UNIVERSITATEA CONSTANTIN BRÂNCOVEANU DIN PITEȘTI

FACULTATEA DE MANAGEMENT MARKETING ÎN AFACERI

ECONOMICE – RM. VÂLCEA
Specializare : Administratie publica

DESCRIEREA MASURILOR DE SECURITATE IN UTILIZAREA INTERNETULUI

REFERAT ELABORAT LA DISCIPLINA INFORMATICA APLICATA IN ADMINISTRATIE
PUBLICA

Coordonator: Student:
Prof. univ. dr. Carmen Radut Dumitriu-Tataru Elena

-2019-
 Cuprins

Capitolul I Vulnerabilitatea reţelelor…………………………………………………………………2

I.1 Categorii de atacuri asupra
reţelelor…………………………………………………………………………………………….……3
I.2 Nivele, principii, politici şi mecanisme de Securitate……………………………………..………3
Capitolul II Securitatea în Internet……………………………………………………………………6
Capitolul III Tehnici de securitate în reţele…………………………………………..……………….7
III.1 Servere de autentificare Kerberos………………………………………………….……………7
III.2 Standardul de poştă electronică cu facilităţi de securitate (PEM)…………………………….8
III.3 PGP (Pretty Good Privacy)………………………………………………………………………9
Capitolul IV Securitatea prin firewall………………………………………………………….……10
IV.1 Avantajele unui firewall……………………………………………………………………...….11
IV.2 Dezavantajele unui firewall…………………………………………………………………..…11
IV.3 Componentele unui firewall…………………………………………………………………..…12
IV.4 Implementarea securităţii prin firewall………………………………………………………..12
IV.5 Filtrarea pachetelor……………………………………………………………………………...13
Capitolul V Mecanismele de autentificare avansate………………………………………………...16

1
 DESCRIEREA MASURILOR DE SECURITATE IN UTILIZAREA
INTERNETULUI

Securitatea informatică este o problemă vitală pentru toţi utilizatorii de internet, fie că sunt
furnizori de servicii fie că sunt utilizatori. Nevoia tot mai mare de comunicare, pe de o parte şi nevoia de
protecţie şi securitate a informaţiilor pe de altă parte sunt două cerinţe diferite şi chiar opuse care trebuie
asigurate în reţelele şi sistemele informatice. În condiţiile în care milioane de ceăţeni folosesc în mod
curent reţelele de comunicaţii şi calculatoare pentru operaţiuni bancare, cumpărături, plata taxelor şi
serviciilor etc. problema securităţii este de maximă importanţă. Au apărut multe organizaţii şi organisme
internaţionale care se ocupă de cele mai diverse aspecte ale securităţii informaţionale, de la aspectele
legislative, la cele organizatorice, procedurale şi funcţionale. O prezentare detaliată a resurselor Internet
privind resursele de securitate se găseşte în [VVP].
Securitatea este un subiect vast şi ocupă o multitudine de imperfecţiuni. Majoritatea problemelor de
securitate sunt cauzate intenţionat de persoane răuvoitoare care încearcă să obţină beneficii, să culeagă
informaţii dar şi să provoace rău.

Capitolul I
Vulnerabilitatea reţelelor

O reţea de calculatoare este o structură deschisă la care se pot conecta permanent noi utilizatori
şi noi tipuri de echipamente (terminale, calculatoare) ceea ce lgrgeşte necontenit cercul de utilizatori care
au acces la resursele acesteia (programe, fişiere, baze de date). Vulnerabilitatea se manifestă pe două
planuri: atacul la integritatea fizică a informaţiilor (distrugere, modificare) şi folosirea neautorizată a
informaţiilor (scurgerea de informaţii). Referitor la securitatea în informatică trebuie avute în vedere
două aspecte:
1. Integritatea resurselor unei reţele, adică disponibilitatea lor indiferent de defectele de
funcţionare hard sau soft care pot apărea, inclusiv detriorările sau sustragerile răuvoitoare.
2. Caracterul privat ai informaţiei, adică dreptul individual de a dispune ce informaţie poate fi
stocată şi vehiculată în reţea şi cine are dreptul să o accesze.
O reţea sigură este acea reţea în ale cărui componenete (resurse, operaţii) se poate avea încredere,
adică furnizează servicii de calitate şi corecte, conform cerinţelor şi specificaţiilor. Securitatea şi
caracterul privat trebuie să fie obiectul unor analize atente şi responsabile din nurmătoarele motive:
- reţelele sunt sisteme mari sau foarte mari, de arie şi complexitate considerabile. Penetrarea reţelelor şi
atacurile răuviotoare se pot face în multe locuri şi modalităţi nebănuite, greu depistabile.

2
- informaţia este vulnerabilă la atac în orice punct al reţelei, de la introducere sa până la utilizatorul final.
- reţelele de calculatoare sunt o componentă tot mai prezentă în viaţa economică, socială, individuală, de
funcţionarea lor corectă depinzând activitatea guvernamentală, comercială, industrială şi chiar
individuală.
- tot mai multe informaţii memorate în fişiere separate pot fi corelate, sinteizate, prelucrate prin
intermediul reţelelor sporind posibilele consecinţele nefaste asupra caracterului privat al acesora.

I.1 Categorii de atacuri asupra reţelelor

În afara cazurilor de forţă majoră produse de calamităţi naturale, dezastre, căderi de echipamente etc
pentru care măsurile de securitate pervăd salvări şi copii de rezervă, dublarea echipamentelor, tehnici de
autoresabilire etc. în cazul atacurilor voite se disting două categorii principale:
- atacuri pasive;
- atacuri active.
Atacurile pasive sunt acele atacuri în care intrusul observă informaţia care trece prin canal, fără să
interfereze cu fluxul sau conţinutul mesajelor. Se face doar analiza traficului, descoperirea identităţii
entităţilor care comunică, descoperă lungimea şi frecvenţa mesajelor chiar dacă conţinutul acestora
rămâne ascuns. Aceste atacuri nu cauzeauză pagube şi nu încalcă regulule de confidenţialitate. Scopul
lor este de a asculta datele care sunt vehiculate prin reţea.
Atacurile active sunt acelea în care intrusul dse angajează în furtul mesajelor, modificarea lor, ştergerea,
rularea, schimbarea conţinutuli sau a adreselor, redirecţionarea, substituirea, refuzul unui serviciu,
repudierea etc. Acestea sunt serioase, cauzează perjudicii mari şi consecinţe juridice. Tot în categoria
atacurilor active intră şi programele create cu scop distructiv care afectează serios, uneori catastrofal,
securitatea calculatoarelor şi a informaţiilor. În această categorie intră: viruşii, bombele logice, viermii,
trapele, programele tip cal troian, etc.

I.2 Nivele, principii, politici şi mecanisme de securitate

Modelul de securitate în reţele prevede protecţia pe mai multe nivele care înconjoară obiectul
protejat.
Un prim nivel necesar este securitatea fizică care constă, în general, încuierea echipamentelor,
plasare a lor în camere speciale ferite de foc, intemperii, distrugere fizică fie intenţionată fie nu. Este o
măsură aplicabilă tuturor sistemelor de calcul dar mai puţin posibilă în cazul reţelelor, mai ales cele de
arie medie sau mare.
Celălalt nivel se referă la securitatea logică şi cuprinde acele metode de cvontrol a accesului la
resursele şi serviciile sistemului.

3
 Au fost stabilite şi unanim acceptate linii directoare şi principii privind securitatea sistemelor
informatice care trebuiesc respectate de către toate entităţile care produc, livrează, instalează şi
exploatează sisteme informatice.
1. Principiul resonsabilităţii care impune stabilirea clară a responsabilităţilor referitoare le
securitate pe catre le au priprietarii, furnizotrii, madministratirii şi utilizatorii sistemelor
infirmatice.
2. Principiul sensibilizării conform căruia toate persoanele interesate asupra acestui aspect
trebuie corect ţi oportun informate.
3. Principiul eticii care impune elaborarea unor reguli de conduită în utilizarea SI.
4. Principiul pluridisciplinarităţii conform căruia metodele tehnice şi organoizartorice care
trebuie luate în vederea securităţii SI au caracter multidiscilpilinar şi cooperant.
5. Principiul proporţionalităţii care cere ca nivelul de securitate şi măsurile de protecţie să fie
proporţional cu importanţa informaţiilor gestionate.
6. Principiul integrării conform căruia securitatea este necesară în toate stadiile de prelucrare
a informaţiilor (creare, colectare, prelucrare, sztocare, transport, ştergere, etc.).
7. Principiul oportunităţii conform căruia mecanismele de securitate să răspundă prompt şi să
permită o colaborare rapidă şi eficientă în caz de detectare a tentatuvelor de corupere a
mecanismelor de securitate.
8. Principiul reevaluării, care cere revizuirea periodică a cerinţelor de securitae şi a
mecaniismelor de implementare a lor.
9. Principiul democraţiei, conform căruia cerinşele de protecţie şi securitate să nu limiteze
nejustificat libera circulaţie a informaţiilor, conform principiilor care guvernează societăţile
democratice.
Măsurile de securitate care trebuie luate se pot clasifica în :
- Procedurale (utilizare de parole cu schimbarea lor periodică, instruirea personalului,
- Logice (criptare, control acces, ascundere informaţii)
- Fizice (blocare acces, camere speciale, ecranare electromagnetică, etc.).

Fiecare organizaţie care gestionează informaţii sensibile (vulnerabile) trebuie să-şi definească o
politică de securitate care trebuie să găsească soluţii următoarelor probleme :
- ce ameninţări există, de ce natură sunt, care se pot elimina şi care nu;
- ce resurse pot fi protejate şi la ce nivel;
- cu ce mijloace se poate asigura securitatea
- ce costuri introducerea, menţinerea şi actualizarea mecanismelor de securitate.
Politica de securitate se implementează prin servicii de securitate au ca scop reducerea
vulnerabilităţii informaţiilor şi resurselor care poate duce la pierderea acestora, deteriorarea sau ajungerea
acestora în posesia unor persoane neaurtorizate. Fiecare serviciu de securitate se poate implementa prin
unul sau mai multe mecanisme de securitate, care, la rândul lor, cuprind o serie de activităţi.
Arhitectura de securitate specifică sistemelor deschise interconectate cuprind 5 elemente majore :
- Definirea serviciilor de securitate ;
- Definirea mecanismelor de securitate ;
- Descrierea principiile de securitate pe nivele;
4
 - Implementatea serviciilor de securitate pe nivele ;
- Realizarea mecanismelor de securitate prin folosirea serviciilor de securitate

Serviciile de securitate definite de ISPO sunt: autentificarea, confidenţialitatea, controilul accesului,

intergritatea şi nerepudierea.

Mecanismele de securitate sunt folosite individual sau colectiv pentru construirea serviciilor de
securitate.
1. Criptarea transformă datele de la entitatea sursă într-o manieră unică astfel încât să nu poată
fi cunoscută semnificaţia lor decât în urma unei transformări inverse pereche, numită
decriptare. Este folosită în special pentru implementarea serviciului de confidenţialitate.
2. Semnătura digitală dă siguranţa că datele furnizate au fost produse chiar de către semnatar.
Mecanismul este folosit de către serviciul de integritate şi nonrepudiere. La rândul său se
bazează pe două proceduri:
- procedura semnării unui bloc de date
- procedura verificării semnăturii
3. Controlul accesului la resursele din Internet presupune recunoaşterea identităţii solicitantului
în baza unei înregistrări prealabile şi posibilitatea validării sau invalidării cererii. Tentativele
de acces neautorizat trebuie semnalale prin diverse modalităţi. Ca tehnici de control a
accesului se pot folosi : liste de acces, parole, etichete de securitate, limitarea timpului de
acces, limitarea numărului de încercări de acces, calea de acces etc.
4. Autentificarea permite identificarea reciprocă a entităţilor corespondente.
5. Notarizarea presupune folosirtea unei a treia entităţi numită notar, în care toate părţile au
incredere deplină, care oferă garanţie pruivind originea, destinaţia, integritatea şi
confidenţialitatea informaţiilor.
Ştiinţa şi arta care se ocupă cu studiul ştiinţific şi metodic al criptării mesajelor este criptologia.
Ea cuprinde două laturi: criptografia şi criptanaliza. Prima se ocupă de metodele, tehnicile şi
procedurile de criptare a mesajelor, de teoria codurilor şi a cheilor de criptare iar a doua de posibilităţile
de decriptare, de descoperire a textului clar dintr-unul cifrat, de spargere a codurilor.
Criptologia a fost studită şi utilizată de foarte multă vreme dar performanţele cele mai mari în domeniu
au apărut după dezvoltarea sistemelor de calcul numeric puternice.
Termenul de criptografie provine din limba greacă însemnând scriere secretă. În lumea specialiştilor se
face deosebire între cod şi cifru. Un cod înlocuieşte un cuvânt cu un alt cuvânt, pe când un cifru este o
transformare caracter cu caracter sau bit cu bit a mesajului. În prezent tehnicile de secretizare prin
codare sunt foarte puţin folosite, fiind înlocuite prin tehnici de cifrare mult mai performante. În
principiu, cifrarea transformă mesajului clar într-unul cifrat prin aplicarea unei funcţii parametrizate de
o cheie, astfel încât semnificaţia mesajului să fie ascunsă iar descifrarea să nu fie posibilă fără a poseda
cheia corespunzuătoare. Din punct de vedere al cheii de cifrare, algoritmii se împart în ndouă clase:
- algoritmi cu chei secrete (DES, AES-Advanced Encryption Standard);
- algoritmi cu chei publice (RAS)

5
 Capitolul II
Securitatea în Internet

Securitatea în Internet se poate realiza pe mai multe nivele şi subnivele, individual sau combinat
pentru a realiza un grad de protecţie cerut.

Securitatea la nivel fizic

Serviciile de securitate la nivel fizic asigură o protecţie punct la punct pe canalul fizic de legătură,
între entităţile care comunică, fie că sunt sisteme finale, fie intermediare. Avantajul major al securităţii
pe acest nivel este independenţa de protocoalele implementate pe nivelele suprerioare. Dezavantajul
constă în dependenţa de tehnologia de comunicaţie folosită la nivel fizic (tipuri de interfeţe, rate de
transmisie, probleme de sincronizare etc.). Aici se realizează de regulă confidenţialitatea traficului şi
securizarea circuitului orientat pe conexiune.

Securitatea la nivel legătură de date

Serviciile de securitate la nivel legătură de date sunt tot de tipul punct la punct. Nivelul de
securitate este încă redus, determinat în nprincipal de facilităţile de detecţie şi eventual corecţie a
erorilor., de secvenţiete a transmisiei funcţie de caracteristcile canalului. Criptarea la nivel 2 nu este
recomandată deoarece oferă multă informaţie unui adversar care interceptează pachete, câmpurile de
control fiind în clar. Principalul dezavantaj al criptării la acest nivel este că datele sunt memorate în clar
în fiecare nod intermediar şi oferă facilităţi de atac multiple răuvoitorilor.
Serviciile de securitate la nivel reţea pot fi realizate atât între sistemele finale cât şi intre sisteme
finale şi rutere sau între două rutere. De la acest nivel ele încep să devină dependente de protocoalele
folosite pe nivelele superioare. Este posibilă securizarea unei anumite rute din reţea (de exemplu criptarea
datelor de pe acea rută şi transmisia în clar pe alte rute). Unele pachete care trec printr-un nod intermediar
(ruter) sunt criptate, altele nu, în funcţie de rută. Antetul de nivel reţea al pachetelor nu este criptat, ceea
ce face ca să se asigure numai integritatea şi confidenţialitatea datelor transmise, nu şi a traficului.
Serviciile de securitate la nivel transport
Nivelul transport oferă mai multe servicii de securitate şi mai complete: confidenţialitatea
(orientată sau nu pe conexiune), integritatea, autentificarea originii datelor, autentificarea entităţilor
pereche, controlul accesului. Deoarece nivelul transport asigură servucii dew transter de date între sursă
şi destinaţie, adicţ între utilizatori finali, şi serviciile de securitate au acelaşi caracter.
Nivelele sesiune şi prezentare nu au referiri privitoare la implementarea de servicii de securitate,
deşi confidenţialitatea prin criptare sau altele (autentificarea etc.) pot fi evident realizabile.
Nivelul aplicaţie asigură implementarea tuturor serviciilor de securitate, ba mai mult chiar, unele,
de exemplu, nerepudierea mesajelor poate fi realizată numai la acest nivel. Avantajul major al asigurării
securităţii la acest nivel este independenţa de sistemele de operare şi de protocoalele utilizate pe nivelele

6
inferioare. În schimb, trebuie menţionat că la acest nivel securitatea este dependentă de aplicaţie (trebuie
implementată individual pentru fiecare aplicaţie).
Aplicaţiile de bază ale Internetului (FTP, SMTP, TELNET, HTTP, DNS, POP, WWW etc.)
rulează pe servere, ele reprezentând acdevărate porţi prin care utilizatorii din lumea exterioară pot accesa
informaţii de pe un calculator privat. Fiecare server trebuie să aibă următoarele facilităţi:
 Să determine ce informaţie sau acţiune este serută de client;
 Să decidă dacă aceste are dreptul să acceseze informsaţia, utilizând eventual un procedură de
autentificare (persoană sau program);
 Să transfere informaţia cerută sau să execute programul cerut.

Protecţia serverelor se poate face prin mai multe măsuri cum ar fi:
 Autentificarea sigură a clienţilor prin parolee sau protocoale criptografice (cum ar fi
Kerberos);folosirea unui firewall care să separe reţeaua internă de lumea exterioară;
 Separarea fizică a reţelei interne de cea externă. Accesul la reţeaua externă (Internet, WWW, etc.)
se face prin staţii separate.
 Crearea unei reţele separate pentru datele confidenţiale;
 Dezactivarea tuturor serviciilor inutile şi protejarea lor prin programe de tip wrapper.

Capitolul III
Tehnici de securitate în reţele

III.1 Servere de autentificare Kerberos

Kerberos este la ora actuală cel mai puternic şi mai folosit serviciu de autentificare din lume. El
permite utilizatorilor să comunice în reţea pentru a-şi dezvălui identitatea şi pentru a se autentifica în
timp real, într-un mediu distribuit nesecurizat. Este un serviciu de autentificare şi nu de autorizare, în
care parolele sunt folosite derept chei şi nu sunt niciodată transmise în clar prin reţea.
Kerberos este folosit de protocoalele de nivel aplicaţie (ftp, telnet etc.) pentru a asigura securitatea
comunicaţiilor cu gazda. El are două obiective principale: autentificarea şi distribuţia cheilor şi
furnizează următoarele servicii:
- autentificarea mutuală şi comunicaţie sigură între două entităţi ale unei reţele deschise;
- distribuie chei secrete oferind macanisme pentru transferul siugur al acestora prin reţea;
- indentificarea sigură a utilizatorilor individuali care apelează servicii de pe calculatoarele
gazdă.
Kerberos este utilizat în SUA, o variantă similară dezvoltată în Europa, compatibilă cu acesta este
SESAME.

7
 Protocolul de autentificare Kerberos foloseşte o a treia entitate (terţ de încredere) care furnizează
tichete de identificare şi chei criptografice către utilizatori sau aplicaţii. Un tichet este un bloc de câteva
sute de octeţi care poate fi folosit în aproape orice protocol de reţea.
Protocolul Kerberos conţine următoarele entităţi:
- Serverul de autentificare Kerberos
- Entitatea de acordare a tichetului
- Clientul C care trebuie autentificat pentru a i se acorda acces la serviciul furnizat de serverul
S
- Serverul S la care cere acces din partea clientului.

Server Server de Server

tichete (ST)
Kerberos (S)
2 4 5
3
6
1
Client

(C)
Fig. 7.1 Protocolul der autentificare Kerberos

III.2 Standardul de poştă electronică cu facilităţi de securitate (PEM)

Poşta electronică este unul dentre cele mai răspândite servicii pe Internet folosit de milioane de
utilizatori. Ca urmare au fost dezvoltate aplicaţii de securitate specifice acestui serviciu cum ar fi PEM
PrivacyEnhanced Mail care oferă următoareler facilităţi:
- confidenţialitatea (secretizarea) mesajelor;
- autentificarea originii mesajelor
- integritatea legăturii în reţea
- nerepudiarea legăturii prin dovedirea originii.
Confidenţialitatea protejează conţinutul mesajelor împotriva citirii lor neautorizate de către alte
persoane decât cele autorizate specificate de emitent. Accesul nedorit la mesaje se poate face fie prin
inteceptatrea comunicaţiei din linia de transmisie, fie prin accesul la cutia poştală care de fapt este o
locaţie pe un hard disk sau un alt mijloc de stocare. În aceste sitiaţii protecţia se face prin criptarea
mesajelor.
Autentificarea originii mesajelor permite receptorului unui mesaj prin poştă electronică să
determine în mod sigur identitatea emiţătorului. Este un serviciu foarte necesar asigurării credibilităţii
poştei electronice atât de răspândită şi de utilă în prezent.

8
 Integritatea legăturii furnizează receptorului siguranţa că mesajul primit este identic cu cel emis
la origine, că nu a fort înlocuit pe traseu cu altul sau nu a fost modificat chiar şi parţial. De regulă,
autentificarea şi integritatea sunt servicii care se folosesc împreună.
Nerepudierea mesajelor împiedică transmiţătorul să nu recunoască faptul că el şi numai el a
transmis mesajul în discuţie chiar dacă el a trecut şi prin intermediari. Utilitatea serviciului de nerepudiere
este evidentă în situaţia transmiterii unor ordine, decizii, dispoziţii etc. cu caracter imperativ si care pot
genera consecinţe majore unele chiar cu caracter juridic.
Implementarea serviciilor de securitate în conformitate cu standardul PEM se poate face peste
infrastructura de poştă electronică existentă. Există două variante de integrare:
1) cu includerea funcţiilor de securitate în nagentul utilizator (UA) cu avantajul obţinerii unei
interfeţe mai bune cu utilizatorul.
2) fără modificare agentului utilizator prin realizarea unui filtru de securizare a mesajelor în
exteriorul UA.

Pentru a putea asigura serviciile de securitate, PEM foloseşte o varietate de algoritmi criptografici
necesari cifrării mesajelor, distribuirii cheilor, verificării integrităţii mesajelor sau autentificării. PEM
foloseşte sisteme simetrice şi nesimetrice pentru cifrarea mesajelor, integritate şi autentificare. În cazul
sistemelor simetrice cheia de cifrare este identică cu cea de descifrare şi ca urmare ele trebuie să fie
secrete şi distribuite utilizatorilor pe canale sigure, pe baza unui sistem de management al cheilor.
Prelucrarea uneu scrisori PEM se face după un algoritm prezentat în [VVP]. O scrisoare este
formată din 2 zone : antetul mesajului şi conţinutul mesajului. Datele din antet trec de regulă
nemodificate prin prelucrările PEM. Conţinutul scrisorii care face obiectul prelucrării este încadrat de
unul sau mai multe antete PEM /delimitatori PEM care implemetează serviciile de securitate folosite.
Paşii în care se face prelucrarea PEM sunt de regulă următorii:
1) Aducerea la forma canonică, adică o formă standard specifică reţelei. Tipul de canonizare
este specificat în câmpul Content Domain din antetul PEM.
2) Calculul valorii de integritate a mesajului (MIC- Message Integrity Code)
3) Cifrarea (opţională) dacă se consideră necesară se face o singură datră indiferent de câţi
destinatari îl vor primi, folosind o tehnică de criptare acceptată, fără a fi impusă una anume.
4) Codificarea în vederea transmisiei arew rolul de a converti mesajele de tip MIC ONLY şi
ENCRIPTED care sunt şirui oarecare de biţi în caractere care pot fi transmise în sistemele
de transport al mesajelor.

III.3 PGP (Pretty Good Privacy)

Este un pachet de programme destinat poştei electronice şi a fişierelor proprii prin cifrare clasică
cu chei publice care poate funcţiona pe diferite platforme (Windows, UNIX, etrc.). PGP poate asigura
următoarele facilitîţi :
- criptarea fişierelor folosind algoritmi simetrici sau nesimetrici ;
- creerea de chei publice sau secrete folosite la criptare;
- gestionarea cheilor prin crearea şi întreţinerea unei baze de date destinate acestui scop ;

9
 - transmiterea şi recepţionarea de mesaje criptate prin e-mail ;
- folosirea semnăturilor digitale ;
- certificarea cheilor (semnarea electronică a cheilor) ;
- revocarea, dezactivarea şi custodia cheilor cu posibilitatea dezactivării, revocării şi schimbării
lor în caz de atac ctiptografic;
- configurarea după necesităţi a PGP-ului;
- folosirea server-elor de chei de pe Internet.

Capitolul IV Securitatea prin firewall

Un firewal (zid de protecţie, perete antifoc) este un sistem de protecţie plasat înter două reţele care are
următoarele proprietăţi :
- obligă tot traficul dintre cele două reţele să treacă prin el şi numai prin el, pentru ambele
sensuri de transmisie ;
- filtrează traficul şi permite trecerea doar a celui autorizat prin politica de securitate ;
- este el însuşi rezistent la încercările de penetrare, ocolire, spagere exercitate de diverşi.

Un firewall nu este un simplu ruter sau calculator care asigură securitatea unei reţele. El impune o politică
de securitate, de control a accesului, de autentificare a clienţilor, de configurare a reţelei. El protejează
o reţea sigură din punct de vedere al securităţii de o reşţea nesigură, în care nu putem avea încredere.

Firewall
Trafic
Reţea autorizat
protejată Internet

Fig. 7.2 Dispunerea unui firewall

Fiind dispus la intersecţia a două reţele, un firewall poate fi folosit şi pentru alte scopuri dcât controlul
accesului :
- pentru monitorizarea comunicaţiilor dintre reţeaua internă şi cea externă (servicii folosite,
volum de trafic, frecvenţa accesării, distribuţia în timp de etc.);
- pentru interceptarea şi înregistrarea tuturor comunicaţiilor dintre cele două reţele ;
- pentru criptare în reţele virtuale.

10
 IV.1 Avantajele unui firewall

Într-un mediu fără firewall securitatea reţelei se bazează exclusiv pe securitatea calculatoarelor gazdă
care trebuie să coopereze pentru realizarea unui nivel corespunzător de securitate. Cu cât reţeaua este
mai mare, cu atât este mai greu de asigurat securitatea fiecărui calculator. Folosirea unui firewall asigură
câteva avantaje :
1) Protecţia serviciilor vulnerabile prin filtrarea (blocarea) acelora care în mod obişnuit sunt
inerent mai expuse. De exemplu un firewall poate bloca intrarea sau ieşirea dintr-o reţea protejată
a unor servicii expuse cum ar fi NFS, NIS etc. De asemenea mecanismul de dirijare a pachetelor
din Internet poate fi folosit pentru rutarea traficului către destinaţiii compromise. Prin intermediul
ICMP firewall-ul poate rejecta aceste pachete şi informa administratorul de reţea despre incident.
2) Impunerea unei politici a accesului în reţea deoarece un firewall poate controla accesul într-
o reţea privată. Unele calculatoare pot făcute accesibile dei exterior şi altele nu. De exemplu,
serviciile de poştă electronică şi cele informaţionele pot fi accesibile numai pe unele calculatoare
din reţeaua internă protejându-le pe celelalte de expuneri la atacuri.
3) Concentrarea securităţii pe firewall reduce mult costurile acestei faţă de cazul în care ar fi
distribuită pe fiecare staţie. Folosirea altor soluţii cum ar fi Kerberos, implică modificări la fiecare
sistem gazdă, ceea ce este mai greu de implementat şi mai costisitor.
4) Întărirea caracterului privat al informaţiei care circulă prin reţea. În mod normal o informaţie
considerată pe bună dreptate nesenzitivă (navigarea pe Web, citirea poştei electronice etc.) poate
aduce atacatorilor informaţii dorite despre utilizatori : cât de des şi la ce ore este folosit un sistem,
dacă s-a citit poşta electronică, site-urile cele mai vizitate etc. Asemenea iformaţii sunt furnizate
de serviciul finger, altfel un serviciu util în Internet. Folosirea unui firewall poate bloca asemenea
servicii cum ar fi finger, DNS etc. Blocarea ieşirii în exterior a informaţiei DNS referitoare la
sistemele gazdă interne, numele şi adresele IP, ascunde informaţie foarte căutată de atacatori.
5) Monitorizarea şi realizarea de statistici privind folosirea reţelei sunt mult uşurate dacă întregul
trafic spre şi dinspre Internet se face printr-un singur punct (firewall).

IV.2 Dezavantajele unui firewall

Folosirea unui firewall are şi unele limitări şi dejavantaje, inclusiv unele probleme de securitate pe care
nu le poate rezolva.
1. Restricţionarea accesului la unele servicii considerate vulnarabile care sunt des solicitate de
utişlizatori : FTP, telnet, http, NSf etc. Uneori politica de securitate poate impune chiar blocarea
totală a acestora.
2. Posibilitatea existenţei “unor uşi secrete” Un firewall nu poate proteja împotriva unor trape
care pot apărea în reţea, de exemplşu accesul prin modem la unele cailculatoare gazdă. Folosirea
modemuri de viteză mare pe o conexiune PPP sau SLIP deschide o “uşă” neprotejabilă prin
firewall.
3. Firewall-ul nu asigură protecţie faţă de atacurile venite din interior. Scurgerea de informaţii,
atacurile cu viruşi, distrugerea intenţionată din interiorul reţelei nu pot fi protejate de firewall.
4. Reducerea vitezei de comunicaţie cu exteriorul (congestia traficului) este o problemă majoră
a unui firewall. Ea poate fi depăşită prin alegerea unor magistrale de mare viteză la interfaţa
acestuia cu reţeaua internă şi cea externă.

11
 5. Fiabilitatea reţelei poate fi redusă dacă şi chiar dezastruoasă dacă sistemul firewall nu este fiabil.
Comparând avantajele şi limitările securităţii prin firewall se poate concluziona că protejarea
resurselor unei reţele este bine să se facă atât prin sisteme firewall cât şi prin alte meeanisme şi
sisteme de securitate.

IV.3 Componentele unui firewall

Componentele fundamentale ale unui firewall sunt :

- politica de control a acesului la servicii ;
- mecanismele de autentificare ;
- filtrarea pachetelor;
- serviciile proxy şi porţile de nivel aplicaţie.

Politica de control a acesului la servicii defineşte în mod explicit acele servicii care sunt permise şi carte
sunt refuzate, precum şi cazurile de exepţii şi condiţiile în care pot fi acceptate. O politică realistă trebuie
să asigure un echilibru între protejarea reţelei faţă de anumite riscuri cunoscute şi asigurarea accesului
utilizatorilor la resurse. Mai întâi se defineşte politica de acces la serviciile reţelei, ca politică de nivel
înalt, după care se defioneţte politica de proiectare a firewall-ului ca politică subsidiară. Se pot
implementa diverse politici de acces la servicii :
- interzicerea accesului din Internet la reţeaua proprie şi accesul invers, din reţea spre
Internet;
- accesul din Internet dar numai spre anumite staţii din reţeaua proprie, cum ar fi serverele
de informaţii, serverele de e-mail ;
- accesul din internet spre anumite sisteme locale dar numai în situaţii speciale ţi numai
după autentificare reciprocă.

Politica de proiectare a firewall-ului se bazează pe două sub-politici :

1. ceea ce nu este interzis în mod explicit este permis
2. ceea ce nu este permis în mod explicit este interzis.
Prima subpolitică este mai puţin oportună deoarece oferă posibiulităţi de a ocoli sistemul de securitate
prin firewall. Pot apărea servicii noi, necunoscute, se pot folosi porturi TCP/UDP nestandard etc.
Eficienţa unui sistem firewall de protecţie a unei reţele depinde de de politica de acces la servicii, de
politica de proiectare a firewall-ului şi de arhitectura acestuia.

IV.4 Implementarea securităţii prin firewall

Implementarea securităţii pritr-un sistem firewall se poate face respecând următorii paşi:

12
 - Definirea politicii de securitate prin firewall
- Definirea cerinţelor de funcţionare şi securitate peri firewall
- Procurarea unui firewall
- Administrarea unui firewall.

Politica de securitate prin firewall are două niveluri de abordare: politica de acces la servicii şi politica
de proiectare a firewall-ului. Gradul de îndeplinire a securităţii pe cele două nivele depinde în mare
măsură de arhitectura sistemului firewall. Pentru a defini o politică de proiectare a firewall-ului, trebuie
examinate şi documentate următoarele:
 Ce servicii urmează a fi folosite în mod curent şi ocazional
 Cum şi unde vor fi folosite (local, la distanţă, prin Internet, de la domicilui)
 Care este gradul de sensibilitate al informaţiei, locul unde se află şi ce persoane au acces au
‚acces ocazional sau curent
 Care sunt riscurile asociate cu furnizarea accesului la aceste informaţii
 Care este costul asigurării protecţiei

În vederea procurării componenetelor soft şi hard ale unui sistem firewall, trebuie definite cât se poate
de concret cerinţele de funcţionalitate şi de securitate ale acestuia. Pentru aceasta este recomandabil să
se ţină seama de următoarele aspecte:
 În ce măsură poate fi suportată o politică de securitate impusă de organizaţie şi nu de sistem în
sine
 Flexibilitatea, gradul de adaptabilitate la nio servicii sau ceinţe determinate de schimbările în
politica de securitate
 Să conţină mecanisme avansate de autentificare sau posibilităţi de instalare a acestora
 Să foloseească tehnici de filtrare de tip permitere/interzicere acces la sisteme, aplicaţii, servicii
 Regulile de filtrare să permitpă selectarea şi combinarea cât mai multor atribute (adrese, porturi,
protocoale)
 Pentru servicii ca TELNET, FTP etc să permită folosirea serviciului proxy individuale sau
comune
 Firewall-ul şi accesul public în reţea trebuie corelate astfel încât serverele informaţionale publice
să poată fi portejate de de firewall, dar să poată fi separate de celelalte sisteme de reţea care nu
furnizează acces public
 Posibilitatea ca firewall-ul şi sistemul de operare să poată fi actualizate periodic

IV.5 Filtrarea pachetelor

Un serviciu securitate foarte eficient relizabil prin firewall este filtrarea pachetelor. El permte sau
blochează trecerea unor anumite tipuri de pachete în funcţie de un sistem de reguli stabilite de
administratorul de securitate. De exemplu filtrarea pachetelor IP se poater face după diferite câmpuri din
antetul său: adresa IP a sursei, adresa IP a destinaţiei, tipul protocol (TCP sau UDP), portul sursă sau
portul destinaţie etc.

13
 Filtrarea se poate face într-o varietate de moduri: blocare conxiuni spre sau dinspre anumite
sisteme gazdă sau reţele, blocarea anumitor porturi etc.
Filtrarea de pachete se realizează, de obicei, la nivelul ruterelor. Multe rutere comerciale au
capacitatea de a filtra pachete pe baza câmpurilor din antet.
Următoarele servicii sunt înmod inerent vulnerabile şi de accea se recomandă blocarea lor la nivelul
firewall-ului:
 tftp (trivial file transfer protocol), portul 69folosit de obicei pentru secvenţa de boot a staţiilor
fără disc, a serverelor de terminale şi a ruterelor. Configurat incorect, el poate fi folosit pentru
citirea oricărui fişier din sistem;
 X Windows, porturile începând cu 6000. Prin intermediul serverelor X intruşii pot obţine
controlul asupra unui sistem gazdă;
 RPC (Remote Procedure Call), portul 111, inclusiv NIS şi NIF care pot fi folosite pentru a obţine
informaţii despre sistem, despre fişisrele stocate;
 Rolgin, rsh, rexec, porturile 513, 514, 512 servicii care configurate incorect pot pemite accesul
neautorizat la conturi şi comenzi de sistem.
Următoarele servicii sunt, în mod obişnuit, filtrazte şi restricţionate numai la acele sisteme care au
nevoie de ele:
a) Telnet, portul 23, restricţionat numai spre anumite sisteme;
b) Ftp, porturile 20 şi 21, restricţionat numai spre anumite siusteme;
c) SMTP, portul 25, restricţionat numai spre un server central de mail;
d) RIP, portul 25, care poate fi uşor înşelat şi determinat să redirecţioneze pachete;
e) DNS, portul 53, care poate furniza informaţii despre adrese, nume, foarte urmărit de atacatori;
f) UUCP (Unix to Unix CoPy), portul 540, care poate fi utilizat pentru acces neautorizat;
g) NNTP (Network Nwes Transfer Protocol), portul 119 pentru accesul la diferite ştiri din reţea;
h) http, (portul 80), restricţionat spre o poartă de ap0licaţii pe care rulează servicii proxy.

Nivelurile de filtrare a pachetelor corespund nivelelor din arhitectura OSI sau TCP/IP. Antetul
de reţea IP conţine patru câmpuri relevante pentru filtrarea pachetelor: cele două adrese, sursă şi
destinaţie, tipul de protocol de nivel transport şi câmpul de opţiuni IP. Opţiunea IP cea mai relevantă
pentru facilităţi de filtrare este dirijarea de la sursă (source routing). Ea permite edxpeditorului unui
pachet să specifice ruta pe care acesta o va urma spre destinaţie. Scopul său este de a nu trimite pachete
în zone în care tabelele de dirijare ale pachetelor sunt incorecte sau ruterele sunt defecte.
Antetul de nivel transport conţine câmpurile port sursă şi destinaţie şi câmpul de indicatori (flag-
uri). TCP fiind un protocol orientat pe conexiune, înaintea transferului de pachete se sabileşte ruta prin
intermediul unui pachet de setare care are câmpul ACK de un bit setat pe 0. Bitul ACK este foarte
important din punct de verdrere al filtrării. Dacă se doreţte blocarea unei conexiunu TCP este sufuicient
a se bloca primul pachet identificat prin valoarea 0 a câmpului ACK. Chiar dacă următoarele pachete cu
ACK =1 corespunzătoare aceleiaşi conexiuni vor trece prin filtru , ele nu vor fi asamblate la destinaţie
din cauza lipsei informaţiilor despre conexiune, informaţii conţinute în primul pachet. Practic,
conexiunea nu va fi realizată. Pe baza acestei particularităţi se poate impune o politică de securitate care
permite clienţilor din interior să se conecteze în exterior la servere externe, dar nu permite clienţilor
externi să se conecteze în interior (la servere interne).

14
 În filtrarea UDP sunt posibile mai multe abordări:
- interzicerera tuturor pachetelor UDP;
- permiterea conexiunilor la anumite porturi UDP standard, considerate mai puţin
periculoase;
- se poate seta ruterul ca să monitorizeze pachetele care pleacă din interior spre exterior
astfel ca ele să fie răspuns pachetele (cererile) memorate (filtrare dinamică).

Reguli de filtrare a pachetelor

Filtrarea pechetelor se face după reguli care fac parte din configurarea ruterului şi care pot fi reguli
explicite sau implicite. De exemplu, interzicerea a tot ce nu este permis în mod explicit este o interzicere
implicită. Regula filtrătrii implicite este mai bună din punct de vedere al securităţii deoarece ne asigură
că în afara cazurilor pe care le dorim să treacă, celelalte sunt filtrate, deci sunt eviitate situaţii neprevăzute
de acces. Regulile fac parte din configuraţia ruterului. Pentru a decide trimiterea sau blocarea unui pachet,
regulule sunt parcurse pe rând, până se găseşte o concordanţă şi se conformeză acesteia. Dacă nu se
găseşte o asemenea concordanţă, pachetului i se aplică regula implicită. În cazul filtrării după adresă,
există următoarele riscuri:
1. simpla filtrare nu poate fi sigură deoarece adresa sursă poate fi falsificată. Un răuvoitor poate
simula că trimite pachete de la un utilizator de încredere. El nu va primi răspuns, dar simplul
acces în reţea poate reprezenta o ameninţare.
2. atacul de tip “omul din mijloc” în care un atacator de interpune pe calea dintre sursă şi destinaţie
şi interceptează pachetele venind din ambele sensuri. Evitarea unei asemenae situaţii se poate
face prin autentificare reciprocă folosind mecanisme criptografice avansate.
Filtrarea după serviciu este de fapt filtrarea dopă porturile sursă şi destinaţie. În UNIX porturile
privilegiate (01023) sunt ocupate doar de servere, nu de clienţi. Pe aestea ruleazî aplicaţii sau servicii
specifice superuser-ilor. Porturile mai mari de 1024 sunt filosite de clienţi şi se pot aloca în mod aleator.

Procurarea unui firewall

Există două variante de procurare a unui firewall: realizare proprie sau de pe Internet variante libere şi
cumpărarea unui produs profesional la cheie. Ambele au avantaje şi dezavantaje. Un firewall de firmă
este puternic, verificat şi oferă multe facilităţidar este mai scump. Unul construit pentru o anumită
organizaţie sau reţea permite ca specialiştii firmei să înţeleagă specificaţiile de proiectare şi de utilizure
a acestuia.
Înainte de a se lua decizia de procurare trebuie să se afle răspunsuri la intrebări de fgelul:
- cum se va verifica dacă produsul firewall respectă cerinţele funcţionale
- cum poate fi testat împotriva diverselor atacuri
- cine, cum şi cu ce mijloace va face întreţinerea, repararea, actualizarea sa
- cum şi cine va face instruirea utilizatorilor
- cun vor fi rezolvate eventuale incidente de securitate.

Un exemplu de produs firewall de firmă este TIS Firewall Toolkit (TIS FWTK) produs de firma
Trust Information System. El reprezintă un set de programe şi practici de configurare care pot fi folosite

15
pentru construirea de diverse tipuri de firewall. Componentele pot fi folosite fie independent, fie în
combinaţie cu componentele altor produse firewall. Produsul este conceput pentru sisteme UNIX
folosoind suita de protocoale TCP/IP printr-o interfaţă soket de tip Berkley.
Instalarea FWTK persupune o oarecare experienţă în administrarea sistemelor UNIX. Deoarece
conponentele sunt prezentate sub forma unor programe de cod sursă scrise în “C”, sunt necesare
cuno;tin’e referitoare la folosirea utilitatrului make.
FWTK are trei componente de bază:
- concepţii de proiectare
- practici de configurare şi strategii de verificare
- componente software.
Câteva dintre componentele soft sunt următoarele:
1. SMAP/SMAPT pentru serverul de poştă electronică. El ajută la implementarea serviciului SMTP.
SMAP acceptă mesaje venite din reţea pe care le scrie într-un director propriu fără a permite accesul la
restul sistemului de fişiere. Fişierele create în acest director sunt blocate până se încarcă în intregime.
Ulterior se deblochează şi permite smapd-ului să acţioneze asupra sa. Smapd-ul este un program care
inspectează coada, scoate fişierele şi le trimite destinatarului prin sendmail.
2. FTP-GW este un server proxy pentru ftp care poate efectua operaţii de tipul logare, interzicere,
autentificare etc. Pentru autentificare sunt recunoscute mai multe protocoale: SecurID produs de
Security Dynamics, SNK produs de Digital Patways, Silver Card etc.
3. TELNET-GW este un server proxy pentru telnet folosit la conectarea utilitzatorului la sistem.
4. PLUG-GW este un server proxy generic care suportă o gamă restrânsă de protocoale şi utilizatori.
El examinează adresa de la care s-a iniţiat conexiunea şi portul pe care a primit-o şi crtează o nouă
conexiune la un alt sistem gazdă pe acelaşi port.

Capitolul V
Mecanismele de autentificare avansate

Cartelele inteligente, jetoanele de autentificare, tehnicile biometrice, sunt din ce în ce mai folosite
în locul parolelor pentru autentificarea entităţilor care auu acces la informaţii vehiculate sau stocate în
reţele. Deoarece firewall-ul este locul fizic care concentrează accesul într-o reţea, acesta este , în mod
loigic, şi locul în care se află hardwer-ul şi software-ul pentru autentificare.
Printre macanismele avansate de autentificare de actualitate sunt parolele de unică folosionţă şi
cartelele inteligente.
Sistemele cu parolele de unică folosinţă conţin o tabelă de parole în care se intră la fiecare cerere de
acces la resursele de reţea, se validează individual intrarea în tabel iar parolele se generează individual pe
baza unui algoritm.
Cartelele inteligente se bazează pe mecanismul numit “răspuns la provocare” care funcţionează
astfel :

16
- utilizatorul introduce un nume de logare
- sistemul generează un număr aleator (porvocare) şi îl trimite utilizatorului
- utilizatorul criptează acest număr cu o cheie cunoscută de sistem ţi trimite rezultatul
- sistemul criptează şi el acel număr aleator cu aceeaşi cheie şi compară rezultatele. În caz
de coincidenţă solicitantul este acceptat în sistem.

BIBLIOGRAFIE

1. https://www.google.ro
2. https://ro.wikipedia.org/wiki/Internet
3. https://tehnologiainformatiei.weebly.com
4. https://ro.wikipedia.org/wiki/Internet
5. https://www.finzoom.ro/articole/ghiduri/ce-este-internetul
6. https://www.anticariat.net/p/49197/Bazele-Informaticii-Leon-
Livovschi

17