SECURITATEA REELELOR

Vom discut despre diferitele metode de a asigur securitatea reelelor. 1) Prezentare general a securitatii reelelor: securitate fizica acces fizic la reele

2) VPN(Virtual Private Networ ): cum pot fii utilizate pentru a asigur securitatea comunicatiei. !) "irewall #iferitele tipuri de "irewall $) %riptare & su' diferite forme( cum ar fii: )"* & )ncr+pted "ile *+stem care este nou ,n -indows2...( -indows/P. %)012"2%31) & pe care pro'a'il le4ati utilizat pentru a acces diferite site4uri -)5. 2P *ecurit+ & protocol utilizat pentru criptare end4to4end 621P & 6a+er 2 1elnet Protocol **6 & *ecure *oc et 6a+er 7) 8)05)09* & preluat din lumea :N2/ ;i care este acum metod implicit de autentificare ,n -indows2... ;i -indows/P

1.) Prezentare general a problemelor de se !r"tate a re#elelor

2nainte de a a'ord securitatea reelei ,n general( tre'uie discutat despre securitatea fizica. 3ceast tre'uie deasemeni( acoperita. 0eeau tre'uie prote<at atat impotriv atacurilor din e=terior( cat ;i din interior. )ste foarte usor pentru cinev care intr ,n firma( instaleaz un sistem de monitorizare pentru a o'tine parole de acces ,n reea( sau alte metode de a penetr sistemul( dac se c>eltuiesc mii de dolari pentru "irewall4uri scumpe pentru a prote< reeau impotriv atacurilor din afara( dar nu se face nimic pentru securitatea intern securitatea fizic este la fel de important ca ;i cea virtuala. 2.) 1re'uie efectuate regulat audit4uri de securitate(cu alte cuvinte: sta'ileste p>+sical enviroment sta'ileste nivelul amenintarilor care poate s apara ce pro'leme pot s apar ;i de ce 3uditul securitatii tre'uie facut regulat. #ac se face o dat pe an nu inseamn nimic( deoarece amenintarile de securitate se modifica( dinamic industriei se modific ;i apar mereu noi amenintari ;i posi'ilitati de penetrare a sistemului. ?2.) 1re'uie sta'ilite ;i realizate elemente de securitate fizica: accesul ,n cladire: cand se face auditul de securitate tre'uie ,n fapt determinat unde e=ist sla'iciuni ,n sistem ;i tre'uie luate masuri ,n consecinta. accesul la calculatoare( ,n camer serverelor( etc utilizare de : smart4card( sisteme 'iometice: e=emplu scanarea retinei. Prim metod de prevenire a intruziunii ,n sistem il reprezint restrictiile prin parole. 0estrictii prin parole: parole comple=e istoricul parolelor redenumirea contului de administrator Asigurati-va de complexitatea parolelor: nu numele sotului( copiilor( cainelui( masin preferat as cum se utilizeaz uzual.

:n >ac er care st de vor' cu un astfel de utilizator poate afl foarte repede toate informaiile necesare pentru a penetr sistemul. Parol @ com'inatie de caractere alfa4numerice. #e asemeni trebuie pastrat istoricul parolelor( astfel incat un utilizator s nu isi poate sc>im' parol intr4un care a mai fost utilizata( dac nu a trecut cel putin sase luni. :tilizatorii nu au voie s comute de pe parol test1 pe test2 ;i inapoi( as cum se intampl cand utilizatorii comut de pe o parol pe alt din timp ,n timp. Redenumeste contul de administrator: ,n diferite sisteme de operare e=ist diferite nume pentru contul de administrator. N9V)66: *upervisor -2N#9-*: 3dministrator 9amenii care lucreaz ,n domeniul reelelor cunosc denumirea contului A3dministratorB ;i pot incepe >ac ing cu acest cont dac au toate informaiile necesare. #eci redenumeste contul astfel incat s nu4l sugereze pe cel de administrator sau creeaz un cont separat de administrator ;i seteaz pentru contul de administrator drepturi uzuale & nu drepturi de administrator. I$%RASTRUCTURA inlocuirea Cu'urilor cu *witc>uri: se creeaz domenii de coliziune diferite astfel incat dac cinev instaleaz un sniffer( el va acces numai la informaii din respectivul domeniu de coliziune & numai pentru un singur port al switc>ului. 2nstalarea de software pentru 2ntrusion #etection sau *istem. ?n acest caz sistemul va putea recunoaste orice intruziune din afar sau prezent ,n sistem.

&.) 'P$ ( '"rt!al Pr")ate $et*or+

:tilizate pentru a furniz access sigur la reea vi 2nternet: PP1P 621P ( cu 2P*)%) VPN furnizeaz comunicatie sigur printr4un mediu nesigur(2nternetul). #eci permite ca dou gazde sau dou reele s comunice sigur vi 2nternet. Pentru aceast utilizeaz dou mecanisme: PP1P & Point 1o Point 1unneling Protocol 621P(cu 2P*)%) & 6a+er 2 1unelling Protocol 621P nu furnizeaz criptare( de aceea este utilizat impreun cu protocolul 2P*ecurit+.
1 Come user sau mo'ile computer

2N1)0N)1

1D2.1EF.2.1.. 2 1:N)6 E!.1..17..1.7 E!.1..17..1..

VPN creeaz o sesiune criptat (un tunel particular) ,ntre dou staii conectate prin 2N1)0N)1. * presupuem ca 1 este o gazd de pe 2N1)0N)1( iar 2 intrarea intr4o reea mare. 1 se conecteaz de dou ori la reeau E!.1..=.= o dat( s spunem( prin dial4up la internet ;i a dou oar prin tunelul sigur creat de VPN. 2 ,i aloc lui 1 o adres 2P suplimentar de pe propri reea( de e=emplu 63.10.150.105( ceea ce ,i va permite s comunice ,n cadrul reelei E!.1.GG.

#ar orice informaie circul de la 1 reea este criptat (circul prin tunel)

fig.2 Vom avea ;i un PPP adapter (Point4to4Point Protocol)& 2nterfa pentru serverul 03* (0emote 3cces *erver). 3ceast staie va funciona ca server VPN. E!.1..17..1.7 este adres 2P a interfetei PPP. Procesul de creare a cone=iunii VPN pentru conectarea la serverul VPN la distan. Procesul este similar conectrii la un server la distan. cmd 2pconfig (vezi fig.2). H+ Networ Places Properties Ha e New %onnection Networ %onnection -izard #ial4:p to Private Networ (implicit) #ial4:p to 2nternet %onnect to a Private Networ t>roug> t>e 2nternet. ( %reate VPN)
tre'uie ales tipul cone=iunii

Fig.3

N)/1 3ici poate fi introdus ;i 1D2.1EF.2.1..

#estination 3ddress Cost name or 2P address E!.1..17..1.7

N)/1 "or all users VPN (name of t>is connection) "inis> se solicit user name: 3dministrator password connect 0egistering +our computer on t>e networ VPN is now connected. ?n tas 'ar va aparea sim'olul #u'lu & clic se afiseaz fereastr de stare VPN STATUS
Connection *tatus: %onnected #uration: Activity *ent 444444 44444 0eceived

Fig. 4

Properties

#isconnect %lose %H# 2p%onfig acum avem ! adrese 2P.

"ig.7 Propri adres 2P: 1D2.1EF.2.1.. 3dres 2P a serverului VPN: E!.1..17..1.. 3dres 2P care a fost alocat de VPN: E!.1..17..1.7 3ceasta se aloc dinamic pentru a putea accesa resursele serverului VPN ;i ,n final resursele reelei VPN. %eea ce tre'uie reinut este faptul c cone=iunea intre gazd 1 ;i serverul VPN este criptata. #iscutand despre criptare e=ist 2 opiuni: PP1P & Point to Point 1unnelling Protocol: 4 utilizat pentru criptare ;i trimiterea prin tunel a pac>etelor 2P. 621P & 6a+er 2 1unneling Protocol: 4 utilizat pentru trimiterea prin tunel a pac>etului 2P. 4 utilizarea 2P *)% pentru criptare 4 mai multe nivele de securitate PP1P & este mult mai larg implementata( ,n primul rInd datorit faptului c este sustinut de clientii -indows VPN: -indowsD=( -indows 2...( -indows H)( -indows /P. 621P & este suportat numai de -indows 2... ;i -indows /P 6 creearea unei reele VPN tre'uie avut gri< ca am'ele capete ale cone=iunii s suporte aceleasi mecanisme de criptare implementate. PP1P utilizeaz HPP) @ Hicrosoft Point to Point )ncr+ption & mecanismul de criptare peste VPN. PP1P suport numai nivelul utilizator pentru autentificare.

P21P suport autentificarea la nivel de staii prin certificatelor ;i apoi nivel de utilizator

utilizarea autentificare la

%)01 3utentificarea utilizatorilor are loc la nivelul protocolului PPP dar autentificarea la nivel de staie se face cu o %C3P & %>allenge Cands>a e 3ut>entification Protocol sau o versiunea Hicrosoft a acestui H*4%C3P sau o noua versiune (tot Hicrosoft) H*4%C3P V2 &ceea ce face diferite cele 2 versiuni este Jmutual aut>entificationK %lientul se autentific serverului. *erverul se autentific clientului

%62)N1 *erver 3m'ele pri se asigur c cel cu care comunic este cine spune c este. IPSec (IP Security Protoco ! *uport criptare end4to4end.
apartine unei reele

legtur direct sau

aparine altei reele

infrastructur nesigur
%riptarea #ecriptarea Nu intereseaz

informaiilor

faptul c pac>etele sunt sau nu criptate

informaiilor

IPsec lucreaz la nivelul ! al modelului 9*2 (reea) orice aplicaie care lucreaz la nivelul ! poate utiliza avanta<ele 2P*ec. 1)6N)1 "1P C11P

2P*ec suport criptarea end & to & end (implementeaz criptarea)

Pentru -indows2... ;i -indows/P este important pentru ceea ce inseamn politici: IPSec Po icies Pot fii implementate pe: staii locale grupuri #ou P%4uri care comunic sigur prin 2P*ec tre'uie o'ligatoriu s foloseasc o metod de autentificare ;i s sta'ileasc ceea ce se numeste *3 (*ecurit+ 3ssociation) & mai ales pentru -indows 2....

*e utilizeaz certificate pe am'ele staii cu protocoale 8)05)09*. *taiile care comunic ,n cadrul aceluia;i domeniu sau ,ntre domenii de ,ncredere. "ie se utilizeaz protocoale 8)05)09* pt autentificarea am'elor staii( fie se utilizeaz P0)4*C30)# 8)L(secret)( cel mai putin sigur dintre cele ! mecanisme (%ertificate( 8er'eros( Pres>ared48e+) dar inc valid.

Pre4s>ared 8e+ semnific faptul ca am'ele staii care comunic (de e=emplu ,;i trimit mesa<e email) au implementat aceeasi pass4p>rase pe am'ele staii. %el mai sigur & utilizarea certificatelor 8er'eros 4 este o solutie foarte 'un pentru comunicarea inter4domenii sau ,ntre domenii de ,ncredere.

,.) %IRE-ALL
63N 2N1)0N)1

"20)-366

"20)-366

"irewall4ul este un dispozitiv softwareM>ardware destinat aparrii 63N4ului ,mpotriv intruziunii din 2nternet( din lumea Ade afaraB. #ar firewall4ul poate( de asemeni( 'loc o parte a 63N4ului de alta sau accesul la anumite servicii din 2nternet.

"I#$%A&& se'(r) 'ortiuni ( e re*e ei interne

(.! "irew( + so,tw(re

"irewall poate realiza mai multe funciuni ;i poate prote<a ,n mai multe feluri. cea mai cunoscut funcie: permite traficul prin anumite porturi ;i 'loc>eaz traficul prin altele. poate permite traficul *H1P prin portul 27 sau P9P! prin portul 11.

 poate permite accesul la portul F. & C11P poate 'loc accesul din interior la un server "1P dac o gazd din e=terior doreste s acceseze o aplicatie din 63N( accesul poate fii respins "irewall4ul poate realiz aceste funciuni prin ! mecanisme diferite( care dau ! tipuri diferite de firewall4uri: P(c-et ,i ters . este cel mai simplu ;i foarte rapid

0eguli

Port 1%P M :#P 3dres surs sau destinatie 1oate pac>etele a<ung la firewall ;i ,n funcie de adres 2P( de portul 1%P sau portul :#P de adres sursei sau destinatiei ;i funcie de regulile care au fost implementate pac>etele sunt lasate s treac sau sunt respinse( aruncate ) mecanism foarte simplu( rapid. 6ucreaz la niv. *uperioare ale modelului 9*2 & accept M respinge traficul foarte rapid. 3cest tip de firewall N: contine inspecti pac>etului( nu se uit ,n interiorul acestui ci numai la >eaderul acestuia( citeste adresele( portul ;i pac>etul este acceptat sau respins '.) St(te,u P(c-et Ins'ection/ pe lang funciunile anterioare este analizat ;i continutul pac>etului ;i sunt cautate anumite cuvinte c>eie ,n interiorul pac>etului sau elemente c>eie. )ste analizat fiecare tip de date( pentru a gasi componente c>eie care s permit sau s resping pac>etul respectiv.

c.) A'' ic(tion 0(tew(y(Pro1y Server!/ Pro=+ server este pro'a'il cel mai ro'ust dintre toate cele trei tipuri de firewall( acest avand funciuni suplimentare fat de tipurile prezentate anterior. %onsideram o staie care funcioneaz ca Pro=+ & poate funcion ca un gatewa+ pentru o reea.

P09/L 4 3plicatie 4 3utentificare utilizator 4 3partenent la un grup 4 etc

Pro=+ serverul poate face inspecti pac>etelor( poate accept sau respinge traficul( poate 'loc porturi de e=: 1%P sau :#P( dar mai poate avea ;i alte funciuni & 'locarea traficului pe 'az aplicatiei sau pe 'az autentificarii utilizatorului apartenentei la un grupt etc. #e e=emplu e=ist grupul vanzari care tre'uie s ai' acces la "1P. :tilizatorii grupului AVanzariB vor trimite pac>etele dar altii nu. 3lt 'eneficiu al serverelor pro=+ este acel ca maresc vitez de navigare. %onsideram catev staii legate la reea:

2N1)0N)1 Pro=+ -)5 *)0V)0 ---GG.

9 staie acceseaz serverul -)5 ;i informai se intoarce la client. #ar informai este de asemeni memorat ,n cac>e4ul pro=+4ului acum( dac un alt utilizator doreste accesarea aceleiasi pagini we' nu mai tre'uie s traverseze 2nternetul ci o i direct din cac>e4ul pro=+4ului. 3lte solutii firewall permit cone=iuni end4to4end

Pro=+ server4ul nu permite comunicati punct & la & punct & totul trece prin serverul Pro=+. Pro=+ poate realiz N31( Networ 3ddress 1ranslation) deci va avea 2 interfete: local (privata) ;i cea legat la 2nternet tot ceea ce vine din lumea e=terioar trece prin adres 2P a Pro=+4ului. 3cest este un mare 'eneficiu pentru securitate deoarce comunicati este controlata. %eea ce s4a discutat pan acum despre "irewall se referea la componente software. "irewallu4ul poate ins fii realizat ;i ca un dispozitiv >ardware. )/: %2*%9 P2/(Pro=+ serie 2/) 3cest este un dispozitiv >ardware foarte ro'ust( mult mai ieficient decat soluti software( deoarece este conceput special pentru a realiz anumite funcii( nu este asociat unui software care mai indeplineste ;i alte funciuni. %2*%9 P2/ suport pan la 7...... cone=iuni simultan multe staii se pot conect simultan( unele pentru a realiz VPN( "irewall.

?n funcie de nivelul de funcionalitate dorit: costul %2*%9 P2/ 17...4 2.... N la nivel inferior. #ac e=ist utilizatori care se leag la dial4,n sau clienti VPN sau site & to & site prin VPN.

0)O)3

2nternet

0)O)3 la #2*13NOP

VPN

..) CRIPTAREA CU C/EI PU0LICE1PRI'ATE

%riptare *emnatur digitala %ripatarea cu c>ei pu'liceMprivate este un proces ,n 2 pasi. #ac se cripteaz de e=emplu )4mail sau se semneaz digital emailul pentru a dovedi ca esti cine spui ca esti. %>eie pu'lic Q

%>eie pu'lic *

Q doreste s comunice singur cu * Q trimite lui * c>ei pu'lica * ,i trimite lui Q c>ei s pu'lica %>eile pu'lice sunt acum folosite pentru criptarea informaiei ce se transmite(mesa<). #ac se transmite un email care este semnat digital( aceast inseamna

Q * ca se atasea< c>ei pu'lic Q mesa<ului trimis lui *( iar * memoreaz ,n list de adrese(address 'oo ) aceast c>eie pu'lic Q. * utilizand aceast c>eie pu'lic Q poate cript propriul mesa< pe care4l trimite lui Q. Q decripteaz mesa<ul utilizand c>ei s privata. #eci se utilizeaza: %>eie pu'lic pt criptare %>eie privat pentru decriptare deoarece se utilizeaz criptare asimetrica #e fapt se utilizeaz criptare >i'rid @ clasic R cu c>ei pu'lice. %>ei pu'lic este folosit pentru criptarea unei c>ei de sesiune cu care se face criptarea conventional a mesa<ului & de 1..... ori mai rapid decat criptarea cu c>eie pu'lica. )/: PSP. #ecriptarea c>eii de sesiune se face cu a<utorul c>eii private( care apoi este folosit la decriptarea mesa<ului. %>eile pu'lice utilizeaz algoritmi complecsi ;i valori foarte mari pentru criptare $. 'iti sau c>iar 12F 'iti(2 12F com'inatii posi'ile). ?n cazul ,n care se doreste semnarea digital a mesa<ului @ metod de a asigur ca un document este autentic se utilizeaz standardul #**

(#igital *ignature *tandard)( care este 'azat pe o metod de criptare cu c>eie pu'lica. *emnatur digitala(poate fi te=t( sunet sau nimic) criptat cu c>ei privat asigur receptorul ca a fost semnat de cinev care are o anumit c>eie privat ;i ca mesa<ul nu a fost alterat pe drum. *emnatur digital se ataseaz la sfarsitul mesa<ului clar sau acestea pot fii criptate cu c>ei pu'lic a receptorului. 3lgoritm pentru semnaturi centraliz %>eie privat %>eie Pu'lica 1e=t 2nitial *emnatur 1e=t
semnat

1e=t
verificat

Verificare

#ac semnatur poate fii decriptat cu c>ei t pu'lic tu ai initiat4o. *emnaturile digitale sunt utilizate mai mult decat criptarea. Nu conteaz dac toti afl ca ai depus N1... ,n cont(dar vrei s fii sigur ca tranzationezi cu anga<atul 'ancii TTTT Cert"2" ate d"g"tale Pro'lem cu sistemele de criptare cu c>ei pu'lice const ,n faptul ca utilizatorii tre'uie s fie permanent atenti s cripteze c>ei pu'lic corect a destinatarului. ?n caz contrar este posi'il AfurnizareaB unei c>ei pu'lice cu numele utilizatorului destinatar & datele criptate & ;i interceptate & adresate desinatarului a<ung ,n alt parte. %ertificatele digitale(cert) simplific sarcin de a sta'ili dac c>ei pu'lic respectiv apartine posesorului anuntat. :n certificat digital este o informaie inclus cu c>ei pu'lic care permite verificarea ca c>ei este valid ;i apartine cui spune. %ertificatul digital const din ! elemente: c>ei pu'lica informai de certificat (de regul identitatea utilizatorului). %ertificatul poate contine ;i informaii suplimentare )/: grad de creditare( permisului de acces la fisiere un sau mai multe semnaturi digitale

*copul semnaturii digitale pe certificatul digital este s confirme ca informai de pe certificat este atestat de o persoan sau o entitate de incredere 3ceast tert parte de incredere poate fii V)02*2SN 1C3-1) %ertificat /7.D

* nu are incredere ,n Q( dar Q ,i furnizeaz certificat semnat de Verisign sau 1C3-1) ,n care are incredere. 2nternet )=plorer Properties %ontent %ertificates 6ist 1rusted 0oot. %ertification 3ut>orities: Versign(1>awte etc. 1ranzitivitatea increderii: 3 are incredere ,n 5 5 are incredere ,n % 3 are incredere ,n %

* are incredere ,n Versign. Verisign i4a eli'erat %ertificat lui Q. * are incredere ,n Q E%S 3 En r"pted %"le S4stem

Hecanism care permite criptarea informaiei pe >ard dis -indows2... ;i -indows/P( fiind o caracteristic al sistemului de fisiere N1"*. *e genereaza ")8 & file encription e+(o c>eie simetrica)
Secre*e e2,ir3ei.doc

")8( ,n >eaderul documentului) #ocument criptat cu ")8 se cripteaz cu Pu'lic 8e+. )ste de asemeni criptat documentul cu alt c>eie pu'lic a lui 0ecover+ 3gent pe cazul cand persoan respectiv pleaca( de e=emplu( s fie posi'il recuperarea continutului documentului: se utilizeaz c>ei privat pentru a decript documentul( se desc>ide documentul respectiv( se e=trage ")8( care se utilizeaz pentru decriptarea documentului propriu4zis. #eci e=ist 2 c>ei pu'lice cu care este criptat respectivul document. %riptarea este mai 'ine s se fac pentru director( pentru ca se cripteaz ;i fisierele temporare.

SSL ( Se !re So +ets La4er >ttp @ port $$! Pagin -e' !.)%riptarea inf. %atre *erver 1.)*ta'ilirea %one=iunii **6 V)02*2SN -e' server

%)01

2.) #ownload %)01 9 dat downloadat )ste vala'il ;i pt conectarile ulterioare

*e instaleaza 9dat instalat certificatul informai poate fii criptat catre server & one wa+ encr+ption. *erverul nu are c>ei pu'lic a utilizatorului. *e completeaz datele cerute de pe pagin -e': nume( adresa( credit card num'er etc. ;i este transmis serverului( dar criptat( deoarece a fost downlodat certificatul(,n coltul 'rowserului va aparea o mic c>ei sau lacat care arat ca este vor' de o cone=iune sigura). %>iar dac cinev intercepteaz informai transmisa(criptat cu c>ei pu'lic a serverului) ea nu poate fii decriptat pentru ca nu are c>ei privata.

5ETO67 6E AUTE$TI%ICARE 8ER0EROS )ste metod de autentificare implicit ,n -indows2... ;i -indows/P. Provine din lumea :N2/. 6imitele de securitate poart denumirea de 0)36H (su' 8)05)09*) spre deose'ire de -indowsN1 ;i -indows2... unde se numesc domenii. 8)05)09* are ! componente principale: 8#% & 8e+ #istri'ution %enter 3* & 3ut>entication *ervice 1S* & 1ic et Sranting *ervice

#%4 domain controller 3* 8#% 1S1 1S*

6ogon *ession 8e+ *erver

N:S)1.%9H %onsideram un domeniu -indows2.... 6ogon validare pe server se prezint autentificarea serviciului de autentificare 3* de pe 8#%. #ac se valideaz ,i este furnizat un 1S1( valid numai pe domeniu. #ac vreau s accesez serverul( prezint lui 8#% tic>etul 1S1 serviciul 1S* imi furnizeaz un tic>et de sesiune sau o c>eie de sesiune(*ession 8e+) pt server. 1oate reprezint comunicatii criptate ;i imi permite conectarea numai la server & serverul stie ca sunt cine spun( eu stiu ca serverul este cine spune ca este. H4am prezentat cu un tic>et pe care numai acest server il poate decripta. #eci este o autentificare mutuala. 3cum pot accesa resursele serverului. #ac se e=tinde scenariul cu mai multe domenii( fiecare are 8#% propriu.

8#%

1S1 8#%

8#%

*ession 8e+ 0efferal 1ic et Pt 8#% din radacin *erverul pe care vreau s il accesez

%ontactez 8#% din radacina 0epl+ refferal tic et pt 8#% din cealalt ramura %ontactez 8#% primesc tic et de sesiune( contactez serverul 3ceste comunicatii nu sunt criptate( ele furnizeaz numai metode pentru validarea sau autentificarea utilizatorului catre server. )ste necesar deci utilizarea 2P*ec.