Documente Academic
Documente Profesional
Documente Cultură
inernetului
Elev : Anghel Nicu Stefan Cristian
Clasa : a IX-a H
1. Vulnerabilitatea reelelor
specific
sistemelor
deschise
interconectate
2. Securitatea n Internet
Aplicaiile de baz ale Internetului (FTP, SMTP, TELNET, HTTP, DNS, POP,
WWW etc.) ruleaz pe servere, ele reprezentnd acdevrate pori prin care
utilizatorii din lumea exterioar pot accesa informaii de pe un calculator privat.
Fiecare server trebuie s aib urmtoarele faciliti:
Protecia serverelor se poate face prin mai multe msuri cum ar fi:
Kerberos este la ora actual cel mai puternic i mai folosit serviciu de
autentificare din lume. El permite utilizatorilor s comunice n reea pentru a-i
dezvlui identitatea i pentru a se autentifica n timp real, ntr-un mediu distribuit
nesecurizat. Este un serviciu de autentificare i nu de autorizare, n care parolele
sunt folosite derept chei i nu sunt niciodat transmise n clar prin reea.
Kerberos este folosit de protocoalele de nivel aplicaie (ftp, telnet etc.) pentru a
asigura securitatea comunicaiilor cu gazda. El are dou obiective principale:
autentificarea i distribuia cheilor i furnizeaz urmtoarele servicii:
-
Client
(C)
Pota electronic este unul dentre cele mai rspndite servicii pe Internet
folosit de milioane de utilizatori. Ca urmare au fost dezvoltate aplicaii de securitate
specifice acestui serviciu cum ar fi PEM PrivacyEnhanced Mail care ofer
urmtoareler faciliti:
- confidenialitatea (secretizarea) mesajelor;
- autentificarea originii mesajelor
- integritatea legturii n reea
- nerepudiarea legturii prin dovedirea originii.
Confidenialitatea protejeaz coninutul mesajelor mpotriva citirii lor
neautorizate de ctre alte persoane dect cele autorizate specificate de emitent.
Accesul nedorit la mesaje se poate face fie prin inteceptatrea comunicaiei din linia
de transmisie, fie prin accesul la cutia potal care de fapt este o locaie pe un hard
disk sau un alt mijloc de stocare. n aceste sitiaii protecia se face prin criptarea
mesajelor.
Autentificarea originii mesajelor permite receptorului unui mesaj prin pot
electronic s determine n mod sigur identitatea emitorului. Este un serviciu
foarte necesar asigurrii credibilitii potei electronice att de rspndit i de util
n prezent.
Integritatea legturii furnizeaz receptorului sigurana c mesajul primit este
identic cu cel emis la origine, c nu a fort nlocuit pe traseu cu altul sau nu a fost
modificat chiar i parial. De regul, autentificarea i integritatea sunt servicii care
se folosesc mpreun.
Nerepudierea mesajelor mpiedic transmitorul s nu recunoasc faptul c
el i numai el a transmis mesajul n discuie chiar dac el a trecut i prin
intermediari. Utilitatea serviciului de nerepudiere este evident n
situaia
transmiterii unor ordine, decizii, dispoziii etc. cu caracter imperativ si care pot
genera consecine majore unele chiar cu caracter juridic.
Implementarea serviciilor de securitate n conformitate cu standardul PEM se
poate face peste infrastructura de pot electronic existent. Exist dou variante
de integrare:
1
2
2
3
4
Un firewal (zid de protecie, perete antifoc) este un sistem de protecie plasat nter
dou reele care are urmtoarele proprieti :
-
oblig tot traficul dintre cele dou reele s treac prin el i numai prin el,
pentru ambele sensuri de transmisie ;
filtreaz traficul i permite trecerea doar a celui autorizat prin politica de
securitate ;
este el nsui rezistent la ncercrile de penetrare, ocolire, spagere
exercitate de diveri.
Un firewall nu este un simplu ruter sau calculator care asigur securitatea unei
reele. El impune o politic de securitate, de control a accesului, de autentificare a
clienilor, de configurare a reelei. El protejeaz o reea sigur din punct de vedere
al securitii de o reea nesigur, n care nu putem avea ncredere.
Trafic autorizat
Fiind dispus la intersecia a dou reele, un firewall poate fi folosit i pentru alte
scopuri dct controlul accesului :
-
Folosirea unui firewall are i unele limitri i dejavantaje, inclusiv unele probleme de
securitate pe care nu le poate rezolva.
1
Politica de control a acesului la servicii definete n mod explicit acele servicii care
sunt permise i carte sunt refuzate, precum i cazurile de exepii i condiiile n care
pot fi acceptate. O politic realist trebuie s asigure un echilibru ntre protejarea
reelei fa de anumite riscuri cunoscute i asigurarea accesului utilizatorilor la
resurse. Mai nti se definete politica de acces la serviciile reelei, ca politic de
nivel nalt, dup care se defionete politica de proiectare a firewall-ului ca politic
subsidiar. Se pot implementa diverse politici de acces la servicii :
n vederea procurrii componenetelor soft i hard ale unui sistem firewall, trebuie
definite ct se poate de concret cerinele de funcionalitate i de securitate ale
acestuia. Pentru aceasta este recomandabil s se in seama de urmtoarele
aspecte:
Un serviciu securitate foarte eficient relizabil prin firewall este filtrarea pachetelor.
El permte sau blocheaz trecerea unor anumite tipuri de pachete n funcie de un
sistem de reguli stabilite de administratorul de securitate. De exemplu filtrarea
pachetelor IP se poater face dup diferite cmpuri din antetul su: adresa IP a
sursei, adresa IP a destinaiei, tipul protocol (TCP sau UDP), portul surs sau portul
destinaie etc.
Filtrarea se poate face ntr-o varietate de moduri: blocare conxiuni spre sau
dinspre anumite sisteme gazd sau reele, blocarea anumitor porturi etc.
Filtrarea de pachete se realizeaz, de obicei, la nivelul ruterelor. Multe rutere
comerciale au capacitatea de a filtra pachete pe baza cmpurilor din antet.
Urmtoarele servicii sunt nmod inerent vulnerabile i de accea se recomand
blocarea lor la nivelul firewall-ului:
tftp (trivial file transfer protocol), portul 69folosit de obicei pentru secvena
de boot a staiilor fr disc, a serverelor de terminale i a ruterelor.
Configurat incorect, el poate fi folosit pentru citirea oricrui fiier din sistem;
Un exemplu de produs firewall de firm este TIS Firewall Toolkit (TIS FWTK)
produs de firma Trust Information System. El reprezint un set de programe i
practici de configurare care pot fi folosite pentru construirea de diverse tipuri de
firewall. Componentele pot fi folosite fie independent, fie n combinaie cu
componentele altor produse firewall. Produsul este conceput pentru sisteme UNIX
folosoind suita de protocoale TCP/IP printr-o interfa soket de tip Berkley.
Instalarea FWTK persupune o oarecare experien n administrarea sistemelor UNIX.
Deoarece conponentele sunt prezentate sub forma unor programe de cod surs
scrise n C, sunt necesare cuno;tine referitoare la folosirea utilitatrului make.
FWTK are trei componente de baz:
- concepii de proiectare
- practici de configurare i strategii de verificare
- componente software.
Cteva dintre componentele soft sunt urmtoarele:
1 SMAP/SMAPT pentru serverul de pot electronic. El ajut la implementarea
serviciului SMTP. SMAP accept mesaje venite din reea pe care le scrie ntr-un
director propriu fr a permite accesul la restul sistemului de fiiere. Fiierele
create n acest director sunt blocate pn se ncarc n intregime. Ulterior se
deblocheaz i permite smapd-ului s acioneze asupra sa. Smapd-ul este un
program care inspecteaz coada, scoate fiierele i le trimite destinatarului prin
sendmail.
2 FTP-GW este un server proxy pentru ftp care poate efectua operaii de tipul logare,
interzicere, autentificare etc. Pentru autentificare sunt recunoscute mai multe
protocoale: SecurID produs de Security Dynamics, SNK produs de Digital Patways,
Silver Card etc.
3 TELNET-GW este un server proxy pentru telnet folosit la conectarea utilitzatorului
la sistem.
4 PLUG-GW este un server proxy generic care suport o gam restrns de
protocoale i utilizatori. El examineaz adresa de la care s-a iniiat conexiunea i
portul pe care a primit-o i crteaz o nou conexiune la un alt sistem gazd pe
acelai port.