7.

SECURITATEA SERVICIILOR N INTERNET

Securitatea informatic este o problem vital pentru toi utilizatorii de internet, fie c sunt
furnizori de servicii fie c sunt utilizatori. Nevoia tot mai mare de comunicare, pe de o parte i
nevoia de protecie i securitate a informaiilor pe de alt parte sunt dou cerine diferite i chiar
opuse care trebuie asigurate n reelele i sistemele informatice. n condiiile n care milioane de
ceeni folosesc n mod curent reelele de comunicaii i calculatoare pentru operaiuni bancare,
cumprturi, plata taxelor i serviciilor etc. problema securitii este de maxim importan. Au
aprut multe organizaii i organisme internaionale care se ocup de cele mai diverse aspecte ale
securitii informaionale, de la aspectele legislative, la cele organizatorice, procedurale i
funcionale. O prezentare detaliat a resurselor Internet privind resursele de securitate se gsete n
[VVP].
Securitatea este un subiect vast i ocup o multitudine de imperfeciuni. Majoritatea problemelor de
securitate sunt cauzate intenionat de persoane ruvoitoare care ncearc s obin beneficii, s
culeag informaii dar i s provoace ru.

7.1 Vulnerabilitatea reelelor

O reea de calculatoare este o structur deschis la care se pot conecta permanent noi
utilizatori i noi tipuri de echipamente (terminale, calculatoare) ceea ce lgrgete necontenit cercul de
utilizatori care au acces la resursele acesteia (programe, fiiere, baze de date). Vulnerabilitatea se
manifest pe dou planuri: atacul la integritatea fizic a informaiilor (distrugere, modificare) i
folosirea neautorizat a informaiilor (scurgerea de informaii). Referitor la securitatea n
informatic trebuie avute n vedere dou aspecte:
1. Integritatea resurselor unei reele, adic disponibilitatea lor indiferent de defectele de
funcionare hard sau soft care pot aprea, inclusiv detriorrile sau sustragerile ruvoitoare.
2. Caracterul privat ai informaiei, adic dreptul individual de a dispune ce informaie
poate fi stocat i vehiculat n reea i cine are dreptul s o accesze.
O reea sigur este acea reea n ale crui componenete (resurse, operaii) se poate avea
ncredere, adic furnizeaz servicii de calitate i corecte, conform cerinelor i specificaiilor.
Securitatea i caracterul privat trebuie s fie obiectul unor analize atente i responsabile din
nurmtoarele motive:
- reelele sunt sisteme mari sau foarte mari, de arie i complexitate considerabile. Penetrarea
reelelor i atacurile ruviotoare se pot face n multe locuri i modaliti nebnuite, greu depistabile.
- informaia este vulnerabil la atac n orice punct al reelei, de la introducere sa pn la utilizatorul
final.
- reelele de calculatoare sunt o component tot mai prezent n viaa economic, social,
individual, de funcionarea lor corect depinznd activitatea guvernamental, comercial,
industrial i chiar individual.

1
- tot mai multe informaii memorate n fiiere separate pot fi corelate, sinteizate, prelucrate prin
intermediul reelelor sporind posibilele consecinele nefaste asupra caracterului privat al acesora.

7.1.1 Categorii de atacuri asupra reelelor

n afara cazurilor de for major produse de calamiti naturale, dezastre, cderi de echipamente
etc pentru care msurile de securitate pervd salvri i copii de rezerv, dublarea echipamentelor,
tehnici de autoresabilire etc. n cazul atacurilor voite se disting dou categorii principale:
- atacuri pasive;
- atacuri active.
Atacurile pasive sunt acele atacuri n care intrusul observ informaia care trece prin canal, fr s
interfereze cu fluxul sau coninutul mesajelor. Se face doar analiza traficului, descoperirea identitii
entitilor care comunic, descoper lungimea i frecvena mesajelor chiar dac coninutul acestora
rmne ascuns. Aceste atacuri nu cauzeauz pagube i nu ncalc regulule de confidenialitate.
Scopul lor este de a asculta datele care sunt vehiculate prin reea.
Atacurile active sunt acelea n care intrusul dse angajeaz n furtul mesajelor, modificarea lor,
tergerea, rularea, schimbarea coninutuli sau a adreselor, redirecionarea, substituirea, refuzul unui
serviciu, repudierea etc. Acestea sunt serioase, cauzeaz perjudicii mari i consecine juridice. Tot n
categoria atacurilor active intr i programele create cu scop distructiv care afecteaz serios, uneori
catastrofal, securitatea calculatoarelor i a informaiilor. n aceast categorie intr: viruii, bombele
logice, viermii, trapele, programele tip cal troian, etc.

7.1.2 Nivele, principii, politici i mecanisme de securitate

Modelul de securitate n reele prevede protecia pe mai multe nivele care nconjoar obiectul
protejat.
Un prim nivel necesar este securitatea fizic care const, n general, ncuierea
echipamentelor, plasare a lor n camere speciale ferite de foc, intemperii, distrugere fizic fie
intenionat fie nu. Este o msur aplicabil tuturor sistemelor de calcul dar mai puin posibil n
cazul reelelor, mai ales cele de arie medie sau mare.
Cellalt nivel se refer la securitatea logic i cuprinde acele metode de cvontrol a accesului
la resursele i serviciile sistemului.
Au fost stabilite i unanim acceptate linii directoare i principii privind securitatea sistemelor
informatice care trebuiesc respectate de ctre toate entitile care produc, livreaz, instaleaz i
exploateaz sisteme informatice.
1. Principiul resonsabilitii care impune stabilirea clar a responsabilitilor referitoare
le securitate pe catre le au priprietarii, furnizotrii, madministratirii i utilizatorii
sistemelor infirmatice.
2. Principiul sensibilizrii conform cruia toate persoanele interesate asupra acestui aspect
trebuie corect i oportun informate.
3. Principiul eticii care impune elaborarea unor reguli de conduit n utilizarea SI.
4. Principiul pluridisciplinaritii conform cruia metodele tehnice i organoizartorice
care trebuie luate n vederea securitii SI au caracter multidiscilpilinar i cooperant.
5. Principiul proporionalitii care cere ca nivelul de securitate i msurile de protecie s
fie proporional cu importana informaiilor gestionate.

2
 6. Principiul integrrii conform cruia securitatea este necesar n toate stadiile de
prelucrare a informaiilor (creare, colectare, prelucrare, sztocare, transport, tergere, etc.).
7. Principiul oportunitii conform cruia mecanismele de securitate s rspund prompt
i s permit o colaborare rapid i eficient n caz de detectare a tentatuvelor de
corupere a mecanismelor de securitate.
8. Principiul reevalurii, care cere revizuirea periodic a cerinelor de securitae i a
mecaniismelor de implementare a lor.
9. Principiul democraiei, conform cruia cerinele de protecie i securitate s nu limiteze
nejustificat libera circulaie a informaiilor, conform principiilor care guverneaz
societile democratice.
Msurile de securitate care trebuie luate se pot clasifica n :
- Procedurale (utilizare de parole cu schimbarea lor periodic, instruirea personalului,
- Logice (criptare, control acces, ascundere informaii)
- Fizice (blocare acces, camere speciale, ecranare electromagnetic, etc.).

Fiecare organizaie care gestioneaz informaii sensibile (vulnerabile) trebuie s-i

defineasc o politic de securitate care trebuie s gseasc soluii urmtoarelor probleme :
- ce ameninri exist, de ce natur sunt, care se pot elimina i care nu;
- ce resurse pot fi protejate i la ce nivel;
- cu ce mijloace se poate asigura securitatea
- ce costuri introducerea, meninerea i actualizarea mecanismelor de securitate.
Politica de securitate se implementeaz prin servicii de securitate au ca scop reducerea
vulnerabilitii informaiilor i resurselor care poate duce la pierderea acestora, deteriorarea sau
ajungerea acestora n posesia unor persoane neaurtorizate. Fiecare serviciu de securitate se poate
implementa prin unul sau mai multe mecanisme de securitate, care, la rndul lor, cuprind o serie de
activiti.
Arhitectura de securitate specific sistemelor deschise interconectate cuprind 5 elemente
majore :
- Definirea serviciilor de securitate ;
- Definirea mecanismelor de securitate ;
- Descrierea principiile de securitate pe nivele;
- Implementatea serviciilor de securitate pe nivele ;
- Realizarea mecanismelor de securitate prin folosirea serviciilor de securitate

Serviciile de securitate definite de ISPO sunt: autentificarea, confidenialitatea, controilul accesului,

intergritatea i nerepudierea.

Mecanismele de securitate sunt folosite individual sau colectiv pentru construirea serviciilor de
securitate.
1. Criptarea transform datele de la entitatea surs ntr-o manier unic astfel nct s nu
poat fi cunoscut semnificaia lor dect n urma unei transformri inverse pereche,
numit decriptare. Este folosit n special pentru implementarea serviciului de
confidenialitate.
2. Semntura digital d sigurana c datele furnizate au fost produse chiar de ctre
semnatar. Mecanismul este folosit de ctre serviciul de integritate i nonrepudiere. La
rndul su se bazeaz pe dou proceduri:

3
 - procedura semnrii unui bloc de date
- procedura verificrii semnturii
3. Controlul accesului la resursele din Internet presupune recunoaterea identitii
solicitantului n baza unei nregistrri prealabile i posibilitatea validrii sau invalidrii
cererii. Tentativele de acces neautorizat trebuie semnalale prin diverse modaliti. Ca
tehnici de control a accesului se pot folosi : liste de acces, parole, etichete de securitate,
limitarea timpului de acces, limitarea numrului de ncercri de acces, calea de acces etc.
4. Autentificarea permite identificarea reciproc a entitilor corespondente.
5. Notarizarea presupune folosirtea unei a treia entiti numit notar, n care toate prile
au incredere deplin, care ofer garanie pruivind originea, destinaia, integritatea i
confidenialitatea informaiilor.
tiina i arta care se ocup cu studiul tiinific i metodic al criptrii mesajelor este
criptologia. Ea cuprinde dou laturi: criptografia i criptanaliza. Prima se ocup de metodele,
tehnicile i procedurile de criptare a mesajelor, de teoria codurilor i a cheilor de criptare iar a doua
de posibilitile de decriptare, de descoperire a textului clar dintr-unul cifrat, de spargere a codurilor.
Criptologia a fost studit i utilizat de foarte mult vreme dar performanele cele mai mari n
domeniu au aprut dup dezvoltarea sistemelor de calcul numeric puternice.
Termenul de criptografie provine din limba greac nsemnnd scriere secret. n lumea
specialitilor se face deosebire ntre cod i cifru. Un cod nlocuiete un cuvnt cu un alt cuvnt, pe
cnd un cifru este o transformare caracter cu caracter sau bit cu bit a mesajului. n prezent tehnicile
de secretizare prin codare sunt foarte puin folosite, fiind nlocuite prin tehnici de cifrare mult mai
performante. n principiu, cifrarea transform mesajului clar ntr-unul cifrat prin aplicarea unei
funcii parametrizate de o cheie, astfel nct semnificaia mesajului s fie ascuns iar descifrarea s
nu fie posibil fr a poseda cheia corespunzutoare. Din punct de vedere al cheii de cifrare,
algoritmii se mpart n ndou clase:
- algoritmi cu chei secrete (DES, AES-Advanced Encryption Standard);
- algoritmi cu chei publice (RAS)

7.2. Securitatea n Internet

Securitatea n Internet se poate realiza pe mai multe nivele i subnivele, individual sau
combinat pentru a realiza un grad de protecie cerut.

Securitatea la nivel fizic

Serviciile de securitate la nivel fizic asigur o protecie punct la punct pe canalul fizic de
legtur, ntre entitile care comunic, fie c sunt sisteme finale, fie intermediare. Avantajul major
al securitii pe acest nivel este independena de protocoalele implementate pe nivelele suprerioare.
Dezavantajul const n dependena de tehnologia de comunicaie folosit la nivel fizic (tipuri de
interfee, rate de transmisie, probleme de sincronizare etc.). Aici se realizeaz de regul
confidenialitatea traficului i securizarea circuitului orientat pe conexiune.

Securitatea la nivel legtur de date

Serviciile de securitate la nivel legtur de date sunt tot de tipul punct la punct. Nivelul de
securitate este nc redus, determinat n nprincipal de facilitile de detecie i eventual corecie a
erorilor., de secveniete a transmisiei funcie de caracteristcile canalului. Criptarea la nivel 2 nu este

4
recomandat deoarece ofer mult informaie unui adversar care intercepteaz pachete, cmpurile de
control fiind n clar. Principalul dezavantaj al criptrii la acest nivel este c datele sunt memorate n
clar n fiecare nod intermediar i ofer faciliti de atac multiple ruvoitorilor.
Serviciile de securitate la nivel reea pot fi realizate att ntre sistemele finale ct i intre
sisteme finale i rutere sau ntre dou rutere. De la acest nivel ele ncep s devin dependente de
protocoalele folosite pe nivelele superioare. Este posibil securizarea unei anumite rute din reea (de
exemplu criptarea datelor de pe acea rut i transmisia n clar pe alte rute). Unele pachete care trec
printr-un nod intermediar (ruter) sunt criptate, altele nu, n funcie de rut. Antetul de nivel reea al
pachetelor nu este criptat, ceea ce face ca s se asigure numai integritatea i confidenialitatea
datelor transmise, nu i a traficului.
Serviciile de securitate la nivel transport
Nivelul transport ofer mai multe servicii de securitate i mai complete: confidenialitatea
(orientat sau nu pe conexiune), integritatea, autentificarea originii datelor, autentificarea entitilor
pereche, controlul accesului. Deoarece nivelul transport asigur servucii dew transter de date ntre
surs i destinaie, adic ntre utilizatori finali, i serviciile de securitate au acelai caracter.
Nivelele sesiune i prezentare nu au referiri privitoare la implementarea de servicii de
securitate, dei confidenialitatea prin criptare sau altele (autentificarea etc.) pot fi evident
realizabile.
Nivelul aplicaie asigur implementarea tuturor serviciilor de securitate, ba mai mult chiar,
unele, de exemplu, nerepudierea mesajelor poate fi realizat numai la acest nivel. Avantajul major al
asigurrii securitii la acest nivel este independena de sistemele de operare i de protocoalele
utilizate pe nivelele inferioare. n schimb, trebuie menionat c la acest nivel securitatea este
dependent de aplicaie (trebuie implementat individual pentru fiecare aplicaie).
Aplicaiile de baz ale Internetului (FTP, SMTP, TELNET, HTTP, DNS, POP, WWW etc.)
ruleaz pe servere, ele reprezentnd acdevrate pori prin care utilizatorii din lumea exterioar pot
accesa informaii de pe un calculator privat. Fiecare server trebuie s aib urmtoarele faciliti:
S determine ce informaie sau aciune este serut de client;
S decid dac aceste are dreptul s acceseze informsaia, utiliznd eventual un
procedur de autentificare (persoan sau program);
S transfere informaia cerut sau s execute programul cerut.

Protecia serverelor se poate face prin mai multe msuri cum ar fi:
Autentificarea sigur a clienilor prin parolee sau protocoale criptografice (cum ar fi
Kerberos);folosirea unui firewall care s separe reeaua intern de lumea exterioar;
Separarea fizic a reelei interne de cea extern. Accesul la reeaua extern (Internet, WWW,
etc.) se face prin staii separate.
Crearea unei reele separate pentru datele confideniale;
Dezactivarea tuturor serviciilor inutile i protejarea lor prin programe de tip wrapper.

7.3 Tehnici de securitate n reele

7.3.1 Servere de autentificare Kerberos

Kerberos este la ora actual cel mai puternic i mai folosit serviciu de autentificare din lume. El
permite utilizatorilor s comunice n reea pentru a-i dezvlui identitatea i pentru a se autentifica n

5
timp real, ntr-un mediu distribuit nesecurizat. Este un serviciu de autentificare i nu de autorizare,
n care parolele sunt folosite derept chei i nu sunt niciodat transmise n clar prin reea.
Kerberos este folosit de protocoalele de nivel aplicaie (ftp, telnet etc.) pentru a asigura
securitatea comunicaiilor cu gazda. El are dou obiective principale: autentificarea i distribuia
cheilor i furnizeaz urmtoarele servicii:
- autentificarea mutual i comunicaie sigur ntre dou entiti ale unei reele deschise;
- distribuie chei secrete oferind macanisme pentru transferul siugur al acestora prin reea;
- indentificarea sigur a utilizatorilor individuali care apeleaz servicii de pe calculatoarele
gazd.
Kerberos este utilizat n SUA, o variant similar dezvoltat n Europa, compatibil cu acesta
este SESAME.
Protocolul de autentificare Kerberos folosete o a treia entitate (ter de ncredere) care furnizeaz
tichete de identificare i chei criptografice ctre utilizatori sau aplicaii. Un tichet este un bloc de
cteva sute de octei care poate fi folosit n aproape orice protocol de reea.
Protocolul Kerberos conine urmtoarele entiti:
- Serverul de autentificare Kerberos
- Entitatea de acordare a tichetului
- Clientul C care trebuie autentificat pentru a i se acorda acces la serviciul furnizat de
serverul S
- Serverul S la care cere acces din partea clientului.

Server Server de Server

Kerberos tichete (ST) (S)

2 4 5
3
6
1
Client
(C)

Fig. 7.1 Protocolul der autentificare Kerberos

7.3.2 Standardul de pot electronic cu faciliti de securitate (PEM)

Pota electronic este unul dentre cele mai rspndite servicii pe Internet folosit de milioane
de utilizatori. Ca urmare au fost dezvoltate aplicaii de securitate specifice acestui serviciu cum ar fi
PEM PrivacyEnhanced Mail care ofer urmtoareler faciliti:
- confidenialitatea (secretizarea) mesajelor;
- autentificarea originii mesajelor
- integritatea legturii n reea
- nerepudiarea legturii prin dovedirea originii.
Confidenialitatea protejeaz coninutul mesajelor mpotriva citirii lor neautorizate de ctre
alte persoane dect cele autorizate specificate de emitent. Accesul nedorit la mesaje se poate face fie
prin inteceptatrea comunicaiei din linia de transmisie, fie prin accesul la cutia potal care de fapt

6
este o locaie pe un hard disk sau un alt mijloc de stocare. n aceste sitiaii protecia se face prin
criptarea mesajelor.
Autentificarea originii mesajelor permite receptorului unui mesaj prin pot electronic s
determine n mod sigur identitatea emitorului. Este un serviciu foarte necesar asigurrii
credibilitii potei electronice att de rspndit i de util n prezent.
Integritatea legturii furnizeaz receptorului sigurana c mesajul primit este identic cu cel
emis la origine, c nu a fort nlocuit pe traseu cu altul sau nu a fost modificat chiar i parial. De
regul, autentificarea i integritatea sunt servicii care se folosesc mpreun.
Nerepudierea mesajelor mpiedic transmitorul s nu recunoasc faptul c el i numai el a
transmis mesajul n discuie chiar dac el a trecut i prin intermediari. Utilitatea serviciului de
nerepudiere este evident n situaia transmiterii unor ordine, decizii, dispoziii etc. cu caracter
imperativ si care pot genera consecine majore unele chiar cu caracter juridic.
Implementarea serviciilor de securitate n conformitate cu standardul PEM se poate face
peste infrastructura de pot electronic existent. Exist dou variante de integrare:
1) cu includerea funciilor de securitate n nagentul utilizator (UA) cu avantajul obinerii
unei interfee mai bune cu utilizatorul.
2) fr modificare agentului utilizator prin realizarea unui filtru de securizare a mesajelor n
exteriorul UA.

Pentru a putea asigura serviciile de securitate, PEM folosete o varietate de algoritmi

criptografici necesari cifrrii mesajelor, distribuirii cheilor, verificrii integritii mesajelor sau
autentificrii. PEM folosete sisteme simetrice i nesimetrice pentru cifrarea mesajelor, integritate i
autentificare. n cazul sistemelor simetrice cheia de cifrare este identic cu cea de descifrare i ca
urmare ele trebuie s fie secrete i distribuite utilizatorilor pe canale sigure, pe baza unui sistem de
management al cheilor.
Prelucrarea uneu scrisori PEM se face dup un algoritm prezentat n [VVP]. O scrisoare este
format din 2 zone : antetul mesajului i coninutul mesajului. Datele din antet trec de regul
nemodificate prin prelucrrile PEM. Coninutul scrisorii care face obiectul prelucrrii este ncadrat
de unul sau mai multe antete PEM /delimitatori PEM care implemeteaz serviciile de securitate
folosite. Paii n care se face prelucrarea PEM sunt de regul urmtorii:
1) Aducerea la forma canonic, adic o form standard specific reelei. Tipul de
canonizare este specificat n cmpul Content Domain din antetul PEM.
2) Calculul valorii de integritate a mesajului (MIC- Message Integrity Code)
3) Cifrarea (opional) dac se consider necesar se face o singur datr indiferent de ci
destinatari l vor primi, folosind o tehnic de criptare acceptat, fr a fi impus una
anume.
4) Codificarea n vederea transmisiei arew rolul de a converti mesajele de tip MIC ONLY
i ENCRIPTED care sunt irui oarecare de bii n caractere care pot fi transmise n
sistemele de transport al mesajelor.

7.3.3 PGP (Pretty Good Privacy)

Este un pachet de programme destinat potei electronice i a fiierelor proprii prin cifrare
clasic cu chei publice care poate funciona pe diferite platforme (Windows, UNIX, etrc.). PGP
poate asigura urmtoarele faciliti :
- criptarea fiierelor folosind algoritmi simetrici sau nesimetrici ;

7
 - creerea de chei publice sau secrete folosite la criptare;
- gestionarea cheilor prin crearea i ntreinerea unei baze de date destinate acestui scop ;
- transmiterea i recepionarea de mesaje criptate prin e-mail ;
- folosirea semnturilor digitale ;
- certificarea cheilor (semnarea electronic a cheilor) ;
- revocarea, dezactivarea i custodia cheilor cu posibilitatea dezactivrii, revocrii i
schimbrii lor n caz de atac ctiptografic;
- configurarea dup necesiti a PGP-ului;
- folosirea server-elor de chei de pe Internet.

7.4 Securitatea prin firewall

Un firewal (zid de protecie, perete antifoc) este un sistem de protecie plasat nter dou reele care
are urmtoarele proprieti :
- oblig tot traficul dintre cele dou reele s treac prin el i numai prin el, pentru ambele
sensuri de transmisie ;
- filtreaz traficul i permite trecerea doar a celui autorizat prin politica de securitate ;
- este el nsui rezistent la ncercrile de penetrare, ocolire, spagere exercitate de diveri.

Un firewall nu este un simplu ruter sau calculator care asigur securitatea unei reele. El impune o
politic de securitate, de control a accesului, de autentificare a clienilor, de configurare a reelei. El
protejeaz o reea sigur din punct de vedere al securitii de o reea nesigur, n care nu putem
avea ncredere.

Firewall
Trafic
Reea autorizat
protejat Internet

Fig. 7.2 Dispunerea unui firewall

Fiind dispus la intersecia a dou reele, un firewall poate fi folosit i pentru alte scopuri dct
controlul accesului :
- pentru monitorizarea comunicaiilor dintre reeaua intern i cea extern (servicii folosite,
volum de trafic, frecvena accesrii, distribuia n timp de etc.);
- pentru interceptarea i nregistrarea tuturor comunicaiilor dintre cele dou reele ;
- pentru criptare n reele virtuale.

7.4.1 Avantajele unui firewall

ntr-un mediu fr firewall securitatea reelei se bazeaz exclusiv pe securitatea calculatoarelor

gazd care trebuie s coopereze pentru realizarea unui nivel corespunztor de securitate. Cu ct

8
reeaua este mai mare, cu att este mai greu de asigurat securitatea fiecrui calculator. Folosirea unui
firewall asigur cteva avantaje :
1) Protecia serviciilor vulnerabile prin filtrarea (blocarea) acelora care n mod obinuit sunt
inerent mai expuse. De exemplu un firewall poate bloca intrarea sau ieirea dintr-o reea
protejat a unor servicii expuse cum ar fi NFS, NIS etc. De asemenea mecanismul de dirijare
a pachetelor din Internet poate fi folosit pentru rutarea traficului ctre destinaiii
compromise. Prin intermediul ICMP firewall-ul poate rejecta aceste pachete i informa
administratorul de reea despre incident.
2) Impunerea unei politici a accesului n reea deoarece un firewall poate controla accesul
ntr-o reea privat. Unele calculatoare pot fcute accesibile dei exterior i altele nu. De
exemplu, serviciile de pot electronic i cele informaionele pot fi accesibile numai pe
unele calculatoare din reeaua intern protejndu-le pe celelalte de expuneri la atacuri.
3) Concentrarea securitii pe firewall reduce mult costurile acestei fa de cazul n care ar fi
distribuit pe fiecare staie. Folosirea altor soluii cum ar fi Kerberos, implic modificri la
fiecare sistem gazd, ceea ce este mai greu de implementat i mai costisitor.
4) ntrirea caracterului privat al informaiei care circul prin reea. n mod normal o
informaie considerat pe bun dreptate nesenzitiv (navigarea pe Web, citirea potei
electronice etc.) poate aduce atacatorilor informaii dorite despre utilizatori : ct de des i la
ce ore este folosit un sistem, dac s-a citit pota electronic, site-urile cele mai vizitate etc.
Asemenea iformaii sunt furnizate de serviciul finger, altfel un serviciu util n Internet.
Folosirea unui firewall poate bloca asemenea servicii cum ar fi finger, DNS etc. Blocarea
ieirii n exterior a informaiei DNS referitoare la sistemele gazd interne, numele i adresele
IP, ascunde informaie foarte cutat de atacatori.
5) Monitorizarea i realizarea de statistici privind folosirea reelei sunt mult uurate dac
ntregul trafic spre i dinspre Internet se face printr-un singur punct (firewall).

7.4 2 Dezavantajele unui firewall

Folosirea unui firewall are i unele limitri i dejavantaje, inclusiv unele probleme de securitate pe
care nu le poate rezolva.
1. Restricionarea accesului la unele servicii considerate vulnarabile care sunt des solicitate
de utilizatori : FTP, telnet, http, NSf etc. Uneori politica de securitate poate impune chiar
blocarea total a acestora.
2. Posibilitatea existenei unor ui secrete Un firewall nu poate proteja mpotriva unor
trape care pot aprea n reea, de exemplu accesul prin modem la unele cailculatoare gazd.
Folosirea modemuri de vitez mare pe o conexiune PPP sau SLIP deschide o u
neprotejabil prin firewall.
3. Firewall-ul nu asigur protecie fa de atacurile venite din interior. Scurgerea de
informaii, atacurile cu virui, distrugerea intenionat din interiorul reelei nu pot fi protejate
de firewall.
4. Reducerea vitezei de comunicaie cu exteriorul (congestia traficului) este o problem
major a unui firewall. Ea poate fi depit prin alegerea unor magistrale de mare vitez la
interfaa acestuia cu reeaua intern i cea extern.
5. Fiabilitatea reelei poate fi redus dac i chiar dezastruoas dac sistemul firewall nu este
fiabil.

9
 Comparnd avantajele i limitrile securitii prin firewall se poate concluziona c protejarea
resurselor unei reele este bine s se fac att prin sisteme firewall ct i prin alte meeanisme i
sisteme de securitate.

7.4.3 Componentele unui firewall

Componentele fundamentale ale unui firewall sunt :

- politica de control a acesului la servicii ;
- mecanismele de autentificare ;
- filtrarea pachetelor;
- serviciile proxy i porile de nivel aplicaie.

Politica de control a acesului la servicii definete n mod explicit acele servicii care sunt permise i
carte sunt refuzate, precum i cazurile de exepii i condiiile n care pot fi acceptate. O politic
realist trebuie s asigure un echilibru ntre protejarea reelei fa de anumite riscuri cunoscute i
asigurarea accesului utilizatorilor la resurse. Mai nti se definete politica de acces la serviciile
reelei, ca politic de nivel nalt, dup care se defionete politica de proiectare a firewall-ului ca
politic subsidiar. Se pot implementa diverse politici de acces la servicii :
- interzicerea accesului din Internet la reeaua proprie i accesul invers, din reea spre
Internet;
- accesul din Internet dar numai spre anumite staii din reeaua proprie, cum ar fi
serverele de informaii, serverele de e-mail ;
- accesul din internet spre anumite sisteme locale dar numai n situaii speciale i numai
dup autentificare reciproc.

Politica de proiectare a firewall-ului se bazeaz pe dou sub-politici :

1. ceea ce nu este interzis n mod explicit este permis
2. ceea ce nu este permis n mod explicit este interzis.
Prima subpolitic este mai puin oportun deoarece ofer posibiuliti de a ocoli sistemul de
securitate prin firewall. Pot aprea servicii noi, necunoscute, se pot folosi porturi TCP/UDP
nestandard etc. Eficiena unui sistem firewall de protecie a unei reele depinde de de politica de
acces la servicii, de politica de proiectare a firewall-ului i de arhitectura acestuia.

7.4.4 Implementarea securitii prin firewall

Implementarea securitii pritr-un sistem firewall se poate face respecnd urmtorii pai:
- Definirea politicii de securitate prin firewall
- Definirea cerinelor de funcionare i securitate peri firewall
- Procurarea unui firewall
- Administrarea unui firewall.

Politica de securitate prin firewall are dou niveluri de abordare: politica de acces la servicii i
politica de proiectare a firewall-ului. Gradul de ndeplinire a securitii pe cele dou nivele depinde
n mare msur de arhitectura sistemului firewall. Pentru a defini o politic de proiectare a firewall-
ului, trebuie examinate i documentate urmtoarele:

10
 Ce servicii urmeaz a fi folosite n mod curent i ocazional
Cum i unde vor fi folosite (local, la distan, prin Internet, de la domicilui)
Care este gradul de sensibilitate al informaiei, locul unde se afl i ce persoane au acces
au acces ocazional sau curent
Care sunt riscurile asociate cu furnizarea accesului la aceste informaii
Care este costul asigurrii proteciei

n vederea procurrii componenetelor soft i hard ale unui sistem firewall, trebuie definite ct se
poate de concret cerinele de funcionalitate i de securitate ale acestuia. Pentru aceasta este
recomandabil s se in seama de urmtoarele aspecte:
n ce msur poate fi suportat o politic de securitate impus de organizaie i nu de sistem
n sine
Flexibilitatea, gradul de adaptabilitate la nio servicii sau ceine determinate de schimbrile n
politica de securitate
S conin mecanisme avansate de autentificare sau posibiliti de instalare a acestora
S foloseeasc tehnici de filtrare de tip permitere/interzicere acces la sisteme, aplicaii,
servicii
Regulile de filtrare s permitp selectarea i combinarea ct mai multor atribute (adrese,
porturi, protocoale)
Pentru servicii ca TELNET, FTP etc s permit folosirea serviciului proxy individuale sau
comune
Firewall-ul i accesul public n reea trebuie corelate astfel nct serverele informaionale
publice s poat fi portejate de de firewall, dar s poat fi separate de celelalte sisteme de
reea care nu furnizeaz acces public
Posibilitatea ca firewall-ul i sistemul de operare s poat fi actualizate periodic

7.4.5 Filtrarea pachetelor

Un serviciu securitate foarte eficient relizabil prin firewall este filtrarea pachetelor. El permte sau
blocheaz trecerea unor anumite tipuri de pachete n funcie de un sistem de reguli stabilite de
administratorul de securitate. De exemplu filtrarea pachetelor IP se poater face dup diferite cmpuri
din antetul su: adresa IP a sursei, adresa IP a destinaiei, tipul protocol (TCP sau UDP), portul surs
sau portul destinaie etc.
Filtrarea se poate face ntr-o varietate de moduri: blocare conxiuni spre sau dinspre anumite
sisteme gazd sau reele, blocarea anumitor porturi etc.
Filtrarea de pachete se realizeaz, de obicei, la nivelul ruterelor. Multe rutere comerciale au
capacitatea de a filtra pachete pe baza cmpurilor din antet.
Urmtoarele servicii sunt nmod inerent vulnerabile i de accea se recomand blocarea lor la nivelul
firewall-ului:
tftp (trivial file transfer protocol), portul 69folosit de obicei pentru secvena de boot a
staiilor fr disc, a serverelor de terminale i a ruterelor. Configurat incorect, el poate fi
folosit pentru citirea oricrui fiier din sistem;
X Windows, porturile ncepnd cu 6000. Prin intermediul serverelor X intruii pot obine
controlul asupra unui sistem gazd;

11
 RPC (Remote Procedure Call), portul 111, inclusiv NIS i NIF care pot fi folosite pentru a
obine informaii despre sistem, despre fiisrele stocate;
Rolgin, rsh, rexec, porturile 513, 514, 512 servicii care configurate incorect pot pemite
accesul neautorizat la conturi i comenzi de sistem.
Urmtoarele servicii sunt, n mod obinuit, filtrazte i restricionate numai la acele sisteme care
au nevoie de ele:
a) Telnet, portul 23, restricionat numai spre anumite sisteme;
b) Ftp, porturile 20 i 21, restricionat numai spre anumite siusteme;
c) SMTP, portul 25, restricionat numai spre un server central de mail;
d) RIP, portul 25, care poate fi uor nelat i determinat s redirecioneze pachete;
e) DNS, portul 53, care poate furniza informaii despre adrese, nume, foarte urmrit de
atacatori;
f) UUCP (Unix to Unix CoPy), portul 540, care poate fi utilizat pentru acces neautorizat;
g) NNTP (Network Nwes Transfer Protocol), portul 119 pentru accesul la diferite tiri din
reea;
h) http, (portul 80), restricionat spre o poart de ap0licaii pe care ruleaz servicii proxy.

Nivelurile de filtrare a pachetelor corespund nivelelor din arhitectura OSI sau TCP/IP.
Antetul de reea IP conine patru cmpuri relevante pentru filtrarea pachetelor: cele dou adrese,
surs i destinaie, tipul de protocol de nivel transport i cmpul de opiuni IP. Opiunea IP cea mai
relevant pentru faciliti de filtrare este dirijarea de la surs (source routing). Ea permite
edxpeditorului unui pachet s specifice ruta pe care acesta o va urma spre destinaie. Scopul su este
de a nu trimite pachete n zone n care tabelele de dirijare ale pachetelor sunt incorecte sau ruterele
sunt defecte.
Antetul de nivel transport conine cmpurile port surs i destinaie i cmpul de indicatori
(flag-uri). TCP fiind un protocol orientat pe conexiune, naintea transferului de pachete se sabilete
ruta prin intermediul unui pachet de setare care are cmpul ACK de un bit setat pe 0. Bitul ACK este
foarte important din punct de verdrere al filtrrii. Dac se dorete blocarea unei conexiunu TCP este
sufuicient a se bloca primul pachet identificat prin valoarea 0 a cmpului ACK. Chiar dac
urmtoarele pachete cu ACK =1 corespunztoare aceleiai conexiuni vor trece prin filtru , ele nu
vor fi asamblate la destinaie din cauza lipsei informaiilor despre conexiune, informaii coninute n
primul pachet. Practic, conexiunea nu va fi realizat. Pe baza acestei particulariti se poate impune
o politic de securitate care permite clienilor din interior s se conecteze n exterior la servere
externe, dar nu permite clienilor externi s se conecteze n interior (la servere interne).
n filtrarea UDP sunt posibile mai multe abordri:
- interzicerera tuturor pachetelor UDP;
- permiterea conexiunilor la anumite porturi UDP standard, considerate mai puin
periculoase;
- se poate seta ruterul ca s monitorizeze pachetele care pleac din interior spre exterior
astfel ca ele s fie rspuns pachetele (cererile) memorate (filtrare dinamic).

Reguli de filtrare a pachetelor

Filtrarea pechetelor se face dup reguli care fac parte din configurarea ruterului i care pot fi reguli
explicite sau implicite. De exemplu, interzicerea a tot ce nu este permis n mod explicit este o
interzicere implicit. Regula filtrtrii implicite este mai bun din punct de vedere al securitii
deoarece ne asigur c n afara cazurilor pe care le dorim s treac, celelalte sunt filtrate, deci sunt

12
eviitate situaii neprevzute de acces. Regulile fac parte din configuraia ruterului. Pentru a decide
trimiterea sau blocarea unui pachet, regulule sunt parcurse pe rnd, pn se gsete o concordan i
se conformez acesteia. Dac nu se gsete o asemenea concordan, pachetului i se aplic regula
implicit. n cazul filtrrii dup adres, exist urmtoarele riscuri:
1. simpla filtrare nu poate fi sigur deoarece adresa surs poate fi falsificat. Un ruvoitor poate
simula c trimite pachete de la un utilizator de ncredere. El nu va primi rspuns, dar simplul
acces n reea poate reprezenta o ameninare.
2. atacul de tip omul din mijloc n care un atacator de interpune pe calea dintre surs i
destinaie i intercepteaz pachetele venind din ambele sensuri. Evitarea unei asemenae
situaii se poate face prin autentificare reciproc folosind mecanisme criptografice avansate.
Filtrarea dup serviciu este de fapt filtrarea dop porturile surs i destinaie. n UNIX porturile
privilegiate (01023) sunt ocupate doar de servere, nu de clieni. Pe aestea ruleaz aplicaii sau
servicii specifice superuser-ilor. Porturile mai mari de 1024 sunt filosite de clieni i se pot aloca n
mod aleator.

Procurarea unui firewall

Exist dou variante de procurare a unui firewall: realizare proprie sau de pe Internet variante libere
i cumprarea unui produs profesional la cheie. Ambele au avantaje i dezavantaje. Un firewall de
firm este puternic, verificat i ofer multe facilitidar este mai scump. Unul construit pentru o
anumit organizaie sau reea permite ca specialitii firmei s neleag specificaiile de proiectare i
de utilizure a acestuia.
nainte de a se lua decizia de procurare trebuie s se afle rspunsuri la intrebri de fgelul:
- cum se va verifica dac produsul firewall respect cerinele funcionale
- cum poate fi testat mpotriva diverselor atacuri
- cine, cum i cu ce mijloace va face ntreinerea, repararea, actualizarea sa
- cum i cine va face instruirea utilizatorilor
- cun vor fi rezolvate eventuale incidente de securitate.

Un exemplu de produs firewall de firm este TIS Firewall Toolkit (TIS FWTK) produs de firma
Trust Information System. El reprezint un set de programe i practici de configurare care pot fi
folosite pentru construirea de diverse tipuri de firewall. Componentele pot fi folosite fie
independent, fie n combinaie cu componentele altor produse firewall. Produsul este conceput
pentru sisteme UNIX folosoind suita de protocoale TCP/IP printr-o interfa soket de tip Berkley.
Instalarea FWTK persupune o oarecare experien n administrarea sistemelor UNIX. Deoarece
conponentele sunt prezentate sub forma unor programe de cod surs scrise n C, sunt necesare
cuno;tine referitoare la folosirea utilitatrului make.
FWTK are trei componente de baz:
- concepii de proiectare
- practici de configurare i strategii de verificare
- componente software.
Cteva dintre componentele soft sunt urmtoarele:
1. SMAP/SMAPT pentru serverul de pot electronic. El ajut la implementarea serviciului
SMTP. SMAP accept mesaje venite din reea pe care le scrie ntr-un director propriu fr a permite
accesul la restul sistemului de fiiere. Fiierele create n acest director sunt blocate pn se ncarc
n intregime. Ulterior se deblocheaz i permite smapd-ului s acioneze asupra sa. Smapd-ul este
un program care inspecteaz coada, scoate fiierele i le trimite destinatarului prin sendmail.

13
2. FTP-GW este un server proxy pentru ftp care poate efectua operaii de tipul logare, interzicere,
autentificare etc. Pentru autentificare sunt recunoscute mai multe protocoale: SecurID produs de
Security Dynamics, SNK produs de Digital Patways, Silver Card etc.
3. TELNET-GW este un server proxy pentru telnet folosit la conectarea utilitzatorului la sistem.
4. PLUG-GW este un server proxy generic care suport o gam restrns de protocoale i
utilizatori. El examineaz adresa de la care s-a iniiat conexiunea i portul pe care a primit-o i
crteaz o nou conexiune la un alt sistem gazd pe acelai port.

7.5 Mecanismele de autentificare avansate

Cartelele inteligente, jetoanele de autentificare, tehnicile biometrice, sunt din ce n ce mai
folosite n locul parolelor pentru autentificarea entitilor care auu acces la informaii vehiculate sau
stocate n reele. Deoarece firewall-ul este locul fizic care concentreaz accesul ntr-o reea, acesta
este , n mod loigic, i locul n care se afl hardwer-ul i software-ul pentru autentificare.
Printre macanismele avansate de autentificare de actualitate sunt parolele de unic folosion i
cartelele inteligente.
Sistemele cu parolele de unic folosin conin o tabel de parole n care se intr la fiecare cerere
de acces la resursele de reea, se valideaz individual intrarea n tabel iar parolele se genereaz
individual pe baza unui algoritm.
Cartelele inteligente se bazeaz pe mecanismul numit rspuns la provocare care funcioneaz
astfel :
- utilizatorul introduce un nume de logare
- sistemul genereaz un numr aleator (porvocare) i l trimite utilizatorului
- utilizatorul cripteaz acest numr cu o cheie cunoscut de sistem i trimite rezultatul
- sistemul cripteaz i el acel numr aleator cu aceeai cheie i compar rezultatele. n
caz de coinciden solicitantul este acceptat n sistem.

14