осының барлығы симметриялық кілттердің криптографиясына негізделген, өйткені бұл жерде жоғары өнімділіктің қиын кезеңі кездеседі.

Алгоритмдердің бүтін жиынтығы не үшін керек ? Өйткені, бүгінгі сенімді деп есептелетін алгоритм ертең бұзылуы мүмкін. Егер IPsec-ті белгілі бір алгоритмнен тәуелсіз етіп жасаса, онда стандарт бір алгоритмнің бұзылу жағдайында да бұзылмайды.

Әр түрлі модульдер не үшін қажет ? Ол бір ғана TCP- қосылуын қорғау үшін, және жұп хосттар арасындағы және қорғалған жұп хосттар арасындағы барлық трафиктерді қорғау үшін қолданылады, және т.б.

IP деңгейінде IPsec-тің қатысуына қарамастан, Ipsec-тің қосылуға бағдарлануы біршама таңқаларлық.. Негізінде ол таңқаларлық жағдай емес. Өйткені, қорғанысты тек қана кілтті құ-ру арқылы қамтамасыз етуге болады және оны белгілі бір уақыт аралығында қолдануға бо-лады. Ал ол істің мағынасына келгенде, қосылудың әр түрлілігінде. Осыған орай, барлық қо-сылулар өздерінің орнатулары үшін кеткен шығындарды көп мөлшерде берілген пакеттер есебінде өшіреді. IPsec контекстіндегі “қосылу”(соединение) қорғалған байланыс деп аталады. Қорғалған байланыс дегеніміз—ол арнайы идентификатор жалғанған екі ақырғы нүктелер арасындағы симплекстік қосылу. Егер екі бағытта да қорғалған берілгендер берілімі талап етілсе, онда екі қорғалған байланыс керек етіледі. Қорғаныс идентификаторлары осы сенімді қосы-луға сәйкес жүретін пакеттерде беріледі, және қорғалған пакеттер келгеннен кейін кілттерді іздеу үшін және негізгі ақпараттарды алу үшін қолданылады.

Техникалық жағынан Ipsec екі бөлімнен тұрады. Біріншісі екі жаңа бастаманы сипаттайды, оларды пакеттерге қорғаныш идентификаторларының берілуін қосуға болады. Ал екінші бөлімі –ISAKMP (Internet Security and Key Management Protocol—интернет-қауіпсіздігі және кілттерді басқару протоколы ), кілттерді жасау үшін арналған. Біз ISAKMP-тің құрылысына тоқталмаймыз, өйткені, біріншіден ол өте күрделі, ал екіншіден, негізгі протокол IKE (Inter-net Keys Exchange—интернетте кілттермен ауысу) дұрыс жұмыс жасамайды және ауысты-руды міндет етеді.

IPsec екі режимде жұмыс істейді. Транспорттық режимде IPsec бастауы бірден IP бастау-ларынан кейін қойылады. Protocol өрісі IP бастауы ал одан кейін IPsec бастауы болатындығы түсінікті болатындай етіп өзгереді. IPsec бастауында ақпарат болады, ол қауіпсіздікке қатыс-ты – көбінесе байланысты қорғайтын идентификатор, жаңа реттік номер,және мүмкін жағдай-да, тиімді жүктеменің бүтіндігін тексеру.

Туннельдік режимінде барлық IP пакеті өзінің бастауымен жаңа IP пакетінің ішіне мүлдем жаңа бастауымен қойылады. Осы режим тек қана туннель ақырғы пункттен тыс жерде ғана біткенде жақсы. Кейбір жағдайларда туннельдің ақыры шлюз болып келеді, ол қауңпсіздікті қамтамасыз етеді, мысалы, корпоративті брадмаэур. Бұл режимде брадмаэур өзі арқылы әр түрлі бағытта өтетін пакеттерді қояды және шығарады. Осындай ұйымдастықта ЛВС компан-иясының машиналары Ipsec стандарты бойынша кепілді қызмет көрсетіледі. Ол туралы мүл-дем абыржуға болмайды: барлық уайымды брадмаэур өзіне алады.

Тағы да туннельдік режимнің пайдасына келетін болсақ, ол бірнеше ТСР-қосылулары бірі-гіп және бірегей шифрлік ағым бойынша өңделсе, осындай жағдайда бұзушы кім және кімге қандай мөлшерде пакет беретінін біле алмайды. Ал кей жағдайда біреудің біреуге берген тра-фик көлнмі құндв ақпарат болып келеді.

Өтетін пакеттер ағымының құрылымын оқып білу трафиктік анализ деп аталады. Егер туннельдеу қолданылса, онда мұндай анализ өте күрделі болып келеді. Туннельдік режимнің кемшілігі мынада: IP пакеттердің бастауларын кеңейту керек, осыдан пакеттердің суммалық өлшемі көп өседі. Ал транспорттық режимде пакеттердің өлшемі көп өзгермейді.

Жаңа бастаулардың алғашқысы идентификация бастауы (AH – Authentication Header) деп аталады. Оның көмегі арқылы мәліметтер бүтіндігін тексеруге және берілудің қайталану әдісі арқылы қорғауға болады. Алайда оның құпиялылыққа ешқандай қатысы жоқ. АН-ті транс-порттық режимде қолдану 8.23 суретінде көрсетілген. IPv4 стандартында ол IP(барлық мін-детті емес өрістермен қоса ) бастауы және ТСР бастауы арасына орналасқан. IРv6-да ол әлі қа-рапайым қосымша бастау. Ол солай-ақ қабылданады. АН форматы IРv6 қосымша бастау форматына шынымен де жақын. Кейде тиімді жүктемеге белгілі бір ұзындықты алу үшін тол-тыруларды қосады, ол алгоритм идентификациясына қажет. Ол суретте көрсетілген.

8.23- сурет. IPv4 үшін IPsec идентификациясының транспорттық режимдегі бастауы.

АН бастауын қарастырайық. Келесі бастау өрісі мына мағынаны білдіреді: Протокол өріс-інде IP бастауы 51-ге алмастырылды, одан кейін АН бастауы келетінін көрсету үшін. Әдетте бұл жерде ТСР(6) үшін код кездеседі. Тиімді жүктеменің ұзындығы өрісі АН минус 2 баста-уының 32-разрядты сөзінің мөлшерін сақтайды.

Қауіпсіздік параметрлерінің көрсеткіші өрісі – ол идентификатор қосылуы. Ол жіберуші-мен қойылады және алушының белгілі бір мәліметтер базасының жазбасына жіберіледі. Бұл жазбада жалпы кілт пен берілген қосылудың басқа ақпараты бар. Егерде осы протокол IETF емес, ITU арқылы ойлап табылған болғанда ол Виртуальды каналдың номері деп аталатын еді.

Реттік номер өрісі барлық пакеттерді номерлеу үшін қолданылады, ол пакеттер қорғалған байланыс арқылы жіберілген. Барлық пакеттер қайталанып жіберілсе де, өте сирек кездесетін номерлерді алады. Яғни, қайталанып жіберілетін пакеттің өзінің номері бар,ол оригиналь па-кеттің номерінен өзгеше (ТСР-ның реттік номері бірдей болса да). Бұл өріс бұзылудың қайта-ланып берілу әдісі арқылы болдырмауы үшін қызмет етеді. Реттік номерлер ешқашанда қай-таланбайды. Егерде 2(32) номерлерінің барлығы қолданылып қойылса, онда жалғастыру үшін жаңадан қорғайтын байланыс орнатылады.

Берілгендер идентификациясының ұзындығының айнымалы өрісі цифрлық жазбалардан тұ-рады, ол тиімді жүктемеге қатысты есептеледі. Қорғалатын байланысты орнатқан кезде екі жақ алгоритм жазбасының генерациясының қолданылуы туралы келіседі. Көбінесе, бұл жағдайда ашық кілттермен шифрлеу қолданылмайды, өйткені, барлық осы типтегі алгоритмдер һте жай жқмыс жасайды, ал пакеттерді өте үлкен жылдамдықпен өңдеу керек. IPsec протоколы симметриялық кілттермен шифрлеуге бейімделген, сондықтан қорғалған байланыстс орнатар алдында жіберуші және алушы жазбаларды есептеген кезде қолданыла-тын жалпы кілттің мағынасы туралы келісу керек. Қарапайым әдістердің бірі ол пакеттер үшін және жалпы кілт үшін хэш-функцияны есептеп шығару. Осыған сәйкес схема HMAC (Hashed Message Authentication Code-- хэштерленген мәлімдеменің идентификация коды) деп аталады. Осы кодтың есептелуі SHA-1 және RSA-ның тізбекті жіберілуінен анағұрлым тез орындалады

АН бастауы мәліметтерді шифрлеткізбейді. Оның негізгі пайдасы мынада: бүтіндікке тек-серген кезде маңызды, бірақ ол құпиялылықты керек етпейді. Мына мәселені айта кету керек, АН арқылы бүтіндікке тексерген кезде IP бастауының кейбір өрістері қамтиды, көбінесе пакеттың маршрутизатордан маршрутизаторға өткенде өзгермейтіндері. Мысалы, Өмірдің уа-қыты өрісі әрбір салып жіберуде маршрутизатор арқылы өзгереді, сондықтан оны бүтіндікке тексерген кезде қамту мүмкін емес. Алайда, IP-адрес көзі қамтылады, сонымен қарақшы ар-қылы оны алмастыру мүмкін емес болады.

Ipsec бастауына ESP (Encapsulation Security Payload – инкапсулиренген қорғалған тиімді жүктеме) бастауы қарама- қарсы қызмет етеді. 8.24- суретінде көрсетілгендей осы бастау транспорттықрежимде де, туннельдік режимде де қолданылады.

8.24- сурет. (а) ESP транспорттық режимде; (б) ESP туннельдік режимде.

ESP бастауы 32- разрядты сөзден тұрады: Қауіпсіздік айнымалының көрсеткішінен және Реттік номерден. Біз оларды АН бастауында кездестіргенбіз. Осылардан кейін келетін үшін-ші сөз, алайда ол техникалық жағынан бастаудың бөлігі емес, -- ол Инициализация Векторы (егерде бос алгоритм шифрленуі қолданылмаса, осы өріс жіберіледі).

ESP АН сияқты НМАС көмегі арқылы бүтіндікке тексерумен қамтамасыз етеді, алайда осының орнына хэшті бастауға қосу үшін, оны өріске тиімді жүктемеден кейін қояды(нго вставляют после поля полезной нагрузки). Ол 8.24- суретінде көрініп тұр. Мұндай өрістердің орналасуын әдістің жасалуы кезіндегі аппа-раттық басымдылық береді. Ол мынада түйінделеді, НМАС тиімді жүктемелердің биті желі бойынша берілген кезде санала алады және оларға соңында қосыла алады. Сондықтанда Ethernet- те және локальді желілердің стандарттарының циклдық бақылаудың артықшылдығы басына емес, соңына қойылады. АН бастауын қолданған кезде пакетті буферлеу керек және жазбаларды есептеу керек, тек содан кейін оны жіберуге болады. Ол потенциальді түрде па-кеттер санының азаюына әкеледі, оларды уақыт бірлігіне беруге болады.

Былай қарасақ, егерде ESP АН сияқты бәрін істей алатын болса, тіпті одан да көп нәрсені жасаса, сонымен қатар ол біраз нәтижелілеу болса, онда АН-пен қиналудың не қажеті бар? Оның себептері көбінесе тарихи болып келеді. Әуелде АН бастауы тек бүтіндікке тексерумен қамтамасыз етті., ал ESP – тек құпиялылықпен. Соңынан ESP-ді бүтіндікке тексеруді үйретті, бірақ АН шығарушылары оны осындай көп жұмыстан кейін бос қалдырғысы келген жоқ. АН-тің пайдасына тек жалғыз бір ғана аргумент бар: оның көмегімен IP бастауын бөліктеп тексеруге болады, ал мұны ESP орындай алмайды. Алайда осы аргумент әлдеқайда әлсіз. Та-ғы да күдік туғызатын аргументті айтсақ, ол АН ұстап тұратын жүйе, бірақ оны ESP ұста-майтын жүйе, экспортқа лицензия алар кезде аз проблемаға ие болады, өйткені бұл бастау құ-пиялылық пен шифрлеуге еш қатысы жоқ. Соған қарағанда, АН уақыт өте жоғалатын сияқты.