Утасгүй сүлжээний аюулгүй байдал ба халдлагын төрлүүд

Утасгүй сүлжээний аюулгүй байдал нь утасгүй сүлжээг ашиглан компьютерт зөвшөөрөлгүй нэвтрэх, гэмтээхээс сэргийлэх явдал юм. Утасгүй сүлжээний аюулгүй байдлын хамгийн түгээмэл төрлүүд нь Wired Equivalent Privacy (WEP) болон Wi-Fi Protected Access (WPA) юм. WEP ын аюулгүй байдлын стандарт нь сул байдаг ба нууц үгийг хэдхэн минутын дотор энгийн зөөврийн компьютер ба өргөн хэрэглээний программын тусламжтай эвдэгдэх боломжтой. WEP нь 1999 онд хуучин IEEE 802.11 стандарт бөгөөд 2003 онд WPA буюу Wi-Fi Protected Access гарсанаар хуучирсан. WPA нь WEP-ын аюулгүй байдлыг сайжруулсан арга юм. Одоогийн стандарт WPA2 зарим тоног төхөөрөмжийг firmware шинэчлэх эсвэл солихгүйгээр дэмжих боломжгүй. WPA2 нь сүлжээг 256 битийн түлхүүрээр шифрлэх ба түлхүүрийн урт нь WEP аюулгүй байдлыг сайжруулдаг. 802.1X-ийн стандартын дагуу холбогдох төхөөрөмжийг баталгаажуулахын тулд гэрчилгээжүүлэлтэд суурилсан системийг ашиглан аюулгүй байдлыг ханган ажилладаг.

DD-WRT чиглүүлэгч төхөөрөмжийн аюулгүй байдлын тохиргоо
wireless router буюу утасгүй сүлжээний чиглүүлэгч

Ихэнх зөөврийн компьютерууд нь утасгүй сүлжээний картыг урьдчилан суулгасан байдаг. Мөн ухаалаг утас болон бусад төхөөрөмжүүд утасгүй сүлжээнд сүлжээнд холбогдож байгаа нь асар их ашигтай юм. Гэвч утасгүй сүлжээ нь зарим аюулгүй байдлын асуудлуудад өртөмтгий байдаг билээ. Хакерууд утасгүй сүлжээнд холбогдоход харьцангуй хялбар бөгөөд утасгүй технологийг ашиглан цаашлаад утастай сүлжээнд нэвтэрдэг. Үүний үр дүнд аж ахуйн нэгж чухал нөөцөд хууль бусаар нэвтэрхээс сэргийлэхийн тулд утасгүй сүлжээний аюулгүй байдлын үр дүнтэй бодлогыг тодорхойлж өгөх нь маш чухал юм.[1] Утасгүй сүлжээний халдлагаас урьдчилан сэргийлэх систем (WIPS) буюу утасгүй халдлага илрүүлэх систем (WIDS) нь утасгүй сүлжээний аюулгүй байдлын бодлогыг хэрэгжүүлэхэд хэрэглэгддэг. Утасгүй сүлжээний үйлчилгээ илүү түгээмэл болсон тул утасгүй технологийн хэрэглэгчдэд учрах эрсдэл нь мөн нэмэгдсээр байна.[2] Утасгүй технологийг анх нэвтрүүлэхэд харьцангуй цөөн тооны аюулын тохиолдол байсан. Хакерууд шинэ утасгүй технологийг барьж авдаггүй байсан бөгөөд утасгүй сүлжээнүүд ажлын байранд олддоггүй байв. Гэсэн хэдий ч одоогийн утасгүй сүлжээний протокол, шифрлэлтийн аргууд, хэрэглэгчийн болон компанийн мэдээллийн технологийн түвшинд байгаа хайхрамжгүй, үл тоосон байдалтай холбоотой аюулгүй байдлын олон эрсдэл байдаг. Хакердах аргууд нь утасгүй хандалтад илүү төвөгтэй, шинэлэг болсон. Жишээлбэл хэрэглэхэд хялбар Windows-эсвэл Линуксийн багаж хэрэгсэл ашиглан веб дээр үнэгүй ашиглах боломжтой болсон. Зарим байгууллагууд нь утасгүй сүлжээний хандалтын цэггүй бөгөөд утасгүй сүлжээний аюулгүй байдлын асуудлуудыг шийдвэрлэх хэрэгтэй гэж үздэггүй. Гэвч 2005 онд худалдан авалт хийхээр тєлєвлєж байсан компаниудын төхөөрөмжүүдийн 95 хувь нь утасгүй картаар тоноглогдсон байна.[3] Утасгүй сүлжээг дэмждэг зөөврийн компьютерийг корпорацийн сүлжээнд залгаснаар утасгүй сүлжээгүй байгууллагад асуудал үүсч болно.

Шифрлэгдээгүй утасгүй сүлжээний хамрах хүрээнд байгаа дурын этгээд сүлжээг “sniff” хийх буюу шиншлэх, сүлжээний урсгалыг тэмдэглэх, бүртгэх, дотоод сүлжээнд нөөцлөх, интернетэд хууль бус хандалт олж авах, дараа нь мэдээлэл алдах, хууль бус үйлдэл ашиглан мэдээлэл олж авах, нөөцийг ашиглах боломжтой. Иймээс аюулгүй байдлын ийм зөрчил нь аж ахуйн нэгж, байгууллагын сүлжээнд аль алинд нь чухал ач холбогдолтой асуудал болоод байна.

Хэрэв та “router” буюу чиглүүлэгч төхөөрөмжийн аюулгүй байдлыг идэвхжүүлээгүй эсвэл тохиргоог идэвхгүй болгосон бол энэ нь үнэгүй “hotspot” буюу халуун цэг үүсгэдэг. 21-р зууны хамгийн сүүлийн үеийн зөөврийн компьютерууд нь утасгүй сүлжээнд байдаг (Intel "Centrino" технологийг үзнэ үү) PCMCIA карт эсвэл "USB dongle" гэх мэт гуравдагч этгээдийн адаптер хэрэггүй. Утасны сүлжээнд суурилсан сүлжээг анхдагчаар идэвхжүүлж болох бөгөөд эзэмшигчид нь мэдэгдэлгүйгээр зөөврийн компьютерт хандах хандалтыг ойролцоох компьютерт нэвтрүүлэх боломжтой.

Линукс, macOS, эсвэл Microsoft Windows гэх мэт орчин үеийн үйлдлийн системүүд нь интернетийн холболт хуваалцах замаар утасгүй LAN-ийн "үндсэн станц" -ыг PC-ээр үүсгэх нь харьцангуй хялбар болгодог бөгөөд ингэснээр гэртээ байгаа бүх компьютерийг "base" "PC. Гэсэн хэдий ч ийм системийг зохион байгуулахад гардаг аюулгүй байдлын асуудлуудын талаарх хэрэглэгчдийн мэдлэг дутмаг заримдаа бусад холболтод хандах хандалтыг зөвшөөрч болох юм. Ийм ""piggybacking"" нь утасгүй сүлжээний операторын мэдлэггүйн улмаас ихэвчлэн үүсч болно. Хэрэв тэд компьютерийг хандалтын цэг болгон ашиглахын тулд ойролцоох нээлттэй утасгүй сүлжээг автоматаар сонговол энэ нь халдагч этгээдийн урхи байж магадгүй юм.


Аюулын байдал

засварлах

Загвар:Компьютерийн аюулгүй байдал

Утасгүй сүлжээний аюулгүй байдал нь компьютерийн аюулгүй байдлын талбар юм. Гэсэн хэдий ч, байгууллагууд аюултай байдлын зөрчлүүдэд онцгой эмзэг байдаг.[4] Ажилтан (итгэмжилсэн аж ахуйн нэгж) нь утасгүй сүлжээний чиглүүлэгчийг авчирч, баталгаагүй "switchport" руу залгавал бүх сүлжээг тухайг сүлжээн дотор байгаа хэн нэгэнд мэдэгдэж болно. Үүний нэгэн адил, хэрэв ажилтан нь нээлттэй "USB" порт ашиглан сүлжээнд холбогдсон компьютерт утасгүй интерфэйсийг нэмсэн бол тэдгээр нь нууц материалуудад нэвтрэх боломжийг олгодог сүлжээний аюулгүй байдлыг зөрчсөн болно. Гэсэн хэдий ч сүлжээг болон түүний агуулж буй мэдээллийг хамгаалдаг хамгаалалтын тохиргоонууд болон шилжүүлгийн тохиргооны үед нээлттэй шилжүүлэгчийн тохиргоо ба "VLAN"-ийн тохиргооны үед нээлттэй "switchports"-г идэвхгүй болгодог боловч ийм хариу үйлдэл нь бүх сүлжээний төхөөрөмжид нэгэн адил үйлчилнэ.

Агаарын интерфэйс ба түүний эрсдлүүд

засварлах

Утасгүй сүлжээ нь байгууллага, хувь хүмүүст хамгийн нийтлэг технологи юм. Олон зөөврийн компьютерууд нь утасгүй сүлжээний картыг урьдчилан суулгасан байдаг. Утасгүй технологийг анх нэвтрүүлэхэд халдлагийн шинж чанартай зүйл харьцангуй цөөн тохиолдож байсан бөгөөд холбоог бэхжүүлэхэд л ихээхэн хүчин чармайлт гаргасан учир халдлагад өртөх эрсдэл нь үргэлж өндөр байдаг. Үйлчилгээ нь илүү түгээмэл болсон, технологи илүү өргөн хэрэглэгддэг болсон тул утасгүй технологийн хэрэглэгчидэд зориулсан олон төрлийн эрсдлүүд нэмэгдсээр байна. Өнөө үед утасгүй сүлжээний протокол болон шифрлэлтийн аргуудтай холбоотой аюулгүй байдлын олон эрсдлүүд нь хэрэглэгчид болон компанийн мэдээллийн технологийн түвшинд хайхрамжгүй байдал байсаар л байна.[3] Үүнийг даган хакердах аргууд нь утасгүй сүлжээн дээр илүү шинэлэг болсон.

Зөвшөөрөлгүй хандалтын горимууд

засварлах

Урьдчилан сэргийлэх зарим арга хэмжээ нь хэрэглэж буй аргуудыг дарах зорилгоор мэдэгдэж буй арга, довтолгооны аргууд болон холбогдох аргуудаас хамаардаг. Гэсэн хэдий ч, үйл ажиллагааны шинэ хэлбэр бүр аюул занал учруулах шинэ боломжуудыг бий болгоно. Тиймээс урьдчилан сэргийлэлтийг сайжруулахын тулд тогтвортой байдлыг бий болгох шаардлагатай.

Санамсаргүй холболт

засварлах

Байгууллагын сүлжээний аюулгүй байдлын периметрийг зөрчих нь олон янзын арга, зорилгоос үүдэлтэй байж болно. Эдгээр аргын нэг нь "accidental association" буюу "санамсаргүй холболт" гэж нэрлэгддэг. Хэрэглэгч компьютероо асааж, хөрш компани нь давхцах сүлжээнээс утасгүй хандах цэг рүү холбогддог, үүнийгээ хэрэглэгч өөрөө мэддэггүй. Энэ нь байгууллагын мэдээллийн нууцлалыг зөрчсөн хэрэг бөгөөд нэг байгууллагаас нөгөө рүү холбох холболт тогтоосон гэсэн үг юм. Ялангуяа зөөврийн компьютер нь утастай сүлжээнд холбогдсон тохиолдолд энэ нь аюултай нөхцөлийг үүсгэж болно.

Санамсаргүй холболт гэдэг нь "mis-association буюу буруу холбоо"[5] гэж нэрлэдэг утасгүй сүлжээний эмзэг байдлын жишээ юм. Энэ нь санамсаргүй байдлаар эсвэл санаатайгаар (жишээ нь, байгууллагын галт ханыг тойрч гарах) эсвэл халдагчийн хандалтын цэгүүд буюу "AP" рүү хэрэглэгчидийг холбохын тулд санаатайгаар оролдлого хийж болох юм.

Хор хөнөөлтэй холболт(Malicious association)

засварлах

"Хортой холболт" гэдэг нь халдагч этгээд өөрийн зөөврийн компьютераар байгууллагийн хандалтын цэгийг хуурамчаар үүсгэн хэрэглэгчид түүнд холбогдхыг хэлнэ. Эдгээр төрлийн зөөврийн компьютеруудыг "soft AP буву хөнгөн хандалтын цэг" гэж нэрлэдэг бөгөөд кибер гэмт этгээд өөрийн утасгүй сүлжээний картыг болон зарим програм хангамжийг ашиглан бодит хандалтын цэг шиг харагдуулдаг. Ингээд нэвтэрвэл гэмт этгээд нууц үг хулгайлах, утастай сүлжээнд халдлага хийх, эсвэл “trojan” тарьж болно. Утасгүй сүлжээ нь сүлжээний 2-р түвшинд ажилладаг тул сүлжээний 3-р төвшин, виртуал хувийн сүлжээнүүд (VPNs), адилтган танилтууд зэрэг 3-р төвшний хамгаалалт нь ямар ч саад болохгүй. Утасгүй сүлжээний 802.1X адилтган танилт зарим хамгаалалтанд тусалж байгаа боловч хакердахад одоо болтол эмзэг байсаар байна. Энэ төрлийн халдлагын цаадах санаа нь VPN эсвэл аюулгүй байдлын төвшнүүдэд хамааралгүй гэсэн үг юм. Гэмт этгээд нь 2-р төвшинд хэрэглэгчдэд халдаж байгаа гэсэн үг юм.

“Ad hoc” сүлжээ

засварлах

"Ad hoc" сүлжээ нь өөрөө аюулгүй байдлын эрсдэл болж болзошгүй юм. "Ad hoc" сүлжээ нь тэдгээрийн хооронд нэвтрэх цэггүй утасгүй компьютеруудын хооронд "peer to peer" сүлжээнүүд гэж тодорхойлогддог. Эдгээр төрлийн сүлжээнүүд нь ихэвчлэн хамгаалалт багатай байдаг боловч аюулгүй байдлыг хангахын тулд шифрлэлтийн аргыг ашиглаж болно.[6]

"Ad hoc" сүлжээ ашиглаж байгаа бол аюулгүй байдлын цоорхой нь "Ad hoc" сүлжээ нь өөрөө биш юм, харин бусад сүлжээ рүү холбогдож байгаа гүүр нь юм, мөн Microsoft Windows-ийн ихэнх хувилбаруудад анхнаасаа алдаатай тохиргоонууд нь шууд идэвхгүй бол энэ боломжийг идэвхжүүлдэг байна. Энэ тохиолдолд хэрэглэгчид өөрсдийн компьютер дээрээ ажиллаж байгаа аюулгүй байдлыг үл хангасан "ad hoc" сүлжээ байгааг ч мэдэхгүй байж болох юм. Хэрэв утастай болон утасгүй сүлжээг нэгэн зэрэг ашиглаж байгаа бол тэдгээр нь найдваргүй "Ad hoc" холболтоор дамжуулан хамгаалагдаагүй сүлжээнд гүүрээр хандаж байна. Гүүрэн холболт нь 2 хэлбэртэй байдаг. Шууд гүүр, нь хоёр холболтын хооронд гүүрийг тохируулахыг шаарддаг бөгөөд хэрэглэгч хүссэнийхээ дараа л санаачлагдах юм. Шууд бус гүүр нь хэрэглэгчийн компьютер дээрх нөөцийг хуваалцах юм. Шууд бус гүүр нь хэрэглэгчийн компьютерээс "LAN" холболтуудаас хуваалцдаг тул хувийн өгөгдлүүд рүү хандаж болно, жишээ нь хуваалцсан фолдерууд эсвэл хувийн сүлжээнд хавсарсан сүлжээ. Баталгаажуулсан эсвэл хувийн холболт болон зөвшөөрөлгүй "Ad-Hoc" сүлжээнүүдийн хооронд ялгаа байхгүй юм. Энэ нь олон нийтийн эсвэл баталгаагүй "WiFi" хандалтын цэгийг ажиллуулхад аль хэдийн танигдаагүй аюул заналыг агуулдаггүй боловч муу тохируулагдсан үйлдлийн систем эсвэл дотоод тохиргоонуудын хувьд галт ханын дүрмүүдийг тойрч болзошгүй юм.[7]

Уламжлалт бус сүлжээ

засварлах

Уламжлалт бус сүлжээ нь "Bluetooth" гэх мэт төхөөрөмжүүд хакердуулах аюултай бөгөөд аюулгүй байдлын эрсдэлд тооцогддог. Бар код уншигч, гар "PDA", утасгүй принтер, хувилах машинууд ч хамгаалагдсан байх ёстой. Эдгээр уламжлалт бус сүлжээнүүд нь зөөврийн компьютер болон хандалтын цэгүүдэд анхаарал хандуулсан "IT"-ийн ажилтнууд хялбархан хандаж болно.

"MAC spoofing" буюу "MAC"-ыг залидах

засварлах

Энэ нь хакер сүлжээний урсгалыг сонсох боломжтой бөгөөд сүлжээний давуу эрхт тал бүхий компьютерийн "MAC" хаягийг олж мэддэг. Ихэнх утасгүй системүүд нь "MAC" шүүлтүүрийг зөвшөөрдөг. Ингэснээр сүлжээнд хандах, ашиглахын тулд тусгай "MAC ID"-уудтай эрх бүхий компьютерүүдийг зөвшөөрдөг. Хэдий тийм боловч, сүлжээг "шиншлэх" чадвартай программ хангамжууд байдаг. Эдгээр програмууд нь хакерын хүсч буй дурын "MAC" хаягыг түүнд өгч чадах учир хакерууд энэ бэрхшээлийг амархан тойрч чадна.[8]

"MAC" шүүлтүүр нь зөвхөн жижигхэн "SOHO" сүлжээнүүдэд л ашиглагдана, учир нь зөвхөн утасгүй төхөөрөмж "агаарт" гарч ирэх буюу асаалттай үед. Ямар ч 802.11 стандарт төхөөрөмж "агаарт байгаа" нь 802.11 толгой хэсэгт өөрийн шифрлэгдээгүй "MAC" хаягийг чөлөөтэй дамжуулах бөгөөд үүнийг илрүүлэх тусгайлсан төхөөрөмж, програм хангамж шаарддаггүй. 802.11 стандарт хүлээн авагчтай (зөөврийн компьютер болон утасгүй адаптер) болон үнэгүй утасгүй пакет анализатор бүхий хүн 802.11 ямар ч дамжуулагчийн MAC хаягийг авч болно. Ихэнх утасгүй төхөөрөмжүүд нь идэвхтэй ажлын ээлжийн туршид "агаарт" байрладаг зохион байгуулалтын орчинд, "MAC" шүүлт нь зөвхөн аюулгүй байдлын хуурамч мэдрэмжийг хангаж байдаг бөгөөд энэ нь зөвхөн "энгийн" буюу зохион байгуулалттай дэд бүтэцтэй холболтгүй холболтуудаас эсвэл чиглэсэн халдлагаас сэргийлдэг .

"Man-in-the-middle" буюу Дундын хүн халдлага

засварлах

man-in-the-middle буюу Дундын хүн халдлага нь халдагч этгээд өөрийн компьютерыг хандалтын цэг болгохыг хэлнэ . Үүнийг хийсний дараа хакерууд жинхэнэ сүлжээнд хакердсан компьютерээр дамжуулан урсгалыг байнгын хянах урсгалаар дамжуулан өөр утасгүй картын тусламжтай хандалтын цэгт холбогдоно. Ингээд хакер сүлжээний урсгалыг шиншлэнэ. Дундын хүн халдлагын нэг хэлбэр нь аюулгүй байдлын баталгаажуулалтын алдаануудын нэг болох "de-authentication attack". Энэ довтолгоонд хандалтын цэгтэй холбогдсон компьютерууд холболтоо орхиж, хакеруудын хуурамч хандалтын цэгтэй холбогдох болно (модемоос хэрэглэгчийг салгаснаар хэрэгдэгч дахин нууц үгээ ашиглан холбгодох хэрэгтэй). Дундын хүн довтолгоонууд нь "LANjack" болон "AirJack" зэрэг програм хангамжуудаар боловсруулагддаг бөгөөд энэ нь хэд хэдэн алхамыг автоматжуулж болох бөгөөд энэ нь заримдаа ур чадварыг скриптүүдээр орлуулан хийх боломжтой болсон юм. Халуун цэгүүд буюу “hot spot” нь ямар ч халдлагад өртөмтгий байдаг учир эдгээр сүлжээнд аюулгүй байна гэж бараг л байдаггүй.

"Denial of service" буюу Үйлчилгээг зогсоох

засварлах

Үйлчилгээг зогсоох халдлага "DoS" халдлага нь зорилтот "AP" (хандалтын цэг) буюу сүлжээн дэх хүсэлтүүд, дутуу амжилттай холболтын зурвасууд, алдааны мэдэгдэлүүд болон / эсвэл бусад тушаалуудтай сүлжээг байнга бөмбөгдөх үед тохиолддог. Эдгээр нь хууль ёсны хэрэглэгчид сүлжээнд холбогдож чадахгүй байх, улмаар сүлжээг сүйрүүлэх шалтгаан болдог. Эдгээр халдлагууд нь Өргөтгөсөн Баталгаажуулалтын Протокол "Extensible Authentication Protocol" "EAP" зэрэг протоколын хүчирхийлэлд тулгуурладаг.

"DoS" халдлага нь сүлжээнд тасалдал, өгөгдлийн урсгалыг саатуулж, дамжуулагдахаас сэргийлж өгөгдлийг шууд бусаар хамгаалж байдаг тул "DoS" халдлага зохион байгуулалт өгөгдлийг хорлонтой халдлагад хамаардаггүй юм. "DoS" халдлага хийх ердийн шалтгаан нь утасгүй сүлжээний сэргээх ажиллагааг ажиглаж, анхны гар тохируулгын бүх кодыг бүх төхөөрөмжөөр дахин дамжуулах үед эдгээр хорлонтой халдлага нь эдгээр кодыг бүртгэх, янз бүрийн хагарлын хэрэгслүүдийг ашиглах боломжийг олгодог. аюулгүй байдлын сул талыг шинжлэх, тэдгээрийг системд зөвшөөрөлгүй нэвтрэх боломжийг ашиглах гэх мэт. Энэ нь "WEP" зэрэг нууц кодгүй шифрлэгдсэн системүүдэд хамгийн сайн ажилладаг. Сүлжээний сэргээх явцад авсан "загвар" аюулгүй байдлын түлхүүр дээр тулгуурласан "магадгүй хүлээн зөвшөөрөгдсөн" аюулгүй байдлын түлхүүрүүдийн толь загварын довтолгоог гаргаж болох хэд хэдэн хэрэгсэл байдаг.

"Network injection" буюу Сүлжээний тарилга

засварлах

Сүлжээний тарилга халдлагад хакер нь шүүлтүүргүй сүлжээнд өртөх хандалтын цэгүүдийг ашиглаж болох бөгөөд ялангуяа "Spanning Tree" (802.1D), OSPF, RIP, RIP зэрэг сүлжээний урсгалыг цацаж болно. Хакерууд нь чиглүүлэгч төхөөрөмжийн, унтраалга, ухаалаг төвүүдэд нөлөөлж дахин тохируулгын командуудыг ашигладаг. Бүхэл бүтэн сүлжээ иймэрхүү байдлаар буурч болох бөгөөд ухаалаг бүх сүлжээний төхөөрөмжүүдийг дахин ачаалах буюу дахин боловсруулалт хийх шаардлагатай болно.

"Caffe Latte" халдлага

засварлах

“Caffe Latte” халдлага нь "WEP"-г давж болох өөр нэг арга юм. Энэ аргыг ашиглан сүлжээгээр дамжин халдлага хийх шаардлагагүй. "Windows" утасгүй стекийг боловсруулах процессийг ашиглан алсын клиентээс "WEP" түлхүүр авах боломжтой.[9] Шифрлэгдсэн "ARP" хүсэлтүүдийн үерийг илгээж байгаа тохиолдолд халдагч нь хуваалцсан түлхүүрийн баталгаажуулалт болон 802.11 "WEP" дахь зурвасын өөрчлөлтийг алдах давуу талыг ашиглах болно. Халдагч нь "WEP" түлхүүрийг 6 минутаас бага хугацаанд авахын тулд "ARP" хариултуудыг ашигладаг.[10]

Нууцлагдсан утасгүй сүлжээ

засварлах

Криптограф зэрэг нууцлалын стандарт аргууд нь мессежийн агуулгад бусад хэрэглэгчид хандахаас хамгаалж байдаг ч тусгай хувилбарууд дээр хэрэглэгчдэд хор хөнөөлтэй байж болох харилцааны хэвшлийг бий болгодог. Иймэрхүү тусгай хувилбаруудын шийдэл нь харилцаа холбоонд нуугдаж байгаа нууц мэдээлэл юм.[11]

Утасгүй сүлжээний халдлагаас урьдчилан сэргийлэх ойлголтууд

засварлах

Утасгүй сүлжээг хамгаалах гурван үндсэн арга зам байдаг.

Хаалттай сүлжээнүүдийн хувьд (гэрийн хэрэглэгчид, байгууллага гэх мэт) хамгийн түгээмэл арга бол хандалтын цэгүүдэд хандалтын хязгаарлалтуудыг тохируулах явдал юм. Эдгээр хязгаарлалтууд нь шифрлэх болон "MAC" хаягийн шалгалтыг агуулж болно. Энэхүү сүлжээний загварт утасгүй "LAN" аюулгүй байдлыг хангахын тулд Утасгүй Сүлжээний Халдлатаас урьдчилан сэргийлэх системийг "Wireless Intrusion Prevention System" ашиглаж болно.

  • Хаалттай сүлжээнүүдийн хувьд (гэрийн хэрэглэгчид, байгууллага гэх мэт) хамгийн түгээмэл арга бол хандалтын цэгүүдэд хандалтын хязгаарлалтуудыг тохируулах явдал юм. Эдгээр хязгаарлалтууд нь шифрлэх болон "MAC" хаягийн шалгалтыг агуулж болно. Энэхүү сүлжээний загварт утасгүй "LAN" аюулгүй байдлыг хангахын тулд Утасгүй Сүлжээний Халдлатаас урьдчилан сэргийлэх системийг "Wireless Intrusion Prevention System" ашиглаж болно.
  • Арилжааны үйлчилгээ үзүүлэгчид, халуун цэг "hotspots", томоохон байгууллагуудын хувьд илүүдэл шийдэл нь нээлттэй, шифрлэгдээгүй, гэхдээ бүрэн тусгаарлагдсан утасгүй сүлжээтэй байдаг. Хэрэглэгчид эхлээд Интернэт болон дотоодын сүлжээний эх үүсвэрүүдэд хандах эрхгүй болно. Арилжааны үйлчилгээ үзүүлэгчид ихэвчлэн вэбийн бүх урсгалыг дамжуулдаг портал портал руу шилжүүлэх ба / эсвэл зөвшөөрөл олгодог. Өөр нэг шийдэл нь хэрэглэгчид "VPN"-ийг ашиглан эрх бүхий сүлжээнд найдвартай сүлжээнд холбогдохыг шаардах явдал юм.
  • Утасгүй сүлжээнүүд нь утастай сүлжээнээс хамаагүй аюул багатай юм; Олон тооны оффист халдагчид амархнаар сүлжээнд нэвтрэх эрхгүй сүлжээг өөрийн сүлжээнд холбож, сүлжээнд нэвтрэх эрхээ сэргээх боломжтой. Мөн backdoor BackInifice зэрэг арын хаалгаар дамжин сүлжээнд нэвтрэх боломжтой байдаг. Нэг ерөнхий шийдэл нь эцсийн эцэст шифрлэлт байж болох ба олон нийтэд байх ёсгүй бүх эх үүсвэрүүдийн бие даасан нэвтрэлт танилтыг бий болгодог.

Утасгүй холбоог залилан мэхлэх, компьютер, бусад аж ахуйн нэгжүүдэд утасгүй холбоогоор өгөгдөл, функцийг хамгаалахын тулд бэлэн загвар боловсруулаагүй байна. Гэсэн хэдий ч нийтлэг ойлголтоор авч үзсэн арга хэмжээнүүдийг ерөнхийд нь авч үзсэн арга хэмжээнүүдийг бүгдийг нь тэнцвэржүүлэх тогтолцоог бий болгож байна. Шаардлагад нийцсэн тогтолцоо нь ISO/IEC 15408-д тодорхойлсон олон улсын зөвшилцөл юм.

Утасгүй сүлжээний халдлагаас сэргийлэх систем

засварлах

Загвар:Утасгүй сүлжээний халдлагаас сэргийлэх систем

Утасгүй сүлжээний халдлагаас сэргийлэх систем Wireless Intrusion Prevention System "WIPS" нь утасгүй сүлжээний аюулгүй байдлын эрсдлийг арилгах хамгийн найдвартай арга юм.[12] Гэхдээ "WIPS" нь програм хангамжийн багц хэлбэрээр хэрэгжүүлэхэд бэлэн болсон шийдэл гэж үзэхгүй байна. "WIPS" нь одоогийн утасгүй "LAN"-ийн дэд бүтцэд давхцал байдлаар ажилладаг боловч байгууллага доторх утасгүй сүлжээний бодлогыг хэрэгжүүлэхийн тулд дангаар нь хэрэгжүүлж болох юм. 2009 оны 7-р сард утасгүй сүлжээний аюулгүй байдлыг хангахад чухал ач холбогдолтой гэж үзсэн бөгөөд Төлбөрийн картын үйлдвэрийн аюулгүй байдлын стандартуудын зөвлөл "Payment Card Industry Security Standards Council" нь утасгүй сүлжээний талаархи зөвлөмжийг[13] PCI DSS-д зориулан гаргасан.

Аюулгүй байдлын арга хэмжээ

засварлах

Утасгүй сүлжээний аюулгүй байдлын янз бүрийн арга хэмжээнүүд нь үр дүнтэй бөгөөд практикт янз бүрээр байдаг.

"SSID" нуух

засварлах

Загвар:SSID

Утасгүй сүлжээг хамгаалахын тулд энгийн боловч үр дүн муутай арга нь SSID (Service Set Identifier) -ийг нуух явдал юм.[14] This provides very little protection against anything but the most casual intrusion efforts.

MAC ID Шүүлт

засварлах

Хамгийн амархан техникүүдийн нэг нь мэдээж урьдчилан зөвшөөрсөн "MAC" хаягаас хандахыг зөвшөөрөх явдал юм. Ихэнх утасгүй хандалтын цэгүүд нь "only allow access" төрлийн шүүлтүүрийн төрлийг агуулсан байдаг. Гэсэн хэдий ч, халдагч нь эрх бүхий хэрэглэгчийн хаягийг spoof this address тусламжтай хөнгхөөн хуурч чадна.

Статик IP хаяглалт

засварлах

Энгийн утасгүй хандалтын цэгүүд нь "DHCP"-ээр үйлчлүүлэгчдэд IP хаягийг өгдөг. Үйлчлүүлэгчиддээ өөрийн хаягийг тохируулахыг шаарддаг нь энгийн эсвэл сайжруулсан боловсронгуй халдагчд сүлжээнд нэвтрэхээс илүү төвөгтэй боловч нарийн төвөгтэй халдагчийн эсрэг бага хамгаалалт болдог.[14]

802.11 аюулгүй байдал

засварлах

Загвар:Үндсэн сэдэв IEEE 802.1X нь утасгүй "LAN"-д залгахыг хүссэн төхөөрөмжүүдэд "IEEE Standard authentication" IEEE Стандарт нэвтрэлт танилтын механизм юм.

Энгийн WEP

засварлах

Загвар:Үндсэн сэдэв "Wired Equivalent Privacy" "WEP" шифрлэлтийн стандарт нь утасгүй сүлжээг шифрлэх стандарт байсан боловч 2004 оноос хойш "WPA2" -ыг баталснаар "IEEE" үүнийг "хуучирсан"[15] гэж зарласан бөгөөд дэмждэг бол тухайн төхөөрөмж нь орчин үеийн тоног төхөөрөмж юм.

2001 оны эхээр "WEP"-ын аюулгүй байдлын талаар санаа зовниж байсан[16], 2005 онд Холбооны мөрдөх товчоо "FBI"[17] ямархуу болхыг харуулсан, 2007 онд T.J. Maxx нь их хэмжээний аюулгүй байдлын алдаануудыг гаргасан бөгөөд "WEP"[18] найдвартай биш болсон гэж үзсэн бөгөөд Төлбөрийн картын үйлдвэрлэл "Payment Card Industry" 2008 оныг хүртэл хэрэглэхийг хоригложээ. Одоогийн хэрэглээ нь 2010 оны 6-р сараас үргэлжилж байна.[19]

Загвар:Wi-Fi Protected Access

"WEP"-тай холбоотой асуудлуудыг шийдвэрлэхийн тулд "Wi-Fi Protected Access" ("WPA" болон "WPA2") аюулгүй байдлын протоколуудыг үүсгэсэн. Хэрэв толь бичиг, богино тэмдэгт мөр гэх мэт сул нууц үгийг ашиглавал "WPA" болон "WPA2" эвдэгдэж болзошгүй. Хангалттай урттай нууц үг уртаар (жишээ нь: 14 санамсаргүй үсэг) эсвэл нэвтрэх үгнүүд (жишээ нь 5 санамсаргүй үг сонгох) нь урьдчилан хуваалцсан түлхүүр "WPA" -г тохиромжгүй болсон. "WPA"-ийн аюулгүй байдлын протоколын хоёрдахь үе "WPA2" нь 802.11 стандартын сүүлчийн IEEE 802.11i нэмэлт өөрчлөлт дээр үндэслэсэн бөгөөд FIPS 140-2-г дагаж мөрдөгдөнө. Эдгээр бүх шифрлэлтийн схемүүдээр түлхүүрүүд мэддэг бөгөөд сүлжээний бүх клиент бүх урсгалыг уншиж болно.

"Wi-Fi Protected Access" "WPA" нь "WEP"-ийн програм хангамж / "firmware" сайжруулалт болж чадсан юм. "WEP"-тэй ажиллаж байсан бүх "WLAN"-тоног төхөөрөмжүүд ердөө л шинэчлэгдэж, шинэ тоног төхөөрөмж худалдан авах шаардлагагүй юм. "WPA" нь "WEP"-г солихын тулд IEEE 802.11-ээр боловсруулсан 802.11i-ийн аюулгүй байдлын стандартыг багасгасан хувилбар болсон. TKIP-ийн шифрлэх алгоритм "WPA"-д зориулж боловсруулсан ба "WEP"-ийг сайжруулахад зориулж боловсруулсан бөгөөд 802.11 төхөөрөмжүүдэд зориулж "firmware" өргөтгөлөөр ажиллуулж болох юм. "WPA" профайл нь 802.11i болон "WPA2" дээр давуу алгоритм болох AES-CCMP алгоритмийг дэмждэг.

"WPA Enterprise" нь 802.1X-ийг ашиглан "RADIUS" дээр тулгуурласан нэвтрэлт танилтыг хангадаг. "WPA" Хувийн 8-аас эхлэн 63 тэмдэгт нэвтрэх үгийг ашиглан аюулгүй байдлыг бий болгодог ба дундын хуваалцсан түлхүүр "PSK" -ийг ашигладаг. "PSK" нь 64 тэмдэгт 16-ын тооллоор мөрөөр нэвтэрж болно. Харилцан тохиргоогоо хийсний дараа үйлчлүүлэгч дахин холбох үед "PSK" нэвтрэх үгийг сул талуудыг ашиглан толь бичгийн довтолгоонуудын тусламжтай эвдэж болно. "Aircrack-ng" гэх мэт утасгүй сүлжээний программууд нь сул нууц үгийг нэг минутаас бага хугацаанд эвдэх боломжтой. Бусад "WEP" / "WPA" "cracker" нь "AirSnort" болон Аудиторын Аюулгүй байдлын цуглуулга "Auditor Security Collection" юм.[20] Гэсэн хэдий ч "WPA Personal" нь 'сайн' "passphrases" буюу 64 тэмдэгтийн зургаан тэмдэгт бүхий бүтэн түлхүүрийг ашиглах үед аюул багатай байдаг.

Нэмэлт "WPAv1"

засварлах

"WPA1"-д "TKIP", "WIDS" болон "EAP"-уудаас нэмж болно. Түүнчлэн, VPN сүлжээнүүд (тасралтгүй аюулгүй сүлжээний холболтууд) 802.11 стандартын дагуу тохируулагдаж болно. "VPN"-ийн шийдлүүд нь PPTP, L2TP, IPsec болон SSH юм. Гэсэн хэдий ч аюулгүй байдлын нэмэлт давхарга нь "IPSec"-холболтуудын хувьд "Anger", "Deceit" болон Ettercap зэрэг "PPTP"[21], ike-scan, IKEProbe, ipsectrace болон IKEcrack зэрэг хэрэгслүүдээр эвдэгдэж болно.

Загвар:Temporal Key Integrity Protocol

Энэ нь түр зуурын үндсэн бүрэн бүтэн байдлын протокол бөгөөд товчилсон нэрийг "tee-kip" гэж дууддаг. Энэ нь IEEE 802.11i стандартын нэг хэсэг юм. "TKIP" нь багц бүрт холих системийг дахин түгжих системээр гүйцэтгэдэг бөгөөд мессежний бүрэн бүтэн байдлыг шалгах боломжтой. Эдгээр нь "WEP"-ийн асуудлаас зайлсхийдэг.

Хязгаарласан хандалтын сүлжээ

засварлах

Шийдэлүүд нь утастай болон утасгүй сүлжээнд аюулгүй байдлыг сайжруулалтыг өгдөг IEEE 802.1X-ийн шинэ систем юм. Эдгээр технологиудыг багтаасан утасгүй хандалтын цэгүүд нь ихэвчлэн чиглүүлэгчид байдаг бөгөөд ингэснээр утасгүй сүлжээний гарцууд "wireless gateway" болдог.

"End-to-end" шифрлэлт

засварлах

Энэ нь сүлжээний давхарга 2 болон сүлжээний давхарга 3 шифрлэлтийн аргууд нь нууц үг, хувийн имэйл зэрэг үнэ цэнэтэй өгөгдлийг хамгаалахад хангалттай сайн биш гэж үзэж болно. Эдгээр технологиуд нь шифрлэлтийг зөвхөн холбооны шугамын хэсгүүдэд нэмдэг бөгөөд тэдгээр нь утастай сүлжээнд нэвтрэх боломжтой бол хүмүүсийг тагнах боломжийг олгодог хэвээр байна. Энэхүү шийдэл нь SSL, SSH, GnuPG, PGP гэх мэт технологиудыг ашиглан програмын давхаргад шифрлэлт болон зөвшөөрөл өгч байж болох юм.

"End-to-end" аргатай холбоотой сул тал нь бүх урсгалыг хамарч чадахгүй байж болзошгүй юм. Чиглүүлэгчийн түвшин буюу "VPN" дээр шифрлэлт хийснээр ганц унтраалга бүх "UDP" болон "DNS" хайж буй бүх урсгалыг шифрлэдэг. "end-to end" шифрлэлт хийснээр үйлчилгээ бүрийг шифрлэх нь "асаалттай" байх ёстой бөгөөд ихэвчлэн холболт бүрийг тусад нь "идэвхжүүлсэн" байх ёстой. И-мэйл илгээхдээ хүлээн авагч бүр шифрлэлтийн аргыг дэмжиж, түлхүүр солилцох ёстой. Вэбийн хувьд бүх вэбсайтууд нь "https" санал болгодоггүй бөгөөд тэдгээрийг хийснийхээ дараа браузер нь IP хаягийг цэвэр текст дотор илгээдэг. Иймэрхүү хандалтыг хязгаарлахаар хайж байгаа оффисийн "LAN" эзэмшигч нь хэрэглэгч бүрийн чиглүүлэгчид өөрсдийгөө таниулж баталгаажуулах шаардлага тулгарах болно.

"RF" хамгаалалт

засварлах

Зарим тохиолдолд тусгай зориулалтын ханын будаг, цонхны хальсыг өрөөнд эсвэл барилгад байрлуулж утасгүй дохионы долгионыг эрс багасгааснаар төхөөрөмжийн дохиог гадуур түгээх боломжгүй болно. Энэ нь утасгүй аюулгүй байдлыг ихээхэн сайжруулах болно. Учир нь хакерууд нь аж ахуйн нэгжийн хяналтанд байдаг талуудаас зайлсхыж бусад өөр талаас оролдлого хийдэг, тухайлбал зогсоолын дотор дохиог хүлээн авахад хэцүү байдаг гэх мэт.[22]

"Denial of service" халдлагаас сэргийлэх

засварлах

Ихэнх DoS халдлагуудыг илрүүлэхэд хялбар байдаг. Гэсэн хэдий ч олонх нь илрүүлсний дараа ч зогсоход хэцүү байдаг. DoS халдлагад өртөх хамгийн нийтлэг гурван аргууд байна.

"Black holing" буюу Хар нүх

засварлах

"Black holing" нь "DoS" халдлагыг зогсоох нэг арга юм. Энэ бол бүх IP пакетуудыг халдагчаас хасах нөхцөл байдал юм. Энэ нь урт хугацааны стратеги биш, учир нь халдагчид өөрсдийн ахны хаягийг маш хурдан өөрчилж чадна. Энэ нь автоматаар хийгдсэн тохиолдолд сөрөг үр дагаварт хүргэж болзошгүй. Халдагч халдлагад өртөх пакетуудыг корпорацийн түншийн IP хаягаар мэдэж болно. Автомат хамгаалалт нь тухайн түншээс хууль ёсны хөдөлгөөнийг хааж, нэмэлт асуудлууд үүсгэж болзошгүй.

"Validating the handshake" буюу Гар барихыг баталгаажуулах

засварлах

Гар барихыг баталгаажуулах нь хуурамч нээлтийг үүсгэх бөгөөд илгээгчийг хүлээн зөвшөөрөх хүртэл нөөц байх юм. Зарим галт хана нь "TCP" гар барихыг урьдчилан баталгаажуулах замаар "SYN"-ийн үерт өртөж болно. Энэ нь худал нээлтийг бий болгох замаар хийгддэг. "SYN" сегмент ирэхэд галт хана нь "SYN / ACK" сегментийг сервер рүү, "SYN" сегментийг дамжуулалгүйгээр илгээдэг. Галт хана нь зөвхөн "ACK"-г буцааж авдаг бөгөөд энэ нь зөвхөн хууль ёсны холболтоор хийгдэх тохиолдолд галт хана анх "SYN" сегментийг анх төлөвлөсөн сервертээ илгээх болно. Галт хана нь "SYN" сегмент ирэхэд холболт хийх нөөцийг байршуулдаггүй тул маш олон хуурамч "SYN" сегментүүдтэй ажиллах нь бага ачаалал болж байгаа юм.

"Rate limiting" буюу Хязгаарлалт тогтоох

засварлах

Хязгаарлалт нь тодорхой төрлийн урсгалыг зохих хэмжээгээр харьцуулж болох хэмжээнд хүртэл бууруулахад ашиглагдаж болно. Дотоод сүлжээнд цацах боломжтой хэвээр байгаа ч зөвхөн хязгаарлагдмал түвшинд ашиглаж болно. Энэ нь илүү нарийн "DoS" халдлагад хэрэглэгдэх юм. Хэрэв халдлага нь ганц серверт чиглэсэн бол энэ нь сайн зүйл юм. Яагаад гэвэл энэ нь бусад холболтуудын хувьд наад зах нь хаалтлгүйгээр дамжуулах шугамыг хадгалдаг.


Нэмэлт үзэх

засварлах

Лавлагаа

засварлах
  1. "The Hidden Downside Of Wireless Networking". Татаж авсан: 2010-10-28.
  2. "How to: Define Wireless Network Security Policies". Татаж авсан: 2008-10-09.
  3. 3.0 3.1 "Wireless Security Primer (Part II)". windowsecurity.com. Татаж авсан: 2008-04-27.
  4. "Fitting the WLAN Security pieces together". pcworld.com. Татаж авсан: 2008-10-30.
  5. "Top reasons why corporate WiFi clients connect to unauthorized networks". InfoSecurity. Татаж авсан: 2010-03-22.
  6. Margaret Rouse. "Encryption". TechTarget. Татаж авсан: 26 May 2015.
  7. Bradely Mitchell. "What is Ad-Hoc Mode in Wireless Networking?". about tech. Татаж авсан: 26 May 2015.
  8. "SMAC 2.0 MAC Address Changer". klcconsulting.com. Татаж авсан: 2008-03-17.
  9. Lisa Phifer. "The Caffe Latte Attack: How It Works—and How to Block It". wi-fiplanet.com. Татаж авсан: 2008-03-21.
  10. "Caffe Latte with a Free Topping of Cracked WEP: Retrieving WEP Keys from Road-Warriors". Татаж авсан: 2008-03-21.
  11. Soltani, Ramin; Bash, Boulat; Goeckel, Dennis; Guha, Saikat; Towsley, Don (September 2014). "Covert single-hop communication in a wireless network with distributed artificial noise generation". 2014 52nd Annual Allerton Conference on Communication, Control, and Computing (Allerton). pp. 1078–1085. arXiv:1610.00384. doi:10.1109/ALLERTON.2014.7028575. ISBN 978-1-4799-8009-3. {{cite book}}: Unknown parameter |class= ignored (help)
  12. "Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards".
  13. "PCI DSS Wireless Guidelines" (PDF). Татаж авсан: 2009-07-16.
  14. 14.0 14.1 "The six dumbest ways to secure a wireless LAN", George Ou, March 2005, ZDNet
  15. "What is a WEP key?". lirent.net. Татаж авсан: 2008-03-11.
  16. [e.g. “Weaknesses in the Key Scheduling Algorithm of RC4” by Fluhrer, Mantin and Shamir
  17. "FBI Teaches Lesson In How To Break Into Wi-Fi Networks", informationweek.com
  18. "Analyzing the TJ Maxx Data Security Fiasco", New York State Society of CPAs
  19. "PCI DSS 1.2".
  20. Hacking Wireless Networks for Dummies
  21. Kevin Beaver; Peter T. Davis; Devin K. Akin (2011-05-09). Hacking Wireless Networks For Dummies. ISBN 9781118084922. Татаж авсан: 2009-02-09.
  22. "How to: Improve Wireless Security with Shielding". Татаж авсан: 2008-10-09.