Securizarea Retelelor - Partea I

nvmntul profesional i tehnic n domeniul TIC
Proiect cofinanat din Fondul Social European n cadrul POS DRU 2007-2013
Beneficiar Centrul Naional de Dezvoltare a nvmntului Profesional i Tehnic
str. Spiru Haret nr. 10-12, sector 1, Bucureti-010176, tel. 021-3111162, fax. 021-3125498, vet@tvet.ro
Securizarea reelelor
Material de predare partea I
Domeniul: Informatic
Calificarea: Administrator reele locale i de comunicaii
Nivel 3 avansat
2009
AUTOR:
DABIJA GEORGE informatician, profesor grad definitiv
COORDONATOR:
LADISLAU EICA - Informatician
CONSULTAN:
IOANA CRSTEA expert CNDIPT
ZOICA VLDU expert CNDIPT
ANGELA POPESCU expert CNDIPT
DANA STROIE expert CNDIPT
Acest material a fost elaborat n cadrul proiectului nvmntul profesional i tehnic n

domeniul TIC, proiect cofinanat din Fondul Social European n cadrul POS DRU 20072013
Cuprins
I. Introducere.........................................................................................................................4
II. Documente necesare pentru activitatea de predare........................................................6
III. Resurse............................................................................................................................7
Tema 1: Politici de securitate....................................................................................................................7
Fia 1.1 Politici de securitate..................................................................................................................7
Fia 1.2 Noiuni de securitate a reelelor.............................................................................................14
Fia 1.3 Identificarea problemelor de securitate a echipamentelor.......................................................20
Fia 1.4 Identificarea problemelor de securitate a datelor....................................................................25
Tema 2 Dezvoltarea unei politici de securitate n reea..........................................................................33
Fia 2.1 Prezentarea soluiilor de protecie...........................................................................................33
Fia 2.2 Soluii de securitate hardware ................................................................................................37
Fia 2.3 Soluii de securitate software .................................................................................................39
Tema 3 Ameninri de securitate a reelelor...........................................................................................42
Fia 3.1 Surse de atac............................................................................................................................42
Fia 3.2 Tipuri de atacuri asupra reelelor.............................................................................................48
IV. Fia rezumat..................................................................................................................56

V. Bibliografie......................................................................................................................58
I. Introducere
Materialele de predare reprezint o resurs suport pentru activitatea de predare,
instrumente auxiliare care includ un mesaj sau o informaie didactic.
Prezentul material de predare, se adreseaz cadrelor didactice care predau n cadrul
liceelor, domeniul Informatic, calificarea Administrator reele locale i de
comunicaii.
El a fost elaborat pentru modulul Securizarea reelelor, ce se desfoar n 100 ore,
din care:
Laborator tehnologic 50 ore
Tema
Tema 1
Politici de
securitate
Tema 2
Dezvoltarea unei
politici de
securitate n reea
Tema 3
Ameninri de
securitate a
reelelor
Fia suport
Competene vizate
Fia 1.1 Politici de securitate
1. Prezint politica de securitate
Fia 2 Noiuni de securitate a

reelelor
Fia 1.3 Identificarea problemelor
de securitate a echipamentelor
Fia 1.4 Identificarea problemelor
de securitate a datelor
Fia 2.1 Prezentarea soluiilor de 2. Analizeaz metodele de
protecie
protecie a reelei mpotriva
atacurilor
2. Analizeaz metodele de
Fia 2.2 Soluii de securitate
hardware
atacurilor
Fia 2.3 Soluii de securitate
software
atacurilor
Fia 3.1 Surse de atac
atacurilor
Fia 3.2 Tipuri de atacuri asupra 2. Analizeaz metodele de
reelelor
atacurilor
Temele din prezentul material de predare nu acoper toate coninuturile prevzute n

curriculumul pentru modulul Securizarea reelelor. Pentru parcurgerea integral a
modulului n vederea atingerii competenelor vizate / rezultate ale nvrii profesorul va
avea n vedere i materialul de predare Securizarea reelelor partea II.
Absolvenii nivelului 3 avansat, coal postliceal, calificarea Administrator reele locale

i de comunicaii, vor fi capabili s utilizeze echipamentele reelelor de calculatoare, s
cunoasc i s utilizeze protocoale i terminologii de reea, s cunoasc i s aplice
topologii de reele locale (LAN) i globale (WAN), modele de referin OSI (Open
System Interconnection), s utilizeze cabluri, unelte pentru cablarea structurat,
routere n conformitate cu standardele n vigoare.
II. Documente necesare pentru activitatea de predare

Pentru predarea coninuturilor abordate n cadrul materialului de predare cadrul
didactic are obligaia de a studia urmtoarele documente:
Standardul de Pregtire Profesional pentru calificarea Administrator reele

locale i de comunicaii, nivelul 3 avansat www.tvet.ro, seciunea SPP sau
www.edu.ro , seciunea nvmnt preuniversitar
Curriculum pentru calificarea Administrator reele locale i de comunicaii, nivelul

3 avansat www.tvet.ro, seciunea Curriculum sau www.edu.ro, seciunea
nvmnt preuniversitar
Wikipedia biblioteca electronica cea mai complet.
III. Resurse
Tema 1: Politici de securitate
Fia 1.1 Politici de securitate
Acest material vizeaz competena/rezultat al nvrii: Prezint politica de securitate
Politicile de securitate se refer la acele politici (documente, setri, modaliti de

lucru, prin care se definesc unele reguli) ce definesc unele recomandri i aciuni
necesare minimizrii riscului aferent efecturii tranzaciilor electronice, risc ce se refer
n special la atacuri asupra sistemului de securitate al unei reele (dei termenul se
extinde pentru a cuprinde i intruziunile, furtul sau calamitile naturale sau voite).
Msurile de securitate definite sub forma acestor politici nu garanteaz eliminarea
complet a oricrui risc, dar poate s-l reduc la un nivel acceptabil (acoper
conceptele de mitigation i contingency definite n material).
Politicile de securitate IT se concentreaz pe crearea unui mediu favorabil, dar mai ales
sigur, mediu n care doar persoanele sau programele care au drepturi alocate, definite
explicit, s poat desfura aciuni, respectiv s ruleze. Toate persoanele sau aplicaiile
care nu intr n anumite categorii din aceste politici nu vor avea drept de execuie.
Pentru a putea defini aceste politici (reguli) de securitate, este necesar s se
ndeplineasc de ctre ntregul sistem informatic a urmtoarelor cerine:
a) Identificarea utilizatorilor reprezint procesele i procedurile necesare pentru
stabilirea unei identiti unice la nivel de utilizator sau aplicaie n cadrul sistemului
informatic. Identificarea va permite contabilizarea (jurnalizarea sau auditarea) tuturor
operaiunilor individuale i astfel putnd preveni accesul neautorizat.
b) Autentificarea utilizatorilor este procedura prin care se verific utilizatorii sau
aplicaiile definite la pasul a), astfel orice form de acces devine autorizat.
c) Controlul accesului determin ce sau cine anume poate executa o anumit entitate
autentificat n sistem, avnd n vedere, minim urmtoarele: controlul accesului la
sistem, controlul accesului la reea, clasificarea sau gruparea informaiei accesibile,
privilegiile permise.
d) Responsabilitatea este strns legat de politicile de securitate definite la pasul
anterior i se refer n special la regulile impuse utilizatorilor sistemului, care vor fi
rspunztori pentru aciunile ntreprinse dup conectarea la sistem. Aici se vor defini
persoanele cheie care vor avea puteri de acces (scrieri, modificri, tergeri, etc.)
superioare.
e) Auditul de securitate cerin care este folosit n special pentru analiza
nregistrrilor activitilor executate, pentru a determina dac sistemul de protecie este
n concordan cu politicile i procedurile de securitate stabilite (sau n concordan cu
un minim acceptat). Scopul unui audit este de a identifica slbiciunile legate de politicile
7
de securitate implementate i de a evidenia eventualele eecuri sau omiteri, care pot fi

corectate sau controlate.
f) Integritatea sistemului cerin prin care se urmrete s se creasc redundana
sistemului n cazul apariiei unor defeciuni, pentru aceasta se trateaz necesitatea
urmtoarelor etape:
- protejarea software-ului, datelor i hardware-ului de modificri, fie accidentale
sau voite;
- separarea proceselor i datelor sistemului;
- separarea proceselor i datelor utilizatorilor;
- controlul aciunilor i operaiilor de ntreinere.
g) Integritatea informaiilor presupune mecanisme de protecie a datelor mpotriva
distrugerii sau accesului neautorizat precum i mecanisme de propagare a unor
modificri survenite de-a lungul timpului.
h) Fiabilitatea serviciilor etap prin care se ncearc s se optimizeze, pstrndu-se
ce;e convenite mai sus, modul de lucru al utilizatorilor sau mai bine zis ct de uor i
sigur un utilizator autentificat poate accesa i utiliza resursele unui sistem.
i) Documentarea politicilor definite este vital pentru meninerea unui anumit sistem
de securitate operaional i eficient. Nu trebuie privit ca ultima cerin, ea fiind folosit
pentru documentarea tuturor cerinelor i a modului de implementare, pentru fiecare
cerin anterioar.
Figura 1.1.1 Microsoft Management Console Local Security Settings, setri locale de
securitate
Se pot defini i unele politicile de securitate formale, ce vor dicta cerinele de baz
i obiectivele pe care trebuie s le ndeplineasc o tehnologie, la modul general (de
multe ori aceste politici sunt aa numitele politici de nceput, pn la implementarea
8
politicilor finale). Este de reinut faptul ca politica de securitate este o component a

politicilor de dezvoltare a companiei prin care:
- se garanteaz continuitatea funcional a proceselor de afacere;
- se asigur protecia informaiilor confideniale.
O politic de securitate nu va fi niciodat finalizat, ncheiat (cel mult va fi
automatizat), ea va fi mereu n dezvoltare pentru creterea nivelului de securitate
oferit.
Pentru a realiza un sistem de protecie minim, eficient din punctul de vedere al
costului i al factorului temporal necesar implementrii, se vor parcurge urmtorii pai:
- evaluarea riscurilor ce pot apare;
- definirea politicii de securitate la nivel minim (politicile formale);
- implementarea elementelor stabilite n paii anteriori;
- administrarea i suplimentarea continu a politicilor definite;
- nu n ultimul rnd, auditul form prin care se valideaz etapele implementate.
Pentru stabilirea acelor politici formale de securitate vor fi parcurse etapele (se vor
asigura c fiecare dintre acestea sunt prinse ntr-o form mai mult sau mai puin
acoperitoare):
- se analizeaz riscurile majore ale organizaiei (pentru definirea procedurilor
prin intermediul crora vor fi prevenite riscurile ca urmare a apariiei unor evenimente
nedorite);
- se definete o prim politic de securitate pentru tratarea componentelor la
care nu pot fi prevenite anumite aciuni fr a se impune aceste msuri de protecie;
- stabilirea unui plan de urgen care se va aplica n cazul n care msurile de
protecie sunt nvinse. Deoarece aceste probleme nu pot fi rezolvate numai prin
definirea unei politici de securitate i prin investirea de bani pentru anumite activiti, n
final se cere acordul efului departamentului de management pentru acceptarea unor
riscuri (acestea fiind documentate i se vor conveni formele generale de tratare n
cazul producerii lor).
Importana definirii acestor politici este reflectat de urmtoarele avantaje oferite de
implementarea lor:
- o politic bine definit va face gestionarea unui sistem mult mai uoar dect
gestionarea unor seturi de reguli definite preferenial. Uniformizarea i centralizarea lor
fiind cele mai puternice unelte aflate la ndemna unui administrator;
- o politic bun ne permite s putem lua decizii n legtur cu msurile ce
merit aplicate i cele care nu;
- conturile de utilizator compromise reprezint unele din cele mai comune
ameninri ale securitii unui sistem. Trebuie s se explice utilizatorilor importana
9
securitii i eventual, cu acordul lor stabilite reguli care s le creasc nivelul de

securitate mcar la un minim de comun acord stabilit.
O atenie special o prezint etapa prin care, pentru a diagnostica problemele i
conduce audituri sau depista intrui, este posibil s trebuiasc s se intercepteze
traficul din reea, s se inspecteze istoricul autentificrilor i al comenzilor utilizatorilor
legitimi i s se analizeze directoarele personale ale utilizatorilor (gen home sau My
Documents). Este obligatoriu ca utilizatorii s fie ntiinai de aceste aciuni, pentru c
altfel ele pot deveni ilegale.
Pentru a exemplifica o politic de securitate formal (de nceput) putem configura
urmtoarele (posibiliti ce stau, n marea majoritate a cazurilor, i la ndemna unor
utilizatori fr drepturi de administrare utilizatori obinuii) trei nivele:
1. Nivelul de utilizare acceptabil:
Aplicaii Screen saver cu activarea parolrii
Manipularea parolei
Folosirea n mod uzual, a conturilor cu drepturi restrictive (de tip restricted
user)
Descrcarea i instalarea aplicaiilor (necesit drept de administrator)
Informaii ce menioneaz ce utilizatori sunt monitorizai (pentru administrare,
necesit drept de administrare)
Utilizarea de aplicaii anti-virus
2. Manipularea informaiei sensibile, private (n orice form scris, hrtie sau format
digital):
Curarea biroului i ncuierea informaiilor confideniale
Oprirea sistemului PC nainte de a prsi spaiul
Utilizarea criptrii
Manipularea cheilor de acces la echipamente (stabilirea regulilor de ncredere)
Manipularea materialului confidenial n afara sistemului sau pe durata
cltorilor
3. Manipularea echipamentului n afara sistemului sau pe durata cltoriilor:
Manipularea sistemelor mobile gen laptop, netbook, telefon, etc. n afara
sistemului, pe durata cltoriilor sau conectrilor la zone nesigure (de ex. hot spot- uri
gratuite).
Politica de securitate poate deveni foarte mare n coninut (un prim exemplu ar fi faptul
c diferii utilizatori vor trebui s aib drepturi distincte, ajungnd la personalizri
prefereniale), iar informaiile vitale pot fi uor uitate sau omise. Politica pentru
10
personalul IT poate conine informaii ce sunt confideniale pentru utilizatorii obinuii,

fiind vital mprirea acesteia n mai multe politici mai mici (asupra crora se vor defini
drepturi diferite de management i administrare); spre ex. Politica de utilizare
acceptabil, Politica pentru stabilirea parolelor, Politica pentru mesageria electronic,
Politica pentru accesul la distan, etc..
Abordarea ce mai bun privind politicile de securitate aplicate n cadrul unei reele este
de a aplica un set de politici de baz la nivelul ntregului domeniu, politici care s se
aplice tuturor mainilor (servere i staii de lucru) i tuturor utilizatorilor. Aceste politici
vor fi completate difereniat cu alte politici suplimentare, aplicabile anumitor roluri
funcionale pe care le au servere-le i staiile din reea.
Figura 1.1.2 n MMC (Microsoft Management Console) se pot aduga diferite alte addn-uri sau colsole de administrare. Se observ n dreapta posibilitatea de a insera i
diferite template-uri (abloane) predefinite
Aceast abordare simplific modul de gestionare al politicilor i ne asigur c avem un
nivel de securitate de baz pentru ntreaga reea.
Dou lucruri sunt foarte importante atunci cnd dorim s se asigure un nivel de
securitate de baz pentru toate sistemele din reea:
sistemele trebuie s fie meninute la zi din punct de vedere al patch-urilor i fixurilor de securitate
trebuie s se aplice un set de configurri de securitate de baz pe toate
sistemele din reea, adic s se fac ntrirea securitii sistemelor.
11
Exemple cu privire la aceste politici de baz care merit luate n considerare pentru
securizarea de baz (primar) a sistemelor (exemplu oferit pentru o administrare sub
sisteme server de tip Windows 2000, 2003 sau 2008):
Politici de audit:
- Account logon & Management auditarea evenimentelor de autentificare
- Directory Service Access auditarea folosirii resurselor din cadrul AD
- Object Access auditarea folosirii de diferite drepturi asupra sistemelor de
fiiere
- System Events jurnalizarea evenimentelor sistemului de operare
Privilegii ale utilizatorilor:
- Allow log-on locally oferirea de acces local la sisteme
- Logon cu Terminal Services oferirea de acces la distan pe sisteme
- Deny log-on as a batch job eliminarea posibilitii de rulare de cod cu
autologare
- Deny force shutdown from Remote system eliminarea posibilitii de restart al
sistemului de ctre persoane logate din afar.
Pentru uurarea crerii politicilor de securitate, cel mai simplu este s se porneasc
de la un template cu msuri de securitate predefinite, pe care s se realizeze diferite
modificri din mers, modificri ce sunt adaptate la cerinele regsite n paii
premergtori precizai anterior, i s se aplice n ntreaga reea.
De obicei aceste propagri ale politicii de securitate se poate face folosind diferite
sisteme specializate cum ar fi Security Configuration Manager din sistemele bazate pe
platforma Windows. Acesta conine: template-uri care definesc setrile ce trebuie
aplicate pentru cteva configuraii tipice, cu ajutorul snap-in-ul MMC Security
Configuration & Analysis sau a utilitarului n linie de comand secedit cu ajutorul
cruia se poate automatiza procesul de aplicare al politicilor definite pe un singur
calculator ctre o ntreag reea.
12
Figura 1.1.3 Dup cum se observ la nivel de securitate se pot restriciona inclusiv
accesul la dispozitive hardware
Template-urile de securitate sunt fiiere text cu extensia .inf ce conin un set predefinit
de setri de securitate. Aceste setri pot fi adaptate i aplicate asupra sistemelor din
reea. Setrile de securitate disponibile includ: aplicarea de ACL-uri (Access Control List
liste de control la acces) pe chei de Registry i fiiere, aplicarea de politici de conturi
i parole, parametri de start la servicii i setarea de valori predefinite pentru unele chei
de Registry.
Template-urile sunt aditive, adic se pot aplica succesiv mai multe template-uri. Ordinea
de aplicare este important: setrile din ultimul template aplicat vor suprascrie setrile
anterioare. Template-urile pot fi aplicate global, cu ajutorul Group Policy, sau individual,
cu ajutorul Security Configuration & Analysis. Template-urile pot fi obinute din mai multe
surse: spre exemplu, Windows Server 2003 vine cu un set predefinit de template-uri, iar
n Windows Server 2003 Security Guide se pot gsi template-uri adiionale.
Mai mult CIAC (Computer Incident Advisory Capability), SANS (SysAdmin, Audit,
Network, Security) sau NSA/CSS (National Security Agency/Central Security Service)
public propriile recomandri i template-uri pentru sistemele de operare Microsoft.
Security Configuration & Analysis este un snap-in MMC cu ajutorul cruia putem crea o
baz de date cu setri de securitate, putem importa template-uri i putem aplica setri
suplimentare, iar apoi putem compara setrile sistemului cu template-ul creat n baza
de date. Comparaia este non-distructiv, adic sunt raportate doar diferenele ntre
starea actual a sistemului i template-ul ales.
De asemenea, putem aplica setrile respective asupra sistemului curent.
secedit(SECurity EDITor) este un utilitar linie de comand cu ajutorul cruia putem
automatiza operaiile de aplicare ale template-urilor folosind posibiliti de creare de
script-uri. Parametrii programului permit analiza, configurarea, importul, exportul,
13
validarea sau rollback-ul (revenirea la setrile originale) setrilor de securitate aplicate

sistemelor.
Dei crearea unei politici de securitatea este un proces foarte anevoios, satisfaciile
oferite de o implementare reuit i bine documentat poate nsemna sigurana i
rularea fr incidente a unui reele de sute de calculatoare mai flexibile dect rularea
unor politici inadecvate pe o reea de zece-douzeci de calculatoare.
Sugestii metodologice
UNDE?
Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal care are
videoproiector sau flipchart.
CUM?
Clasa poate fi organizat frontal sau pe grupe.
Se pot utiliza:
Prezentri multimedia coninnd
porezentarea politicilor de securitate
EVALUARE
Se pot folosi probe scrise i orale
14
informaii
despre
definirea
Fia 1.2 Noiuni de securitate a reelelor

Principiile de baz ale securitii sistemelor informatice s-au schimbat relativ puin
n ultimii ani.
Exist dou mari categorii protecia la nivel fizic (garduri, ui cu ncuietori,

lacte, etc.) i protecia la nivel informaional (accesare prin intermediul unor dispozitive
electronice i/sau a unor aplicaii software, a informaiilor dintr-un sistem de clacul n
mod general, n mod particular, informaiilor dintr-un calculator sau dintr-o reea de
calculatoare).
Fig. 1.2.1 Securitatea la nivel de acces perimetral
Soluiile de protecie fizic se pot mpri la rndul lor n dou mari categorii:
soluii de protecie pentru echipamente i soluii pentru protecia intruziunilor.
a). soluiile de protecie pentru echipamente sunt mprite la rndul lor funcie de
natura protecie care se dorete, n:
15
Fig. 1.2.2 Securizri prin ncasetri n dulapuri speciale (prevzute cu UPS-uri, sisteme
de aer condiionat, protecii la efracii, ocuri, dezastre naturale, etc.)
- protecie contra furtului prin ncuietori, ncabinri (montarea n cabine
prevzute cu sisteme speciale de porotecie), plasri n spaii special amenajate, etc.
(figura 1.2.2);
16
Fig. 1.2.3 De observat diferenele de ncasetri (accesul la echipamente i infrastructur

este nesecurizat n partea stng, iar acces securizat prin dulap metalic prevzut cu
cheie, n partea dreapt)
- protecie contra distrugerilor (cu sau far intenie, aici intervenind i
cataclismele naturale gen incendii, inundaii, cutremure) prin instalarea de sisteme de
securizare contra incendiilor, inundaiilor sau cutremurelor (figura 1.2.3 i 1.2.4). Aceste
forme de protecie se referer n special la informaii cu adevrat sensibile (gen backupuri, date confideniale, etc.);
Fig. 1.2.4 Testarea echipamentelor de protecie (cabinete speciale gen seif)

- protecie contra plusurilor de tensiune prin instalarea de sigurane specializate
de protecie la supratensiune, generatoare automate, etc..
Fig. 1.2.5 Protecii la supratensiune (prin instalarea de sigurane speciale)

Soluiile de protecie a echipamentelor reprezint un pas foarte important n securizarea
unei reele. Nu putem s considerm securizat o reea dac nu avem minimul de
protecie asigurat echipamentelor din cadrul ei, fie ele directe (cabluri, switch-uri,
17
servere, cabinete, calculatoare, etc.) sau indirecte (panouri electrice, sisteme de

protecie contra incendiilor, etc.)
b). soluiile de protecie pentru protecia intruziunilor se refer n special la
securizarea perimetral securizare care se poate efectua folosind garduri, sisteme de
supraveghere, acces limitat pe baz de chei, cartele de acces, zone difereniate pe
nivele diferite de acces att la nivel de securizare zonal prin aezri i amenajri
speciale pentru zonele sensibile ce dein echipamente speciale ct i pentru
diferenieri de acces pentru persoane distincte, cu drepturi personalizate la nivel de
acces.
n aceast categorie intr toate formele de acces: de securizare perimetral la nivel
fizic, ca de ex. garduri, pori, scanere de bagaje, etc., ct i formele de securizare la
nivel parial fizic, ca de ex. sisteme de acces bazat pe control biometric, sisteme de
supraveghere, alarme, etc.
Fig. 1.2.6 Securitatea la nivel informaional

Securizarea la nivel informaional. n aceast categorie intr toate formele de
protecie ce se bazeaz pe protejarea informaiilor accesibile utilizatorilor acreditai sau
formelor de protecie contra utilzatorilor ruvoitori. La fel ca securizarea la nivel fizic, i
securitatea la nivel informaional se poate separa i ea n: securizare la nivel de
intruziune i la nivel de acces.
Securizarea la nivel de intruziune trebuie privit ca toatalitatea formelor de
protecie ce pot limita accesul la informaie persoanelor din afara reelei, dar n acelai
timp s ofere i protecie intern i fa de utilizatorii din reea. n aceast categorie se
ncadreaz sistemele de detecie gen firewall, sisteme de detecie a intruziunilor (IDS
Intrusion Detection System), etc.
Securitatea la nivel de acces se refer la modalitatea de ngrdire a diferiilor utilizatori
(att cei neautorizai ct i celor autorizai) n a accesa diferitele informaii din sistem. n
acest categorie intr sistemele de logare autentificate pe baz de conturi i parole,
criptri de date, etc.
18
Aadar securitatea unei reele trebuie s fie atacat din dou mari puncte de
vedere:
-
securizarea la nivel de acces la echipamente;
i protejarea la nivel de informaii ce circul n cadrul ei.
Dei securizarea la nivel fizic este foarte important, de obicei se nelege de la sine
modalitile de protejare a sa, rmnnd ca importana major ce cade pe umerii unui
tehnician s revin gsirii i ncercrii de configurare a unei securizri la nivel
informaional ct mai puternice. Aceast form de tratare a securitii nu este foarte
sntoas din cauza faptului c nsi ntreaga reea funcioneaz atta timp ct este
fucional, fcnd astfel inutil forma de securizare la nivel informaional (orict de
puternic ar fi ea) inutil.
Tot timpul trebuie mers n paralel cu aceste forme de securizare, iar n cazul unor
extinderi suplimentare a reelei, s se ia n calcul foarte serios i aceast form de
securizare la nivel fizic.
Tot legat de noiunile de securizate intervin i aa numitele proceduri de lucru n caz
de dezastru. Mai mult teoria din spatele denumirii de securitate, vine cu precizri foarte
clare prin care trebuiesc definite (i documentate) att procedurile de lucru pentru
protecia unei reele ct i proceduri prin care s se minimalizeze riscul odat ce a
aprut o bre de securitate. Aceste proceduri poart denumirile de mitigation (planuri
de msuri ce trebuiesc relizate pentru reducerea expunerii la riscuri) i contingency
(planuri de msuri ce trebuiesc luate pentru reducerea impactului odat ce riscul s-a
produs).
De multe ori nu conteaz ct de bine a mers (i eventual ct de mult a mers)
securizarea definit ntr-o reea, dac atunci cnd a picat, cnd a aprut o bre de
securitate, riscurile au fost catastrofale. Acesta este motivul pentru care trebuiesc foarte
clar aceste proceduri prin care s se reflecte (mcar pentru o parte din riscuri) moduri
de lucru att pentru remedierea situaiei, ct mai ales pentru limitarea efectelor negative
produse.
Ca un exemplu care s evidenieze importana pe care o are politicile de
mitigation i contingency s lum urmtoarele exemple:
1. S presupunem c un echipament critic gen un switch care gestiona 24 de
calculatoare s-a defectat dac nu exist un switch de schimb va trebui s oferim, cu
soluiile existente, acces dispozitivelor cu acces prioritar. Acest schimb trebuie s fie
documentat, astfel nct orice tehnician s poat efectua acest schimb ntr-un timp ct
mai scurt i cu pierderi ct mai mici.
2. S presupunem, n al doilea exemplu, c un atacator a reuit s penetreze
reeaua noastr. Dac informaiile sensibile (confideniale) nu sunt protejate suplimentar
19
(criptare, parolare, protejare la tergere, etc.) v dai seama n ce situaie periculoas

v aflai! i n acest caz ar trebui s existe o procedur prin care anumite documente cu
statut special (o baz de date cu date privind conturile de banc a utilizatorilor, un stat
de plat, un contract, un document confidenial, etc.), s fie protejate suplimentar ca i
form de acces, n primul rnd, i obligatoriu protejate i ca i coninut (criptate sau
parolate).
Cred c s-a neles c primul exemplu se refer la conceptul de mitigation
preparearea pentru dezastre i al doilea la contingency prepararea pentru
minimizarea efectelor unor bree aprute n politica de securitate.
Tot n cadrul definirii conceptelor sntoase de securizare a unei reele trebuie
menionat importana procedurilor de backup. Dei aceast procedur se refer n
mare parte la protejarea datelor, este de neles c, cel puin pentru echipamentele
sensibile (gen acel switch din primul exemplu de mai sus), i funcie de bugetul
disponibil, trebuiesc realizate achiziii de echipamente pentru backup n caz de urgene.
Ca i politic de back-up al datelor stocate ntr-o reea, funcie de informaiile care se
regasesc n cadrul ei, poate fi o politic cu totul special ce poate folosi servere
speciale de tip NAS (Network Array Storage Sistem de stocare n reea).
Ca nivel minim de securizare, politica de back-up trebuie s ofere minim dou lucruri
principale: o procedur de actualizare/restaurare ct mai complete, efectuate ntr-un
timp ct mai scurt i protecie sporit pentru suportul pe care se pstreaz aceste
informaii (la fel, funcie de natura informaiilor pstrate, putnd vorbi de necesitatea
achiziionrii de seifuri, realizarea de copii de siguran la copiile de siguran, etc.).
UNDE?
Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal care

are videoproiector sau flipchart.
CUM?
Se pot utiliza:
Prezentri multimedia coninnd informaii despre nivele de securitate,
politici de securitate la nivel fizic i informaional.
EVALUARE
20
Fia 1.3 Identificarea problemelor de securitate a echipamentelor

Deoarece pierderile sau distrugerile echipamentelor la nivel fizic pot fi costisitoare,

este necesar s se creeze o politic de securitate distinct pentru aceasta. Aceast
politic se identific cu conceptul de mitigation prezentat n fia 1.2.
Pentru protecia echipamentelor, dup cum s-a prezentat i n fia 1.2, putem defini
urtoarele categorii generale de politicii de protecii:
- politici de protecie contra furtului prin ncuietori, ncabinri (montarea n
cabine prevzute cu sisteme speciale de porotecie);
- politici de protecie contra distrugerilor (cu sau far intenie, aici intervenind i
cataclismele naturale gen incendii, inundaii, cutremure) prin instalarea de sisteme de
securizare contra incendiilor;
- politici de protecie contra plusurilor de tensiune prin instalarea de sigurane
specializate de protecie la supratensiune.
Fig. 1.3.1 Sisteme de monitorizare a parametrilor de temperatur, uminitate, presiune,

etc., centralizate sub forma unor date preluate i prelucrate de aplicaii specializate
21
Trebuie menionat faptul c sunt aplicaii specializate care au fost dezvoltate special
pentru a gestiona informaiile primite de la diferii senzori instalai ntr-o anumit arie.
Exemplul prezentat n figura 1.3.1 prezint un magazin care are definii anumii senzori
de temperatur legai ntre ei i conectai n final la un computer, care ruleaz o aplicaie
prin care se poate urmri exact fiecare senzor i se pot realiza diferite alarme care s
se declaneze sau diferite forme de atenionare n cazul n care sunt depite anumite
limite la valorile primite de la senzori.
Astfel de aplicaii sunt vitale n anumite sectoare, cum ar fi cel industrial, n care
este imposibil ca o persoan s citeasc anumite valori i s ia deciziile
corespunztoare. Pe aceste sisteme se bazeaz i formele de protecie la acces
perimetral bazat pe camere de luat vederi care dein (sau se realizeaza la nivel
software) senzori de micare ce pot declana pornirea nregistrrii sau pornirea unor
alarme, reflectoare, etc.
Trebuie avut n vedere totui c politica definit trebuie sa fie urmrit pn la cel
mai mic detaliu, far scpri ntruct ne intereseaz ca toate echipamentele s aib
parte de aceast securizare.
Din pricina costurior (care pot depi de multe ori bugetul alocat), de multe ori se
folosete totui o mixtur de soluii unele mai speciale pentru zonele mai sensibile i
unele mai comune pentru celelalte. De ex. pentru servere, switch-uri, routere, soluiile
de back-up, etc. de obicei este dealtfel i foarte indicat se amenajeaz o ncpere
special, la care are acces numai un numr foarte limitat de personal, ncpere care
este protejat ignifug i hidrofob, dotat cu generator i panou electric special, pentru
protecie la supratensiune, surse nentreruptibile pentru echipamentele de reea
sensibile, sistem de aer condiionat pentru a limita problemele legate de supranclzirea
lor, etc.
Din aceast form de grupare se poate obine o limitare a costurilor ataate
operaiilor de implementare i meninere a securitii unei reele.
Este indicat s se ia n calcul pentru echipamentele sensibile, i funcie de natura
afacerii (firmei) s se cumpere echipamente de back-up pentru a se putea remedia
problemele ntr-un timp ct mai scurt n eventualitatea n care apare o problem cu un
echipament.
De multe ori se folosesc dubluri de echipamente care funcioneaz redundant,
adic n caz c echipamentul principal nu mai rspunde corespunztor normelor de
folosin, ntr al doilea echipament care preia sarcina pn la remedierea problemei.
Aceasta este o procedur extrem de sntoas, procedur dup cum spuneam i n
fia 1.2 legat de conceptul de back-up.
22
Ex. pentru servere se pot achiziiona dou echipamente (cel de backup de multe ori
fiind ceva mai slab pentru limitarea costurilor, dar este bine de luat totui n calcul i
faptul ca trebuie s ofere o funcionarea asemntoare) care s funcioneze redundant,
n caz c serverul principal pete ceva i devine innoperabil, serverul de back-up
preia funciile pn la remedierea problemei.
O astfel de politic poate nsemna de multe ori nsi succesul unei afaceri.
Tot aici ar intra i necesitatea limitrii accesului (prin instalarea unor cititoare de
carduri, acces digital monitorizat) i posibilitatea de audit al acestuia. Astfel este
necesar s se realizeze sisteme de supraveghere, de management al acestora, de
limitare a accesului i de instalare a anumitor trigger-e sau declanatoare de
alarm n cazul n care se detecteaz bree de securitate perimetral.
23
Fig. 1.3.2 Diferite sisteme de monitorizare al accesului
Nu trebuie uitat nici partea de protecie la supratensiune protecie care trebuie

suplimentat i de existena unor UPS dedicate pentru diferite echipamente care trebuie
protejate. Dintre aceste echipamente deosebim: switch-uri, servere, PC-uri, sisteme de
monitorizare, etc.
Fig. 1.3.3. Protecii la supratensiune
24
Fig. 1.3.4. UPS-uri, n partea dreapt primul nivel de jos, format 2U, special pentru
cabinete (server rack)
O importan major n procesul de securizare o reprezint posibilitile de

monitorizare a parametrilor de funcionare a unei reele. Adic posibiliti prin care se
pot detecta n timp ct mai scurt echipamentele cu probleme din cadrul reelei,
echipamente ce pot genera probleme mult mai grave dac nu sunt remediate n timp
util.
Pentru aceasta este necesar s se efectuieze teste periodice a echipamentelor din

cadrul reelelor pentru a se putea detecta din timp echipamentele ce nu mai
funcioneaz n limitele admise. Aceste proceduri de testare trebuiesc efectuate i
documentate, termenul folosit fiind de mentenana echipamentelor de reea.
25
UNDE?

CUM?
Se pot utiliza:
Prezentri multimedia coninnd informaii despre soluii de
protecie a echipamentelor, cu exemplificare pe importana realizrii
de politici de detecie i prevenie a defeciunilor echipamentelor
dintr-o reea.
Se va insista ca elevii s contientizeze importana soluiilor de
protecie a echipamentelor.
EVALUARE
26
Fia 1.4 Identificarea problemelor de securitate a datelor

Fig. 1.4.1 Securitatea la nivel informaional

Securizarea la nivel informaional este de multe ori considetat primordial celei la
nivel fizic, tosui trebuie s se neleag strnsa inderdependen dintre acestea.
Securizarea la nivel informaional trebuie s acopere mai multe forme de

protecie, urmnd aceleai principii ca cele prezentate i n fiele 1.2 i 1.3, i anume
realizarea de politici de implementare a unor forme de securizare pentru minimizarea
riscurilor (mitigation) i definirea obligatorie a unor politici de lucru pentru minimizarea
riscurilor odat ce brea de securitate a aprut (contingency).
27
Politicile care sunt definite pentru minimizarea riscurilor de expunere la atacuri

implic instalarea de diferite programe i aplicaii care s previn n primul rnd accesul
peroanelor neautorizare la resursele din cadrul reelei (firewall, antivirus, etc.) ct i
programe i aplicaii care s protejeze datele vehiculate n cadrul reelei (criptri).
Tot aici intr i necesitatea definirii unor politici de back-up al datelor, back-up care
trebuie s fie difereniat n primul rnd dup natura informaiilor de pstrat, urmat de
frecvena cu care se execut i nu mai puin important forma de pstrare a acestor
fiiere.
n cadrul politicii care definete minimizarea riscurilor odat ce riscul s-a produs,
trebuie s ofere informaii clare prin care accesul la datele sensibile s fie protejat,
eventual prin conservarea datelor respective, precum i paii necesari pentru
remedierea situaiei ntr-un timp ct mai scurt.
La fel ca i mai sus, putem vorbi de o protecie de tip back-up care, de aceast
dat, trebuie s nu ofere posibilitatea de a copia anumite date sensibile, iar dac datele
totui au fost procurate, atacatorul s nu le poat folosi aici intervenint obilgativitatea
criptrii acestor fiiere.
Pe lng cele dou direcii prezentate mai sus, privite ca i concepte distincte
care trateaz problema securitii la nivel informaional deosebim:
securitatea implementat nc din faza de proiectare security by design
securitatea bazat pe mai multe nivele security in depth.
Conceptul de security by design este foarte bun atunci cnd posibilitile de

implementare sunt justificate. De multe ori totui acest concept impune unele restricii
care limiteaz foarte mult utilizarea sa n arii diferite, metoda fiind folosit n zone
speciale, foarte specializate (zone cu statut de importan major, ca de ex. reelele de
calculatoare care controleaz traficul aerian, laboratoare de cercetare, etc.), zone n
care accesul prin definiie este foarte restrictiv.
28
Fig. 1.4.2 Exemplu de folosire al conceptului de security by design n viaa de zi cu zi
Acest concept aplicat la nivel software genereaz un principiu de funcionare al

aplicaiei cu restricii foarte clare care de multe ori din pricina acestor limitri devine n
scurt timp nefezabil.
29
Fig. 1.4.3 Exemplu de folosire al conceptului de security by design la nivel IT
Pentru a exemplifica acest concept la nivel de aplicaie(software) s presupunem c

se citeste de ctre o aplicaie un sir de caractere care ar trebui s reprezinte un nume.
Dac se limiteaz prin definiie ca acel nume s conin numai caractere alfabetice
(litere mici i/sau mari) vor fi persoane care se vor simi ofensate c nu pot introduce
nume de tipul best4you sau diferite caractere gen /.$%@ etc. n acest caz acel
program ajungnd s-i piard din start unii utilizatori mai pretenioi. Totui merit
semnalat faptul c implementarea unei astfel de metode este foarte binevenit n unele
cazuri cnd netratarea corespunztoare a unei astfel de secvene citite poate genera
probleme de tipul buffer overflow genernd apariia unor bree de securitate ce pot fi
folosite n scopuri malefice(cazul cnd se folosesc caractere speciale ce pot ascunde
informaii tratate distinct ex. dac se accept introducerea unei secvene %n se poate
interpreta ca salt la linie nou de ctre o funcie de afiare genernd n acel caz o
posibil eroare, cel puin la nivel estetic ca form de prezentare).
In-depth security sau defence in depth este un principiu bazat pe mai multe
straturi de securitate n vederea protejrii sistemului sau reelei din care face parte.
30
Fig 1.4.4. Evidenierea conceptului de Security in depth
Trebuie s se neleag c nu conteaz ct de bun este fiecare strat privit

singular, exist cineva mai detept, cu resurse materiale i temporale suficiente ct s
treac de acesta. Acesta este motivul pentru care practicile uzuale de securitate
sugereaz existena mai multor nivele de securitate sau pe scurt in-depth security.
Folosirea de nivele(layers) diferite de protecie, de la diferii productori ofer o protecie
substanial mai bun. Este posibil c un hacker s dezvolte un exploit(vulnerabilitate
folosit n scopuri necinstite) care s permit s treac de diferite tipuri de securitate,
sau s nvee anumite tehnici folosite de unii producatori, permindu-le s fac acel tip
de securitate (acel nivel) inefectiv.
Folosind o securitate bazat pe diferite nivele de protecie vei fi protejai de
majoritatea persoanelor rauvoitoare, cu excepia celor mai destepi i mai dedicai. Ca o
regul de baz (nivele minime de securitate instalate) se sugereaz urmtoarele
produse:
a)
firewall o barier protectiv ntre calculator, reaeaua intern i
lumea din jur. Traficul din interior i spre exterior este filtrat, restricionat, blocnd
eventualele transmisii nenecesare. Folosind reguli stricte de acces la nivel de aplicaii i
utilizatori, se poate mbunti substanial securitatea sistemului i a reelei locale;
31
Fig. 1.4.5 Prezentarea schemei de funcionare i poziionare a unui firewall

b)
antivirus un software instalat cu scopul clar de a te proteja de
virui, viermi i alte coduri maliioase. Majoritatea aplicaiilor antivirus monitorizeaz
traficul n fiecare moment, scannd n timp ce se navigheaz pe Internet sau scannd
mesajele primite pe mail (cu tot cu ataamente) i periodic oferind posibilitatea rulrii
unei scanri la nivelul ntregului sistem n cutarea de cod maliios;
32
Fig. 1.4.6 Atenie totui la aplicaiile care se dau drept aplicaii antivirus
c)
Intrusion Detection System (IDS) i Intrusion Prevention
System(IPS o varianta mai special a IDS) un dispozitiv sau o aplicaie folosit()
pentru a inspecta ntregul trafic dintr-o reea i de a trimite mesaje de alert utilizatorului
sau administratorului sistemului cu privire la ncercri neautorizate de acces.
Principalele metode de monitorizare sunt cele bazate pe semnturi i cele bazate pe
anomalii. Funcie de metodele folosite IDS-ul poate rmne la stadiul de a alerta
utilizatori sau poate fi programat s blocheze automat traficul sau chiar programat s
rspund ntr-un anumit fel.
33
Fig. 1.4.7 IDS la nivel software i hardware

Securizarea datelor accesibile trebuie s fie o prioritate pentru orice firm, pierderile ce
pot apare datorit neglijrii deinirii unor nivele minime de securitate pot costa nsai
fucionarea pe mai departe a ntregii firme.
O politic sntoas, pe lng posibilitile de protecie obinuite, insist pe realizarea
de seminarii i edine de traning, de instruire, a utilizatorilor, deoarece studiile de
securitate au artat c principalele bree de securitate, nainte de administrarea
defectuas, o reprezint needucarea utilizatorilor n folosirea de nivele minime de
securizare. Astfel trebuie luat n eviden i posibilitile de educare a utilizatorilor cu
privire la diferite forme simple, uzuale, de protecie personal i mplicit comun.
34
UNDE?

CUM?
Se pot utiliza:
Prezentri multimedia coninnd informaii despre soluii de protecie
a datelor (backup, restaurri, criptri).
Se va insista ca fiecare elev() s contientizeze importana
securizrii datelor confideniale sau cel puin cu statut privat.
EVALUARE
Se pot folosi probe scrise i orale.
35
Tema 2 Dezvoltarea unei politici de securitate n reea

Fia 2.1 Prezentarea soluiilor de protecie
Acest material vizeaz competenele/rezultate al nvrii: Prezint politica de
securitate i Analizeaz metodele de protecie a reelei mpotriva atacurilor
Importana aspectelor de securitate n retelele de calculatoare a crescut odat cu
extinderea prelucrrilor electronice de date i a transmiterii acestora prin intermediul
reelelor. n cazul operrii asupra unor informatii confideniale, este important ca
avantajele de partajare i comunicare aduse de reelele de calculatoare s fie susinute
de faciliti de securitate substaniale. Acest aspect este esenial n condiiile n care
retelele de calculatoare au ajuns s fie folosite inclusiv pentru realizarea de operaiuni
bancare, cumprturi sau plata unor taxe.
n urma implementrii unor mecanisme de securitate ntr-o reea de calculatoare,
informaiile nu vor putea fi accesate sau interceptate de persoane neautorizate
(curioase sau, eventual, chiar ru intenionate) i se va mpiedica falsificarea
informaiilor transmise sau utilizarea clandestin a anumitor servicii destinate unor
categorii specifice de utilizatori ai reelelor.
Persoanele care atenteaz la securitatea reelelor pot aparine unor categorii
diverse, comind delicte mai mult sau mai putin grave: sunt cunoscute cazurile de
studeni care se amuz ncercnd s fure pota electronic a celorlali, "hacker"-i care
testeaz securitatea sistemelor sau urmresc s obin n mod clandestin anumite
informaii, angajai care pretind c au atribuii mai largi dect n realitate, accesnd
servicii care n mod normal le-ar fi interzise, sau foti angajai care urmresc s
distrug informaii ca o form de rzbunare, oameni de afaceri care ncearc s
descopere strategiile adversarilor, persoane care realizeaz fraude financiare (furtul
numerelor de identificare a crilor de credit, transferuri bancare ilegale etc.), spioni
militari sau industriali care ncearc s descopere secretele/strategiile adversarilor, sau
chiar teroriti care fur secrete strategice.
n condiiile n care pot exist interese att de numeroase de "spargere" a unei
reele, este evident c proiectanii resurselor hard i soft ale acesteia trebuie s ia
msuri de protectie serioase mpotriva unor tentative ru intenionate. Metode de
protecie care pot stopa utilizatorii nedorii se pot dovedi inutile sau cu un impact foarte
redus asupra unor adversari redutabili - dedicati i cu posibilitti materiale considerabile
cum spuneam i mai devreme n fia 1.1.
Problemele de asigurare a securitii reelelor pot fi grupate n urmtoarele domenii
interdependente:
confidenialiatea se refer la asigurarea accesului la informaie doar pentru
utilizatorii autorizai i mpiedicarea accesului pentru persoanele neautorizate;
36
integritatea se refer la asigurarea consistenei informaiilor (n cazul

transmiterii unui mesaj prin reea, integritatea se refer la protecia mpotriva unor
tentative de falsificare a mesajului);
autentificarea asigur determinarea identitii persoanei cu care se comunic
(aspect foarte important n cazul schimbului de informaii confideniale sau al unor
mesaje n care identitatea transmitorului este esenial);
ne-repudierea se refer la asumarea responsabilitii unor mesaje sau

comenzi, la autenticitatea lor. Acest aspect este foarte important n cazul contractelor
realizate ntre firme prin intermediul mesajelor electronice: de exemplu, un contract /
comand cu o valoare foarte mare nu trebuie s poat fi ulterior repudiat() de una din
pri (s-ar putea susine, n mod fraudulos, c nelegerea iniial se referea la o sum
mult mai mic).
Aspectele de securitate enumerate anterior se regsesc, ntr-o oarecare msur, i

n sistemele tradiionale de comunicaii: de exemplu, pota trebuie s asigure
integritatea i confidenialitatea scrisorilor pe care le transport. n cele mai multe
situatii, se cere un document original i nu o fotocopie. Acest lucru este evident n
serviciile bancare. n mesajele electronice ns, distincia dintre un original i o copie nu
este deloc evident.
Procedeele de autentificare sunt foarte rspndite i ele: recunoaterea feelor,
vocilor a scrisului sau a semnturilor unor persoane pot fi ncadrate n aceast
categorie. Semnturile i sigiliile sunt metode de autentificare folosite extrem de
frecvent. Falsurile pot fi detectate de ctre experi n grafologie prin analiza scrisului i
chiar a hrtiei folosite. Evident, aceste metode nu sunt disponibile electronic i trebuie
gsite alte soluii valabile.
Dintr-un punct de vedere mai pragmatic, implementarea unor mecanisme de
securitate n reelele de calculatoare de arie larg, n particular Internet-ul, privete
rezolvarea urmtoarelpr aspecte:
1. Bombardarea cu mesaje aa numitul spam trimiterea de mesaje nedorite,
de obicei cu un coninut comercial. Acest fenomen este neplcut n cazul unui numr
mare de mesaje publicitare nedorite i poate avea efecte mai grave n cazul invadrii
intenionate cu mesaje ("flood"), uzual cu un continut nesemnificativ. Programele de email pot ncorpora faciliti de blocare a mesajelor de tip "spam" prin descrierea de ctre
utilizator a unor aciuni specifice de aplicat asupra mesajelor, n funcie de anumite
cuvinte cheie sau de adresele (listele de adrese) de provenien.
2. Rularea unui cod (program) duntor, adesea de tip virus - acesta poate fi un
program Java sau ActiveX, respectiv un script JavaScript, VBScript etc.. Asemenea
programe sunt n general blocate de navigatoarele moderne dar au ajuns s se
rspndeasc ca fiiere ataate mesajelor de e-mail, un caz renumit n acest sens fiind
cel al virusului "Love Letter" (care deterioreaz fiiere de tip sunet i imagine) i
mutanilor lui, mai destructivi dect prima versiune. Cea mai mare parte a programelor
de navigare permit utilizarea unor filtre specifice pe baza crora s se decid dac un
anumit program va fi rulat sau nu, i cu ce restricii de securitate (decizia se realizeaz
n general pe baza "ncrederii" indicate n mod explicit de utiliztor).
37
3. Infectarea cu virui specifici anumitor aplicaii - se previne prin instalarea unor

programe antivirus care detecteaz viruii, deviruseaz fisierele infectate i pot bloca
accesul la fiierele care nu pot fi "dezinfectate". n acest sens, este important
devirusarea fiierelor transferate de pe reea sau ataate mesajelor de e-mail, mai ales
dac conin cod surs sau executabil, nainte de a le deschide sau executa.
4. Accesarea prin reea a calculatorului unui anumit utiliztor i "atacul" asupra
acestuia. La nivelul protocoalelor de reea, protejarea accesului la un calculator sau la o
reea de calculatoare se realizeaz prin mecanisme de tip firewall, prin comenzi
specifice. Acestea pot fi utilizate i n sens invers, pentru a bloca accesul unui calculator
sau a unei reele de calculatoare la anumite faciliti din Internet.
5. Interceptarea datelor n tranzit i eventual modificarea acestora snooping.
Datele se consider interceptate atunci cnd altcineva dect destinatarul lor le primete.
6. n Internet, datele se transmit dintr-un router n altul fr a fi (uzual) protejate.
Routerele pot fi programate pentru a intercepta, eventual chiar modifica datele n tranzit.
Realizarea unei astfel de operatii este destul de dificil, necesitnd cunostinte speciale
de programare n reele i Internet, dar exist numeroase programe (de tip hacker)
care pot fi utilizate n aceste scopuri, ceea ce conduc la creterea riscului de
interceptare a datelor. Transmisia protejat a datelor trebuie s garanteze faptul c doar
destinatarul primete i citete datele trimise i c acestea nu au fost modificate pe
parcurs (datele primite sunt identice cu cele trimise). Modificarea datelor s-ar putea
realiza n mod intentionat, de ctre o persoan care atenteaz la securitatea reelei sau
printr-o transmisie defectuoas.
7. Expedierea de mesaje cu o identitate fals, expeditorul impersonnd pe
altcineva (pretinde c mesajul a fost trimis de la o alt adres de post electronic)
spoofing. Aceast problem se revolv prin implementarea unor mecanisme de
autentificare a expeditorului.
Se poate remarca faptul c problemele ridicate la punctele 3 i 4 sunt riscuri
generice, specifice pentru utilizatorii care fac schimb de fiiere i respectiv pentru toi
cei care sunt conectai la o reea de calculatoare local sau de arie larg. Problemele
de interceptare i autentificare, cele mai importante din punctul de vedere al utilizztorilor
obisnuii, sunt rezolvate prin aplicarea unor tehnici de codificare.
Pentru asigurarea securitii reelei este important implementarea unor mecanisme
specifice pornind de la nivelul fizic (protectia fizic a liniilor de transmisie), continund
cu proceduri de blocare a accesului la nivelul reelei (firewall), pn la aplicarea unor
tehnici de codificare a datelor (criptare), metod specific pentru protecia comunicrii
ntre procesele de tip aplicaie care ruleaz pe diverse calculatoare din reea.
mpiedicarea interceptrii fizice este n general costisitoare i dificil; ea se poate
realiza mai facil pentru anumite tipuri de medii (de exemplu, detectarea interceptrilor
pe fibre optice este mai simpl dect pentru cablurile cu fire de cupru). De aceea, se
prefer implementarea unor mecanisme de asigurare a securitii la nivel logic, prin
tehnici de codificare/criptare a datelor transmise care urmresc transformarea
mesajelor astfel nct s fie ntelese numai de destinatar; aceste tehnici devin mijlocul
principal de protecie a reelelor.
38
UNDE?
CUM?
Se pot utiliza:
Prezentri multimedia coninnd informaii privind soluiile de protecie
existente i topul acestora din revistele de specialitate.
EVALUARE
Se pot folosi probe scrise i orale, eseu.
39
Fia 2.2 Soluii de securitate hardware

Acest material vizeaz competena/rezultat al nvrii: Analizeaz metodele de
protecie a reelei mpotriva atacurilor
Conceptul de securitate hardware se refer la posibilitile de a preveni furtul,
vandalismul i pierderea datelor. Se identific patru mari concepte:
a) securizarea accesului posibilitatea de a restriciona i urmri accesul la
reea (posibilitile de a ngrdi cldirile i de a securiza punctele de acces n cadrul
unitii)
b) securizarea infrastructurii protejarea caburilor, echipamentelor de
telecomunicaii i dispozitivelor de reea gruparea pe ct posibil n locaii puternic
securizate a tututor echipamentelor de comunicaie, camere de supravegheat cu
conectare wireless pentru zone greu accesibile firewall-uri la nivel hardware,
posibilitatea de a monitoriza modificarea cablrii i a echipamentelor intermediare de
comunicaie ex. monitorizarea switch-urilor, routerelor etc.;
c) securizarea accesului la calculatoare folosind lacte pentru cabluri mai
ales pentru laptopuri carcase ce se pot nchide, eventual cutii securizate ce conin
unitile centrale ale desktop-urilor;
d) securizarea datelor n special pentru prevenirea accesului la sursele de
date ca de ex. Hard disk-urile externe vor trebui inute n carcase prevzute cu lacte,
precum i dispozitive de siguran pentru stick-uri USB. O atenie foarte mare trebuie
ofrit soluiilor de back-up folosite, suporturile acestor date trebuiesc s fie stocate i
transportate n locaii i n condiii foarte sigure(stricte).
ntruct implementarea unei soluii de securitate foarte puternice este o procedur
foarte dificil ce implic de multe ori costuri foarte mari, ct i personal calificat i foarte
disciplinat.
Este imperios necesar s se ncerce s se gseasc un compromis ntre nivelul de
securizare dorit i implicaiile implementrii acestor restricii.
O dezvoltare a ideii de securizare hardware o reprezint aa-numitele elemente de
monitorizare harware a reelelor. Aceste soluii sunt echipamente special concepute a
ntreine reele ntregi de calculatoare i vin s inlocuiasc echipamentele uzuale.
De multe ori aceste echipamente conin un ntreg ansamblu de soluii firewall,
antivirus, criptri, IDS (Intrusion Detection System), VPN (virtial private network), trafic
snaping. Aceste soluii se bazeaz pe cipuri ASIC (Application-Specific Integrated
Circuit) care sunt circuite integrate personalizate s efectuieze o anumit sarcin (se
elimin cazurile generale, implementndu-se algoritmi speciali, specializai i
optimizai). Versiuni similare sunt aa numitele SoC (System on a Cip) care conin i
alte blocuri funcionale (procesare pe 32 de bii, memorie ROM, RAM, EEPROM,
Flash).
40
Aceste echipamente totui au preuri foarte mari, prohibitive pentru companiile mici
i mijlocii, ele folosindu-se n special n cadrul marilor companii multi-naionale.
UNDE?
CUM?
Se pot utiliza:
Prezentri multimedia privind securitatea la nivel de hardware.
Se va insista ca fiecare elev() s poat configura modaliti de protecie
minimal de ex. parolarea din BIOS.
EVALUARE
41
Fia 2.3 Soluii de securitate software

Acest material vizeaz competena/rezultat al nvrii: Analizeaz metodele de
protecie a reelei mpotriva atacurilor
Menirea unei soluii de securitate software este de a nlocui i eventual de a
mbunti soluia de tip hardware(decizie luat n special din cauza pretului
dispozitivelor harware specializate). Astfel i soluiile software se pot organiza ntr-un
mod asemntor cu cel prezentat n fia 2.2, cu precizrile urmtoare:
a) la nivelul accesului se pot folosi sistemele de monitorizare folosindu-se de
coduri de acces, camere de supraveghere cu detecia micrii
b) la nivel de infrastructur firewall-uri software, sisteme de monitorizare ale
reelei n vederea detectrii de modificri la nivel de cablri, schimbri de configurare,
declanri de alarme, etc.;
c) la nivel de date posibiliti de backup automate, pastrate n diferite locaii,
programe de criptare, etc;
d) la nivelul calculatoarelor - IDS (Intrusion Detection Systems) care pot
monitoriza modificrile din cadrul codului programelor i sesizeaz activitatea
neobinuit a reelei, folosirea de aplicaii de detectare a elementelor de tip malaware
(virusi, spyware, adware, grayware);
Din alt punct de vedere este foarte important de evideniat faptul c aceste soluii de
securitate se mai clasific i n funcie de importana lor, astfel, deosebim:
a) aplicaii de tip firewall pentru filtrarea datelor din cadrul unei reele;
b) aplicaii pentru detectarea codurilor duntoare: aplicaii antivirus, aplicaii
anti-spamware, anti-adware, anti-grayware la nivel de reea;
c) obligativitatea actualizrii de patch-uri pentru sistemele de operare i aplicaii
instalate pentru a minimiza posibilitile de infectare folosind breele de securitate nou
aprute.
Toate aceste aplicaii sunt absolut necesare n orice reea care este conectat la
Internet. Pentru orice companie este forate important ca pe lng setrile de securitate
pe calculatoarele utilizatorilor s aib soluii de protecie i la nivelul reelei. ntruct
soluiile de securitate care se pot seta la nivel de desktop (sau laptop) sunt relativ
limitate n special prin prisma puterii de procesare i de disciplina i cunosintele
utilizatorilor rmne s se instaleze i configureze soluii dedicate de securitate la
nivel de reea, soluii de care s se foloseasc toi utilizatorii din cadrul ei.
Conform unui studiu al companiei Blue Coat 1 care prezint primele 5 cele mai bune
practici de securitate pentru conectarea la internet, se disting direciile de urmat n
urmtoarea perioad (luni, ani) i anume:
1
Solution Brief: Top Five Security Best Practices for you Web Gateway n 2009, din 06.05.2009, link
http://networking.ittoolbox.com/research/top-five-security-best-practices-for-your-web-gateway-n-2009-19108
42
1. Alturarea la o comunitate de supraveghere(community watch). Multitudinea

de ameninri venite i de la site-uri populare i de incredere a condus la schimbarea
regulilor de aprare mpotriva lor. Astfel, din ce n ce mai multi utilizatori, se unesc n
comuniti de supraveghere pstrate n aa numitele cloud services reele ntre care
exist relaii bine-stabilite, de ncredere i dependen, bazndu-se pe concepte de
procesare n reea(folosindu-se astfel de puterea de procesare oferit de fiecare
caclulator din cadrul ei) pentru a se proteja unii pe alii. Cnd o persoan detecteaz o
ameninare, aceasta este perceput de fiecare utiliztor din cadrul norului (cloud) astfel
ajungnd s se apere fiecare utiliztor. Aceste comuniti sunt un pas foarte important
n asigurarea securitii deoarece confer avantaje foarte puternice comparativ cu alte
soluii singulare, deoarece are la dispoziie mai multe resurse i soluii defensive.
2. Schimbarea mentaltii defensive one against the Web (singur impotriva
Internetului). Soluiile personale de protejare mpotriva mpotriva atacurilor criminale
care vizeaz furtul de date, de orice natur, devin foarte repede nvechite ntruct
aceste atacuri devin din ce n ce mai complexe i mai sofisticate tehnologic. Soluiile
personale nu se pot compara cu avantajele unei comuniti ntregi care detecteaz i
expun aceste atacuri venite c ameninri din Internet, de pe diferite site-uri. Sistemele
de protecie bazate pe semnturi actualizate zilnic sunt forme de protecie depite. Nu
se compar aceste soluii cu ceea ce poate oferi soluiile cu design hibrid folosite de
comunitile de supraveghere, care se bazeaz pe servicii de protecie ce se
actualizeaz odat la 5 minute, beneficiind de serviciile defensive a peste 50 de
milioane de utilizatori.
3. Schimbarea politicilor bazate pe producie n politici bazate pe protecie.
Dac soluia existent la momentul actual este mai veche de 1 an, atunci aceast
soluie este bazat pe producie adic la momentul instalrii s-a luat n calcul
mrirea productivitii utilizatorilor prin blocarea de site-uri cu coninut obscen i
neproductiv(ex. jocuri online). Cum s-a ajuns c peste 90% din coninutul malaware s
vin de la site-uri populare i de ncredere, Internetul-ca un tot unitar- a ajuns s fie
principalul furnizor de acest coninut. Sunt foarte multe site-uri populare care ajuns s
fie infectate astfel ajungnd s indice n mod direct surse de descrcare de coninut
malaware. Pentru protejare de atacuri venite din Internet este necesar s se blocheze
toate formele de download venite din partea unor site-uri necunoscute sau cu reputaii
tirbe, blocnd astfel o ntreag cale de acces al ameninarilor de tip malaware n
reaeaua local.
4. Folosirea de servicii Web real-time (n timp real) de evaluare. Coninutul Web
cuprinde o multitudine de metode de filtrare de adrese URL care actualizeaz zilnic
listele URL statice coninute de fiecare site. Dar, nici o astfel de list nu poate oferi o
evaluare pentru ntregul Internet i nici mcar nu poate ine pasul cu modificrile
frecvente care apar n Internet, sau adugrile de coninut nou. Serviciile Web care
ofer posibilitatea de a evalua site-urile devin unelte foarte puternice i necesare pentru
a suplimenta valoare de protecie oferit de soluiile de filtrare de URL. Dealtfel aceste
servicii ofer un real ajutor i utilizatorilor finali, oferind informaii n timp real cu privire la
coninutul paginilor vizitate, utilizatorii bucurndu-se de navigri relativ sigure folosind
politici de securitate acceptabile.
5. Protejarea utilizatorilor ce se conecteaza de la distan. Posibilitatea de a
lucra la distan a devenit o foarte important unealt de lucru pentru majoritatea
utilizatorilor. A aprut astfel necesitatea de a securiza acesta form de acces i mai mult
de a concepe reele care s extind i s includ aceti utilizatori. Adugarea unui
agent te tip client, legat la o comunitate de supraveghere poate proteja mai bine
43
utilizatorii la distan. Centralizarea politicilor de management poate oferi protecia

necesar oferit de filtrarea de coninut i blocarea de malware de pe sitr-urile detectate
de o ntreaga reea defenisiv a unei comunitti de supraveghere.
UNDE?

CUM?
Se pot utiliza:
Prezentri multimedia coninnd informaii despre soluii de
protecie software, prezentarea topurilor actuale privind aceste
soluii.
EVALUARE
44
Tema 3 Ameninri de securitate a reelelor

Fia 3.1 Surse de atac
Orice reea conectat n Internet are un potenial ridicat de vulnerabilitate n faa
unor atacuri sau aciuni cu efecte distructive pentru resursele informatice din acea
reea.
Pentru companii a avea facilitati de producie, birouri i clieni rspndii geograc
pe arii mari nseamn a rezolva nevoia de a conecta n reea toi aceti utilizatori prin
mloace rapide, sigure i de ncredere. Securizarea reelelor informatice a devenit
important pe msur ce reelele informatice au evoluat iar unii utilizatori au nevoie de
metode de acces sigure n aceste reele din locaii distante.
Numrul de incidente raportate pe tema securitii n reele informatice urmeaz un
trend cresctor, un nivel ngrortor atingnd atacurile venite din domeniu public
(Internet). Printre cele mai utilizate mloace de a produce daune atunci cnd este vizat
o reea sunt atacuri de tip DoS -Denial of Service (o reea este inundat cu un ux de
date generate de atacator pentru a mpiedica tracul legitim de date s ajung la
destinaie n acea reea), atacuri prin e-mail sau accesul neautorizat pe anumite servere
ce conin date con deniale sau aplicaii de tip critic pentru activitatea unei companii.
SANS Institute a relevat printr-un studiu efectutat n 2002 pe un numr de 400
companii din 30 de ri, c ntr-o sptmn s-au nregistrat o medie de 32 de atacuri.
i asta era n 2002, de atunci aceste atacuri au luat o amploare ncredibil.
Atacurile i au originea nu numai din exteriorul reelei, dar i din interior de vreme
ce parteneri de afaceri sau angajai ai companiei se pot conecta n reea de la distan
i tot mai multe aplicaii se bazeaz pe tehnologii de tip wireless pentru acces n reea.
Mobilitatea i accesul la distan sunt la fel de necesare n modul nostru de lucru la fel
ns i condenialitatea informaiilor, intimitatea personal i stabilitatea n reea ca
mediu de lucru utilizat la schimbul de informaii n timpul activitii.
V-ai ntrebat vreodat care sunt motivaiile unui individ care i zice hacker de a
face ceea ce face? Aceste motivaii sunt diverse, dar pot fi ncadrate n categorii mai
generale. Aadar deosebim:
a) distracie, for fun, prostie(script-kid): sunt cei care fac prostii pe net doar ca
s se distreze sau s dovedeasc lor sau altora c sunt posesorii unor skill-uri mai
speciale;
45
b) bani(well know hackers), un nivel superior, mult mai profesional de multe ori:
sunt cei care fac bani din aceast meserie. Aici sunt incluse i activitile de spionaj
industrial sau corporatist;
c) rzbunare: clieni nemulumii, foti angajai, competitori sau oameni care au
ceva mpotriva cuiva dintr-o companie.
Ca surse de atac se disting dou mari categorii:

- atacuri din interiorul reelei;
- atacuri din exteriorul reelei.
Atacul din interiorul reelei este forma cea mai devastatoare ntruct utilitatorul are
acces la o multitudine de resurse i deoarece politicile de securitate interne nu sunt att
de bine implementate, sau cel puin nu sunt definite att de strict din pricina diversitii
necesare unor utilizatori n a accesa informaiile rspndite prin cadrul organizaiei. Mai
mult ca regul general toi utilizatori interni intr n categoria utilizatorilor trusted de
ncredere.
Acesta este i motivul pentru care, n urma unor informaii detaliate din cadrul unor
rapoarte de securitate s-a observat c riscurile cele mai mari vin de la proprii angajai.
Un atac din interior poate fi neintenionat sau deliberat. n categoria atacurilor
neintenionate ntr posibilitatea de a citi parola de acces a unei alte persoane, sau
divulgarea unor parole, sau prin infectarea calculatorului la care lucreaz, expunnd
ntreaga companie la riscul de a se infecta cu un virus.
Cea de-a doua form de atac este de departe cea mai periculoas, pentru c de
multe ori aceste persoane dein cunotine avansate i pot eventual s-i ascund i
urmele operaiilor efectuate. Din pcate nu exist o form sigur de protecie pentru
aceste forme de atac, singura care poate oferi informaii cu privire la astfel de atacuri
fiind auditarea accesului dar aceasta poate face i mai mult ru prin prisma stresrii
suplimentare a utilizatorilor din cadrul organizaiei.
Pentru a se putea nelege mai bine atacurile din exterior s facem o comparaie
cu o banc. Astfel primul pas fcut n direcia implementrii unei defensive eciente este
de a ridica un FIREWALL ca o barier n faa punctului de intrare n reea. Este ca i
cum am instala o u metalic ntr-o banc. Un punct de acces prin care tot tracul este
monitorizat pe msur ce intr sau iese din reea. Orice intrus cu intenii suspecte
trebuie s e detectat, aa c al doilea tip de dispozitive de securitate - camerele de
supraveghere vor instalate n spatele porii metalice, cazul bncii.
Pentru o reea informatic, al doilea nivel de securitate, furnizat din spatele rewall-ului
este fcut prin IDS Intrusion Detection System sau SDI Sisteme de Detecie a
Intruziunilor. Aceste sisteme detecteaz atacurile i declaeaz rspunsuri la aceste
46
atacuri i mai mult, alerteaz pe diverse ci administratorul de reea sau alte persoane
abilitate.
Cteodat bncile realizeaz transfer de bani lichizi i atunci trebuie s se asigure
ca n exterior totul va decurge ntr-un mod sigur. La fel cum bncile folosesc vehicule
blindate pentru protecia transportului de bani lichizi, reelele informatice utilizeaz ca
mloc de transport a datelor n spaiul public tunele securizate de date sau VPN (Virtual
Private Network), n romnete: RVP Reele Virtuale Private. Deoarece n aceste tunele
exist riscul s se intercepteze informaiile, iar pachetele de date aflate n tunel s fie
compromise n timp ce sunt n tranzit, coninutul pachetelor de date este obligatoriu s
fie criptat!
De cele mai multe ori oamenii vor s aib acces la facilitile furnizate de banca din
alt ora sau din alt ar, aa c o banc trebuie s se asigure c oamenii care
beneciaz de acces de la distan au dreptul de a accesa resursele bncii on-line. n
mod similar ntr-o reea trebuiesc activate sisteme de autenticare care s verice
identitatea persoanei care trimite i recepioneaz informaia criptat prin tunelul
securizat.
Un plan de securitate puternic este unul conceput pe mai multe layere sau straturi,
cum am precizat i n fia 1.1, adic implic mai multe soluii de securitate. n funcie de
fiecare organizaie sau companie soluiile difer. Dar per total soluiile de securizare se
mpart n dou categorii: soluii hardware i soluii software.
Cum spuneam mai sus, este necesar instalarea unui firewall care s pun o
barier ntre cei din afara reelei, cei din interiorul ei i modul n care se acceseaz ea.
Astfel, un sistem de tip firewall trebuie s ofere informaii de tipul:
1. ltrarea tracului sistemul decide ce pachet de date are permisiunea s
treac prin punctul de acces n concordan cu setul de reguli aplicate;
2. inspectarea fluxurilor de date, inspectare de tip Statefull (sau ltrarea
dinamic a pachetelor) este utilizat pentru a verica ecare nou ux de date ce intr n
reea, i este abilitatea rewall-ului de a memora starea ecrui ux de date;
3. NAT Network Address Translation reprezint o tehnic utilizat pentru a
ascunde adresele private n spaiul public. Tot tracul generat de utilizatorii unei reele
private va apare n spaiu public ca un trac generat de un singur utilizator din spaiul
public.
4. application gateways sunt folosite de aplicaii precum FTP (File Transfer
Protocol) sau RTSP (Real Time Streaming Protocol). Aceste protocoale trimit pachete
IP ce conin adresa xat a aplicaiei (socket sau port);
5. proxy servers asigur modul ca o aplicaie s e utilizat conform cu politica
de securitate specic setat;
47
6. detectarea intruziunilor pe baza unor abloane rewall-ul detecteaz un

spectru de atacuri nregistrndu-le, noticnd administratorul de reea i activnd un set
de aciuni menit s minimizeze efectul impactului unui atac;
7. capaciti de monitorizare i management al tracului evenimentele sunt
nregistrate, prelucrate i prezentate n rapoarte ctre administratorul de reea;
8. mloace de autenticare listele de acces furnizeaz o cale ecient de a
aplica un mloc de constrngere unui mare grup de utilizatori aai n spaiul public.
Un prim pas n aflarea unui mod de penetrare n reea a unui atacator va fi s afle
ce porturi (ui ascunse) sunt deschise. Pentru aceasta el va face o scanare de porturi.
O astfel de metod totui poate fi folosit i de ctre administratorul unei reele pentru a
se asigura c este protejat corespunztor.
Scanarea de porturi nu duneaz reelei sau sistemulu, dar asigur hackerului
informaii care pot fi folosite pentru atacuri. Potenialii atacatori folosesc aceste scanere
exact cum un ho intr ntr-o parcare i ia fiecare main la rnd, ncercnd fiecare u
pentru a le gsi pe cele deschise.
Ca s exemplificm voi enumera unele dintre cele mai cunoscute i populare porturi
TCP/UDP aa cum sunt ele documentate n RFC 1700. Asignarea acestor porturi este
fcut de ctre IANA (Internet Assigned Numbers Authority). n general, un serviciu
folosete acelai numr de port UDP ct i TCP exist totui i excepii. Iniial porturile
erau curpinse n intervalul 0-255, dar mai trziu acest interval s-a extins de la 0 la 1023.
Aadar urmeaz o list cu cele mai cunoscute porturi:
TCP/UDP port 20: FTP(data)
TCP/UDP port 21: FTP(control)
TCP/UDP port 23: Telnet
TCP/UDP port 25: SMTP
TCP/UDP port 53: DNS
TCP/UDP port 67: BOOTP server
TCP/UDP port 68: BOOTP client
TCP/UDP port 69: TFTP
TCP/UDP port 80: HTTP
TCP/UDP port 88: Kerberos
TCP/UDP port 110: POP3
TCP/UDP port 119: NNTP
TCP/UDP port 137: NetBIOS serviciul de nume
TCP/UDP port 138: NetBIOS datagram
TCP/UDP port 139: NetBIOS session
48
TCP/UDP port 194: IRC

TCP/UDP port 220: IMAPv3
TCP/UDP port 389: LDAP
Porturile din intervalul 1024-64535 sunt denumite registered ports ele fiind
folosite de ctre procese i aplicaii. Bineneles, asta nu nseamn c aceste porturi nu
sunt inte ale atacurilor. De exemplu, portul 1433 folosit de SQL poate reprezenta
interes pentru hackeri.
n total avem 65535 porturi TCP (acelai numr i de porturi UDP). Ele sunt folosite
de diverse aplicaii i servicii. Dac un port este deschis, el rspunde de fiecare dat
cnd un computer ncearc s-l acceseze prin reea. Aplicaiile ce scaneaz porturi, de
tip Nmap, sunt folosite pentru a determina care porturi sunt deschise pe un sistem.
Programul trimite pachete pentru o multitudine de protocoale, i analiznd apoi ce
rspunsuri primete i ce nu, creeaz o list cu porturile ce ascult (listening ports)
sau sunt deschise pentru sistemul scanat.
O reea virtual privat (VPN) este tehnica prin care realizm tunele n spaiul
public, n Internet, pentru a conecta n mod sigur de exemplu birourile unei companii
aate n mai multe locaii. Pentru VPN-uri bazate pe protocol IP, tracul din reea este
ncapsulat n pachetele IP iar acestea sunt transferate prin tunel. Aceasta ncapsulare
furnizeaz calea de separare a reelelor. Autenticarea furnizeaz vericarea identitii,
iar criptarea furnizeaz condenialitatea datelor ncapsulate.
Protocoale utlizate n crearea de tunele sunt:
MPLS Multiprotocol Label Switching
GRE Generic Routing Encapsulation
PPTP Point-to-Point Tunnelling Protocol
L2TP Layer 2 Tunnelling Protocol
IPSec Internet Protocol Security
Pentru crearea de VPN-uri, pe scar larg este folosit protocolul IPSec. IPSec
asigur separarea reelelor private de cele publice prin tunelarea pachetelor IP n alte
pachete IP asigurnd totodat condenialitatea i integritatea datelor. IPSec reprezint
o colecie de alte protocoale nrudite ce opereaz la Nivelul Reea( Nivelul 3 n modelul
OSI). Dei IPSec este folosit de cele mai multe ori ca soluie complet n creearea de
VPN-uri, mai poate folosit complementar ca schem de criptare n cadrul VPN-urilor
ce au la baz L2TP sau PPTP.
49
UNDE?

CUM?
Se pot utiliza:
Prezentri multimedia coninnd informaii despre soluii de protecie
mpotriva diferitelor tipuri de atacuri.
EVALUARE
Se pot folosi probe scrise
50
Fia 3.2 Tipuri de atacuri asupra reelelor

Cnd spunem tip de atac ne referim la modul n care un hacker reuete s preia
controlul unui sistem i ce poate el s fac dup ce a reuit penetrarea lui.
Fig. 3.2.1 O clasificare a formelor de atac

Cele mai des ntlnite tipuri de atacuri sunt urmtoarele:
a) atacuri social engineering;
b) atacuri DoS;
c) scanri i spoofing;
d) source routing i alte exploituri de protocoale;
e) exploituri de software;
f) troieni, virui i worms;
51
Atacurile de tip social engineering.

Spre deosebire de celelalte ripuri de atacuri, aceasta nu implic nici o manipulare
tehnologic a harware-ului unui sistem sau a vulnerabilitii software ale acestuia i nu
necesit skill-uri(cunotine) tehnice foarte dezvoltate. n schimb, social engineering
aduce n prim plan omul i greelile lui. Atacatorul trebuie doar s posede people
skills. Ei ctig ncrederea userilor (sau i mai bine, a adminilor) i obin credenialele
cu ajutorul crora se pot loga pe sisteme. n multe cazuri, aceast metod este cea mai
uoar form de obinere de acces la un sistem informaional.
Msurile de protecie mpotriva acestui tip de atac sunt cel puin challenging. n
primul rnd deschizi ochii foarte bine atunci cnd faci angajri. Apoi i educi
personalul IT. Niciodat s nu divulge parole, username-uri sau informaii legate de
sistemele administrate sau reea. i bineneles s le explici fenomenul de social
engineering. Avnd n vedere faptul c acest tip de atac are la baz ncrederea prea
mare n persoanele nepotrivite, naivitatea, frica sau alte sentimente de acelai gen,
principala metod de aprare este educarea personalului i nu implementarea de soluii
tehnice.
Atacuri Denial-of-Service (DoS)

Anul 2000, luna februarie. O serie de atacuri DoS au pus la pmnt web site-uri c
yahoo.com sau buy.com. V dai seama de fora acestor atacuri, dac au putut s
doboare astfel de mamui? Atacurile DoS sunt printre cele mai populare printre
hackeri atunci cnd este vizat ntreruperea serviciilor unei reele sau ale unui server.
Scopul unui atac DoS este de a genera o cantitate foarte mare de trafic care pune
n cap servere, routere sau alte device-uri, astfel ele nemaifiind capabile s funcioneze
normal.
Distributed Denial-of-Service.
Acest tip de atac face cam acelai lucru ca i DoS-ul, numai c se folosete pentru
atingerea scopului su de ctre nite computere intermediare, numite ageni, pe care
ruleaz nite aplicaii (zombies) care au fost instalate pe calculatoare anterior. Hacker-ul
activeaz remote aceste progrmele n aa fel nct toate aceste sisteme intermediare
s lanseze atacul DDoS n acelai timp. Din cauz c atacul provine de la mai multe
calculatoare care pot s fie rspndite prin toat lumea, originea real a pericolului este
foarte greu de gsit. Aadar DDoS-ul este un pericol dublu. Pe lng posibilitatea ca
reeaua personal s fie pus la pmnt cu tot cu servere, mai exist i opiunea ca
sistemele tale s fie folosite pe post de ageni intermediari.
52
Atacul DNS DoS

Acest tip de atac exploateaz diferenele de mrime ntre DNS querry(interogarea
name server-ului) i DNS response (rspunsul name server-ului). Atacatorul folosete
serverele de DNS ca i amplificatoare pentru a mri traficul de DNS. Cum funcioneaz
chestia asta? Atacatorul ii alege victima i trimite n numele ei (IP spoofing) DNS
querries ctre diferite servere de DNS. Servere de DNS rspund cu pachete mult mai
mari dect cele din querries ctre int, pn cnd bandwidth-ul acesteia pur i simplu
devine 0. Rezulta un prea frumos atac DoS, adica exact incapacitatea targetului de a
mai funciona la parametri normali.
Atacul SYN i LAND

Atacurile de tip SYN (synchronization request) exploateaz handshake-ul three-way
al protocolului de transport TCP, procesul prin care se stabilite o sesiune de
comunicare ntre dou computere. Deoarece TCP-ul este un protocol de transport
connection-oriented, o sesiune sau un link de comunicare one-to-one, trebuie stabilite
ntre cele dou sisteme, nainte c ele s poat comunica ntre ele. Ce este fapt acest
handshake i ce presupune el? S zicem c un computer iniiaz comunicarea cu un
server.
Handshake-ul dintre cele dou conine urmtorii pai:
1. Clientul trimite un segment SYN.
2. Serverul trimite napoi un mesaj ACK i un SYN, prin care spune clientului c a
primit SYN-ul lui, deasemena trimind i el la rndul lui SYN-ul propriu.
3. Clientul trimite i el un ACK prin care l anun pe server c a primit SYN-ul lui.
Dup ce mainile au neles request-urile reciproce SYN, handshake-ul este
complet i un link one-to-one ntre cele dou este stabilit.
S zicem c un atacator trimite un SYN nspre un server cu un IP surs spoofed.
Normal c server-ul va trimite nspre client un ACK/SYN. Dar cum IP-ul surs nu este
bun, serverul ateapt inutil ACK-ul clientului. El nu va veni. Serverul va pune atunci
ACK/SYN-ul trimis ctre client ntr-un queue. Acest queue poate stoca un numr limitat
de mesaje. Cnd este full, toate SYN request-urile care vor urma vor fi ignorate.
Serverul va ajunge n postura de a ignora orice request venit din partea clienilor
legitimi.
53
Atacul LAND deriv din cel descris mai sus, cu un mic amendament. n acest caz,
atacatorul n loc s trimit SYN-uri cu adrese IP care nu exist, trimite pachete SYN cu
adresa IP a clientului-target care este victima n acest caz.
Atacul Ping of Death

Mai este cunoscut i sub numele de large packet ping. Se creeaz un pachet IP mai
mare dect valoarea admis de specificaiile protocolului IP, adic 65 536 bytes.
Sistemul int este compromis, soluia fiind un reboot(de multe ori forat).
Atacul Teardrop
Acest atac are aceleai rezultate ca i cel de sus, dar metoda este alta. Programul
teardrop creaz fragmente IP care fac parte dintr-un pachet IP. Problema este c
aceste fragmente folosesc offset fields (rolul lor este de a indica poriunea n bytes a
acestor fragmente). De exemplu, cmpurile offset din dou fragmente normale sunt
ceva de genul:
fragment1: offset 1 100
fragment2: offset 101 - 200
Problema apare atunci cnd aceste offset-uri se suprapun. Exemplu:
fragment1: offset 1 200
fragment2: offset 101 - 300
Cnd computerul int ncearc s reasambleze aceste fragmente n pachetul IP
original normal c se genereaz o problem(crash, freeze sau reboot).
Flood-ul cu ICMP (ping)

O grmad de pachete ICMP echo request pn cnd se ocup toat banda
disponibil. Cred c toat lumea a auzit de flood. Acestui gen de atac i se mai spune i
ping storm. Cnd luminiele router-ului sau switch-ului au luat-o razna, i interogrile n
reea sunt fr rspuns, este foarte posibil s fiii inta unei astfel de agresiuni.
Atacul fraggle este tot un fel de ping flood, dar n ce sens? Atacatorul folosete un
IP clonat (spoofing) i trimite ping-uri nspre un ntreg subnet ca exemplu. Normal c va
primi o grmad de mesaje echo reply de la tot subnetul. Este de menionat c acest tip
54
de atac a fost folosit n timpul rzboiului din Kosovo de ctre hackerii srbi mpotriva
siturilor NATO.
Atacul Smurf
Este un fel de agresiune brute force i folosete aceeai metod a flood-ului prin
ping, numai c de data asta adresa destinaie din pachetele ICMP echo request este
adresa de broadcast a reelei. Un router cnd primete astfel de pachete le trimite
nspre toate hosturile pe care le mascheaz. Pot rezulta cantiti mari de trafic i
congestionarea reelei. Combinaia dintre atacul fraggle si cel Smurf fac ca reeaua
destinaie ct i sursa s fie afectate.
Atacul Mail Bomb

Numele acestui tip de arm este edificator. Se trimit aa de multe mailuri nspre un
mail server, nct acesta ajunge n imposibilitatea de a le gestiona, iar userii legitimi nu
mai pot beneficia de serviciile acestuia. Din acest tip de atac a derivat unul care
presupune nscrierea mail serverului la o grmad de mailing lists.
Scanning-ul i spoofing-ul
Termenul de scanner, n contextul securitii n IT, se refer la o aplicaie software
folosit de ctre hackeri pentru determinarea porturilor TCP sau UDP deschise pe un
sistem. Dar i administratorii este indicat s foloseasc astfel de aplicaii, pentru a putea
detecta vulnerabilitile pe sistemele proprii.
Un virus este un program creat s distrug datele sau echipamentele unui

calculator. Viruii sunt programe cu dimensiuni foarte mici, ascuni fie n fiiere
executabile fie ataai unor programe (n acest caz sunt numii i parazii).
Fred Cohen n 1988 n cartea Computer viruses, (dei nc din 1966 John von
Neumann, n cartea "Theory of Self-Reproducing Automata" pune bazele teoretice cum
c un virus, teoretic se poate reproduce) definete pentru prima oar formal un virus de
calculator ca fiind "un program ce poate afecta alte programe de calculator,
modificandu-le ntr-un mod care presupune abordarea unor copii evoluate ale lor.".
55
Astzi n mod uzual se nelege prin acest termen un program care se instaleaz
fr voia utilizatorului i provoac pagube att la nivel software (n principal ne referim
la sistemul de operare) ct i n elementele hardware (fizice) ale computerului. Este de
reinut c un virus nu se poate rspndi singur, este nevoie de acceptul, involuntar de
cele mai multe ori, al utilizatorului.
Sunt dou categorii de virui informatici:

- Hardware: virusi informatici care distrug componente hardware precum hard
discul, uniti optice i chiar monitorul sau memoria (RAM) unui calculator. Ex. Virusul
CIH (1998) care dei era coninut n fiiere executabile, avea ca directive s terg
memoria BIOS i s o reprogrameze cu linii inutile care fceau calculatorul inutil pn la
schimbarea cipului.
- Software: acei virui informatici menii s distrug fiiere sau programe inclusiv
sisteme de operare, s modifice structura unui program, s se multiplice pn la refuz
(umplerea hard discului la maxim (n acest caz blocnd motoarele de cutare al
acestuia, acestea cednd i hard discul devine incapabil s mai funcioneze), s
tearg n totalitate informaia aflat pe disc, s ncetineasc viteza de lucru a
calculatorului, ajungnd, nu de puine ori in situaia de a-l bloca.
Ca o definie a noiunii de malware s apelm la definiia gsit pe ro.wikipedia.org:
Malware este un cuvnt creat din cuvintele malicious i software, ambele provenite din
limba englez, care se refer la un tip de software proiectat pentru infiltrarea i/sau
deteriorarea unui sistem al unui computer, sau a unei reele de computere, fr
acceptarea proprietarului computerului sau a reelei. Termenul malware este unul de
utilizare mai general folosit de profesionitii computerelor pentru a desemna orice
form ostil, intrusiv sau suprtoare de software sau de cod al unui program.
Termenul de virus al unui computer este uneori utilizat printr-o larg includere a diferite
forme de malware, incluznd nsii viruii informatici. 2
Tot aici putem gsi3 i definiiile la urmtorii termeni: malware infectant: virui i viermi,
spyware, adware, grayware, cai toieni, rootkits i backdoors. Astfel, prezentnd succint
aceste noiuni avem:
Viermi (worms): Un vierme pe de alt parte este un program care se rspndete

singur n cadrul unei reele pentru a infecta alte sisteme. Din aceast cauz (modul de
rspndire) se folosete denumirea de virui pentru toate programele malware care
sunt activate prin intermediul utilizatorilor i termenul de vierme pentru acele forme de
programe care nu necesit aceast form de interaciune din partea utilizatorilor.
2
3
Definiie preluat de la adresa: http://ro.wikipedia.org/wiki/Malware, pagin accesibil la data de 23.07.2009

Definiii care se regsesc la adresa: http://ro.wikipedia.org/wiki/Malware, pagin accesibil la data de 23.07.2009
56
Grayware: Prin grayware (sau greyware) se nelege n general orice form de

aplicaie care se comport ntr-un mod agresiv i nedorit, dar n acelai timp nu
depete unele limite (altfel devine malware n adevratul sens). Grayware este un
termen general n care sunt cuprini urmtorii termeni: spyware, adware, dialers, joke
programs, remote acces tools i orice alt form de de programe duntoare care au
fost programate s loveasc n performana i sigurana unui sistem. Termenul a fost
introdus n jurul anului 2004.
Dei termenii de spyware i adware sunt inclui n categoria grayware, datorit
dezvoltrii lor, ncep s fie privite ca elemente distincte, astfel avem urmtoarele
definiii:
Spyware: Spyware este un software care colecteaz date personale(folosite n

scopuri de marketing) despre utilizatori (i obiceiurile lor ex. sit-uri uzuale pe care le
folosesc, aplicaii uzuale, etc.) fr consimmntul lor. Este acceptat de multe sit-uri
pentru beneficiile sale din punctul de vedere al celor care primesc aceste date.
Termenul a aprut n anul 1995, dar abia n jurul anului 2000 s-a rspndit i a fost
acceptat, este foarte des asociat cu termenul de adware i malware.
Adware: Dei este inclus n denumirea de grayware, termenul de adware este

foarte folosit, pentru aceasta s-a creat o definiie distinct pentru el: Adware este o
variant de spyware care nu colecteaz date de marketing, ci doar transmite reclame.
Deseori este asociat cu forma abuziv a acestor reclame (ex. un singur click care
genereaz deschiderea a 2-3, sau mai multe, pagini cu reclame).
Cai troiani (Trojan horses): descrie un anumit tip de spyware (care este la rndul
su un tip de malware), care simuleaz c ar realiza ceva util, dar care n realitate
realizeaz funcii malefice care permit accesarea neautorizat a unui calculator,
respectiv copierea fiierelor, i chiar controlarea comenzilor calculatorului penetrat. Caii
troieni, care tehnic nu sunt virui informatici, pot fi descrcai cu uurin i n
necunotiin de cauz.
Spre deosebire de virui troienii nu se multiplic singuri, dar pot fi la fel de
destructivi ca viruii.
Unul dintre cele mai ntlnite tipuri de cal Trojan este acela care imit un antivirus
ns introduce de fapt virui n calculatorul tu. Ex. Windows Antivirus 2009 program
care prin denumirea i aspectul su poate pcli mult lume s-l instaleze.
Rootkits: Odat ce un program malware a fost instalat pe un sistem, este esenial
pentru el ca s rmn ascuns pentru a evita detecia i dezinfecia. Tehnica din
spatele denumirii implic modificarea sistemului de operare i a diferitelor siteme de
detecie pentru a pstra anonimatul instalrii sale. Ca efecte uzuale sunt: prevenirea
57
lansrii unor aplicaii care le-ar pune n pericol forma de anonimat aleas (gen
dezactivarea informaiilor afiate n task manager), blocarea anumitor aplicaii s
ruleze, blocarea posibilitii de vizualizare sau tergere a fiierelor dependente, etc.
Termenul a fost folosit original ca un set de unelte prin care un atacator asupra unui
sistem UNIX prin care atacatorul putea obine drepturi de root la nivelul sistemului. n
mod uzual acest termen este folosit pentru definirea tehnicilor de ascundere a unor
aplicaii de ctre sistemul de operare. O form evoluat a acestora folosesc mai multe
servicii care se restaureaz unul pe cellalt n funcie de necesiti.
Backdor: Un astfel de malware se definete ca o metod prin care se sare peste
anumite etape din cadrul unei autentificri normale. Odat ce sistemul a fost compromis
una sau mai multe astfel de aplicaii poat fi introduse, din aproape n aproape. De obicei
se folosesc forme cumulate sistemul este compromis prin diferite forme prezentate
mai sunt dup care sunt deschise diferite ui din spate (backdors) prin care se
instaleaz alte programe mult mai periculoase. Iniial se credea c aceast form de
malware a fost introdus la nivel larg, de ctre companiile productoare de software
pentru a putea oferi suport. Totui aceast form, datorit riscului legal ce poate aprea,
este doar la un statut de posibilitate.
Un termen care ncepe s capete din ce n ce mai mult atenie, n special din cauza
creterii comerului online, este termenul de phishing: o form de activitate criminal
care const n obinerea datelor confideniale, cum ar fi date de acces pentru aplicaii de
tip bancar, aplicaii de trading sau informaii referitoare la cri de credit, folosind tehnici
de manipulare a identitii unei persoane sau a unei instituii.
UNDE?

CUM?
Se pot utiliza:
Prezentri multimedia coninnd informaii despre tipuri de atacuri
asupra unei reele.
EVALUARE
58
IV. Fia rezumat

Unitatea de nvmnt __________________
Fia rezumat
Clasa ________________
Nr.
Crt.
1
2
3
4
...
Nume i
prenume
elev
Profesor______________________
Competena 1
A1
A2
Competena 2
A3
A1
A2
A3
Competena 3
A1
A2
A3
Competena 4
A1
A2
zz.ll.aaaa4
zz.ll.aaaa reprezint data la care elevul a demonstrat c a dobndit cunotinele, abilitile i aptitudinile vizate prin activitatea respectiv
59
Observaii
A3
Competene care trebuie dobndite

Aceast fi de nregistrare este fcut pentru a evalua, n mod separat, evoluia
legat de diferite competene. Acest lucru nseamn specificarea competenelor tehnice
generale i competenelor pentru abiliti cheie, care trebuie dezvoltate i evaluate.
Profesorul poate utiliza fiele de lucru prezentate n auxiliar i/sau poate elabora alte
lucrri n conformitate cu criteriile de performan ale competenei vizate i de
specializarea clasei.
Activiti efectuate i comentarii

Aici ar trebui s se poat nregistra tipurile de activiti efectuate de elev,
materialele utilizate i orice alte comentarii suplimentare care ar putea fi relevante
pentru planificare sau feed-back.
Prioriti pentru dezvoltare

Partea inferioar a fiei este conceput pentru a meniona activitile pe care
elevul trebuie s le efectueze n perioada urmtoare ca parte a viitoarelor module.
Aceste informaii ar trebui s permit profesorilor implicai s pregteasc elevul pentru
ceea ce va urma.
Competenele care urmeaz s fie dobndite

n aceast csu, profesorii trebuie s nscrie competenele care urmeaz a fi
dobndite. Acest lucru poate implica continuarea lucrului pentru aceleai competene
sau identificarea altora care trebuie avute in vedere.
Resurse necesare
Aici se pot nscrie orice fel de resurse speciale solicitate:manuale tehnice, reete,
seturi de instruciuni i orice fel de fie de lucru care ar putea reprezenta o surs de
informare suplimentar pentru un elev care nu a dobndit competenele cerute.
Not: acest format de fi este un instrument detaliat de nregistrare a progresului

elevilor. Pentru fiecare elev se pot realiza mai multe astfel de fie pe durata
derulrii modulului, aceasta permind evaluarea precis a evoluiei elevului, n
acelai timp furniznd informaii relevante pentru analiz.
60
V. Bibliografie
1.
2.
3.
4.
5.
6.
Ionescu, Dan. (2007). Retele de calculatoare, Alba Iulia: Editura All

Georgescu, Ioana. (2006). Sisteme de operare, Craiova: Editura Arves
***.La http://en.wikipedia.org . Informaii multiple
***.La http://support.microsoft.com . Informaii multiple 30.04.09
***.La http://www.datasecurity.ro . 02.05.09
Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete
reference, McGraw-Hill, 2003.
7. Tanenbaum, A.S., Computer Networks, 4th edition, Prentice-Hall, New Jersey,
2003
8. Bragg, Roberta. Windows 2000 Security. New Riders, 2001.
9. Andress, Mandy.Surviving Security. SAMS, 2001.
10. Zwicky, Elizabeth, et al. Building Internet Firewalls, 2nd Edition. O'Reilly &
Associates, 2000.
11. Northcutt, Stephen and Judy Novak. Network Intrusion Detection: An Analyst's
Handbook, 2nd Edition. New Riders, 2000.
61

Securizarea Retelelor - Partea I

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Securizarea Retelelor - Partea I

Încărcat de

Drepturi de autor:

Formate disponibile

nvmntul profesional i tehnic n domeniul TIC

Acest material a fost elaborat n cadrul proiectului nvmntul profesional i tehnic n

IV. Fia rezumat..................................................................................................................56

Fia 1.1 Politici de securitate

1. Prezint politica de securitate

Fia 2 Noiuni de securitate a

Temele din prezentul material de predare nu acoper toate coninuturile prevzute n

Absolvenii nivelului 3 avansat, coal postliceal, calificarea Administrator reele locale

II. Documente necesare pentru activitatea de predare

Standardul de Pregtire Profesional pentru calificarea Administrator reele

Curriculum pentru calificarea Administrator reele locale i de comunicaii, nivelul

Wikipedia biblioteca electronica cea mai complet.

Politicile de securitate se refer la acele politici (documente, setri, modaliti de

de securitate implementate i de a evidenia eventualele eecuri sau omiteri, care pot fi

politicilor finale). Este de reinut faptul ca politica de securitate este o component a

securitii i eventual, cu acordul lor stabilite reguli care s le creasc nivelul de

personalul IT poate conine informaii ce sunt confideniale pentru utilizatorii obinuii,

validarea sau rollback-ul (revenirea la setrile originale) setrilor de securitate aplicate

Clasa poate fi organizat frontal sau pe grupe.

Se pot folosi probe scrise i orale

Fia 1.2 Noiuni de securitate a reelelor

Exist dou mari categorii protecia la nivel fizic (garduri, ui cu ncuietori,

Fig. 1.2.1 Securitatea la nivel de acces perimetral

Fig. 1.2.3 De observat diferenele de ncasetri (accesul la echipamente i infrastructur

Fig. 1.2.4 Testarea echipamentelor de protecie (cabinete speciale gen seif)

Fig. 1.2.5 Protecii la supratensiune (prin instalarea de sigurane speciale)

servere, cabinete, calculatoare, etc.) sau indirecte (panouri electrice, sisteme de

Fig. 1.2.6 Securitatea la nivel informaional

securizarea la nivel de acces la echipamente;

i protejarea la nivel de informaii ce circul n cadrul ei.

(criptare, parolare, protejare la tergere, etc.) v dai seama n ce situaie periculoas

Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal care

Clasa poate fi organizat frontal sau pe grupe.

Se pot folosi probe scrise i orale

Fia 1.3 Identificarea problemelor de securitate a echipamentelor

Deoarece pierderile sau distrugerile echipamentelor la nivel fizic pot fi costisitoare,

Fig. 1.3.1 Sisteme de monitorizare a parametrilor de temperatur, uminitate, presiune,

Fig. 1.3.2 Diferite sisteme de monitorizare al accesului

Nu trebuie uitat nici partea de protecie la supratensiune protecie care trebuie

Fig. 1.3.3. Protecii la supratensiune

O importan major n procesul de securizare o reprezint posibilitile de

Pentru aceasta este necesar s se efectuieze teste periodice a echipamentelor din

Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal care

Clasa poate fi organizat frontal sau pe grupe.

Se pot folosi probe scrise i orale

Fia 1.4 Identificarea problemelor de securitate a datelor

Fig. 1.4.1 Securitatea la nivel informaional

Securizarea la nivel informaional trebuie s acopere mai multe forme de

Politicile care sunt definite pentru minimizarea riscurilor de expunere la atacuri

securitatea implementat nc din faza de proiectare security by design

securitatea bazat pe mai multe nivele security in depth.

Conceptul de security by design este foarte bun atunci cnd posibilitile de

Fig. 1.4.2 Exemplu de folosire al conceptului de security by design n viaa de zi cu zi

Acest concept aplicat la nivel software genereaz un principiu de funcionare al

Fig. 1.4.3 Exemplu de folosire al conceptului de security by design la nivel IT

Pentru a exemplifica acest concept la nivel de aplicaie(software) s presupunem c

Fig 1.4.4. Evidenierea conceptului de Security in depth

Trebuie s se neleag c nu conteaz ct de bun este fiecare strat privit

Fig. 1.4.5 Prezentarea schemei de funcionare i poziionare a unui firewall

Fig. 1.4.7 IDS la nivel software i hardware

Coninutul poate fi predat n laboratorul de informatic sau ntr-o sal care

Clasa poate fi organizat frontal sau pe grupe.

Se pot folosi probe scrise i orale.