Securizarea retelelor

(curs 11)

Conectarea calculatoarelor la o retea externa nesigura cum e internetul ofera o gama larga
de posibilitati pt atacarea directa a acestora din exteriorul retelei.
Tipuri de atacuri informatice
Atacurile directe pot avea diferite forme si unele dintre ele sunt posibile datorita modului in
care opereaza stiva TCP/IP. Fiecare protocol din stiva TCP/IP comunica pe un anume canal numit
numar de port bine cunoscut. De ex. HTTP opereaza pe portul 80. Exista peste 1000 numere de
port si fiecare port reprezinta o cale potentiala de atac la adresa retelelor. O alta modalitate prin
care sunt concepute atacurile directe implica accesul la informatiile importante cum ar fi parole si
log_in prin programe de spionaj asupra unei retele IP pot fi validate multe tipuri de atacuri.
Spionaj electronic-Atacuri asupra parolelor prin interceptarea parolelor - spionaj electronic
in scopul accesului la retea.
Inselarea adresei IP -Ip spoofing prin care un intrus isi asuma o adresa IP legala si obtine
accesul la reatea
Atacuri de tipul OM IN MIJLOC in cadrul caruia atacatorul monitorizeaza si controleaza
traficul de date intre echipamentele de emisie si receptie.
Atacuri de tipul refuzarii comunicarii - prin care atacatorul capata acces la retea dupa care
trimite date nevalide serviciilor din retea, determinand functioanare necorespunzatoare sau
blocarea acestor servicii. De asemenea atacatorul poate inunda cu date un anumit serviciu
sau calculator din retea.

Proceeduri si servicii de securitate

Autentificarea- In prezent apare necesitatea conectarii impreuna a mai multor retele locale, si
a acestora cu alte retele externe , trebuie sa se acorde o atentie marita procesului de autentificare.
Parolele de autentificare pot fi capturate usor si folosite apoi pt comutarea in retea .
Pentru aceasta se recomanda folosirea de parole cu o singura utilizare.
Utilizarea de semnaturi digitale care inafara de realizarea autentificarii detecteaza
eventualele modificari ale mesajelor pe care le transmite.
Utilizarea de servere de autentificare Kerberos ,Sessame.

Asigurarea confidentialitatii
Sistemul de aparare in retea au incorporate mecanisme de protectie care permit
administratorului de retea sa controleze cine poate avea acces si la ce resurse. O solutie eficienta pt
asigurarea confidentialitatii sunt folosite criptari in vederea protejarii informatiilor.Criptarea
trebuie sa foloseasca algoritmi criptografici ,matematici cat mai puternici .Inainte de folosirea unui
program trebuie analizata taria algritmului folosit de acesta .Atunci cand se transmit prin retea
date importante nu se recomanda folosirea de programe de firma insufficient testate pentru ca aceia
care le-au creeat le pot si descifra.

Integritatea datelor
In vederea asigurarii ca informatiile din retea nu au fost modificate se recomanda folosirea
verificarilor prin sume de control. Potrivit acestei metode se calculeaza sumele de control ale
fisierelor se memoreaza aceste sume si periodic sau la cerere se compara cu sumele de control ale
fisierelor .. Daca apar diferente, inseamna ca fisierele au fost modificate, de asemenea, ca masura
de protectie poate fi luata in calcul si semnatura digitala.
Accesul fizic la echipamentele importante rutere, servere, tuburi restrictionate, dischetele,
cd-rom, stick-urilor cu copii ale datelor trebuie pastrate in locuri sigure. Trebuie acordata o atentie
deosebita calculatoarelor portabile. Posibilitatea de conectare neautorizata la retea sa fie foarte
serios analizata.

Accesul la retea prin modem-uri

Liniile de modem se vor inregistra in evidente stricte, iar noile linii de modem, trebuie
inscrise in evidenta si autorizate. Corespondentii care acceseaza modemurile sa aiba acces doar
prin nume si parola de conectare. Sa se prevada apelarea inverse a corespondentului care doreste sa
acceseze reteaua de calculatoare. Toate conectarile si incercarile de conectare prin modem, sa fie
inregistrate intr-un fisier final, incluzand numarul de telefon apelat. Mesajele din pagina de
deschidere sa fie alese cu atentie , sa se utilizeze mesaje scurte cu numele site-ului. Se vor lua
masuri ca modemul sa se poata fi reprogramat in timpul functioanarii. Pt aceasta programare
modemul se va face, a.i. la fiecare nou apel, sa fie restartat la configuratia standard. De asemenea
se va modifica inchiderea liniei dupa ce s-a terminat sesiunea de lucru.

1.Folosirea fibrei optice.

Cea mai buna metoda de a se supraveghea retelele locale de calculatoare. Folosirea
dispozitivului de criptare la ambele capete ale liniei, asigura confidentialitatea de la viteze nu
foarte inalte.
2.Combaterea liniei de radiatii electromagnetice.
Radiatiile electromag. pot fi captate prin folosirea de detectoare situate in apropierea
echipamenteleor care le emit.Ele pot fii in interceptate din apropierea minit. In cazul in care
confidentialitatea datelor transmise este importanta se pot folosi urmatoarele masuri :
custile faraday ele impiedica transmisia inafara a radiatiilor transmise in interiorul
acestora.Este folosit de organizatiile guvernamentale ptr. a apara locurile unde se lucreaza
cu date
procedusele Tempest care au fost dezvoltate de cateva firme implementand cerintele
exprimate prin proiectele cu aceleasi nume

Folosirea tehnicilor de recunoastere biometrica.tehnicile biometrice se bazeaza pe

particulele individualizante ale corpului uman adica cele folosite de voce ,retina
,amprenta.Algoritmul folosit este intotdeauna acelasi.utilizatorul isi revndica identitatea.Sistemul
compara profilul asociat cu identitatea revendicata.Solicita utilizatorului sa foloseasca sisteme de
recunoastere si apoi compara profilul utilizat cu cel al utilizatorului .

Firewall sunt plasate intre reteau de calculatoare si internet.Rolul lor fiind acela de a
proteja reteaua de atacurile din exterior.un firwall examineaza si poate filtra datele care ies si care
intra intr-o retea. De regula Firwall sunt o combinatie de componente hardware si software astfel o
serie de firme produc firewall intr-o varietate de modele concepute ptr. protectia retelelor.
Sunt clasificate in functie de modul in care se ocupa de trafic de date din retea ,nivelul din modelul
OSI la care lucreaza. Cu cat modelul este mai ridicat cu atat firwallul este mai complex.
1.Firewall filtru de pachete foloseste un set de registrii care stabilesc daca pachetele de date pot
fii admise sau respinse.Filtrele se bazeaza pe analiza adreselor ip sau pe analiza porturilor folosite
de protocolul sub care se transmit datele respective.Este cel mai simplu dar sic el mai rapid , el
opereaza la nivelul legaturi de date si retea.Un router care foloseste liste de acces care
reprezintaregistrii ptr. a permite si int. conexiuniilor pe baza analizelor adreselor ip in vederea
filtrarii datelor poate fii considerat u firewall filter.

2.La nivelul de circuit asemanator filtrand datele pe baza unui set de registrii dar are o functie
sporita prin faptul ca opereaza la nivelul transport.Pachetele transmise din retea sa apara ca si cum
ar avea originea in firewall lucru care ajuta la pastrarea confidentialitatii.Deasemenea acest tip de
firewall poate determina daca o conexiune dintre un calculator din retea si un calculator din
internet care foloseste protocolul TCP poate fii stabilita.In cazul in care aceasta nu poate fii
stabilita astfel , firewallul o inchide.Este important ptr. cazul in care conexiuniile sunt deturnate de
atacatorii din exteriorul retelei care incearca sa treaca.