Securitatea-retelelor

Mod Coala N Document Semnat Data
Coala
CUPRINS
Introducere....................................................................................... 4
2. Vulnerabilitatea reelelor.......................................................................... 4
3. Categorii de atacuri asupra reelelor......................................................... 5
4. Atacurile posibile.....................................................................................
5. Ni!ele" principii" politici #i mecanisme de securitate............................... $
. Securitatea %n Internet............................................................................... &&
'. (e)nici de securitate %n reele................................................................... &3
'.& Ser!ere de autenti*icare +erberos............................................................ &3
'.2 Standardul de po#t, electronic, cu *acilit,i de securitate -./M0............ &4
'.3 .1. -.rett2 1ood .ri!ac20...................................................................... &
'.4 Criptarea datetor....................................................................................... &'
$. Securitatea prin *ire3all........................................................................... 2&
$.& A!anta4ele unui *ire3all........................................................................... 22
$.2 De5a!anta4ele unui *ire3all...................................................................... 23
$.3 Componentele unui *ire3all..................................................................... 24
$.4 Implementarea securit,ii prin *ire3all.................................................... 25
$.5 6iltrarea pac)etelor................................................................................... 2
$. 7eguli de *iltrare a pac)etelor.................................................................. 2$
$.' .rocurarea unui *ire3all........................................................................... 28
8 Mecanismele de autenti*icare a!ansate.................................................... 39
Conclu5ie :............................................................................................. 3&
;ibliogra*ie............................................................................................... 32
7ecen5ie................................................................................................... 33
3
Coala
Introducere
Securitatea in*ormatic, este o problem, !ital, pentru toi utili5atorii de internet"
*ie c, sunt *urni5ori de ser!icii *ie c, sunt utili5atori. Ne!oia tot mai mare de
comunicare" pe de o parte #i ne!oia de protecie #i securitate a in*ormaiilor pe de alt,
parte sunt dou, cerine di*erite #i c)iar opuse care trebuie asigurate %n reelele #i
sistemele in*ormatice. <n condiiile %n care milioane de cet,eni *olosesc %n mod curent
reelele de comunicaii #i calculatoare pentru operaiuni bancare" cump,r,turi" plata
ta=elor #i ser!iciilor etc. problema securit,ii este de ma=im, importan,. Au ap,rut
multe organi5aii #i organisme internaionale care se ocup, de cele mai di!erse aspecte
ale securit,ii in*ormaionale" de la aspectele legislati!e" la cele organi5atorice"
procedurale #i *uncionale.
Securitatea este un subiect !ast #i ocup, o multitudine de imper*eciuni.
Ma4oritatea problemelor de securitate sunt cau5ate intenionat de persoane r,u!oitoare
care %ncearc, s, obin, bene*icii" s, culeag, in*ormaii dar #i s, pro!oace r,u.
2. Vulnerabilitatea reelelor
> reea de calculatoare este o structur, desc)is, la care se pot conecta permanent
noi utili5atori #i noi tipuri de ec)ipamente -terminale" calculatoare0 ceea ce l,rge#te
necontenit cercul de utili5atori care au acces la resursele acesteia -programe" *i#iere"
ba5e de date0. Vulnerabilitatea se mani*est, pe dou, planuri? atacul la integritatea *i5ic,
a in*ormaiilor -distrugere" modi*icare0 #i *olosirea neautori5at, a in*ormaiilor
-scurgerea de in*ormaii0. 7e*eritor la securitatea %n in*ormatic, trebuie a!ute %n !edere
dou, aspecte?
&. Integritatea resurselor unei reele" adic, disponibilitatea lor indi*erent de
de*ectele de *uncionare )ard sau so*t care pot ap,rea" inclusi! deterior,rile sau
sustragerile r,u!oitoare.
2. Caracterul privat al informaiei" adic, dreptul indi!idual de a dispune ce
in*ormaie poate *i stocat, #i !e)iculat, %n reea #i cine are dreptul s, o accese5e.
> reea sigur, este acea reea %n ale c,rui componente -resurse" operaii0 se poate
a!ea %ncredere" adic, *urni5ea5, ser!icii de calitate #i corecte" con*orm cerinelor #i
4
Coala
speci*icaiilor. Securitatea #i caracterul pri!at trebuie s, *ie obiectul unor anali5e atente
#i responsabile din nurm,toarele moti!e?
@ reelele sunt sisteme mari sau *oarte mari" de arie #i comple=itate considerabile.
.enetrarea reelelor #i atacurile r,u!oitoare se pot *ace %n multe locuri #i modalit,i
neb,nuite" greu depistabile.
@ in*ormaia este !ulnerabil, la atac %n orice punct al reelei" de la introducere sa p%n, la
utili5atorul *inal.
@ reelele de calculatoare sunt o component, tot mai pre5ent, %n !iaa economic,"
social," indi!idual," de *uncionarea lor corect, depin5%nd acti!itatea gu!ernamental,"
comercial," industrial, #i c)iar indi!idual,.
@ tot mai multe in*ormaii memorate %n *i#iere separate pot *i corelate" sinteti5ate"
prelucrate prin intermediul reelelor sporind posibilele consecinele ne*aste asupra
caracterului pri!at al acesora.
3. Categorii de atacuri asupra reelelor
<n a*ara ca5urilor de *or, ma4or, produse de calamit,i naturale" de5astre" c,deri de
ec)ipamente etc pentru care m,surile de securitate pere!,d sal!,ri #i copii de re5er!,"
dublarea ec)ipamentelor" te)nici de autorestabilire etc. %n ca5ul atacurilor !oite se
disting dou, categorii principale?
@ atacuri pasi!eA
@ atacuri acti!e.
tacurile pasive sunt acele atacuri %n care intrusul obser!, in*ormaia care trece prin
canal" *,r, s, inter*ere5e cu *lu=ul sau coninutul mesa4elor. Se *ace doar anali5a
tra*icului" descoperirea identit,ii entit,ilor care comunic," descoper, lungimea #i
*rec!ena mesa4elor c)iar dac, coninutul acestora r,m%ne ascuns. Aceste atacuri nu
cau5eau5, pagube #i nu %ncalc, regulile de con*idenialitate. Scopul lor este de a asculta
datele care sunt !e)iculate prin reea.
tacurile active sunt acelea %n care intrusul se anga4ea5, %n *urtul mesa4elor"
modi*icarea lor" #tergerea" rularea" sc)imbarea coninutului sau a adreselor"
redirecionarea" substituirea" re*u5ul unui ser!iciu" repudierea etc. Acestea sunt serioase"
5
Coala
cau5ea5, pre4udicii mari #i consecine 4uridice. (ot %n categoria atacurilor acti!e intr, #i
programele create cu scop distructi! care a*ectea5, serios" uneori catastro*al" securitatea
calculatoarelor #i a in*ormaiilor. <n aceast, categorie intr,? !iru#ii" bombele logice"
!iermii" trapele" programele tip cal troian" etc.
!. tacurile posibile
tacuri interne
Multe atacuri pri!ind securitatea reelei pro!in din interiorul ei. Ba atacurile
interne se re*er, *urt de parole -care pot *i utli5ate sau !%ndute0" spiona4 industrial"
anga4ai nemulumii care tind de a cau5a daune anga4atorului" sau simpla utili5are
necorespun5,toare. Ma4oritatea acestor %nc,lc,ri pot *i soluionate cu a4utorul o*ierului
de securitate a companiei" care monitori5ea5, acti!itatea utili5atorilor reelei.
Puncte de acces nesecuri"ate
Aceste puncte de acces nesecuri5ate *,r, *ir sunt *oarte slabe %mpotri!a atacurilor
din e=terior. /le des sunt pre5entate pe comunit,ile locale ale )aCerilor. .unctul slab
este c, orice persoan, poate conecta un ruter *,r, *ir ceea ce ar putea da acces
neautori5at la o reea prote4at,.
#ac$ %oors
Comen5i rapide administrati!e" erori de con*igurare" parole u#or desci*rabile pot
*i utili5ate de c,tre )acCeri pentru a a!ea acces. Cu a4utorul c,ut,torilor computeri5ai
-bots0" )acCerii pot g,si punctul slab al reelei.
%enial of Service &%oS 'i %%oS(
Sni**ing #i spoo*ing

Coala
Dn atac cibernetic de tip DoS -Denial of Service0 sau DDoS -Distributed Denial
of service0 este o %ncercare de a *ace ca resursele unui calculator s, de!in, indisponibile
utili5atorilor. De#i mi4loacele #i obiecti!ele de a e*ectua acest atac sunt !ariabile" %n
general el const, %n e*orturile concentrate ale unei" sau ale mai multor persoane de a
%mpiedica un sit sau ser!iciu Internet s, *uncione5e e*icient" temporar sau nelimitat.
Iniiatorii acestor atacuri intesc de obicei la situri sau ser!icii g,5duite pe ser!ere de
ni!el %nalt" cum ar *i b,ncile" gateway@uri pentru pl,i prin carduri de credite" #i c)iar
ser!ere %ntregi.
)ac$ers* Crac$ers* Script +iddies
)ac$erii Cu!%ntul )acCer %n sine are o mulime de interpret,ri. .entru muli" ei
repre5int, programatori #i utili5atori cu cuno#tinte a!ansate de calculator care %ncearc,
prin di*erite mi4loace s, obin, controlul sistemelor din internet" *ie ele simple .C@uri
sau ser!ere. Se re*er, de asemeni la persoanele care rulea5, di*erite programe pentru a
bloca sau %ncetini accesul unui mare num,r de utili5atori" distrug sau #terg datele de pe
ser!ere. EacCer are #i o interpretare po5iti!," descriind pro*esionistul %n reele de
calculatoare care@#i utili5ea5, aptitudinile %n programarea calculatoarelor pentru a
descoperi reele !ulnerabile la atacuri de securitate. Aciunea %n sine" aceea de )acCing e
pri!it, ca cea care impulsionea5, cercetarea %n acest domeniu.
Crac$erii sunt ni#te persoane care au un )obb2 de a sparge parole #i de a
de5!olta programe #i !irusuri de tip calul troian -en?(ro4an Eorse0" numite Fare5. De
obicei ei *olosesc programele pentru u5 propriu sau pentru a le reali5a pentru pro*it.
Script $iddies sunt persoane care nu au cuno#tine sau aptitudini despre
penetrarea unui sistem ei doar descarc, programe de tip Fare5 pe care apoi le lansea5,
cu scopul de a produce pagube imense. Alte persoane sunt anga4ai nemulumii"
terori#ti" cooperati!ele politice.
Viru'i 'i viermi
Viru#ii #i !iermii repre5int, programe care au proprietatea de a se automultiplica
sau *ragmente de cod care se ata#ea5, de alte programe -!iru#i0 sau calculatoare
-!iermii0. Viru#ii de obicei stau %n calculatoarele ga5d," pe c%nd !iermii tind s, se
multiplice #i s, se e=tind, prin intermediul reelei.
'
Coala
,ro-an )orse
Acest !irus este principala cau5, a tuturor atacurilor a sistemelor in*ormaionale.
Calul (roian se ata#ea5, de alte programe. C%nd se descarc, un *i#ier care este in*ectat
cu acest !irus el in*ectea5, sistemul" unde o*er, )aCerilor acces de la distan, unde ei
pot manipula cu sistemul.
#otnets
<ndat, ce un calculator -sau probabil mai multe calculatoare0 au *ost compromise
de un (roian" )acCerul are acces la aceste calculatoare in*ectate" unde de aici el poate
lansa atacuri cum ar *i DDoS -Distribuited Denial o* Ser!ice0.
1rupa de calculatoare care sunt sub controlul )aCerului se numesc botnets.
Cu!%ntul botnet pro!ine de la robot" aceasta %nsemn%nd c, calculatoarele %ndeplinesc
comen5ile proprietarului lor #i reeaua %nsemn%nd mai multe calculatoare coordonate.
Sniffing.Spoofing
Sni**ing se re*er, la actul de interceptare a pac)etelor (C. -(ransmission Control
.rotocol0. Spoo*ing se re*er, la actul de trimitere nelegitim, a unui pacCet de a#teptare
AC+.
/. Nivele* principii* politici 'i mecanisme de securitate
Modelul de securitate %n reele pre!ede protecia pe mai multe ni!ele care
%ncon4oar, obiectul prote4at.
Dn prim ni!el necesar este securitatea fi"ic0 care const," %n general" %ncuierea
ec)ipamentelor" plasare a lor %n camere speciale *erite de *oc" distrugere *i5ic, *ie
intenionat, *ie nu. /ste o m,sur, aplicabil, tuturor sistemelor de calcul dar mai puin
posibil, %n ca5ul reelelor" mai ales cele de arie medie sau mare.
Cel,lalt ni!el se re*er, la securitatea logic0 #i cuprinde acele metode de control a
accesului la resursele #i ser!iciile sistemului.
Au *ost stabilite #i unanim acceptate linii directoare #i principii pri!ind securitatea
sistemelor in*ormatice care trebuiesc respectate de c,tre toate entit,ile care produc"
li!rea5," instalea5, #i e=ploatea5, sisteme in*ormatice.
&. Principiul responsabilit0ii care impune stabilirea clar, a responsabilit,ilor
$
Coala
re*eritoare la securitate pe care le au proprietarii" *urni5orii" administratorii #i
utili5atorii sistemelor in*ormatice.
2. Principiul sensibili"0rii con*orm c,ruia toate persoanele interesate asupra
acestui aspect trebuie corect #i oportun in*ormate.
3. Principiul eticii care impune elaborarea unor reguli de conduit, %n utili5area
SI.
4. Principiul pluridisciplinarit0ii con*orm c,ruia metodele te)nice #i
organoi5atorice care trebuie luate %n !ederea securit,ii SI au caracter
multidiscilpilinar #i cooperant.
5. Principiul proporionalit0ii care cere ca ni!elul de securitate #i m,surile de
protecie s, *ie proporional cu importana in*ormaiilor gestionate.
. Principiul integr0rii con*orm c,ruia securitatea este necesar, %n toate staiile
de prelucrare a in*ormaiilor -creare" colectare" prelucrare" stocare" transport"
#tergere" etc.0.
'. Principiul oportunit0ii con*orm c,ruia mecanismele de securitate s,
r,spund, prompt #i s, permit, o colaborare rapid, #i e*icient, %n ca5 de
detectare a tentati!elor de corupere a mecanismelor de securitate.
$. Principiul reevalu0rii* care cere re!i5uirea periodic, a cerinelor de securitate
#i a mecanismelor de implementare a lor.
8. Principiul democraiei* con*orm c,ruia cerinele de protecie #i securitate s,
nu limite5e ne4usti*icat libera circulaie a in*ormaiilor" con*orm principiilor
care gu!ernea5, societ,ile democratice.
M,surile de securitate care trebuie luate se pot clasi*ica %n ?
@ .rocedurale -utili5are de parole cu sc)imbarea lor periodic," instruirea
personalului"
@ Bogice -criptare" control acces" ascundere in*ormaii0
@ 6i5ice -blocare acces" camere speciale" ecranare electromagnetic," etc.0.
6iecare organi5aie care gestionea5, in*ormaii sensibile -!ulnerabile0 trebuie s,@
#i de*ineasc, o politic0 de securitate care trebuie s, g,seasc, soluii urm,toarelor
probleme ?
8
Coala
@ ce amenin,ri e=ist," de ce natur, sunt" care se pot elimina #i care nuA
@ ce resurse pot *i prote4ate #i la ce ni!elA
@ cu ce mi4loace se poate asigura securitatea
@ ce cost, introducerea" meninerea #i actuali5area mecanismelor de securitate.
.olitica de securitate se implementea5, prin servicii de securitate au ca scop
reducerea !ulnerabilit,ii in*ormaiilor #i resurselor care poate duce la pierderea
acestora" deteriorarea sau a4ungerea acestora %n posesia unor persoane neautori5ate.
6iecare ser!iciu de securitate se poate implementa prin unul sau mai multe mecanisme
de securitate" care" la r%ndul lor" cuprind o serie de acti!it,i.
Ar)itectura de securitate speci*ic, sistemelor desc)ise interconectate cuprind 5
elemente ma4ore ?
1 De*inirea ser!iciilor de securitate A
1 De*inirea mecanismelor de securitate A
1 Descrierea principiilor de securitate pe ni!eleA
1 Implementarea ser!iciilor de securitate pe ni!ele A
1 7eali5area mecanismelor de securitate prin *olosirea ser!iciilor de securitate
Ser!iciile de securitate de*inite de IS. sunt? autenti*icarea" con*idenialitatea"
controlul accesului" intergritatea #i ne@repudierea.
Mecanismele de securitate sunt *olosite indi!idual sau colecti! pentru construirea
ser!iciilor de securitate.
1. Criptarea trans*orm, datele de la entitatea surs, %ntr@o manier, unic, ast*el
%nc%t s, nu poat, *i cunoscut, semni*icaia lor dec%t %n urma unei trans*orm,ri
in!erse perec)e" numit, decriptare. /ste *olosit, %n special pentru
implementarea ser!iciului de con*idenialitate.
2. Semn0tura digital0 d, sigurana c, datele *urni5ate au *ost produse c)iar de
c,tre semnatar. Mecanismul este *olosit de c,tre ser!iciul de integritate #i
nonrepudiere. Ba r%ndul s,u se ba5ea5, pe dou, proceduri?
@ procedura semn,rii unui bloc de date
@ procedura !eri*ic,rii semn,turii
&9
Coala
3. Controlul accesului la resursele din Internet presupune recunoa#terea
identit,ii solicitantului %n ba5a unei %nregistr,ri prealabile #i posibilitatea
!alid,rii sau in!alid,rii cererii. (entati!ele de acces neautori5at trebuie
semnalale prin di!erse modalit,i. Ca te)nici de control a accesului se pot
*olosi ? liste de acces" parole" etic)ete de securitate" limitarea timpului de
acces" limitarea num,rului de %ncerc,ri de acces" calea de acces etc.
4. utentificarea permite identi*icarea reciproc, a entit,ilor corespondente.
5. Notari"area presupune *olosirea unei a treia entit,i numit, notar" %n care
toate p,rile au %ncredere deplin," care o*er, garanie pri!ind originea"
destinaia" integritatea #i con*idenialitatea in*ormaiilor.
2. Securitatea 3n Internet
Securitatea 3n Internet se poate reali5a pe mai multe ni!ele #i subni!ele"
indi!idual sau combinat pentru a reali5a un grad de protecie cerut.
Securitatea la nivel fi"ic
Ser!iciile de securitate la ni!el *i5ic asigur, o protecie punct la punct pe canalul
*i5ic de leg,tur," %ntre entit,ile care comunic," *ie c, sunt sisteme *inale" *ie
intermediare. A!anta4ul ma4or al securit,ii pe acest ni!el este independena de
protocoalele implementate pe ni!elele suprerioare. De5a!anta4ul const, %n dependena
de te)nologia de comunicaie *olosit, la ni!el *i5ic -tipuri de inter*ee" rate de
transmisie" probleme de sincroni5are etc.0. Aici se reali5ea5, de regul, con*idenialitatea
tra*icului #i securi5area circuitului orientat pe cone=iune.
Securitatea la nivel leg0tur0 de date
Ser!iciile de securitate la ni!el leg,tur, de date sunt tot de tipul punct la punct.
Ni!elul de securitate este %nc, redus" determinat %n principal de *acilit,ile de detecie #i
e!entual corecie a erorilor" de sec!eniere a transmisiei %n *uncie de caracteristicile
canalului. Criptarea la ni!el 2 nu este recomandat, deoarece o*er, mult, in*ormaie unui
ad!ersar care interceptea5, pac)ete" c%mpurile de control *iind %n clar. .rincipalul
de5a!anta4 al cript,rii la acest ni!el este c, datele sunt memorate %n clar %n *iecare nod
&&
Coala
intermediar #i o*er, *acilit,i de atac multiple r,u!oitorilor.
Serviciile de securitate la nivel reea pot *i reali5ate at%t %ntre sistemele *inale c%t
#i %ntre sisteme *inale #i rutere sau %ntre dou, rutere. De la acest ni!el ele %ncep s,
de!in, dependente de protocoalele *olosite pe ni!elele superioare. /ste posibil,
securi5area unei anumite rute din reea -de e=emplu criptarea datelor de pe acea rut, #i
transmisia %n clar pe alte rute0. Dnele pac)ete care trec printr@un nod intermediar -ruter0
sunt criptate" altele nu" %n *uncie de rut,. Antetul de ni!el reea al pac)etelor nu este
criptat" ceea ce *ace ca s, se asigure numai integritatea #i con*idenialitatea datelor
transmise" nu #i a tra*icului.
Serviciile de securitate la nivel transport
Ni!elul transport o*er, mai multe ser!icii de securitate #i mai complete?
con*idenialitatea -orientat, sau nu pe cone=iune0" integritatea" autenti*icarea originii
datelor" autenti*icarea entit,ilor perec)e" controlul accesului. Deoarece ni!elul transport
asigur, ser!icii de trans*er de date %ntre surs, #i destinaie" adic, %ntre utili5atori *inali"
#i ser!iciile de securitate au acela#i caracter.
Ni!elele sesiune #i pre5entare nu au re*eriri pri!itoare la implementarea de
ser!icii de securitate" de#i con*idenialitatea prin criptare sau altele -autenti*icarea etc.0
pot *i e!ident reali5abile.
Nivelul aplicaie asigur, implementarea tuturor ser!iciilor de securitate" ba mai
mult c)iar" unele" de e=emplu" nerepudierea mesa4elor poate *i reali5at, numai la acest
ni!el. A!anta4ul ma4or al asigur,rii securit,ii la acest ni!el este independena de
sistemele de operare #i de protocoalele utili5ate pe ni!elele in*erioare. <n sc)imb" trebuie
menionat c, la acest ni!el securitatea este dependent, de aplicaie -trebuie
implementat, indi!idual pentru *iecare aplicaie0.
Aplicaiile de ba5, ale Internetului -6(." SM(." (/BN/(" E((." DNS" .>."
FFF etc.0 rulea5, pe ser!ere" ele repre5ent%nd ade!,rate pori prin care utili5atorii din
lumea e=terioar, pot accesa in*ormaii de pe un calculator pri!at. 6iecare ser!er trebuie
s, aib, urm,toarele *acilit,i?
S, determine ce in*ormaie sau aciune este cerut, de clientA
S, decid, dac, acesta are dreptul s, accese5e in*ormaia" utili5%nd e!entual o
&2
Coala
procedur, de autenti*icare -persoan, sau program0A
S, trans*ere in*ormaia cerut, sau s, e=ecute programul cerut.
.rotecia ser!erelor se poate *ace prin mai multe m,suri cum ar *i?
Autenti*icarea sigur, a clienilor prin parole sau protocoale criptogra*ice -cum ar
*i +erberos0A*olosirea unui *ire3all care s, separe reeaua intern, de lumea
e=terioar,A
Separarea *i5ic, a reelei interne de cea e=tern,. Accesul la reeaua e=tern,
-Internet" FFF" etc.0 se *ace prin staii separate.
Crearea unei reele separate pentru datele con*idenialeA
De5acti!area tuturor ser!iciilor inutile #i prote4area lor prin programe de tip
3rapper.
4. ,e5nici de securitate 3n reele
4.6 Servere de autentificare +erberos
+erberos este la ora actual, cel mai puternic #i mai *olosit ser!iciu de autenti*icare
din lume. /l permite utili5atorilor s, comunice %n reea pentru a@#i de5!,lui identitatea #i
pentru a se autenti*ica %n timp real" %ntr@un mediu distribuit nesecuri5at. /ste un ser!iciu
de autenti*icare #i nu de autori5are" %n care parolele sunt *olosite drept c)ei #i nu sunt
nici o dat, transmise %n clar prin reea.
+erberos este *olosit de protocoalele de ni!el aplicaie -*tp" telnet etc.0 pentru a
asigura securitatea comunicaiilor cu ga5da. /l are dou, obiecti!e principale?
autenti*icarea #i distribuia c)eilor #i *urni5ea5, urm,toarele ser!icii?
1 autenti*icarea mutual, #i comunicaie sigur, %ntre dou, entit,i ale unei reele
desc)iseA
1 distribuie c)ei secrete o*erind macanisme pentru trans*erul siugur al acestora
prin reeaA
1 indenti*icarea sigur, a utili5atorilor indi!iduali care apelea5, ser!icii de pe
calculatoarele ga5d,.
&3
Coala
+erberos este utili5at %n SDA" o !ariant, similar, de5!oltat, %n /uropa" compatibil,
cu acesta este S/SAM/.
.rotocolul de autenti*icare +erberos *olose#te o a treia entitate -ter de %ncredere0
care *urni5ea5, tic)ete de identi*icare #i c)ei criptogra*ice c,tre utili5atori sau aplicaii.
Dn tic)et este un bloc de c%te!a sute de octei care poate *i *olosit %n aproape orice
protocol de reea.
.rotocolul +erberos conine urm,toarele entit,i?
1 Ser!erul de autenti*icare +erberos
1 /ntitatea de acordare a tic)etului
1 Clientul C care trebuie autenti*icat pentru a i se acorda acces la ser!iciul
*urni5at de ser!erul S
1 Ser!erul S la care cere acces din partea clientului.
4.2 Standardul de po't0 electronic0 cu facilit0i de securitate
.o#ta electronic, este unul dintre cele mai r,sp%ndite ser!icii pe Internet *olosit de
milioane de utili5atori. Ca urmare au *ost de5!oltate aplicaii de securitate speci*ice
acestui ser!iciu cum ar *i ./M .ri!ac2/n)anced Mail care o*er, urm,toareler *acilit,i?
1 con*idenialitatea -secreti5area0 mesa4elorA
1 autenti*icarea originii mesa4elor
1 integritatea leg,turii %n reea
&4
Ser!er
+erberos
Ser!er de tic)ete -S(0
Ser!er
-S0
Client
-C0
&
2
3
4 5
.rotocolul der autenti*icare +erberos

Coala
1 nerepudierea leg,turii prin do!edirea originii.
Con*idenialitatea prote4ea5, coninutul mesa4elor %mpotri!a citirii lor
neautori5ate de c,tre alte persoane dec%t cele autori5ate speci*icate de emitent. Accesul
nedorit la mesa4e se poate *ace *ie prin inteceptatrea comunicaiei din linia de
transmisie" *ie prin accesul la cutia po#tal, care de *apt este o locaie pe un )ard disC sau
un alt mi4loc de stocare. <n aceste situaii protecia se *ace prin criptarea mesa4elor.
Autenti*icarea originii mesa4elor permite receptorului unui mesa4 prin po#t,
electronic, s, determine %n mod sigur identitatea emi,torului. /ste un ser!iciu *oarte
necesar asigur,rii credibilit,ii po#tei electronice at%t de r,sp%ndit, #i de util, %n pre5ent.
Integritatea leg,turii *urni5ea5, receptorului sigurana c, mesa4ul primit este
identic cu cel emis la origine" c, nu a *ost %nlocuit pe traseu cu altul sau nu a *ost
modi*icat c)iar #i parial. De regul," autenti*icarea #i integritatea sunt ser!icii care se
*olosesc %mpreun,.
Nerepudierea mesa4elor %mpiedic, transmi,torul s, nu recunoasc, *aptul c, el #i
numai el a transmis mesa4ul %n discuie c)iar dac, el a trecut #i prin intermediari.
Dtilitatea ser!iciului de nerepudiere este e!ident, %n situaia transmiterii unor ordine"
deci5ii" dispo5iii etc. cu caracter imperati! si care pot genera consecine ma4ore unele
c)iar cu caracter 4uridic.
Implementarea ser!iciilor de securitate %n con*ormitate cu standardul ./M se
poate *ace peste in*rastructura de po#t, electronic, e=istent,. /=ist, dou, !ariante de
integrare?
&0 cu includerea *unciilor de securitate %n agentul utili5ator -DA0 cu a!anta4ul
obinerii unei inter*ee mai bune cu utili5atorul.
20 *,r, modi*icare agentului utili5ator prin reali5area unui *iltru de securi5are a
mesa4elor %n e=teriorul DA.
.entru a putea asigura ser!iciile de securitate" ./M *olose#te o !arietate de
algoritmi criptogra*ici necesari ci*r,rii mesa4elor" distribuirii c)eilor" !eri*ic,rii
integrit,ii mesa4elor sau autenti*ic,rii. ./M *olose#te sisteme simetrice #i nesimetrice
pentru ci*rarea mesa4elor" integritate #i autenti*icare. <n ca5ul sistemelor simetrice c)eia
de ci*rare este identic, cu cea de desci*rare #i ca urmare ele trebuie s, *ie secrete #i
&5
Coala
distribuite utili5atorilor pe canale sigure" pe ba5a unui sistem de management al c)eilor.
.relucrarea uneu scrisori ./M se *ace dup, un algoritm. > scrisoare este *ormat,
din 2 5one ? antetul mesa4ului #i coninutul mesa4ului. Datele din antet trec de regul,
nemodi*icate prin prelucr,rile ./M. Coninutul scrisorii care *ace obiectul prelucr,rii
este %ncadrat de unul sau mai multe antete ./M Gdelimitatori ./M care implemetea5,
ser!iciile de securitate *olosite. .a#ii %n care se *ace prelucrarea ./M sunt de regul,
urm,torii?
&0 Aducerea la *orma canonic," adic, o *orm, standard speci*ic, reelei. (ipul
de canoni5are este speci*icat %n c%mpul Content Domain din antetul ./M.
20 Calculul !alorii de integritate a mesa4ului -MIC@ Message Integrit2 Code0
30 Ci*rarea -opional,0 dac, se consider, necesar, se *ace o singur, dat,
indi*erent de c%i destinatari %l !or primi" *olosind o te)nic, de criptare
acceptat," *,r, a *i impus, una anume.
40 Codi*icarea %n !ederea transmisiei are rolul de a con!erti mesa4ele de tip
MIC >NBH #i /NC7I.(/D care sunt #iruri oarecare de bii %n caractere
care pot *i transmise %n sistemele de transport al mesa4elor.
4.3 P7P &Prett8 7ood Privac8(
/ste un pac)et de programme destinat po#tei electronice #i a *i#ierelor proprii prin
ci*rare clasic, cu c)ei publice care poate *unciona pe di*erite plat*orme -Findo3s"
DNII" etrc.0. .1. poate asigura urm,toarele *acilit,i ?
1 criptarea *i#ierelor *olosind algoritmi simetrici sau nesimetrici A
1 crearea de c)ei publice sau secrete *olosite la criptareA
1 gestionarea c)eilor prin crearea #i %ntreinerea unei ba5e de date destinate
acestui scop A
1 transmiterea #i recepionarea de mesa4e criptate prin e@mail A
1 *olosirea semn,turilor digitale A
1 certi*icarea c)eilor -semnarea electronic, a c)eilor0 A
1 re!ocarea" de5acti!area #i p,strarea c)eilor cu posibilitatea de5acti!,rii"
re!oc,rii #i sc)imb,rii lor %n ca5 de atac ctiptogra*icA
&
Coala
1 con*igurarea dup, necesit,i a .1.@uluiA
1 *olosirea ser!er@elor de c)ei de pe Internet.
4.! Criptarea datetor
A!%nd %n !edere *aptul c, transmisia de date %n Internet este neprote4at," a ap,rut
necesitatea de5!olt,rii te)nicilor de criptare %n direcia automati5,rii acestora si a
implement,rii lor %n reele de calculatoare. Ast*el" utili5area unor algoritmi pentru
criptarea in*ormaiilor transmise !a de!eni principalul mi4loc de re5ol!are a problemelor
de interceptare %n reele.
<n descrierea unei transmisii de date prin reea se obi#nuie#te s, se numeasc,
generic Jmesa4J un ansamblu de date trimis de un Jemi,torJ unui JreceptorJ. .rintr@o
metod, de criptare" mesa4ele !or *i trans*ormate" pe ba5a unei c)ei de criptare" ast*el
%nc%t s, poat, *i %nelese doar de destinatar.
Dnul din principiile mai recent ap,rute %n criptanali5, const, %n utili5area unei
alte c)ei pentru decodi*icarea mesa4ului dec%t cea *olosit, la codi*icareA aceast, te)nic,
este mai e*icient, dar complic, puin procedeul general #i de aceea se pre*er, c%nd
criptarea G decriptarea se reali5ea5, automat. /!ident" dimensiunea unei c)ei de criptare
-e=primate %n general %n bii0 este o m,sur, a ni!elului de securitate dat de acea c)eie" ea
indic%nd re5istenta mesa4ului ci*rat la %ncerc,rile de desci*rare de c,tre cine!a care nu
deine c)eia de desci*rare potri!it,.
.rincipiile de criptare din algoritmii cu c)eie secret, au e!oluat odat, cu apariia
calculatoarelorA ele continu, %ns, s, se ba5e5e pe metodele tradiionale" cum ar *i
transpo5iia #i substituia. Algoritmii cu c)eie secret, sunt caracteri5ai de *aptul c,
*olosesc aceea#i c)eie at%t %n procesul de criptare" c%t #i %n cel de decriptare -!e5i *igura
de mai 4os0. Din acest moti!" ace#ti algoritmi mai sunt cunoscui sub numele de
algoritmi simetriciA pentru aplicarea lor este necesar ca %naintea codi*ic,rii G
decodi*ic,rii" at%t emi,torul c%t #i receptorul s, posede de4a c)eia respecti!,. <n mod
e!ident" c)eia care caracteri5ea5, ace#ti algoritmi trebuie s, *ie secret,.
&'
Coala
Schema de aplicare a unui algoritm simetric
.rincipalul de5a!anta4 al algoritmilor simetrici const, %n *aptul c, impun un
sc)imb de c)ei pri!ate %nainte de a se %ncepe transmisia de date. Alt*el spus" pentru a
putea *i utili5ai" este necesar un canal cu transmisie prote4at, pentru a putea *i transmise
c)eile de criptare G decriptare.
Dlterior" !or ap,rea si algoritmi cu c)eie public," caracteri5ai prin *aptul c,
criptarea si decriptarea *olosesc c)ei di*erite -!e5i *igura de mai 4os0. Aceast,
caracteristic, a dat algoritmilor cu c)eie public, si numele de algoritmi asimetrici. <n
acest ca5" una dintre c)ei poate *i public, -general cunoscut, @ poate *i distribuit, oricui0
iar cealalt, !a trebui s, *ie pri!at, G secret, -cunoscut, doar de cel care o *olose#te0.
6iecare dintre aceste c)ei poate cripta mesa4ul" dar un mesa4 criptat cu o anumit, c)eie
nu poate *i decriptat dec%t cu c)eia sa perec)e.
Ast*el" %n ca5ul utili5,rii unui algoritm asimetric %n comunicarea dintre un
emi,tor #i un receptor" *iecare dintre ace#tia !a deine c%te o perec)e de c)ei @ public, #i
pri!at,. /mi,torul poate cripta mesa4ul cu c)eia public, a receptorului" ast*el %nc%t doar
acesta s, poat, decripta mesa4ul cu c)eia sa pri!at,. <n ca5ul unui r,spuns" receptorul !a
utili5a c)eia public, a emi,torului ast*el %nc%t decriptarea s, se poat, *ace e=clusi! de
c,tre emi,tor -cu c)eia sa perec)e" pri!at,0.
C)eile algoritmilor asimetrici sunt obinute pe ba5a unei *ormule matematice din
algebra numerelor mari" pentru numere prime %ntre ele" iar din !aloarea unei c)ei nu
poate *i dedus, !aloarea c)eii asociate. 7emarc,m *aptul c, aplicarea %n in*ormatic, a
calculelor modulo numere prime s@a do!edit e=trem de bene*ic, pentru multi algoritmi
moderni.
&$
Coala
Schema de aplicare a unui algoritm asimetric
(radiional" criptogra*ii *oloseau algoritmi simpli asociai cu c)ei de securitate
*oarte lungi. A5i se urm,re#te crearea unor algoritmi de criptare at%t de complec#i %nc%t
s, *ie practic ire!ersibili" c)iar dac, un criptanalist ac)i5iionea5, cantit,i *oarte mari
de te=t ci*rat.
> alt, caracteristic, a criptogra*iei moderne const, %n automati5area te)nicilor
clasice" prin *olosirea unor dispo5iti!e special concepute. (ranspo5iiile #i substituiile
!or *i implementate cu circuite simple" de !ite5, mare" care !or *i conectate %n cascad,
ast*el %nc%t dependenta ie#irii de intrare de!ine e=trem de complicat, si di*icil de
descoperit.
<n &8''" gu!ernul SDA a adoptat ca standard o*icial pentru in*ormaiile nesecrete
un ci*ru produs #i de5!oltat de I;M" numit D/S -Data /ncr2ption S2stem0" care a *ost
larg adoptat %n industrie. D/S este cel mai popular algoritm cu c)eie secret,A el continu,
s, stea la ba5a unor sisteme *olosite %n mod curent. D/S *olose#te -u5ual0 o c)eie de 5
de biiA aceasta a *ost %n cele din urm, adoptat, %n locul uneia de &2$ de bii" neagreat,
de NSA -National Securit2 Agenc20" agenia Jsp,rg,toare de coduri a gu!ernuluiJ" care
dorea supremaia %n domeniul criptogra*ic.
Din &8''" cercet,torii %n criptogra*ie au %ncercat s, proiecte5e ma#ini pentru a
sparge D/S. .rima asemenea ma#in, -&8''0 a *ost conceput, de Di**ie si Eellman" a!ea
ne!oie de mai putin de o 5i iar costul ei a *ost estimat la 29 de milioane de dolari. Dup,
aproape 2 decenii" costul unei ast*el de ma#ini a a4uns la & milion de dolari iar timpul
necesar spargerii codului a sc,5ut la 4 ore. Dlterior" s@au de5!oltat #i alte metode" cum
ar *i *olosirea unui cip D/S %ncorporat -loteria c)ine5easc,0.
&8
Coala
<n scopul decript,rii s@ar mai putea *olosi mecanisme so*t speci*ice -cum ar *i
algoritmul asimetric Di**ie@Eellman0 #i resursele libere ale unor calculatoare cu
destinaie uni!ersal,. Ast*el" s@a demonstrat c, rularea pe mai multe calculatoare a unor
programe distribuite de criptare -u5ual" pe un num,r mare de ma#ini" de ordinul miilor
sau c)iar 5ecilor de mii0 creste considerabil e*icienta procesului de decriptare.
Dn alt ci*ru renumit este ID/A -International Data /ncr2ption Algorit)m0"
reali5at de doi cercet,tori la .olite)nica 6ederal, din KLric) -/(EK0. Acest algoritm
*olose#te o c)eie de &2$ de bii #i este inspirat din metodele anterioare @ D/S #i cele
imaginate pentru spargerea D/S.
Dn alt algoritm per*ormant a *ost descoperit de un grup de cercet,tori de la MI( @
7onald 7i!est" Adi S)amir" Beonard Adelman @ #i s@a numit cu iniialele creatorilor lui?
7SA. Algoritmul de criptare 7SA *olose#te o c)eie public,.
Se obser!, c, utili5area unor ast*el de algoritmi de criptare a datelor asigur,
transmisii con*ideniale de date %n reele neprote4ate" re5ol!%nd problema intercept,rii.
De *apt" riscul de interceptare G modi*icare nu dispare cu totul" din cau5, c, orice mesa4
criptat poate *i %n general decriptat *,r, a deine c)eia corespun5,toare" dac, se dispune
de su*iciente resurse materiale #i de timp.
/!ident" dimensiuni !ariate ale c)eii asigur, di*erite grade de con*idenialitate iar
perioada de timp necesar, pentru decriptare poate *i pre!,5ut, %n *uncie de m,rimea
c)eii utili5ate. (otu#i" dac, procesul de decriptare este lent" este posibil ca %n momentul
%n care s@ar obine datele dorite" acestea s, nu mai *ie actuale sau utile.
(impul de decriptare depinde %n mod natural #i de puterea procesoarelor utili5ate
%n acest scop" ast*el %nc%t utili5area distribuit, a unui *oarte mare num,r de procesoare
poate duce la o mic#orare considerabil, a timpului necesar. Din acest moti!" pentru
transmisii de date %n care este necesar, o con*idenialitate stric, se utili5ea5, c)ei de
dimensiuni mult mai mari" c)iar pentru algoritmul D/S -de 25" 5&2" &924 #i c)iar 294$
sau 498 de bii0" #tiut *iind c, timpul necesar decript,rii cre#te e=ponenial cu
dimensiunea c)eii de criptare G decriptare.
.entru utili5atorii obi#nuii ai Internet@ului" cei mai con!enabili algoritmi de
criptare sunt cei cu c)eie public, *iindc, *olosirea lor nu implic, sc)imbul preliminar de
c)ei pe canale de transmisie prote4ate" ca %n ca5ul algoritmilor cu c)eie secret,. C)eia
29
Coala
public, poate *i distribuit, *,r, restricii pe intranet -reeaua local,0 sau Internet" iar
mesa4ele criptate cu aceast, c)eie de un emi,tor !or putea *i decriptate numai utili5%nd
c)eia pri!at," care este deinut, e=clusi! de c,tre destinatar. Ast*el" nici m,car
e=peditorul nu ar putea reali5a decriptarea mesa4ului trimis.
9. Securitatea prin fire:all
Dn *ire3al -5id de protecie" perete anti*oc0 este un sistem de protecie plasat %ntre dou,
reele care are urm,toarele propriet,i ?
1 oblig, tot tra*icul dintre cele dou, reele s, treac, prin el #i numai prin el"
pentru ambele sensuri de transmisie A
1 *iltrea5, tra*icul #i permite trecerea doar a celui autori5at prin politica de
securitate A
1 este el %nsu#i re5istent la %ncerc,rile de penetrare" ocolire" spagere e=ercitate
de di!er#i.
Dn *ire3all nu este un simplu ruter sau calculator care asigur, securitatea unei
reele. /l impune o politic, de securitate" de control a accesului" de autenti*icare a
clienilor" de con*igurare a reelei. /l prote4ea5, o reea sigur, din punct de !edere al
securit,ii de o reea nesigur," %n care nu putem a!ea %ncredere.
6iind dispus la intersecia a dou, reele" un *ire3all poate *i *olosit #i pentru alte
scopuri dcMt controlul accesului ?
1 pentru monitori5area comunicaiilor dintre reeaua intern, #i cea e=tern,
-ser!icii *olosite" !olum de tra*ic" *rec!ena acces,rii" distribuia %n timp etc.0A
1 pentru interceptarea #i %nregistrarea tuturor comunicaiilor dintre cele dou,
7eea
prote4at,
Internet
6ire3all
(ra*ic
autori5at
Dispunerea unui *ire3all
2&
Coala
reele A
1 pentru criptare %n reele !irtuale.
9.6 vanta-ele unui fire:all
<ntr@un mediu *,r, *ire3all securitatea reelei se ba5ea5, e=clusi! pe securitatea
calculatoarelor ga5d, care trebuie s, coopere5e pentru reali5area unui ni!el
corespun5,tor de securitate. Cu c%t reeaua este mai mare" cu at%t este mai greu de
asigurat securitatea *iec,rui calculator. 6olosirea unui *ire3all asigur, c%te!a a!anta4e ?
&0 Protecia serviciilor vulnerabile prin *iltrarea -blocarea0 acelora care %n mod
obi#nuit sunt inerent mai e=puse. De e=emplu un *ire3all poate bloca intrarea
sau ie#irea dintr@o reea prote4at, a unor ser!icii e=puse cum ar *i N6S" NIS etc.
De asemenea mecanismul de diri4are a pac)etelor din Internet poate *i *olosit
pentru rutarea tra*icului c,tre destinaiii compromise. .rin intermediul ICM.
*ire3all@ul poate re4ect, aceste pac)ete #i in*orma administratorul de reea despre
incident.
20 Impunerea unei politici a accesului 3n reea deoarece un *ire3all poate
controla accesul %ntr@o reea pri!at,. Dnele calculatoare pot *i *,cute accesibile
din e=terior #i altele nu. De e=emplu" ser!iciile de po#t, electronic, #i cele
in*ormaionale pot *i accesibile numai pe unele calculatoare din reeaua intern,
prote4%ndu@le pe celelalte de e=puneri la atacuri.
30 Concentrarea securit,ii pe *ire3all reduce mult costurile acestei *a, de ca5ul %n
care ar *i distribuit, pe *iecare staie. 6olosirea altor soluii cum ar *i +erberos"
implic, modi*ic,ri la *iecare sistem ga5d," ceea ce este mai greu de implementat
#i mai costisitor.
40 ;nt0rirea caracterului privat al informaiei care circul, prin reea. <n mod
normal o in*ormaie considerat, pe bun, dreptate nesen5iti!, -na!igarea pe Feb"
citirea po#tei electronice etc.0 poate aduce atacatorilor in*ormaii dorite despre
utili5atori ? c%t de des #i la ce ore este *olosit un sistem" dac, s@a citit po#ta
electronic," site@urile cele mai !i5itate etc. Asemenea in*ormaii sunt *urni5ate de
ser!iciul finger" alt*el un ser!iciu util %n Internet. 6olosirea unui *ire3all poate
22
Coala
bloca asemenea ser!icii cum ar *i *inger" DNS etc. ;locarea ie#irii %n e=terior a
in*ormaiei DNS re*eritoare la sistemele ga5d, interne" numele #i adresele I."
ascunde in*ormaie *oarte c,utat, de atacatori.
50 <onitori"area 'i reali"area de statistici pri!ind *olosirea reelei sunt mult
u#urate dac, %ntregul tra*ic spre #i dinspre Internet se *ace printr@un singur punct
-*ire3all0.
9.2 %e"avanta-ele unui fire:all
6olosirea unui *ire3all are #i unele limit,ri #i de5a!anta4e" inclusi! unele probleme
de securitate pe care nu le poate re5ol!a.
6. Restricionarea accesului la unele servicii considerate !ulnarabile care sunt des
solicitate de utili5atori ? 6(." telnet" )ttp" NS* etc. Dneori politica de securitate
poate impune c)iar blocarea total, a acestora.
2. Posibilitatea e=istenei >unor u'i secrete? Dn *ire3all nu poate prote4a
%mpotri!a unor trape care pot ap,rea %n reea" de e=emplu accesul prin modem la
unele calculatoare ga5d,. 6olosirea modemuri de !ite5, mare pe o cone=iune ...
sau SBI. desc)ide o Nu#,O neprote4abil, prin *ire3all.
3. @ire:all1ul nu asigur0 protecie fa0 de atacurile venite din interior.
Scurgerea de in*ormaii" atacurile cu !iru#i" distrugerea intenionat, din interiorul
reelei nu pot *i prote4ate de *ire3all.
!. Reducerea vite"ei de comunicaie cu e=teriorul -congestia tra*icului0 este o
problem, ma4or, a unui *ire3all. /a poate *i dep,#it, prin alegerea unor
magistrale de mare !ite5, la inter*aa acestuia cu reeaua intern, #i cea e=tern,.
/. @iabilitatea reelei poate *i redus, dac, #i c)iar de5astruoas, dac, sistemul
*ire3all nu este *iabil.
Compar%nd a!anta4ele #i limit,rile securit,ii prin *ire3all se poate conclu5iona c,
prote4area resurselor unei reele este bine s, se *ac, at%t prin sisteme *ire3all c%t #i
prin alte mecanisme #i sisteme de securitate.
23
Coala
9.3 Componentele unui fire:all
Componentele *undamentale ale unui *ire3all sunt ?
@ politica de control a acesului la ser!icii A
@ mecanismele de autenti*icare A
@ *iltrarea pac)etelorA
@ ser!iciile pro=2 #i porile de ni!el aplicaie.
.olitica de control a accesului la ser!icii de*ine#te %n mod e=plicit acele ser!icii
care sunt permise #i care sunt re*u5ate" precum #i ca5urile de e=epie #i condiiile %n care
pot *i acceptate. > politic, realist, trebuie s, asigure un ec)ilibru %ntre prote4area reelei
*a, de anumite riscuri cunoscute #i asigurarea accesului utili5atorilor la resurse. Mai
%nt%i se de*ine#te politica de acces la ser!iciile reelei" ca politic, de ni!el %nalt" dup,
care se de*ine#te politica de proiectare a *ire3all@ului ca politic, subsidiar,. Se pot
implementa di!erse politici de acces la ser!icii ?
@ inter5icerea accesului din Internet la reeaua proprie #i accesul in!ers" din
reea spre InternetA
@ accesul din Internet dar numai spre anumite staii din reeaua proprie" cum
ar *i ser!erele de in*ormaii" ser!erele de e@mail A
@ accesul din internet spre anumite sisteme locale dar numai %n situaii
speciale #i numai dup, autenti*icare reciproc,.
.olitica de proiectare a *ire3all@ului se ba5ea5, pe dou, sub@politici ?
1. ceea ce nu este inter5is %n mod e=plicit este permis
2. ceea ce nu este permis %n mod e=plicit este inter5is.
.rima subpolitic, este mai puin oportun, deoarece o*er, posibilit,i de a ocoli
sistemul de securitate prin *ire3all. .ot ap,rea ser!icii noi" necunoscute" se pot *olosi
porturi (C.GDD. nestandard etc. /*iciena unui sistem *ire3all de protecie a unei
reele depinde de politica de acces la ser!icii" de politica de proiectare a *ire3all@ului #i
de ar)itectura acestuia.
24
Coala
9.! Implementarea securit0ii prin fire:all
Implementarea securit,ii pritr@un sistem *ire3all se poate *ace respect%nd urm,torii
pa#i?
@ De*inirea politicii de securitate prin *ire3all
@ De*inirea cerinelor de *uncionare #i securitate prin *ire3all
@ .rocurarea unui *ire3all
@ Administrarea unui *ire3all.
.olitica de securitate prin *ire3all are dou, ni!eluri de abordare? politica de acces la
ser!icii #i politica de proiectare a *ire3all@ului. 1radul de %ndeplinire a securit,ii pe
cele dou, ni!ele depinde %n mare m,sur, de ar)itectura sistemului *ire3all. .entru a
de*ini o politic, de proiectare a *ire3all@ului" trebuie e=aminate #i documentate
urm,toarele?
Ce ser!icii urmea5, a *i *olosite %n mod curent #i oca5ional
Cum #i unde !or *i *olosite -local" la distan," prin Internet" de la domicilui0
Care este gradul de sensibilitate al in*ormaiei" locul unde se a*l, #i ce
persoane au acces Pacces oca5ional sau curent
Care sunt riscurile asociate cu *urni5area accesului la aceste in*ormaii
Care este costul asigur,rii proteciei

<n !ederea procur,rii componenetelor so*t #i )ard ale unui sistem *ire3all" trebuie
de*inite c%t se poate de concret cerinele de *uncionalitate #i de securitate ale acestuia.
.entru aceasta este recomandabil s, se in, seama de urm,toarele aspecte?
<n ce m,sur, poate *i suportat, o politic, de securitate impus, de organi5aie #i nu
de sistem %n sine
6le=ibilitatea" gradul de adaptabilitate la noi ser!icii sau cerine determinate de
sc)imb,rile %n politica de securitate
S, conin, mecanisme a!ansate de autenti*icare sau posibilit,i de instalare a
acestora
S, *oloseasc, te)nici de *iltrare de tip permitereGinter5icere acces la sisteme"
25
Coala
aplicaii" ser!icii
7egulile de *iltrare s, permit, selectarea #i combinarea c%t mai multor atribute
-adrese" porturi" protocoale0
.entru ser!icii ca (/BN/(" 6(. etc s, permit, *olosirea ser!iciului pro=2
indi!iduale sau comune
6ire3all@ul #i accesul public %n reea trebuie corelate ast*el %nc%t ser!erele
in*ormaionale publice s, poat, *i prote4ate de de *ire3all" dar s, poat, *i separate
de celelalte sisteme de reea care nu *urni5ea5, acces public
.osibilitatea ca *ire3all@ul #i sistemul de operare s, poat, *i actuali5ate periodic
9./ @iltrarea pac5etelor
Dn ser!iciu securitate *oarte e*icient reali5abil prin *ire3all este *iltrarea
pac)etelor. /l permite sau bloc)ea5, trecerea unor anumite tipuri de pac)ete %n *uncie
de un sistem de reguli stabilite de administratorul de securitate. De e=emplu *iltrarea
pac)etelor I. se poate *ace dup, di*erite c%mpuri din antetul s,u? adresa I. a sursei"
adresa I. a destinaiei" tipul protocol -(C. sau DD.0" portul surs, sau portul destinaie
etc.
6iltrarea se poate *ace %ntr@o !arietate de moduri? blocare cone=iuni spre sau dinspre
anumite sisteme ga5d, sau reele" blocarea anumitor porturi etc.
6iltrarea de pac)ete se reali5ea5," de obicei" la ni!elul ruterelor. Multe rutere
comerciale au capacitatea de a *iltra pac)ete pe ba5a c%mpurilor din antet.
Drm,toarele ser!icii sunt %n mod inerent !ulnerabile #i de accea se recomand,
blocarea lor la ni!elul *ire3all@ului?
t*tp -tri!ial *ile trans*er protocol0" portul 8 *olosit de obicei pentru sec!ena de
boot a staiilor *,r, disc" a ser!erelor de terminale #i a ruterelor. Con*igurat
incorect" el poate *i *olosit pentru citirea oric,rui *i#ier din sistemA
I Findo3s" porturile %ncep%nd cu 999. .rin intermediul ser!erelor I intru#ii pot
obine controlul asupra unui sistem ga5d,A
7.C -7emote .rocedure Call0" portul &&&" inclusi! NIS #i NI6 care pot *i *olosite
pentru a obine in*ormaii despre sistem" despre *i#ierele stocateA
2
Coala
7olgin" rs)" re=ec" porturile 5&3" 5&4" 5&2 ser!icii care con*igurate incorect pot
permite accesul neautori5at la conturi #i comen5i de sistem.
Drm,toarele ser!icii sunt" %n mod obi#nuit" *iltrate #i restricionate numai la acele
sisteme care au ne!oie de ele?
) (elnet" portul 23" restricionat numai spre anumite sistemeA
) 6tp" porturile 29 #i 2&" restricionat numai spre anumite sistemeA
) SM(." portul 25" restricionat numai spre un ser!er central de mailA
) 7I." portul 25" care poate *i u#or %n#elat #i determinat s, redirecione5e pac)eteA
) DNS" portul 53" care poate *urni5a in*ormaii despre adrese" nume" *oarte urm,rit
de atacatoriA
) DDC. -Dni= to Dni= Co.20" portul 549" care poate *i utili5at pentru acces
neautori5atA
) NN(. -Net3orC Ne3s (rans*er .rotocol0" portul &&8 pentru accesul la di*erite
#tiri din reeaA
) )ttp" -portul $90" restricionat spre o poart, de aplicaii pe care rulea5, ser!icii
pro=2.
Nivelurile de filtrare a pac5etelor corespund ni!elelor din ar)itectura >SI sau
(C.GI.. Antetul de reea I. conine patru c%mpuri rele!ante pentru *iltrarea pac)etelor?
cele dou, adrese" surs, #i destinaie" tipul de protocol de ni!el transport #i c%mpul de
opiuni I.. >piunea I. cea mai rele!ant, pentru *acilit,i de *iltrare este diri4area de la
surs, -source routing0. /a permite e=peditorului unui pac)et s, speci*ice ruta pe care
acesta o !a urma spre destinaie. Scopul s,u este de a nu trimite pac)ete %n 5one %n care
tabelele de diri4are ale pac)etelor sunt incorecte sau ruterele sunt de*ecte.
Antetul de ni!el transport conine c%mpurile port surs, #i destinaie #i c%mpul de
indicatori -*lag@uri0. (C. *iind un protocol orientat pe cone=iune" %naintea trans*erului
de pac)ete se sabile#te ruta prin intermediul unui pac)et de setare care are c%mpul AC+
de un bit setat pe 9. ;itul AC+ este *oarte important din punct de !edere al *iltr,rii.
Dac, se dore#te blocarea unei cone=iuni (C. este su*icient a se bloca primul pac)et
identi*icat prin !aloarea 9 a c%mpului AC+. C)iar dac, urm,toarele pac)ete cu AC+ Q&
2'
Coala
corespun5,toare aceleia#i cone=iuni !or trece prin *iltru " ele nu !or *i asamblate la
destinaie din cau5a lipsei in*ormaiilor despre cone=iune" in*ormaii coninute %n primul
pac)et. .ractic" cone=iunea nu !a *i reali5at,. .e ba5a acestei particularit,i se poate
impune o politic, de securitate care permite clienilor din interior s, se conecte5e %n
e=terior la ser!ere e=terne" dar nu permite clienilor e=terni s, se conecte5e %n interior
-la ser!ere interne0.
<n *iltrarea DD. sunt posibile mai multe abord,ri?
@ inter5icerera tuturor pac)etelor DD.A
@ permiterea cone=iunilor la anumite porturi DD. standard" considerate mai
puin periculoaseA
@ se poate seta ruterul ca s, monitori5e5e pac)etele care pleac, din interior
spre e=terior ast*el ca ele s, *ie r,spuns pac)etele -cererile0 memorate
-*iltrare dinamic,0.
9.2 Reguli de filtrare a pac5etelor
6iltrarea pec)etelor se *ace dup, reguli care *ac parte din con*igurarea ruterului #i
care pot *i reguli e=plicite sau implicite. De e=emplu" inter5icerea a tot ce nu este permis
%n mod e=plicit este o inter5icere implicit,. 7egula *iltr,trii implicite este mai bun, din
punct de !edere al securit,ii deoarece ne asigur, c, %n a*ara ca5urilor pe care le dorim
s, treac," celelalte sunt *iltrate" deci sunt e!itate situaii nepre!,5ute de acces. 7egulile
*ac parte din con*iguraia ruterului. .entru a decide trimiterea sau blocarea unui pac)et"
regulile sunt parcurse pe r%nd" p%n, se g,se#te o concordan, #i se con*orme5, acesteia.
Dac, nu se g,se#te o asemenea concordan," pac)etului i se aplic, regula implicit,. <n
ca5ul *iltr,rii dup, adres," e=ist, urm,toarele riscuri?
&. simpla *iltrare nu poate *i sigur, deoarece adresa surs, poate *i *alsi*icat,. Dn
r,u!oitor poate simula c, trimite pac)ete de la un utili5ator de %ncredere. /l nu !a
primi r,spuns" dar simplul acces %n reea poate repre5enta o ameninare.
2. atacul de tip Nomul din mi4locO %n care un atacator se interpune pe calea dintre
surs, #i destinaie #i interceptea5, pac)etele !enind din ambele sensuri. /!itarea
unei asemenea situaii se poate *ace prin autenti*icare reciproc, *olosind
2$
Coala
mecanisme criptogra*ice a!ansate.
6iltrarea dup, ser!iciu este de *apt *iltrarea dup, porturile surs, #i destinaie. <n
DNII porturile pri!ilegiate -9 &9230 sunt ocupate doar de ser!ere" nu de clieni. .e
aestea rulea5, aplicaii sau ser!icii speci*ice superuser@ilor. .orturile mai mari de &924
sunt *olosite de clieni #i se pot aloca %n mod aleator.
9.4 Procurarea unui fire:all
/=ist, dou, !ariante de procurare a unui *ire3all? reali5are proprie sau de pe Internet
!ariante libere #i cump,rarea unui produs pro*esional la c)eie. Ambele au a!anta4e #i
de5a!anta4e. Dn *ire3all de *irm, este puternic" !eri*icat #i o*er, multe *acilit,i dar este
mai scump. Dnul construit pentru o anumit, organi5aie sau reea permite ca speciali#tii
*irmei s, %neleag, speci*icaiile de proiectare #i de utili5are a acestuia.
<nainte de a se lua deci5ia de procurare trebuie s, se a*le r,spunsuri la %ntreb,ri de
*elul?
@ cum se !a !eri*ica dac, produsul *ire3all respect, cerinele *uncionale
@ cum poate *i testat %mpotri!a di!erselor atacuri
@ cine" cum #i cu ce mi4loace !a *ace %ntreinerea" repararea" actuali5area sa
@ cum #i cine !a *ace instruirea utili5atorilor
@ cum !or *i re5ol!ate e!entuale incidente de securitate.
Dn e=emplu de produs *ire3all de *irm, este (IS 6ire3all (oolCit -(IS 6F(+0
produs de *irma (rust In*ormation S2stem. /l repre5int, un set de programe #i practici
de con*igurare care pot *i *olosite pentru construirea de di!erse tipuri de *ire3all.
Componentele pot *i *olosite *ie independent" *ie %n combinaie cu componentele altor
produse *ire3all. .rodusul este conceput pentru sisteme DNII *olosind suita de
protocoale (C.GI. printr@o inter*a, soCet de tip ;erCle2.
Instalarea 6F(+ persupune o oarecare e=perien, %n administrarea sistemelor
DNII. Deoarece conponentele sunt pre5entate sub *orma unor programe de cod surs,
scrise %n NCO" sunt necesare cuno#tine re*eritoare la *olosirea utilitatrului make.
6F(+ are trei componente de ba5,?
28
Coala
@ concepii de proiectare
@ practici de con*igurare #i strategii de !eri*icare
@ componente so*t3are.
C%te!a dintre componentele so*t sunt urm,toarele?
&. S<P.S<P, pentru ser!erul de po#t, electronic,. /l a4ut, la implementarea
ser!iciului SM(.. SMA. accept, mesa4e !enite din reea pe care le scrie %ntr@un
director propriu *,r, a permite accesul la restul sistemului de *i#iere. 6i#ierele create %n
acest director sunt blocate p%n, se %ncarc, %n %ntregime. Dlterior se debloc)ea5, #i
permite smapd@ului s, acione5e asupra sa. Smapd@ul este un program care inspectea5,
coada" scoate *i#ierele #i le trimite destinatarului prin sendmail.
2. @,P17A este un ser!er pro=2 pentru ftp care poate e*ectua operaii de tipul logare"
inter5icere" autenti*icare etc. .entru autenti*icare sunt recunoscute mai multe
protocoale? SecurID produs de Securit2 D2namics" SN+ produs de Digital .at3a2s"
Sil!er Card etc.
3. ,BCNB,17A este un ser!er pro=2 pentru telnet *olosit la conectarea utili5atorului
la sistem.
4. PCU717A este un ser!er pro=2 generic care suport, o gam, restr%ns, de
protocoale #i utili5atori. /l e=aminea5, adresa de la care s@a iniiat cone=iunea #i portul
pe care a primit@o #i crea5, o nou, cone=iune la un alt sistem ga5d, pe acela#i port.
D. <ecanismele de autentificare avansate
Cartelele inteligente" -etoanele de autentificare" te5nicile biometrice" sunt din ce
%n ce mai *olosite %n locul parolelor pentru autenti*icarea entit,ilor care au acces la
in*ormaii !e)iculate sau stocate %n reele. Deoarece *ire3all@ul este locul *i5ic care
concentrea5, accesul %ntr@o reea" acesta este " %n mod logic" #i locul %n care se a*l,
)ard3er@ul #i so*t3are@ul pentru autenti*icare.
.rintre mecanismele a!ansate de autenti*icare de actualitate sunt parolele de unic,
*olosin, #i cartelele inteligente.
Sistemele cu parolele de unic, *olosin, conin o tabel, de parole %n care se intr, la
39
Coala
*iecare cerere de acces la resursele de reea" se !alidea5, indi!idual intrarea %n tabel iar
parolele se generea5, indi!idual pe ba5a unui algoritm.
Cartelele inteligente se ba5ea5, pe mecanismul numit Nr,spuns la pro!ocareO care
*uncionea5, ast*el ?
@ utili5atorul introduce un nume de logare
@ sistemul generea5, un num,r aleator -pro!ocare0 #i %l trimite utili5atorului
@ utili5atorul criptea5, acest num,r cu o c)eie cunoscut, de sistem #i trimite
re5ultatul
@ sistemul criptea5, #i el acel num,r aleator cu aceea#i c)eie #i compar,
re5ultatele. <n ca5 de coinciden, solicitantul este acceptat %n sistem.
3&
Coala
Conclu"ie
<n conclu5ie" pentru a trata toate aspectele re*eritoare la securitatea unei reele
trebuie abordate dou, aspecte protecia la atacurile din interior #i la atacurile din
e=terior. De asemenea" protecia unei reele de calculatoare nu se reali5ea5, dor la
ni!el logic" al aplicaiilor" ci #i la ni!el *i5ic" al securit,ii ec)ipamentelor. Dn
ec)ipament" a*lat %ntr@o locaie public," %n care au acces multiple catogorii de
persoane" sunt mult mai susceptibile la atacuri la ni!el *i5ic decMt cele situate %n
locaii cu control strict al accesului.
> buna practic, ne %n!a, c, politicile de securitate trebuie aplicate la toate
ni!elurile ierar)ice ale unei reele de calculatore nu doar la ni!elul access" unde se
reg,sesc utili5atorii *inali. De asemenea" utili5area programelor de protecie
anti!irus #i *ire3all pentru prote4area calculatoarelor #i ser!erelor este necesar, la
orice ni!el al reelei de date.
32
Coala
#ibliografie
33
Primii pasi in securitatea
retelelor
()omas (om" /diia 299$
CISCE 1 ar5itecturi de
securitate

)undle8 +ent* /diia 2998
@ire:alls. Protectia
retelelor conectate la
Internet
Egletree* ,err8 Ailliam* /diia 299'
www.ro.wikipedia.org
www.Scribd.com
www.facultate.regielive.ro
Coala
Recen"ie
34

Limbă

Bine ați venit la Scribd!

Securitatea-retelelor

Încărcat de

Informații document

Descriere:

Data încărcării

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Descriere:

Drepturi de autor:

Formate disponibile

Securitatea-retelelor

Încărcat de

Descriere:

Drepturi de autor:

Formate disponibile

Titluri conexe

Mod Coala N Document Semnat Data

Mod Coala N Document Semnat Data

.rotocolul der autenti*icare +erberos

Documente similare cu Securitatea-retelelor

Mai multe de la testosOS

Titluri conexe

Evaluare

Partajare