Брандмауэрлер

date image 2015-06-05
views image 782
Поделись с друзьями: 
12

Кез-келген компьютерлерді бір-бірімен байланыстыру мүмкіндігі кей жағдайда жетістік болып есепте-леді, ал кейбіреулерінде, керісінше, кемшілік болып есептеледі. Интернетте ке-зігіп жүру мүмкіндігі үй қолданушыларына көп қуаныш әкеледі. Ал қауіпсіздік корпорация-сының бөлімінің менеджеріне бұл мүмкіндік жаман болып көрінеді. Көптеген компаниялар-дың үлкен көлемдегі жасырын ақпараттары желіге қосылған компьютерлерде орнатылған—коммерциялық құпиялар, өндірістің даму жоспары және т.б. Бәсекелестердің алдында осы мәліметтердің ашылуы қорқынышты нітижелерді тудыруы мүмкін.

Ақпараттың сыртқа шығу қаупінен басқа сонымен қатар, зиянды ақпараттың кіруі мүмкін, мысалы, вирус, құрт және т.б. цифрлық жұқпалы аурулар, олар құпияларды, құнды мәлі-меттерді жоюға қабілетті, және олармен күреске желілік администраторлардың көп уақыты кетеді. Көбінесе осы инфекцияны жаңа компьютерлік ойындарды ойнаған кезде қамсыз жұ-мыскерлер әкеледі.

Осының салдарынан арнаулы қорғану құралдары талап етіледі, олар “керекті” ақпаратты ішінде, ал ”зиянды” ақпаратты сыртта ұстайды. Осындай әдістің бірі ол IPsec- ті қолдану. Бұл әдіс мәліметтерді жіберу кезінде сақтайды. Алайда, шифрлеу локальдік желілерге кіре ала-тын вирустар мен хакерлерден қорғай алмайды. Оны тек брандмаэурлерді орнату арқылы қорғауға болады, енді соларға тоқталамыз.

Брандмаэурлер қазіргі заманда ортағасырлық қауіпсіздік қамтамасыз етілу принципінің жүзеге асырылуымен көрсетіледі. Олар бекініс айналасындағы қазылған орды еске түсіреді. Осы конструкцияның мағынасы мынада: бекініске кіретіндердің және шығатындардың бәрі оларды кіріп-шығу полициялары тексеретін көпірден өту керек. Осы принцип желілерде де қолданылуы мүмкін: компанияларда еркін әдіспен жалғанған локальді желілер болуы мүмкін, бірақ сыртқы трафик электронды көтермелі көпірден (Брандмаэур)өту керек. Ол 8.25- суретте көрсетілген.

8.25-сурет. Екі пакетті фильтрден және қолданбалы деңгейдегі шлюзден құралған брандмаэур

Брандмаэур берілген конфигурацияда екі компоненттен тұрады: екі маршрутизатордан, фильтрлі пакеттен және қолданбалы деңгейдегі шлюзден.Сонымен қатар қарапайым констру-кциялар да болады, бірақ олардың артықшылығы мынада: әрбір кіргісі немесе шыққысы келе-тін пакет екі фильтрден және бір қолданбалы шлюз деңгейінен өту керек. Басқа жол жоқ.

Әрбір пакетті фильтр кең функциялары бар стандартты маршрутизаторды ұсынады, олар кі-ретін және шығатын пакеттерді анализдеуге мүмкіндік береді. Анықталған критерияларды қа-нағаттандыратын пакеттер фильтр арқылы өткізіледі. Тексеруден өте алмаған пакеттер өшірі-леді.

8.25- суретте көрсетілген ішкі локальді желінің пакетті фильтрі шығатын пакеттерді тексе-реді, ал сыртқы локальді желінің пакетті фильтрі кіретін пакеттерді тексереді. Бірінші бөгет-тен өткен пакеттер әрі қарай зерттеуді жалғастыру үшін қолданбалы шлюз деңгейіне барады. Екі фильтрдің әр түрлі локальді желілерде орналасуы ешқандай пакет бір желіден екіншісіне қолданбалы шлюз деңгейін өтпей бармайтынына кепілдік береді. Оның айналасында айналып өтетін жол жоқ.

Пакетті фильтрлер әдетте жүйелік администраторлар ұсынған кестелермен басқарылады. Бұл таблицаларда мүмкін және айырушы жіберушілер мен қабылдаушылар, сонымен қатар шығатын және кіретін пакеттердің істерін сипаттайтын ережелер көрсетңлген.

Жалпы жағдайда TCP/IP ақпараттарының қабылдаушысы немесе алушысы IP- адрестен және порт номерінен тұрады. Порт номерлері керекті қызметтерді анықтайды. Мысалы, порт 23 -- Telnet программасы үшін, порт 79 – Finger прграммасы үшін, ал порт 119 – USENET желісінің жаңалықтары үшін. Компания барлық кіретін пакеттерді барлық IP- адрестерінің кез-келген осы порт номерлері үшін жабуы(блокирование) мүмкін. Осыдан, енді бөтен біреу желіге Telnet арқылы кіре алмайды немесе Finger прграммасы арқылы ағымдағы желіні қол-данушылар ті-зімін көре алмайды. Және де осындай әдіспен компания өзінің қызметкерлері күні бойы USENET-ті оқытқызбай алады.

Шығатын пакеттерді жабу (блокирование) жабу қиынырақ. Көптеген сайттардың атаулары стандартты келісімге сай келуіне қарамастан, ешкім оларды осыған ұстануға мәжбүрлемейді. Одан басқа, кейбір маңызды қызметтерге, мысалы FTP (File Transfer Protocol—файлдарды бе-ру протоколы) үшін порттардың номерлері динамикалық тағайындалады. ТСР- қосылуын жабу(блокирование) оңай іс емес, ал UDP - пакеттерін жабу одан да қиын, өйткені, олар не іс-тейтінін алдын-ала айтуға болмайды. Сондықтан көптеген пакетті фильтрлер UDP - трафигіне тіптен тыйым салады.

Брандмаэурдың механизмінің екінші бөлігін қолданбалы деңгей шлюзі көрсетеді. Жай пакеттерді қараудың орнына бұл шлюз қолданбалы деңгейде жұмыс істейді. Мысалы, әрбір кіретін және шығатын мәлімдемені қарайтын почталық шлюз орнатылуы мүмкін. Әрбір мә-лімдеме бастаулар өрісінің құрамына қатысты, мәлімдеменің өлшеміне және құрамына(мы-салы, әскери объектіде жұмыс істейтін шлюз арнайы әдіспен “атомдық” немесе ”бомба” кілт-тік сөздеріне әрекет етуі мүмкін) қатысты өткізіледі немесе итеріледі.

Мүмкін бір уақытта ерекше үсемелерге бірнеше шлюздер орнатылуы мүмкін, бірақ, сақ ұйымдар жиі электрондық почталармен ауысуға рұқсат береді тіптен WWW, алайда, қалған-дарына тыйым салады. Пакеттердің шифрлеу мен фильтрлеу үйлесуінде сәйкес шаралар қау-іпсіздік деңгейін кейбір қолайсыздық жағдайлар арқасында қамтамасыз етеді.

Тіпті керемет құрылған брандмаэурдан қауіпсіздікпен байланысқан көптеген проблемалар қалады. Мысалы, егер кіретін пакеттер тек қана белгілі бір желілер жағынан өткізілсе, бранд-маэурдың жұмысынан тыс жерде орналасқан бұзушы жіберушінің адресін фальсифицирлейді және сол арқылы бөгеттен өтеді. Егерде компанияның адал емес жұмыскері құпиялық доку-ментті қайта жібергісі келсе, ол оны қайта шифрлей немесе фотоға түсіре алады, сонда осы мәліметтер кез келген лингвистикалық анализатордан өте алады. Біз тіпті мына фактті қозға-маймыз, алдамшылардың 70%-ы брандмаэур жұмыс зонасында болады. Көп жағдайда олар көңілсіз жұмыскерлер болады (Scheier, 2000).

Соған қарамастан ешқандай брандмаэурлер күресе алмайтын бірсыпыра шабуыл кластары болады. Брандмаэурлер негізінде жатқан идея—ол бұзушыларға жүйеге кіруге жол бермеу, ал құпия мәліметтерге – сыртқа шығармау. Өкінішке орай, әлемде сайттардың жұмыс істеуіне бөгет жасайтын адамдар бар. Олар сайт шамадан тыс жүктеменің әсерінен жұмыс істемеге-нінше заңды мәліметтерді жібере береді. Мысалы, мұндай бұзақылық пакеттер жіберуінде SYN байланысын орналастыру үшін. Сайт осы байланысқа кестенің бөлігін бөледі және жа-уабын SYN+ACK пакетіне жібереді. Егер бұзушы жауап бермесе, онда кестелік жазба тайм-аутқа бірнеше секунд қалғанша дейін тұрады. Егер байланысқа бір уақытта мың сұраныс жі-берілсе, онда ешқандай адал азаматтардың сұраныстары серверге келмейді, өйткені, таблица ұяшықтары бос болмайды. Құпиялық мәліметтерді алу емес, керісінше, мақсаты объект жұ-мысын бұзу болып келетін шабуылдар DOS ( Denial of Service—сұраныс қызметін қабыл ал-мау ) типті шабуылдар деп аталады. Әдетте, жіберушінің пакеттегі адресі сұраныстармен бірге фальсифицирленген, сондықтан вандалды табу оңай емес.

Сонымен қатар осындай шабуылдың қатаң түрі бар. Егер желілік бұзақы әлемде орналасқан жүздеген компьютерлерді сындырса, онда ол оларға бір ғана серверге сұраныстар жіберуін талап етеді. Осыдан бұзақыны табу қиынға түседі, өйткені пакеттер әр түрлі белгісіз ком-пьютерлерден келеді. Осындай шабуылдың типі DDoS (Distributed Denial of Service—белгі-ленген сұраныс қызметін қабыл алмау). Егерде шабуыл жасалатын машина дұрыс сұранысты тез таба алатын болса, онда оның қайта өңдеуі мен шеттелуіне уақыт керек етіледі, ол орын-далғанша басқа сұраныстар келеді, және нәтижесінде орталық процессор әр уақытта олардың өңделуінен бос болмайды.

1.3. Сымсыз желілердің қауіпсіздігі

Практикада елеуіш сияқты өтетін, логикалық жағынан түгел сенімді, яғни VPN бранд-мауэрлерінен тұратын желіні құру таң қаларлық жеңіл екен. Егерде желіде мәліметтерді, брандмауэр үстінен екі жаққа өтетін, радиосигнал арқылы беретін сымсыз машиналар бар болса, онда жоғарыда айтылған жағдай болуы мүмкін. 802.11 типті желінің радиусы бірнеше жүздеген метр болуы мүмкін, сондықтан ақпаратты алғысы келген шпион фирманың алдындағы аялдамаға келіп, машинаға,802.11 қабылдайтын және эфирдегі барлық естілетін дыбыстарды жазатын, ноутбугін тастап қалаға шығып қыдыруына болады. Кешке таман ол қатты дискіде көп құнды ақпаратты көреді. Теориялық тұрғыда мұндай жағдай болмау керек. Бірақ та, онда теориялық тұрғыда банкілерді тоңау да болмау керек.

Қауіпсіздіктің көптеген проблемаларына өткізгіштігі жоқ станциялар базасын құрушылары-на рахмет айту керек. Әдетте, егер қолданушы өзінің құрылғысын сөмкесінен шығарып, ро-зеткаға сұқса, онда ол бірден жұмыс жасай бастайды, және практикалық жағынан әрқашанда радио байланыс зонасындағы адамдар айтылып қойған кез келген құпияларды естуі мүмкін. Ал егерде осы құрылғыны Ethernet- ке қосса, онда локальдік желі арқылы өтетін трафик ма-шинадағы ноутбук арқылы алынуы мүмкін. Өткізгіштігі жоқ байланыс – ол шпионның орын-далмас қиялы: ақпарат қолға өзі келеді, оны тек ұстап үлгеру керек. Осыған қарағанда, өткіз-гіштігі жоқ желінің қауіпсіздігі туралы сұрақ өткізгіштігі бар желінің қауіпсіздігі туралы сұ-рағынан әлдеқайда күрделі. Осы бөлімде біз осы мәселені қарастырамыз.

1.4. 802.11 желісіндегі қауіпсіздік

802.11 стандарты WEP деп аталатын мәліметтерді беру деңгейінің қауіпсіздік протоколын сипаттайды, ол сымсыз ЛВС-ті өткізгіштігі бар сияқты кылып қорғайды.

802.11 желісінде қауіпсіздік жүйесі бар болған жағдайда әрбір станция мәліметтер станци-ясы бар жалпы жабық кілтке ие болады. Кілттерді тарату әдісі стандарт бойынша айтылма-йды. Олар тек құрушы арқылы құрылғыларда немесе программаларда орнатылуы мүмкін. Оларды алдын ала өткізгіштік желі арқылы алмастыруға болады. Соңында, я базалық станция немесе қолданушы машинасы кездейсоқ әдіспен кілтті таңдап және оны қарама қарсы жаққа жібере алады, сонымен қатар осы жақты ашылған кілтпен шифрлей алады. Орнатылғаннан кейін кілттер көп ай бойы немесе жылдар бойы өзгеріссіз қала алады.

WEP арқылы шифрлеу RC4 алгоритм негізінде құрылған ағымды шифрді қолданады. RC4-ті Роналд Ривест құрған. Осы алгоритм 1994 жылы интернетте көрінгенше дейін құпияда сақ-талып келген. Біз жоғарыда айтқандай, қандай да бір алгоритмді құпияда сақтау мүмкін емес, тіпті қарапайым мақсатпен: интеллектуальді меншікті заң арқылы қарау (RC4 жағдайы), ал оны бұзушылардан қорғау туралы тіпті айтпауға да болады (ал мұндай есепті RC4 құрушы-лары алдына қойған жоқ). WEP-та RC4 ағымдық шифр арқылы тарайды, ал ағымдық шифр ашық тектпен 2 модуль арқылы қосылады, нәтижесінде шифрлік текст пайда болады.

Әрбір пакеттің пайдалы жүктемесі 8.27- суретінде көрсетілген әдіспен шифрленеді. Басында бақылау қосындысы тексеріледі, ол пайдалы жүктемеге қосылады. Осылай шифрлеу алгоритміне берілетін ашық текст пайда болады. Осы ашық текст ағымдық кілттің, өзінің өлшеміне сәйкес, кесіндісімен 2 модуль арқылы жиналады. Осы түрлендірулердің нәтижесі шифрленген текст болып келеді. RC4- ті жіберуге қажетті инициализация векторы шифрмен бірге беріледі. Пакетті алғаннан кейін қабылдаушы одан шифрленген мәліметтерді алады (пайдалы жүктемені), жаңа ғана қабылдаған инициализация векторы мен жалпы жабық кілт-тен кілттік ағымды құрайды, содан кейін кілттік ағым пайдалы жүктемемен 2 модуль арқылы қосылады, ал ол қабылданған ақпараттың дұрыстығына көз жеткізеді.

Бір қарағанда мұндай әдіс көз жетерліктей болып көрінеді, алайда оны бұзу әдісі әлдеқайда жарияланған (Borisov). Әрі қарай осының нәтижелері көрсетіледі. Біріншіден, көбісі барлық қолданушыларға бірдей кілттерді қолданады, ал осыдан барлық қолданушылар бір бірінің трафиктерін оқып қоя алады. Бұл, әрине, Ethernet қабылдаған эквивалентке сәйкес келеді, алайда, ол онша қауіпсіз емес.

Алайда, барлық қолданушыларға әр түрлі кілттерді таратса да, WEP бәрі бір де бұзылуы мүмкін. Кілттер көптеген периодты уақыт бойы өзгермейтіндіктен, WEP стандарты әрбір па-кетті, қайталану әдісі шабуылын болдырмас үшін, беру кезінде инициализация векторын өз-гертуді ұсынады. Өкінішке орай, көптеген ноутбуктың 802.11 желі стандарт карталары ини-циализация векторын ажыратуға қойғанда 0-ге тастайды, ал әрбір пакетті жібергенде 1-ге үл-кейтеді. Егерде Труди нәтижелері бірдей инициализация векторлары бар, бір ғана қолданушы жіберген бірнеше пакеттерді жинаса, онда ол ашық текст блогінің 2 модуль арқылы қосынды-сын есептей алады, және мүмкін ода шифрді бұзу мүмкіндігі болатын шығар.

Тіпті егерде 802.11 желі картасы инициализация векторының мәндерін әр пакетке кездейсоқ әдіс арқылы алатын болса да, вектордың шектеулі ұзындығына байланысты пакеттердің 2(34) берілуінен кейін векторлер қайталана бастайды. Сонымен, желіні бірнеше минут тындағаннан кейін Труди бірдей инициализация векторы мен кілті бар пакетті алуы мүмкін. Осы екі пакет-ті модуль арқылы қосып, ол ашық текстілердің қосындысын алады. Ал ол биттік тізбекті шы-ғатын мәліметтерді қалпына келтіру үшін әр түрлі әдістермен шабуылдауға болады. Бірнеше тырысулардан кейін инициализация векторына кілттік ағымды таңдауға болады. Өзінің зерт-теулерін жалғастыра отырып, Труди әр түрлі векторлерге кілттік ағымдардың толық сөздігін құра алады. Инициализация векторын бұзу арқылы желі арқылы өтетін барлық пакеттерді шифрлеуге болады.

Әрі қарай Труди векторлердің мәндерін кездейсоқ әдіспен алу арқылы жұмыстық жұпты анықтай алады, ал ол өзінің еркін пакеттерін таратуды бастау үшін қажет. Ол қалыпты мәлі-меттер ауысуына көп кедергі келтіруі мүмкін. Теориялық тұрғыда, қабылдаушы жақ көп па-кеттер бірдей мәнді инициализация векторларына ие екенін байқауы мүмкін, бірақ WEP оған рұқсат береді, алайда, шындығында оны ешкім тексермейді де.

Ақырында, CRC көмегі арқылы тексеру де – аңғырт әдіс болып келеді, Труди пайдалы жүк-темені, артықшылық жағынан циклді кодқа сай келетіндей етіп,өзгерте алады, ал ол үшін тіпті мәліметтің өзін шифрлеу қажет емес. Қысқаша айтқанда, 802.11 қорғанысын бұзу өте қи-ын емес, ал біз Борисов арқылы табылған барлық әдістерді әлі айтқан жоқпыз.

Борисовтың жұмысы жарияланып бір ай өткеннен кейін 2001- дің тамызында тағы да бір WEP- ті (Fluhrer) құлатпайтын құжат жарияланды. Мұнда RC4 алгоритмінің әлсіз жері көр-сетілген. Флурер және оның әріптестері көптеген кілттердің бір жағымсыз қасиетке ие бола-тынын аңғарды: кілттңк ағымды анализдеу арқылы кілттің кейбір разрядтарын алуға болады. Егерде шифрге шабуылды бірнеше рет қайталаса, онда соңында кілтті бүтіндей алу мүм-кіндігіне жетеді. Ол үшін тіпті көп күш жұмсаудың қажеті жоқ. Дегенмен, Флурер қандайда бір 802.11 желілерін бұзу мақсатында өзінің теориялық қорытындыларын қолданған жоқ.

Осымен бірге, бір студент- практикант және AT&T Labs компаниясының екі ғалымдары Флурердің еңбегі туралы білгеннен кейін, осы сипатталған әдісті практика негізінде жүзеге асырғылары келді. Бір аптаның ішінде 802.11 желісінде қолданылған 128- разрядті кілті бұ-зылды. Оның үстіне, аптаның көп бөлігі 802.11 желісінің ең арзан желісін іздеуге кетті, және оны қолдану рұқсатына, сонымен қатар оның орнатылуына және тестілеуіне кетті. Програм-малау екі сағатты алды.

Өз істерінің нәтижелерінің хабарлауынан кейін CNN телекомпаниясы “ Өткізгіштігі жоқ же-лінің қауіпсіздігін Керемет хакер бұзады ” деген атты тарихын ойлап табады, мұнда осы ин-дустрияның кейбір гурулары тәжірибе нәтижелеріне мысқылдағысы келді. Ал Флурердің ең-бегінің нәтижелері тәжірибені өте мылжыңдық етеді. Техникалық көзқарастан қарағанда, ол расында да солай, алайда негізі мұнда емес, ол мынада: біріккен екі топтың күштеріне WEP және 802.11 стандарттары құлатулы болды.

2001 жылдың 7- қыркүйегінде IEEE институты WEP стандартының құлауына үлкен емес бюллетень негізінде жауап берді. Мұнда алты позиция аталған:

1. Біз WEP қамсыздандырылған қауіпсіздік деңгейі, Ethernet- ден жоғары еместігі туралы ескерттік

2. Қауіпсіздікпен қамсыздандыру туралы жай ұмытып кету өте қауіпті

3. Басқа бір қауіпсіздік жүйесін жетілдіріп көруге тырысу керек (мысалы, транспорттық деңгейде).

4. Келесі 802. Hi нұсқасы, сөзсіз, сенімді қорғанышқа ие болады.

5. Болашақта сертификация 802.11 I нұсқасын міндетті түрде қолдануды еске алады.

6. Біз 802.11 I шыққанша дейін не істейтінімізді шешеміз.

Біз осы жағдайды, оқырман қауіпсіздікпен қамтамасыздандыру, тіпті,мамандардың өзіне оңай іс емес екендігін сезіну үшін, біршама көп немесе аз мөлшерде қарастырдық.

1.5. Bluetooth жүйелеріндегі қауіпсіздік

Bluetooth жүйесінің істегі радиусы 802.11 желілерінің радиусына қарағанда біршама қысқа болып келеді, сондықтан бұзушы, ғимарат алдында қойып кеткен машинасының ішіндегі ноутбук арқылы, шабуыл жасай алмайды, алайда, бұл жерде де қауіпсіздік туралы сұрақ маңызды болып келеді. Мысалы, Алисаның компьютері Bluetooth стандартындағы өткізгіштігі жоқ пернетақтамен жабдықталған делік. Егер қорғаныш жүйесін орнатпаса, он-да көрші офисте отырған Труди ешқандай қиындықсыз Алисаның почта арқылы алған мағ-лұматын оқи алады. Әрі қарай біз осы схеманың негізгі ерекшеліктерін қарастырамыз.

Bluetooth-дің қорғаныш жүйесі үш режимде жұмыс істей алады, ол толық әрекетсіздік-тен басталып мәліметтерді жаппай шифрлеумен аяқталып және бүтіндік бақылауын қамта-масыз етеді. 802.11 жағдайындағыдай егер қорғаныш жүйесі сөндірулі тұрса, онда ешқандай қауіпсіздік туралы айтудың керегі жоқ. Қолданушылардың көбі қорғаныш жүйесін қатты күрсіл болмайынша қоспайды. Оған ауылшаруашылық мысалын айтуға болады: ат қораның есігін тек ат жоғалғаннан кейін ғана жабады.

Bluetooth қауіпсіздікті бірнеше деңгейде қамтамасыз етеді. Физикалық деңгейде жиі-ліктің секірмелі ауысулары қолданылады, бірақ микрожүйеде пайда болатын қандайда бір құрылғы болмасын, жиіліктің секіру тізбегін білу керек, сірә, бұл тізбек жасырын емес. Ақ-параттың нағыз қорғанышы, қайтадан келіп бағындырылған құрылғы, бағыттаушы құрыл-ғымен байланысу үшін канал сұрауға тырысқан кезде, байқала бастайды. Екі құрылғы да алдын ала орнатылған жабық кілтті қолданады деп жобаланады. Кейбір жағдайларда ол құ-рылғылардың екеуінде де тігіледі (мысалы, бірге сатылатын гарнитурда және ұялы теле-фонда). Ал басқа жағдайларда құрылғыларды біреуінде кілт тігілген (мысалы, гарнитурда), ал кездесетін құрылғыда (мысалы, ұялы телефонда) қолданушы кілтті өзі ондық сан ретінде қолмен енгізу керек. Осындай типтегі жалпы кілттер қандай құлыпты болсын аша ала-тын аспап деп аталады (отмычка).

Канал орнатар алдында бағынатын және басқаратын құрылғылар, оларда қандай құлып-ты болсын аша алатын аспап бар ма екенін анықтау керек. Егер жауап қанағаттанарлықтай болса, онда олар канал қандай болатындығына келісу керек: шифрленген және бүтіндік ба-қылауы бар, әлде тек шифрленген және тек әлде бүтіндік бақылауы бар. Содан кейін 128-разрядті сеанс кілті таңдалады, ондағы кейбір биттер көпшілік қолды болуы мүмкін. Мұндай босаңдық, әр түрлі мемлекеттер үкіметі арқылы және экспортқа тыйым салатын және кілттерді қолдануға, бұл кілттердің ұзындығы оған қарағанда үлкен, ал ол үкіметті бұзуы мүмкін, шектеулі жүйелер мақсатына сәйкес жасалған.

Шифрлеу Е0 ағымдық шифрды қолдану арқылы орындалады, ал бүтіндік бақылауы—SAFER+ -ті қолдану арқылы орындалады. Мынау да, анау да симметриялық кілттері бар дәстүрлік блоктік шифрлерді білдіреді. SAFER+ -ті AES- те қолдануға тырысты, алайда, осы ойдан тез бас бұрды, үйткені, ол басқаларына қарағанда өте баяу жұмыс жасайды. Bluetooth-да жұмыс істеу AES шифрі таңдалғанша дейін бітірілді; кері жағдайда, мүмкін, Rijndael алгоритмі қолданылатын еді.

Ағымдық кілтті қолдану шифрация процесі 8.12- суретте көрсетілген. Мұнда, ашық текст 2 модуль арқылы ағымдық кілтпен қосылатындығы көрініп тұр. Нәтижесінде шифр-ленген текст алынады. Өкінішке орай, Е0 алгоритмі RC4 сияқты әлсіз. Кітаптың жазылу моментінде ол әлі бұзылмағанына қарамастан, оның А5/1 шифріне ұқсастығы барлық GSM- трафик қауіпсіздігінің құлауына себеп тигізуі, көңілсіз ойларды алып келеді.

Bluetooth қауіпсіздігінің тағы да бңр проблемасы, ол жүйе қолданушыларды емес, тек құрылғыларды идентифицирлеуінде. Ал ол мынаны білдіреді: bluetooth құрылғысын ұрла-ған ұрлықшы құрбан болушының финанстық және т.б. счетына кіре алады. Соған қарамас-тан, Bluetooth қауіпсіздігінің жүйесі жоғары деңгейде жабдықталған, әсіресе егер PIN- код енгізілсе.

1.6. WAP 2.0 қауіпсіздігі

WAP құрушыларының форумы,WAP 1.0 стандарты үшін ойластырылған стандартты емес протоколдарының стекінен сабақтарды алғанын мойындау керек. Бірінші нұсқаға қара-ғанда WAP2.0 барлық деңгейде стандартты протоколдармен сипатталады. Ол қауіпсіздік сұрақтарына да қатысты. IP- ді тірек етіп, ол Ipsec-тің,желі деңгейінде барлық мүмкіндік-терін қолдайды. ТСРбайланысты транспорттық деңгейі TLS IETF стандартымен қорғауға болады. Ал көп жоғары деңгейде RFC 2617 идентификациясы қолданылады. Қолданбалы деңгейдің кітапханасы бақылау бүтіндігін және жалған ақпаратты табуды қамтамасыз етеді. Соңғы нәтижеде WAP2.0 белгілі стандарттарда негізделгеннен қорғаныш қызметтері: құ-пиялылық, идентификация, жалған ақпаратты табу сияқтылар 802.11 мен Bluetooth-ге қара-ғанда анағұрлым жақсы жұмыс жасайды.

2 - Бөлім.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

12

double arrow
Сейчас читают про:
article image
Методы и средства гигиенического обучения и воспитания населения
article image
Анализ дебиторской задолженности
article image
Недостатки речного транспорта
article image
ПРОИЗВОДИТЕЛЬНОСТЬ ТРУДА
article image
Индексы переменного и постоянного состава, индекс структурных сдвигов
article image
Объяснительно-иллюстративный метод обучения
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Если А – жизненный успех, то А = Х + У + Z, где: Х – работа, У – азарт, Z – плотно закрытый рот. © Эйнштейн ==> читать все изречения...
like icon 7302
like icon 7063
Понравился сайт? Поделись им с друзьями: