METODE DE SECURITATE A

REŢELEI DE CALCULATOARE
 Metode de securitate a reţelei de calculatoare

CUPRINS

ARGUMENT...................................................................................................4
CAPITOLUL I. NOŢIUNI INTRODUCTIVE.............................................6

CAPITOLUL II. SECURITATEA ÎN RETELE DE CALCULATOARE10

2.1. Tipuri de atacuri şi vulnerabilităţi........................................................11
1. Recunoaşterea............................................................................................12
2. Obţinerea accesului....................................................................................14
3. Denial of Service (DoS)..............................................................................15
2.2. Soluţii pentru implementarea securităţii..............................................17
2.2.1 Firewall-ul.............................................................................................18
2.2.2 Sisteme de detecţie a intruziunilor........................................................23

CAPITOLUL III. IMPLICAŢII SOCIALE ALE PROBLEMELOR

DE SECURITATE........................................................................................24

CAPITOLUL IV. NORME DE ÎNTREŢINERE ŞI UTILIZARE

A CALCULATORULUI...............................................................................25

CAPITOLUL V. NORME GENERALE DE PROTECŢIA MUNCII

ÎN DOMENIUL AUTOMATICII................................................................27

BIBLIOGRAFIE...........................................................................................30

2
 Metode de securitate a reţelei de calculatoare

ARGUMENT

Tehnologia a cunoscut un adevărat progres de-a lungul timpului. Evoluția

societății a venit în paralel cu diferitele inovații tehnice și rezolvarea multor
probleme ce păreau de nelipsit.
Exploatarea resurselor, realizarea de produse finite, precum și multe alte
activități desfășurate zi de zi au avut nevoie de o creștere a eficienței, iar acest
lucru s-a produs prin automatizare.
În orice activitate întreprinsă, eficiența joacă un rol important și se dorește
a fi regăsită mereu.
Automatizarea a reușit să ridice, din acest punct de vedere, nivelul la care
se desfășoară diferitele procese de fabricare și prelucrare. Principiul pe care se
bazează procesul de automatizare este de a oferi un randament crescut și o
productivitate ridicată.
Spre deosebire de oameni, utilizarea roboților, a diferitelor mașinării și
inteligenței artificiale prezintă un mare avantaj din punct de vedere al timpului
de execuție. Analizând orice uzină din prezent se poate observa faptul că
aparatura folosită este mult mai eficientă decât lucrările manuale. Realizarea
unei sarcini se efectuează mult mai rapid atunci cand automatizarea este
implementată, timpul de execuție putând fi chiar și de peste 10 ori mai scurt, în
funcție de dificultate, calitatea aparaturii sau nivelul de performanță al acesteia.
Procesul de automatizare a înlocuit în mare parte acțiunile repetitive ce
erau executate de către oameni. De multe ori, acest lucru ducea la o rutină
obositoare și putea să intervină lipsa de atenție. În aceste situații puteau să apară
foarte multe accidente sau produse realizate necorespunzător. Implementarea
unei aparaturi automatizate a scos din discuție aceste aspecte, totul realizându-se
în deplină siguranță și încredere.

3
 Metode de securitate a reţelei de calculatoare

De asemenea, existența unor activități cu regim special din punct de

vedere al nivelului de pericol a grăbit nevoie de a înlocui personalul cu o
aparatură specifică și rezistența acelor medii.
Pericolul pe care aceste medii îl reprezentau putea fi caracterizat de
temperaturi foarte ridicate sau foarte sacăzute, substanțe toxice prezente în aerul
din acele încăperi, materiale iritante sau diferiti alți factori ce pot constitui un
pericol din punct de vedere al sănătății.

4
 Metode de securitate a reţelei de calculatoare

CAPITOLUL I
NOŢIUNI INTRODUCTIVE

Retelele leaga impreuna de la doua pana la mii de PC-uri, permitandu-le

sa foloseasca în comun fişiere şi alte resurse. În plus, o retea poate centraliza
getionarea unei baze mari de date de PC-uri, astfel ca toate operatiile cerute de
coordonarea securitatii, salvarea de siguranta, modernizari si control se pot
desfasura intr-un singur loc. Lucrul in retea a devenit atat de important pentru
operatiile uzuale efectuate de calculatoarele personale, incat este inclus in noile
sisteme de operare si este folosit atat acasa cat si la birou.

Atacuri interne
Multe atacuri privind securitatea rețelei provin din interiorul ei. Atacurile
interne se referă la furt de parole (care pot fi utlizate sau vândute), spionaj
industrial, angajați nemulțumiți care tind de a cauza daune angajatorului, sau
simpla utilizare necorespunzătoare. Majoritatea acestor încălcări pot fi

5
 Metode de securitate a reţelei de calculatoare

soluționate cu ajutorul ofițerului de securitate a companiei, care monitorizează

activitatea utilizatorilor rețelei.
Puncte de acces nesecurizate
Aceste puncte de acces nesecurizate fără fir sunt foarte slabe împotriva
atacurilor din exterior. Ele des sunt prezentate pe comunitățile locale ale
hakerilor. Punctul slab este că orice persoană poate conecta un ruter fără fir ceea
ce ar putea da acces neautorizat la o rețea protejată.
Back Doors
Comenzi rapide administrative, erori de configurare, parole ușor
descifrabile pot fi utilizate de către hackeri pentru a avea acces. Cu ajutorul
căutătorilor computerizați (bots), hackerii pot găsi punctul slab al rețelei.
Denial of Service (DoS și DDoS)

Sniffing și spoofing
Un atac cibernetic de tip DoS (Denial of Service) sau DDoS (Distributed
Denial of service) este o încercare de a face ca resursele unui calculator să
devină indisponibile utilizatorilor. Deși mijloacele și obiectivele de a efectua
acest atac sunt variabile, în general el constă în eforturile concentrate ale unei,
sau ale mai multor persoane de a împiedica un site sau serviciu Internet să
funcționeze eficient, temporar sau nelimitat. Inițiatorii acestor atacuri țintesc de
obicei la site-uri sau servicii găzduite pe servere de nivel înalt, cum ar fi băncile,
gateway-uri pentru plăți prin carduri de credite, și chiar servere întregi.
6
 Metode de securitate a reţelei de calculatoare

Hackers, Crackers, Script Kiddies

Hackerii Cuvântul hacker în sine are mai multe interpretări. Pentru mulți,
ei reprezintă programatori și utilizatori cu cunoștinte avansate de calculator care
încearcă prin diferite mijloace să obțină controlul sistemelor din internet, fie ele
simple PC-uri sau servere. Se referă de asemeni la persoanele care ruleaza
diferite programe pentru a bloca sau încetini accesul unui mare număr de
utilizatori, distrug sau șterg datele de pe servere. Termenul "Hacker" are și o
interpretare pozitivă, descriind profesionistul in rețele de calculatoare care-și
utilizează aptitudinile în programarea calculatoarelor pentru a descoperi rețele
vulnerabile la atacuri de securitate. Actiunea in sine, aceea de hacking e privită
ca cea care impulsionează cercetarea în acest domeniu.
Crackerii sunt niște persoane care au un hobby de a sparge parole și de a
dezvolta programe și virusuri de tip cal troian (en: Trojan Horse), numite Warez.
De obicei ei folosesc programele pentru uz propriu sau pentru a le relizeaza
pentru profit.
Script kiddies sunt persoane care nu au cunoștințe sau aptitudini despre
penetrarea unui sistem ei doar descarcă programe de tip Warez pe care apoi le
lansează cu scopul de a produce pagube imense. Aceste persoane sunt angajați
nemulțumiți, teroriști, cooperativele politice.
Viruși și viermi
Virușii și viermii reprezintă programe care au proprietatea de a se
automultiplica, sau fragmente de cod care se atașează de alte programe (viruși)
sau calculatoare (viermii). Virușii de obicei stau în calculatoarele gazdă, pe când
viermii tind să se multiplice și să se extindă prin intermediul rețelei.
Cal troian
Calul Troian (Trojan Horse) se atașează de alte programe. Când se
descarcă un fișier care este infectat cu acest virus, el va urma sa infecteze
sistemul, unde oferă hackerilor acces de la distanță si puterea de a manipula
sistemul.

7
 Metode de securitate a reţelei de calculatoare

Botnets
Îndată ce un calculator (sau probabil mai multe calculatoare) au fost
compromise de un Troian, hackerul are acces la aceste calculatoare infectate,
unde de aici el poate lansa atacuri cum ar fi DDoS (Distribuited Denial of
Service).
Grupa de calculatoare care sunt sub controlul hakerului se numesc
botnets. Cuvântul botnet provine de la robot, aceasta însemnând că
calculatoarele îndeplinesc comenzile proprietarului lor și rețea însemnând mai
multe calculatoare coordonate.
Sniffing/Spoofing
Sniffing se referă la actul de interceptare a pachetelor TCP (Transmission
Control Protocol). Spoofing se referă la actul de trimitere nelegitimă a unui
packet de așteptare ACK.

8
 Metode de securitate a reţelei de calculatoare

CAPITOLUL II
SECURITATEA ÎN REŢELE DE CALCULATOARE

Implementarea securităţii într-o reţea de calculatoare cuprinde trei aspecte

importante: confidenţialitatea, integritatea şi disponibilitatea.
Confidenţialitatea reprezintă calitatea unei reţele de a asigura accesul la
informaţie doar persoanelor autorizate.
Integritatea garantează faptul că informaţia nu a fost modificată de
persoane neautorizate.
Disponibilitatea poate fi definită ca timpul în care reţeaua de calculatoare
şi resursele din cadrul ei sunt operaţionale.
Pentru fiecare din aceste aspecte ale securităţii reţelelor de calculatoare
există atacuri, astfel încât securizarea unei reţele de calculatoare trebuie să
implementeze fiecare din aceste aspecte.

Probleme:
• identificarea, autorizarea şi monitorizarea activităţii utilizatorilor
• securizarea perimetrului reţelei
• asigurarea confidenţialităţii şi integrităţii datelor
• monitorizarea reţelei
• managementul echipamentelor şi infrastructurii de securitate.

- soluţii: firewall-uri, VPN-uri, sisteme de detecţie a intruziunilor,

etc.
- definirea unei politici de securitate
- O politică de securitate este "o definire formală a regulilor după care
persoanele care au acces la bunurile tehnologice şi informatice ale organizaţiei
trebuie să le respecte''.

9
 Metode de securitate a reţelei de calculatoare

 politică de securitate specifică ce, cine şi în ce condiţii se pot accesa

anumite resurse ale organizaţiei
 politica de securitate trebuie implementată pentru a ne asigura că
este respectată.

2.1 Tipuri de atacuri şi vulnerabilităţi

Există două cauze majore ce pot constitui ameninţări pentru o reţea de
calculatoare, chiar după ce a fost implementată o politică de securitate corectă:
1. vulnerabilităţi (probleme cauzate de tehnologie) şi
2. configurare necorespunzătoare.

Vulnerabilităţile sunt probleme ale sistemelor de operare, protocoalelor

TCP/IP, dispozitivelor de reţea prin care un atacator poate accesa reţeaua fără a
respecta politica de securitate implementată.
Chiar dacă vulnerabilităţile sunt problemele cele mai grave şi mai greu de
controlat, trebuie însă notat că cele mai multe probleme apar datorită
configurării incorecte sau definirii unei politici de securitate necorespunzătoare.
Atacurile asupra unei reţele de calculatoare pot fi clasificate în:
1. atacuri interne sau externe şi
2. atacuri structurate sau nestructurate.
Atacurile externe sunt efectuate din afara organizaţiei (din punctul de
vedere al reţelei). Atacurile interne sunt efectuate din reţeaua organizaţiei.
Atacurile nestructurate sunt atacurile care sunt iniţiate de indivizi
neexperimentaţi ce utilizează exploit-uri disponibile pe Internet. Exploit-urile
sunt programe ce exploatează vulnerabilităţile pentru a ocoli politica de
securitate implementată într-o reţea.
Atacurile structurate sunt iniţiate de indivizi mult mai bine motivaţi şi cu
cunoştinţe tehnice competente. Aceşti indivizi cunosc vulnerabilităţi de sistem şi

10
 Metode de securitate a reţelei de calculatoare

le pot folosi pentru a căpăta acces în reţea, pot detecta noi vulnerabilităţi de
sistem şi pot dezvolta cod şi scripturi pentru a le exploata.

Un atac trece în general prin trei faze:

1. faza de recunoaştere,
2. faza de obţinere a accesului - formată din două etape: una în care
atacatorul obţine acces în cadrul reţelei pe una din maşinile din reţea prin
exploit-uri de la distanţă şi faza în care, dacă este cazul, obţine acces privilegiat
pe maşina respectivă cu ajutorul unor exploit-uri locale.
3. faza în care sistemele compromise sunt folosite pentru a ataca alte
reţele. (eventual)

1. Recunoaşterea
- defineşte procesul prin care un atacator descoperă maparea sistemelor, a
serviciilor şi vulnerabilităţilor în reţea. In această fază atacatorul strânge
informaţii şi, de cele mai multe ori, această fază precede un atac efectiv.
Într-o primă fază atacatorul foloseşte utilitare precum nslookup sau whois
pentru a descoperi spaţiul de adrese alocate organizaţiei ţintă. Apoi face un ping
sweep încercând să determine care din adresele de IP sunt alocate şi care din
sisteme sunt pornite.
Se foloseşte apoi un port scanner pentru a determina ce servicii sunt
active. Acest utilitar funcţionează pe principiul că fiecare serviciu (web, ftp, etc)
are alocat un port.
Utilitarul trimite pachete SYN către maşina atacată pe portul
corespunzător serviciului care se încearcă a fi detectat. Dacă maşina atacată
rulează serviciul, sistemul de operare va trimite un pachet de tipul SYN, ACK
pentru a începe negocierea unui canal de comunicaţie. Acest utilitar poate de
asemenea să detecteze şi tipul sistemului de operare, cel mai adesea datorită

11
 Metode de securitate a reţelei de calculatoare

modului în care unele din sistemele de operare generează numere de secvenţă

pentru pachetele TCP.
După determinarea serviciilor şi sistemului de operare, atacatorul încearcă
să obţină versiunea sistemului de operare şi versiunile serviciilor rulate. Acest
lucru se poate face prin conectarea cu utilitare de gen telnet pe portul serviciului
respectiv şi examinarea mesajele afişate. Pe baza acestor informaţii atacatorul
poate determina ce vulnerabilităţi există şi ce sisteme poate ataca.
O altă modalitatea de recunoaştere a resurselor o reprezintă aşa numitul
proces de packet sniffing. El este folosit mai ales în reţelele în care mesajele
ajung la toată lumea conectată la mediu, ca în cazul Ethernet atunci când se
foloseşte un hub. Datorită acestui lucru, tot traficul dintr-o astfel de reţea poate
fi analizat.
In mod normal, placa de reţea nu va prelua din mediu decât pachetele
destinate staţiei respective sau pachetele de broadcast (la nivel 2). Dacă există
privilegii suficiente, se poate configura placa de reţea astfel încât să preia toate
pachetele ce circulă pe mediu, prin setarea acesteia în promiscuous mode.
Pachetele astfel captate pot fi procesate cu diverse utilitare şi pe baza lor se pot
mapa adrese, versiuni de sisteme de operare sau servicii. Mai mult, folosind
utilitare de packet sniffing se pot recepţiona chiar şi date importante care ar
trebui sa aibă un caracter privat, cum ar fi parole, numere de cărţi de credit,
informaţii confidenţiale, etc.
O falsă soluţie pentru a preveni problemele ce apar atunci când se folosesc
utilitare de packet sniffing este să se folosească un switch ca metodă de
interconectare în loc de un hub. Deşi reduce probabilitatea ca un atacator să
poată intercepta pachetele, nu este o metodă sigură. Sunt cunoscute metode prin
care un switch poate fi păcălit să trimită pachete şi către alte porturi (şi implicit
calculatoare), nu doar către portul destinaţie. Aceste metode poartă numele de
ARP poisoning.
Metode eficiente de protecţie împotriva unui atac de recunoaştere sunt:

12
 Metode de securitate a reţelei de calculatoare

• folosirea unui firewall, pentru a bloca încercările de recunoaştere,

• folosirea doar a unor protocoale sigure care nu trimit datele în clar,
ci criptate, sau
• folosirea criptării pentru protocoalele nesigure prin tunelare.

2. Obţinerea accesului
Una dintre cele mai sigure metode de obţinere a accesului privilegiat este
a sparge parola. Acest lucru presupune că atacatorul are deja acces pe o maşină
din reţea şi doreşte acces privilegiat (root, Administrator). Deşi un atac "brute
force'' nu are cum să dea rezultate decât pe sistemele la care parolele sunt
limitate la 6-7 caractere, există atacuri care se folosesc de unele particularităţi
ale parolelor. S-a observat că majoritatea parolelor folosite se încadrează în
anumite categorii, pentru a putea fi uşor ţinute minte. Din această cauză există
utilitare de spart parole bazate pe dicţionare (Jack The Ripper).
Altă metodă de exploit-uri de la distanţă este deturnarea unei conexiuni
TCP (TCP session hijack). Ea constă în aşteptarea ca un utilizator să se logheze
pe sistem ce doreşte să fie atacat, şi apoi în trimiterea de pachete către portul pe
care rulează serviciul, luând locul utilizatorului care s-a autentificat.
Această metodă se foloseşte dacă se pot prezice numerele de secvenţă
dintr-un pachet TCP. O variantă de deturnare de conexiuni TCP este man in the
middle attack. In acest caz, atacatorul trebuie să aibă acces la o maşină pe care
trece traficul dintre două entităţi A şi B.
În acest caz, atacatorul interceptează cererea de conexiune de la A la B şi
răspunde lui A, stabilind cu A o conexiune. Apoi stabileşte şi cu B o conexiune.
Toate datele trimise de A vor fi apoi trimise lui B şi invers. Astfel atacatorul are
acces la convorbirea dintre A şi B, chiar dacă traficul este criptat din punctul de
vedere al lui A şi B.
IP spoofing este o metodă de atac, dar poate fi folosită şi pentru a ascunde
identitatea atacatorului sau pentru a lansa atacuri. Prin acest atac, pachetele

13
 Metode de securitate a reţelei de calculatoare

TCP/IP sunt manipulate, falsificând adresa sursă. În acest mod atacatorul poate
căpăta acces atribuindu-şi o identitate (adresa de IP) care are autorizare să
acceseze resursa atacată. Datorită falsificării adresei sursă a pachetului IP,
atacatorul nu poate stabili decât o comunicaţie unidirecţională (presupunând că
nu este prezent în reţeaua locală a maşinii atacate). Acest lucru face protocolul
TCP nesusceptibil pentru asemenea atacuri. Există însă numeroase servicii UDP
care pot fi exploatate cu acest tip de atac.
Viruşii pot constitui metode de atac, atunci când poartă cu ei troieni.
Troienii sunt programe simple, care deschid uşi de acces pe sistemele infectate
de virus.
O metodă diferită faţă de cele discutate până acum o reprezintă ingineria
socială. Ea constă în aflarea de informaţii esenţiale direct de la utilizatori.

3. Denial of Service (DoS)

faza în care sistemele compromise sunt folosite pentru a ataca alte reţele

Atacurile de tipul denial of service (DoS) opresc sau încetinesc foarte mult
funcţionarea unor reţele, sisteme sau servicii. Ele sunt cauzate de un atacator
care doreşte să împiedice accesul utilizatorilor la resursele atacate. Atacatorul nu
are nevoie să fi căpătat înainte acces pe calculatorul pe care doreşte să efectueze
atacul. Există multe posibilităţi prin care un atac DoS se poate manifesta. Efectul
însă este acelaşi: se împiedică accesul persoanelor autorizate de a folosi
serviciile de pe sistem prin utilizarea la maxim a resurselor sistemului de către
atacator.
• Exemplu de atac DoS local este un program care creează procese la
infinit. Acest lucru va duce în cele din urmă la încetinirea sistemului, pentru că
existând un număr foarte mare de procese create de atacator, probabilitatea ca
acestea să se execute va fi foarte mare, iar procesele celorlalţi utilizatori nu mai
apucă să se execute.

14
 Metode de securitate a reţelei de calculatoare

• Un alt tip de atac DoS local posibil este crearea unui număr limitat de
procese (pentru că majoritatea sistemelor de operare moderne limitează numărul
maxim de procese pe care un utilizator le poate crea), care alocă zone de
memorie de dimensiuni mari şi care accesează aceste zone aleator. Ideea acestui
atac este de a forţa sistemul de operare să lucreze cu swap-ul, încetinindu-l.
• Există şi atacuri DoS de la distanţă - se bazează pe vulnerabilităţi ale SO
sau aplicaţiilor. Un exemplu este atacul cu date out of band, conceput pentru
sistemele de operare Windows 95 şi NT. Acest atac va determina sistemul de
operare să se blocheze sau să se reseteze. Datele out of band sunt date care nu
fac parte din fluxul normal de date schimbat între doi sockeţi. Acest tip de date
sunt trimise doar în cazuri speciale şi au prioritate faţă de datele normale. Un
exemplu de situaţie în care datele out of band sunt folositoare poate fi următorul:
presupunem că avem o aplicaţie client - server ce implementează un protocol
similar cu telnet. Astfel, între client şi server se trimit comenzile, respectiv
outputul acestora. Pentru a suporta dimensiuni variabile ale ecranului la client,
în momentul în care acesta redimensionează fereastra se trimite serverului un
mesaj out of band în care se specifică noile dimensiuni ale ecranului.
• Atacul Ping of Death foloseşte pachete IP modificate care indică faptul
că pachetul are mai multe date decât are de fapt. Acest atac determină blocarea
sau resetarea maşinii pe sistemele care nu verifică acest lucru.
Atacuri DoS distribuite
Atacurile DoS distribuite sunt astfel concepute încât să satureze lărgimea
de bandă pe legătura ce conectează reţeaua la Internet cu pachete de date trimise
de atacator, astfel încât pachetele legitime nu mai pot fi trimise. Pentru a realiza
acest lucru un atacator se foloseşte, direct sau indirect, de mai multe sisteme .
• Un exemplu de astfel de atac este Smurf. Acesta începe prin a trimite un
număr mare de mesaje ICMP de tip echo-request (sau ping) către adrese de
broadcast, sperând că aceste pachete vor fi trimise unui întreg segment de reţea.

15
 Metode de securitate a reţelei de calculatoare

De asemenea aceste pachete sunt falsificate pentru a avea ca adresă sursă adresa
sistemului ţintă. Dacă pachetul trece de dispozitivul de rutare, el va fi
recepţionat de către toate staţiile de pe un segment de reţea. Acestea vor
răspunde cu un pachet de tip echo-reply către adresa falsă din pachet. Astfel,
staţiile vor genera trafic către adresa specificată de atacator. Acest tip de atac
poate fi uşor contracarat dacă pe ruter se dezactivează rutarea pachetelor de
broadcast direcţionat.
• Un alt tip de atac distribuit se poate realiza cu pachetul de utilitare
TFN2K (Tribe FloodNetwork 2000). Atacul TFN are capacitatea de a genera
pachete de IP cu adresa sursă falsificată. În prealabil însă, sistemele de pe care
se face atacul trebuie să fi fost instalate cu aceste utilitare. Acest lucru se face în
primul pas, când se atacă staţiile (denumite drone-uri). Un TFN master poate
apoi comanda drone-urile cauzând atacuri DoS distribuite

2.2 Soluţii pentru implementarea securităţii

• asigurarea securităţii perimetrului reţelei se face cu un firewall,
dispozitiv special de reţea.

16
 Metode de securitate a reţelei de calculatoare

• Monitorizarea reţelei se face cu un IDS (Intrusion Detection

Figura : Exemplu de atac Smurf

System), alt dispozitiv special de reţea.

• Păstrarea confidenţialităţii şi integrităţii datelor într-un mediu ostil
se face cu tehnologii VPN (VirtualPrivate Network).
• Pentru identificarea, autorizarea şi monitorizarea activităţii
(accounting) utilizatorilor într-un mod centralizat se folosesc protocoale precum
RADIUS (Remote Authentication Dial-In User Service) sau TACACS (Terminal
Access Controller Access Control System).

1. Firewall-ul
- firewall-ul este un sistem sau un grup de sisteme care implementează
politica de acces între două sau mai multe reţele.

17
 Metode de securitate a reţelei de calculatoare

- Firewall-urile pot fi clasificate în patru mari clase:

1. firewall-uri dedicate,
2. firewall-uri de rutere,
3. firewall-uri de server şi
4. firewall-uri personale.

Firewall-urile dedicate sunt maşini ce rulează un sistem de operare

special conceput pentru filtrarea de pachete şi translatarea de adrese.

Firewall-urile de rutere reprezintă de fapt software special care rulează pe

rutere. Ruterul este astfel integrat cu facilităţi de firewall.

Firewall-urile de server sunt implementate, în general, ca un software

adiţional peste un sistem de operare de reţea (Linux, NT, Win2K, Novell,
UNIX). Exemple de astfel de pachete software sunt: Netfilter, Microsoft ISA
Server, Novell Border Manager. Din cauză că rulează software peste un sistem
de operare de uz general, aceste tipuri de firewall-uri nu se descurcă la fel de
bine în situaţii de încărcare mare ca un firewall dedicat.

Firewall-urile personale sunt instalate pe calculatoarele personale. Ele

sunt concepute pentru a preveni atacuri doar asupra calculatorului pe care
rulează. Este important de reţinut că aceste tipuri de firewall-uri nu sunt
optimizate pentru reţele întregi de calculatoare.
Principalele mecanisme prin care un firewall asigură protecţia reţelei
sunt : filtrarea de pachete şi translatarea de adrese.

Filtrarea de pachete
Filtrarea de pachete este procesul prin care firewall-ul lasă să treacă în
reţeaua locală doar anumite pachete, pe baza unor reguli. Filtrarea de pachete

18
 Metode de securitate a reţelei de calculatoare

este folosită pentru a proteja o reţea de atacuri din exterior (Internet) şi se

realizează la nivelurile OSI 3 şi 4.
Regulile de filtrare sunt formate dintr-o parte care identifică pachetul şi o
parte care specifică cum să se trateze pachetul.
In partea de identificare se poate specifica adresa sursă, adresa
destinaţie, adresa de reţea sursă, adresa de reţea destinaţie, protocolul (TCP,
UDP, ICMP), portul sursă sau destinaţie (doar pentru TCP sau UDP), tipul
mesajului (pentru ICMP), interfaţa de intrare sau ieşire, adresele de nivel doi,
etc.
Partea de tratare a pachetului specifică ce anume trebuie făcut cu
pachetele identificate de regulă. Pentru filtrare există în general 3 posibilităţi de
tratare: acceptare, ignorare sau respingere. In cazul acceptării pachetul este
lăsat să treacă. In cazul ignorării pachetului nu este lăsat să treacă şi nu se trimite
notificare către sursă. In cazul respingerii pachetul nu este lăsat să treacă, dar se
trimite notificare către sursă (un mesaj ICMP al cărui tip poate fi, în unele
implementări, ales de cel care construieşte regula; de cele mai multe ori se
foloseşte un mesaj ICMP de tip port-unreachable).

Translatarea de adrese
Translatarea de adrese sau NAT este procesul prin care un ruter modifică
adresele sursă (SNAT) sau destinaţie (DNAT) din anumite pachete care trec prin
ruter pe baza unor reguli.
Putem considera că translatarea adreselor este o funcţie definită pe o
mulţime de adrese (A) cu rezultate într-o altă mulţime de adrese (B). Astfel,
fiecare pachet cu o adresă sursă sau destinaţie (după cum este specificat în
regulă) din mulţimea A va fi înlocuită cu o adresă din mulţimea B.

19
 Metode de securitate a reţelei de calculatoare

Se spune că avem o translatare de adresă statică dacă mulţimile A şi B

sunt fiecare formate dintr-un singur element. În caz contrar avem o translatare
de adrese dinamică.
Avantajul folosirii translatării de adrese dinamice constă în faptul că se
poate folosi o partajare a adreselor rutabile disponibile organizaţiei. Astfel,
calculatoarelor din reţeaua locală li se alocă adrese private, iar ruterul va face o
translatare de adrese dinamice din mulţimea de adrese private în mulţimea de
adrese publice alocate organizaţiei. Se observă însă că această abordare permite
ca doar Card(B) calculatoare din reţeaua locală să aibă conversaţii TCP sau UDP
cu Internetul. Alt avantaj al folosirii translatării de adrese este acela că se
ascunde astfel exteriorului maparea reală de adrese.
Translatarea de adrese statică se foloseşte atunci când în reţeaua locală
avem un server pe care dorim să îl accesăm din exterior. În acest caz se face o
mapare unu la unu între adresa din interior şi cea din exterior.
O metodă mai avansată de translatare de adrese o reprezintă PAT (Port
Address Translation), uneori denumită şi NAT overloaded. Această metodă
permite un număr de aproximativ 64000 de conversaţii simultane de la orice
host intern către exterior cu o singură adresă externă. Implementarea înlocuieşte
pachetul din reţeaua locală cu adresa sursă S, adresa destinaţie D, portul sursă P,
portul destinaţie Q, cu altul nou ce va avea adresa sursă M (adresa ruterului),
adresa destinaţie D, portul sursa K. Portul destinaţie nu se schimbă. De
asemenea se memorează asocierea (S,P) - K. Dacă un pachet ajunge pe ruter din
exterior, având adresa destinaţie M, adresa sursă Q şi portul destinaţie K, atunci
acest pachet va fi înlocuit cu un altul cu adresa destinaţie S, adresa sursă Q,
portul destinaţie P şi va fi trimis în reţeaua locală. Portul sursă nu se schimbă.
Un caz special al PAT îl reprezintă redirectarea. În acest caz se va înlocui
pachetul primit din reţeaua locală având adresa sursă S, adresa destinaţie D,
portul P cu un altul având adresa sursă S, adresa destinaţie M (adresa ruterului),
portul R (portul în care se face redirectarea, specificat de utilizator).

20
 Metode de securitate a reţelei de calculatoare

Redirectarea este în general folosită pentru a implementa un proxy transparent,

caz în care pe ruterul M portul R ascultă un proxy configurat pentru proxy
transparent.

Filtrare de pachete şi translatare de adrese avansată

Anumite protocoale, datorită felului în care sunt concepute, pot să nu
funcţioneze corect atunci când clientul şi serverul sunt separate de un firewall
care filtrează pachete sau implementează PAT. În general, pentru astfel de
protocoale clientul şi serverul negociază un port pentru client şi apoi serverul
iniţiază o conexiune către client pe portul negociat. Din această cauză,
implementarea unui mecanism de filtrare care să permită funcţionarea acestui
protocol, dar să protejeze staţia de atacuri din exterior, se complică extrem de
mult. La fel stau lucrurile şi pentru PAT.
Exemplu de astfel de protocoale : FTP.
Protocolul FTP foloseşte două porturi:
- portul de date (ftp-date) şi
- portul de comenzi (ftp-comenzi).

21
 Metode de securitate a reţelei de calculatoare

La conectarea la server, clientul iniţiază o conexiune către portul ftp-

comenzi. În momentul în care clientul doreşte transferul unui fişier el va pregăti
un port pe care va asculta cereri de conexiuni de la server, după care va trimite
pe canalul de comenzi un mesaj în care i se cere serverului fişierul de transferat
şi în care îi trimite serverului portul pe care clientul ascultă. Serverul va iniţia
apoi o conexiune de pe portul ftp-date către portul specificat de client. Aceste
este modul de funcţionare normal pentru protocolul FTP. Clientul poate fi însă
configurat să ceară de la server un mod de lucru pasiv, în care doar clientul
iniţiază conexiuni.
Fie o situaţie în care dorim să utilizăm filtrarea de pachete pentru a proteja
reţeua locală de atacuri din exterior. Astfel, pe firewall nu vom permite ca
staţiile din exterior să iniţieze conexiuni către staţiile din interior. Din acest
motiv, în momentul în care o staţie locală va încerca să transfere un fişier în mod
normal de pe un server de FTP, firewall-ul va bloca încercarea de deschidere a
unei conexiuni a serverului către client. Cum portul este negociat de client,
problema apărută nu se poate rezolva foarte simplu.
Singura soluţie posibilă este ca firewall-ul să analizeze toate pachetele
schimbate de client şi server şi să identifice portul negociat. Cu această
informaţie va putea apoi permite stabilirea conexiunii iniţiate de server cu
clientul. Folosirea unei astfel de abordări este denumită stateful inspection sau
connection tracking.

2 Sisteme de detecţie a intruziunilor

Sistemele de detecţie a intruziunilor - Intrusion Detection Systems (IDS)
au abilitatea de a detecta atacurile împotriva unei reţele. Aceste sisteme
identifică, opresc şi semnalează atacurile asupra resurselor reţelei.

22
 Metode de securitate a reţelei de calculatoare

Există două tipuri de sisteme de detecţie a intruziunilor:

- pentru staţii şi
- pentru reţele.
Un HIDS (Host based IDS) sau un sistem de detecţie a intruziunilor pentru
staţii înregistrează atât operaţiile efectuate, cât şi utilizarea resurselor sistemului.
Un avantaj al HIDS este faptul că el poate preveni atacuri necunoscute. De
exemplu un HIDS poate monitoriza accesul la fişiere şi reacţiona când un
atacator încearcă să şteargă fişiere critice. Chiar dacă tipul atacului este nou şi
nu poate fi recunoscut de un NIDS (Network based IDS) un HIDS poate sesiza
atacul.
Cea mai simplă formă de HIDS este pornirea proceselor de logare pe
sistem. O astfel de metodă se spune că este pasivă. Dezavantajul acestei metode
este faptul că necesită multe ore de muncă din partea administratorului pentru a
analiza logurile. Sistemele HIDS curente folosesc agenţi software care sunt
instalaţi pe fiecare maşină şi care monitorizează activ sistemul (pot reacţiona
dacă detectează atacuri). Atunci când HIDS-ul este configurat să răspundă activ,
el va opri serviciile de reţea pentru a preveni eventuale pagube şi a putea analiza
exact atacul. Un exemplu de sistem de detecţie a intruziunilor este Linux
Intrusion Detection System (LIDS).
NIDS-urile sunt dispozitive de inspectare a traficului şi acţionează prin
colectarea de date de la senzori amplasaţi în reţea. NIDS-urile captează si
analizează traficul ce traversează reţeaua. Avantajul folosirii unui NIDS este
faptul că nu trebuie aduse modificări pe staţii. În schimb, datorită faptului că la
baza NIDS-urilor stă detecţia bazată pe semnături ale atacurilor, el nu poate opri
sau detecta atacuri noi.

CAPITOLUL III
IMPLICAŢII SOCIALE ALE PROBLEMELOR DE SECURITATE

23
 Metode de securitate a reţelei de calculatoare

Din motive strategice lesne de înţeles, dezvoltarea tehnicilor criptografice

este o problema delicată şi în general politicile guvernamentale incearca sa tina
sub control acest domeniu. Evident ca aceasta abordare nu este pe placul
cercetatorilor care urmaresc evoluţia algoritmilor în primul rând din raţiuni
stiintifice si nici al publicului larg, în masura în care s-ar leza libertăţile
individuale.
Un caz renumit de reactie guvernamentala negativa la distribuirea unui
soft criptografic, dezbatut in cele din urma instanta juridica, este cel al
sistemului de posta electronica criptata Pretty Good Privacy, creat de Phil
Zimmerman şi distribuit pe Internet.
În unele ţări (de exemplu, Franţa), criptografia neguvernamentala este
interzisa, cu exceptia cazurilor în care guvernul primeste toate cheile utilizate.
De asemenea, interceptările guvernamentale ale comunicaţiilor private s-au
practicat pe scară destul de extinsă. De exemplu, guvernul SUA a propus o
tehnica de criptare a viitoarelor telefoane digitale care include o caracteristica
speciala ce ar permite institutiilor autorizate (şi care detin un ordin judecătoresc
în acest sens) interceptarea şi decriptarea oricărui apel telefonic din SUA. Acest
subiect a iscat numeroase discuţii contradictorii atât din punct de vedere
tehnologic (au fost propuse chiar metode de contracarare a procedeului), cât şi
juridic fiindcă, pe de o parte, ar putea fi lezate libertăţile individuale iar, pe de
altă parte, s-ar putea asigura depistarea unor acţiuni antisociale.

24
 Metode de securitate a reţelei de calculatoare

CAPITOLUL IV
NORME DE ÎNTREŢINERE ŞI UTILIZARE A CALCULATORULUI

 Calculatoarele şi echipamentele periferice nu se vor muta şi nu vor fi

lovite sau expuse unor condiţii necorespunzătoare de lucru.
 este interzisă demontarea aparatelor, detaşarea carcaselor, efectuarea
reglajelor sau accesul la componentele interne ale calculatoarelor.
 manevrarea mufelor şi a cablurilor de legătură dintre componentele
sistemelor de calcul se face numai după ce acestea au fost deconectate de la
reţeaua electrică.
 înainte de a fi citite sau de a se copia date de pe ele, dischetele vor fi
verificate cu un program antivirus.
 Este interzisă modificarea fişierelor de configurare şi a celor al căror rol
nu este foarte bine cunoscut.
 Nu se varsă lichide pe calculator.
 se evită pătrunderea prafului în calculator.
 calculatorul nu se ţine în zona unor câmpuri electromagnetice
puternice.
 Se evită folosirea calculatorului la temperaturi foarte scăzute sau foarte
ridicate.
 calculatorul nu se curăţă atunci când este alimentat la reţea.
 tastatura se protejează de praf dacă se păstrează în afara sesiunii de
lucru acoperită cu o husă de protecţie.
 pentru disc-urile cu informaţii importante trebuie să existe o copie de
siguranţă.
 disc-urile se ţin în cutiile lor în poziţie verticală sau în cutii speciale
pentru disc-urile flexibile. Nu se ţin disc-urile unele peste altele, în praf, printre
alte obiecte.

25
 Metode de securitate a reţelei de calculatoare

 disc-urile nu se ţin lângă surse puternice de căldură sau în bătaia

soarelui.
 disc-urile nu se ţin lângă magneţi sau câmpuri electromagnetice
puternice (pe carcasa calculatorului, în apropierea difuzoarelor).
 nu se scoate disc-ul de pe unitatea de floppy dacă LED-ul este aprins.
 la introducerea şi extragerea lor de pe unitatea de CD-ROM CD-urile
trebuiesc manevrate cu grijă, fără a se atinge suprafaţa lucioasă.
 Principii ergonomice.
 studiile ergonomice au arătat că poziţia de lucru este foarte importantă.
O poziţie improprie poate provoca nu numai disconfort, ci şi apariţia unor
afecţiuni profesionale. De aceea, trebuie să se ţină cont de următoarele indicaţii:
 trebuie să ne asigurăm că biroul şi scaunul au poziţia corectă-
antebraţele şi coapsele trebuie să fie orizontale;
 coatele trebuie ţinute aproape de corp, astfel încât braţul să formeze un
unghi de 90 de grade cu cu antebraţul;
 spatele trebuie ţinut drept, lipit de spătarul scaunului;
 înălţimea scaunului trebuie potrivită astfel încât să se ajungă la tastatură
fără a depărta antebraţele de corp;
 tastele se lovesc scurt, după care degetele revin într-o poziţie relaxată,
de aşteptare;
 nu se sprijină încheieturile pe masă, deoarece acest lucru ar limita
mişcările;
 se curăţă bine ecranul monitorului, pentru a se îndepărta petele şi a se
evita reflexiile sau strălucirile;
 trebuie să se asigure o luminozitate bună, dar fără străluciri în câmpul
vizual;
 se elimină sursele de zgomot.

26
 Metode de securitate a reţelei de calculatoare

CAPITOLUL V

NORME GENERALE DE PROTECŢIA MUNCII ÎN DOMENIUL

AUTOMATICII
Normele generale de protecția muncii cuprind principii generale de
prevenire a accidentelor de munca și bolilor profesionale precum și direcțiile
generale de aplicare a acestora. Acestea au ca scop diminuarea sau eliminarea
factorilor de risc de accidente si a îmbolnavirilor profesionale existente în
sistemul de munca. Aceste prevederi constituie cadrul general pentru elaborarea
normelor specifice și a instructiunilor proprii de protectia muncii.
Pentru protecția împotriva electrocutarii prin atingere directă trebuie să se
aplice măsuri tehnice și organizatorice. Măsurile organizatorice le completează
pe cele tehnice in realizarea protecției necesare.
Măsurile tehnice care pot fi folosite pentru protecția impotriva
electrocutării prin atingere directă sunt:
• acoperiri cu materiale electroizolante ale părților active ale instalațiilor și
• echipamentelor electrice;
• inchideri in carcase sau acoperiri cu invelișuri exterioare;
• îngrădiri;
• protecția prin amplasarea în locuri inaccesibile prin asigurarea unor
distanțe minime de securitate;
• scoaterea de sub tensiune a instalației sau echipamentului electric la care
urmează să se execute lucrări și verificarea lipsei tensiunii;
• utilizarea de dispozitive speciale pentru legări la pamânt și în scurtcircuit;
• folosirea mijloacelor de protecție electroizolante;
• alimentarea la tensiuni foarte joase ( reduse ) de protecție;
• egalizarea potențialelor și izolarea față de pamânt a platformei de lucru;

27
 Metode de securitate a reţelei de calculatoare

Măsurile organizatorice care pot fi aplicate împotriva electocutării prin atingere

directă sunt următoarele:
• executarea intervențiilor la instalațiile electrice ( depanări, reparări,
racordări )
• trebuie să se facă numai de personal calificat in meseria de electrician,
autorizat și
• instruit pentru lucrul respectiv;
• efectuarea intervențiilor se face pe baza unei forme de lucru care poate fi:
• autorizații de lucru scrise ( AL ) ,
• în baza unor instrucțiuni tehnice interne de protecția muncii ( ITI-PM),
• în baza atribuțiilor de servici ( AS ) ,
• în baza dispozițiilor verbale ( DV ) ,
• în baza proceselor verbale ( PV ),
• în baza obligațiilor de serviciu ( OS)
• sau pe proprie răspundere ( PR).
• delimitarea materială a zonei de lucru:
• esalonarea operațiilor de intervenție la instalațiile electrice;
• elaborarea unor instrucțiuni de lucru pentru fiecare intervenție la
instalațiile electrice;
• organizarea și efectuarea verificărilor periodice ale măsurilor tehnice de
protecție împotriva atingerilor directe;
Pentru evitarea electrocutării prin atingere indirecta trebuie să se aplice
două măsuri de protecție: o măsură de protecție principală , care să asigure
protectia în orice conditii și o măsură de protecție suplimentară, care să asigure
protecția în cazul deteriorării protecției principale. Cele două măsuri trebuie să
fie astfel alese incât să nu se anuleze una pe cealaltă. În locurile puțin
periculoase din punct de vedere al pericolului de electrocutare este suficientă
aplicarea unei măsuri, considerată principală.

28
 Metode de securitate a reţelei de calculatoare

Pentru evitarea accidentelor prin electrocutare, prin atingere indirectă,

măsurile de protecție care pot fi aplicate sunt urmatoarele:
• folosirea tensiunilor foarte joase de securitate TFJS
• legarea la pamânt;
• legarea la nulul de protecție;
• izolarea suplimentară de protecție, aplicată utilajului, în procesul de
fabricație;
• izolarea amplasamentului;
• separare de protectie;
• egalizarea sau dirijarea potențialelor;
• deconectarea automată în cazul apariției unei tensiuni sau a unui curent de
defect periculoase;
• folosirea echipamentelor de protecție electroizolante.
•

29
 Metode de securitate a reţelei de calculatoare

BIBLIOGRAFIE

Cărți și cursuri:
1. Stancu M.-Sisteme de operare, curs nr.1, Universitatea din Craiova,
2015;
2. Radu Marsanu-Sisteme de operare, curs în format digital, Facultatea
ASE, București;
3. Andrei Baranga-Introducere în sistemul de operare UNIX, Editura
albastră, 2018

Surse Internet:
www.rasfoiesc.com;
www.wikipedia.com;
www.google.ro/imagini
https://www.referatele.com/referate/informatica/online1/Aspecte-de-
securitate-en-retele-de-calculatoare-referatele-com.php
https://www.referatele.com/referate/informatica/online5/Retelele-de-
calculatoare-referatele-com.php

30