Documente Academic
Documente Profesional
Documente Cultură
SECURITATEA FIZIC
2
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
1.SECURITATEA FIZIC
1.1)INTRODUCERE
SECURITATEA SISTEMELOR INFORMAIONALE
3
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
4
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Conceptul de securitate fizic descrie un set de msuri de securitate concepute pentru a opri
accesul fizic al persoanelor neautorizate n incinta companiei sau a unui loc unde sunt stocate
dispozitive i informaii confideniale. Sistemele de securitate fizic pot varia de la ceva foarte
simplu cum ar fi un sistem de nchidere a uilor pn la sisteme complexe construite pe mai
multe nivele de securitate, ce presupun integrarea mai multor tehnologii.
n prezent, toate companiiile se confrunt cu provocari noi i complexe ale securitii fizice. Cu
toate c tehnologiile de securitate nu pot raspunde la toate problemele de securitate ale unei
companii, dac acestea sunt aplicate n mod corespunzator, ele pot maximiza ansele ca
organizaia s fie protejat i pot n majoritatea cazurilor evita pierderi de resurse sau bani.
Un aspect important de luat n considerare la implementarea unor msuri de securitate fizic
este un echilibru potrivit ntre o securitate adecvat i crearea unei atmosfere de inchisoare
sau de buncar ce ar afecta funcionarea companiei.
De asemenea, un echilibru potrivit trebuie s fie ntre securitatea fizic i securitatea
informatic. Daca dispozitivele, staiile i serverele pot fi accesate sau chiar luate din cldire,
orice masur de securitate a informaiei nu mai are nicio valoare i poate fi compromis foarte
usor.
5
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Pentru alegerea unei soluii de securitate fizic este bine ca nainte s fie facut o evaluare care
s determine necesitile i prioritile organizaiei n ceea ce priveste accesul fizic la resurse.
Cateva dintre aspectele ce trebuie luate n calcul ar fi:
- Ce vrem sa protejam?
- Contra ce amenintari ne protejam?
- Care sunt vulnerabilitatile existente sau care ar putea aparea?
- Care sunt consecintele unei pierderi?
- Ce nivel de protectie vrem sa atingem?
Aadar, securitatea fizic reprezint nivelul exterior al modelului de securitate i const, n
general, n nchiderea echipamentelor informatice ntr-o alt incint precum i asigurarea pazei
i a controlului accesului. O problem o constituie salvrile sub form de copii de rezerv ale
datelor i programelor, precum i sigurana pstrrii suporilor de salvare (backup). Reelele
locale sunt, n acest caz, de mare ajutor, copiile de rezerv putandu-se face prin reea pe o
singur masin ce poate fi mai usor securizat.
Securitatea fizic trebuie abordat foarte serios deoarece toate msurile de securitate logice,
cum ar fi stabilirea de parole pe sistemul respectiv, devin nesemnificative n cazul accesului
neautorizat la echipamente. O alt problem important n securitatea fizic a unui sistem
informatic o constituie pur i simplu sustragerile de echipamente sau a suporilor de backup.
Figura 2 Securitate
6
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
1.3) IMPLEMENTARE
Securitatea fizic este un termen larg iar soluiile pot varia de la cele mai simple pn la cele
mai complexe. n funcie de nevoile specifice ale companiei, se pot alege unul sau mai multe
dintre elementele ce pot compune o soluie integrat:
-
SECURIZAREA CLDIRII
Cldirea ce urmeaz a fi securizat este structurat pe 3 niveluri, fiecare nivel avnd 5
camere. n fiecare camer exist calculatoare conectate n LAN, totodat cldirea fiind
conectat la o linie de tensiune de 380V iar conexiunea la Internet se face printr-o fibr
optic.
Parter
Recepie
Camer de ateptare
Sal de conferine
Call center
Depozit de echipamente (servere,de reea,etc)
Camera pentru Firma de paz
Etajul 1
Biroul Mangerului de Departament
Biroul Directorului
Contabilitate
Buctrie & camer de relaxare
Staii de lucru pentru angajai camera 1
7
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Etajul 2
1 camer datacenter (servere de baze de date + servere de backup)
Camer tehnic (service pe parte tehnic, echipamente de reea)
Staii de lucru pentru angajai camera 3
Camera administratorilor (de sistem,de reea etc)
1 camera datacenter + sistem de AC
- Server folosit pe post de router
- 3 servere ce ofer servicii angajaiilor (HTPP,e-mail,FTP,NFS)
- Server folosit pentru mbuntirea securitii i auditului.
Principalele metode i elemente folosite de echipa noastr pentru securitatea fizic a unei
cldiri sunt urmtoarele:
8
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Sisteme de Alarm
Centrala de alarm sau centrala antiefracie este creierul ntregului sistem de securitate la care
se conecteaz toate dispozitivele, senzorii de micare, tastaturile, sirenele, etc.
Senzorul de miscare(PIR) este dispozitivul principal de detecie a efraciei ntr-o anumit zon.
Exist mai multe tipuri de senzori adaptai n funcie de necesitile spaiului care trebuie
securizat.
9
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
3) Accesul n cldire
Pentru accesul in cladire am hotarat s utilizam Sisteme control acces i pontaj oferite de
firma Protekt Romnia.
Beneficiile unui sistem de control acces:
Restrictioneaz intrarea n cldire folosind turnichei pentru persoane sau bariere automate
pentru autovehicule, cu acces condiionat n funcie de or, zi a sptmnii, perioada de concedii;
Controlul intrrii n anumite spaii interioare a persoanelor neautorizate, atunci cand se
monteaz cititoare la intrrile diferitelor camere din interior.
Cititoarele pot conine i o tastatur cu coduri numerice, accesul fiind permis att cu cartela, ct
i introducand un cod valid pentru acea zona i acea perioad;
In cazul pierderii unui card, acesta se invalideaz, accesul nefiind permis, iar la ncercarea de
intrare se poate genera o alarm, iar houl este prins n flagrant;
Se poate crea o baz de date cu fotografiile angajailor; la intrarea n companie personalul de
paz confruntand imaginea care apare automat pe un monitor cu persoana ce a facut o cerere de
acces;
Sistemele cu cartele de proximitate au marele avantaj c nu se uzeaz. Pe cartele se poate
imprima emblema companiei, fotografia posesorului i datele lui de identificare (nume, funcie
etc). Cardul poate servi i ca legitimaie de serviciu.
Cititorul de proximitate
Carduri de proximitate
Este de menionat faptul c pentru fiecare camer este desemnat una sau mai multe persoane
care au acces. n camerele importante pentru datacenter-ul nu orice angajat are acces, deci
accesul este restricionat pentru anumite persoane.
11
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Detector fum
Buton de incendiu
12
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
ANEXE
Sisteme de Alarm
Kit sistem alarma interior Paradox
Alarma
Centrala Nr.
Zone
Nr. Maxim
Zone
Centrala
Partitii
8Fir
32Fir/32Wireless
2 Partitii
Tastaturi
Tastatura
LED
Tastatura
Fir/Wireless
pe Fir
Detectori Alarma
Tip
Detector
Miscare
Standard
Alti
Detectori
Contact Magnetic
Sirene
Sirena Interior
14
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Alarma
Detector
Fir/Wireless
Mediu
Detector
Fir
Interior
15
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Capitolul II
Ciurea Vasile-Alin
16
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
De reinut mai este faptul c exist i unele servere de tip software care permit utilizatorilor s
ruleze att serverele de colaborare, ct i cele de pot electronic, de transfer al fiierelor sau
de imprimare n acelai timp, pe un singur server hardware.
Pentru a asigura securitatea companiei la nivel de reea trebuie fcut o configurare
corespunztoare pentru e evita eventualele atacuri. n cele ce urmeaz voi prezenta modul de
distribuire a serverelor n cldire, tipul serverelor folosite i diferite modaliti pentru a
mbunti securitatea reelei.
n configurarea accesului la Internet, routarea traficului, stocarea datelor i oferirea de servicii
angajailor se vor folosi 5 servere:
-
Cldirea este conectat la Internet prin fibr optic. Calculatoarele au acces la Internet
prin intermediul cablurilor utp.
Accesul la serverul de router se face pe baz de parol cu acces restrns i anume doar
administratorul de reea beneficiaz de acest drept.
n ceea ce privete alegerea serverului pentru pota electronic exist mai multe opiuni i
anume:
-
Servere POP3 (Post Office Protocol 3) stocheaz mesajele de pot electronic de intrare
pn la verificarea potei electronice, moment n care le transfer n computerul personal.
POP3 este cel mai comun tip de cont pentru pota electronic personal. Mesajele sunt de
obicei terse din server cnd se verific pota electronic.
Servere IMAP(Internet Message Access Protocol) permit lucrul cu mesajele de pot
electronic fr a la descrca mai nti pe computer. Avei posibilitatea de a examina, terge
i organiza mesajele direct pe serverul de pot electronic, iar copiile vor fi stocate pe
server pn cnd luai decizia de a le terge. IMAP este utilizat de obicei pentru conturile de
pot electronic de afaceri.
Serverele SMTP (Simple Mail Transfer Protocol) trateaz trimiterea pe Internet a mesajelor
de pot electronic. Serverul SMTP trateaz pota electronic de ieire i este utilizat n
conjuncie cu serverele de intrare POP3 i IMAP.
18
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Un sistem NAS este util nu doar pentru c ofer o stocare centralizat clienilor calculatoarelor
din medii unde se vehiculeaz cantiti mari de date. NAS face posibile sisteme mai simple cu
costuri mai mici, ca de exemplu servere de emai i web care ofer load-balancing i faulttolerant, furniznd servicii de stocare.
2.3 Memorii
Cele mai ntlnite tipuri de memorii pe dispozitivele server su memoriile ECC (Error Checking
and Correction).
ECC reprezint tehnologia care permite calculatoarelor s corecteze erorile de memorie n mod
automat, de foarte multe ori fr ca sistemul de operare s fie contient de acest lucru i de
asemenea fr consecine negative pentru utilizator. Cel mai ntlnit tip de ECC folosit pentru
modulele de memorie este cel cu corecie a erorilor pe un singur bit. Acesta permite detectarea
i corectarea erorilor la nivel de un bit, de asemenea va detecta i erorile pe mai muli bii dar
nu va fi capabil s le i corecteze.
20
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
2.4 Anexa
Echipamente hardware:
I. Se vor folosi 5 echipamenteNetwork Storage Synology RS3614xs pe post de server i
configurate corespunztor pentru funcii ca: router, server pentru email, server pentru stocare
date, server pentru http,nfs respectic ftp..
Figur 1
21
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Figur 2
La un pre rezonabil pentru un server de calitate, aproximativ 3000$, RS3614xs ofer un
spaiu de stocare maxim de 72 TB putnd fi ataat un numr de 12x3.5, 2.5 SATA(III) HDD sau
SSD i cu o memorie de 8 GB DD3 ECC.
Procesorul prezent pe acest server este de ultim generaie: Intel Xeon E3 3.3GHz Quad
Core
Management:Auto DSM Upgrade, Push Notification MSN/Skype/Mobile Devices, Email/SMS
Notification, Customized User Quota, Customized Administrator/User Group, Syslog Support,
DDNS Support, IPv6 Support, VLAN Support, PPPoE, Hotspot, Resource Monitor, Connection
Manager, UPS Management, Scheduled Power On/Off, Custom Management UI HTTP/HTTPS
Ports
Securitate:FTP over SSL/TLS, IP Auto-Block, Firewall, Encrypted Network Backup over Rsync,
HTTPS Connection, File sharing:Max User Accounts: 16000, Max Groups: 512, Max Shared
Folder: 512, Max Concurrent CIFS/AFP/FTP Connections: 1024, Max shared folder sync tasks: 32
Networking protocols:CIFS, AFP, NFS, FTP, WebDAV, CalDAV, iSCSI, Telnet, SSH, SNMP, VPN
(PPTP, OpenVPN)
File sharing:Max User Accounts: 16000, Max Groups: 512, Max Shared Folder: 512, Max
Concurrent CIFS/AFP/FTP Connections: 1024, Max shared folder sync tasks: 32
22
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Figur 3
Figur 4
23
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Bibliografie
Lucrare de curs, Al. Boicea, 2014
Lucrare de curs, Securitatea sistemelor informatice, F. Anton,2014,
The Standard of Good Practice for Information Security, NIST, 2007
http://whatismyipaddress.com/mail-server,
http://ro.wikipedia.org/wiki/Apache_%28server%29,
http://windows.microsoft.com/ro-ro/windows-vista/windows-mail-setting-up-an-accountfrom-start-to-finish,
http://en.wikipedia.org/wiki/List_of_FTP_server_software,
24
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Capitolul III
3.1 Introducere
Traim intr-o era in care o parte din activitatile atat cotidiene dar si profesionale se
desfasoara in mediul online. De aceea nevoie de aplicatii care sa prelucreze volume mari de
date confidentiale intr-o maniera sigura si rapida este in crestere. Astazi, aplicatii de acest gen
le intalnim la tot pasul, fie ca vorbim de o gestiune a documentelor sau evidentelor contabile a
unei companii, fie de sisteme de gestiune a proceselor tehnologice, fie de gestiunea proceselor
bancare si a platilor online. Astfel, in mediul online pastram informatii critice despre activitati
personale sau profesionale iar din acest motiv securitatea, integritatea si confidentialitatea
datelor si fisierelor reprezinta un criteriu esential in dezvoltarea aplicatiilor.
Din pacate o parte din managerii de companii inca sunt sceptici in a adopta solutii de
propuse de diferinte firme specializate pe securitate IT. Acestia considera ca nu au o activitate
ce ar interesa posibi atacatori, sau ca datele acestora nu sunt atat de importante incat sa
surescite interesul cuiva. Argumentele lor sunt ca Internetul e vast iar activitatea lor este
minuscula in comparatie cu toate companiile mari ce se gasesc pe Internet. Desi pare plauzibil
pentru cineva neavizat, desi pierderea confidentialitatii datelor sau distrugerea fizica nu ar fi un
punct critic in activitatea acelei compani, totusi, securitatea IT este necesara. Atacurile asupra
sistemelor pot fi de folosite pentru a prelua controlul unei sau mai multor statii de lucru ce vor
fi folosite ulterior pentru a lansa atacuri tintite catre alte sisteme sau site-uri web.
De aceea securitatea IT este un proces esential in dezvoltarea unei companii.
Riscurile la care este supus un sistem informatic pot surveni atat din mediul extern prin
intermediul virusilor, a hackeri-lor dar si din mediul intern prin furtul de date sau prin erori ale
utilizatorilor. Prin urmare securitatea informatica reprezinta o multitudine de masuri ce trebuie
implementate care au rolul de a proteja informatiile din baza de date, a fisierelor de sistem, etc.
Aceste masuri pot fi structurate pe mai multe nivele de securitate cum ar fi:
-securitatea sistemului de operare de pe statiile de lucru
-securitatea retelei locale
-securitatea aplicatiilor software utilizate de angajati
-securitatea serverelor de baze de date.
26
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Preventia infectarii cu virusi se realizeaza prin instalarea de solutii antivirus si antispyware care, de obicei vin la pachet si cu solutii de filtrare firewall. In functie de solutia aleasa
aplicatia software poate imbunatati securitatea sistemului din mai multe prespective. In afara
de protectia impotriva virusilor, softul poate pune la dispozitie solutii de cloud sigure, functii de
scanare optima a vulnerabilitatiilor si fisierelor malitioase, ofera browsing sigur si
28
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Serverul folosit pe post de router este prima componenta hardware dintr-o retea. Prin
acest dispozitiv se poate configura o retea, adica toate statiile de lucru se vor conecta la acest
29
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
switch pentru a trece din LAN la accesul pe Internet. De obicei aceste servere vin cu softuri
preinstalate ce permit filtrare a pachetelor spre LAN pe baza adreselor MAC sursa si destinatie,
sau a adresei IP, sau a porturilor de comunicatie sau chiar a id-ului statiei de lucru din reteaua
virtuala. Aceste servere ofera si posibilitatea implementarii unui sistem de autentificare
preliminara acordarii accesului in retea.
Serverul HTTP este o aplicatie ce intelege protocolul HTTP implicit al www. In momentul
in care un computer transmite o cerere catre un computer aflat la distanta prin apelarea unui
link sau a unei adrese web atunci se cere calculatorului host sa afiseze o pagina web. Primul pas
este ca serverul dns sa transforme url-ul (adresa) pagini web intr-o adresa IP. Astfel trasferul se
realizeaza prin protocolul TCP pe portul 80 al serverului HTTP. In header-ul pachetului HTTP se
pot gasi informatii suplimentare cu privire la date pentru browser, pentru limba dorita si atunci
serverul web raspunde transferand datele cerute ca fiind pagini HTML, sau fisiere atasate ce
contin imagini, fisiere de stil sau scripturi. Daca dintr-un anumit motiv nu pot fi transferate
datele atunci serverul va afisa un mesaj de eroare corespunzator.
Serverul de E-MAIL este o aplicatie ce trimite mesaje prin posta electronica de la un user
la altul. Este o metoda foarte rapida si eficienta de transmitere de date si mesaje indiferent de
fusul orar sau pozitia geografica. Evident, fiind vorba de o comnicare intre calculatoare este
nevoie de un port de comunicare deschis, si aici vorbim de 143/993(IMAP) sau 110/995(POP).
Protocolul POP, creat in 1984, permite utilizatorilor de e-mail sa descarce toate mesajele din
server in local stergand mesajele din server, asta inseamna ca daca ulterior citiri unui mesaj
utilizatorul se va conecta la casuta de mail de pe alt dispozitiv, acesta nu va mai putea vedea email-urile citite anterior.
Protocolul IAMP aparut 2 ani mai tarziu, are ca principiu permiterea utilizatorului sa isi acceseze
si gestioneze casuta de e-mail cu orice dispozitiv, cu orice client dar si din webmail. Astfel in
limita memoriei serverului se stocheaza toate mesajele iar utilizatorul are acces la ele indiferent
de pe ce dispozitiv si cand se conecteaza.
Webmail presupune gestiunea casutei de mail intr-o interfata web. Aceasta interfata este
instalata direct pe server si nu presupune o instalare locala.
Un client de mail sunt programe ce primesc si trimit e-mail de pe dispozitive local, nu de pe
server. Asta inseama ca aceste programe trebuie instalate pe dispozitive si gestionate local.
Serverul PROXY este un dispozitiv intermediar intre statia de lucru sau reteaua locala si
Internet. Acest server apeleaza paginile si serviciile web in locul statiei de lucru. Motivele
pentru care se folosesc serverele proxy sunt multiple:
30
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
- control asupra accesului la internet, ofera posibilitatea de a bloca accesul catre site-uri
cu continut pornografic sau catre retele sociale sau catre orice alt site considera administratorul
- crearea de jurnaluri de activitate, astfel un angajator poate observe ce site-uri au fost
accesate cel mai frecvent, si pentru cat timp.
- optimizarea vitezei pe internet; serverul proxy comprima pachetele de date ce vin
catre retea si realizeaza o copie a pagini accesate, astfel ca la o urmatoare accesare, daca
informatiile din pagina nu sunt modificate serverul incarca copia stocata local.
- poate ascunde adresa ip a statiei de lucru si bloca stocarea de cookie in browser.
- pot cripta transferurile de date.
- prin accesarea unui server proxy se poate ocoli cenzura de pe internet; daca exista siteuri blocate intr-o tara, atunci prin folosirea unui proxy aflat in alta tare se pot accesa acele siteuri.
Serverul FTP foloseste protocolul cu acelasi nume si realizeaza transferul rapid de fisiere
intre dispozitive intr-o retea locala sau pe internet. In ultimii ani necesitatea de siguranta si
volumul tot mai mare de date trasferate a adus modificari importante in domeniul trasferului
sigur de date. Cateva din functiile acestor programe ce folosesc ftp sunt:
-download/upload de fisiere multiple la distanta
-setarea de atribute pentru fisierele si directoarele de pe server; de aici se poate limita
accesul catre acele directoare sau fisiere.
-editare online de fisiere.
-search pe server
-FTPS,SFTP.
SFTP este o extensie a protocolului ftp ce permite protocolul criptografic SSH.
NFS (network file system) este o aplicatie client/server care permite utilizatorilor sa
acceseze si sa partajeze fisiere de pe un computer aflat la distanta ca si cum ar fi propriul
computer. Pentru a folosi NFS este nevoie ca un calculator sa aibe un client NFS iar cel de la
distanta sa aibe un server NFS, dar si ca ambele dispozitive sa poata folosi protocoalele TCP/IP.
NFS a fost creat de Sun Microsystem pentru linux dar poate fi instalat si pe windows 95b si
predecesoarele lui. Protocolul aplicatiei foloseste RPC(remote procedure call) metoda de
comunicare intre calculatoare.
31
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Securitatea bazelor de date poate fi organizata pe mai multe nivele astel se acopera o
mai mare arie de aplicatii in functie de complexitatea lor.
Primul nivel este alocarea de user si parole distincte de acces pentru fiecare utilizator al unei
aplicatii. Acest lucru este foarte important deoacere astfel se poate face o evidenta foarte clara
asupra tranzactiilor asupra bazei de date, cu ajutorul fisierelor de log. De exemplu daca un
utilizator face o tranzactie de update pe o tabela si din greseala, sau din rea-vointa inlocuieste
niste valori importante, atunci, acesta avand un unsername propriu va putea fi identificat si tras
la raspundere. Desigur exista si varianta ca utilizatorii sa foloseasca un user comun daca sunt
din acelasi departament, dar astfel raspunderea va fi colectiva. Diferenta dintre useri colectivi si
useri distincti in afara de securitate este si costul licentei. Daca se considera ca daunele produse
printr-o eroare provoaca un cost mai mic decat costul achizitionarii de licente pentru toti userii
atunci compania poate lua decizia de a ramane la varianta cu un user colectiv.
Al doilea nivel este restrictionarea userilor cu privire la tranzactiile operate pe baza de date.
Aceasta sarcina revine administratorului bazei de date care trebuie sa acorde privilegi de
operare pe baza de date fiecarui user in parte in functie de activitatea si competenta acestuia.
Al treilea nivel de securitate este alocarea de roluri colective pentru useri. Acest proces
presupune gruparea actiunilor pe care le pot face mai multi useri in cadrul aceluiasi
departament pentru a eficientiza astfel alocarea de privilegii.
Un proces important in securizarea datelor dintr-o baza de date este criptarea
informatiilor la nivelul bazei de date. Acest lucru impedica citirea accidentala de catre persoane
neavizate a datelor din baza de date. Pe de alta parte procesul de criptare si decriptare a
informatiilor produce costuri mari de timp in functie de volumul de informati. Astfel sistemul de
gestiune intarzie intoarcerea de rezultate deoarece trebuie sa decripteze initial informatiile si
apoi sa le afiseze. Un alt dezavantaj este faptul ca tranzactiile sunt mai dificil de utilizat
deoarece de exemplu daca un camp ce contine un identificator numeric al unui produs este
criptat atunci cautarea produsului dupa acel identificator va intoarce o valoare nula.
32
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
3.4 Concluzii
Securitatea informationala este proces ce se desfasoara continuu pentru asigurarea
confidentialitatii, disponibilitatii si integrabilitatii datelor. Odata ce un sistem este pus la punct
si upgradat la zi din punct de vedere software si hardware activitatea curenta a companiei in
mediu informatic se desfasoara mult mai rapid si sigur decat daca securitatea este neglijata.
Costurile intradevar cresc pentru companie daca managerii doresc ca sistemele de
securitate sa fie in concordanta cu tehnologiile momentului, dar costurile pierderii de informatii
sau distrugerea acestora poate fi mult mai mare.
33
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
3.5 Anexe
1) Sistemul de operare.
Pentru statiile de lucru vom opta pentru sistemul de operare Windows 7 Profesional
oferit de cei de la Microsoft.
Instalarea sistemului de operare se realizeaza prin boot-area unei copii a SO oferit de
producator insotit de o lincenta formata din 25 de caractere care ofera drepturi de folosinta
asupra sistemului. Boot-area copiei de windows se poate efectua de pe un cd, stick de memorie
sau direct din retea, in cazul in care exista disponibila aceasta metoda.
Configurare: in momentul instalarii Windows-ul are prestabilit ca utilizator un user cu
drepturi de admin. Administratorul trebuie sa aloce un user nou cu acces limitat si securizat
prin user si parola. Fiecarui computer din retea i se vor instala sistemul de operare si i se vor
aloca useri cu acces limitat in functie de activitatile acestuia. Se poate seta accesul pentru
directoare si fisiere in functie de posibilitatea de scriere, citire, modificare sau control intreg.
Acestea se pot modifica din Unul sau mai mule calculatoare vor fi folosite pe post de server,
astfel administratorii pot utiliza serverele pentru a controla securitatea si permisiunile pentru
toate computerele din retea; in momentul in care se vor opera modificari acestea se vor
implementa automat cu ajutorul serverelor.
Firewall si antivirus. Solutia propusa este sistemul antivirus si firewall al celor de la
Bitdefender si anume Bitdefender Total Security 2015. Antivirusul va fi instalat pe fiecare statie
in parte, instalarea fiind uzuala prin executabilul oferit de cei de la Bitdefender. Configurarea va
fi la fel de simplu de efectuat deoarece softul ofera o interfata grafica intuitiva. Setarile sunt
prestabilite si de obicei nu necesita o interventie ulterioara deoarece softul este setat sa
scaneze atasamente, sa efectueze scanari periodice, etc.
Firewall-ul va fi configurat pe serverul de net si va impiedica astfel orice patrundere din
exterior in retea. Statiile de lucru vor avea dezactivat sistemul firewall preinstalat de la
Windows.
Update-urile software se vor realiza la zi pentru fiecare soft in parte pentru sporirea
securitatii.
34
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
2) Configurarea retelei.
Serverul proxy.
Pentru instalarea serverului proxy avem nevoie de sistem de operare Ubuntu pe un
server cu memorie de cel putin o memorie fizica de 32gb si o memorie ram de minim 2 gb
pentru a reusi toate operatiunile uzuale ale utilizatorilor. Proxy serverul se va configura pentru
a intercepta accesul intre Internet si reteaua locala, lucru folositor pentru realizarea de update
pe statiile de lucru, deoarece proxy va realiza toate updatele in acelasi timp. Pentru serverul
Proxy vom folosi softul propus de cei de la Squid.
Pentru instalare se va deschide terminalul si se va tasta comanda sudo apt-get install
squid, introducem parola si apoi instalarea va rula automat.
Pentru configurare va trebui in primul rand sa editam un fisier cu comanda sudo nano si
locatia fisierului(squid.conf). Aici vom face configurarile de acces pentru serverul proxy.
Server HTTP.
Pentru serverul HTTP vom instala softul Apache. Utilitarul il vom descarca de pe
internet, fiind un soft open-source nu este nevoie de licenta iar updaturile se fac in mod gratuit.
Descarcarea softului se va realiza de la adresa: httpd-2.2.2.tar.gz
Dupa ce am obtinut sursele, trecem la dezarhivarea lor iar pentru asta deschidem o consola in
directorul unde am salvat arhiva .tar.gz si scriem urmatorul cod:
-> tar -xzf httpd-2.2.2.tar.gz
-> cd httpd-2.2.2
-> ./configure --prefix=/usr/local/apache2 --enable-so
Astfel in prima linie vor realiza dezarhivarea surselor, apoi vom iesi din directorul curent in
directorul dezarhivat si apoi vom configura locul unde se va instala serverul.Odata terminata si
aceasta etapa urmeaza instalarea efectiva:
-> make
-> make install
Configurarea serverului:
Primul pas este modificarea fisierului htpd.conf:
-> mcedit /usr/local/apache2/conf/httpd.conf
Si vom face urmatoarele modificari:
35
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
ServerRoot "/usr/local/apache2"
...
<IfModule !mpm_winnt.c>
<IfModule !mpm_netware.c>
User companie
Group www
</IfModule>
</IfModule>
...
DocumentRoot "calea_catre_fisiere"
...
<Directory " calea_catre_fisiere ">
Options FollowSymLinks
AllowOverride None
</Directory>
...
DirectoryIndex index.php index.html index.htm index.html.var
Apoi vor trebui configurate drepturile de acces.
Pentru siguranta vom seta serverul sa porneasca odata cu sistemul.
-> cp /usr/local/apache2/bin/apachectl /etc/init.d
-> chmod 755 /etc/init.d/apachectl
-> chkconfig --add apachectl
-> chkconfig --level 35 apachectl on
Tot din consola se va configura si crea MySQL si PHP. Procedura e asemanatoare dar
configurarea se face diferit pentru fiecare in parte. Pasii de urmat pentru configurarea lor sunt
descrisi in documentatiile oferite de producatori.
Server de MAIL.
Pentru a putea instala si configura un server de mail pe ubuntu avem nevoie sa avem
instalat in prealabil un server apache pentru protocolul html, o baza de date mysql. Dupa aceea
vom descarca din linia de comanda postfix (pe post de mail transfer agent) si dovecot (pe post
de mail delivery agent).
-> sudo apt-get install postfix
In acest moment se realizeaza instalarea postfix, apoi trebuie configurat. Pentru asta trebuie
editat fisierul main.cf cu urmatoarele linii.
->inet_interfaces = all
->mydestination = $www.companie.ro, localhost.$companie.ro, localhost, $companie.ro
->home_mailbox= Maildir/
36
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Salvam si restartam sistemul. De aici vom aloca casute de mail si parole pentru fiecare user in
parte. Postfix este un utilitar complex in care se pot seta ce useri sa blocheze, ce tip de protocol
sa foloseasca imap sau ppo3s.
Server Router.
Softurile pentru serverele pe post de router vin preinstalate, configurarea fiind intuitiva
de realizat de catre administrator. Dupa montarea acestuia trebuie schimbate datele de
autentificare la server pentru ca sunt prestabilite. Solutia hardware pentru acest server este
Switc L2 cu full management TL-SL4528E, produs de cei de la TP-Link.
SSH(Putty).
SSH, Secure Shell este un protocol de retea criptografic ce da posibilitatea transferului
de informatii printr-un canal securizat intre dispozitivele din retea. Acesta foloseste si
protocolul SFTP adica secure file transfer protocol, un protocol securizat pentru transferul de
fisiere.
Primul pas este instalarea pe computerul de pe care vrem sa ne conectam a clientului ssh. Daca
sistemul de operare al computerului este windows vom folosi o masina virtuala unbuntu.
-> sudo apt-get install openssh-client
Apoi vom instala pe servarul ssh pe al doilea pc
-> sudo apt-get install openssh-server
Acum se pot face transfer de date securizate intre statiile de lucru folosind comenzi de genul:
-> $scp r username@192.168.00.13:/home/username/remotefile.txt
37
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
Capitolul IV
Audit
38
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
4.1 INTRODUCERE
Am efectuat auditul tehnic n cadrul SC ABC SRL la urmtoarea adres: Splaiul
Independenei nr. 313, sector 6, Bucureti. Din punct de vedere tehnic proiectul a inclus,
conform contract nr. 354756.
Echipamente hardware.
Licen sistem operare.
Securitate fizica.
Instruire utilizatori .
2.2 Lucrrile de audit au fost planificate si s-au desfasurat in intervalul 10.11.2014 10.12.2014
la adresa Splaiul Independenei nr. 313, sector 6, Bucuretiincluzand urmatoarele:
39
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
4.3 Ghid
In acest document se trateaza metodele prin care se desfasoara un audit eficient,
asupra unei retele.
1. Securitatea fizica
2. Securitatea retelei din care face parte sistemul
3. Protocale/servicii
4. Securitatea utilizatorului (User security)
5. Securitatea stocarii datelor
6.Parole
7.Factorul uman
8. Planul de dezastru
3.1. Securitatea fizica
Este cea mai importanta parte in mentinerea securitatii, care din pacate este de cele mai multe
ori ignorata de catre adimistratorii de sistem, deoarece majoritatea sunt de parere ca
proximitatea ocazionala este de ajuns.
In general sunt mult mai multi factori care trebuie luati in considerare pentru ca acel sistem sa
fie sigur.
10
10
10
10
10
10
10
10
10
10
10
10
10
OBS.
40
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
10
10
10
10
10
10
10
10
10
10
OBS.
Nu exista si o masura de
securitare bruta.
OBS.
41
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
8
5
7
5
O data la 60 zile.
OBS.
Traficul wireless
Punctaj (p)
Maxim Acordat
Conectarea la reteaua WIFI este parolata?
Traficul de date este criptat?
Se permite accesul cu dispozitive externe in
reteaua WIFI?
8
8
8
8
8
5
OBS.
42
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
3.3. Protocoale/servicii
Urmatoarea categorie de evaluat este probabil una dintre cele mai mari; calculatoarele sunt
facute sa proceseze, iar in functie de scopul sistemului in cauza, acesta poate rula diferite tipuri
de aplicatii software.
Datorita faptului ca toate aceste aplicatii sunt scrise de foarte multi programatori, exista
probabilitatea ca cel putin una dintre aceste aplicatii sa contina o vulnerabilitate. De ce?
Deoarece fiecare programator intelege in felul sau securitatea, unii acordandu-i o atentie mai
mare, altii mai mica
Fisa de identificare si analiza protocoale/servicii:
Punctaj (p)
Maxim Acordat
Chiar daca in general este acceptabil sa
credem ca aplicatiile software care vin preinstalate intr-un sistem nou prezinta o
securitate rezonabila, trebuie verificat mereu
daca producatorul a lansat update-uri (in
special de securitate Security patches) sau
alte informatii relevante despre configuratia
specifica sistemului in cauza.
Pentru fiecare aplicatie software instalata in
sistemul in cauza, trebuie verificat daca exista
atat brese de securitate cunoscute cat si
metode de a le folosi (exploits). Daca
producatorul are un newsletter prin care
anunta aceste probleme, administratorul de
retea trebuie sa fie abonat la el.
Configurarea proasta a aplicatiei este probabil
cea mai comuna cauza prin care o persoana
obtine acces neautorizat la sistem. In
momentul instalarii acelei aplicatii, s-a urmarit
ghidul emis de catre producator? Daca au
aparut probleme pe parcurs, acestea au fost
notate si transmise departamentului
insarcinat cu rezolvarea acestora?
Daca aplicatia poate accesa date sensibile,
utilizatorul in cauza este autorizat sa lucreze
cu acest program? Atat log-ul de sistem cat si
datele temporare sunt stocate intr-un loc
sigur? Daca trebuie sterse, se foloseste lowlevel format?
10
10
10
10
10
10
OBS.
Acest process se
efectueaza o data pe
saptamana.
Administratorul de retea
nu este abonat la
newsletter.
43
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
10
10
OBS.
10
10
10
Exista cateva
vulnerabilitati.
10
Exista cateva
vulnerabilitati.
44
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
10
10
OBS.
Cu exceptia
administratorului.
3.6. Parolele
Parola este componenta centrala a oricarei scheme de securitate.
Fisa de identificare si analiza parole:
Punctaj (p)
Maxim Acordat
Fiecare utilizator trebuie sa aiba o parola
complexa. In niciun caz nu trebuie sa existe
conturi de tip guest sau conturi care nu
necesita o forma de autentificare.
Parola trebuie sa contina minim 6 caractere si
sa fie o combinatie de litere (minuscule si
majuscule), cifre si simboluri speciale (!@#$%,
etc). Parola nu trebuie sa fie un nume,
substantiv, idee sau orice cuvant care poate sa
existe intr-un dictionar. Un exemplu bun de
parola este: jY2Ehxqu#
Trebuie sa existe o politica de schimbare a
parolelor. Utilizatorul nu trebuie sa tina o
parola mai mult de cateva luni consecutiv, iar
OBS.
10
10
10
Se folosesc si parole de
genul : substantive,
nume..
10
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
10
10
10
10
10
10
10
10
10
10
10
10
OBS.
46
Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.
4.4
10
10
10
10
10
8
OBS.
OPINIA AUDITORULUI