nvmntul profesional i tehnic n domeniul TIC Proiect cofinanat din Fondul Social European n cadrul POS DRU 2007-2013

Beneficiar Centrul Naional de Dezvoltare a nvmntului Profesional i Tehnic

str. Spiru Haret nr. 10-12, sector 1, Bucureti-010176, tel. 021-3111162, fax. 021-3125498, vet@tvet.ro

Securitatea sistemelor de calcul i a reelelor de calculatoare Material de nvare partea a II-a

Domeniul: Electronic automatizri Calificarea: Tehnician operator tehnic de calcul Nivel 3

2009

AUTOR: MOJZI MIHAI profesor gradul II

COORDONATOR: LADISLAU EICA - Informatician

CONSULTAN: IOANA CRSTEA expert CNDIPT ZOICA VLDU expert CNDIPT ANGELA POPESCU expert CNDIPT DANA STROIE expert CNDIPT

Acest material a fost elaborat n cadrul proiectului nvmntul profesional i tehnic n domeniul TIC, proiect cofinanat din Fondul Social European n cadrul POS DRU 20072013

Cuprins
I. Introducere....................................................................................................................................4 III. Resurse.......................................................................................................................................6 Tema 6: Actualizarea permanent a sistemului prin aplicarea de patch-uri i update-uri ..........7 Tema 7: Instalarea i configurarea firewallului........................................................................17 Tema 8: Metode de securizare a reelelor wireless....................................................................28 Tema 9: Mijloace de fraud pe Internet.....................................................................................43 III. Glosar.......................................................................................................................................52 IV. Bibliografie..............................................................................................................................59

I. Introducere
Materialul de nvare are rolul de a conduce elevul la dobndirea competenelor: Instaleaz i configureaz sisteme de securitate a sistemelor de calcul i a reelelor de calculatoare Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare Asigur mentenana preventiv a calculatoarelor i reelelor de calculatoare Electronic i automatizri Tehnician operator tehnic de calcul

Domeniul Calificarea

Nivelul de calificare 3 Materialul cuprinde: fie de documentare activiti de nvare glosar

Prezentul material de nvare se adreseaz elevilor din cadrul liceelor, domeniul Electronic i automatizri, calificarea Tehnician operator tehnic de calcul. Denumirea temei Fie de nvare / Fie de documentare Fia 6.1 Actualizarea sistemului de operare Tema 6 Actualizarea permanenta a sistemului prin aplicarea de patch-uri i update-uri
Activitatea de nvare 6.1.1 Noiuni despre actualizarea sistemelor de operare Activitatea de nvare 6.1.2 Analizarea update-urilor instalate folosind MSBA

Competene(le) vizate 3. Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare 4. Asigur mentenana preventiv a calculatoarelor i reelelor de calculatoare 4. Asigur mentenana preventiv a calculatoarelor i reelelor de calculatoare 2. Instaleaz i configureaz sisteme de securitate a sistemelor de calcul i a reelelor de calculatoare 3. Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare

Fia 6.2 Actualizarea aplicaiilor software

Activitatea de nvare 6.2 Probleme ce pot aprea la actualizarea unei aplicaii soft

Fia 7.1 Rolul i menirea unui firewall Tema 7 Instalarea i configurarea firewallului
Activitatea de nvare 7.1.1 Rolul unui firewall Activitatea de nvare 7.1.2 Limitrile unui firewall

Fia 7.2 Configurarea unui firewall

Activitatea de nvare 7.2.1 Amplasarea unui firewall Activitatea de nvare 7.2.2 Configurarea unui firewall

Fia 8.1 Standarde de securitate pentru reelele wireless

Activitatea de nvare 8.1 Standarde de securitate wireless

3. Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare 3. Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare 2. Instaleaz i configureaz sisteme de securitate a sistemelor de calcul i a reelelor de calculatoare 3. Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare 4. Asigur mentenana preventiv a calculatoarelor i reelelor de calculatoare 3. Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare 4. Asigur mentenana preventiv a calculatoarelor i reelelor de calculatoare

Fia 8.2 Configurarea unei reele wireless Tema 8 Metode de securizare a reelelor wireless
Activitatea de nvare 8.2.1 Tipuri de reele wireless Activitatea de nvare 8.2.2 Configurarea unei reele wireless ad-hoc

Fia 8.3 Testarea securitii unei reele de tip wireless

Activitatea de nvare 8.3 Testarea unei reele wireless

Fia 9.1 Forme de nelciune n internet

Activitatea de nvare 9.1 Mijloace de fraud pe Internet

Tema 9 Mijloace de fraud pe internet

Fia 9.2 Mijloace i metode de protecie privind frauda pe internet

Activitatea de nvare 9.2 Metode de protecie contra fraudelor pe Internet

Temele din prezentul material de nvare nu acoper toate coninuturile prevzute n curriculumul pentru modulul Securitatea sistemelor de calcul i a reelelor de calculatoare. Pentru parcurgerea integral a modulului n vederea atingerii competenelor vizate / rezultate ale nvrii profesorul va avea n vedere i materialul de nvare Securitatea sistemelor de calcul i a reelelor de calculatoare partea I. Absolvenii nivelului 3, liceu, calificarea Tehnician operator tehnica de calcul, vor fi capabili s ndeplineasc sarcini cu caracter tehnic de montaj, punere n funciune, ntreinere, exploatare i reparare a echipamentelor de calcul.

III. Resurse
Prezentul material de nvare cuprinde diferite tipuri de resurse care pot fi folosite de elevi: fie de documentare activiti de nvare

Elevii pot folosi att materialul prezent (n forma printat) ct i varianta echivalent online.

Tema 6: Actualizarea permanent a sistemului prin aplicarea de patch-uri i update-uri

Fia de documentare 6.1 Actualizarea sistemelor de operare
Acest material vizeaz competena/rezultat al nvrii: Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare precum i Asigur mentenana preventiv a calculatoarelor i reelelor de calculatoare.

Pentru a elimina riscurile de securitate datorate vulnerabilitilor cunoscute, va trebui s aplicm patch-uri i fix-uri de securitate pentru sistemele de operare i aplicaii. Eliminarea vulnerabilitilor cunoscute este de fapt prima msur de securitate care trebuie luat, deoarece aceste vulnerabiliti vor fi primele ncercate de un atacator sau exploatate de ctre un vierme.

Figura 6.1.1 Posibile bree de securitate din cauza neactualizrilor fcute la sistemele de operare n ultima perioad s-a mrit numrul atacurilor de acest tip care exploateaz vulnerabiliti cunoscute. Fereastra de timp dintre publicarea vulnerabilitii (respectiv a patch-ului corespunztor) i apariia unui atac scade din ce n ce mai mult, dar totui nu este suficient. n mai toate cazurile, sistemele afectate nu fuseser actualizate, dei exista fix-ul corespunztor. Este foarte important s ne actualizm la timp sistemele de operare i aplicaiile din punct de vedere al patch-urilor i fix-urilor de securitate. Doar aa putem fi siguri c suntem protejai n proporie minim, dar nu i suficient. nainte de a da vina pe administratorii de reea, s ne gndim c exist un numr destul de mare de patch-uri i fix-uri care sunt publicate periodic i care trebuie descrcate, testate i apoi aplicate n mod sistematic pe toate calculatoare din reea. Este evident necesitatea unui proces de Patch Management care s permit o abordare structurat versus reacia ad-hoc la incidente de securitate. De aici i necesitatea de a se folosi aplicaii care s automatizeze acest proces. 7

Acest proces de management al patch-urilor trebuie s se alture celorlalte procese operaionale existente n cadrul unei companii. Patch Management se integreaz de fapt n disciplinele de Change Management i Configuration Management, aa cum sunt descrise de Microsoft Operations Framework (MOF) sau IT Infrastructure Library (ITIL). Putem mpri procesul de management al patch-urilor n mai multe faze: mai nti se va face o analiz a vulnerabilitilor cunoscute asupra sistemelor existente folosind, de obicei, un instrument automat i se va inventaria patch-urile necesare pentru aceste vulnerabiliti. De asemenea, va trebui s se testeze n condiii de laborator patch-urile pentru a verifica modul n care afecteaz funcionarea sistemelor i/sau a aplicaiilor existente(instalate). Apoi va urma procesul de instalare a patch-urilor, care pentru reele medii-mari trebuie s fie automatizat, precum i verificarea instalrii cu succes a acestora. Microsoft Baseline Security Analyzer (MBSA) 1.2 poate fi folosit pentru a analiza sistemele existente i a inventaria vulnerabilitile descoperite pentru sistemele de operare Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 precum i a altor produse Microsoft: Internet Explorer, Windows Media Player, IIS, SQL Server, Exchange, Microsoft Office, Microsoft Data Access Components, Microsoft Virtual Machine, MSXML, BizTalk Server, Commerce Server, Content Management Server i Host Integration Server.

Figura 6.1.2 Conectori n Microsoft Visio special concepui pentru MSBA MBSA adaug o interfa grafic la utilitarul linie de comand HFNetCheck i folosete un fiier MSSECURE.XML ce poate fi downloadat de la Microsoft i conine informaii despre toate patch-urile disponibile n acel moment. Astfel se pot crea rapoarte pentru sistemele scanate ce afieaz patch-urile care nu au fost nc instalate pe sisteme. MBSA este capabil s identifice de asemenea vulnerabiliti cunoscute la servicii i aplicaii. MBSA poate scana o singur main sau mai multe folosind un rang de adrese IP sau toate calculatoarele din domeniu, cu condiia s aib permisiuni administrative. Atenie: MBSA poate face doar analiza sistemelor, nu i instalarea propriu-zis a patch-urilor. 8

Figura 6.1.3 O posibil reprezentare grafic realizat dup o scanare cu MBSA. Ca soluii care s asigure instalarea i urmrirea update-urilor efectuate avem aplicaia System Management Server (SMS) un produs complex pentru inventarierea hardware-ului i software-ului, pentru instalarea automat de software precum i management al sistemelor. Folosind instrumentele de inventariere de software i un pachet numit Software Updates Scanning Tool (bazat pe MBSA 1.2) ce poate fi downloadat gratuit de pe site-ul Microsoft se pot analiza sistemele i inventaria vulnerabilitile. SMS poate produce rapoarte privind update-urile i Service Pack-urile instalate, lista update-urilor disponibile ce trebuie aplicate pe fiecare calculator etc. n plus, SMS poate face i instalarea patch-urilor folosind facilitile de distribuie de software. SMS este foarte util pentru reele medii-mari.

Figura 6.1.4 O posibila implementare a unui server SMS Nu este de neglijat nici faptul ca sunt unele vulnerabiliti, cei drept mai puine, care privesc diferite drivere instalate pe calculator. Ori de cte ori este posibil este necesar s se realizeze aceste actualizri, dar numai dup o atent citire a documentaiei de explicare a noii versiuni i eventuala testare ntr-un mediu sigur. 9

Actualizarea unui sistem de operare poate fi fcut manual sau automat. Sistemele de operare bazate pe platforma Windows ofer un ntreg serviciu care s se ocupe de aceast problem numit Automatic Updates.

Figura 6.1.5 Activarea Automatic Updates se realizeaz imediat dup terminarea instalrii sistemului de operare Versiunile de Windows din magazine sunt deja nvechite n momentul vnzrii, deoarece pn la producerea discurilor i comercializarea acestora trec luni ntregi. De aceea, dup instalare, trebuie ncrcate update-urile corespunztoare. Deoarece aceste Windows Update-uri au atins ntre timp o dimensiune apreciabil, muli utilizatori renun la descrcarea regulat, de unde rezult numeroase bree de securitate, prin care viruii se nmulesc exploziv. Cu Service Pack 2, Microsoft a trecut la administrarea sistemului cu ajutorul funciei Automatic Updates. Aceast funcie menine securitatea calculatorului la un nivel ridicat, deoarece vulnerabilitile gsite de hackeri sunt nchise prin instalarea automat a actualizrilor noi. Apelnd funcia de update-uri automate via Start-Settings-Control Panel-System-Automatic Updates sunt la dispoziie diverse opiuni, care vor permite alegerea modului n care s se procedeze cu actualizrile. Recomandat este modul Automatic, unde se stabilete ora i intervalul descrcrilor i al instalrii prin meniul aferent. n plus, este posibil alegerea opiunii Notify Me But Don't Automaticaly Download or Install Them, care informeaz de disponibilitatea unor noi update-uri i ntreab utilizatorul dac dorete s le descarce imediat sau mai trziu. Astfel se pot evita o serie de fluctuaii de performan ale legturii de internet i eventualele reporniri necesare vor fi efectuate numai dup terminarea lucrrilor importante.

10

Activitatea de nvare 6.1.1 Noiuni despre actualizarea sistemelor de operare

Obiectivul/obiective vizate: La sfritul activitii vei cunoate i vei fi capabil s foloseti diferite noiuni legate de actualizarea sistemelor de operare.

Durata: 30 min

Tipul activitii: Problematizare Sugestii : activitatea se poate desfura pe grupe sau individual Sarcina de lucru: Un informatician trebuie s fac un raport ctre un grup de persoane, n care s prezinte diferite aplicaii i ultimile variante disponibile precum i data lansrii acestora. Pentru ca raportul s fie neles de toate persoanele se va completa i o scurt descriere a noiunilor(i aplicaiilor) cuprinse n raport(pentru ce este folosit aplicaia respectiv). Nr. Crt. 1 Ultima variant disponibil, data lansrii

Denumirea noiunii Patch MSBA Microsoft Baseline Security Analyzer SMS System Management Server Driver placa video Nvidia, respectiv AMD(Ati) la alegere

Scurt descriere

Pentru rezolvarea activitii consultai Fia de documentare 6.1

11

Activitatea de nvare 6.1.2 Analizarea update-urilor instalate folosind MSBA

Obiectivul/obiective vizate: La sfritul activitii vei fi capabil s foloseti aplicaia MSBA - Microsoft Baseline Security Analyzer, pentru analizarea update-urilor instalate pe un sistem.

Durata: 40 min

Tipul activitii: Studiu de caz Sugestii : activitatea se poate desfura pe grupe sau individual Sarcina de lucru: n cadrul unei companii se cere s se realizeze un raport cu privire la cate update-uri au fost instalate pe diferitele sisteme din companie precum i care sunt sistemele cele mai rar actualizate. Pentru acesta se va completa cu datele culese , urmtorul tabel. Nr. Crt. Denumirea sistemului i locaia sa PC generic Dep Secretariat PC generic Dep Informatic PC generic Dep Contabilitate PC generic Dep Achiziii Numr de actualizri efectuate (critice i noncritice) Ultima actualizare

1 2 3 4

Pentru rezolvarea activitii consultai Fia de documentare 6.1. Va fi necesar s se pregteasc n prealabil aceste 4 calculatoare pentru a evidenia obiectivele urmrite n cadrul fiei.

12

Fia de documentare 6.2 Actualizarea aplicaiilor software

Acest material vizeaz competena/rezultat al nvrii: Asigur mentenana preventiv a calculatoarelor i reelelor de calculatoare. Ameninrile informatice tot mai numeroase nu sunt simple poveti inventate de producatorii de software pentru a-i vinde mai bine produsele, ci chiar produc pagube serioase companiilor afectate, spun cercetatori independeni, care sftuiesc managerii s nu permit excepii de la cele mai severe reguli de procedur n domeniu. Piaa mondial de aplicaii de securitate va cunoate un adevarat boom, cu o rat anual de cretere de circa 16,2%, ncasrile mondiale urmnd s ajung la 11,4 miliarde de dolari (9,43 miliarde de euro) pe an n 2009, conform companiei de analiza a pieelor Gartner. Cu toate acestea, efortul respectiv nu poate opri valul de ameninri informatice, nici marile corporaii nefiind absolut ferite de astfel de probleme. "Responsabilii companiilor presupun c dac cumpar un soft, de preferin ct mai scump, problemele acestea se rezolv, nsa n mod evident greesc", a declarat un specialist al Secure Computing, companie specializat n domeniul securitii informatice. Nici un soft nu e infailibil: vulnerabiliti n sistemele informatice se descoper aproape zilnic, iar n perioada de timp pn cnd productorul soft corecteaz eroarea, sistemele sunt vulnerabile. Sistemele de comunicare online i avantajeaza astfel pe piraii Internetului, care n perioada de timp pn la actualizarea aplicaiei soft pot cpta acces la resursele companiilor. De la lista de clieni, pn la lista cu salarii i de la datele de identitate ale clientilor sau angajatilor pn la proiectele cele mai secrete din laboratoarele companiei. Una din principalele cauze ale problemelor cu securitatea informatic este nevoia ca aplicaiile software s fie uor de utilizat de angajai, spun experii Secure Computing. "Atunci cnd se instaleaz o aplicaie nou, oamenii vor ca angajaii s aib acces la ea imediat i renun la nceput la setrile de securitate", a explicat specialistul Secure Computing. Programul de ntreinere a aplicaiilor i aducerea lor la zi pentru o mai buna protecie fa de vulnerabiliti este la fel de important ca i cumprarea soluiei de securitate informatic, a spus la rndul su un analist al Gartner. Peste 90% din companii au un soft de protecie antivirus, dar 30% dintre aceste companii au n continuare probleme legate de pierderea datelor, computere infectate i altele asemenea, relev un studiu Gartner. O data cu noile programe realizate special de piraii Internetului pentru a fura parole i date confideniale, ameninarea atinge riscul maxim, spun specialitii n domeniu. Aplicaiile software anti-spyware sunt la nceput de drum, nici cele mai performante nefiind de fapt capabile s detecteze toate ameninrile. Programele spyware sunt 13

responsabile de aproximativ 50% din toate problemele software raportate de clienii Microsoft, al crui sistem de operare se afl pe mai bine de 90% din computerele lumii. n miezul verii, specialitii n domeniu au avertizat c sistemele informatice instalate de hoteluri de exemplu, sunt extrem de vulnerabile n faa atacurilor propriilor clieni. Cu un laptop i o conexiune oferit chiar de hotel, un vizitator poate avea acces nu doar la serviciile premium (room service, posturi TV cu plat, note de plat pentru minibar). Un specialist n informatic poate accesa direct baza de date, putnd observa i ceea ce fac ceilali clieni.

Figura 6.2.1 O posibil schem privind securitatea unui hotel (sau orice alt form) n noua er digital nici oferii nu scap de bti de cap. Oficiali din industria auto i o serie de analiti independeni au avertizat c interesul crescut al hackerilor de a crea virui pentru aparatura electronic pune n pericol i sistemele computerizate ale vehiculelor.

Aplicaiile software care necesit update-uri se pot mpri dup conceptele: the good, the bad i the ugly. Aceste concepte se refer la: - The good: aici intr aspectele pozitive ale realizrilor de actualizri la versiuni ct mai noi, mai recente ale software-ului instalat. Menionm: uurina n folosire, eficacitatea exemplul cel mai util este la aplicaiile de tip antivirus care beneficiaz de actualizri multiple uneori chiar la nivel de minute, uurina de realizare cele mai multe aplicaii avnd inclus o opiune de actualizare automat, n caz contrar procedeul implic verific locaia X, serverul Y, descarc noua versiune dac este cazul i implementarea ei care decurge intr-un mod simplu i fr complicaii de cele mai multe ori; - The bad: aici intervin aa numitele pri negative ale actualizrilor. Menionm aici realizarea unei actualizri poate s fac innaccesibile documentele salvate anterior, o actualizare care s se fac printr-o modificare de licen i n acest caz existnd pericolul de a ei din legalitate cu produsul respectiv, tot aici intr i cazurile cnd nu se fac actualizrile, sau nu se fac la timp existnd riscul de a rmne vulnerabili la o bre de securitate care s fi fost eliminat ntre-timp; - The ugly: Aici sunt prile cele mai deranjante n realizarea unor actualizri i anume imposibilitatea de a le face drepturi insuficiente, restricii de acces pe serverele ce conin aceste actualizri, conexiunea la internet sau faptul c odat fcute apar disfuncionaliti la alte programe instalate sau acea actualizare s se fac n contratimp cu partenerii care folosesc aceeai aplicaie rezultnd n incompatibiliti de versiuni, sau cazul cel mai paranoic, cnd acea actualizare poate deschide o alt 14

bre de securitate cu mult mai periculoas ca cea/cele pe care le-a remediat(sau serverele de pe care se face acea actualizare s fi fost afectate de un virus sau un Trojan care s infecteze respectivele fiiere de actualizare). Concluzionnd putem separa clar dou categorii mari de actualizri de aplicaii software: - aplicaiile de securitate aici intrnd aplicaiile antivirus, anti-spyware, aplicaiile firewall, etc. care au un satut cu totul special, recomandndu-se s se fac actualizrile cat de curnd posibil i, - aplicaiile uzuale care, de obicei realizeaz update-uri la distane mai mari de timp, de multe ori actualizarea implicnd nlocuirea propriu-zis a aplicaiei iniiale.

15

Activitatea de nvare Probleme ce pot aprea la actualizarea unei aplicaii soft

Obiectivul/obiective vizate: La sfritul activitii vei cunoate riscurile ce pot surveni n cazul actualizrii unei aplicaii software.

Durata: 20 min

Tipul activitii: mperechere Sugestii : activitatea se poate desfura pe grupe sau individual Sarcina de lucru: Legai noiunile corespunztoare de explicaiile lor. Noiuni: the good, the bad, the ugly

Explicaii: aici intr aspectele pozitive ale realizrilor de actualizri la versiuni ct mai noi, mai recente ale software-ului instalat. Menionm: uurina n folosire, eficacitatea exemplul cel mai util este la aplicaiile de tip antivirus care beneficiaz de actualizri multiple uneori chiar la nivel de minute, uurina de realizare cele mai multe aplicaii avnd inclus o opiune de actualizare automat, n caz contrar procedeul implic verific locaia X, serverul Y, descarc noua versiune dac este cazul i implementarea ei care decurge intr-un mod simplu i fr complicaii de cele mai multe ori , aici intervin aa numitele pri negative ale actualizrilor. Menionm aici realizarea unei actualizri poate s fac innaccesibile documentele salvate anterior, o actualizare care s se fac printr-o modificare de licen i n acest caz existnd pericolul de a ei din legalitate cu produsul respectiv, tot aici intr i cazurile cnd nu se fac actualizrile, sau nu se fac la timp existnd riscul de a rmne vulnerabili la o bre de securitate care s fi fost eliminat ntre-timp, aici sunt prile cele mai deranjante n realizarea unor actualizri i anume imposibilitatea de a le face drepturi insuficiente, restricii de acces pe serverele ce conin aceste actualizri, conexiunea la internet sau faptul c odat fcute apar disfuncionaliti la alte programe instalate sau acea actualizare s se fac n contratimp cu partenerii care folosesc aceeai aplicaie rezultnd n incompatibiliti de versiuni, sau cazul cel mai paranoic, cnd acea actualizare poate deschide o alt bre de securitate cu mult mai periculoas ca cea/cele pe care le-a remediat(sau serverele de pe care se face acea actualizare s fi fost afectate de un virus sau un Trojan care s infecteze respectivele fiiere de actualizare) Pentru rezolvarea activitii consultai Fia de documentare 6.2

16

Tema 7: Instalarea i configurarea firewallului

Fia de documentare 7.1 Rolul i menirea unui firewall
Acest material vizeaz competena/rezultat al nvrii: Instaleaz i configureaz sisteme de securitate a sistemelor de calcul i a reelelor de calculatoare

Un firewall se poate defini ca fiind un paravan de protecie ce poate ine la distan traficul Internet, de exemplu hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun probleme sistemului. n plus, acest paravan de protecie poate evita participarea computerului la un atac mpotriva altora, fr cunotina utilizatorului. Utilizarea unui paravan de protecie este important n special dac calculatorul este conectat n permanen la Internet.

Figura 6.3.1 Funcia primordial a unui firewall.

O alt definiie un firewall este o aplicaie sau un echipament hardware care monitorizeaz i filtreaz permanent transmisiile de date realizate ntre PC sau reeaua local i Internet, n scopul implementrii unei "politici" de filtrare. Aceast politic poate nsemna: protejarea resurselor reelei de restul utilizatorilor din alte reele similare Internetul -> sunt identificai posibilii "musafiri" nepoftii, atacurile lor asupra PC-ului sau reelei locale putnd fi oprite. controlul resurselor pe care le vor accesa utilizatorii locali. Mod de funcionare:

17

De fapt, un firewall, lucreaz ndeaproape cu un program de routare, examineaz fiecare pachet de date din reea (fie cea local sau cea exterioar) ce va trece prin serverul gateway pentru a determina dac va fi trimis mai departe spre destinaie. Un firewall include de asemenea sau lucreaz mpreun cu un server proxy care face cereri de pachete n numele staiilor de lucru ale utilizatorilor. n cele mai ntlnite cazuri aceste programe de protecie sunt instalate pe calculatoare ce ndeplinesc numai aceast funcie i sunt instalate n faa routerelor.

Figura 6.3.2 O posibil implementare a unui firewall. Soluiile firewall se mpart n dou mari categorii: prima este reprezentat de soluiile profesionale hardware sau software dedicate proteciei ntregului trafic dintre reeaua unei ntreprinderi (instituii, serverele marilor companii publice) i Internet; iar cea de a doua categorie este reprezentat de firewall-urile personale dedicate monitorizrii traficului pe calculatorul personal. Utiliznd o aplicaie din ce-a de a doua categorie se poate prentmpina atacurile colegilor lipsii de fair-play care ncearc s acceseze prin mijloace mai mult sau mai puin ortodoxe resurse de pe PC-ul dumneavoastr. n situaia n care dispunei pe calculatorul de acas de o conexiune la Internet, un firewall personal v va oferi un plus de siguran transmisiilor de date. Cum astzi majoritatea utilizatorilor tind s schimbe clasica conexiune dial-up cu modaliti de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuite asupra sistemului dumneavoastr crete. Astfel, mrirea lrgimii de band a conexiunii la Internet faciliteaz posibilitatea de "strecurare" a intruilor nedorii.

Astfel, un firewall este folosit pentru dou scopuri: pentru a pstra n afara reelei utilizatorii ru intenionati (virui, viermi cybernetici, hackeri, crackeri); pentru a pstra utilizatorii locali (angajaii, clienii) n reea. Politici de lucru:

18

nainte de a construi un firewall trebuie hotrt politica sa, pentru a ti care va fi funcia sa i n ce fel se va implementa aceast funcie. Pentru a putea defini politica firewall-ului, sunt necesare unele rspunsuri la urmtoarele ntrebri: ce servicii va deservi firewall-ul ? ce grupuri de utilizatori care vor fi protejai ? de ce fel de protecie are nevoie fiecare grup de utilizatori ? cum va fi protejat fiecare grup(detaliere privind i natura serviciilor din cadrul grupurilor)? La final este necesar s se scrie o declaraie prin care oricare alte forme de access sunt o ilegalitate. Politica va deveni tot mai complicat cu timpul, dar deocamdat este bine s fie simpl i la obiect.

Figura 6.3.3 Diferite politici implementate ntr-un firewall Clasificri:

Firewallurile pot fi clasificate dup: Layerul (stratul) din stiva de reea la care opereaz Modul de implementare 19

n funcie de nivelul (layer) din stiva TCP/IP (sau OSI) la care opereaz, firewallurile pot fi: Layer 2 (MAC) i 3 (datagram): packet filtering. Layer 4 (transport): tot packet filtering, dar se poate diferenia ntre protocoalele de transport i exist opiunea de "stateful firewall", n care sistemul tie n orice moment care sunt principalele caracteristici ale urmtorului pachet ateptat, evitnd astfel o ntreag clas de atacuri Layer 5 (application): application level firewall (exist mai multe denumiri). n general se comport ca un server proxy pentru diferite protocoale, analiznd i lund decizii pe baza cunotinelor despre aplicaii i a coninutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat application firewall pentru email. Dei nu este o distincie prea corect, firewallurile se pot mpri n dou mari categorii, n funcie de modul de implementare: dedicate, n care dispozitivul care ruleaz software-ul de filtrare este dedicat acestei operaiuni i este practic "inserat" n reea (de obicei chiar dup router). Are avantajul unei securiti sporite. combinate cu alte faciliti de networking. De exemplu, routerul poate servi i pe post de firewall, iar n cazul reelelor mici acelai calculator poate juca n acelai timp rolul de firewall, router, file/print server, etc. Concluzii: Un firewall poate s: - monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o mai bun monitorizare a traficului i deci o mai uoar detectare a ncercrilor de infiltrare; - blocheze la un moment dat traficul n i dinspre Internet; - selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete. - permit sau interzic accesul la reeaua public, de pe anumite staii specificate; - i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa ntre cele dou. De asemeni, o aplicaie firewall nu poate: - interzice importul/exportul de informaii duntoare vehiculate ca urmare a aciunii rutcioase a unor utilizatori aparinnd spaiului privat (ex: csua potal i ataamentele); - interzice scurgerea de informaii de pe alte ci care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router); - apra reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor n reea (USB Stick, dischet, CD, etc.) - preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii, precum i punctele slabe ce decurg din exploatarea acestor greeli.

20

Activitatea de nvare 7.1.1 Rolul unui firewall

Obiectivul/obiective vizate: La sfritul activitii vei nelege rolul unui firewall n cadrul unei reele.

Durata: 60 min

Tipul activitii: Hart tip pnz de pianjen Sugestii : activitatea se poate individual sau pe grupe Sarcina de lucru: Figura alturat prezint rolul unui firewall. Fiecare grup de elevi trebuie s analizeze dependena dintre ele i s neleag rolul i importana unui firewall. Pentru rezolvarea sarcinii de lucru consultai Fia de documentare 1.3 precum i sursele de pe Internet.

Figura 6.3.1 Funcia primordial a unui firewall.

21

Activitatea de nvare 7.1.2 Limitrile unui firewall

Obiectivul/obiective vizate: La sfritul activitii vei nelege limitrile unui firewall.

Durata: 60 min

Tipul activitii: nvare prin categorisire Sugestii : activitatea se poate desfura pe grupe sau individual Sarcina de lucru: Avnd la dispoziie urmtorul tabel, bifai corespunztor categoriei din care face parte. Un firewall poate nu poate Proprieti s monitorizeze cile de ptrundere n reeaua privat s trateze accesul la reeaua public s interzic importul/exportul de informaii duntoare vehiculate ca urmare a aciunii rutcioase a unor utilizatori aparinnd spaiului privat s izoleze spaiul privat de cel public i s realizeze interfaa ntre cele dou. s apere reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor n reea (USB stick, dischet, CD, etc.) s selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete s previn manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii, precum i punctele slabe ce decurg din exploatarea acestor greeli. s blocheze la un moment dat traficul n i dinspre Internet; s interzic scurgerea de informaii pe alte ci (furturi de echipamente de ex.) Pentru rezolvarea sarcinii de lucru consultai Fia de documentare 7.1 precum i sursele de pe Internet.

22

Fia de documentare 7.2 Configurarea unui firewall

Acest material vizeaz competena/rezultat al nvrii: Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare

Tehnologia firewall se bazeaz pe folosirea porturilor. Porturile nu sunt altceva dect nite numere plasate ntr-un anumit loc bine definit n pachetul de date. Fiecare aplicaie folosete anumite porturi deci anumite numere .

Figura 7.2.1 Configurari diferite privind implementarea unui firewall Dei un anumit serviciu poate avea un port asignat prin definiie, nu exist nici o restricie ca aplicaia s nu poat asculta i alte porturi. Un exemplu comun este cel al protocolului de pot electronic Simple Mail Transfer Protocol (SMTP). Acest serviciu are portul asignat 25. Posibil ca furnizorul de internet s blocheze acest port pentru a evita folosirea unui server de mail pe calculatorul propriu. Nimic nu ne oprete ns s configurm un server de mail pe un alt port. Motivul principal pentru care anumite servicii au porturi asignate implicit este acela ca un client s poat gsi mai uor un anumit serviciu pe o gazd aflat la distan. Cteva exemple: serverele FTP ascult portul 21; serverele HTTP sunt pe portul 80; aplicaiile client de genul File Transfer Protocol (FTP) folosesc porturi asignate aleator de obicei mai mari ca 1023.

23

Exist puin peste 65000 porturi mprite n porturi bine cunsocute (01023), porturi nregistrate (102449151) i porturi dinamice (4915265535). Dei sunt sute de porturi cu aplicaiile corespunztore, n practic mai puin de 100 sunt utilizate frecvent. n tabelul 1 putem vedea cele mai frecvente porturi i protocolul care l folosete. Trebuie s menionm c aceste porturi sunt primele vizate de un sprgtor pe calculatorul victimei. Tabel 1 Porturi comune i protocoale Port 21 22 23 25 53 67/68 69 79 80 88 110 111 135 139 161 162 389 443 445 1433 Serviciu FTP SSH Telnet SMTP DNS DHCP TFTP Finger HTTP Kerberos POP3 SUNRPC MS RPC NB Session SNMP SNMP Trap LDAP SSL SMB over IP MS-SQL Protocol TCP TCP TCP TCP TCP/UDP UDP UDP TCP TCP UDP TCP TCP/UDP TCP/UDP TCP/UDP UDP UDP TCP TCP TCP/UDP TCP

O bun practic de siguran este blocarea acestor porturi dac nu sunt folosite. Se recomand folosirea practicii least privilege. Acest principiu const n acordarea accesului minimal, strict necesar desfurrii activitii unui serviciu. S nu uitm c securitatea este un proces fr sfrit. Dac un port este inchis astzi nu nseamna ca va rmne aa i mine. Se recomanda testarea periodic a porturilor active. De asemenea aplicaiile au grade de siguran diferite; SSH este o aplicaie relativ sigur pe cnd Telnet-ul este nesigur. 24

Prezentarea firewall-ului inclus n Windows XP SP2

Figura 7.2.2 Windows firewall inclus odata cu Windows XP SP2 Componenta firewall are funcia de a supraveghea comunicaia sistemului precum i a aplicaiilor instalate cu internetul sau reeaua i s blocheze n caz de nevoie conexiunile nedorite. Ea asigur protecia PC-ului mpotriva pro-gramelor duntoare i a hacker-ilor. Spre deosebire de versiunea anterioar, Windows Firewall este activat n Service Pack 2 imediat dup instalare i blocheaz majoritatea programelor care comunic cu internetul. De aceea, muli utilizatori prefer s l dezactiveze n loc s l configureze. Pentru o configurare optima nu sunt necesare dect cteva setri de baz. Dac un program instalat mpreun cu sistemul de operare ncearc s iniieze o legtur la internet sau la reeaua intern, apare o fereastr de informare care ntreab cum dorii s tratai aceast comunicare. Sunt la dispoziie opiunea de a bloca sau a permite conexiunea. n funcie de selecie, firewall-ul din XP stabilete automat o regul. Dac unei aplicaii trebuie s i fie permis s realizeze legturi, n registrul Exceptions se pot stabili reguli permanente corespunztoare. n meniul Programs se obine o list cu toate aplicaiile instalate de sistemul de operare, ale cror setri de conectare pot fi definite dup preferine. Aplicaiile individuale nu sunt de multe ori enumerate n list. Acestea pot fi introduse n list cu ajutorul opiunii Add Program, indicnd apoi calea spre executabil printr-un clic pe Browse. Din motive de siguran se pot defini suplimentar, la Ports, ce interfee i ce protocol - TCP sau UDP - poate utiliza programul. n aceeai fereastr se afl i butonul Change Scope, cu ajutorul cruia este posibil introducerea de diverse adrese IP ale sistemelor cu care programul are voie s realizeze o conexiune. Dac aceste date nu sunt nc definite, aplicaia este n msur s comunice pe toate porturile i cu toate sistemele ceea ce, funcie de aplicaie, are ca urmare diverse riscuri de securitate.

25

Activitatea de nvare 7.2.1 Amplasarea unui firewall

Obiectivul/obiective vizate: La sfritul activitii vei fi capabil s identifici unde trebuie amplasat un firewall n cadrul unei reele (sau chiar n cadrul unor calculatoare singulare, cu acces la Internet)

Durata: 30 min

Tipul activitii: Hart tip pnz de pianjen Sugestii : activitatea se poate desfura pe grupe sau individual Sarcina de lucru: Analizai din urmtoarea figur ct mai multe elemente care s evidenieze importana unui firewall i locul amplasrii lui.

Figura 7.2.1 Configurari diferite privind implementarea unui firewall

26

Activitatea de nvare 7.2.2 Configurarea unui firewall

Obiectivul/obiective vizate: La sfritul activitii vei cunoate paii necesari configurrii unui firewall.

Durata: 40 min

Tipul activitii: Exerciiu practic Sugestii : activitatea se poate desfura pe grupe (dac echipamentele din dotare permit, se poate desfura i individual) Sarcina de lucru: porturi. Dup documentare asupra unei aplicaii firewall, realizai

configurarea unor reguli simple de acces i de blocare a unor aplicaii, respectiv a unor

Pentru realizarea activitii consultai Fia de documentare 7.2, precum i sursele de pe Internet.

27

Tema 8: Metode de securizare a reelelor wireless

Fia de documentare 8.1 Standarde de securitate pentru reelele wireless
Acest material vizeaz competena/rezultat al nvrii: Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare Prima astfel de reea a fost pus n funciune n 1971 la Universitatea din Hawai sub forma unui proiect de cercetare numit ALOHANET. Topologia folosit era de tip stea bidirecional i avea ca noduri constituente un numr de apte calculatoare mprtiate pe patru insule din arhipelag ce comunicau cu un nod central aflat pe insula Oahu doar prin legturi radio.

Figura 8.1.1 Posibiliti de conectare wireless, de aici i necesitatea securizrii accesului Iniial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo unde amplasarea de cabluri ar fi fost tehnic imposibil. Ca i n alte cazuri din istoria tehnicii de calcul, primele soluii produse pe scar larg au fost cele proprietare (nestandard) i orientate pe diverse nie de pia, dar odat cu sfritul anilor 90 acestea au fost nlocuite de cele standard i generice cum ar fi cele descrise de familia de standarde 802.11 emise de IEEE. Versiunea iniial a standardului IEEE 802.11 lansat n 1997 prevedea dou viteze (1 i 2 Mbps) de transfer a datelor peste infrarou sau unde radio. Transmisia prin infrarou rmne pn astzi o parte valid a standardului, far a avea ns implementri practice.

Au aprut atunci cel puin ase implementri diferite, relativ interoperabile i de calitate comercial, de la companii precum Alvarion (PRO.11 i BreezeAccess-II), BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus i AirSurfer Pro), Symbol Technologies (Spectrum24) i Proxim (OpenAir). Un punct slab al acestei specificaii era c permitea o varietate mare a designului, astfel nct interoperabilitatea era mereu o problem. 802.11 a fost rapid nlocuit (i popularizat) de 802.11b n 1999 ce aducea, pe lng multe mbuntiri n redactare, i o vitez crescut de transmisie a datelor de pn la 11Mbps. Adoptarea pe scar larg a 28

reelelor 802.11 a avut loc numai dup ce 802.11b a fost ratificat ca standard, iar produsele diverilor productori au devenit interoperabile. Cam n aceeai perioad (1999) a aprut i 802.11a, o versiune pentru banda de 5GHz a aceluiai protocol. Acesta a fost urmat de 802.11g, n iulie 2003, ce aducea performane sporite, att n ceea ce privete viteza de transmisie (ce urca la 54Mbps), ct i distana de acoperire n jurul antenei.

Standardul aflat n prezent n elaborare de ctre IEEE este 802.11n acesta aduce i el mbuntiri, cum ar fi o vitez teoretic de transmisie de 270Mbps. Ca n cazul oricrei tehnici de transmisie sau comunicaie care se dezvolt rapid i ajunge s fie universal folosit, apare la un moment dat necesitatea de a implementa diverse tehnici de protecie a informatiilor transmise prin reelele de acest tip. n cazul 802.11, securitatea se refer att la topologia i componena reelei (i.e. asigurarea accesului nodurilor autorizate i interzicerea accesului celorlalte n reea), ct i la traficul din reea (i.e. gsirea i folosirea unei metode de securizare a datelor, de criptare, astfel nct un nod care nu este parte din reea i care, deci, nu a fost autentificat s nu poat descifra conversaiile dintre dou sau mai multe tere noduri aflate n reea). Un ultim aspect al securitii l constituie autentificarea fiecrui nod, astfel nct orice comunicaie originat de un nod s poat fi verificat criptografic sigur ca provenind, ntr-adevr, de la nodul n cauz.

Figura 8.1.2 Posibilitai de conectare folosind conexiuni wireless Primele tehnici de securitate ce au fost folosite n astfel de reele au fost cele din clasa security by obscurity, adic se ncerca atingerea siguranei prin meninerea secret a specificaiilor tehnice i/sau prin devierea de la standard nu de puine ori n msur considerabil. Aceste tehnici ns, aa cum s-a artat mai devreme, au adus n mare parte neajunsuri implementatorilor, deoarece fceau echipamentele diferiilor productori vag interoperabile. Alte probleme apreau din nsi natura proprietar a specificaiilor folosite. 29

Tehnicile de generaia nti (WEP) Prima tehnic de securitate pentru reele 802.11 ce a fost cuprins n standard (implementat de marea majoritate a productorilor de echipamente) a fost WEP Wired Equivalent Privacy. Aceast tehnic a fost conceput pentru a aduce reelele radio cel puin la gradul de protecie pe care l ofer reelele cablate un element important n aceast direcie este faptul c, ntr-o reea 802.11 WEP, participanii la trafic nu sunt protejai unul de cellalt, sau, altfel spus, c odat intrat n reea, un nod are acces la tot traficul ce trece prin ea. WEP folosete algoritmul de criptare RC-4 pentru confidenialitate i algoritmul CRC-32 pentru verificarea integritii datelor. WEP a avut numeroase vulnerabiliti de design care fac posibil aflarea cheii folosite ntr-o celul (reea) doar prin ascultarea pasiv a traficului vehiculat de ea. Prin metodele din prezent, o celul 802.11 WEP ce folosete o cheie de 104 bii lungime poate fi spart n aproximativ 3 secunde de un procesor la 1,7GHz. Filtrarea MAC O alt form primar de securitate este i filtrarea dup adresa MAC (Media Access Control address), cunoscut sub denumiri diverse precum Ethernet hardware address (adres hardware Ethernet), adres hardware, adresa adaptorului de reea (adaptor sinonim pentru placa de reea), BIA - built-in address sau adresa fizic, i este definit ca fiind un identificator unic asignat plcilor de reea de ctre toi productorii. Adresa MAC const ntr-o secven numeric format din 6 grupuri de cte 2 cifre hexadecimale (n baza 16) de tipul 00-0B-E4-A6-78-FB. Primele 3 grupuri de cte dou caractere (n acest caz 00-0B-E4) identific ntotdeauna productorul plcii de reea (RealTek, Cisco, etc.), iar urmtorii 6 digii identific dispozitivul n sine. O form des utilizat de securizare a unei reele wireless rmne i aceast filtrare dup adresa MAC. Aceast politic de securitate se bazeaz pe faptul c fiecare adresa MAC este unic i aadar se pot identifica clar persoanele (sistemele) care vor trebui s aib acces. Dac ntr-o prim faz aceast adres era fixat, noile adrese se pot modifica, astfel aceast form de securizare i pierde din valabilitate. Totui dei exist riscul ca prin aflarea unui MAC valid din cadrul unei reele, folosind un program de tip snnifer, i schimbndu-i MAC-ul n cel nou, atacatorul va putea avea acces legitim, muli administratori folosesc n continuare aceasta form de securizare, datorit formei foarte simple de implementare. De aceea, aceast form de parolare este necesar s se completeze i cu alte securizri enunate mai sus. Tehnicile de generaia a doua (WPA, WPA2) Avnd n vedere eecul nregistrat cu tehnica WEP, IEEE a elaborat standardul numit 802.11i, a crui parte ce trateaz securitatea accesului la reea este cunoscut n practic i ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publice i private, mesaje cu cod de autentificare (MAC), precum i metode extensibile de autentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni n 30

ntmpinarea utilizatorilor casnici sau de arie restrns, IEEE a dezvoltat i o variant mai simpl a standardului i anume WPA-PSK (< Pre-Shared Key mode). n acest mod, n loc de un certificat i o pereche de chei (public i privat), se folosete o singur cheie sub forma unei parole care trebuie cunoscut de toi membrii reelei. Apariia interesului i necesitii pentru administrarea centralizat a securitii Odat cu apariia unor astfel de tehnici i metode avansate de securizare a accesului la mediul de transmisie, s-a fcut simit i nevoia de a administra o astfel de structur de autentificare dintr-o locaie central. Aa se face c tot mai multe dispozitive de tip Access Point (echipamentele ce fac legtura dintre reeaua cablat i cea transportat prin unde radio, avnd un rol primordial n meninerea securitii reelei) pot fi configurate automat dintr-un punct central. Exist chiar seturi preconfigurate de echipamente ce sunt destinate de ctre productor implementrii de hotspot-uri (locuri unde se poate beneficia de acces la Internet prin 802.11 gratis sau contra cost). Aceste seturi conin de obicei un echipament de gestiune a reelei, o consol de administrare, un terminal de taxare i unul sau mai multe Access Point-uri. Atunci cnd sunt puse n funciune, acestea funcioneaz unitar, accesul i activitatea oricrui nod putnd fi atent i n detaliu supravegheat de la consola de administrare. Apariia interesului i necesitii pentru integrarea cu alte sisteme de securitate Imediat dup perfectarea schemelor de administrare centralizat a securitii n reelele 802.11, a aprut necesitatea integrrii cu sistemele de securitate ce existau cu mult nainte de implementarea reelei 802.11 n acel loc. Aceast tendin este natural; cu ct interfaa de administrare a unui sistem alctuit din multe componente este mai uniform, cu att administrarea sa tinde s fie mai eficient i mai predictibil ceea ce duce la creterea eficienei ntregului sistem.

Figura 8.1.3 Necesitatea securizrii unei reele wireless WPA a fost prima tehnologie care a facilitat integrarea pe scar larg a administrrii reelelor radio cu cele cablate, deoarece se baza pe principii comune descrise de standardul 802.1X. Astfel, o companie poate refolosi ntreaga infrastructur pentru autentificarea i autorizarea accesului n reeaua sa cablat i pentru reeaua radio. WPA poate fi integrat cu RADIUS, permind astfel administrarea i supravegherea unei reele de dimensiuni mari ca i numr de noduri participante la trafic (e.g. un campus universitar, un hotel, spaii publice) dintr-un singur punct, eliminnd astfel necesitatea supravegherii fizice a aparaturii de conectare (i.e. porturi de switch). 31

Activitatea de nvare Standarde de securitate wireless

Obiectivul/obiective vizate: La sfritul activitii vei cunoate principalele standarde de securitate pentru reelele wireless.

Durata: 50 min

Tipul activitii: Metoda grupurilor de experi Sugestii : activitatea se poate efectua pe grupe Sarcina de lucru: Fiecare grup va trebui s trateze una din urmtoarele teme de studiu: WEP, WPA, WPA2, filtrare MAC. Avei la dispoziie 30 minute, dup care se vor reorganiza grupele astfel nct n grupele nou formate s existe cel puin o persoan din fiecare grup iniial. n urmtoarele 20 de minute n noile grupe formate se vor mprtii cunotinele acumulate la pasul I. Pentru rezolvarea sarcinii de lucru consultai Fia de documentare 8.1 precum i sursele de pe Internet.

32

Fia de documentare 8.2 Configurarea unei reele wireless

Acest material vizeaz competena/rezultat al nvrii: Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare. Datorit scderii corturilor echipamentelor de reea i dezvoltrii foarte rapide produselor destinate crerii i configurrii unei reele wireless s-a impus introducerea de standarde care s asigure compatibilitatea i unitatea definirii modelelor de reele wireless.

Standardul IEEE (Institute of Electrical and Electronic Engineers) 802.11 este un set de standarde pentru reele de tip WLAN(wireless local area network). Din cadrul acestui standard cel mai usual este IEEE 802.11b, numit i Wi-Fi folosind acest standard se pot trimite date cu 1, 2, 5.5 sau 11Mbps folosind banda de 2.4-2.5 GHz. Pentru condiii ideale, distanele scurte, fr surse care s atenuieze sau s interfereze standardul IEEE 802.11b opereaz la 11Mbps, mai mult dect poate oferi standardul cu fir Ethernet(10Mbps). n condiii mai puin ideale, conexiuni folosind vireze de 5.5, 2 sau chiar 1Mbps sunt folosite.

Standardul IEEE 802.11 mai are i componentele IEEE 802.11a cu o rat maxim de transfer de 54Mbps, folosind frecvene de 5Ghz de aceea oferind un semnal mai curat i o rat de transfer mai mare, i standardul IEEE 802.11g care are aceeai rat maxim de transfer de 54Mbps, folosind frecvene n banda S ISM. Cel mai nou standard inclus este IEEE 802.11n care nc nu a fost implementat final el avnd urmtoarele limitri teoretice: rat maxim de transfer de 600 Mbps, funcionare n benzile de frecven 5GHz i/sau 2.4 GHz i o raz de aciune n interior de ~ 300m. Acest standard se preconizeaz a se lansa oficial n 2010. n standardul IEEE 802.11 se deosebesc dou moduri de operare: modul infrastructur sau modul ad-hoc. Modul infrastructur este folosit pentru a conecta calculatoare folosindu-se adaptoare wireless la o reea legat prin fire. Ca exemplu: o firm poate avea deja o reea Ethernet cablat. Folosindu-se de modul infrastructur un laptop sau un alt calculator care nu are o conectare Ethernet cablat se poate conecta totui la reeaua existent folosind un nod de reea denumit Access Point AP pentru a realiza un bridge (pod) ntre reeaua cablat i reeaua wireless.

33

Figura 8.2.1 Modul infrastructur pentru o reea wireless. n cadrul acestui mod funcional datele care sunt transmise de un client wireless ctre un client din reeaua cablat sunt mai nti preluate de AP care trimite la rndul lui datele mai departe.

Modul funcional Ad-hoc Acest mod de conectare este folosit pentru conectarea direct a dou sau mai multe calculatoare, fr a mai fi nevoie de un AP(far necesitatea unui echipament distinct de comunicare). Acest mod de comunicare totui este limitat la 9 clieni, care pot s-i trimit datele direct ntre ei.

Figura 8.2.2 Reprezentarea modulului Ad-hoc Pentru configurarea unei reele wireless de tip infrastructur sunt necesare a se parcurge urmtoarele etape (denumirile pot diferi de la un productor al echipamentului la altul): a) Wireless Mode: Partea de wireless poate funciona n mai multe moduri i poate diferi funcie de productor sau versiune de firmware. Modurile pot fi: - AP (Access Point), este modul cel mai des utilizat, fiind specific modului Infrastructure, n care dou device-uri wireless nu sunt conectate direct, ci prin intermediul routerului sau Access Point-ului.

34

- Client, n acest mod partea radio conecteaz wireless portul WAN din router la un punct distant. Se folosete de exemplu n cazul unei conexiuni wireless cu providerul. - Ad-Hoc, n acest mod clienii se pot conecta direct intre ei :) , conexiunea dintre ei nu mai trece prin router. - Client Bridged, n acest mod partea radio conecteaza wireless partea LAN a routerului cu un punct distant. Astfel partea LAN va fi n aceeai reea cu partea LAN a punctului distant. b) Wireless Network Mode: Standardul conexiunii wireless (B, G sau A) ales trebuie s fie suportat atat de router ct i de device-urile wireless din reea. n banda de 2,4 Ghz pot fi folosite standardele B i G, iar n banda de 5 GHz standardul A. Viteza maxim pentru standardul B este 11 Mbps, iar pentru G i A este 54 Mbps. Dac n reea avei device-uri care folosesc standarde diferite putei seta Mixed. c) SSID (Security Set Identifier ) sau Wireless Network Name: este numele asociat reelei wireless. Default acest parametru este setat cu numele productorului sau modelul de router sau Access Point. Din motive de securitate modificai aceast valoare cu un termen far legtura cu producatorul, modelul sau date personale. d) Wireless Chanel: Puteti seta unul din cele 13 canale disponibile pentru Europa. e) Wireless Broadcast SSID: dac setati Enable vei afia numele (SSID) n reea. Dac este Disable cnd vei scana spectrul, reeaua nu va fi afiat. Odat parcurse etapele de mai sus reeaua este creat dar nu are setat nici o securitate. Este foarte important s se configureze i aceast parte de securitate. Astfel pentru securizarea unei reele avem opiunile:

WEP (Wired Equivalent Protection) este o metod de criptare: - folosind 64 biti (10 caractere hexa) sau 128 biti (26 caractere hexa). Caracterele hexa sunt: 0-9 i A-F; - autentificare Open sau Shared Key. Acum aceasta criptare WEP cu 64 biti poate fi spart n cteva minute, iar cea cu 128 bii n cteva ore, folosind aplicaii publice.

WPA-PSK (WPA Preshared Key sau WPA-Personal) este o metod mult mai sigur dect WEP. WPA2 este metoda cea mai sigur de criptare, fiind o variant mbuntit a metodei WPA. i aceste criptri (WPA i WPA2) pot fi sparte dac parola conine puine caractere sau este un cuvnt aflat n dicionar. Pentru a face imposibil spargerea acestei criptri folosii parole lungi, generate aleator. Pentru definirea unei reele wireless bazat pe modelul ad-hoc nu sunt necesare echipamente distincte (router sau access point). Pentru acest mod nu sunt necesare dect ca dispozitivele ce se doresc a se conecta s conin un adaptor wireless funcional. Toate dispozitivele de acest gen au opiunea de ad-hoc, opiune care trebuie selectat pe toate dispozitivele ce se doresc a se conecta. 35

Un alt exemplu privind o astfel de reea este prezentat n figura urmtoare.

Figura 8.2.3 Exemplu privind o reea bazat pe modelul Ad-hoc.

36

Activitatea de nvare 8.2.1 Tipuri de reele wireless

Obiectivul/obiective vizate: La sfritul activitii vei cunoate tipurile ad-hoc i infrastructur precum i zonele n care sunt folosite.

Durata: 50 min

Tipul activitii: Expansiune Sugestii : activitatea se poate efectua pe grupe Sarcina de lucru: Realizai un eseu care s trateze una din urmtoarele teme de studiu: modelul ad-hoc sau modelul infrastructur. Se va pune accent pe gsirea de exemple a modelului ales, precizndu-se avantajele folosirii respectivului model funcie de zona n care este amplasat. Timpul de lucru este de 50 minute iar dimensiunea eseului trebuie s fie de minim o pagin. Pentru rezolvarea sarcinii de lucru consultai Fia de documentare 8.2, glosarul de termeni precum i sursele de pe Internet.

37

Activitatea de nvare 8.2.2 Configurarea unei reele wireless ad-hoc

Obiectivul/obiective vizate: La sfritul activitii vei fi capabil s configurezi o reea ad-hoc ntre dou dispozitive mobile.

Durata: 40 min

Tipul activitii: Exerciiu practic Sugestii : activitatea se poate desfura pe grupe (dac echipamentele din dotare permit, se poate desfura i individual) Sarcina de lucru: Dup documentare asupra configurrii unei reele ad-hoc, se va realiza o astfel de conexiune ntre dou dispozitive mobile(de ex.: 2 laptopuri sau 1 laptop i un telefon mobil).

Pentru realizarea activitii consultai Fia de documentare 8.2, precum i sursele de pe Internet.

38

Fia de documentare 8.3 Testarea securitii unei reele de tip wireless

Acest material vizeaz competena/rezultat al nvrii: Instaleaz i configureaz sisteme de securitate a sistemelor de calcul i a reelelor de calculatoare i " Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare . Marea majoritate triesc cu certitudinea c un hacker este un personaj negativ care nu vrea dect s atace calculatoare din diverse motive. De fapt i cei care studiaz problemele de securitate fac acelai lucru. Exist chiar i un fel de cod de conduit n acest sector, odat ce a fost descoperit o gaur de securitate ntr-un sistem, hackerul ar trebui s-l anune pe cel care deine sistemul de vulnerabilitate nainte de a face public descoperirea.

Figura 8.2.1 Aplicaie folosit pentru testarea securitii wireless Dicionarul de jargon conine mai multe definiii ale cuvantului hacker, cele mai multe fiind legate de obsesia pentru tehnic i de dorina de a rezolva probleme i a depi limite. Exist o comunitate, o cultur, format din programatori experi i magicieni n ceea ce privete reelele, care i are originea n primele experimente ARPAnet. Membrii acestei culturi au creat termenul de hacker. Hackerii au construit Internetul. Hackerii menin World Wide Web funcional. Dac aceast comunitate numete pe cineva cracker, atunci nseamn c persoana respectiv este un hacker. Conceptul de hacker nu este limitat doar la tehnic. Exist oameni care aplic atitudinea unui hacker i n alte domenii, cum ar fi electronica i muzica. Termenul poate fi asociat celui mai nalt nivel din orice tiin sau art. Hackerii programatori recunosc aceste spirite nzestrate i n alte persoane. Unele persoane spun c atitudinea unui hacker este independent de domeniu. n continuarea acestui document ne vom concentra pe deprinderile i atitudinea unui hacker programator, i pe tradiia celor care au impus denumirea de hacker. Mai exist un grup de oameni care se autodeclar hackeri, dar care nu sunt. Acesti oameni (n special adolesceni) nu fac altceva dect s atace calculatoare pe Internet i 39

s foloseasc ilegal sistemul telefonic. Hackerii adevrai numesc aceste persoane crackeri i nu vor s aib nici o legtur cu ei. Majoritatea hackerilor adevarai cred c crackerii sunt lenei, iresponsabili i nu foarte inteligeni, i simplul fapt de a fi capabil s intri n anumite calculatoare nu te face s fi hacker, la fel cum a fi capabil s porneti o main fr chei nu te face un inginer auto. Din nefericire, muli jurnaliti i scriitori au fost pclii s foloseasc cuvntul hacker pentru a descrie crackeri; acest lucru i irita pe hackerii adevrai. Diferena esenial dintre un hacker i un cracker este urmtoarea: hackerii construiesc lucruri, pe cnd crackerii nu fac altceva dect s distrug. Pentru testarea securitii este necesar s apelm la unele unelte care le-ar folosi persoanele ru-voitoare pentru a ne invada reeaua. n cadrul etapelor de investigare a nivelului de securitate, de multe ori se apeleaz la programe care se regsesc la limita legalitii, de aceea este foarte important c toate aceste teste s se efectuieze n deplin siguran (datele necesare s fie pstrate ntr-o form securizat) i obligatoriu cu acordul persoanelor implicate. Din etapele necesare spargeii securitii unei reele menionm: - Aflarea SSID de acea este foarte important s se schimbe numele implicit i s se dezactiveze broadcasting-ul sau anunarea lui de ctre echipament. Majoritatea aplicaiilor simple de scanare nu vor detecta n acest fel SSID-ul. Pentru detecia SSIDului se pot totui folosi dou metode: metoda pasiv implic mirosirea (sniffing) pachetelor din jur, existnd astfel posibilitatea de a intercepta informaiile cu privire la AP, SSID i STA i metoda activ metoda implic ca STA s trimit cereri de prob folosind SSID s se testeze dac AP rspunde. Dac STA nu are SSID la nceputul transmisiei, STA va transmite cererea cu SSID necompletat, iar la aceast cerere majoritatea AP vor rspunde oferindu-i SSID pentru a completa pachetul de prob trimis de STA. AP va fi necesar s aib configurat posibilitatea de a ignora cererile venite cu SSID necompletat. Urmeaz partea de brute force pentru aflarea modalitii de criptare a reelei. WEB folosete un sistem criptic simetric numit RC4, folosind o cheie (64 sau 128 bii) pentru a-i proteja pachetele de date. Utilizatorul poate folosi o parte din cheie partea public cea care va fi folosit la conectarea tuturor calculatoarelor din reea. Adevrata cheie din cadrul algoritmului RC4 este generat pe baza unui algoritm de generare a unor numere, dar o scpare n acest algoritm face ca lungimea cheii de criptare s se limiteze la 22 de bii. Astfel un atacator poate culege suficiente informaii ct s poat obine acea cheie. Este indicat s se foloseasc securizarea de tip WPA2 care este mult mai sigur (din pacate i aceasta form de securizare este posibil de spart dar este mai mare consumatoare de timp i necesit i programe i abiliti deosebite). - Realizarea documentaiei de final n care s se precizeze breele de securitate i ceea ce se poate remedia. -

40

Pentru o siguran sporit este indicat s se apeleze la reele VPN definite peste aceste reele wireless, special pentru a conferi nivele suplimentare de securitate (s urmeze logica schemei security in depth).

Figura 8.2.2 Tester hardware specializat pentru testarea reelei wireless Este de menionat c au aprut echipamente specializate care sunt construite special pentru testarea securitii unei astfel de reele, majoritatea oferind urmtoarele: - Funcionare n benzi multiple(de multe ori ajustabile) 2,4 sau 5 GHZ; - Uurin n utilizare i configurare; - Msurtori cu privire la gradul de ncrcare al reelei i descoperirea utilizatorilor care folosesc intensiv reeaua, inclusiv AP-urile cele mai ncrcate; - Descoperirea accesului neautorizat n reea; - Verificarea ariei de acoperire al reelei pentru extinderi ulterioare sau mbunttirea celei existente; - Monitorizarea clienilor conectai, puterea i calitatea semnalului; - Portabilitatea.

41

Activitatea de nvare Testarea unei reele wireless

Obiectivul/obiective vizate: La sfritul activitii vei fi capabil s verifici i s afli principalele etape din cadrul testrii nivelului de securitate a unei reele wireless.

Durata: 20 min

Tipul activitii: Observare Sugestii : activitatea se poate desfura frontal Sarcina de lucru: Urmrii prezentarea realizat de cadrul didactic sau o prezentare multimedia, eventual un film la subiect.

42

Tema 9: Mijloace de fraud pe Internet

Fia de documentare 9.1 Forme de nelciune n Internet
Acest material vizeaz competena/rezultat al nvrii: Asigur mentenana preventiv a calculatoarelor i reelelor de calculatoare .

Figura 9.1.1 Fradua prin Internet Activitatea informatic presupune numeroase forme contractuale definite generic contracte informatice. Acestea pot fi de mai multe feluri: contracte de furnizare de echipament (hardware), contracte de asisten tehnic (computer service), contracte de furnizare de programe (software), cele mai variate forme de prestri de servicii, prelucrri de date (multiprogramming), contracte de consultan, etc. mbrcnd elementele mai multor categorii de contracte i elemente specifice activitii informatice aceste contracte innominati au caracteristici comune contractelor de prestri servicii, de asigurare de reea, ale contractelor de credit sau de cont curent, ale contractelor de vnzare cumparare sau de tranzacie.Folosirea frauduloas a numerelor de cari de credit la cumprarea de bunuri prin Internet constituie infraciune n convenie prevzut de art. 215 alin. 3 raportat la art. 215 alin.2 din C.Pen.10 Fapta const n inducerea n eroare a vnztorului cu prilejul incheierii unui contract de vnzare cumprare fiind svrit n aa fel nct fr aceast eroare cel nelat nu ar fi ncheiat sau executat contractul n condiiile stipulate n protocoale i n contracte de adeziune n materie, fapta sancionat cu pedeapsa prevazut n alin. 2, ntruct inducerea n eroare a fost facut prin mijloace frauduloase n scopul de a obine un folos material injust.

Tipuri i metode de neltorii Ameninrile informatice devin din ce n ce mai sofisticate, iar majoritatea utilizatorilor de computere i Internet sunt expui atacurilor. Potrivit unui studiu efectuat de ctre 43

compania de securitate Trend Micro, n 2007 atacurile prin intermediul Internetului au nregistrat cea mai exploziv evoluie, iar cele desfaurate prin intermediul mesageriei electronice au meninut un ritm de cretere constant. Oficialii Trend Micro au atras atenia asupra fenomenului de automatizare a atacurilor informatice, prin tehnologii web 2.0, precum Javascript sau Flash, prin care utilizatorii pot deveni victime doar printr-o simpl accesare a unei adrese web contaminate sau n urma vulnerabilitii unei aplicaii software sau a unui sistem de operare, care nu sunt actualizate la zi cu ultimele specificaii tehnice. Cele mai multe amenintari vin din zona n care legislatia este permisiv i unde cunotinele tehnice sczute permit nmulirea vulnerabilitilor, au declarat, pentru Financial Director, reprezentanii companiei romneti de securitate informatic BitDefender. Multe companii romneti nu iau n seam acest tip de atac informatic, fie din ignoran, fie din lipsa de fonduri, pentru asigurarea de msuri adecvate. Totui, managerul unei companii trebuie s fie contient c Bucuretiul, unde sunt concentrate majoritatea afacerilor de la noi, ocup locul ae ntre oraele lumii la capitolul phishing, potrivit unui raport asupra fraudei elctronice fcut public n luna septembrie de ctre compania american de securitate Symantec. Primele poziii n top sunt ocupate de Karlsruhe (Germania), Moscova i Londra. Capitala noastr este precedat de Paris i Amsterdam, dar este n faa unor orae ca Munchen i Copenhaga. Specialitii n securitate recomand companiilor implementarea unui sistem IT bazat pe mai multe nivele de protecie, care s le apere reelele informatice i utilizatorii de diferitele tipuri de atacuri. Totusi, orict de multe msuri preventive se aplic, factorul uman rmne de cele mai multe ori decisiv. Utilizatorii sunt sftuii s trateze cu maxim atenie paginile web care solicit, instalarea de software, s nu accepte instarea de aplicaii direct din browserul de Internet, dect dac sursa este de ncredere, iar pagina respectiv aparine ntr-adevr companiei n drept. Trebuie s fim ateni la programele i fiierele descrcate de pe Internet sau via email i s meninem programele de securitate actualizate, spun experii n securitate. n Romnia se pot pierde anual pn la 200 de milioane de euro din cauza angajailor, ca urmare a atacurilor de tip phishing i a gestionrii improprii a mesajelor e-mail, afirm specialitii firmei romneti de securitate Gecad Net. Principalul pericol l reprezint scurgerile de informaii confideniale. Gecad citeaz un studiu realizat de Forrester Reternet search, din care rezult c la nivel global doar 49% dintre mesajele de e-mail sunt trimise respectnd standardele de securitate. Cel puin 20% dintre mesaje prezint riscuri de divulgare a unor informaii private.

44

Peste 40% dintre utilizatorii romni care folosesc aplicaii de mesagerie electronic, precum yahoo messenger, au fost int unor atacuri informatice, potrivit unui sondaj online efectuat de furnizorul de soluii de securitate Gecad Net. Dintre respondenii sondajului, 35,1% au declarat c au avut o astfel de experien de cel puin dou ori, iar 7,3% s-au confruntat cel puin o dat cu un astfel de atac. Interesant este c peste un sfert dintre cei care au rspuns chestionarului Gecad Net (26,3%) au considerat c este posibil s fi trecut printr-o astfel de situaie, fr s-i fi dat seama. 31,2% dintre utilizatori sunt siguri c nu s-au confruntat niciodat cu un atac prin intermediul mesageriei instant. ncercrile de neltorie electronic efectuate prin intermediul aplicaiilor de mesagerie tip instant sunt operate prin mai multe modaliti. Una dintre ele ar fi trimiterea unui fisier infectat sau a unui link ctre un website de tip phishing. Dac utilizatorul interacioneaz fr precauie, nu numai c poate pierde bani, dar calculatorul su poate fi inclus ntr-o reea de computere care acioneaz, fr voia proprietarilor, c putere de procesare a unor atacuri mai complexe. O alt modalitate, prin care un hacker poate profita, este data de exploatarea unei vulnerabiliti la nivelul aplicaiei de mesagerie, care poate permite controlul total al calculatorului, de la distan.

Clasificari termeni: 1. Furtul de parole metode de a obine parolele altor utilizatori; 2. Inginerie social convingerea persoanelor s divulge informaii confideniale; 3. Greeli de programare i backdoors obinerea de avantaje de la sistemele care nu respect specificaiile sau nlocuire de software cu versiuni compromise; 4. Defecte ale autentificrii nfrngerea mecanismelor utilizate pentru autentificare; 5. Defecte ale protocoalelor protocoalele sunt impropriu proiectate sau implementate; 6. Scurgere de informaii utilizarea de sisteme ca DNS pentru a obine informaii care sunt necesare administratorilor i bunei funcionri a reelei, dar care pot fi folosite i de atacatori; 7. Refuzul serviciului ncercarea de a opri utilizatorii de a putea utiliza sistemele lor.

Clasificari de date empirice: Furtul de informaii externe (privitul peste umar la monitorul altei persoane); Abuzul extern al resurselor (distrugerea unui hard disk); Mascarea (nregistrarea i redarea ulterioara a transmisiunilor de pe o reea); Programe duntoare (instalarea unui program cu scopuri distructive); Evitarea autentificrii sau autorizrii (spargerea parolelor); Abuz de autoritate (falsificri de nregistrri); Abuz intenionat (administrare proast intenionat); 45

 Abuz indirect (utilizarea unui alt sistem pentru a crea un program ru intenionat).

Clasificri bazate pe aciune: modelul este focalizat doar pe informaia n tranzit i prezint patru categorii de atacuri: ntreruperea un bun al sistemului este distrus sau devine neutilizabil sau nedisponibil; Interceptarea o parte neautorizat obine accesul la un bun al sistemului; Modificarea o parte neautorizat care nu numai c obine acces, dar l i modific; Falsificarea o parte neautorizat nsereaz obiecte contrafcute n sistem.

46

Activitatea de nvare Mijloace de fraud pe Internet

Obiectivul/obiective vizate: La sfritul activitii vei fi capabil s identifici principalele mijloace de fraud pe Internet.

Durata: 30 min

Tipul activitii: nvare prin categorisire Sugestii : activitatea se poate desfura frontal Sarcina de lucru: Completai cu urmtorii termeni: Abuz de autoritate, Abuz indirect, Abuz intenionat, Abuzul extern al resurselor, Evitarea autentificrii sau autorizrii, Furtul de informaii externe, Mascarea, Programe duntoare tabelul urmtor. Nr. Crt. 1 2 3 4 5 6 7 8 Descriere falsificri de nregistrri; utilizarea unui alt sistem pentru a crea un program ru intenionat administrare proast intenionat; distrugerea unui hard disk; spargerea parolelor; privitul peste umar la monitorul altei persoane; nregistrarea i redarea ulterioara a transmisiunilor de pe o reea; instalarea unui program cu scopuri distructive; Termen corespunztor

Pentru rezolvarea acestei fie se va utiliza fia de documentare 9.1, glosarul de termeni i sursele de pe internet.

47

Fia de documentare 9.2 Mijloace i metode de protecie privind frauda pe internet

Acest material vizeaz competena/rezultat al nvrii: Utilizeaz instrumente, proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de calcul i a reelelor de calculatoare i Asigur mentenana preventiv a calculatoarelor i reelelor de calculatoare.

Figura 9.2.1 O viziune cu privire la modalitile de comitere a unei fraude Nu judeca dupa aparene. Orict de impresionant sau profesional realizat ar fi un site web aceasta nu nseamn c ofer i garanie. La momentul actual exist software care poate ajuta la creearea de site-uri cu aspect profesional n foarte scurt timp ceea ce nseamn c autorii fraudelor pot crea fr mare greutate site-uri perfect asemanatoare cu cele ale comercianilor online legali. Fii atent la datele personale pe care le furnizezi online. Dac primeti e-mail-uri de la persoane pe care nu le cunoti, prin care i se solicit date personale, cum ar fi numarul cardului de credit sau parola, nu trimite aceste date fr a afla mai multe despre persoana care i solicit aceste date. Infractorii folosesc aceste mesaje pentru a solicita date personale importante pretinznd c reprezint spre exemplu un administrator de sistem sau un Internet Service Provider. n timp ce tranzaciile securizate cu site-urile de comer electronic cunoscute sunt sigure, n special dac este utilizat un card de credit, mesajele nesecurizate spre destinatari necunoscui nu sunt deloc sigure. Atenie special asupra comunicaiilor online cu persoane care i ascund adevarata identitate. Dac primii un e-mail n care cineva refuz s-i dezvluie identitatea complet sau utilizeaz un e-mail care nu conine nici o informaie util pentru identificare, acest lucru poate reprezenta o indicaie ca respectiva persoana nu vrea s lase nici o informaie prin care ai putea s o contactai pentru a reglementa ulterior o situaie de bunuri nelivrate pentru care plata a fost deja efectuata n avans. 48

Atenie la taxele ce trebuie pltite n avans. n general trebuie avut o mare grij asupra vnztorilor online de bunuri sau servicii care solicit trimiterea imediat de cecuri sau ordine de plat la o cutie potal nainte de recepia bunurilor sau realizarea serviciilor promise. Desigur companiile de tip .com care sunt la nceputul activitii, dei neavnd o recunoatere prealabil, pot fi totui capabile de livrarea bunurilor sau serviciilor solicitate la un pre rezonabil. n consecin, cutarea de referine online pentru companii care nu v sunt cunoscute reprezint un prim pas ce trebuie fcut nainte de a avea ncredere ntr-o astfel de companie.

Figura 9.2.2 Modaliti pentru protejarea contra fraudelor online (platform software) Utilizarea Internetului Internetul este un instrument de cretere a puterii individuale, dnd oamenilor acces la informaie, de asemenea, Internetul creeaz cadrul stabilirii unor noi contacte cu oameni i faciliteaz activitatea de comer. Internetul este ntr-o continu cretere ca un mediu de distribuie i comunicare, urmnd s devin o parte din viaa de zi cu zi. Efectul asupra companiilor de afaceri Internetul afecteaz i schimb modul tradiional de realizare a afacerilor. Toate companiile trebuie s aib o prezen activ pe Internet. Internetul ofer posibilitatea transferrii n mare vitez a unor volume foarte mari de informaii la un cost redus. Datorita faptului c oricine din lume se poate conecta la Internet fr restricii, acesta este considerat ca fiind public. Ca orice entitate deschis accesului public, 49

prezenta pe Internet implic un risc considerabil, att pentru persoane, ct mai ales pentru companii. Fiind un spaiu deschis, Internetul permite persoanelor ru intenionate s produc daune celorlali indivizi mai mult dect orice alt reea. n contextul n care informaia a devenit foarte valoroas, tentaiile de fraudare a sistemelor care o conin au devenit din ce n ce mai mari. Avnd ca motiv fie interese financiare, fie pur i simplu distracia, infracionalitatea si-a gasit loc i n reelele de calculatoare.

50

Activitatea de nvare Metode de protecie contra fraudelor pe Internet

Obiectivul/obiective vizate: La sfritul activitii vei fi capabil s identifici principalele mijloace i metode de protecie contra fraudelor pe Internet.

Durata: 30 min

Tipul activitii: Hart tip pnz de pianjen Sugestii : activitatea se poate individual sau pe grupe Sarcina de lucru: Figura alturat prezint diferite modaliti de protecie contra fraudelor online. Profesorul va prezenta aceste modaliti i fiecare elev() sau grup de elevi trebuie s analizeze dependena dintre ele i s neleag importaa protejrii contra fraudelor online.

Figura 1 Modaliti pentru protejarea contra fraudelor online (platform software) Pentru rezolvarea fiei se va apela la fia de documentare 9.2, la glosarul de termeni i la diferite surse de pe Internet.

51

III. Glosar
Termen The bad Explicaie Concept ce reflect aa-numitele pri negative ale actualizrilor. Menionm aici realizarea unei actualizri poate s fac innaccesibile documentele salvate anterior, o actualizare care s se fac printr-o modificare de licen i n acest caz existnd pericolul de a iei din legalitate cu produsul respectiv, tot aici intr i cazurile cnd nu se fac actualizrile, sau nu se fac la timp existnd riscul de a rmne vulnerabili la o bre de securitate care s fi fost eliminat ntre-timp. Concept ce reflect aspectele pozitive ale realizrilor de actualizri la versiuni ct mai noi, ct mai recente ale software-ului instalat. Menionm aceste aspecte pozitive: uurina n folosire, creterea eficacitii, funcionaliti noi, mbuntiri ale funcionalitilor existente, remedierea unor defecte, uurina procesului de realizare a accesului. Aici sunt prile cele mai deranjante n realizarea unor actualizri i anume imposibilitatea de a le face drepturi insuficiente, restricii de acces pe serverele ce conin aceste actualizri, conexiunea la internet sau faptul c odat fcute apar disfuncionaliti la alte programe instalate sau acea actualizare s se fac n contratimp cu partenerii care folosesc aceeai aplicaie rezultnd n incompatibiliti de versiuni, sau cazul cel mai paranoic, cnd acea actualizare poate deschide o alt bre de securitate cu mult mai periculoas ca cea/cele pe care le-a remediat (sau serverele de pe care se face acea actualizare s fi fost afectate de un virus sau un Trojan care s infecteze respectivele fiiere de actualizare). Standard definit ca un amendament la standardul IEEE 802.11, standard ce specific o band maxim de 54 Mbit/s folosind o band de 5 GHz. Amendament la standardul IEEE 802.11 ce specific o band maxim de 11Mbit/s, folosind banda de 2,4GHz. A fost mediatizat sub denumirea de Wi-Fi i este implementat la nivel mondial. Amendament la IEEE 802.11 ce specific o extindere a benzii la maxim 54 Mbit/s folosind banda de 2.4 GHz, aceeai ca i standardul 802.11b. A pstrat ca denumire de marketing tot denumirea de WI-Fi i este implementat la nivel mondial. Este definit drept Clauza 19 din standardul publicat IEEE 802.11-2007. Echipamente ce fac legtura dintre reeaua cablat i cea transportat prin unde radio. Au un rol primordial n meninerea securitii reelei. Procesul prin care modificrile aduse sistemelor informatice sunt implementate i controlate n aa manier ca ele s foloseasc o politic de dinainte definit, cu posibilitatea 52

The good

The ugly

802.11a 802.11b

802.11g

Access Point Change Management

Termen Configuration Management

Device driver, driver pentru dispozitive

Filtrarea MAC

Firewall

Hacker

IEEE 802.11n

Explicaie abaterii ntr-o manier rezonabil de la acestea. Noiune legat strns de managementul sistemelor (informatice n cazul nostru) care este focalizat pe stabilirea i meninerea consistenei performanei unui sistem sau unui produs precum i a funcionrii sale att fizice ct i funcionale n concordan cu atributele sale(design, informaii privind condiiile de funcionare, etc.) de-a lungul ntregii viei a acestuia. Un driver de dispozitiv, deseori numit pe scurt driver, este un progam de calculator care permite altui program (de obicei un sistem de operare) s interacioneze cu hardwareului unui calculator. Un driver poate fi vzut ca un manual care d sistemului de operare informaiile necesare folosirii unui anumit echipament hardware. Aceast politic de securitate se bazeaz pe faptul c fiecare adresa MAC este unic i aadar se pot identifica clar persoanele (sistemele) care vor trebui s aib acces. Dac ntr-o prim faz aceast adres era fixat, noile adrese se pot modifica, astfel aceast form de securizare i pierde din valabilitate. Totui dei exist riscul ca prin aflarea unui MAC valid din cadrul unei reele, folosind un program de tip snnifer, i schimbndu-i MAC-ul n cel nou, atacatorul va putea avea acces legitim, muli administratori folosesc n continuare aceasta form de securizare, datorit formei foarte simple de implementare. De aceea, aceast form de protejare a unei reele wireless este necesar s se completeze i cu alte procedee. Se poate defini ca fiind: - un paravan de protecie ce poate ine la distan traficul Internet, de exemplu hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun probleme sistemului. - o aplicaie sau un echipament hardware care monitorizeaz i filtreaz permanent transmisiile de date realizate ntre PC sau reeaua local i Internet, n scopul implementrii unei "politici" de filtrare. Sprgtor de reele computerizate definiie preluat din DEX. Totui prin acest termen se definete i un concept de hacker, care nu este limitat doar la domeniul tehnic. Exist oameni care aplic atitudinea unui hacker i n alte domenii cum ar fi electronica i muzica. Termenul poate fi asociat celui mai nalt nivel din orice tiin sau art. Hackerii programatori recunosc aceste spirite nzestrate i n alte persoane. Unele persoane spun c atitudinea unui hacker este independent de domeniu. Este un standard nc nepublicat, tot un amendament la standardul IEEE 802.11 cu o cretere semnificativ la nivelul benzii maxime de la 54 Mbit/s ls un maximum de 600 Mbit/s. Nivelul actual (iul-aug 209) ofer o rat maxim de 450 Mbit/s, folosind 3 culoare distincte fiecare pe cte un canal de 40 MHz. Aceasta se poate traduce ntr-o vitez 53

Termen

Internet Protocol (IP)

IT Infrastructure Library (ITIL).

LAN Local Area Network

Microsoft Baseline Security Analyzer (MBSA)

Microsoft Operations Framework (MOF)

Explicaie maxim (TCP/IP) de 110Mbit/s sau ~13,5 MB/s. Se preconizeaz c amendamentul va fi aprobat i publicat de ctre IEEE-SA la conferina RevCom() n luna septembrie 2009, urmat de publicarea sa n luna noiembrie 2009. Este o metod sau un protocol prin care datele sunt trimise de la un calculator la altul prin intermediu Internetului. Fiecare calculator (cunoscut ca HOST), pe internet are cel puin o adres IP unic, care l identific ntre toate computerele de pe internet. Cnd trimii sau primeti date (de ex.: e-mail, pagini web) mesajul este mprit n pri mai mici numite pachete. Fiecare pachet cuprinde adresa celui care trimite datele, dar i a celui cruia i sunt destinate. Fiecare pachet este trimis, prima oara la un "Gateway Computer" care nelege o mic parte din internet. Computerul "Gateway" citete destinaia pachetelor i trimite pachetele la un alt "Gateway" i tot aa pn ce pachetul ajunge la "Gateway"-ul vecin cu computerul destinatar. Adresa IP este utilizat la nivelul programelor de prelucrare n reea. n schimb, la nivelul utilizatorilor cu acces la Internet, identificarea calculatoarelor se face printr-un nume de calculator host gestionat de sistemul DNS. ITIL este cea mai recunoscut i mai folosit modalitate de abordare la managementul operaiunilor de service-are IT. ITIL ofer o privire general sau particular, dup caz, asupra unor setudi de bune practici ce reies din documentele existente la nivel publix sau privat la nivel internaional. Reprezint termenul uzual de reea local un ansamblu de mijloace de transmisiune i de sisteme de calcul folosite pentru transportarea i prelucrarea informaiei. Ele sunt frecvent utilizate pentru a conecta calculatoarele personale i staiile de lucru (workstation) din birourile companiilor i fabricilor, cu scopul de a partaja resurse (de exemplu imprimantele) i de a face schimb de informaii. Unealt oferit de Microsoft ce poate fi folosit pentru a analiza sistemele existente i a inventaria vulnerabilitile descoperite pentru sistemele de operare Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 precum i a altor produse Microsoft: Internet Explorer, Windows Media Player, IIS, SQL Server, Exchange, Microsoft Office, Microsoft Data Access Components, Microsoft Virtual Machine, MSXML, BizTalk Server, Commerce Server, Content Management Server i Host Integration Server. O serie de reguli de ndrumare special concepute pentru profesionitii din domeniul IT, pentru stabilirea i implementarea serviciilor din jurul unui ntreg departament de IT (cu referire la: guvernare, risc, politici de folosire, ghid de bune practici Microsoft Solutions Framework (MSF), 54

Termen Modelul de Referin OSI (Open Systems Interconnection Reference Model)

Modul de operare adhoc

Modulde operare infrastructur

Patch Management

Principiul security by obscurity

Principiul de securitate

Explicaie managementul sistemelor informatice, etc.). Este o structur de comunicare ierarhic foarte des folosit pentru a reprezenta o reea. OSI este un standard al Organizaiei internaionale de standardizare, emis n 1984. Modelul de referin OSI propune nite criterii generale pentru realizarea comunicaiei sistemelor de calcul pentru ca acestea s poat schimba informaii, indiferent de particularitile constructive ale sistemelor (fabricant, sistem de operare, ar, etc). Modelul de referin OSI are aplicaii n toate domeniile comunicaiilor de date, nu doar n cazul reelelor de calculatoare. Modelul OSI divizeaz problema complex a comunicrii ntre dou sau mai multe sisteme n 7 straturi (layers) distincte, ntr-o arhitectur ierarhic. Fiecare strat are funcii bine determinate i comunic doar cu straturile adiacente. Aceste apte nivele formeaz o ierarhie plecnd de la nivelul superior 7 aplicaie (application) i pn la ultimul din partea de jos a stivei, nivelul 1 - fizic (physical). Acest mod de conectare este folosit pentru conectarea direct a dou sau mai multe calculatoare, fr a mai fi nevoie de un AP(far necesitatea unui echipament distinct de comunicare). Acest mod de comunicare totui este limitat la 9 clieni, care pot s-i trimit datele direct ntre ei. Este folosit pentru a conecta calculatoare folosindu-se adaptoare wireless la o reea legat prin fire. Ca exemplu: o firm poate avea deja o reea Ethernet cablat. Folosindu-se de modul infrastructur un laptop sau un alt calculator care nu are o conectare Ethernet cablat se poate conecta totui la reeaua existent folosind un nod de reea denumit Access Point AP pentru a realiza un bridge (pod) ntre reeaua cablat i reeaua wireless. n cadrul acestui mod funcional datele care sunt transmise de un client wireless ctre un client din reeaua cablat sunt mai nti preluate de AP care trimite la rndul lui datele mai departe. Reprezint o arie din managementul sistemelor informatice, care se ocup cu achiziionarea, testarea i instalarea de patch-uri multiple la diferite sisteme avute n administrare. Prin Patch Management se nelege: meninerea la current a bazei de date cu privire la toate patch-urile disponibile, posibilitatea de a lua decizii cu privire la ce patch-uri sunt necesare i pe ce sisteme particulare, asigurarea c aceste pach-uri sunt instalate corespunztor, testarea sistemelor dup aplicarea patch-urilor i documentarea tuturor procedurilor asociate. Primele tehnici de securitate ce au fost folosite n astfel de reele au fost cele din clasa security by obscurity, adic se ncerc atingerea siguranei prin meninerea secret a specificaiilor tehnice i/sau prin devierea de la standard nu de puine ori n msur considerabil. Acest principiu const n acordarea accesului minimal, strict 55

Termen least privilege Simple Mail Transfer Protocol (SMTP)

SSID (Security Set Identifier)

Standard IEEE (Institute of Electrical and Electronics Engineers)

System Management Server (SMS)

Transmission Control Protocol (TCP)

User Datagram Protocol (UDP)

WEP - Wired Equivalent Privacy

WEP (Wired Equivalent

Explicaie necesar desfurrii activitii unui serviciu. Este un protocol simplu, folosit pentru transmiterea mesajelor n format electronic pe Internet. SMTP folosete portul de aplicaie 25 TCP i determin adresa unui server SMTP pe baza nregistrrii MX (Mail eXchange) din configuraia serverului DNS. Este numele asociat reelei wireless. Default acest parametru este setat cu numele productorului sau modelul de router sau Access Point. Din motive de securitate modificai aceast valoare cu un termen far legtura cu producatorul, modelul sau date personale. Standard ce poart numele dup o organizaie internaional de tip non-profit de mare renume care sprijin evoluia tehnologiilor bazate pe electricitate. Luat dup numrul de membri, IEEE este cea mai mare organizaie de tehnicieni profesioniti din lume, numrnd peste 365.000 de membri n peste 150 de ri. IEEE este nregistrat n Statul federal New York, SUA. A luat fiin n anul 1963 din unirea a dou instituii de renume: Institute of Radio Engineers sau IRE, fondat n 1912, i American Institute of Electrical Engineers sau AIEE, fondat n 1884. Este un sistem de management al produselor software Microsoft pentru a asigura mentenana unor grupuri mari de calculatoare bazate pe sisteme de operare i aplicaii Microsoft. Noua denumire este System Center Configuration Manager i ofer suplimentar control la distan, patch management, software distribuit, instalare remote pentru sisteme de operare precum i posibiliti de inventariere la nivel software i hardware. Este folosit de obicei de aplicaii care au nevoie de confirmare de primire a datelor. Efectueaz o conectare virtual full duplex ntre dou puncte terminale, fiecare punct fiind definit de ctre o adres IP i de ctre un port TCP. Reprezint un protocol de comunicaie pentru calculatoare ce aparine nivelului sau stratului Transport (layer 4 ) al modelului standard OSI. mpreun cu protocolul IP, acesta face posibil livrarea mesajelor ntr-o reea. Spre deosebire de protocolul TCP, UDP este un protocol ce nu ofer sigurana sosirii datelor la destinaie. WEP folosete algoritmul de criptare RC-4 pentru confidenialitate i algoritmul CRC-32 pentru verificarea integritii datelor. WEP a avut numeroase vulnerabiliti de design care fac posibil aflarea cheii folosite ntr-o celul (reea) doar prin ascultarea pasiv a traficului vehiculat de ea. Prin metodele din prezent, o celul 802.11 WEP ce folosete o cheie de 104 bii lungime poate fi spart n aproximativ 3 secunde de un procesor(cu un singur nucleu) la 1,7GHz. Este o metod de criptare: 56

Termen Protection) WLAN

WPA (Wi-Fi Protected Access). WPA-PSK (< Pre-Shared Key mode) WPA-PSK (WPA Preshared Key sau WPAPersonal)

Explicaie - folosind 64 biti (10 caractere hexa) sau 128 biti (26 caractere hexa). Caracterele hexa sunt: 0-9 i A-F; - autentificare Open sau Shared Key. O reea fr fire (wireless) LAN este o reea care conecteaz dou sau mai multe calculatoare sau dispozitive folosind band larg sau tehnologie de modulare OFDM(Orthogonal frequency-division multiplexing n principiu identic cu Coded OFDM (COFDM) i Discrete multi-tone modulation (DMT) reprezint mprirea pe diverite frecvene urmate de multiplexare - frequencydivision multiplexing (FDM) , schem utilizat ca o metod de modulare multi-purttor) ca s comunice ntre ele ntr-o arie delimitat. Aceasta ofer posibilitatea utilizatorilor de a fi mobili relativ la o arie delimitat (de ex. la mutarea dintr-o camer ntr-alta) cu pstrarea conectivitii ntre dispozitive. WPA poate folosi certificate, chei publice i private, mesaje cu cod de autentificare (MAC), precum i metode extensibile de autentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. n acest mod, n loc de un certificat i o pereche de chei (public i privat), se folosete o singur cheie sub forma unei parole care trebuie cunoscut de toi membrii reelei. Este o metod mult mai sigur dect WEP. WPA-PSK/ WPA2-PSK (se aplic i pentru TKIP sau AES) folosesc o cheie predefinit Pre-Shared Key (PSK) ce are minim 8 caractere lungime, pn la maximum 63 de caractere pentru criptarea datelor transmise.

57

Competene care trebuie dobndite Aceast fi de nregistrare este fcut pentru a evalua, n mod separat, evoluia legat de diferite competene. Acest lucru nseamn specificarea competenelor tehnice generale i competenelor pentru abiliti cheie, care trebuie dezvoltate i evaluate. Profesorul poate utiliza fiele de lucru prezentate n auxiliar i/sau poate elabora alte lucrri n conformitate cu criteriile de performan ale competenei vizate i de specializarea clasei. Activiti efectuate i comentarii Aici ar trebui s se poat nregistra tipurile de activiti efectuate de elev, materialele utilizate i orice alte comentarii suplimentare care ar putea fi relevante pentru planificare sau feed-back. Prioriti pentru dezvoltare Partea inferioar a fiei este conceput pentru a meniona activitile pe care elevul trebuie s le efectueze n perioada urmtoare ca parte a viitoarelor module. Aceste informaii ar trebui s permit profesorilor implicai s pregteasc elevul pentru ceea ce va urma. Competenele care urmeaz s fie dobndite n aceast csu, profesorii trebuie s nscrie competenele care urmeaz a fi dobndite. Acest lucru poate implica continuarea lucrului pentru aceleai competene sau identificarea altora care trebuie avute in vedere. Resurse necesare Aici se pot nscrie orice fel de resurse speciale solicitate:manuale tehnice, reete, seturi de instruciuni i orice fel de fie de lucru care ar putea reprezenta o surs de informare suplimentar pentru un elev care nu a dobndit competenele cerute.

Not: acest format de fi este un instrument detaliat de nregistrare a progresului elevilor. Pentru fiecare elev se pot realiza mai multe astfel de fie pe durata derulrii modulului, aceasta permind evaluarea precis a evoluiei elevului, n acelai timp furniznd informaii relevante pentru analiz.

58

IV. Bibliografie
1. Ionescu, Dan. (2007). Retele de calculatoare, Alba Iulia: Editura All 2. Georgescu, Ioana. (2006). Sisteme de operare, Craiova: Editura Arves 3. ***.La http://en.wikipedia.org. Informaii multiple, 30.04.09 4. ***.La http://support.microsoft.com/. Informaii multiple, 30.04.09 5. ***.La http://www.datasecurity.ro/?p=24, 02.05.09 6. Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete reference, McGraw-Hill, 2003. 7. Tanenbaum, A.S., Computer Networks, 4th edition, Prentice-Hall, New Jersey, 2003 8. Bragg, Roberta. Windows 2000 Security. New Riders, 2001. 9. Andress, Mandy.Surviving Security. SAMS, 2001. 10. Zwicky, Elizabeth, et al. Building Internet Firewalls, 2nd Edition . O'Reilly & Associates, 2000. 11. Northcutt, Stephen and Judy Novak. Network Intrusion Detection: An Analyst's Handbook, 2nd Edition. New Riders, 2000.

59