CUPRINS

Introducere....................................................................................... 4
2. Vulnerabilitatea reţelelor..........................................................................
3. Categorii de atacuri asupra reţelelor.........................................................
4. Atacurile posibile.....................................................................................
5. Nivele, principii, politici şi mecanisme de securitate...............................
6. Securitatea în Internet...............................................................................
7. Tehnici de securitate în reţele...................................................................
7.1 Servere de autentificare Kerberos............................................................
7.2 Standardul de poştă electronică cu facilităţi de securitate (PEM)............ 14
7.3 PGP (Pretty Good Privacy)......................................................................
7.4 Criptarea datetor.......................................................................................
8. Securitatea prin firewall...........................................................................
8.1 Avantajele unui firewall...........................................................................
8.2 Dezavantajele unui firewall......................................................................
8.3 Componentele unui firewall.....................................................................
8.4 Implementarea securităţii prin firewall....................................................
8.5 Filtrarea pachetelor...................................................................................
8.6 Reguli de filtrare a pachetelor..................................................................
8.7 Procurarea unui firewall...........................................................................
9 Mecanismele de autentificare avansate....................................................
Concluzie ….............................................................................................
Bibliografie...............................................................................................
Recenzie...................................................................................................

Coala

Mod Coala N Document Semnat Data 3

 Introducere
Securitatea informatică este o problemă vitală pentru toţi utilizatorii de internet,
fie că sunt furnizori de servicii fie că sunt utilizatori. Nevoia tot mai mare de
comunicare, pe de o parte şi nevoia de protecţie şi securitate a informaţiilor pe de altă
parte sunt două cerinţe diferite şi chiar opuse care trebuie asigurate în reţelele şi
sistemele informatice. În condiţiile în care milioane de cetăţeni folosesc în mod curent
reţelele de comunicaţii şi calculatoare pentru operaţiuni bancare, cumpărături, plata
taxelor şi serviciilor etc. problema securităţii este de maximă importanţă. Au apărut
multe organizaţii şi organisme internaţionale care se ocupă de cele mai diverse aspecte
ale securităţii informaţionale, de la aspectele legislative, la cele organizatorice,
procedurale şi funcţionale.
Securitatea este un subiect vast şi ocupă o multitudine de imperfecţiuni.
Majoritatea problemelor de securitate sunt cauzate intenţionat de persoane răuvoitoare
care încearcă să obţină beneficii, să culeagă informaţii dar şi să provoace rău.

2. Vulnerabilitatea reţelelor
O reţea de calculatoare este o structură deschisă la care se pot conecta permanent
noi utilizatori şi noi tipuri de echipamente (terminale, calculatoare) ceea ce lărgeşte
necontenit cercul de utilizatori care au acces la resursele acesteia (programe, fişiere,
baze de date). Vulnerabilitatea se manifestă pe două planuri: atacul la integritatea fizică
a informaţiilor (distrugere, modificare) şi folosirea neautorizată a informaţiilor
(scurgerea de informaţii). Referitor la securitatea în informatică trebuie avute în vedere
două aspecte:
1. Integritatea resurselor unei reţele, adică disponibilitatea lor indiferent de
defectele de funcţionare hard sau soft care pot apărea, inclusiv deteriorările sau
sustragerile răuvoitoare.
2. Caracterul privat al informaţiei, adică dreptul individual de a dispune ce
informaţie poate fi stocată şi vehiculată în reţea şi cine are dreptul să o acceseze.
O reţea sigură este acea reţea în ale cărui componente (resurse, operaţii) se poate
avea încredere, adică furnizează servicii de calitate şi corecte, conform cerinţelor şi

Coala

Mod Coala N Document Semnat Data 4

 specificaţiilor. Securitatea şi caracterul privat trebuie să fie obiectul unor analize atente
şi responsabile din nurmătoarele motive:
- reţelele sunt sisteme mari sau foarte mari, de arie şi complexitate considerabile.
Penetrarea reţelelor şi atacurile răuvoitoare se pot face în multe locuri şi modalităţi
nebănuite, greu depistabile.
- informaţia este vulnerabilă la atac în orice punct al reţelei, de la introducere sa pînă la
utilizatorul final.
- reţelele de calculatoare sunt o componentă tot mai prezentă în viaţa economică,
socială, individuală, de funcţionarea lor corectă depinzînd activitatea guvernamentală,
comercială, industrială şi chiar individuală.
- tot mai multe informaţii memorate în fişiere separate pot fi corelate, sintetizate,
prelucrate prin intermediul reţelelor sporind posibilele consecinţele nefaste asupra
caracterului privat al acesora.

3. Categorii de atacuri asupra reţelelor

În afara cazurilor de forţă majoră produse de calamităţi naturale, dezastre, căderi de
echipamente etc pentru care măsurile de securitate perevăd salvări şi copii de rezervă,
dublarea echipamentelor, tehnici de autorestabilire etc. în cazul atacurilor voite se
disting două categorii principale:
- atacuri pasive;
- atacuri active.
Atacurile pasive sunt acele atacuri în care intrusul observă informaţia care trece prin
canal, fără să interfereze cu fluxul sau conţinutul mesajelor. Se face doar analiza
traficului, descoperirea identităţii entităţilor care comunică, descoperă lungimea şi
frecvenţa mesajelor chiar dacă conţinutul acestora rămîne ascuns. Aceste atacuri nu
cauzeauză pagube şi nu încalcă regulile de confidenţialitate. Scopul lor este de a asculta
datele care sunt vehiculate prin reţea.
Atacurile active sunt acelea în care intrusul se angajează în furtul mesajelor,
modificarea lor, ştergerea, rularea, schimbarea conţinutului sau a adreselor,
redirecţionarea, substituirea, refuzul unui serviciu, repudierea etc. Acestea sunt serioase,

Coala

Mod Coala N Document Semnat Data 5

 cauzează prejudicii mari şi consecinţe juridice. Tot în categoria atacurilor active intră şi
programele create cu scop distructiv care afectează serios, uneori catastrofal, securitatea
calculatoarelor şi a informaţiilor. În această categorie intră: viruşii, bombele logice,
viermii, trapele, programele tip cal troian, etc.

4. Atacurile posibile
Atacuri interne
Multe atacuri privind securitatea reţelei provin din interiorul ei. La atacurile
interne se referă furt de parole (care pot fi utlizate sau vîndute), spionaj industrial,
angajaţi nemulţumiţi care tind de a cauza daune angajatorului, sau simpla utilizare
necorespunzătoare. Majoritatea acestor încălcări pot fi soluţionate cu ajutorul ofiţerului
de securitate a companiei, care monitorizează activitatea utilizatorilor reţelei.
Puncte de acces nesecurizate
Aceste puncte de acces nesecurizate fără fir sunt foarte slabe împotriva atacurilor
din exterior. Ele des sunt prezentate pe comunităţile locale ale hakerilor. Punctul slab
este că orice persoană poate conecta un ruter fără fir ceea ce ar putea da acces
neautorizat la o reţea protejată.
Back Doors
Comenzi rapide administrative, erori de configurare, parole uşor descifrabile pot
fi utilizate de către hackeri pentru a avea acces. Cu ajutorul căutătorilor computerizaţi
(bots), hackerii pot găsi punctul slab al reţelei.
Denial of Service (DoS şi DDoS)

Sniffing şi spoofing

Coala

Mod Coala N Document Semnat Data 6

 Un atac cibernetic de tip DoS (Denial of Service) sau DDoS (Distributed Denial
of service) este o încercare de a face ca resursele unui calculator să devină indisponibile
utilizatorilor. Deşi mijloacele şi obiectivele de a efectua acest atac sunt variabile, în
general el constă în eforturile concentrate ale unei, sau ale mai multor persoane de a
împiedica un sit sau serviciu Internet să funcţioneze eficient, temporar sau nelimitat.
Iniţiatorii acestor atacuri ţintesc de obicei la situri sau servicii găzduite pe servere de
nivel înalt, cum ar fi băncile, gateway-uri pentru plăţi prin carduri de credite, şi chiar
servere întregi.
Hackers, Crackers, Script Kiddies
Hackerii Cuvîntul hacker în sine are o mulţime de interpretări. Pentru mulţi, ei
reprezintă programatori şi utilizatori cu cunoştinte avansate de calculator care încearcă
prin diferite mijloace să obţină controlul sistemelor din internet, fie ele simple PC-uri
sau servere. Se referă de asemeni la persoanele care rulează diferite programe pentru a
bloca sau încetini accesul unui mare număr de utilizatori, distrug sau şterg datele de pe
servere. Hacker are şi o interpretare pozitivă, descriind profesionistul în reţele de
calculatoare care-şi utilizează aptitudinile în programarea calculatoarelor pentru a
descoperi reţele vulnerabile la atacuri de securitate. Acţiunea în sine, aceea de hacking e
privită ca cea care impulsionează cercetarea în acest domeniu.
Crackerii sunt nişte persoane care au un hobby de a sparge parole şi de a
dezvolta programe şi virusuri de tip calul troian (en:Trojan Horse), numite Warez. De
obicei ei folosesc programele pentru uz propriu sau pentru a le realiza pentru profit.
Script kiddies sunt persoane care nu au cunoştinţe sau aptitudini despre
penetrarea unui sistem ei doar descarcă programe de tip Warez pe care apoi le lansează
cu scopul de a produce pagube imense. Alte persoane sunt angajaţi nemulţumiţi,
terorişti, cooperativele politice.
Viruşi şi viermi
Viruşii şi viermii reprezintă programe care au proprietatea de a se automultiplica
sau fragmente de cod care se ataşează de alte programe (viruşi) sau calculatoare
(viermii). Viruşii de obicei stau în calculatoarele gazdă, pe cînd viermii tind să se
multiplice şi să se extindă prin intermediul reţelei.

Coala

Mod Coala N Document Semnat Data 7

 Trojan Horse
Acest virus este principala cauză a tuturor atacurilor a sistemelor informaţionale.
Calul Troian se ataşează de alte programe. Cînd se descarcă un fişier care este infectat
cu acest virus el infectează sistemul, unde oferă hakerilor acces de la distanţă unde ei
pot manipula cu sistemul.
Botnets
Îndată ce un calculator (sau probabil mai multe calculatoare) au fost compromise
de un Troian, hackerul are acces la aceste calculatoare infectate, unde de aici el poate
lansa atacuri cum ar fi DDoS (Distribuited Denial of Service).
Grupa de calculatoare care sunt sub controlul hakerului se numesc botnets.
Cuvîntul botnet provine de la robot, aceasta însemnînd că calculatoarele îndeplinesc
comenzile proprietarului lor şi reţeaua însemnînd mai multe calculatoare coordonate.
Sniffing/Spoofing
Sniffing se referă la actul de interceptare a pachetelor TCP (Transmission Control
Protocol). Spoofing se referă la actul de trimitere nelegitimă a unui packet de aşteptare
ACK.

5. Nivele, principii, politici şi mecanisme de securitate

Modelul de securitate în reţele prevede protecţia pe mai multe nivele care
înconjoară obiectul protejat.
Un prim nivel necesar este securitatea fizică care constă, în general, încuierea
echipamentelor, plasare a lor în camere speciale ferite de foc, distrugere fizică fie
intenţionată fie nu. Este o măsură aplicabilă tuturor sistemelor de calcul dar mai puţin
posibilă în cazul reţelelor, mai ales cele de arie medie sau mare.
Celălalt nivel se referă la securitatea logică şi cuprinde acele metode de control a
accesului la resursele şi serviciile sistemului.
Au fost stabilite şi unanim acceptate linii directoare şi principii privind securitatea
sistemelor informatice care trebuiesc respectate de către toate entităţile care produc,
livrează, instalează şi exploatează sisteme informatice.
1. Principiul responsabilităţii care impune stabilirea clară a responsabilităţilor

Coala

Mod Coala N Document Semnat Data 8

 referitoare la securitate pe care le au proprietarii, furnizorii, administratorii şi
utilizatorii sistemelor informatice.
2. Principiul sensibilizării conform căruia toate persoanele interesate asupra
acestui aspect trebuie corect şi oportun informate.
3. Principiul eticii care impune elaborarea unor reguli de conduită în utilizarea
SI.
4. Principiul pluridisciplinarităţii conform căruia metodele tehnice şi
organoizatorice care trebuie luate în vederea securităţii SI au caracter
multidiscilpilinar şi cooperant.
5. Principiul proporţionalităţii care cere ca nivelul de securitate şi măsurile de
protecţie să fie proporţional cu importanţa informaţiilor gestionate.
6. Principiul integrării conform căruia securitatea este necesară în toate staţiile
de prelucrare a informaţiilor (creare, colectare, prelucrare, stocare, transport,
ştergere, etc.).
7. Principiul oportunităţii conform căruia mecanismele de securitate să
răspundă prompt şi să permită o colaborare rapidă şi eficientă în caz de
detectare a tentativelor de corupere a mecanismelor de securitate.
8. Principiul reevaluării, care cere revizuirea periodică a cerinţelor de securitate
şi a mecanismelor de implementare a lor.
9. Principiul democraţiei, conform căruia cerinţele de protecţie şi securitate să
nu limiteze nejustificat libera circulaţie a informaţiilor, conform principiilor
care guvernează societăţile democratice.
Măsurile de securitate care trebuie luate se pot clasifica în :
- Procedurale (utilizare de parole cu schimbarea lor periodică, instruirea
personalului,
- Logice (criptare, control acces, ascundere informaţii)
- Fizice (blocare acces, camere speciale, ecranare electromagnetică, etc.).

Fiecare organizaţie care gestionează informaţii sensibile (vulnerabile) trebuie să-

şi definească o politică de securitate care trebuie să găsească soluţii următoarelor
probleme :
Coala

Mod Coala N Document Semnat Data 9

 - ce ameninţări există, de ce natură sunt, care se pot elimina şi care nu;
- ce resurse pot fi protejate şi la ce nivel;
- cu ce mijloace se poate asigura securitatea
- ce costă introducerea, menţinerea şi actualizarea mecanismelor de securitate.
Politica de securitate se implementează prin servicii de securitate au ca scop
reducerea vulnerabilităţii informaţiilor şi resurselor care poate duce la pierderea
acestora, deteriorarea sau ajungerea acestora în posesia unor persoane neautorizate.
Fiecare serviciu de securitate se poate implementa prin unul sau mai multe mecanisme
de securitate, care, la rîndul lor, cuprind o serie de activităţi.
Arhitectura de securitate specifică sistemelor deschise interconectate cuprind 5
elemente majore :
- Definirea serviciilor de securitate ;
- Definirea mecanismelor de securitate ;
- Descrierea principiilor de securitate pe nivele;
- Implementarea serviciilor de securitate pe nivele ;
- Realizarea mecanismelor de securitate prin folosirea serviciilor de securitate

Serviciile de securitate definite de ISP sunt: autentificarea, confidenţialitatea,

controlul accesului, intergritatea şi ne-repudierea.
Mecanismele de securitate sunt folosite individual sau colectiv pentru construirea
serviciilor de securitate.
1. Criptarea transformă datele de la entitatea sursă într-o manieră unică astfel
încît să nu poată fi cunoscută semnificaţia lor decît în urma unei transformări
inverse pereche, numită decriptare. Este folosită în special pentru
implementarea serviciului de confidenţialitate.
2. Semnătura digitală dă siguranţa că datele furnizate au fost produse chiar de
către semnatar. Mecanismul este folosit de către serviciul de integritate şi
nonrepudiere. La rîndul său se bazează pe două proceduri:
- procedura semnării unui bloc de date
- procedura verificării semnăturii
3. Controlul accesului la resursele din Internet presupune recunoaşterea
Coala

Mod Coala N Document Semnat Data 10

 identităţii solicitantului în baza unei înregistrări prealabile şi posibilitatea
validării sau invalidării cererii. Tentativele de acces neautorizat trebuie
semnalale prin diverse modalităţi. Ca tehnici de control a accesului se pot
folosi : liste de acces, parole, etichete de securitate, limitarea timpului de
acces, limitarea numărului de încercări de acces, calea de acces etc.
4. Autentificarea permite identificarea reciprocă a entităţilor corespondente.
5. Notarizarea presupune folosirea unei a treia entităţi numită notar, în care toate
părţile au încredere deplină, care oferă garanţie privind originea, destinaţia,
integritatea şi confidenţialitatea informaţiilor.

6. Securitatea în Internet
Securitatea în Internet se poate realiza pe mai multe nivele şi subnivele,
individual sau combinat pentru a realiza un grad de protecţie cerut.
Securitatea la nivel fizic
Serviciile de securitate la nivel fizic asigură o protecţie punct la punct pe canalul
fizic de legătură, între entităţile care comunică, fie că sunt sisteme finale, fie
intermediare. Avantajul major al securităţii pe acest nivel este independenţa de
protocoalele implementate pe nivelele suprerioare. Dezavantajul constă în dependenţa
de tehnologia de comunicaţie folosită la nivel fizic (tipuri de interfeţe, rate de
transmisie, probleme de sincronizare etc.). Aici se realizează de regulă confidenţialitatea
traficului şi securizarea circuitului orientat pe conexiune.

Securitatea la nivel legătură de date

Serviciile de securitate la nivel legătură de date sunt tot de tipul punct la punct.
Nivelul de securitate este încă redus, determinat în principal de facilităţile de detecţie şi
eventual corecţie a erorilor, de secvenţiere a transmisiei în funcţie de caracteristicile
canalului. Criptarea la nivel 2 nu este recomandată deoarece oferă multă informaţie unui
adversar care interceptează pachete, cîmpurile de control fiind în clar. Principalul
dezavantaj al criptării la acest nivel este că datele sunt memorate în clar în fiecare nod
intermediar şi oferă facilităţi de atac multiple răuvoitorilor.

Coala

Mod Coala N Document Semnat Data 11

 Serviciile de securitate la nivel reţea pot fi realizate atît între sistemele finale cît
şi între sisteme finale şi rutere sau între două rutere. De la acest nivel ele încep să
devină dependente de protocoalele folosite pe nivelele superioare. Este posibilă
securizarea unei anumite rute din reţea (de exemplu criptarea datelor de pe acea rută şi
transmisia în clar pe alte rute). Unele pachete care trec printr-un nod intermediar (ruter)
sunt criptate, altele nu, în funcţie de rută. Antetul de nivel reţea al pachetelor nu este
criptat, ceea ce face ca să se asigure numai integritatea şi confidenţialitatea datelor
transmise, nu şi a traficului.
Serviciile de securitate la nivel transport
Nivelul transport oferă mai multe servicii de securitate şi mai complete:
confidenţialitatea (orientată sau nu pe conexiune), integritatea, autentificarea originii
datelor, autentificarea entităţilor pereche, controlul accesului. Deoarece nivelul transport
asigură servicii de transfer de date între sursă şi destinaţie, adică între utilizatori finali,
şi serviciile de securitate au acelaşi caracter.
Nivelele sesiune şi prezentare nu au referiri privitoare la implementarea de
servicii de securitate, deşi confidenţialitatea prin criptare sau altele (autentificarea etc.)
pot fi evident realizabile.
Nivelul aplicaţie asigură implementarea tuturor serviciilor de securitate, ba mai
mult chiar, unele, de exemplu, nerepudierea mesajelor poate fi realizată numai la acest
nivel. Avantajul major al asigurării securităţii la acest nivel este independenţa de
sistemele de operare şi de protocoalele utilizate pe nivelele inferioare. În schimb,
trebuie menţionat că la acest nivel securitatea este dependentă de aplicaţie (trebuie
implementată individual pentru fiecare aplicaţie).
Aplicaţiile de bază ale Internetului (FTP, SMTP, TELNET, HTTP, DNS, POP,
WWW etc.) rulează pe servere, ele reprezentînd adevărate porţi prin care utilizatorii din
lumea exterioară pot accesa informaţii de pe un calculator privat. Fiecare server trebuie
să aibă următoarele facilităţi:
· Să determine ce informaţie sau acţiune este cerută de client;
· Să decidă dacă acesta are dreptul să acceseze informaţia, utilizînd eventual o
procedură de autentificare (persoană sau program);

Coala

Mod Coala N Document Semnat Data 12

 · Să transfere informaţia cerută sau să execute programul cerut.

Protecţia serverelor se poate face prin mai multe măsuri cum ar fi:
· Autentificarea sigură a clienţilor prin parole sau protocoale criptografice (cum ar
fi Kerberos);folosirea unui firewall care să separe reţeaua internă de lumea
exterioară;
· Separarea fizică a reţelei interne de cea externă. Accesul la reţeaua externă
(Internet, WWW, etc.) se face prin staţii separate.
· Crearea unei reţele separate pentru datele confidenţiale;
· Dezactivarea tuturor serviciilor inutile şi protejarea lor prin programe de tip
wrapper.

7. Tehnici de securitate în reţele

7.1 Servere de autentificare Kerberos

Kerberos este la ora actuală cel mai puternic şi mai folosit serviciu de autentificare
din lume. El permite utilizatorilor să comunice în reţea pentru a-şi dezvălui identitatea şi
pentru a se autentifica în timp real, într-un mediu distribuit nesecurizat. Este un serviciu
de autentificare şi nu de autorizare, în care parolele sunt folosite drept chei şi nu sunt
nici o dată transmise în clar prin reţea.
Kerberos este folosit de protocoalele de nivel aplicaţie (ftp, telnet etc.) pentru a
asigura securitatea comunicaţiilor cu gazda. El are două obiective principale:
autentificarea şi distribuţia cheilor şi furnizează următoarele servicii:
- autentificarea mutuală şi comunicaţie sigură între două entităţi ale unei reţele
deschise;
- distribuie chei secrete oferind macanisme pentru transferul siugur al acestora
prin reţea;
- indentificarea sigură a utilizatorilor individuali care apelează servicii de pe
calculatoarele gazdă.
Kerberos este utilizat în SUA, o variantă similară dezvoltată în Europa, compatibilă

Coala

Mod Coala N Document Semnat Data 13

 cu acesta este SESAME.
Protocolul de autentificare Kerberos foloseşte o a treia entitate (terţ de încredere)
care furnizează tichete de identificare şi chei criptografice către utilizatori sau aplicaţii.
Un tichet este un bloc de cîteva sute de octeţi care poate fi folosit în aproape orice
protocol de reţea.
Protocolul Kerberos conţine următoarele entităţi:
- Serverul de autentificare Kerberos
- Entitatea de acordare a tichetului
- Clientul C care trebuie autentificat pentru a i se acorda acces la serviciul
furnizat de serverul S
- Serverul S la care cere acces din partea clientului.

Server Server de tichete (ST) Server

Kerberos (S)

2 4 5
3
6
1

Client
(C)

Protocolul der autentificare Kerberos

7.2 Standardul de poştă electronică cu facilităţi de securitate

Poşta electronică este unul dintre cele mai răspîndite servicii pe Internet folosit de
milioane de utilizatori. Ca urmare au fost dezvoltate aplicaţii de securitate specifice
acestui serviciu cum ar fi PEM PrivacyEnhanced Mail care oferă următoareler facilităţi:
- confidenţialitatea (secretizarea) mesajelor;
- autentificarea originii mesajelor
- integritatea legăturii în reţea
- nerepudierea legăturii prin dovedirea originii.

Coala

Mod Coala N Document Semnat Data 14

 Confidenţialitatea protejează conţinutul mesajelor împotriva citirii lor
neautorizate de către alte persoane decît cele autorizate specificate de emitent. Accesul
nedorit la mesaje se poate face fie prin inteceptatrea comunicaţiei din linia de
transmisie, fie prin accesul la cutia poştală care de fapt este o locaţie pe un hard disk sau
un alt mijloc de stocare. În aceste situaţii protecţia se face prin criptarea mesajelor.
Autentificarea originii mesajelor permite receptorului unui mesaj prin poştă
electronică să determine în mod sigur identitatea emiţătorului. Este un serviciu foarte
necesar asigurării credibilităţii poştei electronice atît de răspîndită şi de utilă în prezent.
Integritatea legăturii furnizează receptorului siguranţa că mesajul primit este
identic cu cel emis la origine, că nu a fost înlocuit pe traseu cu altul sau nu a fost
modificat chiar şi parţial. De regulă, autentificarea şi integritatea sunt servicii care se
folosesc împreună.
Nerepudierea mesajelor împiedică transmiţătorul să nu recunoască faptul că el şi
numai el a transmis mesajul în discuţie chiar dacă el a trecut şi prin intermediari.
Utilitatea serviciului de nerepudiere este evidentă în situaţia transmiterii unor ordine,
decizii, dispoziţii etc. cu caracter imperativ si care pot genera consecinţe majore unele
chiar cu caracter juridic.
Implementarea serviciilor de securitate în conformitate cu standardul PEM se
poate face peste infrastructura de poştă electronică existentă. Există două variante de
integrare:
1) cu includerea funcţiilor de securitate în agentul utilizator (UA) cu avantajul
obţinerii unei interfeţe mai bune cu utilizatorul.
2) fără modificare agentului utilizator prin realizarea unui filtru de securizare a
mesajelor în exteriorul UA.

Pentru a putea asigura serviciile de securitate, PEM foloseşte o varietate de

algoritmi criptografici necesari cifrării mesajelor, distribuirii cheilor, verificării
integrităţii mesajelor sau autentificării. PEM foloseşte sisteme simetrice şi nesimetrice
pentru cifrarea mesajelor, integritate şi autentificare. În cazul sistemelor simetrice cheia
de cifrare este identică cu cea de descifrare şi ca urmare ele trebuie să fie secrete şi
distribuite utilizatorilor pe canale sigure, pe baza unui sistem de management al cheilor.
Coala

Mod Coala N Document Semnat Data 15

 Prelucrarea uneu scrisori PEM se face după un algoritm. O scrisoare este formată
din 2 zone : antetul mesajului şi conţinutul mesajului. Datele din antet trec de regulă
nemodificate prin prelucrările PEM. Conţinutul scrisorii care face obiectul prelucrării
este încadrat de unul sau mai multe antete PEM /delimitatori PEM care implemetează
serviciile de securitate folosite. Paşii în care se face prelucrarea PEM sunt de regulă
următorii:
1) Aducerea la forma canonică, adică o formă standard specifică reţelei. Tipul
de canonizare este specificat în cîmpul Content Domain din antetul PEM.
2) Calculul valorii de integritate a mesajului (MIC- Message Integrity Code)
3) Cifrarea (opţională) dacă se consideră necesară se face o singură dată
indiferent de cîţi destinatari îl vor primi, folosind o tehnică de criptare
acceptată, fără a fi impusă una anume.
4) Codificarea în vederea transmisiei are rolul de a converti mesajele de tip
MIC ONLY şi ENCRIPTED care sunt şiruri oarecare de biţi în caractere
care pot fi transmise în sistemele de transport al mesajelor.

7.3 PGP (Pretty Good Privacy)

Este un pachet de programme destinat poştei electronice şi a fişierelor proprii prin
cifrare clasică cu chei publice care poate funcţiona pe diferite platforme (Windows,
UNIX, etrc.). PGP poate asigura următoarele facilităţi :
- criptarea fişierelor folosind algoritmi simetrici sau nesimetrici ;
- crearea de chei publice sau secrete folosite la criptare;
- gestionarea cheilor prin crearea şi întreţinerea unei baze de date destinate
acestui scop ;
- transmiterea şi recepţionarea de mesaje criptate prin e-mail ;
- folosirea semnăturilor digitale ;
- certificarea cheilor (semnarea electronică a cheilor) ;
- revocarea, dezactivarea şi păstrarea cheilor cu posibilitatea dezactivării,
revocării şi schimbării lor în caz de atac ctiptografic;
- configurarea după necesităţi a PGP-ului;

Coala

Mod Coala N Document Semnat Data 16

 - folosirea server-elor de chei de pe Internet.

7.4 Criptarea datetor

Avînd în vedere faptul că transmisia de date în Internet este neprotejată, a apărut
necesitatea dezvoltării tehnicilor de criptare în direcţia automatizării acestora si a
implementării lor în reţele de calculatoare. Astfel, utilizarea unor algoritmi pentru
criptarea informaţiilor transmise va deveni principalul mijloc de rezolvare a
problemelor de interceptare în reţele.
În descrierea unei transmisii de date prin reţea se obişnuieşte să se numească
generic "mesaj" un ansamblu de date trimis de un "emiţător" unui "receptor". Printr-o
metodă de criptare, mesajele vor fi transformate, pe baza unei chei de criptare, astfel
încît să poată fi înţelese doar de destinatar.
Unul din principiile mai recent apărute în criptanaliză constă în utilizarea unei
alte chei pentru decodificarea mesajului decît cea folosită la codificare; această tehnică
este mai eficientă dar complică puţin procedeul general şi de aceea se preferă cînd
criptarea / decriptarea se realizează automat. Evident, dimensiunea unei chei de criptare
(exprimate în general în biţi) este o măsură a nivelului de securitate dat de acea cheie, ea
indicînd rezistenta mesajului cifrat la încercările de descifrare de către cineva care nu
deţine cheia de descifrare potrivită.
Principiile de criptare din algoritmii cu cheie secretă au evoluat odată cu apariţia
calculatoarelor; ele continuă însă să se bazeze pe metodele tradiţionale, cum ar fi
transpoziţia şi substituţia. Algoritmii cu cheie secretă sunt caracterizaţi de faptul că
folosesc aceeaşi cheie atît în procesul de criptare, cît şi în cel de decriptare (vezi figura
de mai jos). Din acest motiv, aceşti algoritmi mai sunt cunoscuţi sub numele de
algoritmi simetrici; pentru aplicarea lor este necesar ca înaintea codificării /
decodificării, atît emiţătorul cît şi receptorul să posede deja cheia respectivă. În mod
evident, cheia care caracterizează aceşti algoritmi trebuie să fie secretă.

Coala

Mod Coala N Document Semnat Data 17

 Schema de aplicare a unui algoritm simetric
Principalul dezavantaj al algoritmilor simetrici constă în faptul că impun un
schimb de chei private înainte de a se începe transmisia de date. Altfel spus, pentru a
putea fi utilizaţi, este necesar un canal cu transmisie protejată pentru a putea fi transmise
cheile de criptare / decriptare.
Ulterior, vor apărea si algoritmi cu cheie publică, caracterizaţi prin faptul că
criptarea si decriptarea folosesc chei diferite (vezi figura de mai jos). Această
caracteristică a dat algoritmilor cu cheie publică si numele de algoritmi asimetrici. În
acest caz, una dintre chei poate fi publică (general cunoscută - poate fi distribuită oricui)
iar cealaltă va trebui să fie privată / secretă (cunoscută doar de cel care o foloseşte).
Fiecare dintre aceste chei poate cripta mesajul, dar un mesaj criptat cu o anumită cheie
nu poate fi decriptat decît cu cheia sa pereche.
Astfel, în cazul utilizării unui algoritm asimetric în comunicarea dintre un
emiţător şi un receptor, fiecare dintre aceştia va deţine cîte o pereche de chei - publică şi
privată. Emiţătorul poate cripta mesajul cu cheia publică a receptorului, astfel încît doar
acesta să poată decripta mesajul cu cheia sa privată. În cazul unui răspuns, receptorul va
utiliza cheia publică a emiţătorului astfel încît decriptarea să se poată face exclusiv de
către emiţător (cu cheia sa pereche, privată).
Cheile algoritmilor asimetrici sunt obţinute pe baza unei formule matematice din
algebra numerelor mari, pentru numere prime între ele, iar din valoarea unei chei nu
poate fi dedusă valoarea cheii asociate. Remarcăm faptul că aplicarea în informatică a
calculelor modulo numere prime s-a dovedit extrem de benefică pentru multi algoritmi
moderni.

Coala

Mod Coala N Document Semnat Data 18

 Schema de aplicare a unui algoritm asimetric

Tradiţional, criptografii foloseau algoritmi simpli asociaţi cu chei de securitate

foarte lungi. Azi se urmăreşte crearea unor algoritmi de criptare atît de complecşi încît
să fie practic ireversibili, chiar dacă un criptanalist achiziţionează cantităţi foarte mari
de text cifrat.
O altă caracteristică a criptografiei moderne constă în automatizarea tehnicilor
clasice, prin folosirea unor dispozitive special concepute. Transpoziţiile şi substituţiile
vor fi implementate cu circuite simple, de viteză mare, care vor fi conectate în cascadă
astfel încît dependenta ieşirii de intrare devine extrem de complicată si dificil de
descoperit.
În 1977, guvernul SUA a adoptat ca standard oficial pentru informaţiile nesecrete
un cifru produs şi dezvoltat de IBM, numit DES (Data Encryption System), care a fost
larg adoptat în industrie. DES este cel mai popular algoritm cu cheie secretă; el continuă
să stea la baza unor sisteme folosite în mod curent. DES foloseşte (uzual) o cheie de 56
de biţi; aceasta a fost în cele din urmă adoptată în locul uneia de 128 de biţi, neagreată
de NSA (National Security Agency), agenţia "spărgătoare de coduri a guvernului", care
dorea supremaţia în domeniul criptografic.
Din 1977, cercetătorii în criptografie au încercat să proiecteze maşini pentru a
sparge DES. Prima asemenea maşină (1977) a fost concepută de Diffie si Hellman, avea
nevoie de mai putin de o zi iar costul ei a fost estimat la 20 de milioane de dolari. După
aproape 2 decenii, costul unei astfel de maşini a ajuns la 1 milion de dolari iar timpul
necesar spargerii codului a scăzut la 4 ore. Ulterior, s-au dezvoltat şi alte metode, cum ar
fi folosirea unui cip DES încorporat (loteria chinezească).

Coala

Mod Coala N Document Semnat Data 19

 În scopul decriptării s-ar mai putea folosi mecanisme soft specifice (cum ar fi
algoritmul asimetric Diffie-Hellman) şi resursele libere ale unor calculatoare cu
destinaţie universală. Astfel, s-a demonstrat că rularea pe mai multe calculatoare a unor
programe distribuite de criptare (uzual, pe un număr mare de maşini, de ordinul miilor
sau chiar zecilor de mii) creste considerabil eficienta procesului de decriptare.
Un alt cifru renumit este IDEA (International Data Encryption Algorithm),
realizat de doi cercetători la Politehnica Federală din Zürich (ETHZ). Acest algoritm
foloseşte o cheie de 128 de biţi şi este inspirat din metodele anterioare - DES şi cele
imaginate pentru spargerea DES.
Un alt algoritm performant a fost descoperit de un grup de cercetători de la MIT -
Ronald Rivest, Adi Shamir, Leonard Adelman - şi s-a numit cu iniţialele creatorilor lui:
RSA. Algoritmul de criptare RSA foloseşte o cheie publică.
Se observă că utilizarea unor astfel de algoritmi de criptare a datelor asigură
transmisii confidenţiale de date în reţele neprotejate, rezolvînd problema interceptării.
De fapt, riscul de interceptare / modificare nu dispare cu totul, din cauză că orice mesaj
criptat poate fi în general decriptat fără a deţine cheia corespunzătoare, dacă se dispune
de suficiente resurse materiale şi de timp.
Evident, dimensiuni variate ale cheii asigură diferite grade de confidenţialitate iar
perioada de timp necesară pentru decriptare poate fi prevăzută în funcţie de mărimea
cheii utilizate. Totuşi, dacă procesul de decriptare este lent, este posibil ca în momentul
în care s-ar obţine datele dorite, acestea să nu mai fie actuale sau utile.
Timpul de decriptare depinde în mod natural şi de puterea procesoarelor utilizate
în acest scop, astfel încît utilizarea distribuită a unui foarte mare număr de procesoare
poate duce la o micşorare considerabilă a timpului necesar. Din acest motiv, pentru
transmisii de date în care este necesară o confidenţialitate strică se utilizează chei de
dimensiuni mult mai mari, chiar pentru algoritmul DES (de 256, 512, 1024 şi chiar 2048
sau 4096 de biţi), ştiut fiind că timpul necesar decriptării creşte exponenţial cu
dimensiunea cheii de criptare / decriptare.
Pentru utilizatorii obişnuiţi ai Internet-ului, cei mai convenabili algoritmi de
criptare sunt cei cu cheie publică fiindcă folosirea lor nu implică schimbul preliminar de
chei pe canale de transmisie protejate, ca în cazul algoritmilor cu cheie secretă. Cheia
Coala

Mod Coala N Document Semnat Data 20

 publică poate fi distribuită fără restricţii pe intranet (reţeaua locală) sau Internet, iar
mesajele criptate cu această cheie de un emiţător vor putea fi decriptate numai utilizînd
cheia privată, care este deţinută exclusiv de către destinatar. Astfel, nici măcar
expeditorul nu ar putea realiza decriptarea mesajului trimis.

8. Securitatea prin firewall

Un firewal (zid de protecţie, perete antifoc) este un sistem de protecţie plasat între două
reţele care are următoarele proprietăţi :
- obligă tot traficul dintre cele două reţele să treacă prin el şi numai prin el,
pentru ambele sensuri de transmisie ;
- filtrează traficul şi permite trecerea doar a celui autorizat prin politica de
securitate ;
- este el însuşi rezistent la încercările de penetrare, ocolire, spagere exercitate
de diverşi.

Un firewall nu este un simplu ruter sau calculator care asigură securitatea unei
reţele. El impune o politică de securitate, de control a accesului, de autentificare a
clienţilor, de configurare a reţelei. El protejează o reţea sigură din punct de vedere al
securităţii de o reţea nesigură, în care nu putem avea încredere.

Firewall
Trafic
Reţea autorizat
protejată Internet

Dispunerea unui firewall

Fiind dispus la intersecţia a două reţele, un firewall poate fi folosit şi pentru alte
scopuri dcât controlul accesului :
- pentru monitorizarea comunicaţiilor dintre reţeaua internă şi cea externă
(servicii folosite, volum de trafic, frecvenţa accesării, distribuţia în timp etc.);
- pentru interceptarea şi înregistrarea tuturor comunicaţiilor dintre cele două

Coala

Mod Coala N Document Semnat Data 21

 reţele ;
- pentru criptare în reţele virtuale.

8.1 Avantajele unui firewall

Într-un mediu fără firewall securitatea reţelei se bazează exclusiv pe securitatea
calculatoarelor gazdă care trebuie să coopereze pentru realizarea unui nivel
corespunzător de securitate. Cu cît reţeaua este mai mare, cu atît este mai greu de
asigurat securitatea fiecărui calculator. Folosirea unui firewall asigură cîteva avantaje :
1) Protecţia serviciilor vulnerabile prin filtrarea (blocarea) acelora care în mod
obişnuit sunt inerent mai expuse. De exemplu un firewall poate bloca intrarea
sau ieşirea dintr-o reţea protejată a unor servicii expuse cum ar fi NFS, NIS etc.
De asemenea mecanismul de dirijare a pachetelor din Internet poate fi folosit
pentru rutarea traficului către destinaţiii compromise. Prin intermediul ICMP
firewall-ul poate rejectă aceste pachete şi informa administratorul de reţea despre
incident.
2) Impunerea unei politici a accesului în reţea deoarece un firewall poate
controla accesul într-o reţea privată. Unele calculatoare pot fi făcute accesibile
din exterior şi altele nu. De exemplu, serviciile de poştă electronică şi cele
informaţionale pot fi accesibile numai pe unele calculatoare din reţeaua internă
protejîndu-le pe celelalte de expuneri la atacuri.
3) Concentrarea securităţii pe firewall reduce mult costurile acestei faţă de cazul în
care ar fi distribuită pe fiecare staţie. Folosirea altor soluţii cum ar fi Kerberos,
implică modificări la fiecare sistem gazdă, ceea ce este mai greu de implementat
şi mai costisitor.
4) Întărirea caracterului privat al informaţiei care circulă prin reţea. În mod
normal o informaţie considerată pe bună dreptate nesenzitivă (navigarea pe Web,
citirea poştei electronice etc.) poate aduce atacatorilor informaţii dorite despre
utilizatori : cît de des şi la ce ore este folosit un sistem, dacă s-a citit poşta
electronică, site-urile cele mai vizitate etc. Asemenea informaţii sunt furnizate de
serviciul finger, altfel un serviciu util în Internet. Folosirea unui firewall poate

Coala

Mod Coala N Document Semnat Data 22

 bloca asemenea servicii cum ar fi finger, DNS etc. Blocarea ieşirii în exterior a
informaţiei DNS referitoare la sistemele gazdă interne, numele şi adresele IP,
ascunde informaţie foarte căutată de atacatori.
5) Monitorizarea şi realizarea de statistici privind folosirea reţelei sunt mult
uşurate dacă întregul trafic spre şi dinspre Internet se face printr-un singur punct
(firewall).

8.2 Dezavantajele unui firewall

Folosirea unui firewall are şi unele limitări şi dezavantaje, inclusiv unele probleme
de securitate pe care nu le poate rezolva.
1. Restricţionarea accesului la unele servicii considerate vulnarabile care sunt des
solicitate de utilizatori : FTP, telnet, http, NSf etc. Uneori politica de securitate
poate impune chiar blocarea totală a acestora.
2. Posibilitatea existenţei “unor uşi secrete” Un firewall nu poate proteja
împotriva unor trape care pot apărea în reţea, de exemplu accesul prin modem la
unele calculatoare gazdă. Folosirea modemuri de viteză mare pe o conexiune PPP
sau SLIP deschide o “uşă” neprotejabilă prin firewall.
3. Firewall-ul nu asigură protecţie faţă de atacurile venite din interior.
Scurgerea de informaţii, atacurile cu viruşi, distrugerea intenţionată din interiorul
reţelei nu pot fi protejate de firewall.
4. Reducerea vitezei de comunicaţie cu exteriorul (congestia traficului) este o
problemă majoră a unui firewall. Ea poate fi depăşită prin alegerea unor
magistrale de mare viteză la interfaţa acestuia cu reţeaua internă şi cea externă.
5. Fiabilitatea reţelei poate fi redusă dacă şi chiar dezastruoasă dacă sistemul
firewall nu este fiabil.
Comparînd avantajele şi limitările securităţii prin firewall se poate concluziona că
protejarea resurselor unei reţele este bine să se facă atît prin sisteme firewall cît şi
prin alte mecanisme şi sisteme de securitate.

Coala

Mod Coala N Document Semnat Data 23

 8.3 Componentele unui firewall
Componentele fundamentale ale unui firewall sunt :
- politica de control a acesului la servicii ;
- mecanismele de autentificare ;
- filtrarea pachetelor;
- serviciile proxy şi porţile de nivel aplicaţie.

Politica de control a accesului la servicii defineşte în mod explicit acele servicii

care sunt permise şi care sunt refuzate, precum şi cazurile de exepţie şi condiţiile în care
pot fi acceptate. O politică realistă trebuie să asigure un echilibru între protejarea reţelei
faţă de anumite riscuri cunoscute şi asigurarea accesului utilizatorilor la resurse. Mai
întîi se defineşte politica de acces la serviciile reţelei, ca politică de nivel înalt, după
care se defineşte politica de proiectare a firewall-ului ca politică subsidiară. Se pot
implementa diverse politici de acces la servicii :
- interzicerea accesului din Internet la reţeaua proprie şi accesul invers, din
reţea spre Internet;
- accesul din Internet dar numai spre anumite staţii din reţeaua proprie, cum
ar fi serverele de informaţii, serverele de e-mail ;
- accesul din internet spre anumite sisteme locale dar numai în situaţii
speciale şi numai după autentificare reciprocă.

Politica de proiectare a firewall-ului se bazează pe două sub-politici :

1. ceea ce nu este interzis în mod explicit este permis
2. ceea ce nu este permis în mod explicit este interzis.
Prima subpolitică este mai puţin oportună deoarece oferă posibilităţi de a ocoli
sistemul de securitate prin firewall. Pot apărea servicii noi, necunoscute, se pot folosi
porturi TCP/UDP nestandard etc. Eficienţa unui sistem firewall de protecţie a unei
reţele depinde de politica de acces la servicii, de politica de proiectare a firewall-ului şi
de arhitectura acestuia.

Coala

Mod Coala N Document Semnat Data 24

 8.4 Implementarea securităţii prin firewall
Implementarea securităţii pritr-un sistem firewall se poate face respectînd următorii
paşi:
- Definirea politicii de securitate prin firewall
- Definirea cerinţelor de funcţionare şi securitate prin firewall
- Procurarea unui firewall
- Administrarea unui firewall.

Politica de securitate prin firewall are două niveluri de abordare: politica de acces la
servicii şi politica de proiectare a firewall-ului. Gradul de îndeplinire a securităţii pe
cele două nivele depinde în mare măsură de arhitectura sistemului firewall. Pentru a
defini o politică de proiectare a firewall-ului, trebuie examinate şi documentate
următoarele:
· Ce servicii urmează a fi folosite în mod curent şi ocazional
· Cum şi unde vor fi folosite (local, la distanţă, prin Internet, de la domicilui)
· Care este gradul de sensibilitate al informaţiei, locul unde se află şi ce
persoane au acces ‚acces ocazional sau curent
· Care sunt riscurile asociate cu furnizarea accesului la aceste informaţii
· Care este costul asigurării protecţiei

În vederea procurării componenetelor soft şi hard ale unui sistem firewall, trebuie
definite cît se poate de concret cerinţele de funcţionalitate şi de securitate ale acestuia.
Pentru aceasta este recomandabil să se ţină seama de următoarele aspecte:
· În ce măsură poate fi suportată o politică de securitate impusă de organizaţie şi nu
de sistem în sine
· Flexibilitatea, gradul de adaptabilitate la noi servicii sau cerinţe determinate de
schimbările în politica de securitate
· Să conţină mecanisme avansate de autentificare sau posibilităţi de instalare a
acestora
· Să folosească tehnici de filtrare de tip permitere/interzicere acces la sisteme,

Coala

Mod Coala N Document Semnat Data 25

 aplicaţii, servicii
· Regulile de filtrare să permită selectarea şi combinarea cît mai multor atribute
(adrese, porturi, protocoale)
· Pentru servicii ca TELNET, FTP etc să permită folosirea serviciului proxy
individuale sau comune
· Firewall-ul şi accesul public în reţea trebuie corelate astfel încît serverele
informaţionale publice să poată fi protejate de de firewall, dar să poată fi separate
de celelalte sisteme de reţea care nu furnizează acces public
· Posibilitatea ca firewall-ul şi sistemul de operare să poată fi actualizate periodic

8.5 Filtrarea pachetelor

Un serviciu securitate foarte eficient realizabil prin firewall este filtrarea pachetelor.
El permite sau blochează trecerea unor anumite tipuri de pachete în funcţie de un sistem
de reguli stabilite de administratorul de securitate. De exemplu filtrarea pachetelor IP se
poate face după diferite cîmpuri din antetul său: adresa IP a sursei, adresa IP a
destinaţiei, tipul protocol (TCP sau UDP), portul sursă sau portul destinaţie etc.
Filtrarea se poate face într-o varietate de moduri: blocare conexiuni spre sau dinspre
anumite sisteme gazdă sau reţele, blocarea anumitor porturi etc.
Filtrarea de pachete se realizează, de obicei, la nivelul ruterelor. Multe rutere
comerciale au capacitatea de a filtra pachete pe baza cîmpurilor din antet.
Următoarele servicii sunt în mod inerent vulnerabile şi de accea se recomandă
blocarea lor la nivelul firewall-ului:
· tftp (trivial file transfer protocol), portul 69 folosit de obicei pentru secvenţa de
boot a staţiilor fără disc, a serverelor de terminale şi a ruterelor. Configurat
incorect, el poate fi folosit pentru citirea oricărui fişier din sistem;
· X Windows, porturile începînd cu 6000. Prin intermediul serverelor X intruşii pot
obţine controlul asupra unui sistem gazdă;
· RPC (Remote Procedure Call), portul 111, inclusiv NIS şi NIF care pot fi folosite
pentru a obţine informaţii despre sistem, despre fişierele stocate;
· Rolgin, rsh, rexec, porturile 513, 514, 512 servicii care configurate incorect pot

Coala

Mod Coala N Document Semnat Data 26

 permite accesul neautorizat la conturi şi comenzi de sistem.
Următoarele servicii sunt, în mod obişnuit, filtrate şi restricţionate numai la acele
sisteme care au nevoie de ele:
a) Telnet, portul 23, restricţionat numai spre anumite sisteme;
b) Ftp, porturile 20 şi 21, restricţionat numai spre anumite sisteme;
c) SMTP, portul 25, restricţionat numai spre un server central de mail;
d) RIP, portul 25, care poate fi uşor înşelat şi determinat să redirecţioneze pachete;
e) DNS, portul 53, care poate furniza informaţii despre adrese, nume, foarte urmărit
de atacatori;
f) UUCP (Unix to Unix CoPy), portul 540, care poate fi utilizat pentru acces
neautorizat;
g) NNTP (Network News Transfer Protocol), portul 119 pentru accesul la diferite
ştiri din reţea;
h) http, (portul 80), restricţionat spre o poartă de aplicaţii pe care rulează servicii
proxy.

Nivelurile de filtrare a pachetelor corespund nivelelor din arhitectura OSI sau

TCP/IP. Antetul de reţea IP conţine patru cîmpuri relevante pentru filtrarea pachetelor:
cele două adrese, sursă şi destinaţie, tipul de protocol de nivel transport şi cîmpul de
opţiuni IP. Opţiunea IP cea mai relevantă pentru facilităţi de filtrare este dirijarea de la
sursă (source routing). Ea permite expeditorului unui pachet să specifice ruta pe care
acesta o va urma spre destinaţie. Scopul său este de a nu trimite pachete în zone în care
tabelele de dirijare ale pachetelor sunt incorecte sau ruterele sunt defecte.
Antetul de nivel transport conţine cîmpurile port sursă şi destinaţie şi cîmpul de
indicatori (flag-uri). TCP fiind un protocol orientat pe conexiune, înaintea transferului
de pachete se sabileşte ruta prin intermediul unui pachet de setare care are cîmpul ACK
de un bit setat pe 0. Bitul ACK este foarte important din punct de vedere al filtrării.
Dacă se doreşte blocarea unei conexiuni TCP este suficient a se bloca primul pachet
identificat prin valoarea 0 a cîmpului ACK. Chiar dacă următoarele pachete cu ACK =1
corespunzătoare aceleiaşi conexiuni vor trece prin filtru , ele nu vor fi asamblate la
destinaţie din cauza lipsei informaţiilor despre conexiune, informaţii conţinute în primul
Coala

Mod Coala N Document Semnat Data 27

 pachet. Practic, conexiunea nu va fi realizată. Pe baza acestei particularităţi se poate
impune o politică de securitate care permite clienţilor din interior să se conecteze în
exterior la servere externe, dar nu permite clienţilor externi să se conecteze în interior
(la servere interne).
În filtrarea UDP sunt posibile mai multe abordări:
- interzicerera tuturor pachetelor UDP;
- permiterea conexiunilor la anumite porturi UDP standard, considerate mai
puţin periculoase;
- se poate seta ruterul ca să monitorizeze pachetele care pleacă din interior
spre exterior astfel ca ele să fie răspuns pachetele (cererile) memorate
(filtrare dinamică).

8.6 Reguli de filtrare a pachetelor

Filtrarea pechetelor se face după reguli care fac parte din configurarea ruterului şi
care pot fi reguli explicite sau implicite. De exemplu, interzicerea a tot ce nu este permis
în mod explicit este o interzicere implicită. Regula filtrătrii implicite este mai bună din
punct de vedere al securităţii deoarece ne asigură că în afara cazurilor pe care le dorim
să treacă, celelalte sunt filtrate, deci sunt evitate situaţii neprevăzute de acces. Regulile
fac parte din configuraţia ruterului. Pentru a decide trimiterea sau blocarea unui pachet,
regulile sunt parcurse pe rînd, pînă se găseşte o concordanţă şi se conformeză acesteia.
Dacă nu se găseşte o asemenea concordanţă, pachetului i se aplică regula implicită. În
cazul filtrării după adresă, există următoarele riscuri:
1. simpla filtrare nu poate fi sigură deoarece adresa sursă poate fi falsificată. Un
răuvoitor poate simula că trimite pachete de la un utilizator de încredere. El nu va
primi răspuns, dar simplul acces în reţea poate reprezenta o ameninţare.
2. atacul de tip “omul din mijloc” în care un atacator se interpune pe calea dintre
sursă şi destinaţie şi interceptează pachetele venind din ambele sensuri. Evitarea
unei asemenea situaţii se poate face prin autentificare reciprocă folosind
mecanisme criptografice avansate.
Filtrarea după serviciu este de fapt filtrarea după porturile sursă şi destinaţie. În

Coala

Mod Coala N Document Semnat Data 28

 UNIX porturile privilegiate (01023) sunt ocupate doar de servere, nu de clienţi. Pe
aestea rulează aplicaţii sau servicii specifice superuser-ilor. Porturile mai mari de 1024
sunt folosite de clienţi şi se pot aloca în mod aleator.

8.7 Procurarea unui firewall

Există două variante de procurare a unui firewall: realizare proprie sau de pe Internet
variante libere şi cumpărarea unui produs profesional la cheie. Ambele au avantaje şi
dezavantaje. Un firewall de firmă este puternic, verificat şi oferă multe facilităţi dar este
mai scump. Unul construit pentru o anumită organizaţie sau reţea permite ca specialiştii
firmei să înţeleagă specificaţiile de proiectare şi de utilizare a acestuia.
Înainte de a se lua decizia de procurare trebuie să se afle răspunsuri la întrebări de
felul:
- cum se va verifica dacă produsul firewall respectă cerinţele funcţionale
- cum poate fi testat împotriva diverselor atacuri
- cine, cum şi cu ce mijloace va face întreţinerea, repararea, actualizarea sa
- cum şi cine va face instruirea utilizatorilor
- cum vor fi rezolvate eventuale incidente de securitate.

Un exemplu de produs firewall de firmă este TIS Firewall Toolkit (TIS FWTK)
produs de firma Trust Information System. El reprezintă un set de programe şi practici
de configurare care pot fi folosite pentru construirea de diverse tipuri de firewall.
Componentele pot fi folosite fie independent, fie în combinaţie cu componentele altor
produse firewall. Produsul este conceput pentru sisteme UNIX folosind suita de
protocoale TCP/IP printr-o interfaţă soket de tip Berkley.
Instalarea FWTK persupune o oarecare experienţă în administrarea sistemelor
UNIX. Deoarece conponentele sunt prezentate sub forma unor programe de cod sursă
scrise în “C”, sunt necesare cunoştinţe referitoare la folosirea utilitatrului make.
FWTK are trei componente de bază:
- concepţii de proiectare
- practici de configurare şi strategii de verificare

Coala

Mod Coala N Document Semnat Data 29

 - componente software.
Cîteva dintre componentele soft sunt următoarele:
1. SMAP/SMAPT pentru serverul de poştă electronică. El ajută la implementarea
serviciului SMTP. SMAP acceptă mesaje venite din reţea pe care le scrie într-un
director propriu fără a permite accesul la restul sistemului de fişiere. Fişierele create în
acest director sunt blocate pînă se încarcă în întregime. Ulterior se deblochează şi
permite smapd-ului să acţioneze asupra sa. Smapd-ul este un program care inspectează
coada, scoate fişierele şi le trimite destinatarului prin sendmail.
2. FTP-GW este un server proxy pentru ftp care poate efectua operaţii de tipul logare,
interzicere, autentificare etc. Pentru autentificare sunt recunoscute mai multe
protocoale: SecurID produs de Security Dynamics, SNK produs de Digital Patways,
Silver Card etc.
3. TELNET-GW este un server proxy pentru telnet folosit la conectarea utilizatorului
la sistem.
4. PLUG-GW este un server proxy generic care suportă o gamă restrînsă de
protocoale şi utilizatori. El examinează adresa de la care s-a iniţiat conexiunea şi portul
pe care a primit-o şi crează o nouă conexiune la un alt sistem gazdă pe acelaşi port.

9. Mecanismele de autentificare avansate

Cartelele inteligente, jetoanele de autentificare, tehnicile biometrice, sunt din ce
în ce mai folosite în locul parolelor pentru autentificarea entităţilor care au acces la
informaţii vehiculate sau stocate în reţele. Deoarece firewall-ul este locul fizic care
concentrează accesul într-o reţea, acesta este , în mod logic, şi locul în care se află
hardwer-ul şi software-ul pentru autentificare.
Printre mecanismele avansate de autentificare de actualitate sunt parolele de unică
folosinţă şi cartelele inteligente.
Sistemele cu parolele de unică folosinţă conţin o tabelă de parole în care se intră la
fiecare cerere de acces la resursele de reţea, se validează individual intrarea în tabel iar
parolele se generează individual pe baza unui algoritm.

Coala

Mod Coala N Document Semnat Data 30

 Cartelele inteligente se bazează pe mecanismul numit “răspuns la provocare” care
funcţionează astfel :
- utilizatorul introduce un nume de logare
- sistemul generează un număr aleator (provocare) şi îl trimite utilizatorului
- utilizatorul criptează acest număr cu o cheie cunoscută de sistem şi trimite
rezultatul
- sistemul criptează şi el acel număr aleator cu aceeaşi cheie şi compară
rezultatele. În caz de coincidenţă solicitantul este acceptat în sistem.

Coala

Mod Coala N Document Semnat Data 31

 Concluzie

În concluzie, pentru a trata toate aspectele referitoare la securitatea unei reţele

trebuie abordate două aspecte protecţia la atacurile din interior şi la atacurile din
exterior. De asemenea, protecţia unei reţele de calculatoare nu se realizează dor la
nivel logic, al aplicaţiilor, ci şi la nivel fizic, al securităţii echipamentelor. Un
echipament, aflat într-o locaţie publică, în care au acces multiple catogorii de
persoane, sunt mult mai susceptibile la atacuri la nivel fizic decât cele situate în
locaţii cu control strict al accesului.
O buna practică ne învaţă că politicile de securitate trebuie aplicate la toate
nivelurile ierarhice ale unei reţele de calculatore nu doar la nivelul access, unde se
regăsesc utilizatorii finali. De asemenea, utilizarea programelor de protecţie
antivirus şi firewall pentru protejarea calculatoarelor şi serverelor este necesară la
orice nivel al reţelei de date.

Coala

Mod Coala N Document Semnat Data 32

 Bibliografie

Primii pasi in securitatea

Thomas Tom, Ediţia 2008
retelelor

CISCO - arhitecturi de
securitate Hundley Kent, Ediţia 2009

Firewalls. Protectia
retelelor conectate la Ogletree, Terry William, Ediţia 2007
Internet

www.ro.wikipedia.org

www.Scribd.com

www.facultate.regielive.ro

Coala

Mod Coala N Document Semnat Data 33

 Recenzie

Coala

Mod Coala N Document Semnat Data 34