Documente Academic
Documente Profesional
Documente Cultură
Informaţie
Figura 1.1,a
1
Protecția
informației
Figura 1.1, b
Informație protejată – informația, care este un obiect ce aparține unei sau a unui grup de
persoane care este necesar de a fi protejată conform actelor normative sau in corespundere cu
cerințele impuse de posesorul informației (statul, persoană juridică sau fizică, sau o grupă de
persoane, etc.).
Protecția informației – o activitate îndreptată spre prevenirea scurgerilor a informațiilor
protejate, acțiunilor neautorizate și neintenționate asupra informației protejate.
Protecția contra scurgerii a informației – o activitate îndreptată pentru prevenirea
răspândirii necontrolate a informației protejate in rezultatul divulgării ei, a accesului neautorizat,
si obținerea informației de către serviciile de informații străine.
Protecția contra acțiuni neautorizate asupra informației – o activitate îndreptată
pentru prevenirea acțiunii asupra informației protejate prin încălcarea drepturilor stabilite de
modificare a informației, ce aduce la distorsionarea ei, distrugerea (nimicirea), blocarea a
accesului la informație și de asemenea la pierderea, distrugerea sau distrugerea funcționarii a
purtătorului de informație.
Protecția contra acțiuni neintenționate asupra informației - o activitate îndreptată
pentru prevenirea acțiunii asupra a informației protejate de către utilizatorul a informației,
stoparea funcționării sau distrugerea a mijloacelor tehnice sau soft a sistemelor informaționale, a
cataclismelor naturale sau a altor acțiuni ne-vizate de modificare a informației, ce aduce la
distorsionarea, distrugerea sau stoparea funcționarii a purtătorului de informație.
Protecția informației contra divulgării - o activitate îndreptată pentru prevenirea
răspândirii a informației protejate pînă la utilizatori care nu au dreptul de acces la aceasta
informație.
Protecția informației contra accesului neautorizat - o activitate îndreptată pentru
prevenirea obținerii a informației protejate de către pârțile interesate cu încălcarea regulilor sau
cerințelor de acces la informație stabilite de lege sau de proprietar.
3
Urmările atacurilor asupra informației aduc la pierderi materiale (pierderi pe piață,
căderea reputației firmei, utilizarea informației de către concurenți, scade încrederea in
compania vulnerabilă).
Răufăcătorul caută migălos metode simple de spargere pe care elaboratorii l-ea scăpat din
vedere la etapa de elaborare a sistemelor de identificare si cifrare. În acest caz este in vigoare
regula - rezistența lanțului nu este mai mare de cit rezistența a pârții cei mai slabe.
Exemple:
2. În rețeaua Nowell Net Ware 3.11 serverul poate menține pină la 254 de stații de lucru.
Identificarea si autentificarea se efectuează numai după numărul stației. Astfel atacatorul
transmițînd 254 de pachete cu comanda spre server din numele a tuturor 254 de stații va obține
accesul.
4
3. Neștiind parola de criptare a datelor transmise prin rețea, dar avînd posibilitatea de a
urmări ce se intîmpla in sistemă după ce a fost transmis un bloc concret de date, atacatorul poate
iniția comenzi pe care sistemul a sa le îndeplinească.
Cel mai des se utilizează căutarea parolei după un vocabular sau prin atacul de forţă
bruta (verificarea pe rînd a tuturor combinațiilor de simboluri posibile). Acest atac da rezultate
in 60% de cazuri.
Verificarea parolelor instalate implicit de către producători.
Protecția: de alcătuit parola cu strictețe (fără date personale, de o anumită lungime), de
deconectat utilizatorii cere nu utilizează sistemul un timp anumit (concedii, deplasări, etc.). De
evitat cazurile cînd se scrie parola pe monitor, etc.
5
Atacatorul apelează administratorul din numele utilizatorului care un anumit timp n-a
accesat sistemul si cere sa i se comunice parola uitată. Aceasta procedură poate poate sa se
realizeze de atacator cu utilizatorul, dar numai din numele administratorului.
Citirea parolelor de pe purtătoarele de informație ce părăsesc teritoriul întreprinderii, de
exemplu la reparație.
Protecția: utilizarea criptării a parolelor si a informației.
Retea de telecomunicașii
a)
b)
Figura 3.1
6
1) În planul de management se formează și se corectează baza de date despre starea a
elementelor rețelei. Rezultatul final este formarea planului de distribuire a informației în rețea,
adică formarea tabelei de rutare pentru toate nodurile pentru fiecare serviciu de telecomunicație.
2) În planul de gestiune (stiva protocoalelor de semnalizare) se stabilește ruta între nodul sursă și
nodul de destinație în formă de canal virtual de comutat sau permanent. Rezultatul final fiind
popularea și ștergerea a tabelelor de rutare.
În urma acestui atac informația se distruge și devine inutilă pentru a fi utilizată, adică se
încalcă accesibilitatea a informației. Răufăcătorul poate ataca canalele de transmisiune, nodurile
de comutație, dispozitivele de gestiune (dirijare) și bazele de date, adică a ataca toate trei planuri
ierarhice.
Interceptarea informației.
Atacator
Modificarea informației.
Atacator
7
Falsificarea informației.
Atacator
Toate tipurile de atacuri analizate pot avea loc în toate trei planuri. Atacurile active în planul
de management conduc distorsionarea sau distrugerea a informației păstrate in bazele de date.
În rezultat se distrug tabelele de rutare și ca rezultat nu este posibilă funcționarea normală a
planurilor de gestiune și utilizator.
Pentru lansarea sau stoparea a unui serviciu anumit răspund agenții de securitate
(Sequirity Agent - SA). Ajustarea serviciilor de protecție între agenții de securitate se efectuează
prin canale protejate. Prin acestea canale se efectuează schimbul informației de protecție. În
figura 3.2 este prezentată o variantă generală a conexiunilor de protecție.
8
Comutator de NNI+Sec. UNI+Sec. Echipamentul
canale virtuale Rețea TLC terminal
SA Canal protejat SA
User
Canal pentru
transmisiunea a
UNI informației utilizator
Echipamentul
terminal
Spre alte
rețele
User
Figura 3.2.
Echipamentul terminal și agenții de securitate interacționează cu rețeaua prin interfețele UNI <->
Utlizator –rețea, UNI + Sec. <-> Utlizator –rețea + Protecție, NNI+Sec <-> Nod –rețea +
Protecție. Agentul de protecție care se afla în comutatorul de canale asigură protecția a tuturor
utilizatorilor, nodurilor și rețelelor care sînt conectate la comutator.
1
Cheia
Canal protejat
Algoritm de
Algoritm de criptare Canal neprotejat
decriptare
Utilizator 1 Utilizator 2
Utilizatorul 1 transmite mesajul in formă clara M=[m1, m2,…, ml], elementele mi a căruia este spațiul
mesajelor în text clar (simbolurile a unui alfabet finit). Pentru criptarea mesajului M se generează/prestabilește cheia
de criptare K=[k 1, k 2,…, k n], elementele k i a căruia este spațiul cheilor (simbolurile a unui mulțimi finite). Cu
ajutorul algoritmului de criptare Ek(M) (familia transformărilor de criptare) se generează mesajul criptat C=[c1,
c2,…, cr], elementele ci a căruia este spațiul mesajelor în text criptat. Transformarea de criptare se reprezintă prin
relația = ( ), care se înțelege ca: mesajul criptat C si obține prin aplicarea a algoritmului de criptare E k la mesajul în
text clar M utilizând cheia de criptare K.
Mesajul criptat C se transmite către utilizatorul 2 prin canalul neprotejat iar cheia K prin
canalul protejat. Mesajul criptat recepționat se decriptează cu ajutorul algoritmului de decriptare
Dk(C) (familia transformărilor de decriptare) și cheii recepționate K, adică: = ( ), mesajul decriptat M si obține prin aplicarea a algoritmului de
decriptare Dk la mesajul în text criptat C utilizând cheia de criptare K. Dk este inversia lui Ek, adică: Dk(Ek(M))=M, M {M}.
Nota:
cifrare - 1 Evaluare în cifre. 2 Aplicarea unui cifru pe un text
CRIPTÁRE, criptări, - Proces de codificare a informației astfel încât să poată fi înțeleasă doar
de persoanele autorizate.
Algoritmii de criptare pot fi clasificate după mai multe categorii. În continuare este
prezentată clasificarea lor.
- În dependență de prezență a cheii de criptare
1.1. Scriere secretă (nu se consideră algoritm de criptare)
1.2. Algoritmi de criptare cu cheie
1.2.1. Algoritmi simetrici (cheie privată)
1.2.2. Algoritmi asimetrici (cheie publică)
- În dependență de tipul transformării a datelor
2
2.1. Algoritmi de criptare prin transpoziție (permutare)
2.1.1. După numărul de aplicare a transpoziției
2.1.1.1. Transpoziția monofazică – se aplică o singură dată.
2.1.1.2. Transpoziția polifazică – se aplică mai multe ori.
2.1.2. După elementul unitate de transpoziție
2.1.2.1. Monografică – se transpune o singură literă (simbol).
2.1.2.2. Poligrafică – se transpune grupuri de litere (simboluri).
2.2. Algoritmi de criptare prin substituție
2.2.1. Substituții monoalfabetice – există o singură lege de corespondență între
literele alfabetului primar cele al alfabetului secundar.
2.2.2. Substituție omofonică – se înlocuiește fiecare caracter din alfabetul A cu un
caracter dintr-o mulțime f(A).
2.2.3. Substituție polialfabetică – se utilizează periodic substituții simple diferite
(mai multe alfabete).
2.2.4. Substituție poligramică – se realizează substituirea unor blocuri de caractere
(poligrame) din textul clar, distrugând astfel semnificația de frecvență a
diferitor caractere.
- În dependența de mărimea blocului de informație (mesaj)
3.1. Cifruri secvențiale – unitatea de criptare este un bit.
3.2. Cifruri bloc – unitatea de criptare este un bloc de baiți.
3
În continuare vom studia algoritmii de criptare ce fac parte din categoriile enumerate.
- altă modalitate este aceea prin care textul mesajului se scrie într-o matrice și se
parcurge matricea pe linii sau coloane dacă textul a fost scris pe coloane sau pe linii rezultând de
fiecare dată un text cifrat. De asemenea, se poate face parcurgerea textului și în diagonală sau în
zig zag, pornind dintr-unul din colțuri.
Folosim o matrice 4×5 pentru reprezentare și vom înlocui spațiile din text cu litera O.
4
Prin citirea pe coloană a textului, având în vedere că acesta a fost scris pe linie, va rezulta
mesajul:
Sau prin citirea în zig zag pornind din colțul dreapta jos şi apoi în sus:
5
Folosindu-se de substituție, caractere ale alfabetului primar, sunt înlocuite cu caractere
sau grupuri de caractere ale unui alfabet secundar. Aceasta poate fi reprezentată prin formula:
C = aM + b(mod N).
În acest mod se stabilește o corespondență biunivocă între literele alfabetului primar și numerele
întregi 0, 1, 2, .., N-1.
Substituția în care există o singură lege de corespondență între literele alfabetului primar
și cele ale alfabetului secundar se numește substituție mono alfabetică. Cea mai cunoscută
substituție monoalfabetică este Cifrul lui Cezar. Se folosesc la cele două alfabete, primar și
secundar, 26 de litere. Legătura între cele două cifruri se obține prin deplasarea cu un număr
stabilit al alfabetului secundar fată de alfabetul primat și stabilirea apoi a corespondenței între
alfabete.
În exemplul următor se va folosi o deplasare de 3 caractere între alfabetul primar și
secundar. Adică Ci=E(Mi)=Mi+3
Poate deveni:
Folosind o corespondență biunivocă (corespondență unică în ambele sensuri) între literele care formează mesajul (Mi),
alfabetul latin de N=26 litere, și echivalentul numeric (Ei), unde Ei∈{0, 1, 2,…, 25}, cifrul lui Cezar se mai poate scrie la forma generală:
6
Literele cifrului se pot obține din alfabetul primar și prin următorul proces de selectare: se
alege prima litera A și apoi, în ordinea ciclică fiecare a treia literă; deci D, G, ..., Y. După Y șirul
cifrului se continuă cu B, deoarece, în ordinea ciclică, a treia literă după Y în alfabetul primar
este B ş.a.m.d., motiv pentru care factorul de amplificare a = 3 se mai numește și factor de
selectare .
Se poate obține un alfabet de substituire prin compunerea operației de deplasare cu
operația de selectare . Astfel, de exemplu, alegând b = 4 și a = 3 se obține cifrul: C(e j)=3(e
i+4)(mod 26), ceea ce este echivalent cu o transformare liniară generală de forma:
C(e j) = (3e j+12)(mod26).
Cifrul sau permutarea P a literelor alfabetului primar:
n/o: 12 15 18 3 6 9
Se poate caracteriza în mod univoc prin perechea de numere (3, 4), în care 3 reprezintă
factorul de selectare (a), iar 4 coeficientul de deplasare (b).
Perechea de numere (a, b) care definește în mod univoc o transformare liniară poartă
denumirea de cheia substituției respective.
Un sistem de criptare bazat pe substituție se poate obține şi prin folosirea unei chei
mnemonice . Ca exemplu luăm cheia literală CRIPTARE, apoi scriem cheia numerică, care se
obține prin numărarea literelor cuvântului-cheie, după așezarea lor în ordinea alfabetică:
S-au numerotat literele din cuvântul CRIPTARE în ordinea apariției în alfabet. La două
apariție ale aceleiași litere în cuvântul-cheie acestea se numerotează diferit. În exemplul de mai
sus litera R a apărut în cheia literară pe pozițiile 6 şi 7. Deci cheia numerică va fi 6 și 7. Se
scriu literele alfabetului primar sub cheia numerică sub forma:
Se observă în acest caz o corespondență biunivocă între alfabetul primar și cel secundar.
Cu ajutorul acestei corespondențe se poate cifra orice text clar, obținând textul cifrat. În acest
caz, numărul corespondențelor posibile creste de la 26 la 26! și ca atare această metodă de cifrare
implică operații criptanaliste de mare complexitate.
7
Se mai poate aplica încă o dată acest mod de criptare folosind cuvântul-cheie
CRIPTARE obținând o nouă permutare. Noul tabel (se obține asemănător ca și precedentul),
pentru această substituție, va fi de forma:
Un cifru de substituție se poate obține și cu ajutorul unui tabel sub formă de scară.
Pentru aceasta se scriu toate literele alfabetului, în ordinea alfabetică, sub literele cheii, cu
condiția ca linia i să se completeze începând cu coloana i, pentru i = 1, 2, .... Apoi permutarea
fixă sau alfabetul cifrat rezultă din scrierea sub literele alfabetului primar a literelor coloanelor
tabelului scară în ordinea crescătoare.
Astfel, de exemplu, pentru cheia mnemonică: ALFABET
Un alt procedeu de obținere a unui alfabet cifrat constă în repetarea cuvântului-cheie până
rezultă un număr de litere egal cu numărul literelor din alfabetul primar. Acesta se scrie sub
literele alfabetului primar și se numerotează în ordine alfabetică de la 0 până la 25. Litera A se
cifrează prin acea literă care este deasupra lui 0 ş.a.m.d.
8
3.2.2 Substituția omofonică
Cifrurile bazate pe substituție simplă sunt în general ușor de spart prin atac cu text cifrat,
utilizând însă și frecvențele de apariție a caracterelor. O variantă de substituție este cea
omofonică (omofonia (din muzică) – predomină o voce asupra altora) prin care se înlocuiește
fiecare caracter din A cu un caracter dintr-o mulţime f(A).
Funcția f se definește astfel: F : A → 2C.
Un mesaj clar M = m1,m2,...,mn va fi cifrat sub forma C = c1,c2,...,cn, unde fiecare ci este
ales aleatoriu din mulțimea f(mi).
Cifrurile omofonice sunt mult mai greu de spart decât cele bazate pe substituție simplă, în
special atunci când cardinalul (numărul de elemente în mulțime) mulțimii f(mi) este
proporţional cu frecvenţa caracterului mi. În acest fel, se realizează o aplatizare a frecvențelor
de apariție a diferitelor caractere, îngreunând munca de criptanaliză.
În cifrarea omofonică pentru caracterele cu o frecvență de apariție mai mare se creează
mai multe posibilități de reprezentare în textul cifrat. De exemplu, în urma unor analize statistice,
numărul de apariție a literelor într-un text de limba engleză de 100.000 caractere este: E-12604,
T-9042, R-8256, ...Q-318, J-198, Z-101.
Pentru literele E, T şi R, având un număr de apariție mai mare, în cifrarea omofonică se
creează patru posibilități de reprezentare. Evident, cu cât alfabetul secundar este mai bogat în
caractere, cu atât este mai ușoară mascarea caracteristicilor statistice ale textului clar. Fiecare
caracter al textului clar poate avea mai multe reprezentări în textul cifrat. Pentru a ilustra acest
lucru se consideră cazul când alfabetul textului clar este format din 26 de caractere, iar alfabetul
secundar conține 210 = 1024 de caractere de 10 biți fiecare. Inițial se face ca pentru fiecare literă
din alfabetul primar să corespundă un număr de cifruri direct proporționale cu frecvența de
apariție a literei respective în textul considerat. Numărul cuvintelor de cod prin care sunt
codificate literele alfabetului primar este: E-133, T-93, R-85, ..., Q-2, J-2, Z-1.
Prin acest sistem de cifrare se realizează ca frecvența de apariție a cuvintelor de cod să
fie aproape constantă.
Cifrarea monoalfabetică poate fi ușor de implementat. Timpul de criptare a n caractere
este proporțional cu acestea. Există un număr de 26! posibilități de cifrare. Dacă se face o
descifrare într-o milisecundă, folosind un atac brut, este nevoie de 1000 ani pentru a testa toate
posibilitățile. Cu toate acestea, frecvența literelor în text poate dezvălui mesa jul.
9
Utilizarea unei secvențe periodice de substituții ale alfabetului mărește în mod
semnificativ securitatea criptogramei prin nivelarea caracteristicilor statistice ale limbii.
Aceeași literă din textul cifrat poate reprezenta mai multe litere din textul clar, cu diverse
frecvente de apariție. În acest caz, numărul cheilor posibile se mărește de la 26!, câte erau la
substituția monoalfabetică, la (26!)n.
În substituția n-alfabetică caracterul m1 al mesajului clar este înlocuit cu un caracter din
alfabetul A1, m2 cu un caracter din alfabetul A2, ., mn cu un caracter din alfabetul A n, mn + 1 din
nou printr-un caracter în alfabetul A1 etc., conform tabelului:
10
Se parcurg următorii pași:
- Se alege un cuvânt-cheie.
- Se împarte textul în grupuri de 5 caractere.
- Se scrie cuvântul cheie în fiecare din căsuțele atribuite.
- Se folosește cuvântul cheie pentru a stabili coloana din tabel.
- Se folosește textul clar pentru a stabili rândul din tabel.
- Se criptează textul folosind corespondența dintre linie și coloană unde se va găsi simbolul
folosit pentru cifrare.
Exemplu:
Folosim mesajul clar Mi pe care dorim să-l criptăm folosind cheia Kk.
11
Tabelul 2. Generarea rezultatului folosind cifrul lui Vigenere.
………………………………………………….
T + C = (19 + 2)(mod26) = 21(mod26) = 21 = V
E + R = ( 4 + 17)(mod26) = 21(mod26) = 21 = V
Un cifru Vigenere cu o perioada n, deși mult mai puternic decât un cifru bazat pe
substituția monoalfabetică, poate fi spart dacă criptanalistul dispune de cel puțin 2n caractere din
textul cifrat.
12
O variantă mai nouă a acestui cifru peste un alfabet binar este cifrul Vernam, care se
diferențiază prin cheia de cifrare care este reprezentată de o secvență de caractere aleatorii care
nu se repetă.
Fie M = m1m2... un mesaj clar binar şi K = k1k2... un șir binar care reprezintă cheia.
Criptograma C = EK(M) = C1C2... se obține determinând fiecare caracter ci astfel: ci = (mi + ki)
(mod n), i = 1, 2, ...
Utilizarea o singură dată a cheii (.one time pad.) face ca mesajul să fie foarte rezistent
la criptanaliză, practic imposibil de spart; aceste cifruri au o largă utilizare în comunicațiile
diplomatice și militare.
În cazul cifrării literelor singulare, frecvența de apariție a literelor în textul cifrat este
aceeași cu frecvența de apariție a literelor corespunzătoare din textul clar. Această invarianță a
frecvențelor furnizează o cantitate de informație suficientă criptanalistului pentru spargerea
sistemului de secretizare. Pentru minimizarea informației colaterale furnizate de frecvența de
apariție a literelor s-a procedat la cifrarea grupurilor de n litere (n-grame). În cazul când un
grup de n litere este substituit printr-un alt grup de n-litere, substituția se numește poligramică.
Substituția poligamică cea mai simplă se obține pentru n = 2 când digrama m1m2 din textul clar
se substituie cu digrama c1c2 din textul cifrat.
Corespondența biunivocă dintre digramele m1m2 și c1c2 se poate stabili cu ajutorul unui
tabel de formă pătratică. Literele din coloană din stânga pătratului și din rândul dispus deasupra
pătratului servesc drept coordonate pentru digrama m1m2 din textul clar, iar digrama cifrată
corespunzătoare se scrie la intersecția liniei m1 cu coloana m2 sub forma:
13
De regulă, în prima linie a pătratului se scrie un cuvânt cheie, și apoi se completează
celelalte linii cu literele alfabetului ramase în ordinea alfabetică, fără repetarea literelor din
rândul 1. Cifrarea se execută după următoarele reguli:
- dacă m1m2 sunt dispuse în vârfurile opuse ale unui dreptunghi, atunci c1c2 sunt
caracterele din celelalte vârfuri ale dreptunghiului, c2 fiind în aceeași linie cu m1. De
exemplu GS devine MN, deci GS→MN;
- dacă m1 și m2 se găsesc într-o linie, atunci c1 și c2 se obțin printr-o deplasare ciclică spre
dreapta a literelor m1 și m2. De exemplu, AD→BF sau CF→DA etc.;
- dacă m1m2 se află în aceeași coloană, atunci c1 și c2 se obțin printr-o deplasare ciclică a
lui m1, m2 de sus în jos. De exemplu, UO→BW sau EZ→FE etc.;
- pentru separarea liniilor identice alăturate se introduc niște caractere de separare care, de
regulă, au frecvență de apariție redusă, cum sunt de exemplu literele X, Q în limba
română.
f(M) = PMT ,
unde P este o matrice pătratică cu n linii și n coloane, iar M este un vector coloană cu n elemente.
Elementele matricei transformării P aparțin inelului Z26, iar elementele lui M sunt echivalente
numerice ale n-gramei M = e1, e2, ..., en.
În mod analog cu cifrarea și descifrarea digramelor se pot prelucra trigamele,
tetragramele sau pentagramele, obținând un spor de securitate prin creșterea rangului matricei de
cifrare. Aplicând în mod repetat operația de transformare liniară se obține un cifru-produs definit
prin produsul matriceal de forma:
T
C = P1(P2( ...(PkM ).),
unde matricele Pi, i = 1, 2, ..., k sunt matrice inversabile de tipul nxn, iar M = e1, e2, ..., en este
echivalentul numeric al n-gramei.
Cele n litere ale n-gramei-text clar depind de n-grama-cifru, dar dacă două n-grame din
textul clar au o literă comună, de aici nu se poate deduce că n-gramele-cifru corespunzătoare au o
literă comună și invers, ceea ce conduce la mascarea caracteristicilor statistice ale textului clar.
În cadrul cifrurilor computaționale, folosite în sistemele de securitate ale calculatoarelor,
substituția simplă se realizează prin așa-numitele cutii S (figura 4.2).
14
Fig. 4.2 Cutii de substituție.
15
PIRC Tema 5 Algoritmi de criptare secvențiale, bloc
4. Algoritmul de criptare secvențial - scrambler
Registru de
deplasare
Bitul cu
ponderea
superioară
Bitul cu
ponderea
Ieșire
inferioră
XOR
M⊕K =C
Proprietățile de criptare/decriptare a secvenței M cu cheia K
C⊕K =(M⊕K)⊕K = M⊕(K⊕K)=M⊕0=M
1
poziție, iar rezultatul operațiunii XOR obținut până la deplasare, valoarea bitului 1 sau 0, se
înscrie în celula eliberată cu ponderea cea mai mică. Valoarea bitului ce se afla in celula
registrului cu ponderea superioară până la deplasare, devine bitul următor a secvenței de criptare
generate de scramblor. Secvența informațională se adună cu secvența generată de scramblor prin
operațiunea XOR rezultând secvența informațională criptată.
În figura 5.2 este prezentat un exemplu de scramblor de 5 biți cu codul 10011.
1 0 0 1 1
Ieșire
XOR
Pentru o înțelegere mai bună vom analiza un exemplu de scramblor de 3 biți cu codul 101
și cheia 110 (fig. 5.3), precum și generarea secvenței de criptare și criptarea informației. În
comun se va îndeplini tabelul 5.1.
111010 110100
Secvența informației Secvența informației
clare de intrare criptate de isire
1 1 0 Secvența
scramblorului
XOR
Tabelul 5.1
Pasul B2 B1 B0 Ieșirea scramblorului Informația clară Informația criptată
1 1 1 0 0 0
2 1
3 0
4 1
5 1
6 1
7 0
Avantaje:
7. Simplicitatea realizării atât soft cât și hard.
8. Influenta perturbației asupra bitului criptat transmis prin canal aduce la pierderea numai
acestui bit (codare bit cu bit).
2
- Decriptarea secvenței informaționale criptate cu scramblorul se efectuează cu aceluiași
scramblor ca și la criptare.
unde M - o unitate de bloc din mesajul clar, C - o unitate de bloc din mesajul criptat, –
transformarea de criptare, – transformarea de decriptare, K – cheie (parametru al algoritmului de
criptare), ce prezintă un bloc de informație în formă binară de o lungime fixă.
Algoritmii cifru-bloc se caracterizează prin:
- Rapiditatea de funcționare;
știind un bloc de biți ai textului clar și cheia de criptare, sistemul să
poată genera rapid un bloc al textului criptat;
știind un bloc de biți ai textului criptat și cheia de criptare/ decriptare, sistemul
să poată genera rapid un bloc al textului clar;
- Permite de a cripta mesaje de lungime nelimitată;
- Lipsește corelarea între blocul de mesaj clar și blocul de mesaj criptat, adică știind
blocurile textului clar și ale textului cifrat ale sistemului să fie dificil să se genereze cheia.
Algoritmul de criptare se consideră sigur, dacă este posibil de a citi blocul criptat de date
numai prin atacul de forță brută a cheii, atâta timp până când mesajul va avea un conținut cu
sens. Conform teoriei probabilităților cheia se va determina cu o probabilitate ½ după verificare a
½ din chei posibile, atunci pentru spargerea unui algoritm de criptare ideal sigur cu cheia de
lungime N în mediu vor fi necesare 2N-1 verificări. Siguranța algoritmului de criptare creste
proporțional cu creșterea numărului de chei posibile N.
3
De exemplu - de calculat cât timp va fi necesar pentru un calculator contemporan pentru a
verifica 2N-1 chei.
Pentru algoritmul de criptare ideal sigur, dacă se cunoaște un bloc a mesajul clar și rezultatul
criptării al acestui bloc, atunci cheia de criptare utilizată poate fi aflată numai prin atacul de forță
brută. Astfel de cazuri se întâlnesc de exemplu când se criptează inscripții standarde pe anteturi a
bonurilor de plată, anteturi fixe pe scrisori și altele. Ca urmare, pentru funcția de transformare a
algoritmului de criptare cifru-bloc = ( , ), se impun următoarele condiții:
- Funcția de transformare EK trebuie să fie biunivocă (cu aceiași funcție trebuie să se
cripteze și să se decripteze).
- Nu trebuie să existe alte metode de citire a mesajului clar M după un bloc de mesaj criptat
C, de cât prin atacul de forță brută a cheii.
- Nu trebuie să existe alte metode de determinare a cheii K, știind mesajul clar M și
mesajul criptat C, de cât prin atacul de forță brută.
În cazul criptării cu algoritmii cifru-bloc mesajul se împarte în fragmente (numite blocuri)
și asupra acestor fragmente se efectuează operațiunile:
X'=X+V
Conjuncție (ȘI)
X'=X XOR V
Disjuncție cu excludere XOR (SAU cu excludere)
- Deplasări de biți
X'=X SHL V
Deplasare aritmetică la stânga
X'=X SHR V
Deplasare aritmetică la dreapta
X'=X ROL V
Deplasare ciclică la stânga
X'=X ROR V
Deplasare ciclică la dreapta
- Tabele de substituție
4
X'=Table[X,V]
S-box (din engleză - substitute)
Algoritmii de tip bloc sunt foarte des folosiți in criptografia modernă, iar majoritatea
algoritmilor tip bloc utilizați in criptarea simetrică la ora actuală se bazează pe o structură numită
cifru bloc Feistel sau reţea (uneori schema) Feistel. Rețeaua Feistel este primul algoritm de
criptare simetric modern. Rețeaua Feistel prezintă o metodă de transformări biunivoce a
mesajului de informație, în care rezultatul obținut in urma transformării a unei părți a mesajului
se suprapune („adună”) pe alte parți a mesajului. Dese ori structura rețelei se efectuează astfel,
încât pentru criptarea și decriptarea mesajului se utilizează același algoritm diferența fiind în
ordinea utilizării a parametrilor cheii. Rețeaua Feistel se caracterizează prin:
5
6. operează asupra blocurilor de mesaj clar de lungime n biți pentru a produce un bloc de
mesaj cifrat de aceeași lungime (n biți)
7. pentru un cifru bloc de substituție arbitrar (în cazul nostru rețeaua Feistel) de n-biți,
dimensiunea cheii este n·2n. De exemplu pentru un bloc de 64 de biți, dimensiunea cheii
este 64 264=270 = 1021 biți.
Rețeaua Feistel clasică are structura prezentată în fig. 5.4
7
Figura 5.5 Criptarea și decriptarea cu algoritmului Feistel
1
Pereche de chei
Algoritm de
Algoritm de criptare Canal neprotejat
decriptare
Utilizator 1 Utilizator 2
2
Secretizarea impune ca un utilizator neavizat să nu poată să determine, pe baza textului
cifrat în posesia căruia a intrat, textul clar și să nu fie capabil să descopere cheia de criptare
(privată) pe baza analizei textului.
Autenticitatea impune ca emițătorul să valideze sursa mesajului - mesajul să fie transmis
de proprietarul acestuia și nu de o altă persoană. De asemenea, mesajul nu trebuie să fie un mesaj
mai vechi retransmis.
Integritatea impune ca un mesaj transmis să nu poată fi modificat accidental sau voit
prin înlocuiri, inserări sau ștergeri a unor porțiuni de mesaj.
Nerepudierea impune o protecție împotriva unui transmițător care poate nega o
transmisie efectuată anterior către un destinatar.
Criptarea asimetrică - cu chei publice - folosește metode matematice foarte complexe, în
aritmetica numerelor foarte mari, de 256-1024 de biți, a căror implementare se face cu dificultate.
primitive ale câmpului Galois. Dacă a, a2, a3, ..., aϕ(q). (ϕ(q) este indicatorul lui Euler, ϕ(q) =
q-1) sunt puterile lui a, atunci acestea au ca resturi mod q pe 1, 2, ., ϕ(q), ceea ce înseamnă că
un element primitiv va genera prin ridicarea la putere toate elementele care sunt nenule ale
câmpului.
Utilizatorul A va alege în mod aleatoriu un număr XA, XA {1, 2, ., q-1}.
Calculează YA = a X A (mod q).
XA devine cheie privată și va fi ținută strict secretă.
YA devine cheie publică și va fi păstrată într-un director sau fișier public.
Comunicarea între doi utilizatori (A) și (B) se va face folosind cheia de comunicație de
forma:
Cifrul RSAa fost conceput și realizat de trei cercetători, Ronald Rivest, Adi Shamir și
Leonard Adelman, de la Massachusetts Institute of Technology (MIT), și are la bază
generalizarea lui Euler a teoremei lui Fermat. Acest cifru este cel mai folosit pentru asigurarea
confidențialității mesajelor și autentificarea acestora cu ajutorul semnăturii digitale. Se găsește
implementat (hardware sau software) în programele și echipamentele unor firme de renume
(Lotus, Novell, Motorola, Boeing, SWIFT Bank) sau chiar la nivelul agențiilor guvernamentale
(DoD, NA).
Algoritmului RSA prevede executarea a doi pași. În primul pas a algoritmului RSA se
generează cheile și se distribuie cheia publică la toți doritorii. În al doilea pas se cripteze mesajul
la transmisie, se transmite, și se decriptează la recepție.
4
Pasul 1. Generarea cheilor.
- Se aleg două numere prime mari p și q, astfel încât să fie greu de determinat. Numerele p
și q rămân secrete.
- Se calculează produsul lor n = p·q.
- Se alege un număr aleatoriu e , care trebuie să fie relativ prim cu indicatorul lui Euler
ϕ(q) = (p-1)·(q-1), adică cu rezultatul înmulțirii (p-1)·(q-1). Numerele relativ prime sunt
numerele care nu au numitor comun înafara de ±1.
4. Cu ajutorul algoritmului lui Euclid se determină numărul d pentru care este justă relația
e ·d = 1 mod (p-1)·(q-1) sau d = e -1 (mod (p-1)·(q-1)).
Numărul d se alege astfel încât să fie cuprins în intervalul [max(p, q) + 1, n-1].
Numărul n se numește modul, iar e și d se numesc componentele cheile publice și private.
Cheile sunt de forma perechilor: (e , n) - pentru criptare (cheia publică), și (d, n) – pentru
decriptate (cheia privată). Cheile pot fi schimbate cu locul, principalul ca o cheie sa fie secretă.
Pentru o bună secretizare autorii recomandă folosirea a unor numere p și q de 100 de cifre, ceea
ce face ca n să fie de aproximativ 200 cifre, făcând imposibilă factorizarea.
Cheile pentru criptare e și decriptare d sunt alese cu grijă, în așa fel încât să se
îndeplinească (D(M)) = D(E(M)) = M.
- După generarea cheilor numerele p și q trebuie să fie șterse și nici într-un caz divulgate.
Se observă că cifrarea și descifrarea sunt funcții inverse. Se poate folosi cifrul RSA atât
pentru cifrare, cât și pentru autentificare.
5
Se poate ca utilizatorul A să poată semna un mesaj către B calculând:
Problemele apar atunci când se dorește transmiterea unui mesaj criptat și în același timp
și autentificarea acestuia. În acest caz se vor aplica transformări succesive cu module diferite.
S E C R E T
18 04 02 07 04 19
Decriptarea
Destinatarul (B) va autentifica acest mesaj, utilizând cheia publică a lui A (d = 791) și
formula astfel:
- Semnătura digitală
8
Figura 17. Crearea unei semnături digitale
9
Semnătura digitală (S) reprezintă o metodă suplimentară de autentificare a mesajului.
- = D(M), atunci M = E(S) sau E(D(M)) = M pentru ∀ M ∈ {M}. Autentificarea mesajului acționează în ambele sensuri:
11
aPIRC Tema 7 Sisteme criptografice simetrice
Sistemele criptografice sunt realizări soft sau hard finite, care pe baza algoritmilor de criptare
simetrici criptează sau decriptează diferite mesaje informaționale de lungime variabilă. Sistemele
criptografice lichidează o serie de vulnerabilități posibile a sistemelor ce au la baza algoritmi de criptare
simetrici. Utilizarea directă a algoritmilor de criptare fără careva modificări nu este posibil.
Fiecare transformare de criptare, Ek, este definită de un algoritm de criptare, E comun tuturor
transformărilor familiei, și o cheie, K, distinctă de la o transformare la alta. În mod similar, fiecare
transformare de decriptare, Dk, sunt definite de un algoritm de decriptare D, și de cheia K. Pentru un
K dat, Dk reprezintă inversa lui Ek, adică:
Dk(Ek((M))=M, ∀ M∈{M}
În figura 7.1 este ilustrat modul în care transformările de criptare și decriptare sunt folosite
pentru a se asigura protecția unui transfer de informații.
Datele trebuie astfel protejate încât utilizatorii neautorizații să nu poată reconstitui textul clar
dintr-un text ccriptat interceptat. În acest sens, este necesar să se asigure:
utilizatorul neautorizat să nu poată determina sistematic transformarea de descifrare, Dk, din
textul criptat interceptat C, chiar dacă se cunoaște textul clar, M, corespondent;
utilizatorul neautorizat să nu poată reconstitui textul clar, M, din textul criptat, C, fără
cunoașterea transformării Dk.
Sistemul criptografic este un model finit, care permite de a realiza transformări de criptare
bidirecționale asupra datelor de volum arbitrar (diferit), de a confirma timpul transmiterii a
mesajului, care conține în sine mecanismul de transformare a parolelor și a cheilor și sistemul de
codare de transport. Astfel sistemul criptografic îndeplinește trei funcții de bază:
Mărirea protecției a datelor,
Ușurarea lucrului a utilizatorului cu algoritmul de criptare,
Asigurarea compatibilității a fluxului de date informaționale cu alt softul utilizat.
Vector) prin utilizarea operațiunii XOR, care depinde de poziția blocului dat de informație in fluxul
de informație. Lungimea vectorului inițial este egală cu lungimea blocului a algoritmului de criptare.
Crearea a blocurilor/fragmente de date informaționale se numește algoritmul de creare a
fragmentelor (цепочек). Se cunosc următoarele metode de creare a fragmentelor:
- CBC (Cipher Block Chaining) unirea într-un lanț a blocurilor a cifrului.
După cum se observă din algoritmul din figura 7.X parola multiplu se criptează. Inițial
valoarea rezultatului a funcției hash H0 se atribuie egală cu zero (0). Tot rândul de simboluri a
parolei se împarte in blocuri, egale după lungime cu lungimea cheii utilizate pentru efectuarea
funcției hash a cifrului-bloc, apoi se efectuează transformarea după o relație recurentă (relație de
recurență -dacă fiecare termen al acesteia poate fi scris ca o funcție de termenii anteriori)
= (
−1 −1, )
unde ( −1, ) este cifrul bloc utilizat,
efectuat codarea de transport. De exemplu, sistemul de transmisiune transmite cuvinte de cod binar
cu lungimea de 8 biți, și utilizează numai o parte de combinări din intrigă gamă, de exemplu 130
cuvinte din 256. Atunci cuvintele de la 131 până la 256 este necesar de codificat (nu criptat).
Reieșind din toate cele spuse arhitectura sistemului criptografic simetric va avea sructura, care este
prezentată în figura 7.XX
Algoritm de creare a
fragmentelor Cheie de
sesiune
Algoritm de
criptare
Algoritm de
criptarea
Codarea de
transport
Flux informațional
criptat
Notă: unele blocuri din arhitectura prezentată în figura 7.XX pot lipsi în dependență de cazul
concret – de cerințele către sistemul criptografic.
PIRC Tema 8 Sisteme criptografice asimetrice
După cum a fost deja menționat, conceptul de criptosistem cu două chei (asimetric) a fost
introdus de Diffie şi Hellman în anul 1976. Ei propuneau o nouă metodă de criptare, numită criptare
cu cheie publică, în cadrul căreia doi utilizatori (procese) pot comunica cunoscând fiecare doar cheia
publică a celuilalt. Fiecare utilizator A deține o transformare de criptare publică, E k, care poate fi
memorată într-un registru (fișier) public şi o transformare de decriptare secretă, Dk, ce nu este
posibil să fie obținută din EA.
Cheia de decriptare (secretă) este derivată din cheia de criptare (publică) printr-o
transformare greu inversabilă (vedeți algoritmul de creare a cheilor Diffie-Hellman). În sistemele cu
chei publice, protecția și autentificarea sunt realizate prin transformări distincte. Să presupunem că
utilizatorul (procesul) A dorește să emită un mesaj, M, unui alt utilizator (proces) B. Dacă A
cunoaște transformarea publică EB, atunci A poate transmite M la B sub forma C=EB(M),
asigurându-se astfel funcția de protecție (confidențialitate) (figura 8.1).
Figura 8.1. Protecția informației în criptosistemele cu chei publice
DB(C)=DB(EB(M))=M
Schema nu furnizează facilități de autentificare, deoarece orice utilizator (proces) are acces
la transformarea publică EB a lui B și îi poate trimite mesaje false M’ sub forma
C’=EB(M’).
EA(C)=EA(DA(M))=M.
Figura 8.2. Autentificarea în sistemele criptografice cu chei publice
EA(DA(M))=DA(EA(M))=M.
Emițătorul de mesaj A va aplica mai întâi transformarea secretă a sa, D A mesajului M. Apoi A va
cifra rezultatul . utilizând transformarea publică a lui B, EB - și va emite către receptor criptograma:
C=EB(DA(M)).
Receptorul B îl obține pe M aplicând la început propria-i funcție de descifrare, DB, iar apoi
transformarea publică a lui A, EA, cea care furnizează autentificarea (figura 8.3):
Cum se observă din cele expuse pentru protecția datelor sunt necesare îndeplinirea unor
transformări complicate ce necesită multe resurse informaționale și timp. Ca urmare, sistemele
criptografice asimetrice se realizează soft sau hard pe baza algoritmilor de criptare simetrici rapizi,
care pot să cripteze sau decripteze diferite mesaje informaționale de lungime variabilă, utilizând o
cheie de sesiune (o cheie per transmisiune). Cheia de sesiune la rândul său se criptează cu un
algoritm de criptare asimetric aplicând transformarea (cheia) publică a destinatarului și se transmite
destinatarului. La destinație inițial se decriptează cheia de sesiune cu algoritmul asimetric de
decriptare, aplicând cheia privată. Apoi cu algoritmul simetric si cheia de sesiune recepționată se
decriptează mesajul. Arhitectura sistemului criptografic asimetric este prezentat în figura 8.4.
Funcțiile modulelor sunt aceleași ca și la sistemul criptografic simetric.
Arhivarea
Algoritm de creare a
fragmentelor Cheie de
sesiune
Algoritm de
criptare
simetric
Algoritm de
criptarea asimetric
Codarea de
transport
Flux informațional
criptat
Componentele rețelei sunt supuse atacurilor din partea răufăcătorilor. Aceste componente
sunt: servere, stații de lucru, mediu de transmisiune, noduri de comutare.
Servere. Serverile prezintă niște resurse informaționale sau de calcul. Ca urmare, scopurile
atacurilor răufăcătorilor asupra serverilor pot fi clasificate ca:
- obținerea accesului la informația stocată pe servere,
- obținerea accesului nesancționat la servicii (se utilizează erorile și posibilităț ile
nedocumentate a softului utilizat),
15. tentativa de scoatere din regimul de funcțiune a unei anumite clase de servicii (atacuri DoS),
Stațiile de lucru. Stațiile de lucru prezintă un calculator (un sistem pe baza de microprocesor)
pe care personalul întreprinderii efectuează operațiuni asupra informației, sau le stochează local.
Scopul de bază a atacatorului în acest caz este obținerea accesului la informația prelucrată sau
stocată pe stația de lucru, sau obținerea parolelor introduse de la tastatura de către operator. Mijlocul
de bază a acestor atacuri sunt programele malițioase „Troieni”. Acestea programe prin nimic nu se
deosebesc de programele „Virus”, dar când nimeresc pe stațiile de lucru se străduie să se comporte
cât mai linișt it. Concomitent permit răufăcătorului, care cunoaște protocolul de lucru cu această
programă, să efectueze cu stația de lucru orișicare acțiuni. Adică, scopul de bază a acestor programe
este distrugerea protecției rețelei din înăuntru – se creează o gaură mare din înăuntru.
Pentru protecția contra programelor troieni se utilizează soft antivirus (dacă programul troian
este scris special pentru o stație anumită, atunci cu o probabilitate de 90% nu va fi identificată de
softul antivirus).
Pentru a verifica dacă prin rețea se transmite un trafic terță se verifică conexiunile stabilite
utilizând comanda „netstat –a”. După rezultatul obținut se verifică dacă sunt conexiuni terță. Pentru
protecția fișierelor de sistemă se utilizează programe adviser – ce avertizează când au fost
modificate fișierele de sistemă.
Mediul de transmisiune a informației. Atacul de bază asupra mediul de transmisiune a
informației este ascultarea. În dependență de atacul prin ascultare toate liniile (mediile) de
transmisiune se împart în:
- broadcast cu acces nelimitat - sisteme de transmisiune, la care posibilitatea de ascultare a
mediului de transmisiune cu nimic nu se limitează, de exemplu undele radio, infraroșie.
- broadcast cu acces limitat - sisteme de transmisiune prin cablu la care citirea informației este
posibilă numai de către statile care sunt conectate nemijlocit la canalul de trensmisiune –
Ethernet, Token Ring, Token Bus, etc.
- canale punct-punct - sisteme de transmisiune prin cablu la care citirea informației este posibilă
numai în elementele de rețea prin care se transmite informația, cum este switch, router.
În rețea există multe locuri fizice de acces nesancționat la informație. Fiecare dispozitiv în
rețea prezintă o sursă posibilă de radiere electromagnetică din cauza că câmpurile corespunzătoare
nu sunt ecranate ideal. Sistemul de împământare împreună cu sistemul de cablare și sistemul de
electroalimentare poate servi ca canal de acces la informație în rețea, care poate fi și zone fară acces
controlat. Un atac potențial poate fi acțiunea fără contact cu câmp electromagnetic asupra sistemului
de cablare. Este posibilă și conexiunea nemijlocită la cablu.
Este posibilă scurgerea informației prin canalele, care se află în afară rețelei:
Depozitul a purtătoarelor de informație,
Elemente de construcție a încăperilor, ferestrele încăperilor (efectul de microfon),
Canalele telefonice, radio, prin cablu.
Atacul asupra rețelei locale este posibilă prin conectarea la rețeaua Internet. La rețeaua
internet se poate conecta orice doritor (persoană fizică sau juridică). Arhitectura tipică a rețelei
Internet este prezentată în figura 9.3
Figura 9.3 Arhitectura tipică a rețelei internet
La crearea a unui soft pentru calculatoarele personale autorul realizează un scop anumit:
Notepad – înregistrează textul,
Dicționarul – permite de a citi cuvântul, traducerea
lui, Browserul – permite de vizualiza paginile WEB.
Uneori autorii fac unele erori și ca urmare softul creat va efectua nu ceea ce se propunea
inițial că a să efectueze. Tot softul destinate pentru efectuarea a unei sarcini utile nu trebuie să
efectueze unele acțiuni, care nu țin de problemele soluționate. De exemplu, calculatorul să
verifice ortografia textului, înscrierea formulelor, să indice ora curentă exactă, etc.
În ideal tot softul trebuie să se comporte în strictă corespundere cu descrierea lor și
documentația însoțită.
Există soft malițios (malware) care sunt softuri ce provoacă daună pentru calculatorul
personal, pe care se lansează, sau pentru alte calculatoare din rețea.
Tot softul malițios în dependență de modul de răspândire și sarcina/încărcarea periculoasă
executată se poate de fi clasificat în patru grupe de bază – virusuri de calculator, viermi, troieni și
alt soft periculos. Istoric tot softul malițios se numesc viruși, ce nu este corect. În ultimul timp se
evidențiază tendințele de elaborare a tehnologiilor malițioase pentru realizarea softului malițios
ce nu se bazează pe tehnologiile utilizate la crearea virușilor.
Căile de pătrundere a virușilor sunt toate canalele prin care se poate de a copia fișierul, în
afară de resursele de rețea. Utilizatorul singur trebuie să lanseze virusul prin lansarea a fișierului
în care se află virusul. Virusul singur nu se activează.
În dependență de tipul de activare virușii se împart în:
- Viruși de startare – infectează sectoarele a discurilor hard sau a purtătoarelor mobile de
pe care se lansează sistemul de operare.
- Viruși de fișiere – infectează anumite tipuri de fișiere.
În dependență de localizare virușilor se împart:
- Viruși de fișiere clasici – ei prin diferite metode pătrund în fișierele executabile, creează
copii a sale în diferite cataloage a hard discului sau utilizează particularitățile sistemului
de fișiere.
1
- Viruși Macro – sunt realizați pe baza limbajului intern a softului utilizat, așa numite
viruși macro a oricărei aplicații. Majoritatea de viruși macro utilizează codul macro a
redactorului de texte MS Word.
- Viruși script, sunt scriși în formă de scripturi pentru un tip anumit de fișiere executabile,
de exemplu, fișiere *.bat pentru sistemul de operare DOS, VBS și JS pentru MS
2. Viermi.
Vierme (vierme de rețea) – este un soft malițios care se propagă prin canalele de rețea și
care este capabil să treacă singur prin sistemul de protecție a rețelelor de calculatoare, și de
asemenea să creeze și în continuare să distribuie copiile sale, care nu numaidecât coincid cu
originalul.
Convențional ciclul de viață a viermelui, ca și la virusul de calculator, constă din cinci etape:
1 pătrunderea pe calculator (sistemul informațional),
14. activarea,
15. căutarea obiectelor/elementelor pentru a fi infectate,
16. pregătirea copiilor,
17. distribuirea copiilor.
În dependență de metoda de pătrundere în sistemul informațional viermii se împart în:
- Viermi de rețea – utilizează rețelele locale sau Internetul pentru a să se distribuie,
- Viermi de email – utilizează softul de email pentru a să se distribuie,
- Viermi IM (IM-Instant Messenger) - utilizează aplicațiile de mesagerie momentană
pentru a să se distribuie,
- Viermi IRC (IRC – Internet Relay Chat) - utilizează canalele IRC pentru a să se
distribuie,
- Viermi P2P (P2P – peer to peer) - utilizează rețelele de schimb de fișiere punct-punct
pentru a să se distribuie.
În dependență de modul de activare viermii se împart în două grupe:
2
- Care necesită implicarea activă a utilizatorului. Acești viermi prin diferite metode de
păcălire impune utilizatorul ca să îi activeze, de exemplu prin email.
- Care nu necesită implicarea activă a utilizatorului. Acești viermi singuri se activează.
- Combinații a primilor doi viermi.
Viermii de rețea pot să se coopereze cu virușii, acest tandem poate de sine stătător să se
propage prin rețea, datorit proprietăților viermelui, și în același timp să infecteze resursele
calculatorului, datorit proprietăților virusului.
3. Troieni.
Troieni (calul din Troia) – este un soft malițios, scopul de bază al căruia este acțiunea
dăunătoare asupra sistemului computerizat. Troienii nu numaidecât pot să se înmulțească, dar
provoacă daune prin efectuarea unor acțiuni ne sancționate de către utilizator. Daunele sunt:
furtul a unor date, de obicei a parolelor, distrugerea sau ștergerea a datelor confidențiale,
întreruperea funcționari a calculatorului (sistemului computerizat) sau utilizarea resurselor lui
pentru a efectua alte acțiuni dăunătoare.
Troienii singuri nu pătrund în sistemul computerizat, dar pătrund împreună cu viermii sau
virușii, sau utilizatorul singur îi „aduce” prin diferite căi.
Convențional ciclul de viață a troienilor constă din trei etape:
1 pătrunderea pe calculator (sistemul informațional),
- activarea,
- executarea acțiunilor dăunătoare.
Troienii pătrund în sistemul computerizat camuflându-se prin o aplicație utilă, se
activează cu ajutorul utilizatorului sau prin vulnerabilitățile sistemului de operare.
Troienii se clasifică în dependență de funcțiile dăunătoare care le execută:
- Șpioni de tastatură – înregistrează și transmit autorului simbolurile culese de utilizator la
tastatură.
- Furători (hoți) de parole – caută fișierele în care se păstrează parolele pe calculator și le
transmit autorului.
- Soft de gestionare ascunsă de la distanță – asigură controlul de la distanță asupra
calculatorului, în mod ascuns încarcă, transmit, lansează sau distrug fișierele. Poate fi
utilizat pentru a obține informație confidențială, pentru a lansa virușii, pentru distrugerea
datelor.
- Servere SMTP și Proxy anonime – permit organizarea transmiterii nesancționate a
scrisorilor electronice email, care des se utilizează pentru distribuirea spamului.
- Utilități de apel – inițiază conectarea la serviciile cu plată din Internet.
8. Modificatori a setărilor browserilor – schimbă pagina de bază, pagina de căutare,
emitează apăsarea butoanelor pe bannere.
9. Bombe logice – la îndeplinirea a unei condiții, de exemplu, o dată de calendar anumită,
îndeplinesc oarecare acțiuni.
10. Unii troieni dăunează alte calculatoare îndepărtate fără a încălca funcționarea
calculatorului infectat pe care se află. De exemplu organizarea atacurilor DDoS.
3
Soft malițios convențional periculos – nu putem spune despre acest soft că este
periculos. Devine periculos la îndeplinirea a unor condiții sau acțiuni a utilizatorului. La acest
soft se referă:
- Riskware (RiskSoftware) – soft legal, care nu este periculos, dar posedă funcționalul, care
permite răufăcătorului să le utilizeze cu scop dăunător. Din această categorie face parte
softul de gestionare la distanță, softul pentru încărcarea fesierilor în internet, etc.
- Soft de publicitate Adware (Advertisment Software) soft convențional fără plată, care în
calitate de plată de către utilizator demonstrează publicitate utilizatorului. După
înregistrare, care de obicei este cu plată, softul funcționează în regim normal. Problema în
softul adware este în mecanismul de livrare a publicității. Acest soft nu întotdeauna se
dezinstalează și poate funcționa în regimul de fon (ascuns).
- Pornware (Porno Software) – se referă softul care prezintă utilizatorului spre vizionare a
informației cu caracter pornografic.
La soft malițios se referă numai acel soft care se instalează și se lansează nesancționat,
prin vulnerabilitățile sistemului de operare sau a brauzerului, sau cu ajutorul troenilor.
Soft utilizat de hackeri – softul de ascundere a codului infectat în fișiere de către
verificarea antivirus (cifratoare de fișiere), constructori de programe malițioase ce permite de
automatiza procesul de creare a viermilor de rețea, virușilor și troienilor, setul de soft Root Kit pe
care îl utilizează hackerii pentru a lua sub control a sistemului spart.
Glume rele – soft care intenționat introduce utilizatorul în incertitudine prin
prezentarea unor mesaje cu ar fi despre formatarea discului hard sau de detecție a virușilor, ceea
ce în realitate nu este sau nu se realizează.
4
Din surse credibile de aflat care procese sunt procese de sistem și care sunt dăunătoare
(periculoase). De exemplu pagina WEB www.processlibrary.com
Fișierele corespunzătoare proceselor de salvat și de a le transmite companiilor care
produc soft antivirus pentru analiză, dacă nu există metode de lecuire.
Pentru ca lucrul într-o rețea locală de calculatoare să fie funcțional și efectiv este necesar
ca calculatoarele conectate în rețea să aibă posibilitatea de a face schimbul de informație prin
intermediul tehnologiilor de rețea, să poată păstra și prelucra informația utilizând resursele
dedicate pe serverele de rețea, de a transmite și recepționa emailuri, să fie organizat accesul la
rețeaua Internet, să poată utiliza alte tehnologii de rețea cum este printiera, faxul, etc.
Majoritatea rețelelor au arhitectura prezentată în figura 10.1.
5
mare. Sistemul de protecție antivirus depinde de funcțiile îndeplinite de sistemul computerizat în
rețea. Astfel se disting nivelurile de protecție antivirus.
1. nivelul de protecție a stațiilor de lucru și a serverilor de rețea,
2. nivelul de protecție a serverilor de email,
3. nivelul de protecție a gateway.
6
protecției antivirus în rețea, repede de depistat și operativ de lichidat incidentele provocate de
viruși.
Alegerea unui program antivirus este uneori dificilă datorită existenței mai multor
programe pe piață, dar și datorită cerințelor care trebuie îndeplinite de acestea.
Pentru alegerea unui program antivirus trebuie să se țină cont de următoarele criterii
de alegere:
a. platforma de lucru.
b. numărul de viruși care pot fi detectați;
c. timpul de răspuns la un virus;
d. existenta opțiunilor de scanare în rețea;
e. existenta opțiunilor de scanare în e-mail;
f. protecția împotriva scripturilor;
g. scanarea în fișiere comprimate;
h. existenta suportului tehnic;
i. perioada de timp pentru care se livrează actualizări gratuite;
j. renumele firmei;
7
k. localizarea firmei producătoare sau a distribuitorului;
l. prețul.
În continuare vom analiza fiecare cerință.
a. Platforma de lucru.
Este cunoscut faptul că programele antivirus sunt făcute să funcționeze pe mai multe
sisteme de operare. Unele firme producătoare livrează programe antivirus care funcționează doar
pe anume sisteme de operare, dar sunt și programe antivirus care funcționează pe mai multe
platforme. Există mai multe reviste de specialitate care efectuează periodic un audit al acestor
programe antivirus. Una dintre cele mai cunoscute este Virus Bulletin (www.virusbtn.com).
Rezultatele testelor efectuate de către specialiștii acestei reviste pe diferite platforme sunt
exemplificate în tabelul următor (tabelul 10.1). Mai multe date despre compatibilitate și modul de
efectuare a testelor se pot găsite la adresa:
http://www.virusbtn.com/vb100/about/100procedure.xml.
b. Numărul de viruși care pot fi detectați.
Numărul de viruși care pot fi detectați de un program antivirus are cea mai mare greutate
în alegere. Cu cât acest număr este mai mare, cu atât posibilitățile de detectare și anihilare cresc.
Programele antivirus pot detecta peste 16 243 948 (cazul lui Kaspersky, la data de 06.11.2020)
de viruși și variante ale acestora.
c. Timpul de răspuns la un virus.
Timpul de răspuns necesar pentru crearea unui antidot împotriva unui virus este greu de
estimat. Acesta poate fi aflat doar în cazul unor viruși care au avut efecte majore. Timpul de
răspuns depinde în foarte mare măsură de experiența firmei.
d. Existenta opțiunilor de scanare în rețea.
Existenta opțiunilor de scanare în rețea este foarte importantă atât din punct de vedere al
siguranței și actualizării, cât și al costului. Vom trata acest aspect puțin mai târziu.
e. Existenta opțiunilor de scanare în e-mail.
Dacă calculatorul sau rețeaua au acces la Internet, posibilitatea de a scana e-mail-uri este
foarte importantă, bine cunoscută fiind răspândirea virușilor cu ajutorul Internetului.
f. Protecția împotriva scripturilor;
Opțiunea de protecție împotriva virușilor de script este foarte importantă dacă
calculatorul are acces la Internet.
g. Scanarea în fișiere comprimate.
Pentru ca un fișier de dimensiune mare să ajungă cât mai repede la destinație se recurge la
comprimarea acestuia. Dimensiunea unui fișier comprimat este sensibil mai mică fată de a celui
inițial (depinde de tipul de fișier. În anumite cazuri, poate să fie chiar mai mare). Dacă fișierul
sursă conține un virus, atunci și fișierul rezultat va conține și el virusul. Din această cauză,
existenta acestei opțiuni este importantă.
h. Existenta suportului tehnic.
Existenta suportului tehnic, telefon sau e-mail, este necesară atunci când se întâmpină
probleme la instalare și configurare. Este importantă atunci când instalarea este făcută de o
persoană fără cunoștințe în domeniu.
i. Perioada de timp pentru care se livrează actualizări gratuite;
De regulă, perioada de timp pentru care se livrează actualizări gratuite de către firma
producătoare este de un an. Această perioadă poate fi prelungită prin semnarea unui contract de
abonament.
8
Tabelul 10.1. Teste comparative de funcționare programe antivirus pe diferite platforme
j. Renumele firmei;
Renumele firmei trebuie luat serios în considerare atunci când se achiziționează un
program antivirus. Renumele firmei tine atât de longevitatea acesteia pe piață, cât și de
clasamentele întocmite de firmele de specialitate.
k. Localizarea firmei producătoare sau a distribuitorului;
Localizarea firmei producătoare sau a distribuitorului trebuie luată în considerare dacă se
dorește o colaborare strânsă atunci când pot să apară incidente legate de acțiunea virușilor și când
singura posibilitate de remediere este contactul direct între cele două pârți. De asemenea,
localizarea firmei are un rol important în anumite situații particulare. Ca exemplu poate fi dat
acela în care un virus este produs local, de angajat sau de către o altă persoană la nivel de
9
localitate sau de țară. O firmă locală va putea să descopere și să anihileze mai rapid virusul decât
o firmă aflată la mii de kilometri distanță.
l. Prețul.
Prețul este foarte important atunci când numărul de calculatoare este mare. Din tabelul
10.2 se observă că prețurile sunt comparabil egale.
Tabelul 7. Principalele programe antivirus (comparații).
10
- scanează în memorie și oprește procesele suspecte înainte ca acestea să cauzeze daune;
- permite o detectare centralizată a nodurilor neprotejate din rețea;
- protecția împotriva amenințărilor în timp real;
- VPN securizat, si altele.
Pentru a se evita o infecție cu viruși este necesar să fie impuse o serie de reguli și restricții
în utilizarea calculatorului.
Ca primă măsură se impune informarea și instruirea personalului asupra măsurilor care
trebuie luate. Trebuie să se țină cont de faptul ca, personalul bine instruit nu poate să acopere
golurile de securitate hardware și software lăsate.
A doua măsură care se impune este configurarea corectă, hardware și software, a
calculatorului și a rețelei. Trebuie să se țină cont de faptul ca, un calculator corect configurat este
vulnerabil dacă factorul uman nu este bine instruit și conștient de consecințele unei infecții cu
viruși.
Principalele reguli și restricții care se impun pentru a se evita o infectare cu viruși sunt:
1) Instalarea și rularea unui program antivirus foarte bun. Ce înseamnă aceasta? Un
program antivirus bun sau foarte bun este acela care satisface cerințele de securitate impuse.
Dacă programul antivirus se instalează local și dacă pe acel calculator nu se rulează programe de
poștă electronică, atunci nu trebuie luată în considerare facilitatea de scanare e -mail. Dacă în
schimb calculatorul respectiv este conectat la Internet și se face browsing, atunci cerințele sunt
foarte mari. Nu este suficient ca un program antivirus să detecteze foarte mulți viruși. Este
important să detecteze și să anihileze virusul care încearcă să infecteze acel sistem.
11
2) Actualizarea periodică a programului antivirus cu noile facilități, dar mai ales cu noile
semnături de viruși. Actualizarea poate fi făcută manual, periodic de către utilizator sau poate fi
configurată pe opțiunea automată.
Aceste opţiuni pot fi configurate, la sistemele de operare Windows, din Control Panel →
Internet Option → Security, Privacy şi Advanced (figura 10.2).
12
13
Figura 10.2. Configurarea opțiunilor de securitate în Windows.
8) Scanarea de viruși. Această acțiune poate fi făcută manual sau poate fi făcută automat de către
program prin configurarea acestuia ca la pornire sau la o anumită dată, periodic, să facă acest
14
lucru. Orice nou suport de memorie accesat (disc flexibil, CD-ROM, pendrive etc.) trebuie să fie
scanat. La majoritatea programelor antivirus opţiunea este automată.
9) Dezactivarea lui ActiveX din opțiunile browserului de Internet din Control Panel →
Internet Option → Security, Custom level… (figura 103).
10) Dezactivarea lui Windows Script Host (WSH) pentru a se preîntâmpina infectarea cu viruși
de script (extensia .VBS)
11) Activarea opțiunii de protecție la viruși de macro (Macro Virus Protection) în Microsoft
Office (figura 10.4).
15
Figura 10.4 Activarea opțiunii de protecție la viruși de macro.
14) Informarea permanentă asupra acțiunii virușilor. Acest lucru poate fi făcut din publicațiile de
specialitate sau din atenționările periodice trimise de firmele din domeniu.
16
PIRC Tema 11 Dispozitive firewall
10. Noțiuni generale .
Pentru îndeplinirea sarcinilor stabilite stațiile de lucru se conectează într-o rețea. Rețelele
formate se interconectează între ele. Pentru protecția stațiilor de lucru dintr-o rețea locală se
utilizează dispozitivele firewall (figura 11.1). Dispozitivele firewall protejează calculatoarele și
rețelele de tentativele de a obține acces nesancționat prin utilizarea vulnerabilităților care există
în stiva de protocoale TCP/IP. Adăugător ele permit de a soluționa problemele de securitate
legate de utilizarea sistemelor vulnerabile și existența a unui număr mare de calculatoare în rețea.
Implementarea unui sistem firewall reprezintă măsura de securitate cea mai avansată care
poate fi implementată. Un firewall este considerat ca fiind prima linie de protejare a informațiilor
private.
Termenul de firewall (zid de foc) este folosit pentru prima dată la începutul anilor 1700
de către muncitorii forestieri pentru a proteja pădurile de propagarea incendiilor. Aceștia efectuau
o degajare în masa copacilor și în acest fel focul nu mai putea să se propage. Același termen este
folosit în industrie, în construcția de locuințe, hale industriale, depozite și este folosit și în
industria IT&C.
Un firewall este un sistem folosit pentru implementarea politicii de control a accesului
într-o organizație sau între organizații. Acesta va proteja un calculator sau o rețea împotriva
accesului neautorizat.
Firewall-ul va crea un singur punct de legătură cu o rețea care va putea să fie nesigură. În
acest fel se vor concentra toate resursele spre apărarea acelui punct de trecere (gateway).
Un firewall este constituit dintr-un calculator sau din mai multe calculatoare, împreună cu
programele asociate, care vor asigura politica de control a accesului.
Firewall-ul va permite sau va interzice traficul dintr-o parte în alta a sa. Traficul care
poate să treacă sau să nu treacă prin firewall poate fi între două sau mai multe rețele sau între
două sau mai multe calculatoare.
Firewall-ul va putea să separe traficul dintre diferitele compartimente ale firmei sau să
separe traficul din interiorul firmei de Internet. Un singur dispozitiv firewall poate fi folosit
pentru a se crea partiții logice la nivelul firmei. În această situație se impune ca tot traficul,
inclusiv cel de Internet, să treacă printr-un singur server. De regulă, acel server este serverul
central (figura 11.2).
1
Figura 11.2. Modul de acțiune al unui dispozitiv firewall
Pe piață există mai multe variante de dispozitive firewall comerciale. În esență acestea se
pot clasifica în dispozitive firewall:
- de nivel rețea;
- de aplicație;
- hibride.
Dispozitivele firewall funcționează la diferite nivele a modelului de rețea OSI. O
comparație între modul de funcționare al celor trei modele de firewall-uri folosind modelul de
rețea OSI este exemplificată în tabelul 11.1.
Cele două modele de referință (OSI şi TCP/IP) posedă diferențe și asemănări (figura 11.3).
Deși modelul OSI are 7 niveluri iar TCP/IP are doar 4 niveluri, rolul lor per ansamblu este în
final același.
Asemănări
Ambele au niveluri
Ambele au nivelul aplicației, deși fiecare conține servicii diferite
Ambele au nivelurile rețelei și transportului comparabile
Ambele folosesc tehnologia de tip pachet switching (nu cea circuit switching)
Administratorii de rețea trebuie să le cunoască pe amândouă
Deosebiri
TCP/IP combină în nivelul său Aplicaţie (4) nivelele Aplicaţie (7), Prezentare (6) și
Sesiune (5) din modelul OSI.
3
TCP/IP combină nivelul Legătură de date (2) şi nivelul Fizic (2) din modelul OSI într-
un singur nivel numit Acces Rețea (1).
TCP/IP pare a fi mai simplu deoarece are mai puține niveluri.
Protocoalele TCP/IP reprezintă standardele pe baza cărora s-a dezvoltat Internetul.
Rețelele tipice nu sunt construite pe baza protocoalelor OSI, deși modelul OSI este
considerat ca ghid.
TCP / IP folosește protocolul UDP care nu garantează întotdeauna livrarea de pachete
precum face nivelul transport din modelul OSI.
Cu cât mai multe nivele analizează un firewall, cu atât el este mai perfect și efectiv, cu
atât mai mult se măresc posibilitățile de configurare fină, permit de a furniza servicii orientate pe
utilizator, de exemplu, autentificarea utilizatorului. Indiferent de arhitectura firewall-ului poate să
posede servicii adăugătoare, cum este translarea adreselor de rețea (NAT), suportul protocolului
de configurare dinamică (DHCP), funcții de criptare necesare pentru realizarea unui gateway
VPN. În multe firewall-uri este implementată tehnologia de filtrare a conținutului activ
– filtrarea datelor la nivelul 7 a modelului de rețea OSI, de exemplu, scanarea prezenței virușilor
în fișierele atașate la emailuri, filtrarea aplicațiilor în paginile WEB.
În literatura de specialitate aceste tehnologii mai sunt cunoscute și sub numele de filtrarea
pachetelor (pachet filtre), porți de aplicații (aplicațiune gateway) și inspectarea completă a
pachetelor (stateful pachet inspection).
4
Firewall filtre de pachete este primul firewall elaborat, care funcționează la nivelul 3 a
modelului OSI, și asigură gestionarea traficului de rețea în baza analizei a unor componente
informaționale ce se conțin în pachetul de rețea. Actualmente toate filtrele de pachete analizează
și nivelul 4.
Filtrarea se va face ținând cont de următoarele criterii:
adresa IP a sursei pachetului;
adresa IP a destinației pachetului;
tipul sesiunii de comunicare – identificatorul de protocol de nivel 4 care se găsește
rezident în header-ul IP utilizat pentru stabilirea comunicării între sursă și destinație TCP
(Transmission Control Protocol) sau UDP (User Datagram Protocol);
numărul portului TCP sau UDP al sursei;
numărul portului TCP sau UDP al destinației;
informație ce se referă la interfața de rețea a router-ului – la care interfață de rețea se
referă;
informație ce caracterizează direcția în care traversează pachetul interfața de rețea –
intrare sau ieșire;
informație ce se referă la crearea fișierelor de registru – log file.
Filtrele de pachete pot fi plasate în orișice infrastructură de rețea care utilizează adresarea
de nivel 3 și de asemenea pot fi utilizate pentru balansarea traficului la nivelul 2 de rețea (se
utilizează în cazul când se impun cerințe de accesibilitate – se utilizează mai mulți firewall-uri
pentru a mari capacitatea de transfer). Filtrele de pachete se implementează în în următoarele
componente din infrastructura rețelei:
firewall incorporat în router-ul de hotare;
firewall incorporat în sistemul de operare;
firewall-uri personale.
5
Avantajele filtrelor de pachete:
- Rapiditatea funcționarii
- Pot fi utilizate in comunicarea client-server deoarece nu întrerup conexiunile TCP.
Dezavantajele filtrelor de pachete:
Nu pot preîntâmpina atacurile, care se bazează pe vulnerabilitățile și funcțiile specifice
pentru aplicații, deoarece nu analizează date de nivel superior.
Posibilitățile fesierilor de registru în filtrele de pachete sunt limitate, deoarece utilizează
un număr limitat de date, și practic conține aceeași informație care se utilizează la luarea
deciziei.
Nu suportă autentificarea utilizatorului,
Sunt vulnerabile pentru atacurile care utilizează problemele stivei TCP/IP, de exemplu,
nu pot determina ca în pachet a fost modificată adresa IP - atacul spoofing.
La luarea deciziei de acordare a accesului se utilizează o cantitate limitată de informație.
Este dificil de configurat, pot apărea erori la etapa de configurare.
Un exemplu de rețea este prezentat în figura 11.6 și regulile firewall – în tabelul 11.2.
Porturi
≤1023 – porturi bine cunoscute,
1024…16384 – porturi registrate,
>16384 – porturi dinamice.
Nu toate router-ele pot să filtreze anumite porturi, deși majoritatea fac acest lucru. Uneori
aceasta filtrare este dependentă de sistemul de operare care rulează pe router.
7
Agenți a nivelului de aplicație.
Amplasarea acestor componente de infrastructură în dispozitivul firewall permite de a
utiliza un singur dispozitiv pentru soluționarea a mai multor probleme.
Firewall-ul inspecție stare este firewall de pachete care analizează conținutul de nivel 4 a
modelului de rețea OSI. Când se stabilește sesiunea TCP cu sistemul din punctul îndepărtat se
deschide un port (număr de la 1024 pină la 16384). Portul este element de nivelul 4. În tabelul
12.3 este prezentată prima regulă din tabelul 11.2, care permite orice conexiune de intrare, dacă
portul destinație este mai mare 1023. Firewall-ul inspecție stare creiază un tabel pentru sesiunile
TCP de ieșire, ce corespunde la fiecare sesiune în parte. Acest tabel de stări apoi se utilizează
pentru determinarea accesibilității a orișicărui trafic de intrare. Soluția firewall-ului inspecție
stare este mai sigură, deoarece urmărirea porturilor porturilor utilizate pentru fiecare
utilizator/client este mai benefic, de cât să se deschidă pentru traficul din exterior toate porturile
de valoare mare.
Adresa sursă Port sursă Adresa destinație Port destinație Starea conexiunii
1 192.168.1.100 1030 210.9.88.29 80 Establish
2 192.168.1.102 1031 216.32.42.123 80 Establish
3 192.168.1.101 1033 173.66.32.122 25 Establish
4 223.43.21.231 1090 192.168.1.6 80 Establish
5 219.22.123.32 2112 192.168.1.6 80 Establish
6 210.99.212.18 3321 192.168.1.6 80 Establish
Avantaje:
Permite să treacă numai pachetele pentru conexiunile sesiunilor stabilite, Este
transparent pentru client și server, deoarece nu întrerupe sesiunea TCP.
Dezavantaje:
Real se utilizează numai în infrastructura TCP/IP, dar poate fi utilizat și pentru alte protocoale de
rețea prin aceeași metodă ca și pentru filtrele de pachete.
8
3.4. Dispozitivele firewall de nivel aplicație
9
Avantaje modelului Proxy cu poarta de aplicație:
lipsa transferului de pachete IP (forwarding).
permite identificarea utilizatorului, precum și permite setarea tipului de identificare,
pe conexiunea astfel intermediată se pot folosi mai multe tipuri de controale specifice
bazate chiar pe aplicație,
oferă opțiuni și posibilități de înregistrare foarte avansate ale traficului (fișiere de registru
mai detaliate).
Dezavantajul modelului Proxy:
viteza redusă a rețelei. Aplicarea tuturor regulilor de filtrare pe un singur firewall
generează o încetinire a traficului deoarece fiecare conexiune și tot traficul de pachete sunt
acceptate, negociate, translatate și transmise mai departe, această implementare poate fi mai lentă
decât filtrarea de pachete bazată pe router și presupune o muncă laborioasă pentru implementare.
un transfer de IP (IP forwarding) poate fi periculos deoarece permite unui cracker
experimentat să aibă acces la stațiile de lucru din rețeaua internă a firmei.
numărul de aplicații analizate este limitat și mărirea lui este dificilă. Din această cauză,
trebuie creat un Proxy (intermediar) pentru fiecare serviciu de rețea denumit Proxy dedicat
(firewall dedicat). Aceasta presupune existenta unui Proxy pentru FTP, pentru Telnet, pentru
HTTP etc. De aceea se preferă ca uneori să fie mai mult de un firewall care să împartă și să preia
o parte din sarcinile primului.
În figura 11.9 este exemplificat utilizarea serverilor Proxy dedicat. Proxy dedicat se
amplasează după firewall-ul de aplicație, deoarece nu analizează tot traficul. Firewall-ul de bază
primește traficul de intrare, determină aplicația la care se referă, și apoi transmite Proxy dedicat
corespunzător. Proxy dedicat efectuează filtrarea traficului, îl înregistrează în fișierul de registru
și apoi îl transmite în rețeaua internă. Proxy dedicat include in sine funcțiile de:
Filtrare a aplicațiilor Java,
Filtrare a aplicațiilor ActivX
Filtrare a scripturilor Java,
Scanarea și deletarea virușilor,
Blocarea comenzilor specifice aplicațiilor,
Blocarea comenzilor specifice utilizatorilor (pentru anumiți
utilizatori), etc.
10
3.5. Dispozitive firewall hibride
11
Figura 11.10. Funcționarea unui proces NAT.
Prima decizie în achiziționarea unui dispozitiv firewall este dacă alegem unul hardware,
software sau o combinație a celor două. O dată ales dispozitivul firewall, acesta va trebui să facă
invizibilă rețeaua firmei pentru un neautorizat și să o protejeze împotriva atacurilor.
Pentru alegerea unui firewall trebuie să se tina cont de următoarele criterii:
gradul de securitate;
sistemul de operare;
administrarea.
Gradul de securitate asigurat de un dispozitiv firewall este uneori greu de cuantificat.
Este bine știut că un firewall hardware produs de firma Cusco reprezintă topul vânzărilor. Dar tot
la fel de bine se știe și că acele firewall-uri sunt și cele mai scumpe. PIX (PIX - Private Internet
Exchange.) Firewall produs de firma Cisco este considerat ca fiind unul dintre cele mai bune
dispozitive de acest fel, asigurând o securitate ridicată și un nivel crescut de performanta.
Sistemul de operare va atârna în decizia de alegere a unui firewall în două moduri. Unul
ar fi acela că producătorii de firewall sunt de părere că firewall-urile bazate pe sisteme de operare
care au mai puține bug-uri sunt mai sigure. Al doilea motiv ar fi acela că bug-urile apărute în
folosirea unui firewall care rulează pe un sistem de operare larg răspândit vor putea fi raportate
de un număr mai mare de utilizatori. Există însă și reversul la folosirea unui sistem de operare
larg răspândit. Sistemul de operare Windows, care este cel mai răspândit, e cel mai atacat
deoarece este un sistem de operare comun, are suficiente goluri de securitate și pentru că mulți
hackeri urăsc firma Microsoft datorită politicii sale.
12
Atunci când se alege un firewall software este obligatoriu ca acesta să fie suportat de
sistemul de operare.
Administrarea unui firewall trebuie să fie familiară. Este bine cunoscut că firewall-urile
Windows sunt mai ușor de administrat decât cele UNIX (sau Linux). Existenta unei interfețe
greoaie va face ca firewall-ul să nu fie configurat optim, mai ales dacă persoana care-l
configurează nu are experiență.
Dispozitivele firewall comerciale sunt disponibile în două categorii:
Single gateway, care are suport pentru un număr specific de utilizatori și consola de
management instalată pe un singur calculator. Se prestează foarte bine la firmele mici.
Firewall Enterprise, care permit protejarea unui număr specificat de calculatoare din
rețeaua internă. Adăugarea de module suplimentare mărește numărul acestora. Achiziționarea
unui dispozitiv firewall de firmă, ca exemplu PIX Firewall, produs de Cisco, pentru protejarea la
atacuri din exterior, este de preferat în locul achiziționării unui produs software. Prețul de
achiziție și cheltuielile de implementare fac ca această soluție să nu fie aleasă decât de firmele
mari, care-și pot permite prețul.
Firewall-ul produs de firma Check-point costă pentru un modul cu 5 utilizatori 300 USD,
iar pentru un modul de 250 de utilizatori costă 6.000 USD. Asistenta tehnică este asigurată
telefonic pentru suma de 400 USD pentru incident.
Symantec Enterprise Firewall (care este un Proxy) costă (cu suport de VPN) 4.000 USD
pentru un număr de până la 100 de utilizatori și 12.500 USD pentru un număr nelimitat de
utilizatori. Suportul tehnic este asigurat pentru sume cuprinse între 400 USD (până în 100
utilizatori) și 1.875 USD (pentru un număr nelimitat de utilizatori). Symantec Enterprise Firewall
rulează pe platforme Windows NT 4 SP 6a, Windows 2000/2003, precum și pe platforme Sun
Solaris (SPARC), și este multithread (Multithread - capacitatea mai multor microprocesoare de a
funcționa ca și cum ar fi unul singur) pentru a putea să folosească facilitățile sistemelor
multiprocesor.
Firmele mici vor opta pentru soluții firewall înglobate, lucru întâlnit la serverele Internet
bazate pe sistemele de operare Linux. În cazul în care serverul respectiv are ca sistem de operare
Windows, se indică folosirea pachetului Norton Internet Security 2004 (Professional) la prețul de
70 (100) USD. Dacă se dorește și protejarea stațiilor de lucru din interiorul firmei împotriva
atacurilor din interior, se poate opta între produsele existente pe piață: Norton Firewall (Norton
Internet Securit), Zone Alarma Pro, Check-point Firewall. Preturile la aceste produse variază în
jurul valorii de 50 USD. Unele dintre aceste produse se livrează gratuit la achiziționarea unui
sistem de calcul. Este cazul produselor Norton Internet Security şi Norton Antivirus (uneori sunt
integrate într-un singur program . Norton Internet Security dar opțional se poate instala și Norton
Antivirus). Suportul tehnic pentru actualizări gratuite este de un an.
Instalarea și configurarea vor fi făcute în următorii pași:
instalare și configurare platformă sistem de operare;
instalare și configurare module firewall;
instalare și configurare server management;
instalare și configurare console de administrare;
instalare servicii suplimentare (antivirus, antispam);
configurare politici de securitate;
configurare translatare adrese (NAT);
implementare metode de autentificare.
13
Conform celor expuse, în cadrul firmei, am optat pentru o soluție de compromis financiar.
Cerințele au fost ca să fie protejate calculatoarele care au acces la Internet și de asemenea să fie
protejate și cele neconectate. Pentru prima categorie am ales varianta de externalizare a
serviciului de securitate. Serverul de Internet, pe care rula Linux, să fie dat în administrarea
distribuitorului local RDS/RCS (RDS/RCS - Grup de firme (consorțiu) specializate în distribuția
de televiziune prin cablu și distribuție Internet. ).
Acesta, de comun acord cu conducerea firmei, a instalat și configurat firewall-ul Linux cu
restricțiile impuse, urmând ca periodic să trimită la sediul firmei liste cu atacurile asupra
serverului. Totodată, firma RDS/RCS se obliga să monitorizeze permanent activitatea de pe acest
server. Pentru calculatoarele neconectate la Internet varianta aleasă a fost aceea a programelor
firewall Norton Personal Firewall/Norton Internet Security. S-a ales această soluție deoarece o
parte din calculatoarele nou-achiziționate aveau preinstalat acest program. Administrarea
calculatoarelor din rețeaua neconectată va fi făcută de către un angajat al firmei care va actualiza
permanent programele și va monitoriza rezultatele statistice generate de firewall.
Administrarea unui firewall poate fi o activitate care poate să ocupe foarte mult timp.
Aceasta depinde și de mărimea firmei, în cazul firmelor mari administrarea putând fi o operație
permanentă.
În esență, administrarea unui firewall presupune:
monitorizarea performantei firewall-ului;
monitorizarea log-urilor de securitate;
mentenanța securității prin aplicarea de patch-uri și hotfix-uri și actualizări;
intervenția în caz de nevoie.
La nivelul firmei un firewall este acel produs care împarte o singură politică centralizată
peste multiple firewall-uri. Firewall-urile la nivel de firmă permit un control centralizat al
politicii de securitate. Politica de securitate, definită la nivel de stație de lucru, este apoi replicată
peste celelalte puncte de lucru.
La firma studiată o mare parte dintre probleme se datorau conexiunii la Internet. Nu am
contorizat pierderile de productivitate datorate conexiunii la Internet, dar mai toți angajații firmei
pierdeau în fiecare dimineață, uneori zeci de minute, ca să citească presa prin Internet sau pentru
alte activități care nu aveau nici o legătură cu activitatea firmei. O mare parte dintre virusările
calculatoarelor se datorau conexiunii la Internet. Am decis că cea mai sigură cale de a limita
atacurile din Internet și de a nu mai avea pierderi de productivitate este aceea de a separa
rețeaua. Aceasta va presupune o conexiune la Internet numai a stațiilor care au într-adevăr
nevoie de asta. Accesul publicului la serverele de web, FTP, email se va face doar pe o porțiune
mică din rețea. Stațiile de lucru de aici vor conține toate datele necesare publicului, dar nu date
senzitive.
În acest fel, se asigură următoarele beneficii:
porțiunea de rețea neconectată la Internet este absolut sigură. Transferul de date din
rețeaua conectată la Internet în cea neconectată se va face folosind suporturi de memorie
de capacitate mare care și acestea vor fi scanate de viruși. Dar acest transfer se face doar
atunci când este absolut necesar;
14
soluția este foarte simplă și nu necesită echipamente speciale;
reduce riscurile de atac și infectare cu viruși;
reduce timpul pe care angajații îl pierd navigând pe web sau descărcând programe care nu
au nici o legătură cu activitatea firmei;
reducerea traficului în cele două rețele a crescut performanțele în ambele.
După realizarea separării rețelei problemele generate de viruși aproape că au dispărut în
rețeaua neconectată. Periodic, și în afara orelor de program, se conectau cele două rețele pentru a
se face actualizările de semnături de viruși, actualizările de programe firewall și alte (hot)fix-uri
de programe. Au rămas conectate la Internet numai calculatoarele la care acest lucru era absolut
necesar (5 la număr). Făcând un calcul aproximativ, au rezultat câștiguri de productivitate de
17.250.000 lei (15 calculatoare neconectate x 1 oră câștigată în fiecare zi x 50.000 lei media
tarifară orară x 23 de zile). Această nouă configurare nu a fost pe placul angajaților. Aceștia au
fost nemulțumiți de acest lucru în primele zile, situația intrând apoi în normalitate.
15