nvmntul profesional i tehnic n domeniul TIC Proiect cofinanat din Fondul Social European n cadrul POS DRU 2007-2013

Beneficiar Centrul Naional de Dezvoltare a nvmntului Profesional i Tehnic

str. Spiru Haret nr. 10-12, sector 1, Bucureti-010176, tel. 021-3111162, fax. 021-3125498, vet@tvet.ro

Securizarea reelelor Material de predare partea a II-a

Domeniul: Informatic Calificarea: Administrator reele locale i de comunicaii Nivel 3 avansat

2009

AUTOR: MOJZI MIHAI profesor gradul II

COORDONATOR: LADISLAU EICA - Informatician

CONSULTAN: IOANA CRSTEA expert CNDIPT ZOICA VLDU expert CNDIPT ANGELA POPESCU expert CNDIPT DANA STROIE expert CNDIPT

Acest material a fost elaborat n cadrul proiectului nvmntul profesional i tehnic n domeniul TIC, proiect cofinanat din Fondul Social European n cadrul POS DRU 20072013

Cuprins
I. Introducere............................................................................................................4 II. Documente necesare pentru activitatea de predare...........................................5 III. Resurse...............................................................................................................6
Tema 4 Metode de securizare a reelelor...................................................................................6 Fia 4.1 Filtrarea accesului n reea firewall.........................................................................6 Fia 4.2 Protecia reelei anti-virus i anti-malware...........................................................14 Fia 4.3 Securizarea accesului printr-un router wireless.......................................................18 Tema 5 Jurnalizarea sistemelor de operare i a aplicaiilor..................................................27 Fia 5.1 Noiuni teoretice despre jurnale i procesul de jurnalizare......................................27 Fia 5.2 Jurnalele sistemului de operare................................................................................32 Fia 5.3 Jurnale de aplicaii....................................................................................................41

IV. Fia rezumat.....................................................................................................44 V. Bibliografie........................................................................................................46

I. Introducere
Materialele de predare reprezint o resurs suport pentru activitatea de predare, instrumente auxiliare care includ un mesaj sau o informaie didactic. Prezentul material de predare, se adreseaz cadrelor didactice care predau n cadrul liceelor, domeniul Informatic, calificarea Administrator reele locale i de comunicaii. El a fost elaborat pentru modulul Securizarea reelelor, ce se desfoar n 100 ore, n urmtoarea structur: Laborator tehnologic 50 ore

Tema
Tema 4 Metode de securizare a reelelor

Fia suport
Fia 4.1 Filtrarea accesului n reea firewall Fia 4.2 Protecia reelei anti-virus i anti-malware Fia 4.3 Securizarea accesului printr-un router wireless Fia 5.1 Noiuni teoretice

Competene vizate
2. Analizeaz metodele de protecie a reelei mpotriva atacurilor 4. Filtreaz accesul n reea 2. Analizeaz metodele de protecie a reelei mpotriva atacurilor 2. Analizeaz metodele de protecie a reelei mpotriva atacurilor 4. Filtreaz accesul n reea 3. Interpreteaz jurnalele sistemului de operare i ale aplicaiilor 3. Interpreteaz jurnalele sistemului de operare i ale aplicaiilor 3. Interpreteaz jurnalele sistemului de operare i ale aplicaiilor

Tema 5 Jurnalizarea sistemelor de operare i a aplicaiilor

despre jurnale i procesul de jurnalizare Fia 5.2 Jurnalele sitemului de operare Fia 5.3 Jurnale de aplicaii

Temele din prezentul material de predare nu acoper toate coninuturile prevzute n curriculumul pentru modulul Securizarea reelelor. Pentru parcurgerea integral a modulului n vederea atingerii competenelor vizate / rezultate ale nvrii profesorul va avea n vedere i materialul de predare Securizarea reelelor partea I. Absolvenii nivelului 3 avansat, coal postliceal, calificarea Administrator reele locale i de comunicaii, vor fi capabili s utilizeze echipamentele reelelor de calculatoare, s cunoasc i s utilizeze protocoale i terminologii de reea, s cunoasc i s aplice topologii de reele locale (LAN) i globale (WAN), modele de referin OSI (Open System Interconnection), s utilizeze cabluri, unelte pentru cablarea structurat, routere n conformitate cu standardele n vigoare.

II. Documente necesare pentru activitatea de predare

Pentru predarea coninuturilor abordate n cadrul materialului de predare cadrul didactic are obligaia de a studia urmtoarele documente: Standardul de Pregtire Profesional pentru calificarea Administrator reele locale i de comunicaii, nivelul 3 avansat www.tvet.ro, seciunea SPP sau www.edu.ro , seciunea nvmnt preuniversitar Curriculum pentru calificarea Administrator reele locale i de comunicaii, nivelul 3 avansat www.tvet.ro, seciunea Curriculum sau www.edu.ro, seciunea nvmnt preuniversitar

III. Resurse
Tema 4 Metode de securizare a reelelor
Fia 4.1 Filtrarea accesului n reea firewall
Acest material vizeaz competenele/rezultate al nvrii: Analizeaz metodele de protecie a reelei mpotriva atacurilor i Filtreaz accesul n reea

Un firewall se poate defini ca fiind un paravan de protecie ce poate ine la distan traficul Internet, de exemplu hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun probleme sistemului. n plus, acest paravan de protecie poate evita participarea computerului la un atac mpotriva altora, fr cunotina utilizatorului. Utilizarea unui paravan de protecie este important n special dac calculatorul este conectat n permanen la Internet.

Figura 4.1.1 Funcia primordial a unui firewall.

O alt definiie un firewall este o aplicaie sau un echipament hardware care monitorizeaz i filtreaz permanent transmisiile de date realizate ntre PC sau reeaua local i Internet, n scopul implementrii unei "politici" de filtrare. Aceast politic poate nsemna: protejarea resurselor reelei de restul utilizatorilor din alte reele similare Internetul -> sunt identificai posibilii "musafiri" nepoftii, atacurile lor asupra PC-ului sau reelei locale putnd fi oprite.

controlul resurselor pe care le vor accesa utilizatorii locali.

Mod de funcionare: De fapt, un firewall, lucreaz ndeaproape cu un program de routare, examineaz fiecare pachet de date din reea (fie cea local sau cea exterioar) ce va trece prin serverul gateway pentru a determina dac va fi trimis mai departe spre destinaie. Un firewall include de asemenea sau lucreaz mpreun cu un server proxy care face cereri de pachete n numele staiilor de lucru ale utilizatorilor. n cele mai ntlnite cazuri aceste programe de protecie sunt instalate pe calculatoare ce ndeplinesc numai aceast funcie i sunt instalate n faa routerelor.

Figura 4.1.2 O posibil implementare a unui firewall. Soluiile firewall se mpart n dou mari categorii: prima este reprezentat de soluiile profesionale hardware sau software dedicate proteciei ntregului trafic dintre reeaua unei ntreprinderi (instituii, serverele marilor companii publice) i Internet; iar cea de a doua categorie este reprezentat de firewall-urile personale dedicate monitorizrii traficului pe calculatorul personal. Utiliznd o aplicaie din ce-a de a doua categorie se poate prentmpina atacurile colegilor lipsii de fair-play care ncearc s acceseze prin mijloace mai mult sau mai puin ortodoxe resurse de pe PC-ul dumneavoastr. n situaia n care dispunei pe calculatorul de acas de o conexiune la Internet, un firewall personal v va oferi un plus de siguran transmisiilor de date. Cum astzi majoritatea utilizatorilor tind s schimbe clasica conexiune dial-up cu modaliti de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuite asupra sistemului dumneavoastr crete. Astfel, mrirea lrgimii de band a conexiunii la Internet faciliteaz posibilitatea de "strecurare" a intruilor nedorii.

Astfel, un firewall este folosit pentru dou scopuri:

pentru a pstra n afara reelei utilizatorii ru intenionati (virui, viermi cybernetici, hackeri, crackeri)

pentru a pstra utilizatorii locali (angajaii, clienii) n reea

Politici de lucru: nainte de a construi un firewall trebuie hotrt politica sa, pentru a ti care va fi funcia sa i n ce fel se va implementa aceast funcie. Pentru a putea defini politica firewall-ului, sunt necesare unele rspunsuri la urmtoarele ntrebri:

ce servicii va deservi firewall-ul ? ce grupuri de utilizatori care vor fi protejai ? de ce fel de protecie are nevoie fiecare grup de utilizatori ?

cum va fi protejat fiecare grup(detaliere privind i natura serviciilor din cadrul grupurilor)? La final este necesar s se scrie o declaraie prin care oricare alte forme de access sunt o ilegalitate. Politica va deveni tot mai complicat cu timpul, dar deocamdat este bine s fie simpl i la obiect.

Figura 4.1.3 Diferite politici implementate ntr-un firewall

Clasificri:

Firewallurile pot fi clasificate dup:

Layerul (stratul) din stiva de reea la care opereaz Modul de implementare

n funcie de layerul din stiva TCP/IP (sau OSI) la care opereaz, firewall-urile pot fi:

Layer 2 (MAC) i 3 (datagram): packet filtering.

Layer 4 (transport): tot packet filtering, dar se poate diferenia ntre protocoalele de transport i exist opiunea de "stateful firewall", n care sistemul tie n orice moment care sunt principalele caracteristici ale urmtorului pachet ateptat, evitnd astfel o ntreag clas de atacuri Layer 5 (application): application level firewall (exist mai multe denumiri). n general se comport ca un server proxy pentru diferite protocoale, analiznd i lund decizii pe baza cunotinelor despre aplicaii i a coninutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat application firewall pentru email.

Dei nu este o distincie prea corect, firewallurile se pot mpri n dou mari categorii, n funcie de modul de implementare: dedicate, n care dispozitivul care ruleaz software-ul de filtrare este dedicat acestei operaiuni i este practic "inserat" n reea (de obicei chiar dup router). Are avantajul unei securiti sporite.

combinate cu alte faciliti de networking. De exemplu, routerul poate servi i pe post de firewall, iar n cazul reelelor mici acelai calculator poate juca n acelai timp rolul de firewall, router, file/print server, etc.

Concluzii: Un firewall poate s: - monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o mai bun monitorizare a traficului i deci o mai uoar detectare a ncercrilor de infiltrare; - blocheze la un moment dat traficul n i dinspre Internet; - selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete. - permit sau interzic accesul la reeaua public, de pe anumite staii specificate; - i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa ntre cele dou. 9

De asemeni, o aplicaie firewall nu poate: - interzice importul/exportul de informaii duntoare vehiculate ca urmare a aciunii rutcioase a unor utilizatori aparinnd spaiului privat (ex: csua potal i ataamentele); - interzice scurgerea de informaii de pe alte ci care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router); - apra reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor n reea (USB Stick, dischet, CD, etc.) - preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii, precum i punctele slabe ce decurg din exploatarea acestor greeli.

Tehnologia firewall se bazeaz pe folosirea porturilor. Porturile nu sunt altceva dect nite numere plasate ntr-un anumit loc bine definit n pachetul de date. Fiecare aplicaie folosete anumite porturi deci anumite numere .

Figura 4.1.4 Configurari diferite privind implementarea unui firewall Dei un anumit serviciu poate avea un port asignat prin definiie, nu exist nici o restricie ca aplicaia s nu poat asculta i alte porturi. Un exemplu comun este cel al protocolului de pot electronic Simple Mail Transfer Protocol (SMTP) . Acest serviciu are portul asignat 25. Posibil ca furnizorul de internet s blocheze acest port pentru a evita folosirea unui server de mail pe calculatorul propriu. Nimic nu ne oprete ns s configurm un server de mail pe un alt port. Motivul principal pentru care anumite servicii au porturi asignate implicit este acela ca un client s poat gsi mai uor un anumit serviciu pe o gazd aflat la distan. Cteva exemple: serverele FTP ascult 10

portul 21; serverele HTTP sunt pe portul 80; aplicaiile client de genul File Transfer Protocol (FTP) folosesc porturi asignate aleator de obicei mai mari ca 1023. Exist puin peste 65000 porturi mprite n porturi bine cunsocute (01023), porturi nregistrate (102449151) i porturi dinamice (4915265535). Dei sunt sute de porturi cu aplicaiile corespunztore, n practic mai puin de 100 sunt utilizate frecvent. n tabelul 1 putem vedea cele mai frecvente porturi i protocolul care l folosete. Trebuie s menionm c aceste porturi sunt primele vizate de un sprgtor pe calculatorul victimei. Tabel 1 Porturi comune i protocoale Port Serviciu Protocol 21 22 23 25 53 67/68 69 79 80 88 110 111 135 139 161 162 389 443 445 1433 FTP SSH Telnet SMTP DNS DHCP TFTP Finger HTTP Kerberos POP3 SUNRPC MS RPC NB Session SNMP SNMP Trap LDAP SSL SMB over IP MS-SQL TCP TCP TCP TCP TCP/UDP UDP UDP TCP TCP UDP TCP TCP/UDP TCP/UDP TCP/UDP UDP UDP TCP TCP TCP/UDP TCP

O bun practic de siguran este blocarea acestor porturi dac nu sunt folosite. Se recomand folosirea practicii least privilege. Acest principiu const n acordarea accesului minimal, strict necesar desfurrii activitii unui serviciu. S nu uitm c securitatea este un proces fr sfrit. Dac un port este inchis astzi nu nseamna ca va rmne aa i mine. Se recomanda testarea periodic a porturilor active. De asemenea aplicaiile au grade de siguran diferite; SSH este o aplicaie relativ sigur pe cnd Telnet-ul este nesigur.

11

Prezentarea firewall-ului inclus n Windows XP SP2

Figura 4.1.5 Windows firewall inclus odata cu Windows XP SP2 Componenta firewall are funcia de a supraveghea comunicaia sistemului precum i a aplicaiilor instalate cu internetul sau reeaua i s blocheze n caz de nevoie conexiunile nedorite. Ea asigur protecia PC-ului mpotriva pro-gramelor duntoare i a hacker-ilor. Spre deosebire de versiunea anterioar, Windows Firewall este activat n Service Pack 2 imediat dup instalare i blocheaz majoritatea programelor care comunic cu internetul. De aceea, muli utilizatori prefer s l dezactiveze n loc s l configureze. Pentru o configurare optima nu sunt necesare dect cteva setri de baz. Dac un program instalat mpreun cu sistemul de operare ncearc s iniieze o legtur la internet sau la reeaua intern, apare o fereastr de informare care ntreab cum dorii s tratai aceast comunicare. Sunt la dispoziie opiunea de a bloca sau a permite conexiunea. n funcie de selecie, firewall-ul din XP stabilete automat o regul. 12

Dac unei aplicaii trebuie s i fie permis s realizeze legturi, n registrul Exceptions se pot stabili reguli permanente corespunztoare. n meniul Programs se obine o list cu toate aplicaiile instalate de sistemul de operare, ale cror setri de conectare pot fi definite dup preferine. Aplicaiile individuale nu sunt de multe ori enumerate n list. Acestea pot fi introduse n list cu ajutorul opiunii Add Program, indicnd apoi calea spre executabil printr-un clic pe Browse. Din motive de siguran se pot defini suplimentar, la Ports, ce interfee i ce protocol - TCP sau UDP - poate utiliza programul. n aceeai fereastr se afl i butonul Change Scope, cu ajutorul cruia este posibil introducerea de diverse adrese IP ale sistemelor cu care programul are voie s realizeze o conexiune. Dac aceste date nu sunt nc definite, aplicaia este n msur s comunice pe toate porturile i cu toate sistemele ceea ce, funcie de aplicaie, are ca urmare diverse riscuri de securitate.

Sugestii metodologice
UNDE? Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal care are videoproiector sau flipchart.

CUM? Clasa poate fi organizat frontal sau pe grupe. Se pot utiliza: Prezentri multimedia coninnd informaii despre modul de funcionare i configurare a soluiiilor firewall cele mai rspndite. Se va insista pe diferitele aplicaii software ele fiind cele mai la ndemn, cu prezentarea topurilor din revistele de specialitate. Eventual discuii purtate cu firme specializate de distribuie pentru diferite aplicaii. EVALUARE Se pot folosi probe de tip eseu sau probe scrise i orale.

13

Fia 4.2 Protecia reelei anti-virus i anti-malware

Acest material vizeaz competena/rezultat al nvrii: Analizeaz metodele de protecie a reelei mpotriva atacurilor Datorit conotaiei, se folosete termenul de virus pentru totalitatea malware-ului, totu i pentru formele de prevenie se pstreaz denumirile de: anti-virui, anti-malware, antispyware, anti-adware i anti-phishing. Anti-virui Scurt istoric: Majoritatea sunt de prere c primul software de tip antivirus este atribuit lui Bernt Fix n 1987, aceasta fiind prima neutralizare a unui virus informatic(nume de cod Viena), cel puin prima documentat i publicat. ncepnd cu anul 1988 ncep s apara primele companii care s produca software dedicat (Dr. Solomons Anti-Virus ToolKit, AIDSTEST, AntiVir) urmat n 1990 de aproximativ 19 programe antivirus distincte, printre care apar i Norton AntiVirus (achiziionat de Symantec n 1992) i McAfee VirusScan. Dac nainte de rspndirea Internetului majoritatea infectrilor se fceau folosind disketele, odat cu evoluia interconectrii ntre computere au nceput adevratele probleme. Autorii de virui au reuit s-i diversifice modalitile de rspndire folosind aplicaii uzuale cum sunt editoarele de texte (macrourile scrise n diferite limbaje de programare puteau fi rulate prin simpla deschidere cu aplicaia corespunztoare), programe de e-mail (Microsoft Outlook Express, Outlook, etc), programe de tip chat (Yahoo messenger, MSN messenger), etc. Odat cu rspndirea pe scar larg a conexiunilor de tip broad-band, viruii au nceput s se nmuleasc i s se rspndeasc foarte rapid, astfel aplicaiile de tip antivirus fiind nevoite s-i actualizeze dicionarele odat la fiecare 5-10 minute. Cu toate acestea un virus nou, poate s se rspndeasc cu o aa vitez nct pna la momentul depistrii i gsirii modalitii de neutralizare este posibil s infecteze foarte multe calculatoare (de ordinul sutelor de mii sau chiar milioanelor), aici intervenind i faptul c nu toti utilizatorii i actualizeaz ct de des cu putin software-ul antivirus. Ca metode de identificare a viruilor deosebim: 1. identificarea bazat pe semnatur (signature based) este cea mai comun variant. Pentru identificarea viruilor cunoscui fiecare fiier este scanat ca i coninut (ntreg i pe buci) n cutarea informaiilor pstrate ntr-un aa-numit dicionar de semnturi; 2. identificarea bazat pe comportament (malicious activity), n acest caz aplicaia antivirus monitorizeaz ntregul sistem pentru depistarea de programe suspecte n comportament. Dac este detectat o comportare suspect, programul respectiv este investigat suplimentar, folosindu-se de alte metode (semnturi, heuristic, analiz de fiier, etc.). Este de menionat c aceasta metod poate detecta virui noi; 14

3. metoda heuristic (heurisitc-based) este folosit pentru detectarea viruilor noi i poate fi efectuat folosind dou variante(independent sau cumulat): analiza de fiier i emulare de fiier. Astfel analiz bazat pe analiza fiierului implic cautarea n cadrul acelui fiier de instruciuni uzuale folosite de virui. Ex. Dac un fiier are instruciuni pentru formatarea discului, acesta este investigat suplimentar. O problem a acestei variante este necesitatea unor resurse foarte mari pentru analiza fiecrui fiier, rezultnd n ncetiniri evidente ale sistemului. Cea de-a doua metod este cea de emulare n care se ruleaz fiierul respectiv ntr-un mediu virtual i jurnalizarea aciunilor pe care le face. n funcie de aceste jurnale, aplicaia poate determina dac este infectat sau nu acel fiier. 4. un mod relativ nou se bazeaz pe conceptul de semnturi generice ceea ce s-ar traduce n posibilitatea de a neutraliza un virus folosindu-se de o semntur comun. Majoritatea viruilor din ziua de astazi sunt aa-numiii virui de mutaie ceea ce nseamn c n decursul rspndirii sale el i schimb acea semntur de mai multe ori. Aceste semnturi generice conin informaiile obiunte de la un virus i n unele locuri se introduc aa-numitele wildcard-uri caractere speciale care pot lipsi sau pot fi distincte aplicaia software cutnd n acest caz informaii non-continue. Anti-spyware Ca rspuns la pariia aplicaiilor de tip spyware, companiile care produceau software de tip anti-virus au nceput s ofere i aplica ii (care apoi au devenit din ce n ce mai complexe, integrnd foarte multe module, pentru fiecare tip de malware) contra acestora. Instalarea unei astfel de aplica ii la momentul actual este considerat un must-do obligatorie intrnd n categoria nivel minim de securitate. De i ideea iniial a acestor aplicaii era spre beneficiul utilizatorilor n final prin culegerea informaiilor care sunt cel mai cutate, elocvente, ducnd astfel la o dezvoltare natural i concret a furnizorilor de servicii online, abuzul a condus la interzicerea sa, n special prin faptul ca se efectuiaz de cele mai multe ori fr acceptul utilizatorilor. Anti-adware Aplicaiile Anti-adware se refer la orice utilitar software care scaneaz sistemul i ofer posibiliti de dezinfecie sau eliminare a diferitelor forme de malware gen: adware, spyware, keyloggers, trojans, etc.. Unele dintre aceste programe sunt nedetectabile de ctre programele antivirus instalate i astfel se define te ca nivel minim de securitate alturi de programele anti-virus, anti-spyware i, mai nou, anti-phishing. Anti-phishing Pe lang cteva aplicaii software care pot oferi o oarecare protec ie contra efectelor de phising, se definesc i alte posibilit i, care se pot folosi i pentru protec ia contra viruilor, spyware-ului sau adware-ului i anume: instruirea utilizatorilor. O astfel de tehnic poate fi foarte eficient, mai ales acolo unde aceast tehnic se bazeaz i pe un feedback puternic. Pentru aceasta este de men ionat urmtoarele reguli ce trebuie urmrite: - Folosirea de conexiuni sigure (https). Model prin care se impune ca toate formele prin care se transmit date cu caracter confidenial s se realizeze ntr-un mod sigur.

15

- Care este sit-ul? Utilizatorul este ateptat s confirme adresa din bara de adrese cum c acesta este efectiv sit-ul pe care voia s intre, sau sa-l foloseasc (i nu altul, de ex. www.banca.ro cu www.sitefantoma.banca.ro). - folosirea de cerfiticate i verificarea lor. Dei necesit mai multe cunotine aceast form este foarte important prin prisma faptului c sunt oferite foarte multe informa ii n acest certificat, informaii care pot face ca acel site s devin trusted credibil pentru toate aplicaiile care se descarc de pe el. Tot la aceste certificate trebuiesc verificate i autoritile care le-au emis. - click-ul la ntmplare: apsarea la ntmplare pe butoanele care confirm anumite aciuni, n sperana c vor disprea aumite ferestre i lucrul va reveni la normal conduce la foarte mari bree de securitate. - lipsa de interes: este datorat n special firmelor care nu doresc s treac la diferite forme avansate de securizare i certificare, forme care sunt deseori foarte costisitoare. - forma de comunicaie: deoarece modelul de securitate se bazeaz pe foarte mul i participani la comunicaie: utilizatori, client de browser, dezvoltatori, auditori, webserver, etc. face ca aceast form de comunicare s fie foarte dificil. - abonarea la servicii care ofer liste cu sit-uri care au fost catalogate ca sit-uri fantom au aprut foarte multe astfel de liste care vin s ajute utilizatorii prin introducerea unui aa numit page ranking - sau rang de acreditare. Observaii: Este de reinut c navignd la ntamplare se pot gsi o multitudine de aplicaii care s pozeze n aplicaii de tip antivirus, antispyware sau antimalware dar de fapt s fie ele nsele virui deghizai n aplicaii legitime. La fel de reinut este faptul c, cu ct este mai mare dicionarul de semnturi cu att aplicaia antivuris devine mai dependent de resurse(procesor, memorie, timp). Nu este indicat s se foloseasc mai multe aplicaii antivirus instalate, de multe ori acestea intrnd n conflict, dar mai important, ngreunndu-i una alteia sarcina. Este forarte important realizarea actualizrii ct mai des a aplicaiei anti-malware instalate (fie ea antivirus, antispyware, antiadware, etc.) i a sistemelor de operare pentru a putea fi protejai mcar la nivel normal. Pentru suplimentarea modalitilor de protecie se vor organiza diferite forme de instruire a persoanelor care fac administrare reelei pentru a putea fi la zi cu cunotinele i noutile din domeniu. Este foarte important i stabilirea de diferite politici de lucru prin care s se realizeze, periodic, verificri de jurnale, de aplicaii instalate (poate sunt oferite mbuntiri la nivel de aplicaie sau de securizare), de modaliti de lucru.

16

Sugestii metodologice
UNDE? Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal care are videoproiector sau flipchart.

CUM? Clasa poate fi organizat frontal sau pe grupe. Se pot utiliza: Prezentri multimedia coninnd informaii despre soluii de protecie antivirus, anti-spyware, anti-adware. Se va insista i pe prezentarea topurilor din revistele de specialitate. Se va insista pe diferitele forme de funcionare i pe avantajele i dezavantajele lor. Demonstraii privind modurile de actualizare, versiunile existente i diferenele ntre ele - acolo unde acestea sunt documentate. EVALUARE Se pot folosi probe scrise i orale sau probe de tip eseu.

17

Fia 4.3 Securizarea accesului printr-un router wireless

Acest material vizeaz competenele/rezultate al nvrii: Analizeaz metodele de protecie a reelei mpotriva atacurilor i Filtreaz accesul n reea

Prima reea wireless a fost pus n funciune n 1971 la Universitatea din Hawai sub forma unui proiect de cercetare numit ALOHANET. Topologia folosit era de tip stea bidirecional i avea ca noduri constituente un numr de apte calculatoare mprtiate pe patru insule din arhipelag ce comunicau cu un nod central aflat pe insula Oahu doar prin legturi radio.

Figura 4.3.1 Posibiliti de conectare wireless, de aici i necesitatea securizrii accesului

Iniial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo unde amplasarea de cabluri ar fi fost tehnic imposibil. Ca i n alte cazuri din istoria tehnicii de calcul, primele soluii produse pe scar larg au fost cele proprietare (nestandard) i orientate pe diverse nie de pia, dar odat cu sfritul anilor 90 acestea au fost nlocuite de cele standard i generice cum ar fi cele descrise de familia de standarde 802.11 emise de IEEE. Versiunea iniial a standardului IEEE 802.11 lansat n 1997 prevedea dou viteze (1 i 2 Mbps) de transfer a datelor peste infrarou sau unde radio. Transmisia prin infrarou rmne pn astzi o parte valid a standardului, far a avea ns implementri practice. 18

Au aprut atunci cel puin ase implementri diferite, relativ interoperabile i de calitate comercial, de la companii precum Alvarion (PRO.11 i BreezeAccess-II), BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus i AirSurfer Pro), Symbol Technologies (Spectrum24) i Proxim (OpenAir). Un punct slab al acestei specificaii era c permitea o varietate mare a designului, astfel nct interoperabilitatea era mereu o problem. 802.11 a fost rapid nlocuit (i popularizat) de 802.11b n 1999 ce aducea, pe lng multe mbuntiri n redactare, i o vitez crescut de transmisie a datelor de pn la 11Mbps. Adoptarea pe scar larg a reelelor 802.11 a avut loc numai dup ce 802.11b a fost ratificat ca standard, iar produsele diverilor productori au devenit interoperabile. Cam n aceeai perioad (1999) a aprut i 802.11a, o versiune pentru banda de 5GHz a aceluiai protocol. Acesta a fost urmat de 802.11g, n iulie 2003, ce aducea performane sporite, att n ceea ce privete viteza de transmisie (ce urca la 54Mbps), ct i distana de acoperire n jurul antenei. Standardul aflat n prezent n elaborare de ctre IEEE este 802.11n acesta aduce i el mbuntiri, cum ar fi o vitez teoretic de transmisie de 270Mbps. Ca n cazul oricrei tehnici de transmisie sau comunicaie care se dezvolt rapid i ajunge s fie universal folosit, apare la un moment dat necesitatea de a implementa diverse tehnici de protecie a informatiilor transmise prin reelele de acest tip. n cazul 802.11, securitatea se refer att la topologia i componena reelei (i.e. asigurarea accesului nodurilor autorizate i interzicerea accesului celorlalte n reea), ct i la traficul din reea (i.e. gsirea i folosirea unei metode de securizare a datelor, de criptare, astfel nct un nod care nu este parte din reea i care, deci, nu a fost autentificat s nu poat descifra conversaiile dintre dou sau mai multe tere noduri aflate n reea). Un ultim aspect al securitii l constituie autentificarea fiecrui nod, astfel nct orice comunicaie originat de un nod s poat fi verificat criptografic sigur ca provenind, ntr-adevr, de la nodul n cauz.

19

Figura 4.3.2 Posibilitai de conectare folosind conexiuni wireless Primele tehnici de securitate ce au fost folosite n astfel de reele au fost cele din clasa security by obscurity, adic se ncerca atingerea siguranei prin meninerea secret a specificaiilor tehnice i/sau prin devierea de la standard nu de puine ori n msur considerabil. Aceste tehnici ns, au adus n mare parte neajunsuri implementatorilor, deoarece fceau echipamentele diferiilor productori vag interoperabile. Alte probleme apreau din nsi natura proprietar a specificaiilor folosite de aceste echipamente. Filtrarea MAC O form primar de securitate este filtrarea dup adresa MAC (Media Access Control address), cunoscut sub denumiri diverse precum Ethernet hardware address (adres hardware Ethernet), adres hardware, adresa adaptorului de reea (adaptor sinonim pentru placa de reea), BIA - built-in address sau adresa fizic, i este definit ca fiind un identificator unic asignat plcilor de reea de ctre toi productorii. Adresa MAC const ntr-o secven numeric format din 6 grupuri de cte 2 cifre hexadecimale (n baza 16) de tipul 00-0B-E4-A6-78-FB. Primele 3 grupuri de cte dou caractere (n acest caz 00-0B-E4) identific ntotdeauna productorul plcii de reea (RealTek, Cisco, Intel, VIA, etc.), iar urmtorii 6 digii identific dispozitivul n sine. Dac ntr-o prim faz aceast adres era fixat, noile adrese se pot modifica, astfel aceast form de securizare i pierde din valabilitate. Noile dispozitive pot s-i modifice aceasta secven numeric doar prin intermediul driverului folosit. Este de 20

reinut c aceast adres MAC este n continuare unic, doar c driverul folosit poate face aceast convenie, fr a exista posibilitatea de a modifica aceast adres i la nivel fizic, real. Astfel acum exist riscul de ca prin aflarea unui MAC valid din cadrul unei reele, folosind un program de tip snnifer, i schimbndu-i MAC-ul n cel nou (clonnd la nivel software prin intermediul driverului folosit placa cu MAC-ul aflat), atacatorul va putea avea acces legitim, fiind autentificat n cadrul reelei. Dar totui muli administratori folosesc n continuare aceasta form de securizare, datorit formei foarte simple de implementare, motiv pentru care este absolut necesar ca aceast form de parolare s se completeze i cu alte modaliti de securizare enunate n continuare. Tehnicile de generaia nti (WEP) Prima tehnic de securitate pentru reele 802.11 ce a fost cuprins n standard (implementat de marea majoritate a productorilor de echipamente) a fost WEP Wired Equivalent Privacy. Aceast tehnic a fost conceput pentru a aduce reelele radio cel puin la gradul de protecie pe care l ofer reelele cablate un element important n aceast direcie este faptul c, ntr-o reea 802.11 WEP, participanii la trafic nu sunt protejai unul de cellalt, sau, altfel spus, c odat intrat n reea, un nod are acces la tot traficul ce trece prin ea. WEP folosete algoritmul de criptare RC-4 pentru confidenialitate i algoritmul CRC-32 pentru verificarea integritii datelor. WEP a avut numeroase vulnerabiliti de design care fac posibil aflarea cheii folosite ntr-o celul (reea) doar prin ascultarea pasiv a traficului vehiculat de ea. Prin metodele din prezent, o celul 802.11 WEP ce folosete o cheie de 104 bii lungime poate fi spart n aproximativ 3 secunde de un procesor la 1,7GHz. Tehnicile de generaia a doua (WPA, WPA2) Avnd n vedere eecul nregistrat cu tehnica WEP, IEEE a elaborat standardul numit 802.11i, a crui parte ce trateaz securitatea accesului la reea este cunoscut n practic i ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publice i private, mesaje cu cod de autentificare (MAC), precum i metode extensibile de autentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni n ntmpinarea utilizatorilor casnici sau de arie restrns, IEEE a dezvoltat i o variant mai simpl a standardului i anume WPA-PSK (< Pre-Shared Key mode). n acest mod, n loc de un certificat i o pereche de chei (public i privat), se folosete o singur cheie sub forma unei parole care trebuie cunoscut de toi membrii reelei(parol ce poate fi de 64 sau 128 de bii). Totui nici aceast form de securizare nu este invincibil din cauza unor erori n algoritmii de criptare care pot face ca aceast cheie s poat fi restrans, n urma unor date suficiente, la o rafinare a cutrilor, ce poate face spargerea sa ntr-un timp relativ scurt (de ordinul zilelor). Odat cu apariia unor tehnici i metode avansate de securizare a accesului la mediul de transmisie, s-a fcut simit i nevoia de a administra o astfel de structur de autentificare dintr-o locaie central, aa numita centralizare a accesului i managementului. Aa se face c tot mai multe dispozitive de tip Access Point (echipamentele ce fac legtura dintre reeaua cablat i cea transportat prin unde 21

radio, avnd un rol primordial n meninerea securitii reelei) pot fi configurate automat dintr-un punct central. Exist chiar seturi preconfigurate de echipamente ce sunt destinate de ctre productor implementrii de hotspot-uri (locuri unde se poate beneficia de acces la Internet prin 802.11 gratis sau contra cost). Aceste seturi conin de obicei un echipament de gestiune a reelei, o consol de administrare, un terminal de taxare i unul sau mai multe Access Point-uri. Atunci cnd sunt puse n funciune, acestea funcioneaz unitar, accesul i activitatea oricrui nod putnd fi atent i n detaliu supravegheat de la consola de administrare. Imediat dup perfectarea schemelor de administrare centralizat a securitii n reelele 802.11, a aprut necesitatea integrrii cu sistemele de securitate ce existau cu mult nainte de implementarea reelei 802.11 n acel loc. Aceast tendin este natural; cu ct interfaa de administrare a unui sistem alctuit din multe componente este mai uniform, cu att administrarea sa tinde s fie mai eficient i mai predictibil ceea ce duce la creterea eficienei ntregului sistem.

Figura 4.3.3 Necesitatea securizrii unei reele wireless WPA a fost prima tehnologie care a facilitat integrarea pe scar larg a administrrii reelelor radio cu cele cablate, deoarece se baza pe principii comune descrise de standardul 802.1X. Astfel, o companie poate refolosi ntreaga infrastructur pentru autentificarea i autorizarea accesului n reeaua sa cablat i pentru reeaua radio. WPA poate fi integrat cu RADIUS, permind astfel administrarea i supravegherea unei reele de dimensiuni mari ca i numr de noduri participante la trafic (e.g. un campus universitar, un hotel, spaii publice) dintr-un singur punct, eliminnd astfel necesitatea supravegherii fizice a aparaturii de conectare (i.e. porturi de switch). Datorit scderii corturilor echipamentelor de reea i dezvoltrii foarte rapide produselor destinate crerii i configurrii unei reele wireless s-a impus introducerea de standarde care s asigure compatibilitatea i unitatea definirii modelelor de reele wireless. 22

Standardul IEEE (Institute of Electrical and Electronic Engineers) 802.11 este un set de standarde pentru reele de tip WLAN(wireless local area network). Din cadrul acestui standard cel mai usual este IEEE 802.11b, numit i Wi-Fi folosind acest standard se pot trimite date cu 1, 2, 5.5 sau 11Mbps folosind banda de 2.4-2.5 GHz. Pentru condiii ideale, distanele scurte, fr surse care s atenuieze sau s interfereze standardul IEEE 802.11b opereaz la 11Mbps, mai mult dect poate oferi standardul cu fir Ethernet(10Mbps). n condiii mai puin ideale, conexiuni folosind vireze de 5.5, 2 sau chiar 1Mbps sunt folosite. Standardul IEEE 802.11 mai are i componentele IEEE 802.11a cu o rat maxim de transfer de 54Mbps, folosind frecvene de 5Ghz de aceea oferind un semnal mai curat i o rat de transfer mai mare, i standardul IEEE 802.11g care are aceeai rat maxim de transfer de 54Mbps, folosind frecvene n banda S ISM. Cel mai nou standard inclus este IEEE 802.11n care nc nu a fost implementat final el avnd urmtoarele limitri teoretice: rat maxim de transfer de 600 Mbps, funcionare n benzile de frecven 5GHz i/sau 2.4 GHz i o raz de aciune n interior de ~ 300m. Acest standard se preconizeaz a se lansa oficial n 2010. n standardul IEEE 802.11 se deosebesc dou moduri de operare: modul infrastructur sau modul ad-hoc. Modul infrastructur este folosit pentru a conecta calculatoare folosindu-se adaptoare wireless la o reea legat prin fire. Ca exemplu: o firm poate avea deja o reea Ethernet cablat. Folosindu-se de modul infrastructur un laptop sau un alt calculator care nu are o conectare Ethernet cablat se poate conecta totui la reeaua existent folosind un nod de reea denumit Access Point AP pentru a realiza un bridge (pod) ntre reeaua cablat i reeaua wireless.

Figura 4.3.4 Modul infrastructur pentru o reea wireless.

23

n cadrul acestui mod funcional datele care sunt transmise de un client wireless ctre un client din reeaua cablat sunt mai nti preluate de AP care trimite la rndul lui datele mai departe. Modul funcional Ad-hoc Acest mod de conectare este folosit pentru conectarea direct a dou sau mai multe calculatoare, fr a mai fi nevoie de un AP(far necesitatea unui echipament distinct de comunicare). Acest mod de comunicare totui este limitat la 9 clieni, care pot s-i trimit datele direct ntre ei.

Figura 4.3.5 Reprezentarea modulului Ad-hoc Pentru configurarea unei reele wireless de tip infrastructur sunt necesare a se parcurge urmtoarele etape (denumirile pot diferi de la un productor al echipamentului la altul): a) Wireless Mode: Partea de wireless poate funciona n mai multe moduri i poate diferi funcie de productor sau versiune de firmware. Modurile pot fi: - AP (Access Point), este modul cel mai des utilizat, fiind specific modului Infrastructure, n care dou device-uri wireless nu sunt conectate direct, ci prin intermediul routerului sau Access Point-ului. - Client, n acest mod partea radio conecteaz wireless portul WAN din router la un punct distant. Se folosete de exemplu n cazul unei conexiuni wireless cu providerul. - Ad-Hoc, n acest mod clienii se pot conecta direct intre ei :) , conexiunea dintre ei nu mai trece prin router. - Client Bridged, n acest mod partea radio conecteaza wireless partea LAN a routerului cu un punct distant. Astfel partea LAN va fi n aceeai reea cu partea LAN a punctului distant. b) Wireless Network Mode: Standardul conexiunii wireless (B, G sau A) ales trebuie s fie suportat atat de router ct i de device-urile wireless din reea. n banda de 2,4 Ghz pot fi folosite standardele B i G, iar n banda de 5 GHz standardul A. Viteza

24

maxim pentru standardul B este 11 Mbps, iar pentru G i A este 54 Mbps. Dac n reea avei device-uri care folosesc standarde diferite putei seta Mixed. c) SSID (Security Set Identifier ) sau Wireless Network Name: este numele asociat reelei wireless. Default acest parametru este setat cu numele productorului sau modelul de router sau Access Point. Din motive de securitate modificai aceast valoare cu un termen far legtura cu producatorul, modelul sau date personale. d) Wireless Chanel: Puteti seta unul din cele 13 canale disponibile pentru Europa. e) Wireless Broadcast SSID: dac setati Enable vei afia numele (SSID) n reea. Dac este Disable cnd vei scana spectrul, reeaua nu va fi afiat. Odat parcurse etapele de mai sus reeaua este creat dar nu are setat nici o securitate. Este foarte important s se configureze i aceast parte de securitate. Astfel pentru securizarea unei reele avem opiunile: WEP (Wired Equivalent Protection) este o metod de criptare: - folosind 64 biti (10 caractere hexa) sau 128 biti (26 caractere hexa). Caracterele hexa sunt: 0-9 i A-F; - autentificare Open sau Shared Key. Acum aceasta criptare WEP cu 64 biti poate fi spart n cteva minute, iar cea cu 128 bii n cteva ore, folosind aplicaii publice. WPA-PSK (WPA Preshared Key sau WPA-Personal) este o metod mult mai sigur dect WEP. WPA2 este metoda cea mai sigur de criptare, fiind o variant mbuntit a metodei WPA. i aceste criptri (WPA i WPA2) pot fi sparte dac parola conine puine caractere sau este un cuvnt aflat n dicionar. Pentru a face imposibil spargerea acestei criptri folosii parole lungi, generate aleator. Filtrarea MAC, prezentat mai sus este n continuare folosit pe scar larg, oferind acel minim minimorum necesar securizrii la nivel minimal. Aceast form de securizare implic introducerea ntr-o list de acces a tuturor adreselor MAC ale dispozitivelor ce se doresc a fi interconectate. Dispozitivele care se pot conecta la aceste echipamente (AP sau routere wireless) s-au diversificat n ultimul timp foarte mult, de la clasicile calculatoare sau laptopuri, ajungnd la console de jocuri, telefoane, sisteme multimedia, imprimante sau echipamente de ni gen televizoare, figidere sau rame foto. Pentru definirea unei reele wireless bazat pe modelul ad-hoc nu sunt necesare echipamente distincte (router sau access point). Pentru acest mod nu sunt necesare dect c dispositivele ce se doresc a se conecta s conin un adaptor wireless funcional. Toate dispozitivele de acest gen au opiunea de ad-hoc, opiune care trebuie selectat pe toate dispozitivele ce se doresc a se conecta. Un exemplu privind o astfel de reea este prezentat n figura 4.3.6.

25

Diferena ntre aceste dispzitive vine de la faptul c exist un numr limitat de conexiuni posibile (9 la numr) care pot fi integrate n acelai timp n reea. Avantajele unor astfel de conexiuni se bazeaz n special pe faptul c se pot realiza conexiuni de vitez mare, cauza fiind de obicei distana mic ntre echipamente, fapt ce conduce la pierderi mici de pachete transmise.

Figura 4.3.6 Exemplu privind o reea bazat pe modelul Ad-hoc.

Sugestii metodologice
UNDE? Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal care are videoproiector sau flipchart.

CUM? Clasa poate fi organizat frontal sau pe grupe. Se pot utiliza: Prezentri multimedia coninnd informaii despre ultimile apariii n domeniu, moduri de lucru, etc. Se va insista ca fiecare elev s relizeze configurri sau s prezinte proiecte cu modaliti de configurare pe diferite echipamente wireless configurri de acces i pentru alte dispozitive mobile. EVALUARE Se pot folosi probe scrise i orale, practice sau proiect. 26

Tema 5 Jurnalizarea sistemelor de operare i a aplicaiilor

Fia 5.1 Noiuni teoretice despre jurnale i procesul de jurnalizare
Acest material vizeaz competena/rezultat al nvrii: Interpreteaz jurnalele sistemului de operare i ale aplicaiilor

Prin definiie jurnalizarea se refer la acel proces prin care se urmre te i se documenteaz toate operaiile efectuate n ordine cronologic de ctre o aplica ie sau de ctre sistemul de operare, proces ce se execut n mod continuu. Unul din cele mai importante lucruri n securitatea unui sistem este posibilitatea jurnalizrii evenimentelor. Fiierele jurnalului (logurile) pot fi folosite pentru a descoperi ncercarile de atac sau utilizare neautorizat/malicioas ale resurselor sistemului.

Jurnalele de sistem sunt acele fi iere ce conin informaii despre orice comand primit ctre interpretorul de comenzi a sistemului de operare ce documenteaz cel puin urmtoarele elemente: data la care s-a lansat comanda, natura comenzii aceasta fcnd efentual distinc ia ntre diferite tipuri de jurnale: de aplica ii, de securitate, de audit, etc., statusul ei modul cum s-a esecutat: dac s-a efectuat cu succes, dac este nc n lucru, etc., ora la care s-a ncheiat aceast comand. Un alt tip de jurnal este cel ce pstreaz informa iile ce pstreaz un istoric al rezultatului rulrii unei anumite aplica ii cum ar fi de ex. fiierele care pstreaz informaiile filtrate de ctre o aplica ie antivirus. Aceste fiiere sunt i ele mprite n fiiere care sunt generate la o lansare a unei aplica ii cum ar fi de ex. generarea unei liste cu toate diverele folosite de sistemul de operare jurnal care este execututat i se ncheie cu salvarea acestui fi ier sau jurnale care sunt populate automat de ctre diferite aplicaii singura limitare fiind cea a spa iului alocat, informaiile din aceastea fiind completate n mod continuu.

Aadar putem vorbi de diferite forme de clasificarea a acestor jurnale. Avem astfel o clasificare care se bazeaz pe natura aplica iilor care le genereaz: jurnale ale sistemului de operare fi iere de sistem de obicei fi iere ce sunt i securizate la citire/scriere/modificare(figura 5.1.1); jurnale de aplicaii fiiere care sunt de obicei nesecurizate, orice utilizator cate poate lansa acea aplicaie putnd interoga acele fiiere(figura 5.1.1); jurnale ale sistemelor de fiiere forme speciale de fiiere ce conin informaii privind modificrile efectuate la nivel de sistem de fi iere, mai exact vorbim de acele sisteme de fiiere cu jurnalizare, sisteme de fiiere care pstreaz un istoric (n englez log) al modificrilor efectuate, istoric actualizat nainte de operarea modificrilor pe sistemul de fiiere. Aceast tehnic reduce cu mult probabilitatea de corupere a sistemului de fiiere n urma unei pene de curent sau a unei erori n sistem(figura 5.1.1). 27

Figura 5.1.1 Diferite tipuri de loguri(sisteme de operare Windows, Linux; jurnale de aplicaii Mac OS analiz fiier video, jurnale de antivirui i firewall ) O alt form de categorisire este dat de natura completrii acestor jurnale: jurnale care se completez n mod continuu aici intr de obicei jurnalele sistemului de operare, jurnalele sistemelor de fi iere sau chiar jurnalele unor anumite aplicaii gen aplicaii firewall, aplicaii antivirus, etc. De obicei aceste fiiere au o perioad sau o dimensiune alocat pentru suprascriere , adica dac se depete o anumit perioad (de ordinul zilelor, saptmnilor sau lunilor, de obicei 7 zile) sau o anumit dimensiune (de obicei 512KB sau 1024KB=1MB) cele mai vechi evenimente se suprascriu; jurnale care se completeaz o singur dat i anume la lansarea unei anumite comenzi sau aplicaii aceste fiiere pot uneori s con in foarte multe date (de ordinul zecilor de MB, de ex. dimensiunea unui fi ier al unei aplicaii de scanare antivirus al unui hardisk de 1,5 GB plin cu informa ii).

28

Mai poate fi definit nc o form de categorisire bazat pe tipul de fi ier generat, n special datorit unei forme de standardizare natural bazat pe aspectul acestor jurnale, astfel avem: a. jurnale care pstreaz informaii n mod text, dup anumite reguli definite n antet sau definite ca i categorii n cadrul su(figura 5.1.2);

Figura 5.1.2 Forme de jurnale, se observ structurarea modului de completare tip cap de tabel (stg) sau tip categorie de informaii (dr) b. jurnale care pstreaz informaii n format vizual primar de obicei fi iere de tip xml sau html, ce conin informaii vizuale limitate la tabele simple i folosirea unei palete limitate de culori i stiluri de font (figura 5.1.3);

Figura 5.1.3 Forme de jurnale n xml, respectiv html, par ial informaii grafice c. jurnale care pstreaz informaii n format vizual avansat de obicei fi iere ce conin informaii preponderent grafice, majoritatea informa iilor transformndu-se n reprezentri grafice (figura 5.1.4).

29

Figura 5.1.4 Jurnale n care informaia este n mod evident reprezentat grafic Dei aceast ultim form de categorisire nu este att de elocvent totu i au generat crearea de aplicaii care s transforme fiierele din prima categorie n a doua sau chiar a treia special datorit impactului mult mai sugestiv asupra rezultatelor pstrate n acele jurnale(figura 5.1.4). Toate aceste jurnale s fie pstrate ntr-o anumit cale pe sistemul pe care ruleaz. Dac pentru jurnalele sistemelor de operare calea trebuie s aib un statut aparte (n special din cauza securitii ataate de aceste jurnale), pentru aplica ii de multe ori calea implicit este ori directorul de lucru ori o cale accesibil de utilizatorul care este logat la momentul lansrii. Ca o regul general fiierele de jurnalizare conin informaii cel puin sensibile dac nu chiar confideniale (ex. nume de utilizatori, conturi deshise, aplica ii instalate, denumiri de fiiere, informaii despre sistem, etc.), i ar trebui tratate din punct de vedere al securitii n mod corespunztor.

30

Sugestii metodologice
UNDE? Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal de curs, eventual cu acces la videoproiector sau flipchart.

CUM? Clasa poate fi organizat frontal sau pe grupe. Se pot utiliza: Prezentri multimedia coninnd informaii despre diferitele forme de servicii de jurnalizare i modul n care informaiile sunt prezentate utilizatorilor. Se va insista ca fiecare elev() s cunoasc modul n care se gsesc i se folosesc informaiile jurnalizate. EVALUARE Se pot folosi probe scrise i orale sau proba tip eseu.

31

Fia 5.2 Jurnalele sistemului de operare

Acest material vizeaz competena/rezultat al nvrii: Interpreteaz jurnalele sistemului de operare i ale aplicaiilor Jurnalele sistemului de operare sunt cele mai pre ioase (alturi i de ale unor aplicaii speciale gen antivirus, firewall, sau de diagnosticare a echipamentelor i hardware-ului instalat n sistem) unelte pentru rezolvarea unor probleme aprure n sistem.

Figura 5.2.5 Event viewer gestionarul jurnalelor de sistem n platforma Windows

Jurnalele sistemului de operare se clasific pentru platforma Windows n 1(figura 5.2.5): a) Jurnalul de aplicaii (Application log): Jurnalul de aplicaii conine evenimentele nregistrate de programe. De exemplu, un program de baze de date poate nregistra o eroare de fiier n jurnalul de aplicaii. Evenimentele ce se scriu n jurnalul de aplicaii sunt determinate de dezvoltatorii programului software. b) Jurnalul de securitate (Security log): Jurnalul de securitate nregistreaz evenimente precum ncercrile valide i nevalide de Log on, precum i evenimentele legate de utilizarea resurselor, cum ar fi crearea, deschiderea sau tergerea de fiiere. De exemplu, cnd este activat auditarea la Log on, este nregistrat un eveniment n jurnalul de securitate de fiecare dat cnd un utilizator face Log on pe computer. Trebuie s facei Log on ca administrator sau ca membru al grupului de administratori pentru a activa, utiliza i specifica evenimentele de nregistrat n jurnalul de securitate. c) Jurnalul de sistem (System log): Jurnalul de sistem conine evenimente nregistrate de componentele de sistem Windows XP. De exemplu, dac un driver nu reuete s se ncarce n timpul pornirii, va fi nregistrat un eveniment n jurnalul de
1

Sursa http://support.microsoft.com/kb/308427/ro adres accesibil in 25.08.2009

32

sistem. Windows XP determin anticipat evenimentele nregistrate de componentele de sistem. Dac n plus sistemul este configurat ca controller de domeniu (platforme de tip server), atunci se mai adaug nc dou jurnale: d) Directory log (Directory service log): con ine evenimente privind autentificrile servite de serviciul Windows directory service. Ca exemplu, toate conexiunile cu probleme dintre server i restul staiilor sunt nregistrare n acest log; e) File Replication service log: jurnal ce con ine evenimente provenite de la serviciul Windows File Replication. Dac sistemul are definit i funcia de DNS, atunci se mai adaug: f) DNS server log: jurnal ce con ine evenimente generate de serviciul Windows DNS service. Aceste evenimente sunt asociate cu rezolvarea numelor DNS ctre IP.

Aplicaia care gestioneaz aceaste fiiere se numete Event viewer. Este o aplicaie care pornete odat cu lansarea sistemului i ofer posibiliti de gestionare jurnalelor de sistem (cutare, salvare, arhivare, etc.).

Fiecare intrare din jurnal este clasificat prin tipul su i conine informaii de antet i o descriere a evenimentului. Antetul evenimentului conine urmtoarele informaii despre eveniment: Date: Data la care s-a produs evenimentul. Time: Ora la care s-a produs evenimentul. User: Numele de utilizator al utilizatorului care era conectat cnd s-a produs evenimentul. Computer: Numele computerului pe care s-a produs evenimentul. Event ID: Un numr care identific tipul evenimentului. ID-ul evenimentului poate fi utilizat de reprezentanii serviciului de asisten pentru produs pentru a nelege ce anume s-a ntmplat n sistem. Source: Sursa evenimentului. Aceasta poate fi numele unui program, o component de sistem sau o component individual a unui program mare. Type: Tipul evenimentului. Exist cinci tipuri de evenimente: Error, Warning, Information, Success Audit sau Failure Audit. Category: O clasificare a evenimentului n funcie de sursa evenimentului. Aceasta este utilizat n principal n jurnalul de securitate.

Este de reinut c jurnalul se securitate este accesibil doar utilizatorului administrator.

Evenimentele generate de aceast aplica ie sunt de cinci tipuri. Descrierea fiecrui eveniment nregistrat depinde de tipul evenimentului. Astfel avem:

33

- Information: un eveniment care descrie desfurarea cu succes a unei activiti, cum ar fi o aplicaie, un driver sau un serviciu. De exemplu, un eveniment de informare este nregistrat cnd se ncarc cu succes un driver de reea(figura 5.1.6). - Warning: un eveniment care nu este neaprat important poate totui s indice apariia unei probleme n viitor. De exemplu, un mesaj de avertizare este nregistrat cnd spaiul liber pe disc ncepe s fie sczut(figura 5.2.2). - Error: un eveniment care descrie o problem important, precum eroarea unei activiti critice. Evenimentele de eroare pot implica pierderi de date sau de funcionalitate. De exemplu, un eveniment de tip eroare este nregistrat dac un serviciu nu reuete s se ncarce n timpul pornirii(figura 5.2.3). - Success Audit (n jurnalul de securitate): un eveniment care descrie completarea cu succes a unui eveniment de securitate auditat. De exemplu, un eveniment de tip auditare reuit este nregistrat cnd un utilizator face Log on pe computer(figura 5.2.3). - Failure Audit (n jurnalul de securitate): un eveniment care descrie un eveniment de securitate auditat care nu s-a terminat cu succes. De exemplu, un eveniment de tip auditare nereuit se nregistreaz cnd un utilizator nu poate accesa o unitate de reea(figura 5.2.4).

Figura 5.2.2 Ferestr tipic a unui eveniment de tip informare(Information)

34

Figura 5.2.3 Fereastr tipic a unui eventiment de tip alarm (Warning)

Figura 5.2.4 Fereastr tipic a unui eveniment de tip eroare (Error) 35

Figura 5.2.5 Fereastr tipic pentru evenimentele de tip aduditare cu succes (Success Audit)

Figura 5.2.6 Fereastr tipic pentru evenimente de tip auditare euat) (Failure Audit) 36

Este de menionat c jurnalul de securitate nu este activat de la nceput i c trebuie s se modifice cheile responsabile de generarea acestor evenimente folosind Group Policy. Astfel pentru forarea auditrii evenimentelor legate de securitate, va trebui s apelm le activm folosind urmtoarele comenzi:

Se lanseaz aplicaia Start / Run / gpedit.mmc care va lansa consola de management Group Policy. Apoi se navigheaz n calea Computer configuration / Windows settings / Security Settings / Local Policies / Audit Policies i se vor activa evenimentele ce se doresc a fi urmrite(figura 5.2.7). Este foarte important ca aceste modificri (n consola de Group Policies) s fie fcute cu foarte mare grij i documentate toate modificrile efectuate pentru a putea reveni eventual, n cazul n care informaiile respective nu mai sunt necesare (genereaz o ngreunare a sistemului de ex la activarea auditrii la modificarea fiierelor de ctre utilizatori att la eveneimentele efectuate cu succes ct i eec, dimensiunea fiierelor ajungnd la dimensiuni foarte mari, sau ajungnd ca sistemul s fie forat s scrie foarte multe informaii care nu sunt relevante).

Figura 5.2.7 Activarea auditrii serviciilor de securitate (se observ din figur c s-au activat auditarea evenimentelor reuite sau nereuite de logon, de modificare a setrilor de conturi i a evenimentelor de sistem).

37

Informaiile care se pot defini sunt descrise succint, uneori cu exemple, pentru a putea fi uor de neles rolul lor (figura 5.2.8).

Figura 5.2.8 Setri de auditare, n partea stng se observ setarea privind natura evenimentelor ce se doresc auditate(jurnalizate) iar n dreapta se explic care sunt efectele acestor alegeri (alturi de o scurt descriere a cheii de auditare i exemplificarea selectrii modalitilor de auditare n caz de succes sau de eec Succes sau Failure). Este absolut necesar ca toate jurnalele sistemelor de operare s fie verificate zilnic (i uneori chiar mai des) pentru a putea preveni eventualele probleme aprute i pentru a putea lua msurile de prevenie corespunztoare(de ex. dac se observ c anumite aplicaii nu mai funcioneaz corespunztor, s poat fi remediate n timp util, sau s se documenteze asupra atenionrilor semnalate, folosind informaiile oferite). n mod implicit, dimensiunea iniial maxim a jurnalului este setat la 512 KO i cnd se ajunge la aceast dimensiune evenimentele noi se suprascriu peste cele vechi. n funcie de nevoile dvs., avei posibilitatea s modificai aceste setri sau s golii un jurnal de coninutul su. Dac dorii salvarea datelor jurnalului, avei posibilitatea s arhivai jurnalele de evenimente n oricare dintre urmtoarele formate:

Format fiier jurnal (.evt) Format fiier text (.txt) Format fiier text cu delimitator virgul (.csv) 38

Pentru o mai bun gestionare a acestor fisiere raportri diferite, cutri ncruciate, etc. se pot folosi diferite programe care traduc aceste fisiere n forme vizuale cu detalierea informaiilor prezentate. Soluiile profesionale de obicei folosite pe servere sunt aa numitele Log Processing System (LPS) care ofer suport pentru procesarea n timp real a logurilor generate de diverse servere din reeaua dumneavoastr i raportarea imediat a evenimentelor detectate. Permite cunoasterea imediata i permanent a strii reelei, n detaliu. Procesarea logurilor funcioneaz pe baza de plug-in-uri configurabile n funcie de necesitile de monitorizare a clientului

Permite analiza oricrui fiier de log, a oricrei aplicaii, pentru monitorizarea activitii afacerii i din alte puncte de vedere dect securitatea tehnologic a informaiei
Faciliteaz separarea alarmelor false de cele reale, reducnd cantitatea de munca a personalului tehnic

Accelereaza procesele de reacie n caz de atac, prin indicarea clar a zonelor i staiilor vulnerabile

Plugin-uri LPS diponibile: WSPT - Windows Station Process Tracking - raporteaz data i durata execuiei aplicaiilor instalate;
WSSA - Windows Server Share Access - raporteaz accesul pe un director partajat identificnd serverul, utilizatorul, domeniul i activitile ntreprinse - scriere, citire, modificare; GWEL - Generic Windows Event Log - asigur procesarea generic de log-uri Windows privind aplicaiile rulate i evenimentele de securitate;

ASLP - Axigen Server Log Processor - asigur procesarea informaiilor privind schimburile de coresponden;
WPLA - Web Proxy Log Analyzer - ofer informaii privind adresele web accesate de utilizatori, durata i traficul efectuat;

SPMM - Server Performance Monitoring Module - asigur procesarea datelor specifice funcionrii serverelor - nivelul de solicitare al procesorului, memoria utilizat, spaiul disponibil pe HDD;

Jurnale ale sistemelor de operare linux

Jurnalizarea n sistemele Linux se face prin intermediul daemonului sysklogd (Linux system logging utilities, diferitele distribu ii modificnd eventual denumirea sa). Daemonul de jurnalizare sysklogd e alctuit din 2 programe: syslogd i klogd.

Syslogd (System Log Daemon) jurnalizeaz toate programele i aplica iile din sistem (n afar de mesajelele kernelului), pe cnd klogd (Kernel Log Daemon) intercepteaz i prelucreaz mesajele kernelului.

39

Majoritatea jurnalelor sistemului se afl direct n calea /var/log, unele aplicaii pstrnd i ele ntr-un director propriu n /var/log, de exemplu apache poate avea ca spaiu de stocare a logurilor directorul /var/log/httpd sau /var/log/apache. De dorit ca /var/log s aib alocat o parti ie proprie, (mount-at cu parametrii noexec, nosuid, nodev) din cauz c n cazul unor atacuri aceste fi iere pot cpta dimensiuni foarte mari i astfel pot compromite sistemul prin lipsa spa iului necesar funcionrii corecte. Utilizatorii din sistem nu trebuie s aib acces nici mcar de citire a fi ierelor jurnal (cu excepia cazurilor cnd o aplicaie ruleaz sub alt user dect root(administrator), e nevoie ca acest user s aib access de scriere n fi ierul /var/log/nume-program, care trebuie s aib atributul append-only - userul poate numai adauga ceva n fi ierul respectiv, nu i terge.

Sugestii metodologice
UNDE? Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal de curs, eventual cu acces la videoproiector sau flipchart.

CUM? Clasa poate fi organizat frontal sau pe grupe. Se pot utiliza: Prezentri multimedia coninnd informaii despre serviciile de jurnalizare ale sistemelor de operare i modul n care informaiile con inute n acestea pot fi folosite. Se va insista ca fiecare elev() s cunoasc modul n care se gsesc i se folosesc informaiile jurnalizate. EVALUARE Se pot folosi probe scrise i orale sau proba tip eseu.

40

Fia 5.3 Jurnale de aplicaii

Acest material vizeaz competenele/rezultate al nvrii: Interpreteaz jurnalele sistemului de operare i ale aplicaiilor

Logurile sau jurnalele aplicaiilor se pot categorisi funcie de natura aplicaiei (aplicaiile sensibile gen antivirui, firewall sau aplicaii uzuale gen un browser sau alt aplicaie) sau funcie de natura informaiilor oferite (pstrate). Sunt aplicaii care genereaz aceste fiiere special pentru depanare (atunci cnd apare o eroarea care trebuie s fie analizat i trimis dezvoltatorilor, de obicei aceast posibilitate fiind urmat de trimiterea acelui fi ier rezultat) atunci cnd apar erori grave urmate de cele mai multe ori de nchiderea aplica iei. Jurnalele aplicaiilor se pot categorisi i ele n func ie de criteriile definite la jurnalele sistemelor de operare. Este de menionat c fiierele de jurnalizare generate de diferite aplica ii pot oferi informaii foarte utile despre sistem. S lum cazul cnd trebuie s instalm un diver pe un sistem pentru care nu avem informa iile necesare (nu putem deschide unitatea central pentru a identifica placa respectiv). Putem folosi n acest caz o aplica ie care poate furniza informaii despre aceasta scannd ntregul sistem fi ierul rezultat are denumirea de log al aplicaiei. Aadar informaiile generate de diferite aplica ii instalate pot oferi foarte multe informaii ajuttoare i n acelai timp prenioase pentru persoanele ruvoitoare. Imaginai-v ce culegere de date poate obine un atacator dac poate accesa fiierul generat n exemplul prezentat mai sus (informa ii despre placa de reea, drivere instalate, hardware utilizat, etc.). Jurnalizarea este o facilitate foarte important pentru orice categorie de aplica ie pentru c, funcie de informaiile care le cuprinde, se pot depana i urmri foarte multe informaii vitale pentru o administrare fluid a sistemului.

Jurnalele cele mai utilizate din aceast categorie a jurnalelor de aplica ii sunt cele generate de execuia unor proceduri sau comenzi care ori necesit mult timp i sunt de obicei lsate s lucreze, urmnd ca la final s se verifice aceste fi iere, ori sunt executate continuu i necesit doar verificate din cnd n cnd pentru a putea verifica starea sistemului (de ex. fi ierele generate de activitatea unui firewall sau a unei aplicaii ftp). Dup cum spuneam i mai sus informa iile oferite de aceste jurnale pot fi folosite pentru a putea gestiona mult mai bine sistemul, pentru a-l proteja de eventualele bree 41

de securitate semnalate de aceste jurnale, pentru a defini diferite moduri de lucru care s reduc problemele semnalate, etc. Auditarea sistemelor informatice.

O politic de securitate bine definit trebuie s urmeze i o form de verificare i analizare a stadiului n care se afl. Aceste forme de verificri poart numele de auditare informatic.

Pentru realizarea un set de politici i proceduri pentru managementul tuturor proceselor IT ntr-o organizaie s-a definit un set ndrumtor sub numele de CoBIT. Acest model (n varianta 4.1) ilustrativ se poate modela c o mprire a IT-ului n 4 domenii i 34 de procese n line cu responsabilitatea ariilor de acoperire, construire i monitorizare oferind o soluie de la cap la coad pentru ntreg conceptul IT. Rezumat la conceptul de arhitectur la nivel de ntreprindere, ajut foarte mult s se identifice resursele eseniale pentru succesul proceselor, de ex. aplicaii, informaii, infrastructur i oameni. Acest standard de securitate este promovat de ISACA organizaie non-profit ce reunete auditori de sisteme informatice de pretutindeni (auditori certificai CISA Certified Information System Auditor). Interesul pentru securitatea IT s-a manifestat i prin introducerea unei certificri specifice CISM Certified Information Security Manager. Un alt sistem este oferit spre certificare folosindu-se standardul ISO/IEC 17799:2000 set de politici care odat implementat este sinonim cu atingerea unui nivel ridicat de securitate IT(acest standard este agreat i de Comisia European). Dei acest standard confer bncilor care doresc s implementeze un sistem de internet banking, autorizaia de funcionare autorizaie care se va face n fiecare an, de ctre o companie independent cu competene solide n activiti de securitate informatic, el poate fi folosit ca i ghid i pentru celelalte domenii. n mod uzual n ara noastr se folosesc 3 categorii de auditare: Auditul specializat 1 care asigur conformitile cu prevederile Ordinului MCTI nr. 16/24.01.2003 este adresat furnizorilor de servicii care doresc eliminarea birocraiei prin listarea unui singur exemplar de factur fiscal. Este auditat planul de securitate al sistemului informatic, iar analiza este efectuat anual de ctre o echip independent, specializat, care are n componen i membri certificai CISA. Auditul specializat 2 se refer la auditarea planului de securitate n vederea aplicrii prevederilor Ordinului Min. Finanelor nr. 1077/06.08.2003 i presupune scanarea de vulnerabiliti adic este testat vulnerabilitatea unui sistem informatic la atacuri din afar sau din interiorul reelei. Este analizat modul n care sunt configurate echipamentele de reea, sistemele de operare de pe staii i servere i se compar cu recomandrile de securitate ale productorului. Acest tip de audit de securitate este executat de ctre un specialist certificat i experimentat pe produsul auditat. 42

Auditul specializat 3 se refer la securitatea infrastructurii IT. Aceast form de audit de securitate presupune know-how, experien, specialiti i certificri.

Sugestii metodologice
UNDE? Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal de curs, eventual cu acces la videoproiector sau flipchart.

CUM? Clasa poate fi organizat frontal sau pe grupe. Se pot utiliza: Prezentri multimedia coninnd informaii despre serviciile de jurnalizare ale aplicaiilor i modul n care aceste informaii pot ajuta un utilizator. Se va insista ca fiecare elev() s cunoasc modul n care se gsesc i se folosesc informaiile oferite de diferite aplica ii n jurnalele generate. EVALUARE Se pot folosi probe scrise i orale sau proba tip eseu.

43

IV. Fia rezumat

Unitatea de nvmnt __________________

Fia rezumat
Clasa ________________ Nume i prenume elev Competena 1 A1 zz.ll.aaaa2 A2 AX A1 Competena 2 A2 A3 A1 Profesor ______________________ Competena 3 A2 A3 Observaii

Nr. Crt. 1 2 3 4 ... Y

zz.ll.aaaa reprezint data la care elevul a demonstrat c a dobndit cunotinele, abilitile i aptitudinile vizate prin activitatea respectiv

Competene care trebuie dobndite Aceast fi de nregistrare este fcut pentru a evalua, n mod separat, evoluia legat de diferite competene. Acest lucru nseamn specificarea competenelor tehnice generale i competenelor pentru abiliti cheie, care trebuie dezvoltate i evaluate. Profesorul poate utiliza fiele de lucru prezentate n auxiliar i/sau poate elabora alte lucrri n conformitate cu criteriile de performan ale competenei vizate i de specializarea clasei. Activiti efectuate i comentarii Aici ar trebui s se poat nregistra tipurile de activiti efectuate de elev, materialele utilizate i orice alte comentarii suplimentare care ar putea fi relevante pentru planificare sau feed-back. Prioriti pentru dezvoltare Partea inferioar a fiei este conceput pentru a meniona activitile pe care elevul trebuie s le efectueze n perioada urmtoare ca parte a viitoarelor module. Aceste informaii ar trebui s permit profesorilor implicai s pregteasc elevul pentru ceea ce va urma. Competenele care urmeaz s fie dobndite n aceast csu, profesorii trebuie s nscrie competenele care urmeaz a fi dobndite. Acest lucru poate implica continuarea lucrului pentru aceleai competene sau identificarea altora care trebuie avute in vedere. Resurse necesare Aici se pot nscrie orice fel de resurse speciale solicitate:manuale tehnice, reete, seturi de instruciuni i orice fel de fie de lucru care ar putea reprezenta o surs de informare suplimentar pentru un elev care nu a dobndit competenele cerute.

Not: acest format de fi este un instrument detaliat de nregistrare a progresului elevilor. Pentru fiecare elev se pot realiza mai multe astfel de fie pe durata derulrii modulului, aceasta permind evaluarea precis a evoluiei elevului, n acelai timp furniznd informaii relevante pentru analiz.

V. Bibliografie
1. 2. 3. 4. 5. 6. Ionescu, Dan. (2007). Retele de calculatoare, Alba Iulia: Editura All Georgescu, Ioana. (2006). Sisteme de operare, Craiova: Editura Arves ***.La http://en.wikipedia.org . Informaii multiple ***.La http://support.microsoft.com . Informaii multiple 30.04.09 ***.La http://www.datasecurity.ro . 02.05.09 Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete reference, McGraw-Hill, 2003. 7. Tanenbaum, A.S., Computer Networks, 4th edition, Prentice-Hall, New Jersey, 2003 8. Bragg, Roberta. Windows 2000 Security. New Riders, 2001. 9. Andress, Mandy.Surviving Security. SAMS, 2001. 10. Zwicky, Elizabeth, et al. Building Internet Firewalls, 2nd Edition . O'Reilly & Associates, 2000. 11. Northcutt, Stephen and Judy Novak. Network Intrusion Detection: An Analyst's Handbook, 2nd Edition. New Riders, 2000.

46