Masuri de securitatea in utilizarea

inernetului
Elev : Anghel Nicu Stefan Cristian

Clasa : a IX-a H

Colegiul National Alexandru Lahovari

Securitatea informatic este o problem vital pentru toi utilizatorii de

internet, fie c sunt furnizori de servicii fie c sunt utilizatori. Nevoia tot mai mare

de comunicare, pe de o parte i nevoia de protecie i securitate a informaiilor pe

de alt parte sunt dou cerine diferite i chiar opuse care trebuie asigurate n
reelele i sistemele informatice. n condiiile n care milioane de ceeni folosesc n
mod curent reelele de comunicaii i calculatoare pentru operaiuni bancare,
cumprturi, plata taxelor i serviciilor etc. problema securitii este de maxim
importan. Au aprut multe organizaii i organisme internaionale care se ocup
de cele mai diverse aspecte ale securitii informaionale, de la aspectele
legislative, la cele organizatorice, procedurale i funcionale. O prezentare detaliat
a resurselor Internet privind resursele de securitate se gsete n [VVP].
Securitatea este un subiect vast i ocup o multitudine de imperfeciuni.
Majoritatea problemelor de securitate sunt cauzate intenionat de persoane
ruvoitoare care ncearc s obin beneficii, s culeag informaii dar i s
provoace ru.

1. Vulnerabilitatea reelelor

O reea de calculatoare este o structur deschis la care se pot conecta

permanent noi utilizatori i noi tipuri de echipamente (terminale, calculatoare) ceea
ce lgrgete necontenit cercul de utilizatori care au acces la resursele acesteia
(programe, fiiere, baze de date). Vulnerabilitatea se manifest pe dou planuri:
atacul la integritatea fizic a informaiilor (distrugere, modificare) i folosirea
neautorizat a informaiilor (scurgerea de informaii). Referitor la securitatea n
informatic trebuie avute n vedere dou aspecte:
1. Integritatea resurselor unei reele, adic disponibilitatea lor indiferent
de defectele de funcionare hard sau soft care pot aprea, inclusiv detriorrile sau
sustragerile ruvoitoare.
2. Caracterul privat ai informaiei, adic dreptul individual de a dispune
ce informaie poate fi stocat i vehiculat n reea i cine are dreptul s o accesze.
O reea sigur este acea reea n ale crui componenete (resurse, operaii) se
poate avea ncredere, adic furnizeaz servicii de calitate i corecte, conform
cerinelor i specificaiilor. Securitatea i caracterul privat trebuie s fie obiectul
unor analize atente i responsabile din nurmtoarele motive:
- reelele sunt sisteme mari sau foarte mari, de arie i complexitate considerabile.
Penetrarea reelelor i atacurile ruviotoare se pot face n multe locuri i modaliti
nebnuite, greu depistabile.

- informaia este vulnerabil la atac n orice punct al reelei, de la introducere sa

pn la utilizatorul final.
- reelele de calculatoare sunt o component tot mai prezent n viaa economic,
social, individual, de funcionarea lor corect depinznd
activitatea
guvernamental, comercial, industrial i chiar individual.
- tot mai multe informaii memorate n fiiere separate pot fi corelate, sinteizate,
prelucrate prin intermediul reelelor sporind posibilele consecinele nefaste asupra
caracterului privat al acesora.

1.1 Categorii de atacuri asupra reelelor

n afara cazurilor de for major produse de calamiti naturale, dezastre,

cderi de echipamente etc pentru care msurile de securitate pervd salvri i
copii de rezerv, dublarea echipamentelor, tehnici de autoresabilire etc. n cazul
atacurilor voite se disting dou categorii principale:
- atacuri pasive;
- atacuri active.
Atacurile pasive sunt acele atacuri n care intrusul observ informaia care trece
prin canal, fr s interfereze cu fluxul sau coninutul mesajelor. Se face doar
analiza traficului, descoperirea identitii entitilor care comunic, descoper
lungimea i frecvena mesajelor chiar dac coninutul acestora rmne ascuns.
Aceste atacuri nu cauzeauz pagube i nu ncalc regulule de confidenialitate.
Scopul lor este de a asculta datele care sunt vehiculate prin reea.
Atacurile active sunt acelea n care intrusul dse angajeaz n furtul mesajelor,
modificarea lor, tergerea, rularea, schimbarea coninutuli sau a adreselor,
redirecionarea, substituirea, refuzul unui serviciu, repudierea etc. Acestea sunt
serioase, cauzeaz perjudicii mari i consecine juridice. Tot n categoria atacurilor
active intr i programele create cu scop distructiv care afecteaz serios, uneori
catastrofal, securitatea calculatoarelor i a informaiilor. n aceast categorie intr:
viruii, bombele logice, viermii, trapele, programele tip cal troian, etc.

1.2 Nivele, principii, politici i mecanisme de securitate

Modelul de securitate n reele prevede protecia pe mai multe nivele care

nconjoar obiectul protejat.

Un prim nivel necesar este securitatea fizic care const, n general,

ncuierea echipamentelor, plasare a lor n camere speciale ferite de foc, intemperii,
distrugere fizic fie intenionat fie nu. Este o msur aplicabil tuturor sistemelor
de calcul dar mai puin posibil n cazul reelelor, mai ales cele de arie medie sau
mare.
Cellalt nivel se refer la securitatea logic i cuprinde acele metode de
cvontrol a accesului la resursele i serviciile sistemului.
Au fost stabilite i unanim acceptate linii directoare i principii privind
securitatea sistemelor informatice care trebuiesc respectate de ctre toate entitile
care produc, livreaz, instaleaz i exploateaz sisteme informatice.
1 Principiul resonsabilitii care impune
stabilirea clar a
responsabilitilor referitoare le securitate pe catre le au priprietarii,
furnizotrii, madministratirii i utilizatorii sistemelor infirmatice.
2 Principiul sensibilizrii conform cruia toate persoanele interesate
asupra acestui aspect trebuie corect i oportun informate.
3 Principiul eticii care impune elaborarea unor reguli de conduit n
utilizarea SI.
4 Principiul pluridisciplinaritii conform cruia metodele tehnice i
organoizartorice care trebuie luate n vederea securitii SI au caracter
multidiscilpilinar i cooperant.
5 Principiul proporionalitii care cere ca nivelul de securitate i
msurile de protecie s fie proporional cu importana informaiilor
gestionate.
6 Principiul integrrii conform cruia securitatea este necesar n toate
stadiile de prelucrare a informaiilor (creare, colectare, prelucrare,
sztocare, transport, tergere, etc.).
7 Principiul oportunitii conform cruia mecanismele de securitate s
rspund prompt i s permit o colaborare rapid i eficient n caz de
detectare a tentatuvelor de corupere a mecanismelor de securitate.
8 Principiul reevalurii, care cere revizuirea periodic a cerinelor de
securitae i a mecaniismelor de implementare a lor.
9 Principiul democraiei, conform cruia cerinele de protecie i
securitate s nu limiteze nejustificat libera circulaie a informaiilor,
conform principiilor care guverneaz societile democratice.
Msurile de securitate care trebuie luate se pot clasifica n :
-

Procedurale (utilizare de parole cu schimbarea lor periodic, instruirea

personalului,
Logice (criptare, control acces, ascundere informaii)
Fizice (blocare acces, camere speciale, ecranare electromagnetic, etc.).

Fiecare organizaie care gestioneaz informaii sensibile (vulnerabile) trebuie

s-i defineasc o politic de securitate care trebuie s gseasc soluii
urmtoarelor probleme :

- ce ameninri exist, de ce natur sunt, care se pot elimina i care nu;

- ce resurse pot fi protejate i la ce nivel;
- cu ce mijloace se poate asigura securitatea
- ce costuri introducerea, meninerea i actualizarea mecanismelor de
securitate.
Politica de securitate se implementeaz prin servicii de securitate au ca
scop reducerea vulnerabilitii informaiilor i resurselor care poate duce la
pierderea acestora, deteriorarea sau ajungerea acestora n posesia unor persoane
neaurtorizate. Fiecare serviciu de securitate se poate implementa prin unul sau mai
multe mecanisme de securitate, care, la rndul lor, cuprind o serie de activiti.
Arhitectura de securitate
cuprind 5 elemente majore :
-

specific

sistemelor

deschise

interconectate

Definirea serviciilor de securitate ;

Definirea mecanismelor de securitate ;
Descrierea principiile de securitate pe nivele;
Implementatea serviciilor de securitate pe nivele ;
Realizarea mecanismelor de securitate prin folosirea serviciilor de
securitate

Serviciile de securitate definite de ISPO sunt: autentificarea, confidenialitatea,

controilul accesului, intergritatea i nerepudierea.

Mecanismele de securitate sunt folosite individual sau colectiv pentru construirea

serviciilor de securitate.
1 Criptarea transform datele de la entitatea surs ntr-o manier unic
astfel nct s nu poat fi cunoscut semnificaia lor dect n urma unei
transformri inverse pereche, numit decriptare. Este folosit n special
pentru implementarea serviciului de confidenialitate.
2 Semntura digital d sigurana c datele furnizate au fost produse
chiar de ctre semnatar. Mecanismul este folosit de ctre serviciul de
integritate i nonrepudiere. La rndul su se bazeaz pe dou proceduri:
- procedura semnrii unui bloc de date
- procedura verificrii semnturii
3 Controlul accesului la resursele din Internet presupune recunoaterea
identitii solicitantului n baza unei nregistrri prealabile i posibilitatea
validrii sau invalidrii cererii. Tentativele de acces neautorizat trebuie
semnalale prin diverse modaliti. Ca tehnici de control a accesului se pot

folosi : liste de acces, parole, etichete de securitate, limitarea timpului de

acces, limitarea numrului de ncercri de acces, calea de acces etc.
4 Autentificarea
permite
identificarea
reciproc
a
entitilor
corespondente.
5 Notarizarea presupune folosirtea unei a treia entiti numit notar, n
care toate prile au incredere deplin, care ofer garanie pruivind
originea, destinaia, integritatea i confidenialitatea informaiilor.
tiina i arta care se ocup cu studiul tiinific i metodic al criptrii
mesajelor este criptologia. Ea cuprinde dou laturi: criptografia i criptanaliza.
Prima se ocup de metodele, tehnicile i procedurile de criptare a mesajelor, de
teoria codurilor i a cheilor de criptare iar a doua de posibilitile de decriptare, de
descoperire a textului clar dintr-unul cifrat, de spargere a codurilor.
Criptologia a fost studit i utilizat de foarte mult vreme dar performanele cele
mai mari n domeniu au aprut dup dezvoltarea sistemelor de calcul numeric
puternice.
Termenul de criptografie provine din limba greac nsemnnd scriere secret. n
lumea specialitilor se face deosebire ntre cod i cifru. Un cod nlocuiete un
cuvnt cu un alt cuvnt, pe cnd un cifru este o transformare caracter cu caracter
sau bit cu bit a mesajului. n prezent tehnicile de secretizare prin codare sunt foarte
puin folosite, fiind nlocuite prin tehnici de cifrare mult mai performante. n
principiu, cifrarea transform mesajului clar ntr-unul cifrat prin aplicarea unei funcii
parametrizate de o cheie, astfel nct semnificaia mesajului s fie ascuns iar
descifrarea s nu fie posibil fr a poseda cheia corespunzutoare. Din punct de
vedere al cheii de cifrare, algoritmii se mpart n ndou clase:
- algoritmi cu chei secrete (DES, AES-Advanced Encryption Standard);
- algoritmi cu chei publice (RAS)

2. Securitatea n Internet

Securitatea n Internet se poate realiza pe mai multe nivele i subnivele,

individual sau combinat pentru a realiza un grad de protecie cerut.

Securitatea la nivel fizic

Serviciile de securitate la nivel fizic asigur o protecie punct la punct pe
canalul fizic de legtur, ntre entitile care comunic, fie c sunt sisteme finale, fie
intermediare. Avantajul major al securitii pe acest nivel este independena de

protocoalele implementate pe nivelele suprerioare. Dezavantajul const n

dependena de tehnologia de comunicaie folosit la nivel fizic (tipuri de interfee,
rate de transmisie, probleme de sincronizare etc.). Aici se realizeaz de regul
confidenialitatea traficului i securizarea circuitului orientat pe conexiune.

Securitatea la nivel legtur de date

Serviciile de securitate la nivel legtur de date sunt tot de tipul punct la
punct. Nivelul de securitate este nc redus, determinat n nprincipal de facilitile
de detecie i eventual corecie a erorilor., de secveniete a transmisiei funcie de
caracteristcile canalului. Criptarea la nivel 2 nu este recomandat deoarece ofer
mult informaie unui adversar care intercepteaz pachete, cmpurile de control
fiind n clar. Principalul dezavantaj al criptrii la acest nivel este c datele sunt
memorate n clar n fiecare nod intermediar i ofer faciliti de atac multiple
ruvoitorilor.
Serviciile de securitate la nivel reea pot fi realizate att ntre sistemele
finale ct i intre sisteme finale i rutere sau ntre dou rutere. De la acest nivel ele
ncep s devin dependente de protocoalele folosite pe nivelele superioare. Este
posibil securizarea unei anumite rute din reea (de exemplu criptarea datelor de pe
acea rut i transmisia n clar pe alte rute). Unele pachete care trec printr-un nod
intermediar (ruter) sunt criptate, altele nu, n funcie de rut. Antetul de nivel reea
al pachetelor nu este criptat, ceea ce face ca s se asigure numai integritatea i
confidenialitatea datelor transmise, nu i a traficului.
Serviciile de securitate la nivel transport
Nivelul transport ofer mai multe servicii de securitate i mai complete:
confidenialitatea (orientat sau nu pe conexiune), integritatea, autentificarea
originii datelor, autentificarea entitilor pereche, controlul accesului. Deoarece
nivelul transport asigur servucii dew transter de date ntre surs i destinaie, adic
ntre utilizatori finali, i serviciile de securitate au acelai caracter.
Nivelele sesiune i prezentare nu au referiri privitoare la implementarea de
servicii de securitate, dei confidenialitatea prin criptare sau altele (autentificarea
etc.) pot fi evident realizabile.
Nivelul aplicaie asigur implementarea tuturor serviciilor de securitate, ba
mai mult chiar, unele, de exemplu, nerepudierea mesajelor poate fi realizat numai
la acest nivel. Avantajul major al asigurrii securitii la acest nivel este
independena de sistemele de operare i de protocoalele utilizate pe nivelele
inferioare. n schimb, trebuie menionat c la acest nivel securitatea este
dependent de aplicaie (trebuie implementat individual pentru fiecare aplicaie).

Aplicaiile de baz ale Internetului (FTP, SMTP, TELNET, HTTP, DNS, POP,
WWW etc.) ruleaz pe servere, ele reprezentnd acdevrate pori prin care
utilizatorii din lumea exterioar pot accesa informaii de pe un calculator privat.
Fiecare server trebuie s aib urmtoarele faciliti:

S determine ce informaie sau aciune este serut de client;

S decid dac aceste are dreptul s acceseze informsaia, utiliznd
eventual un procedur de autentificare (persoan sau program);
S transfere informaia cerut sau s execute programul cerut.

Protecia serverelor se poate face prin mai multe msuri cum ar fi:

Autentificarea sigur a clienilor prin parolee sau protocoale criptografice

(cum ar fi Kerberos);folosirea unui firewall care s separe reeaua intern de
lumea exterioar;
Separarea fizic a reelei interne de cea extern. Accesul la reeaua extern
(Internet, WWW, etc.) se face prin staii separate.
Crearea unei reele separate pentru datele confideniale;
Dezactivarea tuturor serviciilor inutile i protejarea lor prin programe de tip
wrapper.

3. Tehnici de securitate n reele

3.1 Servere de autentificare Kerberos

Kerberos este la ora actual cel mai puternic i mai folosit serviciu de
autentificare din lume. El permite utilizatorilor s comunice n reea pentru a-i
dezvlui identitatea i pentru a se autentifica n timp real, ntr-un mediu distribuit
nesecurizat. Este un serviciu de autentificare i nu de autorizare, n care parolele
sunt folosite derept chei i nu sunt niciodat transmise n clar prin reea.
Kerberos este folosit de protocoalele de nivel aplicaie (ftp, telnet etc.) pentru a
asigura securitatea comunicaiilor cu gazda. El are dou obiective principale:
autentificarea i distribuia cheilor i furnizeaz urmtoarele servicii:
-

autentificarea mutual i comunicaie sigur ntre dou entiti ale unei

reele deschise;
distribuie chei secrete oferind macanisme pentru transferul siugur al
acestora prin reea;
indentificarea sigur a utilizatorilor individuali care apeleaz servicii de pe
calculatoarele gazd.

Kerberos este utilizat n SUA, o variant similar dezvoltat n Europa,

compatibil cu acesta este SESAME.
Protocolul de autentificare Kerberos folosete o a treia entitate (ter de
ncredere) care furnizeaz tichete de identificare i chei criptografice ctre utilizatori
sau aplicaii. Un tichet este un bloc de cteva sute de octei care poate fi folosit n
aproape orice protocol de reea.
Protocolul Kerberos conine urmtoarele entiti:
-

Serverul de autentificare Kerberos

Entitatea de acordare a tichetului
Clientul C care trebuie autentificat pentru a i se acorda acces la serviciul
furnizat de serverul S
Serverul S la care cere acces din partea clientului.

Server Server de tichete (ST)Server

Kerberos
(S)
2
1

Client
(C)

Fig. 7.1 Protocolul der autentificare Kerberos

3.2 Standardul de pot electronic cu faciliti de securitate (PEM)

Pota electronic este unul dentre cele mai rspndite servicii pe Internet
folosit de milioane de utilizatori. Ca urmare au fost dezvoltate aplicaii de securitate
specifice acestui serviciu cum ar fi PEM PrivacyEnhanced Mail care ofer
urmtoareler faciliti:
- confidenialitatea (secretizarea) mesajelor;
- autentificarea originii mesajelor
- integritatea legturii n reea
- nerepudiarea legturii prin dovedirea originii.
Confidenialitatea protejeaz coninutul mesajelor mpotriva citirii lor
neautorizate de ctre alte persoane dect cele autorizate specificate de emitent.
Accesul nedorit la mesaje se poate face fie prin inteceptatrea comunicaiei din linia

de transmisie, fie prin accesul la cutia potal care de fapt este o locaie pe un hard
disk sau un alt mijloc de stocare. n aceste sitiaii protecia se face prin criptarea
mesajelor.
Autentificarea originii mesajelor permite receptorului unui mesaj prin pot
electronic s determine n mod sigur identitatea emitorului. Este un serviciu
foarte necesar asigurrii credibilitii potei electronice att de rspndit i de util
n prezent.
Integritatea legturii furnizeaz receptorului sigurana c mesajul primit este
identic cu cel emis la origine, c nu a fort nlocuit pe traseu cu altul sau nu a fost
modificat chiar i parial. De regul, autentificarea i integritatea sunt servicii care
se folosesc mpreun.
Nerepudierea mesajelor mpiedic transmitorul s nu recunoasc faptul c
el i numai el a transmis mesajul n discuie chiar dac el a trecut i prin
intermediari. Utilitatea serviciului de nerepudiere este evident n
situaia
transmiterii unor ordine, decizii, dispoziii etc. cu caracter imperativ si care pot
genera consecine majore unele chiar cu caracter juridic.
Implementarea serviciilor de securitate n conformitate cu standardul PEM se
poate face peste infrastructura de pot electronic existent. Exist dou variante
de integrare:
1
2

cu includerea funciilor de securitate n nagentul utilizator (UA) cu

avantajul obinerii unei interfee mai bune cu utilizatorul.
fr modificare agentului utilizator prin realizarea unui filtru de securizare
a mesajelor n exteriorul UA.

Pentru a putea asigura serviciile de securitate, PEM folosete o varietate de

algoritmi criptografici necesari cifrrii mesajelor, distribuirii cheilor, verificrii
integritii mesajelor sau autentificrii. PEM folosete sisteme simetrice i
nesimetrice pentru cifrarea mesajelor, integritate i autentificare. n cazul
sistemelor simetrice cheia de cifrare este identic cu cea de descifrare i ca urmare
ele trebuie s fie secrete i distribuite utilizatorilor pe canale sigure, pe baza unui
sistem de management al cheilor.
Prelucrarea uneu scrisori PEM se face dup un algoritm prezentat n [VVP]. O
scrisoare este format din 2 zone : antetul mesajului i coninutul mesajului. Datele
din antet trec de regul nemodificate prin prelucrrile PEM. Coninutul scrisorii care
face obiectul prelucrrii este ncadrat de unul sau mai multe antete PEM
/delimitatori PEM care implemeteaz serviciile de securitate folosite. Paii n care se
face prelucrarea PEM sunt de regul urmtorii:

Aducerea la forma canonic, adic o form standard specific reelei.

Tipul de canonizare este specificat n cmpul Content Domain din antetul
PEM.
Calculul valorii de integritate a mesajului (MIC- Message Integrity Code)
Cifrarea (opional) dac se consider necesar se face o singur datr
indiferent de ci destinatari l vor primi, folosind o tehnic de criptare
acceptat, fr a fi impus una anume.
Codificarea n vederea transmisiei arew rolul de a converti mesajele de tip
MIC ONLY i ENCRIPTED care sunt irui oarecare de bii n caractere care
pot fi transmise n sistemele de transport al mesajelor.

2
3
4

3.3 PGP (Pretty Good Privacy)

Este un pachet de programme destinat potei electronice i a fiierelor proprii

prin cifrare clasic cu chei publice care poate funciona pe diferite platforme
(Windows, UNIX, etrc.). PGP poate asigura urmtoarele faciliti :
-

criptarea fiierelor folosind algoritmi simetrici sau nesimetrici ;

creerea de chei publice sau secrete folosite la criptare;
gestionarea cheilor prin crearea i ntreinerea unei baze de date destinate
acestui scop ;
transmiterea i recepionarea de mesaje criptate prin e-mail ;
folosirea semnturilor digitale ;
certificarea cheilor (semnarea electronic a cheilor) ;
revocarea, dezactivarea i custodia cheilor cu posibilitatea dezactivrii,
revocrii i schimbrii lor n caz de atac ctiptografic;
configurarea dup necesiti a PGP-ului;
folosirea server-elor de chei de pe Internet.

4. Securitatea prin firewall

Un firewal (zid de protecie, perete antifoc) este un sistem de protecie plasat nter
dou reele care are urmtoarele proprieti :
-

oblig tot traficul dintre cele dou reele s treac prin el i numai prin el,
pentru ambele sensuri de transmisie ;
filtreaz traficul i permite trecerea doar a celui autorizat prin politica de
securitate ;
este el nsui rezistent la ncercrile de penetrare, ocolire, spagere
exercitate de diveri.

Un firewall nu este un simplu ruter sau calculator care asigur securitatea unei
reele. El impune o politic de securitate, de control a accesului, de autentificare a
clienilor, de configurare a reelei. El protejeaz o reea sigur din punct de vedere
al securitii de o reea nesigur, n care nu putem avea ncredere.

Trafic autorizat

Fig. 7.2 Dispunerea unui firewall

Firewall

Fiind dispus la intersecia a dou reele, un firewall poate fi folosit i pentru alte
scopuri dct controlul accesului :
-

pentru monitorizarea comunicaiilor dintre reeaua intern i cea extern

(servicii folosite, volum de trafic, frecvena accesrii, distribuia n timp de
etc.);
pentru interceptarea i nregistrarea tuturor comunicaiilor dintre cele
dou reele ;
pentru criptare n reele virtuale.

4.1 Avantajele unui firewall

ntr-un mediu fr firewall securitatea reelei se bazeaz exclusiv pe securitatea

calculatoarelor gazd care trebuie s coopereze pentru realizarea unui nivel
corespunztor de securitate. Cu ct reeaua este mai mare, cu att este mai greu
de asigurat securitatea fiecrui calculator. Folosirea unui firewall asigur cteva
avantaje :
1

Protecia serviciilor vulnerabile prin filtrarea (blocarea) acelora care n

mod obinuit sunt inerent mai expuse. De exemplu un firewall poate bloca
intrarea sau ieirea dintr-o reea protejat a unor servicii expuse cum ar fi
NFS, NIS etc. De asemenea mecanismul de dirijare a pachetelor din Internet
poate fi folosit pentru rutarea traficului ctre destinaiii compromise. Prin
intermediul ICMP firewall-ul poate rejecta aceste pachete i informa
administratorul de reea despre incident.
Impunerea unei politici a accesului n reea deoarece un firewall poate
controla accesul ntr-o reea privat. Unele calculatoare pot fcute accesibile
dei exterior i altele nu. De exemplu, serviciile de pot electronic i cele
informaionele pot fi accesibile numai pe unele calculatoare din reeaua
intern protejndu-le pe celelalte de expuneri la atacuri.
Concentrarea securitii pe firewall reduce mult costurile acestei fa de cazul
n care ar fi distribuit pe fiecare staie. Folosirea altor soluii cum ar fi
Kerberos, implic modificri la fiecare sistem gazd, ceea ce este mai greu
de implementat i mai costisitor.
ntrirea caracterului privat al informaiei care circul prin reea. n mod
normal o informaie considerat pe bun dreptate nesenzitiv (navigarea pe
Web, citirea potei electronice etc.) poate aduce atacatorilor informaii dorite
despre utilizatori : ct de des i la ce ore este folosit un sistem, dac s-a citit
pota electronic, site-urile cele mai vizitate etc. Asemenea iformaii sunt
furnizate de serviciul finger, altfel un serviciu util n Internet. Folosirea unui
firewall poate bloca asemenea servicii cum ar fi finger, DNS etc. Blocarea
ieirii n exterior a informaiei DNS referitoare la sistemele gazd interne,
numele i adresele IP, ascunde informaie foarte cutat de atacatori.
Monitorizarea i realizarea de statistici privind folosirea reelei sunt mult
uurate dac ntregul trafic spre i dinspre Internet se face printr-un singur
punct (firewall).

4.2 Dezavantajele unui firewall

Folosirea unui firewall are i unele limitri i dejavantaje, inclusiv unele probleme de
securitate pe care nu le poate rezolva.
1

Restricionarea accesului la unele servicii considerate vulnarabile care

sunt des solicitate de utilizatori : FTP, telnet, http, NSf etc. Uneori politica de
securitate poate impune chiar blocarea total a acestora.
2 Posibilitatea existenei unor ui secrete Un firewall nu poate proteja
mpotriva unor trape care pot aprea n reea, de exemplu accesul prin
modem la unele cailculatoare gazd. Folosirea modemuri de vitez mare pe o
conexiune PPP sau SLIP deschide o u neprotejabil prin firewall.
3 Firewall-ul nu asigur protecie fa de atacurile venite din interior.
Scurgerea de informaii, atacurile cu virui, distrugerea intenionat din
interiorul reelei nu pot fi protejate de firewall.
4 Reducerea vitezei de comunicaie cu exteriorul (congestia traficului)
este o problem major a unui firewall. Ea poate fi depit prin alegerea
unor magistrale de mare vitez la interfaa acestuia cu reeaua intern i cea
extern.
5 Fiabilitatea reelei poate fi redus dac i chiar dezastruoas dac
sistemul firewall nu este fiabil.
Comparnd avantajele i limitrile securitii prin firewall se poate concluziona
c protejarea resurselor unei reele este bine s se fac att prin sisteme firewall
ct i prin alte meeanisme i sisteme de securitate.

4.3 Componentele unui firewall

Componentele fundamentale ale unui firewall sunt :

-

politica de control a acesului la servicii ;

mecanismele de autentificare ;
filtrarea pachetelor;
serviciile proxy i porile de nivel aplicaie.

Politica de control a acesului la servicii definete n mod explicit acele servicii care
sunt permise i carte sunt refuzate, precum i cazurile de exepii i condiiile n care
pot fi acceptate. O politic realist trebuie s asigure un echilibru ntre protejarea
reelei fa de anumite riscuri cunoscute i asigurarea accesului utilizatorilor la
resurse. Mai nti se definete politica de acces la serviciile reelei, ca politic de
nivel nalt, dup care se defionete politica de proiectare a firewall-ului ca politic
subsidiar. Se pot implementa diverse politici de acces la servicii :

interzicerea accesului din Internet la reeaua proprie i accesul invers,

din reea spre Internet;
accesul din Internet dar numai spre anumite staii din reeaua proprie,
cum ar fi serverele de informaii, serverele de e-mail ;
accesul din internet spre anumite sisteme locale dar numai n situaii
speciale i numai dup autentificare reciproc.

Politica de proiectare a firewall-ului se bazeaz pe dou sub-politici :

1 ceea ce nu este interzis n mod explicit este permis
2 ceea ce nu este permis n mod explicit este interzis.
Prima subpolitic este mai puin oportun deoarece ofer posibiuliti de a ocoli
sistemul de securitate prin firewall. Pot aprea servicii noi, necunoscute, se pot folosi
porturi TCP/UDP nestandard etc. Eficiena unui sistem firewall de protecie a unei
reele depinde de de politica de acces la servicii, de politica de proiectare a firewallului i de arhitectura acestuia.

7.4.4 Implementarea securitii prin firewall

Implementarea securitii pritr-un sistem firewall se poate face respecnd urmtorii

pai:
-

Definirea politicii de securitate prin firewall

Definirea cerinelor de funcionare i securitate peri firewall
Procurarea unui firewall
Administrarea unui firewall.
Politica de securitate prin firewall are dou niveluri de abordare: politica de acces la
servicii i politica de proiectare a firewall-ului. Gradul de ndeplinire a securitii pe
cele dou nivele depinde n mare msur de arhitectura sistemului firewall. Pentru a
defini o politic de proiectare a firewall-ului, trebuie examinate i documentate
urmtoarele:

Ce servicii urmeaz a fi folosite n mod curent i ocazional

Cum i unde vor fi folosite (local, la distan, prin Internet, de la domicilui)
Care este gradul de sensibilitate al informaiei, locul unde se afl i ce
persoane au acces au acces ocazional sau curent
Care sunt riscurile asociate cu furnizarea accesului la aceste informaii
Care este costul asigurrii proteciei

n vederea procurrii componenetelor soft i hard ale unui sistem firewall, trebuie
definite ct se poate de concret cerinele de funcionalitate i de securitate ale
acestuia. Pentru aceasta este recomandabil s se in seama de urmtoarele
aspecte:

n ce msur poate fi suportat o politic de securitate impus de organizaie

i nu de sistem n sine
Flexibilitatea, gradul de adaptabilitate la nio servicii sau ceine determinate
de schimbrile n politica de securitate
S conin mecanisme avansate de autentificare sau posibiliti de instalare
a acestora
S foloseeasc tehnici de filtrare de tip permitere/interzicere acces la
sisteme, aplicaii, servicii
Regulile de filtrare s permitp selectarea i combinarea ct mai multor
atribute (adrese, porturi, protocoale)
Pentru servicii ca TELNET, FTP etc s permit folosirea serviciului proxy
individuale sau comune
Firewall-ul i accesul public n reea trebuie corelate astfel nct serverele
informaionale publice s poat fi portejate de de firewall, dar s poat fi
separate de celelalte sisteme de reea care nu furnizeaz acces public
Posibilitatea ca firewall-ul i sistemul de operare s poat fi actualizate
periodic

4.5 Filtrarea pachetelor

Un serviciu securitate foarte eficient relizabil prin firewall este filtrarea pachetelor.
El permte sau blocheaz trecerea unor anumite tipuri de pachete n funcie de un
sistem de reguli stabilite de administratorul de securitate. De exemplu filtrarea
pachetelor IP se poater face dup diferite cmpuri din antetul su: adresa IP a
sursei, adresa IP a destinaiei, tipul protocol (TCP sau UDP), portul surs sau portul
destinaie etc.
Filtrarea se poate face ntr-o varietate de moduri: blocare conxiuni spre sau
dinspre anumite sisteme gazd sau reele, blocarea anumitor porturi etc.
Filtrarea de pachete se realizeaz, de obicei, la nivelul ruterelor. Multe rutere
comerciale au capacitatea de a filtra pachete pe baza cmpurilor din antet.
Urmtoarele servicii sunt nmod inerent vulnerabile i de accea se recomand
blocarea lor la nivelul firewall-ului:

tftp (trivial file transfer protocol), portul 69folosit de obicei pentru secvena
de boot a staiilor fr disc, a serverelor de terminale i a ruterelor.
Configurat incorect, el poate fi folosit pentru citirea oricrui fiier din sistem;

X Windows, porturile ncepnd cu 6000. Prin intermediul serverelor X intruii

pot obine controlul asupra unui sistem gazd;
RPC (Remote Procedure Call), portul 111, inclusiv NIS i NIF care pot fi folosite
pentru a obine informaii despre sistem, despre fiisrele stocate;
Rolgin, rsh, rexec, porturile 513, 514, 512 servicii care configurate incorect
pot pemite accesul neautorizat la conturi i comenzi de sistem.
Urmtoarele servicii sunt, n mod obinuit, filtrazte i restricionate numai la
acele sisteme care au nevoie de ele:
a
b
c
d

Telnet, portul 23, restricionat numai spre anumite sisteme;

Ftp, porturile 20 i 21, restricionat numai spre anumite siusteme;
SMTP, portul 25, restricionat numai spre un server central de mail;
RIP, portul 25, care poate fi uor nelat i determinat s redirecioneze
pachete;
e DNS, portul 53, care poate furniza informaii despre adrese, nume, foarte
urmrit de atacatori;
fUUCP (Unix to Unix CoPy), portul 540, care poate fi utilizat pentru acces
neautorizat;
g NNTP (Network Nwes Transfer Protocol), portul 119 pentru accesul la diferite
tiri din reea;
h http, (portul 80), restricionat spre o poart de ap0licaii pe care ruleaz
servicii proxy.
Nivelurile de filtrare a pachetelor corespund nivelelor din arhitectura OSI
sau TCP/IP. Antetul de reea IP conine patru cmpuri relevante pentru filtrarea
pachetelor: cele dou adrese, surs i destinaie, tipul de protocol de nivel transport
i cmpul de opiuni IP. Opiunea IP cea mai relevant pentru faciliti de filtrare
este dirijarea de la surs (source routing). Ea permite edxpeditorului unui pachet s
specifice ruta pe care acesta o va urma spre destinaie. Scopul su este de a nu
trimite pachete n zone n care tabelele de dirijare ale pachetelor sunt incorecte sau
ruterele sunt defecte.
Antetul de nivel transport conine cmpurile port surs i destinaie i cmpul
de indicatori (flag-uri). TCP fiind un protocol orientat pe conexiune, naintea
transferului de pachete se sabilete ruta prin intermediul unui pachet de setare care
are cmpul ACK de un bit setat pe 0. Bitul ACK este foarte important din punct de
verdrere al filtrrii. Dac se dorete blocarea unei conexiunu TCP este sufuicient a se
bloca primul pachet identificat prin valoarea 0 a cmpului ACK. Chiar dac
urmtoarele pachete cu ACK =1 corespunztoare aceleiai conexiuni vor trece prin
filtru , ele nu vor fi asamblate la destinaie din cauza lipsei informaiilor despre
conexiune, informaii coninute n primul pachet. Practic, conexiunea nu va fi
realizat. Pe baza acestei particulariti se poate impune o politic de securitate
care permite clienilor din interior s se conecteze n exterior la servere externe, dar
nu permite clienilor externi s se conecteze n interior (la servere interne).
n filtrarea UDP sunt posibile mai multe abordri:

interzicerera tuturor pachetelor UDP;

permiterea conexiunilor la anumite porturi UDP standard, considerate
mai puin periculoase;
se poate seta ruterul ca s monitorizeze pachetele care pleac din
interior spre exterior astfel ca ele s fie rspuns pachetele (cererile)
memorate (filtrare dinamic).

Reguli de filtrare a pachetelor

Filtrarea pechetelor se face dup reguli care fac parte din configurarea ruterului i
care pot fi reguli explicite sau implicite. De exemplu, interzicerea a tot ce nu este
permis n mod explicit este o interzicere implicit. Regula filtrtrii implicite este mai
bun din punct de vedere al securitii deoarece ne asigur c n afara cazurilor pe
care le dorim s treac, celelalte sunt filtrate, deci sunt eviitate situaii neprevzute
de acces. Regulile fac parte din configuraia ruterului. Pentru a decide trimiterea sau
blocarea unui pachet, regulule sunt parcurse pe rnd, pn se gsete o
concordan i se conformez acesteia. Dac nu se gsete o asemenea
concordan, pachetului i se aplic regula implicit. n cazul filtrrii dup adres,
exist urmtoarele riscuri:
1

simpla filtrare nu poate fi sigur deoarece adresa surs poate fi falsificat. Un

ruvoitor poate simula c trimite pachete de la un utilizator de ncredere. El
nu va primi rspuns, dar simplul acces n reea poate reprezenta o
ameninare.
2 atacul de tip omul din mijloc n care un atacator de interpune pe calea
dintre surs i destinaie i intercepteaz pachetele venind din ambele
sensuri. Evitarea unei asemenae situaii se poate face prin autentificare
reciproc folosind mecanisme criptografice avansate.
Filtrarea dup serviciu este de fapt filtrarea dop porturile surs i destinaie. n
UNIX porturile privilegiate (01023) sunt ocupate doar de servere, nu de clieni. Pe
aestea ruleaz aplicaii sau servicii specifice superuser-ilor. Porturile mai mari de
1024 sunt filosite de clieni i se pot aloca n mod aleator.

Procurarea unui firewall

Exist dou variante de procurare a unui firewall: realizare proprie sau de pe
Internet variante libere i cumprarea unui produs profesional la cheie. Ambele au
avantaje i dezavantaje. Un firewall de firm este puternic, verificat i ofer multe
facilitidar este mai scump. Unul construit pentru o anumit organizaie sau reea
permite ca specialitii firmei s neleag specificaiile de proiectare i de utilizure a
acestuia.
nainte de a se lua decizia de procurare trebuie s se afle rspunsuri la intrebri
de fgelul:

cum se va verifica dac produsul firewall respect cerinele funcionale

cum poate fi testat mpotriva diverselor atacuri
cine, cum i cu ce mijloace va face ntreinerea, repararea,
actualizarea sa
cum i cine va face instruirea utilizatorilor
cun vor fi rezolvate eventuale incidente de securitate.

Un exemplu de produs firewall de firm este TIS Firewall Toolkit (TIS FWTK)
produs de firma Trust Information System. El reprezint un set de programe i
practici de configurare care pot fi folosite pentru construirea de diverse tipuri de
firewall. Componentele pot fi folosite fie independent, fie n combinaie cu
componentele altor produse firewall. Produsul este conceput pentru sisteme UNIX
folosoind suita de protocoale TCP/IP printr-o interfa soket de tip Berkley.
Instalarea FWTK persupune o oarecare experien n administrarea sistemelor UNIX.
Deoarece conponentele sunt prezentate sub forma unor programe de cod surs
scrise n C, sunt necesare cuno;tine referitoare la folosirea utilitatrului make.
FWTK are trei componente de baz:
- concepii de proiectare
- practici de configurare i strategii de verificare
- componente software.
Cteva dintre componentele soft sunt urmtoarele:
1 SMAP/SMAPT pentru serverul de pot electronic. El ajut la implementarea
serviciului SMTP. SMAP accept mesaje venite din reea pe care le scrie ntr-un
director propriu fr a permite accesul la restul sistemului de fiiere. Fiierele
create n acest director sunt blocate pn se ncarc n intregime. Ulterior se
deblocheaz i permite smapd-ului s acioneze asupra sa. Smapd-ul este un
program care inspecteaz coada, scoate fiierele i le trimite destinatarului prin
sendmail.
2 FTP-GW este un server proxy pentru ftp care poate efectua operaii de tipul logare,
interzicere, autentificare etc. Pentru autentificare sunt recunoscute mai multe
protocoale: SecurID produs de Security Dynamics, SNK produs de Digital Patways,
Silver Card etc.
3 TELNET-GW este un server proxy pentru telnet folosit la conectarea utilitzatorului
la sistem.
4 PLUG-GW este un server proxy generic care suport o gam restrns de
protocoale i utilizatori. El examineaz adresa de la care s-a iniiat conexiunea i
portul pe care a primit-o i crteaz o nou conexiune la un alt sistem gazd pe
acelai port.

5 Mecanismele de autentificare avansate

Cartelele inteligente, jetoanele de autentificare, tehnicile biometrice,

sunt din ce n ce mai folosite n locul parolelor pentru autentificarea entitilor care
auu acces la informaii vehiculate sau stocate n reele. Deoarece firewall-ul este
locul fizic care concentreaz accesul ntr-o reea, acesta este , n mod loigic, i locul
n care se afl hardwer-ul i software-ul pentru autentificare.
Printre macanismele avansate de autentificare de actualitate sunt parolele de
unic folosion i cartelele inteligente.
Sistemele cu parolele de unic folosin conin o tabel de parole n care se intr
la fiecare cerere de acces la resursele de reea, se valideaz individual intrarea n
tabel iar parolele se genereaz individual pe baza unui algoritm.
Cartelele inteligente se bazeaz pe mecanismul numit rspuns la provocare
care funcioneaz astfel :
-

utilizatorul introduce un nume de logare

sistemul genereaz un numr aleator (porvocare) i l trimite
utilizatorului
utilizatorul cripteaz acest numr cu o cheie cunoscut de sistem i
trimite rezultatul
sistemul cripteaz i el acel numr aleator cu aceeai cheie i compar
rezultatele. n caz de coinciden solicitantul este acceptat n sistem.