Facultatea de Matematica

Universitatea Bucuresti

Solutia Linux de conectare la Internet

CUPRINS PARTEA I (Conectarea unui LAN la Internet) Cazul clasic al conectarii la Internet Conceptul de Internet Cum functioneaza Internet-ul ? Conectarea la Internet printr-un cablu TP Cablul TP !iteza de transfer Informatii "itale pentru conectarea la Internet Adresa IP Netmas# Adresa de broadcast $ate%a& 'N( Testarea cone)iunii Conectarea mai multor calculatoare la Internet Instalarea Linu)-ului Cate ce"a despre *ard-dis#-uri Confi+urari la Instalarea Linu)-ului Comenzi lo%-le"el de confi+urare retea Ifconfi+ Route (tudiu de caz Recompilarea #ernel-ului ,ootare fortata 'e unde se obtin adresele IP routabile 'omenii 'N( (er"erul de email Pro)& (ecuritate -ire%all-ul in Linu) PARTEA A '. A (Reprezentare -ire%all) Introducere Cum functioneaza un fire%all Pac*etul IP Abstractizare fire%all Limitari cunoscute Posibile reprezentari Reprezentarea cu masca Reprezentare fire%all printr-un automat Automat fire%all minimal PARTEA A TREIA (Protocolul TCP/IP) Protocolul IP (Internet Protocol) Adrese IP ,iblio+rafie

PARTEA INTAI - Conectarea unui LAN la Internet Ca ul clasic al conectarii la Internet Pentru ca un calculator sa fie conectat la Internet trebuie intai sa e)iste o le+atura fizica intre acesta si un nod al acestei retele Internet0 Le+atura poate fi realizata prin fire de cupru (cablu ,NC1 TP)1 fibra optica1 unde radio1 etc0 'e obicei administratorul nodului de2a conectat la Internet (Internet (er"ice Pro"iderul de e)emplu) furnizeaza un IP noului *ost conectat0 Conce!tul de Internet In momentul in care o firma/institutie a inceput sa acumuleze dispoziti"e de calcul1 a aparut si problema transmiterii de date intre acestea si utilizarii unor informatii in comun0 Transmiterea prin manipularea dispoziti"elor de stocare (disc#ete1 *ard-dis#uri1 benzi ma+netice) s-a do"edit ineficienta pentru accesari de date in timp real sau pentru transmiteri frec"ente de fisiere mici (cum ar fi transportul pe dis#eta a fisierelor pana la calculatorul la care este conectata imprimanta)0 Aceasta ne"oie a fost rezol"ata interconectand calculatoarele (si alte dispoziti"e de calcul care au putut fi adaptatate precum imprimante de retea1 etc) prin le+aturi fizice permanente1 prin fire de cupru1 fibre optice sau c*iar prin infrarosii si unde radio0 In scurt timp insa a aparut si problema comunicarii de date intre filiale ale aceleiasi firme din zone +eo+rafice diferite1 asa ca aceste retele ( net-uri) au fost inter-conectate (la inceput prin linii telefonice inc*iriate)0 Astfel s-au format internet-urile (inter-retele)0 La un moment dat (prin anul 3456)1 7inisterul Apararii din ( A a dorit sa interconecteze bazele sale militare intr-o inter-retea care sa fie capabila sa continue sa functioneze c*iar in cazul in care unele puncte ale marii retelei ar fi distruse0 Asa a aparut o inter-retea numita ARPANET (ARPA " "Advanced Research Projects Agency" se numea institutia +u"ernamentala care a coordonat si finantat proiectul)0 E)perimentele facute cu aceasta retea au dus la concluzia ca trebuie dez"oltat un protocol nou1 special conceput pentru o astfel de ar*itectura de retea0 Astfel a aparut protocolul TCP#IP1 special conceput pentru a lucra pe o retea de intindere foarte mare1 pe o inter-retea0 ARPA a semnat un contract de finantare cu 8 ni"ersit& of California din ,er#ele&8 pentru a implementa acest protocol in sistemul de operare NI91 ceea ce a dus la dez"oltarea unei interfete fle)ibile prin care pro+ramele pot comunica intre ele prin retea numita 8soc#et8 (soclu)0 In cursul dez"oltarii protocolului au fost interconectate retelele mai multor uni"ersitati1 rezultand o retea cu apro)imati" :66 de noduri0 In anul 34;6 portiunea militara a fost data in e)ploatare (si izolata de restul retelei)1 dar cele apro)imati" 356 de noduri ramase au functionat in continuare1 noi si noi retele fiind interesate sa se conecteze la acesta mare inter-retea0 Cand aceasta interretea a de"enit atat de mare incar lumea a constientizat-o ca Inter-reteaua (cu I mare)1 a aparut si conceptul de Internet (cu I mare)0 Cum $unctionea a Internet-ul % Internetul este o retea care interconecteaza calculatoare din intrea+a lume1 facand posibil sc*imbul de informatii de orice tip intre oricare doua calculatoare din aceasta retea0 Protocolul de comunicare in aceasta retea este se numeste IP (Internet Protocol) si asi+ura transmiterea de data+rame (numite pac*ete IP) intre oricare doua puncte ale retelei0 Aceste pac*ete au lun+ime limitata (uzual 3<66 b&tes)1 mesa2ele mai mari transmitandu-se in cadrul mai multor pac*ete0 In fiecare pac*et e)ista specificate sursa si destinatia mesa2ului0 -iecare calculator care participa la Internet are un identificator unic (un numar pe =: de biti) prin care el poate fi referit de catre alt calculator din Internet0 Acest numar se numeste 8adresa IP81 sau mai simplu 8IP8 si este reprezentat in +eneral ca > +rupe de catre ; biti scrise in baza zece1 mai e)act ca > numere in inter"alul 6-:<< separate cu punct (808) 1 de e)emplu? 834=0::50<30<>80 n calculator poate a"ea mai multe adrese IP dar un calculator fara IP nu poate comunica in Internet0 Alaturi de calculatoare e)ista si alte ec*ipamente care pot comunica in Internet (imprimante special concepute1 routere dedicate1 s%itc*-uri1 etc)0 Participant la Internet este orice a+ent care are asi+nata o adrese IP si poate sc*imba mesa2e cu ceilalti paticipanti prin protocolul IP0 Protocolul IP asi+ura transmiterea de mesa2e scurte intre oricare doua puncte ale Internetului1 dar responsabilitatea lui este doar sa controleze traseul pe care trebuie sa-l urmeze pac*etul spre destinatie prin multiplele noduri ale retelei0 In responsabilitatea sa nu intra controlul pac*etelor pierdute si nu +aranteaza ca pac*etele a2un+ in ordinea in care au fost trimise0 El nu face decat sa transporte pac*ete de informatii de la un *ost la altul1 de la un IP la altul1 pac*etul continand doar IP-ul sursa1 IP-ul destinatie si cate"a informatii de control cum ar fi "ersiunea protocolului1 daca pentru pac*et este mai important sa a2un+a rapid la destinatie sau este mai important sa a2un+a1 c*iar daca cu intarziere1 etc0 Pe parcursul drumului de la sursa la destinatie1 pac*etul poate trece prin se+mente de retea care au un ma)im al lun+imii pac*etului mai mic decat cel al sursei1 ceea ce face necesara fra+mentarea pac*etului si atasarea fiecarui fra+ment un I' si un numar de ordine1 un pac*et IP contine deci si aceste campuri0 Pentru unele aplicatii (de e)emplu transmiterea frame-uri "ideo) acest sistem este destul de acceptabil1 pierderea unui frame nu este o problema1 retransmiterea ar fi c*iar inutila0 Pentru transferul de fisiere insa pierderea unui pac*et sau primirea in alta ordine a pac*etelor este c*iar o problema0 Astfel a aparut necesitatea diferentierii de clase de ser"icii1 ser"icii nefiabile1 orientate pe data+rame care nu asi+ura retransmiterea pac*etelor pierdute si reordonarea lor si ser"icii fiabile1 orientate pe cone)iune1 in care se face automat retransmiterea pac*etelor piedute1 ordonarea la destinatie si c*iar controlul con+estiei0 Pentru acest scopuri au fost create protocoale de comunicare 8peste8 acest protocol1 mai e)act a fost rezer"at in antetul pac*etului IP un camp 8tip de pac*et8 iar in functie de acest camp informatia din pac*etul IP este interpretata in mod diferit si este tratata de protocoale diferite0 Cele mai

cunoscute tipuri de pac*ete IP sunt pac*etele TCP1

'P si IC7P0 Protocolul

'P ( ser 'ata+ram Protocol) este un protocol simplu

dar nesi+ur1 aplicatiile care il folosesc trebuie sa-si implementeze sin+ure metode de detectare a pac*etelor pierdute si de retransmitere a lor0 Protocolul TCP este un protocol comple)1 asi+urand initierea de cone)iuni fiabile1 cu retransmitere de pac*ete1 reordonare si controlul con+estiei0 Pac*etele IC7P (Internet Control 7esa+e Protocol) se folosesc pentru depanarea retelei (pin+) si pentru transmiterea de informatii despre e"enimente speciale pe parcursul traseului unui pac*et (de e)0 pac*etul a trecut prin mai multe routere decat ma)imul specificat in pac*et)0 Recapituland? e)ista pac*etele IP care au ca definitorii IP-ul sursa si IP-ul destinatie0 Printre tipurile de pac*ete IP cele mai cunoscute sunt operare)0 Pentru a identifica si diferentia *osturile e)ista adresele IP0 Pentru a diferentia in cadrul aceluias *ost di"ersele aplicatii care comunica in retea e)ista numarul de port1 care este un numar pe 35 biti1 deci intre 6 si 5<<=<0 (la ni"el de cone)iune prin TCP)0 Conectarea la Internet !rintr-un ca&lu UTP (ituatia tipica de le+atura permanenta la Internet este facuta printr-o cone)iune et*ernet1 pana la un router le+at la randul sau la Internet0 Le+atura et*ernet se poate realiza prin mai multe tipuri de cabluri1 cel mai folosit fiind insa cablul TP0 n comunicatie in retea se face intre 'P) sau fiabila doua perec*i IPsursa-P.RTsursa si IPdestinatie-P.RTdestinatie0 Comunicatia poate fi nefiabila (la ni"el de pac*et prin 'P1 TCP1 IC7P si ARP (ultimul mai putin cunoscut pentru ca nu este folosit de aplicatii ci de catre sistemele de

Ca&lul UTP contine > perec*i de fire de cupru izolate si torsadate (rasucite)1 prinse intr-un in"elis izolator0 In fiecare perec*e e)ista un fir colorat intr-una din culorile portocaliu, verde, albastru, maro, perec*ea lui a"and aceeasi culoare1 dar intrerupta de portiuni albe0 'e fapt pentru et*ernet se folosesc doar doua perec*i1 una 8dus8 si un 8intors80 Cablurile TP se termina cu mufe care au aspectul mufelor telefonice1 dar sunt mai late1 trebuind sa cuprinda ; fire (fata de > la mufele telefonice)0 Cablul se prinde in mufe prin 8sertizare8 cu un cleste special care infi+e lamele metalice ale mufei prin in"elisul izolator al fiecarui fir0 Pri"ind mufa cu lamela de prindere in spate si cu lamelele metalice in sus1 firele folosite la et*ernet sunt 3-: si =-50 Pe aceste pozitii trebuiesc sa fie sertizate fire perec*i1 uzual portocaliu si "erde0 Pentru a interconecta doua calculatoare cablul trebuie sertizat astfel incat perec*ea de fire care este pe pozitia 3-: la un capat sa corespunda perec*ii =-5 la celalalt capat (ce transmite o placa de retea sa a2un+a la pozitia de receptie ai celeilalte)0 'e obicei insa se foloseste un 8concentrator8 la care se aduna cablurile de la mai multe calculatoare si prin care comunica intre ele (de e)emplu @ , sau (AITC@)0 Acesta are mufele asemenatoare celor de retea1 dar au in"ersati conectorii 3B-C= si :B-C51 astfel ca pentru conectarea unui calculator catre acest 8concentrator8 se folosesc cabluri care au la ambele mufe aceeasi ordine a perec*ilor0 .rdinea uzuala este? %-o1o1%-+1b1%-b1+1%-br1br cu con"entia? oDoran+e (portocaliu)1 +D+reen("erde)1 bDblue(albastru)1 brDbroun (maro) iar w- semnifica ca respecti"a culoare este intrerupta0 In cazul in care cablul este 8in"ersat8 (se mai numeste si twisted sau cross-over) ordinea la una din mufe este sc*imbata in %-+1+1%-o1b1%-b1o1%-br1br0 Trebuie precizat ca o +reseala frec"enta este pozitionarea perec*ilor in mufa dupa o ordine oarecare0 'aca este respectata in ambele parti1 cablul poate functiona aparent1 dar daca perec*ile 3: si =-5 nu sunt torsadate (rasucite) pot apare functionari defectuase (pierderi1 erori)1 mai insemnate la 3667bps si/sau cabluri lun+i0 'e obicei lan+a calculator e)ista o priza unui cablu TP 8direct8 (nein"ersat) intre priza TP care este le+ata la concentrator (@ ,1 (AITC@)0 Conectarea consta in le+area

TP si placa de retea et*ernet din calculator0 In +eneral "om a"ea la dispozitie o mufa

utp 8mama8 care ne "a le+a fizic de un router de2a conectat la Internet (acesta poate fi in aceeasi cladire si le+at la acelasi @ ,/(AITC@ sau poate fi la pro"iderul INTERNET pana la care le+atura se face prin 7odem de cablu1 -ibra optica sau Radio0 Este de asteptat ca la pro"ider sa e)ista o trecere similara de la ec*ipamentul de conectare spre un cablu "iteza putem considera ca e)ista un cablu routerul acestuia0 'ite a de trans$er( La inceput cone)iunea et*ernet asi+ura o "iteza de 367bps (36 me+abiti pe secunda)0 Le+atura se putea realiza printr-un cablu ,NC (coa)ial) care trecea pe la toate calculatoarele sau prin cablu conectarea mai multor calculatoare0 Pe cablul a"anta2 al conectarii cu TP si @ ,/(AITC@ pentru n TP a fost proiectat apoi un standard care permite atin+erea "itezei de 3667bps0 TP1 deci daca facem abstractie de TP de la calculatorul nostru pana in @ ,-ul/(AITC@-ul pro"iderului1 la care este conectat

7a2oritatea placilor de retea de 3667bps suporta si interconectari la "iteza de 367bps pentru compatibilitate cu placile "ec*i0

TP fata de ,NC este pe lan+a faptul ca se pot realiza transmisii $ull-du!lex) adica 3667bps intr-un sens si

3667bps in celalat sens simultan0 Aceasta facilitate nu este suportata de toate placile si nu poate fi folosita daca se foloseste un @ ,1 necesitand un (AITC@0 Aceasta "iteza este asi+urata intre oricare doua calculatoarele care sunt in acelasi @ , sau pe acelasi cablu ,NC1 dar in cazul in care se face trafic intre mai multe calculatoare suma "itezelor cu care se transmit datele nu poate depasi aceasta "aloare0 In cazul unui (AITC@ insa1 doua perec*i de calculatoare pot comunica ambele cu 3667bps1 "iteza nu mai este limitata la suma "itezelor ci pe fiecare cablu TP in parte0 Trebuie precizat faptul ca unitatea de masura pentru latimea de banda este bitul (nu b&te-ul ca in cazul fisierelor)1 deci pe o cone)iune de 3667bps "iteza de transfer al unui fisier "a fi ma)im 366?;7bps1 o apro)imare destul de buna fiind 367,/s (mai e)ista informatii de control al transferului)0 !iteza de transfer in Internet este data de minimul dintre latimile de banda disponibile pe diferitele tronsoane tra"ersate de de pac*ete intre locatii0 'e obicei "iteza in Internet este mult mai mica decat "iteza in reteaua locala1 aceasta fiind de ordinul E,/s (#ilob&tes pe secunda)1 deci un up+rade de la 367bps la 3667bps in reteaua locala nu creste decat "iteza de comunicatie in interiorul retelei1 nu si "iteza de acces Internet0 !iteza de acces

Internet este data de canalul de comunicatie pana la pro"ider (care poate a"ea limitari fizice de "iteza) si de banda pe care pro"iderul o aloca clientului0 In$ormatii vitale !entru conectarea la Internet( In momentul conectarii calculatorului trebuiesc aflate cate"a date te*nice "itale pentru a putea folosi cone)iunea0 Aceste informatii sunt? Adresa IP) Netmas*) +ate,a-) Name-server.e/( 0ostname-ul (numele de *ost) se poate pune oricum1 dar daca e)ista o inre+istrare 'N( cu corespondenta intre un nume de *ost si IP-ul pus1 este bine sa se seteze acel nume0 In lipsa1 se poate pune orice nume1 urmat de domeniul or+anizatiei din care se face parte calculatorul sau c*iar un domeniu ficti"0 Adresa IP este identificatorul unic cu care calculatorul "a fi recunoscut in Internet0 Este un numar de =: de biti cu fiecare +rupa de ; biti scrisa in zecimal si separate prin punct (808)0 E)? 34=0::50<30<> Netmas*-ul este tot un numar de =: de biti1 dar are proprietatea ca este format dintr-un sir de biti 3 urmat de un sir de biti 60 Cea mai uzuala "aloare este :<<0:<<0:<<06 care este formata din :> de biti 3 si ; biti 60 Netmas#-ul este folosit pentru a determina daca o destinatie se afla in aceeasi retea et*ernet (de e)0 in acelasi @ , sau pe acelasi cablu ,NC) cu calculatorul care "rea sa trimita un pac*et de date0 'aca IP-ul destinatie corespunde cu IP-ul propriu pe toate pozitiile pe care Netmask-ul este 31 atunci calculatorul "a 8intreba in retea8 printr-un broadcast cine are acel IP1 placa care are acel IP "a raspunde si se "a trimite un pac*et direct catre acea placa de retea0 'e e)emplu un calculator cu IP-ul 34=0::50<30<> cu netmas# :<<0:<<0:<<06 se considera in aceeasi retea cu toate calculatoarele care au IP-uri 34=0::50<309 cu 9 intre 6 si :<<0 'aca netmas#-ul este :<<0:<<0:<<03:; (inca un bit 3 in plus)1 calculatorul se "a considera in aceeasi retea doar cu IP-urile care au pe ultima pozitie un numar 9 intre 6 si 3:F0 Celelate IP-uri "or a"ea bit-ul :< (primul bit din al >-ulea octet) e+al cu 3 si nu ar mai corespunde cu bit-ul 6 de pe pozitia :< al lui 34=0::50<30<>0 In acest caz1 el "a trimite pac*etul unuia din calculatoarele care este in aceeasi retea cu el si care are o alta placa de retea care comunica cu Internet-ul0 Adresa acestul calculator este adresa de 1ate,a-( -olosirea mastilor de retea (netmas#-urilor) are o utilitate foarte mare in construirea al+oritmilor de routare1 prin folosirea operatiilor lo+ice 8bit cu bit81 care iau foarte putin timp de procesare0 La initializarea confi+uratiei de retea calculatorul calculeaza 8 adresa retelei8 facand Gsi lo+ic bit cu bitG intre IP si netmask (practic se obtine adresa de IP in care s-au modificat in 6 bitii care sunt 6 in netmask)0 'e e)emplu pentru IPD34=0::50<303=6 netmaskD:<<0:<<0:<<06 adresa de retea este 34=0::50<306 iar pentru IPD34=0::50<303=6 netmas#D:<<0:<<0:<<034: (5> adrese)1 adresa de retea este 34=0::50<303:;0 In momentul in care calculatorul trebuie sa determine daca un ip este in aceeasi retea cu IP-ul sau1 el face G si lo+ic bit cu bit G intre acel IP si netmask1 calculand adresa de retea a acelui IP daca ar a"ea acea masca0 'aca rezultatul coincide cu adresa de retea a IP-ului propriu1 inseamna ca acel IP este in aceeasi retea cu el0 (e obser"a ca punand in : IP-uri 6 pe bitii pe care netmas#-ul ii are 61 rezultatele "or fi e+ale daca si numai daca IP-urile corespundeau la inceput pe pozitiile pe care netmask-ul este 30Pentru subiectul uman e)ista e)ista metode mai mai simple pentru calculul mental al unei confi+uratii0 Pentru calcul retelelor sub :<5 de adrese (cel mai intalnit caz) calculele afecteaza doar ultimul din cele > numere prin care se reprezinta ip-ul0 Netmas#-ul "a a"ea primele = numere :<<1 ultimul obtinandu-se scazand din :<5 numarul de IP-uri din subnet0 In"ers1 scazand ultimul numar al netmask-ului din :<5 se obtine numarul de IP-uri din retea (numita si subnet cand este mai mica de :<5 adrese)0 'eci un netmas# :<<0:<<0:<<0:>6 corespunde la un subnet de 35 IP-uri si in"ers0 Adresa de retea corespunde pe primele = pozitii cu IP-ul1 iar pe ultima pozitie are primul numar mai mic decat cel al IP-ului si di"izibil cu numarul de IP-uri din subnet0 Pentru e)emplul de mai sus cu IPD34=0::50<303=6 netmas#D:<<0:<<0:<<034: (5> ip-uri)1 "om cauta cel mai mare numar care este mai mic decat 3=6 si di"izibil cu 5>0 Acesta este 3:;1 deci adresa de retea este 34=0::50<303:;0 Adresa de &roadcast este ceruta in unele sisteme si este folosita pentru a desemna toate calculatoarele dintr-un anumit subnet0 Ea se obtine ca si adresa de retea din IP si netmask si se calculeaza facand Gsau bit cu bitG intre IP si Gne+atul bit cu bitG al netmask-ului0 7ai simplu1 in IP se fac 3 bitii care in netmas# sunt 6 asa cum pentru adresa de retea ei sunt pusi pe 60 Adresa de broacast este ultima adresa din retea1 putandu-se calcula pentru subneturi pastrand pe primele = pozitii numerele din IP si pe a patra pozitie punand numarul corespunzator urmatorului subnet minus 30 'eci pt0 IPD34=0::50<303=6 netmas#D:<<0:<<0:<<034: a"em 5> IP-uri1 adresa de retea este 34=0::50<303:;1 adunam 5> la ultimul numar si scadem 31 deci obtinem 34=0::50<303430 Cele mai multe sisteme calculeaza automat broadcast-ul1 ca si adresa de retea0 +ate,a- este adresa IP a calculatorului prin care trebuie sa treaca pac*etele in drum spre o +rupa de destinatii0 'e obicei e)ista un sin+ur 1ate,a- (o sin+ura le+atura spre e)terior)1 numit default 1ate,a- care este adresa IP a calculatorului care detine le+atura spre Internet0 (tandardul cere ca acest IP sa fie in aceeasi clasa de adrese cu ip-ul calculatorului1 uzual folosindu-se a doua adresa din aceasta clasa de adrese (prima este adresa retelei)0 'e e)emplu daca a"em IP-ul 34=0::50<30<> cu netmas# :<<0:<<0:<<06 (:<5 adrese)1 adresa retelei este 34=0::50<306 si adresa de +ate%a& este 34=0::50<3030 'aca IPD34=0::50<303=6 netmas#D:<<0:<<0:<<034:1 adresa de retea este deci 34=0::50<303:; si gateway "a fi 34=0::50<303:40 $ate%a& poate fi de fapt oricare din IP-urile din subnet (in afara de adresa de retea si broadcast) dar e)ceptiile de la re+ula anterioara se fac doar pentru situatii speciale (de e)0 pentru a sc*imba iesirea Internet a unora dintre calculatoare printr-o a doua le+atura)0 2NS-ul este prescurtarea de la omain Name !ystem si este o baza de date distribuita (ierarica) care contine

corespondente intre nume de *ost (e)? %%%0&a*oo0com) si IP-uri (e)0 :350=:0F>0<:)0 Aceasta baza de date contine si informatii despre adresa IP a ser"erului de email pentru un domeniu1 ca si corespondente intre IP si nume de *ost0 Pentru a putea accesa aceaste baza de date trebuie sa e)iste setat cel putin o adresa de 'N(1 uzual doua1 pentru cazul in care primul nu functioneaza0 IP-ul respecti" este al unuia dintre calculatoarele care are instalat un ser"er 'N( si este bine sa e)iste o le+atura cat mai buna pana la el

(pentru retele mai mari se instaleaza un ser"er 'N( c*iar in reteaua locala)0 7a2oritatea ser"erelor 'N( din lume raspund la intero+ari 'N(1 dar timpul de raspuns este direct proportional cu calitatea cone)iunii pana la el1 deci este bine sa fie cat mai aproape0 A"and setat un ser"er 'N( "alid1 calculatorul poate sa afle IP-ul asociat oricarui nume de *ost din Internet0 (er"erul %eb apelant intero+*eaza recursi" mai multe ser"ere1 incepand cu unul din ser"erele 8root8 pe care le are predefinite0 'e e)0 pentru domeniul %%%0&a*oo0com intreaba un ser"er 8root8 care ii spune ca stie nameser"erele care se ocupa de domeniile terminate in 80com80 Intreaba unul dintre aceste nameser"ere ("irtual ec*i"alente) si afla ca %%%0&a*oo0com are un anumit IP (in cazul %%%0&a*oo0com e)ista c*iar o lista de IP-uri asociate1 pentru impartirea cererilor intre mai multe ser"ere)0 'e obicei un nume de *ost se rezol"a intrun sin+ur IP0 Testarea conexiunii3 in primul rand trebuie "erificata cone)iunea pana la gateway0 In primul rand trebuie "erificata

cone)iunea pana la +ate%a&0 (e "a da un pin+ catre adresa de +ate%a&0 Indiferent daca platforma este Linu) sau Aindo%s1 o functionare a cone)iunii este ilustrata prin afisarea timpului in care pac*etul de pin+ a facut drumul 8dus-intors80 In caz contrar se afiseaza 8time out8 pe Aindo%s sau nu se afiseaza nimic in cazul Linu)-ului0 'aca acest test esueaza1 in c"asitotalitatea cazurilor cone)iunea este inutilizabila0 E)ista cazuri rare in care gateway-ul este confi+urat (printr-un fire%all) sa nu raspunda la pin+ (nerecomandabil) si cone)iunea sa fie functionala0 Aceste cazuri sunt rare insa0 . comanda mai putin standard care e)ista pe Linu) si cu care se poate "erifica indiferent de fire%all este arping0 Prin ea se poate "erifica cone)iunea doar intre *ost-ul local si alt *ost accesbil la ni"el et*ernet (cum este si gateway-ul)0 (e bazeaza pe trimiterea unei cereri de ARP in retea1 intrebandu-se ce placa de retea are acel IP0 Protocolul ARP este indispensabil comunicarii1 daca un calculator cu acel IP este accesibil la ni"el et*ernet1 atunci el "a raspunde0 . alta metoda de dia+nosticare este "erificarea tabelei de ARP dupa ping0 C*iar daca e)ista un fire%all1 calculatorul spre care se da ping "a raspunde la cererea ARP1 deci tabela ARP "a contine corespondenta intre acel IP si adresa fizica (8"A#-address-ul8) placii de retea a calculatorului cu acel IP0 Tabela ARP se poate "edea pe Linu) prin comanda 8arp Hna8 iar in Aindo%s cu comanda 8arp -a80 . modalitate mai puternica de depanare a retelei este uilitarul de Linu) tcpdump0 Rulat cu "tcpdump $i eth%" de e)emplu "a afisa cate"a informatii (sursa1 destinatie1 port) despre fiecare pac*et care trece prin prima interfata de retea (et*6)0 Pentru filtrarea informatiilor se pot da ar+umente mai comple)e1 in care sa se specifice ce tipuri de pac*ete sa se afiseze0 Ruland tcpdump de pe un calculator pe care nu se face trafic in retea1 dar le+at la o retea in care se face trafic1 se "or obser"a broadcast-urile celorlate calculatoare care sunt le+ate in retea1 de e)emplu cereri ARP0 Astfel se poate "edea daca cone)iunea e)ista (cel putin intr-un sens1 spre calcularul de pe care se fac teste)0 Astfel se poate si identifica dintre doua interfete care este et*6 si care este et*3 (se "a pune cablul de retea in fiecare1 pe rand1 in timp ce se face 8 tcpdump $i eth%"& In cazul in care se incearca un pin+1 c*iar daca le+atura intre interfata si retea nu este functionala1 se "or obser"a totusi cereri ARP ale calculatorului local1 de +enul "arp who has 'gateway( tell 'ip)local(" sau "arp who has 'ip)retea locala( tell 'ip)local(" 0 Acestea nu trebuiesc confundate cu traficul pe care placa il obser"a din retea0 In momentul in care le+atura pana la +ate%a& este functionala este foarte probabil ca le+atura sa functioneze si in alta parte0 (e poate incerca un ping la IP-urile ser"erelor 'N(0 !erificarea nu poate da informatii despre functionarea ser"erului 'N(1 dar poate "erifica daca ser"erul este pornit si accesibil0 'aca si nameser"erele raspund1 se poate incerca pin+ la un nume de *ost0 Este bine sa se inceapa cu un ping la o adresa apropiata ( ping www&ici&ro)0 Pin+-ul ar trebui macar sa translateze numele de *ost in IP (iar acesta sa apara pe ecran)1 c*iar daca *ostul este inaccesibil0 'aca comanda ping se bloc*eaza fara sa afiseze IP-ul desinatie sau spune "invalid host name" inseamna ca rezol"area de nume nu functioneaza0 .ri ser"erul (ser"erele) 'N( sunt nefunctionale1 ori este o problema cu confi+urarea 'N( pe calculator0 (e "a "erifica corectitudinea datelor introduse1 in cazul Linu)-ului in fisierul *etc*resolv&con+ 1 in cazul Aindo%s-ului in "!tart*!ettings*#ontrol-Panel*Network*,#P-IP*Properties* N!)con+iguration" 0 C*iar daca rezol"area numelor nu functioneaza pentru primul *ost1 merita incercat si alt *ost care se stie ca functioneaza in 8foc continuu8 (e)? %%%0&a*oo0com)0 E)ista posibilitatea ca rezol"area de nume sa nu functioneze si din cauza faptului ca accesul la ser"erele 8root8 nu sunt accesibile de catre nameser"ere (e)0 cone)iunea Internet nu este functionala)0 (e "a incerca daca este posibil si cu un *ost din domeniul de care este responsabil acel nameser"er (multe nameser"er-e nu sunt numai apelanti ai bazei de date distribuite1 ci contin c*iar o portiune din acesta baza de date H +azduiesc un domeniu internet1 de e)emplu "unibuc&ro"1 adica stie toate *osturile care se termina in "unibuc&ro")0 'aca rezol"area de nume nu functioneaza si se cunoaste un IP din e)terior1 se poate incerca ping la acel IP si daca nu functioneaza se poate da un 8 traceroute BIPC8 pe Linu) sau 8tracert 'IP(8 pe Aindo%s0 ltimul IP afisat este ultimul IP accesibil de pe calculatorul local0 Este posibil ca le+atura intre acel ultim *ost (router) atins si urmatorul sa fie nefunctionala1 sau *ostul urmator este nefunctional0 In functie de numarul de routere prin care a reusit sa treaca pac*etul se poate estima unde este problema0 'aca o adresa raspunde la pin+ catre numele sau (e)0 ping www&yahoo&com- dar nu poate fi accesata din bro%ser (Netscape1 Internet E)plorer) cauza este foarte probabil sa fie o setare de pro.y prin care bro%serul este instruit sa nu acceseze direct pa+inile1 ci sa le ceara unui ser"er pro)&0 In Netscape1 setarea de pro)& se afla in /dit*Pre+erences*Advanced*Pro.yes, iar in Internet /.plorer in 0iew*Internet 1ptions*#onnection&

Conectarea mai multor calculatoare la Internet A"and un IP si o cone)iune "alida la Internet1 se pune problema le+arii celorlalte calculatoare din apropierea sa la Internet0 Probabil e)ista de2a o retea pentru comunicarea acelor calculatoare intre ele1 nu trebuie decat ca aceasta retea sa fie conectata la Internet0 Pentru aceasta "a fi ne"oie de un router1 cea mai simpla solutie fiind folosirea unui PC ec*ipat cu doua placi de retea1 una spre iesirea Internet si cealalta spre reteaua locala0 . solutie foarte buna este instalarea pe router a sistemului de operare Linu)1 el oferind o multime de oportunitati precum +azduirea email-ului1 a unui pro)&1 +azduirea unei pa+ini de %eb1 al unui site ftp si protectia retelei interne fara absolut nici un cost in afara costurilor *ard%are0 Cu putin mai multa memorie o masina cat de cat decenta se poate folosi in acelasi timp si ca statie de lucru1 si c*iar sa se lucreze remote pe ea de catre mai multi utilizatori0 Instalarea Linux-ului Imediat dupa bootarea cu C'-ul de instalare se solicita cate"a optiuni precum interfata de instalare de tip +rafic sau te)t0 'e obicei instalarea in interfata +rafica consuma mai multe resurse1 deci instalarea in mod te)t este mai rapida0 Alte optiuni precum tipul de mouse1 tastatura1 diferenta fata de timpul $7T1 etc mai sunt cerute0 In cazul in care se detecteaza o interfata de retea se cere si confi+uratia placii de retea ( IP, netmask, gateway, nameserver -e1 nume de host)0 (e mai cere setarea parolei de administrator (root)1 unele distributii cerand sa se creeze si un user obisnuit (ne-root)0 Cel mai important lucru (si oarecum mai delicat) este insa partitionarea si setarea punctelor de montare a partitiei0 Pro+ramul de instalare "a intreba daca se pastreaza partitiile e)istente sau se face repartitionare0 La partitionare se "or ster+e partitiile e)istente1 apoi se "or creea una cate una partitiile1 de obicei cea de s%ap prima si cea care se monteaza in 8/8 a doua0 (e poate stabilii ca anumite directoare (e)? /*ome D directorul fisierelor personale ale utilizatorilor) sa fie 8montate8 intr-o partitie separata0 (ter+erea unei partitii cu informatii importante face e)trem de dificila refacerea lor1 deci este ne"oie de multa atentie0 .data cu stabilirea partitiilor pe care le "a folosi Linu)-ul si a locului in care se "or monta ele se "a cere permisunea de formatare a acestora0 In cazul in care partitia a fost de2a formatata1 se poate trece peste formatare0 -ormatarea se poate face cu sau fara "erificarea *ard-dis#-ului0 !erificarea dureaza foarte mult (zeci de minute la *ard-dis#-uri mari) dar asi+ura impotri"a defectiunilor fizice care pot compromite la un moment dat sistemul0 In cazul in care *ard-dis#-ul a fost "erificat de curand impotri"a 8bad-block-urilor (zone de memorare nefolosibile)81 se poate trece peste "erificare0 In cazul in care nu se ale+e formatarea1 instalarea "a continua normal1 nu se "or ster+e e"entuale fisiere e)istente1 cel mult se "or suprascrie cele care coincid ca si nume/localizare cu cele ale sistemului care se instaleaza0 E)ista si optiunea de up+rade care modifica doar fisierele care s-au modificat de la "ersiunea anterioara1 dar nu este recomandata procedura0 In plus nu se poate face decat de la "ersiunea anterioara din aceeasi distributie0 n alt lucru mai dificil este confi+urarea sistemului de 9-%indo%s0 'istributiile noi detecteaza un numar mare de placi "ideo si monitoare1 dar in cazul in care sistemul nu reuseste trebuie date informatii manual0 Cel mai dificil ar fi specificarea frec"entelor monitorului1 de obicei nee)istand cartea te*nica a acestuia0 (e pot incerca toate posibilitatile la rand1 incepand cu 8@i+* frec"enc& monitor F6@z)0 nele placi "ideo care sunt suportate de ser"erul (!$A nu au suport decat pentru :<5 culori1 c*iar daca placa "ideo suporta mai multe culori0 .ricum1 pentru un router nu este ne"oie de functionarea sistemului 9-%indo%s1 modul te)t este suficient0 n lucru util este creearea unei disc#ete de boot pentru sistemul instalat1 acest lucru fiind facut c*iar de catre pro+ramul de instalare cu intero+area celui care instaleaza0 . astfel de dis#eta foloseste in cazul in care sectorul de boot al *ard-dis#-ului este suprascris din +reseala (de e)emplu se instaleaza pe alta partitie Aindo%s)0 In acest caz se ba boota cu dis#eta si se "a rula /sbin/lilo1 care "a reface sectorul de boot0 (ectorul de boot este primul sector al *ard-dis#-ului1 in cazul in care bios-ul este setat sa boot-eze de pe acest dis# el startand pro+ramul pe care il +aseste in acest sector0 Acest pro+ram se foloseste pentru a starta mai multe sisteme de operare1 sau acelasi sistem cu optiuni/#ernele diferite0 Cel mai folosit astfel de pro+ram pentru Linu) este 8 lilo" (linu) loader)0 El poate starta la ale+ere si alte sisteme de operare prezente in alte partiti (e)? Aindo%s)0 Pro+ramul de instalare "a intreba unde se doreste instalarea pro+ramului lilo1 in 7aster,oot (primul sector al *ard-dis#-ului) sau in primul sector al partitiei de Linu)0 (e "a ale+e prima "arianta1 cea de-a doua folosind doar daca se foloseste un alt bootload-er +lobal1 care starteaza bootloaderul lilo0 Alte optiuni cerute pot fi de e)emplu tipul de encriptare a parolelor (7'< este default si este o ale+ere buna)1 tipul de securitate (8medium8 este o buna ale+ere)0 In +eneral setarile default sunt ale+eri potri"ite0 . portiune delicata este si ale+erea pac*etelor de instalare0 C*iar si in cazul cunoasterii pac*etelor importante1 uitarea unui pac*et poate cauza neplaceri ulterior1 fiind mai dificila instalarea lui manuala0 Cel mai simplu este sa se instaleze 8full81 bineinteles aceasta ale+ere necesita e)istenta spatiului necesar pe *ard-dis#0 nele distributii au pre-confi+urari pentru diferite utilizari ale "iitorului sistem (e)0? ser"er1 statie de lucru1 statie +rafica1 etc)0 Este recomandat macar sa se instaleze toate ser"erele de 9-%indo%s (default se instaleaza doar ser"erul care suporta placa "ideo care a fost detectata)1 in cazul unei sc*imbari a placii "ideo nefiind necesara instalarea dri"erului0 'aca totul a decurs bine1 dupa instalare sistemul se restarteaza si porneste bootloader-ul care fara a se apasa nici o tasta porneste dupa un timeout noul sistem instalat0 In cazul confi+urarii corecte a retelei se poate trece direct la "erificarea cone)iunii de retea0 In cazul in care ce"a nu functioneaza bine incepe tra"aliul de depanare0 'aca e)ista o a doua placa ea trebui confi+urata si ea0 -iecare distributie are utilitarul propriu de confi+urare (Read@at are 8linu)conf/netconf81 (use are 8&ast81 etc)0 Toate utilitarele sunt interfete catre pro+rame lo%-le"el care se pot apela din linie de comanda sau dintr-un script continand astfel de comenzi0 In cele ce

urmeaza se "a discuta doar folosirea acestor comenzi lo%-le"el1 ele fiind +eneral "alabile in toate distributiile1 spre deosebire de interfetele mai mult sau mai putin prietenoase0 Comen i lo,-level de con$i1urare retea i$con$i1 este comanda de confi+urare a interfetelor de retea0 8ifconfi+ -a8 afiseaza interfetele acti"ate si confi+urarea lor0 In cazul in care output-ul nu incape intr-o pa+ina de ecran1 se poate folosi comanda 8filtru8 8 more8 care afiseaza output-ul pa+ina cu pa+ina (i+con+ig $a2more)0 (e poate folosi cu cale completa (/sbin/ifconfi+) daca directorul /sbin nu este in lista de directoare in care se cauta e)ecutabilele H "ariabila se en"iroment PAT@)0 Informatiile afisate contin ip-ul asi+nat1 netmask-ul1 adresa broadcast1 counteri de pac*ete primite/trimise1 erori de mai multe tipuri1 utile in depanare0 . interfata care a fost recunoscuta de #ernel se poate acti"a cu 8ifconfi+ et*6 inet BipC netmas# Bnetmas#C broadcast BbroadcastC (sau se inlocuieste et*6 cu et*31 et*:1 etc)0 . interfata "irtuala (alias) se poate face pe o interfata inlocuind et*6 cu et*6?31 et*6?:1 etc)0 Interfetele "irtuale nu folosesc decat in cazuri speciale cand se simuleaza printr-o placa de retea fizica mai multe placi de retea0 Interfata lo este bine sa e)iste in toate sistemele (c*iar daca nu sunt le+ate la retea)0 Ea este o interfata "irtuala1 care doar returneaza pac*etele trimise spre ea0 Este folosita pentru a simula prin ea conectarea de tip retea catre propriul calculator (de e)emplu se poate incarca o pa+ina de %eb de pe aceeasi masina dand *ttp?//local*ost sau *ttp?//3:F060603)0 route este comanda de confi+urare a routelor (routele controland directia in care se trimite un pac*et spre o oarecare +rupa de destinatii)0 8route -n8 afiseaza routele curente1 e"entual se poate folosi 8/sbin/route -nImore8 cu pa+inarea outputului0Routele contin pe linie adresa retelei1 gateway-ul pentru a a2un+e la acea retea1 netmask-ul retelei1 interfata prin care se a2un+e la subnet si alte informatii mai putin utile depanarii0 Ideea ar fi ca pentru fiecare pac*et se parcur+e fiecare linie de sus in 2os1 pana cand destinatia facuta Gsi bit cu bitG cu masca de retea da adresa retelei din stan+a0 In acel moment se e)pediaza pac*etul pe interfata scrisa in dreapta1 catre placa de retea care raspunde la cererea de ARP pentru IP-ul de +ate%a&0 ltima linie contine la netmas# si adresa de retea 8606060681 deci orice IP "a face "match" cu aceasta re+ula1 pac*etul cu destinatie spre care nu e)ista routa e)plicita "a pleca spre "de+ault gateway"0 . routa care are trecut la gateway 6060606 este o routa "directly connected8 adica IP-urile din acel subnet sunt accesibile direct (la ni"el et*ernet prin acea interfata)0 . routa spre un subnet se adau+a cu comanda "route add $net 'subnet( netmask 'netmask( gw 'gateway(" 0 . routa catre un *ost se adau+a cu comanda 8route add -*ost B*ostC +% B+ate%a&C de" Bet*)C8 sau 8direct pe interfata8 cu "route add -host dev 'eth.(" 0 In #ernelurile noi routa catre IP-urile din acelasi subnet cu IP-ul/IP-urile proprii se pune automat la ridicarea interfetei1 prin acea interfata0 In +eneral nu trebuie pusa decat routa default prin "route add de+ault gw 'gateway(" 0 (pre B+ate%a&C trebuie sa e)iste o routa "direcly connected"1 daca gateway-ul este standard1 un IP din acelasi subnet cu IP-ul calculatorului1 aceasta routa e)ista0 In caz contrar se poate pune o routa catre acel *ost pe acea interfata dar o asemenea necesitate este +enerata in +eneral de proiectari defectuase ale retelei sau stari de tranzitie0 Studiu de ca Presupunem ca e)ista un cablu :<<0:<<0:<<034:1 gateway 34=0::50<3030 TP (ma2oritatea placilor ,NC au si priza TP pana la un laborator dotat cu :6 calculatoare care au instalat sistemul de operare nul din calculatoare "a fi instalat cu Linu)1 punandu-i-se inca o placa de retea cu priza TP)0 Placa dinspre cablul TP (spre Internet) "a a"ea IP-ul 34=0::50<30<>0 Placa dinspre

Aindo%s1 le+ate prin cablu ,NC (coa)ial) care trece pe la fiecare calculator0 Este asi+nat un IP (34=0::50<30<>) cu netmask

,NC (reteaua locala) "a a"ea un IP 8neroutabil81 dintre cele special rezer"ate pentru uz intern (nu sunt folosibile in Internet)0 'e e)emplu "a a"ea adresa 34:035;036303 ( IPDurile care incep cu 34:035;0 si cele care incep cu 360 sunt 8neroutabile8)0 Netmas#-ul "a fi pentru reteau locala :<<0:<<0:<<06 (:<5 calculatoare ma)im)0 (e putea pune si :<<0:<<0606 (5<<=5 calculatoare ma)im) dar nu este ne"oie0 Comenzile de confi+urare ar trebui sa fie? i+con+ig eth% inet 345&667&83&89 netmask 688&688&688&346 broadcast 345&667&83&75 route add de+ault gw 345&667&83&3 i+con+ig eth3 inet 346&37:&3%3&3 netmask 688&688&688&% broadcast 346&37:&3%3&3 Pentru confi+urarea 'N( trebuie editat fisierul /etc/resol"0conf0 Editorul standar NI9 este "i ("i /etc/resol"0conf)0 (e "a n alt editor (mai

muta cursorul pe linia dorita1 se "or ster+e caractere cu tasta 8)80 (e "a trece in modul 8insert8 apasand tasta 8i81 se "or face adau+arile si se "a sal"a si iesi din editor trecand in mod 8comanda8 cu tasta 8Esc8 si apasand ulterior 8?%J80 simultan Ctrl si E1 apoi se elibereaza si se apasa 90 intuiti"1 semanand cu "ec*iul Aord(tar) este 2oe (2oe /etc/resol"0conf)0 (e "a edita fisierul si se "a iesi cu 8CtrlKE198 H se apasa n *elp mai amanuntit se obtine cu 8CtrlKE1@80 'aca e)ista instalat utilitarul "mc" (o interfata te)t semanand cu norton commander) atunci se poate folosi editorul sau 8mcedit80 Pe statiile Aindo%s se "a confi+ura adresa de IP 34:035;03630) () intre : si :<>)1 netmas# :<<0:<<0:<<061 +ate%a& 34:035;0363031 'N( ser"er 34=0::50<30>0 @ostul se poate pune dupa dorinta de e)? statie-:1 statie-=1 etc1 domeniul poate fi cel al institutiei (de e)emplu mat*0unibuc0ro)1 poate fi ficti" sau poate lipsi0 Pentru a functiona cele :6 de calculatoare in retea1 mai este necesar sa se acti"eze routaerea si masJuaradin+-ul0 Pentru acti"area routarii se "a scrie 838 in fisierul "irtual /proc/s&s/net/ip">/ipLfor%ard cu comanda? echo "3" ( *proc*sys*net*ipv9*ip)+orward

Pentru a face masJuarade este suficient sa se scrie o sin+ura comanda1 in cazul #ernelelor :0:0) sau celor :0>0) cu modulul de ipc*ains acti"at comanda este? ipchains $I +orward $s 346&37:&3%3&%*688&688&688&% $j "A!; sau ipchains $I +orward $s 346&37:&3%3&%*69 $j "A!; (/:> reprezinta o notare prescurtata a mastii de retea1 prin numarul de biti 838 pe care ii contine la inceput)0 'e2a calculatoarele Aindo%s ar trebui sa poate accesa Internet-ul0 Pentru asi+urarea unei securitati sporite si pentru unele ser"icii suplimentare mai trebuiesc insa facute cate"a confi+urari0 Comanda simpla prezentata mai sus acti"eaza de fapt un mecanism complicat numit 8mas<uarading81 un caz particular de NAT (Net%or# Address Translation)0 Pentru confi+urare se foloseste acelasi utilitare prin care se confi+ureaza fire%all-ul (8ipc*ains8 sau 8iptables8 in #ernel :0>0))0 Prin acest mecanism1 pac*etelor "enite de la calculatoarele cu adrese neroutabile (34:035;03630)) li se modifica adresa sursa cu adresa dinspre Internet a Linu)ului si portul cu un port liber al Linu)ului0 Pac*etul de raspuns a2un+e la adresa sursa1 adica la Linu)1 care tine intr-o lista cu translatarile facute1 si modifica destinatia pac*etului cu sursa si destinatia oficiala0 Astfel1 un ser"er accesat de un calculator din 8spatele8 Linu)ului are impresia ca a fost accesat de catre Linu)1 iar masina care face accesul are impresia ca ea a discutat direct cu ser"erul din Internet0 Acest mecanism se preteaza cel mai bine la cone)iuni TCP/IP dar functioneaza fara probleme si cu pac*ete 'P si IC7P0 (in+urele probleme care apar sunt in cazul in care o aplicatie din spatele Linu)-ului ne+ociaza prin le+atura stabilita un alt port de comunicare decat cel de pe care a plecat cone)iunea initiala0 Linu)-ul nu poate afla despre acest port decat daca cunoaste protocolul folosit in ne+ocierea portului (e)0 -TP)0 In acest caz ser"erul din Internet considera ca trebuie sa se conecteze cu cel cu care a discutat (din punctul lui de "edere a discutat cu Linu)ul)0 Linu)ul nu poate for%arda cererea de desc*idere a cone)iunii "enita din Internet spre masina din spatele Linu)ului ci o considera o cone)iune "enita spre sine1 si o respi+e0 Pentru protocoalele foarte folosite (-TP de e)emplu) e)ista module speciale care urmaresc ne+ocierea intre aplicatii si for%ardeaza cone)iunea de feed-bac# la calculatorul 8masJuaradat80 Este e"ident ca pe un calculator care iese in Internet prin mas<uarade nu se poate pune un ser"er accesibil din Internet0 Pe de alta parte insa1 aceasta reprezinta si o protectie fata de posibilitatea unor atacuri din e)terior spre reteaua locala0 'e obicei in reteaua locala nu e)ista decat statii de lucru1 doar initiatori de cone)iuni1 nu ser"ere accesate din e)terior0 Pentru astfel de cazuri ser"erul se instaleaza pe Linu)1 sau daca nu este posibil se folosesc adrese routabile0 Recom!ilarea *ernel-ului In cazul in care distributia care se instaleaza nu contine support pentru un anumit de"ice (de e)emplu o anumita placa de retea)1 este destul de probabil ca problema sa se rezol"e prin compilarea unui #ernel cu support pentru acel de"ice0 (ursele #ernelului sunt continute in distributie sau se pot download-a ca ar*i"a tar0+z si tar0bz de la un mirror apropiat de #ernel (e)0 ftp?//ftp0linu)0ro/pub/#ernel)0 Ar*i"ele se numesc linu)-:0)0&0tar0+z (sau similar cu t+zDtar0+z sau tar0bz)0 tar este e)tensia prin care se desemneaza o ar*i"a continand intr-un sin+ur fisier mai multe fisiere si directoare0 E)tensia 0g= este data in momentul comprimarii acestei ar*i"e cu g=ip1 b= fiind e)tensia in cazul ar*i"arii cu bzip:0 Ar*i"a se 8des+ace8 prin decomprimare (+unzip linu)-:0)0&0tar0+z) si de=arhivare (tar H)"f linu)-:0)0&0tar)0 'ecomprimarea pentru fisiere &b= se face cu bun=ip +isier&b=& Pentru ar*i"e &tar&g= se poate folosi tar $.v=+ linu.-6&.&y&tar&g= care face in acelasi timp si decomprimarea0 .ptiunea -v este folosita pentru a acti"a modul "verbose" in care se afiseaza fiecare fisier e)tras din ar*i"a1 -= semnificand faptul ca se face intai decomprimarea iar -. faptul ca se face e)tra+ere din ar*i"a0 'upa -+ s epune numele ar*i"ei0 Ar*i"a a fost facuta printr-o comanda de +enul 8 tar $cv=+ linu.-6&.&y&tar&g= linu."0 In momentul in care se dezar*i"eaza1 se creeaza in directorul in care se face dezar*i"area un director numit "linu."& Pentru compilare se intra in acest director ("cd linu.8) si se fac urmatorii pasi? - make menucon+ig H se confi+ureaza ceea ce sa contina "iitorul #ernel0E)ista o confi+uratie default de la care se pleaca si care se modifica in functie de ne"oi0 Important este ca procesorul ales la confi+urare sa nu fie mai puternic decat cel de pe masina pe care se instaleaza0 In plus1 daca e)ista de"ice-ul speciale (scsi1 placi et*ernet) trebuiesc incluse in confi+uratie0 E)ista cate"a facilitati care se pot include in #ernel in plus fata de confi+uratia default (de e)0 support pentru partitia de 'os/Aindo%s)1 dar ele nu sunt in +eneral neaparat necesare pentru functionarea sistemului0 Pe de alta parte ma2oritatea optiunilor incluse nu fac sistemul nefunctional1 cel mult maresc #ernelul ne2ustificat0 Trebuie a"ut +ri2a sa nu se includa optiunea 8Eernel autoreconfi+uration8 pentru ca in acel moment "iitorul #ernel "a incerca sa booteze din retea0 . pri"ire prin *elp-ul fiecarei optiuni este bine"enita0 E)ista si o "ersiune +rafica a pro+ramului de confi+urare (make .con+ig) - make dep $ se refac dependintele intre module - make b=Image $ se compileaza #ernelul0 Acesta "a fi depus in arc*/i=;5/boot/bzIma+e 0 Eernelul este comprimat cu autoe)tract pentru micsorarea dimensiunii1 trebuind sa poata fi reprezentat pe dis# intr-un bloc conti+uu0 'upa compilare el se muta in alt director (uzual /boot) si se introduce in /etc/lilo0conf o intrare catre el dupa modelul celor de2a e)istente0 8label" este numele prin care se poate ale+e acel #ernel din lilo1 root reprezinta partitia pe care o "a monta ca 8/81 image reprezinta #ernelul0 read-only se specifica pentru ca sistemul trebuie sa monteze partitia root read onl&1 sa starteze pro+ramul /sbin/init1 care "erifica inte+ritatea partitiei si abia apoi face 8remontarea8 read-%rite80 7ai multe optiuni se pot trimite #ernelului la bootare cu optiunea append0 'aca

inainte de montarea partitiei este necesara inserarea unor module care sa recunoasca partitia1 se foloseste "initrd"1 montandu-se un fisier ca partitie 8/81 din care se insereaza modulul si se monteaza apoi partitia de pe dis#0 - make modules H se compileaza modulele in cazul in care unele optiuni au fost incluse ca module0 (uportul pentru toate placile de retea se poate compila astfel fara sa mareasca dimensiunea #ernelului1 urmand sa fie incarcat cel de care este ne"oie0 - make modules)install H se instaleaza modulele intr-un director si se realizeaza si o *arta a dependintelor intre ele - ma#e install H face alte setari pentru noul #ernel - lilo H reinstaleaza lilo cuprinzand si noul #ernel Bootare $ortata Lilo este aplicatia care se starteaza de catre bios la pornirea calculatoruluil0 Este un pro+ram simplu in care se poate ale+e una din mai multe optiuni0 -iecare optiune reprezinta un #ernel si anumite optiuni (in afara cazurilor in care se starteaza sistemul de pe o partitie non-Linu))0 >ilo incarca #ernelul si ii transmite cate"a optiuni printre care partitia pe care sa o monteze ca root (8*8) si pro+ramul pe care sa il lanseze din acea partitie0 Pentru un #ernel cu label 8 lin" se poate da in lilo 8 lin root?*dev*hda6 init?*bin*bash ro80 In acest caz linu)ul "a porni de pe partitie pro+ramul de s*ell (/bin/bas*) si "a e)ista o consola de administrator0 La bootarea normala se starteaza pro+ramul /sbin/init1 care lanseaza toate celelalte pro+rame precum pro+ramul de lo+in1 daemonii (ser"erele)1 etc0 Partitia astfel montata este read-onl&1 de pe ea se poate rula un pro+ram care sa "erifice si sa repare o partitie a2unsa inconsistenta din cauza unei caderi de curent de e)emplul prin 8/sbin/e:fsc# H& /de"/*da:80 (e poate trece in read-%rite prin "mount -n $o remount, rw *" pentru a face anumite modificari (sc*imba parola de root daca cea "ec*e a fost uitata) & Inainte de restartare este bine sa se treaca partitia in read-only prin "mount -n $o remount, ro *"& Este indicat sa se ruleze si comanda sync pentru sal"area din memorie a bufferelor pe dis#0 2e unde se o&tin adresele IP routa&ile Adresele routabile le asi+neaza administratorul de retea al institutiei1 din spatiul de adrese pe care il are la dispozitie de2a sau pe care il obtine de la RIPE sau de la un 8redistribuitor8 de adrese local1 numit LIR1 de e)emplu RNC (*ttp?//%%%0rnc0ro)0 RIPE este autoritatea europeana care aloca IP-uri participantilor la Internet1 astfel incat sa nu e)iste un IP asi+nat la doi utilizatori diferiti0 RIPE aloca unor 8>ocal Internet Registry" @>IR- spatii de adrese pe care acestia le asi+neaza catre utilizatori0 (patiul de adrese IP!> ("ersiunea actuala de protocol IP1 cu adrese IP pe > octeti) este asi+nat in proportie mare1 astfel ca RIPE cere o ar+umentatie solida asupra lor1 in cazul in care este posibila o solutie tip mas<uarade nu se aloca IP-uri routabile0 -iecare pro"ider mare de Internet are un numar de clase C (de :<5 IP-uri) pe care 8le anunta8 in Internet printr-un protocol numit ,$P0 Aceste sunt clasele pe care el si clientii sai le au alocate de catre RIPE (in cazul Europei)0 Protocolul ,$P (,order $ate%a& Protocol) realizeaza transmiterea de catre un router catre "ecinii sai a routelor pe care le cunoaste0 In acest fel1 dupa un scurt timp fiecare router afla fiecare routa din Internet0 Routerele de la 8periferia8 Interetului (care separa cate"a retele de restul Internetului) a+re+a routele din Internet intr-o sin+ura routa (routa default sau 6060606/6)1 i+norand spatiile libere (clasele de adrese nefolosite inca)0 El are uzual o sin+ura cone)iune la Internet1 iar routerul cu care este conectat ii este 8default +ate%a&80 .rice pac*et care nu este in lista celor cate"a retele pe care le separa de Internet este trimis catre default +ate%a&0 Astfel se face ca un pac*et spre o destinatie ine)istenta in Internet se duce prin cate"a routere1 pana la un 8core8 router care cunoaste e)act ce clase de adrese sunt accesibile in Internet si abia in acel punct pac*etul este dropat si uzual se semnaleaza printr-un pac*et IC7P special faptul ca nu e)ista routa catre acea destinatie0 2omenii 2NS Pentru a putea fi accesat din Internet printr-un anumit nume de *ost (nu numai prin IP) trebuie sa e)iste o 8intrare 'N(8 continand acel nume si pointand catre IP-ul tau0 Aceasta inre+istrare se realizeaza pe un nameser"er responsabil cu un anumit domeniu1 in care se doreste acel nume de *ost0 'e e)emplu daca se doreste numele www&unibuc&ro trebuie realizata inre+istrarea pe nameser"erele care sunt responsabile pentru acest domeniu (standardul cere ca pentru fiecare domeniu sa e)iste cel putin doua nameser"ere1 pentru bac#up in cazul in care unul din ele de"ine nefunctional)0 In cazul in care domeniul nu e)iste (de e)emplu se doreste numele www&ecuatii&ro) domeniul trebuie creeat pe nameser"erul care se ocupa de domeniile A&ro"0 Autoritatea care creeaza domenii "&ro" este tot RNC (cea care poate asi+na si IP-uri)0 Pentru un pret modic1 care ii asi+ura autofinantarea1 RNC poate dele+a catre doua nameser"ere un anumit domeniu0 In acel moment orice modificare din acel domeniu se face pe cele doua nameser"ere1 e"entual se pot face subdomenii0 'aca unul din nameser"ere poate fi usor Linu)-ul folosit si ca router instaland un pro+ram din distributia standard numit named1 celalalt nameser"er nu este intotdeauna disponibil0 (e poate folosi un nameser"er al pro"iderului sau c*iar ambele nameser"ere ale pro"iderului (orice pro"ider care se respecta are macar : nameser"ere)0 (e pot confi+ura nameser"erele pro"iderului sa incarce informatiile despre domeniu din nameser"erul proprietarului domeniului0 Informatiile despre un domeniu mai sunt numite si 8zone8 iar nameser"erul confi+urat sa incarce 8zona8 de la alt nameser"er este numit 8sla"e8 fata de cel de pe care se incarca zona care este numit 8master8 pe respecti"a zona0 Aceste denumiri sunt relati"e1 un ser"er 8master8 poate fi 8sla"e8 la ransul sau altui nameser"er0 Rezol"area unui domeniu se poate "erifica cu comanda host& 'e e)emplu? 8host www&yahoo&com" rezol"a adresa de *ost in IP1 8 host $t m. yahoo&com 8 afiseaza ser"erele de email care deser"esc domaniul &a*oo0com1 "host $t ns yahoo&com" afiseaza nameser"erele care sunt responsabile cu domeniul 8yahoo&com" 0 Aceste raspunsuri sunt cerute de la nameser"erul setat default (in *etc*resolv&con+)1 in cazul in care se doresc informatii de la un alt nameser"er se adau+a

nume sau la sfarsitul comenzii1 de e)emplu 8 host $t ns unibuc&ro ns&rnc&ro" "erifica la RNC pe ce nameser"ere sunt definite informatiile despre domeniul unibuc&ro0 Acest lucru este util deoarece un nameser"er in care este confi+urat un domeniu si este declarat master pe acesta raspunde din fisierul propriu de confi+uratie pentru acest domeniu1 c*iar daca el nu este inre+istrat in Internet ca responsabil pentru domeniu0 Restul Internetului (cei care nu il folosesc ca nameser"er direct) nu il "or intreba despre domeniu si "or a"ea o alta "iziune asupra domeniului (data de realele nameser"ere responsabile)0 Serverul de email In momentul in care e)ista un domeniu1 se pot creea si casute postale de tip userBdomeniu& Pentru a putea folosi aceste adrese de email trebuie sa e)ista in zona care se refera la acest domeniu o inre+istrare de tip 8IN 798 (inre+istrarile despre IP-ul unui *ost sunt de tip 8IN A8)0 Ip-ul care este trecut in acesta inre+istrare "a fi accesat pe portul :< pentru a i se li"ra emailul pentru acest domeniu0 (e pot definii mai multe intrari 791 pentru cazul in care unul din ser"ere nu este disponibil0 E)ista prioritati1 numarul mic inseamna prioritate mai mare0 (er"erul de email este si el in distributiile standard de Linu)1 e)ista c*iar mai multe (sendmail1 Jmail1 postfi))0 (copul ser"erului de email este sa primeasca si sa trimita mesa2e email0 7esa2ele pot fi catre domeniul pentru care are definite casutele postale sau pot fi mesa2e trimise de utilizatori (detinatorii casutelor postale) catre alte ser"ere de email din Internet0 Actiunea prin care un ser"er de email primeste un mesa2 care nu ii este adresat pentru a-l for%arda mai departe se numeste "relay"& (er"erul de email trebuie sa faca "relay" doar pentru utilizatorii care au casute postale acolo1 altfel cine"a poate trimite email nesolicitat ("spam"- prin acel ser"er email1 pentru a-si ascunde identitatea fata de destinatar0 Primirea emailului si trimiterea lor sunt lucruri distincte1 pe care le poate face un sin+ur ser"er de email sau doua separate0 Emailul primit se poate citi local de pe ser"er cu un client de email ("mail", "pine"- sau se poate citi remote cu un client special de email prin P.P= sau I7AP din Netscape Communicator1 .utloo# E)press1 etc0 Trimiterea se face din acesti clienti1 specificand-use un ser"er0 'e remarcat faptul ca daca in cazul citirii emailului se cere un username si o parola1 in cazul trimiterii nu se cere uzual "reo parola1 si c*iar se pot trimite emailuri cu orice sursa1 sin+ura cerinta fiind ca domeniul adresei sursa sa se poata 8rezol"a8 H sa e)iste pentru el o intrare 87980 Prox'e multe ori1 mai multi utilizatori acceseaza aceleasi pa+ini1 facand acelasi transfer de mai multe ori inutil0 Pentru a se folosi mai eficient cone)iunea la Internet s-a proiectat un ser"er "pro.y" care are rolul de a prelua cererile de la browser si de a intoarce pa+ina ceruta1 fie accesand Internet-ul1 fie accesand "cache"-ul pe care il face pe *ard-dis# cu pa+inile accesate anterior0 (e fac "erificari ale datei de modificare pentru pa+inile care au termen de e)pirare0 Pro)&-ul poate fi si o "arianta la mas<uarade1 dar are deza"anta2ul ca poate fi folosit doar pentru anumite protocoale pentru care este proiectat (*ttp1 ftp1 etc)0 ,ro%ser-ele au de obicei implementat protocolul de intero+are a pro)&-urilor1 nu trebuie decat confi+urat IP-ul masinii pro)& si portul pe care 8asculta8 ser"erul de pro)&0 nele pro)&-uri pot fi setate sa ceara si o autentificare username/pass%ord0 E)ista si o "arianta mai speciala de pro.y numita 8transparent pro.y8 prin care pac*etele care au plecat spre Internet sunt redirectate de catre routerul Linu) spre portul pe care 8asculta8 pro.y-ul1 iar acesta raspunde la cererea pe care bro%serul crede ca o face ser"erului %eb din Internet0 A"anta2ul ar fi ca nu mai trebuie instruiti utilizatorii sa seteze/deseteze pro)&-ul din bro%ser0 Redirectarea catre portul de pro)& se face tot cu utilitarul care confi+ureaza fire%all-ul (8ipc*ains8 sau 8iptables8)1 o linie de redirect ar arata cam asa? ipchains $I input $s 346&37:&3%3&%*69 $d %&%&%&%*% :% $p tcp $j R/ IR/#, 536: unde =3:; este portul pe care asculta pro)&-ul1 %&%&%&%*% reprezinta reteaua continand orice IP1 ;6 reprezinta portul de *ttp1 tcp reprezinta tipul de protocol IP0 Securitate In momentul conectarii la Internet problema securitatii de"ine mult mai comple)a1 posibilitatea conectarii in orice punct al Internet-ului aduce cu sine si posibilitatea unui atac din Internet0 In momentul in care e)ista doar o retea locala izolata1 numarul celor posibil interesati de a eluda securitatea sistemului este limitat1 atat prin numarul mic de persoane care au acces la aceasta retea cat si prin faptul ca e"entuale incercari de atac pot fi descoperite si se pot lua masuri impotri"a atacatorului0 In cazul atacurilor din Internet1 atacatorul poate fi +reu descoperit1 si c*iar descoperit se poate do"edii +reu fapta acestuia0 In plus1 atacatorul (numit si hacker) din Internet nu are nici un interes in comun cu institutia al carui calculator a fost atacat1 deci nu "or manifesta prea multe scrupule0 Cacker-ii pot distru+e date importante fara sa aiba un interes direct in aceasta1 pot insa si accesa date confidentiale si pot aduce pre2udicii financiare prin 8furt electronic80 In cazul unei institutii non-profit nu e)ista prea multe date secrete1 in afara de parolele de acces in sisteme0 Cacker-ii pot folosi aceste sisteme ca punct de plecare pentru atacul altor sisteme1 pentru a fi mult mai +reu localizati0 Ei pot distru+e si date importante pentru a isi demonstra puterea sau din ne+li2enta0 Protectia sistemelor conectate la Internet se face in special la demarcatia intre reteaua locala si Internet0 In momentul in care atacurile din Internet sunt controlate1 securitatea re"ine la simplitatea administrarii unui retele locale0 Pentru a realiza o astfel de securitate reteaua se proiecteaza astfel incat iesirea in Intrenet (sau fiecare iesire daca e)ista mai multe) sa treaca printr-un fire%all (de obicei un router) care sa contina niste re+uli stricte in pri"inta pac*etelor care intra din Internet in retea locala (uneori si pentru pac*etele care pleaca in Internet)0 Acest fire%all poate fi facut foarte usor pe routerul Linu)1 care are deci inca un rol in retea0 Trebuie spus ca nu se poate aprecia securitatea dupa e)istenta sau nu a fire%all-ului0 E)ista fire%all-uri mai bune (mai restricti"e) si mai putin bune (mai permisi"e)0 -ire%all-urile mai restricti"e pot adau+a anumite dificultati pentru utilizatori (de e)emplu accesul la -TP)1 de aceea c*iar a"and fire%all sistemul poate fi totusi "ulnerabil la anumite atacuri0 E)ista doua e)treme1 fire%all-ul care permite orice (ec*i"alent cu lipsa

lui) si fire%all-ul care nu permite accesul niciunui pac*et (ec*i"alent cu intreruperea cablului intre reteaua locala si Internet0 Acest ultim caz este complet si+ur din punct de "edere al securitatii dar nu permite nici accesul in Internet dinspre reteaua locala0 'e aici se poate pleca insa1 permitand pe rand numai pac*etele care sunt neaparat necesare0 Cele mai utilizate atacuri sunt de tip 'en& of (er"ice ('o() si de tip 8remote s*ell80 Primul tip de atac urmareste aducerea in stare de nefunctionare a sistemului1 supraincarcand-ul de obicei1 cel de-al doilea urmareste accesul la resursele sistemului1 fiind mai destructi"0 Atacul 'o( se poate face de e)emplu trimitand cereri foarte multe unui ser"er0 'e e)emplu se se poate face un +lood (inundare) cu pac*ete de desc*idere a cone)iunii ((MN)0 (istemul aloca resurse pentru fiecare cone)iune1 dar cone)iunile sunt abandonate desc*ise0 In scurt timp tabela de cone)iuni creste foarte mult1 la fiecare pac*et trebuind facute un numar de operatii proportional cu numarul de cone)iuni0 'aca al+oritmul de cautare nu este optimizat sistemul de operare poate sucomba in scurt timp0 In plus1 daca aplicatia-ser"er atacata desc*ide o instanta a sa pentru fiecare cone)iune1 "a umple foarte repede memoria disponibila0 In cazul in care numarul de conectari este limitat se poate prote2a incarcarea sistemului1 dar il face sa respin+a si cone)iuni "alide0 'aca atacul "ine de pe o IP-sursa fi) se poate pune o re+ula in fire%all care sa respin+a aceste pac*ete1 dar daca atacul "ine de pe mai multe surse (false) nu se poate face decat restrictionarea accesului de la un numar de IP-uri prestabilite0 In cazul unui ser"er %eb acest lucru ec*i"aleaza cu nefunctionarea sa0 'e obicei protectiile pentru atacuri 'o( sunt dificil de facut1 aceste atacuri umplu de obicei banda catre Internet a celui atacat1 facand-o impracticabila1 sin+ura sansa este identificarea atacatorului si reclamarea sa la pro"iderul sau0 'e obicei atacul se face de pe un ser"er care nu ii apartine1 pe care a obtinut acces prin mi2loace nele+ale1 deci proprietarul ser"erului poate fi atentionat sa ii in+radeasca accesul0 Totusi1 atacurile 'o( nu sunt e)trem de multe1 a"and in "edere ca se presupune ca trebuie sa e)iste o moti"atie1 o razbunare (se practica intre utilizatorii de c*at in momentul in care se cearta dintr-un oarecare moti")0 Pentru identificarea unui astfel de atac in Linu) se pot spiona pac*etele care "in din Internet pe interfata (8 tcpdump $i eth% $n"-& Pentru atacurile cu desc*idere de cone)iuni se poate "erifica si tabele cu cone)iuni desc*ise prin "netstat $na"& Atacurile de tip 8remote shell" sunt mai complicate1 dar consecintele lor sunt mai +ra"e0 (copul atacului este obtinerea pri"ile+iului de administrator pe un calculator1 deci accesul deplin la resursele acestuia0 Ca scop intermediar poate fi obtinerea unui cont de utilizator obisnuit1 urmand ca atacul sa continue 8din interior80 n astfel de acces se poate obtine fie prin autentificare cu un username/pass%ord "alide1 fie 8pacalind8 un ser"er care contine o +reseala de pro+ramare0 Primul caz este mai putin probabil1 el poate fi e"itat instruind utilizatorii sa nu instraineze parolele lor de acces si sa nu se conecteze 8din Internet8 printr-o metoda necriptata0 'e multe ori pe parcursul le+aturii se afla pro+rame care spioneaza cone)iunile si stoc*eaza parolele trimise in clar0 Este si cazul accesului la email prin P.P=0 'aca parola de autentificare la casuta postala este aceeasi cu a utilizatorului de pe ser"er1 parola poate fi folosita pentru accesul din e)terior0 . posibilitate de protectie este si limitarea accesului s*ell din e)teriorul retelei doar cu anumite surse0 . posibilitate mai speciala de interceptare a parolelor c*iar daca sunt cr&ptate printr-un al+oritm cu c*ei publice este ""an in the midle attack" 0 'aca nu se realizeaza la prima conectare insa1 clientul care se conecteaza criptat (de e)0 ssh) "a detecta sc*imbarea c*eii publice a ser"erului si "a afisa un a"ertisment0 Este posibil ca acest a"ertisment sa pro"ina din reinstalarea ser"erului ssh1 caz in care se poate ster+e inre+istrarea clientului din G &ssh*know)hostsG0 Accesul prin pacalirea unui pro+ram pare la prima "edere putin probabil1 dar practica a demonstat ca astfel de atacuri sunt cele mai periculoase0 7a2oritatea se bazeaza pe "bu++er over+low", adica trimiterea unor date peste capacitatea bufferului definit in pro+ram0 'aca nu e)ista o "erificare a datelor care se copiaza in buffer1 datele care sunt in plus sunt scrise in memorie (in sti"a pro+ram de e)emplu) peste o portiune de pro+ram e)ecutabil0 Cand e)ecutia pro+ramului a2un+e in acel loc1 pro+ramul e)ecuta acea instructiune (de e)emplu desc*iderea unei sesiuni shell)& Cum ma2oritatea ser"erelor ruleaza cu pri"ile+ii de administrator ( root)1 shell-ul obtinut "a a"ea si el pri"ile+ii absolute0 E)ista si alte posibilitati de pacalire1 dar dintre toate aceasta este cea mai folosita0 Ca protectie este ne"oie in primul rand ca "ersiunile de pro+ram sa fie cat mai noi1 bu+-urile descoperite se repara in noi "ersiuni1 la scurt timp dupa descoperire0 In plus1 cu cat e)ista mai putine ser"ere accesibil din Internet1 cu atat este mai mica probabilitatea sa e)iste unul 8atacabil80 n sistem fara nici un ser"iciu/ser"er ruland este e)trem de si+ur c*iar si fara fire%all1 din pacate este ne"oie sa e)iste anumite ser"icii lansate0 'aca accesul este necesar doar din reteaua locala (citire email prin P1P5) se poate pune un fire%all care sa nu permita accesul decat din reteaua locala0 'aca accesul se face si din e)terior (ser"er email care trebuie sa primeasca mesa2e) nu se poate face restrictionarea accesului1 trebuie a"ut +ri2a ca ser"erul in sine sa fie foarte si+ur1 e"entual se poate pune separat ser"iciul nesi+ur pe un alt calculator decat fire%all-ul1 asfel incat un posibil atac reusit impotri"a acestuia sa nu puna in pericol intrea+a retea0 Lo+-urile sunt de asemenea utile pentru detectarea incercarilor de intruziune1 unele din ele putand fi descoperite inainte sa reuseasca0 'e obicei hacker-ii stre+ lo+urile pentru a nu se descoperi sursa atacului1 deci o idee buna este e)portarea lo+urilor pe un ser"er fara acces din e)terior0 'upa securizarea ser"iciilor oferite1 fire%all-ul "ine ca o protectie suplimentara1 putand restrictiona accesul la diferite ser"icii de la anumite surse si face mai dificila instalarea de catre un *ac#-er care a spart sistemul a unui ser"er care sa-i permita sa patrunda in "iitor in sistem c*iar daca parolele se sc*imba si problema de securitate este rezol"ata0 El "a trebui sa modifice fire%all-ul astfel incat sa permita accesul la ser"erul sau1 ceea ce se poate obser"a mai usor0 -ire%all-ul este in principal o metoda de protectie a calculatoarelor din spatele sau1 care pot fi mai nesi+ure ca securitate (Aindo%s) sau care ruleaza ser"icii care nu sunt updatate la ultima "ersiune0 In plus1 e)istenta unor re+uli de 8'R.P8 a pac*etelor care nu sunt adresate ser"iciilor instalate poate face mai dificila scanarea tuturor porturilor in cautarea unuia mai putin securizat0 (canerul trebuie sa intuiasca dupa cat timp trebuie sa considere lipsa raspunsului ca lipsa a accesului la port1 in mod default sistemul da un feedbac# ne+ati" care da posibilitatea

pro+ramului de scanare sa treaca mai departe0 Ca re+ula1 cu cat se dau mai putine informatii in momentul in care accesul este restrictionat1 cu atat este mai bine0 'aca un pro+ram de conectare spune cand este userul ine)istent si cand este parola +resita1 un hack-er poate scana pana +aseste un user1 apoi poate incerca mai multe parole pentru aceste0 In cazul in care nu se specifica daca userul e)ista1 hack-erul trebuie sa incerce combinatii user/pass%ord1 deci comple)itatea spar+erii prin aceast metoda creste foarte mult0 (e recomanda si consultarea pe Internet a listelor de discutie pe care se publica bu+-uri noi descoperite care afecteaza securitatea ("ezi *ttp?//ms+s0securepoint0com/bu+traJ/ 1 *ttp?//%%%0securit&focus0com/ )0 Noutatile se pot primi automat prin email1 aceasta "arianta fiind foarte con"enabila0 Fire,all-ul in Linux In Linu) fire%all-ul este implementat printr-un sistem de 8 chain-uri80 E)ista trei chain-uri default? input, output si +orward0 Prin aceste c*ain-uri se considera ca trec pac*etele1 chain-urile continand suite de re+uli prin care pac*etul poate fi acceptat sau nu sa treaca prin acel c*ain0 In #ernel-ul :0:0) orice pac*et care "ine pe o interfata spre linu) trece prin c*ain-ul input0 .rice pac*et care pleaca pe o interfata trece prin c*ain-ul output0 In plus1 pac*etele care tranziteaza un router catre o alta destinatie trec prin c*ain-ul +orward0 In #ernelul :0>0) pac*etele care nu sunt destinate routerului sau care nu sunt ori+inate de router nu trec prin c*ainurile INP T si . TP T1 ci doar prin -.RAAR'0 (e obser"a faptul ca in #ernelul :0>0) c*ainurile au numele modificat in ma2uscula0 In ambele cazuri1 pac*etele trec prin c*ain-uri0 C*ain-urile contin o suita de perec*i re+ula-actiune si cate o re+ula default0 La inceput c*ain-urile nu au decat re+ula default care este ACCEPT1 deci toate pac*etele sunt acceptate0 In chain-uri se pot adau+a di"erse re+ului bazate pe informatii din *eaderul pac*etului (IP1 port1 etc) si interfata pe care a "enit/pleaca0 -iecare re+ula contine o conditie si o decizie pentru pac*etele care se potri"esc (8 +ac match") pe acea re+ula0 Re+ulile se parcur+ in ordine de catre fiecare pac*et1 in cazul in care un pac*et nu a 8facut matc*8 pe nici o re+ula1 i se aplica re+ula default0 'e e)emplu un fire%all care nu accepta nici o cone)iune TCP/IP "enita din Internet (pe interfata et*6) are o sin+ura linie? ipchains $I input $i eth% $p tcp $y $j /ND

'e fapt re+ula spune ca pentru pac*etele TCP care au bitul sMn (de cerere desc*idere cone)iune) setat sa se ia decizia de 'ENM (adica pac*etul se 'R.P-eaza)0 E)ista posibilitatea sa se trimita o a"ertizare despre filtrare sub forma unui IC7P 8admin filter8 inlocuind 'ENM cu RENECT0 Celelalte pac*ete (de e)emplu pac*etele (MN care pleaca in e)terior) nu "or face matc* pe aceasta re+ula si "or intra in re+ula default (ACCEPT)0 'aca dorim ca totusi de la adresa 34=0::50<:03 sa se poata face o conectare ss* (pe portul ::) catre masina locala (34=0::50<30<>) se "a insera (folosind 8-I8) o re+ula inaintea celei de mai sus? ipchains $I input $i eth% $p tcp $y $s 345&667&86&3 $d 345&667&83&89 66 -l -j A##/P, (e obser"a folosirea obtiunii "$l" prin care se face log-area *eaderului pac*etelor care fac matc* pe aceasta re+ula pentru urmarirea accesului0 Pac*etele de (MN cu sursa 345&667&86&3 si destinatia 34=0::50<30<> port :: "or face matc* pe aceasta re+ula si "or fi acceptate1 nemaifacand matc* pe urmatoarea re+ula care le-ar fi 'R.P-at0 Adau+area unei re+uli la sfarsitul sirului de re+uli se face inlocuind $I cu $A (append)0 Cu acest fire%all nu se poate incerca nici un atac TCP impotri"a ser"erului decat pe portul de ss* (::) de la adresa 34=0::50<:030 (er"erul "a continua insa sa raspunda la pin+ (pac*ete IC7P) si mai este totusi "ulnerabil la atacuri catre ser"icii bazate pe pac*ete 'P (nameser"ere1 portmap1 nfs)0 Pe cat posibil aceste ser"icii nu se "or starta sau "or fi prote2ate de fire%all0

Trebuie a"ut in "edere ca daca intr-un fire%all se da 'ENM la toate pac*etele care "in pe interfata din Internet1 atunci nu "or putea "eni nici pac*etele de rapuns la cererile din interior0 (olutia este deci sa se filtreze pac*etele (MN (dintr-o cone)iune sin+urul pac*et care are bitul (MN setat este pac*etul de desc*idere a cone)iunii)0 -iltrarea in cazul trebui stabilit de 'P-uri sunt necesare (de obicei doar acces 'N( pe portul <= al nameser"erelor)0 'P-urilor este mai comple)a1 ar

-ire%all-ul curent poate fi "izualizat cu 8 ipchains $> $n" sau cu "ipchains $> $n $v" (cu informatii suplimentare1 de e)emplu numarul de matc*-uri facute pe fiecare re+ula)0 -ire%all-ul se poate +oli cu comanda 8 ipchains -E80 Atentie1 un c*ain +ol nu "a permite trecerea pac*etelor daca are politica default 'ENM1 de aceea este recomandat ca in loc de sc*imbarea politicii default sa se appendeze la sfarsitul sirului de re+uli o re+ula de 'ENM pentru orice? ipchains $A input $j /ND

Cum s-a obser"at de2a1 in loc de ACCEPT1 'ENM1 RENECT pot e)ista si alte decizii mai speciale1 de a masJuarada cone)iunea (-2 7A(O) sau de a redirecta pac*etul spre un port local (-2 RE'IRECT BnumarLportC)0 7ai multe informatii despre confi+urarea fire%all-ului cu ipc*ains se pot afla din manualul sau ( "man ipchains"-0 Confi+urarea cu iptables este asemanatoare1 oferind in plus si alte facilitati0

PARTEA A 24UA - Re!re entare $ire,all -

Introducere .data cu aparitia Internet-ului care a interconectat retelele locale a numeroase firme si institutii1 problema securitatii datelor impotri"a accesului neautorizat a de"enit mult mai acuta0 Informatii e)trem de importante sunt e)puse acum nu numai accesului neautorizat din incinta institutiei1 ci si accesului din afara sa1 practic din orice colt al lumii0 n posibil atacator poate accesa date cu caracter strict secret1 poate modifica informatii e)trem de importante (sume de bani din conturi) sau pot distru+e informatii care e)ista intr-un sin+ur e)emplar0 El nu trebuie sa patrunda in incinta institutiei1 trebuie doar sa PpacaleascaQ sistemele de securitate ale P"ictimeiQ0 (istemele de securitate sunt "ariate1 cea mai cunoscuta fiind prote2area accesului cu username si parola0 Cel care doreste sa acceseze o anumita informatie trebuie sa-si introduca username-ul si o anumita parola1 altfel i se refuza accesul0 'e multe ori insa aceasta protectie nu este suficienta1 cine"a poate incerca mai multe parole1 a"and sanse sa o +*iceasca pe cea corecta0 (istemele "or considera de multe ori ca utilizatorul a tastat +resit sau a incurcat parola cu alta1 deci "a permite mai multe incercari0 E)ista si sisteme cu blocarea accesului acelui username in cazul in care parola este introdusa +resit de un numar de ori0 Totusi1 protectia tot nu este foarte si+ura1 parola poate intra in posesia unui rau"oitor din cauza ne+li2entei unui utilizator care a scris-o pe un carnetel si atacul poate fi lansat din oricare colt al Internet-ului1 fara a fi necesar accesul in incinta institutiei0 Parola poate fi interceptata si pe parcursul transmiterii ei prin medii care nu sunt sub 2urisdictia respecti"ei institutii1 in cazul in care accesul se face din afara retelei locale0 Te*nicile cr&pto+rafice moderne fac e)trem de dificila interceptarea unui parole1 dar nu imposibila0 Cu al+oritmii cunoscuti decriptarea ar dura ani sau zeci de ani1 dar pot apare al+oritmi mai performanti care sa reduca timpul de decriptare la limite de timp rezonabile1 astfel incat un atac sa fie posibil0 (e impune deci o solutie mai si+ura1 o protectie in plus0 nele institutii au ales ca unele zone din reteaua lor sa nu fie le+ata

de loc la Internet (de e)emplu bancile)0 Impreuna cu securitatea accesului in Institutie aceasta protectie este destul de eficienta0 Totusi1 unele institutii prin insasi natura acti"itatii lor au ne"oie sa fie conectate la Internet pentru a receptiona informatii sau c*iar pentru a oferii informatii in Internet (prezentarea produselor firmei cu preturile aferente de e)emplu)0 C*iar daca informatiile circula intr-un sin+ur sens1 nu se poate intrerupe transmiterea de informatii in celalalt sens1 deoarece comunicarea presupune e)istenta unui feed-bac# de la destinatar1 pentru a se retransmite e"entual portiuni de informatie distruse pe drumul dintre sursa si beneficiar0 (olutia ar fi deci supra"e+*erea informatiilor care se sc*imba intre reteaua locala si Internet1 astfel incat sa nu se accepte incercari de conectare cu sursa din afara institutiei sau sa se accepte doar din anumite puncte ale Internetului0 Accesul se poate restrictiona si diferentiat pe ser"icii1 de e)emplu pe un computer e)ista informatii publice accesibile prin sistemul FFF si informatii confidentiale accesibile prin E,P0 (e poate da accesul catre ser"icul FFF oricarui utilizator Internet1 dar accesul E,P sa fie permis doar din reteaua locala0 Aceasta limitare a accesului se poate face pe fiecare ser"iciu in parte sau +lobal1 la ni"elul sistemului de operare0 Implementarea la ni"elul sistemului de operare este mult mai eficienta1 datorita faptului ca este centralizata1 unitara si nu depinde de aplicatiile utilizate (aceste pot sau nu sa aibe sisteme de limitare a accesului)0 . astfel de protectie este asa-numitul Pfire%allQ (zid impotri"a raspandirii focului)0 El realizeaza o protectie la ni"elul unitatii fundamentale de transfer a informatiei H pac*etul0 Protocolul utilizat actualmente in Internet este IP!> (IP "ersiunea >)1 pac*etul IP fiind fiind unitatea informationala fundamentala0 El contine obli+atoriu destinatia (un numar reprezentat pe =: de biti care identifica unic destinatia in Internet) si sursa (numarul reprezentat pe =: de biti care identifica in Internet sursa)0 n fire%all ar putea deci sa nu permita primirea niciunui pac*et care are ca sursa un IP din afara listei de IP-uri care identifica calculatoarele utilizatorilor autorizati0 E)ista intr-ade"ar o mica posibilitate ca rau"oitorul sa pretinda ca are IP-ul unuia din calculatoarele autorizate1 dar actiunea cere ca el sa se afle pe traseul dintre calculatorul autorizat si tinta atacului1 altfel raspunsul la cerere ar a2un+e pe traseul normal la calculatorul care detine intr-ade"ar acel IP1 el neputand-ul intercepta0 In plus trebuie sa detina pri"ile+ii de adminstrator pentru a realiza aceasta actiune1 deci sfera de "ulnerabilitate se reduce simtitor0 Impreuna cu alte protectii (autentificare cu semnaturi cripto+rafice1 autentificare cu parola) se poate realiza o protectie eficienta a informatiilor importante ale institutiei0 Criteriile de acceptare ale pac*etelor pot fi combinate1 acceptarea se poate face prin testarea mai multor conditii precum ser"iul caruia i se adreseaza1 tipul pac*etului1 interfata fizica pe care a "enit pac*etul1 etc0 In plus1 fire%all-ul mai poate fi folosit pentru a restrictiona accesul utilizatorilor interni la anumite resurse din Internet1 fie pentru a utiliza eficient latimea de banda pe care o are la dispozitie institutia pentru a comunica cu Internetul1 fie pentru a limita accesul in timpul pro+ramului la informatii care nu tin de acti"itatea de productie ("izitare pa+ini web distracti"e1 chat-uri1 etc)0 Cum $unctionea a un $ire,all Pac5etul IP

n pac*et IP contine obli+atoriu IP-urile celor doi a+enti care comunica0 Alaturi de acestea el mai contine tipul de pac*et si pentru fiecare TIP informatii specifice respecti"ului TIP de pac*et0 Tipurile de pac*ete IP sunt G P1 ,#P1 I#"P& G P se foloseste pentru a realiza un canal nefiabil1 unde pierderea unui pac*et nu este foarte importanta dar intarzierea retransmiterii unui pac*et este suparatoare (ca in cazul transmiterii frame-urilor "ideo)0 Pac*etele ,#P se folosesc pentru realizarea de canale fiabile1 cu retransmiterea pac*etelor pierdute sau malformate0 Pac*etele I#"P se folosesc in +eneral pentru mana+ementul retelei si pentru transmiterea unor informatii despre e"enimente speciale in retea (e)? destinatia nu este accesibila)0 Informatiile proriu zise se transmit in pac*ete G P si ,#P0 Ambele contin un numar de Pport sursaQ si un numar de Pport destinatieQ0 n numar de port este un identificator al Pcapatului de cone)iuneQ pe un anumit calculator0 -iecare ser"iciu PasteaptaQ pe un anumit port1 pentru a fi accesat1 calculatorul client seteaza ca port destinatie acel numar de port0 Numarul de port sursa este folosit pentru a identifica clientul de pe masina care a initiat cone)iunea1 de e)emplu in cazul in care doua aplicatii acceseaza in paralel acelasi ser"iciu de pe un alt *ost0 Recapituland putem spune ca un canal de comunicatie in Internet este identificat unic in Internet de un c"adruplu format din IP sursa1 P.RT sursa1 IP destinatie1 P.RT destinatie0 IP-ul identifica *osturile care comunica1 numarul de P.RT identifica ser"iciul accesat in cazul ser"erului1 in cazul clientului P.RT-ul este ales dintr-un inter"al prestabilit1 astfel incat sa fie unic0 La aceste informatii se mai adau+a I'-ul interfetei pe care a "enit pac*etul (o masina fire%all standard are o interfata spre reteaua locala si una spre Internet)0 Pe baza acestor < informatii la care se mai adau+a cati"a biti precum bitul (MN sau bitii de T.( un fire%all ia decizia daca un pac*et este acceptat spre prelucrare sau este respins prin simpla i+norare sau prin emiterea unui pac*et I#"P de eroare0 'aca asociem pac*etelor I#"P un port sursa si un port destinatie comform cu tipul de mesa2 transmis si tinand seama ca un numar de P.RT este reprezentat pe 35 biti1 atunci pentru fiecare pac*et se ia in considerare =:K=:K35K35K;D36> biti0 Putem adau+a un octet (; biti) pentru bitii suplimentari1 deci 33: biti0 Concatenarea acestor informatii o "om numi proprietate a pac*etului0 (-a considerat I'-ul intrerfetei reprezentat pe ; biti0 A&stracti are $ire,all Abstractizand1 un fire%all este o partitionare in doua a multimii R613ST33:0 Prima multime este multimea proprietatilor cu care pac*etele se accepta1 cea de-a doua este complementarea ei in multimea proprietatilor posibile ale pac*etelor1 deci multimea de proprietati care sunt inacceptabile si care +enereaza respin+erea pac*etului0 Reformuland1 putem spune si ca fire%all-ul este o functie pe multimea de proprietati ale pac*etelor in multimea R613S (acceptat1 respins)0 (e pot utiliza insa si alte informatii din pac*et pentru a decide acceptarea sau nu a unui pac*et1 in cazul in care o proprietate este specifica unui anumit tip de pac*et1 pentru celelalte tipuri de pac*et se poate specifica o "aloare impliciata0 'aca consideram cazul +eneral al proprietatii pac*etului in n biti1 pentru a reprezenta un fire%all este suficient sa reprezentam multimea proprietatilor care conduc la acceptarea pac*etului0 (e pot proiecta fire%all-uri mai comple)e1 cu mai multe decizii (de e)emplu acceptare1 i+norare pac*et1 trimitere unei notificari de interzicere1 notificarea intr-un fisier lo+1 etc)1 codomeniul functiei fire%all fiind mai mare in acest caz (cardinalul ei este numarul de posibile decizii)0 Limitari cunoscute Caracteristicile de performanta ale unui al+oritm care sa rezol"e aceasta problema sunt? U U Comple)itatea computationala mica0 Trebuie sa poata prelucra cate"a mii de pac*ete pe secunda0 7emoria consumata sa nu fie foarte mare

Posi&ile re!re entari Cea mai simpla reprezentare a partitiei multimii : n in doua multimi este un sir de : n biti1 semnificatia bitului # fiind? A #D6 elementul care este reprezentarea binara a lui # apartine primei multimi1 respecti" A #D3 elementul care este reprezentarea binara a lui # apartine celei de-a doua multimi0 .peratiile care trebuiesc efectuate se fac e)trem de rapid0 !erificarea apartentei unui element la una din cele doua submultimi se face cu un sin+ur acces la memorie si selectarea unui bit din numarul care este stocat la acea locatie1 daca se considera ca timpul de acces la locatiile de memorie este acelasi oricare ar fi locatia (cum se intampla in sistemele de calcul obisnuite)1 aceasta reprezentare face are timpul de rulare per pac*et cel mai mic0 Adau+area sau ster+erea unui element este la fel de simpla1 constau in setarea/desetarea unui bit0 Problema acestui sistem este insa spatiul de memorie pe care il cere0 Este ne"oie de :n/;D:n-= ,&tes de memorie pentru acest tip de reprezentare1 spatiu de memorie consumat indiferent de partitia reprezentata0 Acest spatiu este spatiul minim in care se poate reprezenta orice partitie a multimii R61:S n 1 dar totusi1 pentru tipurile de partitii folosite in mod curent se pot +asi reprezentari care folosesc mult mai putina memorie1 desi anumite cazuri (care nu apar in practica) ar a"ea ne"oie c*iar de mai multa memorie 0 'aca ar fi sa facem o paralela cu teoria codurilor putem spune ca elementele elementele multimii R61:S n se pot codifica folosind cu"inte cod de lun+ime mai scurte pentru elementele mai des intalnite si cu"inte de cod mai lun+i pentru elemente care apar rar0 Trasand anumite limitari ale tipurilor de partitii pe care le "om reprezenta putem sa +arantam faptul ca pro+ramul se "a incadra intr-o anumita limita de memorie0 Re!re entarea cu masca Aceasta este reprezentare uzuala folosita in prezent0 (implificat consta intr-o serie de perec*i (a1m) a1m R61:S n unde a il "om numi sablon iar m se numeste masca0 -iecare perec*e defineste o submultime a multimii R61:S
n

astfel? elementul b este in

multimea definita de perec*ea (a1m) daca bVmDa (unde V defineste operatia de PsiQ lo+ic1 bit cu bit intre b si m)0 .rice submultime a

lui R61:S n se poate reprezenta ca o multime de astfel de perec*i1 multimea reprezentata fiind reuniunea multimilor reprezentate de respecti"ele perec*i0 Acest lucru se demonstreaza usor prin faptul ca e)ista o reprezentare pentru fiecare element PaQ al multimii R61:S n1 aceasta fiind (a1m) unde m are toti bitii 31 deci bVmDb si bVmDa aDb0 (e poate deci reprezenta orice submultime a lui R61:S n ca reuniune de astfel de reprezentari ale elementelor1 deci se poate reprezenta orice submultime1 deci orice partitie0 Pentru optimizare se asociaza o ordine acestor perec*i si cate un bit de asociere cu una dintre multimi0 Pentru a afla in care dintre submultimi se afla un anumit alement se parcur+ in ordine perec*ile1 bitul asociat primei perec*i care "erifica conditia bVmDa (se mai spune si ca Pface matc* cu perec*eaQ) indicand din care dintre multimi face parte elementul0 In cazul in care nici una din perec*i nu Pface matc*Q elementul testat1 elementul se considera a apartine uneia dintre multimi dinainte stabilite (numita Pmultime defaultQ) 0 Aceasta reprezentare este suficienta pentru a reprezenta orice partitie1 de e)emplu putem pune cate o re+ula care sa reprezinte fiecare element din prima multime (ale+em masca m ca sir de n biti P3Q) si care sa trimita prin bitul asociat la prima multime1 iar multimea default o ale+em sa fie cea de-a doua multime0 Este e"ident ca elementele din prima multime "or face matc* pe una dintre re+uli si "or fi recunoscute ca facand parte din prima multime iar cele din cea de-a doua multime "or fi identificate corect pentru ca a2un+ in multimea default0 Re!re entare $ire,all !rintr-un automat Putem reprezenta fire%all-ul printr-un automat1 in care alfabetul sa fie format din simbolurile R613S1 iar starile finale sa fie etic*etate cu indicele deciziei care se ia in cazul in care se a2un+e in acea stare pornind din starea initiala si urmand sirul de biti format de proprietatea unui pac*et0 .rice drum in acest automat nu trebuie sa fie mai mare decat numarul de biti din proprietate1 deci comple)itatea al+oritmului ar fi c*iar liniara cu numarul de pac*ete0 -aptul ca un astfel de automat e)ista este usor de demonstrat1 se poate creea de e)emplu ca un arbore complet cu n ni"ele (n fiind numarul de biti pe care se reprezinta proprietatea)0 Nodurile frunza "or fi stari finale1 etic*etate cu inde)ul deciziei care se ia pentru pac*et0 (e poate astfel reprezenta orice fire%all0 Totusi1 acest automat nu este cel minimal1 al+oritmi de minimizare e)istand de2a0 Pentru cazul obisnuit insa1 in care se dispune de o reprezentare cu masca1 se pot +asi si al+oritmi mai simpli pentru minimizare (se presupune ca un fire%all care se doreste optimizat este destul de comple)1 deci un al+oritm standard ar folosi multa memorie si ar a"ea o comple)itate computationala destul de mare0 Automat $ire,all minimal 7ai intai "om rela)a putin cerinta1 cerand ca automatul sa fie minimal doar in multimea automatelor care au toate starile finale la distanta n de punctul de start0 !or e)ista deci nK3 ni"ele de noduri1 pe ultimul ni"el fiind starile finale0 Numarul starilor finale "a fi #Dnumarul de decizii pe care le poate lua fire%all-ul0 Cu"intele-proprietati cu care nu se a2un+e intr-o stare finala (la un moment dat nu e)ista tranzitie din starea in care s-a a2uns cu simbolul curent) se considera clasificate in re+ula default0 Este e"ident ca un astfel de automat e)ista1 se poate face arborele complet in care starile finale cu aceeasi etic*eta se reduc1 aceasta fiind si ideea minimizarii in cazul automatului clasic0 Acelasi al+oritm se bazeaza si pe reducerea starilor ec*i"alente1 al+oritmul clasic are insa comple)itate computationala prea mare0 !om considera cazul in care e)ista un automat minimal de acest tip (de e)emplu automatul cu o sin+ura stare1 cea de start)0 La adau+area fiecarei re+uli automatul trebuie mentinut minimal0 . re+ula este si ea un caz particular de automat0 Acest automat se contruieste printr-un sir de nK3 stari ordonate1 intre fiecare doua stari consecuti"e putand e)ista o tranzitie cu litera corespunzatoare din sablon (a) in cazul in care simbolul din masca este 3 si poate contine : tranzitii1 cu 6 si 31 in cazul in care simbolul corespunzator din masca este 30 Con"entia este ca bitul de pe pozitia 2 corespunde cu perec*ea de stari consecuti"e (212K3)0 In acest fel adau+area unei re+uli reprezinta de fapt o suma de automate1 dar o suma mai speciale1 cu urmatoarele proprietati (consideram automatele A3 si A: care se insumeaza in automatul A3KCA: si functia fire%all -(A1%)D))0 U U -(A31%)D) DC -(A3KCA:1%)D) -(A31%)D1 -(A:1 %)D& DC -(A3KCA:1%)D&

'eci in cazul in careprimul automat dadea de2a un "erdict neimplicit (prin re+ula default) pentru pac*et1 atunci automatul rezultat "a da acelas rezultat0 In caz contrar1 daca in al doilea automat e)ista un "erdict pentru pac*et1 acesta "a fi "erdictul dat de automatul final0 In cazul in care nici in acesta nu e)ista dat un "erdict1 se "a da "erdictul dat de re+ula default (cu"antul nu "a fi acceptat de automat)0 Comform teoriei automatelor1 minimizarea se face ec*i"aland starile cu acelasi comportament0 In acest caz1 starile cu acelas comportament pot fi doar pe acelasi ni"el1 ele putand fi ec*i"alate de 2os in sus0 n automat minimal are starile finale ec*i"alente1 in acest caz fiind ec*i"alente starile finale cu aceeasi etic*eta0 . proprietate speciala a unor astfel de automate minimale este ca orice nod-stare nu are decat ma)im un predecesor care il are ca sin+ur succesor1 pentru fiecare din combinatiile de arce posibile (R6S1 R3S1 R613S)0 In caz contrar1 doua astfel de stari ar a"ea acelasicomportament1 deci automatul n-ar mai fi minimal0 Importanta acestui fapt rezida in faptul ca in al+oritmul de insumare se "a porni Pde 2os in susQ prin ec*i"alarea starilor cu acelas comportament0 In automatul al doilea pentru orice stare nu e)ista predecesori care sa aiba mai multi succesori1 deci incepand ec*i"alarea automatelor cu starile finale1 starea de pe ni"elul m din al doilea automat "a putea ec*i"ala cu o stare din primul automat daca si numai daca ele sunt pe acelasi ni"el m si au ca unic succesor cu aceeasi confi+uratie de arce o stare care a fost obtinuta prin ec*i"alarea a doua stari pe ni"elul mK30 Pentru fiecare stare din automatul care se construieste com memora acei unici predecesori pentru fiecare confi+uratie de arce posibila (R6S1 R3S1 R613S)0 Acest lucru "a scade mult din comple)itatea al+oritmului1 nemaifiind

ne"oie sa se "erifice proprietatea la toti predecesorii starii respecti"e0 'upa aceasta ec*i"alare a starilor1 e)ista doua posibilitati0 'aca s-a a2uns cu ec*i"alarea starilor pana la starea initiala ( inseamna ca automatul care se adau+a este continut in primul automat1 nu recunoaste alte cu"inte1 deci automatul ramane in mod corect nemodificat0 'aca nu s-a a2uns la ec*i"alarea starilor initiale trebuie ca automatul sa fie facut determinist1 cu o sin+ura stare initiala0 Aceasta se "a face PmulandQ al doilea automat peste primul0 (e "a incepe cu cele doua radacini0 Automatul al doilea are unul sau doua arce0 'aca are unul sin+ur1 e)ista doua posibilitati? sa e)iste acest arc in primul automat1 caz in care se trece la identificarea succesorilor pe ramura cu acel simbol sau sa nu e)iste arcul corespunzator1 caz in care se adau+a in primul automat portiunea pana care urmeaza (in 2os) pana la starea care a fost ec*i"alat cu una din automatul mare0 In cazul in care e)ista doua arce catre succesor in al doilea automat1 se "a "erifica daca si in primul automat e)ista un succesor dublu (si cu R6S1 si cu R3S - ca in al doilea)1 caz in care se "or identifica succesorii dublii si se "a mer+e mai departe cu succesorii lor0 In caz contrar se "or identifica succesorul stan+ (R6S) al celui de-al doilea arbore cu cel corespunzator al primului si succesorul drept (R3S) al celui de-al doilea cu cel corespunzator din primul1 dupa acelasi al+oritm0 (uccesorul se "a duplica deci1 fara insa a fi ne"oie de duplicarea fizica1 bucati din acest subautomat "or apare e"entual pe ambele ramuri din primul automat0 In cazul in care una din ramuri nu e)ista in primul automat1 se foloseste re+ula de mai sus (prin copierea ramurii respecti"e din al doilea automat pana la starea care este ec*i"alenta cu o stare din primul automat0 Comple)itatea acestei parti a al+oritmului poate creste teoretic1 dar practic probabilitatea sa e)iste o splitare a celui de-al doilea automat este mica1 ea crescand liniar cu numarul de noduri cu doi succesori distincti1 numar care creste lo+aritmic cu numarul de noduri0 Acest al+oritm (sau "arianta a sa usor modificata) se poate implementa in sistemul de fire%all1 rezultand un consum de calcul mult mai mic pentru cazuri in care fire%all-ul este foarte mare0 Pe de alta parte se poate folosi peste implementarea e)istenta1 creand un sistem +enerand offline o reprezentare de acest tip a fire%all-ului1 si con"ertind-o apoi la o forma clasica1 dar simuland prin multiple c*ain-uri referite imbricat aceasta structura0 PARTEA A TREIA - Protocolul TCP#IP Protocolul IP .Internet Protocol/ n loc potri"it pentru a porni studiul ni"elului retea in Internet este insusi formatul data+ramelor IP0 . dia+rama IP consta intr-o parte de antet si una de te)t(informatie)0 Antetul consta dintr-o parte de lun+ime fi)a (:6 octeti) si una (optionala) de lun+ime "ariabila0 Campurile antetului sunt transmise in formatul big endian (cel mai semnificati" primul)0 Procesorul (PARC este de tip big endian1 dar Pentiumul este de tip litle endian1 deci el trebuie sa faca o con"ersie a campurilor atat la trimitere cat si la receptie0 Asezarea campurilor in antet este urmatoarea? =: biti

!ersiune Identificare Timp de "iata Adresa sursei Adresa destinatiei Portiune optionala

I@L p ser"iciu

Ti

Lun+ime totala '7 'eplasamentul fra+mentului

Protocol

(uma de control a antetului

(zero sau mai multe cu"inte de =: de biti)

Campul P!ersiuneQ memoreaza carei "ersiuni de protocol ii apartine dada+rama0 Prin includerea unui camp "ersiune in fiecare data+rama1 de"ine posibil ca tranzitia dintre "ersiuni sa tina luni1 poate c*iar ani1 cu unele masini ruland "ec*ea "ersiune1 si altele noua "ersiune0 'in moment ce lun+imea antetului nu este constanta1 un camp din antet1 I@L1 este pus la dispozitie pentru a spune cat de lun+ este antetul1 in cu"inte de =: de biti0 !aloarea minima este <1 care se foloseste atunci cand nu e)ista opiuni0 !aloarea ma)ima a acestui camp pe > biti este 3<1 ceea ce limiteaza antetul la 56 de octeti1 si astfel campul de optiuni la >6 de octeti0 Pentru unele optiuni (de e)emplu cea care inre+istreaza calea pe care a mers un pac*et)1 >6 de octeti sunt prea putini1 facand aceasta optiune nefolositoare0 Campul tip serviciu permite +azdei sa comunice subretelei ce tip de ser"iciu doreste0 (unt posibile diferite combinatii de fiabilitate si "iteza0 Pentru "ocea di+itizata li"rarea rapida are prioritate fata de transmisia corecta0 Pentru transferul de fisiere1 transmisia fara erori este mai importanata decat transmisia rapida0 Campul insusi contine (de la stan+a la dreapta)1 un camp de = biti Precedenta1 trei indicatori (fla+s)1 '1 T si R1 plus : biti nefolositi0 Campul Precedenta este o prioritate (de la 6 - normal pana la F - pac*et de control al retelei)0 Cei trei biti indicatori permit +azdei sa specifice ce o afecteaza mai mult din multimea R'ela& (Intarziere)1 Trou+*put (Producti"itatea)1 Reliabilit& (-iabilitate)S0 In teorie1 aceste campuri permit ruterelor sa ia decizii intre1 de e)emplu o le+atura prin satelit cu o producti"itate mare si o intarziere mare si o linie dedicata cu producti"itate mica dar si cu intarziere scazuta0 In practica1 ruterele curente i+nora campul ,ip serviciu

>ungimea totala include totul din deta+rama (inclusi" antetul)0 Lun+imea ma)ima este de 5<<=< octeti0 In prezent1 aceasta limita superioara este tolerabila1 dar in "iitoarele retele cu capacitati de ordinul +i+aoctetilor "or fi necesare deta+rame mai mari0 Campul Identi+icare este necesar pentru a permite +azdei destinatie sa determine carei data+rame apartine un nou pac*et primit0 Toate fra+mentele unei data+rame contin aceeasi "aloare de identificare0 rmeaza un bit nefolosit si apoi doua campuri de 3 bit0 '- "ine de la P'onWt fra+mentQ - A nu se fra+menta0 Acesta este un ordin dat ruterelor sa nu fra+menteze data+rama1 pentru ca destinatia nu este capabila sa le asambleze la loc0 'e e)emplu1 cand un calculator porneste1 memoria sa R.7 poate cere sa i se trimita o ima+ine de memorie ca o sin+ura data+rama0 Prin marcarea data+ramei cu bitul '-1 emitatorul stie ca acesta "a a2un+e intr-o sin+ura bucata1 c*iar daca aceasta inseamna ca data+rama "a trebui sa e"ite o retea cu pac*ete mai mici1 dar mai rapida1 pentru o ruta suboptimala0 Este necesar ca toate masinile sa accepte pac*ete de <F5 octeti sau mai mici0 "E "ine de la 7ore -ra+ments (fra+mente aditionale)0 Toate fra+mentele1 cu e)ceptia ultimului1 au acest bit acti"at0 El este necesar pentru a a stii cand au a2uns toate fra+mentele unei data+rame0 eplasamentul +ragmentulu spune unde este locul fra+mentului curent in cadrul data+ramei0 Toate fra+mentele dintrdata+rama1 cu e)ceptia ultimului1 trebuie sa aibe lun+imea multiplu de ; octeti - unitatea de fra+mentare elementara0 'in moment ce sunt pre"azuti 3= biti1 e)ista un ma)im de ;34: de fra+mente de data+rama1 obtinandu-se o lun+ime ma)ima a data+ramei de 5<<=5 octeti1 cu unul mai mult decat campul >ungime totala0 Campul ,imp de viata este un contor folosit pentru a limita durata de "iata a pac*etelor0 Este pre"azut sa contorizeze timpul in secunde1 permitand un timp ma)im de "iata de :<< secunde0 El trebuie sa fie decrementat la fiecare salt (*op - trecerea dintr-o retea in alta) si se presupune ca este decrementat de mai multe ori cand sta la coada mai mult timp intr-un ruter0 In practica1 el contorizeaza doar salturile0 Cand contorul a2un+e la zero1 pac*etul este eliminat1 trimitandu-se sursei un a"ertisment0 Aceasta facilitate pre"ine *oinareala la nesfarsit a pac*etelor prin Internet1 ceea ce se poate intampla daca tabelele de diri2are sunt incoerente0 Cand ni"elul retea a asamblat o data +rama completa1 are ne"oie sa stie ce sa faca cu ea0 Campul Protocol spune carui proces de transport trebuie sa-l predea0 TCP este o posibilitate1 dar tot asa sunt si +lobala pe intre+ul Internet si este definita in R-C 3F660 !uma de control a antetului "erifica numai antetul0 . astfel de suma de control este utila pentru detectarea erorilor +enerate de locatii de memorie proaste in interiorul unui ruter0 Al+oritmul este de a aduna toate 2umatatile de cu"inte1 de 35 biti1 atunci cand acestea sosesc1 folosind aritmetica in complement fata de unu si pastrarea complementului fata de unu al rezultatului0 Pentru scopul acestui al+oritm1 suma de control a antetului este presupusa a fi zero dupa sosire0 Acest al+oritm este mai robust decat folosirea adunarii normale0 .bser"ati ca suma de control a antetului trebuie recalculata la fiecare salt1 pentru ca cel putin un camp se sc*imba intotdeauna (campul timp de "iata)1 dar se pot folosi trucuri pentru a accelera calculul0 Adresa sursei si Adresa destinatiei specifica numarul se retea si numarul de +azda0 Adresele Internet se "or discuta intr-o sectiune ulterioara0 Campul 1ptiuni a fost proiectat pentru a oferi un subterfu+iu care sa permita "ersiunilor "iitoare ale protocolului sa includa informatii care nu sunt prezente in protocolul ori+inal1 pentru a permite cercetatorilor sa incerce noi idei1 si pentru a e"ita alocare unui numar de biti rar folositi0 .ptiunile sunt de lun+ime "ariabila0 -iecare incepe cu un cod de un octet1 care identifica optiunea0 nele optiuni sunt urmate de un camp de un octet reprezentand lun+imea optiunii1 urmat de unul sau mai multi octeti de date0 Campul 1ptiuni este completate pana la un multiplu de > octeti0 In aceste moment sunt definite cinci optiuni1 care sunt listate mai 2os1 dar nu toate ruterele le suporta pe toate0 'P si alte cate"a0 Numerotarea protocoalelor este

4!tiune (ecuritate 'iri2area stricta pe baza sursei 'iri2area apro)imati"a pe baza sursei Inre+istreaza calea Amprenta de timp

2escriere 7entioneaza cat de secreta este data+rama Indica calea completa de parcurs Indica o lista a ruterelor ce nu trebuie sarite -iecare ruter trebuie sa-si adau+e adresa IP -iecare ruter sa-si adau+e adresa si o amprenta de timp

.ptiunea !ecuritate mentioneaza cat de secreta este informatia0 In teorie1 un ruter militar poate folosi acest camp pentru a mentiona ca nu se doreste o diri2are prin anumite tari pe care militarii le cansidera rau"oitoare0 In practica1 toate ruterele il i+nora1 deci sin+ura PfunctieQ practica este sa a2ute spionii sa +aseasca lucrurile de calitate0da calea competa de la sursa la destinatie ca o succesiune de adrese IP0 .ptiunea reteaua0 .ptiunea alta natura0 irijarea apro.imativa pe ba=a sursei face posibila ocolirea anumitor re+iuni +eo+rafice din moti"e politice sau de irijarea stricta pe ba=a sursei H 'ata+rama este obli+ata sa urmeze aceasta cale precisa0 Ea este deosebit de utila pentru administratorii de sistem pentru a transmite pac*ete cand tabelele de diri2are sunt distruse1 sau pentru a depana/confi+ura

.ptiunea Inregistrea=a calea indica ruterelor de pe cale sa-si adau+e adresele lor IP la campul optiune0 Aceasta permite administratorilor de sistem sa localizeze pene in al+oritmii de diri2are0 Cand reteaua ARPANET a fost infiintata1 nici un pac*et nu trecea "reodata prin mai mult de noua rutere1 deci >6 de octeti erau suficienti0 Cum s-a mai spus1 in prezent dimensiunea este prea mica0 .ptiunea Amprenta de timp este similara cu optiunea Inregistrea=a ruta1 cu e)ceptia faptului ca in plus fata de inre+istrarea adresei de =: biti se adau+a si o amprenta de timp de =: biti0 (i aceast aoptiune este folosita tot pentru depanarea al+oritmilor de diri2are0 Adrese IP -iecare +azda si ruter din Internet are o adresa IP1 care codifica adresa sa de retea si de +azda0 Combinatia este unica? nu e)ista doua masini in Internet cu acelasi IP0 Toate adresele IP sunt de =: de biti lun+ime1 si sunt folosite in campurile Adresa sursa si Adresa destinatie ale pac*etelor IP0 7asinile care sunt conectate la mai multe retele au adrese diferite in fiecare retea0 -ormatele folosite pentru adresele IP sunt urmatoarele ? =: biti

6 36 336 3336 33336

Retea Retea Retea

$azda $azda $azda Adresa de trimitere multipla Rezer"at pentru folosire "iitoare

In functie de antetul adresei (61 361 3361 33361 33336) adrese se impart respecti" in adrese de clasa A1 ,1 C1 '1 E0 -ormatele de clasa A1 ,1 C si ' permit pana la 3:5 retele cu 35 milioane de +azde fiecare1 350=;: retele cu pana la 5>0666 +azde fiecare1 : milioane de retele cu pana la :<> +azde fiecare (de e)emplu LAN-uri) si multicast (trimitere multipla)0Xeci de mii de retele sunt conectate acum la Internet1 si numarul se dubleaza in fiecare an0 Numerele de retea sunt atribuite de NIC .Net,or* In$ormation Center/ pentru a e"ita conflictele0 Adresele IP1 care sunt numere de =: de biti1 sunt scrise in mod uzual in notatie zecimala cu punct0 In aceste format1 fiecare dintre cei > octeti este scris in zecimal1 rezultand "alori intre 6 si :<<0 'e e)emplu1 adresa *e)azecimala C6:4653> este scrisa ca 34:0>3050:60 Cea mai mica adresa IP este 6060606 si cea mai mare este :<<0:<<0:<<0:<<0 !alorile 6 si -3 au semnificatii speciale0 !aloarea 6 reprezinta reteaua curenta sau +azda curenta0 !aloarea -3 este folosita ca o adresa de difuzare pentru a desemna toate +azdele din reteaua indicata0 Adresa IP 6060606 este folosita de +azde atunci cand sunt pornite1 dar nu mai este folosita ulterior0 Adresele IP cu 6 ca numar de retea se folosesc pentru a referi reteaua curenta0 Astfel1 o masina se poate referi la propria retea fara a cunoaste numarul acesteia (ea trebuie insa sa cunoasca clas aretelei1 pentru a stii cate zerouri sa includa)0 Adresel care contin numai 3-uri sunt folosite pentru a difuza in reteaua curenta (de obicei este "orba de un LAN)0 Adresele cu numar de retea e)act si cu numar de +azda format numai din 3-uri se folosesc pentru a trmite pac*ete tuturor +azdelor de la o anumita adresa de retea0 In final1 adresele 3:F0))0&&0zz sunt rezer"ate pentru testari in bucla locala (loopbac#)0 Pac*etele trimise catre aceasta adresa nu sunt trimise prin cabluY ele sunt prelucrate total si tratate ca pac*ete sosite0 Aceasta permite ca pac*etele sa fie trimise propriei +azde1 fara ca emitatorul sa-i cunosaca adresa0