Documente Academic
Documente Profesional
Documente Cultură
Curs Securit Sist Inf PDF
Curs Securit Sist Inf PDF
FACULTATEA DE INGINERIE
SECURITATEA SISTEMELOR
INFORMATICE
note de curs i aplicaii
pentru studenii Facultii de Inginerie
2007
Cuvnt nainte,
Autorul
controale trebuie s aib n vedere pe toi angajaii i nu doar pe cei din compartimentul
IT sau care au legtur direct cu acest domeniu.
Securitatea informaiilor nu este doar o problem tehnic. Ea este n primul rnd
o problem managerial.
Standardul de securitate ISO/IEC 17799 rspunde nevoilor organizaiilor de
orice tip, publice sau private, printr-o serie de practici de gestiune a securitii
informaiilor.
Standardul poate fi folosit n funcie de gradul de expunere a fiecrei organizaii
n parte, pentru a contientiza la nivelul conducerii aspectele legate de securitatea
informaiei, sau pentru a crea o cultur organizaional n ceea ce privete securitatea
informaiilor, sau pentru a obine certificarea sistemului de securitate.
Gradul de expunere a sistemelor informaionale variaz cu industria n care
activeaz fiecare organizaie. Cu ct acest risc este mai mare, atenia care trebuie
acordat securitii datelor ar trebui s fie mai mare.
Instituiile financiare, industria aprrii, aerospaial, industria tehnologiei
informaiei, industria electronic sunt sectoarele cu cel mai mare grad de risc n ceea ce
privete securitatea informaiilor. Tot n aceast categorie de risc ridicat intr i
instituiile guvernamentale, motiv pentru care adoptarea unei culturi organizaionale pe
baza standardului ISO/IEC 17799 are un rol fundamental.
Stabilirea cerinelor
Este important ca fiecare organizaie s poat s-i identifice propriile cerine de
securitate. Pentru aceasta ea trebuie sa fac apel la trei surse principale:
analiza riscurilor;
legislaia existent;
standardele i procedurile interne.
Folosind o metodologie corespunztoare pentru a analiza riscurile organizaia i
poate identifica propriile cerine legate de securitate. Un astfel de proces presupune n
general patru etape principale:
identificare activelor care trebuie protejate;
identificarea riscurilor/ameninrilor specifice fiecrui activ;
ierarhizarea riscurilor;
identificarea controalelor prin care vor fi eliminate/diminuate riscurile
Nu trebuie ns trecute cu vederea nici aspectele financiare.
Fiind un obiectiv comun, dictat de cerinele de afacere, pentru c pn la urm
orice activitate derulat de o organizaie are o raiune economica, n implementarea unei
arhitecturi de securitate trebuie puse n balan costurile i beneficiile.
Un mecanism de control nu trebuie s coste organizaia mai mult dect
bunul ce trebuie protejat.
Stabilirea cerinelor de securitate, a msurilor necesare pentru a asigura nivelul
de control dorit, are o component deseori subiectiv, fiind dificil de cuantificat n
temeni monetari pierderea suferit n cazul unui incident de securitate. Aspectele
intangibile precum alterarea imaginii organizaiei pe pia, credibilitatea n faa
clienilor sau efectele indirecte ale unui incident de securitate major, sunt cel mai greu
de apreciat. Aceasta este raiunea i pentru care adoptarea unor standarde i practici
general acceptate, susinute de evaluri periodice independente este de recomandat.
7
Acest proces nu este unul static, altfel spus trebuie avute n permanenta n
vedere schimbrile care intervin n viata organizaiei pentru a fi reflectate corespunztor
n planul de securitate. Dac spre exemplu apare o modificare legislativ cu impact
asupra instituiei, trebuie avut n vedere din nou modelul folosit pentru evaluarea
riscurilor pentru a vedea dac acesta reflect riscurile aprute ca urmare a acestei
modificri.
n acest sens, ISO/IEC 17799 propune o serie de obiective de securitate i
controale din rndul crora profesionitii le pot selecta pe acelea care corespund afacerii
n care funcioneaz. Pe de alt parte acest standard nu trebuie considerat un panaceu al
securitii informaiilor att timp ct el ofer doar recomandri celor care rspund de
implementarea i managementul unui sistem de securitate n cadrul unei organizaii.
De unde se ncepe
Controalele interne pot fi considerate principiile care stau la baza implementrii
unui sistem de management al securitii. Chiar dac sursele unor astfel de msuri pot fi
destul de variate, punctul de plecare ntr-un astfel de demers l reprezint legislaia
aplicabil. Este foarte important ca cel care se ocup de implementarea unui sistem de
management al securitii s aib cunotine despre actualele cerine legislative:
Legea nr. 161 din 19 aprilie 2003 privind unele masuri pentru asigurarea
transparentei n exercitarea demnitarilor publice, a funciilor publice si n
mediul de afaceri, prevenirea si sancionarea corupiei.
Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter
personal si protecia vieii private n sectorul comunicaiilor electronice.
Legea nr. 677 din 21 noiembrie 2001 pentru protecia persoanelor cu privire
la prelucrarea datelor cu caracter personal si libera circulaie a acestor date.
Legea nr. 455 din 18 iulie 2001 privind semntura electronica.
Legea nr. 544 din 12 octombrie 2001 privind liberul acces la informaiile de
interes public.
Hotrrea nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor
tehnice si metodologice pentru aplicarea Legii nr. 455-2001 privind
semntura electronica.
Ordinul Avocatului Poporului nr. 52 din 18 aprilie 2002 privind aprobarea
Cerinelor minime de securitate a prelucrrilor de date cu caracter personal.
Ordinul Avocatului Poporului nr. 53 din 18 aprilie 2002 privind aprobarea
formularelor tipizate ale notificrilor prevzute de Legea nr. 677/2001 pentru
protecia persoanelor cu privire la prelucrarea datelor cu caracter personal si
libera circulaie a acestor date.
Ordinul Avocatului Poporului nr. 54 din 18 aprilie 2002 privind stabilirea
unor situaii n care nu este necesara notificarea prelucrrii unor date cu
caracter personal care cad sub incidenta Legii nr. 677/2001 pentru protecia
persoanelor cu privire la prelucrarea datelor cu caracter personal si libera
circulaie a acestor date.
Hotrrea nr. 781 din 25 iulie 2002 privind protecia informaiilor secrete de
serviciu.
Legea nr. 182 din 12 aprilie 2002 privind protecia informaiilor clasificate.
Fox Pro, de exemplu, nu pot asigura o protecie a informaiilor la nivelul bazei de date,
acestea fiind stocate n fiiere necriptate, accesibile oricrui utilizator, indiferent de
drepturile de acces care i-au fost atribuite la nivelul aplicaiei. Sistemele de operare
precum DOS sau Windows 95/98 nu au mecanisme de control al accesului, nefiind
posibil restricionarea drepturilor de utilizare a datelor la acest nivel. Standardul
prevede ns msuri de control pentru fiecare nivel al sistemului informaional:
controlul accesului la serviciile reelei - conexiunile la serviciile reelei
trebuie controlate iar pentru obinerea accesului la astfel de servicii este
recomandat implementarea unei proceduri formale.
controlul accesului la nivelul sistemului de operare sistemul de operare
trebuie s prevad msuri de restricionare a accesului la date existente pe
calculatore.
controlul accesului la aplicaii - prevenirea accesului neautorizat la
informaiile gestionate de aplicaiile software.
Orict de elaborate ar fi msurile de control al accesului exist totdeauna
posibilitatea unei intruziuni, sau utilizarea inadecvat a resurselor existente.
Pentru a detecta potenialele activiti neautorizate este necesar monitorizarea
accesului i utilizrii sistemului informatic.
Monitorizarea are un caracter continuu i implic pstrarea i revizuirea
periodic a nregistrrilor cu evenimentele de sistem, i a activitii utilizatorilor.
1.3.8. Dezvoltarea i ntreinerea sistemului
Aproape mereu, atunci cnd e vorba de dezvoltarea i implementarea unui
sistem informatic, cerinele de securitate sunt neglijate. Eforturile sunt ndreptate mai
mult spre aspectele funcionale i mai puin pe controlul riscurilor de integritate i
confidenialitate a informaiilor. Organizaiile se expun la riscuri majore de operare ce
pot rezulta n pierderi financiare semnificative prin neglijarea unor msuri minimale de
control al procesului de dezvoltare i implementare. Testarea aplicaiilor nu este
formalizat, ceea ce nu garanteaz calitatea dezvoltrilor, programatorilor li se permite
accesul la mediul de producie pentru corectarea unor erori nedetectate n procesul de
testare, inducnd riscuri de integritate i disponibilitate a datelor.
Aspectele de securitate nu trebuie neglijate n partea de dezvoltare i
implementare, dei acestea s-ar putea s deranjeze i s nu aduc aparent nici un
beneficiu. Fr a ine cont de recomandrile de control ale acestui proces, organizaia
risc s investeasc ntr-o aplicaie sau echipament care s nu-i ofere nici o garanie
asupra informaiilor gestionate.
Obiectivele de control prevzute n aceast seciune a standardului sunt menite
s asigure c noile sisteme dezvoltate au prevzute mecanisme de securitate, prin:
dezvoltarea cerinelor i analiza specificaiilor de securitate;
validarea datelor de intrare
controlul procesrii interne
autentificarea mesajelor transmise electronic
validarea datelor de ieire
utilizarea tehnicilor de criptare
utilizarea mecanismelor de semnare electronic
14
15
2. Clasificarea informaiilor
2.1. Noiuni introductive privind clasificarea modern a
informaiilor
Clasificarea nseamn etichetri cresctoare ale documentelor sau informaiilor,
de la cel mai de jos nivel, unde se situeaz informaiile deschise su neclasificate, la cele
confideniale, urcnd spre informaii secrete i strict secrete.
n clasificarea informaiilor s-a plecat de la ideea c informaiile care prin
compromitere pot costa viei umane sunt marcate drept secret, n timp ce informaiile a
cror compromitere cost pierderea multor viei umane sunt definite strict secrete.
Personalul din domeniu securitii sistemelor sunt investii cu drepturi diverse,
de a lucra cu anumite categorii de informaii. Pe lini accesului la unele categorii de
informaii, pentru exercitarea controlului lucrurile sunt destul de clare: un angajat poate
citi documentele dintr-o anumit categorie numai dac el are cel puin dreptul de
accesare a informaiilor din acea categorie sau din una superioar. Regula este c
informaiile pot circula doar n sus, de la confidenial la secret i strict secret, n timp ce
n sens invers, de sus n jos, pot circula doar dac o persoan autorizat ia decizia de
declasificare a acestora.
Se utilizeaz dou strategii de baz privind securitatea naional, i anume:
tot ceea ce nu este interzis este permis;
tot ceea ce nu este permis este interzis.
Se apeleaz la dou tactici de implementare a strategiei fundamentale privind
protejarea informaiilor deosebite:
controlul discreionar al accesului;
controlul legal al accesului.
Prima tactic de control al accesului implementeaz principiul celui mai mic
privilegiu: nici o persoan, n virtutea rangului sau poziiei ce o deine, nu are drepturi
nelimitate de a vedea informaiile deosebite, iar persoanele care au o astfel de facilitate
trebuie s le vad numai pe cele care intr n sfera lor de activitate.
Controlul discreionar al accesului este aplicat printr-o matrice de control,
conform modelului prezentat n figura 2.1. Pentru fiecare persoan aflat pe list i
pentru fiecare informaie, matricea arat ceea ce poate face fiecare subiect cu obiectele
din list: citire, scriere, execuie, aprobare etc.
Subiect
Subiect 1
Subiect 2
Subiect 3
Subiect 4
Subiect 5
Obiect 1
Obiect 2
Obiect 3
Execut
Citete
Citete
Citete
Citete/Scrie Aprob
Citete/Scrie
Aprob
Citete/Scrie
Aprob
Execut
Execut
Execut
Citete
Aprob
Fig. 2.1: Matricea de control al accesului.
16
19
22
24
folosi o list de control al accesului al subiecilor la obiect. Acest tip de acces este
folosit n situaii locale, dinamice, n care se las la discreia subiecilor specificarea
tipurilor de resurse permise utilizatorilor s le acceseze.
Cnd un utilizator, n condiii bine specificate, are dreptul s modifice controlul
accesului pentru anumite obiecte, se spun c avem un "control discreionar al accesului
direcionat ctre utilizator". Un control bazat pe identitate este un alt tip de control
discreionar al accesului care se bazeaz pe identitatea unei persoane.
Controlul nediscreionar al accesului o autoritate central stabilete subiecii
care pot s aib acces la anumite obiecte, n funcie de politica de securitate
organizaional. Controlul accesului poate s se bazeze pe rolul individual ntr-o
organizaie (control bazat pe sarcini). Acest tip de control nu necesit schimbri atunci
cnd un rol va fi jucat de o alt persoan.
3.1.2. Forme combinate de control
Prin combinarea controlului preventiv i detectiv cu mijloacele celorlalte tipuri
de control administrativ, tehnic (logic) i fizic se obin urmtoarele combinaii:
preventiv administrativ;
Control preventiv
preventiv tehnic;
preventiv fizic:
o detectivAdministrativ
Tehnic
Fizic
administrativ;
o detectiv-tehnic;
detectiv fizic.
n figura 3.1 se prezint
schematic aceste perechi.
Control detectiv
Fig.3.1: Combinarea formelor de control
minii, liniile din palm, imaginea feei etc. Toate aceste tehnici sunt foarte
scumpe, n comparaie cu cele clasice, i deseori sunt incomode sau
neplcute la utilizare.
ceva ce persoana tie o parol, doar c aceasta se afl la discreia
oamenilor i securitatea sistemului depinde de modul de pstrare a secretului
ei sau de uurina cu care poate fi aflat.
locul geografic unde este nregistrat calculatorul.
Metodele de control al accesului trebuie s se bazeze pe cel puin dou din cele
patru enumerate mai sus, de cele mai multe ori se apeleaz la combinaiile cartelparol, cheie-parol, jeton-parol. n ultimul timp se recomand s se foloseasc i un al
treilea elemente cel biometric.
3.2.1. Principiile de baz ale controlului accesului
Ca principiu general, simpla posesie a unui element de control al accesului nu
trebuie s constituie i proba accesului privilegiat la informaiile importante ale
firmei, ntruct el poate fi dobndit i pe ci ilegale dau poate fi contrafcut.
Un al doilea principiu arat c atunci cnd valorile patrimoniale sunt deosebit
de importante i mecanismul de protecie trebuie s fie pe msur, iar persoanele cu
drept de acces s fie ct mai puine.
Al treilea principiu, de regul aplicat informaiilor secrete, este acela c nici
unei persoane nu trebuie s i se garanteze accesul permanent, gestiunea sau
cunoaterea informaiilor secrete numai pe motivul poziiei ierarhice pe care o
deine.
Fiecare centru de prelucrare automat a datelor cu mai mult de 25 de angajai
trebuie s apeleze la sistemul ecusoanelor i la biometrie, ca msuri suplimentare fa de
proteciile realizate prin alte metode privind accesul n cldire.
Locurile care nu dispun de ui ce pot fi ncuiate trebuie s aib intrrile
supravegheate, iar o persoan s rspund de aceast operaiune. Cu acelai scop, poate
fu utilizat i televiziunea cu circuit nchis, cu condiia ca o persoan s nu
supravegheze mai mult de trei monitoare.
Controlul accesului prin obiecte
Una din metodele folosite pentru accesul n cldiri sau sli este utilizarea unei
cartele de plastic sau a unui jeton, care ofer informaii despre purttor, cum ar fi:
numele, adresa, codul cardului, contul bancar, informaii medicale, drepturi de acces.
Toate aceste informaii pot fi codificate prin coduri de bar, pelicul magnetic,
microprocesor. Unele carduri conin i fotografia titularului.
Exist i carduri inteligente care se utilizeaz pentru criptarea i decriptarea
datelor, semnarea mesajelor i introducerea de pli electronice. Aceste carduri
controleaz accesul n cldire, la locurile de parcare, n sli, la calculator i la alte date
personale ale deintorului.
Se mai pot folosi i ecusoane active, care realizeaz identificarea prin frecvene
radio, sau prun infrarou, putndu-se citi cartele de la civa metri.
Majoritatea cartelelor sunt auto-exprinate, cu ajutorul unor tehnologii termice
sau a unor vopsele speciale.
28
utilizatorii nu-i schimb periodic parolele, iar dac o fac nu aduc modificri
importante n structura lor;
utilizatorii i pstreaz parolele scrie pe suporturi lsate n vzul tuturor;
utilizatorii folosesc nume asocieri nume-cuvinte cunoscute (nume de
persoane dragi) ceea ce le face extrem de vulnerabile.
Dintre cuvintele utilizate n mod eronat de utilizatori drept parol amintim:
PASSWORD, PAROLA, SECRET, SMART, CLEVER, DUMMY, CRAZY, sau chiar GHICI.
Deoarece parolele sunt nite chei de acces la valorile proprii, trebuie protejate cu
grij, i trebuie respectate cteva reguli de baz la alegerea lor:
parolele trebuie schimbate cel puin odat la ase luni, iar pentru datele
deosebit de importante i mai des;
parolele comune (utilizate de mai muli) trebuie schimbate imediat ce o
persoan prsete grupul sau i se retrage dreptul utilizrii ei;
parolele se vor schimba imediat ce apare bnuiala cunoaterii ei de ctre
persane neautorizate sau dac din motive de for major secretul lor a
trebuit dezvluit pentru redresarea unei stri anormale temporare;
parolele trebuie s fie memorate i nu scrise pe orice, cu excepia
urmtoarelor cazuri:
o vor fi scrise pentru situaii de urgen;
o fiecare parol scris va fi introdus ntr-un plic sigilat i marcat n
exterior cu scurte detalii privind calculatorul la care poate fi folosit
i numele celor autorizai a le folosi;
o plicul respectiv are tratament asemntor averilor protejate sau al
categoriilor de informaii accesate prin parol. Dup ruperea
sigiliului, pe plic vor fi trecute data i numele celor care au fcut-o;
o plicurile cu parole se pstreaz de ctre responsabilul cu securitatea
sistemului i seif.
dac parolele duplicat se pstreaz prin intermediul calculatorului, astfel de
fiiere trebuie s fie protejate mpotriva accesului neautorizat i create copii
de siguran. Accesul la acest fiier trebuie s fie nlesnit doar persoanelor
autorizate, respectndu-se principiul "niciodat singur". Listele cu parole vor
fi memorate sub form criptat;
parolele nu vor fi afiate niciodat pe echipamentele din configuraia
sistemului, iar la introducerea lor nu trebuie s se afle persoane strine n
preajm;
parolele, n cele mai multe cazuri, au cel puin opt caractere. Ele sunt
caractere alfa numerice, folosite n ordine aleatoare, ceea ce ar nsemna
cteva mii de cuvinte de opt sau mai puine caractere, care pot fi testate cu
ajutorul calculatorului, n doar cteva minute, deci sunt suficient de
vulnerabile pentru sprgtorii profesioniti;
pentru blocarea operaiunilor de ncercare repetat, de ordinul miilor,
calculatoarele trebuie s permit un numr limitat de ncercri de introducere
a parolelor, de obicei trei. Dac limita este depit de utilizator, intenia este
raportat conductorului sistemului sau responsabilului cu securitatea. n
acest timp trebuie s se blocheze terminalul de la care s-au efectuat prea
multe ncercri nereuite. n cazul sistemelor speciale se recomand i
blocarea slii sau a locului de unde s-a ncercat ptrunderea n sistem prin
parole eronate repetate, pentru identificarea persoanei respective.
30
31
4. Criptografia
4.1. Definiii i noiuni de baz
Scopul criptografiei este de a proteja informaiile transmise fr s poat fi citite
i nelese dect de ctre persoanele crora le sunt adresate. Teoretic, persoanele
neautorizate le pot citi, ns practic, citirea unei comunicaii criptate este doar o
problem de timp egal cu timpul aferent necesar persoanei neautorizate de a decripta
mesajul citit.
Algoritmul criptografic este o procedur pas-cu-pas utilizat pentru cifrarea
unui text clar i descifrarea textelor cifrate.
Cheia sau variabila de criptare este o informaie sau o secven prin care se
controleaz cifrarea i descifrarea mesajului.
Cifrarea este o transformare criptografic a unor caractere sau bii.
Criptograma sau textul cifrat reprezint un mesaj neinteligibil
Cifrul bloc se obine prin separarea textului iniial n blocuri de cte n caractere
fiecare (bii) i aplicarea unui algoritm i a unei chei identice, k, pentru fiecare bloc.
Codurile sunt o transformare care opereaz la nivelul cuvintelor sau frazelor.
Criptanaliza este actul obinerii textului clar sau a cheii din textul cifrat, care
este folosit pentru obinerea informaiilor necesare acestui scop.
Criptarea nseamn realizarea formei neinteligibile a unui mesaj pentru a nu fi
utilizat de persoanele neautorizate s-l acceseze.
Criptarea end-to-end n acest caz informaiile criptate sunt transmise din
punctul de origine la destinaia final.
Cheie simetric att expeditorul ct i destinatarul folosesc aceeai cheie de
criptare.
Cheie asimetric expeditorul i destinatarul folosesc chei de criptare diferite.
Criptarea nlnuit mesajul circul prin mai multe noduri ntre expeditor i
destinatar. Un nod intermediar primete mesajul, l decripteaz cu aceeai cheie cu care
a fost cripta, l recripteaz cu o alt cheie i l trimite la urmtorul nod unde procesul se
repet pn cnd mesajul ajunge la destinatar.
Criptografia este arta i tiina ascunderii semnificaiei unei comunicri
mpotriva unor interceptri neautorizate. Cuvntul vine din limba greac, care nseamn
criere ascuns: kryptos graphein.
Criptologia reunete criptografia i criptanaliza.
Decriptarea este procesul prin care un text cifrat este transformat ntr-un mesaj
inteligibil.
Sistemul de criptare este un set de transformri din spaiul mesajului clar la cel
al textului cifrat.
Steganografia este o form de comunicare secret prin care se ncearc
ascunderea mesajului secret ntr-o imagine digital.
Textul clar este forma inteligibil de prezentare a unui mesaj, astfel nct el s
fie accesibil oricui.
32
Cap. 4 - Criptografia
4.1.1.1. Substituia
Cea mai simpl metod de criptare, prin substituie, este cunoscut n zilele
noastre sub denumirea de cifrul lui Cezar, dup numele mpratului roman care a
inventat-o. n acest cifru, caracterele mesajului i numrul de repetiii ale cheii sunt
nsumate laolalt, modulo 26. n adunarea modulo 26, literelor alfabetului latin, de la A
la Z, li se dau valori de la 0 la 25 (vezi tabelul 4.1). Pentru cheie trebuie s se ofere doi
parametri:
D numrul literelor ce se repet, reprezentnd chei;
K cu rol de cheie.
Tabelul 4.1
Corespondena litere-numere
Litera A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Numr 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
1
15
4
0
2
17
1
14
4
11
2
0
1
12
4
4
2
0
16
19
15
15
13
Cheia reperat
Mesajul
Echivalentul numeric
al textului criptat
Textul criptat
3
15
3
0
3
17
3
14
3
11
3
0
3
12
3
4
3
0
18
20
17
14
15
Dac sumele valorilor cheii i ale numrului aferent literelor sunt mai mari sau
egale cu 26, se determin modulo 26 din sum, adic rezultatul final este obinut prin
scderea din sum a numrului 26.
Exemplu:
D=3, K=PIC, mesajul este SECRET, rezultatul va fi:
- valorile numerice atribuie mesajului:
S E C R E T
18 4 2 17 4 19
- valorile numerice ale cheii sunt: P I C = 15 8 2
Cheia reperat
Mesajul
Echivalentul numeric
al textului criptat
Textul criptat
15
18
33
(8)
I
8
4
2
2
12
15
17
32
(9)
J
8
4
2
19
12
21
34
Cap. 4 - Criptografia
Aceleai reguli se pot aplica asupra coloanelor sau asupra liniilor i coloanelor.
Combinarea transpoziiei cu substituia poate s conduc la variante aproape
imposibil de spart.
4.1.3. Cifrul lui Vernam
Cifrul lui Vernam const ntr-o cheie constituit dintr-un ir se caractere
aleatoare nerepetitive. Fiecare liter a cheii se adaug modulo 26 la o liter a mesajului
clar. n aceast variant, fiecare liter a cheii se folosete o singur dat pentru un
singur mesaj i nu va mai putea fi folosit niciodat. Lungimea irului de caractere a
cheii este egal cu lungimea mesajului. Metoda este foarte util pentru criptarea
mesajelor scurte.
Exemplu: criptarea mesajului: LA MULTI ANI
35
Mesaj clar
LAMULTIANI
Cheie Vernam VIDAGTSROL
Suma aparent
Modulo 26 din
sum
Textul criptat
11
21
32
0
8
8
12
3
15
20
0
20
11
6
17
19
19
38
9
18
27
0
17
17
13
14
27
8
11
19
15
20
17
12
17
19
Cifrul carte
Acest tip de cifru apeleaz la diverse surse, de obicei o carte, pentru a cripta un
text. Cheia, cunoscut de expeditor i destinatar, poate fi format din pagina crii i
numrul rndului de pe pagina n care se afl textul.
Codurile
Codurile sunt folosite pentru a transmite construcii predefinite din anumite
domenii. (cum se foloseau la pagere). De regul, sunt dou rnduri de cri, una conine
semnificaia n clar a mesajelor n ordinea alfabetic i codul corespunztor, cealalt
conine ordinea cresctoare a codurilor i n dreptul lor semnificaia n clar.
4.1.4. Ascunderea informaiilor
Ascunderea informaiilor se practic din cele mai vechi timpuri, iar n zilele
noastre mesajele secrete pot fi ascunse n fiiere audio MP3, n fiiere video, imagini
sau n instruciunile executabile ale unui program.
4.1.4.1. Steganografia
Steganografia este arta ascunderii existenei unui mesaj pe un anumit suport.
Termenul vine din cuvintele greceti steganos care nseamn acoperit i graphien a
scrie.
Prin Steganografia se exprim interesul pentru confidenialitate, deoarece scopul
ei este de a include mesaje ntr-un anumit mediu astfel nct s rmn insesizabil.
n prezent, o tehnic frecvent utilizat este ascunderea mesajului printre biii
imaginilor digitale. Imaginile sunt reprezentate printr-o form matriceal de pixeli
(picture x elements), nsemnnd puncte din care se realizeaz imaginea. O imagine
"modest" poate avea 400300 pixeli. Fiecare pixel este codificat printr-o secven de
bii care stabilete culoarea. Cea mai simpl form de codificare este sistemul RBG (red
blue, green) prin 24 de bii, adic cte 8 bii pentru fiecare culoare. Cei 8 bii determin
realizarea a 256 de variante, prin combinarea lor rezult aproximativ 17 milioane de
nuane de culori. Unora dintre bii li se poate da o alt destinaie, pentru a codifica
mesaje, fr a fie afectat semnificativ calitatea imaginii.
Ultimul bit, cel mai din dreapta, nu are un rol semnificativ n stabilirea culorii, el
schimb culoarea cu un spectru, echivalent cu modificarea orei cu o secund (ct
reprezint o secund dintr-o or ?).
Biii succesivi ai mesajului vor fi plasai pe poziia biilor cel mai puin
semnificativi ai octeilor, fr a fi afectat semnificativ imaginea. Fcnd un calcul
simplu, pentru o imagine de 400300 pixeli, fiecare cu cte trei octei, de la care se pot
mprumuta 3 bii, rezult 4003003 = 360.000 bii alocai pentru mesajul nostru secret.
Un caracter poate fi scris pe 8 bii, deci 360.000 / 8 = 45.000 de caractere poate avea
mesajul nostru.
36
Cap. 4 - Criptografia
4.1.4.2. Filigranarea
Un filigran este un model distinct ncapsulat ntr-un document, imagine, video
sau audio de ctre cel care se afl la originea datelor. Filigranul poate avea cteva
scopuri, printre care:
indicarea proprietarilor datelor;
inerea evidenei copiilor datelor;
verificarea integritii datelor.
Filigranele folosite n bancnote au scopul de a ntri ncrederea posesorilor c se
afl n faa banilor originali i nu a unora contrafcui, scopul fiind de securizare
mpotriva falsificrii. Un filigran poate fi invizibil cu ochiul liber sau insesizabil de
ureche, dar exist mijloace de detectare i extragere a lui pentru a se verifica
autenticitatea datelor sau sursa lor.
Datele filigranate sunt o funcie a unui identificator i/sau cheie care este unic
pentru autor. Aceste valori sunt necesare pentru detectarea sau extragerea filigranului.
Dac mai multe copii ale datelor surs au fost filigranate separat, fiecare ele va fi
prelucrat cu o cheie proprie, deci fiecare copie are amprenta ei. Prin inerea evidenei
fiecrei chei folosite pentru fiecare beneficiar este uor de urmrit cine a nclcat
drepturile de autor.
Filigranele pot fi de dou tipuri: fragile sau solide. Filigranele fragile sunt mai
uor de schimbat, dar sunt folosite doar pentru a vedea dac datele au fost schimbate, n
timp ce filigranele solide rezist tuturor manipulrilor i manevrelor la care sunt supuse.
Filigranarea este similar cu steganografia i se bazeaz pe tehnici de proiectare
apropiate.
n spaiul cibernetic, filigranele sunt folosite pentru stabilirea nclcrii
drepturilor de autor. Digimarc Technologies1 are un produs pentru protejarea imaginilor
puse de proprietar n site-ul propriu. Deintorii copyright-ului insereaz filigranul lor,
folosind PhotoShop de la Adobe, sau un alt editor de imagine care nglobeaz
tehnologia Digimarc. Cnd receptorul folosete acelai editor pentru vizualizarea
imaginilor va fi afiat simbolul de copyright al autorului. Prin selectarea simbolului se
realizeaz legtura cu Digimarc, de unde vor afla cine este deintorul dreptului de
autor. De asemenea, Digimarc are un motor de cutare, MarcSpider, care caut imagini
filigranate furate de la autorii lor.
n domeniul pirateriei muzicii, firma Aris Technologies Inc2 a realizat aplicaia
MusiCode, care ncapsuleaz informaii surs (titlul, artistul, compania de nregistrare)
n fiierul audio. Softul este folosit pe Internet ntr-un motor de cutare care combate
piraii de melodii.
1
2
www.digimarc.com i www.digimarc-id.com
www.aris-techni.fr/
37
38
Cap. 4 - Criptografia
firele sau foile metalice fire cu irizri simple, holograme (realizat optic
i reprezint obiecte ntregi pe un plan ndeprtat) sau kinegramele (realizate
pe calculator, ofer imagini diferite funcie de unghiul de privire).
marca digital a copyright-ului este recunoscut de copiatoare i scanere,
care se opresc la ntlnirea ei, mpiedicnd reproducerile ilegale.
unicitatea este asigurat prin dispunere aleatoare de fibr magnetic pe
hrtie.
Cele trei caracteristici eseniale ale sistemelor bazate pe chei simetrice sunt:
siguran;
rapiditate;
volum mare de date criptate.
Singura problem a sistemului const n folosirea n comun a cheii de criptare de
ctre emitor i receptor, ceea ce nseamn c emitorul trebuie s foloseasc o palet
larg de chei pentru o mare diversitate a utilizatorilor. Sistemele bazate pe chei publice
nu ofer mecanismele necesare autentificrii i nerepudierii.
40
Cap. 4 - Criptografia
Autoritatea de
certificare
3. Tranzacia
certificat
Registru
Entitate_1: solicitant a
certificatului digital
4. Certificat
semnat
Tranzacie solicitat
de Entitate_2
Cap. 4 - Criptografia
43
Unul din cele mai cunoscute modele al politicilor de securitate este cel propus de
David Bell i Len LaPadula, n 1973, i este cunoscut sub numele Bell-LaPadula sau
modelul de securitate multinivel. Sistemele ce le adopt sunt numite i sigure
multinivel sau MLS (MultiLevel Secure). Proprietatea de baz a acestor sisteme este
aceea c informaiile pot circula n jos.
Formal, modelul Bell-LaPadula a introdus trei principii:
principiul (sau proprietatea) securitii simple, prin care nu-i este permis nici
unui proces s citeasc date aflate pe un nivel superior lui. Este cunoscut i
ca Nu citi deasupra (No Read Up, NRU);
principiul * (se citete stea): nici un proces nu poate s scrie date pe un nivel
aflat sub el. Este cunoscut i ca Nu scrie dedesubt (No Write Down, NWD);
principiul securitii discreionare introduce o matrice de acces pentru a
specifica controlul accesului discreionar. Este cunoscut i ca Trusted Subject
(subiect de ncredere). Prin acest principiu, subiectul de ncredere violeaz
principiul *, dar nu se abate de la scopul su. Cele trei principii sunt redate n
figura 5.2.
44
Fiier_3
Scrie
Citete
Nimic
Scrie
Subiect
Solicitare NU
Subiect
46
Departament k
Departament 2
Departament 1
Date partajate
Fig. 5.5: Modelul
securitii multilaterale
(secret, [cripto])
(secret, [])
(neclasificate, [])
Fig. 5.6: Model reea cu etichete de securitate.
controlul accesului,
deschiderea nregistrrilor, c
ontrolul modificrilor din liste,
consimmntul i notificarea clientului,
persistena,
marcarea accesului pentru a servi ca prob n justiie,
urmrirea fluxului informaiilor,
controlul agregrii informaiilor,
ncrederea n sistemele informatice.
49
50
ele se ofer cele mai mici detalii pentru implementarea politicilor, standardelor i
normelor. Uneori se folosete n locul acestui concept cel de practici.
5.3.3. Aspecte practice ale politicii de securitate informaional
Realizarea propriei politici de securitate presupune acoperirea mai multor
domenii diferite, iar conform standardului internaional de definire a politicii de
securitate, ISO 17799, acestea sunt:
1. Planificarea funcionrii nentrerupte a unitii, cu obiectivul contracarrii
ntreruperilor de activitate ale unitii i ale proceselor principale ca efect al unor
accidente majore sau dezastre.
2. Controlul accesului n sistem, cu obiectivele:
a. controlarea accesului la informaii;
b. prevenirea accesului neautorizat n sistemul informaional;
c. asigurarea proteciei serviciilor prestate n reea;
d. prevenirea accesului neautorizat la calculatoare;
e. detectarea activitilor neautorizate;
f. asigurarea securitii informaiilor cnd se folosesc comunicaiile mobile i
tele-activitile.
3. Dezvoltarea i ntreinerea sistemului, cu obiectivele:
a. asigurarea securitii prin sistemul operaional;
b. prevenirea pierderilor, modificrilor sau folosirii inadecvate a datelor din
aplicaiile sistemului;
c. protejarea confidenialitii, integritii i autenticitii informaiilor;
d. asigurarea c proiectele informatice i activitile colaterale se deruleaz
dup proceduri sigure;
e. meninerea securitii softului i datelor din aplicaiile sistemului.
4. Securitatea fizic i a mediului, cu obiectivele:
a. prevenirea accesului neautorizat, a distrugerilor i interferenelor cu
informaiile i celelalte componente ale sistemului;
b. prevenirea pierderilor, distrugerilor sau compromiterilor valorilor
patrimoniale, precum i stoparea ntreruperilor de activitate;
c. prevenirea compromiterii sau furtului de informaii i al altor resurse
informaionale.
5. Maleabilitatea, cu obiectivele:
a. prentmpinarea nclcrii cadrului juridic, a celui statutar, regulamentar sau
a oricrei obligaii contractuale, precum i a cerinelor pe linia securitii;
b. asigurarea maleabilitii sistemului la politicile i standardele
organizaionale pe linia securitii;
c. maximizarea eficienei procesului de auditare a sistemului i minimizarea
interferenelor cu acesta.
6. Securitatea personalului, cu obiectivele:
a. diminuarea riscurilor provocate de factorul uman, fraud sau folosirea
ilegal a componentelor sistemului;
b. asigurarea c utilizatorii sunt contieni i preocupai de prentmpinarea sau
diminuarea ameninrilor asupra securitii informaiilor, susinnd politica
de securitate a organizaiei prin tot ceea ce fac zi de zi;
c. minimizarea pagubelor provocate de incidentele aprute n sistem sau de
proasta funcionare a acestuia, precum i reinerea incidentelor ca lecii
52
pentru viitor.
7. Organizarea securitii, cu obiectivele:
a. asigurarea managementului securitii informaionale n cadrul organizaiei;
b. asigurarea securitii componentelor folosite n prelucrarea informaiilor
organizaiei accesate de ctre teri;
c. asigurarea securitii informaiilor cnd responsabilitatea prelucrrii acestora
revine unei alte organizaii, ca serviciu externalizat.
8. Managementul resurselor informatice i al exploatrii lor, cu obiectivele:
a. asigurarea funcionrii corecte i sigure a componentelor sistemului
informatic;
b. minimizarea riscului cderii sistemului;
c. protejarea integritii softului i a informaiilor;
d. asigurarea integritii i disponibilitii informaiilor prelucrate i
comunicate;
e. asigurarea ncrederii n informaiile din reele i protejarea infrastructurii
corespunztoare;
f. prevenirea pierderilor de valori patrimoniale i a ntreruperilor de activitate;
g. prevenirea pierderilor, modificrilor sau utilizrilor ilegale n schimburile de
informaii cu alte organizaii.
9. Clasificarea i controlarea valorilor patrimoniale, cu obiectivele:
a. meninerea unei protecii corespunztoare a valorilor patrimoniale ale
organizaiei;
b. oferirea ncrederii c valorile patrimoniale informaionale au asigurat un
nivel de protecie corespunztor .
10. Politica de securitate, cu obiectivele:
a. oferirea de direcii manageriale;
b. sprijinirea aciunilor ntreprinse pe planul securitii informaionale. Fiecare
dintre cele zece seciuni are n structur descrieri detaliate prin care se
definete standardul ISO 17799.
5.3.4. Exemple de politici de securitate
De remarcat c nu exist dou organizaii care s aib politici de securitate
identice. Din analizarea mai multor politici de securitate se poate realiza o structur
general a acestora, care va fi prezentat n continuare.
Astfel, se ncepe cu un program de securizare a sistemelor informaionale,
situaie n care se folosete conceptul de politica programului de securitate
informaional. Ea este acoperiul sub care se vor realiza politici tehnice de securitate,
standarde i norme de aplicare. ntr-o unitate sunt necesare politici speciale pentru
utilizarea Internetului i a e-mail-ului, pentru accesarea de la distan a sistemului,
pentru modurile de utilizare a unui sistem informatic, pentru protecia informaiilor .a.
Aadar, se poate spune c printr-o politic a programului de securitate informaional se
definete politica de ansamblu a organizaiei n acest domeniu, precum i
responsabilitile din sistem. n aceste condiii, politicile ce se vor emite sunt
componente eseniale ale programului i ele trebuie s rspund la cinci obiective
majore:
prevenire: abilitatea de prevenire a accesului neautorizat la valorile patrimoniale
ale organizaiei;
asigurare: asigurarea c politicile, standardele i normele sunt n concordan cu
53
57
58
O metod ar fi anonimatul: dac nimeni nu tie nimic despre reeaua dv, atunci
datele sunt n siguran. ns este o fals securitate, pentru c exista o mulime de
moduri prin care se poate afla ce se afl pe Internet.
Cea mai rspndit form de securitate se numete securitatea la nivel de gazd
(host security) i se refer la securizarea separat a fiecrei maini din reea. V bazai
pe acest tip de securitate cnd setai permisiunile de acces n Windows sau permisiunile
UNIX pentru fiiere i directoare. Este suficient ns o singur bre pentru ca ntreaga
reea s fie deschis hackerilor. De asemenea, pentru c securitatea la nivel de gazd nu
este aplicat egal tuturor mainilor, pot fi exploatate serviciile unei maini slab protejate
pentru a accesa o main cu securitate puternica.
6.1.3 Firewalls
Un firewall este un computer, un router sau orice alt dispozitiv de comunicaie
care controleaz fluxul de date ntre reele. n general, un firewall este prima linie
mpotriva atacurilor din afara reelei.
Poate fi implementat:
hardware - este un router special cu filtre adiionale i capaciti de
management;
software - ruleaz pe un sistem de operare oarecare i transform un PC ntrun firewall.
Conceptual, dispozitivele firewall pot aciona la :
nivelul "Retea" - sunt de obicei foarte rapide. Ele controleaz traficul pe baza
adreselor surs i destinaie, precum i a numerelor de port;
nivelul "Aplicaie" - nu permit traficul direct ntre reele. De obicei ele sunt
computere care ruleaz servere proxy. Acestea pot implementa proceduri de
securitate
specifice.
De
exemplu, se poate configura
aa
nct
s
permit
funcionarea
numai
a
protocolul de email.
Din cadrul aplicaiilor firewall ce
ofer o protecie bun la atacurile tipice
din reea putem aminti de Zone Alarm,
Agnitum Outpost i Firewall-urile
integrate din Windows XP i unele
variante din Linux.
De exemplu n Windows XP se
deschide
icoana
ce
reprezint
conexiunea curent spre Internet i se
activeaz firewall-ul, aa cum se poate
observa n figura 6.1.
Din opiunea Settings se pot
configura serviciile ce pot fi accesate de
Fig. 6.1: Activarea firewall-ului din WindowsXP
utilizatorii de pe Internet.
60
Fig. 6.2: Serviciile ce pot fi accesate prin Firewall i suportul pentru mesaje ICMP
Rolul firewall-urilor
Tipul de securitate important este securitatea la nivel de reea. Presupune
securizarea tuturor punctelor de acces la reea. Componenta cheia este acest firewall o
main care se comport ca o interfa ntre reea i Internet, avnd doar preocuparea
securitii. Un firewall are mai multe roluri:
permite accesul la reea numai din anumite locaii;
interzice utilizatorilor neautorizai s obin acces la reea;
foreaz traficul dinspre reea spre Internet s treac prin anumite puncte
securizate;
previne atacurile de tipul blocarea serviciului;
impune restricii asupra aciunilor pe care un utilizator de pe Internet le poate
face n reea.
Conceptul de firewall presupune canalizarea ntregului trafic ctre i dinspre
reea prin unul sau mai multe puncte care sunt configurate pentru a controla accesul i
serviciile.
Utilizarea firewall-urilor
Multe persoane consider un firewall ca fiind o singur main, ceea ce uneori
este adevrat. Exist maini dedicate doar acestei funcii. Totui, termenul firewall se
refer mai mult la funciile ndeplinite dect la un dispozitiv fizic. Un firewall poate
consta din mai multe maini care conlucreaz, sau pot fi folosite mai multe programe cu
funcie de firewall. Firewall-urile pot s ndeplineasc i alte funcii dect simpla
monitorizare a accesului la reea.
61
67
7.2. Criptografia
Criptografia este arta i tiina de a ine secrete datele, prin utilizarea criptrii
folosind un algoritm specific. Un algoritm (numit i cifru) este un proces matematic sau
o serie de funcii prin care se amestec datele. Cei mai muli algoritmi utilizeaz chei,
astfel nct algoritmii pot s nu fie unici pentru o tranzacie, iar detaliile algoritmilor
utilizai s nu fie secrete.
Termenul cheie se refer la informaia necesar pentru a cripta sau decripta
datele. Securitatea unei chei este deseori discutat n termeni de lungime sau bii ai
acesteia, dar o cheie de mrime mare nu garanteaz securitatea de ansamblu a
sistemului.
Exist dou tipuri generale de criptografie, definite n funcie de tipul de cheie
utilizat: criptografia cu cheie secret i criptografia cu cheie public. Cele mai multe
aplicaii utilizeaz principiile unuia sau a ambelor tipuri de criptografie.
68
70
Tabelul 7.1
Relaii agreate ntre lungimea cheii publice i cea a
cheii private
Lungime cheie secret (cifru bloc)
56 bii
80 bii
112 bii
128 bii
256 bii
Cheie RSA
512 bii
1024 bii
2048 bii
3072 bii
15360 bii
care pot aprea n timpul instalrii i utilizrii acestei tehnologii n mod securizat. De
exemplu, utilizarea unui algoritm de hash slab ofer o securitate sczut n combinaie
cu un algoritm de criptare puternic. Din nefericire, simpla vizualizare a unui mesaj hash
nu este suficient pentru a detecta utilizarea unui algoritm slab.
nelegerea riscurilor asociate cu utilizarea semnturilor digitale presupune
nelegerea limitrilor acestei tehnologii. Astfel, o semntur digital, cnd nu este
legat de numele utilizatorului printr-un certificat digital, nu are nici o semnificaie.
Distribuirea securizat a semnturii digitale este singura garanie a securitii ei. n
cazul n care este nevoie de o distribuire la scar a cheilor publice pentru verificarea
semnturilor digitale, trebuie creat o baz de date la care persoanele interesate s aib
acces de citire, n timp ce scrierea trebuie restricionat cu cele mai puternice tehnologii.
Poate cel mai mare risc al semnturilor digitale este acordarea unei prea mari
ncrederi acestei tehnologii. Semnturile de mn pot fi falsificate sau fotocopiate ntrun nou document, dar acest lucru nu ar trebui s fie valabil ntr-un sistem de semnturi
digitale implementat n mod corespunztor. O semntur de mn poate s ofere o
certitudine pn la ruperea modelului de ncredere. Problema cu semnturile digitale
este aceea c nu se tie nc unde i cnd nu se mai poate vorbi de ncrederea acordat
sistemului.
7.2.6. Certificate digitale. Riscuri de securitate
O semntur digital n sine nu ofer o legtur puternic cu o persoan sau o
entitate. Cum se poate ti c o cheie public utilizat pentru a crea o semntur digital
aparine ntr-adevr unui individ anume i c acea cheie este nc valid? Pentru acest
lucru este necesar un mecanism care s ofere o legtur ntre cheie public i un individ
real, funcie ndeplinit de certificatele digitale.
Certificatele digitale pot oferi un nivel ridicat de ncredere asupra faptului c
persoana al crei nume apare pe acel certificat are ca i corespondent o anumit cheie
public. Aceast ncredere este realizat prin utilizarea unei tere pri, cunoscut sub
numele de Autoritate de Certificare (Certificate Authority - CA). O autoritate de
certificare semneaz un certificat n calitate de garant pentru identitatea unei persoane al
crei nume apare pe certificatul respectiv. Formatul curent acceptat pentru certificate
digitale este X.509v3.
Standardul X.509v3 definit n RFC 2459 descrie un format agreat de certificate
digitale. Acest standard definete elementele unui certificat:
Certificate Version - indic versiunea formatului unui certificat;
Serial Number - un numr unic asignat de ctre autoritatea de certificare,
utilizat pentru urmrirea certificatelor;
Signature - identific algoritmul de criptare i funciile de tip message digest
suportate de CA;
Issuer name - numele emitentului (al CA);
Period of Validity - datele ntre care certificatul este valid. Aceast perioad
nu exclude ca certificatul s fie revocat;
Subject - numele proprietarului certificatului;
Subject's Public Key Info - cheia public i algoritmul asociat cu cmpul
Subject;
72
7.2.7.1.
7.2.7.2.
7.2.8.1.
Legtura SSL-HTTP
7.2.8.2.
Pentru funcionarea unei sesiuni bazat pe SSL, trebuie luate n calcul o serie de
elemente. Astfel, serverul Web necesit un certificat digital mpreun cu o cheie privat
corespunztoare.
Cel mai mare distribuitor de certificate pentru server este VeriSign. Obinerea i
instalarea unui certificat SSL de la VeriSign presupune un proces n mai muli pai:
generarea unei cereri, trimiterea unui Certificate Signing Request (CSR), completarea
unui formular prin care se autentific un utilizator sau o afacere, instalarea
identificatorului de server i activarea SSL pentru serverul Web. Autentificarea prin
VeriSign presupune i verificarea datelor trimise de organizaia care necesit un
certificat.
nainte de stabilirea unei sesiuni SSL, clientul trebuie s cunoasc de asemenea
acest protocol. n momentul existenei elementelor necesare, clientul i serverul pot
stabili o conexiune securizat.
Procesul prin care se stabilete o conexiune ntre un client i un server (de
exemplu cumprare online), se desfoar n mai muli pai. SSL utilizeaz o
combinaie de criptri cu chei publice i secrete. Datele brute ale unei sesiuni SSL sunt
ntotdeauna criptate cu cheia secret, fiind mult mai puin consumatoare de resurse din
punct de vedere al procesrii dect criptarea cu cheie public. Protocolul SSL/TLS
suport mai muli algoritmi de criptare cu cheie secret, printre care DES, Triple-DES,
IDEA, RC2 i RC4. Algoritmii cunoscui pentru schimbarea cheilor cuprind DiffieHellman i RSA.
O sesiune SSL cuprinde urmtorii pai:
ClientHello - n acest pas, clientul trimite un mesaj ctre server
(ClientHello) cernd opiuni de conectare SSL, ntre care numrul de
versiune al SSL, setrile cifrului, date generate n mod aleator care stau la
baza calculelor criptografice i metoda de compresie utilizat;
ServerHello - dup primirea mesajului ClientHello, serverul ia la cunotin
recepia prin trimiterea unui mesaj ServerHello care conine numrul de
77
7.2.8.3.
Performana SSL
7.2.8.4.
SSL nu ofer nici o protecie n afara sesiunilor, iar serverele Web care permit
utilizarea SSL nu pot s ofere protecie pentru date care sunt stocate n format text n
server.
SSL nu ofer protecie mpotriva atacurilor bazate pe Web precum exploatarea
diverselor puncte slabe prin scripturi CGI. De asemenea, SSL nu ofer nici un
mecanism pentru controlarea drepturilor de securitate (ceea ce i este permis unei
persoane s fac dup autentificarea pe un server).
n cele din urm, SSL nu protejeaz mpotriva atacurilor de tip Denial of
Service i rmne vulnerabil la analiza traficului. Pentru a oferi un nivel de securitate
adecvat, serverele care lucreaz cu SSL ar trebui s suporte criptarea pe 128 bii i o
cheie public pe 1024 bii.
Certificatele la nivel de server auto-semnate pot oferi securitate, dar nu i
autentificare. Un certificat auto-semnat nu este considerat sigur de ctre maina client
fr a executa anumii pai adiionali.
7.2.9. Autentificarea NTLM
ntr-un mediu de reea, NTLM este utilizat ca i protocol de autentificare pentru
tranzaciile dintre dou calculatoare n care unul dintre ele ruleaz Windows NT 4.0 sau
mai mic iar cellalt Windows 2000 sau mai mare.
n exemplele urmtoare se utilizeaz NTLM ca mecanism de autentificare:
un client Windows 2000 sau Windows XP Professional care se autentific ntrun controler de domeniu Windows NT 4.0;
o staie de lucru client Windows NT 4.0 Workstation care se autentific ntr-un
domeniu Windows 2000 sau Windows 2003;
o staie de lucru Windows NT 4.0 Workstation care se autentific ntr-un
domeniu Windows NT 4.0;
utilizatorii dintr-un domeniu Windows NT 4.0 care se autentific ntr-un
domeniu Windows 2000 sau Windows 2003.
Pe lng acestea, NTLM este protocolul de autentificare pentru calculatoarele
care nu particip ntr-un domeniu, precum staiile de lucru sau serverele independente.
7.2.10. Comparaie Kerberos - NTLM
Pe msur ce a crescut popularitatea Windows NT 4.0, a crescut i interesul de
securizare a sistemului, iar prin adugarea autentificrii Kerberos n Windows 2000,
Microsoft a crescut n mod semnificativ facilitile sistemului de operare. n versiunile
Windows 2000/2003 NT LAN Manager (NTLM) este oferit numai pentru
compatibilitate napoi, cu Windows NT, i ar trebui dezactivat ndat ce clienii din
reea se pot autentifica utiliznd Kerberos.
Kerberos are anumite beneficii fa de NTLM. Astfel, Kerberos se bazeaz pe
standarde n vigoare, deci permite Windows 2000/2003 s interacioneze cu alte reele
care utilizeaz Kerberos V5 ca mecanism de autentificare. NTLM nu poate oferi aceast
79
Stabilirea unei conexiuni SSH este iniiat de comenzile slogin sau ssh, fapt care
duce la verificare autentificrii cu cheia public att pentru server ct i pentru client
apoi fiind stabilit un canal de comunicaie sigur.
7.2.11.2. SSH1
Versiunea original a SSH, versiunea 1, este distribuit n mod gratuit pentru
utilizare necomercial, mpreun cu codul surs. SSH1 are i variante majore (1.2, 1.3 i
1.5). Dei s-au descoperit cteva probleme de securitate, SSH este considerat n
continuare sigur, dat fiind atenia acordat metodei de autentificare i cifrului utilizat.
De exemplu, SSH1 este vulnerabil la atacurile prin inserarea datelor, deoarece acesta
utilizeaz CRC pentru verificarea integritii datelor. Dar utilizarea algoritmului de
criptare Triple-DES rezolv aceast problem.
SSH 1 suport o mai mare varietate de metode de autentificare fa de versiunea
2, ntre care se numr AFS (bazat pe Andrew File System dezvoltat la CarnegieMellon) i Kerberos.
7.2.11.3. SSH 2
SSH 2 este o rescriere complet a SSH1 prin care se adaug noi faciliti,
inclusiv suport pentru protocoalele FTP i TLS. Din cauza diferenelor de implementare
a protocoalelor, cele dou versiuni nu sunt compatibile n ntregime. SSH2 ofer
mbuntiri n ceea ce privete securitatea i portabilitatea. SSH2 necesit mai puin
cod care s ruleze cu privilegii de root, fiind mai puin expus exploatrilor de tip buffer
overflow; astfel este mai puin probabil ca un atacator s rmn pe server cu drepturi
de root.
SSH2 nu ofer aceleai implementri de reea ca i SSH 1, deoarece cripteaz
pri diferite ale pachetelor. SSH2 nu suport metoda de autentificare prin fiierele
.rhosts. De asemenea, n SSH2 algoritmul RSA este nlocuit de Digital Signature
Algorithm (DSA) i de Diffie-Hellman, dar, deoarece patentele RSA au expirat, este de
ateptat suportul n continuare pentru algoritmul RSA n versiunile urmtoare. SSH2
suport Triple-DES, Blowfish, CAST-128 i Arcfour.
Din cauza diferenelor ntre SSH 1 i SSH 2 i din cauza restriciilor de
liceniere, ambele versiuni vor continua s fie utilizate pentru o perioad de timp.
82
Tabelul 7.2.
Comparaie ntre SSH1 i SSH2
SSH1
SSH 2
Triple - DES
Triple - DES - algoritm implicit
128bitRC4
128bitRC4
Blowfish
Blowfish
IDEA - algoritm implicit
Twofish
DES
Arcfour
RSA
CAST 128
DSA
Transferul cheilor prin Diffie Hellman
PGP suport algoritmii de criptare cu cheie public RSA, DSA i DiffieHellman. Algoritmii de hash suportai sunt MD5, RACE Integrity Primitives
Evaluation-Message Digest (RIPEMD) i SHA-1.
Aplicaia PGP Desktop Security cuprinde o serie de faciliti de securitate mult
mai avansate dect ar fi necesare unui sistem de e-mail, printre care sunt cuprinse un
sistem personal de detecie a intruilor, un firewall personal, comunicare bazat pe VPN
sau IP Security (IPSec), criptarea discului cu PGP i suport pentru certificate digitale
X.509v3.
n momentul de fa, PGP trece prin procesul de standardizare al IETF sub
forma OpenPGP, definit prin RFC 2440.
Expedierea mesajelor PGP nu este complicat - n primul rnd, mesajul este
criptat cu o cheie aleatoare simetric a sesiunii. Cheia sesiunii este criptat apoi cu cheia
public a destinatarului. n cazul n care mesajul este semnat, acesta este semnat cu
cheia privat a expeditorului. Cheia criptat a sesiunii este apoi trimis destinatarului
mpreun cu mesajul criptat. n momentul recepionrii mesajului criptat cu PGP se
desfoar procesul invers. PGP utilizeaz cheia privat a destinatarului pentru a
decripta cheia sesiunii. n cele din urm cheia sesiunii este utilizat pentru a decripta
mesajul, iar clientul de e-mail afieaz textul clar al mesajului.
Una din problemele privitoare la cheia public de criptare este aceea de
ncredere n acea cheie public. Pentru ca o criptare cu cheie public s ofere securitatea
adecvat, utilizatorii trebuie s fie siguri de faptul c cheia public cu care se face
criptarea aparine ntr-adevr destinatarului intenionat. PGP ncearc s rezolve aceast
problem prin utilizarea unui model n care persoanele se ncred reciproc. Aceast
ncredere (trust) este exprimat prin semnarea cheii PGP aparinnd altei persoane. n
realitate, orice utilizator PGP devine Certificate of Authority prin semnarea altor chei
pentru ali utilizatori. n modelul de ncredere PGP nu exist nici o diferen ntre
semnarea unei chei n calitate de CA sau de utilizator, lucru care difer semnificativ n
scenariul infrastructurii cu cheie public, n care numai o autoritate de certificare poate
s-i exprime ncrederea ntr-o cheie public. Pe msur ce ali utilizatori semneaz cu
cheia unui utilizator anume i acel utilizator semneaz alte chei, se creeaz o plaj de
ncredere.
Aceast ncredere este bazat att pe ncrederea acordat unei chei publice ca
fiind sau nu autentic ct i pe ncrederea acordat altor persoane care au semnat cheia.
Acest lucru poate ridica probleme, deoarece cheile ar trebui s prezinte ncredere numai
n cazul n care exist o persoan cunoscut i de ncredere care a semnat deja cheia. n
alte cazuri, singura posibilitate de a ti c o cheie este autentic este obinerea acesteia
printr-un mecanism foarte sigur, precum o ntlnire fa n fa. Acest model de
ncredere este potrivit pentru mesajele informale trimise prin Internet, dar nu se
potrivete ntr-un scenariu de afaceri n care se cere nerespingerea i contabilizarea
utilizatorilor.
Revocarea cheilor PGP care nu mai prezint ncredere poate fi de asemenea o
problem. Singura modalitate de prevenire a utilizrii unei chei PGP compromise este
trimiterea unui certificat de revocare a cheii ctre toate persoanele care ar putea utiliza
acea cheie. Acest certificat de revocare ar putea fi plasat pe un keyserver pentru a
avertiza utilizatorii n privina cheii. Deoarece cheile pot fi stocate i ntr-un inel de chei
(key ring) pe maina local, nu exist nici o garanie c toate persoanele vor primi
avertismentul i nu vor mai utiliza acea cheie compromis.
84
care emite mesajul ct i toi cei care l primesc trebuie s aib aceleai chei, acest
sistem ofer cel mai nalt nivel de securitate.
O soluie recent dezvoltat, aplicabil reelelor radio folosete reprogramarea
prin legtur radio (OTAR - Over The Air Rekeying).Aceast tehnic aproape elimin
necesitatea ncrcrii manuale a cheilor i realizeaz un management sigur al cheilor.
OTAR este un sistem de distribuire a cheilor i include o cheie de criptare a
cheii (KEK - Key Encryption Key), folosit pentru criptarea cheii de criptare a traficului
i oricror altor chei operaionale COMSEC sau TRANSEC. Acest proces mai este
denumit i "mpachetare" pentru a fi difereniat de criptarea traficului. Singura cheie
care trebuie ncrcat iniial att n unitile emitoare ct i n cele receptoare este
cheia KEK.
Dup "mpachetare", distribuirea, procesul care urmeaz, poate folosi orice
mijloace fizice sau electronice. ntr-un sistem OTAR, cheile "mpachetate"sunt
introduse ntr-un mesaj i trimise prin legtur radio staiei dorite, folosind protocoale
de transmisie fr erori (deoarece orice eroare ar face cheile de nefolosit). Legtura
folosit pentru transmisie este n general secretizat cu ajutorul cheii de criptare a
traficului (TEK) utilizat. Astfel, coninutul cheii este dublu protejat la transmisia prin
legtur radio, eliminndu-se practic orice posibilitate de compromitere. Pentru un grad
de securitate mai ridicat, se obinuiete s se digitizeze prin intermediul unui vocoder,
semnalul digital rezultant fiind apoi tratat ca orice flux de date.
TRANSEC folosete un numr de tehnici pentru a preveni detecia sau bruierea
semnalului pe traseul de transmisie. Aceste tehnici includ fie "ascunderea" canalului, fie
transformarea acestuia ntr-o int n continu micare.
Pe termen mediu i lung, o strategie coerent de aciune pentru operaionalizarea
securitii informaionale va trebui s vizeze dezvoltarea conceptual i metodologic a
domeniului, cu accent pe:
delimitarea granielor conceptuale (caracteristici, forme, aspecte etc.) i definirea
cadrului epistemologic de abordare;
studierea dinamicii modelelor formale ale rzboiului informaional i adaptarea
acestora la contextul geopolitic, la interesele i resursele Romniei;
identificarea factorilor de risc n raport cu slbiciunile actuale ale Sistemului
Naional de Securitate;
fundamentarea teoretic a unui ansamblu de structuri care s permit abordarea
instituionalizat a domeniului rzboiului informaional;
formularea unei strategii integratoare, la nivel naional, care s ofere
coordonatele pe termen lung ale dezvoltrii domeniului securitii
informaionale.
93
Aplicaii practice
94
Lucrarea nr.1
Obiective:
nelegerea i familiarizarea cu tehnica de criptare prin cheie secret;
realizarea criptrii i decriptrii mesajelor folosind metoda cifrului lui Cezar;
realizarea criptrii i decriptrii mesajelor folosind metoda cifrului lui Vernam;
1
15
4
0
2
17
1
14
4
11
2
0
1
12
4
4
2
0
16
19
15
15
13
95
Lucrarea nr.1
3
15
3
0
3
17
3
14
3
11
3
0
3
12
3
4
3
0
18
20
17
14
15
Dac sumele valorilor cheii i ale numrului aferent literelor sunt mai mari sau
egale cu 26, se determin modulo 26 din sum, adic rezultatul final este obinut prin
scderea din sum a numrului 26.
Exemplu:
D=3, K=PIC, mesajul este SECRET, rezultatul va fi:
- valorile numerice atribuie mesajului:
S E C R E T
18 4 2 17 4 19
- valorile numerice ale cheii sunt: P I C = 15 8 2
Cheia reperat
Mesajul
Echivalentul numeric
al textului criptat
Textul criptat
15
18
33
(8)
I
8
4
2
2
12
15
17
32
(9)
J
8
4
2
19
12
21
Lucrarea nr.1
alfabet, a treia liter a textului clar este nlocuit cu prima liter din al doilea alfabet, a
patra liter din textul clar este nlocuit de a doua liter din primul alfabet .a.m.d.
1.3
Mesaj clar
LAMULTIANI
Cheie Vernam VIDAGTSROL
Suma aparent
Modulo 26 din
sum
Textul criptat
11
21
32
0
8
8
12
3
15
20
0
20
11
6
17
19
19
38
9
18
27
0
17
17
13
14
27
8
11
19
15
20
17
12
17
19
1.4
mprire n grupe:
codificare
criptam
Incercam sa lucram cu coduri si criptari.
criptam
are 7 litere
2635714
abcdefghijklmnopqrstuvwxzy
1 2
3 4 5 67
Incerca | m sa lu | cram cu | coduri | si cri | ptari.
2635714
Incerca
m*sa*lu
cram*cu
*coduri
*si*cri
ptari.*
97
mesaj criptat
Lucrarea nr.1
clcrr.Imc**pcsaoiaauuii*eamd*rn*rcstr**uci
col1 col2 col3 col4 col5 col6 col7
Cerin
Fiind date un cuvnt cheie i un mesaj criptat, decodificai mesajul trimis de
Mircea pentru Vasilic.
Date de intrare
Fiierul de intrare criptare.in conine pe prima linie mesajul criptat iar pe linia a doua
cuvntul cheie.
Date de ieire
Fiierul de intrare criptare.out conine pe prima linie mesajul decriptat.
Restricii
lungimea mesajului este de minim 20 i maxim 1000 caractere
cuvntul cheie are minim 5 i maxim 20 de caractere
cuvntul cheie conine numai litere mici ale alfabetului
1.5
Desfurarea lucrrii
Studenii vor forma dou sau patru echipe, care vor cripta un text dat de
ndrumtorul lucrrii, dup care vor schimba mesajele criptate ntre ele, i vor ncerca s
le decripteze, cunoscnd cheile de criptare.
De remarcat, c n mesajele n clar nu se ia n considerare spaiul dintre cuvinte.
98
Lucrarea nr.2
Obiective:
nelegerea i familiarizarea cu tehnica de ascundere a informaiilor prin
steganografie;
familiarizarea i utilizarea unei aplicaii de ascundere a informaiilor n imagini
steganography;
2.2
Introducere
Cuvntul steganografie (steganography) vine din limba greac unde steganos
nseamn ascuns i graph scris (scriere ascuns). Prin urmare putem spune c
steganografia este tiina sau arta de a scrie mesaje ascunse astfel nct existenta lor s
fie cunoscut numai de destinatar i expeditor. Acest concept i are originea n vremuri
istorice. De exemplu grecii sau romanii foloseau steganografia pentru a transmite
mesaje ascunse, i anume rdeau prul celui care trebuia s transmit mesajul, scriau
mesajul pe pielea capului i ateptau ca prul s-i creasc la loc. Mesajul putea fi
transmis prin intermediul trimisului, nimeni dect cei care tiau unde se afl putndu-l
citi.
Steganografia este folosit pentru a ascunde mesaje (fiiere) n alte fiiere mai
mari i anume n imagini de tip jpg, bmp, png, n fiiere audio (mp3 sau wav) sau chiar
video (avi) fr a exista posibilitatea ca o ter persoan s tie sau s afle de existena
lor. Totui una dintre cele mai cunoscute tehnici de steganografie este "cerneala
simpatic" (nscrisul devine vizibil dup un procedeu - lampa UV, nclzire, etc.).
Steganografia nu trebuie confundat cu criptografia. Acesta din urma face ca un mesaj
s devin indescifrabil, dar existenta lui este vizibil, pe cnd steganografia ascunde
existena mesajului i nu mesajul i face ca steganografia s fie completarea perfect
pentru codificare.
Aplicaia poate fi descrcat de la http://www.securekit.com/.
Dup instalare, studenii vor efectua ascunderea unui fiier text n spatele unei
imagini, care poate fi jpg, bmp, tif, pgn etc.
Lansarea n execuie a aplicaiei se poate face astfel:
Start Programs Steganography Steganography
Moment n care se va deschide fereastra de mai jos:
99
2.3
Lucrarea nr.2
100
Lucrarea nr.2
Paii de mai sus se repet dac dorim s ascundem mai multe fiere.
101
Lucrarea nr.3
3 Firewall-uri
3.1
Obiective:
nelegerea funcionrii i a rolului unui firewall n securitatea sistemelor
informatice;
pornirea i configurarea firewall-ului sistemului de operare Windows XP;
3.2
Generaliti/Definiii Firewall
Un paravan de protecie poate ine la distan traficul Internet cu intenii rele, de
exemplu hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun
probleme sistemului. n plus, un paravan de protecie poate evita participarea
computerului la un atac mpotriva altora, fr cunotina dvs. Utilizarea unui paravan de
protecie este important n special dac suntei conectat n permanen la Internet.
Un firewall este o aplicaie sau un echipament hardware care monitorizeaz i
filtreaz permanent transmisiile de date realizate ntre PC sau reeaua local i Internet,
n scopul implementrii unei "politici" de filtrare. Aceast politic poate nsemna:
protejarea resurselor reelei de restul utilizatorilor din alte reele similare
Internetul -> sunt identificai posibilii "musafiri" nepoftii, atacurile lor asupra
PC-ului sau reelei locale putnd fi oprite.
Controlul resurselor pe care le vor accesa utilizatorii locali.
3.2.1 Funcionarea firewall-urilor
De fapt, un firewall, lucreaz ndeaproape cu un program de routare, examineaz
fiecare pachet de date din reea (fie cea local sau cea exterioar) ce va trece prin
serverul gateway pentru a determina dac va fi trimis mai departe spre destinaie. Un
firewall include de asemenea sau lucreaz mpreun cu un server proxy care face cereri
de pachete n numele staiilor de lucru ale utilizatorilor. n cele mai ntlnite cazuri
aceste programe de protecie sunt instalate pe calculatoare ce ndeplinesc numai aceast
funcie i sunt instalate n faa routerelor.
Soluiile firewall se mpart n dou mari categorii: prima este reprezentat de
soluiile profesionale hardware sau software dedicate proteciei ntregului trafic dintre
reeaua unei ntreprinderi (instituii -> ex.: Universitatea "Alexandru Ioan Cuza", Iai) i
Internet; iar cea de a doua categorie este reprezentat de firewall-urile personale
dedicate monitorizrii traficului pe calculatorul personal.
Utiliznd o aplicaie din ce-a de a doua categorie vei putea prentmpina
atacurile colegilor lipsii de fair-play care ncearc s acceseze prin mijloace mai mult
sau mai puin ortodoxe resurse de pe PC-ul dumneavoastr. n situaia n care dispunei
pe calculatorul de acas de o conexiune la Internet, un firewall personal v va oferi un
plus de siguran transmisiilor de date. Cum astzi majoritatea utilizatorilor tind s
schimbe clasica conexiune dial-up cu modaliti de conectare mai eficiente (cablu,
ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuite asupra sistemului
dumneavoastr crete. Astfel, mrirea lrgimii de band a conexiunii la Internet
faciliteaz posibilitatea de "strecurare" a intruilor nedorii.
102
Lucrarea nr.3
103
Lucrarea nr.3
3.3
Lucrarea nr.3
productor. n unele situaii, utilizatorii avansai pot opta pentru utilizarea n reea att a
unui firewall software ct i a unuia hardware.
3.3.3 Verificarea strii Windows Firewall
Pentru a verifica dac verify that Windows Firewall este pornit se efectueaz
urmtorii pai:
1. Click Start, and then click Control Panel.
2. From the Control Panel, click Windows Firewall.
105
Lucrarea nr.3
Desfurarea lucrrii
Studenii vor efectua urmtoarele operaii:
vor verifica dac Windows Firewall este pornit, iad dac acesta este nchis l vor
porni;
vor aduga o excepie pentru aplicaia "Windows Messenge", a crei locaie pe
hard disc este "C:\Program Files\Messenger\msmsgs.exe";
106
Lucrarea nr.3
-f (fragmenteaz pachetele);
--mtu (foloseste MTU specificat Unitatea Maxima de Transmitere)
107
Lucrarea nr.3
Lucrarea nr.3
Lucrarea nr.3
sunt afectate, dar majoritatea pingurilor i scanrilor de porturi sunt. Acest lucru
ncetinete viteza de scanare, dar pachetele pot fi mai puin suspicioase.
--ttl <valoare>(Seteaza campul IP time-to-live timp de viata)
Seteaz cmpul IP time-to-live timp de viata la valoarea specificat.
--randomize-hosts(Scaneaza hosturile in ordine aleatoare)
110
Lucrarea nr.4
4 Proxy server
4.1
4.2
Obiective:
nelegerea funcionrii i a rolului unui server proxy n securitatea sistemelor
informatice;
pornirea i configurarea unui server proxy sub sistemului de operare Windows
XP;
instalarea i configurarea WinGate.
Generaliti/Definiii Server Proxy
Lucrarea nr.4
Lucrarea nr.4
mai folosi proxy. De asemenea trebuie verificate i routerele existente ce pot oferi acces
la Internet, dac acestea exist trebuie s satisfac aceleai condiii de control i
securitate oferite de proxy.
4.4
Desfurarea lucrrii
LAN
WAN
Server
WinGate
Switch
Modem /
Router
INTERNET
192.168.1.1 /24
Gateway: empty
DNS: empty
IP: auto
DG: auto
DNS: auto
Lucrarea nr.4
Conexiunea la reea
Dup conectarea la GateKeeper, urmtorul pas este se verifice dac WinGate
a descoperit i clasificat corect conexiunea la reea, lucru care se face astfel:
1. se selecteaz tab-ul Network de pe partea dreapt a GateKeeper;
2. n seciunea network connection vor fi afiate toate interfeele descoperite
de WinGate;
3. dublu click pe interfaa care conecteaz WinGate Server la reeaua local;
114
Lucrarea nr.4
Lucrarea nr.4
server ruleaz i are serviciul GDP pornit. Serviciul GDP este special proiectat s
permit mainilor WGID s detecteze prezena serverelor WinGate din reea.
n exemplul din figura de mai sus, sunt dou servere WinGate, 98setx i Witch,
care au fost detectate n reea. Se poate seta appletul WGIC care din cele dou servere
s fie folosit, manual sau automat.
Server este numele din reeaua Windows a PC-ului pe care ruleaz WinGate;
Address este adresa IP privat a Serverului WinGate;
Port este portul TCP pe care
Winsock
Redirector
Service
ruleaz pe serverul WinGate,
WGIC
folosete
Winsock
redirector Service pentru a oferi
conectivitate la Internet prin
WinGate,
Implicit,
WinGate
folosete portul 2080 pentru a
primit cererile WGIC.
Apsnd butonul Add, se deschide
fereastra de mai jos, prin care se pot
aduga manual Servere WinGate.
Aplicaii Utilizator User Application
Acest tab permite configurarea modului n care WGIc va trata aplicaiile
clientului care vor rula pe maina WGIC.
Tipurile de acces pe care le pot avea aplicaiile sunt: Local Acces, Mixed Acces
i Global Acces.
Lucrarea nr.4
Modurile Aplicaie
Local Access Mode
Dac setm aplicaia unui client la Local Access n WGIC, se suspend Winsock
Redirector Service din WinGate de tratare a cererilor aplicaiilor.
Aplicaiile din modul de acces local vor fi ignorate de WGIC i astfel trebuie s
posede o metod de conexiune alternativ pentru ai completa cererile. Acest
mod face accesul local ideal pentru aplicaiile clienilor care vor rula prin
WGIC.
n multe cazuri se dorete utilizarea vitezei i simplicitii WinGate NAT pentru
aplicaiile client (acest lucru necesit doar o conexiune aut ctre Internet). Orice
aplicaie care vrem s foloseasc NAT trebuie setat s ruleze n Local Acces
Mode.
Mixed Access Mode
Acest mod este sigur dar funcional doar pentru aplicaiile server. Acest mod
permite ntotdeauna aplicaiilor s fac orice conexiune ctre exterior cu
Winsock redirector Service, dar va permite accesul doar a computerelor din
aceeai reea. Este mai apropiat pentru aplicaiile server gen Intranet Web sau
Ftp servers. Se numete mixt, deoarece ofer o aplicaie cu conectivitate att
global ct i local.
Modul de acces mixt este alocat automat oricrei aplicaii server care ncearc s
asculte pe un port sistem (orice mai mic de 1024). Acesta este un mecanism de
siguran al WGIC, care necesit n mod explicit setarea aplicaii n Modul
global de Acces pentru a fi vizibil pe Internet.
Global Access Mode
Acest mod este utilizat cnd avem un server de aplicaie ce ruleaz pe WGIC n
spatele serverului WinGate, care are trebuie s primeasc cereri de pe Internet
(server Web sau Ftp).
O aplicaie server poate asculta liber pe porturi sub 1024. Dar din motive de
securitate a reelei, configuraia implicit pentru WGIC nu va permite nici unei
aplicaii s asculte porturi sub 1024. Dac rulai un server cu un port sun 1024 i
dorii s fie accesibil computerelor din Internet trebuie configurat n mdoul de
acces global.
De obicei, serverul Web ascult pe portul 80 iar un server FTP pe portul 21.
http://www.youngzsoft.net/ccproxy/
117
Lucrarea nr.5
5.2
Obiective:
nelegerea funcionrii i a rolului unui server proxy n securitatea sistemelor
informatice;
pornirea i configurarea unui server proxy sub sistemului de operare Linux;
Generaliti/Definiii Server Proxy
Lucrarea nr.5
Lucrarea nr.5
lista de control a accesului, deci vor exista de fapt dou linii de comand. Starea
prestabilit este:
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
Acl-ul QUERY asigur c URL-ul coninnd cgi-bin nu va fi apelat prin cache.
Opiuni ce afecteaz dimensiunea cache-ului
Aceste opiuni seteaz valoarea memoriei folosite pentru parametrii cache-ului.
Acestea sunt cache_mem (predefinit 8MB), cache_swap_low i cache_swap_ high
(parametri ce procedeaz la nlocuirea obiectelor din cache funcie de procentajul de
utilizare a cache-ului, valoarea low prestabilit este 90 iar high 95),
maximum_object_size, minimum_object_size i maximum_object_size_in_ memory
(cu valori date n bytes), ipcache_size (implicit 1024), ipcache_low i ipcache_high
(procentaje ce marcheaz limitele cachingului adreselor de IP, pentru low prestabilit 90,
pentru high 95), i setul cache_replacement_policy i memory_replacement _policy ce
stabilete modul n care obiectele vor fi nlocuite n cache cnd este nevoie de spaiu.
Acest parametru poate fi LRU, GDSF (Greedy-Dual Size Frequency), LFUDA
(Least Frequently Used With Dynamic Aging).
n urmtoarea seciune ne vom ocupa de instruciunile ce privesc controlul
accesului. Prima comand din acest set este acl, i se folosete pentru a defini o list de
acces.
Sintaxa este acl ... | fisier.
Sunt muli parametri pentru , unul este src (mod prin care se specifica adresa IP).
Sintaxa unei astfel de instruciuni este acl src IPaddress/netmask. Aproximativ acelai
lucru se obine i cu dst ca parametru, cu diferena ca se face referire la ServerIPaddress.
Pentru controlul unui domeniu specific se pot folosi ca parametri srcdomain, dstdomain
(cnd se specific explicit domeniul) sau srcdom_regex, dstdom_regex pentru a cuta
un domeniu al crui nume conine irul de caractere existent n comand. Se poate cuta
i n URL, cu parametrii url_regex sau urlpath_regex, cu diferena c primul caut irul
de caractere n ntreg URL-ul pe cnd cel de-al doilea l caut doar n seciunea ce nu
conine protocolul sau numele de host. Aceste cutari sunt key-sensitive, lucru ce
trebuie luat n calcul.
Accesul poate fi controlat i prin adresa portului serverului destinaie, cu
parametrul port. Sintaxa este acl port <numar_port>. De asemenea se pot lua n calcul i
protocolul de transfer utilizat prin parametrul proto (urmat de tipul de protocol, de
exemplu HTTP, FTP), sau metoda prin care se formuleaz cerina prin opiunea method
(urmat de tipul metodei, de exemplu GET, POST). Se poate configura astfel nct s
verifice browserul de la care vin cerinele (prin opiunea browser), de exemplu comanda
acl browser MOZILLA se va referi la cerinele ce vin de la browserele ce conin
MOZILLA n antet.
Prin parametrul ident se pot forma liste bazate pe identitatea utilizatorilor, prin
combinarea cu alte comenzi, de exemplu prin comanda acl friends ident dan adi gigi
nicu combinat cu http_access allow friends i urmat de http_ access deny all. Ca i n
cazurile anterioare exist parametrul ident_regex ce face o cutare (dup grupul de
caractere specificat) n setul de nume al utilizatorilor.
Setul de parametri proxy_auth i proxy_auth_regex asigur autentificarea
utilizatorilor via procese externe. Aceti parametri necesit un program extern de
autentificare s verifice combinaiile <nume_utilizator> + <parola>.
120
Lucrarea nr.5
Lucrarea nr.5
cache, lucru ce nu se poate face fr traducerea din format Web n format cache.
Comanda httpd_accel_host <IPAdress>|virtual seteaz numele de host pentru serverul
accelerat, n cazul n care dai adresa de IP a acestuia, iar dac dorii s realizai o
procedura de caching transparent al traficului, trebuie s folosii opiunea virtual n
locul adresei IP. Foarte important, n momentul n care recurgei la httpd_accel_host, se
dezactiveaz proxy-caching-ul i ICP-ul, dar dac vrei n continuare s beneficiai de
aceste opiuni, setai httpd_accel_with_ proxy normal on. Setarea portului se face cu
httpd_accel_port <portnumber>. Cerinele accelerate pot fi transmise doar ctre un
port, nu exist o tabel ce asociaz host-urile accelerate cu un port destinaie, deci acesta
trebuie specificat. Nu exist valoare predefinit pentru numrul portului, acesta trebuie
s corespund cu cel din squid.conf n cazul n care preluai informaiile de pe staia
local, iar dac vrei s le transmitei ctre un set de servere din background n cele mai
multe cazuri folosii portul 80, portul implicit pentru Web. Pentru suportul de port
virtual setai numrul portului pe 0. Dac avei un singur server n background spre care
dorii s transmitei informaia, setai httpd_accel_single_host pe on, dac avei mai
multe astfel de servere, lsai pe default (off) i folosii o unealt de redirecionare
pentru a mapa cerinele ctre serverele de rigoare.
O cerina HTTP include un antet de host, care este de fapt numele de host ce
apare n URL. Squid poate fi un accelerator pentru servere HTTP diferite folosindu-se
de acest antet, dar Squid nu verific valoarea antetului de host i astfel se deschide o
important gaur n securitate. Este recomandat s nu folosii httpd_
accel_uses_host_header dect dac suntei foarte n tem cu ceea ce facei. Din pcate
suntei obligai s activai aceast opiune dac dorii s rulai Squid ca proxy
transparent, altfel serverele virtuale ce au nevoie de antetul de host nu vor fi cache-uite
eficient.
Ar mai fi multe de spus, exist multe alte opiuni de configurare, pentru suportul
de programe externe, pentru modul n care obiectele sunt pstrate sau eliminate din
cache, se pot stabili timpii de ateptare pentru efectuarea anumitor operaiuni (de genul
conectare, identificare, citire a datelor etc.), i de asemenea o seciune foarte important
se ocup de configurarea fiierelor n care sunt tiprite activitile de rutin, erorile ce
apar n reea (aa numitele fiiere log sau simplu log-uri). Informaiile din aceste fiiere
reprezint cea mai important surs pentru un administrator, cu ajutorul datelor
existente acolo se pot remedia problemele aprute i se poate face reeaua sa mearg
n parametrii dorii.
Chestiunea cea mai important n alegerea i configurarea unui proxy este modul
n care dorii ca acesta s se integreze n reeaua dumneavoastr. nainte de a alege i
instala un firewall i un proxy trebuie s stabilii i s creai o balan ntre necesitile
de securitate i performanele dorite ale reelei, precum i gradul de instruire al
utilizatorilor. n ultimii ani numrul de atacuri pe Internet a crescut ngrijortor, dar
trebuie luat n calcul i natura liber pentru toata lumea a Internetului, care a ajuns ce
este azi tocmai din aceast cauz, deci fragmentarea lui cu o pleiad de algoritmi de
autentificare, parole i chei, firewall-uri i alte elemente de acest gen i limiteaz
oarecum orizontul i nu este ntotdeauna cea mai potrivit soluie.
5.4
Desfurarea lucrrii
Serverul Squid este derivat din proiectul Harvest nceput de ARPA, fiind
dezvoltat n continuare de National Laboratory for Applied Network Research. Suport
protocoalele http, https, ftp i gopher.
122
Lucrarea nr.5
Lucrarea nr.5
#####################################################
# Portul i adresa ip pe care va atepta conexiuni squid
http_port 192.168.1.1:8080
# Directorul n care se va afl cache-ul i dimensiunea lui n Mb
#(n cazul de mai jos - 6000 mb)
cache_dir ufs /cache 6000 16 256
# Userul i grupul sub care va rula serverul squid
cache_effective_user squid
cache_effective_group squid
#Portul pe care squid va trimite i primi cereri ctre cache a altor proxy servere
vecine
#Dac nu mai avem alte proxy, specificm 0
icp_port 0
# Cream acl-urile (acess control list):
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/8
acl lan src 192.168.1.0/24
#clienii proxy serverului nostru
#Paginile ce se creeaz dinamic vor fi accesate direct de la surs
hierarchy_stoplist cgi-bin php asp ?
# Obiectele create dinamic nu vor fi salvate n cache
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# Permitem accesul de la maina local (dac este cazul)
http_access allow localhost
# Permitem calculatoarelor din reeaua locala s utilizeze proxy serverul
http_access allow lan
# Interzicem celorlali s acceseze squid-ul
http_access deny all
# Specificm unde squid va pstra logurile
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
# Pidul procesului
pid_filename /var/run/squid.pid
#####################################################
Aceasta este configuraia minim pentru ca squid s ruleze. Iniializm cache-ul
prin comanda:
squid -f /etc/squid/squid.conf z
Dac primii un mesaj de tipul:
2003/08/11 20:30:28| aclParseIpData: WARNING: Netmask masks away part of
the specified IP in '127.0.0.1/8'
nu va speriai , nu este o eroare, ci o avertizare.
Prima dat pornim squid-ul cu comanda:
squid -NDCd1
pentru a vedea eventualele mesaje de eroare. Dac totul e ok - avem mesajul:
2003/08/11 20:30:29| Ready to serve requests.
124
Lucrarea nr.5
125
Lucrarea nr.6
6 Open VPN
6.1
Obiective:
nelegerea i familiarizarea cu noiunea de reea virtual privat;
familiarizarea cu noiunea de tunnel ntre dou sisteme pe Internet;
instalarea i configurarea OpenVPN
6.2
introducere n OpenVPN
OpenVPN este o soluie open-source pentru reele virtuale private, bazat pe
standardul SSL. Poate funciona n regim de server ce accept conexiuni multiple sau n
regim direct ntre doi clieni. Implementat la nivelul 2 i 3 OSI, OpenVPN utilizeaz
pentru autentificare i criptare protocolul SSL/TLS (SSL = Secure Sockets Layer), prin
intermediul bibliotecilor OpenSSL i accept diferite metode de autentificare bazate pe
certificate, smart-card, chei unice i alte metode. Legtura tip tunel ce ncapsuleaz
traficul IP ntre dou subreele sau adaptoare Ethernet se realizeaz prin intermediul
unui singur port, fie folosind protocolul TCP/IP fie UDP. Aplicaia suport tunele ntre
adrese IP dinamice, traversarea NAT i Ethernet bridging.
Unul din marile avantaje ale acestui program este uurina configurrii att la
nivel de client ct i la nivel de server, depind din acest punct de vedere
implementrile IPSec din Linux i Windows.
Un alt avantaj este portabilitatea, fiind asigurat suportul pentru urmtoarele
platforme: Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, Mac OS X i
Solaris. Implementrile VPN folosind ca nivel de autentificare SSL/TLS au devenit din
ce n ce mai populare recent, iar OpenVPN este una din cele mai bune soluii din acest
domeniu.
Printre dezavantajele acestei aplicaii se numr un overhead relativ mare
determinat de folosirea SSL, o implementare mai puin ergonomic sub sistemul de
operare Windows i o oarecare instabilitate n condiiile folosirii pe conexiuni nesigure,
cu timpi de laten mari, anumite probleme fiind observate n special pe conexiuni
wireless la distan mare.
Aplicaia este dezvoltat n regim open-source, putnd fi folosit sub licena
GPL1 sau sub licen comercial n cazul n care se dorete ncorporarea ei n alte
produse care nu sunt distribuite tot sub licen GPL sau o licen compatibil.
6.3
Aplicaie experimental
Studenii vor realiza reeaua din figura 1, vor instala OpenVPN i vor configura
un tunel ntre un server VPN i un Client VPN urmnd paii descrii n continuare.
Unul dintre sisteme va fi configurat cu rol de server, celalalt cu rol de client.
Primul lucru pe care trebuie sa il facem este sa descarcam OpenVPN-Windows Installer
de la adresa http://openvpn.net/release/openvpn-2.0.9-install.exe si sa il instalam pe cele
doua sisteme in directorul C:\Program Files\OpenVPN.
Lucrarea nr.6
Fig.1: Virtual Private Network ruleaz printr-un tunel, iar end-point-urile acestuia sunt adresele
IP reale ale Clientului PC2 i Serverului PC1
Lucrarea nr.6
Este important ca Common Name pentru client s fie diferit de Common Name
pentru server.
Generm parametrii Diffie Hellman :
build-dh
n directorul C:\Program Files\OpenVPN\config facem un fiier server.ovpn n
care scriem:
mode server
port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
tls-server
ifconfig 10.8.0.1 10.8.0.2
ifconfig-pool 10.8.0.3 10.8.0.5 # IP range clients
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
mute 20
Putem s pornim OpenVPN cu aceast configuraie dac dm click dreapta din
explorer pe fiierul server.ovpn i alegem opiunea Start OpenVPN on this config file
sau l putem porni ca i serviciu din Start -> Control Panel -> Administrativ Tools ->
Serices -> OpenVPN Service unde dm start sau putem seta pe Automatic la Startup
Type pentru a fi pornit odat cu sistemul de operare.
6.3.2 Pe sistemul client
trebuie s mergem n directorul
C:\Program Files\OpenVPN\easy-rsa
copiem de pe server fiierele:
ca.crt
client.crt
client.key
Lucrarea nr.6
proto udp
remote xxx.yyyy.zzzz.vvvv 1194 #se nlocuiete xxx.yyy.zzz.vvv cu ip server
resolv-retry infinite
nobind
persist-key
persist-tun ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.key"
comp-lzo .
verb 3
Putem s pornim OpenVPN cu aceast configuraie dac dm click dreapta din
explorer pe fiierul client.ovpn i alegem opiunea Start OpenVPN on this config file
sau l putem porni ca i serviciu din Start -> Control Panel -> Administrativ Tools ->
Serices -> OpenVPN Service unde dm start sau putem seta pe Automatic la Startup
Type pentru a fi pornit o dat cu sistemul de operare
Dup ce am pornit att serverul ct i clientul ( fr a avea un mesaj de eroare )
putem s verificm funcionalitatea tunelului creat.
Astfel, pe server mergem n Start - Run i tastam CMD. n fereastra deschis
introducem comanda:
ipconfig
Vom obine mai multe informaii printre care vom regsi i cele din imaginea de
mai jos:
Conexiunea ntre cele dou sisteme o putem verifica cu utilitarul ping. Atenie la
configurarea firewall-ului pentru a permite ICMP Echo Request i ICMP Echo Replay
att pe sistemul server ct i client.
De pe sistemul configurat ca i server, care are ip-ul 10.8.0.1 vom da ping n
10.8.0.2 (client)
129
Lucrarea nr.6
130
Bibliografie
1. Anderson R. Security Engineering : A Guide to Building Dependable
Distributed Systems, NY 2001;
2. Andress, M. Surviving Security: How to Integrate People, Process and
Technology, SAMS, Indianapolis, 2002, pp. 59-63.
3. Davis D. "The Problems Catch Up With The Solution", in Card Technology,
April 2003;
4. Denning D.E. Information Warfare and Security, Addison-Wesley, Reading,
Massachusetts, 1999;
5. King, C.M., Dalton, C.E., Osmanaglu, T.E. Security Arhitecture:
Design, Deployment& Operations,Osborne/McGraw-Hill, New York, 2001, pp.
18-26
6. Krutz R.L, Vines R.D. The CISSP Prep Guide Mastering the Ten Domains
of Computer Security, Wiley & Sons, Inc. New York, 2001;
7. Schwartan W. Information Warfare, 2nd Edition , Thunder's Mouth Press,
New York, 1996;
8. Simmons G.J. "The Prisoners' Problem and the Subliminal Channel", in
Proceedings of Crypto '83, Plenum Press 1984;
9. Renesse R. Optical Document Security, 2nd ed., Artech House, 1997;
10. Renesse R. "Verifying versus Falsyfying Banknotes", in Optical Security and
Counterfeit Deterrence Techniques II, (1998);
11. U.S. Department of Energy "Identification of Classfied Information", Office of
Clasification, December 1991;
12. Tuomas Aura, Pekka Nikander, Jussipekka Leiwo - DoS-resistant
Authentication with Client Puzzles. Proceedings of the Cambridge Security
Protocols Workshop 2000, LNCS, Cambridge, UK, April 2000, Springer-Verlag
13. G. B. Agnew, R. C. Mullin, S. A. Vanstone - Improved Digital Signature
Scheme based on Discrete Exponentiation, Electronic Letters, Vol. 26, 1990
14. K. Alagappan - SPXInstallation, Digital Equipment Corporation, February 1991
15. K. Alagappan, J. Tardo - SPX Guide - A Prototype Public Key Authentication
Service, Digital Equipment Corporation, February 1991
16. K. Alagappan - Telnet authentication: SPX (RFC 1412), Digital Equipment
Corporation, 1993
17. F. Bauspiess, H. J. Knobloch - How to Keep Authenticity Alive in A Computer
Network, Proceedings of EUROCRYPT' 89, Springer-Verlag, Berlin, 1990
18. S. M. Bellovin, M. Merritt - EncryptedKey Exchange: Password-Based
Protocols Secure Against Dictionary Attacks, Proceedings of the IEEE
Symposium on Security and Privacy, IEEE Computer Society Press, Los
Alamitos, CA, 1992
19. S. M. Bellovin, M. Merritt - Augumented EncryptedKey Exchange, Proceedings
of the 1st ACM Conference on Communications and Computing Security,
November 1993
20. Steven M. Bellovin, Michael Merritt - Limitations of the Kerberos
Authentication System, AT&T Bell Labs
131
21. Th. Beth - Efficient Zero-Knowledge Identification Scheme for Smart Cards,
Proceedings of EUROCRYPT '88, Springer-Verlag, Berlin, 1989
22. Th. Beth, H. J. Knobloch, M. Otten - Verifiable Secret Sharingfor Monotone
Access Structures, Proceedings of the 1st ACM Conference on Communication
and Computing Security, November 1993
23. Th. Beth, H. J. Knobloch, M. Otten, G. J. Simmons, P. Wichmann -Towards
Acceptable Key Escrow System, Proceedings of the 2nd ACM Conference on
Communication and Computing Security, November 1994
24. T. Beth, H. J. Knobloch, S. Stempel, P. Wichmann -Authentifikationsdienst
SELANE - Modularisierung und Einsatz, Report 94/3, Univeristy of Karlsruhe,
EISS, 1994
25. Leitner Achim, "Reele WLAN sigure, cu un tunel OpenVPN criptat", Linux
Magazin, nr. 22, iunie 2005;
26. OpenVPN: http:// openvpn. sourceforge. Net
27. Biblioteca LZO: http:// www. oberhumer. com/opensource/ lzo/
28. Proiect OpenSSL: http:// www. openssl. org/
29. Driver TUN/ TAP: http:// vtun. sourceforge. net/ tun/
30. Thomas T., Primii pai n securitatea reelelor, Corint, Bucureti, 2005.
31. www.squid-cache.org
32. http://www.wingate.com/download.php
33. http://www.youngzsoft.net/ccproxy/
34. http://www.securekit.com/
35. www.digimarc.com
36. www.digimarc-id.com
37. www.aris-techni.fr/
132
Cuprins
1.
2.
3.
4.
CRIPTOGRAFIA ...........................................................................................................................32
4.1. DEFINIII I NOIUNI DE BAZ.......................................................................................................32
4.1.1. Tehnici utilizate n criptografie...............................................................................................33
4.1.1.1. Substituia ..................................................................................................................................... 33
7.
TEHNICI, SERVICII I SOLUII DE SECURITATE PENTRU INTRANET-URI I
PORTALURI ............................................................................................................................................69
7.1. INTRODUCERE ...............................................................................................................................69
7.2. CRIPTOGRAFIA ..............................................................................................................................69
7.2.1. Criptografia cu cheie secret..................................................................................................70
7.2.2. Criptografia cu cheie public .................................................................................................70
7.2.3. Managementul cheilor i distribuia acestora ........................................................................70
7.2.4. Funciile Hash.........................................................................................................................71
7.2.5. Utilizarea semnturilor digitale. Riscuri de securitate...........................................................72
7.2.6. Certificate digitale. Riscuri de securitate ...............................................................................73
7.2.7. Autentificarea Kerberos V5 ....................................................................................................75
7.2.7.1. Cum funcioneaz Kerberos V5 .................................................................................................... 76
7.2.7.2. Riscuri de securitate n Kerberos .................................................................................................. 76
Cuprins
7.2.13. S/MIME.................................................................................................................................86
7.2.13.1. Funcionarea S/MIME .................................................................................................................. 87
7.2.13.2. Riscuri de securitate ale S/MIME ................................................................................................. 88
Aplicaii practice
L1
L2
L3
OBIECTIVE: ...................................................................................................................................95
CIFRUL LUI CEZAR ........................................................................................................................95
CIFRUL LUI VERNAM .....................................................................................................................97
METOD PROPRIE DE CRIPTARE ....................................................................................................97
DESFURAREA LUCRRII ............................................................................................................98
OBIECTIVE: ...................................................................................................................................99
INTRODUCERE ...............................................................................................................................99
ASCUNDEREA UNUI FIIER...........................................................................................................100
DESCOPERIREA UNUI FIIER ASCUNS ...........................................................................................101
FIREWALL-URI ..........................................................................................................................102
3.1 OBIECTIVE: .................................................................................................................................102
3.2 GENERALITI/DEFINIII FIREWALL...........................................................................................102
3.2.1 Funcionarea firewall-urilor.................................................................................................102
3.2.2 Politica Firewall-ului ...........................................................................................................103
3.2.3 Clasificri .............................................................................................................................103
3.2.4 Ce "poate" i ce "nu poate" s fac un firewall?..................................................................104
3.3 INFORMAII DESPRE FIREWALL SUN WINDOWS XP .....................................................................104
3.3.1 Cum ncep s utilizez un firewall? ........................................................................................104
3.3.2 Cum aflu ce versiune de Windows utilizez? ..........................................................................104
3.3.3 Verificarea strii Windows Firewall ....................................................................................105
3.3.4 Adugarea unei excepii n Windows Firewall .....................................................................105
3.3.5 Probleme de compatibilitate cu ISP, hardware sau software...............................................106
3.4 DESFURAREA LUCRRII ..........................................................................................................106
3.1 PCLIREA FIREWALL/IDSURILOR I ASCUNDEREA IDENTITII ...............................................107
L4
L5
136
controale trebuie s aib n vedere pe toi angajaii i nu doar pe cei din compartimentul
IT sau care au legtur direct cu acest domeniu.
Securitatea informaiilor nu este doar o problem tehnic. Ea este n primul rnd
o problem managerial.
Standardul de securitate ISO/IEC 17799 rspunde nevoilor organizaiilor de
orice tip, publice sau private, printr-o serie de practici de gestiune a securitii
informaiilor.
Standardul poate fi folosit n funcie de gradul de expunere a fiecrei organizaii
n parte, pentru a contientiza la nivelul conducerii aspectele legate de securitatea
informaiei, sau pentru a crea o cultur organizaional n ceea ce privete securitatea
informaiilor, sau pentru a obine certificarea sistemului de securitate.
Gradul de expunere a sistemelor informaionale variaz cu industria n care
activeaz fiecare organizaie. Cu ct acest risc este mai mare, atenia care trebuie
acordat securitii datelor ar trebui s fie mai mare.
Instituiile financiare, industria aprrii, aerospaial, industria tehnologiei
informaiei, industria electronic sunt sectoarele cu cel mai mare grad de risc n ceea ce
privete securitatea informaiilor. Tot n aceast categorie de risc ridicat intr i
instituiile guvernamentale, motiv pentru care adoptarea unei culturi organizaionale pe
baza standardului ISO/IEC 17799 are un rol fundamental.
Stabilirea cerinelor
Este important ca fiecare organizaie s poat s-i identifice propriile cerine de
securitate. Pentru aceasta ea trebuie sa fac apel la trei surse principale:
analiza riscurilor;
legislaia existent;
standardele i procedurile interne.
Folosind o metodologie corespunztoare pentru a analiza riscurile organizaia i
poate identifica propriile cerine legate de securitate. Un astfel de proces presupune n
general patru etape principale:
identificare activelor care trebuie protejate;
identificarea riscurilor/ameninrilor specifice fiecrui activ;
ierarhizarea riscurilor;
identificarea controalelor prin care vor fi eliminate/diminuate riscurile
Nu trebuie ns trecute cu vederea nici aspectele financiare.
Fiind un obiectiv comun, dictat de cerinele de afacere, pentru c pn la urm
orice activitate derulat de o organizaie are o raiune economica, n implementarea unei
arhitecturi de securitate trebuie puse n balan costurile i beneficiile.
Un mecanism de control nu trebuie s coste organizaia mai mult dect
bunul ce trebuie protejat.
Stabilirea cerinelor de securitate, a msurilor necesare pentru a asigura nivelul
de control dorit, are o component deseori subiectiv, fiind dificil de cuantificat n
temeni monetari pierderea suferit n cazul unui incident de securitate. Aspectele
intangibile precum alterarea imaginii organizaiei pe pia, credibilitatea n faa
clienilor sau efectele indirecte ale unui incident de securitate major, sunt cel mai greu
de apreciat. Aceasta este raiunea i pentru care adoptarea unor standarde i practici
general acceptate, susinute de evaluri periodice independente este de recomandat.
7
Acest proces nu este unul static, altfel spus trebuie avute n permanenta n
vedere schimbrile care intervin n viata organizaiei pentru a fi reflectate corespunztor
n planul de securitate. Dac spre exemplu apare o modificare legislativ cu impact
asupra instituiei, trebuie avut n vedere din nou modelul folosit pentru evaluarea
riscurilor pentru a vedea dac acesta reflect riscurile aprute ca urmare a acestei
modificri.
n acest sens, ISO/IEC 17799 propune o serie de obiective de securitate i
controale din rndul crora profesionitii le pot selecta pe acelea care corespund afacerii
n care funcioneaz. Pe de alt parte acest standard nu trebuie considerat un panaceu al
securitii informaiilor att timp ct el ofer doar recomandri celor care rspund de
implementarea i managementul unui sistem de securitate n cadrul unei organizaii.
De unde se ncepe
Controalele interne pot fi considerate principiile care stau la baza implementrii
unui sistem de management al securitii. Chiar dac sursele unor astfel de msuri pot fi
destul de variate, punctul de plecare ntr-un astfel de demers l reprezint legislaia
aplicabil. Este foarte important ca cel care se ocup de implementarea unui sistem de
management al securitii s aib cunotine despre actualele cerine legislative:
Legea nr. 161 din 19 aprilie 2003 privind unele masuri pentru asigurarea
transparentei n exercitarea demnitarilor publice, a funciilor publice si n
mediul de afaceri, prevenirea si sancionarea corupiei.
Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter
personal si protecia vieii private n sectorul comunicaiilor electronice.
Legea nr. 677 din 21 noiembrie 2001 pentru protecia persoanelor cu privire
la prelucrarea datelor cu caracter personal si libera circulaie a acestor date.
Legea nr. 455 din 18 iulie 2001 privind semntura electronica.
Legea nr. 544 din 12 octombrie 2001 privind liberul acces la informaiile de
interes public.
Hotrrea nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor
tehnice si metodologice pentru aplicarea Legii nr. 455-2001 privind
semntura electronica.
Ordinul Avocatului Poporului nr. 52 din 18 aprilie 2002 privind aprobarea
Cerinelor minime de securitate a prelucrrilor de date cu caracter personal.
Ordinul Avocatului Poporului nr. 53 din 18 aprilie 2002 privind aprobarea
formularelor tipizate ale notificrilor prevzute de Legea nr. 677/2001 pentru
protecia persoanelor cu privire la prelucrarea datelor cu caracter personal si
libera circulaie a acestor date.
Ordinul Avocatului Poporului nr. 54 din 18 aprilie 2002 privind stabilirea
unor situaii n care nu este necesara notificarea prelucrrii unor date cu
caracter personal care cad sub incidenta Legii nr. 677/2001 pentru protecia
persoanelor cu privire la prelucrarea datelor cu caracter personal si libera
circulaie a acestor date.
Hotrrea nr. 781 din 25 iulie 2002 privind protecia informaiilor secrete de
serviciu.
Legea nr. 182 din 12 aprilie 2002 privind protecia informaiilor clasificate.
Fox Pro, de exemplu, nu pot asigura o protecie a informaiilor la nivelul bazei de date,
acestea fiind stocate n fiiere necriptate, accesibile oricrui utilizator, indiferent de
drepturile de acces care i-au fost atribuite la nivelul aplicaiei. Sistemele de operare
precum DOS sau Windows 95/98 nu au mecanisme de control al accesului, nefiind
posibil restricionarea drepturilor de utilizare a datelor la acest nivel. Standardul
prevede ns msuri de control pentru fiecare nivel al sistemului informaional:
controlul accesului la serviciile reelei - conexiunile la serviciile reelei
trebuie controlate iar pentru obinerea accesului la astfel de servicii este
recomandat implementarea unei proceduri formale.
controlul accesului la nivelul sistemului de operare sistemul de operare
trebuie s prevad msuri de restricionare a accesului la date existente pe
calculatore.
controlul accesului la aplicaii - prevenirea accesului neautorizat la
informaiile gestionate de aplicaiile software.
Orict de elaborate ar fi msurile de control al accesului exist totdeauna
posibilitatea unei intruziuni, sau utilizarea inadecvat a resurselor existente.
Pentru a detecta potenialele activiti neautorizate este necesar monitorizarea
accesului i utilizrii sistemului informatic.
Monitorizarea are un caracter continuu i implic pstrarea i revizuirea
periodic a nregistrrilor cu evenimentele de sistem, i a activitii utilizatorilor.
1.3.8. Dezvoltarea i ntreinerea sistemului
Aproape mereu, atunci cnd e vorba de dezvoltarea i implementarea unui
sistem informatic, cerinele de securitate sunt neglijate. Eforturile sunt ndreptate mai
mult spre aspectele funcionale i mai puin pe controlul riscurilor de integritate i
confidenialitate a informaiilor. Organizaiile se expun la riscuri majore de operare ce
pot rezulta n pierderi financiare semnificative prin neglijarea unor msuri minimale de
control al procesului de dezvoltare i implementare. Testarea aplicaiilor nu este
formalizat, ceea ce nu garanteaz calitatea dezvoltrilor, programatorilor li se permite
accesul la mediul de producie pentru corectarea unor erori nedetectate n procesul de
testare, inducnd riscuri de integritate i disponibilitate a datelor.
Aspectele de securitate nu trebuie neglijate n partea de dezvoltare i
implementare, dei acestea s-ar putea s deranjeze i s nu aduc aparent nici un
beneficiu. Fr a ine cont de recomandrile de control ale acestui proces, organizaia
risc s investeasc ntr-o aplicaie sau echipament care s nu-i ofere nici o garanie
asupra informaiilor gestionate.
Obiectivele de control prevzute n aceast seciune a standardului sunt menite
s asigure c noile sisteme dezvoltate au prevzute mecanisme de securitate, prin:
dezvoltarea cerinelor i analiza specificaiilor de securitate;
validarea datelor de intrare
controlul procesrii interne
autentificarea mesajelor transmise electronic
validarea datelor de ieire
utilizarea tehnicilor de criptare
utilizarea mecanismelor de semnare electronic
14
15
2. Clasificarea informaiilor
2.1. Noiuni introductive privind clasificarea modern a
informaiilor
Clasificarea nseamn etichetri cresctoare ale documentelor sau informaiilor,
de la cel mai de jos nivel, unde se situeaz informaiile deschise su neclasificate, la cele
confideniale, urcnd spre informaii secrete i strict secrete.
n clasificarea informaiilor s-a plecat de la ideea c informaiile care prin
compromitere pot costa viei umane sunt marcate drept secret, n timp ce informaiile a
cror compromitere cost pierderea multor viei umane sunt definite strict secrete.
Personalul din domeniu securitii sistemelor sunt investii cu drepturi diverse,
de a lucra cu anumite categorii de informaii. Pe lini accesului la unele categorii de
informaii, pentru exercitarea controlului lucrurile sunt destul de clare: un angajat poate
citi documentele dintr-o anumit categorie numai dac el are cel puin dreptul de
accesare a informaiilor din acea categorie sau din una superioar. Regula este c
informaiile pot circula doar n sus, de la confidenial la secret i strict secret, n timp ce
n sens invers, de sus n jos, pot circula doar dac o persoan autorizat ia decizia de
declasificare a acestora.
Se utilizeaz dou strategii de baz privind securitatea naional, i anume:
tot ceea ce nu este interzis este permis;
tot ceea ce nu este permis este interzis.
Se apeleaz la dou tactici de implementare a strategiei fundamentale privind
protejarea informaiilor deosebite:
controlul discreionar al accesului;
controlul legal al accesului.
Prima tactic de control al accesului implementeaz principiul celui mai mic
privilegiu: nici o persoan, n virtutea rangului sau poziiei ce o deine, nu are drepturi
nelimitate de a vedea informaiile deosebite, iar persoanele care au o astfel de facilitate
trebuie s le vad numai pe cele care intr n sfera lor de activitate.
Controlul discreionar al accesului este aplicat printr-o matrice de control,
conform modelului prezentat n figura 2.1. Pentru fiecare persoan aflat pe list i
pentru fiecare informaie, matricea arat ceea ce poate face fiecare subiect cu obiectele
din list: citire, scriere, execuie, aprobare etc.
Subiect
Subiect 1
Subiect 2
Subiect 3
Subiect 4
Subiect 5
Obiect 1
Obiect 2
Obiect 3
Execut
Citete
Citete
Citete
Citete/Scrie Aprob
Citete/Scrie
Aprob
Citete/Scrie
Aprob
Execut
Execut
Execut
Citete
Aprob
Fig. 2.1: Matricea de control al accesului.
16
19
22
24
folosi o list de control al accesului al subiecilor la obiect. Acest tip de acces este
folosit n situaii locale, dinamice, n care se las la discreia subiecilor specificarea
tipurilor de resurse permise utilizatorilor s le acceseze.
Cnd un utilizator, n condiii bine specificate, are dreptul s modifice controlul
accesului pentru anumite obiecte, se spun c avem un "control discreionar al accesului
direcionat ctre utilizator". Un control bazat pe identitate este un alt tip de control
discreionar al accesului care se bazeaz pe identitatea unei persoane.
Controlul nediscreionar al accesului o autoritate central stabilete subiecii
care pot s aib acces la anumite obiecte, n funcie de politica de securitate
organizaional. Controlul accesului poate s se bazeze pe rolul individual ntr-o
organizaie (control bazat pe sarcini). Acest tip de control nu necesit schimbri atunci
cnd un rol va fi jucat de o alt persoan.
3.1.2. Forme combinate de control
Prin combinarea controlului preventiv i detectiv cu mijloacele celorlalte tipuri
de control administrativ, tehnic (logic) i fizic se obin urmtoarele combinaii:
preventiv administrativ;
Control preventiv
preventiv tehnic;
preventiv fizic:
o detectivAdministrativ
Tehnic
Fizic
administrativ;
o detectiv-tehnic;
detectiv fizic.
n figura 3.1 se prezint
schematic aceste perechi.
Control detectiv
Fig.3.1: Combinarea formelor de control
minii, liniile din palm, imaginea feei etc. Toate aceste tehnici sunt foarte
scumpe, n comparaie cu cele clasice, i deseori sunt incomode sau
neplcute la utilizare.
ceva ce persoana tie o parol, doar c aceasta se afl la discreia
oamenilor i securitatea sistemului depinde de modul de pstrare a secretului
ei sau de uurina cu care poate fi aflat.
locul geografic unde este nregistrat calculatorul.
Metodele de control al accesului trebuie s se bazeze pe cel puin dou din cele
patru enumerate mai sus, de cele mai multe ori se apeleaz la combinaiile cartelparol, cheie-parol, jeton-parol. n ultimul timp se recomand s se foloseasc i un al
treilea elemente cel biometric.
3.2.1. Principiile de baz ale controlului accesului
Ca principiu general, simpla posesie a unui element de control al accesului nu
trebuie s constituie i proba accesului privilegiat la informaiile importante ale
firmei, ntruct el poate fi dobndit i pe ci ilegale dau poate fi contrafcut.
Un al doilea principiu arat c atunci cnd valorile patrimoniale sunt deosebit
de importante i mecanismul de protecie trebuie s fie pe msur, iar persoanele cu
drept de acces s fie ct mai puine.
Al treilea principiu, de regul aplicat informaiilor secrete, este acela c nici
unei persoane nu trebuie s i se garanteze accesul permanent, gestiunea sau
cunoaterea informaiilor secrete numai pe motivul poziiei ierarhice pe care o
deine.
Fiecare centru de prelucrare automat a datelor cu mai mult de 25 de angajai
trebuie s apeleze la sistemul ecusoanelor i la biometrie, ca msuri suplimentare fa de
proteciile realizate prin alte metode privind accesul n cldire.
Locurile care nu dispun de ui ce pot fi ncuiate trebuie s aib intrrile
supravegheate, iar o persoan s rspund de aceast operaiune. Cu acelai scop, poate
fu utilizat i televiziunea cu circuit nchis, cu condiia ca o persoan s nu
supravegheze mai mult de trei monitoare.
Controlul accesului prin obiecte
Una din metodele folosite pentru accesul n cldiri sau sli este utilizarea unei
cartele de plastic sau a unui jeton, care ofer informaii despre purttor, cum ar fi:
numele, adresa, codul cardului, contul bancar, informaii medicale, drepturi de acces.
Toate aceste informaii pot fi codificate prin coduri de bar, pelicul magnetic,
microprocesor. Unele carduri conin i fotografia titularului.
Exist i carduri inteligente care se utilizeaz pentru criptarea i decriptarea
datelor, semnarea mesajelor i introducerea de pli electronice. Aceste carduri
controleaz accesul n cldire, la locurile de parcare, n sli, la calculator i la alte date
personale ale deintorului.
Se mai pot folosi i ecusoane active, care realizeaz identificarea prin frecvene
radio, sau prun infrarou, putndu-se citi cartele de la civa metri.
Majoritatea cartelelor sunt auto-exprinate, cu ajutorul unor tehnologii termice
sau a unor vopsele speciale.
28
utilizatorii nu-i schimb periodic parolele, iar dac o fac nu aduc modificri
importante n structura lor;
utilizatorii i pstreaz parolele scrie pe suporturi lsate n vzul tuturor;
utilizatorii folosesc nume asocieri nume-cuvinte cunoscute (nume de
persoane dragi) ceea ce le face extrem de vulnerabile.
Dintre cuvintele utilizate n mod eronat de utilizatori drept parol amintim:
PASSWORD, PAROLA, SECRET, SMART, CLEVER, DUMMY, CRAZY, sau chiar GHICI.
Deoarece parolele sunt nite chei de acces la valorile proprii, trebuie protejate cu
grij, i trebuie respectate cteva reguli de baz la alegerea lor:
parolele trebuie schimbate cel puin odat la ase luni, iar pentru datele
deosebit de importante i mai des;
parolele comune (utilizate de mai muli) trebuie schimbate imediat ce o
persoan prsete grupul sau i se retrage dreptul utilizrii ei;
parolele se vor schimba imediat ce apare bnuiala cunoaterii ei de ctre
persane neautorizate sau dac din motive de for major secretul lor a
trebuit dezvluit pentru redresarea unei stri anormale temporare;
parolele trebuie s fie memorate i nu scrise pe orice, cu excepia
urmtoarelor cazuri:
o vor fi scrise pentru situaii de urgen;
o fiecare parol scris va fi introdus ntr-un plic sigilat i marcat n
exterior cu scurte detalii privind calculatorul la care poate fi folosit
i numele celor autorizai a le folosi;
o plicul respectiv are tratament asemntor averilor protejate sau al
categoriilor de informaii accesate prin parol. Dup ruperea
sigiliului, pe plic vor fi trecute data i numele celor care au fcut-o;
o plicurile cu parole se pstreaz de ctre responsabilul cu securitatea
sistemului i seif.
dac parolele duplicat se pstreaz prin intermediul calculatorului, astfel de
fiiere trebuie s fie protejate mpotriva accesului neautorizat i create copii
de siguran. Accesul la acest fiier trebuie s fie nlesnit doar persoanelor
autorizate, respectndu-se principiul "niciodat singur". Listele cu parole vor
fi memorate sub form criptat;
parolele nu vor fi afiate niciodat pe echipamentele din configuraia
sistemului, iar la introducerea lor nu trebuie s se afle persoane strine n
preajm;
parolele, n cele mai multe cazuri, au cel puin opt caractere. Ele sunt
caractere alfa numerice, folosite n ordine aleatoare, ceea ce ar nsemna
cteva mii de cuvinte de opt sau mai puine caractere, care pot fi testate cu
ajutorul calculatorului, n doar cteva minute, deci sunt suficient de
vulnerabile pentru sprgtorii profesioniti;
pentru blocarea operaiunilor de ncercare repetat, de ordinul miilor,
calculatoarele trebuie s permit un numr limitat de ncercri de introducere
a parolelor, de obicei trei. Dac limita este depit de utilizator, intenia este
raportat conductorului sistemului sau responsabilului cu securitatea. n
acest timp trebuie s se blocheze terminalul de la care s-au efectuat prea
multe ncercri nereuite. n cazul sistemelor speciale se recomand i
blocarea slii sau a locului de unde s-a ncercat ptrunderea n sistem prin
parole eronate repetate, pentru identificarea persoanei respective.
30
31
4. Criptografia
4.1. Definiii i noiuni de baz
Scopul criptografiei este de a proteja informaiile transmise fr s poat fi citite
i nelese dect de ctre persoanele crora le sunt adresate. Teoretic, persoanele
neautorizate le pot citi, ns practic, citirea unei comunicaii criptate este doar o
problem de timp egal cu timpul aferent necesar persoanei neautorizate de a decripta
mesajul citit.
Algoritmul criptografic este o procedur pas-cu-pas utilizat pentru cifrarea
unui text clar i descifrarea textelor cifrate.
Cheia sau variabila de criptare este o informaie sau o secven prin care se
controleaz cifrarea i descifrarea mesajului.
Cifrarea este o transformare criptografic a unor caractere sau bii.
Criptograma sau textul cifrat reprezint un mesaj neinteligibil
Cifrul bloc se obine prin separarea textului iniial n blocuri de cte n caractere
fiecare (bii) i aplicarea unui algoritm i a unei chei identice, k, pentru fiecare bloc.
Codurile sunt o transformare care opereaz la nivelul cuvintelor sau frazelor.
Criptanaliza este actul obinerii textului clar sau a cheii din textul cifrat, care
este folosit pentru obinerea informaiilor necesare acestui scop.
Criptarea nseamn realizarea formei neinteligibile a unui mesaj pentru a nu fi
utilizat de persoanele neautorizate s-l acceseze.
Criptarea end-to-end n acest caz informaiile criptate sunt transmise din
punctul de origine la destinaia final.
Cheie simetric att expeditorul ct i destinatarul folosesc aceeai cheie de
criptare.
Cheie asimetric expeditorul i destinatarul folosesc chei de criptare diferite.
Criptarea nlnuit mesajul circul prin mai multe noduri ntre expeditor i
destinatar. Un nod intermediar primete mesajul, l decripteaz cu aceeai cheie cu care
a fost cripta, l recripteaz cu o alt cheie i l trimite la urmtorul nod unde procesul se
repet pn cnd mesajul ajunge la destinatar.
Criptografia este arta i tiina ascunderii semnificaiei unei comunicri
mpotriva unor interceptri neautorizate. Cuvntul vine din limba greac, care nseamn
criere ascuns: kryptos graphein.
Criptologia reunete criptografia i criptanaliza.
Decriptarea este procesul prin care un text cifrat este transformat ntr-un mesaj
inteligibil.
Sistemul de criptare este un set de transformri din spaiul mesajului clar la cel
al textului cifrat.
Steganografia este o form de comunicare secret prin care se ncearc
ascunderea mesajului secret ntr-o imagine digital.
Textul clar este forma inteligibil de prezentare a unui mesaj, astfel nct el s
fie accesibil oricui.
32
Cap. 4 - Criptografia
4.1.1.1. Substituia
Cea mai simpl metod de criptare, prin substituie, este cunoscut n zilele
noastre sub denumirea de cifrul lui Cezar, dup numele mpratului roman care a
inventat-o. n acest cifru, caracterele mesajului i numrul de repetiii ale cheii sunt
nsumate laolalt, modulo 26. n adunarea modulo 26, literelor alfabetului latin, de la A
la Z, li se dau valori de la 0 la 25 (vezi tabelul 4.1). Pentru cheie trebuie s se ofere doi
parametri:
D numrul literelor ce se repet, reprezentnd chei;
K cu rol de cheie.
Tabelul 4.1
Corespondena litere-numere
Litera A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Numr 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
1
15
4
0
2
17
1
14
4
11
2
0
1
12
4
4
2
0
16
19
15
15
13
Cheia reperat
Mesajul
Echivalentul numeric
al textului criptat
Textul criptat
3
15
3
0
3
17
3
14
3
11
3
0
3
12
3
4
3
0
18
20
17
14
15
Dac sumele valorilor cheii i ale numrului aferent literelor sunt mai mari sau
egale cu 26, se determin modulo 26 din sum, adic rezultatul final este obinut prin
scderea din sum a numrului 26.
Exemplu:
D=3, K=PIC, mesajul este SECRET, rezultatul va fi:
- valorile numerice atribuie mesajului:
S E C R E T
18 4 2 17 4 19
- valorile numerice ale cheii sunt: P I C = 15 8 2
Cheia reperat
Mesajul
Echivalentul numeric
al textului criptat
Textul criptat
15
18
33
(8)
I
8
4
2
2
12
15
17
32
(9)
J
8
4
2
19
12
21
34
Cap. 4 - Criptografia
Aceleai reguli se pot aplica asupra coloanelor sau asupra liniilor i coloanelor.
Combinarea transpoziiei cu substituia poate s conduc la variante aproape
imposibil de spart.
4.1.3. Cifrul lui Vernam
Cifrul lui Vernam const ntr-o cheie constituit dintr-un ir se caractere
aleatoare nerepetitive. Fiecare liter a cheii se adaug modulo 26 la o liter a mesajului
clar. n aceast variant, fiecare liter a cheii se folosete o singur dat pentru un
singur mesaj i nu va mai putea fi folosit niciodat. Lungimea irului de caractere a
cheii este egal cu lungimea mesajului. Metoda este foarte util pentru criptarea
mesajelor scurte.
Exemplu: criptarea mesajului: LA MULTI ANI
35
Mesaj clar
LAMULTIANI
Cheie Vernam VIDAGTSROL
Suma aparent
Modulo 26 din
sum
Textul criptat
11
21
32
0
8
8
12
3
15
20
0
20
11
6
17
19
19
38
9
18
27
0
17
17
13
14
27
8
11
19
15
20
17
12
17
19
Cifrul carte
Acest tip de cifru apeleaz la diverse surse, de obicei o carte, pentru a cripta un
text. Cheia, cunoscut de expeditor i destinatar, poate fi format din pagina crii i
numrul rndului de pe pagina n care se afl textul.
Codurile
Codurile sunt folosite pentru a transmite construcii predefinite din anumite
domenii. (cum se foloseau la pagere). De regul, sunt dou rnduri de cri, una conine
semnificaia n clar a mesajelor n ordinea alfabetic i codul corespunztor, cealalt
conine ordinea cresctoare a codurilor i n dreptul lor semnificaia n clar.
4.1.4. Ascunderea informaiilor
Ascunderea informaiilor se practic din cele mai vechi timpuri, iar n zilele
noastre mesajele secrete pot fi ascunse n fiiere audio MP3, n fiiere video, imagini
sau n instruciunile executabile ale unui program.
4.1.4.1. Steganografia
Steganografia este arta ascunderii existenei unui mesaj pe un anumit suport.
Termenul vine din cuvintele greceti steganos care nseamn acoperit i graphien a
scrie.
Prin Steganografia se exprim interesul pentru confidenialitate, deoarece scopul
ei este de a include mesaje ntr-un anumit mediu astfel nct s rmn insesizabil.
n prezent, o tehnic frecvent utilizat este ascunderea mesajului printre biii
imaginilor digitale. Imaginile sunt reprezentate printr-o form matriceal de pixeli
(picture x elements), nsemnnd puncte din care se realizeaz imaginea. O imagine
"modest" poate avea 400300 pixeli. Fiecare pixel este codificat printr-o secven de
bii care stabilete culoarea. Cea mai simpl form de codificare este sistemul RBG (red
blue, green) prin 24 de bii, adic cte 8 bii pentru fiecare culoare. Cei 8 bii determin
realizarea a 256 de variante, prin combinarea lor rezult aproximativ 17 milioane de
nuane de culori. Unora dintre bii li se poate da o alt destinaie, pentru a codifica
mesaje, fr a fie afectat semnificativ calitatea imaginii.
Ultimul bit, cel mai din dreapta, nu are un rol semnificativ n stabilirea culorii, el
schimb culoarea cu un spectru, echivalent cu modificarea orei cu o secund (ct
reprezint o secund dintr-o or ?).
Biii succesivi ai mesajului vor fi plasai pe poziia biilor cel mai puin
semnificativi ai octeilor, fr a fi afectat semnificativ imaginea. Fcnd un calcul
simplu, pentru o imagine de 400300 pixeli, fiecare cu cte trei octei, de la care se pot
mprumuta 3 bii, rezult 4003003 = 360.000 bii alocai pentru mesajul nostru secret.
Un caracter poate fi scris pe 8 bii, deci 360.000 / 8 = 45.000 de caractere poate avea
mesajul nostru.
36
Cap. 4 - Criptografia
4.1.4.2. Filigranarea
Un filigran este un model distinct ncapsulat ntr-un document, imagine, video
sau audio de ctre cel care se afl la originea datelor. Filigranul poate avea cteva
scopuri, printre care:
indicarea proprietarilor datelor;
inerea evidenei copiilor datelor;
verificarea integritii datelor.
Filigranele folosite n bancnote au scopul de a ntri ncrederea posesorilor c se
afl n faa banilor originali i nu a unora contrafcui, scopul fiind de securizare
mpotriva falsificrii. Un filigran poate fi invizibil cu ochiul liber sau insesizabil de
ureche, dar exist mijloace de detectare i extragere a lui pentru a se verifica
autenticitatea datelor sau sursa lor.
Datele filigranate sunt o funcie a unui identificator i/sau cheie care este unic
pentru autor. Aceste valori sunt necesare pentru detectarea sau extragerea filigranului.
Dac mai multe copii ale datelor surs au fost filigranate separat, fiecare ele va fi
prelucrat cu o cheie proprie, deci fiecare copie are amprenta ei. Prin inerea evidenei
fiecrei chei folosite pentru fiecare beneficiar este uor de urmrit cine a nclcat
drepturile de autor.
Filigranele pot fi de dou tipuri: fragile sau solide. Filigranele fragile sunt mai
uor de schimbat, dar sunt folosite doar pentru a vedea dac datele au fost schimbate, n
timp ce filigranele solide rezist tuturor manipulrilor i manevrelor la care sunt supuse.
Filigranarea este similar cu steganografia i se bazeaz pe tehnici de proiectare
apropiate.
n spaiul cibernetic, filigranele sunt folosite pentru stabilirea nclcrii
drepturilor de autor. Digimarc Technologies1 are un produs pentru protejarea imaginilor
puse de proprietar n site-ul propriu. Deintorii copyright-ului insereaz filigranul lor,
folosind PhotoShop de la Adobe, sau un alt editor de imagine care nglobeaz
tehnologia Digimarc. Cnd receptorul folosete acelai editor pentru vizualizarea
imaginilor va fi afiat simbolul de copyright al autorului. Prin selectarea simbolului se
realizeaz legtura cu Digimarc, de unde vor afla cine este deintorul dreptului de
autor. De asemenea, Digimarc are un motor de cutare, MarcSpider, care caut imagini
filigranate furate de la autorii lor.
n domeniul pirateriei muzicii, firma Aris Technologies Inc2 a realizat aplicaia
MusiCode, care ncapsuleaz informaii surs (titlul, artistul, compania de nregistrare)
n fiierul audio. Softul este folosit pe Internet ntr-un motor de cutare care combate
piraii de melodii.
1
2
www.digimarc.com i www.digimarc-id.com
www.aris-techni.fr/
37
38
Cap. 4 - Criptografia
firele sau foile metalice fire cu irizri simple, holograme (realizat optic
i reprezint obiecte ntregi pe un plan ndeprtat) sau kinegramele (realizate
pe calculator, ofer imagini diferite funcie de unghiul de privire).
marca digital a copyright-ului este recunoscut de copiatoare i scanere,
care se opresc la ntlnirea ei, mpiedicnd reproducerile ilegale.
unicitatea este asigurat prin dispunere aleatoare de fibr magnetic pe
hrtie.
Cele trei caracteristici eseniale ale sistemelor bazate pe chei simetrice sunt:
siguran;
rapiditate;
volum mare de date criptate.
Singura problem a sistemului const n folosirea n comun a cheii de criptare de
ctre emitor i receptor, ceea ce nseamn c emitorul trebuie s foloseasc o palet
larg de chei pentru o mare diversitate a utilizatorilor. Sistemele bazate pe chei publice
nu ofer mecanismele necesare autentificrii i nerepudierii.
40
Cap. 4 - Criptografia
Autoritatea de
certificare
3. Tranzacia
certificat
Registru
Entitate_1: solicitant a
certificatului digital
4. Certificat
semnat
Tranzacie solicitat
de Entitate_2
Cap. 4 - Criptografia
43
Unul din cele mai cunoscute modele al politicilor de securitate este cel propus de
David Bell i Len LaPadula, n 1973, i este cunoscut sub numele Bell-LaPadula sau
modelul de securitate multinivel. Sistemele ce le adopt sunt numite i sigure
multinivel sau MLS (MultiLevel Secure). Proprietatea de baz a acestor sisteme este
aceea c informaiile pot circula n jos.
Formal, modelul Bell-LaPadula a introdus trei principii:
principiul (sau proprietatea) securitii simple, prin care nu-i este permis nici
unui proces s citeasc date aflate pe un nivel superior lui. Este cunoscut i
ca Nu citi deasupra (No Read Up, NRU);
principiul * (se citete stea): nici un proces nu poate s scrie date pe un nivel
aflat sub el. Este cunoscut i ca Nu scrie dedesubt (No Write Down, NWD);
principiul securitii discreionare introduce o matrice de acces pentru a
specifica controlul accesului discreionar. Este cunoscut i ca Trusted Subject
(subiect de ncredere). Prin acest principiu, subiectul de ncredere violeaz
principiul *, dar nu se abate de la scopul su. Cele trei principii sunt redate n
figura 5.2.
44
Fiier_3
Scrie
Citete
Nimic
Scrie
Subiect
Solicitare NU
Subiect
46
Departament k
Departament 2
Departament 1
Date partajate
Fig. 5.5: Modelul
securitii multilaterale
(secret, [cripto])
(secret, [])
(neclasificate, [])
Fig. 5.6: Model reea cu etichete de securitate.
controlul accesului,
deschiderea nregistrrilor, c
ontrolul modificrilor din liste,
consimmntul i notificarea clientului,
persistena,
marcarea accesului pentru a servi ca prob n justiie,
urmrirea fluxului informaiilor,
controlul agregrii informaiilor,
ncrederea n sistemele informatice.
49
50
ele se ofer cele mai mici detalii pentru implementarea politicilor, standardelor i
normelor. Uneori se folosete n locul acestui concept cel de practici.
5.3.3. Aspecte practice ale politicii de securitate informaional
Realizarea propriei politici de securitate presupune acoperirea mai multor
domenii diferite, iar conform standardului internaional de definire a politicii de
securitate, ISO 17799, acestea sunt:
1. Planificarea funcionrii nentrerupte a unitii, cu obiectivul contracarrii
ntreruperilor de activitate ale unitii i ale proceselor principale ca efect al unor
accidente majore sau dezastre.
2. Controlul accesului n sistem, cu obiectivele:
a. controlarea accesului la informaii;
b. prevenirea accesului neautorizat n sistemul informaional;
c. asigurarea proteciei serviciilor prestate n reea;
d. prevenirea accesului neautorizat la calculatoare;
e. detectarea activitilor neautorizate;
f. asigurarea securitii informaiilor cnd se folosesc comunicaiile mobile i
tele-activitile.
3. Dezvoltarea i ntreinerea sistemului, cu obiectivele:
a. asigurarea securitii prin sistemul operaional;
b. prevenirea pierderilor, modificrilor sau folosirii inadecvate a datelor din
aplicaiile sistemului;
c. protejarea confidenialitii, integritii i autenticitii informaiilor;
d. asigurarea c proiectele informatice i activitile colaterale se deruleaz
dup proceduri sigure;
e. meninerea securitii softului i datelor din aplicaiile sistemului.
4. Securitatea fizic i a mediului, cu obiectivele:
a. prevenirea accesului neautorizat, a distrugerilor i interferenelor cu
informaiile i celelalte componente ale sistemului;
b. prevenirea pierderilor, distrugerilor sau compromiterilor valorilor
patrimoniale, precum i stoparea ntreruperilor de activitate;
c. prevenirea compromiterii sau furtului de informaii i al altor resurse
informaionale.
5. Maleabilitatea, cu obiectivele:
a. prentmpinarea nclcrii cadrului juridic, a celui statutar, regulamentar sau
a oricrei obligaii contractuale, precum i a cerinelor pe linia securitii;
b. asigurarea maleabilitii sistemului la politicile i standardele
organizaionale pe linia securitii;
c. maximizarea eficienei procesului de auditare a sistemului i minimizarea
interferenelor cu acesta.
6. Securitatea personalului, cu obiectivele:
a. diminuarea riscurilor provocate de factorul uman, fraud sau folosirea
ilegal a componentelor sistemului;
b. asigurarea c utilizatorii sunt contieni i preocupai de prentmpinarea sau
diminuarea ameninrilor asupra securitii informaiilor, susinnd politica
de securitate a organizaiei prin tot ceea ce fac zi de zi;
c. minimizarea pagubelor provocate de incidentele aprute n sistem sau de
proasta funcionare a acestuia, precum i reinerea incidentelor ca lecii
52
pentru viitor.
7. Organizarea securitii, cu obiectivele:
a. asigurarea managementului securitii informaionale n cadrul organizaiei;
b. asigurarea securitii componentelor folosite n prelucrarea informaiilor
organizaiei accesate de ctre teri;
c. asigurarea securitii informaiilor cnd responsabilitatea prelucrrii acestora
revine unei alte organizaii, ca serviciu externalizat.
8. Managementul resurselor informatice i al exploatrii lor, cu obiectivele:
a. asigurarea funcionrii corecte i sigure a componentelor sistemului
informatic;
b. minimizarea riscului cderii sistemului;
c. protejarea integritii softului i a informaiilor;
d. asigurarea integritii i disponibilitii informaiilor prelucrate i
comunicate;
e. asigurarea ncrederii n informaiile din reele i protejarea infrastructurii
corespunztoare;
f. prevenirea pierderilor de valori patrimoniale i a ntreruperilor de activitate;
g. prevenirea pierderilor, modificrilor sau utilizrilor ilegale n schimburile de
informaii cu alte organizaii.
9. Clasificarea i controlarea valorilor patrimoniale, cu obiectivele:
a. meninerea unei protecii corespunztoare a valorilor patrimoniale ale
organizaiei;
b. oferirea ncrederii c valorile patrimoniale informaionale au asigurat un
nivel de protecie corespunztor .
10. Politica de securitate, cu obiectivele:
a. oferirea de direcii manageriale;
b. sprijinirea aciunilor ntreprinse pe planul securitii informaionale. Fiecare
dintre cele zece seciuni are n structur descrieri detaliate prin care se
definete standardul ISO 17799.
5.3.4. Exemple de politici de securitate
De remarcat c nu exist dou organizaii care s aib politici de securitate
identice. Din analizarea mai multor politici de securitate se poate realiza o structur
general a acestora, care va fi prezentat n continuare.
Astfel, se ncepe cu un program de securizare a sistemelor informaionale,
situaie n care se folosete conceptul de politica programului de securitate
informaional. Ea este acoperiul sub care se vor realiza politici tehnice de securitate,
standarde i norme de aplicare. ntr-o unitate sunt necesare politici speciale pentru
utilizarea Internetului i a e-mail-ului, pentru accesarea de la distan a sistemului,
pentru modurile de utilizare a unui sistem informatic, pentru protecia informaiilor .a.
Aadar, se poate spune c printr-o politic a programului de securitate informaional se
definete politica de ansamblu a organizaiei n acest domeniu, precum i
responsabilitile din sistem. n aceste condiii, politicile ce se vor emite sunt
componente eseniale ale programului i ele trebuie s rspund la cinci obiective
majore:
prevenire: abilitatea de prevenire a accesului neautorizat la valorile patrimoniale
ale organizaiei;
asigurare: asigurarea c politicile, standardele i normele sunt n concordan cu
53
57
58
O metod ar fi anonimatul: dac nimeni nu tie nimic despre reeaua dv, atunci
datele sunt n siguran. ns este o fals securitate, pentru c exista o mulime de
moduri prin care se poate afla ce se afl pe Internet.
Cea mai rspndit form de securitate se numete securitatea la nivel de gazd
(host security) i se refer la securizarea separat a fiecrei maini din reea. V bazai
pe acest tip de securitate cnd setai permisiunile de acces n Windows sau permisiunile
UNIX pentru fiiere i directoare. Este suficient ns o singur bre pentru ca ntreaga
reea s fie deschis hackerilor. De asemenea, pentru c securitatea la nivel de gazd nu
este aplicat egal tuturor mainilor, pot fi exploatate serviciile unei maini slab protejate
pentru a accesa o main cu securitate puternica.
6.1.3 Firewalls
Un firewall este un computer, un router sau orice alt dispozitiv de comunicaie
care controleaz fluxul de date ntre reele. n general, un firewall este prima linie
mpotriva atacurilor din afara reelei.
Poate fi implementat:
hardware - este un router special cu filtre adiionale i capaciti de
management;
software - ruleaz pe un sistem de operare oarecare i transform un PC ntrun firewall.
Conceptual, dispozitivele firewall pot aciona la :
nivelul "Retea" - sunt de obicei foarte rapide. Ele controleaz traficul pe baza
adreselor surs i destinaie, precum i a numerelor de port;
nivelul "Aplicaie" - nu permit traficul direct ntre reele. De obicei ele sunt
computere care ruleaz servere proxy. Acestea pot implementa proceduri de
securitate
specifice.
De
exemplu, se poate configura
aa
nct
s
permit
funcionarea
numai
a
protocolul de email.
Din cadrul aplicaiilor firewall ce
ofer o protecie bun la atacurile tipice
din reea putem aminti de Zone Alarm,
Agnitum Outpost i Firewall-urile
integrate din Windows XP i unele
variante din Linux.
De exemplu n Windows XP se
deschide
icoana
ce
reprezint
conexiunea curent spre Internet i se
activeaz firewall-ul, aa cum se poate
observa n figura 6.1.
Din opiunea Settings se pot
configura serviciile ce pot fi accesate de
Fig. 6.1: Activarea firewall-ului din WindowsXP
utilizatorii de pe Internet.
60
Fig. 6.2: Serviciile ce pot fi accesate prin Firewall i suportul pentru mesaje ICMP
Rolul firewall-urilor
Tipul de securitate important este securitatea la nivel de reea. Presupune
securizarea tuturor punctelor de acces la reea. Componenta cheia este acest firewall o
main care se comport ca o interfa ntre reea i Internet, avnd doar preocuparea
securitii. Un firewall are mai multe roluri:
permite accesul la reea numai din anumite locaii;
interzice utilizatorilor neautorizai s obin acces la reea;
foreaz traficul dinspre reea spre Internet s treac prin anumite puncte
securizate;
previne atacurile de tipul blocarea serviciului;
impune restricii asupra aciunilor pe care un utilizator de pe Internet le poate
face n reea.
Conceptul de firewall presupune canalizarea ntregului trafic ctre i dinspre
reea prin unul sau mai multe puncte care sunt configurate pentru a controla accesul i
serviciile.
Utilizarea firewall-urilor
Multe persoane consider un firewall ca fiind o singur main, ceea ce uneori
este adevrat. Exist maini dedicate doar acestei funcii. Totui, termenul firewall se
refer mai mult la funciile ndeplinite dect la un dispozitiv fizic. Un firewall poate
consta din mai multe maini care conlucreaz, sau pot fi folosite mai multe programe cu
funcie de firewall. Firewall-urile pot s ndeplineasc i alte funcii dect simpla
monitorizare a accesului la reea.
61
67
7.2. Criptografia
Criptografia este arta i tiina de a ine secrete datele, prin utilizarea criptrii
folosind un algoritm specific. Un algoritm (numit i cifru) este un proces matematic sau
o serie de funcii prin care se amestec datele. Cei mai muli algoritmi utilizeaz chei,
astfel nct algoritmii pot s nu fie unici pentru o tranzacie, iar detaliile algoritmilor
utilizai s nu fie secrete.
Termenul cheie se refer la informaia necesar pentru a cripta sau decripta
datele. Securitatea unei chei este deseori discutat n termeni de lungime sau bii ai
acesteia, dar o cheie de mrime mare nu garanteaz securitatea de ansamblu a
sistemului.
Exist dou tipuri generale de criptografie, definite n funcie de tipul de cheie
utilizat: criptografia cu cheie secret i criptografia cu cheie public. Cele mai multe
aplicaii utilizeaz principiile unuia sau a ambelor tipuri de criptografie.
68
70
Tabelul 7.1
Relaii agreate ntre lungimea cheii publice i cea a
cheii private
Lungime cheie secret (cifru bloc)
56 bii
80 bii
112 bii
128 bii
256 bii
Cheie RSA
512 bii
1024 bii
2048 bii
3072 bii
15360 bii
care pot aprea n timpul instalrii i utilizrii acestei tehnologii n mod securizat. De
exemplu, utilizarea unui algoritm de hash slab ofer o securitate sczut n combinaie
cu un algoritm de criptare puternic. Din nefericire, simpla vizualizare a unui mesaj hash
nu este suficient pentru a detecta utilizarea unui algoritm slab.
nelegerea riscurilor asociate cu utilizarea semnturilor digitale presupune
nelegerea limitrilor acestei tehnologii. Astfel, o semntur digital, cnd nu este
legat de numele utilizatorului printr-un certificat digital, nu are nici o semnificaie.
Distribuirea securizat a semnturii digitale este singura garanie a securitii ei. n
cazul n care este nevoie de o distribuire la scar a cheilor publice pentru verificarea
semnturilor digitale, trebuie creat o baz de date la care persoanele interesate s aib
acces de citire, n timp ce scrierea trebuie restricionat cu cele mai puternice tehnologii.
Poate cel mai mare risc al semnturilor digitale este acordarea unei prea mari
ncrederi acestei tehnologii. Semnturile de mn pot fi falsificate sau fotocopiate ntrun nou document, dar acest lucru nu ar trebui s fie valabil ntr-un sistem de semnturi
digitale implementat n mod corespunztor. O semntur de mn poate s ofere o
certitudine pn la ruperea modelului de ncredere. Problema cu semnturile digitale
este aceea c nu se tie nc unde i cnd nu se mai poate vorbi de ncrederea acordat
sistemului.
7.2.6. Certificate digitale. Riscuri de securitate
O semntur digital n sine nu ofer o legtur puternic cu o persoan sau o
entitate. Cum se poate ti c o cheie public utilizat pentru a crea o semntur digital
aparine ntr-adevr unui individ anume i c acea cheie este nc valid? Pentru acest
lucru este necesar un mecanism care s ofere o legtur ntre cheie public i un individ
real, funcie ndeplinit de certificatele digitale.
Certificatele digitale pot oferi un nivel ridicat de ncredere asupra faptului c
persoana al crei nume apare pe acel certificat are ca i corespondent o anumit cheie
public. Aceast ncredere este realizat prin utilizarea unei tere pri, cunoscut sub
numele de Autoritate de Certificare (Certificate Authority - CA). O autoritate de
certificare semneaz un certificat n calitate de garant pentru identitatea unei persoane al
crei nume apare pe certificatul respectiv. Formatul curent acceptat pentru certificate
digitale este X.509v3.
Standardul X.509v3 definit n RFC 2459 descrie un format agreat de certificate
digitale. Acest standard definete elementele unui certificat:
Certificate Version - indic versiunea formatului unui certificat;
Serial Number - un numr unic asignat de ctre autoritatea de certificare,
utilizat pentru urmrirea certificatelor;
Signature - identific algoritmul de criptare i funciile de tip message digest
suportate de CA;
Issuer name - numele emitentului (al CA);
Period of Validity - datele ntre care certificatul este valid. Aceast perioad
nu exclude ca certificatul s fie revocat;
Subject - numele proprietarului certificatului;
Subject's Public Key Info - cheia public i algoritmul asociat cu cmpul
Subject;
72
7.2.7.1.
7.2.7.2.
7.2.8.1.
Legtura SSL-HTTP
7.2.8.2.
Pentru funcionarea unei sesiuni bazat pe SSL, trebuie luate n calcul o serie de
elemente. Astfel, serverul Web necesit un certificat digital mpreun cu o cheie privat
corespunztoare.
Cel mai mare distribuitor de certificate pentru server este VeriSign. Obinerea i
instalarea unui certificat SSL de la VeriSign presupune un proces n mai muli pai:
generarea unei cereri, trimiterea unui Certificate Signing Request (CSR), completarea
unui formular prin care se autentific un utilizator sau o afacere, instalarea
identificatorului de server i activarea SSL pentru serverul Web. Autentificarea prin
VeriSign presupune i verificarea datelor trimise de organizaia care necesit un
certificat.
nainte de stabilirea unei sesiuni SSL, clientul trebuie s cunoasc de asemenea
acest protocol. n momentul existenei elementelor necesare, clientul i serverul pot
stabili o conexiune securizat.
Procesul prin care se stabilete o conexiune ntre un client i un server (de
exemplu cumprare online), se desfoar n mai muli pai. SSL utilizeaz o
combinaie de criptri cu chei publice i secrete. Datele brute ale unei sesiuni SSL sunt
ntotdeauna criptate cu cheia secret, fiind mult mai puin consumatoare de resurse din
punct de vedere al procesrii dect criptarea cu cheie public. Protocolul SSL/TLS
suport mai muli algoritmi de criptare cu cheie secret, printre care DES, Triple-DES,
IDEA, RC2 i RC4. Algoritmii cunoscui pentru schimbarea cheilor cuprind DiffieHellman i RSA.
O sesiune SSL cuprinde urmtorii pai:
ClientHello - n acest pas, clientul trimite un mesaj ctre server
(ClientHello) cernd opiuni de conectare SSL, ntre care numrul de
versiune al SSL, setrile cifrului, date generate n mod aleator care stau la
baza calculelor criptografice i metoda de compresie utilizat;
ServerHello - dup primirea mesajului ClientHello, serverul ia la cunotin
recepia prin trimiterea unui mesaj ServerHello care conine numrul de
77
7.2.8.3.
Performana SSL
7.2.8.4.
SSL nu ofer nici o protecie n afara sesiunilor, iar serverele Web care permit
utilizarea SSL nu pot s ofere protecie pentru date care sunt stocate n format text n
server.
SSL nu ofer protecie mpotriva atacurilor bazate pe Web precum exploatarea
diverselor puncte slabe prin scripturi CGI. De asemenea, SSL nu ofer nici un
mecanism pentru controlarea drepturilor de securitate (ceea ce i este permis unei
persoane s fac dup autentificarea pe un server).
n cele din urm, SSL nu protejeaz mpotriva atacurilor de tip Denial of
Service i rmne vulnerabil la analiza traficului. Pentru a oferi un nivel de securitate
adecvat, serverele care lucreaz cu SSL ar trebui s suporte criptarea pe 128 bii i o
cheie public pe 1024 bii.
Certificatele la nivel de server auto-semnate pot oferi securitate, dar nu i
autentificare. Un certificat auto-semnat nu este considerat sigur de ctre maina client
fr a executa anumii pai adiionali.
7.2.9. Autentificarea NTLM
ntr-un mediu de reea, NTLM este utilizat ca i protocol de autentificare pentru
tranzaciile dintre dou calculatoare n care unul dintre ele ruleaz Windows NT 4.0 sau
mai mic iar cellalt Windows 2000 sau mai mare.
n exemplele urmtoare se utilizeaz NTLM ca mecanism de autentificare:
un client Windows 2000 sau Windows XP Professional care se autentific ntrun controler de domeniu Windows NT 4.0;
o staie de lucru client Windows NT 4.0 Workstation care se autentific ntr-un
domeniu Windows 2000 sau Windows 2003;
o staie de lucru Windows NT 4.0 Workstation care se autentific ntr-un
domeniu Windows NT 4.0;
utilizatorii dintr-un domeniu Windows NT 4.0 care se autentific ntr-un
domeniu Windows 2000 sau Windows 2003.
Pe lng acestea, NTLM este protocolul de autentificare pentru calculatoarele
care nu particip ntr-un domeniu, precum staiile de lucru sau serverele independente.
7.2.10. Comparaie Kerberos - NTLM
Pe msur ce a crescut popularitatea Windows NT 4.0, a crescut i interesul de
securizare a sistemului, iar prin adugarea autentificrii Kerberos n Windows 2000,
Microsoft a crescut n mod semnificativ facilitile sistemului de operare. n versiunile
Windows 2000/2003 NT LAN Manager (NTLM) este oferit numai pentru
compatibilitate napoi, cu Windows NT, i ar trebui dezactivat ndat ce clienii din
reea se pot autentifica utiliznd Kerberos.
Kerberos are anumite beneficii fa de NTLM. Astfel, Kerberos se bazeaz pe
standarde n vigoare, deci permite Windows 2000/2003 s interacioneze cu alte reele
care utilizeaz Kerberos V5 ca mecanism de autentificare. NTLM nu poate oferi aceast
79
Stabilirea unei conexiuni SSH este iniiat de comenzile slogin sau ssh, fapt care
duce la verificare autentificrii cu cheia public att pentru server ct i pentru client
apoi fiind stabilit un canal de comunicaie sigur.
7.2.11.2. SSH1
Versiunea original a SSH, versiunea 1, este distribuit n mod gratuit pentru
utilizare necomercial, mpreun cu codul surs. SSH1 are i variante majore (1.2, 1.3 i
1.5). Dei s-au descoperit cteva probleme de securitate, SSH este considerat n
continuare sigur, dat fiind atenia acordat metodei de autentificare i cifrului utilizat.
De exemplu, SSH1 este vulnerabil la atacurile prin inserarea datelor, deoarece acesta
utilizeaz CRC pentru verificarea integritii datelor. Dar utilizarea algoritmului de
criptare Triple-DES rezolv aceast problem.
SSH 1 suport o mai mare varietate de metode de autentificare fa de versiunea
2, ntre care se numr AFS (bazat pe Andrew File System dezvoltat la CarnegieMellon) i Kerberos.
7.2.11.3. SSH 2
SSH 2 este o rescriere complet a SSH1 prin care se adaug noi faciliti,
inclusiv suport pentru protocoalele FTP i TLS. Din cauza diferenelor de implementare
a protocoalelor, cele dou versiuni nu sunt compatibile n ntregime. SSH2 ofer
mbuntiri n ceea ce privete securitatea i portabilitatea. SSH2 necesit mai puin
cod care s ruleze cu privilegii de root, fiind mai puin expus exploatrilor de tip buffer
overflow; astfel este mai puin probabil ca un atacator s rmn pe server cu drepturi
de root.
SSH2 nu ofer aceleai implementri de reea ca i SSH 1, deoarece cripteaz
pri diferite ale pachetelor. SSH2 nu suport metoda de autentificare prin fiierele
.rhosts. De asemenea, n SSH2 algoritmul RSA este nlocuit de Digital Signature
Algorithm (DSA) i de Diffie-Hellman, dar, deoarece patentele RSA au expirat, este de
ateptat suportul n continuare pentru algoritmul RSA n versiunile urmtoare. SSH2
suport Triple-DES, Blowfish, CAST-128 i Arcfour.
Din cauza diferenelor ntre SSH 1 i SSH 2 i din cauza restriciilor de
liceniere, ambele versiuni vor continua s fie utilizate pentru o perioad de timp.
82
Tabelul 7.2.
Comparaie ntre SSH1 i SSH2
SSH1
SSH 2
Triple - DES
Triple - DES - algoritm implicit
128bitRC4
128bitRC4
Blowfish
Blowfish
IDEA - algoritm implicit
Twofish
DES
Arcfour
RSA
CAST 128
DSA
Transferul cheilor prin Diffie Hellman
PGP suport algoritmii de criptare cu cheie public RSA, DSA i DiffieHellman. Algoritmii de hash suportai sunt MD5, RACE Integrity Primitives
Evaluation-Message Digest (RIPEMD) i SHA-1.
Aplicaia PGP Desktop Security cuprinde o serie de faciliti de securitate mult
mai avansate dect ar fi necesare unui sistem de e-mail, printre care sunt cuprinse un
sistem personal de detecie a intruilor, un firewall personal, comunicare bazat pe VPN
sau IP Security (IPSec), criptarea discului cu PGP i suport pentru certificate digitale
X.509v3.
n momentul de fa, PGP trece prin procesul de standardizare al IETF sub
forma OpenPGP, definit prin RFC 2440.
Expedierea mesajelor PGP nu este complicat - n primul rnd, mesajul este
criptat cu o cheie aleatoare simetric a sesiunii. Cheia sesiunii este criptat apoi cu cheia
public a destinatarului. n cazul n care mesajul este semnat, acesta este semnat cu
cheia privat a expeditorului. Cheia criptat a sesiunii este apoi trimis destinatarului
mpreun cu mesajul criptat. n momentul recepionrii mesajului criptat cu PGP se
desfoar procesul invers. PGP utilizeaz cheia privat a destinatarului pentru a
decripta cheia sesiunii. n cele din urm cheia sesiunii este utilizat pentru a decripta
mesajul, iar clientul de e-mail afieaz textul clar al mesajului.
Una din problemele privitoare la cheia public de criptare este aceea de
ncredere n acea cheie public. Pentru ca o criptare cu cheie public s ofere securitatea
adecvat, utilizatorii trebuie s fie siguri de faptul c cheia public cu care se face
criptarea aparine ntr-adevr destinatarului intenionat. PGP ncearc s rezolve aceast
problem prin utilizarea unui model n care persoanele se ncred reciproc. Aceast
ncredere (trust) este exprimat prin semnarea cheii PGP aparinnd altei persoane. n
realitate, orice utilizator PGP devine Certificate of Authority prin semnarea altor chei
pentru ali utilizatori. n modelul de ncredere PGP nu exist nici o diferen ntre
semnarea unei chei n calitate de CA sau de utilizator, lucru care difer semnificativ n
scenariul infrastructurii cu cheie public, n care numai o autoritate de certificare poate
s-i exprime ncrederea ntr-o cheie public. Pe msur ce ali utilizatori semneaz cu
cheia unui utilizator anume i acel utilizator semneaz alte chei, se creeaz o plaj de
ncredere.
Aceast ncredere este bazat att pe ncrederea acordat unei chei publice ca
fiind sau nu autentic ct i pe ncrederea acordat altor persoane care au semnat cheia.
Acest lucru poate ridica probleme, deoarece cheile ar trebui s prezinte ncredere numai
n cazul n care exist o persoan cunoscut i de ncredere care a semnat deja cheia. n
alte cazuri, singura posibilitate de a ti c o cheie este autentic este obinerea acesteia
printr-un mecanism foarte sigur, precum o ntlnire fa n fa. Acest model de
ncredere este potrivit pentru mesajele informale trimise prin Internet, dar nu se
potrivete ntr-un scenariu de afaceri n care se cere nerespingerea i contabilizarea
utilizatorilor.
Revocarea cheilor PGP care nu mai prezint ncredere poate fi de asemenea o
problem. Singura modalitate de prevenire a utilizrii unei chei PGP compromise este
trimiterea unui certificat de revocare a cheii ctre toate persoanele care ar putea utiliza
acea cheie. Acest certificat de revocare ar putea fi plasat pe un keyserver pentru a
avertiza utilizatorii n privina cheii. Deoarece cheile pot fi stocate i ntr-un inel de chei
(key ring) pe maina local, nu exist nici o garanie c toate persoanele vor primi
avertismentul i nu vor mai utiliza acea cheie compromis.
84
care emite mesajul ct i toi cei care l primesc trebuie s aib aceleai chei, acest
sistem ofer cel mai nalt nivel de securitate.
O soluie recent dezvoltat, aplicabil reelelor radio folosete reprogramarea
prin legtur radio (OTAR - Over The Air Rekeying).Aceast tehnic aproape elimin
necesitatea ncrcrii manuale a cheilor i realizeaz un management sigur al cheilor.
OTAR este un sistem de distribuire a cheilor i include o cheie de criptare a
cheii (KEK - Key Encryption Key), folosit pentru criptarea cheii de criptare a traficului
i oricror altor chei operaionale COMSEC sau TRANSEC. Acest proces mai este
denumit i "mpachetare" pentru a fi difereniat de criptarea traficului. Singura cheie
care trebuie ncrcat iniial att n unitile emitoare ct i n cele receptoare este
cheia KEK.
Dup "mpachetare", distribuirea, procesul care urmeaz, poate folosi orice
mijloace fizice sau electronice. ntr-un sistem OTAR, cheile "mpachetate"sunt
introduse ntr-un mesaj i trimise prin legtur radio staiei dorite, folosind protocoale
de transmisie fr erori (deoarece orice eroare ar face cheile de nefolosit). Legtura
folosit pentru transmisie este n general secretizat cu ajutorul cheii de criptare a
traficului (TEK) utilizat. Astfel, coninutul cheii este dublu protejat la transmisia prin
legtur radio, eliminndu-se practic orice posibilitate de compromitere. Pentru un grad
de securitate mai ridicat, se obinuiete s se digitizeze prin intermediul unui vocoder,
semnalul digital rezultant fiind apoi tratat ca orice flux de date.
TRANSEC folosete un numr de tehnici pentru a preveni detecia sau bruierea
semnalului pe traseul de transmisie. Aceste tehnici includ fie "ascunderea" canalului, fie
transformarea acestuia ntr-o int n continu micare.
Pe termen mediu i lung, o strategie coerent de aciune pentru operaionalizarea
securitii informaionale va trebui s vizeze dezvoltarea conceptual i metodologic a
domeniului, cu accent pe:
delimitarea granielor conceptuale (caracteristici, forme, aspecte etc.) i definirea
cadrului epistemologic de abordare;
studierea dinamicii modelelor formale ale rzboiului informaional i adaptarea
acestora la contextul geopolitic, la interesele i resursele Romniei;
identificarea factorilor de risc n raport cu slbiciunile actuale ale Sistemului
Naional de Securitate;
fundamentarea teoretic a unui ansamblu de structuri care s permit abordarea
instituionalizat a domeniului rzboiului informaional;
formularea unei strategii integratoare, la nivel naional, care s ofere
coordonatele pe termen lung ale dezvoltrii domeniului securitii
informaionale.
93
Aplicaii practice
94
Lucrarea nr.1
Obiective:
nelegerea i familiarizarea cu tehnica de criptare prin cheie secret;
realizarea criptrii i decriptrii mesajelor folosind metoda cifrului lui Cezar;
realizarea criptrii i decriptrii mesajelor folosind metoda cifrului lui Vernam;
1
15
4
0
2
17
1
14
4
11
2
0
1
12
4
4
2
0
16
19
15
15
13
95
Lucrarea nr.1
3
15
3
0
3
17
3
14
3
11
3
0
3
12
3
4
3
0
18
20
17
14
15
Dac sumele valorilor cheii i ale numrului aferent literelor sunt mai mari sau
egale cu 26, se determin modulo 26 din sum, adic rezultatul final este obinut prin
scderea din sum a numrului 26.
Exemplu:
D=3, K=PIC, mesajul este SECRET, rezultatul va fi:
- valorile numerice atribuie mesajului:
S E C R E T
18 4 2 17 4 19
- valorile numerice ale cheii sunt: P I C = 15 8 2
Cheia reperat
Mesajul
Echivalentul numeric
al textului criptat
Textul criptat
15
18
33
(8)
I
8
4
2
2
12
15
17
32
(9)
J
8
4
2
19
12
21
Lucrarea nr.1
alfabet, a treia liter a textului clar este nlocuit cu prima liter din al doilea alfabet, a
patra liter din textul clar este nlocuit de a doua liter din primul alfabet .a.m.d.
1.3
Mesaj clar
LAMULTIANI
Cheie Vernam VIDAGTSROL
Suma aparent
Modulo 26 din
sum
Textul criptat
11
21
32
0
8
8
12
3
15
20
0
20
11
6
17
19
19
38
9
18
27
0
17
17
13
14
27
8
11
19
15
20
17
12
17
19
1.4
mprire n grupe:
codificare
criptam
Incercam sa lucram cu coduri si criptari.
criptam
are 7 litere
2635714
abcdefghijklmnopqrstuvwxzy
1 2
3 4 5 67
Incerca | m sa lu | cram cu | coduri | si cri | ptari.
2635714
Incerca
m*sa*lu
cram*cu
*coduri
*si*cri
ptari.*
97
mesaj criptat
Lucrarea nr.1
clcrr.Imc**pcsaoiaauuii*eamd*rn*rcstr**uci
col1 col2 col3 col4 col5 col6 col7
Cerin
Fiind date un cuvnt cheie i un mesaj criptat, decodificai mesajul trimis de
Mircea pentru Vasilic.
Date de intrare
Fiierul de intrare criptare.in conine pe prima linie mesajul criptat iar pe linia a doua
cuvntul cheie.
Date de ieire
Fiierul de intrare criptare.out conine pe prima linie mesajul decriptat.
Restricii
lungimea mesajului este de minim 20 i maxim 1000 caractere
cuvntul cheie are minim 5 i maxim 20 de caractere
cuvntul cheie conine numai litere mici ale alfabetului
1.5
Desfurarea lucrrii
Studenii vor forma dou sau patru echipe, care vor cripta un text dat de
ndrumtorul lucrrii, dup care vor schimba mesajele criptate ntre ele, i vor ncerca s
le decripteze, cunoscnd cheile de criptare.
De remarcat, c n mesajele n clar nu se ia n considerare spaiul dintre cuvinte.
98
Lucrarea nr.2
Obiective:
nelegerea i familiarizarea cu tehnica de ascundere a informaiilor prin
steganografie;
familiarizarea i utilizarea unei aplicaii de ascundere a informaiilor n imagini
steganography;
2.2
Introducere
Cuvntul steganografie (steganography) vine din limba greac unde steganos
nseamn ascuns i graph scris (scriere ascuns). Prin urmare putem spune c
steganografia este tiina sau arta de a scrie mesaje ascunse astfel nct existenta lor s
fie cunoscut numai de destinatar i expeditor. Acest concept i are originea n vremuri
istorice. De exemplu grecii sau romanii foloseau steganografia pentru a transmite
mesaje ascunse, i anume rdeau prul celui care trebuia s transmit mesajul, scriau
mesajul pe pielea capului i ateptau ca prul s-i creasc la loc. Mesajul putea fi
transmis prin intermediul trimisului, nimeni dect cei care tiau unde se afl putndu-l
citi.
Steganografia este folosit pentru a ascunde mesaje (fiiere) n alte fiiere mai
mari i anume n imagini de tip jpg, bmp, png, n fiiere audio (mp3 sau wav) sau chiar
video (avi) fr a exista posibilitatea ca o ter persoan s tie sau s afle de existena
lor. Totui una dintre cele mai cunoscute tehnici de steganografie este "cerneala
simpatic" (nscrisul devine vizibil dup un procedeu - lampa UV, nclzire, etc.).
Steganografia nu trebuie confundat cu criptografia. Acesta din urma face ca un mesaj
s devin indescifrabil, dar existenta lui este vizibil, pe cnd steganografia ascunde
existena mesajului i nu mesajul i face ca steganografia s fie completarea perfect
pentru codificare.
Aplicaia poate fi descrcat de la http://www.securekit.com/.
Dup instalare, studenii vor efectua ascunderea unui fiier text n spatele unei
imagini, care poate fi jpg, bmp, tif, pgn etc.
Lansarea n execuie a aplicaiei se poate face astfel:
Start Programs Steganography Steganography
Moment n care se va deschide fereastra de mai jos:
99
2.3
Lucrarea nr.2
100
Lucrarea nr.2
Paii de mai sus se repet dac dorim s ascundem mai multe fiere.
101
Lucrarea nr.3
3 Firewall-uri
3.1
Obiective:
nelegerea funcionrii i a rolului unui firewall n securitatea sistemelor
informatice;
pornirea i configurarea firewall-ului sistemului de operare Windows XP;
3.2
Generaliti/Definiii Firewall
Un paravan de protecie poate ine la distan traficul Internet cu intenii rele, de
exemplu hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun
probleme sistemului. n plus, un paravan de protecie poate evita participarea
computerului la un atac mpotriva altora, fr cunotina dvs. Utilizarea unui paravan de
protecie este important n special dac suntei conectat n permanen la Internet.
Un firewall este o aplicaie sau un echipament hardware care monitorizeaz i
filtreaz permanent transmisiile de date realizate ntre PC sau reeaua local i Internet,
n scopul implementrii unei "politici" de filtrare. Aceast politic poate nsemna:
protejarea resurselor reelei de restul utilizatorilor din alte reele similare
Internetul -> sunt identificai posibilii "musafiri" nepoftii, atacurile lor asupra
PC-ului sau reelei locale putnd fi oprite.
Controlul resurselor pe care le vor accesa utilizatorii locali.
3.2.1 Funcionarea firewall-urilor
De fapt, un firewall, lucreaz ndeaproape cu un program de routare, examineaz
fiecare pachet de date din reea (fie cea local sau cea exterioar) ce va trece prin
serverul gateway pentru a determina dac va fi trimis mai departe spre destinaie. Un
firewall include de asemenea sau lucreaz mpreun cu un server proxy care face cereri
de pachete n numele staiilor de lucru ale utilizatorilor. n cele mai ntlnite cazuri
aceste programe de protecie sunt instalate pe calculatoare ce ndeplinesc numai aceast
funcie i sunt instalate n faa routerelor.
Soluiile firewall se mpart n dou mari categorii: prima este reprezentat de
soluiile profesionale hardware sau software dedicate proteciei ntregului trafic dintre
reeaua unei ntreprinderi (instituii -> ex.: Universitatea "Alexandru Ioan Cuza", Iai) i
Internet; iar cea de a doua categorie este reprezentat de firewall-urile personale
dedicate monitorizrii traficului pe calculatorul personal.
Utiliznd o aplicaie din ce-a de a doua categorie vei putea prentmpina
atacurile colegilor lipsii de fair-play care ncearc s acceseze prin mijloace mai mult
sau mai puin ortodoxe resurse de pe PC-ul dumneavoastr. n situaia n care dispunei
pe calculatorul de acas de o conexiune la Internet, un firewall personal v va oferi un
plus de siguran transmisiilor de date. Cum astzi majoritatea utilizatorilor tind s
schimbe clasica conexiune dial-up cu modaliti de conectare mai eficiente (cablu,
ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuite asupra sistemului
dumneavoastr crete. Astfel, mrirea lrgimii de band a conexiunii la Internet
faciliteaz posibilitatea de "strecurare" a intruilor nedorii.
102
Lucrarea nr.3
103
Lucrarea nr.3
3.3
Lucrarea nr.3
productor. n unele situaii, utilizatorii avansai pot opta pentru utilizarea n reea att a
unui firewall software ct i a unuia hardware.
3.3.3 Verificarea strii Windows Firewall
Pentru a verifica dac verify that Windows Firewall este pornit se efectueaz
urmtorii pai:
1. Click Start, and then click Control Panel.
2. From the Control Panel, click Windows Firewall.
105
Lucrarea nr.3
Desfurarea lucrrii
Studenii vor efectua urmtoarele operaii:
vor verifica dac Windows Firewall este pornit, iad dac acesta este nchis l vor
porni;
vor aduga o excepie pentru aplicaia "Windows Messenge", a crei locaie pe
hard disc este "C:\Program Files\Messenger\msmsgs.exe";
106
Lucrarea nr.3
-f (fragmenteaz pachetele);
--mtu (foloseste MTU specificat Unitatea Maxima de Transmitere)
107
Lucrarea nr.3
Lucrarea nr.3
Lucrarea nr.3
sunt afectate, dar majoritatea pingurilor i scanrilor de porturi sunt. Acest lucru
ncetinete viteza de scanare, dar pachetele pot fi mai puin suspicioase.
--ttl <valoare>(Seteaza campul IP time-to-live timp de viata)
Seteaz cmpul IP time-to-live timp de viata la valoarea specificat.
--randomize-hosts(Scaneaza hosturile in ordine aleatoare)
110
Lucrarea nr.4
4 Proxy server
4.1
4.2
Obiective:
nelegerea funcionrii i a rolului unui server proxy n securitatea sistemelor
informatice;
pornirea i configurarea unui server proxy sub sistemului de operare Windows
XP;
instalarea i configurarea WinGate.
Generaliti/Definiii Server Proxy
Lucrarea nr.4
Lucrarea nr.4
mai folosi proxy. De asemenea trebuie verificate i routerele existente ce pot oferi acces
la Internet, dac acestea exist trebuie s satisfac aceleai condiii de control i
securitate oferite de proxy.
4.4
Desfurarea lucrrii
LAN
WAN
Server
WinGate
Switch
Modem /
Router
INTERNET
192.168.1.1 /24
Gateway: empty
DNS: empty
IP: auto
DG: auto
DNS: auto
Lucrarea nr.4
Conexiunea la reea
Dup conectarea la GateKeeper, urmtorul pas este se verifice dac WinGate
a descoperit i clasificat corect conexiunea la reea, lucru care se face astfel:
1. se selecteaz tab-ul Network de pe partea dreapt a GateKeeper;
2. n seciunea network connection vor fi afiate toate interfeele descoperite
de WinGate;
3. dublu click pe interfaa care conecteaz WinGate Server la reeaua local;
114
Lucrarea nr.4
Lucrarea nr.4
server ruleaz i are serviciul GDP pornit. Serviciul GDP este special proiectat s
permit mainilor WGID s detecteze prezena serverelor WinGate din reea.
n exemplul din figura de mai sus, sunt dou servere WinGate, 98setx i Witch,
care au fost detectate n reea. Se poate seta appletul WGIC care din cele dou servere
s fie folosit, manual sau automat.
Server este numele din reeaua Windows a PC-ului pe care ruleaz WinGate;
Address este adresa IP privat a Serverului WinGate;
Port este portul TCP pe care
Winsock
Redirector
Service
ruleaz pe serverul WinGate,
WGIC
folosete
Winsock
redirector Service pentru a oferi
conectivitate la Internet prin
WinGate,
Implicit,
WinGate
folosete portul 2080 pentru a
primit cererile WGIC.
Apsnd butonul Add, se deschide
fereastra de mai jos, prin care se pot
aduga manual Servere WinGate.
Aplicaii Utilizator User Application
Acest tab permite configurarea modului n care WGIc va trata aplicaiile
clientului care vor rula pe maina WGIC.
Tipurile de acces pe care le pot avea aplicaiile sunt: Local Acces, Mixed Acces
i Global Acces.
Lucrarea nr.4
Modurile Aplicaie
Local Access Mode
Dac setm aplicaia unui client la Local Access n WGIC, se suspend Winsock
Redirector Service din WinGate de tratare a cererilor aplicaiilor.
Aplicaiile din modul de acces local vor fi ignorate de WGIC i astfel trebuie s
posede o metod de conexiune alternativ pentru ai completa cererile. Acest
mod face accesul local ideal pentru aplicaiile clienilor care vor rula prin
WGIC.
n multe cazuri se dorete utilizarea vitezei i simplicitii WinGate NAT pentru
aplicaiile client (acest lucru necesit doar o conexiune aut ctre Internet). Orice
aplicaie care vrem s foloseasc NAT trebuie setat s ruleze n Local Acces
Mode.
Mixed Access Mode
Acest mod este sigur dar funcional doar pentru aplicaiile server. Acest mod
permite ntotdeauna aplicaiilor s fac orice conexiune ctre exterior cu
Winsock redirector Service, dar va permite accesul doar a computerelor din
aceeai reea. Este mai apropiat pentru aplicaiile server gen Intranet Web sau
Ftp servers. Se numete mixt, deoarece ofer o aplicaie cu conectivitate att
global ct i local.
Modul de acces mixt este alocat automat oricrei aplicaii server care ncearc s
asculte pe un port sistem (orice mai mic de 1024). Acesta este un mecanism de
siguran al WGIC, care necesit n mod explicit setarea aplicaii n Modul
global de Acces pentru a fi vizibil pe Internet.
Global Access Mode
Acest mod este utilizat cnd avem un server de aplicaie ce ruleaz pe WGIC n
spatele serverului WinGate, care are trebuie s primeasc cereri de pe Internet
(server Web sau Ftp).
O aplicaie server poate asculta liber pe porturi sub 1024. Dar din motive de
securitate a reelei, configuraia implicit pentru WGIC nu va permite nici unei
aplicaii s asculte porturi sub 1024. Dac rulai un server cu un port sun 1024 i
dorii s fie accesibil computerelor din Internet trebuie configurat n mdoul de
acces global.
De obicei, serverul Web ascult pe portul 80 iar un server FTP pe portul 21.
http://www.youngzsoft.net/ccproxy/
117
Lucrarea nr.5
5.2
Obiective:
nelegerea funcionrii i a rolului unui server proxy n securitatea sistemelor
informatice;
pornirea i configurarea unui server proxy sub sistemului de operare Linux;
Generaliti/Definiii Server Proxy
Lucrarea nr.5
Lucrarea nr.5
lista de control a accesului, deci vor exista de fapt dou linii de comand. Starea
prestabilit este:
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
Acl-ul QUERY asigur c URL-ul coninnd cgi-bin nu va fi apelat prin cache.
Opiuni ce afecteaz dimensiunea cache-ului
Aceste opiuni seteaz valoarea memoriei folosite pentru parametrii cache-ului.
Acestea sunt cache_mem (predefinit 8MB), cache_swap_low i cache_swap_ high
(parametri ce procedeaz la nlocuirea obiectelor din cache funcie de procentajul de
utilizare a cache-ului, valoarea low prestabilit este 90 iar high 95),
maximum_object_size, minimum_object_size i maximum_object_size_in_ memory
(cu valori date n bytes), ipcache_size (implicit 1024), ipcache_low i ipcache_high
(procentaje ce marcheaz limitele cachingului adreselor de IP, pentru low prestabilit 90,
pentru high 95), i setul cache_replacement_policy i memory_replacement _policy ce
stabilete modul n care obiectele vor fi nlocuite n cache cnd este nevoie de spaiu.
Acest parametru poate fi LRU, GDSF (Greedy-Dual Size Frequency), LFUDA
(Least Frequently Used With Dynamic Aging).
n urmtoarea seciune ne vom ocupa de instruciunile ce privesc controlul
accesului. Prima comand din acest set este acl, i se folosete pentru a defini o list de
acces.
Sintaxa este acl ... | fisier.
Sunt muli parametri pentru , unul este src (mod prin care se specifica adresa IP).
Sintaxa unei astfel de instruciuni este acl src IPaddress/netmask. Aproximativ acelai
lucru se obine i cu dst ca parametru, cu diferena ca se face referire la ServerIPaddress.
Pentru controlul unui domeniu specific se pot folosi ca parametri srcdomain, dstdomain
(cnd se specific explicit domeniul) sau srcdom_regex, dstdom_regex pentru a cuta
un domeniu al crui nume conine irul de caractere existent n comand. Se poate cuta
i n URL, cu parametrii url_regex sau urlpath_regex, cu diferena c primul caut irul
de caractere n ntreg URL-ul pe cnd cel de-al doilea l caut doar n seciunea ce nu
conine protocolul sau numele de host. Aceste cutari sunt key-sensitive, lucru ce
trebuie luat n calcul.
Accesul poate fi controlat i prin adresa portului serverului destinaie, cu
parametrul port. Sintaxa este acl port <numar_port>. De asemenea se pot lua n calcul i
protocolul de transfer utilizat prin parametrul proto (urmat de tipul de protocol, de
exemplu HTTP, FTP), sau metoda prin care se formuleaz cerina prin opiunea method
(urmat de tipul metodei, de exemplu GET, POST). Se poate configura astfel nct s
verifice browserul de la care vin cerinele (prin opiunea browser), de exemplu comanda
acl browser MOZILLA se va referi la cerinele ce vin de la browserele ce conin
MOZILLA n antet.
Prin parametrul ident se pot forma liste bazate pe identitatea utilizatorilor, prin
combinarea cu alte comenzi, de exemplu prin comanda acl friends ident dan adi gigi
nicu combinat cu http_access allow friends i urmat de http_ access deny all. Ca i n
cazurile anterioare exist parametrul ident_regex ce face o cutare (dup grupul de
caractere specificat) n setul de nume al utilizatorilor.
Setul de parametri proxy_auth i proxy_auth_regex asigur autentificarea
utilizatorilor via procese externe. Aceti parametri necesit un program extern de
autentificare s verifice combinaiile <nume_utilizator> + <parola>.
120
Lucrarea nr.5
Lucrarea nr.5
cache, lucru ce nu se poate face fr traducerea din format Web n format cache.
Comanda httpd_accel_host <IPAdress>|virtual seteaz numele de host pentru serverul
accelerat, n cazul n care dai adresa de IP a acestuia, iar dac dorii s realizai o
procedura de caching transparent al traficului, trebuie s folosii opiunea virtual n
locul adresei IP. Foarte important, n momentul n care recurgei la httpd_accel_host, se
dezactiveaz proxy-caching-ul i ICP-ul, dar dac vrei n continuare s beneficiai de
aceste opiuni, setai httpd_accel_with_ proxy normal on. Setarea portului se face cu
httpd_accel_port <portnumber>. Cerinele accelerate pot fi transmise doar ctre un
port, nu exist o tabel ce asociaz host-urile accelerate cu un port destinaie, deci acesta
trebuie specificat. Nu exist valoare predefinit pentru numrul portului, acesta trebuie
s corespund cu cel din squid.conf n cazul n care preluai informaiile de pe staia
local, iar dac vrei s le transmitei ctre un set de servere din background n cele mai
multe cazuri folosii portul 80, portul implicit pentru Web. Pentru suportul de port
virtual setai numrul portului pe 0. Dac avei un singur server n background spre care
dorii s transmitei informaia, setai httpd_accel_single_host pe on, dac avei mai
multe astfel de servere, lsai pe default (off) i folosii o unealt de redirecionare
pentru a mapa cerinele ctre serverele de rigoare.
O cerina HTTP include un antet de host, care este de fapt numele de host ce
apare n URL. Squid poate fi un accelerator pentru servere HTTP diferite folosindu-se
de acest antet, dar Squid nu verific valoarea antetului de host i astfel se deschide o
important gaur n securitate. Este recomandat s nu folosii httpd_
accel_uses_host_header dect dac suntei foarte n tem cu ceea ce facei. Din pcate
suntei obligai s activai aceast opiune dac dorii s rulai Squid ca proxy
transparent, altfel serverele virtuale ce au nevoie de antetul de host nu vor fi cache-uite
eficient.
Ar mai fi multe de spus, exist multe alte opiuni de configurare, pentru suportul
de programe externe, pentru modul n care obiectele sunt pstrate sau eliminate din
cache, se pot stabili timpii de ateptare pentru efectuarea anumitor operaiuni (de genul
conectare, identificare, citire a datelor etc.), i de asemenea o seciune foarte important
se ocup de configurarea fiierelor n care sunt tiprite activitile de rutin, erorile ce
apar n reea (aa numitele fiiere log sau simplu log-uri). Informaiile din aceste fiiere
reprezint cea mai important surs pentru un administrator, cu ajutorul datelor
existente acolo se pot remedia problemele aprute i se poate face reeaua sa mearg
n parametrii dorii.
Chestiunea cea mai important n alegerea i configurarea unui proxy este modul
n care dorii ca acesta s se integreze n reeaua dumneavoastr. nainte de a alege i
instala un firewall i un proxy trebuie s stabilii i s creai o balan ntre necesitile
de securitate i performanele dorite ale reelei, precum i gradul de instruire al
utilizatorilor. n ultimii ani numrul de atacuri pe Internet a crescut ngrijortor, dar
trebuie luat n calcul i natura liber pentru toata lumea a Internetului, care a ajuns ce
este azi tocmai din aceast cauz, deci fragmentarea lui cu o pleiad de algoritmi de
autentificare, parole i chei, firewall-uri i alte elemente de acest gen i limiteaz
oarecum orizontul i nu este ntotdeauna cea mai potrivit soluie.
5.4
Desfurarea lucrrii
Serverul Squid este derivat din proiectul Harvest nceput de ARPA, fiind
dezvoltat n continuare de National Laboratory for Applied Network Research. Suport
protocoalele http, https, ftp i gopher.
122
Lucrarea nr.5
Lucrarea nr.5
#####################################################
# Portul i adresa ip pe care va atepta conexiuni squid
http_port 192.168.1.1:8080
# Directorul n care se va afl cache-ul i dimensiunea lui n Mb
#(n cazul de mai jos - 6000 mb)
cache_dir ufs /cache 6000 16 256
# Userul i grupul sub care va rula serverul squid
cache_effective_user squid
cache_effective_group squid
#Portul pe care squid va trimite i primi cereri ctre cache a altor proxy servere
vecine
#Dac nu mai avem alte proxy, specificm 0
icp_port 0
# Cream acl-urile (acess control list):
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/8
acl lan src 192.168.1.0/24
#clienii proxy serverului nostru
#Paginile ce se creeaz dinamic vor fi accesate direct de la surs
hierarchy_stoplist cgi-bin php asp ?
# Obiectele create dinamic nu vor fi salvate n cache
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# Permitem accesul de la maina local (dac este cazul)
http_access allow localhost
# Permitem calculatoarelor din reeaua locala s utilizeze proxy serverul
http_access allow lan
# Interzicem celorlali s acceseze squid-ul
http_access deny all
# Specificm unde squid va pstra logurile
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
# Pidul procesului
pid_filename /var/run/squid.pid
#####################################################
Aceasta este configuraia minim pentru ca squid s ruleze. Iniializm cache-ul
prin comanda:
squid -f /etc/squid/squid.conf z
Dac primii un mesaj de tipul:
2003/08/11 20:30:28| aclParseIpData: WARNING: Netmask masks away part of
the specified IP in '127.0.0.1/8'
nu va speriai , nu este o eroare, ci o avertizare.
Prima dat pornim squid-ul cu comanda:
squid -NDCd1
pentru a vedea eventualele mesaje de eroare. Dac totul e ok - avem mesajul:
2003/08/11 20:30:29| Ready to serve requests.
124
Lucrarea nr.5
125
Lucrarea nr.6
6 Open VPN
6.1
Obiective:
nelegerea i familiarizarea cu noiunea de reea virtual privat;
familiarizarea cu noiunea de tunnel ntre dou sisteme pe Internet;
instalarea i configurarea OpenVPN
6.2
introducere n OpenVPN
OpenVPN este o soluie open-source pentru reele virtuale private, bazat pe
standardul SSL. Poate funciona n regim de server ce accept conexiuni multiple sau n
regim direct ntre doi clieni. Implementat la nivelul 2 i 3 OSI, OpenVPN utilizeaz
pentru autentificare i criptare protocolul SSL/TLS (SSL = Secure Sockets Layer), prin
intermediul bibliotecilor OpenSSL i accept diferite metode de autentificare bazate pe
certificate, smart-card, chei unice i alte metode. Legtura tip tunel ce ncapsuleaz
traficul IP ntre dou subreele sau adaptoare Ethernet se realizeaz prin intermediul
unui singur port, fie folosind protocolul TCP/IP fie UDP. Aplicaia suport tunele ntre
adrese IP dinamice, traversarea NAT i Ethernet bridging.
Unul din marile avantaje ale acestui program este uurina configurrii att la
nivel de client ct i la nivel de server, depind din acest punct de vedere
implementrile IPSec din Linux i Windows.
Un alt avantaj este portabilitatea, fiind asigurat suportul pentru urmtoarele
platforme: Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, Mac OS X i
Solaris. Implementrile VPN folosind ca nivel de autentificare SSL/TLS au devenit din
ce n ce mai populare recent, iar OpenVPN este una din cele mai bune soluii din acest
domeniu.
Printre dezavantajele acestei aplicaii se numr un overhead relativ mare
determinat de folosirea SSL, o implementare mai puin ergonomic sub sistemul de
operare Windows i o oarecare instabilitate n condiiile folosirii pe conexiuni nesigure,
cu timpi de laten mari, anumite probleme fiind observate n special pe conexiuni
wireless la distan mare.
Aplicaia este dezvoltat n regim open-source, putnd fi folosit sub licena
GPL1 sau sub licen comercial n cazul n care se dorete ncorporarea ei n alte
produse care nu sunt distribuite tot sub licen GPL sau o licen compatibil.
6.3
Aplicaie experimental
Studenii vor realiza reeaua din figura 1, vor instala OpenVPN i vor configura
un tunel ntre un server VPN i un Client VPN urmnd paii descrii n continuare.
Unul dintre sisteme va fi configurat cu rol de server, celalalt cu rol de client.
Primul lucru pe care trebuie sa il facem este sa descarcam OpenVPN-Windows Installer
de la adresa http://openvpn.net/release/openvpn-2.0.9-install.exe si sa il instalam pe cele
doua sisteme in directorul C:\Program Files\OpenVPN.
Lucrarea nr.6
Fig.1: Virtual Private Network ruleaz printr-un tunel, iar end-point-urile acestuia sunt adresele
IP reale ale Clientului PC2 i Serverului PC1
Lucrarea nr.6
Este important ca Common Name pentru client s fie diferit de Common Name
pentru server.
Generm parametrii Diffie Hellman :
build-dh
n directorul C:\Program Files\OpenVPN\config facem un fiier server.ovpn n
care scriem:
mode server
port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
tls-server
ifconfig 10.8.0.1 10.8.0.2
ifconfig-pool 10.8.0.3 10.8.0.5 # IP range clients
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
mute 20
Putem s pornim OpenVPN cu aceast configuraie dac dm click dreapta din
explorer pe fiierul server.ovpn i alegem opiunea Start OpenVPN on this config file
sau l putem porni ca i serviciu din Start -> Control Panel -> Administrativ Tools ->
Serices -> OpenVPN Service unde dm start sau putem seta pe Automatic la Startup
Type pentru a fi pornit odat cu sistemul de operare.
6.3.2 Pe sistemul client
trebuie s mergem n directorul
C:\Program Files\OpenVPN\easy-rsa
copiem de pe server fiierele:
ca.crt
client.crt
client.key
Lucrarea nr.6
proto udp
remote xxx.yyyy.zzzz.vvvv 1194 #se nlocuiete xxx.yyy.zzz.vvv cu ip server
resolv-retry infinite
nobind
persist-key
persist-tun ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.key"
comp-lzo .
verb 3
Putem s pornim OpenVPN cu aceast configuraie dac dm click dreapta din
explorer pe fiierul client.ovpn i alegem opiunea Start OpenVPN on this config file
sau l putem porni ca i serviciu din Start -> Control Panel -> Administrativ Tools ->
Serices -> OpenVPN Service unde dm start sau putem seta pe Automatic la Startup
Type pentru a fi pornit o dat cu sistemul de operare
Dup ce am pornit att serverul ct i clientul ( fr a avea un mesaj de eroare )
putem s verificm funcionalitatea tunelului creat.
Astfel, pe server mergem n Start - Run i tastam CMD. n fereastra deschis
introducem comanda:
ipconfig
Vom obine mai multe informaii printre care vom regsi i cele din imaginea de
mai jos:
Conexiunea ntre cele dou sisteme o putem verifica cu utilitarul ping. Atenie la
configurarea firewall-ului pentru a permite ICMP Echo Request i ICMP Echo Replay
att pe sistemul server ct i client.
De pe sistemul configurat ca i server, care are ip-ul 10.8.0.1 vom da ping n
10.8.0.2 (client)
129
Lucrarea nr.6
130
Bibliografie
1. Anderson R. Security Engineering : A Guide to Building Dependable
Distributed Systems, NY 2001;
2. Andress, M. Surviving Security: How to Integrate People, Process and
Technology, SAMS, Indianapolis, 2002, pp. 59-63.
3. Davis D. "The Problems Catch Up With The Solution", in Card Technology,
April 2003;
4. Denning D.E. Information Warfare and Security, Addison-Wesley, Reading,
Massachusetts, 1999;
5. King, C.M., Dalton, C.E., Osmanaglu, T.E. Security Arhitecture:
Design, Deployment& Operations,Osborne/McGraw-Hill, New York, 2001, pp.
18-26
6. Krutz R.L, Vines R.D. The CISSP Prep Guide Mastering the Ten Domains
of Computer Security, Wiley & Sons, Inc. New York, 2001;
7. Schwartan W. Information Warfare, 2nd Edition , Thunder's Mouth Press,
New York, 1996;
8. Simmons G.J. "The Prisoners' Problem and the Subliminal Channel", in
Proceedings of Crypto '83, Plenum Press 1984;
9. Renesse R. Optical Document Security, 2nd ed., Artech House, 1997;
10. Renesse R. "Verifying versus Falsyfying Banknotes", in Optical Security and
Counterfeit Deterrence Techniques II, (1998);
11. U.S. Department of Energy "Identification of Classfied Information", Office of
Clasification, December 1991;
12. Tuomas Aura, Pekka Nikander, Jussipekka Leiwo - DoS-resistant
Authentication with Client Puzzles. Proceedings of the Cambridge Security
Protocols Workshop 2000, LNCS, Cambridge, UK, April 2000, Springer-Verlag
13. G. B. Agnew, R. C. Mullin, S. A. Vanstone - Improved Digital Signature
Scheme based on Discrete Exponentiation, Electronic Letters, Vol. 26, 1990
14. K. Alagappan - SPXInstallation, Digital Equipment Corporation, February 1991
15. K. Alagappan, J. Tardo - SPX Guide - A Prototype Public Key Authentication
Service, Digital Equipment Corporation, February 1991
16. K. Alagappan - Telnet authentication: SPX (RFC 1412), Digital Equipment
Corporation, 1993
17. F. Bauspiess, H. J. Knobloch - How to Keep Authenticity Alive in A Computer
Network, Proceedings of EUROCRYPT' 89, Springer-Verlag, Berlin, 1990
18. S. M. Bellovin, M. Merritt - EncryptedKey Exchange: Password-Based
Protocols Secure Against Dictionary Attacks, Proceedings of the IEEE
Symposium on Security and Privacy, IEEE Computer Society Press, Los
Alamitos, CA, 1992
19. S. M. Bellovin, M. Merritt - Augumented EncryptedKey Exchange, Proceedings
of the 1st ACM Conference on Communications and Computing Security,
November 1993
20. Steven M. Bellovin, Michael Merritt - Limitations of the Kerberos
Authentication System, AT&T Bell Labs
131
21. Th. Beth - Efficient Zero-Knowledge Identification Scheme for Smart Cards,
Proceedings of EUROCRYPT '88, Springer-Verlag, Berlin, 1989
22. Th. Beth, H. J. Knobloch, M. Otten - Verifiable Secret Sharingfor Monotone
Access Structures, Proceedings of the 1st ACM Conference on Communication
and Computing Security, November 1993
23. Th. Beth, H. J. Knobloch, M. Otten, G. J. Simmons, P. Wichmann -Towards
Acceptable Key Escrow System, Proceedings of the 2nd ACM Conference on
Communication and Computing Security, November 1994
24. T. Beth, H. J. Knobloch, S. Stempel, P. Wichmann -Authentifikationsdienst
SELANE - Modularisierung und Einsatz, Report 94/3, Univeristy of Karlsruhe,
EISS, 1994
25. Leitner Achim, "Reele WLAN sigure, cu un tunel OpenVPN criptat", Linux
Magazin, nr. 22, iunie 2005;
26. OpenVPN: http:// openvpn. sourceforge. Net
27. Biblioteca LZO: http:// www. oberhumer. com/opensource/ lzo/
28. Proiect OpenSSL: http:// www. openssl. org/
29. Driver TUN/ TAP: http:// vtun. sourceforge. net/ tun/
30. Thomas T., Primii pai n securitatea reelelor, Corint, Bucureti, 2005.
31. www.squid-cache.org
32. http://www.wingate.com/download.php
33. http://www.youngzsoft.net/ccproxy/
34. http://www.securekit.com/
35. www.digimarc.com
36. www.digimarc-id.com
37. www.aris-techni.fr/
132
Cuprins
1.
2.
3.
4.
CRIPTOGRAFIA ...........................................................................................................................32
4.1. DEFINIII I NOIUNI DE BAZ.......................................................................................................32
4.1.1. Tehnici utilizate n criptografie...............................................................................................33
4.1.1.1. Substituia ..................................................................................................................................... 33
7.
TEHNICI, SERVICII I SOLUII DE SECURITATE PENTRU INTRANET-URI I
PORTALURI ............................................................................................................................................69
7.1. INTRODUCERE ...............................................................................................................................69
7.2. CRIPTOGRAFIA ..............................................................................................................................69
7.2.1. Criptografia cu cheie secret..................................................................................................70
7.2.2. Criptografia cu cheie public .................................................................................................70
7.2.3. Managementul cheilor i distribuia acestora ........................................................................70
7.2.4. Funciile Hash.........................................................................................................................71
7.2.5. Utilizarea semnturilor digitale. Riscuri de securitate...........................................................72
7.2.6. Certificate digitale. Riscuri de securitate ...............................................................................73
7.2.7. Autentificarea Kerberos V5 ....................................................................................................75
7.2.7.1. Cum funcioneaz Kerberos V5 .................................................................................................... 76
7.2.7.2. Riscuri de securitate n Kerberos .................................................................................................. 76
Cuprins
7.2.13. S/MIME.................................................................................................................................86
7.2.13.1. Funcionarea S/MIME .................................................................................................................. 87
7.2.13.2. Riscuri de securitate ale S/MIME ................................................................................................. 88
Aplicaii practice
L1
L2
L3
OBIECTIVE: ...................................................................................................................................95
CIFRUL LUI CEZAR ........................................................................................................................95
CIFRUL LUI VERNAM .....................................................................................................................97
METOD PROPRIE DE CRIPTARE ....................................................................................................97
DESFURAREA LUCRRII ............................................................................................................98
OBIECTIVE: ...................................................................................................................................99
INTRODUCERE ...............................................................................................................................99
ASCUNDEREA UNUI FIIER...........................................................................................................100
DESCOPERIREA UNUI FIIER ASCUNS ...........................................................................................101
FIREWALL-URI ..........................................................................................................................102
3.1 OBIECTIVE: .................................................................................................................................102
3.2 GENERALITI/DEFINIII FIREWALL...........................................................................................102
3.2.1 Funcionarea firewall-urilor.................................................................................................102
3.2.2 Politica Firewall-ului ...........................................................................................................103
3.2.3 Clasificri .............................................................................................................................103
3.2.4 Ce "poate" i ce "nu poate" s fac un firewall?..................................................................104
3.3 INFORMAII DESPRE FIREWALL SUN WINDOWS XP .....................................................................104
3.3.1 Cum ncep s utilizez un firewall? ........................................................................................104
3.3.2 Cum aflu ce versiune de Windows utilizez? ..........................................................................104
3.3.3 Verificarea strii Windows Firewall ....................................................................................105
3.3.4 Adugarea unei excepii n Windows Firewall .....................................................................105
3.3.5 Probleme de compatibilitate cu ISP, hardware sau software...............................................106
3.4 DESFURAREA LUCRRII ..........................................................................................................106
3.1 PCLIREA FIREWALL/IDSURILOR I ASCUNDEREA IDENTITII ...............................................107
L4
L5
136