Documente Academic
Documente Profesional
Documente Cultură
Securitatea RC Lscripcariu
Securitatea RC Lscripcariu
ION BOGDAN
TEFAN VICTOR NICOLAESCU
CRISTINA GABRIELA GHEORGHE
LIANA NICOLAESCU
SECURITATEA REELELOR DE
COMUNICAII
CUPRINS
CUVNT NAINTE ...................................................................................... - 5 Capitolul I INTRODUCERE ........................................................................ - 7 I.1 NOIUNI GENERALE DESPRE REELELE DE
COMUNICAII ..............................................................................................................- 7 I.2 TIPURI DE REELE DE COMUNICAII ...........................................................- 9 I.3 MODELAREA REELELOR DE CALCULATOARE ....................................- 13 I.3.1 MODELUL DE REEA ISO/OSI ..................................................................- 13 I.3.2 MODELUL TCP/IP .........................................................................................- 20 I.3.3 MODELUL CLIENT-SERVER .....................................................................- 30 I.3.4 MODELUL PEER-TO-PEER.........................................................................- 31 I.4 INTRODUCERE N SECURITATEA REELELOR........................................- 33 -
Capitolul II PRINCIPII ALE SECURITII REELELOR................ - 49 II.1 ASPECTE GENERALE........................................................................................- 49 II.2 ANALIZA SECURITII REELEI.................................................................- 61 II.3 MODELE DE SECURITATE ..............................................................................- 63 II.4 SECURITATEA FIZIC......................................................................................- 67 II.5 SECURITATEA LOGIC ...................................................................................- 69 II.5.1 SECURITATEA LOGIC A ACCESULUI ................................................- 70 II.5.2 SECURITATEA LOGIC A SERVICIILOR.............................................- 74 II.6 SECURITATEA INFORMAIILOR..................................................................- 77 II.6.1 CRIPTAREA CU CHEIE SECRET ..........................................................- 80 II.6.2 CRIPTAREA CU CHEIE PUBLIC ...........................................................- 82 II.6.3 MANAGEMENTUL CHEILOR...................................................................- 84 II.7 INTEGRITATEA INFORMAIEI .....................................................................- 86 II.7.1 TEHNICA HASH ...........................................................................................- 87 II.7.2 SEMNTURA DIGITAL ...........................................................................- 91 II.7.3 CERTIFICATUL DIGITAL .........................................................................- 94 II.7.4 MARCAREA...................................................................................................- 97 II.8 POLITICI DE SECURITATE .............................................................................- 98 -
Capitolul III ATACURI ASUPRA REELELOR DE COMUNICAII- 105 III.1 VULNERABILITI ALE REELELOR.....................................................- 105 III.2 TIPURI DE ATACURI......................................................................................- 107 III.2.1 ATACURI LOCALE ..................................................................................- 108 -
-3-
III.2.2 ATACURI LA DISTAN ........................................................................- 109 III.2.4 ATACURI ACTIVE....................................................................................- 114 III.3 ATACURI CRIPTOGRAFICE ........................................................................- 120 -
Capitolul IV PROTOCOALE I SERVERE DE SECURITATE ........ - 125 IV.1 IPSEC ..................................................................................................................- 126 IV.1.1 PROTOCOLUL AH....................................................................................- 132 IV.1.2 PROTOCOLUL ESP ..................................................................................- 133 IV.1.3 ASOCIAII DE SECURITATE ...............................................................- 135 IV.1.4 APLICAII ALE IPSEC ............................................................................- 136 IV.2 PROTOCOLUL KERBEROS ..........................................................................- 137 IV.3 PROTOCOLUL SESAME ................................................................................- 140 IV.4 PROTOCOLUL RADIUS .................................................................................- 144 IV.5 PROTOCOLUL DIAMETER...........................................................................- 147 IV.6 PROTOCOLUL DE AUTENTIFICARE EXTINS (EAP) ..........................- 151 -
Capitolul V TEHNICI DE SECURITATE.............................................. - 155 V.1 INTRODUCERE..................................................................................................- 155 V.2 FIREWALL ..........................................................................................................- 158 V.3 SISTEME DE DETECIE A INTRUILOR ...................................................- 166 V.4 VPN - REELE PRIVATE VIRTUALE...........................................................- 168 -
-4-
CUVNT NAINTE
Reelele de comunicaii reprezint o realitate cotidian pentru fiecare
dintre noi indiferent de vrst, n toate domeniile de activitate (comercial,
financiar-bancar, administrativ, educaional, medical, militar etc.), dar i n
mediul familial.
Fr a depinde de mediul fizic prin care se realizeaz (cablu metalic,
fibr optic sau mediul wireless) sau de specificul reelei de transmisie a
informaiilor (de calculatoare, de telefonie fix sau mobil, de televiziune
prin cablu, de distribuie a energiei electrice), securitatea comunicaiilor
reprezint un aspect esenial al serviciilor oferite, fiind critic n cazul
informaiilor cu caracter secret din aplicaii fianciar-bancare, militare,
guvernamentale i nu numai acestea.
Cine? Cnd? De unde? Ce? De ce? acestea sunt ntrebrile
eseniale referitoare la securitatea comunicaiilor, care determin mpreun
o nou sintagm, a celor cinci W (5W Who, When, Where, What,
Why?). Cine acceseaz reeaua? Cnd i de unde se produce accesul? Ce
informaii sunt accesate i de ce? Aceste aspecte trebuie s fie monitorizate
i securizate n funcie de importana informaiilor, de caracterul public sau
privat al reelei de comunicaii, indiferent de terminalul folosit (calculator,
laptop, telefon mobil, PDA, iPOD, bancomat etc.).
Conexiunea la Internet reprezint o facilitate dar creeaz de cele mai
multe ori mari probleme de securitate pentru reelele de comunicaii.
Scopul serviciilor de securitate n domeniul reelelor de comunicaii
vizeaz pe de o parte meninerea acestora n funciune (regula celor cinci de
9 adic 99,999 % din durata de funcionare), iar pe de alt parte asigurarea
-5-
-6-
Capitolul I INTRODUCERE
I.1 NOIUNI GENERALE DESPRE
REELELE DE COMUNICAII
O reea de comunicaii reprezint un ansamblu de echipamente de
comunicaii (calculatoare, laptopuri, telefoane, PDA-uri etc.), interconectate
prin intermediul unor medii fizice de transmisie (cablu torsadat, coaxial sau
optic, linie telefonic, ghid de unde, mediul wireless), n scopul comunicrii
folosind semnale vocale, video sau de date, precum i al utilizrii n comun
a resurselor fizice (hardware), logice (software) i informaionale ale reelei,
de ctre un numr mare de utilizatori.
Se disting diverse tipuri de reele de comunicaii (reele de telefonie
fix, reele telefonice celulare, reele de cablu TV, reele de calculatoare
.a.) prin intermediul crora se transmit informaii sau se comunic n timp
real.
Calculatoarele personale interconectate n reele au oferit un nivel
superior de performan n stocarea, procesarea i transmisia informaiilor.
Ansamblul tuturor calculatoarelor interconectate ntre ele n cea mai larg
reea de calculatoare din lume reprezint aa-numitul INTERNET
(INTERnational NETwork).
Conexiuni la Internet se pot realiza n prezent nu numai prin
intermediul calculatoarelor, dar i de pe alte echipamente precum telefoane
mobile sau PDA-uri.
-7-
reelelor
de
comunicaii
ale
sistemelor
De calculatoare
Telefonice
De comunicaii mobile
De radio i teledifuziune
-9-
detaliu reelele de calculatoare i vom face referire, acolo unde este cazul, la
modalitile de utilizare a celorlalte tipuri de reele pentru transmisii de date.
Un criteriu de clasificare a reelelor de calculatoare este mrimea lor
(Tabelul I.1):
1. reele locale (LAN Local Area Network);
2. reele metropolitane (MAN Metropolitan Area Network);
3. reele de arie larg (WAN Wide Area Network).
n cadul reelelor locale sau de arie larg se disting i unele
subtipuri, definite de comunicaiile wireless prin unde radio, n funcie de
tehnologia folosit, puterea de emisie i aria de acoperire:
4. reele personale (PAN Personal Area Network) numite i
piconet, asociate tehnicii Bluetooth (BTH).
5. reele locale wireless (WLAN Wireless Local Area Network)
asociate n general comunicaiilor n standard IEEE 802.11,
denumite i reele WiFi.
6. reele wireless de arie larg (WWAN Wireless Wide Area
Network) create pe baza tehnologiilor de arie larg (ATM
Asynghronous
Transfer
Mode,
WiMax
- 10 -
Worldwide
Tabelul I.1
Clasificarea reelelor de calculatoare
Ordin de mrime
Arie de acoperire
Tipul reelei
mic
PAN
LAN, WLAN
Ora
MAN, WMAN
ar, Continent
WAN, WWAN
Planet
Internet
1m
10-100-1000 m
10 Km
100-1000 Km
10.000 Km
- 13 -
- 14 -
- 15 -
- 16 -
- 17 -
cmpul datelor (RFC 1071). Aceste sume permit detecia erorilor simple,
eventual a unor erori multiple, urmat de cererea de retransmisie a
pachetului.
Nivelul de transport deplaseaz datele ntre aplicaii. Acest nivel
rspunde de sigurana transferului datelor de la surs la destinaie, controlul
traficului, multiplexarea i demultiplexarea fluxurilor, stabilirea i anularea
conexiunilor din reea. De asemenea, la acest nivel mesajele de mari
dimensiuni pot fi fragmentate n uniti mai mici, cu lungime impus,
procesate i transmise independent unul de altul. La destinaie, acelai nivel
rspunde de refacerea corect a mesajului prin ordonarea fragmentelor
indiferent de cile pe care au fost transmise i de ordinea sosirii acestora.
Nivelul de sesiune furnizeaz diverse servicii ntre proceselepereche din diferite noduri: transfer de fiiere, legturi la distan n sisteme
cu acces multiplu, gestiunea jetonului (token) de acordare a permisiunii de a
transmite date, sincronizarea sistemului etc. O sesiune ncepe doar dac
legtura ntre noduri este stabilit, deci este orientat pe conexiune. Nivelul
sesiune este considerat ca fiind interfaa dintre utilizator i reea.
Nivelul de prezentare se ocup de respectarea sintaxei i semanticei
impuse de sistem, de codificarea datelor (compresie, criptare) i
reprezentarea lor n formatul standard acceptat, de exemplu, prin codarea
ASCII (American Standard Code for Information Interchange) a
caracterelor. n plus, acest nivel supervizeaz comunicaiile n reea cu
imprimantele, monitoarele, precum i formatele n care se transfer fiierele.
La nivelul aplicaie se implementeaz algoritmii software care
convertesc mesajele n formatul acceptat de un anumit terminal de date real.
Transmisia se realizeaz n formatul standard specific reelei. Fa de aceste
- 18 -
- 19 -
protocoale
Internet
sau
TCP/IP
(Transmission
Control
- 20 -
- 21 -
- 22 -
- 24 -
- 25 -
- 26 -
- 29 -
- 30 -
- 31 -
- 32 -
furt i fraud,
pierderea confidenialitii,
pierderea integritii,
pierderea disponibilitii.
- 33 -
- 35 -
autorizarea
- 36 -
autentificarea
integritatea
criptarea.
Autorizarea reprezint acordarea unui drept sau privilegiu care
permite unei persoane s aib acces legitim la un sistem sau la un obiect din
sistem. Controlul autorizrii poate fi implementat n cadrul elementelor de
software i poate reglementa nu numai sistemele sau obiectele la care are
acces un utilizator, ci i ce poate face acesta cu ele (citire, scriere, execuie).
Autentificarea este un mecanism de verificare a identitii unei
entiti. De obicei administratorul de sistem este responsabil de acordarea
permisiunilor de acces la un sistem, prin crearea unor conturi individuale.
Odat ce unui utilizator i-a fost acordat permisiunea de a utiliza un sistem,
acestuia i pot fi acordate anumite privilegii. Autentificarea este vital
pentru securitatea sistemului, pentru c arat valabilitatea unui utilizator,
serviciu sau aplicaie. Cu alte cuvinte trebuie verificat identitatea
utilizatorului care intenioneaz s acceseze resursele.
Autentificarea poate fi realizat pe diferite criterii:
cookies.
n reelele de comunicaii cu acces nerestricionat, nu este necesar
- 39 -
cheia de criptare
algoritmul de criptare
cheia de decriptare
algoritmul de decriptare.
n asigurarea securitii unui sistem, atitudinea i comportamentul
acces (AP Access Point), fiind realizat pe baza unui identificator de reea
(SSID Service Set Identifier) valid. Exist riscul ca ntr-o anumit arie
geografic s funcioneze pe lng un AP autorizat, un AP intrus
(counterfeiting), eventual cu nivel de putere sporit, care ncearc s
detecteze identitatea utilizatorilor autorizai din acea celul i cheile de
criptare folosite n reeaua wireless. Localizarea unui fals AP este dificil i
devine practic imposibil atunci cnd acest AP este mobil. Monitorizarea
traficului pe teren de ctre organismele de control abilitate, combinat cu
preluarea i memorarea informaiilor GPS, permite crearea unor baze de
date cu informaii despre AP-urile autorizate, urmnd ca accesarea unui AP
de ctre client s se realizeze pe principiile unei politici de securitate
aplicat la nivelul acestuia, bazat pe verificarea coordonatelor AP-ului,
eventual furnizate de un server de securitate intermediar care pe principiul
client-server rspunde afirmativ (access granted) sau negativ (access
denied) cererii de acces, pstrnd secretul identitilor unitilor din reea pe
care le deservete. Se impune n acest caz asigurarea securitii fizice n
perimetrul AP-urilor autorizate. IEEE 802.1X nu este un mecanism propriuzis de autentificare ci este asociat cu EAP. 802.1x descrie autentificarea
automat i criptarea cu cheie modificat dinamic prin protocolul extins de
autentificare (EAP - Extensible Authentication Protocol), localizat pe server
precum i n echipamentele-client, care accept autentificarea pe baz de
- 42 -
jurnalizarea transferurilor
autentificarea partenerilor
mobilitatea echipamentelor
din interior, ct i din exterior. Pot fi persoane bine intenionate, care fac
diferite erori de operare sau persoane ru intenionate, care aloc timp i
bani pentru penetrarea reelelor.
Exist i factori tehnici care determin bree de securitate n reea:
- 45 -
- 47 -
- 48 -
- 49 -
- 50 -
conturilor
de
utilizator
mod
sistematic
- 52 -
un text n clar ntr-un text criptat. Sunt dou tipuri de sisteme criptografice:
simetrice i asimetrice. Sistemele simetrice folosesc o singur cheie, secret,
att pentru criptare, ct i pentru decriptare. Criptosistemele asimetrice
utilizeaz chei diferite. Cheile folosite la decriptate sunt secrete, pe cnd
cele folosite la criptare sunt fcute publice. n acest fel doar destinatarul de
drept al mesajului va putea descifra coninutul acestuia, presupunnd c
deine cheia privat de decriptare. Sistemele simetrice se mai numesc i
sisteme cu chei private, iar cele asimetrice sisteme cu chei publice. Acestea
din urm sunt mai lente i impun folosirea unor mecanisme de distribuie
sigur a cheilor.
Lungimea cheii de criptare variaz i depinde de nivelul de
securitate dorit. Aceasta poate fi de exemplu de 40, 64 sau 128 de bii. Dei
creterea lungimii cheii de criptare reduce ansele de atac brut, aceasta poate
fi fcut numai n condiiile creterii performanelor procesoarelor (ca
numr de operaii pe secund) pentru a nu ntrzia transmisia.
Algoritmii matematici de criptare sunt i ei diferii ca nivel de
robustee la atacurile criptografice (DES, 3DES, IDEA, RC4, RSA, AES
etc). Oricum, n timp, algoritmii de criptare sunt tot mai mult analizai, tot
mai multe vulnerabiliti ale lor sunt depistate i variate modaliti de atac
asupra lor sunt gsite. Optimizarea acestor algoritmi i proiectarea altora noi
este esenial pentru eficiena operaiei de criptare a datelor.
DES (Data Encryption Standard) reprezint un cifru bloc, cu cheie
simetric, care prin utilizarea unor operaii simple de permutare i
substituie, cripteaz un bloc de 64 de bii, cu ajutorul unei chei tot de 64 de
bii. Algoritmul de criptare difer de cel de decriptare prin utilizarea n
ordine invers a subcheilor. Lungimea mult prea scurt a cheii de criptare
- 55 -
- 57 -
informaiilor
transferate
comunicaii.
- 58 -
prin
intermediul
reelelor
de
- 60 -
- 61 -
nseamn s se decid:
- 62 -
- Securitatea fizic;
SLA
SLS
SI
- Secretizarea informaiei;
II
- Integritatea informaiei.
- 63 -
modelarea
serviciilor
de
securitate
din
sistemele
- 64 -
- 65 -
- 67 -
- 68 -
- 69 -
responsabile
de
securitatea
sistemului,
particular,
administratorul de reea.
Avnd n vedere importana parolelor n sistemul de securitate al
reelei, se impune respectarea unor reguli de alegere, gestionare i pstrare a
parolelor, stabilite n cadrul politicii de securitate:
1. Parolele sunt iruri de caractere alfanumerice cifre, litere mari i
mici, alte caractere, ordonate aleator. Pentru o parol de 4 caractere
trebuie ncercate circa 256000 de combinaii dar sistemele actuale
sunt suficient de performante pentru a o deduce n doar cteva
minute. Combinaiile scurte de caractere sunt vulnerabile fa de
profesioniti. Se impune alegerea unei combinaii ct mai lungi, de
tip passphrase fa de care atacul brut s devin ineficient. La o
astfel de combinaie apare problema memorrii sau a transferului ei
n condiii de siguran.
2. Parolele trebuie s fie schimbate periodic, mcar o dat la 6 luni, dar
pentru informaiile deosebit de importante se impun termene i mai
scurte.
- 71 -
- 73 -
- 74 -
adrese de reea
adrese MAC
porturi logice
nume de utilizatori
- 76 -
- 77 -
s depeasc limitele
iniiale
care
determin
mod
unic
evoluia
strilor
- 79 -
- 80 -
K = K E = K D C = E K (M ) , M = DK (C )
Securitatea algoritmului cu cheie secret depinde deseori de ct de
bine este pstrat sau distribuit cheia secret.
Algoritmii cu chei secrete se mpart n dou mari categorii:
DES
- 81 -
AES
Blowfish
RC4
- Rons Cipher 4
o anumit regul)
- 82 -
K E K D => C = E K E (M ) , M = DK D (C )
Algoritmii cu cheie public se bazeaz, cel mai adesea, pe
complexitatea calculelor i operaiilor care trebuie realizate. Ele pot fi
utilizate pentru generarea semnturilor digitale.
Cheile private corespunztoare cheilor publice trebuie ntotdeauna
securizate i transmise pe canale de comunicaii securizate. Unul dintre
mecanismele utilizate pentru stocarea cheii private este cardul inteligent
(smart card), un dispozitiv electronic asemntor unei cri de credit. Un
card criptografic are abilitatea de a genera i stoca chei. Acesta poate fi
vulnerabil la atacuri, dar ofer o mai mare securitate fa de procedeul de
stocare a cheilor private pe un calculator.
Printre algoritmii cu cheie public se numr:
El Gamal
DH - Diffie-Hellman.
- 83 -
Insecuritatea
unui
singur
proces
afecteaz
sigurana
- 84 -
tehnica rezumatului
semntura digital
certificatul digital
marcarea coninutului.
Codarea fiecrui cadru de date transmis n reea folosind un cod
- 86 -
digitale
se
utilizeaz
pentru
autentificarea
- 87 -
adic pentru o valoare hash dat (H), este greu de gsit un mesaj M,
astfel nct:
H = hash(M)
Observaii:
1. Trebuie fcut distincia ntre algoritmul MAC i utilizarea
unui MDC cu o cheie secret inclus ca o parte din mesajul
de intrare. Se presupune n general c algoritmul unei funcii
hash este cunoscut. Deci, n cazul MDC-urilor, dat fiind un
mesaj de intrare, oricine poate calcula funcia sa hash.
2. MAC-urile i semnturile digitale pot determina dac datele
au fost generate de o anumit entitate la un moment dat n
trecut, dar ele nu ofer garanii n privina momentului cnd
acestea au luat natere. Deci aceste tehnici nu pot detecta
mesajele reutilizate, ceea ce este necesar n medii n care
acestea au un alt efect sau o utilizare secundar. Ins, aceste
- 89 -
- 90 -
- 91 -
- 92 -
- 93 -
- 95 -
a se ine evidena
certificatelor;
algoritmul
folosit
pentru
semnarea
certificatului
(certificate
signature algorithm);
semntura (signature).
O problem a certificatelor digitale o reprezint faptul c listele de
II.7.4 MARCAREA
n literatura de specialitate pot fi ntlnite diferite definiii pentru
marcarea documentelor.
Marcajele sunt acele elemente distinctive, greu de reprodus, care
asigur autenticitatea unui document i, eventual identificarea autorului.
Astfel de elemente de marcare se utilizeaz din cele mai vechi timpuri pe
bancnote i monede pentru a nu putea fi falsificate.
Marcajele pot fi vizibile sau ascunse, transparente (watermark).
Marcajele pentru imaginile digitale sunt tratate ca manipulri ale
celor mai puin semnficativi bii din eantioanele de imagine (LSB - Least
Significant Bits), coduri ascunse de marcare, texturi invizibile, constrngeri
secrete n domenii de transformare etc.
- 97 -
- 98 -
- 100 -
- 101 -
autoritatea
- 103 -
- 104 -
- 105 -
- 107 -
- 108 -
administratorul retelei
puncte de vulnerabilitate
topologia reelei
- 110 -
- 111 -
de analiz a traficului.
- 112 -
switch nesecurizat fizic) are acces logic la reea i poate prelua din pachete
informaiile transmise n clar.
Referitor la atacurile pasive, se observ c:
- 113 -
- 114 -
- 116 -
Observaii:
1. Interceptarea mesajelor criptate se realizeaz printr-un atac de tipul
omul din mijloc.
2. Un intrus se poate conecta la un server care ofer cheile publice de
criptare prin atacuri de tip mascarad autorizndu-se ca o alt
entitate.
3. Atacul brut devine ineficient atunci cnd lungimea cheii este
suficient de mare nct numrul de ncercri pe care trebuie s l fac
- 121 -
- 122 -
A devenit
necesar
creterea complexitii
- 123 -
- 124 -
Capitolul IV PROTOCOALE I
SERVERE DE SECURITATE
Protocoalele de securitate a reelelor de comunicaii sunt definite
pentru a stabili modul n care sunt oferite serviciile de securitate.
Aceste protocoale de securizare a comunicaiilor pot lucra pe diferite
nivele ale modelului OSI:
pe nivelul legturii de date: protocoale de tunelare, precum L2TP
(Layer2 Tunnelling Protocol) care, dei definit pe acest nivel,
opereaz de fapt pe nivelul OSI 5, de sesiune.
pe nivelul de reea: IPsec (IP Security) ofer servicii de autentificare,
de control al accesului, de confidenialitate i integritate a datelor.
pe nivelul de transport: TLS (Transport Layer Security), SSL
(Secure Socket Layer), protocolul Handshake de autentificare
mutual a clienilor i serverelor i negocierea algoritmilor de
criptare naintea desfurrii propriu-zise a transmisiei datelor.
pe nivelul de aplicaie: SSH (Secure Shell), PGP (Pretty Good
Privacy), S/MIME (Secure Multipurpose Internet Mail Extension) i
altele.
Descrierea protocoalelor de securitate se va face n funcie de
serviciile de securitate oferite i de arhitectura folosit pentru aplicaiile de
reea.
De cele mai multe ori, se definesc suite de protocoale de securitate
(IPsec, KERBEROS, SESAME i altele).
- 125 -
servere de autentificare
servere de certificare
IV.1 IPSEC
Serviciile de securitate a reelelor de comunicaii sunt implementate
pe baza protocoalelor de securitate n diferite soluii tehnice, hardware i
software.
Exist diferite metode de asigurare a securitii transmisiei ntr-o
reea prin operaii de autentificare a utilizatorilor, criptare a mesajelor,
filtrare a traficului etc.
Protocoalele de securitate din Internet se aplic pe diferite nivele
(fizic, legtur, reea, aplicaie). Fiecare poate oferi unul sau mai multe
servicii de securitate.
Se pot utiliza programe software specializate pentru asigurarea
securitii transmisiei datelor n reea.
Primele msuri de securitate a reelelor defineau asociaii de
securitate (SA - Security Association), adic grupuri de utilizatori autorizai
s foloseasc o anumit reea, denumit reea virtual privat (VPN Virtual Private Network). Ca o extensie a acestora, n reelele wireless se
- 126 -
pot configura reele private virtuale ad-hoc (VPAN Virtual Private AdHoc Networks).
n prezent, n reelele de arie larg bazate pe TCP/IP se poate utiliza
suita de protocoale de securitate IPsec (Internet Protocol Security Facility),
care realizeaz criptarea i autentificarea pachetelor IP cu performane
superioare sistemului iniial SA. VPN pot fi configurate n mod adecvat s
aplice protocoalele de securitate din suita IPsec.
Gradul de protecie a pachetelor IP i cheile de criptare utilizate de
IPsec se stabilesc prin mecanismul IKE (Internet Key Exchange) descris de
protocolul cu acelai nume, care se aplic mpreun cu protocolul ISAKMP
(Internet Securiy Association and Key Management Protocol), Astfel IPsec
beneficiaz de serviciile ISAKMP/IKE.
IPsec ofer urmtoarele servicii de securitate pe nivelul IP al
reelelor TCP/IP:
(IP
Authentication Header) din suita IPsec (RFC 2401, RFC 2402). Acest
protocol asigur integritatea conexiunii i a datelor transmise, precum i
autenticitatea mesajelor. AH asigur securitatea integral a pachetelor IP,
inclusiv a antetelor de securitate ataate ulterior acestora.
Serviciile de securitate sunt asigurate i de protocolul ESP de
ncapsulare a pachetelor IP (IP Encapsulating Securiy Payload), care
stabilete operaii de criptare a datelor i de autentificare a sursei de
informaii (RFC 2406).
ESP ofer servicii de securitate numai protocoalelor de pe nivelele
superioare celui de reea, excluznd antetele de securitate ulterior adugate
pachetelor.
Protocoalele AH i ESP pot fi implementate prin diveri algoritmi
software i se pot aplica fie individual, fie ambele simultan, n funcie de
gradul de securitate impus pachetelor IP (RFC 2403, RFC 2404).
IPsec asigur securitatea comunicaiei dintre dou calculatoaregazd, dintre dou echipamente de comunicaii (de exemplu, rutere) sau
dintre un DTE i un DCE.
Un router sau un server pe care sunt activate protocoalele de
securitate IPsec se numete poart de securitate (securiy gateway) sau "zid"
de protecie (firewall).
n general, asigurarea securitii unei transmisii se realizeaz la
ambele capete ale cii de comunicaie, cu dou echipamente care folosesc IP
sec lucrnd n pereche (IPsec peers).
- 128 -
Cele dou protocoale de securitate (AH sau ESP) pot aciona n dou
moduri:
1. modul de transport (transport mode) - protocolul de securitate
intervine n pachetul IP i adaug un antet de securitate imediat dup antetul
IP (cu sau fr opiuni exprimate) dar antetul IP iniial (header-ul) nu se
modific, doar datele transmise sunt securizate (criptate i/sau autentificate).
Prin folosirea protocolului AH, adresele IP ale sursei, respectiv destinaiei,
nu pot fi modificate pe parcurs deoarece acest lucru ar duce la modificarea
valorii hash. ESP ofer protecie minim protocoalelor de nivel superior, n
timp ce AH securizeaz total pachetul, inclusiv antetul IP. Acest mod de
operare se utilizeaz pentru schimbul de pachete ntre calculatoarele-gazd
(host-to-host).
2. modul de tunelare (IP tunneling) - ntregul pachet (date i antete)
este securizat. Se introduc dou antete de securitate n fiecare pachet, nainte
(outer header) i dup (inner header) antetul EP. Antetul extern specific
perechea de entiti ntre care se creeaz tunelul IP i se aplic msurile de
securitate pe baza IPsec. Antetul intern precizeaz destinaia final a
pachetului pentru realizarea rutrii. ESP protejeaz numai pachetul transmis
prin tunelul IP, n timp ce AH asigur i securitatea antetului exterior ataat.
De regul acest mod de operare se utilizeaz ntre pori de securitate care
execut mpachetarea i despachetarea mesajelor (gateway-to-gateway).
Configurarea echipamentelor dintr-o reea n vederea aplicrii IPsec
se realizeaz de ctre o persoan cu drepturi depline de stabilire a securitii
reelei (security officer), n trei etape:
1. crearea grupurilor de securitate (SA) i stabilirea drepturilor i
atribuiilor acestora;
- 129 -
- 130 -
adresa IP a sursei;
adresa IP a destinaiei;
portul-surs;
portul-destinaie;
protocolul de transport;
IV.1.1 PROTOCOLUL AH
Protocolul AH (Authentication Header) asigur autenticitatea
mesajelor i a tuturor informaiilor adiionale incluse n pachet precum i
integritatea pachetului de date, prin aplicarea funcilor hash. AH mpiedic
modificarea ilegal a pachetelor, multiplicarea sau ntrzierea datelor (antireplay security).
Diagrama unui pachet AH este prezentat n figura IV.1.
Biii 0 - 7
Antetul urmtor
8 15
16 - 23
Lungimea
24 - 31
Cmp REZERVAT
pachetului
Identificatorul de securitate
Numrul de secven
Informaia de autenticitate
Figura IV.1 Diagrama unui pachet AH
- 132 -
ESP
(Encapsulating
Security
Payload)
asigur
- 133 -
Biii 0 - 7
8 - 15
16 - 23
24 - 31
Identificatorul de securitate
Numrul de secven
Mesaj transmis (cmp de lungime variabil)
Expandare (0-255 octeti)
Lungimea
cmpului de
Antetul urmtor
expandare
Informaia de autentificare (cmp de lungime variabil)
Numrul de secven (SN - Sequence Number), numr generat dintrun ir monoton cresctor, folosit pentru a preveni atacurile de
reluare;
Informaia transmis (payload data) mesajul de pe nivelul de
transport (n mod transport) sau IP (n mod tunel) care este protejat
prin criptare;
Expandare (padding)- cmp folosit mpreun cu unele cifruri-bloc
pentru a acoperi lungimea total a blocului;
Dimensiunea cmpului de expandare (pad length) exprimat n
octei;
Antetul urmtor (next header), identific protocolul de transfer al
datelor;
- 134 -
gateway,
router
sau
firewall.
Operaiile
de
- 136 -
- 137 -
- 139 -
- 140 -
SESAME
sau
de
alte
aplicaii.
fie
de
Algoritmii
- 142 -
int,
pentru
proteja
PAC-urile
context de
Pentru protecia
integritii
securitate.
a confidenialitii
se
- 143 -
- 144 -
1. Autentificarea clientului
Clientul cere permisiunea de accesare a resurselor reelei unui server
de acces la reea (NAS - Network Access Server). NAS trimite server-ului
RADIUS o cerere de acces (access request), prin care solicit autorizaia de
a permite accesul. Aceasta cerere include i o form de identificare a
clientului, un nume de utilizator i o parol sau un certificat digital,
furnizate de acesta. n plus, cererea poate include alte informaii cunoscute
de NAS, cum ar fi: adresa de reea (MAC- Media Access Control), numrul
de telefon, informaii cu privire la conexiunea fizic dintre NAS i client.
2. Autorizarea
Cererea de acces iniiat de NAS este procesat de server-ul
RADIUS. Acesta caut ntr-o list intern de conturi, contul utilizatorului
pentru a verifica informaiile despre acesta. Identitatea utilizatorului este
verificat i, opional alte informaii cu privire la cererea acestuia.
Server-ul RADIUS poate furniza unul dintre urmtoarele rspunsuri:
- 145 -
3. Gestionare cont
Atunci cnd se acord accesul la reea, unui utilizator, de ctre NAS,
un mesaj de iniiere a contului (accounting start) este trimis de NAS serverului RADIUS pentru ai semnala acestuia c un utilizator a accesat reeaua.
Acest mesaj de obicei conine: identitatea utilizatorului, adresele de reea i
ID-ul unic al sesiunii deschise de utilizator.
Periodic
NAS
poate
trimite
mesaje
intermediare
(interim
- 146 -
- 147 -
utilizatorului sunt incluse ntr-un mesaj de rspuns, care este trimis napoi
serverului NAS.
Mesajele serverului DIAMETER (figura IV.6) sunt de mai multe
tipuri i se deosebesc prin codul de comand din fiecare pachet. Schimbul
de mesaje DIAMETER se face sincron, adic fiecare cerere are propriul
rspuns, nsoit de acelai cod de comand.
Codul de comand stabilete tipul mesajului, dar informaia propriuzis este transportat printr-un set de AVP-uri (AVPs - Attribute-ValuePairs). Aceste AVP-uri conin detalii cu privire la autentificarea unui
utilizator, autorizarea i gestionarea conturilor, dar i informaii cu privire la
rutarea pachetelor i securitatea acestora ntre dou noduri DIAMETER.
- 148 -
Semnificaiile cmpurilor:
- 149 -
- 150 -
- 151 -
- 153 -
- 154 -
- 155 -
- 157 -
V.2 FIREWALL
Un firewall (zid de protecie) joac un rol semnificativ n procesul
de securitate al unei reele de calculatoare. Ca firewall se poate folosi un
dispozitiv dedicat sau o aplicaie software care controleaz procesul de
comunicaie dintre reeaua intern i cea extern, prin aplicarea politicii de
securitate a reelei protejate.
Un router poate fi configurat ca firewall. De asemenea, unele
sisteme de operare, precum Windows XP (eXPerience), includ opiunea de
activare a unui firewall intern care aplic anumite reguli i constrngeri
privind accesul pe diferite interfee ale sale.
- 158 -
- 159 -
(Accept,
Allow)
pachetelor,
condiionat
sau
- 161 -
- 162 -
- 163 -
Observaii:
1. Filtrarea dinamic a pachetelor se realizeaz la nivelul firewallului prin politica de securitate dar i prin procedeele de translare a adreselor
private n adrese publice (NAT Network Address Translation; ENAT Enhanced NAT). Pentru a evita dubla filtrare a pachetelor n routere, se
dezactiveaz serviciul NAT pe durata activrii firewall-ului.
- 164 -
- 165 -
V.3
SISTEME
DE
DETECIE
INTRUILOR
Sistemele de detecie a intruilor (IDS Intrusion Detection System)
sunt o completare a activitii unui firewall n procesul de securitate a unei
reele de comunicaii i constau n soluii pasive de analiz, clasificare i
raportare a evenimentelor de reea nedorite.
Cele mai frecvente atacuri lansate din Internet asupra serverelor de
reea sunt de tip refuz al serviciului (DoS) corelate cu aciuni de
inundare a reelei (flooding) cu un numr mare de pachete de diferite
tipuri (ping. TCP syn .a.). Dar se impune i limitarea atacurilor pasive de
interceptare a pachetelor coninnd informaii cu caracter secret n scop de
furt sau de falsificare a acestora.
Atacurile asupra reelelor de comunicaii pot fi lansate pe diferite
ci, de exemplu prin serviciul de e-mail sau prin intermediul aplicaiilor
p2p, i pot viza aplicaii cu caracter critic precum cele de tranzacii
financiar-bancare sau de comer electronic pentru care pierderile sunt
substaniale i se exprim n mari sume de bani.
De aceea, investiiile n soluiile de securitate a comunicaiilor se
dovedesc a fi necesare i eficiente ca raport pre-pierderi.
- 166 -
- 168 -
- 170 -
transmise necriptat;
- 172 -
ABREVIERI
A
AAA
AAL
AC
Access Control
ACK
ACKnowledge
ACL
ACS
ACU
ADIF
ADPCM
ADSL
AES
AGP
AH
Authentication Header
AM
Amplitude Modulation
AMI
ANSI
AODI
AP
APDU
API
ARP
ARPA
ARPANET
AS
ASCII
ASIC
ASN
- 173 -
ATM
AU
Attachment Unit
AUI
AVP
Attribute-Value Pairs
AWGN
B
BACP
BAP
BATE
BB
Base Band
BCD
BCP
BECN
BER
BGP
BIP-L
BIPhase-Level
BIOS
B-ISDN
Broadband ISDN
BOOTP
BOOTstrap Protocol
BOP
BNC
BPI
bps
bits-per-second
BPSK
BR
Bridge-Router
BRA
BRI
BS
BackSpace
- 174 -
BSC
BSS
BTC
Basic Transceiver
BTH
Bluetooth
BUS
C
C/N
Carrier-to-Noise Ratio
CA
Certificate Authority
CBAC
CBR
CCK
CD
Compact Disc
CD
Carrier Detect
CDDI
CDE
CDFS
CDMA
CELP
CES
CHAP
CIDR
CIR
CISC
CLP
CM
Cable Modem
CMI
CMOS
CMTS
CODEC
COder-DECoder
- 175 -
Coded OFDM
COMSEC
Comunications Security
CP
Communication Processor
CPCS
CPU
CR
Carriage Return
CRC
CRL
CS
CSMA/CA
CSMA/CD
CSNET
CSS
CTS
Clear-To-Send
CU
Central Unit
D
3DES
DA
Destination Address
DAS
DB
Database
DC
Differential Cryptanalysis
DCE
DCL
DDN
DEC
DES
DH
Diffie-Helmann
DHCP
DIR
- 176 -
Down Link
DLC
DLCI
DLL
DMA
DNS
DNS
DoCSIS
DoD
Department of Defense
DoS
Denial of Service
DOS
DPEs
DPMA
DPP
DPSK
DS
Distribution System
DSAP
DSB-AM
DSL
DSP
DSR
DSSS
DTE
DTR
DU
Data Unit
DVMRP
E
EAP
EBCDIC
- 177 -
ED
Ending Delimiter
EGP
EGRP
Enhanced IGRP
EIA
EISA
Electronic mail
EMI
ElectroMagnetic Interference
EMS
ENAT
ENCO
ENQ
ENQuire
ESA
ESS
ESP
ETH
Ethernet
EUNET
EUropean NETwork
F
FAQ
FAT
FC
FCC
FCS
FDDI
FDMA
FEC
FF
Form Feed
FHSS
FIFO
First-In First-Out
- 178 -
Final flag
Finger
FI
Fragment Identification
FM
Frequency Modulation
FR
Frame Relay
FS
FSK
FTP
G
Gbps
Giga bits-per-second
GbE
Gigabit Ethernet
GF
Galois Field
GFC
GIF
GMSK
GRE
GUI
H
H
Header / Host
HAL
HDBn
HDD
Hard-Disk Drive
HDLC
HEC
Header Error-Control
HID
Host IDentifier
HL
Header Length
- 179 -
HTML
HTTP
HTTPS
HTTP Secure
I
I/O
Input/Output
IANA
I-AUP
IBSS
ICMP
ICS
ICV
ID
IDentifier
ID
IDentifier
IDE
IDEA
IDEA
IE
Internet Explorer
IEEE
IER
IETF
IGMP
IGRP
IKE
INTERNET
INTERnational NETwork
InterNIC
Intranet
IP
IPCP
IPES
- 180 -
IP next generation
IPsec
IPX
IR
Infra Red
IRC
IRDA
IRQ
Interrupt ReQuest
ISA
ISAKMP
ISDN
ISI
InterSymbol Interference
ISO
ISOC
Internet SOCiety
Iso-Ethernet
Isochronous Ethernet
ISP
ISTE
ITU
J
JPEG
K
kbps
kilo bits-per-second
KDC
L
L2F
Layer 2 Forwarding
- 181 -
LAN
LAPB
LAPD
LASER
LC
Linear Cryptanalysis
LCN
LCP
LES
LF
Line Feed
LFSR
LLC
LMI
LoS
Line of Sight
LPC
LSB
LST
M
Mbps
Mega bits-per-second
MA
Multiple Access
MAC
MAN
Manchester
Biphase-L Coding
MAU
MCA
MD5
Message Digest 5
MG
Media Gateway
MGCP
MIB
- 182 -
MIME
MIMO
MIOX
MLID
MMF
MultiMode Fiber
MNP
MPEG
MPLS
MPPE
MRC
MultiRate Coder
MRRU
MRU
MS-DOS
MSB
MSC
MSK
MSR
MTA
MTU
N
N
Network
NAK
Not AcKnowledge
NAS
NAT
NAV
NBF
NetBEUI Frame
NCB
NCP
- 183 -
NetBeui
NetBIOS
NFS
NIC
NID
Next IDentifier
NLPID
NOC
NOS
NM
Network Mask
NMM
NMS
NN
Netscape Navigator
NNI
NPM
NT
Network Termination
NTFS
NT File System
NTP
NUL
Null
NVT
O
OAEP
ODI
OFDM
ONC
OOK
On-Off Keying
OQPSK
OS
Operating System
OSI
- 184 -
OUI
P
P2P
Peer-to-Peer
PAD
Packet Assembly/Disassembly
PAM
PAN
PAP
PAP
PBX
PC
Personal Computer
PC1
Permuted Choice 1
PCI
PCM
PCMCIA
PDA
PDN
PDU
PER
PERL
PES
PG
Protective Ground
PGP
PHP
PI
Protocol Interpreter
PING
PKI
PMD
PMP
Point - to - Multipoint
- 185 -
PoE
Power-over-Ethernet
POP
Post-Office Protocol
PP
Point-to-Point
PPDU
PPP
Point-to-Point Protocol
PPSN
PRA
PRI
PS
Postscript
PSH
Push flag
PSK
PSTN
PSU
PTY
Payload TYpe
PVC
Q
QAM
QoS
Quality of Service
QPRS
QPSK
R
RADIUS
RAI
RAM
RARP
- 186 -
RCC
RFI
RJ
Registered Jack
RFC
RFI
RG
Radio Guide
RI
Ring Indicator
RIP
RISC
RLL
Run-Length Limited
RLP
RMON
Remote Monitoring
PnP
Plug-n-Play
ROM
Read-Only Memory
RPC
RS
Reed-Solomon
RSA
RSMI
RST
Reset flag
RSVP
ReSerVation Protocol
RTCP
RTF
RTP
RTS
Request-To-Send
RxD
Data Receiving
RC4
Rons Cipher 4
RIPEMD
- 187 -
S
S/MIME
SA
SADB
SAM
SAP
SAPI
SAR
SAS
SATA
Serrial ATA
SC
Simplex Connector
SCSI
ScTP
SD
Starting Delimiter
SDH
SDLC
SDSL
SEAL
SFSK
SFTP
SG
SHA1
SID
Subnetwork Identifier
SLA
SLIP
SMB
SMF
Single-Mode Fiber
SMI
SMP
Symmetric Multiprocessing
SMTP
- 188 -
Sequence Number
SNA
SNAP
SNMP
SNR
Signal-to-Noise Ratio
SNTP
SPD
SPDU
SPI
SPI
SPX
SRM
SS
SS-7
SSAP
SSH
SSI
ST
Session Ticket
STA
STP
SVC
SYN
Synchronize flag
T
TA
Terminal Adapter
Tbps
Tera bits-per-second
TC
Transmission Convergence
TCL
TCM
TCP
- 189 -
TDM
TDMA
TE
Terminal Equipment
Telnet
TFM
TFTP
TGS
TGT
TIA
TIME
TL
Total Length
ToS
Type of Service
TPDU
TRI
TSM
TTL
Time-To-Live
TTY
TeleTYpe
TxD
Data Transmission
U
UA
User Agent
UART
UCAID
UDP
UL
Up-Link
UNI
User-Network Interface
UPS
URG
Urgent flag
URI
- 190 -
URN
USB
UTP
USENET
USEr NETwork
V
V/FoIP
Voice/Fax-over-IP
VBR
VCI
VLAN
VoATM
Voice-over-ATM
VoDSL
VoFR
Voice-over-Frame Relay
VoIP
Voice-over-IP
VoN
Voice-over-Network
VoP
Voice-over-Packet
VPAN
VPI
VPN
VSB
VT
VxD
W
WAN
WDMA
WEP
- 191 -
Wide Fidelity
WiMax
WINS
WLAN
WM
Wireless Medium
WPA
WWW
X
XML
XPSN
- 192 -
BIBIOGRAFIE
[1]
http://www.tml.tkk.fi/Studies/T-110.551/2003/papers/13.pdf
[4]
http://www.zeroshell.net/eng/kerberos,
Fulvio
Ricciardi,
- 193 -
[10]
Tanenbaum
*** http://en.wikipedia.org/
[16]
*** http://www.securizare.ro/content/view/147/36
Reguli
***
197.pdf,
http://csrc.nist.gov/publications/fips/fips197/fipsAnnouncing
the
ADVANCED
ENCRYPTION
***
http://docs.hp.com/en/T1428-90011/T1428-90011.pdf,
***
http://technology.berkeley.edu/policy/admsecpol.html,
- 194 -