Documente Academic
Documente Profesional
Documente Cultură
Securitatea informatic este o problem vital pentru toi utilizatorii de internet, fie c sunt
furnizori de servicii fie c sunt utilizatori. Nevoia tot mai mare de comunicare, pe de o parte i
nevoia de protecie i securitate a informaiilor pe de alt parte sunt dou cerine diferite i chiar
opuse care trebuie asigurate n reelele i sistemele informatice. n condiiile n care milioane de
ceeni folosesc n mod curent reelele de comunicaii i calculatoare pentru operaiuni bancare,
cumprturi, plata taxelor i serviciilor etc. problema securitii este de maxim importan. Au
aprut multe organizaii i organisme internaionale care se ocup de cele mai diverse aspecte ale
securitii informaionale, de la aspectele legislative, la cele organizatorice, procedurale i
funcionale. O prezentare detaliat a resurselor Internet privind resursele de securitate se gsete n
[VVP].
Securitatea este un subiect vast i ocup o multitudine de imperfeciuni. Majoritatea problemelor de
securitate sunt cauzate intenionat de persoane ruvoitoare care ncearc s obin beneficii, s
culeag informaii dar i s provoace ru.
1
- tot mai multe informaii memorate n fiiere separate pot fi corelate, sinteizate, prelucrate prin
intermediul reelelor sporind posibilele consecinele nefaste asupra caracterului privat al acesora.
n afara cazurilor de for major produse de calamiti naturale, dezastre, cderi de echipamente
etc pentru care msurile de securitate pervd salvri i copii de rezerv, dublarea echipamentelor,
tehnici de autoresabilire etc. n cazul atacurilor voite se disting dou categorii principale:
- atacuri pasive;
- atacuri active.
Atacurile pasive sunt acele atacuri n care intrusul observ informaia care trece prin canal, fr s
interfereze cu fluxul sau coninutul mesajelor. Se face doar analiza traficului, descoperirea identitii
entitilor care comunic, descoper lungimea i frecvena mesajelor chiar dac coninutul acestora
rmne ascuns. Aceste atacuri nu cauzeauz pagube i nu ncalc regulule de confidenialitate.
Scopul lor este de a asculta datele care sunt vehiculate prin reea.
Atacurile active sunt acelea n care intrusul dse angajeaz n furtul mesajelor, modificarea lor,
tergerea, rularea, schimbarea coninutuli sau a adreselor, redirecionarea, substituirea, refuzul unui
serviciu, repudierea etc. Acestea sunt serioase, cauzeaz perjudicii mari i consecine juridice. Tot n
categoria atacurilor active intr i programele create cu scop distructiv care afecteaz serios, uneori
catastrofal, securitatea calculatoarelor i a informaiilor. n aceast categorie intr: viruii, bombele
logice, viermii, trapele, programele tip cal troian, etc.
Modelul de securitate n reele prevede protecia pe mai multe nivele care nconjoar obiectul
protejat.
Un prim nivel necesar este securitatea fizic care const, n general, ncuierea
echipamentelor, plasare a lor n camere speciale ferite de foc, intemperii, distrugere fizic fie
intenionat fie nu. Este o msur aplicabil tuturor sistemelor de calcul dar mai puin posibil n
cazul reelelor, mai ales cele de arie medie sau mare.
Cellalt nivel se refer la securitatea logic i cuprinde acele metode de cvontrol a accesului
la resursele i serviciile sistemului.
Au fost stabilite i unanim acceptate linii directoare i principii privind securitatea sistemelor
informatice care trebuiesc respectate de ctre toate entitile care produc, livreaz, instaleaz i
exploateaz sisteme informatice.
1. Principiul resonsabilitii care impune stabilirea clar a responsabilitilor referitoare
le securitate pe catre le au priprietarii, furnizotrii, madministratirii i utilizatorii
sistemelor infirmatice.
2. Principiul sensibilizrii conform cruia toate persoanele interesate asupra acestui aspect
trebuie corect i oportun informate.
3. Principiul eticii care impune elaborarea unor reguli de conduit n utilizarea SI.
4. Principiul pluridisciplinaritii conform cruia metodele tehnice i organoizartorice
care trebuie luate n vederea securitii SI au caracter multidiscilpilinar i cooperant.
5. Principiul proporionalitii care cere ca nivelul de securitate i msurile de protecie s
fie proporional cu importana informaiilor gestionate.
2
6. Principiul integrrii conform cruia securitatea este necesar n toate stadiile de
prelucrare a informaiilor (creare, colectare, prelucrare, sztocare, transport, tergere, etc.).
7. Principiul oportunitii conform cruia mecanismele de securitate s rspund prompt
i s permit o colaborare rapid i eficient n caz de detectare a tentatuvelor de
corupere a mecanismelor de securitate.
8. Principiul reevalurii, care cere revizuirea periodic a cerinelor de securitae i a
mecaniismelor de implementare a lor.
9. Principiul democraiei, conform cruia cerinele de protecie i securitate s nu limiteze
nejustificat libera circulaie a informaiilor, conform principiilor care guverneaz
societile democratice.
Msurile de securitate care trebuie luate se pot clasifica n :
- Procedurale (utilizare de parole cu schimbarea lor periodic, instruirea personalului,
- Logice (criptare, control acces, ascundere informaii)
- Fizice (blocare acces, camere speciale, ecranare electromagnetic, etc.).
Mecanismele de securitate sunt folosite individual sau colectiv pentru construirea serviciilor de
securitate.
1. Criptarea transform datele de la entitatea surs ntr-o manier unic astfel nct s nu
poat fi cunoscut semnificaia lor dect n urma unei transformri inverse pereche,
numit decriptare. Este folosit n special pentru implementarea serviciului de
confidenialitate.
2. Semntura digital d sigurana c datele furnizate au fost produse chiar de ctre
semnatar. Mecanismul este folosit de ctre serviciul de integritate i nonrepudiere. La
rndul su se bazeaz pe dou proceduri:
3
- procedura semnrii unui bloc de date
- procedura verificrii semnturii
3. Controlul accesului la resursele din Internet presupune recunoaterea identitii
solicitantului n baza unei nregistrri prealabile i posibilitatea validrii sau invalidrii
cererii. Tentativele de acces neautorizat trebuie semnalale prin diverse modaliti. Ca
tehnici de control a accesului se pot folosi : liste de acces, parole, etichete de securitate,
limitarea timpului de acces, limitarea numrului de ncercri de acces, calea de acces etc.
4. Autentificarea permite identificarea reciproc a entitilor corespondente.
5. Notarizarea presupune folosirtea unei a treia entiti numit notar, n care toate prile
au incredere deplin, care ofer garanie pruivind originea, destinaia, integritatea i
confidenialitatea informaiilor.
tiina i arta care se ocup cu studiul tiinific i metodic al criptrii mesajelor este
criptologia. Ea cuprinde dou laturi: criptografia i criptanaliza. Prima se ocup de metodele,
tehnicile i procedurile de criptare a mesajelor, de teoria codurilor i a cheilor de criptare iar a doua
de posibilitile de decriptare, de descoperire a textului clar dintr-unul cifrat, de spargere a codurilor.
Criptologia a fost studit i utilizat de foarte mult vreme dar performanele cele mai mari n
domeniu au aprut dup dezvoltarea sistemelor de calcul numeric puternice.
Termenul de criptografie provine din limba greac nsemnnd scriere secret. n lumea
specialitilor se face deosebire ntre cod i cifru. Un cod nlocuiete un cuvnt cu un alt cuvnt, pe
cnd un cifru este o transformare caracter cu caracter sau bit cu bit a mesajului. n prezent tehnicile
de secretizare prin codare sunt foarte puin folosite, fiind nlocuite prin tehnici de cifrare mult mai
performante. n principiu, cifrarea transform mesajului clar ntr-unul cifrat prin aplicarea unei
funcii parametrizate de o cheie, astfel nct semnificaia mesajului s fie ascuns iar descifrarea s
nu fie posibil fr a poseda cheia corespunzutoare. Din punct de vedere al cheii de cifrare,
algoritmii se mpart n ndou clase:
- algoritmi cu chei secrete (DES, AES-Advanced Encryption Standard);
- algoritmi cu chei publice (RAS)
4
recomandat deoarece ofer mult informaie unui adversar care intercepteaz pachete, cmpurile de
control fiind n clar. Principalul dezavantaj al criptrii la acest nivel este c datele sunt memorate n
clar n fiecare nod intermediar i ofer faciliti de atac multiple ruvoitorilor.
Serviciile de securitate la nivel reea pot fi realizate att ntre sistemele finale ct i intre
sisteme finale i rutere sau ntre dou rutere. De la acest nivel ele ncep s devin dependente de
protocoalele folosite pe nivelele superioare. Este posibil securizarea unei anumite rute din reea (de
exemplu criptarea datelor de pe acea rut i transmisia n clar pe alte rute). Unele pachete care trec
printr-un nod intermediar (ruter) sunt criptate, altele nu, n funcie de rut. Antetul de nivel reea al
pachetelor nu este criptat, ceea ce face ca s se asigure numai integritatea i confidenialitatea
datelor transmise, nu i a traficului.
Serviciile de securitate la nivel transport
Nivelul transport ofer mai multe servicii de securitate i mai complete: confidenialitatea
(orientat sau nu pe conexiune), integritatea, autentificarea originii datelor, autentificarea entitilor
pereche, controlul accesului. Deoarece nivelul transport asigur servucii dew transter de date ntre
surs i destinaie, adic ntre utilizatori finali, i serviciile de securitate au acelai caracter.
Nivelele sesiune i prezentare nu au referiri privitoare la implementarea de servicii de
securitate, dei confidenialitatea prin criptare sau altele (autentificarea etc.) pot fi evident
realizabile.
Nivelul aplicaie asigur implementarea tuturor serviciilor de securitate, ba mai mult chiar,
unele, de exemplu, nerepudierea mesajelor poate fi realizat numai la acest nivel. Avantajul major al
asigurrii securitii la acest nivel este independena de sistemele de operare i de protocoalele
utilizate pe nivelele inferioare. n schimb, trebuie menionat c la acest nivel securitatea este
dependent de aplicaie (trebuie implementat individual pentru fiecare aplicaie).
Aplicaiile de baz ale Internetului (FTP, SMTP, TELNET, HTTP, DNS, POP, WWW etc.)
ruleaz pe servere, ele reprezentnd acdevrate pori prin care utilizatorii din lumea exterioar pot
accesa informaii de pe un calculator privat. Fiecare server trebuie s aib urmtoarele faciliti:
S determine ce informaie sau aciune este serut de client;
S decid dac aceste are dreptul s acceseze informsaia, utiliznd eventual un
procedur de autentificare (persoan sau program);
S transfere informaia cerut sau s execute programul cerut.
Protecia serverelor se poate face prin mai multe msuri cum ar fi:
Autentificarea sigur a clienilor prin parolee sau protocoale criptografice (cum ar fi
Kerberos);folosirea unui firewall care s separe reeaua intern de lumea exterioar;
Separarea fizic a reelei interne de cea extern. Accesul la reeaua extern (Internet, WWW,
etc.) se face prin staii separate.
Crearea unei reele separate pentru datele confideniale;
Dezactivarea tuturor serviciilor inutile i protejarea lor prin programe de tip wrapper.
Kerberos este la ora actual cel mai puternic i mai folosit serviciu de autentificare din lume. El
permite utilizatorilor s comunice n reea pentru a-i dezvlui identitatea i pentru a se autentifica n
5
timp real, ntr-un mediu distribuit nesecurizat. Este un serviciu de autentificare i nu de autorizare,
n care parolele sunt folosite derept chei i nu sunt niciodat transmise n clar prin reea.
Kerberos este folosit de protocoalele de nivel aplicaie (ftp, telnet etc.) pentru a asigura
securitatea comunicaiilor cu gazda. El are dou obiective principale: autentificarea i distribuia
cheilor i furnizeaz urmtoarele servicii:
- autentificarea mutual i comunicaie sigur ntre dou entiti ale unei reele deschise;
- distribuie chei secrete oferind macanisme pentru transferul siugur al acestora prin reea;
- indentificarea sigur a utilizatorilor individuali care apeleaz servicii de pe calculatoarele
gazd.
Kerberos este utilizat n SUA, o variant similar dezvoltat n Europa, compatibil cu acesta
este SESAME.
Protocolul de autentificare Kerberos folosete o a treia entitate (ter de ncredere) care furnizeaz
tichete de identificare i chei criptografice ctre utilizatori sau aplicaii. Un tichet este un bloc de
cteva sute de octei care poate fi folosit n aproape orice protocol de reea.
Protocolul Kerberos conine urmtoarele entiti:
- Serverul de autentificare Kerberos
- Entitatea de acordare a tichetului
- Clientul C care trebuie autentificat pentru a i se acorda acces la serviciul furnizat de
serverul S
- Serverul S la care cere acces din partea clientului.
2 4 5
3
6
1
Client
(C)
Pota electronic este unul dentre cele mai rspndite servicii pe Internet folosit de milioane
de utilizatori. Ca urmare au fost dezvoltate aplicaii de securitate specifice acestui serviciu cum ar fi
PEM PrivacyEnhanced Mail care ofer urmtoareler faciliti:
- confidenialitatea (secretizarea) mesajelor;
- autentificarea originii mesajelor
- integritatea legturii n reea
- nerepudiarea legturii prin dovedirea originii.
Confidenialitatea protejeaz coninutul mesajelor mpotriva citirii lor neautorizate de ctre
alte persoane dect cele autorizate specificate de emitent. Accesul nedorit la mesaje se poate face fie
prin inteceptatrea comunicaiei din linia de transmisie, fie prin accesul la cutia potal care de fapt
6
este o locaie pe un hard disk sau un alt mijloc de stocare. n aceste sitiaii protecia se face prin
criptarea mesajelor.
Autentificarea originii mesajelor permite receptorului unui mesaj prin pot electronic s
determine n mod sigur identitatea emitorului. Este un serviciu foarte necesar asigurrii
credibilitii potei electronice att de rspndit i de util n prezent.
Integritatea legturii furnizeaz receptorului sigurana c mesajul primit este identic cu cel
emis la origine, c nu a fort nlocuit pe traseu cu altul sau nu a fost modificat chiar i parial. De
regul, autentificarea i integritatea sunt servicii care se folosesc mpreun.
Nerepudierea mesajelor mpiedic transmitorul s nu recunoasc faptul c el i numai el a
transmis mesajul n discuie chiar dac el a trecut i prin intermediari. Utilitatea serviciului de
nerepudiere este evident n situaia transmiterii unor ordine, decizii, dispoziii etc. cu caracter
imperativ si care pot genera consecine majore unele chiar cu caracter juridic.
Implementarea serviciilor de securitate n conformitate cu standardul PEM se poate face
peste infrastructura de pot electronic existent. Exist dou variante de integrare:
1) cu includerea funciilor de securitate n nagentul utilizator (UA) cu avantajul obinerii
unei interfee mai bune cu utilizatorul.
2) fr modificare agentului utilizator prin realizarea unui filtru de securizare a mesajelor n
exteriorul UA.
Este un pachet de programme destinat potei electronice i a fiierelor proprii prin cifrare
clasic cu chei publice care poate funciona pe diferite platforme (Windows, UNIX, etrc.). PGP
poate asigura urmtoarele faciliti :
- criptarea fiierelor folosind algoritmi simetrici sau nesimetrici ;
7
- creerea de chei publice sau secrete folosite la criptare;
- gestionarea cheilor prin crearea i ntreinerea unei baze de date destinate acestui scop ;
- transmiterea i recepionarea de mesaje criptate prin e-mail ;
- folosirea semnturilor digitale ;
- certificarea cheilor (semnarea electronic a cheilor) ;
- revocarea, dezactivarea i custodia cheilor cu posibilitatea dezactivrii, revocrii i
schimbrii lor n caz de atac ctiptografic;
- configurarea dup necesiti a PGP-ului;
- folosirea server-elor de chei de pe Internet.
Un firewall nu este un simplu ruter sau calculator care asigur securitatea unei reele. El impune o
politic de securitate, de control a accesului, de autentificare a clienilor, de configurare a reelei. El
protejeaz o reea sigur din punct de vedere al securitii de o reea nesigur, n care nu putem
avea ncredere.
Firewall
Trafic
Reea autorizat
protejat Internet
Fiind dispus la intersecia a dou reele, un firewall poate fi folosit i pentru alte scopuri dct
controlul accesului :
- pentru monitorizarea comunicaiilor dintre reeaua intern i cea extern (servicii folosite,
volum de trafic, frecvena accesrii, distribuia n timp de etc.);
- pentru interceptarea i nregistrarea tuturor comunicaiilor dintre cele dou reele ;
- pentru criptare n reele virtuale.
8
reeaua este mai mare, cu att este mai greu de asigurat securitatea fiecrui calculator. Folosirea unui
firewall asigur cteva avantaje :
1) Protecia serviciilor vulnerabile prin filtrarea (blocarea) acelora care n mod obinuit sunt
inerent mai expuse. De exemplu un firewall poate bloca intrarea sau ieirea dintr-o reea
protejat a unor servicii expuse cum ar fi NFS, NIS etc. De asemenea mecanismul de dirijare
a pachetelor din Internet poate fi folosit pentru rutarea traficului ctre destinaiii
compromise. Prin intermediul ICMP firewall-ul poate rejecta aceste pachete i informa
administratorul de reea despre incident.
2) Impunerea unei politici a accesului n reea deoarece un firewall poate controla accesul
ntr-o reea privat. Unele calculatoare pot fcute accesibile dei exterior i altele nu. De
exemplu, serviciile de pot electronic i cele informaionele pot fi accesibile numai pe
unele calculatoare din reeaua intern protejndu-le pe celelalte de expuneri la atacuri.
3) Concentrarea securitii pe firewall reduce mult costurile acestei fa de cazul n care ar fi
distribuit pe fiecare staie. Folosirea altor soluii cum ar fi Kerberos, implic modificri la
fiecare sistem gazd, ceea ce este mai greu de implementat i mai costisitor.
4) ntrirea caracterului privat al informaiei care circul prin reea. n mod normal o
informaie considerat pe bun dreptate nesenzitiv (navigarea pe Web, citirea potei
electronice etc.) poate aduce atacatorilor informaii dorite despre utilizatori : ct de des i la
ce ore este folosit un sistem, dac s-a citit pota electronic, site-urile cele mai vizitate etc.
Asemenea iformaii sunt furnizate de serviciul finger, altfel un serviciu util n Internet.
Folosirea unui firewall poate bloca asemenea servicii cum ar fi finger, DNS etc. Blocarea
ieirii n exterior a informaiei DNS referitoare la sistemele gazd interne, numele i adresele
IP, ascunde informaie foarte cutat de atacatori.
5) Monitorizarea i realizarea de statistici privind folosirea reelei sunt mult uurate dac
ntregul trafic spre i dinspre Internet se face printr-un singur punct (firewall).
Folosirea unui firewall are i unele limitri i dejavantaje, inclusiv unele probleme de securitate pe
care nu le poate rezolva.
1. Restricionarea accesului la unele servicii considerate vulnarabile care sunt des solicitate
de utilizatori : FTP, telnet, http, NSf etc. Uneori politica de securitate poate impune chiar
blocarea total a acestora.
2. Posibilitatea existenei unor ui secrete Un firewall nu poate proteja mpotriva unor
trape care pot aprea n reea, de exemplu accesul prin modem la unele cailculatoare gazd.
Folosirea modemuri de vitez mare pe o conexiune PPP sau SLIP deschide o u
neprotejabil prin firewall.
3. Firewall-ul nu asigur protecie fa de atacurile venite din interior. Scurgerea de
informaii, atacurile cu virui, distrugerea intenionat din interiorul reelei nu pot fi protejate
de firewall.
4. Reducerea vitezei de comunicaie cu exteriorul (congestia traficului) este o problem
major a unui firewall. Ea poate fi depit prin alegerea unor magistrale de mare vitez la
interfaa acestuia cu reeaua intern i cea extern.
5. Fiabilitatea reelei poate fi redus dac i chiar dezastruoas dac sistemul firewall nu este
fiabil.
9
Comparnd avantajele i limitrile securitii prin firewall se poate concluziona c protejarea
resurselor unei reele este bine s se fac att prin sisteme firewall ct i prin alte meeanisme i
sisteme de securitate.
Politica de control a acesului la servicii definete n mod explicit acele servicii care sunt permise i
carte sunt refuzate, precum i cazurile de exepii i condiiile n care pot fi acceptate. O politic
realist trebuie s asigure un echilibru ntre protejarea reelei fa de anumite riscuri cunoscute i
asigurarea accesului utilizatorilor la resurse. Mai nti se definete politica de acces la serviciile
reelei, ca politic de nivel nalt, dup care se defionete politica de proiectare a firewall-ului ca
politic subsidiar. Se pot implementa diverse politici de acces la servicii :
- interzicerea accesului din Internet la reeaua proprie i accesul invers, din reea spre
Internet;
- accesul din Internet dar numai spre anumite staii din reeaua proprie, cum ar fi
serverele de informaii, serverele de e-mail ;
- accesul din internet spre anumite sisteme locale dar numai n situaii speciale i numai
dup autentificare reciproc.
Implementarea securitii pritr-un sistem firewall se poate face respecnd urmtorii pai:
- Definirea politicii de securitate prin firewall
- Definirea cerinelor de funcionare i securitate peri firewall
- Procurarea unui firewall
- Administrarea unui firewall.
Politica de securitate prin firewall are dou niveluri de abordare: politica de acces la servicii i
politica de proiectare a firewall-ului. Gradul de ndeplinire a securitii pe cele dou nivele depinde
n mare msur de arhitectura sistemului firewall. Pentru a defini o politic de proiectare a firewall-
ului, trebuie examinate i documentate urmtoarele:
10
Ce servicii urmeaz a fi folosite n mod curent i ocazional
Cum i unde vor fi folosite (local, la distan, prin Internet, de la domicilui)
Care este gradul de sensibilitate al informaiei, locul unde se afl i ce persoane au acces
au acces ocazional sau curent
Care sunt riscurile asociate cu furnizarea accesului la aceste informaii
Care este costul asigurrii proteciei
n vederea procurrii componenetelor soft i hard ale unui sistem firewall, trebuie definite ct se
poate de concret cerinele de funcionalitate i de securitate ale acestuia. Pentru aceasta este
recomandabil s se in seama de urmtoarele aspecte:
n ce msur poate fi suportat o politic de securitate impus de organizaie i nu de sistem
n sine
Flexibilitatea, gradul de adaptabilitate la nio servicii sau ceine determinate de schimbrile n
politica de securitate
S conin mecanisme avansate de autentificare sau posibiliti de instalare a acestora
S foloseeasc tehnici de filtrare de tip permitere/interzicere acces la sisteme, aplicaii,
servicii
Regulile de filtrare s permitp selectarea i combinarea ct mai multor atribute (adrese,
porturi, protocoale)
Pentru servicii ca TELNET, FTP etc s permit folosirea serviciului proxy individuale sau
comune
Firewall-ul i accesul public n reea trebuie corelate astfel nct serverele informaionale
publice s poat fi portejate de de firewall, dar s poat fi separate de celelalte sisteme de
reea care nu furnizeaz acces public
Posibilitatea ca firewall-ul i sistemul de operare s poat fi actualizate periodic
Un serviciu securitate foarte eficient relizabil prin firewall este filtrarea pachetelor. El permte sau
blocheaz trecerea unor anumite tipuri de pachete n funcie de un sistem de reguli stabilite de
administratorul de securitate. De exemplu filtrarea pachetelor IP se poater face dup diferite cmpuri
din antetul su: adresa IP a sursei, adresa IP a destinaiei, tipul protocol (TCP sau UDP), portul surs
sau portul destinaie etc.
Filtrarea se poate face ntr-o varietate de moduri: blocare conxiuni spre sau dinspre anumite
sisteme gazd sau reele, blocarea anumitor porturi etc.
Filtrarea de pachete se realizeaz, de obicei, la nivelul ruterelor. Multe rutere comerciale au
capacitatea de a filtra pachete pe baza cmpurilor din antet.
Urmtoarele servicii sunt nmod inerent vulnerabile i de accea se recomand blocarea lor la nivelul
firewall-ului:
tftp (trivial file transfer protocol), portul 69folosit de obicei pentru secvena de boot a
staiilor fr disc, a serverelor de terminale i a ruterelor. Configurat incorect, el poate fi
folosit pentru citirea oricrui fiier din sistem;
X Windows, porturile ncepnd cu 6000. Prin intermediul serverelor X intruii pot obine
controlul asupra unui sistem gazd;
11
RPC (Remote Procedure Call), portul 111, inclusiv NIS i NIF care pot fi folosite pentru a
obine informaii despre sistem, despre fiisrele stocate;
Rolgin, rsh, rexec, porturile 513, 514, 512 servicii care configurate incorect pot pemite
accesul neautorizat la conturi i comenzi de sistem.
Urmtoarele servicii sunt, n mod obinuit, filtrazte i restricionate numai la acele sisteme care
au nevoie de ele:
a) Telnet, portul 23, restricionat numai spre anumite sisteme;
b) Ftp, porturile 20 i 21, restricionat numai spre anumite siusteme;
c) SMTP, portul 25, restricionat numai spre un server central de mail;
d) RIP, portul 25, care poate fi uor nelat i determinat s redirecioneze pachete;
e) DNS, portul 53, care poate furniza informaii despre adrese, nume, foarte urmrit de
atacatori;
f) UUCP (Unix to Unix CoPy), portul 540, care poate fi utilizat pentru acces neautorizat;
g) NNTP (Network Nwes Transfer Protocol), portul 119 pentru accesul la diferite tiri din
reea;
h) http, (portul 80), restricionat spre o poart de ap0licaii pe care ruleaz servicii proxy.
Nivelurile de filtrare a pachetelor corespund nivelelor din arhitectura OSI sau TCP/IP.
Antetul de reea IP conine patru cmpuri relevante pentru filtrarea pachetelor: cele dou adrese,
surs i destinaie, tipul de protocol de nivel transport i cmpul de opiuni IP. Opiunea IP cea mai
relevant pentru faciliti de filtrare este dirijarea de la surs (source routing). Ea permite
edxpeditorului unui pachet s specifice ruta pe care acesta o va urma spre destinaie. Scopul su este
de a nu trimite pachete n zone n care tabelele de dirijare ale pachetelor sunt incorecte sau ruterele
sunt defecte.
Antetul de nivel transport conine cmpurile port surs i destinaie i cmpul de indicatori
(flag-uri). TCP fiind un protocol orientat pe conexiune, naintea transferului de pachete se sabilete
ruta prin intermediul unui pachet de setare care are cmpul ACK de un bit setat pe 0. Bitul ACK este
foarte important din punct de verdrere al filtrrii. Dac se dorete blocarea unei conexiunu TCP este
sufuicient a se bloca primul pachet identificat prin valoarea 0 a cmpului ACK. Chiar dac
urmtoarele pachete cu ACK =1 corespunztoare aceleiai conexiuni vor trece prin filtru , ele nu
vor fi asamblate la destinaie din cauza lipsei informaiilor despre conexiune, informaii coninute n
primul pachet. Practic, conexiunea nu va fi realizat. Pe baza acestei particulariti se poate impune
o politic de securitate care permite clienilor din interior s se conecteze n exterior la servere
externe, dar nu permite clienilor externi s se conecteze n interior (la servere interne).
n filtrarea UDP sunt posibile mai multe abordri:
- interzicerera tuturor pachetelor UDP;
- permiterea conexiunilor la anumite porturi UDP standard, considerate mai puin
periculoase;
- se poate seta ruterul ca s monitorizeze pachetele care pleac din interior spre exterior
astfel ca ele s fie rspuns pachetele (cererile) memorate (filtrare dinamic).
12
eviitate situaii neprevzute de acces. Regulile fac parte din configuraia ruterului. Pentru a decide
trimiterea sau blocarea unui pachet, regulule sunt parcurse pe rnd, pn se gsete o concordan i
se conformez acesteia. Dac nu se gsete o asemenea concordan, pachetului i se aplic regula
implicit. n cazul filtrrii dup adres, exist urmtoarele riscuri:
1. simpla filtrare nu poate fi sigur deoarece adresa surs poate fi falsificat. Un ruvoitor poate
simula c trimite pachete de la un utilizator de ncredere. El nu va primi rspuns, dar simplul
acces n reea poate reprezenta o ameninare.
2. atacul de tip omul din mijloc n care un atacator de interpune pe calea dintre surs i
destinaie i intercepteaz pachetele venind din ambele sensuri. Evitarea unei asemenae
situaii se poate face prin autentificare reciproc folosind mecanisme criptografice avansate.
Filtrarea dup serviciu este de fapt filtrarea dop porturile surs i destinaie. n UNIX porturile
privilegiate (01023) sunt ocupate doar de servere, nu de clieni. Pe aestea ruleaz aplicaii sau
servicii specifice superuser-ilor. Porturile mai mari de 1024 sunt filosite de clieni i se pot aloca n
mod aleator.
Un exemplu de produs firewall de firm este TIS Firewall Toolkit (TIS FWTK) produs de firma
Trust Information System. El reprezint un set de programe i practici de configurare care pot fi
folosite pentru construirea de diverse tipuri de firewall. Componentele pot fi folosite fie
independent, fie n combinaie cu componentele altor produse firewall. Produsul este conceput
pentru sisteme UNIX folosoind suita de protocoale TCP/IP printr-o interfa soket de tip Berkley.
Instalarea FWTK persupune o oarecare experien n administrarea sistemelor UNIX. Deoarece
conponentele sunt prezentate sub forma unor programe de cod surs scrise n C, sunt necesare
cuno;tine referitoare la folosirea utilitatrului make.
FWTK are trei componente de baz:
- concepii de proiectare
- practici de configurare i strategii de verificare
- componente software.
Cteva dintre componentele soft sunt urmtoarele:
1. SMAP/SMAPT pentru serverul de pot electronic. El ajut la implementarea serviciului
SMTP. SMAP accept mesaje venite din reea pe care le scrie ntr-un director propriu fr a permite
accesul la restul sistemului de fiiere. Fiierele create n acest director sunt blocate pn se ncarc
n intregime. Ulterior se deblocheaz i permite smapd-ului s acioneze asupra sa. Smapd-ul este
un program care inspecteaz coada, scoate fiierele i le trimite destinatarului prin sendmail.
13
2. FTP-GW este un server proxy pentru ftp care poate efectua operaii de tipul logare, interzicere,
autentificare etc. Pentru autentificare sunt recunoscute mai multe protocoale: SecurID produs de
Security Dynamics, SNK produs de Digital Patways, Silver Card etc.
3. TELNET-GW este un server proxy pentru telnet folosit la conectarea utilitzatorului la sistem.
4. PLUG-GW este un server proxy generic care suport o gam restrns de protocoale i
utilizatori. El examineaz adresa de la care s-a iniiat conexiunea i portul pe care a primit-o i
crteaz o nou conexiune la un alt sistem gazd pe acelai port.
14