Sunteți pe pagina 1din 39

Soluia Linux de conectare la Internet

CUPRINS
PARTEA I (Conectarea unui LAN la Internet) Cazul clasic al conectrii la Internet Conceptul de Internet Cum funcioneaz Internet-ul Conectarea la Internet printr-un ca!lu "TP Ca!lul "TP #iteza de transfer Informaii $itale pentru conectarea la Internet Adresa IP Netmas% Adresa de !roadcast &ate'a( )N* Testarea cone+iunii Conectarea mai multor calculatoare la Internet Instalarea Linu+-ului C,te ce$a despre -ard-dis%-uri Confi.urri la Instalarea Linu+-ului Comenzi lo'-le$el de confi.urare reea Ifconfi. Route *tudiu de caz Recompilarea %ernel-ului /ootare forat )e unde se o!in adresele IP routa!ile )omenii )N* *er$erul de email Pro+( *ecuritate 0ire'all-ul 1n Linu+ PARTEA A )2"A (Reprezentare 0ire'all) Introducere Cum funcioneaz un fire'all Pac-etul IP A!stractizare fire'all Limitri cunoscute Posi!ile reprezentri Reprezentarea cu masc Reprezentare fire'all printr-un automat Automat fire'all minimal PARTEA A TREIA (Protocolul TCP3IP) Protocolul IP (Internet Protocol) Adrese IP /i!lio.rafie 1

PARTEA NTI

- Conectarea unui LAN la Internet Cazul clasic al conectrii la Internet


Pentru ca un calculator s fie conectat la Internet tre!uie 1nt,i s e+iste o le.tur fizic 1ntre acesta 4i un nod al acestei reele Internet5 Le.tura poate fi realizat prin fire de cupru (ca!lu /NC6 "TP)6 fi!r optica6 unde radio6 etc5 )e o!icei administratorul nodului de7a conectat la Internet (Internet *er$ice Pro$iderul de e+emplu) furnizeaz un IP noului -ost conectat5

Conce tul de Internet


8n momentul 1n care o firm3instituie a 1nceput s acumuleze dispoziti$e de calcul6 a aprut 4i pro!lema transmiterii de date 1ntre acestea 4i utilizarea unor informaii 1n comun5 Transmiterea prin manipularea dispoziti$elor de stocare (disc%ete6 -ard-dis%-uri6 !enzi ma.netice) s-a do$edit ineficient pentru accesri de date 1n timp real sau pentru transmiteri frec$ente de fi4iere mici (cum ar fi transportul pe disc%et a fi4ierelor p,n la calculatorul la care este conectat imprimanta)5 Aceast ne$oie a fost rezol$at interconect,nd calculatoarele (4i alte dispoziti$e de calcul care au putut fi adaptate precum imprimante de reea6 etc) prin le.turi fizice permanente6 prin fire de cupru6 fi!re optice sau c-iar prin infraro4ii 4i unde radio5 8n scurt timp 1ns a aprut 4i pro!lema comunicrii de date 1ntre filiale ale aceleea4i firme din zone .eo.rafice diferite6 a4a c aceste reele (net-uri) au fost inter-conectate (la 1nceput prin linii telefonice 1nc-iriate)5 Astfel s-au format internet-urile (inter-reele)5 La un moment dat (prin anul 9:;<)6 =inisterul Aprrii din *"A a dorit s interconecteze !azele sale militare 1ntr-o inter-reea care s fie capa!il s continue s funcioneze c-iar 1n cazul 1n care unele puncte ale marii reele ar fi distruse5 A4a a aprut o inter-reea numit ARPANET (ARPA ! "Advanced Research Projects Agency" se numea instituia .u$ernamental care a coordonat 4i finanat proiectul)5 E+perimentele fcute cu aceast reea au dus la concluzia c tre!uie dez$oltat un protocol nou6 special conceput pentru o astfel de ar-itectur de reea5 Astfel a aprut protocolul TCP"IP6 special conceput pentru a lucra pe o reea de 1ntindere foarte mare6 pe o inter-reea5 ARPA a semnat un contract de finanare cu >"ni$ersit( of California din /er%ele(> pentru a implementa acest protocol 1n sistemul de operare "NI?6 ceea ce a dus la dez$oltarea unei interfee fle+i!ile prin care pro.ramele pot comunica 1ntre ele prin reea numita >soc%et> (soclu)5 8n cursul dez$oltrii 2

protocolului au fost interconectate reelele mai multor uni$ersiti6 rezult,nd o reea cu apro+imati$ @<< de noduri5 8n anul 9:A< poriunea militar, a fost dat in e+ploatare (4i izolat de restul reelei)6 dar cele apro+imati$ 9;< de noduri rmase au funcionat 1n continuare6 noi 4i noi reele fiind interesate s se conecteze la aceast mare inter-reea5 C,nd aceast inter-reea a de$enit at,t de mare 1nc,t lumea a con4tientizat-o ca Interreeaua (cu I mare)6 a aprut 4i conceptul de Internet (cu I mare)5

Cu# $uncioneaz Internet-ul %


Internetul este o reea care interconecteaz calculatoare din intrea.a lume6 fc,nd posi!il sc-im!ul de informaii de orice tip 1ntre oricare dou calculatoare din aceast reea5 Protocolul de comunicare 1n aceast reea se nume4te IP (Internet Protocol) 4i asi.ur transmiterea de data.rame (numite pac-ete IP) 1ntre oricare dou puncte ale reelei5 Aceste pac-ete au lun.ime limitat (uzual 9B<< !(tes)6 mesa7ele mai mari transmi,ndu-se 1n cadrul mai multor pac-ete5 8n fiecare pac-et e+ist specificate sursa 4i destinaia mesa7ului5 0iecare calculator care particip la Internet are un identificator unic (un numr pe C@ de !ii) prin care el poate fi referit de ctre alt calculator din Internet5 Acest numr se nume4te >adresa IP>6 sau mai simplu >IP> 4i este reprezentat 1n .eneral ca D .rupe de ctre A !ii scrise 1n !aza zece6 mai e+act ca D numere 1n inter$alul <-@BB separate cu punct (>5>) 6 de e+empluE >9:C5@@;5B95BD>5 "n calculator poate a$ea mai multe adrese IP dar un calculator fr IP nu poate comunica 1n Internet5 Alturi de calculatoare e+ist 4i alte ec-ipamente care pot comunica 1n Internet (imprimante special concepute6 routere dedicate6 s'itc--uri6 etc)5 Participant la Internet este orice a.ent care are asi.nat o adres IP 4i poate sc-im!a mesa7e cu ceilali paticipani prin protocolul IP5 Protocolul IP asi.ur transmiterea de mesa7e scurte 1ntre oricare dou puncte ale Internetului6 dar responsa!ilitatea lui este doar s controleze traseul pe care tre!uie s-l urmeze pac-etul spre destinaie prin multiplele noduri ale reelei5 8n responsa!ilitatea sa nu intr controlul pac-etelor pierdute si nu .aranteaz c pac-etele a7un. 1n ordinea 1n care au fost trimise5 El nu face dec,t s transporte pac-ete de informaii de la un -ost la altul6 de la un IP la altul6 pac-etul conin,nd doar IP-ul sursa6 IP-ul destinaie si c,te$a informaii de control cum ar fi $ersiunea protocolului6 dac pentru pac-et este mai important s a7un. rapid la destinaie sau este mai important s a7un.6 c-iar dac cu intarziere6 etc5 Pe parcursul drumului de la surs la destinaie6 pac-etul poate trece prin se.mente de reea care au un ma+im al lun.imii pac-etului mai mic dec,t cel al sursei6 ceea ce face necesar fra.mentarea pac-etului 4i ata4area fiecrui fra.ment un I) 4i un numr de ordine6 un pac-et IP conine deci 4i aceste c,mpuri5 3

Pentru unele aplicaii (de e+emplu transmiterea frame-uri $ideo) acest sistem este destul de accepta!il6 pierderea unui frame nu este o pro!lem6 retransmiterea ar fi c-iar inutil5 Pentru transferul de fi4iere 1ns pierderea unui pac-et sau primirea 1n alt ordine a pac-etelor este c-iar o pro!lem5 Astfel a aprut necesitatea diferenierii de clase de ser$icii6 ser$icii nefia!ile6 orientate pe data.rame care nu asi.ur retransmiterea pac-etelor pierdute 4i reordonarea lor 4i ser$icii fia!ile6 orientate pe cone+iune6 1n care se face automat retransmiterea pac-etelor piedute6 ordonarea la destinaie 4i c-iar controlul con.estiei5 Pentru aceste scopuri au fost create protocoale de comunicare >peste> acest protocol6 mai e+act a fost rezer$at 1n antetul pac-etului IP un c,mp >tip de pac-et> iar 1n funcie de acest c,mp informaia din pac-etul IP este interpretat in mod diferit 4i este tratat de protocoale diferite5 Cele mai cunoscute tipuri de pac-ete IP sunt pac-etele TCP6 ")P si IC=P5 Protocolul ")P ("ser )ata.ram Protocol) este un protocol simplu dar nesi.ur6 aplicaiile care 1l folosesc tre!uie s-4i implementeze sin.ure metode de detectare a pac-etelor pierdute 4i de retransmitere a lor5 Protocolul TCP este un protocol comple+6 asi.ur,nd iniierea de cone+iuni fia!ile6 cu retransmitere de pac-ete6 reordonare 4i controlul con.estiei5 Pac-etele IC=P (Internet Control =esa.e Protocol) se folosesc pentru depanarea reelei (pin.) 4i pentru transmiterea de informaii despre e$enimente speciale pe parcursul traseului unui pac-et (de e+emplu pac-etul a trecut prin mai multe routere dec,t ma+imul specificat 1n pac-et)5 Recapitul,nd 6 e+ist pac-etele IP care au ca definitorii IP-ul surs si IP-ul destinaie5 Printre tipurile de pac-ete IP cele mai cunoscute sunt ")P6 TCP6 IC=P si ARP (ultimul mai puin cunoscut pentru ca nu este folosit de aplicaii ci de ctre sistemele de operare)5 Pentru a identifica 4i diferenia -osturile e+ist adresele IP5 Pentru a diferenia 1n cadrul aceluia4i -ost di$ersele aplicaii care comunic 1n reea e+ist numrul de port6 care este un numr pe 9; !ii6 deci 1ntre < si ;BBCB5 2 comunicaie 1n reea se face 1ntre dou perec-i IP surs F P2RT surs 4i IP destinaie F P2RT destinaie5 Comunicaia poate fi nefia!il (la ni$el de pac-et prin ")P) sau fia!il (la ni$el de cone+iune prin TCP)5

Conectarea la Internet rintr-un ca&lu UTP


*ituaia tipic de le.tur permanent la Internet este facut printr-o cone+iune et-ernet6 p,n la un router le.at la r,ndul su la Internet5 Le.tura et-ernet se poate realiza prin mai multe tipuri de ca!luri6 cel mai folosit fiind 1ns ca!lul "TP5

Ca&lul UTP conine D perec-i de fire de cupru izolate si torsadate (rasucite)6 prinse 1ntr-un 1n$eli4 izolator5 8n fiecare perec-e e+ist un fir colorat 1ntr-una din culorile portocaliu, verde, albastru, maro, perec-ea lui a$,nd aceea4i culoare6 dar 1ntrerupt de poriuni al!e5 )e fapt pentru et-ernet se folosesc doar dou perec-i6 una >dus> 4i una >1ntors>5 Ca!lurile "TP se termin cu mufe care au aspectul mufelor telefonice6 dar sunt mai late6 tre!uind s cuprind A fire (fat de D la mufele telefonice)5 Ca!lul se prinde 1n mufe prin >sertizare> cu un cle4te special care 1nfi.e lamele metalice ale mufei prin 1n$eli4ul izolator al fiecrui fir5 Pri$ind mufa cu lamela de prindere 1n spate 4i cu lamelele metalice 1n sus6 firele folosite la et-ernet sunt 9-@ si C-;5 Pe aceste poziii tre!uiesc s fie sertizate fire perec-i6 uzual portocaliu si $erde5 Pentru a interconecta dou calculatoare ca!lul tre!uie sertizat astfel 1nc,t perec-ea de fire care este pe poziia 9-@ la un capt s corespund perec-ii C-; la cellalt capt (ce transmite o plac de reea s a7un. la poziia de recepie ai celeilalte)5 )e o!icei 1ns se folose4te un >concentrator> la care se adun ca!lurile de la mai multe calculatoare 4i prin care comunic 1ntre ele (de e+emplu G"/ sau *HITCG)5 Acesta are mufele asementoare celor de reea6 dar au in$ersai conectorii 9I-JC 4i @I-J;6 astfel c pentru conectarea unui calculator ctre acest >concentrator> se folosesc ca!luri care au la am!ele mufe aceea4i ordine a perec-ilor5 2rdinea uzuala esteE '-o6o6'-.6!6'-!6.6'-!r6!r cu con$eniaE oKoran.e (portocaliu)6 .K.reen($erde)6 !K!lue(al!astru)6 !rK!roun (maro) iar w- semnific c respecti$a culoare este 1ntrerupt5 8n cazul 1n care ca!lul este >in$ersat> (se mai nume4te 4i twisted sau cross-over) ordinea la una din mufe este sc-im!at 1n '-.6.6'-o6!6'-!6o6'-!r6!r5 Tre!uie precizat c o .re4eal frec$ent este poziionarea perec-ilor 1n mufa dup o ordine oarecare5 )ac este respectat 1n am!ele pri6 ca!lul poate funciona aparent6 dar dac perec-ile 9-@ si C-; nu sunt torsadate (rsucite) pot aprea funcionri defectuoase (pierderi6 erori)6 mai 1nsemnate la 9<<=!ps 4i3sau ca!luri lun.i5 )e o!icei lan. calculator e+ist o priza "TP care este le.at la concentrator (G"/6 *HITCG)5 Conectarea const 1n le.area unui ca!lu "TP >direct> (nein$ersat) 1ntre priza "TP 4i placa de reea et-ernet din calculator5 8n .eneral $om a$ea la dispoziie o muf utp >mam> care ne $a le.a fizic de un router de7a conectat la Internet (acesta poate fi 1n aceea4i cldire 4i le.at la acela4i G"/3*HITCG sau poate fi la pro$iderul INTERNET p,n la care le.atura se face prin =odem de ca!lu6 0i!r optic sau Radio5 Este de a4teptat ca la pro$ider s e+iste o trecere similar de la ec-ipamentul de conectare spre un ca!lu "TP6 deci dac facem a!stracie de $itez putem considera c

e+ist un ca!lu "TP de la calculatorul nostru p,n in G"/-ul3*HITCG-ul pro$iderului6 la care este conectat routerul acestuia5 'iteza de trans$er( La inceput cone+iunea et-ernet asi.ur o $itez de 9<=!ps (9< me.a!ii pe secund)5 Le.tura se putea realiza printr-un ca!lu /NC (coa+ial) care trecea pe la toate calculatoarele sau prin ca!lu "TP 4i G"/3*HITCG pentru conectarea mai multor calculatoare5 Pe ca!lul "TP a fost proiectat apoi un standard care permite atin.erea $itezei de 9<<=!ps5 =a7oritatea plcilor de reea de 9<<=!ps suport 4i interconectri la $iteza de 9<=!ps pentru compati!ilitate cu plcile $ec-i5 "n a$anta7 al conectrii cu "TP fa de /NC este pe l,n. faptul c se pot realiza transmisii $ulldu lex) adic 9<<=!ps 1ntr-un sens 4i 9<<=!ps 1n cellalt sens simultan5 Aceast facilitate nu este suportat de toate placile 4i nu poate fi folosit dac se foloseste un G"/6 necesit,nd un *HITCG5 Aceast $itez este asi.urat 1ntre oricare dou calculatoare care sunt 1n acela4i G"/ sau pe acela4i ca!lu /NC6 dar 1n cazul 1n care se face trafic 1ntre mai multe calculatoare suma $itezelor cu care se transmit datele nu poate dep4i aceast $aloare5 8n cazul unui *HITCG 1ns6 dou perec-i de calculatoare pot comunica am!ele cu 9<<=!ps6 $iteza nu mai este limitat la suma $itezelor ci pe fiecare ca!lu "TP 1n parte5 Tre!uie precizat faptul c unitatea de masur pentru laimea de !and este !itul (nu !(te-ul ca 1n cazul fi4ierelor)6 deci pe o cone+iune de 9<<=!ps $iteza de transfer al unui fi4ier $a fi ma+im 9<<EA=!ps6 o apro+imare destul de !un fiind 9<=/3s (mai e+ist informaii de control al transferului)5 #iteza de transfer 1n Internet este dat de minimul dintre limile de !and disponi!ile pe diferitele tronsoane tra$ersate de pac-ete 1ntre locaii5 )e o!icei $iteza 1n Internet este mult mai mic dec,t $iteza 1n reeaua local6 aceasta fiind de ordinul L/3s (%ilo!(tes pe secund)6 deci un up.rade de la 9<=!ps la 9<<=!ps 1n reeaua local nu cre4te dec,t $iteza de comunicaie 1n interiorul reelei6 nu 4i $iteza de acces la Internet5 #iteza de acces la Internet este dat de canalul de comunicaie p,n la pro$ider (care poate a$ea limitri fizice de $itez) 4i de !anda pe care pro$iderul o aloc clientului5 In$or#aii *itale entru conectarea la Internet( 8n momentul conectrii

calculatorului tre!uiesc aflate c,te$a date te-nice $itale pentru a putea folosi cone+iunea5 Aceste informaii suntE Adresa IP) Net#as+) ,ate-a.) Na#e-ser*er/e0( 1ostna#e-ul (numele de -ost) se poate pune oricum6 dar dac e+ist o 1nre.istrare )N* cu coresponden 1ntre un nume de -ost 4i IP-ul pus6 este !ine s se seteze acel nume5 8n lips6 se poate pune orice nume6 urmat de domeniul or.anizaiei din care se face parte calculatorul sau c-iar un domeniu ficti$5

Adresa IP este identificatorul unic cu care calculatorul $a fi recunoscut in Internet5 Este un numr de C@ de !ii cu fiecare .rup de A !ii scris 1n zecimal 4i separate prin punct (>5>)5 E+E 9:C5@@;5B95BD Net#as+-ul este tot un numr de C@ de !ii6 dar are proprietatea c este format dintr-un 4ir de !ii 9 urmat de un 4ir de !ii <5 Cea mai uzual $aloare este @BB5@BB5@BB5< care este format din @D de !ii 9 4i A !ii <5 Netmas%-ul este folosit pentru a determina dac o destinaie se afl 1n aceea4i reea et-ernet (de e+5 1n acela4i G"/ sau pe acela4i ca!lu /NC) cu calculatorul care $rea sa trimit un pac-et de date5 )ac IP-ul destinaie corespunde cu IP-ul propriu pe toate poziiile pe care Netmask-ul este 96 atunci calculatorul $a >intre!a 1n reea> printr-un !roadcast cine are acel IP6 placa care are acel IP $a rspunde 4i se $a trimite un pac-et direct ctre acea plac de reea5 )e e+emplu un calculator cu IP-ul 9:C5@@;5B95BD cu netmas% @BB5@BB5@BB5< se consider 1n aceea4i reea cu toate calculatoarele care au IP-uri 9:C5@@;5B95? cu ? 1ntre < si @BB5 )ac netmas%-ul este @BB5@BB5@BB59@A (1nca un !it 9 1n plus)6 calculatorul se $a considera in aceea4i reea doar cu IP-urile care au pe ultima poziie un numr ? 1ntre < 4i 9@M5 Celelalte IP-uri $or a$ea !it-ul @B (primul !it din al D-ulea octet) e.al cu 9 4i nu ar mai corespunde cu !it-ul < de pe pozitia @B al lui 9:C5@@;5B95BD5 8n acest caz6 el $a trimite pac-etul unuia din calculatoarele care este 1n aceea4i reea cu el 4i care are o alt plac de reea care comunic cu Internet-ul5 Adresa acestui calculator este adresa de 2ate-a.( 0olosirea m4tilor de reea (netmas%-urilor) are o utilitate foarte mare 1n construirea al.oritmilor de routare6 prin folosirea operaiilor lo.ice >!it cu !it>6 care iau foarte puin timp de procesare5 La iniializarea confi.uraiei de reea calculatorul calculeaz >adresa reelei> fc,nd N4i lo.ic !it cu !itN 1ntre IP 4i netmask (practic se o!ine adresa de IP 1n care s-au modificat 1n < !iii care sunt < 1n netmask)5 )e e+emplu pentru IPK9:C5@@;5B959C< netmaskK@BB5@BB5@BB5< adresa de reea este 9:C5@@;5B95< iar pentru IPK9:C5@@;5B959C< netmas%K@BB5@BB5@BB59:@ (;D adrese)6 adresa de reea este 9:C5@@;5B959@A5 8n momentul 1n care calculatorul tre!uie s determine dac un ip este 1n aceea4i reea cu IP-ul sau6 el face N 4i lo.ic !it cu !it N 1ntre acel IP 4i netmask6 calcul,nd adresa de reea a acelui IP dac ar a$ea acea masc5 )ac rezultatul coincide cu adresa de reea a IP-ului propriu6 1nseamn c acel IP este 1n aceea4i reea cu el5 *e o!ser$ c pun,nd 1n @ IP-uri < pe !iii pe care netmas%-ul 1i are <6 rezultatele $or fi e.ale dac 4i numai dac IP-urile corespundeau la inceput pe poziiile pe care netmask-ul este 95Pentru su!iectul uman e+ist metode mai simple pentru calculul mental al unei confi.uraii5 Pentru calculul reelelor su! @B; de adrese (cel mai 1nt,lnit caz) calculele afecteaz doar ultimul din cele D numere prin care se reprezint ip-ul5 Netmas%-ul $a a$ea primele C numere @BB6 ultimul o!in,ndu-se scz,nd din @B; numrul de IP-uri din 7

su!net5 In$ers6 scz,nd ultimul numr al netmask-ului din @B; se o!ine numrul de IPuri din reea (numit 4i su!net c,nd este mai mic de @B; adrese)5 )eci un netmas% @BB5@BB5@BB5@D< corespunde la un su!net de 9; IP-uri 4i in$ers5 Adresa de reea corespunde pe primele C poziii cu IP-ul6 iar pe ultima poziie are primul numr mai mic dec,t cel al IP-ului 4i di$izi!il cu numrul de IP-uri din su!net5 Pentru e+emplul de mai sus cu IPK9:C5@@;5B959C< netmas%K@BB5@BB5@BB59:@ (;D ip-uri)6 $om cuta cel mai mare numr care este mai mic dec,t 9C< 4i di$izi!il cu ;D5 Acesta este 9@A6 deci adresa de reea este 9:C5@@;5B959@A5 Adresa de &roadcast este cerut 1n unele sisteme 4i este folosit pentru a desemna toate calculatoarele dintr-un anumit su!net5 Ea se o!ine ca 4i adresa de reea din IP 4i netmask 4i se calculeaz fc,nd Nsau !it cu !itN 1ntre IP 4i Nne.atul !it cu !itN al netmask-ului5 =ai simplu6 1n IP se fac 9 !iii care 1n netmas% sunt < a4a cum pentru adresa de reea ei sunt pu4i pe <5 Adresa de broacast este ultima adres din reea6 put,ndu-se calcula pentru su!neturi pstr,nd pe primele C poziii numerele din IP 4i pe a patra poziie pun,nd numrul corespunztor urmtorului su!net minus 95 )eci pentru IPK9:C5@@;5B959C< netmas%K@BB5@BB5@BB59:@ a$em ;D IP-uri6 adresa de reea este 9:C5@@;5B959@A6 adunm ;D la ultimul numr 4i scdem 96 deci o!inem 9:C5@@;5B959:95 Cele mai multe sisteme calculeaz automat !roadcast-ul6 ca 4i adresa de reea5 ,ate-a. este adresa IP a calculatorului prin care tre!uie s treac pac-etele 1n drum spre o .rup de destinaii5 )e o!icei e+ist un sin.ur 2ate-a. (o sin.ur le.tur spre e+terior)6 numit default 2ate-a. care este adresa IP a calculatorului care deine le.atura spre Internet5 *tandardul cere ca acest IP s fie 1n aceea4i clas de adrese cu ip-ul calculatorului6 uzual folosindu-se a doua adres din aceast clas de adrese (prima este adresa reelei)5 )e e+emplu dac a$em IP-ul 9:C5@@;5B95BD cu netmas% @BB5@BB5@BB5< (@B; adrese)6 adresa reelei este 9:C5@@;5B95< 4i adresa de .ate'a( este 9:C5@@;5B9595 )ac IPK9:C5@@;5B959C< netmas%K@BB5@BB5@BB59:@6 adresa de reea este deci 9:C5@@;5B959@A 4i gateway $a fi 9:C5@@;5B959@:5 &ate'a( poate fi defapt oricare din IP-urile din su!net (1n afar de adresa de reea 4i !roadcast) dar e+cepiile de la re.ula anterioar se fac doar pentru situaii speciale (de e+emplu pentru a sc-im!a ie4irea Internet a unora dintre calculatoare printr-o a doua le.tur)5 3NS-ul este prescurtarea de la distri!uit (ierar-ic) care conine omain Name !ystem 4i este o !az de date corespondene 1ntre numele de -ost (e+E

'''5(a-oo5com) 4i IP-uri (e+ E @9;5C@5MD5B@)5 Aceastp !azp de date conine 4i informaii despre adresa IP a ser$erului de email pentru un domeniu6 ca 4i corespondene 1ntre IP 4i numele de -ost5 Pentru a putea accesa aceast !az de date tre!uie s e+iste setat 8

cel puin o adres de )N*6 uzual dou6 pentru cazul 1n care primul nu funcioneaz5 IP-ul respecti$ este al unuia dintre calculatoarele care are instalat un ser$er )N* 4i este !ine s e+iste o le.tur c,t mai !un p,n la el (pentru reele mai mari se instaleaz un ser$er )N* c-iar 1n reeaua local)5 =a7oritatea ser$erelor )N* din lume rspund la intero.ri )N*6 dar timpul de rspuns este direct proporional cu calitatea cone+iunii p,n la el6 deci este !ine s fie c,t mai aproape5 A$,nd setat un ser$er )N* $alid6 calculatorul poate s afle IP-ul asociat oricrui nume de -ost din Internet5 *er$erul 'e! apelant intero.-eaz recursi$ mai multe ser$ere6 1ncep,nd cu unul din ser$erele >root> pe care le are predefinite5 )e e+emplu pentru domeniul '''5(a-oo5com 1ntrea! un ser$er >root> care 1i spune c stie nameser$erele care se ocup de domeniile terminate 1n >5com>5 8ntrea! unul dintre aceste nameser$ere ($irtual ec-i$alente) 4i afl c '''5(a-oo5com are un anumit IP (1n cazul '''5(a-oo5com e+ist c-iar o lista de IP-uri asociate6 pentru 1mprtirea cererilor 1ntre mai multe ser$ere)5 )e o!icei un nume de -ost se rezol$ 1ntr-un sin.ur IP5 Testarea conexiunii4 8n primul r,nd tre!uie $erificat cone+iunea p,n la gateway5 *e $a da un pin. ctre adresa de .ate'a(5 Indiferent dac platforma este Linu+ sau Hindo's6 o funcionare a cone+iunii este ilustrat prin afi4area timpului 1n care pac-etul de pin. a fcut drumul >dus-1ntors>5 8n caz contrar se afi4eaz >time out> pe Hindo's sau nu se afi4eaz nimic 1n cazul Linu+-ului5 )ac acest test e4ueaz6 1n totalitatea cazurilor cone+iunea este inutiliza!il5 E+ist cazuri rare 1n care gateway-ul este confi.urat (printr-un fire'all) s nu rspund la pin. (nerecomanda!il) 4i cone+iunea s fie funcional5 Aceste cazuri sunt rare 1nsa5 2 comand mai puin standard care e+ist pe Linu+ 4i cu care se poate $erifica indiferent de fire'all este arping5 Prin ea se poate $erifica cone+iunea doar 1ntre -ost-ul local 4i alt -ost acces!il la ni$el et-ernet (cum este 4i gateway-ul)5 *e !azeaz pe trimiterea unei cereri de ARP 1n reea6 1ntre!,ndu-se ce plac de reea are acel IP5 Protocolul ARP este indispensa!il comunicrii6 dac un calculator cu acel IP este accesi!il la ni$el et-ernet6 atunci el $a rspunde5 2 alt metod de dia.nosticare este $erificarea ta!elei de ARP dup ping5 C-iar dac e+ist un fire'all6 calculatorul spre care se d ping $a rspunde la cererea ARP6 deci ta!ela ARP $a conine corespondena 1ntre acel IP 4i adresa fizic (>"A#address-ul>) plcii de reea a calculatorului cu acel IP5 Ta!ela ARP se poate $edea pe Linu+ prin comanda >arp Fna> iar 1n Hindo's cu comanda > arp -a>5 2 modalitate mai puternic de depanare a reelei este utilitarul de Linu+ tcpdump5 Rulat cu "tcpdump $i eth%" de e+emplu $a afi4a c,te$a informaii (surs6 destinaie6 port) despre fiecare pac-et care trece prin prima interfa de reea (et-<)5 Pentru filtrarea informaiilor se pot da ar.umente mai comple+e6 1n care s se specifice ce tipuri de pac-ete s se afiseze5 9

Rul,nd tcpdump de pe un calculator pe care nu se face trafic 1n reea6 dar le.at la o reea 1n care se face trafic6 se $or o!ser$a !roadcast-urile celorlalte calculatoare care sunt le.ate 1n reea6 de e+emplu cereri ARP5 Astfel se poate $edea dac cone+iunea e+ist (cel puin 1ntr-un sens6 spre calculatorul de pe care se fac teste)5 Astfel se poate 4i identifica dintre dou interfee care este et-< 4i care este et-9 (se $a pune ca!lul de reea 1n fiecare6 pe r,nd6 1n timp ce se face >tcpdump $i eth%"& 8n cazul 1n care se 1ncearc un pin.6 c-iar dac le.tura 1ntre interfa 4i reea nu este functional6 se $or o!ser$a totu4i cereri ARP ale calculatorului local6 de .enul "arp who has 'gateway( tell 'ip)local(" sau "arp who has 'ip)retea locala( tell 'ip)local(" 5 Acestea nu tre!uiesc confundate cu traficul pe care placa 1l o!ser$ din reea5 8n momentul 1n care le.tura p,n la .ate'a( este funcional este foarte pro!a!il ca le.tura s funcioneze 4i 1n alt parte5 *e poate 1ncerca un ping la IP-urile ser$erelor )N*5 #erificarea nu poate da informaii despre funcionarea ser$erului )N*6 dar poate $erifica dac ser$erul este pornit 4i accesi!il5 )ac 4i nameser$erele rspund6 se poate 1ncerca pin. la un nume de -ost5 Este !ine s se inceapa cu un ping la o adresa apropiat (ping www&ici&ro)5 Pin.-ul ar tre!ui mcar s translateze numele de -ost 1n IP (iar acesta s apar pe ecran)6 c-iar dac -ostul este inaccesi!il5 )ac comanda ping se !loc-eaz fara s afiseze IP-ul destinaie sau spune "invalid host name" 1nseamn c rezol$area de nume nu funcioneaz5 2ri ser$erul (ser$erele) )N* sunt nefuncionale6 ori este o pro!lem cu confi.urarea )N* pe calculator5 *e $a $erifica corectitudinea datelor introduse6 1n cazul Linu+-ului 1n fisierul *etc*resolv&con+6 1n cazul Hindo's-ului 1n "!tart*!ettings*#ontrol-Panel*Network*,#P-IP*Properties* N!)con+iguration" 5 C-iar dac rezol$area numelor nu funcioneaza pentru primul -ost6 merit 1ncercat 4i alt -ost care se 4tie c funcioneaz 1n >foc continuu> (e+E '''5(a-oo5com)5 E+ist posi!ilitatea ca rezol$area de nume s nu funcioneze 4i din cauza faptului c accesul la ser$erele >root> nu sunt accesi!ile de ctre nameser$ere (e+emplu E cone+iunea Internet nu este funcional)5 *e $a 1ncerca dac este posi!il 4i cu un -ost din domeniul de care este responsa!il acel nameser$er (multe nameser$er-e nu sunt numai apelani ai !azei de date distri!uite6 ci conin c-iar o poriune din aceast !az de date F .zduiesc un domeniu internet6 de e+emplu "unibuc&ro"6 adic stie toate -osturile care se termin 1n "unibuc&ro")5 )ac rezol$area de nume nu funcioneaz 4i se cunoa4te un IP din e+terior6 se poate 1ncerca ping la acel IP 4i dac nu funcioneaz se poate da un > traceroute IIPJ> pe Linu+ sau >tracert 'IP(> pe Hindo's5 "ltimul IP afi4at este ultimul IP accesi!il de pe calculatorul local5 Este posi!il ca le.tura 1ntre acel ultim -ost (router) atins 4i urmtorul s fie nefuncional6 sau -ostul urmtor este nefuncional5 8n functie de numrul de routere prin care a reu4it s treac pac-etul se poate estima unde este pro!lema5 )ac o 10

adres rspunde la pin. ctre numele su (e+5 ping www&yahoo&com- dar nu poate fi accesat din !ro'ser (Netscape6 Internet E+plorer) cauza este foarte pro!a!il s fie o setare de pro.y prin care !ro'serul este instruit s nu acceseze direct pa.inile6 ci s le cear unui ser$er pro+(5 8n Netscape6 iar 1n setarea Internet de pro+( 1n se afl 1n /dit*Pre+erences*Advanced*Pro.yes, 1ptions*#onnection& /.plorer 0iew*Internet

Conectarea #ai #ultor calculatoare la Internet


A$,nd un IP 4i o cone+iune $alid la Internet6 se pune pro!lema le.rii celorlalte calculatoare din apropierea sa la Internet5 Pro!a!il e+ist de7a o reea pentru comunicarea acelor calculatoare 1ntre ele6 nu tre!uie dec,t ca aceast reea s fie conectat la Internet5 Pentru aceasta $a fi ne$oie de un router6 cea mai simpl soluie fiind folosirea unui PC ec-ipat cu dou plci de reea6 una spre ie4irea Internet 4i cealalt spre reeaua local5 2 soluie foarte !un este instalarea pe router a sistemului de operare Linu+6 el oferind o mulime de oportuniti precum .zduirea email-ului6 a unui pro+(6 .zduirea unei pa.ini de 'e!6 al unui site ftp 4i protecia reelei interne fr a!solut nici un cost 1n afara costurilor -ard'are5 Cu puin mai mult memorie o masin c,t de c,t decent se poate folosi 1n acela4i timp 4i ca staie de lucru6 4i c-iar s se lucreze remote pe ea de ctre mai muli utilizatori5

Instalarea Linux-ului
Imediat dupa !ootarea cu C)-ul de instalare se solicit c,te$a opiuni precum interfaa de instalare de tip .rafic sau te+t5 )e o!icei instalarea 1n interfaa .rafic consum mai multe resurse6 deci instalarea 1n mod te+t este mai rapid5 Alte opiuni precum tipul de mouse6 tastatur6 diferena fa de timpul &=T6 etc mai sunt cerute5 8n cazul 1n care se detecteaz o interfa de reea se cere 4i confi.uraia plcii de reea ( IP, netmask, gateway, nameserver-e6 nume de host)5 *e mai cere setarea parolei de administrator (root)6 unele distri!uii cer,nd s se creeze 4i un user o!i4nuit (ne-root)5 Cel mai important lucru (4i oarecum mai delicat) este 1ns partiionarea 4i setarea punctelor de montare a partiiei5 Pro.ramul de instalare $a 1ntre!a dac se pstreaz partiiile e+istente sau se face repartiionare5 La partiionare se $or ster.e partiiile e+istente6 apoi se $or crea una c,te una partiiile6 de o!icei cea de s'ap prima 4i cea care se monteaz 1n >3> a doua5 *e poate sta!ilii ca anumite directoare (e+E 3-ome K directorul fi4ierelor personale ale utilizatorilor) s fie >montate> 1ntr-o partiie separat5 Oter.erea unei partiii cu informaii importante face e+trem de dificil refacerea lor6 deci este ne$oie de mult atenie5 2dat cu sta!ilirea partiiilor pe care le $a folosi Linu+-ul 4i a locului 1n care se $or 11

monta ele se $a cere permisiunea de formatare a acestora5 8n cazul 1n care partiia a fost de7a formatat6 se poate trece peste formatare5 0ormatarea se poate face cu sau fr $erificarea -ard-dis%-ului5 #erificarea dureaz foarte mult (zeci de minute la -ard-dis%-uri mari) dar asi.ur 1mpotri$a defeciunilor fizice care pot compromite la un moment dat sistemul5 8n cazul 1n care -ard-dis%-ul a fost $erificat de cur,nd 1mpotri$a > bad-block-urilor (zone de memorare nefolosi!ile)>6 se poate trece peste $erificare5 8n cazul 1n care nu se ale.e formatarea6 instalarea $a continua normal6 nu se $or 4ter.e e$entuale fi4iere e+istente6 cel mult se $or suprascrie cele care coincid ca 4i nume3localizare cu cele ale sistemului care se instaleaz5 E+ist 4i opiunea de up.rade care modific doar fi4ierele care s-au modificat de la $ersiunea anterioar6 dar nu este recomandat procedura5 8n plus nu se poate face dec,t de la $ersiunea anterioar din aceea4i distri!uie5 "n alt lucru mai dificil este confi.urarea sistemului de ?-'indo's5 )istri!uiile noi detecteaz un numr mare de plci $ideo 4i monitoare6 dar 1n cazul 1n care sistemul nu reu4e4te tre!uie date informaii manual5 Cel mai dificil ar fi specificarea frec$enelor monitorului6 de o!icei nee+ist,nd cartea te-nic a acestuia5 *e pot 1ncerca toate posi!ilitile la r,nd6 1ncep,nd cu >Gi.- frec$enc( monitor M<Gz)5 "nele plci $ideo care sunt suportate de ser$erul *#&A nu au suport dec,t pentru @B; culori6 c-iar dac placa $ideo suport mai multe culori5 2ricum6 pentru un router nu este ne$oie de funcionarea sistemului ?-'indo's6 modul te+t este suficient5 "n lucru util este crearea unei disc%ete de !oot pentru sistemul instalat6 acest lucru fiind fcut c-iar de ctre pro.ramul de instalare cu intero.area celui care instaleaza5 2 astfel de disc%et folose4te 1n cazul 1n care sectorul de !oot al -ard-dis%-ului este suprascris din .re4eal (de e+emplu se instaleaz pe alta partiie Hindo's)5 8n acest caz se $a !oota cu dis%eta 4i se $a rula 3s!in3lilo6 care $a reface sectorul de !oot5 *ectorul de !oot este primul sector al -ard-dis%-ului6 1n cazul 1n care !ios-ul este setat s !oot-eze de pe acest dis% el start,nd pro.ramul pe care 1l .seste 1n acest sector5 Acest pro.ram se folose4te pentru a starta mai multe sisteme de operare6 sau acela4i sistem cu opiuni3%ernele diferite5 Cel mai folosit astfel de pro.ram pentru Linu+ este > lilo" (linu+ loader)5 El poate starta la ale.ere 4i alte sisteme de operare prezente 1n alte partiii (e+E Hindo's)5 Pro.ramul de instalare $a 1ntre!a unde se dore4te instalarea pro.ramului lilo6 1n =aster/oot (primul sector al -ard-dis%-ului) sau 1n primul sector al partiiei de Linu+5 *e $a ale.e prima $ariant6 cea de-a doua folosindu-se doar dac se folose4te un alt !ootload-er .lo!al6 care starteaz !ootload-erul lilo5

12

Alte opiuni cerute pot fi de e+emplu tipul de encriptare a parolelor (=)B este default 4i este o ale.ere !un)6 tipul de securitate (>medium> este o !un ale.ere)5 8n .eneral setrile default sunt ale.eri potri$ite5 2 poriune delicat este 4i ale.erea pac-etelor de instalare5 C-iar 4i 1n cazul cunoa4terii pac-etelor importante6 uitarea unui pac-et poate cauza neplceri ulterior6 fiind mai dificil instalarea lui manual5 Cel mai simplu este s se instaleze >full>6 !ine1nteles aceast ale.ere necesit e+istena spaiului necesar pe -ard-dis%5 "nele distri!uii au pre-confi.urri pentru diferite utilizri ale $iitorului sistem (e+empluE ser$er6 staie de lucru6 staie .rafic6 etc)5 Este recomandat mcar s se instaleze toate ser$erele de ?'indo's (default se instaleaz doar ser$erul care suport placa $ideo care a fost detectat)6 1n cazul unei sc-im!ri a plcii $ideo nefiind necesar instalarea dri$erului5 )aca totul a decurs !ine6 dup instalare sistemul se restarteaza i porne4te !ootloader-ul care fr a se apsa nici o tast porne4te dup un timeout noul sistem instalat5 8n cazul confi.urrii corecte a reelei se poate trece direct la $erificarea cone+iunii de reea5 8n cazul 1n care ce$a nu funcioneaz !ine 1ncepe tra$aliul de depanare5 )aca e+ist o a doua plac $a tre!ui confi.urat 4i ea5 0iecare distri!uie are utilitarul propriu de confi.urare (ReadGat are >linu+conf3netconf>6 *use are >(ast>6 etc)5 Toate utilitarele sunt interfee ctre pro.rame lo'-le$el care se pot apela din linie de comand sau dintr-un script conin,nd astfel comenzi5 8n cele ce urmeaz se $a discuta doar folosirea acestor comenzi lo'-le$el6 ele fiind .eneral $ala!ile 1n toate distri!uiile6 spre deose!ire de interfeele mai mult sau mai puin prietenoase5

Co#enzi lo--le*el de con$i2urare reea


i$con$i2 este comanda de confi.urare a interfeelor de reea5 >ifconfi. -a> afi4eaz interfeele acti$ate 4i confi.urarea lor5 8n cazul 1n care output-ul nu 1ncape 1ntr-o pa.in de ecran6 se poate folosi comanda >filtru> > #ore> care afi4eaz output-ul pa.in cu pa.in (i+con+ig $a2more)5 *e poate folosi cu cale complet (3s!in3ifconfi.) dac directorul 3s!in nu este 1n lista de directoare 1n care se caut e+ecuta!ilele F $aria!ila se en$iroment PATG)5 Informaiile afi4ate conin ip-ul asi.nat6 netmask-ul6 adresa broadcast6 counteri de pac-ete primite3trimise6 erori de mai multe tipuri6 utile 1n depanare5 2 interfa care a fost recunoscut de %ernel se poate acti$a cu >ifconfi. et-< inet IipJ netmas% Inetmas%J !roadcast I!roadcastJ (sau se inlocuie4te et-< cu et-96 et-@6 etc)5 2 interfa $irtual (alias) se poate face pe o interfa 1nlocuind et-< cu et-<E96 et-<E@6 etc)5 Interfeele $irtuale nu folosesc dec,t 1n cazuri speciale c,nd se simuleaz printr-o plac de reea fizic mai multe plci de reea5 Interfaa lo este !ine s e+iste 1n toate sistemele (c-iar dac nu sunt le.ate la reea)5 Ea este o interfa $irtual6 care doar returneaz 13

pac-etele trimise spre ea5 Este folosit pentru a simula prin ea conectarea de tip reea ctre propriul calculator (de e+emplu se poate 1ncrca o pa.in de 'e! de pe aceea4i masin d,nd -ttpE33local-ost sau -ttpE339@M5<5<59)5 route este comanda de confi.urare a routelor (routele control,nd direcia 1n care se trimite un pac-et spre o oarecare .rup de destinaii)5 >route -n> afi4eaz routele curente6 e$entual se poate folosi >3s!in3route -nPmore> cu pa.inarea output-ului5Routele conin pe linie adresa reelei6 gateway-ul pentru a a7un.e la acea reea6 netmask-ul reelei6 interfaa prin care se a7un.e la su!net 4i alte informaii mai puin utile depanrii5 Ideea ar fi c pentru fiecare pac-et se parcur.e fiecare linie de sus in 7os6 p,n c,nd destinaia facut N4i !it cu !itN cu masca de reea d adresa reelei din st,n.a5 8n acel moment se e+pediaz pac-etul pe interfaa scris 1n dreapta6 ctre placa de reea care rspunde la cererea de ARP pentru IP-ul de .ate'a(5 "ltima linie conine la netmas% 4i adresa de reea ><5<5<5<>6 deci orice IP $a face "match" cu aceast re.ul6 pac-etul cu destinaie spre care nu e+ist rout e+plicit $a pleca spre "de+ault gateway"5 2 rout care are trecut la gateway <5<5<5< este o rout "directly connected> adic IP-urile din acel su!net sunt accesi!ile direct (la ni$el et-ernet prin acea interfa)5 2 rout spre un su!net se adau. cu comanda "route add $net 'subnet( netmask 'netmask( gw 'gateway(" 5 2 rout ctre un -ost se adau. cu comanda >route add --ost I-ostJ .' I.ate'a(J de$ Iet-+J> sau >direct pe interfa> cu "route add -host dev 'eth.("5 8n %ernelurile noi routa ctre IP-urile din acela4i su!net cu IP-ul3IP-urile proprii se pune automat la ridicarea interfeei6 prin acea interfa5 8n .eneral nu tre!uie pus dec,t routa default prin "route add de+ault gw 'gateway("5 *pre I.ate'a(J tre!uie s e+iste o rout "direcly connected"6 dac gateway-ul este standard6 un IP din acela4i su!net cu IP-ul calculatorului6 aceast rout e+ist5 8n caz contrar se poate pune o rout ctre acel -ost pe acea interfa dar o asemenea necesitate este .enerat 1n .eneral de proiectri defectuase ale reelei sau stri de tranziie5

Studiu de caz
Presupunem c e+ist un ca!lu "TP p,n la un la!orator dotat cu @< calculatoare care au instalat sistemul de operare Hindo's6 le.ate prin ca!lu /NC (coa+ial) care trece pe la fiecare calculator5 Este asi.nat un IP (9:C5@@;5B95BD) cu netmask @BB5@BB5@BB59:@6 gateway 9:C5@@;5B9595 "nul din calculatoare $a fi instalat cu Linu+6 pun,ndu-i-se 1nca o plac de reea cu priza "TP (ma7oritatea plcilor /NC au 4i priz "TP)5 Placa dinspre ca!lul "TP (spre Internet) $a a$ea IP-ul 9:C5@@;5B95BD5 Placa dinspre /NC (reeaua local) $a a$ea un IP >nerouta!il>6 dintre cele special rezer$ate pentru uz intern (nu sunt folosi!ile 1n Internet)5 )e e+emplu $a a$ea adresa 9:@59;A59<959 ( IP-urile care 1ncep cu 14

9:@59;A5 4i cele care 1ncep cu 9<5 sunt >nerouta!ile>)5 Netmas%-ul $a fi pentru reeaua local @BB5@BB5@BB5< (@B; calculatoare ma+im)5 *e putea pune 4i @BB5@BB5<5< (;BBC; calculatoare ma+im) dar nu este ne$oie5 Comenzile de confi.urare ar tre!ui s fieE i+con+ig 345&667&83&75 route add de+ault gw 345&667&83&3 i+con+ig eth3 inet 346&37:&3%3&3 netmask 688&688&688&% broadcast 346&37:&3%3&3 Pentru confi.urarea )N* tre!uie editat fi4ierul 3etc3resol$5conf5 Editorul standard "NI? este $i ($i 3etc3resol$5conf)5 *e $a muta cursorul pe linia dorit6 se $or 4ter.e caractere cu tasta >+>5 *e $a trece 1n modul >insert> aps,nd tasta >i>6 se $or face adau.rile 4i se $a sal$a 4i ie4i din editor trec,nd 1n mod >comanda> cu tasta >Esc> 4i aps,nd ulterior >E'Q>5 "n alt editor (mai intuiti$6 semn,nd cu $ec-iul Hord*tar) este 7oe (7oe 3etc3resol$5conf)5 *e $a edita fi4ierul 4i se $a ie4i cu >CtrlRL6?> F se apas simultan Ctrl 4i L6 apoi se eli!ereaz 4i se apas ?5 "n -elp mai amnunit se o!ine cu >CtrlRL6G>5 )ac e+ist instalat utilitarul "mc" (o interfa te+t semn,nd cu norton commander) atunci se poate folosi editorul sau >mcedit>5 Pe staiile Hindo's se $a confi.ura adresa de IP 9:@59;A59<95+ (+ 1ntre @ si @BD)6 netmas% @BB5@BB5@BB5<6 .ate'a( 9:@59;A59<9596 )N* ser$er 9:C5@@;5B95D5 Gostul se poate pune dup dorint de e+empluE statie-@6 statie-C6 etc6 domeniul poate fi cel al instituiei (de e+emplu mat-5uni!uc5ro)6 poate fi ficti$ sau poate lipsi5 Pentru a funciona cele @< de calculatoare 1n reea6 mai este necesar s se acti$eze routarea 4i masQuaradin.-ul5 Pentru acti$area routrii se $a scrie >9> 1n fi4ierul $irtual 3proc3s(s3net3ip$D3ipSfor'ard cu comandaE echo "3" ( *proc*sys*net*ipv9*ip)+orward Pentru a face masQuarade este suficient s se scrie o sin.ur comand6 1n cazul %ernelelor @5@5+ sau celor @5D5+ cu modulul de ipc-ains acti$at comanda esteE ipchains $I +orward $s 346&37:&3%3&%*688&688&688&% $j "A!; sau ipchains $I +orward $s 346&37:&3%3&%*69 $j "A!; (3@D reprezint o notare prescurtat a mstii de reea6 prin numrul de !ii >9> pe care 1i conine la 1nceput)5 eth% inet 345&667&83&89 netmask 688&688&688&346 broadcast

15

)e7a calculatoarele Hindo's ar tre!ui s poat accesa Internet-ul5 Pentru asi.urarea unei securiti sporite 4i pentru unele ser$icii suplimentare mai tre!uiesc 1ns fcute c,te$a confi.urri5 Comanda simpl prezentat mai sus acti$eaz de fapt un mecanism complicat numit >mas<uarading>6 un caz particular de NAT (Net'or% Address Translation)5 Pentru confi.urare se folose4te acelea4i utilitare prin care se confi.ureaz fire'all-ul (>ipc-ains> sau >ipta!les> 1n %ernel @5D5+)5 Prin acest mecanism6 pac-etelor $enite de la calculatoarele cu adrese nerouta!ile (9:@59;A59<95+) li se modific adresa surs cu adresa dinspre Internet a Linu+ului 4i portul cu un port li!er al Linu+ului5 Pac-etul de rspuns a7un.e la adresa surs6 adic la Linu+6 care ine 1ntr-o list cu translatrile fcute6 4i modific destinaia pac-etului cu sursa 4i destinaia oficial5 Astfel6 un ser$er accesat de un calculator din >spatele> Linu+ului are impresia c a fost accesat de ctre Linu+6 iar ma4ina care face accesul are impresia c ea a discutat direct cu ser$erul din Internet5 Acest mecanism se preteaz cel mai !ine la cone+iuni TCP3IP dar funcioneaz fr pro!leme 4i cu pac-ete ")P si IC=P5 *in.urele pro!leme care apar sunt 1n cazul 1n care o aplicaie din spatele Linu+-ului ne.ociaz prin le.tura sta!ilit un alt port de comunicare dec,t cel de pe care a plecat cone+iunea iniiala5 Linu+-ul nu poate afla despre acest port dec,t dac cunoa4te protocolul folosit 1n ne.ocierea portului (e+5 0TP)5 8n acest caz ser$erul din Internet consider c tre!uie s se conecteze cu cel cu care a discutat (din punctul lui de $edere a discutat cu Linu+ul)5 Linu+ul nu poate for'arda cererea de desc-idere a cone+iunii $enite din Internet spre ma4ina din spatele Linu+ului ci o consider o cone+iune $enit spre sine6 4i o respin.e5 Pentru protocoalele foarte folosite (0TP de e+emplu) e+ist module speciale care urmresc ne.ocierea 1ntre aplicaii 4i for'ardeaz cone+iunea de feed-!ac% la calculatorul >masQuaradat>5 Este e$ident c pe un calculator care iese 1n Internet prin mas<uarade nu se poate pune un ser$er accesi!il din Internet5 Pe de alt parte 1ns6 aceasta reprezint 4i o protecie fa de posi!ilitatea unor atacuri din e+terior spre reeaua local5 )e o!icei 1n reeaua local nu e+ist dec,t staii de lucru6 doar iniiatori de cone+iuni6 nu ser$ere accesate din e+terior5 Pentru astfel de cazuri ser$erul se instaleaza pe Linu+6 sau dac nu este posi!il se folosesc adrese routa!ile5

Reco# ilarea +ernel-ului


8n cazul 1n care distri!uia care se instaleaz nu conine support pentru un anumit de$ice (de e+emplu o anumit plac de reea)6 este destul de pro!a!il ca pro!lema s se rezol$e prin compilarea unui %ernel cu support pentru acel de$ice5 *ursele %ernel-ului sunt coninute 1n distri!uie sau se pot download-a ca ar-i$ tar5.z 4i tar5!z de la un mirror apropiat de %ernel (e+emplu E ftpE33ftp5linu+5ro3pu!3%ernel)5 Ar-i$ele se numesc 16

linu+-@5+5(5tar5.z (sau similar cu t.zKtar5.z sau tar5!z)5 tar este e+tensia prin care se desemneaz o ar-i$ conin,nd 1ntr-un sin.ur fi4ier mai multe fi4iere 4i directoare5 E+tensia 5g= este dat 1n momentul comprimrii acestei ar-i$e cu g=ip6 b= fiind e+tensia 1n cazul ar-i$rii cu !zip@5 Ar-i$a se >des+ace> prin decomprimare (.unzip linu+@5+5(5tar5.z) 4i de=arhivare (tar F+$f linu+-@5+5(5tar)5 )ecomprimarea pentru fi4iere &b= se face cu bun=ip +isier&b=& Pentru ar-i$e &tar&g= se poate folosi tar $.v=+ linu.-6&.&y&tar&g= care face 1n acela4i timp 4i decomprimarea5 2piunea -v este folosit pentru a acti$a modul "verbose" 1n care se afi4eaz fiecare fi4ier e+tras din ar-i$a6 -= semnific,nd faptul c se face 1nt,i decomprimarea iar -. faptul c se face e+tra.erea din ar-i$5 )up -+ se pune numele ar-i$ei5 Ar-i$a a fost fcuta printr-o comand de .enul > tar $cv=+ linu.6&.&y&tar&g= linu."5 8n momentul 1n care se dezar-i$eaz6 se creeaz 1n directorul 1n care se face dezar-i$area un director numit "linu."& Pentru compilare se intr 1n acest director ("cd linu.>) 4i se fac urmtorii pa4iE - make menucon+ig F se confi.ureaz ceea ce s con >in $iitorul %ernel5E+ist o confi.uraie default de la care se pleac 4i care se modific 1n funcie de ne$oi5 Important este ca procesorul ales la confi.urare s nu fie mai puternic dec,t cel de pe ma4ina pe care se instaleaz5 8n plus6 dac e+ist de$ice-uri speciale (scsi6 placi et-ernet) tre!uiesc incluse 1n confi.uraie5 E+ist c,te$a faciliti care se pot include 1n %ernel 1n plus fa >? de confi.uraia default (de e+emplu support pentru parti >ia de )os3Hindo's)6 dar ele nu sunt 1n .eneral neaprat necesare pentru funcionarea sistemului5 Pe de alt parte ma7oritatea opiunilor incluse nu fac sistemul nefuncional6 cel mult mresc %ernelul ne7ustificat5 Tre!uie a$ut .ri7 s nu se includ opiunea >Lernel autoreconfi.uration> pentru c 1n acel moment $iitorul %ernel $a 1ncerca s !ooteze din reea5 2 pri$ire prin -elp-ul fiecrei opiuni este !ine$enit5 E+ist 4i o $ersiune .rafic a pro.ramului de confi.urare ( make .con+ig) - make dep $ se refac dependinele 1ntre module make b=Image $ se compileaz %ernelul5 Acesta $a fi depus 1n

arc-3iCA;3!oot3!zIma.e 5 Lernelul este comprimat cu autoe+tract pentru mic4orarea dimensiunii6 tre!uind s poat fi reprezentat pe dis% 1ntr-un !loc conti.uu5 )up compilare el se mut 1n alt director (uzual 3!oot) 4i se introduce 1n 3etc3lilo5conf o intrare ctre el dup modelul celor de7a e+istente5 >label" este numele prin care se poate ale.e acel %ernel din lilo6 root reprezint partiia pe care o $a monta ca >3>6 image reprezint %ernelul5 read-only se specific pentru c sistemul tre!uie s monteze partiia root read onl(6 s starteze pro.ramul 3s!in3init6 care $erific inte.ritatea partiiei 4i a!ia apoi face >remontarea> read-'rite>5 =ai multe opiuni se pot trimite %ernelului la !ootare cu 17

opiunea append5 )ac 1nainte de montarea partiiei este necesar inserarea unor module care s recunoasc partiia6 se foloseste "initrd"6 mont,ndu-se un fi4ier ca partiie >3>6 din care se insereaz modulul 4i se monteaz apoi partiia de pe dis%5 - make modules F se compileaz modulele 1n cazul 1n care unele opiuni au fost incluse ca module5 *uportul pentru toate plcile de reea se poate compila astfel fr s mreasc dimensiunea %ernelului6 urm,nd s fie 1ncrcat cel de care este ne$oie5 - make modules)install F se instaleaz modulele 1ntr-un director 4i se realizeaz 4i o -art a dependinelor 1ntre ele - ma%e install F face alte setri pentru noul %ernel - lilo F reinstaleaz lilo cuprinz,nd 4i noul %ernel

5ootarea $orat
Lilo este aplicaia care se starteaz de ctre !ios la pornirea calculatorului5 Este un pro.ram simplu 1n care se poate ale.e una din mai multe opiuni5 0iecare opiune reprezint un %ernel 4i anumite opiuni (1n afara cazurilor 1n care se starteaza sistemul de pe o partiie non-Linu+)5 @ilo 1ncarc %ernelul 4i 1i transmite c,te$a opiuni printre care partiia pe care s o monteze ca root (>*>) 4i pro.ramul pe care s 1l lanseze din acea partiie5 Pentru un %ernel cu la!el > lin" se poate da 1n lilo > lin rootA*dev*hda6 initA*bin*bash ro>5 8n acest caz linu+ul $a porni de pe partiie pro.ramul de s-ell (3!in3!as-) 4i $a e+ista o consol de administrator5 La !ootarea normal se starteaz pro.ramul 3s!in3init6 care lanseaz toate celelalte pro.rame precum pro.ramul de lo.in6 daemonii (ser$erele)6 etc5 Partiia astfel montat este read-onl(6 de pe ea se poate rula un pro.ram care s $erifice 4i s repare o partiie a7uns inconsistent din cauza unei cderi de curent de e+emplul prin >3s!in3e@fsc% F( 3de$3-da@>5 *e poate trece 1n read-'rite prin "mount -n $o remount, rw *" pentru a face anumite modificri (sc-im! parola de root dac cea $ec-e a fost uitat) & 8nainte de restartare este !ine s se treac partiia 1n read-only prin "mount -n $o remount, ro *"& Este indicat s se ruleze 4i comanda sync pentru sal$area din memorie a !ufferelor pe dis%5

3e unde se o&in adresele IP routa&ile


Adresele routa!ile le asi.neaz administratorul de reea al instituiei6 din spaiul de adrese pe care 1l are la dispoziie de7a sau pe care 1l o!ine de la RIPE sau de la un >redistri!uitor> de adrese local6 numit LIR6 de e+emplu RNC (-ttpE33'''5rnc5ro)5 RIPE este autoritatea european care aloc IP-uri participanilor la Internet6 astfel 1nc,t s nu e+iste un IP asi.nat la doi utilizatori diferii5 RIPE aloc unor > @ocal Internet Registry" 18

B@IR- spaii de adrese pe care ace4tia le asi.neaz ctre utilizatori5 *paiul de adrese IP#D ($ersiunea actuala de protocol IP6 cu adrese IP pe D octeti) este asi.nat 1n proporie mare6 astfel c RIPE cere o ar.umentaie solid asupra lor6 1n cazul 1n care este posi!il o soluie tip mas<uarade nu se aloc IP-uri routa!ile5 0iecare pro$ider mare de Internet are un numr de clase C (de @B; IP-uri) pe care >le anunt> 1n Internet printr-un protocol numit /&P5 Aceste sunt clasele pe care el 4i clienii si le au alocate de ctre RIPE (1n cazul Europei)5 Protocolul /&P (/order &ate'a( Protocol) realizeaz transmiterea de ctre un router ctre $ecinii si a routelor pe care le cunoa4te5 8n acest fel6 dup un scurt timp fiecare router afl fiecare routa din Internet5 Routerele de la >periferia> Interetului (care separ c,te$a reele de restul Internetului) a.re. routele din Internet 1ntr-o sin.ur rout (routa default sau <5<5<5<3<)6 i.nor,nd spaiile li!ere (clasele de adrese nefolosite 1nc)5 El are uzual o sin.ur cone+iune la Internet6 iar routerul cu care este conectat 1i este >default .ate'a(>5 2rice pac-et care nu este 1n lista celor c,te$a reele pe care le separ de Internet este trimis ctre default .ate'a(5 Astfel se face ca un pac-et spre o destinaie ine+istent 1n Internet se duce prin c,te$a routere6 p,n la un >core> router care cunoa4te e+act ce clase de adrese sunt accesi!ile 1n Internet 4i a!ia 1n acel punct pac-etul este dropat 4i uzual se semnaleaz printr-un pac-et IC=P special faptul c nu e+ist rout ctre acea destinaie5

3o#enii 3NS
Pentru a putea fi accesat din Internet printr-un anumit nume de -ost (nu numai prin IP) tre!uie s e+iste o >intrare )N*> conin,nd acel nume 4i point,nd ctre IP-ul tu5 Aceast 1nre.istrare se realizeaz pe un nameser$er responsa!il cu un anumit domeniu6 1n care se dore4te acel nume de -ost5 )e e+emplu dac se dore4te numele www&unibuc&ro tre!uie realizat 1nre.istrarea pe nameser$erele care sunt responsa!ile pentru acest domeniu (standardul cere c pentru fiecare domeniu s e+iste cel puin dou nameser$ere6 pentru !ac%up 1n cazul 1n care unul din ele de$ine nefuncional)5 8n cazul 1n care domeniul nu e+ist (de e+emplu se dore4te numele www&ecuatii&ro) domeniul tre!uie creat pe nameser$erul care se ocup de domeniile C&ro"5 Autoritatea care creeaz domenii "&ro" este tot RNC (cea care poate asi.na 4i IP-uri)5 Pentru un pre modic6 care 1i asi.ur autofinanarea6 RNC poate dele.a ctre dou nameser$ere un anumit domeniu5 8n acel moment orice modificare din acel domeniu se face pe cele dou nameser$ere6 e$entual se pot face su!domenii5 )ac unul din nameser$ere poate fi u4or Linu+-ul folosit 4i ca router instal,nd un pro.ram din distri!uia standard numit named6 cellalt nameser$er nu este 1ntotdeauna disponi!il5 *e poate folosi un nameser$er al pro$iderului sau c-iar am!ele nameser$ere ale pro$iderului (orice pro$ider care se 19

respect are mcar @ nameser$ere)5 *e pot confi.ura nameser$erele pro$iderului s 1ncarce informaiile despre domeniu din nameser$erul proprietarului domeniului5 Informaiile despre un domeniu mai sunt numite 4i >zone> iar nameser$erul confi.urat s 1ncarce >zona> de la alt nameser$er este numit >sla$e> fa de cel de pe care se 1ncarc zona care este numit >master> pe respecti$a zon5 Aceste denumiri sunt relati$e6 un ser$er >master> poate fi >sla$e> la r,ndul sau altui nameser$er5 Rezol$area unui domeniu se poate $erifica cu comanda host& )e e+empluE >host www&yahoo&com" rezol$ adresa de -ost 1n IP6 >host $t m. yahoo&com> afi4eaz ser$erele de email care deser$esc domeniul (a-oo5com6 "host $t ns yahoo&com" afi4eaz nameser$erele care sunt responsa!ile cu domeniul >yahoo&com"5 Aceste rspunsuri sunt cerute de la nameser$erul setat default (1n *etc*resolv&con+)6 1n cazul 1n care se doresc informaii de la un alt nameser$er se adau. nume sau la sf,rsitul comenzii6 de e+emplu > host $t ns unibuc&ro ns&rnc&ro" $erific la RNC pe ce nameser$ere sunt definite informaiile despre domeniul unibuc&ro5 Acest lucru este util deoarece un nameser$er 1n care este confi.urat un domeniu 4i este declarat master pe acesta rspunde din fi4ierul propriu de confi.uraie pentru acest domeniu6 c-iar dac el nu este 1nre.istrat 1n Internet ca responsa!il pentru domeniu5 Restul Internetului (cei care nu 1l folosesc ca nameser$er direct) nu 1l $or 1ntre!a despre domeniu 4i $or a$ea o alt $iziune asupra domeniului (dat de realele nameser$ere responsa!ile)5

Ser*erul de e#ail
8n momentul 1n care e+ist un domeniu6 se pot crea 4i csute po4tale de tip userDdomeniu& Pentru a putea folosi aceste adrese de email tre!uie s e+iste 1n zona care se refer la acest domeniu o 1nre.istrare de tip >IN =?> (1nre.istrarile despre IP-ul unui -ost sunt de tip >IN A>)5 Ip-ul care este trecut 1n acest 1nre.istrare $a fi accesat pe portul @B pentru a i se li$ra emailul pentru acest domeniu5 *e pot defini mai multe intrri =?6 pentru cazul 1n care unul din ser$ere nu este disponi!il5 E+ist prioriti6 numrul mic 1nseamn prioritate mai mare5 *er$erul de email este 4i el 1n distri!uiile standard de Linu+6 e+ist c-iar mai multe (sendmail6 Qmail6 postfi+)5 *copul ser$erului de email este s primeasc 4i s trimit mesa7e email5 =esa7ele pot fi ctre domeniul pentru care are definite csuele po4tale sau pot fi mesa7e trimise de utilizatori (deintorii csuelor po4tale) ctre alte ser$ere de email din Internet5 Aciunea prin care un ser$er de email prime4te un mesa7 care nu 1i este adresat pentru a-l for'arda mai departe se nume4te "relay"& *er$erul de email tre!uie s fac "relay" doar pentru utilizatorii care au csue po4tale acolo6 altfel cine$a poate trimite email nesolicitat ( "spam"- prin acel ser$er email6 pentru a-4i ascunde identitatea fa de destinatar5 Primirea emailului 4i trimiterea lor sunt 20

lucruri distincte6 pe care le poate face un sin.ur ser$er de email sau dou separate5 Emailul primit se poate citi local de pe ser$er cu un client de email ( "mail", "pine"- sau se poate citi remote cu un client special de email prin P2PC sau I=AP din Netscape Communicator6 2utloo% E+press6 etc5 Trimiterea se face din ace4ti clieni6 specific,nduse un ser$er5 )e remarcat faptul c dac 1n cazul citirii emailului se cere un username 4i o parol6 1n cazul trimiterii nu se cere uzual $reo parola6 4i c-iar se pot trimite emailuri cu orice surs6 sin.ura cerina fiind ca domeniul adresei surs s se poata >rezol$a> F s e+iste pentru el o intrare >=?>5

Prox.
)e multe ori6 mai muli utilizatori acceseaz acelea4i pa.ini6 fc,nd acela4i transfer de mai multe ori inutil5 Pentru a se folosi mai eficient cone+iunea la Internet s-a proiectat un ser$er "pro.y" care are rolul de a prelua cererile de la browser 4i de a 1ntoarce pa.ina cerut6 fie acces,nd Internet-ul6 fie acces,nd "cache"-ul pe care 1l face pe -ard-dis% cu pa.inile accesate anterior5 *e fac $erificri ale datei de modificare pentru pa.inile care au termen de e+pirare5 Pro+(-ul poate fi 4i o $ariant la mas<uarade6 dar are deza$anta7ul c poate fi folosit doar pentru anumite protocoale pentru care este proiectat (-ttp6 ftp6 etc)5 /ro'ser-ele au de o!icei implementat protocolul de intero.are a pro+(-urilor6 nu tre!uie dec,t confi.urat IP-ul ma4inii pro+( 4i portul pe care >ascult> ser$erul de pro+(5 "nele pro+(-uri pot fi setate s cear 4i o autentificare username3pass'ord5 E+ist 4i o $ariant mai special de pro.y numit >transparent pro.y> prin care pac-etele care au plecat spre Internet sunt redirectate de ctre routerul Linu+ spre portul pe care >ascult> pro.y-ul6 iar acesta rspunde la cererea pe care !ro'serul crede c o face ser$erului 'e! din Internet5 A$anta7ul ar fi c nu mai tre!uie instruii utilizatorii s seteze3deseteze pro+(-ul din !ro'ser5 Redirectarea ctre portul de pro+( se face tot cu utilitarul care confi.ureaz fire'all-ul (>ipc-ains> sau >ipta!les>)6 o linie de redirect ar arta cam asaE ipchains $I input $s 346&37:&3%3&%*69 $d %&%&%&%*% :% $p tcp $j R/ IR/#, 536: unde C9@A este portul pe care ascult pro+(-ul6 %&%&%&%*% reprezint reeaua conin,nd orice IP6 A< reprezint portul de -ttp6 tcp reprezint tipul de protocol IP5

Securitate
8n momentul conectrii la Internet pro!lema securitii de$ine mult mai comple+6 posi!ilitatea conectrii 1n orice punct al Internet-ului aduce cu sine 4i posi!ilitatea unui atac din Internet5 8n momentul 1n care e+ist doar o reea local izolat6 numrul celor posi!il interesai de a eluda securitatea sistemului este limitat6 at,t prin numrul mic de 21

persoane care au acces la aceast reea c,t 4i prin faptul c e$entuale 1ncercri de atac pot fi descoperite 4i se pot lua msuri 1mpotri$a atacatorului5 8n cazul atacurilor din Internet6 atacatorul poate fi .reu descoperit6 4i c-iar descoperit se poate do$edi .reu fapta acestuia5 8n plus6 atacatorul (numit 4i hacker) din Internet nu are nici un interes 1n comun cu instituia al crui calculator a fost atacat6 deci nu $or manifesta prea multe scrupule5 Eacker-ii pot distru.e date importante fr s ai! un interes direct 1n aceasta6 pot 1ns 4i accesa date confideniale 4i pot aduce pre7udicii financiare prin >furt electronic>5 8n cazul unei instituii non-profit nu e+ist prea multe date secrete6 1n afar de parolele de acces 1n sisteme5 Eacker-ii pot folosi aceste sisteme ca punct de plecare pentru atacul altor sisteme6 pentru a fi mult mai .reu localizai5 Ei pot distru.e 4i date importante pentru a 14i demonstra puterea sau din ne.li7en5 Protecia sistemelor conectate la Internet se face 1n special la demarcaia 1ntre reeaua local 4i Internet5 8n momentul 1n care atacurile din Internet sunt controlate6 securitatea re$ine la simplitatea administrrii unei reele locale5 Pentru a realiza o astfel de securitate reeaua se proiecteaz astfel 1ncat ie4irea 1n Intrenet (sau fiecare ie4ire dac e+ist mai multe) s treac printr-un fire'all (de o!icei un router) care s conin ni4te re.uli stricte 1n pri$ina pac-etelor care intr din Internet 1n reeaua local (uneori 4i pentru pac-etele care pleac 1n Internet)5 Acest fire'all poate fi fcut foarte usor pe routerul Linu+6 care are deci 1nc un rol 1n reea5 Tre!uie spus c nu se poate aprecia securitatea dup e+istena sau nu a fire'all-ului5 E+ist fire'all-uri mai !une (mai restricti$e) 4i mai puin !une (mai permisi$e)5 0ire'all-urile mai restricti$e pot adu.a anumite dificulti pentru utilizatori (de e+emplu accesul la 0TP)6 de aceea c-iar a$,nd fire'all sistemul poate fi totu4i $ulnera!il la anumite atacuri5 E+ist doua e+treme6 fire'all-ul care permite orice (ec-i$alent cu lipsa lui) 4i fire'all-ul care nu permite accesul niciunui pac-et (ec-i$alent cu 1ntreruperea ca!lului 1ntre reeaua local 4i Internet5 Acest ultim caz este complet si.ur din punct de $edere al securitii dar nu permite nici accesul 1n Internet dinspre reeaua local5 )e aici se poate pleca 1ns6 permi,nd pe r,nd numai pac-etele care sunt neaparat necesare5 Cele mai utilizate atacuri sunt de tip )en( of *er$ice ()o*) 4i de tip >remote s-ell>5 Primul tip de atac urmre4te aducerea 1n stare de nefuncionare a sistemului6 supra1ncrc,nd-ul de o!icei6 cel de-al doilea urmre4te accesul la resursele sistemului6 fiind mai destructi$5 Atacul )o* se poate face de e+emplu trimi,nd cereri foarte multe unui ser$er5 )e e+emplu se poate face un +lood (inundare) cu pac-ete de desc-idere a cone+iunii (*TN)5 *istemul aloc resurse pentru fiecare cone+iune6 dar cone+iunile sunt a!andonate desc-ise5 8n scurt timp ta!ela de cone+iuni cre4te foarte mult6 la fiecare pac-et tre!uind fcute un numr de operaii proporional cu numrul de cone+iuni5 )ac al.oritmul de cutare nu este optimizat sistemul de operare poate sucom!a 1n scurt timp5 22

8n plus6 dac aplicaia-ser$er atacat desc-ide o instan a sa pentru fiecare cone+iune6 $a umple foarte repede memoria disponi!il5 8n cazul 1n care numrul de conectri este limitat se poate prote7a 1ncarcarea sistemului6 dar 1l face s respin. 4i cone+iuni $alide5 )ac atacul $ine de pe o IP-surs fi+ se poate pune o re.ul 1n fire'all care s respin.a aceste pac-ete6 dar dac atacul $ine de pe mai multe surse (false) nu se poate face dec,t restricionarea accesului de la un numr de IP-uri presta!ilite5 8n cazul unui ser$er 'e! acest lucru ec-i$aleaz cu nefuncionarea sa5 )e o!icei proteciile pentru atacuri )o* sunt dificil de fcut6 aceste atacuri umplu de o!icei !anda ctre Internet a celui atacat6 fc,nd-o impractica!il6 sin.ura 4ans este identificarea atacatorului 4i reclamarea sa la pro$iderul su5 )e o!icei atacul se face de pe un ser$er care nu 1i aparine6 pe care a o!inut acces prin mi7loace nele.ale6 deci proprietarul ser$erului poate fi atenionat s 1i 1n.radeasc accesul5 Totu4i6 atacurile )o* nu sunt e+trem de multe6 a$,nd 1n $edere c se presupune c tre!uie s e+iste o moti$aie6 o rz!unare (se practic 1ntre utilizatorii de c-at 1n momentul 1n care se ceart dintr-un oarecare moti$)5 Pentru identificarea unui astfel de atac 1n Linu+ se pot spiona pac-etele care $in din Internet pe interfaa (> tcpdump $i eth% $n"-& Pentru atacurile cu desc-idere de cone+iuni se poate $erifica 4i ta!elele cu cone+iuni desc-ise prin "netstat $na"& Atacurile de tip >remote shell" sunt mai complicate6 dar consecinele lor sunt mai .ra$e5 *copul atacului este o!inerea pri$ile.iului de administrator pe un calculator6 deci accesul deplin la resursele acestuia5 Ca scop intermediar poate fi o!inerea unui cont de utilizator o!i4nuit6 urm,nd ca atacul s continue >din interior>5 "n astfel de acces se poate o!ine fie prin autentificare cu un username3pass'ord $alide6 fie >pclind> un ser$er care conine o .re4eal de pro.ramare5 Primul caz este mai putin pro!a!il6 el poate fi e$itat instruind utilizatorii s nu 1nstrineze parolele lor de acces 4i s nu se conecteze >din Internet> printr-o metod necriptat5 )e multe ori pe parcursul le.turii se afl pro.rame care spioneaz cone+iunile 4i stoc-eaz parolele trimise 1n clar5 Este 4i cazul accesului la email prin P2PC5 )ac parola de autentificare la casua po4tal este aceea4i cu a utilizatorului de pe ser$er6 parola poate fi folosit pentru accesul din e+terior5 2 posi!ilitate de protecie este 4i limitarea accesului s-ell din e+teriorul reelei doar cu anumite surse5 2 posi!ilitate mai special de interceptare a parolelor c-iar dac sunt cr(ptate printr-un al.oritm cu c-ei pu!lice este ""an in the midle attack"5 )ac nu se realizeaz la prima conectare 1ns6 clientul care se conecteaza criptat (de e+emplu ssh) $a detecta sc-im!area c-eii pu!lice a ser$erului 4i $a afi4a un a$ertisment5 Este posi!il

23

ca acest a$ertisment s pro$ina din reinstalarea ser$erului ssh6 caz 1n care se poate 4ter.e 1nre.istrarea clientului din N&ssh*know)hostsN5 Accesul prin pclirea unui pro.ram pare la prima $edere puin pro!a!il6 dar practica a demonstrat c astfel de atacuri sunt cele mai periculoase5 =a7oritatea se !azeaz pe "bu++er over+low", adic trimiterea unor date peste capacitatea !ufferului definit 1n pro.ram5 )ac nu e+ist o $erificare a datelor care se copiaz 1n !uffer6 datele care sunt 1n plus sunt scrise 1n memorie (1n sti$a pro.ram de e+emplu) peste o poriune de pro.ram e+ecuta!il5 C,nd e+ecuia pro.ramului a7un.e 1n acel loc6 pro.ramul e+ecut acea instruciune (de e+emplu desc-iderea unei sesiuni shell)& Cum ma7oritatea ser$erelor ruleaz cu pri$ile.ii de administrator ( root)6 shell-ul o!inut $a a$ea 4i el pri$ile.ii a!solute5 E+ist 4i alte posi!iliti de pclire6 dar dintre toate aceasta este cea mai folosit5 Ca protecie este ne$oie 1n primul r,nd ca $ersiunile de pro.ram s fie c,t mai noi6 !u.-urile descoperite se repar 1n noi $ersiuni6 la scurt timp dupa descoperire5 8n plus6 cu c,t e+ist mai puine ser$ere accesi!ile din Internet6 cu at,t este mai mic pro!a!ilitatea s e+iste unul >ataca!il>5 "n sistem fr nici un ser$iciu3ser$er rul,nd este e+trem de si.ur c-iar 4i fr fire'all6 din pcate este ne$oie s e+iste anumite ser$icii lansate5 )ac accesul este necesar doar din reeaua local (citire email prin P1P5) se poate pune un fire'all care s nu permit accesul dec,t din reeaua local5 )ac accesul se face 4i din e+terior (ser$er email care tre!uie s primeasc mesa7e) nu se poate face restricionarea accesului6 tre!uie a$ut .ri7 ca ser$erul 1n sine s fie foarte si.ur6 e$entual se poate pune separat ser$iciul nesi.ur pe un alt calculator dec,t fire'all-ul6 asfel 1nc,t un posi!il atac reu4it 1mpotri$a acestuia s nu pun 1n pericol 1ntrea.a reea5 Lo.-urile sunt de asemenea utile pentru detectarea 1ncercrilor de intruziune6 unele din ele put,nd fi descoperite 1nainte s reu4easc5 )e o!icei hacker-ii ster. lo.urile pentru a nu se descoperi sursa atacului6 deci o idee !un este e+portarea lo.-urilor pe un ser$er fr acces din e+terior5 )up securizarea ser$iciilor oferite6 fire'all-ul $ine ca o protecie suplimentar6 put,nd restriciona accesul la diferite ser$icii de la anumite surse 4i face mai dificil instalarea de ctre un -ac%-er care a spart sistemul a unui ser$er care s-i permit s ptrund 1n $iitor 1n sistem c-iar dac parolele se sc-im! 4i pro!lema de securitate este rezol$at5 El $a tre!ui s modifice fire'all-ul astfel 1ncat s permit accesul la ser$erul su6 ceea ce se poate o!ser$a mai u4or5 0ire'all-ul este 1n principal o metod de protecie a calculatoarelor din spatele su6 care pot fi mai nesi.ure ca securitate (Hindo's) sau care ruleaz ser$icii care nu sunt updatate la ultima $ersiune5 8n plus6 e+istena unor re.uli de >)R2P> a pac-etelor care nu sunt adresate ser$iciilor instalate 24

poate face mai dificil scanarea tuturor porturilor 1n cutarea unuia mai puin securizat5 *canerul tre!uie s intuiasc dup c,t timp tre!uie s considere lipsa rspunsului ca lips a accesului la port6 1n mod default sistemul d un feed!ac% ne.ati$ care d posi!ilitatea pro.ramului de scanare s treac mai departe5 Ca re.ul6 cu c,t se dau mai puine informaii 1n momentul 1n care accesul este restricionat6 cu at,t este mai !ine5 )ac un pro.ram de conectare spune c,nd este userul ine+istent 4i c,nd este parola .re4it6 un hack-er poate scana p,n .ase4te un user6 apoi poate 1ncerca mai multe parole pentru acesta5 8n cazul 1n care nu se specific dac userul e+ist6 hack-erul tre!uie s incerce com!inaii user3pass'ord6 deci comple+itatea spar.erii prin aceast metod cre4te foarte mult5 *e recomand 4i consultarea pe Internet a listelor de discuie pe care se pu!lic !u.-uri noi descoperite care afecteaz securitatea ($ezi -ttpE33ms.s5securepoint5com3!u.traQ3 6 -ttpE33'''5securit(focus5com3 )5 Noutile se pot primi automat prin email6 aceast $ariant fiind foarte con$ena!il5

6ire-all-ul 7n Linux
8n Linu+ fire'all-ul este implementat printr-un sistem de > chain-uri>5 E+ist trei chain-uri defaultE input, output 4i +orward5 Prin aceste c-ain-uri se consider c trec pac-etele6 chain-urile conin,nd suite de re.uli prin care pac-etul poate fi acceptat sau s nu treac prin acel c-ain5 8n %ernel-ul @5@5+ orice pac-et care $ine pe o interfa spre linu+ trece prin c-ain-ul input5 2rice pac-et care pleac pe o interfa trece prin c-ain-ul output5 8n plus6 pac-etele care tranziteaz un router ctre o alt destinaie trec prin c-ainul +orward5 8n %ernelul @5D5+ pac-etele care nu sunt destinate routerului sau care nu sunt ori.inate de router nu trec prin c-ainurile INP"T 4i 2"TP"T6 ci doar prin 02RHAR)5 *e o!ser$ faptul c 1n %ernelul @5D5+ c-ainurile au numele modificat 1n ma7uscul5 8n am!ele cazuri6 pac-etele trec prin c-ain-uri5 C-ain-urile conin o suit de perec-i re.ul-aciune 4i c,te o re.ul default5 La 1nceput c-ain-urile nu au dec,t re.ula default care este ACCEPT6 deci toate pac-etele sunt acceptate5 8n chain-uri se pot adu.a di$erse re.uli !azate pe informaii din -eaderul pac-etului (IP6 port6 etc) 4i interfaa pe care a $enit3pleac5 0iecare re.ul conine o condiie 4i o decizie pentru pac-etele care se potri$esc (> +ac match") pe acea re.ul5 Re.ulile se parcur. 1n ordine de ctre fiecare pac-et6 1n cazul 1n care un pac-et nu a >fcut matc-> pe nici o re.ul6 i se aplic re.ula default5 )e e+emplu un fire'all care nu accept nici o cone+iune TCP3IP $enit din Internet (pe interfaa et-<) are o sin.ur linieE ipchains $I input $i eth% $p tcp $y $j /NF 25

)e fapt re.ula spune c pentru pac-etele TCP care au !itul sTn (de cerere desc-idere cone+iune) setat s se ia decizia de )ENT (adic pac-etul se )R2P-eaz)5 E+ist posi!ilitatea s se trimit o a$ertizare despre filtrare su! forma unui IC=P >admin filter> 1nlocuind )ENT cu REUECT5 Celelalte pac-ete (de e+emplu pac-etele *TN care pleac 1n e+terior) nu $or face matc- pe aceast re.ul 4i $or intra 1n re.ula default (ACCEPT)5 )ac dorim ca totu4i de la adresa 9:C5@@;5B@59 s se poat face o conectare ss- (pe portul @@) ctre masina local (9:C5@@;5B95BD) se $a insera (folosind > -I>) o re.ul 1naintea celei de mai susE ipchains $I input $i eth% $p tcp $y $s 345&667&86&3 $d 345&667&83&89 66 -l -j A##/P, *e o!ser$ folosirea opiunii "$l" prin care se face log-area -eaderului pac-etelor care fac matc- pe aceast re.ul pentru urmrirea accesului5 Pac-etele de *TN cu sursa 345&667&86&3 4i destinaia 9:C5@@;5B95BD port @@ $or face matc- pe aceast re.ul 4i $or fi acceptate6 nemaifc,nd matc- pe urmtoarea re.ul care le-ar fi )R2P-at5 Adu.area unei re.uli la sfar4itul 4irului de re.uli se face 1nlocuind $I cu $A (append)5 Cu acest fire'all nu se poate 1ncerca nici un atac TCP 1mpotri$a ser$erului dec,t pe portul de ss- (@@) de la adresa 9:C5@@;5B@595 *er$erul $a continua 1nsa s raspund la pin. (pac-ete IC=P) 4i mai este totu4i $ulnera!il la atacuri ctre ser$icii !azate pe pac-ete ")P (nameser$ere6 portmap6 nfs)5 Pe c,t posi!il aceste ser$icii nu se $or starta sau $or fi prote7ate de fire'all5 Tre!uie a$ut 1n $edere c dac 1ntr-un fire'all se d )ENT la toate pac-etele care $in pe interfaa din Internet6 atunci nu $or putea $eni nici pac-etele de rapuns la cererile din interior5 *oluia este deci s se filtreze pac-etele *TN (dintr-o cone+iune sin.urul pac-et care are !itul *TN setat este pac-etul de desc-idere a cone+iunii)5 0iltrarea 1n cazul ")P-urilor este mai comple+6 ar tre!ui sta!ilit de ")P-uri sunt necesare (de o!icei doar acces )N* pe portul BC al nameser$erelor)5 0ire'all-ul curent poate fi $izualizat cu > ipchains $@ $n" sau cu "ipchains $@ $n $v" (cu informaii suplimentare6 de e+emplu numrul de matc--uri fcute pe fiecare re.ul)5 0ire'all-ul se poate .oli cu comanda > ipchains -G>5 Atenie6 un c-ain .ol nu $a permite trecerea pac-etelor dac are politica default )ENT6 de aceea este recomandat ca 1n loc de sc-im!area politicii default s se appendeze la sf,rsitul 4irului de re.uli o re.ul de )ENT pentru oriceE ipchains $A input $j /NF

26

Cum s-a o!ser$at de7a6 1n loc de ACCEPT6 )ENT6 REUECT pot e+ista 4i alte decizii mai speciale6 de a masQuarada cone+iunea (-7 =A*V) sau de a redirecta pac-etul spre un port local (-7 RE)IRECT InumarSportJ)5 =ai multe informaii despre confi.urarea fire'all-ului cu ipc-ains se pot afla din manualul su ( "man ipchains"-5 Confi.urarea cu iptables este asemnatoare6 oferind 1n plus 4i alte faciliti5

PARTEA A 38UA

- Re rezentare $ire-all Introducere


2dat cu apariia Internet-ului care a interconectat reelele locale a numeroase firme 4i instituii6 pro!lema securitii datelor 1mpotri$a accesului neautorizat a de$enit mult mai acut5 Informaii e+trem de importante sunt e+puse acum nu numai accesului neautorizat din incinta instituiei6 ci 4i accesului din afara sa6 practic din orice col al lumii5 "n posi!il atacator poate accesa date cu caracter strict secret6 poate modifica informaii e+trem de importante (sume de !ani din conturi) sau pot distru.e informaii care e+ist 1ntr-un sin.ur e+emplar5 El nu tre!uie s patrund 1n incinta instituiei6 tre!uie doar s WpcleascX sistemele de securitate ale W$ictimeiX5 *istemele de securitate sunt $ariate6 cea mai cunoscut fiind prote7area accesului cu username 4i parola5 Cel care dore4te s acceseze o anumit informaie tre!uie s-si introduc username-ul 4i o anumit parol6 altfel i se refuz accesul5 )e multe ori 1ns aceast protecie nu este suficient6 cine$a poate 1ncerca mai multe parole6 a$,nd sanse s o .-iceasc pe cea corect5 *istemele $or considera de multe ori c utilizatorul a tastat .re4it sau a 1ncurcat parola cu alta6 deci $a permite mai multe 1ncercari5 E+ist 4i sisteme cu !locarea accesului acelui username 1n cazul 1n care parola este introdus .re4it de un numr de ori5 Totu4i6 protecia tot nu este foarte si.ur6 parola poate intra 1n posesia unui rau$oitor din cauza ne.li7enei unui utilizator care a scris-o pe un carneel 4i atacul poate fi lansat din oricare col al Internetului6 fara a fi necesar accesul 1n incinta instituiei5 Parola poate fi interceptat 4i pe parcursul transmiterii ei prin medii care nu sunt su! 7uridicia respecti$ei instituii6 1n cazul 1n care accesul se face din afara reelei locale5 Te-nicile cr(pto.rafice moderne fac e+trem de dificil interceptarea unui parole6 dar nu imposi!il5 Cu al.oritmii cunoscui decriptarea ar dura ani sau zeci de ani6 dar pot aprea al.oritmi mai performani care s reduc timpul de decriptare la limite de timp rezona!ile6 astfel 1nc,t un atac s fie posi!il5 27

*e impune deci o soluie mai si.ur6 o protecie 1n plus5 "nele instituii au ales ca unele zone din reeaua lor s nu fie le.at deloc la Internet (de e+emplu !ncile)5 8mpreun cu securitatea accesului 1n Instituie aceast protecie este destul de eficient5 Totu4i6 unele instituii prin 1ns4i natura acti$itii lor au ne$oie s fie conectate la Internet pentru a recepiona informaii sau c-iar pentru a oferi informaii 1n Internet (prezentarea produselor firmei cu preurile aferente de e+emplu)5 C-iar dac informaiile circula 1ntr-un sin.ur sens6 nu se poate 1ntrerupe transmiterea de informaii 1n celalalt sens6 deoarece comunicarea presupune e+istena unui feed-!ac% de la destinatar6 pentru a se retransmite e$entual poriuni de informaie distruse pe drumul dintre sursa 4i !eneficiar5 *oluia ar fi deci supra$e.-erea informaiilor care se sc-im! 1ntre reeaua local 4i Internet6 astfel 1nc,t s nu se accepte 1ncercri de conectare cu sursa din afara instituiei sau s se accepte doar din anumite puncte ale Internetului5 Accesul se poate restriciona 4i difereniat pe ser$icii6 de e+emplu pe un computer e+ist informaii pu!lice accesi!ile prin sistemul HHH 4i informaii confideniale accesi!ile prin G,P5 *e poate da accesul ctre ser$icul HHH oricrui utilizator Internet6 dar accesul G,P s fie permis doar din reeaua local5 Aceas limitare a accesului se poate face pe fiecare ser$iciu 1n parte sau .lo!al6 la ni$elul sistemului de operare5 Implementarea la ni$elul sistemului de operare este mult mai eficient6 datorit faptului c este centralizat6 unitar 4i nu depinde de aplicaiile utilizate (acestea pot sau nu s ai!e sisteme de limitare a accesului)5 2 astfel de protecie este a4a-numitul Wfire'allX (zid impotri$a rsp,ndirii focului)5 El realizeaz o protecie la ni$elul unitii fundamentale de transfer a informaiei F pac-etul5 Protocolul utilizat actualmente 1n Internet este IP#D (IP $ersiunea D)6 pac-etul IP fiind unitatea informaionalp fundamentalp5 El conine o!li.atoriu destinaia (un numr reprezentat pe C@ de !ii care identific unic destinaia 1n Internet) 4i sursa (numrul reprezentat pe C@ de !ii care identific 1n Internet sursa)5 "n fire'all ar putea deci s nu permit primirea niciunui pac-et care are ca surs un IP din afara listei de IP-uri care identific calculatoarele utilizatorilor autorizai5 E+ist 1ntr-ade$r o mic posi!ilitate ca ru$oitorul s pretind c are IP-ul unuia din calculatoarele autorizate6 dar aciunea cere ca el s se afle pe traseul dintre calculatorul autorizat 4i inta atacului6 altfel rspunsul la cerere ar a7un.e pe traseul normal la calculatorul care deine 1ntr-ade$ar acel IP6 el neput,nd-ul intercepta5 8n plus tre!uie s dein pri$ile.ii de adminstrator pentru a realiza aceast aciune6 deci sfera de $ulnera!ilitate se reduce simitor5 8mpreun cu alte protecii (autentificare cu semnturi cripto.rafice6 autentificare cu parol) se poate realiza o protecie eficient a informaiilor importante ale instituiei5 Criteriile de acceptare ale pac-etelor pot fi com!inate6 acceptarea se poate face prin testarea mai multor condiii 28

precum ser$iciul cruia i se adreseaz6 tipul pac-etului6 interfaa fizic pe care a $enit pac-etul6 etc5 8n plus6 fire'all-ul mai poate fi folosit pentru a restriciona accesul utilizatorilor interni la anumite resurse din Internet6 fie pentru a utiliza eficient limea de !anda pe care o are la dispoziie instituia pentru a comunica cu Internetul6 fie pentru a limita accesul 1n timpul pro.ramului la informaii care nu in de acti$itatea de producie ($izitarea pa.ini web distracti$e6 chat-uri6 etc)5

Cu# $uncioneaz un $ire-all Pac9etul IP


"n pac-et IP conine o!li.atoriu IP-urile celor doi a.eni care comunic5 Alturi de acestea el mai conine tipul de pac-et 4i pentru fiecare TIP informaii specifice respecti$ului TIP de pac-et5 Tipurile de pac-ete IP sunt I P6 ,#P6 I#"P& I P se folose4te pentru a realiza un canal nefia!il6 unde pierderea unui pac-et nu este foarte important dar 1nt,rzierea retransmiterii unui pac-et este suprtoare (ca 1n cazul transmiterii frame-urilor $ideo)5 Pac-etele ,#P se folosesc pentru realizarea de canale fia!ile6 cu retransmiterea pac-etelor pierdute sau malformate5 Pac-etele I#"P se folosesc 1n .eneral pentru mana.ementul reelei 4i pentru transmiterea unor informaii despre e$enimente speciale 1n reea (e+emplu E destinaia nu este accesi!il)5 Informaiile proriu-zise se transmit 1n pac-ete I P si ,#P5 Am!ele conin un numr de Wport sursX 4i un numr de Wport destinaieX5 "n numr de port este un identificator al Wcaptului de cone+iuneX pe un anumit calculator5 0iecare ser$iciu Wa4teaptX pe un anumit port6 pentru a fi accesat6 calculatorul client seteaz ca port destinaie acel numr de port5 Numrul de port surs este folosit pentru a identifica clientul de pe ma4ina care a iniiat cone+iunea6 de e+emplu 1n cazul 1n care dou aplicaii acceseaz 1n paralel acela4i ser$iciu de pe un alt -ost5 Recapitul,nd putem spune c un canal de comunicaie 1n Internet este identificat unic 1n Internet de un c$adruplu format din IP surs6 P2RT surs6 IP destinaie6 P2RT destinaie5 IP-ul identific -osturile care comunic6 numrul de P2RT identific ser$iciul accesat 1n cazul ser$erului6 1n cazul clientului P2RT-ul este ales dintr-un inter$al presta!ilit6 astfel 1nc,t s fie unic5 La aceste informaii se mai adau. I)-ul interfeei pe care a $enit pac-etul (o ma4in fire'all standard are o interfa spre reeaua local 4i una spre Internet)5 Pe !aza acestor B informaii la care se mai adau. cai$a !ii precum !itul *TN sau !iii de T2* un fire'all ia decizia dac un pac-et este acceptat spre prelucrare sau este respins prin simpla i.norare sau prin emiterea unui pac-et I#"P de eroare5 29

)ac asociem pac-etelor I#"P un port surs 4i un port destinaie conform cu tipul de mesa7 transmis 4i in,nd seama c un numr de P2RT este reprezentat pe 9; !ii6 atunci pentru fiecare pac-et se ia 1n considerare C@RC@R9;R9;RAK9<D !ii5 Putem adu.a un octet (A !ii) pentru !iii suplimentari6 deci 99@ !ii5 Concatenarea acestor informaii o $om numi proprietate a pac-etului5 *-a considerat I)-ul interfeei reprezentat pe A !ii5

A&stractizare $ire-all
A!stractiz,nd6 un fire'all este o partiionare 1n dou a mulimii Y<69Z[99@5 Prima mulime este mulimea proprietilor cu care pac-etele se accept6 cea de-a doua este complementarea ei 1n mulimea proprietilor posi!ile ale pac-etelor6 deci mulimea de proprieti care sunt inaccepta!ile 4i care .enereaz respin.erea pac-etului5 Reformul,nd6 putem spune 4i c fire'all-ul este o funcie pe mulimea de proprieti ale pac-etelor 1n mulimea Y<69Z (acceptat6 respins)5 *e pot utiliza 1ns 4i alte informaii din pac-et pentru a decide acceptarea sau nu a unui pac-et6 1n cazul 1n care o proprietate este specific unui anumit tip de pac-et6 pentru celelalte tipuri de pac-et se poate specifica o $aloare implicit5 )ac considerm cazul .eneral al proprietaii pac-etului 1n n !ii6 pentru a reprezenta un fire'all este suficient s reprezentm mulimea proprietilor care conduc la acceptarea pac-etului5 *e pot proiecta fire'all-uri mai comple+e6 cu mai multe decizii (de e+emplu acceptare6 i.norare pac-et6 trimiterea unei notificri de interzicere6 notificarea 1ntr-un fisier lo.6 etc)6 codomeniul funciei fire'all fiind mai mare 1n acest caz (cardinalul ei este numrul de posi!ile decizii)5

Li#itri cunoscute
Caracteristicile de performan ale unui al.oritm care s rezol$e aceast pro!lem sunt E

: :

Comple+itatea computaional mic5 Tre!uie s poat prelucra c,te$a mii de

pac-ete pe secund5 =emoria consumat s nu fie foarte mare

Posi&ile re rezentri
Cea mai simpl reprezentare a partiiei mulimii @ n 1n dou mulimi este un 4ir de @ n !ii6 semnificaia !itului % fiind E A %K< elementul care este reprezentarea !inar a lui % aparine primei mulimi6 respecti$ A%K9 elementul care este reprezentarea !inar a lui % aparine celei de-a doua mulimi5 2peraiile care tre!uiesc efectuate se fac e+trem de rapid5 #erificarea apartenenei unui element la una din cele dou su!multimi se face cu 30

un sin.ur acces la memorie 4i selectarea unui !it din numrul care este stocat la acea locaie6 dac se consider c timpul de acces la locaiile de memorie este acela4i oricare ar fi locaia (cum se 1ntampl 1n sistemele de calcul o!i4nuite)6 aceast reprezentare are timpul de rulare per pac-et cel mai mic5 Adu.area sau 4ter.erea unui element este la fel de simpl6 constau 1n setarea3desetarea unui !it5 Pro!lema acestui sistem este 1ns spaiul de memorie pe care 1l cere5 Este ne$oie de @ n3AK@n-C /(tes de memorie pentru acest tip de reprezentare6 spaiu de memorie consumat indiferent de partiia reprezentat5 Acest spaiu este spaiul minim 1n care se poate reprezenta orice partiie a mulimii Y<6@Z
n

6 dar totu4i6 pentru tipurile de partiii folosite 1n mod curent se pot .si

reprezentri care folosesc mult mai puin memorie6 de4i anumite cazuri (care nu apar 1n practic) ar a$ea ne$oie c-iar de mai mult memorie 5 )ac ar fi s facem o paralel cu teoria codurilor putem spune c elementele mulimii Y<6@Z n se pot codifica folosind cu$inte cod de lun.ime mai scurte pentru elementele mai des 1ntalnite 4i cu$inte de cod mai lun.i pentru elemente care apar rar5 Tras,nd anumite limitri ale tipurilor de partiii pe care le $om reprezenta putem s .arantm faptul c pro.ramul se $a 1ncadra 1ntr-o anumit limit de memorie5

Re rezentarea cu #asc
Aceasta este reprezentare uzual folosit 1n prezent5 *implificat const 1ntr-o serie de perec-i (a6m) a6m Y<6@Z
n

unde a 1l $om numi sa!lon iar m se nume4te masc?5


n

0iecare perec-e define4te o su!mulime a mulimii Y<6@Z

astfelE elementul ! este 1n

mulimea definit de perec-ea (a6m) dac !\mKa (unde \ define4te operaia de W4iX lo.ic6 !it cu !it 1ntre ! si m)5 2rice su!mulime a lui Y<6@Z n se poate reprezenta ca o mulime de astfel de perec-i6 mulimea reprezentat fiind reuniunea mulimilor reprezentate de respecti$ele perec-i5 Acest lucru se demonstreaz u4or prin faptul c e+ist o reprezentare pentru fiecare element WaX al mulimii Y<6@Z n6 aceasta fiind (a6m) unde m are toi !iii 96 deci !\mK! 4i !\mKa aK!5 *e poate deci reprezenta orice su!mulime a lui Y<6@Z n ca reuniune de astfel de reprezentri ale elementelor6 deci se poate reprezenta orice su!mulime6 deci orice partiie5 Pentru optimizare se asociaz o ordine acestor perec-i 4i c,te un !it de asociere cu una dintre mulimi5 Pentru a afla 1n care dintre su!mulimi se afl un anumit element se parcur. 1n ordine perec-ile6 !itul asociat primei perec-i care $erific condiia !\mKa (se mai spune 4i ca Wface matc- cu perec-eaX) indic,nd din care dintre mulimi face parte elementul5 8n cazul 1n care nici una din perec-i nu Wface matc-X elementul testat se consider c aparine uneia dintre mulimi dinainte sta!ilite (numit Wmulime defaultX) 5 Aceast reprezentare este suficient pentru a reprezenta orice partiie6 de e+emplu putem pune c,te o re.ul care s reprezinte fiecare 31

element din prima mulime (ale.em masca m ca 4ir de n !ii W9X) 4i care s trimit prin !itul asociat la prima mulime6 iar mulimea default o ale.em s fie cea de-a doua mulime5 Este e$ident c elementele din prima mulime $or face matc- pe una dintre re.uli 4i $or fi recunoscute ca fc,nd parte din prima mulime iar cele din cea de-a doua mulime $or fi identificate corect pentru c a7un. 1n mulimea default5

Re rezentare $ire-all rintr-un auto#at


Putem reprezenta fire'all-ul printr-un automat61n care alfa!etul s fie format din sim!olurile Y<69Z6 iar strile finale s fie etic-etate cu indicele deciziei care se ia 1n cazul 1n care se a7un.e 1n acea stare pornind din starea iniial 4i urm,nd 4irul de !ii format de proprietatea unui pac-et5 2rice drum 1n acest automat nu tre!uie s fie mai mare dec,t numrul de !ii din proprietate6 deci comple+itatea al.oritmului ar fi c-iar liniar cu numrul de pac-ete5 0aptul c un astfel de automat e+ist este u4or de demonstrat6 se poate crea de e+emplu ca un ar!ore complet cu n ni$ele (n fiind numrul de !ii pe care se reprezint proprietatea)5 Nodurile frunz $or fi stri finale6 etic-etate cu inde+ul deciziei care se ia pentru pac-et5 *e poate astfel reprezenta orice fire'all5 Totu4i6 acest automat nu este cel minimal6 al.oritmi de minimizare e+ist,nd de7a5 Pentru cazul o!i4nuit 1ns6 1n care se dispune de o reprezentare cu masc6 se pot .si 4i al.oritmi mai simpli pentru minimizare (se presupune c un fire'all care se dore4te optimizat este destul de comple+6 deci un al.oritm standard ar folosi mult memorie 4i ar a$ea o comple+itate computational destul de mare5

Auto#at $ire-all #ini#al


=ai 1nt,i $om rela+a puin cerina6 cer,nd ca automatul s fie minimal doar 1n mulimea automatelor care au toate strile finale la distana n de punctul de start5 #or e+ista deci nR9 ni$ele de noduri6 pe ultimul ni$el fiind strile finale5 Numrul strilor finale $a fi %Knumrul de decizii pe care le poate lua fire'all-ul5 Cu$intele-proprieti cu care nu se a7un.e 1ntr-o stare final (la un moment dat nu e+ist tranziie din starea 1n care s-a a7uns cu sim!olul curent) se consider clasificate 1n re.ula default5 Este e$ident c un astfel de automat e+ist6 se poate face ar!orele complet 1n care strile finale cu aceea4i etic-et se reduc6 aceasta fiind 4i ideea minimizrii 1n cazul automatului clasic5 Acela4i al.oritm se !azeaz 4i pe reducerea strilor ec-i$alente6 al.oritmul clasic are 1ns comple+itate computaional prea mare5 #om considera cazul 1n care e+ist un automat minimal de acest tip (de e+emplu automatul cu o sin.ur stare6 cea de start)5 La adu.area fiecrei re.uli automatul 32

tre!uie meninut minimal5 2 re.ul este 4i ea un caz particular de automat5 Acest automat se construie4te printr-un 4ir de nR9 stri ordonate6 1ntre fiecare dou stri consecuti$e put,nd e+ista o tranziie cu litera corespunztoare din 4a!lon (a) 1n cazul 1n care sim!olul din masc este 9 4i poate conine @ tranziii6 cu < 4i 96 1n cazul 1n care sim!olul corespunztor din masc este 95 Con$enia este c !itul de pe poziia 7 corespunde cu perec-ea de stri consecuti$e (767R9)5 8n acest fel adu.area unei re.uli reprezint de fapt o sum de automate6 dar o sum mai special6 cu urmatoarele proprieti (considerm automatele A9 4i A@ care se 1nsumeaz 1n automatul A9RJA@ 4i funcia fire'all 0(A6')K+)5 ] ] 0(A96')K+ KJ 0(A9RJA@6')K+ 0(A96')K6 0(A@6 ')K( KJ 0(A9RJA@6')K(

)eci 1n cazul 1n care primul automat ddea de7a un $erdict neimplicit (prin re.ula default) pentru pac-et6 atunci automatul rezultat $a da acela4i rezultat5 8n caz contrar6 dac 1n al doilea automat e+ist un $erdict pentru pac-et6 acesta $a fi $erdictul dat de automatul final5 8n cazul 1n care nici 1n acesta nu e+ist dat un $erdict6 se $a da $erdictul dat de re.ula default (cu$,ntul nu $a fi acceptat de automat)5 Conform teoriei automatelor6 minimizarea se face ec-i$al,nd strile cu acela4i comportament5 8n acest caz6 strile cu acela4i comportament pot fi doar pe acela4i ni$el6 ele put,nd fi ec-i$alate de 7os 1n sus5 "n automat minimal are strile finale ec-i$alente6 1n acest caz fiind ec-i$alente strile finale cu aceea4i etic-et5 2 proprietate special a unor astfel de automate minimale este c orice nod-stare nu are dec,t ma+im un predecesor care 1l are ca sin.ur succesor6 pentru fiecare din com!inaiile de arce posi!ile (Y<Z6 Y9Z6 Y<69Z)5 8n caz contrar6 dou astfel de stri ar a$ea acela4i comportament6 deci automatul n-ar mai fi minimal5 Importana acestui fapt rezid 1n faptul c 1n al.oritmul de 1nsumare se $a porni Wde 7os 1n susX prin ec-i$alarea strilor cu acela4i comportament5 8n automatul al doilea pentru orice stare nu e+ist predecesori care s ai! mai muli succesori6 deci 1ncep,nd ec-i$alarea automatelor cu strile finale6 starea de pe ni$elul m din al doilea automat $a putea ec-i$ala cu o stare din primul automat dac 4i numai dac ele sunt pe acela4i ni$el m 4i au ca unic succesor cu aceea4i confi.uraie de arce o stare care a fost o!inut prin ec-i$alarea a dou stri pe ni$elul mR95 Pentru fiecare stare din automatul care se construie4te $om memora acei unici predecesori pentru fiecare confi.uraie de arce posi!ili (Y<Z6 Y9Z6 Y<69Z)5 Acest lucru $a scade mult din comple+itatea al.oritmului6 nemaifiind ne$oie s se $erifice proprietatea la toi predecesorii strii respecti$e5 )up aceast ec-i$alare a strilor6 e+ist dou posi!iliti5 )ac s-a a7uns cu ec-i$alarea strilor p,n la starea iniiala * 33

1nseamna c automatul care se adau. este coninut 1n primul automat6 nu recunoa4te alte cu$inte6 deci automatul rm,ne 1n mod corect nemodificat5 )ac nu s-a a7uns la ec-i$alarea strilor iniiale tre!uie ca automatul s fie fcut determinist6 cu o sin.ur stare iniial5 Aceasta se $a face Wmul,ndX al doilea automat peste primul5 *e $a 1ncepe cu cele dou rdcini5 Automatul al doilea are unul sau dou arce5 )ac are unul sin.ur6 e+ist dou posi!ilitiE s e+iste acest arc 1n primul automat6 caz 1n care se trece la identificarea succesorilor pe ramura cu acel sim!ol sau s nu e+iste arcul corespunztor6 caz 1n care se adau. 1n primul automat poriunea p,n care urmeaz (1n 7os) p,n la starea care a fost ec-i$alat cu una din automatul mare5 8n cazul 1n care e+ist dou arce ctre succesor 1n al doilea automat6 se $a $erifica dac 4i 1n primul automat e+ist un succesor du!lu (4i cu Y<Z6 4i cu Y9Z - ca 1n al doilea)6 caz 1n care se $or identifica succesorii du!li 4i se $a mer.e mai departe cu succesorii lor5 8n caz contrar se $or identifica succesorul st,n. (Y<Z) al celui de-al doilea ar!ore cu cel corespunztor al primului 4i succesorul drept (Y9Z) al celui de-al doilea cu cel corespunztor din primul6 dup acela4i al.oritm5 *uccesorul se $a duplica deci6 fr 1ns a fi ne$oie de duplicarea fizic6 !uci din acest su!automat $or aprea e$entual pe am!ele ramuri din primul automat5 8n cazul 1n care una din ramuri nu e+ist 1n primul automat6 se folose4te re.ula de mai sus (prin copierea ramurii respecti$e din al doilea automat p,n la starea care este ec-i$alent cu o stare din primul automat5 Comple+itatea acestei pri a al.oritmului poate cre4te teoretic6 dar practic pro!a!ilitatea s e+iste o splitare a celui de-al doilea automat este mic6 ea cresc,nd liniar cu numrul de noduri cu doi succesori distinci6 numr care cre4te lo.aritmic cu numrul de noduri5 Acest al.oritm (sau $ariant a sa u4or modificat) se poate implementa 1n sistemul de fire'all6 rezult,nd un consum de calcul mult mai mic pentru cazuri 1n care fire'all-ul este foarte mare5 Pe de alt parte se poate folosi peste implementarea e+istent6 cre,nd un sistem .ener,nd offline o reprezentare de acest tip a fire'all-ului6 4i con$ertind-o apoi la o form clasic6 dar simul,nd prin multiple c-ain-uri referite im!ricat aceast structur5

PARTEA A TREIA

- Protocolul TCP"IP Protocolul IP /Internet Protocol0


"n loc potri$it pentru a porni studiul ni$elului reea 1n Internet este 1nsu4i formatul data.ramelor IP5 2 dia.ram IP const 1ntr-o parte de antet 4i una de te+t (informaie)5 Antetul const dintr-o parte de lun.ime fi+ (@< octei) 4i una (opional) de lun.ime 34

$aria!il5 C,mpurile antetului sunt transmise 1n formatul big endian (cel mai semnificati$ primul)5 Procesorul *PARC este de tip big endian6 dar Pentiumul este de tip little endian6 deci el tre!uie s fac o con$ersie a c,mpurilor at,t la trimitere c,t 4i la recepie5 A4ezarea c,mpurilor 1n antet este urmatoareaE C@ !ii

#ersiune

IGL

Tip ser$iciu

Lun.ime total ) = )eplasamentul

Identificare

Timp de $ia Protocol Adresa sursei Adresa destinaiei Poriune opional (zero sau mai multe cu$inte de C@ de !ii)

0 0 fra.mentului *uma de control a antetului

C,mpul W#ersiuneX memoreaz crei $ersiuni de protocol 1i aparine data.rama5 Prin includerea unui c,mp $ersiune 1n fiecare data.ram6 de$ine posi!il ca tranziia dintre $ersiuni s in luni6 poate c-iar ani6 cu unele ma4ini rul,nd $ec-ea $ersiune6 4i altele noua $ersiune5 )in moment ce lun.imea antetului nu este constant6 un c,mp din antet6 IGL6 este pus la dispoziie pentru a spune c,t de lun. este antetul6 1n cu$inte de C@ de !ii5 #aloarea minim este B6 care se folose4te atunci c,nd nu e+ist opiuni5 #aloarea ma+im a acestui c,mp pe D !ii este 9B6 ceea ce limiteaz antetul la ;< de octei6 4i astfel c,mpul de opiuni la D< de octei5 Pentru unele opiuni (de e+emplu cea care 1nre.istreaz calea pe care a mers un pac-et)6 D< de octei sunt prea puini6 fc,nd aceast opiune nefolositoare5 C,mpul tip serviciu permite .azdei s comunice su!reelei ce tip de ser$iciu dore4te5 *unt posi!ile diferite com!inaii de fia!ilitate 4i $itez5 Pentru $ocea di.itizat li$rarea rapid are prioritate fa de transmisia corect5 Pentru transferul de fi4iere6 transmisia fr erori este mai important dec,t transmisia rapid5 C,mpul 1nsu4i conine (de la st,n.a la dreapta)6 un c,mp de C !ii Precedent?6 trei indicatori (fla.s)6 )6 T 4i R6 plus @ !ii nefolosii5 C,mpul Precedent? este o prioritate (de la < - normal p,n la M - pac-et de control al reelei)5 Cei trei !ii indicatori permit .azdei s specifice ce o afecteaz mai mult din mulimea Y)ela( (8nt,rziere)6 Trou.-put (Producti$itatea)6 Relia!ilit( (0ia!ilitate)Z5 8n teorie6 aceste c,mpuri permit routerelor s ia decizii 1ntre6 de e+emplu o le.tur prin satelit cu o producti$itate mare 4i o 1nt,rziere

35

mare 4i o linie dedicat cu producti$itate mic dar 4i cu 1nt,rziere sczut5 8n practic6 routerele curente i.nor c,mpul ,ip serviciu& @ungimea total? include totul din data.ram (inclusi$ antetul)5 Lun.imea ma+im este de ;BBCB octei5 8n prezent6 aceast limit superioar este tolera!il6 dar 1n $iitoarele reele cu capaciti de ordinul .i.aocteilor $or fi necesare data.rame mai mari5 C,mpul Identi+icare este necesar pentru a permite .azdei destinaie s determine crei data.rame aparine un nou pac-et primit5 Toate fra.mentele unei data.rame conin aceea4i $aloare de identificare5 "rmeaz un !it nefolosit 4i apoi dou c,mpuri de 9 !it5 )0 $ine de la W)on^t fra.mentX - A nu se fra.menta5 Acesta este un ordin dat routerelor s nu fra.menteze data.rama6 pentru c destinaia nu este capa!il s le asam!leze la loc5 )e e+emplu6 c,nd un calculator porne4te6 memoria sa R2= poate cere s i se trimit o ima.ine de memorie ca o sin.ura data.ram5 Prin marcarea data.ramei cu !itul )06 emitorul 4tie c acesta $a a7un.e 1ntr-o sin.ur !ucat6 c-iar dac aceasta 1nseamn c data.rama $a tre!ui s e$ite o reea cu pac-ete mai mici6 dar mai rapid6 pentru o rut su!optimal5 Este necesar ca toate ma4inile s accepte pac-ete de BM; octei sau mai mici5 "G $ine de la =ore 0ra.ments (fra.mente adiionale)5 Toate fra.mentele6 cu e+cepia ultimului6 au acest !it acti$at5 El este necesar pentru a 4ti c,nd au a7uns toate fra.mentele unei data.rame5 eplasamentul +ragmentului spune unde este locul fra.mentului curent 1n cadrul data.ramei5 Toate fra.mentele dintr-o data.ram6 cu e+cepia ultimului6 tre!uie s ai!e lun.imea multiplu de A octei - unitatea de fra.mentare elementar5 )in moment ce sunt pre$zui 9C !ii6 e+ist un ma+im de A9:@ de fra.mente de data.ram6 o!in,ndu-se o lun.ime ma+im a data.ramei de ;BBC; octei6 cu unul mai mult dec,t c,mpul @ungime total?5 C,mpul ,imp de via>? este un contor folosit pentru a limita durata de $ia a pac-etelor5 Este pre$zut s contorizeze timpul 1n secunde6 permi,nd un timp ma+im de $ia de @BB secunde5 El tre!uie s fie decrementat la fiecare salt (-op - trecerea dintr-o reea 1n alta) 4i se presupune c este decrementat de mai multe ori c,nd st la coad mai mult timp 1ntr-un router5 8n practic6 el contorizeaz doar salturile5 C1nd contorul a7un.e la zero6 pac-etul este eliminat6 trimi,ndu-se sursei un a$ertisment5 Aceast facilitate pre$ine -oinreala la nesf,rsit a pac-etelor prin Internet6 ceea ce se poate 1ntampla dac ta!elele de diri7are sunt incoerente5 C,nd ni$elul reea a asam!lat o data.ram complet6 are ne$oie s 4tie ce s fac cu ea5 C,mpul Protocol spune crui proces de transport tre!uie s-l predea5 TCP este o

36

posi!ilitate6 dar tot asa sunt 4i ")P 4i alte c,te$a5 Numerotarea protocoalelor este .lo!al pe 1ntre.ul Internet 4i este definit 1n R0C 9M<<5 !uma de control a antetului $erific numai antetul5 2 astfel de sum de control este util pentru detectarea erorilor .enerate de locaii de memorie proaste 1n interiorul unui router5 Al.oritmul este de a aduna toate 7umtile de cu$inte6 de 9; !ii6 atunci c,nd acestea sosesc6 folosind aritmetica 1n complement fa de unu 4i pstrarea complementului fa de unu al rezultatului5 Pentru scopul acestui al.oritm6 suma de control a antetului este presupus a fi zero dupa sosire5 Acest al.oritm este mai ro!ust dec,t folosirea adunrii normale5 2!ser$ai c suma de control a antetului tre!uie recalculat la fiecare salt6 pentru ca cel puin un c,mp se sc-im! 1ntotdeauna (c,mpul timp de $ia)6 dar se pot folosi trucuri pentru a accelera calculul5 Adresa sursei 4i Adresa destina>iei specific numrul de reea 4i numrul de .azd5 Adresele Internet se $or discuta 1ntr-o seciune ulterioar5 C,mpul 1p>iuni a fost proiectat pentru a oferi un su!terfu.iu care s permit $ersiunilor $iitoare ale protocolului s includ informaii care nu sunt prezente 1n protocolul ori.inal6 pentru a permite cercettorilor s 1ncerce noi idei6 4i pentru a e$ita alocarea unui numr de !ii rar folosii5 2piunile sunt de lun.ime $aria!il5 0iecare 1ncepe cu un cod de un octet6 care identific opiunea5 "nele opiuni sunt urmate de un c,mp de un octet reprezent,nd lun.imea opiunii6 urmat de unul sau mai muli octei de date5 C,mpul 1p>iuni este completat p,n la un multiplu de D octei5 8n acest moment sunt definite cinci opiuni6 care sunt listate mai 7os6 dar nu toate routerele le suport pe toate5 8 iune *ecuritate )iri7area strict pe !aza sursei )iri7area apro+imati$ pe !aza sursei 8nre.istreaz calea Amprenta de timp 3escriere =enioneaz c,t de secret este data.rama Indic calea complet de parcurs Indic o list a ruterelor ce nu tre!uie srite 0iecare router tre!uie s-si adau.e adresa IP 0iecare router tre!uie s-si adau.e adresa 4i o amprent de timp

2piunea !ecuritate menioneaz c,t de secret este informa1ia5 8n teorie6 un router militar poate folosi acest c,mp pentru a meniona c nu se dore4te o diri7are prin anumite ri pe care militarii le consider ru$oitoare5 8n practic6 toate routerele 1l i.nor6

37

deci sin.ura WfuncieX practic este s a7ute spionii s .aseasc lucrurile de calitate 6 d calea complet de la surs la destinaie ca o succesiune de adrese IP5 2piunea irijarea strict? pe ba=a sursei J )ata.rama este o!li.at s urmeze aceast cale precis5 Ea este deose!it de util pentru administratorii de sistem pentru a transmite pac-ete c,nd ta!elele de diri7are sunt distruse6 sau pentru a depana3confi.ura reeaua5 2piunea irijarea apro.imativ? pe ba=a sursei face posi!il ocolirea anumitor re.iuni .eo.rafice din moti$e politice sau de alt natur5 2piunea Knregistrea=? calea indic routerelor de pe cale s-si adau.e adresele lor IP la c,mpul opiune5 Aceasta permite administratorilor de sistem s localizeze pene 1n al.oritmii de diri7are5 C,nd reeaua ARPANET a fost infiinat6 nici un pac-et nu trecea $reodat prin mai mult de noua routere6 deci D< de octei erau suficieni5 Cum s-a mai spus6 1n prezent dimensiunea este prea mic5 2piunea Amprenta de timp este similar cu opiunea Knregistrea=? ruta6 cu e+cepia faptului c 1n plus fa de 1nre.istrarea adresei de C@ !ii se adau. 4i o amprent de timp de C@ !ii5 Oi aceast opiune este folosit tot pentru depanarea al.oritmilor de diri7are5

Adrese IP
0iecare .azd 4i router din Internet are o adres4 IP6 care codifica adresa sa de reea 4i de .azd45 Com!inaia este unic E nu e+ist dou ma4ini 1n Internet cu acela4i IP5 Toate adresele IP sunt de C@ de !ii lun.ime6 4i sunt folosite 1n campurile Adres? surs? 4i Adres? destina>ie ale pac-etelor IP5 =a4inile care sunt conectate la mai multe reele au adrese diferite n fiecare reea5 0ormatele folosite pentru adresele IP sunt urmatoarele E C@ !ii

< 9 < 9 9< 99 9<

Reea Reea Reea

&azd &azd &azd

Adresa de trimitere multipl Rezer$at pentru folosire $iitoare

9999 <

38

8n funcie de antetul adresei (<6 9<6 99<6 999<6 9999<) adresele se 1mpart respecti$ 1n adrese de clasa A6 /6 C6 )6 E5 0ormatele de clasa A6 /6 C 4i ) permit p,n la 9@; reele cu 9; milioane de .azde fiecare6 9;5CA@ reele cu p,n la ;D5<<< .azde fiecare6 @ milioane de reele cu p,n la @BD .azde fiecare (de e+emplu LAN-uri) 4i multicast (trimitere multipl)5_eci de mii de reele sunt conectate acum la Internet6 4i numrul se du!leaz 1n fiecare an5 Numerele de reea sunt atri!uite de NIC /Net-or+ In$or#ation Center0 pentru a e$ita conflictele5 Adresele IP6 care sunt numere de C@ de !ii6 sunt scrise 1n mod uzual 1n notaie zecimal cu punct5 8n acest format6 fiecare dintre cei D octei este scris 1n zecimal6 rezult,nd $alori 1ntre < si @BB5 )e e+emplu6 adresa -e+azecimal C<@:<;9D este scris ca 9:@5D95;5@<5 Cea mai mic adres IP este <5<5<5< 4i cea mai mare este @BB5@BB5@BB5@BB5 #alorile < 4i -9 au semnificaii speciale5 #aloarea < reprezint reeaua curent sau .azda curent5 #aloarea -9 este folosit ca o adres de difuzare pentru a desemna toate .azdele din reeaua indicat5 Adresa IP <5<5<5< este folosit de .azde atunci c,nd sunt pornite6 dar nu mai este folosit ulterior5 Adresele IP cu < ca numr de reea se folosesc pentru a referi reeaua curent5 Astfel6 o ma4in se poate referi la propria reea fr a cunoa4te numrul acesteia (ea tre!uie 1ns s cunoasc clasa reelei6 pentru a 4ti c,te zerouri s includ)5 Adresele care conin numai 9-uri sunt folosite pentru a difuza 1n reeaua curent (de o!icei este $or!a de un LAN)5 Adresele cu numr de reea e+act 4i cu numr de .azd format numai din 9-uri se folosesc pentru a trimite pac-ete tuturor .azdelor de la o anumit adres de reea5 8n final6 adresele 9@M5++5((5zz sunt rezer$ate pentru testri 1n !ucla local (loop!ac%)5 Pac-etele trimise ctre aceast adres nu sunt trimise prin ca!lu 6 ele sunt prelucrate total 4i tratate ca pac-ete sosite5 Aceasta permite ca pac-etele s fie trimise propriei .azde6 fr ca emitorul s-i cunoasc adresa5

39