4

Argument
Conexiunea la Internet reprezint o facilitate dar creeaz de cele mai multe ori mari
probleme de securitate pentru reelele de comunicaii, asupra acestora putnd avea loc
diverse atacuri. n funcie de vulnerabilitile reelei, atacurile se pot manifesta pe mai
multe planuri:
organizaiei sau din afara acesteia;
factori mecanici, de ntrerupere a unor cabluri sau scoatere din funciune a unor
echipamente din reea; factori electrici, de bruiaj n cazul reelelor radio, semnale de
interferen n reelele cablate);
ului din reea prin
transmiterea unui numr foarte mare de pachete ctre unul sau mai multe noduri din reea
(flooding);
n noduri critice (switch, router, access point etc.) prin modificarea fiierelor de configurare
i a drepturilor de acces stabilite de personalul autorizat;

, adic nclcarea confidenialitii i
a dreptului de autor.



5

Cap. 1 Surse de atac
Atacurile i au originea nu numai din exteriorul reelei, dar i din interior de vreme
ce parteneri de afaceri sau angajai ai companiei se pot conecta n reea de la distan i
tot mai multe aplicaii se bazeaz pe tehnologii de tip wireless pentru acces n reea.
Mobilitatea i accesul la distan sunt la fel de necesare n modul nostru de lucru la fel
ns i confidenialitatea informaiilor, intimitatea personal i stabilitatea n reea ca mediu
de lucru utilizat la schimbul de informaii n timpul activitii.
Deosebim urmtoarele categorii de atacatori sau hackers:
a) pentru distracie, for fun, prostie(script-kid): sunt cei care fac prostii pe net
doar ca s se distreze sau s dovedeasc lor sau altora c sunt posesorii unor skill-uri mai
speciale;
b) pentru bani(well know hackers), un nivel superior, mult mai profesional de multe
ori: sunt cei care fac bani din aceast meserie. Aici sunt incluse i activitile de spionaj
industrial sau corporatist;
c) pentru rzbunare: clieni nemulumii, foti angajai, competitori sau oameni care
au ceva mpotriva cuiva dintr-o companie.
Ca surse de atac se disting dou mari categorii:
- atacuri din interiorul reelei;
- atacuri din exteriorul reelei.
Atacul din interiorul reelei este forma cea mai devastatoare ntruct utilizatorul are
acces la o multitudine de resurse i deoarece politicile de securitate interne nu sunt att de
bine implementate, sau cel puin nu sunt definite att de strict din pricina diversitii
necesare unor utilizatori n a accesa informaiile rspndite prin cadrul organizaiei. Mai
mult ca regul general toi utilizatori interni intr n categoria utilizatorilor trusted de
ncredere.
Acesta este i motivul pentru care, n urma unor informaii detaliate din cadrul unor
rapoarte de securitate s-a observat c riscurile cele mai mari vin de la proprii angajai.
Un atac din interior poate fi neintenionat sau deliberat. n categoria atacurilor
neintenionate ntr posibilitatea de a citi parola de acces a unei alte persoane, sau
divulgarea unor parole, sau prin infectarea calculatorului la care lucreaz, expunnd
ntreaga companie la riscul de a se infecta cu un virus. Cea de-a doua form de atac este
de departe cea mai periculoas, pentru c de multe ori aceste persoane dein cunotine
avansate i pot eventual s-i ascund i urmele operaiilor efectuate. Din pcate nu
exist o form sigur de protecie pentru aceste forme de atac, singura care poate oferi
informaii cu privire la astfel de atacuri fiind auditarea accesului dar aceasta poate face i
mai mult ru prin prisma stresrii suplimentare a utilizatorilor din cadrul organizaiei.
Pentru a se putea nelege mai bine atacurile din exterior s facem o comparaie cu
o banc. Astfel primul pas fcut n direcia implementrii unei defensive eficiente este de a
ridica un FIREWALL ca o barier n faa punctului de intrare n reea. Este ca i cum am
instala o u metalic ntr-o banc. Un punct de acces prin care tot tracul este monitorizat
pe msur ce intr sau iese din reea. Orice intrus cu intenii suspecte trebuie s fie
detectat, aa c al doilea tip de dispozitive de securitate - camerele de supraveghere vor
fi instalate n spatele porii metalice, cazul bncii.
Pentru o reea informatic, al doilea nivel de securitate, furnizat din spatele firewall-ului
este fcut prin IDS Intrusion Detection System sau SDI Sisteme de Detecie a
Intruziunilor. Aceste sisteme detecteaz atacurile i declaeaz rspunsuri la aceste
6

atacuri i mai mult, alerteaz pe diverse ci administratorul de reea sau alte persoane
abilitate.
Cteodat bncile realizeaz transfer de bani lichizi i atunci trebuie s se asigure
ca n exterior totul va decurge ntr-un mod sigur. La fel cum bncile folosesc vehicule
blindate pentru protecia transportului de bani lichizi, reelele informatice utilizeaz ca
mijloc de transport a datelor n spaiul public tuneluri securizate de date sau VPN (Virtual
Private Network), n romnete: RVP Reele Virtuale Private. Deoarece n aceste tuneluri
exist riscul s se intercepteze informaiile, iar pachetele de date aflate n tunel s fie
compromise n timp ce sunt n tranzit, coninutul pachetelor de date este obligatoriu s fie
criptat!
De cele mai multe ori oamenii vor s aib acces la facilitile furnizate de banca din
alt ora sau din alt ar, aa c o banc trebuie s se asigure c oamenii care
beneficiaz de acces de la distan au dreptul de a accesa resursele bncii on-line. n mod
similar ntr-o reea trebuiesc activate sisteme de autentificare care s verifice identitatea
persoanei care trimite i recepioneaz informaia criptat prin tunelul securizat.
Un plan de securitate puternic este unul conceput pe mai multe layere sau straturi,
adic implic mai multe soluii de securitate. n funcie de fiecare organizaie sau
companie soluiile difer.

Fig. 1 Diagrama privind sursele de atac asupra unei reele
Cum spuneam mai sus, este necesar instalarea unui firewall care s pun o
barier ntre cei din afara reelei, cei din interiorul ei i modul n care se acceseaz
ea. Astfel, un sistem de tip firewall trebuie s ofere urmtoarele informaii:
1. filtrarea traficului sistemul decide ce pachet de date are permisiunea s treac
prin punctul de acces( n concordan cu setul de reguli aplicate);
2. inspectarea fluxurilor de date, inspectare de tip Statefull (sau filtrarea dinamic a
pachetelor) este utilizat pentru a verifica fiecare nou flux de date ce intr n reea, i este
abilitatea firewall-ului de a memora starea fiecrui flux de date;
3. NAT Network Address Translation reprezint o tehnic utilizat pentru a
ascunde adresele private n spaiul public.
7

4. application gateways sunt folosite de aplicaii precum FTP (File Transfer
Protocol) sau RTSP (Real Time Streaming Protocol). Aceste protocoale trimit pachete IP
ce conin adresa fixat a aplicaiei (socket sau port);
5. proxy servers asigur modul ca o aplicaie s fie utilizat conform cu politica
de securitate specific setat;
6. detectarea intruziunilor pe baza unor abloane firewall-ul detecteaz un
spectru de atacuri nregistrndu-le, notificnd administratorul de reea i activnd un set
de aciuni menit s minimizeze efectul impactului unui atac;
7. capaciti de monitorizare i management al traficului evenimentele sunt
nregistrate, prelucrate i prezentate n rapoarte ctre administratorul de reea;
8. mijloace de autentificare listele de acces furnizeaz o cale eficient de a
aplica un mijloc de constrngere unui mare grup de utilizatori aflai n spaiul public.
Un prim pas n aflarea unui mod de penetrare n reea a unui atacator va fi s afle
ce porturi (ui ascunse) sunt deschise. Pentru aceasta el va face o scanare de porturi. O
astfel de metod totui poate fi folosit i de ctre administratorul unei reele pentru a se
asigura c este protejat corespunztor.
Scanarea de porturi nu duneaz reelei sau sistemului, dar asigur hackerului
informaii care pot fi folosite pentru atacuri.
n total avem 65535 porturi TCP (acelai numr i de porturi UDP). Ele sunt folosite
de diverse aplicaii i servicii. Dac un port este deschis, el rspunde de fiecare dat cnd
un computer ncearc s-l acceseze prin reea. Aplicaiile ce scaneaz porturi, de tip
Nmap, sunt folosite pentru a determina care porturi sunt deschise pe un sistem. Programul
trimite pachete pentru o multitudine de protocoale, i analiznd apoi ce rspunsuri
primete i ce nu, creeaz o list cu porturile ce ascult (listening ports) sau sunt
deschise pentru sistemul scanat.
Urmtoarele porturi sunt cele mai uzuale(cunoscute): 20: FTP(data), 21:
FTP(control), 23: Telnet, 25: SMTP, 67: BOOTP server, 68: BOOTP client, 80: http, 88:
Kerberos, 110: POP3, 119: NNTP, 194: IRC, 220: IMAPv3, 389: LDAP
Porturile din intervalul 1024-64535 sunt denumite registered ports ele fiind folosite
de ctre procese i aplicaii. Bineneles, asta nu nseamn c aceste porturi nu sunt inte
ale atacurilor. De exemplu, portul 1433 folosit de SQL poate reprezenta interes pentru
hackeri.
O reea virtual privat (VPN) este tehnica prin care realizm tunele n spaiul
public, n Internet, pentru a conecta n mod sigur de exemplu birourile unei companii aflate
n mai multe locaii. Pentru VPN-uri bazate pe protocol IP, traficul din reea este ncapsulat
n pachetele IP iar acestea sunt transferate prin tunel. Aceasta ncapsulare furnizeaz
calea de separare a reelelor. Autentificarea furnizeaz verificarea identitii, iar criptarea
furnizeaz confidenialitatea datelor ncapsulate.
Protocoale utilizate n crearea de tuneluri sunt: MPLS Multiprotocol Label Switching, GRE
Generic Routing Encapsulation, PPTP Point-to-Point Tunnelling Protocol, L2TP
Layer 2 Tunnelling Protocol i nu n ultimul rnd IPSec Internet Protocol Security
8

Pentru crearea de VPN-uri, pe scar larg este folosit protocolul IPSec. IPSec
asigur separarea reelelor private de cele publice prin tunelarea pachetelor IP n alte
pachete IP asigurnd totodat confidenialitatea i integritatea datelor. IPSec reprezint o
colecie de alte protocoale nrudite ce opereaz la Nivelul Reea( Nivelul 3 n modelul
OSI). Dei IPSec este folosit de cele mai multe ori ca soluie complet n crearea de VPN-
uri, mai poate fi folosit complementar ca schem de criptare n cadrul VPN-urilor ce au la
baz L2TP sau PPTP.

9

Cap.2 Tipuri de atacuri informatice

Cnd spunem tip de atac ne referim la modul n care un hacker reuete s preia
controlul unui sistem i ce poate el s fac dup ce a reuit penetrarea lui.
Cele mai des ntlnite tipuri de atacuri sunt urmtoarele:
a) atacuri social engineering;
b) atacuri DoS;
c) scanri i spoofing;
d) source routing i alte exploituri de protocoale;
e) exploituri de software;
f) troieni, virui i worms;
Atacurile de tip social engineering. Social engineering aduce n prim plan omul i
greelile lui. Atacatorul trebuie doar s posede people skills sau carism. Ei ctig
ncrederea utilizatorilor (sau i mai bine, a administratorilor) i obin drepturi cu ajutorul
crora se pot conecta pe sisteme. n multe cazuri, aceast metod este cea mai uoar
form de obinere de acces la un sistem informaional. Principala metod de aprare este
educarea personalului i nu implementarea de soluii tehnice.
Atacuri Denial-of-Service (DoS). Anul 2000, luna februarie. O serie de atacuri
DoS au pus la pmnt web site-uri c yahoo.com sau buy.com. V dai seama de fora
acestor atacuri, dac au putut s doboare astfel de mamui? Atacurile DoS sunt printre
cele mai populare printre hackeri atunci cnd este vizat ntreruperea serviciilor unei
reele sau ale unui server. Scopul unui atac DoS este de a genera o cantitate foarte mare
de trafic care pune n imposibilitatea de a mai rspunde ntr-un timp rezonabil a serverelor,
routere-lor sau altor echipamente, astfel ele nemaifiind capabile s funcioneze normal.
Distributed Denial-of-Service. Acest tip de atac face cam acelai lucru ca i DoS-
ul, numai c se folosete n atingerea scopului su de computere intermediare, numite
ageni, pe care ruleaz unele aplicaii (zombies) care au fost instalate pe calculatoare
anterior. Hacker-ul activeaz de la distan aceste progrmele n aa fel nct toate
aceste sisteme intermediare s lanseze atacul DDoS n acelai timp. Din cauz c atacul
provine de la mai multe calculatoare care pot s fie rspndite prin toat lumea, originea
real a pericolului este foarte greu de gsit. Aadar DDoS-ul este un pericol dublu. Pe
lng posibilitatea ca reeaua personal s fie pus la pmnt cu tot cu servere, mai
exist i opiunea ca sistemele tale s fie folosite pe post de ageni intermediari n alte
atacuri.
Atacul DNS DoS. Acest tip de atac exploateaz diferenele de mrime ntre DNS
querry (interogarea name server-ului) i DNS response (rspunsul name server-ului).
Atacatorul folosete serverele de DNS ca i amplificatoare pentru a mri traficul de DNS.
Atacul SYN. Atacurile de tip SYN (synchronization request) exploateaz
handshake-ul three-way al protocolului de transport TCP, procesul prin care se stabilete
o sesiune de comunicare ntre dou computere. Deoarece TCP-ul este un protocol de
transport connection-oriented, o sesiune sau un link de comunicare unu la unu, one-to-
one, trebuie stabilite ntre cele dou sisteme, nainte c ele s poat comunica ntre ele.
S zicem c un atacator trimite un SYN nspre un server cu un IP surs spoofed -
inexistent. Normal c server-ul va trimite nspre client un ACK/SYN. Dar cum IP-ul surs
nu este bun, serverul ateapt inutil ACK-ul clientului. El nu va veni. Serverul va pune
atunci ACK/SYN-ul trimis ctre client ntr-o coad de ateptare. Aceast coad poate
stoca un numr limitat de mesaje. Cnd este plin, toate SYN request-urile care vor urma
10

vor fi ignorate i serverul va ajunge n postura de a ignora orice cerere venit din partea
clienilor legitimi.
Atacul LAND deriv din cel descris mai sus, cu precizarea c n acest caz,
atacatorul n loc s trimit SYN-uri cu adrese IP care nu exist, trimite pachete SYN cu
adresa IP a clientului-target care este victima n acest caz.
Atacul Ping of Death. Mai este cunoscut i sub numele de large packet ping. Se
creeaz un pachet IP mai mare dect valoarea admis de specificaiile protocolului IP,
adic 65 536 bytes. Sistemul int este compromis, soluia fiind un reboot (de multe ori
forat sistemul blocndu-se).
Atacul Teardrop. Acest atac are aceleai rezultate ca i Ping of death, dar metoda
este alta. Programul teardrop creeaz fragmente IP care fac parte dintr-un pachet IP.
Problema este c aceste fragmente folosesc offset fields (rolul lor este de a indica
poriunea n bytes a acestor fragmente). Problema apare atunci cnd aceste offset-uri se
suprapun. Cnd computerul int ncearc s reasambleze aceste fragmente n pachetul
IP original normal c va genera o problem (resetare, blocare sau eroare de sistem).
Flood-ul cu ICMP (ping). Se bazeaz pe o mulime de pachete ICMP echo request
pn cnd se ocup toat banda disponibil. Acestui gen de atac i se mai spune i ping
storm deoarece luminiele router-ului sau switch-ului lumineaz intermitent, cu vitez
foarte mare i interogrile n reea rmn fr rspuns.
Atacul fraggle este tot un fel de ping flood. Atacatorul folosete un IP clonat
(spoofing) i trimite ping-uri nspre un ntreg subnet ca exemplu. Este de menionat c
acest tip de atac a fost folosit n timpul rzboiului din Kosovo de ctre hackerii srbi
mpotriva siturilor NATO.
Atacul Smurf. Este un fel de agresiune brute force i folosete aceeai metod a
flood-ului prin ping, numai c de data asta adresa destinaie din pachetele ICMP echo
request este adresa de broadcast a reelei. Un router cnd primete astfel de pachete le
trimite nspre toate hosturile pe care le mascheaz. Pot rezulta cantiti mari de trafic i
congestionarea reelei. Combinaia dintre atacul fraggle si cel Smurf fac ca reeaua
destinaie ct i sursa s fie afectate.
Atacul Mail Bomb. Numele acestui tip de arm este edificator. Se trimit aa de
multe mailuri nspre un mail server, nct acesta ajunge n imposibilitatea de a le gestiona,
iar userii legitimi nu mai pot beneficia de serviciile acestuia. Din acest tip de atac a derivat
unul care presupune nscrierea mail serverului la o grmad de mailing lists-liste uneori
legitime, care ofer tot felul de informaii.
Scanning-ul i spoofing-ul. Termenul de scanner, n contextul securitii n IT, se
refer la o aplicaie software folosit de ctre hackeri pentru determinarea porturilor TCP
sau UDP deschise pe un sistem. Dar i administratorii este indicat s foloseasc astfel de
aplicaii, pentru a putea detecta vulnerabilitile pe sistemele proprii.
Un virus este un program creat s distrug datele sau echipamentele unui
calculator. Viruii sunt programe cu dimensiuni foarte mici, ascuni fie n fiiere
executabile fie ataai unor programe (n acest caz sunt numii i parazii). Ei au menirea
de a distruge date, s se reproduc (ajungnd s blocheze hard discul sau chiar s
distrug motoarele de cutare ale acestuia) i pot distruge chiar i componente ale
calculatorului.
Sunt dou categorii de virui informatici:
- Hardware: virusi informatici care distrug componente hardware precum hard
discul, uniti optice i chiar monitorul sau memoria (RAM) unui calculator. Ex. Virusul CIH
11

(1998) care dei era coninut n fiiere executabile, avea ca directive s terg memoria
BIOS i s o reprogrameze cu linii inutile care fceau calculatorul inutil pn la
schimbarea cipului.
- Software: acei virui informatici menii s distrug fiiere sau programe inclusiv
sisteme de operare, s modifice structura unui program, s se multiplice pn la refuz
(umplerea hard discului la maxim (n acest caz blocnd motoarele de cutare al acestuia,
acestea cednd i hard discul devine incapabil s mai funcioneze), s tearg n totalitate
informaia aflat pe disc, s ncetineasc viteza de lucru a calculatorului, ajungnd, nu de
puine ori in situaia de a-l bloca.
Cteva detalii de tiut:
- viruii se pot nmuli singuri;
- viruii sunt creai de om;
- un simplu virus se poate multiplica la nesfrit;
- un virus care se multiplic la nesfrit este relativ usor de realizat i chiar i un
virus att de simplu este periculos pentru c el va ocupa foarte repede memoria
disponibil i sistemul se va bloca.
Un worm este un program sau un algoritm care se multiplic n cadrul unei reele
de calculatoare i de obicei este periculos pentru c fie folsete resursele calculatorului
innutil, oprete ntreg sistemul sau l face innoperabil.
Aceast categorie de virui caut s se auto-transmit mai departe ajutndu-se de
adrese de e-mail, i poate uneori s ataeze i documente furate (parole, informaii
bancare etc.) din calculatorul infestat.
Numim adware sau spyware orice soft care strnge informaii pe ascuns despre
calculatorul utilizatorului prin intermediul conexiunii la Internet a utilizatorului i fr tirea
lui, de obicei n scopuri publicitare. Aplicaiile de tip spyware sunt de obicei ascunse n
anumite programe gratuite sau de evaluare care pot fi descrcate de pe Internet. Odat
instalate programele de tip spyware monitorizeaz activitatea utilizatorului pe Internet i
transmit aceste informaii pe ascuns altcuiva.
Programele de tip spyware pot aduna i transmite informaii despre adrese de e-
mail, parole i alte date confideniale (ID-ul carii de credit de ex).

Fig.2. Viruii de tip Cal Tojan
Calul Trojan sunt virui care se ascund n spatele altor programe lsnd o u din
spate (backdoor) deschis prin care un hacker ii poate controla calculatorul atunci cnd
eti conectat la internet. Troienii sunt un fel de virui spioni, se instaleaz fr a atrage
12

atenia asupra lui, spioneaz n mod discret i pregtete lovitura final (aceasta putnd fi
chiar fatal sistemului). Alte exemplare din categoria troienilor au ca scop principal atacul
spre un server, dinspre toate calculatoarele infestate cu acest trojan, trimind mii de
solicitri pe secund, fcnd serverul s nu mai fie funcionabil n parametri normali, sau
chiar blocndu-l.
Spre deosebire de virui troienii nu se multiplic singuri, dar pot fi la fel de
destructivi ca viruii.
Unul dintre cele mai ntlnite tipuri de cal Trojan este acela care imit un antivirus
ns introduce de fapt virui n calculatorul tu. Ex. Windows Antivirus 2009 program
care prin denumirea i aspectul su poate pcli mult lume s-l instaleze.


13

Cap. 3 Securizare n sisteme Windows XP & Vista
Windows XP este succesorul sistemelor de operare Windows Me i Windows 2000
i este primul sistem de operare axat pe consumator produs de Microsoft pe modelul
kernel-ului i a arhitecturii NT. Windows XP a fost lansat pe 25 octombrie 2001 i a fost
vndut n 400 de milioane de exemplare n ianuarie 2006, conform unei estimri fcute de
un analist IDC.
Cele mai ntlnite ediii de Windows XP sunt Windows XP Home Edition, a crui
public int sunt utilizatorii care lucreaz la domiciliu i Windows XP Professional, care are
faciliti adiionale, ca suportul pentru domeniile Windows Server i suportul pentru dou
procesoare fizice, i este fcut pentru utilizatorii avansai i clienii de business. Windows
XP Media Center Edition este mbuntit cu faciliti multimedia ce permit utilizatorului s
nregistreze i s vizioneze televiziunea digital, s vizioneze filme DVD i s asculte
muzic. Windows XP Tablet PC Edition este proiectat s poat rula pe platformele PC-
urilor tablet. Au fost lansate deasemenea Windows XP 64-bit Edition pentru procesoarele
IA-64 (Itanium) i Windows XP Professional x64 Edition pentru x86-64.
Windows XP este cunoscut pentru stabilitatea i eficiena sa, n contrast cu
versiunile 9x de Microsoft Windows. Prezint o interfa semnificant modificat, mai
prietenoas pentru utilizator dect n celelalte versiuni de Windows. Capacitile de
management noi al software-ului au fost introduse pentru a evita "iadul DLL-urilor" care a
marcat celelalte versiuni de Windows. Este prima versiune de Windows care necesit
activare pentru a combate pirateria informatic, o facilitate care nu a fost primit cu
plcere de toi utilizatorii. Windows XP a fost criticat pentru vulnerabilitile legate de
securitate, pentru integrarea aplicaiilor ca Internet Explorer sau Windows Media Player i
pentru aspecte legate de interfaa implicit a spaiului de lucru.
Windows XP Home Edition este proiectat pentru persoane individuale i include
noi experiene pentru mediile digitale, reea i comunicaii. Include un numr de
mbuntiri fa de Windows 2000 Professional. Astfel:
software mbuntit i compatibilitate hardware
securitate simplificat
log-are simplificat cu nou ecran welcome
schimbare de utilizator rapid
o nou interfa
suport mbuntit pentru multimedia (filme, poze, muzic)
DirectX 8.1 pentru jocuri
Windows XP Professional este sistemul de operare destinat oamenilor de afaceri i
firmelor de toate dimensiunile, precum i tuturor acelor utilizatori individuali care doresc s
exploateze la maximum posibilitile de calcul oferite de PC. La Windows XP Professional
se adaug accesul la distan, securitate, performan, uurin n utilizare, posibilitile de
conectare.
Cea mai evident deosebire ns ntre Windows XP Home Edition i Windows XP
Professional este securitatea, care este simplificat pentru Windows XP Home Edition.
Fiecare utilizator interactiv al Windows XP Home Edition este presupus a fi un membru al
grupului local de proprietari (Owners Local Group), care este echivalentul Windows XP al
lui Windows 2000 Administrator Account. Aceasta nseamn c oricine se logeaz la un
calculator cu Home Edition are deplinul control. Totui facilitile Backup Operatores,
Power Users i Replicator Groups deinute de Windows 2000 sau de Windows XP
14

Professional lipsesc la Windows XP Home Edition. n schimb Windows XP Home Edition
beneficiaz de un nou grup numit: Restricted Users. Prile administrative ascunse nu sunt
disponibile n Home Edition.
Pentru Windows XP deosebim cteva aspecte foarte importante n vederea
asigurrii unui nivel de securitate minim:
discurile s fie formatate n sistem NTFS prin acest sistem oferindu-se
posibiliti de administrare foarte importante;
activarea Windows Firewall (sau instalarea unui program de la teri);
realizarea de politici clare pentru parole i obligativitatea introduceri secvenei
CTRL+Alt+Delete pentru logare (anumite programe pot simula aceast secven pentru
realizarea unei conexiuni ascunse);
Realizarea unor politici la fel de clare privind realizarea de backupuri la
intervale regulate i nu numai pentru protejarea datelor n cazuri nedorite;
Activarea serviciului de Restore Point procedura ce ofer posibilitatea salvrii
unor stri de moment ale sistemului;
Stabilirea unor reguli de acces la Internet Explorer (Zona Local Intranet, pentru
site-urile din cadrul organizaiei sau care se afl n spatele firewall-ului utilizatorului, Zona
Trusted Sites, pentru site-uri care nu se afl n spatele firewall-ului utilizatorului, dar pentru
care utilizatorul are ncredere total, Zona Restricted Sites, pentru site-uri cunoscute de
utilizator c fiind maliioase, Zona Internet Zone, pentru restul de site-uri, Zona My
Computer, care ns de obicei nu e configurabil, deoarece controalele ActiveX pe care
chiar sistemul de operare le instaleaz ruleaz pe setrile de securitate din aceast zon)
Nu n ultimul rnd este necesar acordarea de atenie mrit datelor critice cu
caracter personal (conturi, parole, documente private) folosindu-se de criptri EFS.
Windows Xp nu vine instalat cu un program antivirus i de aceea este necesar s se
instaleze i o astfel de aplicaie (de preferat o soluie Internet Suite care conine i alte
aplicaii gen anti-spyware, firewall, back-up, etc.).
Windows Vista este cea mai recent versiune a sistemului de operare Microsoft
Windows, proiectat de corporaia Microsoft. nainte de anunul sub acest nume din 22
iulie 2005, Windows Vista a fost cunoscut sub numele de cod Longhorn, dup Salonul
Longhorn, un bar cunoscut din oraul Whistler din provincia canadian Columbia Britanic.
Windows Vista a fost lansat n noiembrie 2006 pentru firme i parteneri de afaceri iar n
ianuarie 2007 a fost lansat pentru utilizatorii obinuii. Aceast lansare vine dup mai mult
de cinci ani de la apariia pe pia a sistemului de operare Windows XP, fiind cea mai
mare distan ntre dou lansri succesive .
Windows Vista are sute de faciliti noi, cum ar fi o interfa grafic modern i un
stil vizual nou, Windows Aero, tehnologia de cutare mbuntit, noi unelte multimedia,
precum i sub-sistemele complet remodelate de reea, audio, imprimare i afiare
(display). Vista va mbunti comunicarea dintre maini pe o reea casnic folosind
tehnologia peer-to-peer, i va facilita folosirea n comun a fiierelor, parolelor, i mediilor
digitale ntre diverse computere i dispozitive. Pentru proiectanii de software, Vista pune
de asemenea la dispoziie versiunea 3.0 a sistemului de proiectare numit .NET
Framework.
De o securitate mbuntit putem beneficia folosind i ultima versiune a aplicaiei
"Windows Firewall" inclus n sistemul de operare Windows Vista. Dar securitate
nseamn mult mai mult dect updatarea sistemului de operare, o aplicaie
antispyware/antivirus sau o aplicaie firewall. Un sistem de operare trebuie s ofere
15

ncredere utilizatorilor i s protejeze datele (mai mult sau mai puin confideniale) stocate
pe aceste sisteme. n acest domeniu al securitii (protecia datelor, identitate i control
acces) intr i tehnologiile "User Account Control" sau "Internet Explorer 7 Protected
Mode".
"User Account Control" - tehnologie care nu exist n Windows XP, aprnd prima
dat n Windows Vista i n Windows Server 2008 - reduce posibilitatea c o aplicaie cu
privilegii minime (low) s dobndeasc n mod automat i necontrolat privilegii sporite i
s aib acces la fiierele utilizatorului fr consimmntul acestuia.
Aceast posibilitate exist n Windows 2000/XP unde un utilizator (cu drepturi de
administrator) putea fi indus n eroare mai uor s execute un anumit cod (aplicaie ostil
acelui sistem) i care putea duce la compromiterea acestuia.
n Windows Vista orice aplicaie care solicit acces la zone sensibile ale sistemului
de operare (fiiere de sistem, registry-ul de sistem) va primi acces s ruleze numai dup
consimmantul explicit al utilizatorului.
Windows Vista introduce conceptul de etichet (label) i 4 nivele de integritate: low,
medium , high i system. n mod uzual toi utilizatorii sistemului de operare Windows Vista
(inclusiv administratorul) ruleaz la un nivel de integritate "Medium".
n momentul cnd un utilizator (administrator) trebuie s-i eleveze (sporeasc)
privilegiile pentru a rula o aplicaie ce acceseaz zone sensibile ale sistemului de operare
(sistem de fiiere, registry) nivelul sau de integritate devine "High".
Internet Explorer ruleaz n mod normal la un nivel "Low" de integritate. Orice
aplicaie care se descarc din Internet va dobndi un nivel de integritate "Low" (egal cu al
procesului Internet Explorer) i nu va putea s se execute i s-i eleveze privilegiile
compromind sistemul respectiv. Acesta este modul protejat (Protected mode) n care
ruleaz IE7 pe Windows Vista. Modul protejat oferit de IE7 este o facilitate prezent numai
pe sistemul de operare Windows Vista.
Atenie! "User Account Control i Internet Explorer Protected Mode" se pot dezactiva,
dar nu este recomandat. n plus, pentru site-urile web din zona Trusted Sites din Internet
Explorer 7 modul protejat (Protected mode) este dezactivat.
Un utilizator poate accesa i modifica un obiect n Windows Vista numai dac nivelul
sau de integritate este mai mare dect cel al obiectului.
n acest scop n Windows Vista sunt definite 3 politici obligatorii de acces:
No WRITE UP o entitate nu poate modifica un obiect dac posed un nivel de
integritate mai mic dect al obiectului respective
No READ UP o entitate nu poate citi un obiect dac poseda un nivel de integritate
mai mic dect al obiectului respective
No EXECUTE UP o entitate nu poate executa un obiect dac posed un nivel de
integritate mai mic dect al obiectului respectiv
Principii de securitate
Putem privi aceste tehnologii i prin prisma altui principiu de securitate "principle of least
privilege" sau "principle of minimal privilege" - "principiul privilegiului minim" n care
16

utilizatorul trebuie s aibe privilegii minime pentru accesarea unui sistem informatic
conform fiei postului i sarcinilor pe care trebuie s le ndeplineasc.
n acest fel, n Windows Vista toi utilizatorii au acelai nivel de integritate
(ncredere) pe un sistem iar privilegiile administrative se folosesc doar n cazul n care este
necesar.
Aceste tehnologii de securitate sunt o implementare a modelelor de securitate
dezvoltate nc din anii 70 modelul de integritate a datelor Biba i modelul de
confidenialitate a datelor Bell LaPadula.
Mai multe informaii se gsesc la adresa http://msdn2.microsoft.com/en-
us/library/bb625964.aspx i http://msdn2.microsoft.com/en-us/library/bb625959.aspx .


17

Cap. 4 Securizarea sistemelor de operare de tip server
Windows Server 2003 este construit pe structura sistemului Windows 2000 i
include toate facilitile pe care un client le ateapt de la un sistem de operare Windows
Server: siguran, securitate i scalabilitate. Familia cuprinde patru produse:
Windows Web Server 2003 reprezint o bun platform pentru dezvoltarea
rapid a aplicaiilor i desfurarea serviciilor pe Web. Este uor de administrat i se poate
gestiona, de la o staie de lucru aflat la distan, cu o interfa de tip browser.
Windows Standard Server 2003 este un sistem de operare n reea care ofer
soluii pentru firmele de toate mrimile. Accept partajarea fiierelor i imprimantelor, ofer
conectivitate sigur la Internet, permite desfurarea centralizat a aplicaiilor din spaiul
de lucru, ofer colaborare ntre angajai, parteneri i clieni, accept multiprocesarea
simetric cu dou ci i pn la 4 GO de memorie.
Windows Enterprise Server 2003 este destinat firmelor medii i mari. Este un
sistem de operare cu funcionare complet care accept pn la 8 procesoare de tip Intel
Itanium.
Windows Data Center Server 2003 este o platform pentru firmele cu un volum
mare de tranzacii i cu baze de date scalabile. Este cel mai puternic i mai funcional
sistem de operare pentru servere oferit de Microsoft.
n general, sistemele Windows se compun din trei clase de programe: programele
sistemului de baz; programele API (Application Programming Interface) i programele
maini virtuale.
Programele sistemului de baz asigur controlul fiierelor, servicii de comunicare i
control n reea, controlul mainii virtuale, controlul memoriei, controlul implementrii
standardului de interconectare plag&play.
Sistemul API cuprinde trei componente: nucleul Windows Kernel, interfaa grafic
cu echipamentele periferice GDI (Graphic Devices Interface) i componenta USER.
Aceste componente sunt biblioteci de programe adresate programatorului de aplicaii i
mai puin utilizatorului obinuit.
Sistemul maini virtuale asigur interfaa cu utilizatorul i aplicaiile sale, modulele
din aceast clas fiind apelate de sistemul API. Aceast component asigur ncrcarea i
folosirea corect a spaiului de adresare. Din aceast clas face parte i programul
Explorer.
Atunci cnd se ia n calcul politica de securitate pentru platformele Windows Server
2003 i 2008 trebuie evaluate obligatoriu urmtoarele:
Domain Level Acount Polices reguli ce se pot seta la nivel de Group Policies,
setri care sunt aplicate la ntreg domeniul: politici cu privire la parole, blocarea conturilor,
autentificarea folosind protocolul Kerberos tot ceea ce uzual se nelege prin acount
polices politici de cont;
Audit Policy posibilitile de utilizare a politicilor de audit pentru a monitoriza i
fora setrile de securitate instalate. Este obligatoriu s se explice diferitele setri,
folosindu-se de exemple, pentru a se nelege ce informaii se modific cnd acele setri
sunt modificate;
18

User Rights trateaz diferitele posibiliti de logon drepturi i privilegii ce
sunt puse la dispoziie de sistemul de operare i oferirea de ndrumare privind care conturi
ar trebui s primeasc drepturi distincte i natura acestor drepturi;
Security Options tratarea setrilor de securitate cu privire la date criptate cu
semnturi digitale(digital data signature), statutul conturilor Administrator i Guest,
accesul la unitile de dischet i CD-ROM(sau echivalent), instalarea driver-elor i
posibilitile de logare(logon prompts);
Event Log configurarea setrilor pentru diferitele jurnale care exist sum
Windows Server 2003(respectiv 2008);
System services utilizarea serviciilor care sunt absolut necesare i
documentarea lor dezactivarea serviciilor care nu sunt folosite sau necesare.
Personalizarea pe ct posibil a acestor servicii pentru eliminarea setrilor by default;
Software restriction polices descrierea pe scurt a software-ului instalat i
mecanismele folosite pentru restricia rulrii acestora;
Additional System Countermeasures descrierea unor msuri suplimentare de
securitate care sunt necesare, setri care rezult din discuia privind rolul acelui server,
posibilitile de implementare, disponibilitatea utilizatorilor i existen personalului calificat
setri cum ar fi:setri care nu pot fi introduse ntr-o maniera compact n cadrul Group
Policies, setri la nivel de drepturi pe fisiere (NTFS), SNMP, dezactivarea NetBIOS, setri
Terminal Services, setri IPsec, Dr. Watson, nu n ultimul rnd setrile cu privire la
Windows Firewall.
Additional Registry Entries documentarea modificrilor necesare la nivel de
registri;
Este de reinut faptul c n Windows 2008 s-a pus un accent mai mare pe securitate , ca
un exemplu dac n Windows 2003 server cu SP1 erau n jur de 1700 de setri n Group
Polices n Windows 2008 Server a crescut la aproximativ 2400.

19

Concluzie


Pentru a maximiza securitatea unui calculator, se pot lua urmtoarele msuri:
Controlul accesului n cont al utilizatorilot i criptografia pot proteja fiierele i datele
de sisteme, respectiv.
Firewall-urile sunt de departe cele mai frecvente sisteme de prevenire a atacurilor,
din perspectiva securitii de reea, deoarece acestea pot (dac sunt configurate corect)
s blocheze tipurile normale de atacuri.
Sistemele de detectare a intruziunilor sunt concepute pentru a detecta atacurile de
reea n curs de desfurare i a ajuta n msurile de dup atac, n timp ce auditarea
monitorizrilor i jurnalelor au o funcie similar pentru sistemele individuale.
Rspunsul este n mod necesar definit de cerinele de securitate evaluate ale unui
sistem individual, i poate acoperi o gam larg, de la simpla actualizare a proteciilor la
informarea autoritilor judiciare, contra-atacuri, i alte asemenea aciuni. n unele cazuri
speciale, este favorizat o distrugere complet a sistemului.
n prezent, securitatea calculatoarelor cuprinde n principal msuri de prevenire, cum
ar fi firewall-uri sau proceduri de ieire. Am putea asemui un firewall cu construirea unui
gard bun n jurul unui depozit. Firewall-urile sunt comune printre mainile conectate
permanent la internet (dei nu este absolut sigur, dup cum s-a demonstrat prin numrul
mare de calculatoare penetrate de viermi, cum ar fi viermele Code Red, de care ne
putem proteja cu un firewall corect configurat). Cu toate acestea, relativ puine organizaii
menin sisteme de computere cu sisteme eficiente de detectare, i nc i mai puine
organizat au mecanisme de rspuns imediat.



20

Bibliografie

1. Ionescu, Dan. (2007). Retele de calculatoare, Alba Iulia: Editura All
2. Georgescu, Ioana. (2006). Sisteme de operare, Craiova: Editura Arves