Documente Academic
Documente Profesional
Documente Cultură
FACULTATEA DE INGINERIE
SECURITATEA SISTEMELOR
INFORMATICE
note de curs i aplicaii
pentru studenii Facultii de Inginerie
2007
Cuvnt nainte,
Autorul
1. Noiuni privind securitatea informaiilor
1.1. Introducere
Societatea mbrieaz din ce n ce mai mult tehnologia informaiei. Informaia
care pn nu de mult avea la baz hrtia, mbrac acum forma electronic. Informaia pe
suport de hrtie mai este nc rezervat documentelor oficiale, acolo unde este necesar
o semntur sau o stampil. Adoptarea semnturii electronice deschide ns perspectiva
digitizrii complete a documentelor, cel puin din punct de vedere funcional.
Acest nou mod de lucru, n care calculatorul a devenit un instrument
indispensabil i un mijloc de comunicare prin tehnologii precum pota electronic sau
Internetul, atrage dup sine riscuri specifice. O gestiune corespunztoare a
documentelor n format electronic face necesar implementarea unor msuri specifice.
Msurile ar trebui s asigure protecia informaiilor mpotriva pierderii, distrugerii sau
divulgrii neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea
informaiei gestionat de sistemele informatice n noul context tehnologic.
Securitatea informaiei este un concept mai larg care se refer la asigurarea
integritii, confidenialitii i disponibilitii informaiei. Dinamica tehnologiei
informaiei induce noi riscuri pentru care organizaiile trebuie s implementeze noi
msuri de control. De exemplu, popularizarea unitilor de inscripionat CD-uri sau a
memoriilor portabile de capacitate mare, induce riscuri de copiere neautorizat sau furt
de date.
Lucrul n reea i conectarea la Internet induc i ele riscuri suplimentare, de
acces neautorizat la date sau chiar frauda.
Dezvoltarea tehnologic a fost acompaniat i de soluii de securitate,
productorii de echipamente i aplicaii incluznd metode tehnice de protecie din ce n
ce mai performante. Totui, n timp ce n domeniul tehnologiilor informaionale
schimbarea este exponenial, componenta uman rmne neschimbat. Asigurarea
securitii informaiilor nu se poate realiza exclusiv prin msuri tehnice, fiind n
principal o problem uman.
Majoritatea incidentelor de securitate sunt generate de o gestiune i organizare
necorespunztoare, i mai puin din cauza unei deficiene a mecanismelor de securitate.
Este important ca organizaiile s contientizeze riscurile asociate cu utilizarea
tehnologiei i gestionarea informaiilor i s abordeze pozitiv acest subiect printr-o
contientizare n rndul angajailor a importanei securitii informaiilor, nelegerea
tipologiei ameninrilor, riscurilor i vulnerabilitilor specifice mediilor informatizate
i aplicarea practicilor de control.
Organizaia Internaionala pentru Standardizare (ISO) mpreuna cu Comisia
Internaional Electrotehnic (IEC) alctuiesc un forum specializat pentru
standardizare. Organismele naionale care sunt membre ale ISO i IEC particip la
dezvoltarea standardelor internaionale prin intermediul comitetelor tehnice. Statele
Unite ale Americii, prin Institutul Naional de Standardizare, ocup poziia de Secretar,
24 de ri au statut de Participani (Brazilia, Frana, Regatul Unit al Marii Britanii,
Coreea, Cehia, Germania, Danemarca, Belgia, Portugalia, Japonia, Olanda, Irlanda,
Norvegia, Africa de Sud, Australia, Canada, Finlanda, Suedia, Slovenia, Elveia, Noua
Zeeland i Italia) i alte 40 de ri au statut de Observatori.
5
Securitatea sistemelor informatice
Prin activitatea susinuta de Ministerul Comunicaiilor i Tehnologiei
Informaiei (MCTI) de adoptare la nivel naional a standardelor europene i
internaionale recunoscute, standardul ISO/IEC 17799 - Tehnologia Informaiei Cod
de bun practic pentru managementul securitii informaiei a fost adoptat i n
Romnia de ctre Asociaia de Standardizare din Romnia (ASRO), din toamna anului
2004. Standardul este recunoscut n rezoluiile Consiliului Europei, implementarea
acestuia la nivelul organizaiilor fiind opional.
Stabilirea cerinelor
Este important ca fiecare organizaie s poat s-i identifice propriile cerine de
securitate. Pentru aceasta ea trebuie sa fac apel la trei surse principale:
analiza riscurilor;
legislaia existent;
standardele i procedurile interne.
De unde se ncepe
Controalele interne pot fi considerate principiile care stau la baza implementrii
unui sistem de management al securitii. Chiar dac sursele unor astfel de msuri pot fi
destul de variate, punctul de plecare ntr-un astfel de demers l reprezint legislaia
aplicabil. Este foarte important ca cel care se ocup de implementarea unui sistem de
management al securitii s aib cunotine despre actualele cerine legislative:
Legea nr. 161 din 19 aprilie 2003 privind unele masuri pentru asigurarea
transparentei n exercitarea demnitarilor publice, a funciilor publice si n
mediul de afaceri, prevenirea si sancionarea corupiei.
Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter
personal si protecia vieii private n sectorul comunicaiilor electronice.
Legea nr. 677 din 21 noiembrie 2001 pentru protecia persoanelor cu privire
la prelucrarea datelor cu caracter personal si libera circulaie a acestor date.
Legea nr. 455 din 18 iulie 2001 privind semntura electronica.
Legea nr. 544 din 12 octombrie 2001 privind liberul acces la informaiile de
interes public.
Hotrrea nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor
tehnice si metodologice pentru aplicarea Legii nr. 455-2001 privind
semntura electronica.
Ordinul Avocatului Poporului nr. 52 din 18 aprilie 2002 privind aprobarea
Cerinelor minime de securitate a prelucrrilor de date cu caracter personal.
Ordinul Avocatului Poporului nr. 53 din 18 aprilie 2002 privind aprobarea
formularelor tipizate ale notificrilor prevzute de Legea nr. 677/2001 pentru
protecia persoanelor cu privire la prelucrarea datelor cu caracter personal si
libera circulaie a acestor date.
Ordinul Avocatului Poporului nr. 54 din 18 aprilie 2002 privind stabilirea
unor situaii n care nu este necesara notificarea prelucrrii unor date cu
caracter personal care cad sub incidenta Legii nr. 677/2001 pentru protecia
persoanelor cu privire la prelucrarea datelor cu caracter personal si libera
circulaie a acestor date.
Hotrrea nr. 781 din 25 iulie 2002 privind protecia informaiilor secrete de
serviciu.
Legea nr. 182 din 12 aprilie 2002 privind protecia informaiilor clasificate.
8
Cap 1 - Noiuni privind securitatea informaiilor
Pe lng legislaia intern trebuie avute n vedere i Conveniile internaionale i
Reglementrile comunitare semnate de Romnia sau n care Romnia este parte.
Selectarea controalelor trebuie s in cont de specificul organizaiei. Nu toate
recomandrile pot fi aplicate, cum nu toate sunt justificate din punct de vedere al
costurilor. Eficacitatea sistemului de securitate depinde de:
stabilirea unor obiective de securitate care s reflecte cerinele organizaiei;
sprijinului conducerii;
existena abilitilor necesare realizrii analizei riscurilor, a vulnerabilitilor
i a analizei de impact;
instruirea angajailor;
monitorizata controalelor implementate.
9
Securitatea sistemelor informatice
care s iniieze i s controleze implementarea mecanismelor de securitate n cadrul
organizaiei, presupune un punct central de coordonare responsabil cu securitatea.
Rolul i atribuiile persoanei care ocup poziia de responsabil cu securitatea
informaiilor se refer la coordonarea i urmrirea respectrii procedurilor i politicilor
de securitate.
Organizarea securitii nu se limiteaz doar la personalul intern, trebuie avute n
vedere i riscurile induse de teri sau subcontractori care au acces la sistemul
informaional. Acest risc nu este deloc de neglijat, ultimele tendine ale pieei globale ne
arat o reconsiderare a poziiei companiilor fa de externalizarea funciilor IT, tocmai
datorit riscului mare indus de subcontractarea acestora.
Obiectivul organizrii securitii, aa cum este documentat n standard este i
meninerea securitii tuturor facilitilor IT i activelor informaionale accesate de ctre
tere persoane, fiind recomandat stabilirea unui proces prin care accesul terilor s fie
controlat.
10
Cap 1 - Noiuni privind securitatea informaiilor
trebui s ofere cunotinele necesare asigurrii securitii acestora n timpul programului
normal de lucru.
Utilizatorii trebuie instruii cu privire la procedurile de securitate ce trebuie
urmate i utilizarea facilitilor IT n conformitate cu politica organizaiei.
Ar trebui s existe un program coerent de instruire a angajailor pe diverse
niveluri de interes, pe lng o instruire general n gestiunea securitii fiind necesare i
specializri pentru administratorii sistemului informatic n tehnologii de securitate
specifice.
Chiar dac securitatea unei anumite zone IT, cum ar fi securitatea reelei revine
unei entiti externe, este o practic bun ca i n interiorul organizaiei s existe
competenele i abilitatea de a evalua cum sunt satisfcute cerinele de securitate.
Instruirea este necesar i pentru a crea abilitatea de reacie la apariia unor
incidente de securitate.
Raportarea incidentelor de securitate are ca obiectiv minimizarea efectelor
negative sau a incorectei funcionri a echipamentelor. Monitorizarea unor astfel de
incidente permite determinarea performantei sistemelor de securitate i mbuntirea
continu.
Politicile i procedurile de securitate trebuie implementate astfel nct s asigure
un rspuns consistent la astfel de incidente.
11
Securitatea sistemelor informatice
clare ale responsabilitilor ntre dezvoltare, testare i exploatare susinute i de o
separare a mediilor folosite pentru aceste activiti.
Accesul programatorilor pe mediul de producie nu ar trebui permis, iar dac
anumite situaii excepionale o cer, atunci ar trebui controlat ndeaproape.
Planificarea capacitii sistemului este un alt obiectiv al operrii calculatoarelor
care are ca obiectiv minimizarea riscurilor ntreruperii sistemului ca urmare a atingerii
capacitii maxime de procesare.
Asigurarea unei capaciti corespunztoare de procesare implic o planificare
riguroas a activitilor sprijinite de sistemul informaional.
Trebuie dezvoltate proceduri i mecanisme de raportare care s identifice
utilizarea necorespunztoare a resurselor precum i perioadele de utilizare.
Protecia mpotriva software-ului maliios este un aspect important ntruct cea
mai mare ameninare a activelor informatice este dat de pierderea sau indisponibilitatea
datelor ca urmare a infestrii cu virui informatici. n toate sondajele, viruii se afl
printre primele locuri ca surs a incidentelor de securitate. Milioane de virui
informatici sunt raportai anual. Protecia mpotriva viruilor nu o asigur doar
administratorul sistemului, ci i utilizatorul.
Asigurarea integritii datelor i a aplicaiilor software necesit msuri de
protecie prin care s se previn i s se detecteze introducerea unor aplicaii ilegale n
sistemul organizaiei.
Aplicaiile tip antivirus trebuie instalate pe toate calculatoarele din sistem iar
utilizatorii trebuie instruii cu privire la folosirea acestora.
Alte aspecte ce fac obiectul managementului operrii i comunicaiilor vizeaz:
ntreinerea sistemului, incluznd realizarea copiilor de siguran, ntreinerea
jurnalelor de operare, meninerea nregistrrilor cu erori de operare i
execuie.
managementul reelei, necesar asigurrii reelelor de calculatoare.
manipularea i securitatea mediilor de stocare, pentru a preveni ntreruperea
activitilor afacerii.
schimbul de aplicaii i date ntre organizaii, pentru a preveni pierderea,
alterarea sau utilizarea improprie a informaiei.
14
Cap 1 - Noiuni privind securitatea informaiilor
protejarea codului aplicaiilor i a fiierelor sistemului de operare
1.3.10. Conformitatea
Proiectarea, operarea sau gestiunea sistemelor informaionale pot face obiectul
unor reglementari, legi sau angajamente contractuale n ceea ce privete securitatea.
Pentru a evita nclcarea dispoziiilor statutare sau legale, standardul prevede o
serie de msuri precum:
identificarea legislaiei aplicabile
utilizarea adecvat a licenelor software sau a materialelor protejate de
drepturi de autor
protejarea nregistrrilor organizaiei (nregistrri contabile, chei de criptare,
jurnale de activitate, medii de stocare, proceduri de lucru)
15
2. Clasificarea informaiilor
2.1. Noiuni introductive privind clasificarea modern a
informaiilor
Clasificarea nseamn etichetri cresctoare ale documentelor sau informaiilor,
de la cel mai de jos nivel, unde se situeaz informaiile deschise su neclasificate, la cele
confideniale, urcnd spre informaii secrete i strict secrete.
n clasificarea informaiilor s-a plecat de la ideea c informaiile care prin
compromitere pot costa viei umane sunt marcate drept secret, n timp ce informaiile a
cror compromitere cost pierderea multor viei umane sunt definite strict secrete.
Personalul din domeniu securitii sistemelor sunt investii cu drepturi diverse,
de a lucra cu anumite categorii de informaii. Pe lini accesului la unele categorii de
informaii, pentru exercitarea controlului lucrurile sunt destul de clare: un angajat poate
citi documentele dintr-o anumit categorie numai dac el are cel puin dreptul de
accesare a informaiilor din acea categorie sau din una superioar. Regula este c
informaiile pot circula doar n sus, de la confidenial la secret i strict secret, n timp ce
n sens invers, de sus n jos, pot circula doar dac o persoan autorizat ia decizia de
declasificare a acestora.
Se utilizeaz dou strategii de baz privind securitatea naional, i anume:
tot ceea ce nu este interzis este permis;
tot ceea ce nu este permis este interzis.
16
Cap 2 Clasificarea informaiilor
Controlul legal al accesului i exercit fora pe baza legilor existente (legea
securitii naionale), prin care sunt stabilite dou tipuri de structuri de control:
ierarhizate i neierarhizate.
Structura ierarhizat ncadreaz informaiile senzitive n patru categorii: strict
secrete, secrete, confideniale i neclasificate;
n structura neierarhizat, sunt dou categorii: compartimentate i cu obiecii sau
ascunse vederii unor categorii de persoane. Compartimentrile pot avea nume scurte,
sugestive, care s scoat n relief anumite aspecte. Categoria cu obiecii privete n
special naionalitatea potenialilor cititori i autori ai obiectelor.
Informaiile strict secrete, care sunt ntr-o anumit msur compartimentare, se
numesc informaii senzitive compartimentate i presupun o atenie deosebit la
ntrebuinare. Doar o categorie de informaii este superioar acesteia din urm, i anume
despre informaiile din planul operativ integrat unic sau rspunsul naional n caz de
rzboi.
18
Cap 2 Clasificarea informaiilor
strict secrete de importan deosebit sunt informaii a cror divulgare
neautorizat este de natur s produc daune de o gravitate excepional
securitii naionale;
strict secrete - sunt informaiile a cror divulgare neautorizat este de natur s
produc daune grave securitii naionale;
secrete - sunt informaiile a cror divulgare neautorizat este de natur s
produc daune securitii naionale;
19
Securitatea sistemelor informatice
Degradarea se efectueaz de ctre persoanele care au clasificat iniial
informaiile, de ctre succesorii acestora, efii lor sau s ctre ali oficiali
20
Cap 2 Clasificarea informaiilor
Modul securitii stratificate sistemele prelucreaz informaii aparinnd
diverselor categorii, iar personalul, de asemenea, dispune de autorizaii diferite.
Conceptul credibilitii componentelor informatice (hardware, software i
firmware softul aflat n memoria ROM) rezolv o astfel de problem a
"turnului Babel" al securitii sistemului, asigurndu-se realizarea tuturor
principiilor enunate anterior.
22
Cap 2 Clasificarea informaiilor
Informaii confideniale la nivel de unitate, notate cu C, i care corespund
informaiilor secrete la nivel naional. Aceast ncadrare se atribuie informaiilor i
materialelor a cror compromitere ar duce pa pierderea unui procent din profitul anual
net.
Informaiile private, notate cu P, cuprind informaiile i materialele a cror
compromitere poate prejudicia statutul unei persoane din unitate sau al corporaiei.
Informaii de uz intern, notate cu R, nu fac parte din categoriile anterioare, dar
prezint restricii n utilizare.
Informaii publice, sau informaii neclasificate, sun notate cu N.
23
Securitatea sistemelor informatice
2.6.3. Roluri i responsabiliti n procesul de clasificare a informaiilor
Principalele roluri n procesul de clasificare le au proprietarul, utilizatorul sau
custodele datelor clasificate.
Proprietarul informaiilor poate fi administratorul sau directorul unei
organizaii. O astfel de persoan rspunde de averile informaionale ncredinate. Spre
deosebire de custode, proprietarul are responsabilitatea final a proteciei datelor i
rspunde n faa legii n cazul neachitrii de aceast obligaie. Cu toate acestea, tendina
actual este de deplasare n afara unitii, de externalizare, prin semnarea actelor de
custodie.
Printre responsabilitile unui proprietar se afl:
ntreprinde demersuri pentru stabilirea nivelului de clasificare a informaiilor,
care nseamn, de fapt, cerinele organizaiei de protejare a acestora;
efectueaz verificri periodice ale clasificrilor existente, n vederea adaptrii la
cerinele organizaiei;
deleg responsabilitatea protejrii datelor ctre un custode specializat i
autorizat.
24
3. Controlul accesului n sistemele informatice
3.1. Tipuri de control al accesului n sistem
Controlul accesului n sistem este implementat pentru reducerea riscului la care
sunt supuse sistemele i pentru reducerea eventualelor pierderi. Controlul poate fi
preventiv, detectiv sau corectiv.
Controlul preventiv are ca scop prentmpinarea apariiei unor incidente n
sistem. Controlul detectiv presupune descoperirea unor apariii ciudate n sistem, iar
controlul corectiv este folosit pentru readucerea la normalitate a sistemului dup
anumite incidente la care a fost expus.
Pentru a putea fi atinse obiectivele enumerate mai sus, controalele pot fi
administrative, logice sau tehnice i fizice.
Controlul administrativ este exercitat prin politici i proceduri, instruire cu scop
de contientizare, verificri generale, verificri la locul de munc, verificarea pe timpul
concediilor i o supraveghere exigent.
Controlul logic sau tehnic cuprinde restricii la accesarea sistemului i msuri
prin care se asigur protecia informaiilor. Din aceast categorie fac parte sistemele de
criptare, cardurile de acces, listele de control al accesului i protocoalele de transmisie.
Controlul fizic este reprezentat de grzile de paz i protecie, securitatea
cldirilor: sisteme de ncuiere a uilor, securizarea camerelor cu servere, protecia
cablurilor, separarea atribuiilor de serviciu, i nu n ultimul rnd realizarea copiilor de
siguran a fiierelor.
Controalele vizeaz responsabilizarea persoanelor care acceseaz informaii
sensibile. Responsabilizarea este nfptuit prin mecanisme de control al accesului care
necesit, la rndul lor, exercitarea funciilor de identificare, autentificare i auditare.
Controalele trebuie s fie n deplin concordan cu politica de securitate a organizaiei,
iar procedurile de asigurare au scopul de a demonstra c prin mecanismele de control se
implementeaz corect politicile de securitate pentru ntregul ciclu de via a sistemului
informaional.
25
Securitatea sistemelor informatice
folosi o list de control al accesului al subiecilor la obiect. Acest tip de acces este
folosit n situaii locale, dinamice, n care se las la discreia subiecilor specificarea
tipurilor de resurse permise utilizatorilor s le acceseze.
Cnd un utilizator, n condiii bine specificate, are dreptul s modifice controlul
accesului pentru anumite obiecte, se spun c avem un "control discreionar al accesului
direcionat ctre utilizator". Un control bazat pe identitate este un alt tip de control
discreionar al accesului care se bazeaz pe identitatea unei persoane.
Controlul nediscreionar al accesului o autoritate central stabilete subiecii
care pot s aib acces la anumite obiecte, n funcie de politica de securitate
organizaional. Controlul accesului poate s se bazeze pe rolul individual ntr-o
organizaie (control bazat pe sarcini). Acest tip de control nu necesit schimbri atunci
cnd un rol va fi jucat de o alt persoan.
26
Cap. 3 - Controlul accesului n sistemele informatice
Biometria apeleaz la tehnologii precum amprenta digital, a retinei, irisului
pentru autentificarea solicitanilor de accesare a resurselor sistemului.
Pachetele software ce realizeaz controlul accesului gestioneaz accesul la
resursele ce dein informaii aflate pe plan local sau la distan.
Controlul preventiv fizic
Aceste msuri de control sunt de tip intuitiv. Ele vizeaz restricionarea
accesului fizic n zonele ce conin informaii sensibile ale sistemului. Zonele respective
sunt definite printr-un aa zis perimetru de securitate, aflat sub controlul accesului.
n aceast categorie intr mprejmuirile cu gard, ecusoanele, uile multiple (dup
trecerea printr-o u, aceasta se blocheaz automat, iar la urmtoarea trebuie cunoscut
sistemul de deschidere, persoana fiind captiv ntre dou ui - ui capcan), sisteme de
intrare pe baz de cartel magnetic, aparatura biometric pentru identificare, serviciul
de paz, sisteme de control al mediului, schia cldirii i a cilor de acces, locurile
special amenajate pentru depozitarea mediilor de stocare a datelor.
Controlul obiectiv administrativ
n parte, acest tip de control se suprapune peste controlul preventiv-
administrativ, pentru c acestea pot fi exercitate cu scopul prevenirii posibilelor
nclcri ale politicilor de securitate sau pentru detectarea celor n curs. Din aceast
categorie fac parte procedurile i politicile de securitate, verificrile de fond,
planificarea plecrilor n concediu, marcarea sau etichetarea documentelor speciale,
instruiri i cursuri, revizuirea nregistrrilor cu scop de auditare.
Controlul detectiv fizic
Acest tip de control urmrete evidenierea violrii politicii de securitate
folosind mijloacele tehnice. Aceste msuri se refer la sistemele de detectare a intruilor
i la rapoartele privind violrile securitii, generate automat pe baza informaiilor
colectate. Rapoartele pot evidenia abaterile de la funcionarea normal sau s detecteze
semnturi cunoscute al unor episoade de acces neautorizat. Datorit importanei lor,
informaiile folosite n auditare trebuie s fie protejate la cel mai nalt nivel posibil din
sistem.
Controlul detectiv fizic
Acest tip de control necesit intervenia omului pentru evaluarea parametrilor pe
care i ofer senzorii sau camerele video pentru a stabili dac exist un pericol real
pentru sistem. n acest caz, controlul se exercit prin camere video, detectoare termice,
de fum i de micare.
Metodele de control al accesului trebuie s se bazeze pe cel puin dou din cele
patru enumerate mai sus, de cele mai multe ori se apeleaz la combinaiile cartel-
parol, cheie-parol, jeton-parol. n ultimul timp se recomand s se foloseasc i un al
treilea elemente cel biometric.
Se mai pot folosi i ecusoane active, care realizeaz identificarea prin frecvene
radio, sau prun infrarou, putndu-se citi cartele de la civa metri.
Majoritatea cartelelor sunt auto-exprinate, cu ajutorul unor tehnologii termice
sau a unor vopsele speciale.
28
Cap. 3 - Controlul accesului n sistemele informatice
Controlul accesului prin biometrie
Principalele elemente ale corpului uman care se folosesc pentru identificarea
individului sunt: recunoaterea feei, amprenta digital, recunoaterea irisului i
recunoaterea formei minii.
n tabelul 3.1 se prezint o comparaie a celor patru tehnologii biometrice funcie
de performane i costuri.
Tabelul 3.1
Compararea principalelor tehnologii biometrice
Recunoaterea Amprenta Recunoaterea
Caracteristici Forma minii
feei digital irisului
Rata respingerilor eronate 3,370% 0,236% 1,96% 05%
Rata acceptrilor eronate 0,35% 08% < 1% 02,1%
Timpul pentru o verificare 10 sec 919 sec 12 sec 610 sec
Mrimea probei culese 841300 KB 2501000 KB 512 Bytes 9 Bytes
Preul echipamentelor Moderat Mic Mare Moderat
Factorii care afecteaz Lumina, Murdria, Vederea slab, Rni, artrit,
probele luate orientarea feei, degetele ncruntarea, umflturi
ochelarii deshidratate sau reflexia
accidentele
30
Cap. 3 - Controlul accesului n sistemele informatice
odat ptruns n sistem, utilizatorului nu trebuie s i se permit s-i schimbe
identitatea cu care a deschis sesiunea i nici s nu poat ptrunde n partiiile
alocate altor utilizatori;
dac un termina funcioneaz o perioad lung de timp, procesul de
autentificare trebuie s aib loc la intervale regulate de timp pentru a se
asigura c nu folosete altcineva sistemul. Dac terminalul rmne neutilizat
dar deschis, el trebuie s se nchid automat dup un anumit interval de timp
(10 minute);
la deschiderea unei noi sesiuni de lucru, utilizatorului trebuie s i se aduc la
cunotin ultimul timp de accesare a sistemului cu parola respectiv, pentru
a verifica dac altcineva a folosit-o ntre timp.
31
4. Criptografia
4.1. Definiii i noiuni de baz
Scopul criptografiei este de a proteja informaiile transmise fr s poat fi citite
i nelese dect de ctre persoanele crora le sunt adresate. Teoretic, persoanele
neautorizate le pot citi, ns practic, citirea unei comunicaii criptate este doar o
problem de timp egal cu timpul aferent necesar persoanei neautorizate de a decripta
mesajul citit.
Algoritmul criptografic este o procedur pas-cu-pas utilizat pentru cifrarea
unui text clar i descifrarea textelor cifrate.
Cheia sau variabila de criptare este o informaie sau o secven prin care se
controleaz cifrarea i descifrarea mesajului.
Cifrarea este o transformare criptografic a unor caractere sau bii.
Criptograma sau textul cifrat reprezint un mesaj neinteligibil
Cifrul bloc se obine prin separarea textului iniial n blocuri de cte n caractere
fiecare (bii) i aplicarea unui algoritm i a unei chei identice, k, pentru fiecare bloc.
Codurile sunt o transformare care opereaz la nivelul cuvintelor sau frazelor.
Criptanaliza este actul obinerii textului clar sau a cheii din textul cifrat, care
este folosit pentru obinerea informaiilor necesare acestui scop.
Criptarea nseamn realizarea formei neinteligibile a unui mesaj pentru a nu fi
utilizat de persoanele neautorizate s-l acceseze.
Criptarea end-to-end n acest caz informaiile criptate sunt transmise din
punctul de origine la destinaia final.
Cheie simetric att expeditorul ct i destinatarul folosesc aceeai cheie de
criptare.
Cheie asimetric expeditorul i destinatarul folosesc chei de criptare diferite.
Criptarea nlnuit mesajul circul prin mai multe noduri ntre expeditor i
destinatar. Un nod intermediar primete mesajul, l decripteaz cu aceeai cheie cu care
a fost cripta, l recripteaz cu o alt cheie i l trimite la urmtorul nod unde procesul se
repet pn cnd mesajul ajunge la destinatar.
Criptografia este arta i tiina ascunderii semnificaiei unei comunicri
mpotriva unor interceptri neautorizate. Cuvntul vine din limba greac, care nseamn
criere ascuns: kryptos graphein.
Criptologia reunete criptografia i criptanaliza.
Decriptarea este procesul prin care un text cifrat este transformat ntr-un mesaj
inteligibil.
Sistemul de criptare este un set de transformri din spaiul mesajului clar la cel
al textului cifrat.
Steganografia este o form de comunicare secret prin care se ncearc
ascunderea mesajului secret ntr-o imagine digital.
Textul clar este forma inteligibil de prezentare a unui mesaj, astfel nct el s
fie accesibil oricui.
32
Cap. 4 - Criptografia
4.1.1. Tehnici utilizate n criptografie
n prezent exist dou tipuri principale de tehnici utilizate n criptografie, i
anume:
criptografia prin cheie simetrice (chei secrete sau chei private) i,
criptografia prin chei asimetrice (chei publice).
4.1.1.1. Substituia
Cea mai simpl metod de criptare, prin substituie, este cunoscut n zilele
noastre sub denumirea de cifrul lui Cezar, dup numele mpratului roman care a
inventat-o. n acest cifru, caracterele mesajului i numrul de repetiii ale cheii sunt
nsumate laolalt, modulo 26. n adunarea modulo 26, literelor alfabetului latin, de la A
la Z, li se dau valori de la 0 la 25 (vezi tabelul 4.1). Pentru cheie trebuie s se ofere doi
parametri:
D numrul literelor ce se repet, reprezentnd chei;
K cu rol de cheie.
Tabelul 4.1
Corespondena litere-numere
Litera A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Numr 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
33
Securitatea sistemelor informatice
Cheia reperat 3 3 3 3 3 3 3 3 3
Mesajul 15 0 17 14 11 0 12 4 0
Echivalentul numeric
18 3 20 17 14 3 15 7 3
al textului criptat
Textul criptat S D U R O D P H D
Dac sumele valorilor cheii i ale numrului aferent literelor sunt mai mari sau
egale cu 26, se determin modulo 26 din sum, adic rezultatul final este obinut prin
scderea din sum a numrului 26.
Exemplu:
D=3, K=PIC, mesajul este SECRET, rezultatul va fi:
- valorile numerice atribuie mesajului:
S E C R E T
18 4 2 17 4 19
- valorile numerice ale cheii sunt: P I C = 15 8 2
Cheia reperat 15 8 2 15 8 2
Mesajul 18 4 2 17 4 19
Echivalentul numeric 33 32
12 4 12 21
al textului criptat (8) (9)
Textul criptat I M E J M V
Cifrul lui Cezar, bazndu-se pe substituia simpl sau monoalfabetic este uor
de spart, pentru c un caracter este nlocuit de altul i aceast schimbare este valabil n
tot textul, iar analiza frecvenelor de apariie a literelor din textele scrise ne va conduce
la caracterele adevrate ale textului.
Cifrurile polimorfice sunt realizate prin apelarea la cifruri bazate pe substituia
multipl. De exemplu, dac se folosesc trei alfabete pentru substituie, definite de cel ce
intenioneaz s cripteze, prima liter din textul clar este nlocuit cu prima liter din
primul alfabet, a doua liter a textului clar este nlocuit cu prima liter din al doilea
alfabet, a treia liter a textului clar este nlocuit cu prima liter din al doilea alfabet, a
patra liter din textul clar este nlocuit de a doua liter din primul alfabet .a.m.d.
34
Cap. 4 - Criptografia
4.1.2. Permutarea sau transpoziia
Prin aceast metod n loc s se nlocuiasc un caracter cu un altul, se nlocuiete
ordinea caracterelor. Astfel, se elimin posibilitatea de descifrare a mesajului prin
analiza frecvenei de apariie a caracterelor. Totodat, cheia pentru un asemenea cifru nu
este standard, n loc de o list a substituirilor se va folosi o schem a ordinii. De
exemplu, dac ordinea ntr-un cuvnt clar este 1,2,3,4,5, ntr-un text criptat prin
transpoziie ordinea poate fi 5,4,1,2,3. de exemplu, cuvntul PAROLA poate fi scris
RALOPA.
Permutrile unui astfel de ciclu acioneaz ntr-o matrice bloc, ceea ce nseamn
c va fi o matrice de tip "patul lui Procust", n care tot ceea ce nu ncape pe o linie se va
alinia n cea urmtoare .a.m.d.
De exemplu mesajul CITESTE SI DA MAI DEPARTE, ntr-o matrice cu cinci
coloane devine:
CITES
TESID
AMAID
EPART
E
Aceleai reguli se pot aplica asupra coloanelor sau asupra liniilor i coloanelor.
Combinarea transpoziiei cu substituia poate s conduc la variante aproape
imposibil de spart.
35
Securitatea sistemelor informatice
Mesaj clar LAMULTIANI 11 0 12 20 11 19 9 0 13 8
Cheie Vernam VIDAGTSROL 21 8 3 0 6 19 18 17 14 11
Suma aparent 32 8 15 20 17 38 27 17 27 19
Modulo 26 din
6 8 15 20 17 12 1 17 1 19
sum
Textul criptat G I P U R M B R B T
Cifrul carte
Acest tip de cifru apeleaz la diverse surse, de obicei o carte, pentru a cripta un
text. Cheia, cunoscut de expeditor i destinatar, poate fi format din pagina crii i
numrul rndului de pe pagina n care se afl textul.
Codurile
Codurile sunt folosite pentru a transmite construcii predefinite din anumite
domenii. (cum se foloseau la pagere). De regul, sunt dou rnduri de cri, una conine
semnificaia n clar a mesajelor n ordinea alfabetic i codul corespunztor, cealalt
conine ordinea cresctoare a codurilor i n dreptul lor semnificaia n clar.
4.1.4.1. Steganografia
Steganografia este arta ascunderii existenei unui mesaj pe un anumit suport.
Termenul vine din cuvintele greceti steganos care nseamn acoperit i graphien a
scrie.
Prin Steganografia se exprim interesul pentru confidenialitate, deoarece scopul
ei este de a include mesaje ntr-un anumit mediu astfel nct s rmn insesizabil.
n prezent, o tehnic frecvent utilizat este ascunderea mesajului printre biii
imaginilor digitale. Imaginile sunt reprezentate printr-o form matriceal de pixeli
(picture x elements), nsemnnd puncte din care se realizeaz imaginea. O imagine
"modest" poate avea 400300 pixeli. Fiecare pixel este codificat printr-o secven de
bii care stabilete culoarea. Cea mai simpl form de codificare este sistemul RBG (red
blue, green) prin 24 de bii, adic cte 8 bii pentru fiecare culoare. Cei 8 bii determin
realizarea a 256 de variante, prin combinarea lor rezult aproximativ 17 milioane de
nuane de culori. Unora dintre bii li se poate da o alt destinaie, pentru a codifica
mesaje, fr a fie afectat semnificativ calitatea imaginii.
Ultimul bit, cel mai din dreapta, nu are un rol semnificativ n stabilirea culorii, el
schimb culoarea cu un spectru, echivalent cu modificarea orei cu o secund (ct
reprezint o secund dintr-o or ?).
Biii succesivi ai mesajului vor fi plasai pe poziia biilor cel mai puin
semnificativi ai octeilor, fr a fi afectat semnificativ imaginea. Fcnd un calcul
simplu, pentru o imagine de 400300 pixeli, fiecare cu cte trei octei, de la care se pot
mprumuta 3 bii, rezult 4003003 = 360.000 bii alocai pentru mesajul nostru secret.
Un caracter poate fi scris pe 8 bii, deci 360.000 / 8 = 45.000 de caractere poate avea
mesajul nostru.
36
Cap. 4 - Criptografia
4.1.4.2. Filigranarea
Un filigran este un model distinct ncapsulat ntr-un document, imagine, video
sau audio de ctre cel care se afl la originea datelor. Filigranul poate avea cteva
scopuri, printre care:
indicarea proprietarilor datelor;
inerea evidenei copiilor datelor;
verificarea integritii datelor.
Filigranele pot fi de dou tipuri: fragile sau solide. Filigranele fragile sunt mai
uor de schimbat, dar sunt folosite doar pentru a vedea dac datele au fost schimbate, n
timp ce filigranele solide rezist tuturor manipulrilor i manevrelor la care sunt supuse.
Filigranarea este similar cu steganografia i se bazeaz pe tehnici de proiectare
apropiate.
n spaiul cibernetic, filigranele sunt folosite pentru stabilirea nclcrii
drepturilor de autor. Digimarc Technologies1 are un produs pentru protejarea imaginilor
puse de proprietar n site-ul propriu. Deintorii copyright-ului insereaz filigranul lor,
folosind PhotoShop de la Adobe, sau un alt editor de imagine care nglobeaz
tehnologia Digimarc. Cnd receptorul folosete acelai editor pentru vizualizarea
imaginilor va fi afiat simbolul de copyright al autorului. Prin selectarea simbolului se
realizeaz legtura cu Digimarc, de unde vor afla cine este deintorul dreptului de
autor. De asemenea, Digimarc are un motor de cutare, MarcSpider, care caut imagini
filigranate furate de la autorii lor.
n domeniul pirateriei muzicii, firma Aris Technologies Inc2 a realizat aplicaia
MusiCode, care ncapsuleaz informaii surs (titlul, artistul, compania de nregistrare)
n fiierul audio. Softul este folosit pe Internet ntr-un motor de cutare care combate
piraii de melodii.
1
www.digimarc.com i www.digimarc-id.com
2
www.aris-techni.fr/
37
Securitatea sistemelor informatice
Majoritatea produselor de securizare nu au pretenia c vor putea stopa pirateria,
sau falsificarea, dar scopul acestora este a dovedi nclcarea unor nome comerciale i
juridice.
Se consider c n cazul bancnotelor false, exist trei nivele de verificare prin
care falsurile pot sau nu s treac. Acestea sunt:
nivelul primare de verificare realizat de persoanele neinstruite sau cu
puin experien n actele de vnzare-cumprare;
nivelul secundar de verificare exercitat de personal competent i motivat,
operatorii de la ghieele bncilor sau inspectorii calificai ai produselor
industriale marcate cu etichete i/sau timbre fiscale. Acetia dispun de
echipamente speciale (lmpile cu ultraviolete, creioane cu reactivi chimici,
scannere sau PC-uri specializate). Aceste echipamente nu pot fi prea
numeroase i nici prea costisitoare, iar falsificatorii le cunosc capacitile;
nivelul trei de verificare efectuat n laboratoarele speciale ale
productorilor de elemente de securitate pentru bncile ce realizeaz
emisiuni monetare. Aceste echipamente sunt foarte scumpe i destul de rare,
dar nu pot da rateuri. Ele se folosesc doar n cazuri speciale.
38
Cap. 4 - Criptografia
firele sau foile metalice fire cu irizri simple, holograme (realizat optic
i reprezint obiecte ntregi pe un plan ndeprtat) sau kinegramele (realizate
pe calculator, ofer imagini diferite funcie de unghiul de privire).
marca digital a copyright-ului este recunoscut de copiatoare i scanere,
care se opresc la ntlnirea ei, mpiedicnd reproducerile ilegale.
unicitatea este asigurat prin dispunere aleatoare de fibr magnetic pe
hrtie.
Succesul sistemului se bazeaz pe dimensiunea cheii. Dac are mai mult de 128
bii este una destul de sigur, deci sigur n exploatare. Ea se adaug la rapiditatea cu
care se efectueaz criptarea i volumul mare de date asupra crora poate opera.
39
Securitatea sistemelor informatice
Cele trei caracteristici eseniale ale sistemelor bazate pe chei simetrice sunt:
siguran;
rapiditate;
volum mare de date criptate.
Criptografia prin chei publice este posibil n aplicaiile care funcioneaz ntr-
un singur sens. O funcie n sens unic este aceea care este uor de calculat ntr-o direcie,
dar dificil de calculat n sens invers.
Pentru o asemenea funcie, y = f(x), este simplu de calculat valoarea lui y dac
se tie x, dar este foarte greu s-l determinm pe x dac-l cunoatem pe y (de ex. cartea
telefonic, dac tim un numr de telefon, este foarte greu s gsim persoana).
Pentru ca funciile cu sens unic s fie utile, ele trebuie s aib o trap, adic un
mecanism secret care s permit realizarea cu uurin a funciei inverse, astfel nct s
se poat obine x dac se tie y.
n contextul criptografiei bazate pe chei publice este foarte dificil s se calculeze
cheia privat din cheia public dac nu se tie trapa.
De-a lungul anilor sa-au dezvoltat mai muli algoritmi pentru cheile publice.
Unii dintre ei se folosesc pentru semntura digital, pentru criptare sau n ambele
scopuri. Din cauza calculelor numeroase solicitate de criptarea prin chei publice, aceasta
este de la 1000 la 10.000 ori mai lent dect criptarea prin chei secrete, au aprut
metode hibride, care folosesc criptografia prin chei publice pentru transmiterea sigur a
cheilor secrete utilizate n criptografia prin chei simetrice.
Dintre algoritmii importani ai cheilor publice, amintim Diffie-Hellman, RSA, El
Gamal Knapsak i curba eliptic,.
40
Cap. 4 - Criptografia
4.3.1. Semntura digital
Inventarea criptografiei prin chei publice a adus dou mutaii importante. Prima
permite transmiterea unui secret ctre o alt persoan fr s fie nevoie de o a treia
persoan de ncredere sau de un canal de comunicaie off-line pentru a transmite cheia
secret. A doua mutaie s-a produs pe planul calculrii semnturii digitale.
Definiie:
O semntur digital este un bloc de date (cifre binare) ce se ataeaz unui mesaj
sau document pentru a ntri ncrederea unei alte persoane sau entiti, legndu-le de un
anumit emitor.
Legtura este realizat astfel nct semntura digital poate fi verificat de
receptor sau de o ter persoan i nu se poate spune d a fost uitat. Dac doar o cifr
binar nu corespunde, semntura va fi respins n procesul de validare.
Semntura digital stabilete autenticitatea sursei mesajului.
Dac o persoan nu-i divulg cheia personal privat nimeni nu poate s-i imite
semntura. O semntura privat nu nseamn i recunoaterea dreptului de proprietate
asupra textului transmis, ci ea atest faptul c persoana semnatar a avut acces la el i l-
a semnat.
Atunci cnd semnarea este cuplat cu crearea documentului, semntura digital
poate oferi o prob evident a originii documentului. n aceast categorie intr
fotografiile fcute cu camere digitale bazate pe chei private, caz n care proba este de
necontestat. Procedeul este folosit cnd se dorete realizarea proteciei mpotriva
manipulrii imaginilor cu calculatorul. n acelai mod pot lucra i camerele video sau
ali senzori care-i pot semna ieirea pentru a-i certifica originea.
Dei semntura digital este implementat prin sistemul criptografiei cu chei
publice, n cazul acesteia componenta privat este folosit pentru semnarea mesajelor n
timp ce componenta public este folosit pentru a verifica semntura.
Iat care este mecanismul realizrii semnturii digitale: Dac (A) vrea s
semneze un mesaj, va calcula o valoare rezumat a mesajului, care este determinat
printre-o funcie public de dispersie (hashing). n acest moment nu se folosesc chei. n
pasul urmtor (A) va utiliza o cheie privat pentru semntur KSApriv. pentru a calcula o
transformare criptografic a valorii rezumat a mesajului. Rezultatul, care este semntura
sa pe mesaj, se ataeaz mesajului. Din acest moment, mesajul poate fi transmis unei
alte persoane, de exemplu (B), sau poate fi stocat ntr-un fiier.
Cnd (B) primete mesajul, valideaz semntura lui (A) cu ajutorul cheii ei
publice pentru semnturi KSApubl, ce va fi folosit ca intrare ntr-o funcie criptografic
prin care se va testa dac valoarea rezumat determinar de (B) este aceeai cu valoarea
codificat prin semntura lui (A). Dac valoarea coincide, (B) va accepta semntura. De
remarcat c nici o cheie a lui (B) nu a fost utilizat n procesul de validare a semnturii
transmise de (A), ci doar cheile lui (A).
Dac (A) transmite cheia unui mesaj secret ctre (B), va folosi doar cheile lui
(B).
Dac (A) dorete s trimit un mesaj, semnat i criptat, ctre B, procesul
presupune utilizarea cheilor pentru semnturi ale lui A (KSApriv i KSApub), a cheilor lui
B de criptare (KBpub) i o cheie a mesajului, K. n sintez, procesul este urmtorul:
(A) genereaz o cheie aleatoare a mesajului, K. (A) cripteaz mesajul M cu
cheia K, obinnd mesajul criptat MC;
(A) cripteaz cheia K folosind cheia public a lui (B) de criptare KBpub,
rezultnd cheia criptat KC;
41
Securitatea sistemelor informatice
(A) realizeaz o semntur S folosind cheia sa privat pentru semntur
KSApriv.;
(A) trimite ctre (B) urmtoarele: KS, MC i S;
(B) folosete cheia sa privat de criptare, KBpriv, pentru a decripta KC i a
obine cheia K;
(B) folosete K pentru decriptarea MC i obine textul clar M;
(B) folosete cheia public pentru semntur a lui (A), KSApub, pentru
validarea semnturii S.
3. Tranzacia 4. Certificat
certificat semnat
3
cadrul legal de utilizare a semnturii electronice n Romnia se gsete la www.legi-
internet.ro/lgsemel.htm
42
Cap. 4 - Criptografia
4.3.3. Infrastructura cheilor publice (PKI)
Infrastructura cheilor publice (PKI Public Key Infrastructure) i propune s
rezolve probleme manageriale din domeniul cheilor publice, integrnd semnturi i
certificate digitale cu o mare diversitate de alte servicii specifice comerului electronic,
prin care se solicit oferirea integritii, controlului accesului, confidenialitii,
autentificrii i a nerepudierii tranzaciilor electronice.
Infrastructura cheilor publice cuprinde certificatele digitale, autoritile de
certificare, autoritile de nregistrare, politici i proceduri cu chei publice, revocarea
certificatelor, nerepudierea, marcarea timpului, certificarea ncruciat, aplicaii de
securitate, LDAP (Lightweight Directory Acces Protocol).
Certificatele cheilor publice pot fi eliberate n regim on-line sau off-line. n
sistem off-line, o persoan trebuie s se legitimeze cu un act de identitate. n varianta
on-line, certificatele se pot oferi ca rspuns al unei cereri formulate prin e-mail sau
direct de pe un site specializat.
Compania Verising ofer trei clase de certificate personale, numite ID digital,
toate legate de e-mail:
clasa 1 de certificate verific adresa de e-mail a utilizatorului, fr s
solicite alte elemente de autentificare. Dup exprimarea interesului pentru un
certificat, sistemul trimite o confirmare cu un PIN pe adresa de e-amil a
persoanei. Utilizatorul se ntoarce la site-ul anterior (al companiei) i ofer
PIN-ul, dup care este generat un ID digital i se memoreaz n calculatorul
utilizatorului.
clasa 2 de certificare cere utilizatorului s mai introduc i Social Security
Number, adresa i seria carnetului de ofer;
clasa 3 de certificare este destinat companiilor ce public software,
oferindu-le un grad mult mai mare de securitate, dar exist i o variant
pentru persoane fizice ocupate cu transferuri bancare i contracte.
43
5. Modele i programe de securitate
5.1. Modele de securitate multinivel
Din punct de vedere al securitii, un sistem este divizat n straturi, prin linii
orizontale, realizndu-se aa-zisa securitate pe nivele multiple (multinivel) prin care se
realizeaz o delimitare net ntre diferite categorii de informaii din sistem (publice,
confideniale, secrete, strict secrete). Aceast delimitare asigur certitudinea accesrii
informaiilor dintr-o anumit clasificare numai de persoanele care au autorizaia de
acelai nivel (sau mai mare) cu clasificarea informaiilor accesate. Schematic, sistemul
multinivel poate fi reprezentat ca n figura 5.1.
Politicile de controlare a accesului sunt
foarte clare: o persoan poate accesa un strict
document numai dac autorizarea sa este cel secret
puin egal cu nivelul de clasificare al informaiei
citite. Ca efect, informaiile vor circula doar de secret
jos n sus, de la nivelul CONFIDENIAL, la
SECRET, STRICT SECRET .a., iar de sus n confidenial
jos nu au voie s circule dect dac o persoan
public
autorizat le declasific.
44
Cap. 5 - Modele i programe de securitate
Scriere DA,
conform
principiului *
Obiecte
Fiier_1 Proces_1 Fiier_2 Fiier_3
Subiecte
Subiect_1 Citete/scrie Execut Citete Scrie
Subiect_2 Scrie Execut Nimic Citete
Subiect_3 Citete/scrie Execut Citete/scrie Nimic
Subiect_4 Scrie Nimic Scrie Scrie
Fig. 5.3: Matrice de control al accesului.
46
Cap. 5 - Modele i programe de securitate
Departament 1
Departament 2
Departament k
5.2. Modele ale securitii multilaterale
Deseori, n realitate, preocuprile noastre s-au
concentrat nu ctre prevenirea curgerii n jos a informaiilor, ci
ctre stoparea fluxurilor ntre diferite compartimente. n astfel
de sisteme, n locul frontierelor orizontale, aa cum recomand Date partajate
modelul Bell-LaPadula, s-au creat altele verticale, conform
figurii 5.5. Fig. 5.5: Modelul
securitii multilaterale
Acest control al fluxurilor informaionale laterale este unul organizaional, aa
cum este cel al organizaiilor secrete, pentru pstrarea n tain a numelor agenilor care
lucreaz n alte ri, fr s fie cunoscui de alte departamente speciale. La fel se
ntmpl i n companii, unde separarea vertical a compartimentelor, dup funciile
ndeplinite (producie, comercial, personal-salarizare .a.), conduce la o situaie
identic.
Exist cel puin trei modele diferite de implementare a controlului accesului i de
control al fluxurilor informaionale prin modelul securitii multilaterale. Acestea
sunt:
compartimentarea, folosit de comunitatea serviciilor secrete;
zidul chinezesc, folosit la descrierea mecanismelor utilizate pentru
prevenirea conflictelor de interese n practicile profesionale;
BMA (British Medical Association), dezvoltat pentru descrierea fluxurilor
informaionale din domeniul sntii, conform cu etica medical.
47
Securitatea sistemelor informatice
(Strict secret, [cripto, luna ])
(secret, [])
(neclasificate, [])
48
Cap. 5 - Modele i programe de securitate
controlul accesului,
deschiderea nregistrrilor, c
ontrolul modificrilor din liste,
consimmntul i notificarea clientului,
persistena,
marcarea accesului pentru a servi ca prob n justiie,
urmrirea fluxului informaiilor,
controlul agregrii informaiilor,
ncrederea n sistemele informatice.
49
Securitatea sistemelor informatice
La implementarea politicilor de securitate, trebuie pornit de la vrful piramidei
manageriale, unde se afl top managerii. Acetia au misiunea de a formula Declaraia
politicii organizaiei. Aceasta este o formulare general, o declaraie din care s reias:
importana resurselor informaionale pentru atingerea obiectivelor strategice ale
organizaiei;
formularea clar a sprijinului acordat tehnologiilor informaionale n unitate;
angajamentul top managerilor de a autoriza sau coordona activitile de definire
a standardelor, procedurilor i normelor de securitate de pe nivelurile inferioare.
50
Cap. 5 - Modele i programe de securitate
5.3.2. Standardele, normele i procedurile de securitate
Pe nivelul inferior politicilor se afl trei elemente de implementare a politicii:
standardele, normele i procedurile. Ele conin detaliile politicii, cum ar fi posibilitile
de implementare, ce standarde i proceduri s fie ntrebuinate. Ele sunt fcute publice la
nivel de organizaie, prin manuale, Intranet, cri, cursuri .a.
De cele mai multe ori, standardele, normele i procedurile sunt tratate laolalt,
dar nu este cea mai inspirat idee, fiindc tratarea separat a lor este justificat de
urmtoarele argumente:
fiecare dintre ele servete unei funcii diferite i are propria audien; chiar i
distribuia lor fizic este mai lejer;
controalele securitii pe linia confidenialitii sunt diferite pentru fiecare tip de
politic;
actualizarea i ntreinerea politicii ar deveni mai anevoioase, prin prisma
volumului documentaiei, dac s-ar trata nedifereniat.
Standardele
Standardele specific utilizarea anumitor tehnologii, ntr-o viziune uniform. De
regul, standardele sunt obligatorii i sunt implementate la nivel de unitate, tocmai
pentru asigurarea uniformitii. Elementele principale ale unui standard de securitate
informaional sunt:
scopul i aria de aplicare, prin care se ofer o descriere a inteniei standardului
(realizarea unui tip de server pe o anumit platform);
roluri i responsabiliti la nivel de corporaie pe linia definirii, execuiei i
promovrii standardului;
standardele cadrului de baz, prin care sunt prezentate declaraiile de pe cel mai
nalt nivel, aplicabile platformelor i aplicaiilor;
standardele tehnologiei conin declaraiile i descrierile aferente
(configuraia sistemului sau serviciile nesolicitate de sistem);
standardele administrrii reglementeaz administrarea iniial i n timpul
exploatrii platformei i aplicaiilor.
Normele
Normele sunt oarecum asemntoare standardelor, referindu-se la metodologiile
sistemelor securizate, numai c ele sunt aciuni recomandate, nu obligatorii. Sunt mult
mai flexibile dect standardele i iau n considerare naturile diverse ale sistemelor
informaionale. Ele specific modalitile de dezvoltare a standardelor sau garanteaz
aderena la principiile generale ale securitii.
Elementele principale ale unei norme de securitate informaional sunt:
scopul i aria de aplicare, descriindu-se intenia urmrit prin regula respectiv;
roluri i responsabiliti pe linia definirii, execuiei i promovrii normei;
declaraii de orientare: este un proces pas-cu-pas de promovare a tehnologiilor
respective;
declaraii de exploatare: se definesc obligaiile zilnice, sptmnale sau lunare
pentru o corect exploatare a tehnologiei respective.
Procedurile
Procedurile prezint paii detaliai ce trebuie s fie parcuri pentru execuia unei
activiti. Se descriu aciunile concrete pe care trebuie s le efectueze personalul. Prin
51
Securitatea sistemelor informatice
ele se ofer cele mai mici detalii pentru implementarea politicilor, standardelor i
normelor. Uneori se folosete n locul acestui concept cel de practici.
54
Cap. 5 - Modele i programe de securitate
Ce metode sunt acceptate de organizaie (dial-up, modem)?
Este permis accesul din afar la reeaua intern prin modem?
Se impun anumite condiii, cum ar fi soft antivirus i de securitate, pentru
accesarea de la distan?
Pot ali membri ai familiei s acceseze reeaua?
Sunt restricii privind tipul datelor ce pot fi accesate de la distan?
56
Cap. 5 - Modele i programe de securitate
Web. Politica va prevedea condiiile specifice de realizare a traficului Web. Ct
timp WWW (World Wide Web) folosete HTTP-ul (HyperText Transport
Protocol) pentru transferarea informaiilor, prin politica de fa vor fi definite
clar tipurile de site-uri Web care sunt strict interzise, de genul celor porno,
jocurilor de noroc .a.;
FTP. Permind utilizatorilor accesul la FTP (File Transfer Protocol), se
deschide calea descrcrii cu uurin n sistemul organizaiei a viruilor, dar i
transmiterea pe serverele din afara orgnizaiei a unor informaii confideniale.
Pentru specialitii organizaiei trebuie s se asigure un nivel de acces FTP pentru
efectuarea unor descrcri de fiiere n vederea actualizrii softului existent, dar
politica de fa trebuie s stabileasc autorizrile de utilizare FTP;
Chat/IRC. IRC-ul (Internet Relay Chat) este mai puin folosit n mediul
organizaional fa de alte programe de chat (dialoguri Internet), cum sunt
Yahoo, ICQ i AOL Instant Messenger (AIM). Astfel de programe sunt foarte
riscante pentru organizaie deoarece informaiile sunt transmise unor servere
externe fr o protecie corespunztoare. Politica de fa trebuie s stabileasc
n ce msur produsele de tip chat servesc intereselor organizaiei.
57
6 Securitatea reelelor de calculatoare
6.1 Mecanisme utilizate n securizarea reelelor
Dynamic Host Configuration Protocol DHCP - este o modalitate rapid i
simpl de a asigna adrese IP unui numr mare de clieni.
Exist nevoia de a defini un interval de IP-uri valide i de a le asigna automat
clienilor din reea; de asemenea, a aprut nevoia de a defini o durata de viata unui IP.
58
Cap. 6 Securitatea reelelor de calculatoare
Funcionarea ntr-o reea LAN:
n etapa de lansare a sistemului de operare se emite o cerere de alocare IP
nsoit de adresa MAC a emitorului ctre toat reeaua va primi un rspuns de la
primul server DHCP mpreuna cu o adresa IP, masca, gateway-ul i serverele DNS.
Dac DHCP aloc unui utilizator nou o adres IP nerutabil cu care nu poate
face mai nimic. Trebuie luat legtura cu administratorul de sistem i memorat adresa
sa ntr-un tabel NAT.
NAT Networking Addressing Table tabel de adresare n reea este o
soluie care permite ca n zona reelei locale s se utilizeze exclusiv adrese private.
Routerul convertete toate cererile modificnd headerul care nsoete pachetul de date
astfel nct acestea s apar originate de ctre router i nu de sistemul din spatele lui.
Avantaje :
exist o singura adresa IP public i se pot deservi oricte adrese IP private;
ofer protecie pentru flood - ignora informaiile care nu adreseaz o adres
din tabela de NAT-are;
toi cei din reeaua local nu exist pentru reeaua Internet
un sistem local nu poate oferi un serviciu n afara zonei locale, cum ar fi un
setarea unui server
6.1.3 Firewalls
Un firewall este un computer, un router sau orice alt dispozitiv de comunicaie
care controleaz fluxul de date ntre reele. n general, un firewall este prima linie
mpotriva atacurilor din afara reelei.
Poate fi implementat:
hardware - este un router special cu filtre adiionale i capaciti de
management;
software - ruleaz pe un sistem de operare oarecare i transform un PC ntr-
un firewall.
60
Cap. 6 Securitatea reelelor de calculatoare
Fig. 6.2: Serviciile ce pot fi accesate prin Firewall i suportul pentru mesaje ICMP
Rolul firewall-urilor
Tipul de securitate important este securitatea la nivel de reea. Presupune
securizarea tuturor punctelor de acces la reea. Componenta cheia este acest firewall o
main care se comport ca o interfa ntre reea i Internet, avnd doar preocuparea
securitii. Un firewall are mai multe roluri:
permite accesul la reea numai din anumite locaii;
interzice utilizatorilor neautorizai s obin acces la reea;
foreaz traficul dinspre reea spre Internet s treac prin anumite puncte
securizate;
previne atacurile de tipul blocarea serviciului;
impune restricii asupra aciunilor pe care un utilizator de pe Internet le poate
face n reea.
Utilizarea firewall-urilor
Multe persoane consider un firewall ca fiind o singur main, ceea ce uneori
este adevrat. Exist maini dedicate doar acestei funcii. Totui, termenul firewall se
refer mai mult la funciile ndeplinite dect la un dispozitiv fizic. Un firewall poate
consta din mai multe maini care conlucreaz, sau pot fi folosite mai multe programe cu
funcie de firewall. Firewall-urile pot s ndeplineasc i alte funcii dect simpla
monitorizare a accesului la reea.
61
Securitatea sistemelor informatice
Firewall-urile nu sunt invincibile. Ele sunt vulnerabile din cauza defectelor de
proiectare, sau a implementrii (care necesit timp i bani pentru instalare i
configurare).
Un firewall ofer un singur punct de implementare a securitii din reea, deci
eventualele schimbri se fac pe o singur main i nu pe toate celelalte din reea (de ex,
se poate interzice accesul FTP anonim). Firewall-urile pot aplica politici de securitate la
nivelul ntregii reele, interzicnd de exemplu accesul la anumite servicii de pe Internet
pentru toi utilizatorii din reea.
Totui, orice firewall are limitri. Ele sunt utile doar pentru conexiunea reea-
Internet. Ele nu opresc persoanele din reea s fac orice vor altor maini din reea.
Ele nu pot proteja mpotriva ptrunderilor neautorizate dac avei alte conexiuni,
ca un calculator care este conectat printr-un modem la Internet prin intermediul unui
ISP (conexiune care nu trece printr-un firewall). Un firewall nu poate preveni multe
probleme distribuite prin Internet, cum sunt viruii i caii troieni.
Exist dou moduri principale de implementare:
construirea unui firewall propriu din servicii de reea elementare.
cumprarea unui produs comercial.
La instalarea unui firewall, manual sau comercial, se pot controla mai multe
faete, depinde de administrator dac dorete sau nu activarea lor. Unele din aceste
faete ar fi:
serverele proxy
filtrele de pachete.
6.1.4 Proxy-uri
Soluie care permite accesarea informaiei de dup un router logic. Reprezint un
sistem de intermediere a traficului, adic primete cererile, identific rspunsurile, le
memoreaz i le trimite solicitantului.
Posed o adresa IP public i una privat deci este un sistem cu dou placi de
reea. Avantajul este CACHE-ul folosit de proxy. Fiecare pagin are o dat i o or
de expirare.
De asemenea se poate folosi un proxy transparent n sensul c cererea din router
este redirectat ctre un proxy.
Serverele proxy
Un astfel de server este plasat ntre reea i Internet i accept cereri pentru un
serviciu, le analizeaz i le trimite mai departe, n funcie de permisiuni. Serviciul de
proxy ofer o conexiune cu rol de nlocuitor pentru acel serviciu, motiv pentru care se
comport ca un intermediar (proxy). Serverul proxy se plaseaz la mijloc, ascunde
anumite informaii, dar permite desfurarea serviciului prin el.
Ideea este c, fr proxy, adresa IP a mainii gazd este trimis n
pachete, prin Internet. Hackerii pot determina dimensiunea reelei, de exemplu. Un
server proxy schimb adresa IP cu adresa lui i folosete o tabel intern pentru a
redirecta traficul care sosete i care pleac spre destinaiile corecte. Pentru exterior va
fi vizibil o singur adres IP (a serverului proxy).
62
Cap. 6 Securitatea reelelor de calculatoare
Serverele proxy sunt ntotdeauna implementate prin software i nu trebuie s
fac parte dintr-un pachet de firewall, dei sunt de obicei incluse.
Windows XP suport mprirea conexiunii la Internet (Internet Sharing)
folosind opiunea Network Setup Wizard din Start/Settings/Network Connections. ns
soluia aceasta nu funcioneaz ntotdeauna.
O soluie mult mai bun pentru un server proxy este aplicaia software
FreeProxy (www.handcraftedsoftware.org)
Se configureaz programul
prin crearea unui serviciu IP n care
se alege placa de reea ce face
legtura la Internet. Sistemul pe
care funcioneaz aceast aplicaie
are dou plci de reea i se
comport ca un gateway.
64
Cap. 6 Securitatea reelelor de calculatoare
6.2.1 Point-to-Point Tunneling Protocol (PPTP)
Este rezultatul cooperrii dintre mai multe firme (3Com, US Robotics, Microsoft
etc). Utilizatorii pot s se conecteze telefonic (dial-in) la furnizorul de servicii Internet
(ISP) local i apoi s se conecteze securizat printr-un tunel virtual la reeaua corporaiei
lor.
PPTP este un protocol orientat pe modelul client/server, proiectat special
pentru asigurarea de tuneluri virtuale prin reele IP utiliznd PPP i nivelul 2. PPTP
suport mai multe conexiuni PPP printr-un singur tunel PPTP. Aceste tuneluri
virtuale sunt denumite n general reele virtuale private (VPN Virtual Private
Networks).
Spre deosebire de PPTP, care necesit dou canale, L2TP combin canalele de
date i de control ntr-un singur flux. ntr-o reea IP, acest lucru se prezint sub forma
mpachetrii datelor i a mesajelor ntr-o datagrama UDP.
Datele utile constau n esen din pachetul PPP, minus elementele de ncadrare
specifice mediului de transmisie. Deoarece L2TP este de nivel 2, el trebuie s nclud
un antet pentru mediul de transmisie cu scopul de a-i indica nivelului superior modul n
care trebuie transmis pachetul. Aceasta transmisie poate avea loc pe Ethernet, reele
frame relay, X.25, ATM, sau prin legtur PPP iniial.
Pentru reducerea congestionrii reelei, L2TP suport controlul fluxului.
Acesta este implementat ntr-un concentrator de acces L2TP (L2TP Access
Concentrator LAC), care funcioneaz ca server de acces la reea, i un server L2TP
de acces la reea (L2TP Network Access Server LNS), care are rolul de a asigura
66
Cap. 6 Securitatea reelelor de calculatoare
accesul la reeaua corporaiei. Mesajele de control conin informaii privind ratele de
transmisie i parametrii zonelor tampon. Comunicndu-i reciproc aceste informaii,
serverele LAC i LNS pot controla fluxul de date.
6.2.3 IPsec
Deoarece protocolul TCP/IP nu ofer nici un fel de protecie, au aprut mai
multe metode de a umple acest gol. De aceea, s-a lucrat la un set de protocoale numite
IPsec. Documentele pentru aceste standarde au fost gndite pentru standardul IPv6
(publicate n 1995), dar au fost modificate pentru adaptarea lor la IPv4. Arhitectura
IPSec este compus dintr-un set de protocoale pentru autentificarea pachetelor (AH),
criptarea i/sau autentificarea pachetelor (ESP) i mecanisme pentru stabilirea
parametrilor conexiunilor (SA-Security Associations) folosind IKE.
IPSec folosete un algoritm pentru schimbarea cheilor ntre pri, numit Internet
Key Exchange (IKE), care permite calculatoarelor s negocieze o cheie de sesiune n
mod securizat, folosind protocoalele ISAKMP pentru crearea de Security Associations
i OAKLEY bazat pe algoritmul Diffie-Hellman pentru schimbarea cheilor ntre cele
dou pri. IKE se poate folosi n conjuncie cu Kerberos, certificate X.509v3 sau chei
preshared.
Authentication Header (AH) este ataat fiecrei datagrame i conine
semntura sub form de hash HMAC cu MD5 sau HMAC cu SHA-1.
Encapsulated Security Payload (ESP) cripteaz coninutul pachetelor n dou
moduri: transport (protejeaz doar coninutul pachetului, nu i header-ul) sau tunel
(ntreg pachetul este criptat). ESP folosete de asemenea hash-uri HMAC cu MD5 sau
HMAC cu SHA-1 pentru autentificare i DES-CBC pentru criptare.
67
7. Tehnici, servicii i soluii de securitate pentru
Intranet-uri i portaluri
7.1. Introducere
Cele mai multe aplicaii de securitate pot fi privite n termeni de servicii
generale pe care le pot oferi. Aplicaiile de securitate sunt instalate pentru a oferi un
nivel de baz al securitii sau funcii care mbuntesc securitatea operaional dintr-o
organizaie.
ntre serviciile de securitate sunt cuprinse i urmtoarele:
auditarea - un mecanism (de obicei un sistem de jurnalizare) care
nregistreaz evenimentele care pot s includ accesul utilizatorilor i al
fiierelor;
autentificarea - un mecanism prin care se identific n mod pozitiv un
utilizator prin cererea unor date de identificare (parol, smart card, amprente,
date biometrice, etc.);
autorizarea - resursele pe care un utilizator le poate accesa dup ce a fost
autentificat;
disponibilitatea - disponibilitatea unei resurse. Un atac mpotriva
disponibilitii unui sistem este cunoscut sub numele de Denial of Service
(DoS);
confidenialitatea - protecia informaiilor private sau sensibile;
integritate - protecia datelor mpotriva modificrilor neautorizate. Acest
lucru este important mai ales n instituiile financiare;
nerepudiere - un mecanism de prevenire a fraudelor prin care se dovedete
c un utilizator a executat o anumit aciune; Toate aceste aplicaii obin
nivelul dorit de protecie prin utilizarea criptografiei.
7.2. Criptografia
Criptografia este arta i tiina de a ine secrete datele, prin utilizarea criptrii
folosind un algoritm specific. Un algoritm (numit i cifru) este un proces matematic sau
o serie de funcii prin care se amestec datele. Cei mai muli algoritmi utilizeaz chei,
astfel nct algoritmii pot s nu fie unici pentru o tranzacie, iar detaliile algoritmilor
utilizai s nu fie secrete.
Termenul cheie se refer la informaia necesar pentru a cripta sau decripta
datele. Securitatea unei chei este deseori discutat n termeni de lungime sau bii ai
acesteia, dar o cheie de mrime mare nu garanteaz securitatea de ansamblu a
sistemului.
Exist dou tipuri generale de criptografie, definite n funcie de tipul de cheie
utilizat: criptografia cu cheie secret i criptografia cu cheie public. Cele mai multe
aplicaii utilizeaz principiile unuia sau a ambelor tipuri de criptografie.
68
Cap. 7 - Tehnici, servicii i soluii de securitate pentru Intranet-uri i portaluri
7.2.1. Criptografia cu cheie secret
Criptarea cu cheie secret, cunoscut sub numele de criptare simetric,
utilizeaz o singur cheie pentru a cripta sau decripta datele. Securitatea algoritmului cu
cheie secret este deseori legat de ct de bine este pstrat sau distribuit cheia secret.
Algoritmii de chei secrete sunt mprii n algoritmi de bloc (block cipher), care
proceseaz datele n blocuri msurate la un moment dat, sau algoritmi de iruri (stream
cipher), care proceseaz la un moment dat un singur byte. Algoritmii de bloc exceleaz
n criptarea datelor de lungime fix, n timp ce algoritmii de stream-uri sunt utilizai
ndeosebi la criptarea stream-urilor aleatoare de date, precum traficul de reea ntre dou
routere.
ntre avantajele criptrii cu cheie simetric se numr rapiditatea procesului de
criptare i simplitatea utilizrii acestuia. Dezavantajele sunt legate de distribuirea n
siguran a cheii secrete i de managementului cheilor.
Printre exemplele cele mai ntlnite de algoritmi cu cheie simetric cu criptare n
bloc se numr Data Encryption Standard (DES), International Data Encryption
Algorithm (IDEA), CAST-128 (numit dup inventatorii acestuia - Carlisle, Adams,
Stafford, Tavares) i Blowfish. Printre algoritmii de criptare a stream-urilor se numr
Ron 's Cipher 4 (RC4) i Software-Optimized Encryption Algorithm (SEAL).
70
Cap. 7 - Tehnici, servicii i soluii de securitate pentru Intranet-uri i portaluri
Tabelul 7.1
Relaii agreate ntre lungimea cheii publice i cea a
cheii private
Lungime cheie secret (cifru bloc) Cheie RSA
56 bii 512 bii
80 bii 1024 bii
112 bii 2048 bii
128 bii 3072 bii
256 bii 15360 bii
71
Securitatea sistemelor informatice
care pot aprea n timpul instalrii i utilizrii acestei tehnologii n mod securizat. De
exemplu, utilizarea unui algoritm de hash slab ofer o securitate sczut n combinaie
cu un algoritm de criptare puternic. Din nefericire, simpla vizualizare a unui mesaj hash
nu este suficient pentru a detecta utilizarea unui algoritm slab.
nelegerea riscurilor asociate cu utilizarea semnturilor digitale presupune
nelegerea limitrilor acestei tehnologii. Astfel, o semntur digital, cnd nu este
legat de numele utilizatorului printr-un certificat digital, nu are nici o semnificaie.
Distribuirea securizat a semnturii digitale este singura garanie a securitii ei. n
cazul n care este nevoie de o distribuire la scar a cheilor publice pentru verificarea
semnturilor digitale, trebuie creat o baz de date la care persoanele interesate s aib
acces de citire, n timp ce scrierea trebuie restricionat cu cele mai puternice tehnologii.
Poate cel mai mare risc al semnturilor digitale este acordarea unei prea mari
ncrederi acestei tehnologii. Semnturile de mn pot fi falsificate sau fotocopiate ntr-
un nou document, dar acest lucru nu ar trebui s fie valabil ntr-un sistem de semnturi
digitale implementat n mod corespunztor. O semntur de mn poate s ofere o
certitudine pn la ruperea modelului de ncredere. Problema cu semnturile digitale
este aceea c nu se tie nc unde i cnd nu se mai poate vorbi de ncrederea acordat
sistemului.
72
Cap. 7 - Tehnici, servicii i soluii de securitate pentru Intranet-uri i portaluri
Issuer Unique ID - un cmp opional utilizat pentru a identifica emitentul
certificatului sau autoritatea de certificare. Utilizarea acestui cmp nu este
recomandat n RFC 2459;
Extensions - cmp opional utilizat pentru extensii proprietare. Acest cmp
nu este definit dar cuprinde articole precum: alte denumiri ale subiectului,
informaii pentru utilizarea cheilor i punctele de distribuie a listelor de
revocare a certificatelor (Certificare Revocation List - CRL);
Encrypted - acest cmp conine semntura n sine, identificatorul
algoritmului, hash-ul securizat al celorlalte cmpuri din certificat i o
semntur digital a hash-ului.
76
Cap. 7 - Tehnici, servicii i soluii de securitate pentru Intranet-uri i portaluri
7.2.8.1. Legtura SSL-HTTP
Sesiunile Web standard utilizeaz HyperText Transfer Protocol (HTTP) pentru a
stabili canale de comunicaie prin reelele TCP/IP. SSL a fost creat ca i un protocol de
securitate separat, care mbuntete standardul HTTP.
Din punct de vedere logic, SSL se insereaz ntre protocolul aplicaie HTTP i
nivelul de conversaie TCP, din punctul de vedere al TCP SSL fiind doar un alt nivel
protocol de nivel aplicaie. Deoarece SSL se comport ca o mbuntire, adugarea
SSL la protocoalele existente este simpl, nemainecesitnd rescrierea protocoalelor de
baz.
Din cauza acestui design flexibil, SSL este capabil s cripteze aproape ntregul
trafic bazat pe TCP. Mai mult, SSL a fost utilizat pentru a oferi securitate la nivel de
sesiune pentru e-mail (SMTPS, POP3S, IMAPS), news (NNTPS), LDAP (LDAPS),
IRC (IRCS), Telnet (Telnets), FTP (FTPS). Dar SSL nu poate s mbunteasc
transmisiunile prin UDP.
n general traficul Web bazat pe SSL este configurat s utilizeze portul 443 n
locul portului standard 80. Browser-ele Web vor crea o sesiune SSL prin utilizarea
HTTPS n locul HTTP.
77
Securitatea sistemelor informatice
versiune al protocolului, setrile cifrului, date generate aleator, metoda de
compresie i identificatorul de sesiune;
ServerKeyExchange - imediat dup trimiterea ServerHello, serverul trimite
un mesaj de tip ServerKeyExchange ctre client care conine certificatul cu
cheia public. n cazul n care sunt necesare i certificate din partea
clienilor, este generat o cerere n acest sens;
ServerHelloDone - dup ServerKeyExchange, serverul trimite un mesaj
final prin care se indic finalizarea negocierii iniiale;
ClientKeyExchange - dup recepionarea mesajului de tip
ServerHelloDone, clientul rspunde cu mesajul ClientKeyExchange care
const n cheia simetric a sesiunii, criptat cu cheia public a serverului,
primit n pasul 3;
ChangeCipherSpec - n acest pas clientul trimite ctre server un mesaj de
tip ChangeCipherSpec n care specific ce setri de securitate ar trebui
invocate /utilizate;
Finished - clientul trimite mesajul Finished, prin care se permite
determinarea finalizrii cu succes a negocierii i dac opiunile de securitate
au fost sau nu compromise n orice stagiu anterior;
ChageCipherSpec - serverul trimite ctre client un mesaj de tip
ChangeCipherSpec, prin care se activeaz opiunile de securitate invocate;
Finished - serverul trimite un mesaj de tip Finished, permind clientului s
verifice opiunile de securitate activate. Dup trimiterea acestui mesaj,
negocierea este finalizat, iar conexiunea este stabilit. n continuare, toate
comunicaiile sunt criptate, pn la terminarea sau finalizarea sesiunii.
7.2.11. SSH
UNIX este un sistem de operare sofisticat i matur care a fost dezvoltat de Bell
Labs la nceputul anilor 1970. Pe msura trecerii anilor, Unix a avut partea sa de
probleme de securitate, multe dintre ele fiind rezolvate. n general, Unix este considerat
a fi un sistem de operare sigur i stabil cnd este configurat n mod corect. Cu toate
acestea, exist o serie de protocoale care continu s defimeze securitatea sistemelor
Unix, printre acestea numrndu-se Telnet, FTP precum i faimoasele comenzi de la
Berkley de tip r*" (rcp, rsh, rlogin). Programe i protocoale nesigure continu s ofere
acces uor la sistem att pentru administratori ct i pentru utilizatori ruvoitori. Aceste
protocoale rmn vulnerabile n mare parte datorit faptului c datele de autentificare
sunt trimise prin reea sub form de text clar, acesta semnificnd c oricine poate s
obin numele de utilizator i parola, exploatnd apoi un serviciu prin impersonarea
utilizatorului legitim.
Dezvoltat de Tatu Ylnen n 1995, Secure Shell (SSH) ofer servicii de
securitate la nivel de sesiune precum i confidenialitatea datelor n reele nesigure,
oferind o nlocuire sigur a comenzilor rsh, rlogin, rcp, telnet, rexec i ftp. Securitatea
SSH este dependent de criptarea sesiunii de lucru de tip end-to-end ntre un client i un
server. SSH are de asemenea posibilitatea s autentifice n mod sigur mainile nainte de
a trimite informaiile de login.
SSH este utilizat n general pentru a accesa un calculator de la distan i pentru
a executa comenzi. SSH ofer de asemenea securizarea transferului de fiiere ntre
maini prin executarea copierii securizate (SCP) i a transferului de fiiere securizat
(SFTP). SSH poate ajuta de asemenea n securizarea traficului X11 prin trimiterea
acestuia printr-un tunel criptat. n acest fel SSH a fost utilizat pentru a defini o form
primitiv de reea privat virtual ntre gazde.
80
Cap. 7 - Tehnici, servicii i soluii de securitate pentru Intranet-uri i portaluri
Componentele SSH cuprind serverul (SSHD), clientul (SSH), copierea (SCP)
securizat a fiierelor i ssh-keygen - o aplicaie utilizat pentru a crea chei publice i
private utilizate pentru autentificarea mainilor.
SSH ofer faciliti de baz pentru translatarea porturilor, prin aceasta
permindu-se utilizatorilor s creeze tuneluri pentru protocoalele existente prin
conexiunile SSH existente. De exemplu, transferul de date prin POP (care n mod
normal trimite numele de utilizator i parola sub form de text clar), pot fi securizate
prin SSH. Exist i limitri ale translatrii porturilor, deoarece nici intervalele de
porturi, nici porturile dinamice nu pot fi specificate.
Dei translatarea porturilor ajut n securizarea protocoalelor, precum POP,
exist i riscuri prin activarea acestei opiuni - de exemplu, prin activarea unei conexiuni
SSH de ieire se poate permite unui utilizator s traverseze un firewall prin
transformarea protocoalelor (tuneluri) de intrare care nu sunt permise de firewall prin
sesiuni criptate SSH.
Utilizarea opiunilor de autentificare a SSH protejeaz utilizatorii i mainile
mpotriva atacurilor de tip IP Spoofing, rutarea sursei IP, spoofing DNS, etc.
SSH const n trei niveluri: nivelul protocolul de transport, nivelul de
autentificare precum i nivelul conexiune. Protocolul transport este responsabil pentru
gestionarea negocierii cheilor de criptare, cererilor de regenerare a cheilor, mesajelor de
cereri de servicii precum i a mesajelor de deconectare a serviciilor. Protocolul de
autentificare este responsabil pentru negocierea tipurilor de autentificare, verificarea
canalelor securizate naintea trimiterii informaiilor de autentificare precum i pentru
cererile de modificare a parolelor. Protocolul de conectare controleaz deschiderea i
nchiderea canalelor precum i a translatrii porturilor.
Exist dou versiuni de SSH - v1 i v2, iar clieni SSH exist pentru mai multe
platforme - Unix, Windows, Machintosh, OS/2. Exist i versiuni de componente de
server pentru Windows NT/2000.
7.2.11.2. SSH1
Versiunea original a SSH, versiunea 1, este distribuit n mod gratuit pentru
utilizare necomercial, mpreun cu codul surs. SSH1 are i variante majore (1.2, 1.3 i
1.5). Dei s-au descoperit cteva probleme de securitate, SSH este considerat n
continuare sigur, dat fiind atenia acordat metodei de autentificare i cifrului utilizat.
De exemplu, SSH1 este vulnerabil la atacurile prin inserarea datelor, deoarece acesta
utilizeaz CRC pentru verificarea integritii datelor. Dar utilizarea algoritmului de
criptare Triple-DES rezolv aceast problem.
SSH 1 suport o mai mare varietate de metode de autentificare fa de versiunea
2, ntre care se numr AFS (bazat pe Andrew File System dezvoltat la Carnegie-
Mellon) i Kerberos.
7.2.11.3. SSH 2
SSH 2 este o rescriere complet a SSH1 prin care se adaug noi faciliti,
inclusiv suport pentru protocoalele FTP i TLS. Din cauza diferenelor de implementare
a protocoalelor, cele dou versiuni nu sunt compatibile n ntregime. SSH2 ofer
mbuntiri n ceea ce privete securitatea i portabilitatea. SSH2 necesit mai puin
cod care s ruleze cu privilegii de root, fiind mai puin expus exploatrilor de tip buffer
overflow; astfel este mai puin probabil ca un atacator s rmn pe server cu drepturi
de root.
SSH2 nu ofer aceleai implementri de reea ca i SSH 1, deoarece cripteaz
pri diferite ale pachetelor. SSH2 nu suport metoda de autentificare prin fiierele
.rhosts. De asemenea, n SSH2 algoritmul RSA este nlocuit de Digital Signature
Algorithm (DSA) i de Diffie-Hellman, dar, deoarece patentele RSA au expirat, este de
ateptat suportul n continuare pentru algoritmul RSA n versiunile urmtoare. SSH2
suport Triple-DES, Blowfish, CAST-128 i Arcfour.
Din cauza diferenelor ntre SSH 1 i SSH 2 i din cauza restriciilor de
liceniere, ambele versiuni vor continua s fie utilizate pentru o perioad de timp.
82
Cap. 7 - Tehnici, servicii i soluii de securitate pentru Intranet-uri i portaluri
Tabelul 7.2.
Comparaie ntre SSH1 i SSH2
SSH1 SSH 2
Triple - DES Triple - DES - algoritm implicit
128bitRC4 128bitRC4
Blowfish Blowfish
IDEA - algoritm implicit Twofish
DES Arcfour
RSA CAST 128
- DSA
- Transferul cheilor prin Diffie Hellman
84
Cap. 7 - Tehnici, servicii i soluii de securitate pentru Intranet-uri i portaluri
Versiunea 7 a PGP Desktop Security introduce i suport pentru certificatele
digitale X.509v3, permind astfel PGP s participe n infrastructura de chei publice i
s se deprteze (eventual) de modelul de securitate al PGP (plaja de ncredere).
Dei criptografia utilizat de PGP este puternic, exist o mulime de atacuri ce
se pot aplica mpotriva acestuia. Un tip de atac este cel reprezentat de atacurile prin
dicionare asupra frazei de trecere din PGP, prin ncercarea fiecrui cuvnt din dicionar
i a combinaiilor.
Securitatea central a PGP este dat de puterea frazei de trecere i de protecia
cheii private. Pentru ca fraza de trecere s prezinte securitatea adecvat, ar trebui s aib
o lungime suficient, nu ar trebui s utilizeze cuvinte comune din dicionare i ar trebui
schimbat frecvent.
n ceea ce privete cheia privat, ct timp aceasta este stocat pe un calculator (i
nu pe un smart card, de exemplu), protecia acesteia este de asemenea important.
Pe lng acestea, modelul de ncredere reciproc n cheile PGP este predispus la
erori, iar pentru ca acesta s lucreze n mod corect trebuie ca expeditorul s cread c
cheia public este autentic, aparine utilizatorului real i nu a fost modificat.
7.2.13. S/MIME
Ca i PGP, Secure / Multipurpose Internet Mail Extensions (S/MIME)
ncearc s rezolve problema trimiterii de mesaje ntre pri care nu s-au ntlnit
niciodat prin intermediul criptrii. De asemenea, rezolv problema integritii
mesajului, verificrii mesajului i a nerepudierii prin utilizarea semnturilor digitale.
S/MIME nu ofer criptarea la nivel de sesiune precum SSL, ci securizeaz
mesajele individuale. Acest protocol este de preferat n utilizarea e-mail, n care
destinatarul nu este disponibil n momentul n care mesajul a fost trimis.
Utiliznd S/MIME, un mesaj poate fi criptat, semnat digital sau se pot alege
ambele variante. Dei S/MIME nu este limitat la securizarea mesajelor de e-mail,
aceasta a fost principala sa utilizare pn n momentul de fa. S/MIME a fost aplicat de
asemenea n Electronic Data Interchange (EDI), tranzacii online i mesagerie
securizat n aplicaii.
Modelul S/MIME este bazat pe tehnologia creat n 1995 de ctre RSA Data
Security mpreun cu un grup de dezvoltatori de software, ntre care Netscape, VeriSign
i alii. S/MIME este bazat pe Standardul de criptografie cu cheie public nr. 7
(PKCS#7 - un set de standarde utilizat pentru implementarea sistemelor de criptare cu
cheie public) pentru trimiterea mesajelor i pe X.509v3 pentru certificate digitale.
S/MIME ofer mbuntiri de securitate fa de standardul MIME. Ambele sunt
definite prin RFC-uri:
RFC 1847: Securizarea Multiparte pentru MIME;
RFC 2045: MIME partea nti: formatul corpurilor de mesaje din MIME;
RFC 2046: MIME partea a doua: tipurile media;
RFC 2047: MIME partea a treia: extensiile antetelor de mesaje pentru text Non-
ASCII;
RFC 2048: MIME partea a patra: procedurile de nregistrare;
RFC 2049: MIME partea a cincia: criterii de conformare i exemple;
RFC 2183: comunicarea informaiilor de prezentare n mesajele Internet;
RFC 2630: sintaxa mesajelor criptate;
RFC 2632: gestiunea certificatelor S/MIME V3 ;
85
Securitatea sistemelor informatice
RFC 2633: specificaiile S/MIME V3;
RFC 2634: servicii mbuntite de securitate pentru S/MIME.
86
Cap. 7 - Tehnici, servicii i soluii de securitate pentru Intranet-uri i portaluri
S/MIME i PGP ofer ambele metode eficiente de securitate pentru criptarea
mesajelor de e-mail. Spre deosebire de PGP, care s-a bazat pn la versiunea 7.0 pe
modelul de securitate al plajei de ncredere, S/MIME are ca avantaj principal utilizarea
infrastructurii cu chei publice (PKI) i a certificatelor digitale. De asemenea, S/MIME
este integrat n mai muli clieni de e-mail, n timp ce PGP necesit descrcarea i
instalarea unui plug-in.
87
Securitatea sistemelor informatice
dincolo de zidul de protecie. Un exemplu poate fi utilizarea unui modem i a unei
conexiuni dial-up.
n practic au fost observate urmtoarele riscuri cu privire la firewall-uri:
porturile - regulile de filtrare sunt bazate pe porturi surs i destinaie. O main
care utilizeaz TCP/IP are 65535 porturi virtuale, din care unele sunt utilizate de
ctre anumite servicii;
rutarea - aceast opiune IP permite utilizatorilor s defineasc modalitatea de
rutare a pachetelor.
SOCK - reprezint o bibliotec de aplicaii proxy utilizate pentru a permite ca
anumite servicii s fie utilizate i pentru a ine intruii n afar;
scanare RPC direct - portmapper este un serviciu care permite utilizatorilor s
identifice porturile pe care rezid apelurile de proceduri la distan;
scanare ascuns - un intrus nu ncearc s stabileasc o conexiune ci utilizeaz
pachete la nivel de interfa. Aceste pachete ne dau rspunsuri diferite, n funcie
de calitatea portului (deschis sau nu).
protocoale fr conexiune - firewall-urile au dificulti n detectarea pachetelor
utilizate n servicii care nu necesit stabilirea unei conexiuni, precum UDP;
Pentru Intraneturi este necesar existena unui sistem de detectare a intruziunilor
cu scopul protejrii perimetrului reelei de atacuri. Sistemele de detectare a intruilor pot
fi instalate ca i sonde sau ca ageni. Sondele sunt mult mai eficiente n ceea ce privete
detectarea intruziunilor deoarece minimizeaz impactul asupra sistemelor existente prin
ascultarea pasiv i raportarea ctre consola central, fr ntrerupere.
Serviciile de detectare a intruilor execut la nivel de dispozitiv de reea
urmtoarele funcii:
inspecteaz irul de date care trec prin reea, identific semnturile activitilor
neautorizate i activeaz procedurile de aprare;
genereaz alarme n cazul detectrii evenimentelor, notificnd personalul
necesar de securitate;
activeaz un rspuns automat n cazul anumitor probleme.
Pe lng detectarea intruilor mai poate fi luat n considerare i un agregator
proxy de tip TCP care va mbuntii securitatea prin firewall prin limitarea porturilor
expuse.
Tunneling-ul i criptarea sunt utilizate pentru a crea reele punct-la-punct, n
general fiind utilizate protocoale precum Layer 2 Tunneling Protocol (L2TP), Point-to-
Point Tunneling Protocol (PPTP), IPSec, precum i standarde de criptare cum sunt
DES, MD5, Triple DES, etc.
Codurile mobile de program precum Java i ActiveX creeaz o ameninare n
cretere. Aplicaiile care inspecteaz coninutul trebuie s:
ofere control asupra codului mobil Java, ActiveX sau altul;
previn atacurile prin cod mobil;
activeze navigarea n siguran, utiliznd n acelai timp facilitile Java i
ActiveX.
89
Securitatea sistemelor informatice
o implementarea de soluii deschise flexibile i interoperabile care s nu
interzic sau s ngreuneze utilizarea pe scar larg de soluii tehnologice
noi sau competitive;
utilizarea pe scar larg de standarde e-business i e-commerce industriale i a
produselor comerciale COTS (commercial-off-the-shelf);
implementarea soluiilor de securitate e-business i e-commerce care vor permite
securitatea datelor pe baza cerinelor statutare i ale utilizatorilor, fr
degradarea proceselor curente pe care le nlocuiesc;
stabilirea i utilizarea de oportuniti de afaceri electronice care angajeaz
principii, concepte i tehnologii de e-business i e-commerce n conducerea i
administrarea proceselor militare i de afaceri;
aplicarea proceselor de e-business i e-commerce n vederea interoperabilitii
cu partenerii de afaceri pentru integrarea cu sectorul privat;
protejarea proprietii intelectuale; garantarea integritii datelor i dreptul la
confidenialitatea lor;
cooperarea cu alte ministere i agenii pentru dezvoltarea i implementarea unei
arhitecturi operaionale e-business i e-commerce n sprijinul programelor
guvernului din domeniu;
asigurarea conformitii cu politica de achiziie a M.Ap.N. i a instruciunilor de
achiziie.
90
Cap. 8 - Strategii de achiziie pentru aprare
n societatea informaional, informaia ca arm, int i materie prim strategic
st la baza tuturor deciziilor. Adaptarea la acest nou mediu (n care fluxul de informaii,
n timp real, este n continu cretere) presupune nelegerea unor riscuri n zona
managementului informaional. O exemplificare a acestui lucru este faptul c operaiile
informaionale, aa cum sunt ele conceptualizate n doctrinele euro-atlantice, au ca int
de baz ciclul decizional.
Evoluia rapid a tehnologiei informaiei a mrit discrepana dintre capacitatea
de producere i cea de utilizare a informaiei. Sporirea cantitii informaiilor nu atrage
dup sine i creterea calitii lor, iar deinerea unor informaii de calitate nu este
sinonim cu capacitatea de valorificare a lor.
Din perspectiv civil, conceptul de rzboi informaional atrage dup sine o
multiplicare a raporturilor de for, n timp ce n plan militar exist o aparent limitare a
acestora (restrngerea puterii militare, datorit reducerii caracterului violent al
confruntrilor). ntre cele dou perspective exist i puncte comune. n primul rnd, un
aliat poate fi n acelai timp i adversar (de unde natura dual cooperare concuren).
n al doilea rnd, rzboiul informaional stabilete un nou raport ntre realitile de ordin
strategic, tehnic (prezena tot mai mare a informaticii i a reelelor informaionale) i
simbolice.
n sens larg, rzboiul informaional presupune integrarea a apte forme diferite
de domenii i discipline:
rzboiul de comand i control (forma exclusiv militar a rzboiului
informaional) are menirea s anihileze comanda i sistemele de comand i
control ale unui adversar prin integrarea operaiilor psihologice, a securitii
operaiilor, a inducerii n eroare, a rzboiului electronic i a distrugerii fizice;
rzboiul bazat pe informaii (intelligence) const n proiectarea, protecia i
anihilarea sistemelor care conin suficiente cunotine pentru a domina un spaiu
de conflict;
rzboiul electronic utilizeaz tehnologie electronic i tehnici criptografice
pentru dominaia spaiului electromagnetic;
rzboiul psihologic utilizeaz informaia pentru a modifica atitudinile i
opiunile amicilor, neutrilor i adversarilor;
rzboiul hacker-ilor const n atacuri pasive i active, cu software malign,
asupra sistemelor informatice;
rzboiul n sfera informaiilor economice urmrete blocarea sau canalizarea
informaiilor, n scopul obinerii supremaiei economice;
rzboiul n spaiul realitii virtuale creeaz, n prezent, imagini ale
"realitilor"potrivit intereselor actorilor implicai.
91
Securitatea sistemelor informatice
securitatea comunicaiilor (COMSEC - Communications Security i
TRANSEC Transmission Security).
92
Cap. 8 - Strategii de achiziie pentru aprare
care emite mesajul ct i toi cei care l primesc trebuie s aib aceleai chei, acest
sistem ofer cel mai nalt nivel de securitate.
O soluie recent dezvoltat, aplicabil reelelor radio folosete reprogramarea
prin legtur radio (OTAR - Over The Air Rekeying).Aceast tehnic aproape elimin
necesitatea ncrcrii manuale a cheilor i realizeaz un management sigur al cheilor.
OTAR este un sistem de distribuire a cheilor i include o cheie de criptare a
cheii (KEK - Key Encryption Key), folosit pentru criptarea cheii de criptare a traficului
i oricror altor chei operaionale COMSEC sau TRANSEC. Acest proces mai este
denumit i "mpachetare" pentru a fi difereniat de criptarea traficului. Singura cheie
care trebuie ncrcat iniial att n unitile emitoare ct i n cele receptoare este
cheia KEK.
Dup "mpachetare", distribuirea, procesul care urmeaz, poate folosi orice
mijloace fizice sau electronice. ntr-un sistem OTAR, cheile "mpachetate"sunt
introduse ntr-un mesaj i trimise prin legtur radio staiei dorite, folosind protocoale
de transmisie fr erori (deoarece orice eroare ar face cheile de nefolosit). Legtura
folosit pentru transmisie este n general secretizat cu ajutorul cheii de criptare a
traficului (TEK) utilizat. Astfel, coninutul cheii este dublu protejat la transmisia prin
legtur radio, eliminndu-se practic orice posibilitate de compromitere. Pentru un grad
de securitate mai ridicat, se obinuiete s se digitizeze prin intermediul unui vocoder,
semnalul digital rezultant fiind apoi tratat ca orice flux de date.
TRANSEC folosete un numr de tehnici pentru a preveni detecia sau bruierea
semnalului pe traseul de transmisie. Aceste tehnici includ fie "ascunderea" canalului, fie
transformarea acestuia ntr-o int n continu micare.
Pe termen mediu i lung, o strategie coerent de aciune pentru operaionalizarea
securitii informaionale va trebui s vizeze dezvoltarea conceptual i metodologic a
domeniului, cu accent pe:
delimitarea granielor conceptuale (caracteristici, forme, aspecte etc.) i definirea
cadrului epistemologic de abordare;
studierea dinamicii modelelor formale ale rzboiului informaional i adaptarea
acestora la contextul geopolitic, la interesele i resursele Romniei;
identificarea factorilor de risc n raport cu slbiciunile actuale ale Sistemului
Naional de Securitate;
fundamentarea teoretic a unui ansamblu de structuri care s permit abordarea
instituionalizat a domeniului rzboiului informaional;
formularea unei strategii integratoare, la nivel naional, care s ofere
coordonatele pe termen lung ale dezvoltrii domeniului securitii
informaionale.
93
Securitatea sistemelor informatice
Aplicaii practice
94
Laborator Securitatea sistemelor informatice Lucrarea nr.1
Tabelul 4.1
Corespondena litere-numere
Litera A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Numr 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
95
Laborator Securitatea sistemelor informatice Lucrarea nr.1
Cheia reperat 3 3 3 3 3 3 3 3 3
Mesajul 15 0 17 14 11 0 12 4 0
Echivalentul numeric
18 3 20 17 14 3 15 7 3
al textului criptat
Textul criptat S D U R O D P H D
Dac sumele valorilor cheii i ale numrului aferent literelor sunt mai mari sau
egale cu 26, se determin modulo 26 din sum, adic rezultatul final este obinut prin
scderea din sum a numrului 26.
Exemplu:
D=3, K=PIC, mesajul este SECRET, rezultatul va fi:
- valorile numerice atribuie mesajului:
S E C R E T
18 4 2 17 4 19
- valorile numerice ale cheii sunt: P I C = 15 8 2
Cheia reperat 15 8 2 15 8 2
Mesajul 18 4 2 17 4 19
Echivalentul numeric 33 32
12 4 12 21
al textului criptat (8) (9)
Textul criptat I M E J M V
Cifrul lui Cezar, bazndu-se pe substituia simpl sau monoalfabetic este uor
de spart, pentru c un caracter este nlocuit de altul i aceast schimbare este valabil n
tot textul, iar analiza frecvenelor de apariie a literelor din textele scrise ne va conduce
la caracterele adevrate ale textului.
Cifrurile polimorfice sunt realizate prin apelarea la cifruri bazate pe substituia
multipl. De exemplu, dac se folosesc trei alfabete pentru substituie, definite de cel ce
intenioneaz s cripteze, prima liter din textul clar este nlocuit cu prima liter din
primul alfabet, a doua liter a textului clar este nlocuit cu prima liter din al doilea
96
Laborator Securitatea sistemelor informatice Lucrarea nr.1
alfabet, a treia liter a textului clar este nlocuit cu prima liter din al doilea alfabet, a
patra liter din textul clar este nlocuit de a doua liter din primul alfabet .a.m.d.
Exemplu:
cuvntul cheie criptam
mesaj de criptat Incercam sa lucram cu coduri si criptari.
cuvntul cheie criptam are 7 litere
numerotare 2635714
deoarece, avem, n ordine abcdefghijklmnopqrstuvwxzy
1 2 3 4 5 67
mprire n grupe: Incerca | m sa lu | cram cu | coduri | si cri | ptari.
codificare 2635714
Incerca
m*sa*lu
cram*cu
*coduri
*si*cri
ptari.*
97
Laborator Securitatea sistemelor informatice Lucrarea nr.1
mesaj criptat clcrr.Imc**pcsaoiaauuii*eamd*rn*rcstr**uci
col1 col2 col3 col4 col5 col6 col7
Cerin
Fiind date un cuvnt cheie i un mesaj criptat, decodificai mesajul trimis de
Mircea pentru Vasilic.
Date de intrare
Fiierul de intrare criptare.in conine pe prima linie mesajul criptat iar pe linia a doua
cuvntul cheie.
Date de ieire
Fiierul de intrare criptare.out conine pe prima linie mesajul decriptat.
Restricii
lungimea mesajului este de minim 20 i maxim 1000 caractere
cuvntul cheie are minim 5 i maxim 20 de caractere
cuvntul cheie conine numai litere mici ale alfabetului
98
Laborator Securitatea sistemelor informatice Lucrarea nr.2
2.2 Introducere
Cuvntul steganografie (steganography) vine din limba greac unde steganos
nseamn ascuns i graph scris (scriere ascuns). Prin urmare putem spune c
steganografia este tiina sau arta de a scrie mesaje ascunse astfel nct existenta lor s
fie cunoscut numai de destinatar i expeditor. Acest concept i are originea n vremuri
istorice. De exemplu grecii sau romanii foloseau steganografia pentru a transmite
mesaje ascunse, i anume rdeau prul celui care trebuia s transmit mesajul, scriau
mesajul pe pielea capului i ateptau ca prul s-i creasc la loc. Mesajul putea fi
transmis prin intermediul trimisului, nimeni dect cei care tiau unde se afl putndu-l
citi.
Steganografia este folosit pentru a ascunde mesaje (fiiere) n alte fiiere mai
mari i anume n imagini de tip jpg, bmp, png, n fiiere audio (mp3 sau wav) sau chiar
video (avi) fr a exista posibilitatea ca o ter persoan s tie sau s afle de existena
lor. Totui una dintre cele mai cunoscute tehnici de steganografie este "cerneala
simpatic" (nscrisul devine vizibil dup un procedeu - lampa UV, nclzire, etc.).
Steganografia nu trebuie confundat cu criptografia. Acesta din urma face ca un mesaj
s devin indescifrabil, dar existenta lui este vizibil, pe cnd steganografia ascunde
existena mesajului i nu mesajul i face ca steganografia s fie completarea perfect
pentru codificare.
Dup instalare, studenii vor efectua ascunderea unui fiier text n spatele unei
imagini, care poate fi jpg, bmp, tif, pgn etc.
99
Laborator Securitatea sistemelor informatice Lucrarea nr.2
100
Laborator Securitatea sistemelor informatice Lucrarea nr.2
1. Pentru a ascunde un fiier deja existent se apas "File" i apoi "Next" ,
selectndu-se de pe hard disc fiierul dorit.
2. Pentru a ascunde un mesaj, se apas "New Messge" i apoi "Next",
deschizndu-se fereastra "Instant Message":
Paii de mai sus se repet dac dorim s ascundem mai multe fiere.
101
Laborator Securitatea sistemelor informatice Lucrarea nr.3
3 Firewall-uri
3.1 Obiective:
nelegerea funcionrii i a rolului unui firewall n securitatea sistemelor
informatice;
pornirea i configurarea firewall-ului sistemului de operare Windows XP;
102
Laborator Securitatea sistemelor informatice Lucrarea nr.3
Astfel, un firewall este folosit pentru dou scopuri:
pentru a pstra n afara reelei utilizatorii ru intenionati (virui, viermi
cybernetici, hackeri, crackeri) ;
pentru a pstra utilizatorii locali (angajaii, clienii) n reea .
3.2.3 Clasificri
Firewall-urile pot fi clasificate dup:
Layerul (stratul) din stiva de reea la care opereaz
Modul de implementare
n funcie de layerul din stiva TCP/IP (sau OSI) la care opereaz, firewall-urile
pot fi:
Layer 2 (MAC) i 3 (datagram): packet filtering.
Layer 4 (transport): tot packet filtering, dar se poate diferenia ntre protocoalele
de transport i exist opiunea de "stateful firewall", n care sistemul tie n orice
moment care sunt principalele caracteristici ale urmtorului pachet ateptat,
evitnd astfel o ntreag clas de atacuri
Layer 5 (application): application level firewall (exist mai multe denumiri). n
general se comport ca un server proxy pentru diferite protocoale, analiznd i
lund decizii pe baza cunotinelor despre aplicaii i a coninutului
conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat
application firewall pentru email.
Dei nu este o distincie prea corect, firewallurile se pot mpri n dou mari
categorii, n funcie de modul de implementare:
dedicate, n care dispozitivul care ruleaz software-ul de filtrare este dedicat
acestei operaiuni i este practic "inserat" n reea (de obicei chiar dup router).
Are avantajul unei securiti sporite.
combinate cu alte faciliti de networking. De exemplu, routerul poate servi i pe
post de firewall, iar n cazul reelelor mici acelai calculator poate juca n acelai
timp rolul de firewall, router, file/print server, etc.
103
Laborator Securitatea sistemelor informatice Lucrarea nr.3
3.2.4 Ce "poate" i ce "nu poate" s fac un firewall?
Un firewall poate s:
monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o
mai bun monitorizare a traficului i deci o mai uoar detectare a ncercrilor
de infiltrare;
blocheze la un moment dat traficul n i dinspre Internet;
selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete.
permit sau interzic accesul la reeaua public, de pe anumite staii specificate;
i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa
ntre cele dou.
104
Laborator Securitatea sistemelor informatice Lucrarea nr.3
productor. n unele situaii, utilizatorii avansai pot opta pentru utilizarea n reea att a
unui firewall software ct i a unuia hardware.
105
Laborator Securitatea sistemelor informatice Lucrarea nr.3
-f (fragmenteaz pachetele);
--mtu (foloseste MTU specificat Unitatea Maxima de Transmitere)
107
Laborator Securitatea sistemelor informatice Lucrarea nr.3
Opiunea -f face ca scanarea cerut (incluznd scanarea ping) s foloseasc
fragmente mici de pachete IP. Ideea este mprirea headerului TCP n mai multe
pachete pentru a ngreuna misiunea filtrelor de pachete, sistemelor de detectare a
intruziunilor i a altor elemente de detectare a activitii. Atenie cu aceasta opiune!
Unele programe au probleme n manevrarea acestor pachete mici. De exemplu Sniffit
eua dup primirea primului fragment. Specificai aceast opiune o dat i Nmap va
mpri pachetul n fragmente de opt bytes sau mai puin dup headerul IP. Astfel, un
header TCP de 20 bytes va fi mprit n 3 pachete. Dou de opt bytes i unul cu ultimii
patru. Desigur, fiecare fragment are propriul header TCP. Specificai f nc o dat
pentru folosirea a 16 bytes pe fragment (reducnd numrul de fragmente). Sau putei
specifica propriile dimensiuni cu opiunea--mtu. Nu specificai i -f dac folosii --
mtu. Dimensiunea trebuie s fie un multiplu de 8. Pachetele fragmentate nu vor trece de
filtrele de pachete i firewallurile care interogheaz toate fragmentele IP, cum ar fi
opiunea CONFIG_IP_ALWAYS_DEFRAG din kernelul Linuxului, unele reele nu-i
pot permite pierderea de performan cauzat de aceste configurri i le dezactiveaz.
Altele nu pot activa configurrile de acest gen deoarece fragmentele pot intra pe rute
diferite n reea. Unele sisteme defragmenteaz pachetele de ieire n kernel. Linux cu
modulul de urmrire a conexiunii din iptables este un exemplu. Realizai o scanare i
rulai n acelai timp un sniffer de genul Ethereal pentru a v asigura c pachetele
sunt fragmentate. Dac sistemul de operare v creaz probleme, ncercai opiunea --
send-ethde srire a nivelului IP i de trimitere de cadre ethernet brute.
108
Laborator Securitatea sistemelor informatice Lucrarea nr.3
n anumite circumstane, Nmap se poate afla n imposibilitatea determinrii
adresei surs (Nmap va anuna dac acest lucru se ntmpla). n aceast situaie, folosii
S cu adresa IP a interfeei pe care dorii s trimitei pachetele.
Alt posibil utilizare a acestei opiuni este s facei inta s cread c este
scanata de altcineva. Imaginativ o companie permanent scanat de un competitor!
Opiunea e va fi n general necesar pentru astfel de utilizare si -P0 este de asemenea
recomand.
-e <interfata>(Foloseste interfata specificata)
Cere Nmapului s foloseasc adresa MAC furnizat pentru toate cadrele ethernet
pe care le trimite. Aceast opiune implic --send-eth pentru a se asigura c Nmap
trimite pachetele la nivelul reea. MAC-ul specificat poate avea cteva formate. Dac
spcificai irul 0, Nmap alege un MAC complet aleator pentru sesiunea respectiv.
Daca irul furnizat este un numr par de digii hexa (cu perechile separate prin
caracterul :), Nmap va folosi respectiva adresa MAC. Dac mai puin de 12 digii sunt
furnizai, Nmap umple 6 bytes cu valori aleatoare. Dac argumentul nu este nici 0, nici
ir hexa, Nmap caut n nmap-mac-prefixes pentru a gsi un productor care s
conin irul dat (cutare insenzitiv). Dac o asemnare este gsit, Nmap folosete
identificatorul unic al vnztorului (3 bytes) i completeaz cu 3 bytes alei aleator.
argumentele valide ale opiunii
--spoof-mac sunt Apple 0,01:02:03:04:05:06, deadbeefcafe, 0020F2, i Cisco.
110
Laborator Securitatea sistemelor informatice Lucrarea nr.4
4 Proxy server
4.1 Obiective:
nelegerea funcionrii i a rolului unui server proxy n securitatea sistemelor
informatice;
pornirea i configurarea unui server proxy sub sistemului de operare Windows
XP;
instalarea i configurarea WinGate.
Configurarea clienilor
Prima dat trebuie s stabilii cum se vor conecta clienii la server, aceasta
fcndu-se n dou moduri, fie dup numele de host fie dup adresa IP. A treia opiune,
configurarea manual, nu este disponibil dect dac reinstalai serverul proxy, caz n
care putei pstra sau suprascrie configuraia deja existent.
Apoi este recomandat s optai pentru configurarea automat a browserelor Web
pentru a suporta proxy, deci validarea opiunii Automatically configure the clients Web
browser during the client setup i configurarea automat definit n fiierul Array.dll.
Valoarea pentru portul TCP nu trebuie modificat (portul prestabilit este TCP 80).
Se poate renuna la folosirea configuraiei existente predefinite n Array.dll, putnd fi
folosit un script de configurare, sau se pot modifica unele setri din Array.dll prin
apelarea la configurarea avansat a clienilor (Advanced Client Configuration)
disponibil ulterior accesrii proprietilor (Properties). n acest punct putei stabili dac
browserele Web vor folosi proxy pentru serverele locale, opiune iniial nevalidat. De
asemenea putei seta ca pentru anumite adrese IP conectarea s nu se fac prin
intermediul proxy, adresele i mtile lor de subreea trebuind s le specificai n
fereastra de mai jos. Poate s se renune la proxy n favoarea conectrii directe pentru
anumite domenii i se poate modifica ruta de sigurana (n cazul n care serverul proxy
nu mai este funcional se recurge la o rut alternativ care poate fi un alt proxy sau
conectarea directa la Internet).
Limitarea accesului
n acest punct se stabilesc criteriile de limitare a accesului la unele protocoale
sau servicii Internet. Putei dispune de controlul accesului pentru WinSock Proxy
Service, pentru Web Proxy Service sau pentru amndou. Iniial, ambele sunt selectate
i e bine de tiut c n configuraia prestabilit nu se ofer acces nimnui din reeaua
intern ctre Internet prin serverul proxy. Dac optai pentru configuraia prestabilit
trebuie apoi s creai drepturi (pentru grupuri, staii solitare sau pentru toata reeaua
intern) privind conectarea la Internet prin intermediul serverului proxy. De asemenea
se poate beneficia de opiunea filtrrii de pachete n cazul n care ai optat pentru
instalarea uneltelor de administrare. Aceast filtrare de pachete limiteaz tipul de trafic
i de conexiuni pe care utilizatorii externi le fac ctre reeaua intern.
nainte de a apela la un server proxy trebuie avute n vedere configuraia i structura
reelei i de software-ul de reea de pe staiile client folosit pentru a contacta reeaua
extern. n momentul implementrii serverului se recomand s facei o list cu toate
aplicaiile TCP/IP folosite de ctre clieni pentru conectarea la reeaua externa, n
special trebuie avute n vedere browserele Web folosite deoarece fiecare aplicaie ce
dorii s foloseasc serve-rul proxy trebuie configurat n acest sens. Browserele
cunoscute, cum sunt Internet Explorer sau Netscape, pot fi configurate automat, dar
poate fi nevoie de configurare manual pentru alte aplicaii. Integrarea serverului proxy
n reea se afl n strns legtur cu modul n care clienii se conecteaz la Internet. De
exemplu, dac dorii forarea conexiunii numai prin intermediul proxy, trebuie s avei
grij s nu mai existe alte rute ctre Internet disponibile. n acest caz este esenial s
dezactivai opiunea IP forwarding pentru serverul dumneavoastr. Acest lucru se
poate face din pagina de proprieti pentru TCP/IP, i n cazul n care nu dezactivai
aceast opiune serverul pe care este instalat proxy poate face rutarea de pachete fr a
112
Laborator Securitatea sistemelor informatice Lucrarea nr.4
mai folosi proxy. De asemenea trebuie verificate i routerele existente ce pot oferi acces
la Internet, dac acestea exist trebuie s satisfac aceleai condiii de control i
securitate oferite de proxy.
Procesul de instalare
Procesul de instalare este identic oricrei aplicaii sub Windows.
La instalare trebuie s optm pentru una din variantele: Client WinGate sau
Server WinGate.
113
Laborator Securitatea sistemelor informatice Lucrarea nr.4
Procesul Post-instalare
Odat ce WinGate Server a fost instalat, sunt cteva setri care trebuie fcute
pentru a ne asigura de corectitudinea funcionrii WinGate.
1. WinGate Engine - este instalat i ruleaz ca serviciu numit Qbik WinGate
Engine, i poate avea trei stri de funcionare: stating, running i stopped.
2. GateKeeper ofer toate funcionalitile lui WinGate pentru a opera i ofer
posibiliteatea de configurare a acestuia cu o interfa numit GateKeeper, vezi figura 2.
Conexiunea la reea
Dup conectarea la GateKeeper, urmtorul pas este se verifice dac WinGate
a descoperit i clasificat corect conexiunea la reea, lucru care se face astfel:
1. se selecteaz tab-ul Network de pe partea dreapt a GateKeeper;
2. n seciunea network connection vor fi afiate toate interfeele descoperite
de WinGate;
3. dublu click pe interfaa care conecteaz WinGate Server la reeaua local;
114
Laborator Securitatea sistemelor informatice Lucrarea nr.4
4. n fereastra de dialog ce se deschide se alege General tab;
5. se verific dac interfaa este setat pe Auto sau Internal (trusted provate
network);
115
Laborator Securitatea sistemelor informatice Lucrarea nr.4
server ruleaz i are serviciul GDP pornit. Serviciul GDP este special proiectat s
permit mainilor WGID s detecteze prezena serverelor WinGate din reea.
n exemplul din figura de mai sus, sunt dou servere WinGate, 98setx i Witch,
care au fost detectate n reea. Se poate seta appletul WGIC care din cele dou servere
s fie folosit, manual sau automat.
Server este numele din reeaua Windows a PC-ului pe care ruleaz WinGate;
Address este adresa IP privat a Serverului WinGate;
Port este portul TCP pe care
Winsock Redirector Service
ruleaz pe serverul WinGate,
WGIC folosete Winsock
redirector Service pentru a oferi
conectivitate la Internet prin
WinGate, Implicit, WinGate
folosete portul 2080 pentru a
primit cererile WGIC.
Modurile Aplicaie
Local Access Mode
Dac setm aplicaia unui client la Local Access n WGIC, se suspend Winsock
Redirector Service din WinGate de tratare a cererilor aplicaiilor.
Aplicaiile din modul de acces local vor fi ignorate de WGIC i astfel trebuie s
posede o metod de conexiune alternativ pentru ai completa cererile. Acest
mod face accesul local ideal pentru aplicaiile clienilor care vor rula prin
WGIC.
n multe cazuri se dorete utilizarea vitezei i simplicitii WinGate NAT pentru
aplicaiile client (acest lucru necesit doar o conexiune aut ctre Internet). Orice
aplicaie care vrem s foloseasc NAT trebuie setat s ruleze n Local Acces
Mode.
Mixed Access Mode
Acest mod este sigur dar funcional doar pentru aplicaiile server. Acest mod
permite ntotdeauna aplicaiilor s fac orice conexiune ctre exterior cu
Winsock redirector Service, dar va permite accesul doar a computerelor din
aceeai reea. Este mai apropiat pentru aplicaiile server gen Intranet Web sau
Ftp servers. Se numete mixt, deoarece ofer o aplicaie cu conectivitate att
global ct i local.
Modul de acces mixt este alocat automat oricrei aplicaii server care ncearc s
asculte pe un port sistem (orice mai mic de 1024). Acesta este un mecanism de
siguran al WGIC, care necesit n mod explicit setarea aplicaii n Modul
global de Acces pentru a fi vizibil pe Internet.
Global Access Mode
Acest mod este utilizat cnd avem un server de aplicaie ce ruleaz pe WGIC n
spatele serverului WinGate, care are trebuie s primeasc cereri de pe Internet
(server Web sau Ftp).
O aplicaie server poate asculta liber pe porturi sub 1024. Dar din motive de
securitate a reelei, configuraia implicit pentru WGIC nu va permite nici unei
aplicaii s asculte porturi sub 1024. Dac rulai un server cu un port sun 1024 i
dorii s fie accesibil computerelor din Internet trebuie configurat n mdoul de
acces global.
De obicei, serverul Web ascult pe portul 80 iar un server FTP pe portul 21.
http://www.youngzsoft.net/ccproxy/
117
Laborator Securitatea sistemelor informatice Lucrarea nr.5
119
Laborator Securitatea sistemelor informatice Lucrarea nr.5
lista de control a accesului, deci vor exista de fapt dou linii de comand. Starea
prestabilit este:
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
Acl-ul QUERY asigur c URL-ul coninnd cgi-bin nu va fi apelat prin cache.
120
Laborator Securitatea sistemelor informatice Lucrarea nr.5
Comanda http_access garanteaz sau neag accesul HTTP bazndu-se pe listele
de acces definite. Sintaxa este http_access , unde parametrul poate fi allow (aprob
accesul) sau deny (neag accesul), de exemplu http_access allow manager localhost.
Este foarte important ca ultima linie a unui set de comenzi http_access s fie deny all,
deoarece dup stabilirea regulilor de acces, dac acesta nu e negat atunci este garantat,
deci specificai ct mai multe reguli de acces (funcie de ce avei nevoie) iar la sfrit nu
uitai linia http_access deny all. Fr aceast ultima linie accesul va fi stabilit de
varianta implicit, care este allow. Dup acelai sistem lucreaz i comanda icp_access,
cu aceeai parametri, allow sau deny, comanda referindu-se la ICP.
Comanda miss_access foreaz cache-urile vecine vizate s devin cache de acelai
nivel i nu prini, folosind aceiai parametri. De exemplu miss_access allow clientlocal
nseamn c doar grupul specificat are voie s primeasc mesaje MISS, ceilali clieni
pot primi doar HIT-uri. Valoarea implicit este miss_access allow all.
Se mai poate seta cache_peer_access, comand similar cu cache_peer_domain,
dar ce ofer mai mult flexibilitate folosind elementele acl. Mai exist
ident_lookup_access, tot cu opiunile de allow sau deny, comand ce conine o lista de
elemente acl i prin care putei, de exemplu, s recurgei la secvene de identificare
pentru cerinele ce aparin staiilor folosite de mai muli utilizatori Unix, dar nu pentru
celelalte staii. Implicit nu se recurge la secvene de identificare pentru nici o cerin. De
asemenea se poate garanta sau restriciona accesul innd cont de dat i or.
121
Laborator Securitatea sistemelor informatice Lucrarea nr.5
cache, lucru ce nu se poate face fr traducerea din format Web n format cache.
Comanda httpd_accel_host <IPAdress>|virtual seteaz numele de host pentru serverul
accelerat, n cazul n care dai adresa de IP a acestuia, iar dac dorii s realizai o
procedura de caching transparent al traficului, trebuie s folosii opiunea virtual n
locul adresei IP. Foarte important, n momentul n care recurgei la httpd_accel_host, se
dezactiveaz proxy-caching-ul i ICP-ul, dar dac vrei n continuare s beneficiai de
aceste opiuni, setai httpd_accel_with_ proxy normal on. Setarea portului se face cu
httpd_accel_port <portnumber>. Cerinele accelerate pot fi transmise doar ctre un
port, nu exist o tabel ce asociaz host-urile accelerate cu un port destinaie, deci acesta
trebuie specificat. Nu exist valoare predefinit pentru numrul portului, acesta trebuie
s corespund cu cel din squid.conf n cazul n care preluai informaiile de pe staia
local, iar dac vrei s le transmitei ctre un set de servere din background n cele mai
multe cazuri folosii portul 80, portul implicit pentru Web. Pentru suportul de port
virtual setai numrul portului pe 0. Dac avei un singur server n background spre care
dorii s transmitei informaia, setai httpd_accel_single_host pe on, dac avei mai
multe astfel de servere, lsai pe default (off) i folosii o unealt de redirecionare
pentru a mapa cerinele ctre serverele de rigoare.
O cerina HTTP include un antet de host, care este de fapt numele de host ce
apare n URL. Squid poate fi un accelerator pentru servere HTTP diferite folosindu-se
de acest antet, dar Squid nu verific valoarea antetului de host i astfel se deschide o
important gaur n securitate. Este recomandat s nu folosii httpd_
accel_uses_host_header dect dac suntei foarte n tem cu ceea ce facei. Din pcate
suntei obligai s activai aceast opiune dac dorii s rulai Squid ca proxy
transparent, altfel serverele virtuale ce au nevoie de antetul de host nu vor fi cache-uite
eficient.
Ar mai fi multe de spus, exist multe alte opiuni de configurare, pentru suportul
de programe externe, pentru modul n care obiectele sunt pstrate sau eliminate din
cache, se pot stabili timpii de ateptare pentru efectuarea anumitor operaiuni (de genul
conectare, identificare, citire a datelor etc.), i de asemenea o seciune foarte important
se ocup de configurarea fiierelor n care sunt tiprite activitile de rutin, erorile ce
apar n reea (aa numitele fiiere log sau simplu log-uri). Informaiile din aceste fiiere
reprezint cea mai important surs pentru un administrator, cu ajutorul datelor
existente acolo se pot remedia problemele aprute i se poate face reeaua sa mearg
n parametrii dorii.
Chestiunea cea mai important n alegerea i configurarea unui proxy este modul
n care dorii ca acesta s se integreze n reeaua dumneavoastr. nainte de a alege i
instala un firewall i un proxy trebuie s stabilii i s creai o balan ntre necesitile
de securitate i performanele dorite ale reelei, precum i gradul de instruire al
utilizatorilor. n ultimii ani numrul de atacuri pe Internet a crescut ngrijortor, dar
trebuie luat n calcul i natura liber pentru toata lumea a Internetului, care a ajuns ce
este azi tocmai din aceast cauz, deci fragmentarea lui cu o pleiad de algoritmi de
autentificare, parole i chei, firewall-uri i alte elemente de acest gen i limiteaz
oarecum orizontul i nu este ntotdeauna cea mai potrivit soluie.
122
Laborator Securitatea sistemelor informatice Lucrarea nr.5
Squid ne poate ajuta s limitm utilizarea bandwidth-ului disponibil, pentru a
reduce cheltuielile sau a nu suprancrca reeaua.
Acest lucru e posibil datorita faptului c:
pstrarea paginilor web, imaginilor i altor tipuri de fiiere pe hard-disk. n caz
c cineva se adreseaz la una i aceeai pagin - ea nu va mai fi accesat de pe
internet, ci luat din cash. Cu ajutorul acestei funcii poate fi economisit n
mediu 30% din band (depinde i de site-urile vizitate, i de ali parametri).
n afar de aceasta putem folosi funcia delay pool pentru a limita accesul ctre
unele site-uri (de exemplu care conin n url cuvntul porno) sau interzice
download-ul unor anumite tipuri de fiiere.
3. Configurare:
n continuare voi prezenta structura minima a fiierului /etc/squid/squid.conf
123
Laborator Securitatea sistemelor informatice Lucrarea nr.5
#####################################################
# Portul i adresa ip pe care va atepta conexiuni squid
http_port 192.168.1.1:8080
# Directorul n care se va afl cache-ul i dimensiunea lui n Mb
#(n cazul de mai jos - 6000 mb)
cache_dir ufs /cache 6000 16 256
# Userul i grupul sub care va rula serverul squid
cache_effective_user squid
cache_effective_group squid
#Portul pe care squid va trimite i primi cereri ctre cache a altor proxy servere
vecine
#Dac nu mai avem alte proxy, specificm 0
icp_port 0
# Cream acl-urile (acess control list):
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/8
acl lan src 192.168.1.0/24
#clienii proxy serverului nostru
#Paginile ce se creeaz dinamic vor fi accesate direct de la surs
hierarchy_stoplist cgi-bin php asp ?
# Obiectele create dinamic nu vor fi salvate n cache
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# Permitem accesul de la maina local (dac este cazul)
http_access allow localhost
# Permitem calculatoarelor din reeaua locala s utilizeze proxy serverul
http_access allow lan
# Interzicem celorlali s acceseze squid-ul
http_access deny all
# Specificm unde squid va pstra logurile
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
# Pidul procesului
pid_filename /var/run/squid.pid
#####################################################
124
Laborator Securitatea sistemelor informatice Lucrarea nr.5
125
Laborator Securitatea sistemelor informatice Lucrarea nr.6
6 Open VPN
6.1 Obiective:
nelegerea i familiarizarea cu noiunea de reea virtual privat;
familiarizarea cu noiunea de tunnel ntre dou sisteme pe Internet;
instalarea i configurarea OpenVPN
1
GPL General Public Licence Licen Public General
126
Laborator Securitatea sistemelor informatice Lucrarea nr.6
Fig.1: Virtual Private Network ruleaz printr-un tunel, iar end-point-urile acestuia sunt adresele
IP reale ale Clientului PC2 i Serverului PC1
127
Laborator Securitatea sistemelor informatice Lucrarea nr.6
Este important ca Common Name pentru client s fie diferit de Common Name
pentru server.
Generm parametrii Diffie Hellman :
build-dh
client
dev tun
128
Laborator Securitatea sistemelor informatice Lucrarea nr.6
proto udp
remote xxx.yyyy.zzzz.vvvv 1194 #se nlocuiete xxx.yyy.zzz.vvv cu ip server
resolv-retry infinite
nobind
persist-key
persist-tun ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.key"
comp-lzo .
verb 3
Conexiunea ntre cele dou sisteme o putem verifica cu utilitarul ping. Atenie la
configurarea firewall-ului pentru a permite ICMP Echo Request i ICMP Echo Replay
att pe sistemul server ct i client.
De pe sistemul configurat ca i server, care are ip-ul 10.8.0.1 vom da ping n
10.8.0.2 (client)
129
Laborator Securitatea sistemelor informatice Lucrarea nr.6
De pe sistemul configurat ca i client, care are ip-ul 10.8.0.2 vom da ping n
10.8.0.1 (server):
130
Bibliografie
132
Cuprins
1. NOIUNI PRIVIND SECURITATEA INFORMAIILOR ........................................................5
1.1. INTRODUCERE .................................................................................................................................5
1.2. DEFINIREA NOIUNII DE SECURITATEA INFORMAIILOR ..................................................................6
1.3. SECIUNILE STANDARDULUI DE SECURITATE ISO / IEC 17799. ......................................................9
1.3.1. Politica de securitate ................................................................................................................9
1.3.2. Organizarea securitii .............................................................................................................9
1.3.3. Clasificarea i controlul activelor ..........................................................................................10
1.3.4. Securitatea personalului .........................................................................................................10
1.3.5. Securitatea fizic.....................................................................................................................11
1.3.6. Managementul comunicaiilor i al operrii ..........................................................................11
1.3.7. Controlul accesului.................................................................................................................13
1.3.8. Dezvoltarea i ntreinerea sistemului ....................................................................................14
1.3.9. Planificarea continuitii afacerii...........................................................................................15
1.3.10. Conformitatea .......................................................................................................................15
4. CRIPTOGRAFIA ...........................................................................................................................32
4.1. DEFINIII I NOIUNI DE BAZ.......................................................................................................32
4.1.1. Tehnici utilizate n criptografie...............................................................................................33
4.1.1.1. Substituia ..................................................................................................................................... 33
4.1.2. Permutarea sau transpoziia...................................................................................................35
4.1.3. Cifrul lui Vernam ....................................................................................................................35
4.1.4. Ascunderea informaiilor ........................................................................................................36
4.1.4.1. Steganografia ................................................................................................................................ 36
4.1.4.2. Filigranarea ................................................................................................................................... 37
4.1.4.3. Securitatea n domeniul tipriturilor ............................................................................................. 37
4.2. SISTEME DE CRIPTARE PRIN CHEI SIMETRICE (PRIVATE) ................................................................39
4.3. SISTEME DE CRIPTARE PRIN CHEI ASIMETRICE (PUBLICE) ..............................................................40
133
Securitatea sistemelor informatice
4.3.1. Semntura digital..................................................................................................................41
4.3.2. Sisteme de certificare a cheilor publice ..................................................................................42
4.3.3. Infrastructura cheilor publice (PKI).......................................................................................43
134
Cuprins
7.2.13. S/MIME.................................................................................................................................86
7.2.13.1. Funcionarea S/MIME .................................................................................................................. 87
7.2.13.2. Riscuri de securitate ale S/MIME ................................................................................................. 88
7.2.14. Utilizarea firewall-urilor n intraneturi ................................................................................88
Aplicaii practice
L3 FIREWALL-URI ..........................................................................................................................102
3.1 OBIECTIVE: .................................................................................................................................102
3.2 GENERALITI/DEFINIII FIREWALL...........................................................................................102
3.2.1 Funcionarea firewall-urilor.................................................................................................102
3.2.2 Politica Firewall-ului ...........................................................................................................103
3.2.3 Clasificri .............................................................................................................................103
3.2.4 Ce "poate" i ce "nu poate" s fac un firewall?..................................................................104
3.3 INFORMAII DESPRE FIREWALL SUN WINDOWS XP .....................................................................104
3.3.1 Cum ncep s utilizez un firewall? ........................................................................................104
3.3.2 Cum aflu ce versiune de Windows utilizez? ..........................................................................104
3.3.3 Verificarea strii Windows Firewall ....................................................................................105
3.3.4 Adugarea unei excepii n Windows Firewall .....................................................................105
3.3.5 Probleme de compatibilitate cu ISP, hardware sau software...............................................106
3.4 DESFURAREA LUCRRII ..........................................................................................................106
3.1 PCLIREA FIREWALL/IDSURILOR I ASCUNDEREA IDENTITII ...............................................107
135
Securitatea sistemelor informatice
5.1 OBIECTIVE: .................................................................................................................................118
5.2 GENERALITI/DEFINIII SERVER PROXY ..................................................................................118
5.3 CONFIGURAREA SQUID PENTRU LINUX .......................................................................................118
5.4 DESFURAREA LUCRRII ..........................................................................................................122
136