утасгүй сүлжээ
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

утасгүй сүлжээ

  • 690 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
690
On Slideshare
690
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
23
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Cisco Mongol Facebook group Admin: Dorjerdeneochir@gmail.com Twitter: @Ochir_D Утасгүй сүлжээний аюулгүй байдлын тухай.     Утасгүй сүлжээ гэж юу вэ ? Wireless security: A wireless intrusion prevention system / утасгүй сүлжээний халдлага удирдчилан сэргийлэх систем/ Security measures / аюулгүй байдлын хэмжүүр. Арга барил./ o SSID hiding o MAC ID Filtering o Static IP addressing o Wireless Security protocol ( WEP,WPA, WPA2) o Implementing network Encryption – сүлжээнд шифрлэлтийг хэрэгжүүлэх. o RADIUS – Remote Authentication Dial-in User Service. o Open access points 2014 он
  • 2. Утасгүй сүлжээ гэж юу вэ ? Энэ технелоги 1997 он гэхэд IEEE -802.11 нэршилтэй стандарт болж батлагдсан. Утасгүй сүлжээ гэдэг нь 2 ба түүнээс дээш төхөөрөмж тархалтат долгион (spread spectrum division multiplexing) эсвэл OFDM(Orthogonal frequince division multiplexing) хувиргалтын технелоги ашиглан утасгүй холбогдон мэдээлэл солилцохыг хэлнэ. Утасгүй сүлжээний давуу тал     Хүссэн газраасаа сүлжээнд холбогдох боломжтой. Сүлжээний хүрээнд шилжилт хийж хөдлөх боломж олгоно. Утасгүй сүлжээг суурилуулахад хялбар учир нь утсан сүлжээ шиг кабел татахаас эхлээд асуудал гарахгүй. Утасгүй сүлжээнд хэрэглэгчид утас кабел ашиглан холбогдох шаардлагагүй байдаг тул өргөтгөхөд хялбар. Wireless security: Wireless security ( Утасгүй сүлжээний аюулгүй байдал ) гэдэг бол утасгүй сүлжээг ашиглаад тухайн мэдээлэл болон компьютерт хууль бусаар хандах, эвдэрлээс урьдчилан сэргийлэхийг хэлнэ. A wireless intrusion prevention system / сэргийлэх систем/ утасгүй сүлжээний халдлага удирдчилан Wireless intrusion Prevention System (WIPS) бол утасгүй аюулгүй байдлын эрсдлийн эсрэг хамгийн хүчирхэг аргын тухай ойлголт юм. Гэсэн хэдий ч ийм WIPS програм хангамжийн багц хэлбэрээр хэрэгжүүлхэд бэлэн боловсруулсан шийдэл гэж байхгүй байна.. Security measures / аюулгүй байдлын хэмжүүр. Арга барил./ Бодит байдал дээр утасгүй сүлжээний аюулгүй байдал янз бүрийн хүрээнд байдаг. Үр нөлөөтэй аргууд нь дараах болно 1. SSID hiding : Service Set Identifier hiding :Утасгүй сүлжээний хувьд SSID-г нууна гэдэг бол хялбар боловч үр дүн муутай арга. 2. MAC ID Filtering : мөн хялбар аргуудын нэг бөгөөд зөвхөн урдчилан мэдэж байгаа MAC address –тай төхөөрөмжид хандах эрх өгнө. Бүх wireless access point адилхан MAC ID filtering төрөл агуулдаг. Халдагч буюу дайрагчийн хувьд баталгаажсан хэрэглэгчин MAC хаягийг шүүж олж авхад амархан. 3. Static IP addressing: жирийн wireless access point нь client буюу хэрэглэгч нард DHCP хэрэглэж IP address өгдөг. Wireless access point-с client хэрэглэгч нь үргэлж IP
  • 3. хаяг шаардах буюу broadcast request message явуулдаг. Энэ халдагч нарт бас нэгэсэн халдах боломж болдог. 4. Wireless Security protocol: утасгүй сүлжээний аюулгүй байдлыг хангахын тулд протоколууд хэрэглэх ба үүнийг тоймлож үзвэл. Эхэн үеийн шифрлэх протокол. Завсарын үеийн Одоо үеийн шифрлэх протокол шифрлэх протокол WEP WPA 802.11i/WPA2  Баталгаажуулалт нь хүчтэй биш.  Тодорхой  AES стандартай. шифрлэлт  Тогтомол болон хялбар түлхүүртэй  Шифрлэлт нь  Баталгаажу сайжирсан. улалт:  Өрөгжих боломжгүй 802.1x  ( LEAP,PEAP, EAP-FAST ) гэх  Dynamic мэт key баталгаажуулалт management дээр  WPA2 is the үндэслэгдэсэн Wi-Fi хэрэглэгч Alliance implementati on of 802.11 4.1 WEP – Wireless Equivalent Privacy: WEP нь IEEE 802.11 утасгүй сүлжээг хамгаалах алгоритм бөгөөд өнөө үед нилээн хоцрогдсон. Утасгүй сүлжээний мэдээлэл нь агаараар радио долгионоор цацагдан дамждаг учир ердийн утастай сүлжээг бодвол дохио замаас барьж аван "хулгайлах" боломжтой байдаг. Иймээс 1997 онд утасгүй сүлжээнд нууцлал нзвтрүүлэх зорилгоор WEP-г анх гаргажээ.WEP нь 40-бит, 128-бит болон заримдаа 256-битийн урттай түлхүүр ашиглан утасгүй сүлжээнд төхөөрөмж холбогдох үед урьдчилан тохируулсан нууц үгийг 16-тын тооллоор асуух байдлаар нууцлал хийдэг хэдий ч нууц түлхүүрийн энгийн хэлбэр, радио долгионоор дамжуулж байгаа мэдээлэл дундаас чухал түлхүүр хэсгийг барих боломжтой зэргээс шалтгаалан харьцангүй хялбараар нууц үгийг тайлан сүлжээнд зөвшөөрөлгүй нэвтэрч болдог байна. 4.2 WPA/WPAv2: Шинэчлэгдэн гарсан эдгээр нууцлалын стандартууд нь өмнөх WEP-ийн сул талуудыг арилгахыг зорьсон.
  • 4. WPA – Wi-Fi Protected Access WPA нь утасгүй сүлжээнд холбогдосон төхөөрөмжүүдын найдвартай байдлыг үзүүлж байгаа аюулгүй байдлын стандарт юм. Үүний гол зорилго нь WEP дахь сул байдлыг шийдвэрлэхэд оршино. Утасгүй сүлжээнд хандах үедээ 128 bit –н TKIP агуулдаг. TKIP (Temporal Key Integrity Protocol ) агуулсанаараа нэмэлт нууцлалыг хангана гэж үзэж байсан ч TKIP нь тодорхой хэмжээний сул талтай эрсдэлтэй байсан учир EAP ( Extensible Authentication Protocol ) –г нэмж нэвтрүүлсэн байна. TKIP-г тайлж унших боломж байдаг ч энэ хэцүү. WPA2 -Wi-Fi Protected Access 2 WPA2 нь утасгүй сүлжээнд холбогдосон төхөөрөмжүүдын найдвартай байдлыг үзүүлж байгаа аюулгүй байдлын стандарт юм. Үүний гол зорилго нь IEEE 802.11i стандардын дагуу шаардлагатай түвшинд хүргэх явдал юм. WPA-гийн сайжруулсан хувилбар бөгөөд Wi-Fi Alliance-гийн гэрчилгээг шаардахаас гадна. ( Advanced Encryption Standard ) нэмэгдэсэнээр илүү сайн хамгаалалт болж чадсан. Өнөөдрийн байдлаар хамгийн сайн хэрэглэж гэж хэрэгдэж байгаа утасгүй сүлжээний аюулгүй байдлын стандарт юм. WPA 2 нь IEEE.11i стандартын дагуу бүрэн ажилдаг. TKIP- Temporal Key Integrity Protocol  Пакет тус бүр дээр улам нарийн AES- Advanced Encryption Standard  128, 192, 256 битийн түлхүүр төвөгтэй битийн кодчилол нэмж шифрлэдэг.  үгийг шифрлэдэг ба шифрлэлтыг буцааж тайлхын хувьд ижилхэн Utilizing the RC4 stream cipher - код хэрэглэдэг. 128-bit encryption keys and 64-bit authentication key  TKIP дээр тулгуурлан аюулгүй байдлын түвшинг нэмэгдүүлсэн. WPA ба WPA2 нь хэрэглэгч нарт Target буюу тухай Access point оо зааж өгхөд 2 өөр арга хэрэглэдэг. WPA/WPA2 - Personal: ямар нэгэн authentication server шаардахгүй. WPA-PSK -г WPA2PSK эсвэл WPA Personal гэж нэрлэдэг. Pre-Shared Key ( PSK) бол Wi-Fi connection эсвэл wireless LAN(WLAN) хэрэглэгч нарыг таниулан нэвтрэх болон баталгаажуулах зорилгоор
  • 5. ашигладаг аюулгүй байдлын механизм юм. WPA-PSK -тэй WLAN-н нууц үг нь 8-63 тэмдэгтээр бичсэн байх үед л ажилдаг. Нууцлалын үндэс нь Access-Point (router) –д хэрэглэгчидын холболтыг тодорхойлхын тулд 256 bit-н тэмдэгт key үүсгэдэг. AP болон хэрэглэгчийн төхөөрөмж нь encryption ба decryption хийхийн тулд хувааж хэрэглэдэг. WPA/WPA2 - Enterprise: RADIUS authentication server шаардана. Энэ aвтоматаар key үүсгэдэг ба томоохон аж ахуйн хүрээнд баталгаажуулдаг. Extensible Authentication Protocol (EAP ) бол Point to Point ( P2P ) утасгүй сүлжээ ба Local area Network ( LAN ) нь authentication механизмын төрөл бүрийн өгөгдөлийн мэдээлэл шаардаг. EAP нь энгийн dialup болон LAN холболтыг танихад ашигладаг. Its major scope is wireless network communication such as access points used to authenticate client-wireless/LAN network systems. 5. Implementing network Encryption – сүлжээнд шифрлэлтийг хэрэгжүүлэх. 802.11i хэрэгжүүлэлтээс гадна. Router/access point(s) 2-г найдвартай байлгах ѐстой. Мөн түүнчилэн бүх client төхөөрөмж нь сүлжээнд шифрлэлт хийх, дэмжих зориулалтай байх хэрэгтэй. Хэрвээ ийм бол RADIUS, ADS, NDS, эсвэл LDAP гэх мэт серверүүдтэй нэгтгэх хэрэгтэй. Энэ сервер нь local network дахь computer ба хандалтын цэг / баталгаажуулсан сервэр бүхий router мөн remote server байж болно. AP-н бүхий router-үүд нь ихэвчлэн өндөр өртөгтэй байдаг ба баталгаажуулсан сервер hot spot зэрэг худалдааны хэрэгцээнд тусгайлан хэрэглэгддэг. 802.1X сервэрүүд интернэтэд байршихын тулд сарын төлбөр шаарддаг; хувийн сервэрийг ажиллуулах нь үнэгүй боловч нэг нь үүнийг тохируулж тасралтгүй ажиллаж байх хэрэгтэй байдаг. Сервэрийг тохируулахын тулд, сервэр ба client software install хийгдсэн байх ѐстой. Сервэрийн програм хангамжид radius, ads, nds болон ldap зэрэг enterprise authentication server шаардагдаг. Шаардагдаж буй програм хангамж нь Meetinghouse Data зэрэг олон төрлийн үүсгүүрээс мөн зарим нээлттэй үүсгүүрийн төслүүдээс авч хэрэглэгдэнэ. Програм хангамжууд нь :      Microsoft, Cisco, Funk Software, Cisco Secure Access Control Software Microsoft Internet Authentication Service Meetinghouse Data EAGIS Funk Software Steel Belted RADIUS (Odyssey) Aradial RADIUS Server
  • 6.   freeRADIUS (open-source) SkyFriendz (RADIUS-д суурилсан free cloud шийдэл ) Client software windows XP-д суулгагдсан байх ба дараах software-г ашиглан бусад OS-тэй нэгдэж болно.      5.1. Intel PROSet/Wireless Software Cisco ACU-client Odyssey client AEGIS-client Xsupplicant (open1X)-project RADIUS – Remote Authentication Dial-in User Service. RADIUS нь алсын зайн сүлжээний хандалтад хэрэглэгддэг AAA(authentication, authorization and accounting) протокол юм. Radius нь анхандаа патенттай байсан боловч хожим нь ISOC document-д хавсаргагдсан. RFC 2138 ба RFC 2139. Гол санаа нь хэрэглэгч аль хэдийн тодорхойлсон username ба пассворд-г gatekeeper-р шалгах дотоод сервэртэй байна гэсэн үг юм. Radius сервэр нь хэрэглэгчийн бодлого ба хязгаарлалтыг сахиулахаар тохируулагдсан байх бөгөөд холболтын цаг зэрэг мэдээллийг record хийнэ. 5.2. Open access points Одоогоор , ихэнхи хотууд утасгүй сүлжээгээр бүрхэгдсэн байна- утасгүй холбооны сүлжээн дэх дэд бүтцийг аль хэдийн байршуулсан байна. Нэг нь л эргэн тойрон битүү хэрсэн байх ба хэрвээ node-үүд нийтэд нээлттэй байвал интэрнэтэд байнга холбогдох ба аюулгүй байдлын асуудлаас үүдэн ихэнхи node-үүд шифрлэгдсэн байх ба хэрэглэгчид шифрлэлтийг хэрхэн disable хийхээ мэддэггүй. Ихэнхи хүмүүс хандалтын цэгийг нийтэд нээлттэй хэвээр үлдээж , интернэтийн чөлөөт хандалтыг байх ѐстой гэж үздэг. Үлдсэн хэсэг нь шифрлэлт аюулгүй байдлыг хангадаг гэж үздэг. Хандалтын цэгийн нягтрал асуудлыг үүсгэж болно- тэдгээрт тооны хувьд хязгаарлалттай сувгууд байх ба, тэдгээр нь зарим хэсгээрээ давхардана. Суваг бүр хэд хэдэн сүлжээг засварлаж чадах боловч олон тооны хувийн утасгүй сүлжээтэй газруудад тодорхой тооны хязгаарлалттай wifi radio сувгууд гацах болон өөр асуудал үүсч болно. Open access point-г дэмжихийн тулд , энэ нь нийтэд утасгүй сүлжээг цацахдаа ямар нэг эрсдэлийг дагуулах ѐсгүй:  Утасгүй сүлжээ нь бага хэмжээний газар зүй н бүсэд хязгаарлагдсан байна. Компьютер интернэтэд холбогдох , тохиргоо буруу байх болон бусад аюулгүй байдлын асуудлуу д нь дэлхийн хаа нэгтээ байгаа хэн нэгнээс хамаарч болно. Иймээс нээлттэй хандалтын цэгийн илрүүлэх байдал нь бага байх ба, нээлттэй wireless сүлжээнд гарах эрсдэл бага байна. Хэдий тийм ч open wireless router дотоод сүлжээнд хандалтыг
  • 7.      өгдөг гэдгийг мэдэх хэрэгтэй ба , заримдаа файлыг принтэрлэх shareлэх боломжийг олгодог. Холбооны аюулгүй байдыг хангах хамгийн найдвартай арга нь end to end шифрлэлт юм. Жишээлбэл, интернэт банкинд хандалт хийх үед банкинд хүрэх бүх замд web browser-р дамжуулан хүчирхэг шифрлэлтийг хэрэглэх учраас энэ нь ямар нэг эрсдэл дагуулах ѐсгүй. Гол санаа нь хэн ч утастай сүлжээнд ч хэрэглэгддэг sniff хийх боломжтой. (систем админууд мөн боломжит хакерууд холболтонд хандалт хийн мэдээллийг унших боломжтой. ) Түүнчлэн шифрлэгдсэн утасгүй сүлжээний түлхүүрийг мэдэж байгаа хэн ч сүлжээгээр дамжиж буй өгөглийг олж авах боломжтой. Файлыг share хийх , принтэрлэх зэрэг үйлчилгээнүүд нь дотоод net-д хүртээмжтэй бол эдгээрт хандалт хийхэд authentication-тэй байхыг зөвлөдөг. Үнэн зөв тохируулахын тулд хандалт нь аюулгүй байх хэрэгтэй. Одоогийн ихэнхи алгоритмуудад , sniffer ихэвчлэн цөөн минутад сүлжээний key-г тооцоолон олдог. Интернэтийн холболтод сарын тогтсон төлбөрийг төлөх нь түгээмэл боловч, урсгалд төлдөггүй. - иймээс нэмэлт урсгалд хөнөөлтэй байна. Интернэтийн холболт хямд мөн хүртээмжтэй үед завшигчид үүнийг ашигладаг.