Securitatea reelei

Securitatea reelei
Ultimele decenii s-au caracterizat printr-o explozie informaional fr precedent, fapt ce a condus la creterea importanei resurselor de comunicaie.

Schimbul de informaii reprezint motivaia existenei reelelor de calculatoare interconectate, n cadrul crora se detaeaz mediul de reele extrem de complex constituit de Internet.

Securitatea reelei
Mediul Internet este eterogen, nu este proprietatea unui guvern, a unei companii sau universiti, nu este o singur reea, ci un grup de reele aranjate din punct de vedere logic ntr-o ierarhie, nu constituie o component software sau hardware de sine stttoare i este utilizat zilnic de oameni de toate specializrile i interesele imaginabile.

Securitatea reelei
Internetul permite interconectarea calculatoarelor indiferent de platform. Acest lucru a devenit posibil prin faptul c s-au stabilit o serie de reguli privind comunicaia ntre calculatoare sub forma protocoalelor. Aceste protocoale definesc modul de lucru al aplicaiilor pentru a se face nelese ntre ele. Internetul se bazeaz pe o colecie de protocoale reunite sub denumirea TCP/IP. Suita TCP/IP este constituit dintr-o mulime de protocoale, fiecare dintre ele asigurnd transferul datelor n reea ntr-un format diferit i cu opiuni diferite.

Securitatea reelei
Internetul reprezint n momentul de fa o reea global a crei dimensiune este extins la mrimea planetei noastre i cuprinde o cantitate foarte mare de resurse logice, fizice i informaionale.

Iniial, Internetul era compus din staii a cror utilizatori se cunoteau ntre ei i ntre care se stabileau legturi bazate pe anumite reguli de conduit. Pe lng multiplele avantaje, dezvoltarea continu a Internetului a determinat o serie de probleme legate de securitate.

Securitatea reelei
Din acest motiv, sistemele informatice ale companiilor au fost protejate astfel nct foarte puine persoane s poat avea acces la acestea.
Beneficiile n planul securitii au fost evidente ns restrngerea accesului a atras dup sine excluderea posibilitilor de a comunica liber cu exteriorul.

Securitatea reelei
Sistemele deschise elimin aceste neajunsuri prin utilizarea Intranetului i a Internetului. Avantajele sunt n planul deschiderii companiei ctre angajai, clieni, parteneri, furnizori. Intranetul permite tuturor angajailor, indiferent de localizarea acestora, s aib acces la informaiile companiei. O parte a respectivelor informaii pot fi puse i la dispoziia partenerilor de afaceri prin conectarea la Internet. Aceast deschidere ctre angajai i ctre partenerii de afaceri atrage dup sine i o serie de riscuri n planul securitii.

Securitatea reelei
Pentru reducerea riscurilor privind securitatea informaiilor (meninerea confidenialitii) i prevenirea accesului neautorizat, conectarea diverselor sedii i birouri ale unei companii prin intermediul Internetului se realizeaz prin folosirea unei reele virtuale private (VPN Virtual Private Network). Construcia unei astfel de reele virtuale private nseamn folosirea Internet-ului ca pe o reea WAN (Wide Area Network reea de arie larg) care atrage dup sine reducerea semnificativ a costurilor.

Securitatea reelei
Cea mai utilizat modalitate de protejare a reelei interne o constituie folosirea unui zid de protecie (firewall) ntre Intranet i Internet. Un zid de protecie trebuie s analizeze tot traficul ce se desfoar ntre reeaua extern i utilizatorii interni, n ambele direcii. n felul acesta se realizeaz filtrarea pachetelor pe baza politicii de securitate care este definit la nivelul sistemului.

Securitatea reelei
Intranet Firewall Internet

Reea privat

Reea public

Securitatea reelei
Firewall-ul trebuie s reziste atacurilor maliioase din exterior i interior deoarece ntreaga reea poate fi compromis dac o persoana ru intenionat preia controlul zidului de protecie.

Mai mult dect att, firewall-ul trebuie s fie n msur s ascund de reeaua extern adresele reale ale staiilor din Intranet. Toate aceste servicii trebuie s fie puse la dispoziia utilizatorilor reelei fr ca traficul s fie perturbat sau trangulat din cauza existenei zidului de securitate.

Securitatea reelei
Pentru a conecta dou sedii ale undei companii se poate utiliza un tunel de siguran la nivelul reelei virtuale private.

Securitatea reelei
O politic de securitate la nivelul unei companii include urmtoarele niveluri:
existena unui zid de securitate (firewall) pentru asigurarea unei conexiuni sigure la Internet; criptarea datelor si transmiterea acestora printr-un tunel de securitate pe Internet prin crearea unei reele virtuale private; implementarea unor mecanisme de securitate la nivelul aplicaiilor.

n funcie de specificul datelor vehiculate i de importana acestora, o companie poate decide s implementeze numai anumite niveluri de securitate sau chiar pe toate.

Securitatea reelei
n ziua de astzi, n condiiile n care milioane de oameni folosesc Internetul pentru plata taxelor, cumprturi sau operaiuni bancare, securitatea reelei apare ca o mare problem potenial. Statisticile arat c majoritatea problemelor legate de securitate sunt cauzate deliberat de ctre persoane ru intenionate care ncearc s provoace neplceri sau s obin anumite avantaje i beneficii.

Securitatea reelei
Intruii sunt de dou categorii, dup cum urmeaz:
intrui pasivi sunt cei care se limiteaz la a asculta mesajele schimbate n cadrul reelei; intrui activi acetia nu numai c ascult mesajele, dar i intervin asupra acestora modificndu-le.

Securitatea reelei
Problemele de securitate pot fi mprite n patru mari domenii care sunt interconectate:
confidenialitatea presupune pstrarea informaiei departe de utilizatorii neautorizai. Este primul aspect care este luat n discuie atunci cnd se discut despre securitatea unei reele;

Securitatea reelei
- autentificarea stabilirea identitii interlocutorului nainte de a dezvlui informaii importante; - nerepudierea se refer la semnturi i la modul n care se poate proba c o anumit comand a fost fcut n condiiile nregistrate n sistem, indiferent de faptul c respectivul client susine altceva;

Securitatea reelei
- controlul integritii se refer la posibilitatea de a verifica dac un mesaj a fost primit exact n forma n care a fost transmis fr s fi fost modificat pe parcursul traseului de ctre persoane ru intenionate.

Securitatea reelei
Mecanismele de securitate pot fi implementate la mai multe niveluri, fiecare nivel avnd o anumit contribuie la securitatea reelei:
nivelul fizic n cadrul sistemelor militare, ascultarea firelor este mpiedicat prin includerea acestora n tuburi sigilate coninnd gaz de argon la presiuni nalte. Penetrarea tubului va conduce la pierderi de gaz urmate de scderea presiunii ceea ce va declana alarma;

Securitatea reelei
- nivelul legtur de date pachetele trimise de la o main la alta prin intermediul unei linii punct-la-punct pot fi codificate/decodificate de ctre fiecare computer n parte. Acest mecanism poart numele de criptarea legturii;

Securitatea reelei
nivelul reea se pot instala ziduri de protecie (firewall-uri) pentru a respinge atacurile asupra reelei i pentru a filtra mesajele care intr sau ies din reeaua privat; nivelul transport se poate opta pentru criptarea unor conexiuni n ntregime; nivelul aplicaie implementeaz de regul soluii la problema autentificrii i la cea a nerepudierii.

Securitatea reelei
Codificarea i decodificarea informaiilor se realizeaz pe baza unor chei. Pentru a decodifica un mesaj este nevoie s se cunoasc cheia cu care acesta a fost codificat.
Cel mai adesea sunt folosite dou chei atunci cnd se codific un mesaj:
cheia public este cea cunoscut n mod public; cheia privat cunoscut doar de cel care codific sau decodific mesajul.

Securitatea reelei
Arta de a sparge coduri se numete criptanaliz, crearea cifrurilor este cunoscut ca criptografie iar ambele operaii sunt cunoscute sub numele generic de criptologie.

Securitatea reelei
Revenind la Internet, cheile de criptare i de decriptare pot fi falsificate i din acest motiv sunt folosite metode de certificare a acestora. Una dintre aceste metode de certificare presupune folosirea unui certificate digital prin care se poate verifica c o anumit cheie public aparine ntradevr unei anumite persoane sau companii. Certificatele digitale sunt eliberate de instituii specializate denumite autoriti de certificare.

Securitatea reelei
Un certificate digital este compus din urmtoarele elemente:
numrul serial al certificatului; detalii despre algoritmul de criptare folosit; informaii legate de identitate; cheia public a expeditorului; semntura digital a autoritii de certificare emitente

Securitatea reelei
Certificatul digital confirm identitatea utilizatorului i semntura acestuia. Pentru certificare, cheia public a unui utilizator este nregistrat de ctre autoritatea de certificare ntr-o baz de date foarte bine protejat.
Dup nregistrare, autoritatea de certificare va transmite un certificat digital oricui dorete s verifice autenticitatea cheii publice a utilizatorului.

Securitatea reelei

Cheia public a lui X

Autoritatea de certificare

Certificatul lui X

Securitatea reelei
De multe ori schimbul securizat de documente pe WEB se face prin stabilirea unei conexiuni de tip SSL. Protocolul SSL (Secure Socket Layer) folosete certificate digitale pentru a verifica identitatea serverului WEB al companiei. Transmiterea securizat a datelor pe Internet este realizat cu ajutorul metodelor de criptare.

Securitatea reelei
Protocolul SSL a fost dezvoltat de ctre compania Netscape iar n momentul de fa acesta este o component standard pentru majoritatea browserelor i a serverelor WEB.
Utilizatorul se identific prin furnizarea pe WEB server a unui nume de utilizator nsoit de o parol. Conexiunea SSL realizeaz i criptarea parolei pentru asigurarea confidenialitii.

Securitatea reelei
Printre caracteristicile protocolului SSL putem enumera:
SSL permite autentificarea serverului (ofer clientului certitudinea identitii serverului) i a clientului. n plus, datorit codificrii acestora, SSL asigur confidenialitatea datelor. Autentificarea se realizeaz prin utilizarea certificatelor i semnturilor digitale; SSL folosete algoritmi diferii pentru criptare, autentificare i pentru asigurarea integritii datelor; Stratul SSL se afl ntre protocolul TCP/IP i cele ale nivelului aplicaie

Securitatea reelei

HTTP

FTP SSL TCP IP

SMTP

Securitatea reelei
Stabilirea unei conexiuni sigure ntre navigatorul WEB i server se realizeaz ntr-un numr de patru pai:
Iniierea protocolului SSL clientul trimite un mesaj serverului iar acesta rspunde prin furnizarea certificatului digital pe care clientul l poate folosi pentru a stabili identitatea serverului;

Securitatea reelei
Acceptarea clientului navigatorul (browserul), dup ce a identificat serverul cu care comunic, va genera dou chei private care vor fi folosite pentru tranzacia ce urmeaz. Aceste chei private vor fi criptate folosind cheia public primit de la server. Acesta din urm va decripta cele dou chei, fiecare parte avnd n acest moment respectivele chei. Valabilitatea acestora este la nivel de sesiune, din acest motiv ele se mai numesc i chei de sesiune. Cnd sesiunea se ncheie, cheile respective sunt terse;

Securitatea reelei
Verificarea presupune trimiterea unui mesaj securizat ctre server. Criptarea mesajului este realizat folosind una din cheile de sesiune. Serverul rspunde tot printr-un mesaj criptat, folosind cea de-a doua cheie de sesiune. Dac tot acest mecanism se deruleaz corect, atunci putem afirma c legtura sigur este stabilit i tranzacia poate s nceap;

Securitatea reelei
Schimbul de date protocolul SSL este optimizat astfel nct criptarea i decriptarea cheii publice este necesar o singur dat pe sesiune.

Securitatea reelei
Internet bankingul faciliteaz interaciunea prin intermediul Internetului dintre un client i banca la care acesta are unul sau mai multe conturi. Pentru acesta, clientul va trebui s furnizeze un nume de utilizator i o parol ctre un anumit calculator al bncii care este conectat la Internet.

Securitatea reelei
Clientul va avea acces la o serie de informaii legate de conturile sale de la respectiva banc (solduri la o anumit dat, desfurtor al tranzaciilor desfurate ntr-o anumit perioad) prin simpla utilizare a Internetului. Mai mult dect att, acesta va putea efectua o serie de operaiuni bancare din faa calculatorului, fr a mai fi necesar s se deplaseze la sediul bncii (transfer de fonduri, plat facturi furnizori, etc.).

Securitatea reelei
O cerin fundamental a tranzaciilor bancare desfurate pe Internet este aceea a securitii informaiilor. Informaiile schimbate ntre dou calculatoare din Internet sunt supuse urmtoarelor categorii de riscuri:
interceptarea conversaia poate fi interceptat de o ter persoan; manipularea datele din cadrul unei conversaii private pot fi modificate pe traseul parcurs de la surs la destinaie; depersonalizarea presupune declinarea sau atribuirea unei false identiti.

Securitatea reelei
Toate aceste riscuri legate de securitate sunt tratate de ctre navigatoarele curente prin intermediul protocolului SSL care impune paii pe care trebuie s-i urmeze calculatoarele implicate ntr-o conversaie pentru a asigura securitatea comunicaiilor. Aceste reguli se refer la confidenialitate, autentificare, nerepudiere i controlul integritii. Pentru criptare i autentificare, SSL folosete tehnologii dezvoltate de RSA Data Security. Criptarea se realizeaz la nivel de sesiune, deci ea nu va fi repetat pentru fiecare conexiune n parte. Cheile folosite pot fi pe 40, 128, 256 sau 512 bii. Cu ct cheia are o lungime mai mare, cu att timpul necesar spargerii ei crete exponenial.

Securitatea reelei
Datorit faptului c protocolul SSL se afl sub stratul protocoalelor nivelului aplicaie (HTTP, SMTP, FTP) dar deasupra nivelului transport pe care se situeaz protocolul TCP/IP, acesta poate opera independent de protocoalele aplicaiilor Internet. SSL este utilizat att de aplicaie client ct i de cea de pe server, astfel nct transmiterea datelor prin Internet se face n manier criptat i se consider c acestea ajung n siguran la serverul dorit i numai la acesta.

Securitatea reelei
O sesiune bancar este iniiat prin conectarea unui client, folosind protocolul SSL, la serverul bncii prin furnizarea unui nume de utilizator i a unei parole. Dac informaiile respective sunt corecte, serverul va autentifica clientul i va iniia sesiunea de criptare. Rolul sesiunii de criptare este de a proteja i securiza informaiile schimbate ntre client i serverul bncii. Acesta din urm folosete protocoale interne pentru a comunica cu programul de tranzacionare electronic. Aceste protocoale interne previn accesul neautorizat la informaiile legate de clieni i de conturile acestora.

Securitatea reelei
ntre serverul din Internet i calculatorul care gzduiete programul de tranzacionare electronic (serverul de tranzacionare) sunt interpuse firewalluri i rutere de filtrare n scopul de a separa reeaua intern a bncii de Internet:
ruterele de filtrare au rolul de verifica, pentru fiecare pachet, sursa i destinaia acestuia i de a decide dac pachetul va fi lsat s intre n reeaua bncii sau va fi respins. Orice pachet care nu este direcionat ctre un serviciu specific va fi respins de ctre ruterele de filtrare. n plus, acestea asigur i protecia reelei n cazul unor atacuri Internet clasice; firewall-urile separ reeaua intern a bncii de serverul de tranzacionare electronic situat n Internet. Datele schimbate ntre client i server sunt criptate nainte de a fi transmise.

Securitatea reelei
Prin folosirea unui formular securizat aflat la o adres de forma https:// se pot transmite n siguran informaii confideniale (cum ar fi numrul crii de credit i codul acesteia de securitate, numele de utilizator, parola), fr a exista pericolul ca acestea s fie interceptate de tere persoane. nainte de a iniia o tranzacie pe Internet va trebui s avem ncredere n administratorul serverului la care ne conectm. SSL protejeaz informaiile pe traseul de la client ctre server, dar nu ne poate proteja mpotriva unor persoane ru intenionate.

Securitatea reelei
Prin folosirea unui formular securizat aflat la o adres de forma https:// se pot transmite n siguran informaii confideniale (cum ar fi numrul crii de credit i codul acesteia de securitate, numele de utilizator, parola), fr a exista pericolul ca acestea s fie interceptate de tere persoane. nainte de a iniia o tranzacie pe Internet va trebui s avem ncredere n administratorul serverului la care ne conectm. SSL protejeaz informaiile pe traseul de la client ctre server, dar nu ne poate proteja mpotriva unor persoane ru intenionate.

Securitatea reelei
Securitatea unui model de tranzacionare pe Internet trebuie s cuprind cinci nivele de baz.
Server pe care este stocat baza de date

firewall

firewall

firewall

Client situat n Internet

Server WEB aflat n Internet

Server de tranzacionare situat n Intranet

Staii de lucru n Intranet

Securitatea reelei
1. asigurarea securitii informaiilor provenite de la clieni n momentul n care acestea sunt transmise de la calculatorul clientului ctre serverul WEB al bncii. Securitatea datelor transmise de navigatorul clientului ctre serverul bncii este asigurat cu ajutorul protocolului SSL;

Securitatea reelei
2. securitatea serverului WEB al bncii acesta se afl plasat n spatele unui zid de protecie i utilizeaz protocolul SSL pentru a comunica cu calculatoarele clienilor. Navigatorul de pe calculatorului clientului nu poate accesa dect acest server din cadrul reelei bancare;

Securitatea reelei
3. securitatea serverului de Internet banking presupune direcionarea n deplin siguran a cererilor primite de serverul WEB ctre serverul de tranzacionare. Serverul WEB este singurul proces care poate comunica prin intermediul zidului de protecie cu serverul de tranzacionare pe care ruleaz aplicaia de Internet banking;

Securitatea reelei
4. securitatea bazei de date ce conine informaii legate de clieni i de conturile acestora. Baza de date va fi accesat de ctre serverul de tranzacionare i de ctre staiile de lucru din reeaua intern. Baza de date implementeaz mecanismele de securitate de la nivelul sistemului de operare folosit combinate cu cele de la nivelul firewall-ului.

Securitatea reelei
5. securitatea reelei interne a bncii care este situat n Intranet

De cele mai multe ori pe fiecare nivel este amplasat un monitor de securitate care reprezint un program special care analizeaz ncercrile de conectare euate i poate recunoate eecurile provenite n urma unei ncercri de a accesa anumite resurse de ctre o persoan neautorizat.