3. Сымсыз желілердің қауіпсіздігі

Практикада елеуіш сияқты өтетін, логикалық жағынан түгел сенімді, яғни VPN бранд-мауэрлерінен тұратын желіні құру таң қаларлық жеңіл екен. Егерде желіде мәліметтерді, брандмауэр үстінен екі жаққа өтетін, радиосигнал арқылы беретін сымсыз машиналар бар болса, онда жоғарыда айтылған жағдай болуы мүмкін. 802.11 типті желінің радиусы бірнеше жүздеген метр болуы мүмкін, сондықтан ақпаратты алғысы келген шпион фирманың алдындағы аялдамаға келіп, машинаға ,802.11 қабылдайтын және эфирдегі барлық естілетін дыбыстарды жазатын , ноутбугін тастап қалаға шығып қыдыруына болады. Кешке таман ол қатты дискіде көп құнды ақпаратты көреді. Теориялық тұрғыда мұндай жағдай болмау керек. Бірақ та, онда теориялық тұрғыда банкілерді тоңау да болмау керек.

Қауіпсіздіктің көптеген проблемаларына өткізгіштігі жоқ станциялар базасын құрушылары-на рахмет айту керек. Әдетте, егер қолданушы өзінің құрылғысын сөмкесінен шығарып, ро-зеткаға сұқса, онда ол бірден жұмыс жасай бастайды, және практикалық жағынан әрқашанда радио байланыс зонасындағы адамдар айтылып қойған кез келген құпияларды естуі мүмкін. Ал егерде осы құрылғыны Ethernet- ке қосса, онда локальдік желі арқылы өтетін трафик ма-шинадағы ноутбук арқылы алынуы мүмкін. Өткізгіштігі жоқ байланыс – ол шпионның орын-далмас қиялы: ақпарат қолға өзі келеді, оны тек ұстап үлгеру керек. Осыған қарағанда, өткіз-гіштігі жоқ желінің қауіпсіздігі туралы сұрақ өткізгіштігі бар желінің қауіпсіздігі туралы сұ-рағынан әлдеқайда күрделі. Осы бөлімде біз осы мәселені қарастырамыз.

4. 802.11 Желісіндегі қауіпсіздік

802.11 стандарты WEP деп аталатын мәліметтерді беру деңгейінің қауіпсіздік протоколын сипаттайды, ол сымсыз ЛВС-ті өткізгіштігі бар сияқты кылып қорғайды.

802.11 желісінде қауіпсіздік жүйесі бар болған жағдайда әрбір станция мәліметтер станци-ясы бар жалпы жабық кілтке ие болады. Кілттерді тарату әдісі стандарт бойынша айтылма-йды. Олар тек құрушы арқылы құрылғыларда немесе программаларда орнатылуы мүмкін. Оларды алдын ала өткізгіштік желі арқылы алмастыруға болады. Соңында, я базалық станция немесе қолданушы машинасы кездейсоқ әдіспен кілтті таңдап және оны қарама қарсы жаққа жібере алады, сонымен қатар осы жақты ашылған кілтпен шифрлей алады. Орнатылғаннан кейін кілттер көп ай бойы немесе жылдар бойы өзгеріссіз қала алады.

WEP арқылы шифрлеу RC4 алгоритм негізінде құрылған ағымды шифрді қолданады. RC4-ті Роналд Ривест құрған. Осы алгоритм 1994 жылы интернетте көрінгенше дейін құпияда сақ-талып келген. Біз жоғарыда айтқандай, қандай да бір алгоритмді құпияда сақтау мүмкін емес, тіпті қарапайым мақсатпен: интеллектуальді меншікті заң арқылы қарау (RC4 жағдайы), ал оны бұзушылардан қорғау туралы тіпті айтпауға да болады (ал мұндай есепті RC4 құрушы-лары алдына қойған жоқ ). WEP-та RC4 ағымдық шифр арқылы тарайды, ал ағымдық шифр ашық тектпен 2 модуль арқылы қосылады, нәтижесінде шифрлік текст пайда болады.

Әрбір пакеттің пайдалы жүктемесі 8.27- суретінде көрсетілген әдіспен шифрленеді. Басында бақылау қосындысы тексеріледі, ол пайдалы жүктемеге қосылады. Осылай шифрлеу алгоритміне берілетін ашық текст пайда болады. Осы ашық текст ағымдық кілттің, өзінің өлшеміне сәйкес, кесіндісімен 2 модуль арқылы жиналады. Осы түрлендірулердің нәтижесі шифрленген текст болып келеді. RC4- ті жіберуге қажетті инициализация векторы шифрмен бірге беріледі. Пакетті алғаннан кейін қабылдаушы одан шифрленген мәліметтерді алады (пайдалы жүктемені), жаңа ғана қабылдаған инициализация векторы мен жалпы жабық кілт-тен кілттік ағымды құрайды, содан кейін кілттік ағым пайдалы жүктемемен 2 модуль арқылы қосылады, ал ол қабылданған ақпараттың дұрыстығына көз жеткізеді.

Бір қарағанда мұндай әдіс көз жетерліктей болып көрінеді, алайда оны бұзу әдісі әлдеқайда жарияланған (Borisov). Әрі қарай осының нәтижелері көрсетіледі. Біріншіден, көбісі барлық қолданушыларға бірдей кілттерді қолданады, ал осыдан барлық қолданушылар бір бірінің трафиктерін оқып қоя алады. Бұл, әрине, Ethernet қабылдаған эквивалентке сәйкес келеді, алайда, ол онша қауіпсіз емес.

Алайда, барлық қолданушыларға әр түрлі кілттерді таратса да, WEP бәрі бір де бұзылуы мүмкін. Кілттер көптеген периодты уақыт бойы өзгермейтіндіктен, WEP стандарты әрбір па-кетті , қайталану әдісі шабуылын болдырмас үшін, беру кезінде инициализация векторын өз-гертуді ұсынады. Өкінішке орай, көптеген ноутбуктың 802.11 желі стандарт карталары ини-циализация векторын ажыратуға қойғанда 0-ге тастайды, ал әрбір пакетті жібергенде 1-ге үл-кейтеді. Егерде Труди нәтижелері бірдей инициализация векторлары бар, бір ғана қолданушы жіберген бірнеше пакеттерді жинаса, онда ол ашық текст блогінің 2 модуль арқылы қосынды-сын есептей алады, және мүмкін ода шифрді бұзу мүмкіндігі болатын шығар.

Тіпті егерде 802.11 желі картасы инициализация векторының мәндерін әр пакетке кездейсоқ әдіс арқылы алатын болса да, вектордың шектеулі ұзындығына байланысты пакеттердің 2(34) берілуінен кейін векторлер қайталана бастайды. Сонымен, желіні бірнеше минут тындағаннан кейін Труди бірдей инициализация векторы мен кілті бар пакетті алуы мүмкін. Осы екі пакет-ті модуль арқылы қосып, ол ашық текстілердің қосындысын алады. Ал ол биттік тізбекті шы-ғатын мәліметтерді қалпына келтіру үшін әр түрлі әдістермен шабуылдауға болады. Бірнеше тырысулардан кейін инициализация векторына кілттік ағымды таңдауға болады. Өзінің зерт-теулерін жалғастыра отырып, Труди әр түрлі векторлерге кілттік ағымдардың толық сөздігін құра алады. Инициализация векторын бұзу арқылы желі арқылы өтетін барлық пакеттерді шифрлеуге болады.

Әрі қарай Труди векторлердің мәндерін кездейсоқ әдіспен алу арқылы жұмыстық жұпты анықтай алады, ал ол өзінің еркін пакеттерін таратуды бастау үшін қажет. Ол қалыпты мәлі-меттер ауысуына көп кедергі келтіруі мүмкін. Теориялық тұрғыда, қабылдаушы жақ көп па-кеттер бірдей мәнді инициализация векторларына ие екенін байқауы мүмкін, бірақ WEP оған рұқсат береді, алайда, шындығында оны ешкім тексермейді де.

Ақырында, CRC көмегі арқылы тексеру де – аңғырт әдіс болып келеді, Труди пайдалы жүк-темені , артықшылық жағынан циклді кодқа сай келетіндей етіп ,өзгерте алады, ал ол үшін тіпті мәліметтің өзін шифрлеу қажет емес. Қысқаша айтқанда, 802.11 қорғанысын бұзу өте қи-ын емес, ал біз Борисов арқылы табылған барлық әдістерді әлі айтқан жоқпыз.

Борисовтың жұмысы жарияланып бір ай өткеннен кейін 2001- дің тамызында тағы да бір WEP- ті (Fluhrer ) құлатпайтын құжат жарияланды. Мұнда RC4 алгоритмінің әлсіз жері көр-сетілген. Флурер және оның әріптестері көптеген кілттердің бір жағымсыз қасиетке ие бола-тынын аңғарды: кілттңк ағымды анализдеу арқылы кілттің кейбір разрядтарын алуға болады. Егерде шифрге шабуылды бірнеше рет қайталаса, онда соңында кілтті бүтіндей алу мүм-кіндігіне жетеді. Ол үшін тіпті көп күш жұмсаудың қажеті жоқ . Дегенмен, Флурер қандайда бір 802.11 желілерін бұзу мақсатында өзінің теориялық қорытындыларын қолданған жоқ .

Осымен бірге, бір студент- практикант және AT&T Labs компаниясының екі ғалымдары Флурердің еңбегі туралы білгеннен кейін , осы сипатталған әдісті практика негізінде жүзеге асырғылары келді. Бір аптаның ішінде 802.11 желісінде қолданылған 128- разрядті кілті бұ-зылды. Оның үстіне, аптаның көп бөлігі 802.11 желісінің ең арзан желісін іздеуге кетті, және оны қолдану рұқсатына , сонымен қатар оның орнатылуына және тестілеуіне кетті. Програм-малау екі сағатты алды.

Өз істерінің нәтижелерінің хабарлауынан кейін CNN телекомпаниясы “ Өткізгіштігі жоқ же-лінің қауіпсіздігін Керемет хакер бұзады ” деген атты тарихын ойлап табады, мұнда осы ин-дустрияның кейбір гурулары тәжірибе нәтижелеріне мысқылдағысы келді. Ал Флурердің ең-бегінің нәтижелері тәжірибені өте мылжыңдық етеді. Техникалық көзқарастан қарағанда, ол расында да солай, алайда негізі мұнда емес, ол мынада: біріккен екі топтың күштеріне WEP және 802.11 стандарттары құлатулы болды.

2001 жылдың 7- қыркүйегінде IEEE институты WEP стандартының құлауына үлкен емес бюллетень негізінде жауап берді. Мұнда алты позиция аталған:

1. Біз WEP қамсыздандырылған қауіпсіздік деңгейі, Ethernet- ден жоғары еместігі туралы ескерттік

2. Қауіпсіздікпен қамсыздандыру туралы жай ұмытып кету өте қауіпті

3. Басқа бір қауіпсіздік жүйесін жетілдіріп көруге тырысу керек (мысалы, транспорттық деңгейде).

4. Келесі 802. Hi нұсқасы, сөзсіз, сенімді қорғанышқа ие болады.

5. Болашақта сертификация 802.11 I нұсқасын міндетті түрде қолдануды еске алады.

6. Біз 802.11 I шыққанша дейін не істейтінімізді шешеміз.

Біз осы жағдайды , оқырман қауіпсіздікпен қамтамасыздандыру, тіпті ,мамандардың өзіне оңай іс емес екендігін сезіну үшін, біршама көп немесе аз мөлшерде қарастырдық .