Embed Size (px)
DESCRIPTION
Citation preview
Cisco Mongol
Facebook group
Admin: [email protected]
Twitter: @Ochir_D
Утасгүй сүлжээний аюулгүй байдлын тухай.
Утасгүй сүлжээ гэж юу вэ ?
Wireless security:
A wireless intrusion prevention system / утасгүй сүлжээний халдлага
удирдчилан сэргийлэх систем/
Security measures / аюулгүй байдлын хэмжүүр. Арга барил./
o SSID hiding
o MAC ID Filtering
o Static IP addressing
o Wireless Security protocol ( WEP,WPA, WPA2)
o Implementing network Encryption – сүлжээнд шифрлэлтийг хэрэгжүүлэх.
o RADIUS – Remote Authentication Dial-in User Service.
o Open access points
2014 он
Утасгүй сүлжээ гэж юу вэ ?
Энэ технелоги 1997 он гэхэд IEEE -802.11 нэршилтэй стандарт болж батлагдсан. Утасгүй
сүлжээ гэдэг нь 2 ба түүнээс дээш төхөөрөмж тархалтат долгион (spread spectrum division
multiplexing) эсвэл OFDM(Orthogonal frequince division multiplexing) хувиргалтын
технелоги ашиглан утасгүй холбогдон мэдээлэл солилцохыг хэлнэ.
Утасгүй сүлжээний давуу тал
Хүссэн газраасаа сүлжээнд холбогдох боломжтой.
Сүлжээний хүрээнд шилжилт хийж хөдлөх боломж олгоно.
Утасгүй сүлжээг суурилуулахад хялбар учир нь утсан сүлжээ шиг кабел татахаас
эхлээд асуудал гарахгүй.
Утасгүй сүлжээнд хэрэглэгчид утас кабел ашиглан холбогдох шаардлагагүй байдаг
тул өргөтгөхөд хялбар.
Wireless security:
Wireless security ( Утасгүй сүлжээний аюулгүй байдал ) гэдэг бол утасгүй сүлжээг
ашиглаад тухайн мэдээлэл болон компьютерт хууль бусаар хандах, эвдэрлээс урьдчилан
сэргийлэхийг хэлнэ.
A wireless intrusion prevention system / утасгүй сүлжээний халдлага удирдчилан
сэргийлэх систем/
Wireless intrusion Prevention System (WIPS) бол утасгүй аюулгүй байдлын эрсдлийн эсрэг
хамгийн хүчирхэг аргын тухай ойлголт юм. Гэсэн хэдий ч ийм WIPS програм
хангамжийн багц хэлбэрээр хэрэгжүүлхэд бэлэн боловсруулсан шийдэл гэж байхгүй
байна..
Security measures / аюулгүй байдлын хэмжүүр. Арга барил./
Бодит байдал дээр утасгүй сүлжээний аюулгүй байдал янз бүрийн хүрээнд байдаг. Үр
нөлөөтэй аргууд нь дараах болно
1. SSID hiding : Service Set Identifier hiding :Утасгүй сүлжээний хувьд SSID-г нууна
гэдэг бол хялбар боловч үр дүн муутай арга.
2. MAC ID Filtering : мөн хялбар аргуудын нэг бөгөөд зөвхөн урдчилан мэдэж байгаа
MAC address –тай төхөөрөмжид хандах эрх өгнө. Бүх wireless access point адилхан
MAC ID filtering төрөл агуулдаг. Халдагч буюу дайрагчийн хувьд баталгаажсан
хэрэглэгчин MAC хаягийг шүүж олж авхад амархан.
3. Static IP addressing: жирийн wireless access point нь client буюу хэрэглэгч нард
DHCP хэрэглэж IP address өгдөг. Wireless access point-с client хэрэглэгч нь үргэлж IP
хаяг шаардах буюу broadcast request message явуулдаг. Энэ халдагч нарт бас нэгэсэн
халдах боломж болдог.
4. Wireless Security protocol: утасгүй сүлжээний аюулгүй байдлыг хангахын тулд
протоколууд хэрэглэх ба үүнийг тоймлож үзвэл.
Эхэн үеийн шифрлэх протокол. Завсарын үеийн
шифрлэх протокол
Одоо үеийн
шифрлэх
протокол
WEP WPA 802.11i/WPA2
Баталгаажуулалт нь хүчтэй биш.
Тогтомол болон хялбар
түлхүүртэй
Өрөгжих боломжгүй
Тодорхой
стандартай.
Шифрлэлт нь
сайжирсан.
( LEAP,PEAP,
EAP-FAST ) гэх
мэт
баталгаажуулалт
дээр
үндэслэгдэсэн
хэрэглэгч
AES
шифрлэлт
Баталгаажу
улалт:
802.1x
Dynamic
key
management
WPA2 is the
Wi-Fi
Alliance
implementati
on of 802.11
4.1 WEP – Wireless Equivalent Privacy:
WEP нь IEEE 802.11 утасгүй сүлжээг хамгаалах алгоритм бөгөөд өнөө үед нилээн
хоцрогдсон. Утасгүй сүлжээний мэдээлэл нь агаараар радио долгионоор цацагдан дамждаг
учир ердийн утастай сүлжээг бодвол дохио замаас барьж аван "хулгайлах" боломжтой
байдаг. Иймээс 1997 онд утасгүй сүлжээнд нууцлал нзвтрүүлэх зорилгоор WEP-г анх
гаргажээ.WEP нь 40-бит, 128-бит болон заримдаа 256-битийн урттай түлхүүр ашиглан
утасгүй сүлжээнд төхөөрөмж холбогдох үед урьдчилан тохируулсан нууц үгийг 16-тын
тооллоор асуух байдлаар нууцлал хийдэг хэдий ч нууц түлхүүрийн энгийн хэлбэр, радио
долгионоор дамжуулж байгаа мэдээлэл дундаас чухал түлхүүр хэсгийг барих боломжтой
зэргээс шалтгаалан харьцангүй хялбараар нууц үгийг тайлан сүлжээнд зөвшөөрөлгүй
нэвтэрч болдог байна.
4.2 WPA/WPAv2:
Шинэчлэгдэн гарсан эдгээр нууцлалын стандартууд нь өмнөх WEP-ийн сул талуудыг
арилгахыг зорьсон.
WPA – Wi-Fi Protected Access
WPA нь утасгүй сүлжээнд холбогдосон төхөөрөмжүүдын найдвартай байдлыг үзүүлж
байгаа аюулгүй байдлын стандарт юм. Үүний гол зорилго нь WEP дахь сул байдлыг
шийдвэрлэхэд оршино. Утасгүй сүлжээнд хандах үедээ 128 bit –н TKIP агуулдаг. TKIP
(Temporal Key Integrity Protocol ) агуулсанаараа нэмэлт нууцлалыг хангана гэж үзэж
байсан ч TKIP нь тодорхой хэмжээний сул талтай эрсдэлтэй байсан учир EAP ( Extensible
Authentication Protocol ) –г нэмж нэвтрүүлсэн байна. TKIP-г тайлж унших боломж байдаг ч
энэ хэцүү.
WPA2 -Wi-Fi Protected Access 2
WPA2 нь утасгүй сүлжээнд холбогдосон төхөөрөмжүүдын найдвартай байдлыг үзүүлж
байгаа аюулгүй байдлын стандарт юм. Үүний гол зорилго нь IEEE 802.11i стандардын
дагуу шаардлагатай түвшинд хүргэх явдал юм. WPA-гийн сайжруулсан хувилбар бөгөөд
Wi-Fi Alliance-гийн гэрчилгээг шаардахаас гадна. ( Advanced Encryption Standard )
нэмэгдэсэнээр илүү сайн хамгаалалт болж чадсан. Өнөөдрийн байдлаар хамгийн сайн
хэрэглэж гэж хэрэгдэж байгаа утасгүй сүлжээний аюулгүй байдлын стандарт юм. WPA 2
нь IEEE.11i стандартын дагуу бүрэн ажилдаг.
WPA ба WPA2 нь хэрэглэгч нарт Target буюу тухай Access point оо зааж өгхөд 2 өөр арга
хэрэглэдэг.
WPA/WPA2 - Personal: ямар нэгэн authentication server шаардахгүй. WPA-PSK -г WPA2-
PSK эсвэл WPA Personal гэж нэрлэдэг. Pre-Shared Key ( PSK) бол Wi-Fi connection эсвэл
wireless LAN(WLAN) хэрэглэгч нарыг таниулан нэвтрэх болон баталгаажуулах зорилгоор
TKIP- Temporal Key Integrity Protocol AES- Advanced Encryption Standard
Пакет тус бүр дээр улам нарийн
төвөгтэй битийн кодчилол нэмж
шифрлэдэг.
Utilizing the RC4 stream cipher -
128-bit encryption keys and 64-bit
authentication key
128, 192, 256 битийн түлхүүр
үгийг шифрлэдэг ба шифрлэлтыг
буцааж тайлхын хувьд ижилхэн
код хэрэглэдэг.
TKIP дээр тулгуурлан аюулгүй
байдлын түвшинг нэмэгдүүлсэн.
ашигладаг аюулгүй байдлын механизм юм. WPA-PSK -тэй WLAN-н нууц үг нь 8-63
тэмдэгтээр бичсэн байх үед л ажилдаг. Нууцлалын үндэс нь Access-Point (router) –д
хэрэглэгчидын холболтыг тодорхойлхын тулд 256 bit-н тэмдэгт key үүсгэдэг. AP болон
хэрэглэгчийн төхөөрөмж нь encryption ба decryption хийхийн тулд хувааж хэрэглэдэг.
WPA/WPA2 - Enterprise: RADIUS authentication server шаардана. Энэ aвтоматаар key
үүсгэдэг ба томоохон аж ахуйн хүрээнд баталгаажуулдаг. Extensible Authentication
Protocol (EAP ) бол Point to Point ( P2P ) утасгүй сүлжээ ба Local area Network ( LAN ) нь
authentication механизмын төрөл бүрийн өгөгдөлийн мэдээлэл шаардаг. EAP нь энгийн
dialup болон LAN холболтыг танихад ашигладаг. Its major scope is wireless network
communication such as access points used to authenticate client-wireless/LAN network systems.
5. Implementing network Encryption – сүлжээнд шифрлэлтийг хэрэгжүүлэх.
802.11i хэрэгжүүлэлтээс гадна. Router/access point(s) 2-г найдвартай байлгах ѐстой. Мөн
түүнчилэн бүх client төхөөрөмж нь сүлжээнд шифрлэлт хийх, дэмжих зориулалтай байх
хэрэгтэй. Хэрвээ ийм бол RADIUS, ADS, NDS, эсвэл LDAP гэх мэт серверүүдтэй нэгтгэх
хэрэгтэй. Энэ сервер нь local network дахь computer ба хандалтын цэг / баталгаажуулсан
сервэр бүхий router мөн remote server байж болно. AP-н баталгаажуулсан сервер
бүхий router-үүд нь ихэвчлэн өндөр өртөгтэй байдаг ба hot spot зэрэг худалдааны
хэрэгцээнд тусгайлан хэрэглэгддэг. 802.1X сервэрүүд интернэтэд байршихын тулд
сарын төлбөр шаарддаг; хувийн сервэрийг ажиллуулах нь үнэгүй боловч нэг нь
үүнийг тохируулж тасралтгүй ажиллаж байх хэрэгтэй байдаг. Сервэрийг
тохируулахын тулд, сервэр ба client software install хийгдсэн байх ѐстой. Сервэрийн
програм хангамжид radius, ads, nds болон ldap зэрэг enterprise authentication server
шаардагдаг. Шаардагдаж буй програм хангамж нь Microsoft, Cisco, Funk Software,
Meetinghouse Data зэрэг олон төрлийн үүсгүүрээс мөн зарим нээлттэй үүсгүүрийн
төслүүдээс авч хэрэглэгдэнэ. Програм хангамжууд нь :
Cisco Secure Access Control Software
Microsoft Internet Authentication Service
Meetinghouse Data EAGIS
Funk Software Steel Belted RADIUS (Odyssey)
Aradial RADIUS Server
freeRADIUS (open-source)
SkyFriendz (RADIUS-д суурилсан free cloud шийдэл )
Client software windows XP-д суулгагдсан байх ба дараах software-г ашиглан
бусад OS-тэй нэгдэж болно.
Intel PROSet/Wireless Software
Cisco ACU-client
Odyssey client
AEGIS-client
Xsupplicant (open1X)-project
5.1. RADIUS – Remote Authentication Dial-in User Service.
RADIUS нь алсын зайн сүлжээний хандалтад хэрэглэгддэг AAA(authentication,
authorization and accounting) протокол юм. Radius нь анхандаа патенттай байсан боловч
хожим нь ISOC document-д хавсаргагдсан. RFC 2138 ба RFC 2139. Гол санаа нь
хэрэглэгч аль хэдийн тодорхойлсон username ба пассворд-г gatekeeper-р шалгах
дотоод сервэртэй байна гэсэн үг юм. Radius сервэр нь хэрэглэгчийн бодлого ба
хязгаарлалтыг сахиулахаар тохируулагдсан байх бөгөөд холболтын цаг зэрэг
мэдээллийг record хийнэ.
5.2. Open access points
Одоогоор , ихэнхи хотууд утасгүй сүлжээгээр бүрхэгдсэн байна- утасгүй холбооны
сүлжээн дэх дэд бүтцийг аль хэдийн байршуулсан байна. Нэг нь л эргэн тойрон
битүү хэрсэн байх ба хэрвээ node-үүд нийтэд нээлттэй байвал интэрнэтэд байнга
холбогдох ба аюулгүй байдлын асуудлаас үүдэн ихэнхи node-үүд шифрлэгдсэн байх
ба хэрэглэгчид шифрлэлтийг хэрхэн disable хийхээ мэддэггүй. Ихэнхи хүмүүс
хандалтын цэгийг нийтэд нээлттэй хэвээр үлдээж , интернэтийн чөлөөт хандалтыг байх
ѐстой гэж үздэг. Үлдсэн хэсэг нь шифрлэлт аюулгүй байдлыг хангадаг гэж үздэг.
Хандалтын цэгийн нягтрал асуудлыг үүсгэж болно- тэдгээрт тооны хувьд
хязгаарлалттай сувгууд байх ба, тэдгээр нь зарим хэсгээрээ давхардана. Суваг бүр хэд
хэдэн сүлжээг засварлаж чадах боловч олон тооны хувийн утасгүй сүлжээтэй газруудад
тодорхой тооны хязгаарлалттай wifi radio сувгууд гацах болон өөр асуудал үүсч
болно.
Open access point-г дэмжихийн тулд , энэ нь нийтэд утасгүй сүлжээг цацахдаа
ямар нэг эрсдэлийг дагуулах ѐсгүй:
Утасгүй сүлжээ нь бага хэмжээний газар зүй н бүсэд хязгаарлагдсан
байна. Компьютер интернэтэд холбогдох , тохиргоо буруу байх болон
бусад аюулгүй байдлын асуудлуу д нь дэлхийн хаа нэгтээ байгаа хэн
нэгнээс хамаарч болно. Иймээс нээлттэй хандалтын цэгийн илрүүлэх
байдал нь бага байх ба, нээлттэй wireless сүлжээнд гарах эрсдэл бага
байна. Хэдий тийм ч open wireless router дотоод сүлжээнд хандалтыг
өгдөг гэдгийг мэдэх хэрэгтэй ба , заримдаа файлыг принтэрлэх share-
лэх боломжийг олгодог.
Холбооны аюулгүй байдыг хангах хамгийн найдвартай арга нь end to end
шифрлэлт юм. Жишээлбэл, интернэт банкинд хандалт хийх үед банкинд
хүрэх бүх замд web browser-р дамжуулан хүчирхэг шифрлэлтийг
хэрэглэх учраас энэ нь ямар нэг эрсдэл дагуулах ѐсгүй. Гол санаа нь хэн
ч утастай сүлжээнд ч хэрэглэгддэг sniff хийх боломжтой. (систем
админууд мөн боломжит хакерууд холболтонд хандалт хийн мэдээллийг
унших боломжтой. ) Түүнчлэн шифрлэгдсэн утасгүй сүлжээний
түлхүүрийг мэдэж байгаа хэн ч сүлжээгээр дамжиж буй өгөглийг олж
авах боломжтой.
Файлыг share хийх , принтэрлэх зэрэг үйлчилгээнүүд нь дотоод net-д
хүртээмжтэй бол эдгээрт хандалт хийхэд authentication-тэй байхыг
зөвлөдөг. Үнэн зөв тохируулахын тулд хандалт нь аюулгүй байх хэрэгтэй.
Одоогийн ихэнхи алгоритмуудад , sniffer ихэвчлэн цөөн минутад
сүлжээний key-г тооцоолон олдог.
Интернэтийн холболтод сарын тогтсон төлбөрийг төлөх нь түгээмэл
боловч, урсгалд төлдөггүй. - иймээс нэмэлт урсгалд хөнөөлтэй байна.
Интернэтийн холболт хямд мөн хүртээмжтэй үед завшигчид үүнийг
ашигладаг.
