Securitatea RC Lscripcariu

LUMINIA SCRIPCARIU
ION BOGDAN
TEFAN VICTOR NICOLAESCU
CRISTINA GABRIELA GHEORGHE
LIANA NICOLAESCU
SECURITATEA REELELOR DE
COMUNICAII
CASA DE EDITUR VENUS IAI 2008
L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
CUPRINS
CUVNT NAINTE ...................................................................................... - 5 Capitolul I INTRODUCERE ........................................................................ - 7 I.1 NOIUNI GENERALE DESPRE REELELE DE
COMUNICAII ..............................................................................................................- 7 I.2 TIPURI DE REELE DE COMUNICAII ...........................................................- 9 I.3 MODELAREA REELELOR DE CALCULATOARE ....................................- 13 I.3.1 MODELUL DE REEA ISO/OSI ..................................................................- 13 I.3.2 MODELUL TCP/IP .........................................................................................- 20 I.3.3 MODELUL CLIENT-SERVER .....................................................................- 30 I.3.4 MODELUL PEER-TO-PEER.........................................................................- 31 I.4 INTRODUCERE N SECURITATEA REELELOR........................................- 33 -
Capitolul II PRINCIPII ALE SECURITII REELELOR................ - 49 II.1 ASPECTE GENERALE........................................................................................- 49 II.2 ANALIZA SECURITII REELEI.................................................................- 61 II.3 MODELE DE SECURITATE ..............................................................................- 63 II.4 SECURITATEA FIZIC......................................................................................- 67 II.5 SECURITATEA LOGIC ...................................................................................- 69 II.5.1 SECURITATEA LOGIC A ACCESULUI ................................................- 70 II.5.2 SECURITATEA LOGIC A SERVICIILOR.............................................- 74 II.6 SECURITATEA INFORMAIILOR..................................................................- 77 II.6.1 CRIPTAREA CU CHEIE SECRET ..........................................................- 80 II.6.2 CRIPTAREA CU CHEIE PUBLIC ...........................................................- 82 II.6.3 MANAGEMENTUL CHEILOR...................................................................- 84 II.7 INTEGRITATEA INFORMAIEI .....................................................................- 86 II.7.1 TEHNICA HASH ...........................................................................................- 87 II.7.2 SEMNTURA DIGITAL ...........................................................................- 91 II.7.3 CERTIFICATUL DIGITAL .........................................................................- 94 II.7.4 MARCAREA...................................................................................................- 97 II.8 POLITICI DE SECURITATE .............................................................................- 98 -
Capitolul III ATACURI ASUPRA REELELOR DE COMUNICAII- 105 III.1 VULNERABILITI ALE REELELOR.....................................................- 105 III.2 TIPURI DE ATACURI......................................................................................- 107 III.2.1 ATACURI LOCALE ..................................................................................- 108 -
-3-
Securitatea reelelor de comunicaii
III.2.2 ATACURI LA DISTAN ........................................................................- 109 III.2.4 ATACURI ACTIVE....................................................................................- 114 III.3 ATACURI CRIPTOGRAFICE ........................................................................- 120 -
Capitolul IV PROTOCOALE I SERVERE DE SECURITATE ........ - 125 IV.1 IPSEC ..................................................................................................................- 126 IV.1.1 PROTOCOLUL AH....................................................................................- 132 IV.1.2 PROTOCOLUL ESP ..................................................................................- 133 IV.1.3 ASOCIAII DE SECURITATE ...............................................................- 135 IV.1.4 APLICAII ALE IPSEC ............................................................................- 136 IV.2 PROTOCOLUL KERBEROS ..........................................................................- 137 IV.3 PROTOCOLUL SESAME ................................................................................- 140 IV.4 PROTOCOLUL RADIUS .................................................................................- 144 IV.5 PROTOCOLUL DIAMETER...........................................................................- 147 IV.6 PROTOCOLUL DE AUTENTIFICARE EXTINS (EAP) ..........................- 151 -
Capitolul V TEHNICI DE SECURITATE.............................................. - 155 V.1 INTRODUCERE..................................................................................................- 155 V.2 FIREWALL ..........................................................................................................- 158 V.3 SISTEME DE DETECIE A INTRUILOR ...................................................- 166 V.4 VPN - REELE PRIVATE VIRTUALE...........................................................- 168 -
ABREVIERI ............................................................................................... - 173 BIBIOGRAFIE........................................................................................... - 193 -
-4-
CUVNT NAINTE
Reelele de comunicaii reprezint o realitate cotidian pentru fiecare
dintre noi indiferent de vrst, n toate domeniile de activitate (comercial,
financiar-bancar, administrativ, educaional, medical, militar etc.), dar i n
mediul familial.
Fr a depinde de mediul fizic prin care se realizeaz (cablu metalic,
fibr optic sau mediul wireless) sau de specificul reelei de transmisie a
informaiilor (de calculatoare, de telefonie fix sau mobil, de televiziune
prin cablu, de distribuie a energiei electrice), securitatea comunicaiilor
reprezint un aspect esenial al serviciilor oferite, fiind critic n cazul
informaiilor cu caracter secret din aplicaii fianciar-bancare, militare,
guvernamentale i nu numai acestea.
Cine? Cnd? De unde? Ce? De ce? acestea sunt ntrebrile
eseniale referitoare la securitatea comunicaiilor, care determin mpreun
o nou sintagm, a celor cinci W (5W Who, When, Where, What,
Why?). Cine acceseaz reeaua? Cnd i de unde se produce accesul? Ce
informaii sunt accesate i de ce? Aceste aspecte trebuie s fie monitorizate
i securizate n funcie de importana informaiilor, de caracterul public sau
privat al reelei de comunicaii, indiferent de terminalul folosit (calculator,
laptop, telefon mobil, PDA, iPOD, bancomat etc.).
Conexiunea la Internet reprezint o facilitate dar creeaz de cele mai
multe ori mari probleme de securitate pentru reelele de comunicaii.
Scopul serviciilor de securitate n domeniul reelelor de comunicaii
vizeaz pe de o parte meninerea acestora n funciune (regula celor cinci de
9 adic 99,999 % din durata de funcionare), iar pe de alt parte asigurarea
-5-
securitii aplicaiilor precum i a informaiilor stocate pe suport sau

transmise prin reea.
Se identific mai multe aspecte ale securitii unei reele (securizarea
accesului fizic i logic, securitatea serviciilor de reea, secretizarea
informaiilor) care se exprim prin diveri termeni specifici: autentificare,
autorizare, asociere cu un cont de utilizator i audit (AAAA
Authentication, Authorization, Accounting, Auditing), confidenialitate,
robustee.
Politica de securitate este cea care, pe baza analizei de securitate a
unei reele, exprim cel mai bine principiile care stau la baza adoptrii unei
anumite strategii de securitate, implementat prin diverse msuri specifice,
cu tehnici i protocoale adecvate.
Scopul acestei cri este acela de a trece n revist toate aceste
aspecte, de a analiza riscuri i vulnerabiliti specifice diferitelor reele de
comunicaii, precum i o serie de soluii i strategii, tehnici i protocoale de
securitate.
AUTORII
-6-
Capitolul I INTRODUCERE
I.1 NOIUNI GENERALE DESPRE
REELELE DE COMUNICAII
O reea de comunicaii reprezint un ansamblu de echipamente de
comunicaii (calculatoare, laptopuri, telefoane, PDA-uri etc.), interconectate
prin intermediul unor medii fizice de transmisie (cablu torsadat, coaxial sau
optic, linie telefonic, ghid de unde, mediul wireless), n scopul comunicrii
folosind semnale vocale, video sau de date, precum i al utilizrii n comun
a resurselor fizice (hardware), logice (software) i informaionale ale reelei,
de ctre un numr mare de utilizatori.
Se disting diverse tipuri de reele de comunicaii (reele de telefonie
fix, reele telefonice celulare, reele de cablu TV, reele de calculatoare
.a.) prin intermediul crora se transmit informaii sau se comunic n timp
real.
Calculatoarele personale interconectate n reele au oferit un nivel
superior de performan n stocarea, procesarea i transmisia informaiilor.
Ansamblul tuturor calculatoarelor interconectate ntre ele n cea mai larg
reea de calculatoare din lume reprezint aa-numitul INTERNET
(INTERnational NETwork).
Conexiuni la Internet se pot realiza n prezent nu numai prin
intermediul calculatoarelor, dar i de pe alte echipamente precum telefoane
mobile sau PDA-uri.
-7-
Terminalele din reea pot fi fixe sau mobile, astfel c accesul la

Internet se poate face n prezent i din vehicule n micare, pe baza unor
standarde definite pentru Internetul mobil.
Comunicaiile ntre echipamentele interconectate fizic i logic ntr-o
reea se realizeaz pe baza protocoalelor de comunicaii.
Prin protocol se nelege o suit de reguli de comunicare i formate
impuse pentru reprezentarea i transferul datelor ntre dou sau mai multe
calculatoare sau echipamente de comunicaie.
Se folosesc numeroase suite de protocoale dar scopul oricrei reele
de comunicaii este acela de a permite transmisia informaiilor ntre oricare
dou echipamente, indiferent de productor, de sistemul de operare folosit
sau de suita de protocoale aleas, pe principiul sistemelor deschise (open
system).
Echipamentele de interconectare (modem, hub, switch, bridge,
router, access point) sunt responsabile de transferul informaiilor n uniti
de date specifice (cadre, pachete, datagrame, segmente, celule) i de
conversiile de format ce se impun, precum i de asigurarea securitii
comunicaiilor.
Probleme specifice de securitate se identific att n nodurile reelei,
precum i pe cile de comunicaie (cablu sau mediu wireless).
De asemenea, atunci cnd se ia n discuie securitatea comunicaiei,
trebuie fcut distincia ntre procesele de comunicaie n timp real care se
realizeaz n cazul transmisiilor vocale sau video i cele de transfer al
informaiilor sub form de fiiere. Apar riscuri mari de securitate n
aplicaiile de tip peer-to-peer (p2p), precum Skype, n care se desfoar
procese de comunicaie n timp real, dar i atacuri la securitatea reelei n
paralel cu acestea.
-8-
Serviciul de transfer al fiierelor este mai puin critic din punct de

vedere al timpului de rulare, ceea ce permite efectuarea unor teste de
asigurare a securitii sistemului.
Pentru o analiz complet a securitii trebuie avute n vedere toate
aspectele referitoare la o reea de comunicaii, interne i externe, hardware
i software, factorul uman i de tip automat, tipurile de reea, topologiile i
mediile de transmisie, protocoalele de comunicaii, aplicaiile rulate,
riscurile de securitate i, nu n ultimul rnd, costurile.
Vulnerabilitile
reelelor
de
comunicaii
ale
sistemelor
informatice actuale pot antrena pierderi uriae de ordin financiar i nu

numai, direct sau indirect, cum ar fi scurgerea de informaii confideniale cu
caracter personal, militar sau economic.
I.2 TIPURI DE REELE DE COMUNICAII

Reelele de comunicaii se clasific n primul rnd n funcie de
aplicabilitatea lor:
De calculatoare
Telefonice
De comunicaii mobile
De radio i teledifuziune
De televiziune prin cablu
De comunicaii prin satelit.
ntruct n continuare ne vom referi la securitatea comunicaiilor i

n deosebi a datelor transmise prin Internet, n continuare vom prezenta n
-9-
detaliu reelele de calculatoare i vom face referire, acolo unde este cazul, la
modalitile de utilizare a celorlalte tipuri de reele pentru transmisii de date.
Un criteriu de clasificare a reelelor de calculatoare este mrimea lor
(Tabelul I.1):
1. reele locale (LAN Local Area Network);
2. reele metropolitane (MAN Metropolitan Area Network);
3. reele de arie larg (WAN Wide Area Network).
n cadul reelelor locale sau de arie larg se disting i unele
subtipuri, definite de comunicaiile wireless prin unde radio, n funcie de
tehnologia folosit, puterea de emisie i aria de acoperire:
4. reele personale (PAN Personal Area Network) numite i
piconet, asociate tehnicii Bluetooth (BTH).
5. reele locale wireless (WLAN Wireless Local Area Network)
asociate n general comunicaiilor n standard IEEE 802.11,
denumite i reele WiFi.
6. reele wireless de arie larg (WWAN Wireless Wide Area
Network) create pe baza tehnologiilor de arie larg (ATM
Asynghronous
Transfer
Mode,
WiMax
Interoperability for Microwave Access .a.).
- 10 -
Worldwide
Tabelul I.1
Clasificarea reelelor de calculatoare
Ordin de mrime
Arie de acoperire
Tipul reelei
mic
PAN
Camer, Cldire, Campus
LAN, WLAN
Ora
MAN, WMAN
ar, Continent
WAN, WWAN
Planet
Internet
1m
10-100-1000 m
10 Km
100-1000 Km
10.000 Km
Un alt criteriu de clasificare a reelelor este cel al modului de

transmisie:
reele cu difuzare ctre toate nodurile terminale, utilizate n

general pentru arii mici de acoperire;
reele punct-la-punct cu conexiuni fizice ntre oricare dou

noduri, fr risc de coliziune a pachetelor.
Modelarea unei reele de calculatoare se poate face pe baza teoriei

grafurilor. Echipamentele terminale sau cele de comunicaie sunt
reprezentate ca noduri iar fiecare conexiune fizic existen ntre dou
noduri apare ca arc n graf.
ntr-o reea local sunt interconectate mai multe calculatoare-gazd
(host) i unul sau mai multe servere. De asemenea, n reea pot fi incluse i
alte echipamente terminale (imprimante, scannere, maini de tip xerox etc.)
pe care utilizatorii le folosesc n mod partajat.
n reelele metropolitane i cele de arie larg un rol deosebit l are
reeaua de transport format din routere i alte echipamente de dirijare a
- 11 -
pachetelor de date (switch cu management, bridge, access point) ntre

diverse reele locale.
Din punct de vedere al configurrii, specificul unei reele de arie
larg este total diferit de cel al unei reele locale.
ntr-o reea local se
configureaz plcile de reea din fiecare calculator sau alt echipament

terminal conectat la reea i serverele locale, n timp ce ntr-o reea de arie
larg accentul cade pe partea de configurare a routerelor sau a altor
echipamente de comunicaii.
n particular, configurrile pe partea de securitate sunt diferite.
Fiecare sistem de operare de pe echipamentele de tip client ofer
faciliti de securizare prin stabilirea grupurilor i a drepturilor de utilizator,
domenii de lucru etc.
Pe serverele din reea se pot stabili diferite restricii referitoare la
traficul intern i extern.
Interfaa de acces spre i dinspre Internet este securizat de
echipamentele de tip firewall.
Totui n LAN cele mai periculoase atacuri sunt cele interne iar
efectele acestora pot fi minimizate prin stabilirea i aplicarea unei politici de
securitate adecvate i a unor tehnici de securizare eficiente.
n WAN aspectele securitii sunt diferite fa de o reea local.
Furnizorii de servicii de Internet sunt cei care administreaz reeaua de
transport i care aplic diferite politici i msuri de securitate.
Responsabilitatea acestora este mult crescut deoarece numrul de
utilizatori este foarte mare i este dificil sau chiar imposibil s se
administreze manual reeaua. n acest caz se pot folosi diferite programe
- 12 -
sofware de securitate oferite de firme de profil, care monitorizeaz i

clasific evenimentele din reeaua de arie larg.
De exemplu, ntr-o reea cu peste 100000 de echipamente terminale,
numrul de evenimente nregistrate n decurs de o or poate fi semnificativ,
clasificarea acestora n funcie de natura lor i pe mai multe nivele de
gravitate permite identificarea unor atacuri cu risc sporit i luarea msurilor
pentru obstrucionarea lor n timp util. Totul se poate face automat prin
intermediul programelor software de securitate a reelelor de comunicaii.
I.3 MODELAREA REELELOR DE

CALCULATOARE
I.3.1 MODELUL DE REEA ISO/OSI
Proiectarea, ntreinerea i administrarea reelelor de comunicaii se
poate face mai eficient prin folosirea unui model de reea stratificat. De
asemenea, pe baza unui model stratificat se pot realiza modulele software
necesare funcionrii reelei care implementeaz diferite funcii (codare,
criptare, mpachetare, fragmentare etc.).
Organizaia Internaional de Standardizare ISO a propus pentru
reelele de calculatoare modelul OSI (Open Systems Interconnection)
stratificat, cu apte nivele (Layers) numerotate de jos n sus (Fig.I.2):
1. nivelul fizic (Physical Layer)
2. nivelul legturii de date (Data Link Layer)
3. nivelul de reea (Network Layer)
- 13 -
4. nivelul de transport (Transport Layer)

5. nivelul sesiune (Session Layer)
6. nivelul de prezentare (Presentation Layer)
7. nivelul de aplicaie (Application Layer).
Acestor nivele li se asociaz seturi de protocoale, denumite
protocoale OSI.
Fiecare nivel are rolul de a ascunde nivelului superior detaliile de
transmisie ctre nivelul inferior i invers. Nivelele superioare beneficiaz de
serviciile oferite de cele inferioare n mod transparent. De exemplu, ntre
nivelele-aplicaie informaia circul fr erori (error-free), dei apar erori de
transmisie pe canalul de comunicaie, la nivel fizic.
n figura I.2, calculatoarele A i B sunt reprezentate pe baza
modelului OSI. Transferul datelor de la A la B, respectiv de la B la A, se
face pe traseele marcate cu linie continu. Datele sunt transmise ntre
echipamente prin legtura fizic.
ntre nivelele similare ale terminalelor, comunicaia se realizeaz pe

baza unui protocol specific, denumit dup numele nivelului. Cu excepia
protocolului de la nivelul fizic, toate celelalte sunt asociate unor
comunicaii virtuale prin legturile virtuale (virtual path) deoarece nu
exist o legtur real ntre nivelele respective, datele transferndu-se doar
la nivel fizic, acolo unde are loc comunicaia real (fizic) dintre
calculatoare, printr-un circuit fizic.
- 14 -
Dac cele dou calculatoare nu aparin aceleiai reele, atunci

protocoalele de pe nivelele inferioare (1, 2 i 3) se aplic prin intermediul
echipamentelor de comunicaie (switch, bridge, router sau gateway), n
subreeaua de comunicaie sau de transport.
Se observ c pe fiecare nivel se denumete altfel unitatea de date
(DU - Data Unit).
Denumirea unitii de date pe fiecare nivel al modelului OSI depinde
de protocolul aplicat. n figura I.1, s-au folosit pentru nivelele superioare,
termeni generici cum ar fi APDU (Application Protocol Data Unit), PPDU
- 15 -
(Presentation Protocol DU), SPDU (Session Protocol DU), TPDU

(Transport Protocol DU) care vor cpta denumiri specifice n funcie de
suita de protocoale folosit ntr-o anumit reea. De exemplu, n reelele
TCP/IP se folosesc termenii de datagram sau segment pe nivelul de
transport (L4). Pe nivelul de reea (L3) se folosete termenul consacrat de
pachet (packet). Pe nivelul legturii de date (L2) se transfer cadre de date
(frame). La nivel fizic (L1) datele sunt transmise sub form de bii.
La nivel fizic, se transmit datele n format binar (bii 0 i 1) pe
canalul de comunicaie din reea. n standardele echipamentelor care
lucreaz la nivel fizic, precum i n cele ale interfeelor fizice aferente
acestora, sunt specificate caracteristicile lor electrice, mecanice, funcionale
i procedurale. Natura sursei de informaie (date, voce, audio, video) nu se
mai cunoate la acest nivel ceea ce face ca procesul de comunicaie s fie
considerat transparent.
La nivelul legturii de date circul cadre de bii, adic pachete
ncapsulate cu antet (H - header) i marcaj final (T - trail), care includ
adresele sursei (SA - Source Address) i destinaiei (DA - Destination
Address) pentru a se putea expedia datele ntre calculatoare. Suplimentar, n
cadrul de date sunt incluse: un cmp de control al erorilor, unul responsabil
de sincronizarea transmisiei, un cmp de protocol etc.
n principal, nivelul legturii de date este responsabil de detecia
erorilor de transmisie a datelor prin reea.
Pe nivelul OSI 2, se folosesc coduri ciclice (CRC - Cyclic
Redundancy Checking) care au o capacitate mai mare de detecie a erorilor
dect sumele de control. Pentru aplicaii speciale se codific datele n baza
unei tehnici de codare pentru corecia erorilor de transmisie (Hamming,
- 16 -
Reed-Solomon etc.), ceea ce permite eliminarea retransmisiilor de cadre i

creterea eficienei canalului de comunicaie.
Nivelul legturii de date este mprit n dou subnivele: LLC
(Logical Link Control) i MAC (Media Access Control) (Fig. I.2). Aceste
subnivele stabilesc modalitile de acces la mediu n cazul canalelor de
comunicaie cu acces multiplu i realizeaz controlul traficului pentru a se
evita efectele neadaptrii ratelor de transmisie ale echipamentelor i
posibilitatea saturrii lor (flooding).
Pe nivelul de reea, se alege calea de expediere a pachetului, se

realizeaz controlul traficului informaional din reea i dintre reele, se
rezolv congestiile, eventual se convertete formatul pachetului dintr-un
protocol n altul. n unele LAN-uri, funcia nivelului de reea se reduce la
cea de stocare (buffering) i retransmisie a pachetelor. n WAN-uri, la acest
nivel se realizeaz operaia de rutare a pachetelor, adic stabilirea cilor
optime de transmisie ntre noduri. n Internet, se utilizeaz sume de control
(check sum), calculate la emisie i la recepie, prin sumarea pe vertical,
modulo-2 bit cu bit n GF (Galois Field), a tuturor blocurilor de 16 bii din
- 17 -
cmpul datelor (RFC 1071). Aceste sume permit detecia erorilor simple,
eventual a unor erori multiple, urmat de cererea de retransmisie a
pachetului.
Nivelul de transport deplaseaz datele ntre aplicaii. Acest nivel
rspunde de sigurana transferului datelor de la surs la destinaie, controlul
traficului, multiplexarea i demultiplexarea fluxurilor, stabilirea i anularea
conexiunilor din reea. De asemenea, la acest nivel mesajele de mari
dimensiuni pot fi fragmentate n uniti mai mici, cu lungime impus,
procesate i transmise independent unul de altul. La destinaie, acelai nivel
rspunde de refacerea corect a mesajului prin ordonarea fragmentelor
indiferent de cile pe care au fost transmise i de ordinea sosirii acestora.
Nivelul de sesiune furnizeaz diverse servicii ntre proceselepereche din diferite noduri: transfer de fiiere, legturi la distan n sisteme
cu acces multiplu, gestiunea jetonului (token) de acordare a permisiunii de a
transmite date, sincronizarea sistemului etc. O sesiune ncepe doar dac
legtura ntre noduri este stabilit, deci este orientat pe conexiune. Nivelul
sesiune este considerat ca fiind interfaa dintre utilizator i reea.
Nivelul de prezentare se ocup de respectarea sintaxei i semanticei
impuse de sistem, de codificarea datelor (compresie, criptare) i
reprezentarea lor n formatul standard acceptat, de exemplu, prin codarea
ASCII (American Standard Code for Information Interchange) a
caracterelor. n plus, acest nivel supervizeaz comunicaiile n reea cu
imprimantele, monitoarele, precum i formatele n care se transfer fiierele.
La nivelul aplicaie se implementeaz algoritmii software care
convertesc mesajele n formatul acceptat de un anumit terminal de date real.
Transmisia se realizeaz n formatul standard specific reelei. Fa de aceste
- 18 -
standarde de comunicaie, DTE-ul real devine un terminal virtual care

accept standarde de reea specifice (de exemplu, VT100/ANSI).
Un program de aplicaie pentru comunicaii n reea poate s ofere
unul sau mai multe servicii de reea, pe baza anumitor protocoale de
transmisie.
Nivelele modelului OSI pot fi implementate fizic (hardware) sau
logic (software). Evident nivelul fizic este implementat fizic (interfee
fizice, conectori de legtur). Nivelul legturii de date poate fi implementat
logic dar se prefer varianta fizic, aceasta asigurnd viteze mari de
procesare. Nivelele superioare sunt de obicei implementate logic, ca procese
software, n cadrul sistemului de operare n reea (NOS Network
Operating System), de cele mai multe ori inclus n sistemul de operare
propriu-zis (OS Operating System).
Echipamentele de comunicaie din reea se clasific de asemenea pe
baza modelului OSI.
Conectarea terminalului de date la mediul fizic de transmisie se
realizeaz prin intermediul interfeei fizice cu caracteristicile specificate de
nivelul fizic (de exemplu, Ethernet, RS - 232, RS - 485, E1, X.21, V.35).
ntre nivelele superioare se intercaleaz interfee implementate doar
prin soft, denumite interfee logice. De exemplu, n sistemele cu
multiplexare n timp, cum ar fi sistemele de transmisie sincrone (SDH Synchronous Digital Hierarchy), un canal E1 cu 32 de canale primare
trebuie partajat pentru asigurarea accesului multiplu. Utilizatorilor li se
aloc anumite intervale de transmisie (time slot), pe baza protocolului de
legtur punct-la-punct (PPP - Point-to-Point Protocol) prin interfee logice
ppp.
- 19 -
Echipamentele de comunicaie din reea de tip hub lucreaz pe

nivelul fizic.
Comutatoarele de reea (switch) i punile de comunicaie (bridge)
sunt proiectate pe nivelul OSI 2, n timp ce routerele, configurate ca
gateway sau firewall, lucreaz pe nivelul de reea.
Modelul OSI este foarte general, pur teoretic, i asigur o mare
flexibilitate n cazul dezvoltrii reelelor prin separarea diverselor funcii ale
sistemului pe nivele specifice. Numrul relativ mare de nivele din acest
model face necesar utilizarea unui mare numr de interfee i a unui volum
crescut de secvene de control. De aceea, n numeroase cazuri se va folosi
un numr redus de nivele. Modelul OSI nu constituie un standard, ci doar o
referin pentru proiectanii i utilizatorii de reele de calculatoare.
I.3.2 MODELUL TCP/IP

Familia de protocoale n baza creia se realizeaz comunicaia n
reelele eterogene de calculatoare conectate la Internet este denumit suita
de
protocoale
Internet
sau
TCP/IP
(Transmission
Control
Protocol/Internet Protocol). De asemenea, termenul de tehnologie Internet

semnific suita de protocoale TCP/IP i aplicaiile care folosesc aceste
protocoale (RFC 1180).
Suita de protocoale TCP/IP gestioneaz toate datele care circul prin
Internet.
- 20 -
Modelul TCP/IP are patru nivele i este diferit de modelul OSI

(Open System Interconnection), dar se pot face echivalri ntre acestea
(Fig.I.3).
Primul nivel TCP/IP de acces la reea (Network Access) nglobeaz
funciile nivelelor OSI 1 i 2.
Al doilea nivel TCP/IP corespunde nivelului OSI 3 i este denumit
nivel Internet dup numele principalului protocol care ruleaz pe acesta.
Al treilea nivel TCP/IP este cel de transport, echivalent ca nume i
funcionalitate cu nivelul OSI 4.
Nivelul aplicaie din modelul TCP/IP include funciile nivelelor
OSI superioare 5, 6 i 7.
Figura I.3 Echivalenele ntre modelele de reea OSI, TCP/IP i NFS
Modelul TCP/IP i modelul NFS (Network File System) alctuiesc

mpreun aa-numitul context de operare al reelelor deschise (ONC - Open
Network Computing).
- 21 -
Observaie: n multe cazuri se consider modelul de reea TCP/IP ca

avnd cinci nivele: fizic, legtur de date, Internet, transport i aplicaie.
Acest lucru este motivat de faptul c cele dou nivele inferioare au
numeroase funcii care trebuie difereniate, preferndu-se discutarea lor pe
nivele separate.
Suita de protocoale TCP/IP gestioneaz toate transferurile de date
din Internet, care se realizeaz fie ca flux de octei (byte stream), fie prin
uniti de date independente denumite datagrame (datagram).
Numele acestei suite de protocoale este dat de protocolul de reea
(IP) i de cel de transport (TCP). Stiva de protocoale TCP/IP include mai
multe protocoale deosebit de utile pentru furnizarea serviciilor Internet.
Protocoalele de aplicaie colaboreaz cu protocoalele de pe nivelele
inferioare ale stivei TCP/IP pentru a transmite date prin Internet, mai precis
pentru a oferi servicii utilizatorului (pot electronic, transfer de fiiere,
acces n reea de la distan, informaii despre utilizatori etc).
Protocoalele din aceast familie sunt ierarhizate pe cele patru nivele
ale modelului TCP/IP (Figura I.4):
- 22 -
Pe nivelul de acces la reea se definesc standardele de reele

(Ethernet, Fast Ethernet, GigaEthernet, 10GigaEthernet, Token-Bus,
Token-Ring, WLAN, WIFI, Bluetooth etc.) i protocoalele pentru
comunicaii seriale PPP (Point-to-Point Protocol) i SLIP (Serial Line
Internet Protocol).
Legtura cu nivelul Internet este fcut de cele dou protocoale de
adresare ARP (Address Resolution Protocol) i RARP (Reverse Address
Resolution Protocol).
ARP comunic la cerere, pe baza adresei IP a unui echipament,
adresa fizic (MAC) de 6 octei a acestuia (RFC 826). Tabelele ARP sunt
stocate n memoria RAM a echipamentului (calculator, router etc). Se pot
face echivalri sugestive ntre numele unei persoane i adresa MAC a
echipamentului, respectiv ntre adresa potal i adresa IP, care permit
localizarea destinaiei unui mesaj.
RARP furnizeaz la cerere adresa IP dat unui echipament cu adresa
MAC, pe baza unor tabele de adrese (RFC 903).
ARP i RARP se utilizeaz numai n interiorul unui LAN. Aceste
protocoale nu folosesc IP pentru ncapsularea datelor.
Pe nivelul Internet, se folosesc protocoalele IP (Internet Protocol),
ICMP (Internet Control Message Protocol) i IGMP (Internet Group
Management Protocol).
Protocolul Internet este un protocol de nivel reea prin intermediul
cruia se transfer toate datele i care stabilete modul de adresare ierarhizat
folosind n versiunea 4 adrese IP de 4 octei, exprimai n format zecimal cu
separare prin puncte (dotted-decimal notation), pentru localizarea
sistematic a sursei i destinaiei, ntr-o anumit reea sau subreea de
calculatoare (RFC 791). ntruct IP ncapsuleaz datele provenite de pe
- 23 -
nivelul de transport sau de la celelalte protocoale de pe nivelul Internet

(ICMP, IGMP), nivelul de reea mai este denumit i nivel IP.
Versiunea 6 a protocolului IP (IPv6) definete adrese de 128 de bii,
respectiv 16 octei, adic un spaiu de adrese extrem de larg, de circa
3,4x1038 adrese. Dimensiunea unitii de date maxim transferabile (MTU
Maximum Transfer Unit) este considerabil mrit, de la 64 KB ct admite
IPv4, la 4GB n aa-numite jumbograms. IPv6 nu mai folosete sume de
control pe nivelul Internet, controlul erorilor revenind nivelelor legtur de
date i celui de transport. Prin utilizarea IPv6 NAT nu mai este necesar i
multe probleme legate de rutare precum CIDR (Classless Interdomain
Routing) sunt eliminate. IPv6 include protocoalele de securitate IPsec care
erau doar opionale n versiunea anterioar a protocolului IP. O alt
facilitate se refer la utilizarea IPv6 pentru comunicaii mobile (MIPv6 Mobile IPv6) care evit o serie de probleme de rutare precum cea de rutare
n triunghi. Pentru aplicarea IPv6 se preconizeaz adaptarea protocoalelor
actuale la acesta (DHCPv6, ICMPv6 etc.)
ICMP este un protocol de nivel reea care transport mesaje de
control, de informare sau de eroare, referitoare la capacitatea sistemului de a
transmite pachetele de date la destinaie fr erori, informaii utile despre
reea etc (RFC 792). Protocolul ICMP comunic direct cu aplicaiile, fr a
accesa TCP sau UDP.
IGMP gestioneaz transferul datelor spre destinaii de grup, care
includ mai muli utilizatori, prin transmisii multicast (RFC 1112).
Tot pe nivelul de reea opereaz i protocoalele de rutare (RIP
Routing Information Protocol, OSPF Open Shortest Path First, BGP
Border Gateway Protocol .a.).
- 24 -
Pe nivelul de transport se folosesc dou tipuri de protocoale, cu i

fr conexiune.
TCP (Transmission Control Protocol) este un protocol orientat pe
conexiune, asemenea sistemelor telefonice. Permite controlul traficului,
confirmarea sau infirmarea recepiei corecte a mesajelor, retransmisia
pachetelor i ordonarea corect a fragmentelor unui mesaj.
UDP (User Datagram Protocol) este un protocol de transport fr
conexiune, asemntor sistemului potal clasic, mai puin sigur dect TCP
dar mai puin pretenios.
SCTP (Stream Control Transmission Protocol), definit n RFC 4960
din 2000, este un protocol de transport asemntor TCP dar, spre deosebire
de acesta, permite transmisia n paralel a mai multor fluxuri (multistreaming), util n numeroase aplicaii de tip multimedia (de exemplu,
transmisia simultan a mai multor imagini dintr-o aplicaie web.
O reprezentare echivalent a suitei TCP/IP este dat n figura I.5.
Protocoalele de pe nivelele superioare ale stivei beneficiaz de serviciile
furnizate de nivelele inferioare.
- 25 -
Din figura I.5, se observ c un protocol de aplicaie (A) poate

comunica direct cu IP, dar n acest caz este nevoie s includ funciile de
transport n propriul program de aplicaie.
Toate protocoalele care folosesc ncapsularea IP i implicit adresele
de reea sunt rutabile.
Utilizatorul folosete serviciile de reea prin intermediul unor
programe de aplicaii care implementeaz protocoalele de comunicaie
pentru serviciile respective, eventual folosind interfee grafice pentru
utilizatori (GUI - Graphic Unit Interface).
Ca protocoale de aplicaii, care ofer direct servicii de reea
utilizatorului, se folosesc:
- 26 -
SMTP (Simple Mail Transfer Protocol) permite diferitelor

calculatoare care folosesc TCP/IP s comunice prin pota electronic
(electronic-mail). Acest protocol stabilete conexiunea punct-la-punct ntre
clientul SMTP i serverul SMTP, asigur transferul mesajului prin TCP,
ntiineaz utilizatorul despre noul mesaj primit, dup care se desface
legtura dintre client i server (RFC 821).
POP (Post-Office Protocol) este protocolul prin care utilizatorul i
preia mesajele din csua potal proprie. Spre deosebire de versiunea POP
2, POP3 permite accesul de la distan al utilizatorului la csua sa potal.
IMAP (Internet Message Access Protocol) versiunea 4 (RFC 3501,
RFC 2595) este echivalent ca funcionalitate cu POP3, adic permite
clientului preluarea de la distan a mesajelor de e-mail din csua potal
proprie. Acest protocol folosete portul de aplicaii 143 i este preferat n
reele largi precum cele din campusuri. IMAP4 poate utiliza SSL (Secure
Sockets Layer) pentru transmisia criptat a mesajelor. Spre deosebire de
POP3, IMAP permite conexiuni simultane la aceeai cutie potal.
FTP (File Transfer Protocol) este un protocol de transfer al fiierelor
ntre calculatoare, mai precis un limbaj comun care permite comunicarea
ntre oricare dou sisteme de operare (WINDOWS, LINUX/UNIX etc)
folosind programe FTP pentru client i server. FTP folosete dou conexiuni
TCP pentru transferul sigur al datelor simultan cu controlul comunicaiei
(RFC 959).
SFTP (Simple File Transfer Protocol) este o versiune simplificat a
FTP, bazat pe o singur conexiune TCP, care nu s-a impus ns ca
performane.
TFTP (Trivial File Transport Protocol), mai puin sofisticat dect
FTP, acesta este folosit pentru transferul unor mesaje scurte prin UDP. Se
- 27 -
impun tehnici de corecie a erorilor ntruct UDP nu genereaz confirmarea

de recepie corect a mesajelor (ACK) ca TCP (RFC 783, RFC 906).
TELNET (Virtual Terminal Connection Protocol) este un protocol
de terminal virtual care permite conectarea unui utilizator de la distan la
anumite calculatoare-gazd, rulnd programul telnetd al serverului. Se
utilizeaz algoritmi de negociere cu terminalul respectiv, pentru a-i cunoate
caracteristicile. Acesta este vzut ca un terminal virtual cu care se poate
comunica de la distan, indiferent de caracteristicile lui fizice (RFC 854,
RFC 856).
FINGER (Finger User-information Protocol) este un protocol care
permite obinerea de informaii publice despre utilizatorii unei reele.
SSH (Secure Shell Protocol) ofer mai multe servicii de reea (pot
electronic, transfer de fiiere, conexiuni la distan .a.) n mod securizat,
folosind algoritmi de criptare.
BOOTP (BOOTstrap Protocol) este apelat de un utilizator pentru ai afla adresa IP. Acest protocol folosete UDP pentru transportul mesajelor.
Un calculator care folosete BOOTP, expediaz un mesaj n reea prin
broadcast (pe o adres IP cu toi biii '1'). Serverul de BOOTP retransmite
mesajul n toat reeaua (broadcast) iar destinaia i recunoate adresa
MAC i preia mesajul. Acest protocol nu poate lucra ntr-un sistem de
alocare dinamic a adreselor IP, dar spre deosebire de RARP, acesta
furnizeaz sursei att adresa sa IP, ct i adresele IP ale serverului i
routerului (default gateway) folosit de LAN (RFC 951).
DHCP (Dynamic Host Configuration Protocol), succesor al
protocolului BOOTP, permite utilizarea unui numr limitat de adrese IP de
ctre mai muli utilizatori. Clientul solicit serverului DHCP o adres IP.
Acesta i aloc o adres dintr-un domeniu de adrese cunoscut, eventual i
- 28 -
furnizeaz i masca de reea. Alocarea este rapid i dinamic. Dei

routerele nu suport transmisiile broadcast solicitate de ARP i RARP, ele
permit aceste transmisii n cazul BOOTP i DHCP ceea ce faciliteaz
comunicaiile dintre diverse LAN-uri.
HTTP (HyperText Transfer Protocol), protocolul generic al
serviciului de web, este folosit de utilizatorii web i de serverele WWW
pentru transferul unor fiiere de tip text, imagine, multimedia, n format
special (hypertext), prin intermediul unui limbaj de editare HTML
(HyperText Markup Language). Varianta securizat a acestuia este HTTPS
(HTTP Secure) folosete pentru securizarea procesului de navigare pe web
fie SSL, fie TLS (Transport Layer Security) care ofer protecie fa de
tentativele de interceptare a comunicaiei sau fa de atacurile de tip omul
din mijloc (man-in-the-middle attack). Comunicaia se poate face pe portul
implicit 443 sau pe orice alt port ales de utilizator.
NTP (Network Time Protocol) este cel mai precis protocol de timp
din Internet. Acesta sincronizeaz ceasurile interne din dou sau mai multe
calculatoare, cu o precizie de 1 - 50 ms fa de timpul standard oficial (RFC
1305).
SNMP (Simple Network Management Protocol) este folosit pentru
supravegherea funcionrii reelelor bazate pe TCP/IP (controlul statistic al
traficului, performanelor, modului de configurare i securizare) utiliznd
bazele de informaii de management (MIB), structurate pe baza unor reguli
definite de SMI (Structure of Management Information) conform RFC
1155. Versiunea SNMP2 prevede posibilitatea aplicrii unor strategii
centralizate sau distribuite de management de reea.
- 29 -
IRC (Internet Relay Chat) este un protocol de comunicaie n timp

real, fie de tip conferin, cu mai muli utilizatori, fie de comunicare n
pereche de tip unul-la-unul. IRC folosete TCP i opional TLS.
Exist i alte protocoale n suita TCP/IP care ofer diverse servicii
utilizatorilor din Internet. Clienii serviciilor de reea pot fi utilizatori umani
dar i o serie de module software (programe software, protocoale,
echipamente) care adreseaz cereri serverelor din reea.
n general, lista serviciilor Internet disponibile pe un PC din reea,
coninnd informaii despre protocoalele utilizate i porturile de aplicaii
asociate se gsete ntr-un fiier special (SERVICES), conceput ca o baz de
date.
I.3.3 MODELUL CLIENT-SERVER
Deosebit de util pentru nelegerea proceselor de comunicaii i

realizarea programelor de aplicaii pentru reea este modelul client-server.
Clientul este partea hardware sau software care adreseaz o cerere
(de acces, de informare, de transfer de fiiere etc).
Serverul este partea hardware sau software care rspunde cererii
clientului (Figura I.6).
- 30 -
Pe aceste considerente, anumite calculatoare din reea pe care sunt

instalate programe software de tip server sunt denumite simplu servere (de
nume, de fiiere, de web, de pot electronic, de baz de date etc).
Numeroase procese de comunicaie din reea, dintre echipamente sau
dintre module software, au loc pe baza modelului client-server. De multe
ori, rolurile de client i de server se inverseaz pe durata comunicaiei.
Aplicaia server se autoiniializeaz dup care rmne ntr-o stare de
ateptare pn la primirea unei cereri de serviciu de la un proces client.
Aplicaia client este cea care solicit a conexiune iar aplicaia server
primete cererea i o rezolv. ntre cele dou aplicaii apare o conversaie
virtual ca i cum ntre ele ar exista o conexiune punct-la-punct.
I.3.4 MODELUL PEER-TO-PEER

Modelul de reea de comunicare n pereche (p2p peer-to-peer)
reunete n fiecare nod rolurile de client i de server, rezultnd o pereche de
noduri comunicante cu drepturi egale precum n telefonia clasic. Topologia
de reea de tip plas (mesh) ilustreaz foarte bine acest concept (Figura
I.7).
- 31 -
Figura I.7 Reea de comunicaii P2P
Primele reele P2P erau folosite pentru distribuia (sharing) de

fiiere muzicale n format mp3 (reelele Napster, KaZaA etc.) iar n prezent
aplicaiile sunt mult diversificate (mesagerie scris,vocal sau video, schimb
de fiiere de orice tip inclusiv muzic i filme, forumuri de discuii i multe
altele).
Din punctul de vedere al securitii, aceste aplicaii P2P sunt de
multe ori critice, ele permind accesul neautorizat la resursele reelei:
programele software folosite n comunicaiile P2P pot fi modificate

de teri;
entiti cu intenii maliioase pot redireciona pachetele spre

destinaii inexistente sau incorecte rezultnd pierderi de pachete
n comunicaii P2P entitile i pot pstra anonimatul.
- 32 -
I.4 INTRODUCERE N SECURITATEA

REELELOR
Informaiile, stocate sau transmise ca date n reea, reprezint o
resurs valoroas care trebuie controlat i administrat strict, ca orice
resurs comun. O parte sau toate datele comune pot prezenta o importan
strategic pentru organizaie. Bazele de date reprezint o aplicaie major a
reelelor de calculatoare. Sistemul de gestiune a bazei de date SGBD trebuie
s furnizeze un mecanism prin care s garanteze c numai utilizatorii
autorizai pot accesa baza de date i c baza de date este sigur. Securitatea
se refer la protejarea bazei de date fa de accesul neautorizat fie
intenionat, fie accidental, prin utilizarea unor elemente de control bazate
sau nu pe calculatoare. Consideraiile de securitate nu se aplic doar datelor
coninute n baza de date. Breele din sistemul de securitate pot afecta i alte
pri ale sistemului care la rndul lor pot afecta baza de date.
Securitatea reelelor se refer la elementele hardware, software,
persoane i date.
Persoanele sau entitile autentificabile i nregistrate sunt denumite,
n satndardele ISO, parteneri. Partenerii care au un rol activ n sistem se
numesc iniiatori. Partenerii cu rol pasiv sunt denumii inte.
Vom considera securitatea datelor relativ la:
furt i fraud,
pierderea confidenialitii,
pierderea caracterului privat,
pierderea integritii,
pierderea disponibilitii.
- 33 -
Furtul i frauda nu sunt limitate la mediul bazelor de date ci

ntreaga reea este expus acestui risc. Pentru a reduce riscurile de furt i
fraud se procedeaz la pstrarea n siguran a documentelor privind plata
salariilor, nregistrarea cantitii exacte de hrtie utilizat la tiprirea
cecurilor de plat i asigurarea nregistrrii corespunztoare i distrugerii
hrtiilor rezultate ca urmare a tipririi greite.
Confidenialitatea se refer la necesitatea de a pstra secretul
asupra unor date, de regul numai a celor de importan major pentru
organizaia respectiv, n timp ce caracterul privat se refer la necesitatea
de a proteja datele referitoare la persoane individuale.
Integritatea reprezint asigurarea faptului c datele nu au fost
alterate(corupte) sau distruse n urma unui proces de atac.
Pierderea integritii datelor are ca rezultat apariia unor date care
numai sunt valabile sau sunt greite.
Disponibilitatea se definete ca i caracteristic a unui sistem
informatic de a funciona fr ntreruperi i posibilitatea lui de a fi accesat
oricnd, de oriunde. Importana ei este motivat de faptul c o reea
gzduiete servere de aplicaii, baze de date, echipamente de stocare, i nu
n ultimul rnd ofer operabilitate utilizatorilor finali.
Pierderea disponibilitii nseamn c datele, sistemul sau ambele,
nu pot fi accesate.
Este necesar ca organizaiile s identifice riscurile de securitate la
care sunt expuse i s iniieze planuri i msuri adecvate, inndu-se cont de
costurile implementrii acestora i valoarea informaiilor protejate.
Computerele i reelele de calculatoare prezint puncte slabe,
intrinseci. Printre acestea se numr cele legate de protocolul TCP/IP,
sisteme de operare, i nu n ultimul rnd puncte slabe datorate unui
- 34 -
management defectuos, i unei politici de securitate necorespunztoare.

Administratorii reelelor trebuie s descopere i s contracareze punctele
slabe din cadrul reelelor de care rspund.
Se pot identifica trei tipuri de bree de securitate care pot reprezenta
o posibil int n cazul unui atac:
bree cauzate de aspecte tehnologice
bree datorate unei configurri necorespunztoare a echipamentelor

i a reelei n general
bree determinate de o politic de securitate necorespunztoare.

Evenimentele provocate pn n prezent de breele de securitate din
reelele de comunicaii demonstreaz c indiferent de ct de sigur pare a fi

un sistem, un nivel adecvat de securitate poate fi atins doar dac este
securizat i mediul de transmisie. Obiectivul oricrei politici de securitate
este de a realiza un echilibru ntre o operaie rezonabil de sigur, care nu
obstructioneaz n mod nejustificat utilizatorii, i costurile ntreinerii
acestora. Pericolele accidentale au ca rezultat majoritatea pierderilor din
cele mai multe organizaii.
Tipurile de contramsuri fa de pericolele care amenin o reea
variaz, de la elemente de control fizic, pn la procedura administrativ. n
general, securitatea unui sistem SGBD este aceeai ca cea a sistemului de
operare, datorit strnsei lor asocieri.
Pentru a evita problemele create de atacurile adresate securitii
reelelor, trebuie adoptate msuri adecvate fiecrui nivel OSI:
1. la nivel fizic, se impune controlul accesului fizic la reea i la
resursele acesteia, precum i minimizarea riscului de ascultare
pasiv a fluxurilor de date transmise.
- 35 -
2. la nivel legtur, este necesar securizarea prin criptare a

informaiilor.
3. la nivel de reea, este eficient activarea firewall-urilor i
configurarea lor pe baza principiilor exprimate n politica de
securitate a reelei. Accesul logic la sistem sau reea se poate realiza
pe baza diferitelor metode de autentificare, inclusiv pe baza unor
liste de control al accesului (ACL Access Control List).
4. la nivel de transport se pot folosi diferite protocoale de securitate a
conexiunilor, precum SSL (Secure Socket Layer), sau TLS
(Transport Layer Security).
5. la nivel de aplicaie, securitatea se realizeaz prin jurnalizarea
accesului, monitorizarea evenimentelor din reea, clasificarea lor pe
clase de risc i aplicarea unor msuri de limitare i anihilare a
atacurilor. Se pot folosi diferite instrumente software i hardware
pentru efectuarea unor teste de securitate asupra reelei cu simularea
atacurilor (scanarea reelei i a porturilor: Nmap, Ethereal,
SuperScan; identificarea sistemelor de operare: Xprobe; testarea
serverelor de baze de date precum SQLping; testarea conectivitii
prin TraceRoute sau VisualRoute; detecia vulnerabilitilor: Nessus,
Nikto, Netcat, Zedebee, Winfo; conexiuni de la distan: Remote
Desktop, PsExec; spargerea parolelor: Brutus, Hydra, Vncrack;
instrumente de ecou de la tastatur: Xspy; detecia vulnerabilitilor
reelelor wireless: Netstumbler, Kismet, Airsnort, Process Explorer;
listarea, recuperarea i protejarea resurselor: chkrootkit, TCT Coroners Toolkit, IPchains, Iptables.
Elementele de control al securitii bazate pe calculator cuprind:
autorizarea
- 36 -
autentificarea
copiile de siguran i posibilitile de refacere a sistemului
integritatea
criptarea.
Autorizarea reprezint acordarea unui drept sau privilegiu care
permite unei persoane s aib acces legitim la un sistem sau la un obiect din
sistem. Controlul autorizrii poate fi implementat n cadrul elementelor de
software i poate reglementa nu numai sistemele sau obiectele la care are
acces un utilizator, ci i ce poate face acesta cu ele (citire, scriere, execuie).
Autentificarea este un mecanism de verificare a identitii unei
entiti. De obicei administratorul de sistem este responsabil de acordarea
permisiunilor de acces la un sistem, prin crearea unor conturi individuale.
Odat ce unui utilizator i-a fost acordat permisiunea de a utiliza un sistem,
acestuia i pot fi acordate anumite privilegii. Autentificarea este vital
pentru securitatea sistemului, pentru c arat valabilitatea unui utilizator,
serviciu sau aplicaie. Cu alte cuvinte trebuie verificat identitatea
utilizatorului care intenioneaz s acceseze resursele.
Autentificarea poate fi realizat pe diferite criterii:
cunotine (parole, adrese fizice sau de reea, coduri PIN, coduri de

tranzacii etc.)
posesie (carduri, chei etc.)
proprieti (biometrice: amprente, retin, voce; de alt natur).

Ca metode de autentificare amintim:
parolele asociate cu nume de utilizator
protocoale de securitate, precum SSL (Secure Socket Layer)
semnturi i certificate digitale (X.509)
carduri inteligente (smart cards)

- 37 -
cookies.
n reelele de comunicaii cu acces nerestricionat, nu este necesar
aplicarea vreunei metode de autentificare (no-authentication). Este cazul

aa-numitelor free hotspot care ofer servicii gratuite de Internet n
aeroporturi, universiti, coli, restaurante etc.
n cazul reelelor cu acces restricionat, se impune utilizarea unei
anumite tehnici de autentificare, fie n sistem deschis (open system
authentication), fie n sistem nchis (closed system authentication), cu o
cheie predefinit, cunoscut dinainte numai de utilizatorii autorizai (shared
key authentication) care, n plus, dispun de un mecanism de criptare comun.
n sistem deschis, autentificarea se face la cerere, fr restricii sau
pe baza unei liste de clieni. Clientul trimite ca cerere un cadru de
management pentru autentificare n care este inclus identificatorul su.
Serverul verific acel cadru i identificatorul clientului i l autentific dac
identificatorul de reea este corect. Acest mecanism de autentificare este de
exemplu util pentru diferenierea reelelor wireless care transmit n aceeai
arie, pentru a se realiza conexiunea la reeaua cu SSID-ul corect. Acest mod
de autentificare este considerat modul implicit sau nul de autentificare n
multe sisteme sau reele (null-type authentication). Acest mod de
autentificare permite intruilor s intercepteze sau s asculte tot ce se
transmite n reea (eavesdropping) i de aceea se impune n acest caz
criptarea informaiilor cu caracter secret.
Autentificarea cu cheie predefinit se face la cererea clientului, pe
baza unei informaii secrete pe care o dein serverul i clientul. Serverul
genereaz o ntrebare aleatoare pe care o cripteaz cu cheia secret i o
trimite clientului. Clientul cripteaz rspunsul la ntrebare, dac deine
informaia respectiv, i o rspunde serverului. Dup decriptare, serverul
- 38 -
decide dac rspunsul este corect, caz n care consider autentificarea

realizat. Cheia de criptare poate fi cunoscut n pereche, numai de server i
de un anumit client (unicast key), fie de server i de toi clienii din reea
(multicast or global key).
Pentru un control mai riguros al accesului n reea (NAC Network
Access Control), se poate impune ca, n vederea autentificrii, clientul s
ofere o serie de garanii (credentials) nainte de a se autentifica n vederea
accesrii serviciilor oferite pe un anumit port din reea (port based NAC).
Odat autentificat, clientul obine acces la toate serviciile oferite pe acel
port. De accea, sunt necesare metode de certificare riguroase pentru a nu
crea bree n sistem.
Autentificarea se poate face i mutual, adic ambele entiti
implicate ntr-un proces de comunicaie se autentific una fa de cealalt.
Salvarea de siguran este procesul de efectuarea periodic a unei
copii a bazei de date pe un mediu de stocare offline. Un sistem SGBD
trebuie s conin facilitatea de salvare de siguran, care s asiste la
refacerea bazei de date dup o defeciune. n general, pentru orice sistem
trebuie s se realizeze copii de siguran cu o anumit perioad de
valabilitate.
Criptarea reprezint tehnica de codare a datelor printr-un anumit
algoritm, care transform aa-numitul text n clar (plaintext) n date
criptate din care informaia nu poate fi extras n absena algoritmului de
decodare i a cheii de criptare, asigurndu-se astfel secretul acesteia. Iniial
tehnicile de criptare se aplicau doar pe texte, ulterior securizarea
coninutului fiind necesar pentru multe alte tipuri de informaii (financiare,
date de identificare, fotografii, hri, transmisii vocale sau video etc.).
- 39 -
Pentru a transmite datele n siguran, este necesar utilizarea unui

criptosistem, care include:
cheia de criptare
algoritmul de criptare
cheia de decriptare
algoritmul de decriptare.
n asigurarea securitii unui sistem, atitudinea i comportamentul
oamenilor sunt semnificative. Ca urmare este necesar un control adecvat al

personalului pentru evitarea unor atacuri din interiorul organizaiei, din
reeaua intern (intranet).
Securitatea reelelor impune printre altele i asigurarea securitii
serverelor de reea. Majoritatea resurselor informaionale sunt accesate
prin intermediul site-urilor web. Serverul de web este considerat temelia
unui site deci i al unui portal. Orice aplicaie web va interaciona cu
serverul i cu ajutorul lui se va vizualiza cea mai mare parte a coninutului.
Trebuie deci folosit un server de web securizat care s corespund nevoilor
aplicaiei care va fi implementat.
n alegerea unui server web, se au n vedere cele care permit
controlul autentificrii, setarea drepturilor i permisiunilor de utilizator,
folosirea scripturilor CGI (Common Gateway Interface). Serverul Apache
este unul dintre cele mai populare servere Web, gratuit, uor de configurat,
rezultatul proiectului Apache. Serverul Apache i seteaz configurrile
conform cu trei fiiere:
access.conf controleaz drepturile de acces global.
httpd.conf - conine directive de configurare care controleaz modul
de rulare a serverului, locaia fiierelor-jurnal (log-urilor), porturile de

acces.
- 40 -
smr.conf - conine directive pentru configurarea resurselor (locaia
documentelor web, scripturi CGI).

Configurarea serverului pentru rulare se face prin intermediul
directivelor de configurare (configuration directives). Acestea sunt comenzi
care seteaz anumite opiuni. Serverul Apache ruleaz n unul din
urmtoarele dou moduri:
stand-alone cu performane superioare, pentru care n fiecare

moment exist un proces gata s serveasc o cerere de client.
daemon serverul pornete de fiecare dat cnd apare o nou cerere.

Ca i avantaje ale acestui server, se pot aminti:
ofer securitate sporit aplicaiilor prin protocolul SSL, prin

criptarea mesajelor
este uor de configurat
ruleaz pe un numr mare de platforme i sisteme de operare.
RISCURI DE SECURITATE N REELELE WIRELESS

Furtul i frauda reelele wireless pot fi detectate de la distane
relativ mari (10 km), cu echipamente simple i costuri reduse (antene

parabolice de 18), cu programe software adecvate (NetStumbler)
disponibile pe Web (free software), fr posibilitatea detectrii intruilor
pasivi. Folosind sisteme de operare Linux sau Macintosh, un eventual
hacker se poate disimula ca i sistem Windows, poate accesa resursele
publice (sharing). Intruii activi sunt aceia care apar ca i utilizatori
autorizai (crack MAC), ei fiind capabili s intercepteze pachetele din reea.
Este recomandat separarea resurselor care necesit securitate sporit prin
configurarea unor reele VPN i aplicarea politicii de firewall.
- 41 -
Controlul accesului - cele mai periculoase echipamente de accesare
neautorizat a reelei wireless sunt dispozitivele de tip PDA (Personal

Digital Assistant), echipamente portabile de mici dimensiuni care dispun de
software adecvat diverselor sisteme de operare (PocketDOS, Windows,
Linux).
Autentificarea precede faza de asociere a staiei cu un punct de
acces (AP Access Point), fiind realizat pe baza unui identificator de reea
(SSID Service Set Identifier) valid. Exist riscul ca ntr-o anumit arie
geografic s funcioneze pe lng un AP autorizat, un AP intrus
(counterfeiting), eventual cu nivel de putere sporit, care ncearc s
detecteze identitatea utilizatorilor autorizai din acea celul i cheile de
criptare folosite n reeaua wireless. Localizarea unui fals AP este dificil i
devine practic imposibil atunci cnd acest AP este mobil. Monitorizarea
traficului pe teren de ctre organismele de control abilitate, combinat cu
preluarea i memorarea informaiilor GPS, permite crearea unor baze de
date cu informaii despre AP-urile autorizate, urmnd ca accesarea unui AP
de ctre client s se realizeze pe principiile unei politici de securitate
aplicat la nivelul acestuia, bazat pe verificarea coordonatelor AP-ului,
eventual furnizate de un server de securitate intermediar care pe principiul
client-server rspunde afirmativ (access granted) sau negativ (access
denied) cererii de acces, pstrnd secretul identitilor unitilor din reea pe
care le deservete. Se impune n acest caz asigurarea securitii fizice n
perimetrul AP-urilor autorizate. IEEE 802.1X nu este un mecanism propriuzis de autentificare ci este asociat cu EAP. 802.1x descrie autentificarea
automat i criptarea cu cheie modificat dinamic prin protocolul extins de
autentificare (EAP - Extensible Authentication Protocol), localizat pe server
precum i n echipamentele-client, care accept autentificarea pe baz de
- 42 -
jetoane (token), parole, certificate digitale i metodele cu cheie public

(EAP TLS, EAP TTLS Tunneled Transport Layer Security, LEAP Lightweigth EAP).
Criptarea datelor este considerat o funcie opional i de aceea
este dezactivat n varianta implicit (default) de instalare a sistemelor de

operare, pentru a folosi viteza maxim de transmisie. Se efectueaz n mod
uzual cu chei de maximum 128 bii, relativ scurt ca numr de caractere (16
caractere ASCII, 8 caractere UNICODE). DES suport chei de criptare de
40 64 bii; 802.11b folosete chei de 64-128 bii. Metoda WEP (Wired
Equivalent Privacy) aplic algoritmul simetric de criptare RC4-128 pe baza
unei chei de transmisie de 104 bii, cu vectori de iniializare IV
(Initialization Vector) de 24 de bii transmii n clar, pentru secretizarea
datelor, nu i a antetelor de transmisie, asigurnd confidenialitatea
informaiilor, nu i restricionarea accesului utilizatorilor neautorizai.
Schimbarea manual a cheilor de criptare i posibilitatea ca mai muli
utilizatori s foloseasc aceeai cheie, cresc riscul de interceptare a cheii i
extragerea informaiilor din pachetele criptate similar. Metoda WPA (WiFi
Protected Access) folosete algoritmii AES-128 i TKIP pentru schimbarea
automat a cheilor. Pentru o securitate sporit se impune criptarea cu cheie
secret a informaiilor de identificare, a cadrelor de control i de
management. Trebuie acordat o atenie sporit sistemului de generare i
gestionare a cheilor de criptare, precum i excluderii cheilor compromise
sau slabe. Dimensiunea spaiului cheilor de criptare este diminuat
semnificativ prin folosirea parolelor bazate pe caractere printabile (din 26
litere mici, 26 litere mari i 10 cifre rezult circa 2x1014 combinaii posibile
de 8 caractere), eventual cu semnificaii particulare i personale de tip
cuvinte uzuale, nume proprii, date de natere etc.
- 43 -
Tehnici de protecie i autorizare acordarea dreptului de acces n
reeaua wireless pe baza adreselor MAC unic alocate de productor plcilor

de reea NIC, folosind liste de control al accesului stocate n router, AP sau
n servere RADIUS, permite eliminarea riscului de asociere a unui posibil
intrus n infrastructura i evitarea emulrii unei adrese MAC autorizate
(MAC spooffing). Metodele de extensie a spectrului cu o secven de cod
pseudoaleator confer o oarecare securitate, metoda de extensie cu secven
direct DSSS (Direct Sequence Spread Spectrum) fiind mai performant
dect metoda de extensie cu salturi de frecven FHSS (Frequency Hopping
Spread Spectrum). Prin eventuala scanare pasiv a benzii de transmisie a
unui AP (eavesdropping) nu se pot prelua pachetele de date fr cunoaterea
codului de mprtiere a spectrului. Caracterul periodic al secvenelor
pseudoaleatoare este un inconvenient n meninerea unei redundane reduse
a semnalului transmis, fiind necesar gsirea unor secvene de cod mai
eficiente. Monitorizarea traficului din reea n timpul orelor fireti de
funcionare i din afara programului permite administratorului s detecteze
eventualele congestii sau intruziuni din reea, depistarea porturilor de
protocol prin care se acceseaz neautorizat reeaua cu posibilitatea
restricionrii ulterioare a accesului. Cel mai puternic i mai duntor este
atacul de tip acces interzis (DoS Denial of Service) prin care se
ntrerupe orice comunicaie n reea folosind surse de emisie suficient de
puternice n aceeai arie geografic. n acest caz, o soluie eficient const
n aplicarea unei tehnici de extensie de spectru cu un ctig de extensie
suficient de mare. Este de asemenea util monitorizarea permanent a
traficului (24/24, 7/7) i a tuturor transmisiilor radio din aria reelei wireless.
Tehnici de detecie a intruilor IDS (Intrusion Detection System)
n reelele wireless este mai dificil detecia intruilor dect n reelele cu

- 44 -
transmisie pe fir, prezena lor fiind similar unei rate de eroare a

pachetelor (PER Packet Error Rate) mari sau unor ncercri euate de
autentificare a unui utilizator autorizat. Se poate restriciona numrul maxim
de ncercri de autentificare de la distan euate succesiv, dreptul de acces
fiind acordat numai dup reidentificarea persoanei i a echipamentului de
ctre administratorul de reea.
Integritatea datelor este testat folosind diverse coduri, precum
cele ciclice (CRC Cyclic Redundancy Checking) i funciile hash.

Odat cu dezvoltarea tot mai mult a reelelor de calculatoare, a
serviciilor oferite de acestea i a importanei informaiilor pe care le
vehiculeaz, a crescut i necesitatea protejrii acestora.
Comunicaiile P2P ofer o serie de faciliti:
jurnalizarea transferurilor
autentificarea partenerilor
mobilitatea echipamentelor
rezisten la atacuri de tip DoS, flooding, reluarea mesajelor.
folosirea mecanismelor anti-pollution.

Reelele pot fi ameninate la nivel fizic, logic sau informaional, att
din interior, ct i din exterior. Pot fi persoane bine intenionate, care fac
diferite erori de operare sau persoane ru intenionate, care aloc timp i
bani pentru penetrarea reelelor.
Exist i factori tehnici care determin bree de securitate n reea:
anumite erori ale software-ului de prelucrare sau de comunicare;
anumite defecte ale echipamentelor de calcul sau de comunicaie;
viruii de reea i alte programe cu caracter distructiv (worms,

spam);
- 45 -
lipsa unei pregtiri adecvate a administratorilor, operatorilor i

utilizatorilor de sisteme;
folosirea abuziv a unor sisteme.

Reelele de comunicaii pot deservi organisme vitale pentru
societate, cum ar fi: sisteme militare, bnci, spitale, sisteme de transport,

burse de valori, oferind n acelai timp un cadru de comportament antisocial
sau de terorism. Este din ce n ce mai greu s se localizeze un defect, un
punct de acces ilegal n reea, un utilizator cu un comportament inadecvat.
Creterea securitii reelelor trebuie s fie un obiectiv important al
oricrui administrator de reea. ns trebuie avut n vedere realizarea unui
echilibru ntre costurile aferente i avantajele concrete obinute. Msurile de
securitate trebuie s descurajeze tentativele de penetrare neautorizat, s le
fac mai costisitoare dect obinerea legal a accesului la aceste programe i
date.
Asigurarea securitii informaiilor stocate n cadrul unei reele de
comunicaii, presupune proceduri de manipulare a datelor care s nu poat
duce la distribuirea accidental a lor i/sau msuri de duplicare a
informaiilor importante, pentru a putea fi refcute n caz de nevoie.
O reea de calculatoare cu acces sigur la date presupune o procedur
de autentificare a utilizatorilor i/sau de autorizare difereniat pentru
anumite resurse.
O reea de calculatoare este sigur dac toate operaiile sale sunt
ntotdeauna executate conform unor reguli strict definite, ceea ce are ca
efect o protecie complet a entitilor, resurselor i operaiilor din reea,
reguli cunoscute sub numele de politic de securitate.
Lista de ameninri la adresa unei reele constituie baza definirii
cerinelor de securitate. Odat cunoscute acestea, trebuie elaborate regulile
- 46 -
conform crora se efectueaz toate operaiile din reea. Aceste reguli

operaionale se implementeaz prin protocoale i servicii de securitate.
Pentru a realiza o reea sigur, trebuie implementate, pe baza
politicilor i protocoalelor de securitate, unul sau mai multe mecanisme de
securitate (zid de foc firewall, reele virtuale private cablate VPN Virtual Private Network, reele private ad-hoc virtuale VPAN Virtual
Private Ad-Hoc Network, servere de securitate i altele).
Securitatea, ca proces, definete starea reelei de a fi protejat n faa
atacurilor. Nu se poate vorbi despre securitate n sens absolut pentru c, n
realitate, orice form de securitate poate fi compromis. Resursele de care
dispun atacatorii sunt finite i astfel o reea poate fi considerat sigur atunci
cnd costurile de atac sunt cu mult mai mari dect recompensa obinut.
Securitatea reelei trebuie avut n vedere nc din faza de proiectare.
Adugarea ulterioar a msurilor de securitate conduce la costuri ridicate,
precum i la nevoia schimbrilor n arhitectura retelei.
Este foarte important ca serviciile de securitate s fie asigurate pe
toate nivelele, de la nivel fizic, pn la cel de aplicaie pentru protecia
propriu-zis a informaiilor i a reelei n general.
- 47 -
- 48 -
Capitolul II PRINCIPII ALE

SECURITII REELELOR
II.1 ASPECTE GENERALE
Ca o categorie aparte a serviciilor de reea, serviciile de securitate
sunt oferite prin intermediul diferitelor tipuri de programe sofware, fie ca
module componente ale unui sistem de operare, fie ca i faciliti ale unor
programe specifice, fie ca aplicaii independente. Implementarea lor se
poate face i n varianta hardware, cu circuite dedicate, a cror eficien este
n general foarte ridicat. Dezavantajul metodelor hardware deriv din
necesitatea achiziionrii unor noi module hardware atunci cnd se schimb
metoda de securizare a unui sistem.
Serviciile de securitate sunt diverse :
Autentificarea (authentication) - reprezint un mecanism prin care

se identific un utilizator uman, un echipament sau un program
sofware client sau server, prin prezentarea unor date de identificare
(parol, smart card, amprente, date biometrice etc.).
Autorizarea (autorization) - este permisiunea acordat unui

utilizator, de accesare a unor date sau programe, dup ce a fost
autentificat.
Disponibilitatea (availability) este serviciul prin care un anumit

serviciu poate fi utilizat de catre grupul de utilizatori cu drept de
acces. Un atac mpotriva disponibilitii unui sistem este cunoscut
sub numele de refuzul serviciului (Denial of Service - DoS).
- 49 -
Confidenialitatea (confidentiality) reprezint protecia secretului

informaiilor cu caracter privat.
Integritatea (integrity) - se refer la protecia datelor mpotriva

modificrilor neautorizate.
Nerepudierea (non-repudiation) reprezint un mecanism de

prevenire a fraudelor prin care se dovedete c s-a executat o
anumit aciune dintr-un anumit cont de utilizator fr ca posesorul
su s poat nega acest lucru .
Costurile serviciilor de securitate depind de mai muli factori:
1. mediul fizic de transmisie

2. performanele echipamentelor din reea
3. performanele pachetelor software folosite (aplicaii dar i sisteme de
operare)
4. nivelul de securizare a datelor propriu-zise prin criptare.
Este important clasificarea i ierarhizarea datelor transferate sau
stocate n reea n vederea securizrii corespunztoare a lor.
Datele sau informaiile pot fi clasificate n mai multe tipuri, folosind
diverse criterii.
Pe criteriul de proprietate, informaiile se mpart n:
a. informaii de utilizator
b. informaii de reea
Pe criteriul importanei, informaiile pot fi:
a. informaii publice
b. informaii private (cu diferite grade impuse de confidenialitate).
Pe criteriul locaiei, se pot defini urmtoarele categorii de date:
a. informaii externe (stocate pe diferite tipuri de suport)
- 50 -
b. informaii interne (de terminal, server sau echipament de reea cu

management).
Pe criteriul domeniului de utilizare, aplicaiile se mpart n mai
multe categorii:
a. Publicitare
b. Comerciale
c. Educaionale
d. De divertisment
e. Cu sau fr plat
f. Guvernamentale
g. Militare
Alegerea unui anumit serviciu de securitate este condiionat de
natura informaiilor care trebuie protejate i de costurile acceptate pentru
aceast operaie.
Politicile de securitate stabilesc regulile i normele care trebuie
respectate de toi utilizatorii reelei: modul de utilizare adecvat a resurselor,
de deschidere a unui cont de utilizator, modul de acces de la distan,
protecia informaiilor confideniale, administrarea i distribuirea parolelor,
modul de conectare la Internet etc.
Alegerea unei strategii eficiente de securizare a unei reele trebuie s
aib n vedere riscurile la care este expus aceasta i punctele vulnerabile
pentru a adapta soluia de securitate la nevoile fiecrei reele i a reduce
costurile, att pe termen scurt, ct i pe termen lung.
Securitatea la nivel fizic presupune luarea unor msuri de securitate
pentru controlul accesului la resursele fizice ale reelei i protecia acestora
prin protecia sub cheie, folosirea cardurilor de acces, identificarea
biometric a personalului autorizat. Este necesar protecia fizic a tuturor
- 51 -
resurselor importante ale reelei, precum i amplasarea corespunztoare a

echipamentelor de reea i a cablurilor de legtur astfel nct s se evite
degradarea lor intenionat sau accidental.
Accesul fizic la anumite echipamente trebuie restricionat i admis
doar pe baza unor elemente de identificare (carduri de acces, insigne,
recunoaterea unor caracteristici biometrice precum faa, vocea, amprentele,
geometria minii, irisul sau retina). Este necesar securizarea strict a
serverului pe care este stocat baza de date coninnd aceste informaii de
identificare precum i sistemul de transmisie al lor ctre terminalul de
identificare, fiind preferabil ca transmisia s se realizeze cu fir i chiar
fibr optic, pe distane mici.
Securitatea la nivel logic se refer la acele metode software prin
care se asigur controlul accesului logic la resursele informatice i la
serviciile reelei. De regul, identificarea i autentificarea persoanelor cu
drept de acces, precum i accesul selectiv la resursele reelei se realizeaz
prin intermediul conturilor de utilizator i a parolelor. n cadrul unei reele
este foarte important stabilirea unor reguli cu privire la pstrarea i
distribuirea parolelor, care trebuie respectate de toi utilizatorii.
Administrarea
conturilor
de
utilizator
mod
sistematic
prentmpin eventualele posibiliti de abuz manifestate ca atacuri interne

asupra reelei private (furtul, distrugerea sau modificarea unor informaii).
Este total neindicat crearea unui cont general de utilizator care
poate fi utilizat i de persoane neautorizate cu un efort minim de aflare a
informaiilor de autentificare. De aceea este recomandat o preautentificare
a plcilor de reea wireless, pe baza adreselor MAC, pentru care este permis
accesul n reea.
- 52 -
Existena programelor de clonare a adreselor MAC scade eficiena

metodei de filtrare pe baza de MAC. Cunoaterea istoricului comunicaiilor
(Logs) dintr-o reea permite identificarea acelor combinaii utilizator-adres
MAC i refuzarea accesului n cazul unor ncercri repetate cu adrese
diferite. Un utilizator autorizat care folosete un alt echipament trebuie s
ntiineze administratorul despre noua adres pentru a putea accesa reeaua.
Pstrarea la secret a adreselor MAC autorizate este esenial pentru
succesul metodei. Stabilirea unor criterii stricte de autorizare a anumitor
persoane i echipamente pentru acces la reeaua wireless este deosebit de
important. Folosirea semnturilor electronice, a certificatelor digitale
precum i a unor coduri de acces personalizate este o metod sigur de
securizare a accesului.
De asemenea, pentru un control mai strict al accesului n reea este
indicat folosirea adresrii statice n locul celei dinamice prin DHCP chiar
dac acest lucru presupune gestionarea corect a unui spaiu de adrese
relativ mare.
Monitorizarea traficului din reea i operaiile de audit permit
detecia unui eventual utilizator neautorizat (IDS Intrusion Detection
System) i excluderea sa. Sistemele de alarmare n cazul unui volum mare
de date transferat sau a unei ncrcri excesive a procesoarelor permit de
asemenea detecia intruilor sau a unor eventuale atacuri de floodare a
reelei. Programarea corespunztoare a firewall-ului i configurarea unor
reele virtuale private reduc riscurile de intruziune i de atac din exterior.
Utilizarea programelor de tip NetStumbler permite administratorului
scanarea tuturor reelelor wireless dintr-o anumit arie geografic, testarea
caracterului deschis sau privat al acestora, deducerea identificatorului de
reea (SSID), a canalelor de comunicaie folosite.
- 53 -
Chiar i fr a se autentifica un eventual atacator poate utiliza un

program de preluare de pachete (packet sniffer) realiznd un atac pasiv
asupra reelei. Acesta este deosebit de eficient dac monitorizeaz traficul
broadcast din reea. De aceea se recomand folosirea echipamentelor
multiport de tip switch i nu a celor de tip hub.
Eventualele resurse partajate (shared) fr restricii ntre doi
utilizatori autorizai sunt vizibile i pentru ali clieni neautorizai care
detecteaz reeaua Wi-Fi i se asociaz la aceasta n mod pasiv.
Programele de tip virus de asemenea pot afecta reeaua n mod
distructiv.
Pentru evitarea unor astfel de riscuri, trebuie aplicate msuri de
control al accesului suficient de stricte.
Securizarea informaiilor se refer la secretizarea acestora atunci
cnd este cazul, la asigurarea integritii datelor i verificarea autenticitii
lor.
Transmiterea informaiilor n clar n aceste pachete prezint riscul
prelurii lor neautorizate. Evitarea acestui risc este posibil prin folosirea
tehnicilor de criptare, respectiv prin activarea opiunilor de secretizare a
informaiilor oferite de diverse echipamente i standarde de reea.
Performanele acestora sunt exprimate pe diferite nivele de securizare i
sunt limitate astfel nct gradul de protecie oferit nu este ntotdeauna
acelai depinznd substanial de costurile echipamentelor i ale programelor
software (sisteme de operare, programe de aplicaii etc).
Un sistem informatic satisface proprietatea de confidenialitate dac
datele sale sunt protejate fa de uzul neautorizat adic doar destinatarul
unui mesaj poate descifra coninutul acestuia, fapt care se poate realiza prin
utilizarea unor algoritmi criptografici. Sistemele criptografice transform
- 54 -
un text n clar ntr-un text criptat. Sunt dou tipuri de sisteme criptografice:
simetrice i asimetrice. Sistemele simetrice folosesc o singur cheie, secret,
att pentru criptare, ct i pentru decriptare. Criptosistemele asimetrice
utilizeaz chei diferite. Cheile folosite la decriptate sunt secrete, pe cnd
cele folosite la criptare sunt fcute publice. n acest fel doar destinatarul de
drept al mesajului va putea descifra coninutul acestuia, presupunnd c
deine cheia privat de decriptare. Sistemele simetrice se mai numesc i
sisteme cu chei private, iar cele asimetrice sisteme cu chei publice. Acestea
din urm sunt mai lente i impun folosirea unor mecanisme de distribuie
sigur a cheilor.
Lungimea cheii de criptare variaz i depinde de nivelul de
securitate dorit. Aceasta poate fi de exemplu de 40, 64 sau 128 de bii. Dei
creterea lungimii cheii de criptare reduce ansele de atac brut, aceasta poate
fi fcut numai n condiiile creterii performanelor procesoarelor (ca
numr de operaii pe secund) pentru a nu ntrzia transmisia.
Algoritmii matematici de criptare sunt i ei diferii ca nivel de
robustee la atacurile criptografice (DES, 3DES, IDEA, RC4, RSA, AES
etc). Oricum, n timp, algoritmii de criptare sunt tot mai mult analizai, tot
mai multe vulnerabiliti ale lor sunt depistate i variate modaliti de atac
asupra lor sunt gsite. Optimizarea acestor algoritmi i proiectarea altora noi
este esenial pentru eficiena operaiei de criptare a datelor.
DES (Data Encryption Standard) reprezint un cifru bloc, cu cheie
simetric, care prin utilizarea unor operaii simple de permutare i
substituie, cripteaz un bloc de 64 de bii, cu ajutorul unei chei tot de 64 de
bii. Algoritmul de criptare difer de cel de decriptare prin utilizarea n
ordine invers a subcheilor. Lungimea mult prea scurt a cheii de criptare
- 55 -
DES l face vulnerabil n faa atacului, ceea ce a dus la folosirea din ce n ce

mai puin a acestuia.
3DES (Triple DES) reprezint varianta mbuntit a algoritmului
DES simplu, prin creterea domeniului cheii. Acesta aplic de trei ori
algoritmul DES (cu 2 sau 3 chei distincte) ceea ce l face mult prea lent n
comparaie cu ali algoritmi simetrici.
RSA (Rivest, Shamir, Adleman) este cel mai utilizat standard pentru
criptare i semnare care folosete chei publice. Securitatea algoritmului are
la baz dificultatea factorizrii numerelor foarte mari. n principal RSA este
utilizat pentru generarea semnturilor digitale i criptarea unor volume mici
de date deoarece este destul de lent.
IDEA (International Data Encryption Algorithm) este un cifru bloc
simetric utilizat pentru criptarea unui bloc de date de lungime 64 de bii cu
ajutorul unei chei de 128 de bii. n prezent, este considerat ca fiind unul
dintre cei mai rapizi i mai siguri algoritmi. Decriptarea se face identic ca n
procesul de criptare, cu diferena utilizrii unui set diferit de chei,
determinat din cele utilizate la criptare.
Blowfish este un cifru bloc simetric, cu ajutorul cruia pot fi
criptate/decriptate blocuri de date de 64 de bii cu ajutorul unei chei de
lungime variabil. Este un algoritm rapid, imposibil de spart n varianta de
aplicare n 16 pai. Poate nlocui DES i IDEA. Decriptorul utilizeaz
aceleai operaii ca i algoritmul de criptare ns subcheile se aplic n
ordine inversa.
AES (Advanced Encryption Standard) este un algoritm simetric
utilizat pentru criptarea unui bloc de date de lungime 128, 192 sau 256 de
bii cu ajutorul unei chei cu aceeai lungime. Este un algoritm rapid i uor
de implementat. Este standardul actual cu chei simetrice. Algoritmul de
- 56 -
decriptare AES presupune inversarea funciilor utilizate la criptare i

aplicarea acestora n ordine invers.
Modalitile de generare, transmitere i gestionare a cheilor de
criptare afecteaz securitatea datelor stocate sau transferate n reea.
Neutilizarea cheilor de criptare slabe sau compromise constituie o sarcin
important a sistemului de gestionare a cheilor. Mecanismul Kerberos este
indicat pentru distribuia sigur a cheilor de criptare.
Schimbarea periodic automat a cheii de criptare reduce riscul
deducerii acesteia din secvena de date transmis.
Un alt serviciu de securitate, integritatea informaiilor, se refer la
acele metode de securitate care trebuie implementate pentru a se evita
modificarea sau tergerea fr autorizaie a informaiilor. Printre metodele
care pot asigura integritatea datelor se numr: tehnica hash, semnturile
digitale, certificatul digital i marcarea informaiilor.
Tehnica hash presupune utilizarea unei funcii de transformare prin
care se obine un cod unic de identificare a datelor. Dac informaiile
transmise sunt modificate n timpul transmisiei, acest cod unic nu se va mai
potrivi la recepie.
Semnturile digitale sunt o modalitate prin care se poate demonstra
autenticitatea originii unui mesaj dar i verificarea integritii acestuia. De
asemenea, semnturile digitale asigur non-repudierea mesajelor transmise
sau a serviciilor de reea folosite. Semnturile digitale se realizeaz prin
tehnici de criptare asimetric. Ele se realizeaz cu ajutorul cheii private i
sunt verificate la recepie cu ajutorul cheii publice. Exist numeroi
algoritmi pentru generarea semnturilor digitale, dintre care cel mai utilizat
este RSA.
- 57 -
Certificatele digitale asigur autenticitatea cheilor publice de

criptare. Certificatele sunt emise de ctre o autoritate de certificare. Aceasta
trebuie s se bucure de ncrederea mutual a entitilor care comunic.
Marcarea unui mesaj se realizeaz fie prin semnarea digital a
mesajului, fie prin ataarea unei informaii specifice pentru protecia
drepturilor autorului.
O reea de comunicaii poate fi vulnerabil la atacuri att din punct
de vedere hardware (atacul la integritatea fizic), ct i software
(posibilitatea folosirii neautorizate a informaiilor). Printre cele mai
importante categorii de atacuri se numr: atacurile locale i cele de la
distan, atacurile pasive i cele active.
Atacurile locale pot fi evitate prin distribuirea selectiv a drepturilor
utilizatorilor n reea, precum i educarea corespunztoare a acestora. I
n cazul atacurilor de la distan este dificil localizarea i
identificarea atacatorilor. Pentru evitarea atacurilor de la distan, pentru
realizarea controlului comunicaiei dintre o reea public i una privat, se
poate utiliza un firewall. VPN-urile reprezint reele virtuale private care
asigur comunicarea n mod sigur prin intermediul unei reele publice
nesigure. Acestea dou (firewall-ul i VPN-urile) au n comun faptul c
delimiteaz o zon de aprare n care accesul este restricionat.
Atacurile pasive sunt doar atacuri de intercepie. Atacatorul nu
modific n nici un fel informaiile transferate n reea dar le poate folosi n
alte scopuri i de aceea este necesar prevenirea i contracararea lor.
n schimb, atacurile active determin modificarea, deteriorarea sau
ntrzierea
informaiilor
transferate
comunicaii.
- 58 -
prin
intermediul
reelelor
de
Toate aceste tipuri de atacuri, pot fi evitate prin implementarea unor

tehnici de securitate corespunztoare, pe baza unor politici de securitate a
reelelor bine definite.
O categorie aparte o constituie atacurile criptografice care
acioneaz asupra criptosistemelor, prin care se urmrete determinarea
cheilor pentru decriptare sau obinerea mesajelor n clar. Cel mai cunoscut
atac criptografic este atacul brut, care const n testarea tuturor cheilor
posibile pentru determinarea celei corecte.
Prin implementarea unor tehnici de securitate adecvate ntr-o reea
de comunicaii se pot evita intercepia, accesarea i falsificarea informaiilor
n mod neautorizat. Cerinele de rapiditate i funcionalitate ale reelei
afecteaz de multe ori deciziile privind securitatea n detrimentul proteciei
datelor. Neactivarea opiunilor de securizare (WEP, WPA, WPA2, WPAPSK) conduce la creterea vitezei de transmisie dar permite preluarea
neautorizat a informaiilor.
O metod de reducere a interferenelor dintre canale i de cretere a
securitii comunicaiei o reprezint extensia spectrului semnalului transmis,
de exemplu cu salturi de frecven (FHSS) sau cu secven direct (DSSS),
pe baza unei secvene binare pseudoaleatoare. Necunoaterea acestei
secvene mpiedic detecia semnalului util i preluarea informaiei
transmise.
O metod de atac asupra reelelor este i cea de perturbare a
comunicaiilor radio (electronic warfare), de exemplu prin bruiaj, cu scopul
ntreruperii totale a acestora. Sunt trei categorii de msuri de protecie fa
de perturbaiile specifice comunicaiilor radio:
1. ECM (Electronic Counter Measure) pentru a opri folosirea
neautorizat a unei benzi de transmisie;
- 59 -
2. ESM (Electronic Support Measure) pentru intercepia, identificarea,

analiza i localizarea atacatorilor;
3. ECCM (Electronic Counter - Countermeasure) pentru planificarea i
proiectarea corespunztoare a reelei, respectiv a serviciilor de
securitate, n vederea prentmpinrii atacurilor asupra ei.
n prima categorie, ECM, sunt incluse metodele de protecie
antibruiaj, care pot folosi fie tehnici de extensie a spectrului, fie filtre
adaptate pentru maximizarea raportului de puteri semnal-zgomot de bruiaj.
Ca msuri de tip ECCM putem considera alegerea unei benzi de
frecvene liceniate, cu frecvene mai mari pentru care analizoarele de
spectru i alte echipamente s aib costuri suficient de mari pentru a fi
inaccesibile marii majoriti a hackerilor, protecia zonei de acoperire a
reelei WLAN la interferene radio cu ecrane adecvate, de exemplu ecrane
din aluminiu plasate n imediata vecintate a unui AP pentru a crete
raportul radiaiilor fa-spate i pentru a reduce ansele celor din exterior de
a intercepta (eavesdropping) sau de a perturba transmisia. Utilizarea
antenelor directive n locul celor omnidirecionale reprezint o soluie de
restrngere a ariei n care traficul de date prin unde radio poate fi
interceptat.
Prin combinarea diverselor metode de securizare a comunicaiilor
(autentificare, criptare, extensie de spectru) din reelele Wi-Fi simple sau
mixte (Wi-Fi i cablate) se asigur creterea gradului de securitate.
n standardul IEEE 802.11n adresat sistemelor MIMO (Multiple
Input Multiple Output) de Internet mobil, n care gradul de utilizare a
serviciului de roaming este deosebit de mare, trebuie prevzute msuri
adecvate i performante de reducere a riscurilor de securitate.
- 60 -
Msurile de securitate se pot aplica pe toate nivelele suitelor de

protocoale folosite (n particular, TCP/IP) fiind indicat folosirea
protocoalelor de securitate precum TLS (Transport Layer Security), SSL
(Secure Socket Layer), HTTPS (HyperText Transfer Protocol Secure), IPsec
(IP security) pentru a mpiedica preluarea pachetelor i a informaiilor
secrete sau confideniale transmise prin reeaua public. Serviciile oferite
prin intermediul paginilor web folosind protocolul HTTPS sunt mai sigure
deoarece folosesc un alt port pentru conexiunea realizat prin TCP (443) i
introduc operaii de criptare ntre nivelul de aplicaie pe care lucreaz
protocolul HTTP i cel de transport corespunztor protocolului TCP.
n concluzie, putem afirma c utilizarea msurilor de securitate
este destul de costisitoare ca pre i resurse astfel nct aplicarea lor se
justific pentru informaiile care necesit cu adevrat protecie (date de
identificare, parole, informaii de configurare, date confideniale, informaii
cu caracter secret mission-critical data).
II.2 ANALIZA SECURITII REELEI

Analiza securitii datelor ntr-o reea presupune n primul rnd
identificarea cerinelor de funcionare pentru acea reea, apoi identificarea
tuturor ameninrilor posibile (mpotriva crora este necesar protecia).
Aceast analiz const n principal n trei sub-etape:
analiza vulnerabilitilor - identificarea elementelor potenial slabe

ale reelei
- 61 -
evaluarea ameninrilor - determinarea problemelor care pot aprea

datorit elementelor slabe ale reelei i modurile n care aceste
probleme interfer cu cerinele de funcionare
analiza riscurilor - posibilele consecine pe care breele de securitate

le pot crea, gradul de admisibilitate a lor.
Urmtoarea etap const n definirea politicii de securitate, ceea ce
nseamn s se decid:
care ameninri trebuie eliminate i care se pot tolera
care resurse trebuie protejate i la ce nivel
cu ce mijloace poate fi implementat securitatea
care este preul (financiar, uman, social etc.) msurilor de securitate

care poate fi acceptat.
Odat stabilite obiectivele politicii de securitate, urmtoarea etap
const n selecia serviciilor de securitate funciile individuale care sporesc

securitatea reelei. Fiecare serviciu poate fi implementat prin metode
(mecanisme de securitate) variate pentru implementarea crora este nevoie
de aa-numitele funcii de gestiune a securitii. Gestiunea securitii ntr-o
reea const n controlul i distribuia sigur a informaiilor ctre toate
sistemele deschise ce compun reeaua, n scopul utilizrii serviciilor i
mecanismelor de securitate i al raportrii evenimentelor de securitate ce pot
aprea ctre administratorii de reea.
- 62 -
II.3 MODELE DE SECURITATE

O reea de calculatoare este un sistem complex cu muli utilizatori,
cu drepturi diferite de utilizare a resurselor, iar securitatea acesteia trebuie
asigurat modular, pe mai multe nivele: fizic, logic i informaional.
Modelul de securitate centrat pe informaie sau pe subiect are mai
multe straturi care reprezint nivelele de securitate (figura II.1). Acestea
ofer protecie subiectului ce trebuie securizat. Fiecare nivel izoleaz
subiectul i l face mai dificil de accesat n alt mod dect cel n care a fost
prevzut. Acest model este denumit sugestiv n literatura de specialitate
modelul ceap (onion model). Fiecare nivel sau strat ofer un plus de
securitate informaiei cu caracter secret.
Nivelele de securitate din acest model au urmtoarele semnificaii:
SF
- Securitatea fizic;
SLA
- Securitatea logic a accesului;
SLS
- Securitatea logic a serviciilor;
SI
- Secretizarea informaiei;
II
- Integritatea informaiei.
Un sistem de securitate funcional trebuie s asigure accesul la

resurse prin verificarea drepturilor de acces pe toate aceste nivele, fr
posibiliti de evitare a lor.
- 63 -
Figura II.1 Modelul stratificat de securitate
Modelul de securitate stratificat se preteaz cel mai bine ntr-un

anumit nod de reea. Dar procesele de comunicaie implic dou sau mai
multe noduri de reea precum i cile de transmisie dintre acestea. Prin
urmare, securitatea trebuie urmrit n fiecare nod al reelei dar i pe fiecare
cale sau flux de comunicaie (flow) din reea.
Pentru
modelarea
serviciilor
de
securitate
din
sistemele
informatice, se folosete i modelul distribuit de securitate, de tip arbore

(Figura II.2).
- 64 -
Figura II.2 Model de securitate arborescent
Modelul de securitate de tip arbore trebuie aplicat n cazul n

care se acceseaz resurse distribuite pe mai multe servere din reea.
Informaiile sunt transferate de la nodul-surs la nodul-destinaie prin
intermediul mai multor noduri de reea i pe diverse ci fizice de
comunicaie, cu sau fr fir. Gradul de securitate oferit unui proces de
transfer de date n reea va fi dat de cel mai slab segment al cii de
transfer (nod sau canal de comunicaie). De aceea, pentru reducerea
riscurilor de securitate din reea, este necesar securizarea tuturor
segmentelor implicate n procesul de comunicaie la gradul de securitate
dorit pentru fiecare mesaj.
Clientul este reprezentat ca nod-rdcin n diagrama de mai sus,
serverele ca noduri-terminale, iar echipamentele de comunicaie din reea ca
i noduri intermediare. n fiecare nod se poate aplica primul model de
securitate centrat pe subiect. Conexiunile dintre noduri sunt cile fizice de
comunicaie, de tip radio sau cablate. n cazul reelelor cu topologie
redundant, de tip plas (mesh) este dificil de identificat arborele de
- 65 -
comunicaie dar acesta poate fi impus prin decizii de rutare strict pe o

anumit cale din reea.
Pentru rutarea unui pachet cu un anumit grad de securitate
specificat este necesar definirea unei metrici de securitate care s poat fi
aplicat n graful reelei. Spre deosebire de metricile uzuale folosite de
algoritmii de rutare, metrica viznd securitatea trebuie s includ i nivelul
de securitate oferit de nodurile care delimiteaz un arc din graf. De
asemenea, este util folosirea grafurilor orientate i reprezentarea separat a
cilor de transmisie de tip up-link i down-link dintre dou noduri de reea,
n cazul comunicaiilor asimetrice, cu medii i tehnologii diferite de
transmisie. Metrica de securitate se va stabili pe baza riscului de securitate
pe care l prezint un anumit element din graful reelei. Decizia privind ruta
optim din punct de vedere al securitii transmisiei va viza reducerea
riscului de securitate la nivelul impus de costurile maxim admise. Gradul de
securitate al unui pachet poate fi exprimat prin biii opionali de securitate
inclui n antetul pachetului.
Modelul de securitate arborescent este deosebit de util pentru
analiza atacurilor distribuite lansate n reea din i spre mai multe noduri,
pentru a fi mai greu de identificat atacatorul i pentru a crete eficiena de
atac.
Monitorizarea proceselor de comunicaie i a evenimentelor de
securitate, simultan cu clasificarea i ierarhizarea lor pe mai multe grade de
risc pe principiul sistemelor fuzzy, permite stabilirea unei strategii de
securitate optime i aplicarea unor msuri eficiente de contraatac folosind
modelul arborescent de securitate.
n domeniul reelelor de comunicaii, s-au propus diverse modele
securitate de ctre firmele productoare de echipamente i de programe
- 66 -
software, pentru diferite domenii de aplicabilitate care necesit protecia

informaiilor cu caracter privat sau confidenial (n domeniul sntii
populaiei HIPAA - Health Insurance Portability and Accountability Act, n
domeniul financiar-bancar i de asigurri GLBA - Gramm-Leach-Bliley Act,
precum i n cel al plilor prin intermediul cardurilor bancare PCI DSS Payment Card Industry Data Security Standard i altele).
II.4 SECURITATEA FIZIC

Securitatea fizic (IRL - in real life security) trebuie s constituie
obiectul unei analize atente n cazul reelelor de comunicaii. Aceasta
cuprinde att securitatea mediului de transmisie, ct i a tuturor
echipamentelor din reea.
Securitatea fizic reprezint nivelul exterior al modelului de
securitate i const, n general, n protecia sub cheie a echipamentelor
informatice ntr-un birou sau ntr-o alt incint precum i asigurarea pazei i
a controlului accesului.
Conform statisticilor 80 % din atacuri pornesc din interiorul reelei.
Este foarte dificil s se obin o schem complet a tuturor entitilor
i operaiilor active la un moment dat n reea, deoarece acestea sunt sisteme
complexe, cu un numr foarte mare de echipamente, n particular
calculatoare (uneori de ordinul sutelor de mii sau milioanelor la nivel
macro), i cu numeroase linii de legtur. Din aceast cauz, reelele de
comunicaii sunt aproape imposibil de administrat manual n mod eficient,
ele devenind vulnerabile la diferite atacuri externe, dar i interne.
- 67 -
Aceast complexitate este generat de:

dispersarea geografic, uneori intercontinental a componentelor
reelei;
implicarea mai multor organizaii n administrarea unei singure
reele;
existena unor tipuri diferite de echipamente i sisteme de operare;
existena unui numr foarte mare de entiti n reea.
Personalul care se ocup de administrarea reelei trebuie s asigure i
s respecte msurile de bun funcionare i securitate fizic prevzute de
politica de securitate a reelei:
cablurile i echipamentele distribuite din reea trebuie s fie protejate
prin montarea acestora pe perete, n locuri cu trafic redus pentru a se
evita defectarea lor accidental sau intenionat;
serverele de reea trebuie protejate de accesul fizic neautorizat al
unor persoane, prin amplasarea acestora n incinte nchise, cu acces
restricionat;
echipamentele din reea trebuie protejate de anumite perturbaii de
tensiune din reeaua de alimentare cu energie electric, folosind
surse de energie electric nentreruptibile (UPS - Uninterruptible
Power Supply), care trebuie s asigure funcionarea nentrerupt a
celor mai importante echipamente din reea;
accesul fizic la componentele critice din reea trebuie securizat
folosind dispozitive cu chei, carduri sau coduri de acces, senzori de
micare, de identificare biometric (amprente digitale, semnatur,
voce, forma minii, imaginea retinei sau a feei etc.);
- 68 -
Tehnicile de identificare biometric sunt relativ scumpe n

comparaie cu cele clasice i deseori incomode sau neplcute la utilizare, dar
se dovedesc a fi cele mai eficiente pentru securizarea accesului fizic la reea.
Securitatea fizic poate fi asigurat prin:
amenajarea adecvat a spaiului reelei astfel nct s fie descurajate

eventualele tentative de intruziune (IPS Intrusion Prevention
System);
restricionarea, controlul i monitorizarea video a accesului fizic;
detectarea intruilor (IDS Intrusion Detection System) din spaiile

nesupravegheate cu ajutorul sistemelor automate de alarmare (RAI
Remote Alarm Indicator).
Msurile de securitate fizic a reelei se stabilesc pe baza analizei
riscurilor i vulnerabilitilor de securitate ale reelei, pe baza politicii de

securitate adoptate i se implementeaz de ctre grupul de administrare
folosind diferite produse software i hardware.
II.5 SECURITATEA LOGIC

Securitatea logic se refer la protecia accesului logic la resursele i
serviciile de reea. Aceasta se realizeaz prin metode i faciliti software
care asigur controlul drepturilor de acces i utilizare.
Se disting dou mari nivele de securitate logic, fiecare cu mai multe
subnivele:
securitatea logic a accesului (SLA) care include: accesul la

sistem/reea, la contul de utilizator i la documente (fiiere).
- 69 -
securitatea logic a serviciilor (SLS) care cuprinde accesul la

serviciile de sistem/reea pe baza listelor de ateptare, intrare/ieire
de pe disc, controlul i gestionarea serviciilor (management).
Controlul serviciilor (CS) monitorizeaz i raporteaz starea
serviciilor, activeaz sau dezactiveaz serviciile oferite de sistem i de reea.

Drepturile la servicii (DS) stabilesc cine i cum folosete un anumit
serviciu.
II.5.1 SECURITATEA LOGIC A ACCESULUI

n orice reea de calculatoare, sistemul de securitate trebuie s
determine care sunt persoanele autorizate, vizitatorii sau categoriile de
utilizatori indezirabili, neautorizate.
De regul, identificarea, autentificarea i autorizarea persoanelor cu
drept de acces se realizeaz prin intermediul numelor i al parolelor de
utilizator.
Parolele sunt utilizate pentru a se permite accesul la calculatoarele
din reea, fie ca utilizatori, fie n grupuri de utilizatori.
Sistemul parolelor, orict de complex, nu ofer un nivel de securitate
suficient, acesta depinznd n mod esenial de modul de pstrare a
caracterului lor secret.
De cele mai multe ori, utilizatorii i aleg parole cu un numr mic de
caractere, redundante i cu o anumit semnificaie care s le permit
memorarea uoar a acestora (nume, date importante, numere de main
etc.) toate fiind vulnerabile n faa unor sprgtori calificai care dein deja
unele informaii private. Programele actuale de baleiere a seturilor de
- 70 -
caractere pentru atacul brut de deducere a parolei sau a codului de acces

sunt destul de performante.
O greeal comun a celor mai puin avizai o reprezint pstrarea
parolelor sub form scris, pe hrtie sau n documente electronice, de teama
de a nu fi uitate.
Creterea securitii logice accesului la conturile de utilizator este
posibil prin folosirea unor parole sub forma unor combinaii de caractere
aleatoare, relativ lungi, schimbate periodic, accesibile doar persoanelor
autorizate i de ncredere. n cazul sistemelor care vehiculeaz informaii cu
caracter secret (confideniale sau private), parolele sunt atribuite de
persoanele
responsabile
de
securitatea
sistemului,
particular,
administratorul de reea.
Avnd n vedere importana parolelor n sistemul de securitate al
reelei, se impune respectarea unor reguli de alegere, gestionare i pstrare a
parolelor, stabilite n cadrul politicii de securitate:
1. Parolele sunt iruri de caractere alfanumerice cifre, litere mari i
mici, alte caractere, ordonate aleator. Pentru o parol de 4 caractere
trebuie ncercate circa 256000 de combinaii dar sistemele actuale
sunt suficient de performante pentru a o deduce n doar cteva
minute. Combinaiile scurte de caractere sunt vulnerabile fa de
profesioniti. Se impune alegerea unei combinaii ct mai lungi, de
tip passphrase fa de care atacul brut s devin ineficient. La o
astfel de combinaie apare problema memorrii sau a transferului ei
n condiii de siguran.
2. Parolele trebuie s fie schimbate periodic, mcar o dat la 6 luni, dar
pentru informaiile deosebit de importante se impun termene i mai
scurte.
- 71 -
3. Parolele comune trebuie nlocuite imediat ce o persoan prsete un

grup. De aceea este indicat ca includerea unei persoane ntr-un grup
s se fac abia dup ce s-a dovedit a fi de ncredere i stabil.
4. Parolele trebuie s fie schimbate imediat ce apar unele bnuieli
privind cunoaterea lor de persoane neautorizate sau atunci cnd, din
anumite motive, secretul lor a trebuit s fie dezvluit pentru
redresarea unei stari de urgenta.
5. Parolele trebuie s fie inute minte i nu scrise, cu excepia celor
pentru situaii de urgen. Fiecare parol scris se pstreaz ntr-un
plic sigilat pe care sunt nscrise detalii privind echipamentul la care
poate fi folosit i numele celor autorizai s o foloseasc. Dup
ruperea sigiliului, pe plic vor fi scrise data i numele celor care au
aflat parola. Plicurile cu parole se pstreaz n condiii de siguran,
de ctre persoana responsabil de securitatea reelei.
6. Dac parolele-duplicat se pstreaz stocate pe calculator, astfel de
fiiere trebuie s fie protejate mpotriva accesului neautorizat i
create copii de siguran. Listele cu parole pot fi memorate n form
criptat.
7. Parolele nu trebuie afiate pe echipamentele din configuraia
sistemului, iar la introducerea acestora de la tastatur nu trebuie s se
afle persoane strine n preajm.
8. Pentru blocarea operaiunilor de gsire a parolelor i a codurilor de
acces prin ncercri repetate, de ordinul miilor, echipamentul de
reea trebuie s permit un numr limitat de ncercri de introducere
a acestora, uzual trei, urmat de perioade de refuz al accesului. Dac
limita a fost depit de ctre utilizator, intenia trebuie raportat
administratorului de reea, nsoit de un semnal sonor specific de
- 72 -
avertizare. Acesta trebuie s blocheze terminalul de la care s-au

efectuat prea multe ncercri euate i de asemenea tot el l va repune
n funciune. n cazul sistemelor speciale, se recomand i
supravegherea slii sau a locului de unde s-a ncercat accesarea prin
parole eronate repetate, pentru identificarea persoanei respective.
9. Odat ce au ptruns n sistem, utilizatorilor nu trebuie s li se
permit schimbarea identitii cu care au efectuat deschiderea
sesiunii i nici s acceseze documente sau resurse alocate altor
utilizatori. n reelele cu un numr foarte mare de utilizatori se
recomand folosirea unor programe software pentru securizare, cu
control automat al accesului n reea, fr intervenia explicit a
administratorului.
10. Dac un terminal funcioneaz o perioad lung de timp, procesul de
autentificare trebuie reluat la intervale regulate de timp pentru a se
asigura c nu folosete altcineva sistemul. Dac terminalul rmne
neutilizat, dar deschis i nesupravegheat, acesta trebuie s se
ncuie (lock) automat dup un anumit interval de timp, pentru a
evita folosirea unui cont autorizat de acces de ctre persoane ru
intenionate.
11. La deschiderea unei noi sesiuni de lucru, utilizatorului trebuie s i se
aduc la cunostin cnd a fost accesat ultima dat sistemul cu parola
respectiv, pentru a observa dac altcineva a folosit-o ntre timp.
12. n cazul accesrii unor resurse informaionale deosebit de
importante, precum baze de date, fiiere de configurare, servere,
fiiere din sistemul de operare, liste cu parole, etc. se impune
controlul dual al parolei iar cele dou persoane responsabile
- 73 -
trebuie s fie contiente de riscurile i consecinele declanrii unor

operaiuni mpotriva reelei.
II.5.2 SECURITATEA LOGIC A SERVICIILOR

Dup realizarea identificrii sau legitimrii persoanei, n urma
creia se obine accesul fizic la resursele reelei, se realizeaz introducerea
parolei fie direct de la tastatur, fie prin introducerea ntr-un echipament
special a unui document care s conin parola (de exemplu, un cititor de
card), obinndu-se astfel i accesul logic la resursele reelei.
Serverul de autentificare verific parola pe baza unei liste pentru
controlul accesului stocate ntr-o baz de date local sau la distan. Pe
baza numelui i parolei, utilizatorului i se permite accesul i i se garanteaz
respectarea privilegiilor predefinite la anumite resurse ale sistemului, cum ar
fi:
Drept de execuie - prin care poate lansa n execuie un program,
dar nu i se permite s modifice structura acestuia;
Drept de citire - prin care poate citi un fiier, dar nu i este permis
nici o alt operaiune;
Drept de scriere - prin care i se ofer posibilitatea de scriere a
datelor n fiierul deschis, dar i se interzic alte operaiuni;
Drept de citire / scriere - prin care poate citi fiierul i i se ofer i
posibilitatea de scriere n el;
Drept de tergere - prin care utilizatorul poate efectua tergerea
unor date din fiiere.
- 74 -
Sistemele de operare actuale ofer metode de administrare a

drepturilor de acces al fiierelor pentru anumii utilizatori sau grupuri de
utilizatori. Aceste sisteme au capacitatea de a controla operaiile ce pot fi
realizate asupra fiierelor din sistem.
Pentru ilustrarea modului n care se pot realiza limitrile la serviciile
i resursele unui sistem, se consider drept exemplu, sistemul de operare
UNIX, n care permisiunile de acces sunt exprimate printr-o secven de 10
caractere format din:
primul caracter ilustreaz tipul fiierului ( - pentru fiier obinuit,

d pentru director, l pentru un link etc.);
trei grupuri de cte trei caractere fiecare: primul grup specific

operaiile permise proprietarului resursei (owner), cel de-al doilea
triplet se refer la drepturile acordate grupului de utilizatori (group),
iar cel de-al treilea exprim permisiunile celorlali utilizatori
(others), alii dect proprietarul i grupul cruia i aparine acesta.
Fiecare grup de 3 caractere are urmtoarea semnificaie:
primul caracter exprim dreptul sau interdicia de citire (r - read);
cel de al doilea caracter exprim dreptul sau interdicia de scriere

(w - write);
cel de-al treilea caracter exprim dreptul sau interdicia de execuie

(x - execute).
Exemplu: Secvena - rwxr-xr-- nseamn c pentru un fiier obinuit
proprietarul poate realiza toate tipurile de operaii, n timp ce cei din

grupul su pot citi sau lansa n execuie fiierul, restul utilizatorilor fiindu-le
permis numai operaia de citire.
Secvena de exprimare a drepturilor de utilizatori poate fi echivalat
cu o valoare numeric octal, corespunztoare unei secvene de 9 bii.
- 75 -
Fiecare bit are semnificaia corespunztoare poziiei sale, conform regulilor

de mai sus, valoarea 1 exprim dreptul de operare iar 0 interdicia de
efectuare a acelei operaii.
Exemplu: Dac se exprim n binar secvena de drepturi din
exemplul anterior, se obine irul de bii 111101100 i secvena octal 754.
Pe tot parcursul accesrii reelei, trebuie monitorizat accesul la
servicii i resurse informaionale pentru a depista eventualele tentative sau
evenimente de fraud, prin depirea restriciilor impuse de ctre
utilizatorii autorizai ai reelei. Pentru un numr mare de utilizatori activi la
un anumit moment n reea, este necesar utilizarea unor programe de
securitate cu faciliti de monitorizare automat a accesului la servicii i
resurse, precum i de soluionare automat a evenimentelor de securitate,
prin punerea n carantin a anumitor utilizatori i/sau echipamente cu risc
crescut, urmat eventual de restricionarea accesului i chiar excluderea
acestora din reea. Restriciile pot fi impuse pe diferite criterii:
adrese de reea
adrese MAC
porturi logice
nume de utilizatori
temporale (anumite zile i ore)
ierarhice, conform funciei fiecrui utilizator.

Drepturile utilizatorilor i grupurilor de utilizatori, restriciile care
trebuie impuse i criteriile de stabilire a acestora sunt incluse n politica de

securitate a reelei.
- 76 -
II.6 SECURITATEA INFORMAIILOR

Secretul transmisiei, confidenialitatea mesajelor i autentificarea
surselor de informaie se asigur prin diveri algoritmi de criptare a datelor.
Criptografia reprezint o ramur a matematicii, care se ocup cu
securizarea informaiei, precum i cu autentificarea i restricionarea
accesului ntr-un sistem informatic. n realizarea acestora se utilizeaz
metode matematice, bazate de exemplu pe dificultatea factorizrii
numerelor foarte mari.
Criptarea (encryption) reprezint procesul de conversie a
informaiei obinuite (text n clar - plaintext - M) ntr-un text neinteligibil
(text cifrat - ciphertext - C), cu ajutorul unei chei de criptare, K E :
C = E K E (M )
Decriptarea (decryption) este inversul criptrii, adic, trecerea de la

textul cifrat, neinteligibil, la textul original, cu ajutorul unei chei, K D .
M = D K D (C )
Modul de operare detaliat al unui criptosistem este controlat de
algoritmii folosii pentru criptare i pentru decriptare precum i de
secvenele-cheie.
Termenul cheie se refer la informaia necesar pentru a cripta sau
a decripta datele. Securitatea unei chei este deseori discutat n termeni de
lungime sau de numr de bii ai acesteia, dar nu mrimea cheii este singura
garanie a robusteii sistemului de securitate a reelei.
Exist dou categorii de tehnici de criptare, definite n funcie de
tipul de cheie utilizat:
criptarea cu cheie secret;
- 77 -
criptarea cu cheie public.

Criptosistemele mixte, care utilizeaz mai multe chei de transmisie,
de exemplu una secret i alta public, se dovedesc a fi superioare ca

performane celor cu cheie unic.
Criptosistemele cu spectru extins care se utilizeaz pentru
comunicaii de band larg (broadband communications), n sisteme radio
terestre sau prin satelit, respectiv pe fibr optic, folosesc secvene-cheie
pseudoaleatoare, care prin periodicitatea lor sunt vulnerabile n faa
atacurilor statistice.
Se cunosc numeroase tehnici de criptare bazate pe algebr (Laplace),
topologie matematic i geometrie (Poincar) sau combinatoric. Multe
dintre acestea utilizeaz sisteme liniare, relativ uor predictibile.
Algoritmii de criptare utilizai n prezent (DES, 3DES, RSA, MD4,
MD5, SHA-1) sunt relativ robuti fa de diverse metode de atac dar devin
vulnerabili din cauza lungimii finite a cheilor de criptare i prin faptul c au
fost studiai n detaliu de mult timp. De aceea, se dezvolt noi algoritmi de
criptare a datelor mai performani, cu timp redus de procesare i diversitate
mare a cheilor de criptare, bazai pe noi teorii matematice i fizice
(criptografie cuantic, criptografie haotic). Metodele bazate pe teoria
haosului pot fi aplicate cu succes pentru secretizarea transmisiei (vezi
sistemul lui Baptista, simplu sau modificat) i pot fi aplicate i n spaii
multidimensionale (ca n cazul imaginilor digitale 2D i 3D, respectiv
pentru transmisii simultane de date-voce, audio-video etc).
Principiul criptografiei bazate pe teoria haosului este dat de difuzia
i confuzia parametrilor traiectoriilor generate pe baza cheii de criptare i a
mesajului transmis. La mici variaii ale cheii de transmisie trebuie s apar
modificri extreme ale traiectoriei din spaiul fazelor pentru sistemul
- 78 -
dinamic utilizat. Astfel se asigur rezistena criptosistemului fa de

atacurile brute bazate pe ncercarea tuturor cheilor posibile de transmisie.
Traiectoriile haotice nu sunt nici periodice, nici cvasiperiodice, i au
un aspect aleator, cu un spectru de putere de tip zgomot alb (de band
larg).
Nici un calculator i nici un program software nu poate prezice
traiectoria unui sistem dinamic haotic deoarece complexitatea algoritmic a
traiectoriilor este pozitiv, fiind dat de entropia K-S (KotulskiSzczepanski) a sistemului. Pe acest fapt se bazeaz ideea proiectrii unor
tehnici eficiente de criptare a datelor pe baza teoriei haosului astfel nct
entropia sistemului s creasc prin codare i
s depeasc limitele
capacitii computaionale a criptanalistului.

Criptosistemele bazate pe haos utilizeaz sisteme dinamice discrete,
descrise de ecuaii funcionale de stare n care se utilizeaz o funcie f de
dinamic a sistemului, liniar sau neliniar, extrem de sensibil la
condiiile
iniiale
care
determin
mod
unic
evoluia
strilor
criptosistemului i permite decodarea necatastrofic a secvenei codate.

x[n+1] = f(x[n], n)
(n - variabila discret de timp).
Se prefer utilizarea sistemelor dinamice neliniare care pot avea n

regim permanent mai multe mulimi limit, cu bazine de atracie diferite,
dependente ntr-un mod foarte sensitiv de condiia iniial, astfel nct
devine imposibil predicia pe termen lung a strii acestora.
Pentru generarea cheilor de criptare se poate folosi funcia logistic
neliniar urmtoare:
xk +1 = Rxk (1 x k ), k = 0,1, 2..., xk (0, 1), R (0, 4), x0 0.
- 79 -
Se pot utiliza si alte funcii logistice neliniare (triunghiulare

simetrice sau n form de dini de fierstru, exponeniale sau
logaritmice).
Cheia de transmisie, introdus de exemplu ca parol de utilizator cu
lungime neimpus, este utilizat pentru iniializarea sistemului haotic care
genereaz cheia de criptare pe toat durata transmisiei.
Reducerea lungimii cheii de transmisie determin creterea
redundanei secvenei criptate i a riscului de deducere a ei de ctre
criptanalist.
Pentru reducerea anselor atacurilor criptografice, lungimea cheii de
criptare trebuie s fie comparabil cu cea a mesajului.
II.6.1 CRIPTAREA CU CHEIE SECRET

Criptosistemele convenionale au fost concepute pe principiul cheii
secrete, cu o funcie de criptare inversabil cunoscut doar de utilizatori.
Cheia secret constituie punctul vulnerabil al sistemului deoarece odat
aflat, securitatea tuturor informaiilor transmise este compromis.
Decriptorul aplic funcia invers pentru deducerea secvenei originale,
folosind aceeai cheie ca la criptare (Figura II.3).
- 80 -
Figura II.3 Schema de principiu a unui sistem de comunicaii

cu criptare cu cheie secret
Criptarea cu cheie secret, cunoscut sub numele de criptare

simetric, utilizeaz o singur cheie, K, pentru a cripta i decripta datele.
K = K E = K D C = E K (M ) , M = DK (C )
Securitatea algoritmului cu cheie secret depinde deseori de ct de
bine este pstrat sau distribuit cheia secret.
Algoritmii cu chei secrete se mpart n dou mari categorii:
algoritmi bloc (block cipher), care proceseaz blocuri de date de

lungime fix;
algoritmi de iruri (stream cipher), care proceseaz la un moment

dat un singur bit sau simbol.
Printre avantajele criptrii cu cheie simetric se numr rapiditatea
procesului de criptare i simplitatea utilizrii acestuia. Dezavantajele acestei

tehnici sunt legate de necesitatea distribuirii n siguran a cheii secrete i de
managementul cheilor.
Printre algoritmii de criptare de tip bloc, cu cheie simetric, se
numr:
DES
- Data Encryption Standard
- 81 -
3DES - Triple DES
IDEA - International Data Encryption Algorithm
AES
Blowfish
- Advanced Encryption Standard
Dintre algoritmii de criptare bazai pe iruri, se remarc:
RC4
SEAL - Software-Optimized Encryption Algorithm
Cifrurile de transpoziie (modific ordinea simbolurilor din ir, dup
- Rons Cipher 4
o anumit regul)
Cifrurile de substituie (se nlocuiesc litere sau simboluri, singure

sau n grup, cu altele generate pe baza unor tabele de substituie).
II.6.2 CRIPTAREA CU CHEIE PUBLIC

Un criptosistem cu cheie public, bazat pe funcii greu inversabile,
folosete de fapt o funcie inversabil ntr-un singur sens (one-way
function), a crei invers nu poate fi calculat practic ntruct acest calcul
implic depairea fie a capacitii sistemelor de calcul utilizate, fie a
timpului n care informaiile transmise sunt valabile i considerate secrete
(Figura II.4).
Figura II.4 Schema de principiu a unui sistem de comunicaii
- 82 -
cu criptare cu cheie public
Acest principiu de criptare a fost propus n 1976 de doi cercettori,

Diffie i Hellman (DH).
Criptarea cu cheie public sau criptarea asimetric utilizeaz o
pereche de chei. Una dintre aceste chei, cheia public ( K E ), este utilizat
pentru criptarea informaiilor i se caracterizeaz prin faptul c este
distribuit n reeaua public de comunicaii, n timp ce cealalt cheie,
numit cheia secret ( K D ), folosit pentru decriptarea informaiilor trebuie
s aib caracter secret. Din cheia public, este imposibil s se determine
cheia secret.
K E K D => C = E K E (M ) , M = DK D (C )
Algoritmii cu cheie public se bazeaz, cel mai adesea, pe
complexitatea calculelor i operaiilor care trebuie realizate. Ele pot fi
utilizate pentru generarea semnturilor digitale.
Cheile private corespunztoare cheilor publice trebuie ntotdeauna
securizate i transmise pe canale de comunicaii securizate. Unul dintre
mecanismele utilizate pentru stocarea cheii private este cardul inteligent
(smart card), un dispozitiv electronic asemntor unei cri de credit. Un
card criptografic are abilitatea de a genera i stoca chei. Acesta poate fi
vulnerabil la atacuri, dar ofer o mai mare securitate fa de procedeul de
stocare a cheilor private pe un calculator.
Printre algoritmii cu cheie public se numr:
RSA - Rivest, Shamir, Adelman
El Gamal
DH - Diffie-Hellman.
- 83 -
II.6.3 MANAGEMENTUL CHEILOR

Una dintre problemele fundamentale att n sistemele de
criptografice cu cheie public, ct i n cele cu cheie secret, o reprezint
modalitatea de distribuire i pstrare n mod securizat a cheilor utilizate
pentru criptare i decriptare.
Algoritmii cu cheie secret depind de obinerea n mod securizat a
cheii de ctre toate prile implicate.
Mecanismul de management al cheilor include mai multe aspecte:
Generarea la secret a cheilor
Distribuia securizat a cheilor
Stocarea, eventual arhivarea cheilor n mod securizat
Pstrarea istoricului utilizrii cheilor (cine i ce chei a folosit deja)
prin procesul de audit al cheilor
Eliminarea cheilor deja compromise.
Toate aceste procese sunt importante pentru securitatea reelei de
comunicaii.
Insecuritatea
unui
singur
proces
afecteaz
sigurana
transmisiilor din reea.

Parolele implicite constituie un punct slab n securitatea reelei sau o
vulnerabilitate critic. Acestea trebuie schimbate de la prima utilizare pentru
a securiza entitatea n cauz (echipament, cont de utilizator etc).
Folosirea unor parole sau chei foarte simple (secvene de caractere
identice, de exemplu 1 sau 0, sau alte combinaii simple, abcd,
1234) sunt primele ncercate de cei care ncearc s sparg sistemul de
securitate, deci devin puncte de vulnerabilitate n sistem.
- 84 -
Referitor la distribuia cheilor, sistemul de pot electronic nu este

considerat un mecanism securizat de distribuire a cheilor, deoarece exist
teri care l pot intercepta n tranzit.
De fapt, dificultatea de a gestiona cheile de transmisie crete odat
cu numrul de utilizatori din reea.
O problem a criptografiei cu cheie secret este faptul c nu este un
sistem la fel de scalabil ca i criptarea cu cheie public.
De exemplu, n cazul n care se dorete trimiterea unui mesaj criptat
cu o cheie secret ctre mai muli destinatari, toi trebuie s primeasc cheia
prin care s se poat decripta mesajul. Astfel, expeditorul trebuie s se
asigure de faptul c toi destinatarii recepioneaz cheia, c aceasta nu este
interceptat sau compromis n timpul tranzitului i c este pstrat n mod
securizat la destinaie. Pentru fiecare mesaj nou trimis, procesul trebuie s
se repete, cu excepia faptului cnd se dorete reutilizarea cheii iniiale.
Reutilizarea cheii originale sporete ansele ca aceasta s fie
compromis, iar n cazul n care se dorete ca fiecare destinatar s aib o
cheie secret, sistemul de distribuie nu mai este practic.
Prin utilizarea criptografiei cu cheie public are loc un singur schimb
de chei publice pentru fiecare destinatar, iar acest lucru poate fi uurat prin
plasarea acestora ntr-un director.
Sistemul de gestiune a cheilor trebuie s le clasifice pe acestea n
chei tari i chei slabe pentru a distribui numai chei tari, i, n plus, este
necesar eliminarea cheilor deja compromise. ns nu n toate situaiile de
interceptare a cheii, reeaua poate s sesizeze acest fapt. De exemplu, n
reelele wireless este dificil de urmrit intruii pasivi, care ascult reeaua
i preiau pachetele din care extrag cheia de transmisie prin diferite metode
de atac criptografic sau preiau vectorii de iniializare transmii n clar.
- 85 -
Sunt necesare mecanisme specializate de distribuie a cheilor, astfel

nct nici mcar serverul care intermediaz transferul s nu cunoasc
secvenele-cheie folosite la criptare. De asemenea, este necesar dubla
autentificare, a clienilor ctre server i a serverului de chei ctre clieni,
pentru a se evita ptrunderea n reea a unor intrui neautorizai.
n acest sens, sunt indicate mecanisme de autentificare Kerberos sau
RADIUS, precum i metode de criptare P2P (Peer-to-Peer) pentru
conexiuni n pereche ntre clieni.
II.7 INTEGRITATEA INFORMAIEI

Termenul de integritate a datelor sau informaiilor semnific faptul
c acestea nu pot fi create, modificate sau terse fr autorizaie.
Integritatea informaiei se poate asigura prin mai multe metode:
tehnica rezumatului
semntura digital
certificatul digital
marcarea coninutului.
Codarea fiecrui cadru de date transmis n reea folosind un cod
ciclic de verificare a redundanei (CRC) permite verificarea la recepie a

integritii datelor i rejectarea celor modificate, accidental sau cu intenie.
Rezumatul electronic permite verificarea integritii datelor stocate
sau transmise i identificarea informaiilor false sau eronate transmise n
mod neautorizat.
- 86 -
Semnturile digitale atest autenticitatea informaiilor, faptul c

acestea sunt transmise de surse autorizate, i nu permit repudierea
mesajelor.
Autentificarea originii datelor (message authentication)
include integritatea datelor.

Certificatele
digitale
se
utilizeaz
pentru
autentificarea
echipamentelor din reea i realizarea unor interconexiuni sigure. Sunt

indicate n mod special n reelele wireless, pentru a evita accesul
neautorizat al unor echipamente.
Marcarea mesajelor se folosete pentru aplicarea dreptului de autor
n cazul documentelor electronice.
II.7.1 TEHNICA HASH

Integritatea datelor reprezint un aspect extrem de in important ce
trebuie avut n vedere la comunicaiile prin intermediul reelelor publice,
ntruct aceste date pot fi interceptate i modificate.
Pentru a preveni modificarea unui mesaj sau pentru a putea verifica
dac mesajul recepionat este identic cu cel transmis, se utilizeaz o tehnic
specific, tehnica hash sau tehnica rezumatului, care permite generarea
unei secvene de identificare a datelor transmise, denumit rezumatul
datelor (message digest). Rezumatul unui mesaj se construiete prin
aplicarea unei funcii de transformare (funcie hash), care se caracterizeaz
prin faptul c furnizeaz la ieire un ir de date de lungime fix, o valoare de
transformare (hash value), atunci cnd la intrare se aplic un ir de date cu
- 87 -
lungime variabil. Sensul unic de transformare asigur faptul c nu se pot

deduce datele de intrare pe baza celor de ieire.
Funcia hash ne asigur c datele transmise la intrarea n reea sunt
aceleai cu cele primite la destinaie, metoda fiind oarecum asemntoare cu
suma de control (checksum) dintr-un segment folosit pentru controlul
erorilor. n urma aplicrii unei funcii hash la un pachet de date, nainte de
transmisie, va rezulta o valoare fix, care este apoi recalculat la recepie. n
cazul n care cele dou valori sunt identice, se trage concluzia ca datele nu
au fost alterate din punct de vedere al securitii. Dac datele sunt
modificate n tranzit, la destinaie se va obine o alt valoare de
transformare, ceea ce va indica falsificarea datelor. Prin utilizarea unei
funcii hash, chiar i o mic modificare a coninutului va crea mari diferene
ntre valorile hash de la transmisie i recepie.
Funciile hash criptografice sunt utilizate pentru autentificarea
mesajelor, controlul integritii datelor, verificarea parolelor i realizarea
semnturilor digitale, n diferite aplicaii de securitate a reelelor de
comunicaii.
Funciile hash se clasific n dou mari categorii:
1. Coduri de detecie modificate (MDCs), cunoscute ca i coduri de
manipulare-detecie sau, mai puin folosit, coduri de integritate a
mesajului (message integrity codes - MICs). Scopul unui MDC este
de a oferi o imagine (hash) reprezentativ unui mesaj i de a facilita,
cu ajutorul unor mecanisme secundare, verificarea integritii datelor
cerut de aplicaii specifice. MDC-urile sunt o subclas a funciilor
hash fr cheie, i, la rndul lor, pot fi clasificate n:
funcii hash inversabile ntr-un singur sens (one-way hash

functions - OWHFs) rezistente la preimagine (preimage resistant),
- 88 -
adic pentru o valoare hash dat (H), este greu de gsit un mesaj M,
astfel nct:
H = hash(M)
funcii hash rezistente la coliziune (collision resistant hash

functions - CRHFs): aceast proprietate se refer la faptul c este
dificil gsirea a dou mesaje care s aib aceeai valoare hash (o
coliziune apare atunci cnd dou mesaje distincte au aceeai valoare
hash).
2. Coduri de autentificare a mesajelor (message authentication

codes -MACs) care permit, fr ajutorul niciunui mecanism
adiional, asigurarea autenticitii sursei i a integritii mesajelor.
MAC-urile au funcional doi parametrii distinci: mesajul de intrare
i o cheie secret (subclasa de funcii hash cu cheie).
Observaii:
1. Trebuie fcut distincia ntre algoritmul MAC i utilizarea
unui MDC cu o cheie secret inclus ca o parte din mesajul
de intrare. Se presupune n general c algoritmul unei funcii
hash este cunoscut. Deci, n cazul MDC-urilor, dat fiind un
mesaj de intrare, oricine poate calcula funcia sa hash.
2. MAC-urile i semnturile digitale pot determina dac datele
au fost generate de o anumit entitate la un moment dat n
trecut, dar ele nu ofer garanii n privina momentului cnd
acestea au luat natere. Deci aceste tehnici nu pot detecta
mesajele reutilizate, ceea ce este necesar n medii n care
acestea au un alt efect sau o utilizare secundar. Ins, aceste
- 89 -
tehnici de autentificare pot fi modificate pentru a asigura i

aceste garanii.
Pentru asigurarea integritii datelor, se folosesc algoritmii Message
Digest (MD) i Secure Hash Algorithm (SHA), ambii implementai n
diferite variante de-a lungul timpului:
SHA-1- Secure Hash Algorithm 1;
MD4- Message Digest 4;
MD5- Message Digest 5;
RIPEMD-160 - Race Integrity Primitives Evaluation Message

Digest - 160.
Exemplificm folosirea funciilor hash prin construcia Merkle-
Damgrd (Figura II.5).

O funcie hash trebuie s fie capabil s proceseze un mesaj de
lungime variabil i s furnizeze o ieire de lungime fix. Acest lucru se
poate realiza prin mparirea mesajului de intrare ntr-o serie de blocuri de
dimensiuni egale, i procesarea succesiv a acestora folosind o funcie
ireversibil (F). Aceast funcie se caracterizeaz prin faptul c ea
convertete cele dou intrri de aceeai lungime, ntr-o ieire de lungime
egal cu una din intrrile sale.
- 90 -
Figura II.5 Construcia Merkle-Damgrd
De exemplu, dac funcia F are o intrare de 128 de bii i una de 256

de bii, atunci va furniza o ieire de 128 de bii.
Funcia utilizat poate fi proiectat special pentru hashing sau
construit dintr-un cifru bloc.
O funcie hash realizat folosind construcia Merkle-Damgrd este
rezistent la coliziune, n aceeai msura n care este i funcia ireversibil
utilizat.
Ultimul bloc procesat trebuie s fie urmat de un alt bloc de extindere
(length-padding), cu ajutorul cruia este mascat lungimea real a acestuia,
lucru deosebit de important pentru securitatea construciei.
II.7.2 SEMNTURA DIGITAL

Termenul de semntur electronic sau digital are interpretri mai
largi, pornind de la semnturi criptografice digitale pn la o imagine
- 91 -
scanat a unei semnturi de mn. n ambele cazuri, se definete calea

pentru utilizarea legal a semnturilor digitale n comunicaiile electronice.
Semnturile digitale pot ajuta la identificarea i autentificarea
persoanelor, organizaiilor i a calculatoarelor prin Internet, putnd fi
utilizate i pentru a verifica integritatea datelor la recepie.
Semnturile digitale sunt un tip de criptare asimetric, asemntoare
semnturilor de mn, ce sunt utilizate pentru a identifica un individ ntr-o
manier legal. Ele pot identifica persoana care a semnat o tranzacie sau un
mesaj, dar spre deosebire de semnturile de mn, poate ajuta n verificarea
faptului c un document sau o tranzacie nu a fost modificat fa de starea
original din momentul semnrii.
n cazul n care sistemul a fost implementat corespunztor,
semntura digital nu se poate falsifica. n condiii ideale, acest lucru poate
nsemna faptul c un mesaj semnat digital aparine persoanei a crei
semntur apare n mesaj, fr drept de repudiere.
Incapacitatea de a nega faptul c un mesaj sau o tranzacie a fost
executat (semnat, n acest caz) se numete nerepudiere.
nelegerea riscurilor asociate cu utilizarea semnturilor digitale
presupune nelegerea limitrilor acestei tehnologii. Astfel, o semntur
digital, cnd nu este legat de numele utilizatorului printr-un certificat
digital, nu are nici o semnificaie referitoare la identitatea utilizatorului.
Schema unei semnturi digitale const din 3 algoritmi:
algoritmul de generare a cheii - furnizeaz aleator o pereche de

chei, o cheie de verificare cu caracter public K P i o cheie pentru
semntur cu caracter privat K S .
- 92 -
algoritmul de semnare - produce o semntur S cu ajutorul cheii

private K S pentru mesajul de intrare M.
algoritmul de verificare a cheii V - pentru un mesaj de intrare M, o

cheie de verificare K P i o semntur S, accept sau respinge
mesajul.
Un algoritm de criptare care poate fi utilizat pentru semnturile
digitale este algoritmul RSA, n care, generarea unui mesaj semnat se

realizeaz cu o funcie exponenial, ntr-un cmp algebric finit:
S = M d mod N
N este dimensiunea cmpului i se obine ca produs de dou numere
prime foarte mari.
M este mesajul care trebuie semnat i transmis.
d este exponentul cheii private (semntura este generat cu ajutorul
cheii private).
La recepie se verific dac este adevrat relaia:
M = S e mod N
e reprezint exponentul cheii publice (decriptarea mesajului semnat
se face cu ajutorul cheii publice).
Acest metod nu este prea sigur din punct de vedere al atacurilor,
o soluie n acest sens ar fi, aplicarea unei funcii hash, naintea algoritmului
RSA. Astfel la emisie se va realiza operaia:
S = H d mod N
Iar la recepie:
H = S e mod N
- 93 -
Valoarea hash H rezultat este comparat cu valoarea hash a

mesajului i dac sunt egale, atunci se confirm faptul c mesajul provine
ntr-adevr de la persoana autorizat.
n concluzie, funciile hash, cu sau fr cheie, pot fi utilizate pentru
securizarea accesului la reea, pentru criptarea datelor i verificarea
integritii acestora.
II.7.3 CERTIFICATUL DIGITAL

Accesul neautorizat reprezint o problem tuturor reelelor wireless,
n particular WiFi.
Pentru a avea un control asupra persoanelor care acceseaz reeaua i
asupra resurselor accesate de acestea (who and what?) este necesar un
mecanism de control selectiv al accesului, pe baz de credite personale.
O semntur digital n sine nu ofer o legtur puternic cu o
persoan sau o entitate.
Pentru a avea garania c o cheie public utilizat pentru a crea o
semntur digital aparine ntr-adevr unui anumite persoane i c acea
cheie este nc valid, este necesar un mecanism care s stabileasc o
legtur ntre cheia public i utilizatorul real. Acest serviciu de
autenticitate este oferit de certificatele digitale.
Certificatele digitale pot fi generate folosind chei publice sau chei
private.
Infrastructura cu chei publice (PKI - Public Key Infrastructure)
este mecanismul prin care o cheie public este legat de un anumit
utilizator printr-un certificat digital de identificare.
- 94 -
Sistemul PKI coreleaz informaiile despre utilizator cu o anumit

cheie public, astfel nct cheile publice s poat fi utilizate ca o form de
identificare.
Sistemul PKI se ocup de crearea, distribuia, stocarea centralizat,
revocarea i actualizarea certificatelor digitaleprin intermediul crora se
asigur servicii de baz de securitate precum autentificarea utilizatorilor,
confidenialitatea i integritatea informaiilor, ajutnd de asemenea la
implementarea serviciului de nerepudiere.
Certificatele digitale pot oferi un nivel ridicat de ncredere asupra
faptului c persoana al crei nume apare pe acel certificat are ca i
corespondent o anumit cheie public. Aceast ncredere este realizat prin
utilizarea unei tere pri, cunoscut sub numele de autoritate de
certificare (CA - Certificate Authority). O autoritate de certificare semneaz
un certificat n calitate de garant pentru identitatea persoanei creia i
aparine certificatul respectiv.
Toate certificatele revocate sau anulate sunt trecute ntr-o list de
revocare a certificatelor (CRL - Certificate Revocation List).
Cel mai ntlnit standard pentru certificatele digitale este ITU-T
X.509, standard pentru infrastructura cu chei publice (PKI). Acesta
specific, printre altele, formatul standard al certificatelor digitale, precum
i un algoritm de validare a certificatelor.
Elementele unui certificat digital definite de acest standard sunt
urmtoarele:
versiunea certificatului (certificate version) - care indic formatul

unui certificat;
- 95 -
numrul de serie (serial number) - un numr unic generat de ctre

autoritatea de certificare, utilizat pentru
a se ine evidena
certificatelor;
numele emitentului (issuer name) - specific numele autoritii de

certificare;
perioada de valabilitate (period of validity)
numele proprietarului certificatului (subject);
cheia public i algoritmul cheii publice (subjects public key info);
un cmp opional utilizat pentru a identifica emitentul certificatului

sau autoritatea de certificare (issuer unique identifier);
un cmp opional pentru identificarea subiectului (subject unique

identifier);
un cmp opional utilizat pentru extensii (extensions), care poate

cuprinde: alte denumiri ale subiectului, informaii pentru utilizarea
cheilor i punctele de distribuie a listelor de revocare a certificatelor
(CRL);
algoritmul
folosit
pentru
semnarea
certificatului
(certificate
signature algorithm);
semntura (signature).
O problem a certificatelor digitale o reprezint faptul c listele de
revocare a certificatelor (CRL) sunt verificate foarte rar, inclusiv de ctre

browser-ele Web. Un certificat poate fi revocat din mai multe motive,
printre care se numr compromiterea cheii, compromiterea autoritii de
certificare sau o schimbare a autoritii de certificare.
Numeroase metode de autentificare sunt bazate pe PKI, iar
certificatele pot fi stocate pe carduri inteligente (smart cards), fie n fiiere,
n registrele sistemului. Prin folosirea cardurilor de acces, utilizatorul nu
- 96 -
este obligat s rein sau s introduc de fiecare dat un volum mare de

informaii de identificare, ci numai o simpl secven PIN (Personal
Identification Number).
Utilizatorilor autentificai n reea pe baz de certificate digitale, n
sistem PKI, li se asigur un grad mare de securitate, la nivel de aplicaii
(application-level security), cu posibilitatea semnrii i codrii mesajelor
folosind certificate de criptare (encryption cerificates).
Certificatele digitale sunt utilizate i n autentificarea mutual dintre
client i server, fiecare prezentnd un certificat propriu.
PKI este un sistem complex i robust de securizare, recomandat doar
pentru comunicaiile care necesit un grad foarte mare de securitate
(mission-critical), precum cele guvernamentale.
II.7.4 MARCAREA
n literatura de specialitate pot fi ntlnite diferite definiii pentru
marcarea documentelor.
Marcajele sunt acele elemente distinctive, greu de reprodus, care
asigur autenticitatea unui document i, eventual identificarea autorului.
Astfel de elemente de marcare se utilizeaz din cele mai vechi timpuri pe
bancnote i monede pentru a nu putea fi falsificate.
Marcajele pot fi vizibile sau ascunse, transparente (watermark).
Marcajele pentru imaginile digitale sunt tratate ca manipulri ale
celor mai puin semnficativi bii din eantioanele de imagine (LSB - Least
Significant Bits), coduri ascunse de marcare, texturi invizibile, constrngeri
secrete n domenii de transformare etc.
- 97 -
Marcajele sunt generate n mod privat i pot fi detectate folosind

chei private sau publice, n funcie de ntrebuinarea lor.
Marcajul pentru protejarea dreptului de autor (copyright)
denumit i tampil invizibil, conine o informaie specific proprietarului
legal sau este un semn aleator de unicitate pentru respectivul proprietar.
Protejarea informaiilor prin marcare se realizeaz astfel:
fiecare proprietar de copyright deine un numr unic sau un set de
numere care constituie cheia privat a marcajului;
folosind cheia privat i un algoritm public sau privat, proprietarul
dreptului de autor modific datele digitale care sunt marcate;
folosind un algoritm de detecie, proprietarul de copyright poate
verifica sau decoda modificrile fcute de el nsui.
Marcajele de autenticitate a produselor digitale sunt de fapt
semnturile digitale. Autenticitatea face referire la un produs original cu
privire la originalitatea coninutului, numele autorului, data la care a fost
creat, proprietarul dreptului de autor etc. Marcarea cu ajutorul semnturii
digitale asigur autenticitatea sursei din care provine un produs digital sau
un mesaj transmis n reea i elimin riscul ca acesta s fie un fals.
II.8 POLITICI DE SECURITATE

Principiile care stau la baza asigurrii securitii unei reele de
comunicaii sunt exprimate, sub forma unui set de reguli i practici, n aanumita politic de securitate a reelei.
- 98 -
Politica de securitate se aplic tuturor persoanelor care ntr-un fel

sau altul au acces la resursele reelei, la orice nivel ncepnd cu cel fizic i
indiferent de scop (utilizare, administrare, ntreinere, fraud, atac).
n primul rnd, trebuie stabilite necesitile fiecrei categorii de
utilizatori cu privire la resursele reelei i drepturile de acces, din interiorul
sau din exteriorul acesteia, folosind structura cablat sau accesul wireless la
reea. De asemenea, trebuie stabilit care dintre utilizatori au cu adevrat
nevoie de acces la reeaua public de Internet. Toate aceste aspecte sunt
tratate n cadrul politicii de acces.
Criteriile dup care se stabilesc grupurile de utilizatori, dreptul de a
avea un cont de acces n reea, condiiile de activare i de dezactivare a
conturilor, persoanele cu drept de administrare reprezint politica de
conturi a reelei.
Conexiunea la Internet i la reeaua public n general reprezint o
bre n securitatea oricrei reele deoarece pe aici acioneaz atacurile
lansate din afara reelei. Sunt necesare principii clare de securizare a
interfeelor dintre reeaua public i cea privat. Principiile conform crora
se securizeaz cile de acces la Internet i se acord drepturi n acest sens
alctuiesc politica de acces la Internet (I-AUP - Internet Acceptable Use
Policy).
Accesul, fizic i logic, pe diferite echipamente de comunicaie din
reea trebuie restricionat corespunztor importanei acestora n buna
funcionare a reelei. Trebuie luate msuri de prevenire a tentativelor de
acces neautorizat.
Folosirea metodei de autentificare pe baz de nume de utilizator i
parol implic aplicarea unor principii de acceptare, gestionare i schimbare
a parolelor n cadrul politicii de management a parolelor.
- 99 -
Drepturile de acces la reea trebuie difereniate n ceea ce privete

accesul la documente i drepturile asupra acestora (citire, scriere, modificare
sau tergere). Prin politica de securitate se stabilesc drepturile utilizatorilor
referitor la accesul la informaii i fiiere n general, strategia care trebuie
adoptat n vederea asigurrii respectrii acestora, garaniile de respectare a
politicii de securitate de ctre toi utilizatorii (de exemplu, clauze de
confidenialitate din contractele semnate de utilizatori). Toate aceste aspecte
reprezint aa-numita politic de utilizare adecvat a resurselor reelei.
Formularea politicii de securitate a unei reele trebuie fcut clar, cu
ct mai multe detalii, astfel nct s nu apar interpretri diferite (be as
specific as possible).
Cunoaterea n detaliu a tuturor echipamentelor care se conecteaz la
reea i a garaniilor pe care le ofer fiecare utilizator constituie premiza
unor decizii juste cu privire la privilegiile sau restriciile care se impun n
fiecare caz n parte (politica de conectare).
Refuzul accesului la reea pentru acele entiti pentru care se
dovedete intenia de atac, prin monitorizarea traficului, constituie o msur
de for major, necesar meninerii funcionrii reelei n condiii de
siguran.
Vulnerabilitile de securitate sunt cauzate de diveri factori, printre
care neactualizarea (update) sistemelor de operare, programelor antivirus
sau a altor programe sau module de securitate (software patches, firmware
upgrades, authentication routines, encryption algorithms, intrusion
detection systems). Periodic se impune instalarea celor mai noi versiuni de
software, actualizarea bazelor de date cu semnturile viruilor noi aprui
sau ale altor forme de atac recent identificate.
- 100 -
De asemenea, periodic, personalul implicat n asigurarea securitii

reelei trebuie instruit pentru a cunoate eventualele noi riscuri la care este
expus reeaua i procedurile care trebuie urmate pentru soluionarea
problemelor.
Trebuie stabilite reguli pentru asigurarea securitii pe toate nivelele:
fizic, de acces logic, de acces la servicii, de acces la informaii.
Toate configurrile implicite trebuie schimbate din momentul
punerii n funciune a echipamentului i nu mai trebuie s se revin
niciodat la acestea.
Periodic trebuie revizuite configurrile diferitelor echipamente din
reea pentru a stabili dac ele corespund nevoilor de securitate ale reelei de
la un anumit moment, inclusiv parole, liste de control al accesului, adrese
MAC, chei de criptare.
n cazul reelelor wireless, trebuie aplicate tehnici de site survey
pentru msurarea ariei de acoperire a fiecrui echipament AP (Access Point)
i a nivelului de semnal n afara zonei de interes, pentru a stabili posibilele
locaii ale unor intrui. Reducerea nivelului la emisie precum i a ariei de
acoperire prin ecranarea anumitor perei sau folosirea unor antene directive
conduce la micorarea riscurilor de atac asupra reelei wireless.
Criptarea informaiilor se impune ca msur ultim de asigurare a
secretului transmisiei, n situaia n care un intrus reuete s descarce
pachete din reeaua privat. De asemenea, criptarea reprezint o msur de
siguran n ceea ce privete secretul unor informaii cu caracter special,
care poate fi atacat de persoane din exteriorul dar i din interiorul reelei.
Principiile de securizare a informaiilor sunt incluse n politica de protecie
a informaiilor.
- 101 -
Reelele VPN (Virtual Private Network) reprezint o bun soluie de

securitate, adoptat cu precdere de companii cu mai multe sedii rspndite
ntr-o arie geografic larg. Accesul de la distan prezint de cele mai
multe ori riscuri mari de securitate cauzate de tentative de atac ale unor
persoane din afara companiei fiind necesar securizarea pe baza unor
principii clare privind drepturile i restriciile de acces de la distan (remote
access) i tacticile de securitate care trebuie adoptate conform politicii de
acces de la distan.
Politici de securitate specifice se pot stabili pentru fiecare serviciu de
reea n parte (pot electronic, transfer de fiiere, aflarea informaiilor
despre utilizatorii reelei etc).
Regulile de securitate pot avea caracter obligatoriu sau facultativ
rezultnd mai multe categorii de prevederi de securitate:
prevederile obligatorii, rezultate ca efect al acordurilor, al

regulamentelor i al legilor, exprimate detaliat, cu ct mai multe
elemente specifice, n funcie de domeniul de utilizare, au rolul de a
oferi siguran i ncredere ntr-o reea de comunicaii sau o anumit
entitate (server, serviciu, program etc).
prevederile recomandate, dei neobligatorii, sunt motivate de

consecinele grave ale neaplicrii lor. Pentru o securitate ct mai
bun a reelei, acestea trebuie considerate ca i obligatorii dei
costurile implementrii lor sunt n general mari. De exemplu, nu
este obligatorie rularea programelor de tip antivirus i nici instalarea
tuturor patch-urilor de securitate din sistemele de operare. Toate
acestea implic unele costuri suplimentare (pre, memorie de
sistem, timp de procesare) dar ntr-o reea fiecare nod nesecurizat
corespunztor poate fi o poart de acces pentru atacatori.
- 102 -
prevederile informative au rolul de a ateniona (warning)

utilizatorii asupra existenei unor vulnerabiliti (de exemplu,
neactualizarea listelor cu virui pentru programele antivirus), asupra
riscurilor i consecinelor breelor de securitate ale sistemelor i
reelelor.
Politica de securitate se exprim sub forma unui document n care
sunt incluse: motivele i obiectivele aplicrii acesteia,
autoritatea
competent care o aprob, autori, referine, data elaborrii, proceduri,

msuri de compatibilitate, consecinele neaplicrii.
Din pcate, nu exist un sistem de securitate sigur 100 %, dar prin
definirea unei politici de securitate se ncearc gsirea celei mai bune ci de
evitare a riscurilor la care este supus reeaua de comunicaii.
- 103 -
- 104 -
Capitolul III ATACURI ASUPRA

REELELOR DE COMUNICAII
III.1 VULNERABILITI ALE REELELOR
O reea sigur este aceea n ale crei resurse se poate avea ncredere,
adic furnizeaz servicii corecte i de calitate.
Deoarece o reea de comunicaii este un sistem complex, eterogen,
cu foarte muli utilizatori, ea reprezint o zon convenabil pentru diferite
atacuri. De aceea, securitatea reprezint un obiectiv operaional vital al
oricrei reele de comunicaii.
Reelele de calculatoare ale diferitelor organizaii sunt utilizate att
pentru realizarea comunicaiilor dintre angajai, ct i pentru comunicaii
externe, astfel nct acestea nu mai pot fi izolate i trebuie securizate la
nivelul interfeelor de acces dintre reeaua public i cea privat.
Comunicaiile realizate prin reelele publice sunt expuse riscurilor de
interceptare, de furt sau de falsificare a informaiilor, de disfuncionaliti
tehnice manifestate fie prin calitate slab a transmisiei, fie prin ntreruperi.
n funcie de vulnerabilitile reelei de comunicaii pe care le pot
exploata, atacurile se pot manifesta pe mai multe planuri:
accesare neautorizat a reelei sau a unor resurse ale acesteia din
interiorul organizaiei sau din afara acesteia,
tentative de perturbare sau de ntrerupere a funcionrii reelei la
nivel fizic (prin factori mecanici, de ntrerupere a unor cabluri sau
scoatere din funciune a unor echipamente din reea; factori electrici,
- 105 -
de bruiaj n cazul reelelor radio, semnale de interferen n reelele

cablate),
tentative de ntrerupere sau de ncrcare excesiv a traficului din
reea prin transmiterea unui numr foarte mare de pachete ctre unul
sau mai multe noduri din reea (flooding),
atacuri soft asupra echipamentelor de reea care concentreaz i
dirijeaz fluxurile n noduri critice (switch, router, access point etc.)
prin modificarea fiierelor de configurare i a drepturilor de acces
stabilite de personalul autorizat,
modificarea sau distrugerea informaiei, adic atacul la integritatea
fizic datelor,
preluarea i folosirea neautorizat a informaiilor, adic nclcarea
confidenialitii i a dreptului de autor.
Astfel, trebuie avute n vedere, cu prioritate, dou aspecte principale
legate de securitatea reelelor:
integritatea i disponibilitatea resurselor unei reele, fizice sau

logice, indiferent de defectele de funcionare, hard sau soft, de
perturbaii sau de tentative de ntrerupere a comunicaiilor.
caracterul privat al informaiilor (privacy), exprimat ca fiind dreptul

individual de a controla sau de a
influena care informaie
referitoare la o persoan poate fi memorat n fiiere sau n baze de

date din reea i cine are acces la acestea, reeaua fiind responsabil
de mpiedicarea ncercrilor ilegale de sustragere a informaiilor,
precum i de ncercrile de modificare ale acestora. Informaia este
vulnerabil la atac, n orice punct al unei reele, fie stocat pe diferite
maini (staii de lucru, servere) din reea, fie n procesul de
transmisie de la surs la destinaia final.
- 106 -
Vulnerabilitile reelelor se manifest pe toate nivelele OSI, fiind

necesar adoptarea unor msuri de securitate adecvate fiecrui nivel i
fiecrui model de reea n parte.
III.2 TIPURI DE ATACURI

Atacurile asupra reelelor de comunicaii pot fi clasificate dup mai
multe criterii.
innd cont de locul de unde se execut, atacurile pot fi:
locale (local)
de la distan (remote).
O alt clasificare a atacurilor adresate reelelor de comunicaii, n
funcie de modul n care acioneaz acestea, ca surs i destinaie, atacurile
pot fi centrate pe o singur entitate (de exemplu, este atacat un anumit
server din reea de pe un singur echipament) sau pot fi distribuite (lansate
din mai multe locaii sau ctre mai multe maini simultan).
Atacurile distribuite sunt cele mai performante deoarece este dificil
identificarea i localizarea autorilor, iar efectele lor sunt maximizate prin
atacarea reelei n mai multe noduri simultan.
Dup modul de interaciune a atacatorului cu informaia obinut n
urma unui atac reuit, se disting dou categorii de atacuri: pasive i active.
Este greu de spus care dintre acestea are un risc mai mare. La o prim
vedere, s-ar crede c cele mai periculoase sunt atacurile active. Dar s nu
uitm atacurile pasive prin care se preiau chei de criptare fr ca serverul de
- 107 -
chei s i dea seama care sunt cheile compromise. Toate informaiile

criptate cu acele chei devin astfel complet neprotejate.
O categorie aparte de atac asupra informaiilor stocate sau transmise
n reea o reprezint atacurile criptografice, prin care se ncearc
extragerea informaiei din mesajele criptate.
Un tip aparte de atac l reprezint aa-numitul atac etic lansat
periodic chiar de personalul de administrare a reelei, simulare de atac
menit a testa securitatea reelei i a descoperi vulnerabilitile acesteia.
Cu toate c nu exist soluii care s fie capabile s protejeze reeaua
mpotriva oricrui tip de atac, exist unele sisteme de securitate care pot
reduce substanial ansele i efectele atacurilor. Se impune dezvoltarea unei
politici de securitate adecvate fiecrei reele n parte, aplicarea ei simultan
cu educaia utilizatorilor i adoptarea unor soluii de securitate, software sau
hardware, potrivite vulnerabilitilor i riscurilor de atac specifice fiecrei
reele.
III.2.1 ATACURI LOCALE

Atacurile locale presupun spargerea securitii unei reele de
calculatoare de ctre o persoan care face parte din aceasta, adic de ctre
un utilizator local.
Acesta dispune de un cont i de o parol de utilizator care i dau
drept de acces la o parte din resursele sistemului. De asemenea, persoana
respectiv poate s aib cunotine despre arhitectura sistemului de
securitate al reelei, putnd astfel lansa atacuri mult mai periculoase.
- 108 -
Atacatorul, de la calculatorul propriu, va putea s-i sporeasc

privilegiile i n acest fel s acceseze informaii la care nu are drept de
acces. De asemenea va putea s ncarce programe care s scaneze reeaua i
s gseasc punctele vulnerabile ale reelei.
Obinerea de drepturi de administrator (admin, root) reprezint elul
atacatorilor.
Riscul de atac local poate fi redus n diferite moduri:
acordarea utilizatorilor locali privilegiile minim necesare efecturii
sarcinilor zilnice, potrivit funciei i rolului fiecruia n companie;
monitorizarea activitilor din reea pentru a sesiza eventualele
ncercri de depire a atribuiilor, eventual i n afara orelor de program;
impunerea de restricii de acces pe cele mai importante
echipamente din reea;
distribuirea responsabilitilor mari ntre mai muli angajai.
Din nefericire, majoritatea sistemelor de protecie sunt inutile dac
mai muli indivizi din interiorul reelei coopereaz pentru a nvinge msurile
de securitate ale acesteia. De aceea, n vederea acordrii unor privilegii de
utilizare a resurselor reelei, utilizatorii trebuie ierarhizai pe mai multe
nivele de ncredere, n funcie de vechimea n reea, comportamentul
acestora i gravitatea unor evenimente de securitate n care au fost implicai.
III.2.2 ATACURI LA DISTAN

Atacul la distan (remote attack) este un atac lansat mpotriva unei
reele de comunicaii sau a unui echipament din reea, fa de care atacatorul
nu deine nici un fel de control.
- 109 -
Accesul de la distan la resursele unei reele este mai riscant dect

accesul din reeaua local prin simplul fapt c n Internet sunt cteva
miliarde de utilizatori ceea ce face ca numrul posibililor atacatori externi s
fie mult mai mare dect al celor interni. Prin aplicarea unei politici de
securitate corecte i a unor soluii de securitate performante, riscul atacurilor
locale poate fi minimizat.
Atacul de la distan se poate realiza n trei etape:
Prima etap este una de informare n care atacatorul trebuie s
descopere informaii despre:
administratorul retelei
echipamentele din reea i funciile acestora
sisteme de operare folosite
puncte de vulnerabilitate
topologia reelei
politici de securitate etc.

Aceast etap este considerat un atac n sine, denumit atac de
recunoatere (reconnaissance), i const n maparea neautorizat a unui

sistem informatic, a serviciilor i a vulnerabilitilor lui. Este un pas
precedent oricrui atac informatic, prin care se identific porturi deschise,
serviciile active, sisteme de operare, aplicaii rulate, versiuni de software. Pe
baza acestor informaii, atacatorul poate pregti un atac eficient.
Atunci cnd calculatorul-int deine o soluie de securitate,
eforturile de atac sunt diminuate.
n funcie de dimensiunea i arhitectura reelei din care face parte
calculatorul-int, folosind programe de scanare se pot obine informaii
despre numele i adresele IP ale calculatoarelor dintr-o anumit arie.
- 110 -
Dar cea mai mare importan o are colectarea informaiei despre

administratorul de reea din care provine inta. Aceasta va aduce cele mai
multe informaii utile atacatorului. Dac se determin cnd, cum i ct i ia
administratorului de sistem sau persoanei responsabile de securitatea reelei,
s detecteze un eventual atac, atacatorul va iniia atacurile n afara acestor
perioade, cu parametrii care s i asigure succesul.
2.
A dou etap este una de testare care presupune crearea unei
clone a intei i testarea atacului asupra acesteia, pentru a se vedea modul n

care reacioneaz. Realiznd aceste experimente pe un calculator-clon,
atacatorul nu atrage atenia asupra sa pe durata simulrii iar ansele atacului
real, care va fi lansat ulterior, vor fi foarte mari. Dac se fac experimente
direct pe inta real, pentru atacator exist riscul s fie detectat i se pot
alege cele mai eficiente contramsuri.
3. Etapa a treia const n lansarea atacului asupra reelei. Pentru a
avea cele mai mari anse, atacul trebuie s dureze puin i s fie efectuat n
intervalele cnd inta este mai vulnerabil.
Observaie: Atacurile combinate, n care una sau mai multe persoane
furnizeaz informaii din interiorul reelei i altele din exterior lanseaz
atacul de la distan folosind acele informaii, sunt extrem de periculoase,
din punctul de vedere al atacatorului. n aceste cazuri, mascarea atacului
este foarte bun iar ansele sistemului de securitate al reelei de a reaciona
la timp i eficient sunt din cele mai mici.
- 111 -
III.2.3 ATACURI PASIVE

Atacurile pasive sunt acele atacuri n cadrul crora intrusul doar
observ reeaua, canalul de comunicaie, adic monitorizeaz transmisia i,
eventual, preia semnalul sau pachetele de date fiind denumite i atacuri de
intercepie (Figura III.1).
Atacurile pasive pot fi de dou feluri:
de citire i nregistrare a coninutului mesajelor, de exemplu, n

serviciul de pot electronic;
de analiz a traficului.
Figura III.1 Model de atac pasiv
Atacul pasiv de simpl observare sau de ascultare a traficului

(eavesdropping) poate fi simplu realizat n reelele wireless cu echipamente
de radiorecepie acordate pe frecvena de lucru a reelei.
Interceptarea pachetelor transmise n reea (packet sniffing)
reprezint de asemenea un atac pasiv deosebit de periculos deoarece intrusul
este conectat la reeaua de comunicaie (de exemplu, pe un port la unui
- 112 -
switch nesecurizat fizic) are acces logic la reea i poate prelua din pachete
informaiile transmise n clar.
Referitor la atacurile pasive, se observ c:
nu produc distrugeri vizibile (de exemplu, nu blocheaz reeaua, nu

perturb traficul, nu modific datele)
ncalc regulile de confidenialitate prin furtul de informaii
observ modificrile din reea (noi echipamemente introduse,

schimbarea configurrilor etc.)
sunt avantajate de rutarea pachetelor prin noduri de reea mai puin

protejate, cu risc crescut
sunt greu sau chiar imposibil de detectat.

De aceea, se dezvolt sisteme de prevenie i detecie a intruziunilor
n reea, fie ca soluii software, fie cu echipamente dedicate (de exemplu,

prin msurtori de cmp radiat pentru stabilirea ariei de acoperire a unei
reele wireless).
Din acest punct de vedere, reelele optice sunt cel mai bine protejate
fiind practic imposibil interceptarea traficului fr a se sesiza prezena
intrusului. Riscurile cele mai mari de atac pasiv, de intercepie a
informaiilor din reea (date propriu-zise sau de identificare) apar n reelele
wireless. Reelele cablate, cu cabluri cu conductoare metalice, sunt
vulnerabile la atacuri pasive n nodurile de comunicaie de tip hub sau
switch.
Atacurile pasive nedetectate care au ca finalitate preluarea cheilor de
criptare reprezint un risc major pentru reea, ntruct prin necunoaterea
cheilor compromise se creeaz bree n sistemul de securizare a
informaiilor prin criptarea traficului.
- 113 -
III.2.4 ATACURI ACTIVE

Atacurile active au ca scop furtul sau falsificarea informaiilor
transmise ori stocate n reea, reducerea disponibilitii reelei prin
suprancrcarea acesteia cu pachete (flooding), perturbarea sau blocarea
comunicaiilor prin atac fizic sau logic asupra echipamentelor din reea i a
cilor de comunicaii (Figura III.2).
Figura III.2 Model de atac activ
S-au identificat pn n prezent mai multe tipuri de atacuri active:

Mascarada (masquerade) este un atac n care o entitate din reea
(client, server, utilizator, serviciu) pretinde a avea o alt identitate pentru a
prelua informaii confideniale (parole de acces, date de identificare, chei de
criptare, informaii despre cri de credit i altele).
Multe dintre atacurile de acest tip pot fi evitate prin adoptarea unor
politici de securitate adecvate, care presupun responsabilizarea utilizatorilor,
implementarea unor metode de acces robuste, folosirea unor metode de
autentificare ct mai eficiente.
- 114 -
Un tip aparte de atac de mascare sau de fals identitate se produce

atunci cnd atacatorul activeaz n reeaua wireless un echipament
neautorizat de tip AP (counterfeiting) care reuete s preia date valide de
identificare ale utilizatorilor autorizai, n scopul folosirii lor ulterioare
pentru accesare neautorizat a reelei asupra creia s-a produs atacul.
Un alt tip de atac const n modificarea mesajelor (message
alteration), adic mesajul transmis este interceptat, ntrziat, iar coninutul
su este schimbat sau reordonat pentru modificarea datelor precum
schimbarea unor valori n fiiere, n particular n nregistrri financiarbancare, n diverse programe software astfel nct acestea s produc efecte
diferite de cele pentru care au fost gndite. Un astfel de atac se ntlnete n
reelele wireless 802.11b bazate pe WEP, cu vulnerabiliti ale
mecanismului de criptare. Atacatorul reuete s intercepteze pachetele, s
decripteze datele i s modifice informaiile, dup care le cripteaz din nou,
cu acelai algoritm, i corecteaz CRC-ul pentru ca datele modificate s fie
considerate valide la destinaie. Acest tip de atac este denumit i atac subtil,
fiind extrem de dificil de depistat.
Falsificarea datelor i a mesajelor este posibil i prin atacul de tip
omul-din-mijloc (man-in-the-middle attack) cnd atacatorul se afl ntrun nod intermediar dintr-un link de comunicare i poate intercepta mesajele
transmise de surs substituindu-le cu mesaje proprii, cu informaii false.
Refuzul serviciului (DoS Denial-of-service attack), lansat eventual
n varianta distribuit (DDoS Distributed Denial-of-Service), const ntr-o
suprancrcare a serverelor cu cereri din partea atacatorului i consumarea
resurselor, astfel nct acele servicii s nu poat fi oferite i altor utilizatori.
Ca urmare a acestui atac, conexiunile existente se nchid, fiind necesar
reautentificarea utilizatorilor. Atacatorul profit de acest moment pentru a
- 115 -
intercepta date de identificare valide, informaii despre reea i conturi de

utilizare autorizat.
In general, atacurile DoS se realizeaz fie prin forarea
calculatorului-int s aloce toate resursele pentru a rspunde cererilor
transmise ntr-un numr tot mai mare de ctre atacatori pn la epuizarea
resurselor, fie prin perturbarea i chiar ntreruperea comunicaiei dintre
client i server (de exemplu, a celor wireless prin diferite tehnici de bruiaj),
astfel nct serverul s nu mai poat furniza serviciile sale clientului.
Reluarea unui mesaj sau a unui fragment din acesta (replay) este un
atac lansat cu scopul de a produce un efect neautorizat n reea
(autentificarea atacatorului folosind informaii de identificare valide,
transmise de un utilizator autorizat al reelei). Sistemul de gestionare a
resurselor i de monitorizare a accesului poate depista intenia de acces
fraudulos de pe un anumit nod din reea i, pe baza politicii de securitate,
poate s l treac n carantin, pe o perioad de timp limitat n care se
verific existena atacului, i ulterior s i interzic total accesul n reea pe
baza adresei fizice, a celei de reea sau de pe un anumit cont de utilizator de
pe care s-a produs atacul. Acest atac poate avea ca efect erori de de
management de reea, interzicerea accesului clientului la anumite resurse,
neplata unor servicii de reea. De cele mai multe ori acest atac este
considerat pasiv, dar dac se iau n considerare efectele pe care le poate
avea, inclusiv interceptarea i distrugerea informaiilor transmise prin reea,
este mai indicat includerea lui n categoria atacurilor active.
O schem simpl de clasificare a atacurilor este dat n figur:
- 116 -
Figura III.3 Clasificarea atacurilor
Repudierea serviciului (repudiation) este un alt tip de atac asupra

reelelor de comunicaii care se produce atunci cnd o entitate sau un
utilizator refuz s recunoasc un serviciu deja executat. Nerepudierea
serviciului (non-repudiation) este foarte important n aplicaiile cu plat
care necesit servicii de taxare (billing). Dac utilizatorul neag folosirea
serviciului i refuz plata acestuia, furnizorul trebuie s dispun de dovezi
solide care s mpiedice repudierea serviciului n context legal.
Din aceeai categorie a atacurilor active, fac parte i programele cu
scopuri distructive (virus, worm, spy, spam) care afecteaz securitatea
echipamentelor i a informaiilor din reea, fie prin preluarea unor informaii
confideniale, fie prin distrugerea parial sau total a datelor, a sistemului
de operare i a altor programe software, i chiar prin distrugeri de natur
hardware. Rspndirea acestor programe n reea se face prin diverse
servicii de reea mai puin protejate (de exemplu, unele sisteme de pot
electronic, de sharing de fiiere, de mesagerie n timp real etc.) sau prin
intermediul mediilor de stocare externe (CD, DVD, removable disk) atunci
cnd mecanismele de transfer de fiiere nu sunt verificate cu programe
- 117 -
specializate de detectare a viruilor i a viermilor de reea. De asemenea,

rularea unor programe de protecie a sistemelor, de tip antivirus sau antispy,
devine de cele mai multe ori ineficient dac acestea nu sunt corect
configurate i nu dispun de liste actualizate (up-date) cu semnturile celor
mai noi virui sau ale altor elemente de atacare a reelei.
Viruii de reea (viruses) sunt programe inserate n aplicaii, care
prin automultiplicare pot determina saturarea complet a spaiului de
memorie i blocarea sistemului. Ptrunderea unui virus ntr-o reea de
comunicaii o face vulnerabil la orice form de atac, tentativ de fraud sau
de distrugere. Infectarea se poate produce de oriunde din reea. Cei mai
muli virui ptrund n sistem direct din Internet, prin serviciile de
download, atunci cnd se fac up-date-uri pentru driverele componentelor
sau pentru diferite programe software, inclusiv pentru sistemul de operare.
Viruii rescriu poriuni din fiiere de un anumit tip, nu infecteaz fiierele
deja infestate pentru a nu-i irosi resursele, sunt transportai de fiierele gata
infectate. Serviciile gratuite oferite de diferite servere din Internet
mascheaz de multe ori sursele de virui de reea. De aceea, este indicat
folosirea up-date-urilor oferite numai de firme consacrate, surse autentice de
software, cu semnturi recunoscute ca fiind valide de ctre sistemele de
operare. De asemenea, prin verificarea periodic a sistemului de operare se
pot depista la timp anumite erori sau modificri ale programelor (sofware
bugs) i se poate folosi soluii de refacere (restore, backup).
Bombele software au la baz proceduri sau poriuni de cod-surs
incluse neautorizat n anumite aplicaii, care sunt activate de un anumit
eveniment predefinit: lansarea n execuie a unui program, deschiderea unui
document sau fiier ataat transmis prin pota electronic, o anumit dat
calendaristic (1 aprilie, vineri 13 etc.), accesarea unui anumit site web etc.
- 118 -
Viermii de reea (worms) au de asemenea efecte de blocare sau de

distrugere a datelor i a reelei ca i viruii i bombele software. Principalele
diferene fa de acestea sunt acelea c i schimb permanent locaia fiind
dificil de detectat i c nu se multiplic singuri. Cel mai renumit exemplu
este viermele Internet-ului care reuit s scoat din funciune un numr mare
de servere din Internet n noiembrie 1988.
Trapele (backdoors) reprezint ci de acces la sistem rezervate,
folosite n mod normal pentru proceduri de ntreinere (maintenance) de la
distan. Din cauza faptului c permit accesul nerestricionat la sistem sau
pe baza unor date simple de identificare, acestea devin puncte vulnerabile
ale reelei care fac posibil accesul neautorizat al unor intrui n reea.
Calul Troian (trojan horse) este o aplicaie care, pe lng funcia de
utilizare declarat, realizeaz i o funcie secret. Un astfel de program este
dificil de observat deoarece nu creeaz copii. De exemplu, se nlocuiete
codul unui program normal de autentificare pe baz de nume de utilizator i
parol, printr-un alt cod care, n plus, permite copierea ntr-un fiier a
numelui i parolei pe care utilizatorul le introduce de la tastatur.
Contramsurile folosite n acest caz constau n rularea programelor antivirus
cu liste de semnturi ct mai complete i prin folosirea unor protocoale de
comunicaii i programe securizate pentru accesarea serviciilor de Internet
(HTTPS, anumite browsere de Internet, programe securizate de e-mail, ftp,
telnet etc).
Reelele botnet reprezint un atac extrem de eficient din Internet.
Atacatorii i creeaz o reea din calculatoare deja compromise de o
aplicaie de tip malware, numite i computere bot, pe care le comand un
botmaster. Prin intermediul acestei reele i al programelor de aplicaii de
Internet (de exemplu, e-mail, chat IRC Internet Relay Chat), sunt lansate
- 119 -
diverse atacuri (spam, spyware, adware, keylogger, sniffer, DDoS .a.).

Aceste reele acumuleaz o putere de procesare extrem de mare consumnd
resursele calculatoarelor cooptate pentru execuia aplicaiilor.
n general, atacurile distribuite n reea sunt dificil de urmrit i de
anihilat.
Controlul reelelor botnet se poate face centralizat, peer-to-peer sau
aleator. Pentru combaterea acestor reele, este necesar ntreruperea cilor
de comand i control al lor (C&C Command and Control).
n modul centralizat, serverul C&C poate fi oricare staie cu
capacitate mare de procesare pe care sunt rulate aplicaii de chat sau http.
Prin intermediul acestuia se transmit comenzi ctre celelalte staii bot (n
numr foarte mare, de ordinul sutelor). Canalele de comunicaii folosite de
atacatori sunt protejate de acetia, de exemplu prin parole.
Reelele botnet P2P sunt i mai dificil de detectat pentru c
identificarea i anihilarea unei staii bot nu afecteaz restul reelei. Acest
tip de reea poate incorpora pn la 50 de calculatoare. Distribuia mesajelor
C&C este mai dificil i se face cu oarecare ntrzieri.
Dei experimental, modul C&C aleator se dovedete a fi cel mai
eficient i prin implementarea acestuia, reelele botnet vor fi foarte greu de
distrus.
III.3 ATACURI CRIPTOGRAFICE

Atacurile criptografice se aplic direct mesajelor cifrate n vederea
obinerii informaiei originale n clar i/sau a cheilor de criptare i de
decriptare.
- 120 -
Prin definiie, criptanaliza este tiina spargerii cifrurilor.

Criptanalistul este persoana care se ocup cu criptanaliza mesajelor cu
caracter secret.
Scopul metodelor de criptanaliz este descoperirea mesajelor n clar
(M) i/sau a cheii (K) din mesajul criptat (C).
Se cunosc mai multe tipuri de atacuri criptografice:
brut (brute force), prin ncercarea tuturor combinaiilor posibile fie

de chei de criptare, fie de simboluri din text pentru deducerea
textului n clar (de exemplu, la metodele de criptare prin substituia
sau transpoziia literelor din mesaje de tip text).
asupra textului criptat (cipher text attack) interceptat, prin analiza

cruia se ncearc gsirea textului original sau a cheii de criptare.
asupra unui text n clar cunoscut (known plain-text attack), pentru

care s-a aflat criptograma i pe baza cruia se face o extrapolare
pentru deducerea iterativ a altor poriuni din mesaj.
asupra unor texte criptate alese (chosen cipher-text attack), pentru

care se obin criptogramele asociate unor texte folosind algoritmi de
criptare cu chei publice i se urmrete aflarea cheilor de decriptare.
Observaii:
1. Interceptarea mesajelor criptate se realizeaz printr-un atac de tipul
omul din mijloc.
2. Un intrus se poate conecta la un server care ofer cheile publice de
criptare prin atacuri de tip mascarad autorizndu-se ca o alt
entitate.
3. Atacul brut devine ineficient atunci cnd lungimea cheii este
suficient de mare nct numrul de ncercri pe care trebuie s l fac
- 121 -
un criptanalist depete capacitatea de procesare a celor mai

performante sisteme de calcul iar durata de procesare criptanalitic
este mai mare dect perioada de valabilitate a informaiilor transmise
criptat. n medie, numrul de ncercri necesare pn la gsirea cheii
corecte este egal cu jumtate din dimensiunea spaiului cheilor.
Fiecare combinaie ncercat trebuie verificat dac genereaz text n
clar. Prin urmare timpul de atac este relativ mare.
4. Un alt tip de atac, cu conotaii sociale i psihologice, este aciunea de
cumprare a cheii, adic aflarea cheii fr nici un efort de
criptanaliz, prin alte mijloace dect cele tehnice (antaj la adresa
persoanelor care o dein, furt sau scurgeri de informaii de la
persoane sau din documente scrise sau n fomat electronic etc.).
Acest procedeu este unul dintre cele mai puternice atacuri lansate la
adresa unor surse din interiorul reelei. Pentru prentmpinarea lui
este util responsabilizarea personalului, eliminarea breelor de
securitate a documentelor, eventual dubla criptare a datelor astfel
nct secretul lor s nu depind de o singur persoan.
5. Atacul de tip ntlnire (meet-in-the-middle attack) a fost dezvoltat
pentru criptosistemele cu dubl criptare. Acesta presupune criptarea
unui text n clar cunoscut cu fiecare cheie posibil la un anumit capt
i compararea rezultatului cu ceea ce se obine prin decriptarea
textului criptat aferent. Aparent timpul de atac este crescut
exponenial, dar n realitate se constat doar o dublare a acestuia.
Ca i metode de criptanaliz, s-au dezvoltat urmtoarele:
Metoda diferenial: este folosit pentru spargerea algoritmilor cu
cheie secret, pe baza unei perechi de texte criptate, obinute prin
- 122 -
criptarea unei perechi de texte n clar i analiza diferenelor dintre

acestea.
Metoda liniar: folosete texte n clar cunoscute i textele criptate
asociate ncercnd pe baza lor aproximarea liniar a cheii de
criptare.
Metoda combinat, diferenial-liniar: aplic ambele procedee
menionate anterior pentru spargerea cifrurilor.
La data apariiei criptanalizei difereniale, algoritmul DES era
singurul care rezista la toate formele de atac cunoscute. ntre timp,
capacitatea procesoarelor a crescut vertiginos i spargerea DES este o
chestiune de minute.
A devenit
necesar
creterea complexitii
algoritmului. S-a propus algoritmul Triple DES, cu cheie de criptare mai

lung, dar nici acesta nu s-a dovedit a fi suficient de sigur i s-a impus
proiectarea unor noi algoritmi.
Ca regul general, un algoritm este considerat sigur dac cea mai
puin costisitoare metod prin care poate fi atacat (ca timp de procesare,
spaiu de memorie, pre) este atacul brut.
- 123 -
- 124 -
Capitolul IV PROTOCOALE I
SERVERE DE SECURITATE
Protocoalele de securitate a reelelor de comunicaii sunt definite
pentru a stabili modul n care sunt oferite serviciile de securitate.
Aceste protocoale de securizare a comunicaiilor pot lucra pe diferite
nivele ale modelului OSI:
pe nivelul legturii de date: protocoale de tunelare, precum L2TP
(Layer2 Tunnelling Protocol) care, dei definit pe acest nivel,
opereaz de fapt pe nivelul OSI 5, de sesiune.
pe nivelul de reea: IPsec (IP Security) ofer servicii de autentificare,
de control al accesului, de confidenialitate i integritate a datelor.
pe nivelul de transport: TLS (Transport Layer Security), SSL
(Secure Socket Layer), protocolul Handshake de autentificare
mutual a clienilor i serverelor i negocierea algoritmilor de
criptare naintea desfurrii propriu-zise a transmisiei datelor.
pe nivelul de aplicaie: SSH (Secure Shell), PGP (Pretty Good
Privacy), S/MIME (Secure Multipurpose Internet Mail Extension) i
altele.
Descrierea protocoalelor de securitate se va face n funcie de
serviciile de securitate oferite i de arhitectura folosit pentru aplicaiile de
reea.
De cele mai multe ori, se definesc suite de protocoale de securitate
(IPsec, KERBEROS, SESAME i altele).
- 125 -
Implementarea suitelor de protocoale de securitate n reelele de

comunicaii se face cu mai multe servere de reea dedicate diferitelor
servicii:
servere de autentificare
servere de certificare
servere de distribuie a cheilor de criptare
servere de gestiune a cheilor de criptare etc.
IV.1 IPSEC
Serviciile de securitate a reelelor de comunicaii sunt implementate
pe baza protocoalelor de securitate n diferite soluii tehnice, hardware i
software.
Exist diferite metode de asigurare a securitii transmisiei ntr-o
reea prin operaii de autentificare a utilizatorilor, criptare a mesajelor,
filtrare a traficului etc.
Protocoalele de securitate din Internet se aplic pe diferite nivele
(fizic, legtur, reea, aplicaie). Fiecare poate oferi unul sau mai multe
servicii de securitate.
Se pot utiliza programe software specializate pentru asigurarea
securitii transmisiei datelor n reea.
Primele msuri de securitate a reelelor defineau asociaii de
securitate (SA - Security Association), adic grupuri de utilizatori autorizai
s foloseasc o anumit reea, denumit reea virtual privat (VPN Virtual Private Network). Ca o extensie a acestora, n reelele wireless se
- 126 -
pot configura reele private virtuale ad-hoc (VPAN Virtual Private AdHoc Networks).
n prezent, n reelele de arie larg bazate pe TCP/IP se poate utiliza
suita de protocoale de securitate IPsec (Internet Protocol Security Facility),
care realizeaz criptarea i autentificarea pachetelor IP cu performane
superioare sistemului iniial SA. VPN pot fi configurate n mod adecvat s
aplice protocoalele de securitate din suita IPsec.
Gradul de protecie a pachetelor IP i cheile de criptare utilizate de
IPsec se stabilesc prin mecanismul IKE (Internet Key Exchange) descris de
protocolul cu acelai nume, care se aplic mpreun cu protocolul ISAKMP
(Internet Securiy Association and Key Management Protocol), Astfel IPsec
beneficiaz de serviciile ISAKMP/IKE.
IPsec ofer urmtoarele servicii de securitate pe nivelul IP al
reelelor TCP/IP:
integritatea conexiunii - asigur faptul c n procesul de comunicaie

nu intervin entiti neautorizate care s modifice datele sau s
genereze mesaje false n reea;
autentificarea sursei de date - permite identificarea sursei i

asigurarea autenticitii mesajelor;
criptarea datelor - asigur confidenialitatea mesajelor transmise i

imposibilitatea prelurii neautorizate a informaiilor;
protecia la atacuri n reea - detecteaz pachetele repetitive, replici

ale aceluiai pachet, care se transmit la infinit n reea i pot produce
blocaje sau saturarea reelei (flooding).
IPsec asigur mai multe servicii de securitate: autenticitatea
pachetelor i integritatea conexiunii (AH - Authentication Header), criptarea

i/sau autenticitatea pachetelor (ESP - Encapsulating Security Payload) i
- 127 -
mecanisme pentru stabilirea parametrilor conexiunii (SA- Security

Association).
Autentificarea sursei se face pe baza protocolului AH
(IP
Authentication Header) din suita IPsec (RFC 2401, RFC 2402). Acest
protocol asigur integritatea conexiunii i a datelor transmise, precum i
autenticitatea mesajelor. AH asigur securitatea integral a pachetelor IP,
inclusiv a antetelor de securitate ataate ulterior acestora.
Serviciile de securitate sunt asigurate i de protocolul ESP de
ncapsulare a pachetelor IP (IP Encapsulating Securiy Payload), care
stabilete operaii de criptare a datelor i de autentificare a sursei de
informaii (RFC 2406).
ESP ofer servicii de securitate numai protocoalelor de pe nivelele
superioare celui de reea, excluznd antetele de securitate ulterior adugate
pachetelor.
Protocoalele AH i ESP pot fi implementate prin diveri algoritmi
software i se pot aplica fie individual, fie ambele simultan, n funcie de
gradul de securitate impus pachetelor IP (RFC 2403, RFC 2404).
IPsec asigur securitatea comunicaiei dintre dou calculatoaregazd, dintre dou echipamente de comunicaii (de exemplu, rutere) sau
dintre un DTE i un DCE.
Un router sau un server pe care sunt activate protocoalele de
securitate IPsec se numete poart de securitate (securiy gateway) sau "zid"
de protecie (firewall).
n general, asigurarea securitii unei transmisii se realizeaz la
ambele capete ale cii de comunicaie, cu dou echipamente care folosesc IP
sec lucrnd n pereche (IPsec peers).
- 128 -
Cele dou protocoale de securitate (AH sau ESP) pot aciona n dou
moduri:
1. modul de transport (transport mode) - protocolul de securitate
intervine n pachetul IP i adaug un antet de securitate imediat dup antetul
IP (cu sau fr opiuni exprimate) dar antetul IP iniial (header-ul) nu se
modific, doar datele transmise sunt securizate (criptate i/sau autentificate).
Prin folosirea protocolului AH, adresele IP ale sursei, respectiv destinaiei,
nu pot fi modificate pe parcurs deoarece acest lucru ar duce la modificarea
valorii hash. ESP ofer protecie minim protocoalelor de nivel superior, n
timp ce AH securizeaz total pachetul, inclusiv antetul IP. Acest mod de
operare se utilizeaz pentru schimbul de pachete ntre calculatoarele-gazd
(host-to-host).
2. modul de tunelare (IP tunneling) - ntregul pachet (date i antete)
este securizat. Se introduc dou antete de securitate n fiecare pachet, nainte
(outer header) i dup (inner header) antetul EP. Antetul extern specific
perechea de entiti ntre care se creeaz tunelul IP i se aplic msurile de
securitate pe baza IPsec. Antetul intern precizeaz destinaia final a
pachetului pentru realizarea rutrii. ESP protejeaz numai pachetul transmis
prin tunelul IP, n timp ce AH asigur i securitatea antetului exterior ataat.
De regul acest mod de operare se utilizeaz ntre pori de securitate care
execut mpachetarea i despachetarea mesajelor (gateway-to-gateway).
Configurarea echipamentelor dintr-o reea n vederea aplicrii IPsec
se realizeaz de ctre o persoan cu drepturi depline de stabilire a securitii
reelei (security officer), n trei etape:
1. crearea grupurilor de securitate (SA) i stabilirea drepturilor i
atribuiilor acestora;
- 129 -
2. configurarea legturilor dintre SA-uri i stabilirea ierarhiilor de

prioriti, folosind ISAKMP/IKE (RFC 2408, RFC 2409);
3. stabilirea modalitilor de clasificare a pachetelor IP i de aciune
asupra lor (permite sau interzice accesul n reea, aplic procedurile
de securitate conform IPsec).
Aceste configuraii referitoare la IPsec sunt stocate n bazele de date
pentru securitatea reelei (SPD - Security Policy Database), la care are acces
doar administratorul de reea.
Prin SA nelegem o conexiune simplex definit pe o pereche IPsec,
pentru securitatea traficului doar ntr-un sens, folosind un singur protocol de
securitate (AH sau ESP).
Pentru transmisiile duplex se definete cte un SA pentru fiecare
sens de comunicaie cu reeaua (inbound/outbound traffic).
Dac la unul din capetele canalului de comunicaie definit de SA, se
gsete un echipament de securitate (security gateway; firewall), atunci este
obligatoriu ca acel SA s lucreze n modul de tunelare pentru a evita
problemele create prin fragmentarea pachetelor i de existena cilor
multiple de rutare.
Un SA este identificat prin trei parametri:
1. un numr aleator denumit identificator de securitate (SPI - Security
Parameter Index);
2. adresa IP de destinaie;
3. protocolul de securitate (AH sau ESP).
Dac este necesar utilizarea ambelor protocoale de securitate n
Internet (AH i ESP), atunci se creeaz i se configureaz legturile dintre
dou sau mai multe SA.
- 130 -
Regulile de securitate aplicate ntr-o reea folosind IPsec sunt

memorate n SPD. Acestea stabilesc trei moduri posibile de aciune asupra
pachetelor IP:
1. se aplic pachetului, serviciile de securitate conform IPsec;
2. se interzice accesul pachetului n reea (deny);
3. se acord permisiunea de acces n reea, fr aplicarea msurilor de
securitate IP (bypass IPsec).
Modul de aciune asupra unui pachet IP se stabilete pe baza
antetelor coninute de acesta, prin operaia de clasificare a pachetelor, n
funcie de diveri factori de selecie:
adresa IP a sursei;
adresa IP a destinaiei;
portul-surs;
portul-destinaie;
protocolul de transport;
numele utilizatorului sau al sistemului;
gradul de prioritate a informaiilor coninute n pachet.

Aplicarea msurilor de securitate IPsec asupra unui pachet
(autentificare, criptare, compresie), se realizeaz pe baza mecanismului

ISAKMP/TKE prin care se genereaz i se transmit ntre pri cheile de
criptare utilizate de SA n diferite sesiuni, memorate ntr-o baz de date
proprie ISAKMP ca atribute ale SA.
n reelele TCP/IP, se utilizeazeaz diveri algoritmi de criptare,
uzuali fiind cei cu cheie public (RSA, Diffie-Hellman, DES, 3DES etc).
De exemplu, protocolul SSH, utilizat pentru transferul securizat al
fiierelor i al mesajelor prin sistemul de pot electronic din Internet,
folosete diveri algoritmi de criptare cu cheie public. Operaia de
- 131 -
autentificare se bazeaz de asemenea pe secvene de tip 'cheie de

transmisie'.
IV.1.1 PROTOCOLUL AH
Protocolul AH (Authentication Header) asigur autenticitatea
mesajelor i a tuturor informaiilor adiionale incluse n pachet precum i
integritatea pachetului de date, prin aplicarea funcilor hash. AH mpiedic
modificarea ilegal a pachetelor, multiplicarea sau ntrzierea datelor (antireplay security).
Diagrama unui pachet AH este prezentat n figura IV.1.
Biii 0 - 7
Antetul urmtor
8 15
16 - 23
Lungimea
24 - 31
Cmp REZERVAT
pachetului
Identificatorul de securitate
Numrul de secven
Informaia de autenticitate
Figura IV.1 Diagrama unui pachet AH
Semnificaiile cmpurilor sunt urmtoarele:

antetul urmtor (next header) - identific protocolul de transfer al
datelor;
- 132 -
lungimea pachetului AH ( payload length) exprimat n cuvinte de

32 de bii;
cmp rezervat cu toi biii 0, care poate fi utilizat ulterior n alte
scopuri;
Identificatorul de securitate (SPI - Security Parameters Index)
identific asociaia de securitate (SA - Security Association)
implementat n acest pachet;
Numrul de secven (sequence number) - reprezint un numr
monoton cresctor, folosit pentru a evita atacurile de reluare a
datelor (replay attacks);
Informaia de autenticitate (authentication data) - conine valoarea
de verificare a integritii (ICV - Integrity Check Value) sau codul de
autentificare a mesajului (MAC - Message Authentication Code),
necesare pentru verificarea autenticitii pachetului.
IV.1.2 PROTOCOLUL ESP

Protocolul
ESP
(Encapsulating
Security
Payload)
asigur
autenticitatea, integritatea i confidenialitatea pachetelor de date. Spre

deosebire de protocolul AH, antetul pachetului IP nu este protejat de ESP.
Confidenialitatea datelor este asigurat prin criptare.
Diagrama unui pachet ESP este dat n figura IV.2.
Pachetul ESP conine urmtoarele cmpuri:
Identificatorul de securitate (SPI - Security Parameters Index) al
asociaiei de securitate implementate (SA);
- 133 -
Biii 0 - 7
8 - 15
16 - 23
24 - 31
Identificatorul de securitate
Numrul de secven
Mesaj transmis (cmp de lungime variabil)
Expandare (0-255 octeti)
Lungimea
cmpului de
Antetul urmtor
expandare
Informaia de autentificare (cmp de lungime variabil)
Figura IV.2 Diagrama unui pachet ESP
Numrul de secven (SN - Sequence Number), numr generat dintrun ir monoton cresctor, folosit pentru a preveni atacurile de
reluare;
Informaia transmis (payload data) mesajul de pe nivelul de
transport (n mod transport) sau IP (n mod tunel) care este protejat
prin criptare;
Expandare (padding)- cmp folosit mpreun cu unele cifruri-bloc
pentru a acoperi lungimea total a blocului;
Dimensiunea cmpului de expandare (pad length) exprimat n
octei;
Antetul urmtor (next header), identific protocolul de transfer al
datelor;
- 134 -
Informaia de autentificare (authentication data) - cmpul conine

valoarea de verificare a integritii (ICV Integrity Check Value).
La trecerea pachetului de date prin diferite tunele i pori de
securitate, acestuia i sunt adugate i alte antete. Un antet se aplic unui
pachet la nceputul fiecrui tunel. Dup verificare, la ieirea din tunel,
antetul este eliminat.
IV.1.3 ASOCIAII DE SECURITATE

Un concept de baz, care apare n mecanismele IP pentru
autentificare i confidenialitate, este asociaia de securitate (SA - Security
Association). SA este o relaie unidirecional ntre o surs i o destinaie
care asigur servicii de securitate traficului efectuat pe baza ei. Pentru un
schimb securizat bidirecional, sunt necesare dou asociaii de securitate.
Serviciile de securitate pot fi asigurate de o asociaie de securitate,
fie pentru utilizarea protocolului AH, fie pentru protocolul ESP, dar nu
pentru ambele. Dac este necesar utilizarea ambelor protocoale de
securitate n Internet (AH i ESP), atunci se creeaz i se configureaz
legturile dintre dou sau mai multe SA-uri.
O asociaie de securitate este definit n mod unic de trei parametri:
Identificatorul de securitate const ntr-un ir de bii cu

semnificaie local, inclus n antetele AH i ESP pentru a permite
destinaiei s selecteze SA-ul pentru procesarea pachetului
recepionat;
Adresa IP de destinaie este adresa nodului de destinaie al

asociaiei de securitate, care poate fi un calculator-gazd (host) sau
- 135 -
un echipament de comunicaie al reelei (router, firewall, access

point);
Identificatorul protocolului de securitate indic pentru care

protocol, AH sau ESP, lucreaz SA.
IV.1.4 APLICAII ALE IPSEC

IPsec ofer posibilitatea unei comunicri sigure n reelele de arie
larg (WAN), n aplicaii precum:
Definirea reelelor virtuale private (VPN Virtual Private

Network), n care uzual IPsec este configurat s foloseasc
protocolul ESP n modul tunel pentru furnizarea confidenialitii.
Pentru o organizaie cu mai multe reele locale, aflate n diferite
locaii, traficul intern reelelor locale nu este securizat n timp ce
traficul ntre acestea utilizeaz IPsec pentru securizare. IPsec este
activat n echipamentele de acces la reeaua de arie larg, de
exemplu
gateway,
router
sau
firewall.
Operaiile
de
criptare/decriptare i de autentificare executate de IPsec sunt

transparente pentru staiile de lucru i serverele din reelele locale.
Accesul securizat de la distan prin reeua public de Internet la

un sistem n care este implementat protocolul IPsec. Se poate apela
la un furnizor de Internet (ISP - Internet Service Provider) pentru a
obine accesul securizat la o reea privat.
mbuntirea securitii aplicaiilor distribuite care au o serie de

mecanisme de securitate incluse.
- 136 -
Principala caracteristic a IPsec care i permite s securizeze o gam

att de larg de aplicaii distribuite (e-mail, transfer de fisiere, acces Web
etc.), este faptul c pentru ntregul trafic IP se pot utiliza mecanismele de
criptare i/sau autentificare.
IV.2 PROTOCOLUL KERBEROS

Kerberos este un protocol de autentificare i de control al accesului
n reele, pentru aplicaii distribuite.
A fost proiectat pe baza modelului client-server i asigur
autentificarea mutual, adic att utilizatorul ct i serverul se autentific
unul fa de cellalt.
Denumirea protocolului a fost preluat din mitologia greac, de la
cinele cu trei capete pe care l chema Kerberos. Similar, protocolul cu
acelai nume implic trei entiti: clientul, serverul i centrul de distribuie a
cheilor (KDC Key Distribution Center). Protocolul impune existena unei
tere pri de ncredere, KDC, intermediar n aplicaia client-server.
Acestea nu trebuie neaprat s i acorde reciproc ncredere, ci ambele
trebuie s aib ncredere n KDC.
KDC are dou pri:
un server de autentificare (Authentication Server - AS);
un server de alocare a tichetelor (Ticket Granting Server - TGS).
Mesajele protocolului Kerberos sunt protejate mpotriva atacurilor
de ascultare (eavesdropping) i de reluare a mesajelor (replay).
- 137 -
Kerberos utilizeaz tehnici simetrice de criptare i ofer un sistem de

mesaje criptate numite tichete, care asigur n mod securizat ncrederea
reciproc dintre dou entiti din reea. Utiliznd Kerberos, parolele nu mai
sunt transmise prin reea, nici mcar criptate. n cazul n care un tichet
Kerberos este interceptat acesta rmne protejat deoarece este criptat cu
algoritmi robuti de criptare.
Odat ce o entitate-client obine un tichet ctre un anume server,
tichetul este pstrat pe calculatorul local pn la expirare, fcnd astfel din
Kerberos un sistem de autentificare foarte eficient. Depinde de
implementare, dar n mod uzual un tichet Kerberos expir dup opt ore.
KDC deine o baz de date cu toate cheile secrete. Fiecare entitate
din reea, fie client, fie server, deine o cheie secret, cunoscut doar de ea i
de KDC. Aceast cheie constituie dovada identitii unei entiti.
Pentru o comunicare sigur ntre dou entiti din reeaua public,
KDC genereaz o cheie a sesiunii.
Pentru a nelege principiul de funcionare a protocolului, trebuie
introduse urmtoarele noiuni:
Serverul TGS (Ticket Granting Server) ofer tichete de tip sesiune

pentru accesarea altor resurse. De obicei, TGS ruleaz n KDC.
Tichetul TGT (Ticket Granting Ticket) reprezint un jeton de

validare a unui tichet Kerberos care atest faptul c o entitate a fost
deja autentificat i ne asigur c utilizatorii nu mai trebuie s
reintroduc parola dup un login iniial, pn la expirarea tichetului.
Tichetul de sesiune ST (Session Ticket) reprezint un jeton de

sesiune care permite accesul la resurse protejate. Pentru accesarea
oricrei aplicaii care utilizeaz Kerberos este necesar un tichet de
sesiune valid.
- 138 -
Procesul de autentificare Kerberos se desfoar n mai muli pai:

Utilizatorul unui sistem client, utiliznd un username si o parol sau
un smart card, se autentific fa de server-ul de autentificare (AS din
KDC);
AS emite clientului un tichet de tip TGT pe care l utilizeaz pentru
a accesa TGS.
TGS emite un tichet de sesiune (ST) ctre client.
Clientul prezint acest tichet serviciului de reea accesat. Tichetul de
sesiune dovedete att identitatea utilizatorului ctre serviciu, ct i a
serviciului fa de client.
Observaii:
Faptul c se utilizeaz un server central, furnizarea serviciului se

poate ntrerupe (DoS) atunci cnd acesta nu mai funcioneaz,
deoarece nimeni nu l mai poate apela. Aceast situaie poate fi
evitat dac se utilizeaz mai multe servere Kerberos.
Avnd n vedere c toate cheile secrete ale utilizatorilor sunt stocate

n serverul central, compromiterea acestuia poate duce la
compromiterea tuturor cheilor.
Kerberos necesit sincronizarea entitilor apelante cu server-ul iar

dac acestea nu sunt sincronizate, atunci procesul de autentificare nu
poate avea loc. Se impune s nu existe o diferen de timp mai mare
de 10 minute. n practic, se poate utiliza protocolul NTP (Network
Time Protocol ) pentru realizarea sincronizrii.
Serviciul de autentificare extins Kerberos v5 (RFC 1510) se
bazeaz att pe mecanismul de autentificare cu nume i parol, ct i pe

sistemul de criptografie cu chei publice (PKC Public Key Cryptosystem).
- 139 -
IV.3 PROTOCOLUL SESAME

Protocolul SESAME (Secure European System for Applicxations in
a Multivendor Environment) este rezultatul unui proiect al Asociaiei
Fabricanilor Europeni de Calculatoare (ECMA European Computer
Manufacturer Asociation) propus pentru optimizarea i extinderea
protocolului Kerberos pentru controlul distribuit al accesului n reea.
SESAME folosete interfaa de aplicaii GSS-API (Generic Security
Services Application Program Interface) care ascunde detaliile de securitate
lucrnd n mod transparent fa de utilizatori.
SESAME modific modul de implementare a algoritmilor de
criptare DES, RSA i MD5 adoptat de protocolul Kerberos, precum i
funciile de dispersie.
SESAME folosete o tehnic de autorizare i control al accesului
similar celei aplicate de protocolul Kerberos, cu autentificare a clientului
de ctre AS. Suplimentar, este necesar i autentificarea de ctre un server
de privilegii (PAS Privilege Attribute Server) care elibereaz un certificat
de privilegii (PAC Privilege Attribute Certificate) dup prezentarea unei
dovezi de autenticitate. Certificatul este semnat cu cheia privat a serverului
emitent. n certificat se specific identitatea i rolul utilizatorului, grupul
organizaional cruia i aparine, permisiuni i restricii impuse, condiii de
utilizare a certificatului.
Dup obinerea certificatului, clientul se adreseaz serverului KDS
(Key Distribution Center Server), conform RFC 3634, pentru obinerea
tichetului de serviciu.
- 140 -
Se observ c protocolul SESAME se aplic pas-cu-pas prin mai

multe procese succesive de comunicaie client-server.
n versiunile mai noi ale protocolului, aceste procese de comunicaie
cu serverele AS, PAS i KDS sunt rulate pe un server de securitate a
domeniului SESAME (DSS Domain Security Server) pe care este instalat
o baz de date care gestioneaz toate informaiile de securitate din domeniu
(SMIB Security Management Information Base). Fiecare domeniu dispune
de o autoritate local de nregistrare a utilizatorilor (LRA Local
Registration Authority) de la care se obin informaii de la autoritatea de
certificare (CA Certificate Authority), prin intermediul agenilor de
certificare (CAA CA Agent) (Figura IV.3). Certificatele sunt criptate cu
chei publice pe baza mecanismului de autentificare X.509 fiind necesar un
mecanism de gestionare i de distribuie a cheilor publice n reea.
Figura IV.3 Domenii de securitate SESAME

- 141 -
n domeniul CA, serverele comunic n modul asincron. Serverul

CA opereaz offline, n timp ce serverul CAA este online. Comunicaia
dintre LRA i CAA se realizeaz n mod sincron.
Arhitectura SESAME include suplimentar (Figura IV.4):
1. sponsorul clientului care furnizeaz o interfa de aplicaii US (User
Sponsor).
2. modulul APA (Authentication Privilege Atribute) care asigur
transparena serviciilor de securitate oferite de SESAME
3. managerul de context SACM (Secure Association Context Manager)
prin care se asigur autentificarea mutual client-server.
4. managerul cheilor publice PKM (Public Key Manager)
5. modulul de validare a certificatelor PVF (PAC Validation Facility)
6. componenta de audit realizeaz doar nregistrri ale evenimentelor
de securitate astfel nct acestea s nu poat fi modificate de
aplicaiile-proces. Analiza de audit nu cade n sarcina sistemului
SESAME.
7. Facilitatea de suport criptografic (CSF Cryptographic Support
Facility) implementeaz algoritmi criptografici utilizai
componentele
SESAME
sau
de
alte
aplicaii.
fie
de
Algoritmii
utilizai n curent de SESAME sunt DES-CBC, RSA, MD5 i

DES-MD5. CSF a fost proiectat astfel nct algoritmii s poat
fi nlocuii iar mrimile cheilor ajustate n funcie de legislaia
local. Din motive de control al exportului, versiunea public a
sistemului SESAME folosete un simplu XOR pentru a cripta
datele.
- 142 -
Figura IV.4 Arhitectura sistemului SESAME
SESAME folosete o ierarhie de chei cu dou niveluri:
O cheie simpl - stabilit i utilizat ntre un SACM iniiator i

PVF-ul SACM-ului
int,
pentru
proteja
PAC-urile
corespunztoare precum i informaiile de stabilire a cheilor.
O cheie de dialog - derivat din cheia simpl cu o funcie de

dispersie cu sens unic (one-way function). Scopul acesteia este de a
proteja datele schimbate ntr-un
context de
Pentru protecia
integritii
securitate.
a confidenialitii
se
pot stabili chei de dialog separate, permind ca mecanisme cu puteri

de criptare diferite s fie utilizate conform cu legislaia local.
SESAME este proiectat pentru sisteme deschise, cu echipamente de
la diferii productori (multi-vendor), pentru servicii de autentificare, de
confidenialitate i integritate a datelor, de autorizare i control al accesului
n aplicaii distribuite n reea.
- 143 -
IV.4 PROTOCOLUL RADIUS

RADIUS (Remote Authentication Dial In User Service) este un
protocol de autentificare, autorizare i gestionare a conturilor de utilizator
(AAA- Authentication, Authorization, Accounting) care asigur controlul
accesului la resursele unei reele. RADIUS este utilizat de furnizorii de
servicii Internet (ISP- Internet Service Provider) i de alte organisme care
administreaz accesul la Internet sau la reelele interne.
Un pachet RADIUS (Figura IV.5) conine urmtoarele cmpuri:
Cod (type) - specific tipul pachetului RADIUS (1B);
Identificator (identifier) - prin care se realizeaz legatura dintre

cerere i rspuns (1B);
Lungime (length) - indic lungimea ntregului pachet, minimum 20

B, maximum 4096 B (2B);
Autentificator (authenticator) - reprezint informaia prin care este

autentificat rspunsul server-ului RADIUS (16 B);
Atribute (attributes) - cmp de lungime variabil care conine lista

tuturor informaiilor necesare pentru un anumit tip de serviciu. Un
atribut este format din trei cmpuri: nume, lungime i valoare.
Figura IV.5 Structura pachetului RADIUS
- 144 -
Atributele pot fi mprite n patru categorii:
atribute de management ale protocolului RADIUS;
atribute de identificare i autentificare a utilizatorului;
atribute de autorizare care arat tipul serviciului furnizat

utilizatorului;
atribute de gestionare a contulurilor care indic modul de utilizare a

serviciului.
Serverele RADIUS utilizeaz conceptul AAA pentru a administra
accesul n reea, n trei pai:
1. Autentificarea clientului
Clientul cere permisiunea de accesare a resurselor reelei unui server
de acces la reea (NAS - Network Access Server). NAS trimite server-ului
RADIUS o cerere de acces (access request), prin care solicit autorizaia de
a permite accesul. Aceasta cerere include i o form de identificare a
clientului, un nume de utilizator i o parol sau un certificat digital,
furnizate de acesta. n plus, cererea poate include alte informaii cunoscute
de NAS, cum ar fi: adresa de reea (MAC- Media Access Control), numrul
de telefon, informaii cu privire la conexiunea fizic dintre NAS i client.
2. Autorizarea
Cererea de acces iniiat de NAS este procesat de server-ul
RADIUS. Acesta caut ntr-o list intern de conturi, contul utilizatorului
pentru a verifica informaiile despre acesta. Identitatea utilizatorului este
verificat i, opional alte informaii cu privire la cererea acestuia.
Server-ul RADIUS poate furniza unul dintre urmtoarele rspunsuri:
- 145 -
Acces respins (Access-Reject) utilizatorului, la toate resursele reelei

pentru care a adresat cererea, pentru c nu s-a dovedit identitatea
acestuia sau contul acestuia nu este recunoscut sau activ.
Acces permis (Access-Accept) utilizatorului. Atributele autorizaiei

sunt trimise ctre NAS de serverul RADIUS, inclusiv limitarea
timpului de acces sau a cantitii de informaie i restriciile de
securitate referitoare la controlul accesului i adresele de reea
ataate.
Rspuns (Access-Challenge) prin care se cer informaii suplimentare

de la client, cum ar fi de exemplu o a doua parol.
3. Gestionare cont
Atunci cnd se acord accesul la reea, unui utilizator, de ctre NAS,
un mesaj de iniiere a contului (accounting start) este trimis de NAS serverului RADIUS pentru ai semnala acestuia c un utilizator a accesat reeaua.
Acest mesaj de obicei conine: identitatea utilizatorului, adresele de reea i
ID-ul unic al sesiunii deschise de utilizator.
Periodic
NAS
poate
trimite
mesaje
intermediare
(interim
accounting) ctre RADIUS pentru a-l ntiina cu privire la starea unei

sesiuni active. n final, cnd sesiunea se ncheie, NAS trimite un mesaj de
ncheiere server-ului RADIUS (accounting stop) cu informaii cu privire la
timpul, data, motivul deconectrii i alte informaii cu privire la accesul
utilizatorului la reea.
Pentru protectia parolelor trimise ntre NAS i server-ul RADIUS, se
pot utiliza tunele IPsec, pentru criptarea traficului. De regul, se utilizeaz
pentru criptarea informaiilor algoritmul RSA.
- 146 -
Serverul RADIUS a fost implementat n sistemul de operare MS

Windows 2000 ca server IAS (Internet Authentication Service) care
realizeaz centralizat operaiile de autentificare, autorizare, audit i de cont
(AAAA) pentru conexiuni prin dial-up sau VPN, de acces la servicii de la
distan sau la cerere, cu echipamente fabricate de un productor unic
(single vendor) sau de mai multe firme productoare (multi-vendor).
IV.5 PROTOCOLUL DIAMETER

Odat cu creterea numrului de utilizatori i al punctelor de acces, a
numrului de servicii i a complexitii acestora, protocolul RADIUS nu a
mai putut ndeplini toate cerinele AAA. A fost nevoie de un nou protocol,
capabil s ndeplineasc toate noile probleme aprute n controlul accesului
i s menin flexibilitatea, pentru dezvoltri ulterioare.
DIAMETER (diametru) nu este un protocol nou, ci o versiune
mbuntit a protocolului RADIUS (raz).
DIAMETER utilizeaz o arhitectur peer-to-peer, astfel nct fiecare
calculator-gazd care folosete acest protocol poate juca att rolul de client,
ct i pe cel de server.
Un dispozitiv care primete o cerere de conectare la reea, se va
comporta ca server de acces la reea (NAS Network Access Server), care,
dup colectarea datelor despre client (nume de utilizator, parol, certificat
digital .a.), trimite o cerere de acces (access request) serverului
DIAMETER. Acesta, pe baza informaiilor primite, autentific utilizatorul.
Dac procesul de autentificare se face cu succes, privilegiile de acces ale
- 147 -
utilizatorului sunt incluse ntr-un mesaj de rspuns, care este trimis napoi
serverului NAS.
Mesajele serverului DIAMETER (figura IV.6) sunt de mai multe
tipuri i se deosebesc prin codul de comand din fiecare pachet. Schimbul
de mesaje DIAMETER se face sincron, adic fiecare cerere are propriul
rspuns, nsoit de acelai cod de comand.
Codul de comand stabilete tipul mesajului, dar informaia propriuzis este transportat printr-un set de AVP-uri (AVPs - Attribute-ValuePairs). Aceste AVP-uri conin detalii cu privire la autentificarea unui
utilizator, autorizarea i gestionarea conturilor, dar i informaii cu privire la
rutarea pachetelor i securitatea acestora ntre dou noduri DIAMETER.
Figura IV.6 Structura pachetului DIAMETER
Un pachet DIAMETER include cmpurile:
Versiune (version) - indic versiunea de protocol.
Lungime a mesajului (message length) - indic lungimea ntregului

pachet.
Bii de comand (command flags):

R (request) - indic dac mesajul este o cerere sau un rspuns.
- 148 -
P (proxiable) - arat dac mesajul trebuie redirecionat sau

procesat local;
E (error) - indic o eroare a protocolului;
T (re-transmitted message) - arat daca mesajul a mai fost
transmis;
r (reserved) - bii rezervai.
Codul de comanda (command code) - face legatura dintre tipul

mesajului-cerere i tipul mesajului-rspuns;
Identificatorul aplicaiei (application ID) - identific aplicaia pentru

care a fost trimis mesajul;
Identificatorul hop-by-hop - asigur legatura dintre cerere i rspuns;
Identificatorul end-to-end - detecteaz mesajele duplicat.

AVP reprezint o metoda de ncapsulare a informaiilor n mesajele
DIAMETER. Antetul AVP, de minimum 8 octei, are urmtoarea structur:
Figura IV.7 Structura AVP
Semnificaiile cmpurilor:
Codul AVP mpreun cu identificatorul productorului (ID Vendor)

- identific unicitatea atributului.
- 149 -
Bitul V - arat prezena cmpului opional ID Vendor (de obicei este

0);
Bitul P - indic necesitatea criptrii pentru securitatea end-to-end;
Bitul M - trebuie s ia valoarea 1, pentru ca mesajul s nu fie

respins;
Lungime AVP - indic lungimea total a mesajului AVP;
Date este cmpul care conine informaii specifice atributului.

Protocolul DIAMETER poate furniza aplicaiilor dou tipuri de
servicii: autentificare i autorizare, cu opiunea de gestionare a conturilor,

sau numai gestionarea conturilor.
n cazul serviciului de autentificare si autorizare, deschiderea unei
sesiuni se realizeaz prin trimiterea unui mesaj serverului NAS, care la
rndul su trimite o cerere de autentificare serverului DIAMETER cu un
identificator unic de sesiune (session-ID). Serverul DIAMETER poate
include n mesajul de rspuns un AVP care s indice timpul de via al
autorizaiei (exprimat n secunde) dup care utilizatorul trebuie s fie
reautentificat. Dup expirarea timpului, serverul DIAMETER nchide
sesiunea, elibereaz toate resursele alocate acesteia. n timpul sesiunii, pot fi
iniiate cereri de reautentificare i reautorizare, menite s verifice dac
utilizatorul mai folosete serviciul. Mesajele de nchidere a unei sesiuni pot
fi iniiate att de NAS, ct i de serverul DIAMETER.
n cadrul serviciului de gestionare a conturilor, se au n vedere
numrul mesajelor, starea unei sesiuni active, modul de trimitere al
mesajelor etc.
Erorile protocolului DIAMETER se mpart n dou categorii:
- 150 -
Erorile de protocol - se refer la problemele aprute n transportul

mesajelor (de exemplu, informaii de rutare greite, ntreruperi
temporare ale unor ci de comunicaie din reea).
Erorile de aplicaie cauzate de modul de implementare a

protocolului.
Ca avantaje ale protocolului DIAMETER suplimentare fa de
RADIUS, se pot aminti:

mesajele de eroare care specific problema aprut
utilizarea mesajelor de confirmare
blocarea trimiterii repetate a unui mesaj (no-replay)
garantarea integritii mesajelor (securitate de tip end-to-end).

DIAMETER este un protocol peer-to-peer i nu client-server,
aplicabil n reelele de mari dimensiuni, recomandat att n reelele cablate,

ct i n cele wireless sau hibride.
IV.6 PROTOCOLUL DE AUTENTIFICARE

EXTINS (EAP)
Protocolul de autentificare extins (EAP Extensible Authentication
Protocol) este utilizat n sistemele de autentificare cu cheie global, pentru
transmisia criptat a acesteia n reea.
EAP este utilizat n reelele wireless n standard IEEE 802.11.
Pentru autentificare mutual se folosete pe nivelul de transport
protocolul TLS (Transport Layer Security) care asigur integritatea
comunicaiilor i schimbul sigur de chei ntre nodurile reelei. Acest
- 151 -
protocol solicit reautentiifcarea i reautorizarea de fiecare dat cnd se

trece din reeaua wireless ntr-o reea cablat sau o alt reea wireless cu un
nivel de securitate mai mic.
Fiecare staie care dorete s se conecteze la reeaua wireless, trimite
ctre AP un mesaj de tip EAP Start pentru nceperea procesului de
autentificare. AP-ul i rspunde cu o cerere EAP (EAP Request) pentru a-i
afla identitatea dup care i trimite un mesaj de deschidere a conexiunii cu
acel AP (EAP Start Connected). Staia rspunde AP-ului (EAP Response)
cu un mesaj n care este inclus fie identificatorul cererii dac nu este nici un
utilizator activ la acel moment fie numele utilizatorului activ. AP-ul trimite
acest rspuns serverului de autentificare care va adresa prin TLS sau codat
MD5 o interogare de verificare (challenge) a identitii clientului. Aceast
cerere este transmis criptat, cu o cheie unic de sesiune (unicast key)
deoarece serverul de autentificare nu admite chei globale pentru transmisie.
AP-ul intermediaz comunicaia client-server. Clientul transmite rspunsul
coninnd garaniile sale (credentials) serverului de autentificare i dac
acestea sunt valide, se creez un mesaj Succes, dup care trimite AP-ului
mesajul de rspuns pentru client n care se transmite cheia criptare generat
pe baza cheii de sesiune EAP-TLS. AP-ul genereaz aleator o cheie global
de criptare sau o alege dintr-un set predefinit de chei, pe care o prezint
serverului de autentificare. Dup confirmarea recepiei acestui mesaj, AP-ul
transmite clientului rspunsul (EAP Key Message) cu cheia de transmisie
criptat cu cheia de sesiune dat de server. Toate cheile de sesiune folosite
de clienii unui AP, sunt stocate de acesta n liste speciale. Fiecare client
extrage prin decriptare cheia global din mesajul trimis de AP. Dup aceea,
AP-ul genereaz din cheia de sesiune EAP-TLS i transmite clientului cheia
de criptare pe care o va folosi pentru transmisie ca i cheie unic de sesiune
- 152 -
(unicast session key). Placa de reea (NIC Network Interface Card) a

clientului este programat pentru a folosi aceast cheie pentru toate
transmisiile efectuate prin acel AP. Se adreseaz apoi o cerere de DHCP
pentru alocarea unei adrese pe baza creia se conecteaz clientul la reeaua
aleas.
Similar se pot folosi variante mbuntite ale protocolului EAP cu
tunelare (EAP-TTLS sau LEAP Lightweight EAP).
- 153 -
- 154 -
Capitolul V TEHNICI DE SECURITATE

V.1 INTRODUCERE
Importana aspectelor de securitate n reelele de comunicaii a
crescut odat cu extinderea aplicaiilor cu caracter privat, de genul celor
financiar-bancare, realizate prin intermediul acestora (pli electronice,
tranzacii ntre conturi, licitaii electronice, comer electronic etc). n cazul
operrii cu informaii confideniale, este important ca avantajele de partajare
i comunicare aduse de reelele de comunicaii s fie susinute de faciliti
de securitate substaniale.
n urma implementrii unor tehnici de securitate ntr-o reea,
informaiile nu vor mai putea fi accesate sau interceptate de persoane
neautorizate (curioase sau ru intenionate) i se va mpiedica falsificarea
informaiilor transmise sau utilizarea clandestin a anumitor servicii
destinate unor categorii aparte de utilizatori ai reelelor.
n condiiile n care exist numeroase interese de spargere a unei
reele, este evident c proiectanii resurselor hard i soft ale acesteia trebuie
s ia msuri de protecie serioase mpotriva unor tentative ru intenionate.
ns metodele de protecie luate mpotriva inamicilor accidentali, se pot
dovedi inutile sau cu un impact foarte redus asupra unor adversari
redutabili, cu posibiliti materiale considerabile.
Pentru implementarea securitii unei reele este important
utilizarea unor tehnici specifice:
protecia fizic a dispozitivelor de reea i a liniilor de transmisie la

nivel fizic;
- 155 -
proceduri de blocare a accesului la nivelul reelei;
transport securizat al datelor n spaiul public prin tunele securizate

sau VPN-uri (Virtual Private Network);
aplicarea unor tehnici de criptare a datelor.

Fr o politic de securitate riguroas, diversele mecanisme de
securitate pot fi aproape ineficiente ntruct nu ar corespunde strategiei i

obiectivelor pentru care a fost proiectat reeaua.
Msurile de securitate prevzute n politica de securitate pot s
vizeze mai multe aspecte:
Renunarea la setrile implicite i configurarea adecvat a

echipamentelor din reea (staii de lucru, servere, routere, AP):
parole, chei de criptare, funcii de reset, funcii de conectare i de
reconectare automat i de la distan, liste de control pe baza
adreselor MAC i a cheilor publice, ageni SNMP din versiunile mai
noi de protocol.
Rennoirea parolelor i a setrilor implicite n general, care pot

constitui vulnerabiliti ale sistemului de securitate. Se poate folosi
un generator automat de parole, eventual combinat cu mecanismul
de autentificare cu doi factori n care parola este combinat fie cu
codul PIN al unui dispozitiv de acces hardware (smart card), fie cu
un alt cod de acces. Nu ntotdeauna se justific msuri de control al
accesului att de severe.
Stabilirea caracteristicilor de criptare trebuie fcut pe cel mai

performant nivel oferit de un standard dac nu sunt probleme de
compatibilitate cu sisteme de comunicaie mai vechi. De exemplu, n
cazul comunicaiilor wireless care folosesc WEP, opiunile
referitoare la cheile de criptare sunt: niciuna, cheie public de 40 de
- 156 -
bii i cheie public de 104 bii. Interconectarea unui echipament

care folosete o cheie de 128 de bii cu unul care utilizeaz WEP,
devine astfel imposibil.
Controlul funciei de resetare este foarte important pentru c o

persoan care are acces fizic la un echipament, l poate readuce la
configurrile implicite prin acionarea butonului de resetare dup
care are acces direct la reea.
Utilizarea listelor de acces (ACL Access Control List) cu filtrare

pe baz de adrese fizice (MAC Media Access Control) i cu adrese
statice de reea (DHCP dezactivat), cu limitarea domeniului de
adrese alocabile, pot mpiedica accesul neautorizat la reea.
n cazul reelelor wireless, este util dezactivarea opiunii de

transmitere prin braodcast a identificatorului setului de servicii
(SSID Service Set Identifier) astfel nct o simpl cerere de
identificare a reelelor wireless dintr-o zon, s fie ignorat de AP-ul
respectiv. Atacatorul trebuie s lanseze n acest caz un proces de
scanare activ a reelei care ns i desconspir prezena.
Maximizarea intervalului de baliz poate de asemenea s ascund

temporar un AP, fiind mai greu de depistat.
Schimbarea canalului implicit folosit de AP n reeaua wireless poate

fi util n cazuri de interferen cu alte echipamente care transmit n
aceai arie geografic. Se recomand o separare de minimum 5
canale.
Aplicarea principiilor de securitate enunate trebuie realizat cu
ajutorul unor tehnici eficiente de control al accesului logic la reea i la

servicii, att pentru utilizatorii din intranet, ct i pentru cei din afar.
- 157 -
Securitatea trebuie asigurat de la prima cerere de stabilire a unei

conexiuni ntre dou echipamente de comunicaie, urmnd ca msuri
specifice de securizare s se aplice ulterior la nivel de aplicaie, n funcie de
privilegiile de acces la servicii pe care le are solicitantul, utilizator sau
proces software.
A devenit o cerin imperativ n reelele de comunicaii,
implementarea contramsurilor pentru accesul procedurilor automate de tip
client, care sunt deosebit de eficiente n aflarea codurilor de acces, precum
i n lansarea unor atacuri de saturare a serverelor i a reelei. Se folosesc, de
exemplu, solicitri de recunoatere a unor litere sau cifre, cu forme
deosebite sau marcate cu un simbol, care nu pot fi rezolvate prin proceduri
automate de recunoatere a formelor ci numai de utilizatorii umani.
V.2 FIREWALL
Un firewall (zid de protecie) joac un rol semnificativ n procesul
de securitate al unei reele de calculatoare. Ca firewall se poate folosi un
dispozitiv dedicat sau o aplicaie software care controleaz procesul de
comunicaie dintre reeaua intern i cea extern, prin aplicarea politicii de
securitate a reelei protejate.
Un router poate fi configurat ca firewall. De asemenea, unele
sisteme de operare, precum Windows XP (eXPerience), includ opiunea de
activare a unui firewall intern care aplic anumite reguli i constrngeri
privind accesul pe diferite interfee ale sale.
- 158 -
Firewall-ul interconecteaz reeaua public i o reea privat,

asigurnd securitatea datelor vehiculate intern n reea i protecia reelei
private fa de eventualele atacuri externe (Fig.V.1).
Fig. V.1 Conectarea unei reele private la Internet

prin intermediul unui firewall
Un firewall are minimum dou interfee:
Interfaa public prin care se realizeaz conexiunea dintre firewall i

reeaua public (n particular, Internet-ul);
Interfaa privat prin care se interconecteaz firewall-ul la reeaua

privat.
Firewall-ul protejeaz reeaua privat de atacurile externe i
restricioneaz accesul din afar la resursele acesteia.

ntruct firewall-ul reprezint singura conexiune dintre reeaua
privat i cea public, la nivelul su se poate monitoriza i jurnaliza traficul
de pachete i se verific drepturile de acces ale utilizatorilor din afara reelei
interne (prin operaia de login)
n prezent, se utilizeaz dou tipuri de firewall:
1. Poart de aplicaii (Application Gateway) - varianta tradiional
de firewall.
- 159 -
Orice conexiune ntre dou reele se face prin intermediul unui

program de aplicaii (proxy). O sesiune deschis n reeaua privat este
ncheiat de proxy, dup care acesta creeaz o nou sesiune spre nodul de
destinaie prin care serverul proxy adreseaz cererile de la nodurile interne,
n numele su, n reeaua extern.
Programul proxy se bazeaz pe particularitile suitei TCP/IP i este
restrictiv pentru alte suite de protocoale. Execuia acestui program necesit
resurse relativ mari din partea CPU.
La nivelul firewall-ului sunt admise numai acele protocoale pentru
care sunt configurate aplicaii proxy specifice. Cadrele bazate pe alte tipuri
de protocoale sunt automat rejectate.
2. Modul de inspecie dependent de stare (Stateful Inspection) sau
de filtrare dinamic a pachetelor, denumit i mod de control al accesului
n funcie de context (CBAC - Context-Based Access Control).
n aceast tehnologie, se preiau pachetele de date i se citesc antetele
introduse de protocolul de reea (IP) i de cele corespunztoare nivelelor
OSI i TCP/IP superioare, pn la nivelul de aplicaie.
Firewall-ul verific fiecare pachet care urmeaz s fie transferat i
acord dreptul de acces n funcie de adresele sursei i destinaiei, precum i
de serviciul solicitat.
Aciunile firewall-ului pot fi de mai multe tipuri:
1. acceptare
(Accept,
Allow)
pachetelor,
condiionat
sau
necondiionat de un set de reguli.

2. respingere (Reject) a pachetelor care nu corespund regulilor de
securitate cu trimiterea unui mesaj nodului emitent.
3. blocare (drop, deny, blackhole) sau interzicere a accesului pachetelor
n reea, fr ntiinarea expeditorului.
- 160 -
n practic, se configureaz i firewall-uri transparente, care

transfer cadrele ntre cele dou sesiuni fr analiza prealabil a
informaiilor pe care acestea le conin.
Acest tip de firewall CBAC realizeaz controlul fluxului cu
memorie, astfel nct echipamentul este capabil s recunoasc acele pachete
transmise din reeaua public (extranet) ca rspuns la o cerere adresat de
un nod din reeaua intern (intranet), prin monitorizarea sesiunilor TCP. n
paralel, se rejecteaz toate pachetele transmise din reeaua public n cea
intern, dar care nu provin din traficul iniiat intern.
Prin acest concept, se asigur o procesare rapid i eficient a
traficului de informaii dintre Internet i reelele private, perfect adaptat
noilor aplicaii Internet i realizat cu resurse hardware relativ reduse.
Implementarea firewall-ului cu routere se face prin filtrarea
dinamic a pachetelor i controlul traficului pe baza regulii care stabilete
c:
orice pachet transmis din reeaua intern ctre o destinaie extern

este transferat de firewall necondiionat, cu excepia cazurilor n care
se impun constrngeri;
transferul oricrui pachet din reeaua public spre o destinaie din

reeaua privat este blocat de firewall, cu excepia cazurilor n care
se admite accesul acestora n mod explicit, prin configurarea
adecvat a interfeelor publice referitor la accesul din exterior.
Interfeele firewall-ului sunt deschise numai pe durata sesiunii
iniiate de un utilizator cu drept de acces.

Firewall-ul intercepteaz orice conexiune stabilit prin TCP i o
continu numai dup verificarea prealabil a legturii. Acest lucru previne
- 161 -
atacurile din exterior asupra reelei private, prin distrugerea cadrelor

transmise prin TCP fr drept de acces.
Firewall-ul poate fi configurat n vederea limitrii accesului
utilizatorilor din reeaua intern n cea public.
Se poate controla accesul pe diferite porturi de protocol. Este
indicat nchiderea unor porturi neutilizate de utilizatorii proprii pentru a nu
lsa ci de acces eventualilor atacatori.
Mesajele generate prin ICMP pot fi transferate sau blocate de
firewall n funcie de modul de configurare a acestuia.
Pentru evenimentele semnificative care apar la nivelul firewall-ului
se pot trimite mesaje de ntiinare ctre nodurile de destinaie accesate.
Echipamentele de tip firewall admit diverse protocoale de aplicaie:
FTP, NETBIOS, GRE, OSPF, RSVP (ReSerVation Protocol), VDOnet's
VDOLive, Microsoft's NetShow etc.
Firewall-ul protejeaz reeaua privat fa de atacurile externe de
tip "inundare" cu pachete (flooding), cu pachete PING ilegale sau ICMP
generate n numr excesiv, atacuri Smurf cu pachete avnd adresa IP din
spaiul de adrese alocat reelei private, de cele mai multe ori fiind chiar
adresa de broadcast a acesteia, scanare a porturilor.
Firewall-ul permite controlul i monitorizarea accesului (Logging
Facility) n reeaua privat dar numai pentru sesiunile create pe baza
protocolului Internet, nu i pentru alte suite de protocoale (Appletalk,
DECnet, IPX/SPX).
Politica de securitate aplicat de firewall stabilete regulile pe baza
crora se admite sau se blocheaz transferul pachetelor ntre reeaua privat
i cea public.
- 162 -
Un firewall devine activ numai dup ce au fost configurate cel puin

o interfa public i una privat i s-au stabilit regulile de acces la nivelul
acestora.
Traficul ntre dou interfee ale firewall-ului nesupuse politicii de
securitate se desfoar normal, fr restricii.
Transferul pachetelor de la o interfa nesecurizat ctre una
securizat este automat blocat.
Firewall-ul controleaz traficul de pachete pe baza adreselor fizice
sau IP, a porturilor de aplicaie i chiar a zilei sau orei la care se acceseaz
reeaua.
Politica de securitate se aplic pe baza listelor de acces stocate n
routere sau n servere RADIUS (Remote Authentication Dial In User
Service).
Firewall-ul lucreaz ca server de control al accesului (Network
Access Server) care folosete serviciile unui server RADIUS care
gexstioneaz baza de date cu informaii despre utilizatorii reelei (nume de
utilizatori i parole), modul de configurare a reelei (adrese IP, mti de
reele i de subreele etc), precum i despre sesiunile stabilite anterior, sub
forma unui istoric al evenimentelor din reea.
Firewall-ul este clientul RADIUS care adreseaz cererea de
autentificare ctre serverele RADIUS, pentru accesarea listelor de acces.
Acestea sunt fiiere de tip 'text' (.txt), codate ASCII, care includ liste de
adrese IP sau MAC.
Listele de acces bazate pe adrese IP includ adrese IP individuale,
eventual numele calculatoarelor-gazd, domeniul de adrese IP al unei reele
i eventual unele comentarii care faciliteaz administrarea acestor liste.
- 163 -
Listele de acces cu adrese fizice includ adrese MAC individuale ale

componentelor reelei, eventual numele staiilor i comentarii ajuttoare.
Numrul maxim de liste de acces care pot fi stocate pe un router,
precum i dimensiunile acestora este n general limitat.
Pentru un spaiu de adrese extins se prefer utilizarea unui server
RADIUS care s gestioneze eficient aceste liste, pentru a reduce ntrzierile
de trafic produse de routere.
n acest caz, routerul devine un simplu client RADIUS care
adreseaz cererea de autentificare ctre serverul RADIUS i primete un
rspuns din partea acestuia.
Firewall-urile pot opera pe diferite nivele:
nivel OSI 2 (pe subnivelul MAC): filtrarea cadrelor
nivel OSI 3 de reea: filtrarea pachetelor
nivel OSI 4 de transport: filtrarea pachetelor cu opiunea de inspecie

a strii pentru a cunoate caracteristicile urmtorului pachet ateptat
n vederea evitrii multor atacuri.
nivel de aplicaie (application level firewall) cnd se comport ca

server proxy pentru diverse protocoale care ia decizii privind
aplicaiile i conexiunile stabilite n reea.
Observaii:
1. Filtrarea dinamic a pachetelor se realizeaz la nivelul firewallului prin politica de securitate dar i prin procedeele de translare a adreselor
private n adrese publice (NAT Network Address Translation; ENAT Enhanced NAT). Pentru a evita dubla filtrare a pachetelor n routere, se
dezactiveaz serviciul NAT pe durata activrii firewall-ului.
- 164 -
2. Se poate monitoriza activitatea firewall-ului, mai precis

evenimentele care se desfoar la nivelul su:
accesarea adreselor de e-mail;
desfurarea sesiunilor Telnet de acces de la distan n reeaua

privat;
comunicarea pe porturi asincrone (de exemplu, interfee seriale);
accesarea agenilor SNMP.
O aplicaie de tip firewall are i o serie de limitri:
nu poate interzice importul/exportul de informaii duntoare

vehiculate prin diferite servicii de reea (de exemplu, prin pota
electronic);
nu poate interzice scurgerea de informaii pe alte ci, care ocolesc

firewall-ul (dial-up);
nu poate proteja reeaua privat de informaiile aduse pe suporturi

mobile (USB flash memory, dischet, CD - Compact Disc, DVD Digital Versatil Disc etc.);
nu poate preveni efectul erorilor de proiectare ale aplicaiilor care

realizeaz diverse servicii (bugs).
Firewall-urile pot fi implementate n form:
dedicat oferind un nivel sporit de securitate
combinat cu alte servicii de reea, n router sau gateway sau ntr-un

simplu calculator.
Eficiena unui firewall depinde de politica de securitate aplicat i de
modul de configurare. De cele mai multe ori este indicat restricionarea

total a traficului, urmat de deschiderea acelor porturi i admiterea acelor
- 165 -
aplicaii care se justific prin politica de securitate i dup o verificare a

activitii lor pe o anumit perioad de timp dup activare. Verificarea
eficienei firewall-ului se poate face cu aplicaii software care ofer servicii
de testare a vulnerabilitilor de securitate (precum Shields Up).
V.3
SISTEME
DE
DETECIE
INTRUILOR
Sistemele de detecie a intruilor (IDS Intrusion Detection System)
sunt o completare a activitii unui firewall n procesul de securitate a unei
reele de comunicaii i constau n soluii pasive de analiz, clasificare i
raportare a evenimentelor de reea nedorite.
Cele mai frecvente atacuri lansate din Internet asupra serverelor de
reea sunt de tip refuz al serviciului (DoS) corelate cu aciuni de
inundare a reelei (flooding) cu un numr mare de pachete de diferite
tipuri (ping. TCP syn .a.). Dar se impune i limitarea atacurilor pasive de
interceptare a pachetelor coninnd informaii cu caracter secret n scop de
furt sau de falsificare a acestora.
Atacurile asupra reelelor de comunicaii pot fi lansate pe diferite
ci, de exemplu prin serviciul de e-mail sau prin intermediul aplicaiilor
p2p, i pot viza aplicaii cu caracter critic precum cele de tranzacii
financiar-bancare sau de comer electronic pentru care pierderile sunt
substaniale i se exprim n mari sume de bani.
De aceea, investiiile n soluiile de securitate a comunicaiilor se
dovedesc a fi necesare i eficiente ca raport pre-pierderi.
- 166 -
Sistemele IDS detecteaz atacurile asupra reelei, alerteaz

personalul de administrare i eventual declaneaz aciuni de rspuns, cum
ar fi plasarea n carantin a anumitor procese pn la clarificarea situaiei.
Bineneles c pot s existe i alarme false dar procedurile aplicate n prim
faz nu vor face dect s ntrzie anumite transmisii.
Soluiile IDS monitorizeaz traficul, identific evenimentele cu risc
de securitate, le clasific pe mai multe clase de risc i le raporteaz
sistemului de securitate.
Spre deosebire de un firewall care are un caracter activ, de permitere
sau de blocare a pachetelor pe diferite criterii prevzute n politica de
securitate a reelelor, IDS-ul opereaz pasiv n reea, analizeaz traficul,
identific tentativele de atac pe baza semnturilor aplicaiilor i anomaliile
de trafic, alerteaz serviciul de administrare pentru a recurge n timp util la
contramsuri dar nu blocheaz atacurile.
Problemele de securitate pot fi rezolvate manual doar n reele de
mici dimensiuni. n reelele mari, cu zeci i sute de mii de noduri,
soluionarea evenimentelor cu risc de securitate trebuie realizat n mod
automat, prin soluii software adecvate care proceseaz n timp real
informaiile referitoare la traficul neautorizat de pachete i care ia decizii de
aciune fr intervenia factorului uman de administrare. Apar n acest caz
probleme de clasificare a evenimentelor ntr-un numr relativ redus de clase
de risc pentru a putea observa atacurile distribuite asupra reelei. Acestea
pot fi tratate pe baza teoriei sistemelor fuzzy iar n procesele de decizie se
pot folosi algoritmi optimi de procesare a informaiei.
Soluiile IDS pot fi aplicate fie la nivel de reea, pentru controlul
accesului n reea (NAC Network Access Control), fie la nivel de
calculator-gazd (Host IDS).
- 167 -
Serviciul de detectare a intruilor realizeaz la nivelul unui

echipament din reea urmtoarele funcii:
1. inspectarea fluxului de pachete
2. identificarea semnturilor de atac
3. alertarea serviciului de securitate
4. activarea unor aciuni de rspuns automate.
n general, orice IDS detecteaz i procesele de scanare a reelei (de
exemplu, Nmap) care preced de obicei un atac, astfel fiind posibil
prentmpinarea acestora prin soluii active de prevenire a intruziunilor (IPS
Intrusion Prevention System).
V.4 VPN - REELE PRIVATE VIRTUALE

Un VPN este o reea de comunicaii privat, folosit de obicei n
cadrul uneia sau mai multor organizatii, pentru a comunica n mod
confidenial, prin intermediul unei reele publice.
Mesajele din traficul VPN pot fi transmise prin intermediul
infrastructurii unei reele publice de date, precum Internet-ul, folosind
protocoalele standard, sau prin intermediul unei reele private a furnizorului
de servicii Internet.
VPN-ul este o soluie eficient din punctul de vedere al costurilor,
pentru ca diferite organizaii s poat asigura accesul la reeaua intern
pentru angajaii i colaboratorii aflai la distan, i pentru a permite
confidenialitatea datelor schimbate ntre punctele de lucru aflate la distan.
- 168 -
Multe din programele-client ale VPN- ului pot fi configurate n aa

fel nct s cear dirijarea ntregului trafic printr-un tunel, atta timp ct
conexiunea VPN este activ, sporind astfel sigurana conexiunii. Atta
vreme ct conexiunea VPN este activ, accesul din afara reelei sigure se
face prin acelai firewall, ca i cum utilizatorul ar fi conectat din interiorul
reelei private. Acest fapt reduce riscurile unei posibile accesri din partea
unui atacator, de interceptare i de urmrire a pachetelor.
Un tunel reprezint o conexiune punct-la-punct ntre dou
calculatoare sau dou reele pentru care se utilizeaz diferite protocoale de
rutare prin care se stabilete calea pe care este trimis pachetul de la surs la
destinaie.
Termenul de VPN descrie dou modaliti de abordare a problemei
reelelor private care au ca suport o reea public, din punctul de vedere al
accesibilitii:
1. VPN-uri realizate ntre mai multe reele locale (LAN-to-LAN VPNs,
cunoscute i sub denumirea de Site-to-Site VPNs) care conecteaz la
un nod central mai multe LAN-uri diferite aflate la mare distan
unele fa de altele dar care fac parte din acelai intranet, astfel nct
s asigure conectivitatea ntre ele.
2. VPN-uri de acces de la distan (Remote Access VPNs) care asigur
accesul de la distan la o reea privat, de exemplu pentru
utilizatorii de Internet mobil.
Se pot folosi diverse tehnologii de implementare a VPN-urilor
(Figura V.2). Alegerea uneia anume depinde de criteriile impuse prin
politica de securitate a reelei.
Prin aplicarea algoritmilor de criptare pe un anumit nivel OSI,
informaiile de pe toate nivelele de deasupra sunt protejate.
- 169 -
Se pare c nivelul de reea este cel mai indicat a fi securizat,

deoarece este independent de nivelul-aplicaie i de cel fizic, n acest fel
asigurndu-se o flexibilitate sporit.
Aplicarea serviciilor criptografice la nivel de aplicaie nu este o
soluie eficient din cauza diversitii aplicaiilor rulate care implic
schimbarea algoritmului de criptare de la caz la caz (voce, imagine, date).
Figura V.2 Protocoale folosite pentru VPN
La nivelul de transport, s-au impus mai multe protocoale de

securitate:
1. SSL (Secure Socket Layer) asigur autentificarea i integritatea
aplicaiilor bazate pe protocolul TCP, dar are ca dezavantaj major
lipsa de flexibilitate i dependena de nivelul-aplicaie.
- 170 -
2. TLS (Transport Layer Security) s-a dezvoltat ca o alternativ la SSL

care rezolv majoritatea inconvenientelor acestuia.
n ceea ce privete protecia nivelului legturii de date, problemele
cele mai stringente apar la capitolul costuri de implementare, ntruct
implic securizarea fiecrei legturi n mod separat.
Un protocol de tunelare este protocolul prin care se stabilete un
tunel ntre dou entiti din WAN, desprite de o infrastuctur public,
pentru care se asigur integritatea datelor vehiculate.
Se folosesc diferite protocoale de tunelare, difereniate prin traficul
care l pot susine:
GRE (Generic Routing Encapsulation) recomandat pentru reele

multiprotocol (IP, AppleTalk, DecNet). Cadrele sunt mpachetate cu
antete IP i transmise prin reeaua public.
IPSEC (Internet Protocol Security) care permite doar trafic IP.
PPTP (Point-to-Point Tunneling Protocol)
L2F (CISCO Layer 2 Forwarding)
L2TP (Layer 2 Tunneling Protocol)
MPLS (Multiprotocol Label Switching).

Protocoalele de tunelare VPN asigur funciile de autentificare i
de criptare. Autentificarea permite att clienilor, ct i serverelor VPN,

identificarea corect a utilizatorilor de resurse. Criptarea asigur protecia
informaiilor transportate prin tunelul VPN.
MPPE (Microsoft Point-to-Point Encryption) este un protocol de
criptare a datelor pe legturi PPP n cadrul reelelor virtuale private. MPPE
folosete algoritmul RC4, cu chei de sesiune de 40, 56 sau 128 de bii.
Cheia de criptare poate fi schimbat la fiecare pachet. MPPE nu realizeaz
compresia datelor i, de aceea, pentru creterea eficienei sale, se folosete
- 171 -
mpreun cu protocoale de compresie (MPPC - Microsoft Point-to-Point

Compression, CCP - Compression Control Protocol un subprotocol al PPP).
Avantajele folosirii unui VPN sunt numeroase:
conectivitate geografic extins sub forma unei reele globale;
mbuntirea securitii cilor de comunicaii pe care datele sunt
transmise necriptat;
reducerea costurilor operaionale n comparaie cu cele de securizare
a comunicaiilor prin reeaua public de arie larg;

reducerea timpului de acces i a costurilor de transport pentru
utilizatorii aflai la distan;

simplificarea topologiei reelei n anumite cazuri.
- 172 -
ABREVIERI
A
AAA
Authentication, Authorization, Accounting
AAL
ATM Adaptation Layer
AC
Access Control
ACK
ACKnowledge
ACL
Access Control List
ACS
Advanced Connectivity System
ACU
Automatic Calling Unit
ADIF
Accounting Data Interchange Format
ADPCM
Adaptive Differential Pulse Coded Modulation
ADSL
Asymmetric Digital Subscriber Line
AES
Advanced Encryption System
AGP
Advanced Graphics Card
AH
Authentication Header
AM
Amplitude Modulation
AMI
Alternative Mark Inversion
ANSI
American National Standards Institute
AODI
Always On/Demand ISDN
AP
Application Processor/ Access Point
APDU
Application Protocol Data Unit
API
Application Program Interface
ARP
Address Resolution Protocol
ARPA
Advanced Research Project Agency
ARPANET
Advanced Research Projects Agency Network
AS
Authentication Server/ Autonomous System
ASCII
American Standard Code for Information
ASIC
Application Specific Integrated Circuit
ASN
Autonomous System Number
- 173 -

ATA
Advanced Technology Attachment
ATM
Asynchronous Transfer Mode
AU
Attachment Unit
AUI
Attachment Unit Interface
AVP
Attribute-Value Pairs
AWGN
Additive White Gaussian Noise
B
BACP
Band Allocation Control Protocol
BAP
Band Allocation Protocol
BATE
Baseband Adaptive Transversal Equalizer
BB
Base Band
BCD
Binary Coded Decimal
BCP
Bridging Control Protocol
BECN
Backward Explicit Congestion Notification
BER
Bit Error Rate
BGP
Border Gateway Protocol
BIP-L
BIPhase-Level
BIOS
Basic Input-Output System
B-ISDN
Broadband ISDN
BOOTP
BOOTstrap Protocol
BOP
Byte Oriented Protocol
BNC
Bayonet Nut Connector
BPI
Baseline Privacy Interface
bps
bits-per-second
BPSK
Binary Phase Shift Keying
BR
Bridge-Router
BRA
Basic Rate Access
BRI
Basic Rate Interface
BS
BackSpace
- 174 -

BSA
Basic Service Area
BSC
Basic Station Controller
BSS
Basic Service Set
BTC
Basic Transceiver
BTH
Bluetooth
BUS
Broadcast Unknown Server
C
C/N
Carrier-to-Noise Ratio
CA
Certificate Authority
CBAC
Context-Based Access Control
CBR
Constant Bit Rate
CCK
Complementary Code Keying
CD
Compact Disc
CD
Carrier Detect
CDDI
Copper Distributed Data Interface
CDE
Common Desktop Environment
CDFS
Compact Disk File System
CDMA
Code Division Multiple Access
CELP
Code Excited Linear Prediction
CES
Circuit Emulation Service
CHAP
Challenge-Handshake Authentication Protocol
CIDR
Classless InterDomain Routing
CIR
Committed Information Rate
CISC
Complet Instruction Set Computing
CLP
Cell Loss Priority
CM
Cable Modem
CMI
Coded Mark Inversion
CMOS
Complementary Metal Oxid Semiconductor
CMTS
Cable Modem Termination Sysem
CODEC
COder-DECoder
- 175 -

COFDM
Coded OFDM
COMSEC
Comunications Security
CP
Communication Processor
CPCS
Common Part Convergence Sublayer
CPU
Central Processing Unit
CR
Carriage Return
CRC
Cyclic Redundancy Checking
CRL
Certificate Revocation List
CS
Checksum / Convergence Sublayer
CSMA/CA
Carrier Sense Multiple Access with Collision Avoidance
CSMA/CD
Carrier Sense Multiple Access with Collision Detection
CSNET
Computer Science Network
CSS
Card and Socket Specification
CTS
Clear-To-Send
CU
Central Unit
D
3DES
Triple Data Encryption System
DA
Destination Address
DAS
Dual Attachment Station
DB
Database
DC
Differential Cryptanalysis
DCE
Data Circuit Terminal Equipment
DCL
Data and Control Logic
DDN
Defense Data Network
DEC
Digital Equipment Corporation
DES
Data Encryption Standard
DH
Diffie-Helmann
DHCP
Dynamic Host Configuration Protocol
DIR
Desired Information Rate
- 176 -

DL
Down Link
DLC
Data Link Control / Data Link Connection
DLCI
Data Link Connection Identifier
DLL
Dynamic Link Library
DMA
Direct Memory Access
DNS
Domain Name System
DNS
Domain Name System
DoCSIS
Data over Cable Service Interface
DoD
Department of Defense
DoS
Denial of Service
DOS
Disk Operating System
DPEs
Data Packet Encodings
DPMA
Demand Priority Media Access
DPP
Demand Priority Protocol
DPSK
Differentially Phase Shift Keying
DS
Distribution System
DSAP
Destination Service Access Point
DSB-AM
Double Side Band Amplitude Modulation
DSL
Digital Subscriber Line
DSP
Digital Signal Processing
DSR
Data Set Ready
DSSS
Direct Sequence Spread Spectrum
DTE
Data Terminal Equipment
DTR
Data Terminal Ready
DU
Data Unit
DVMRP
Distance Vector Multicast Routing Protocol
E
EAP
Extensible Authentication Protocol
EBCDIC
Extended Binary Coded Decimal Interchange Code
- 177 -

ECP
Encryption Control Protocol
ED
Ending Delimiter
EGP
External Gateway Protocol
EGRP
Enhanced IGRP
EIA
Electronics Industries Association
EISA
Extended Industry Standard Architecture
E-mail
Electronic mail
EMI
ElectroMagnetic Interference
EMS
Element Management System
ENAT
Enhanced Network Address Translation
ENCO
ENcryption & COmpression
ENQ
ENQuire
ESA
Extended Service Area
ESS
Extended Service Set
ESP
IP Encapsulating Security Payload
ETH
Ethernet
EUNET
EUropean NETwork
F
FAQ
Frequently Asked Questions
FAT
File Allocation Table
FC
Fragment Control / Frame Control
FCC
Federal Communications Commission
FCS
Frame Check Sequence
FDDI
Fiber Distributed Data Interface
FDMA
Frequency Division Multiple Access
FEC
Forward Error Correction
FF
Form Feed
FHSS
Frequency Hopping Spread Spectrum
FIFO
First-In First-Out
- 178 -

FIN
Final flag
Finger
Finger User-information Protocol
FI
Fragment Identification
FM
Frequency Modulation
FR
Frame Relay
FS
File System / Frame Status
FSK
Frequency Shift Keying
FTP
File Transfer Protocol / Foil Twisted Pair
G
Gbps
Giga bits-per-second
GbE
Gigabit Ethernet
GF
Galois Field
GFC
General Flow Control
GIF
Graphic Interchange Format
GMSK
Generalized Minimum Shift Keying
GRE
Generic Routing Encapsulation
GUI
Graphic Unit Interface
H
H
Header / Host
HAL
Hardware Abstraction Layer
HDBn
High Density Bipolar Code no.n
HDD
Hard-Disk Drive
HDLC
High-level Data Link Control
HEC
Header Error-Control
HID
Host IDentifier
HL
Header Length
- 179 -

HPFS
High-Performance File System
HTML
HyperText Markup Language
HTTP
HyperText Transfer Protocol
HTTPS
HTTP Secure
I
I/O
Input/Output
IANA
Internet Assigned Number Agency
I-AUP
Internet Acceptable Use Policy
IBSS
Independent Basic Service Set
ICMP
Internet Control Message Protocol
ICS
Internet Connection Sharing
ICV
Integrity Check Value
ID
IDentifier
ID
IDentifier
IDE
Integrated Digital Electronics
IDEA
International Data Encryption Algorithm
IDEA
International Data Encryption Algorithm
IE
Internet Explorer
IEEE
Institute of Electrical and Electronic Engineers
IER
Interrupt Enable Register
IETF
Internet Engineering Task Force
IGMP
Internet Group Management Protocol
IGRP
Internal Gateway Routing Protocol
IKE
Internet Key Exchange
INTERNET
INTERnational NETwork
InterNIC
Internet Network Information Center
Intranet
Internal Local Web Servers
IP
Internet Protocol / Initial Permutation
IPCP
Internet Protocol Control Protocol
IPES
Improved Proposed Encryption Standard
- 180 -

IPng
IP next generation
IPsec
Internet Protocol Security Facility
IPX
Internetwork Packet eXchange
IR
Infra Red
IRC
Internet Relay Chat
IRDA
Infra Red Data Access
IRQ
Interrupt ReQuest
ISA
Industry Standard Architecture
ISAKMP
Internet Security Association and Key Management Protocol
ISDN
Integrated Services Digital Network
ISI
InterSymbol Interference
ISO
International Standards Organisation
ISOC
Internet SOCiety
Iso-Ethernet
Isochronous Ethernet
ISP
Internet Service Provider
ISTE
Integrated Services Terminal Equipment
ITU
International Telecommunication Union
J
JPEG
Joint Photographic Experts Group
K
kbps
kilo bits-per-second
KDC
Key Distribution Center
L
L2F
Layer 2 Forwarding
- 181 -

L2TP
Layer 2 Tunneling Protocol
LAN
Local Area Network
LAPB
Link Access Procedure Balanced
LAPD
Link Access Protocol for D-channel
LASER
Light Amplification by Stimulated Emissions of Radiation
LC
Linear Cryptanalysis
LCN
Logical Channel Number
LCP
Link Control Protocol
LES
LAN Emulation Server
LF
Line Feed
LFSR
Linear Feedback Shift Register
LLC
Logical Link Control
LMI
Local Management Interface
LoS
Line of Sight
LPC
Local Procedure Call
LSB
Least Significant Bit
LST
Link State Technology
M
Mbps
Mega bits-per-second
MA
Multiple Access
MAC
Message Authentication Code/Media Access Control
MAN
Metropolitan Area Network
Manchester
Biphase-L Coding
MAU
Multistation Access Unit
MCA
Micro Channel Architecture
MD5
Message Digest 5
MG
Media Gateway
MGCP
Media Gateway Control Protocol
MIB
Management Information Base
- 182 -

MII
Media Independent Interface
MIME
Multipurpose Internet Mail Extension
MIMO
Multiple-Input Multiple Output
MIOX
Multiprotocol Interconnect Over X.25
MLID
MultiLink Interface Driver
MMF
MultiMode Fiber
MNP
Microcom Networking Protocol
MPEG
Movie Photographic Experts Group
MPLS
MultiProtocol Label Switching
MPPE
Microsoft Point-to-Point Encryption
MRC
MultiRate Coder
MRRU
Maximum Receive Reconstructed Unit
MRU
Maximum Received Unit
MS-DOS
Microsoft Disk Operating System
MSB
Most Significant Bit
MSC
Mobile Switching Center
MSK
Minimum Shift Keying
MSR
Modem Status Register
MTA
Message Transfer Agent
MTU
Maximum Transfer Unit
N
N
Network
NAK
Not AcKnowledge
NAS
Network Access Server
NAT
Network Address Translation
NAV
Network Allocation Vector
NBF
NetBEUI Frame
NCB
Network Control Block
NCP
Netware Core Protocol / Network Control Protocol
- 183 -

NDIS
Network Driver Interface Specification
NetBeui
Network BIOS extended user interface
NetBIOS
Network Basic Input/Output System
NFS
Network File System
NIC
Network Interface Card
NID
Next IDentifier
NLPID
Network Layer Protocol IDentifier
NOC
Network Operating Center
NOS
Network Operating System
NM
Network Mask
NMM
Network Management Module
NMS
Network Management Station
NN
Netscape Navigator
NNI
Network - Network Interface
NPM
Network Protocol Module
NT
Network Termination
NTFS
NT File System
NTP
Network Time Protocol
NUL
Null
NVT
Network Virtual Terminal
O
OAEP
Optimal Asymmetric Encryption Padding
ODI
Open Data-link Interface
OFDM
Orthogonal Frequency Division Multiplexing
ONC
Open Network Computing
OOK
On-Off Keying
OQPSK
Offset Quadrature Phase Shift Keying
OS
Operating System
OSI
Open System Interconnection
- 184 -

OSPF
Open Shortest Path First
OUI
Organizational Unique Identifier
P
P2P
Peer-to-Peer
PAD
Packet Assembly/Disassembly
PAM
Pulse Amplitude Modulation
PAN
Personal Area Network
PAP
Password Authentication Protocol
PAP
Password Authentication Protocol
PBX
Public Branch eXchange
PC
Personal Computer
PC1
Permuted Choice 1
PCI
Peripheral Component Interconnect
PCM
Pulse Coded Modulation
PCMCIA
Personal Computer Memory Card International Association
PDA
Personal Digital Assistant
PDN
Public Data Networks
PDU
Protocol Data Unit
PER
Packet Error Rate
PERL
Practical Extraction and Reporting Language
PES
Proposed Encryption Standard
PG
Protective Ground
PGP
Pretty Good Privacy
PHP
Personal Home Page/HyperText Preprocessor
PI
Protocol Interpreter
PING
Packet InterNetwork Groper
PKI
Public Key Infrastructure
PMD
Physical Medium Dependent
PMP
Point - to - Multipoint
- 185 -

PnP
Plug and Play
PoE
Power-over-Ethernet
POP
Post-Office Protocol
PP
Point-to-Point
PPDU
Presentation Protocol Data Unit
PPP
Point-to-Point Protocol
PPSN
Public Packet Switched Network
PRA
Primary Rate Access
PRI
Primary Rate Interface
PS
Postscript
PSH
Push flag
PSK
Phase Shift Keying/Pre-Shared Key
PSTN
Public Switched Telephony Network
PSU
Power Supply Unit
PTY
Payload TYpe
PVC
Permanent Virtual Circuit
Q
QAM
Quadrature Amplitude Modulation
QoS
Quality of Service
QPRS
Quadrature Partial Response Signal
QPSK
Quadrature Phase Shift Keying
R
RADIUS
Remote Authentication Dial In User Service
RAI
Remote Alarm Indication
RAM
Random Access Memory
RARP
Reverse Address Resolution Protocol
- 186 -

RAS
Remote Access Service
RCC
Routing Control Center
RFI
Radio Frequency Interference
RJ
Registered Jack
RFC
Request For Comments
RFI
Radio Frequency Interference
RG
Radio Guide
RI
Ring Indicator
RIP
Routing Information Protocol
RISC
Reduced Instruction Set Computing
RLL
Run-Length Limited
RLP
Resource Locator Protocol
RMON
Remote Monitoring
PnP
Plug-n-Play
ROM
Read-Only Memory
RPC
Remote Procedure Call
RS
Reed-Solomon
RSA
Rivest, Shamir, Adleman
RSMI
Removable Security Interface
RST
Reset flag
RSVP
ReSerVation Protocol
RTCP
Real Time Control Protocol
RTF
Rich Text Format
RTP
Real Time Protocol
RTS
Request-To-Send
RxD
Data Receiving
RC4
Rons Cipher 4
RIPEMD
Race Integrity Primitives Evaluation Message Digest
- 187 -
S
S/MIME
Secure Multipurpose Internet Mail Extension
SA
Source Address / Security Association
SADB
Security Association Database
SAM
Security Account Manager
SAP
Service Access Point / Service Advertising Protocol
SAPI
Service Access Point Identifier
SAR
Segmentation And Reassemble
SAS
Single Attachment Station
SATA
Serrial ATA
SC
Simplex Connector
SCSI
Small Computer System Interface
ScTP
Screened Twisted Pair
SD
Starting Delimiter
SDH
Synchronous Digital Hierarchy
SDLC
Synchronous Data Link Control
SDSL
Single-line Digital Subscriber Line
SEAL
Software-Optimized Encryption Algorithm /

Simple Efficient Adaptation Layer
SFSK
Sinusoidal Frequency Shift Keying
SFTP
Simple File Transfer Protocol
SG
Signal Ground / Signaling Gateway
SHA1
Secure Hash Algorithm 1
SID
Subnetwork Identifier
SLA
Service Level Agreement
SLIP
Serial Line Internet Protocol
SMB
Server Message Block
SMF
Single-Mode Fiber
SMI
Structure of Management Information
SMP
Symmetric Multiprocessing
SMTP
Simple Mail Transfer Protocol
- 188 -

SN
Sequence Number
SNA
Service Network Architecture
SNAP
SubNetwork Access Protocol
SNMP
Simple Network Management Protocol
SNR
Signal-to-Noise Ratio
SNTP
Simple Network Time Protocol
SPD
Security Policy Database
SPDU
Session Protocol Data Unit
SPI
Security Parameters Index
SPI
Service Parameter Index
SPX
Sequenced Packet eXchange
SRM
Security Reference Monitor
SS
Socket Services / Spread Spectrum
SS-7
Signaling System no.7
SSAP
Source Service Access Point
SSH
Secure SHell Protocol
SSI
Security System Interface
ST
Session Ticket
STA
Station Adapter / Spanning-Tree Algorithm
STP
Shielded Twisted Pair/Spanning Tree Protocol
SVC
Switched Virtual Circuit
SYN
Synchronize flag
T
TA
Terminal Adapter
Tbps
Tera bits-per-second
TC
Transmission Convergence
TCL
Tool Command Language
TCM
Trellis Coded Modulation
TCP
Transmission Control Protocol
- 189 -

TCP/IP
Transmission Control Protocol/Internet Protocol
TDM
Time Division Multiplexing
TDMA
Time Division Multiple Access
TE
Terminal Equipment
Telnet
Virtual Terminal Connection
TFM
Tamed Frequency Modulation
TFTP
Trivial File Transport Protocol
TGS
Ticket Granting Server
TGT
Ticket Granting Ticket
TIA
Telecommunication Industry Association
TIME
Time of Day Protocol
TL
Total Length
ToS
Type of Service
TPDU
Transport Protocol Data Unit
TRI
Telephony Return Interface
TSM
Telephony Signaling Module
TTL
Time-To-Live
TTY
TeleTYpe
TxD
Data Transmission
U
UA
User Agent
UART
Universal Asynchronous Receiver- Transmitter
UCAID
University Corporation for Advanced Internet Development
UDP
User Datagram Protocol
UL
Up-Link
UNI
User-Network Interface
UPS
Uninterruptible Power Supply
URG
Urgent flag
URI
Uniform Resource Identifier
- 190 -

URL
Uniform Resource Locator
URN
Uniform Resource Name
USB
Universal Serial Bus
UTP
Unshielded Twisted Pair
USENET
USEr NETwork
V
V/FoIP
Voice/Fax-over-IP
VBR
Variable Bit Rate
VCI
Virtual Channel Identifier
VLAN
Virtual Local Area Network
VoATM
Voice-over-ATM
VoDSL
Voice-over-Digital Subscriber Line
VoFR
Voice-over-Frame Relay
VoIP
Voice-over-IP
VoN
Voice-over-Network
VoP
Voice-over-Packet
VPAN
Virtual Private Ad-hoc Network
VPI
Virtual Path Identifier
VPN
Virtual Private Network
VSB
Vestigial Side Band
VT
Virtual Terminal / Vertical Tab
VxD
Virtual Device Driver
W
WAN
Wide Area Network
WDMA
Wavelength Division Multiple Access
WEP
Wired Equivalent Privacy
- 191 -

WFQ
WiFi
Weighted Fairly Queuing

v
Wide Fidelity
WiMax
Worldwide Interoperability for Microwave Access
WINS
Windows Internet Name Service
WLAN
Wireless Local Area Network
WM
Wireless Medium
WPA
WiFi Protected Access
WWW
W3 / World Wide Web
X
XML
Extendable Markup Language
XPSN
X.25 Packet Switched Network
- 192 -
BIBIOGRAFIE
[1]
Barker C. William, Recommendation for the Triple Data
Encryption Algorithm (TDEA) Block Cipher, Publicaie special

NIST 800-67, May 2004
http://csrc.nist.gov/publications/nistpubs/800-67/SP800-67.pdf
[2]
Frankel Sheila, Kent Karen, Lewkowski Ryan, Orebaugh D.
Angela, Ritchey W. Ronald, Sharma R. Steven, Guide to IPsec

VPNs - Recommendations of the National Institute of Standards and
Technology, Publicatie special NIST 800-77, Dec. 2005,
http://csrc.nist.gov/publications/nistpubs/800-77/sp800-77.pdf
[3]
http://www.tml.tkk.fi/Studies/T-110.551/2003/papers/13.pdf
[4]
http://www.zeroshell.net/eng/kerberos,
Fulvio
Ricciardi,
The Kerberos protocol and its implementations, Nov. 2006

[5]
Klander Lars, Anti-hacker. Ghidul securitii reelelor de
calculatoare, ALL Educational, Bucureti, 1998

[6]
Liu Jeffrey, Jiang Steven, Lin Hicks, Introduction to
Diameter, Jan. 2006

http://www.ibm.com/developerworks/wireless/library/wi-diameter
[7]
Menezes J. Alfred, Van Oorschot C. Paul, Vanstone A. Scott,
Handbook of Applied Cryptography, CRC Press, Oct. 1996

[8]
Oprea Dumitru, Protecia i securitatea informaiilor, Ed.
Polirom, Iai, 2003

[9]
Pivi Savola, Mobility support in RADIUS and Diameter,
May, 28, 2003
- 193 -
[10]
Paterson G. K., Yau K.L. Arnold, Cryptography in Theory
and Practice: The Case of Encryption in IPsec, Nov. 2005,

http://eprint.iacr.org/2005/416.pdf
[11]
Patriciu V.V., Criptografia i securitatea reelelor de
calculatoare cu aplicaii n C i Pascal, Ed. Tehnic, Bucureti,

1994
[12]
Scripcariu Luminia, Bazele reelelor de calculatoare, Ed.
Cermi Iai, 2005

[13]
Tanenbaum
S. Andrew, Reele de calculatoare, Ed.
Computer Press Agora, 1997

[14]
Thomas J., Elbirt A.J., Understanding Internet Protocol
Security, Electrical and Computer Engineering Department,

University of Massachusetts Lowell, One University Avenue,
Lowell, MA 01854, USA, 2006
http://faculty.uml.edu/aelbirt/IPsec.pdf
[15]
*** http://en.wikipedia.org/
[16]
*** http://www.securizare.ro/content/view/147/36
Reguli
de securizare pentru reea, 2004

[17]
***
197.pdf,
http://csrc.nist.gov/publications/fips/fips197/fipsAnnouncing
the
ADVANCED
ENCRYPTION
STANDARD (AES), Publicaia de procesare a standardelor 197,

Nov. 2001
[18]
***
http://docs.hp.com/en/T1428-90011/T1428-90011.pdf,
Interlink Networks: Introduction to Diameter, Feb. 2002

[19]
***
http://technology.berkeley.edu/policy/admsecpol.html,
Admin Apps and Data Security Policy, 2008
- 194 -

Securitatea RC Lscripcariu

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Securitatea RC Lscripcariu

Încărcat de

Drepturi de autor:

Formate disponibile

LUMINIA SCRIPCARIU

CASA DE EDITUR VENUS IAI 2008

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Securitatea reelelor de comunicaii

ABREVIERI ............................................................................................... - 173 BIBIOGRAFIE........................................................................................... - 193 -

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Securitatea reelelor de comunicaii

securitii aplicaiilor precum i a informaiilor stocate pe suport sau

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Securitatea reelelor de comunicaii

Terminalele din reea pot fi fixe sau mobile, astfel c accesul la

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Serviciul de transfer al fiierelor este mai puin critic din punct de

informatice actuale pot antrena pierderi uriae de ordin financiar i nu

I.2 TIPURI DE REELE DE COMUNICAII

De televiziune prin cablu

De comunicaii prin satelit.

ntruct n continuare ne vom referi la securitatea comunicaiilor i

Securitatea reelelor de comunicaii

Interoperability for Microwave Access .a.).

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Camer, Cldire, Campus

Un alt criteriu de clasificare a reelelor este cel al modului de

reele cu difuzare ctre toate nodurile terminale, utilizate n

reele punct-la-punct cu conexiuni fizice ntre oricare dou

Modelarea unei reele de calculatoare se poate face pe baza teoriei

Securitatea reelelor de comunicaii

pachetelor de date (switch cu management, bridge, access point) ntre

ntr-o reea local se

configureaz plcile de reea din fiecare calculator sau alt echipament

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

sofware de securitate oferite de firme de profil, care monitorizeaz i

I.3 MODELAREA REELELOR DE

Securitatea reelelor de comunicaii

4. nivelul de transport (Transport Layer)

ntre nivelele similare ale terminalelor, comunicaia se realizeaz pe

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Dac cele dou calculatoare nu aparin aceleiai reele, atunci

Securitatea reelelor de comunicaii

(Presentation Protocol DU), SPDU (Session Protocol DU), TPDU

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Reed-Solomon etc.), ceea ce permite eliminarea retransmisiilor de cadre i

Pe nivelul de reea, se alege calea de expediere a pachetului, se

Securitatea reelelor de comunicaii

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

standarde de comunicaie, DTE-ul real devine un terminal virtual care

Securitatea reelelor de comunicaii

Echipamentele de comunicaie din reea de tip hub lucreaz pe

I.3.2 MODELUL TCP/IP

Protocol/Internet Protocol). De asemenea, termenul de tehnologie Internet

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Modelul TCP/IP are patru nivele i este diferit de modelul OSI

Figura I.3 Echivalenele ntre modelele de reea OSI, TCP/IP i NFS

Modelul TCP/IP i modelul NFS (Network File System) alctuiesc

Securitatea reelelor de comunicaii

Observaie: n multe cazuri se consider modelul de reea TCP/IP ca

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Pe nivelul de acces la reea se definesc standardele de reele

Securitatea reelelor de comunicaii

nivelul de transport sau de la celelalte protocoale de pe nivelul Internet

L. Scripcariu, I. Bogdan, .V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu

Pe nivelul de transport se folosesc dou tipuri de protocoale, cu i

Securitatea reelelor de comunicaii