Documente Academic
Documente Profesional
Documente Cultură
Referat
Managementul rețelelor de calculatoare
Tema: Securitatea reţelei Arhitectura de securitate OSI. Ameninţări ale securităţii. Servicii
si mecanisme de securitate OSI. Reţele locale virtuale VLAN. Mijloace tehnice pentru
securitate.
Cristian Cazacu
Chişinău, 2021
1. Securitatea rețelelor de calculatoare este în acest moment parte integrantă a
domeniului rețelelor de calculatoare și ea implică protocoale, tehnologii, sisteme, instrumente și tehnici
pentru a securiza și opri atacurile rău intenționate. Atacurile cibernetice au crescut considerabil în ultimii
ani, iar conform unor rapoarte Europol, infracțiunile comise în spațiul cibernetic provoacă pagube anual
de peste 1 trilion de dolari. Fiind un domeniu complex, au fost create domenii de diviziune pentru a putea
face administrarea mai facilă. Acesta împărțire permite profesionistilor o abordare mai precisă în privința
instruirii, cercetării și diviziuni muncii în acest domeniu. Sunt 12 domenii ale securității rețelelor
specificate de International Organization for Standardization (ISO)/International Electrotechnical
Commission(IEC):
Aceste 12 domenii au fost create pentru a servi ca bază comună pentru dezvoltarea de standarde și
practici de securitate eficiente și pentru a da încredere activităților desfășurate între organizații.
Pe lângă termenul „securitate rețea” poate fi înțeles ca un set de proceduri, standarde, reguli și
instrumente concepute pentru a asigura securitatea unei rețele de calculatoare. Printre instrumentele și
dispozitivele hardware și software utilizate în acest scop: firewall-uri (firewall-uri), programe antivirus ,
instrumente de monitorizare a rețelei, mijloace de detectare a tentativelor de acces neautorizat
(intruziune), servere proxy și servere de autentificare, acestea asigură securitatea rețelei , controlează
traficul de intrare și ieșire pe Internet, controlează activitatea de rețea a aplicațiilor, protejează
împotriva hackerilor , descărcări de malware. Metode de bază de protecție a sistemului de operare
„Windows”
2. Modelul de Referință OSI (OSI este un acronim pentru interconectarea sistemelor
deschise, engleză Open Systems Interconnection), pe scurt: OSI, este o stiva
de protocoale de comunicație ierarhic foarte des folosit pentru a realiza o rețea de calculatoare. OSI este
un standard al Organizației internaționale de standardizare, emis în 1984. Modelul de Referință OSI oferă
metode generale pentru realizarea comunicației, sistemelor de calcul pentru ca acestea să poată schimba
informații, indiferent de particularitățile constructive ale sistemelor (fabricant, sistem de operare, țară,
etc). Modelul de Referință are aplicații în toate domeniile comunicațiilor de date, nu doar în cazul
rețelelor de calculatoare.
Modelul OSI divizează problema complexă a comunicării între două sau mai multe sisteme în 7
straturi numite și niveluri (layers) distincte, într-o arhitectură ierarhică. Fiecare strat (nivel) are funcții
bine determinate și comunică doar cu straturile adiacente. Cele 7 niveluri ale Modelului de Referință se
numesc: Aplicație (nivelul 7, superior) , Prezentare, Sesiune, Transport, Rețea, Legătură de date, Fizic
(nivelul 1, inferior). Termenii corespunzători din engleză
sunt Application, Presentation, Session, Transport, Network, Data link, Physical. Deși astăzi există și alte
sisteme, cei mai mulți distribuitori de echipamente de comunicație folosesc OSI pentru a instrui
utilizatorii în folosirea echipamentelor. Se consideră că OSI este cel mai bun mijloc prin care se poate
face înțeles modul în care informația este trimisă și primită.
1. Descompune fenomenul de comunicare în rețea în părți mai mici și implicit mai simple.
2. Standardizează componentele unei rețele permițînd dezvoltarea independentă de un anumit
producător.
3. Permite comunicarea între diferite tipuri de hardware și software.
4. Permite o înțelegere mai ușoară a fenomenelor de comunicație.
Modul de comunicare pe baza modelului OSI între elementele unei rețele de calculatoare și alte
aparate "inteligente" poate fi înțeles mai ușor dacă se consideră pentru exemplificare numai 2 participanți
la conversație. Pentru a profita de toate posibilitățile de comunicație, modelul OSI trebuie să fie
implementat în întregime (cu toate cele 7 niveluri sau straturi) în ambele elemente participante.
Notă. Pentru o mai bună înțelegere a imaginii de mai sus, comunicația pe verticală de la un element la
cel imediat superior sau inferior (săgețile albastre) respectă regulile interfeței respective, în timp ce
comunicația (indirectă) pe orizontală între un element verde și unul albastru respectă protocolul nivelului
respectiv.
Când participantul 1 (o persoană sau un calculator sau dispozitiv "inteligent") vrea să "converseze" cu
participantul 2 (de asemenea o persoană sau un dispozitiv), aceasta se face prin intermediul unei aplicații,
Aplicația 1 trimite Aplicației 2 mai întâi un prim mesaj, de exemplu "Ești liber și stăpânești
protocolul FTP?". Pentru "conversația" lor aplicațiile trebuie să folosească un protocol de aplicație
predefinit. Protocoalele de pe fiecare nivel prescriu până la ultimul amănunt cum anume se "vorbește", ce
se spune și mai ales în ce ordine, astfel încât participantul celălalt să "înțeleagă" despre ce este vorba. În
acest exemplu însă, Aplicația 1 nu are legătură directă/fizică cu Aplicația 2. O legătura fizică există, dar
se află departe - la baza "stivei" de protocoale. Metoda Modelului OSI prevede ca mesajul Aplicației 1
destinat Aplicației 2 să fie mai întâi predat nivelului de mai jos = Prezentare 1, printr-o interfață specială.
Acest nivel "vorbește" la rândul său cu nivelul său omolog din stiva 2, anume Prezentare 2, pentru care se
folosește de protocolul necesar. Dar nici cele 2 niveluri de Prezentare nu sunt legate direct între ele.
Nivelul Prezentare 1 predă atunci cele dorite în jos, nivelului Sesiune 1 (iarăși printr-o interfață
specializată).
Această procedură se continuă în jos până se atinge Nivelul fizic 1. Abia acesta posedă o legătură
fizică cu omologul său, Nivelul fizic 2, de exemplu printr-un cablu. De aici informația se propagă spre
participantul 2 de jos în sus, printr-o serie de interfețe, până într-un bun sfârșit se atinge nivelul Aplicație
2, respectiv Participant 2, cu care Aplicația 1 voia inițial să "vorbească". Din punct de vedere al Aplicației
1, ea doar pare că duce o conversație directă cu Aplicația 2, conform prescripțiilor din protocolul de
aplicație ales. În realitate ea schimbă informații doar cu nivelul Prezentare 1, imediat vecin, prin interfața
respectivă.
Avantajul acestei metode stratificate este că nici Aplicația 1, și nici măcar programatorul ei nu trebuie
să cunoască deloc sarcinile și soluțiile de la nivelurile inferioare, ci doar una sau 2 interfețe, în sus și în
jos. În plus, ea nu trebuie modificată reactiv la orice schimbare de pe straturile inferioare. De exemplu,
dacă se schimbă cablul de legătură (de la nivelul Nivelului fizic) printr-un canal radio. Specific pentru
canale radio rata pierderilor de pachete de date poate fi destul de mare, eroare care desigur trebuiesc
corectată automat, în funcție de, să zicem, condițiile atmosferice, caz care însă nu se întâmplă niciodată la
cablul de cupru. Și cu toate astea, Aplicația 1 nu trebuie modificată.
Funțiile nivelurilor. La baza stabilirii nivelelor arhitecturale ale modelului OSI au stat o serie de
principii generale, cum ar fi:
crearea unui număr redus de nivele cu puține interacțiuni între ele;
colectarea funcțiilor înrudite în același nivel;
crearea posibilitații de modificare a funcțiilor unui nivel, fără afectuarea celorlalte;
crearea pentru fiecare nivel de linii de demarcație (interfețe) spre nivelul adiacent inferior și
superior.
Nivelul Prezentare. Rol: transformă datele în formate înțelese de fiecare aplicație și de calculatoarele
respective, compresia datelor și criptarea. Unitatea de date: -
Nivelul Sesiune. Rol: furnizează controlul comunicației între aplicații. Stabilește, menține,
gestionează și închide conexiuni (sesiuni) între aplicații. Unitatea de date: -
Nivelul Transport. Rol: transferul fiabil al informației între două sisteme terminale (end points) ale
unei comunicații. Furnizează controlul erorilor și controlul fluxului de date între două puncte terminale,
asigurând ordinea corectă a pachetelor de date. Oferă un serviciu de transport de date care izolează
nivelurile superioare de orice specificitații legate de modul în care este executat transportul datelor.
Unitatea de date: segmentul, datagrama.
Nivelul Rețea. Rol: determinarea căii optime pentru realizarea transferului de informații într-o rețea
constituită din mai multe segmente, prin fragmentarea și reasamblarea informației. Unitatea de
date: pachetul
Nivelul Legătură de Date. Nivelul legatură de date se ocupă cu adresarea fizica, topologia rețelei,
accesul la rețea, detecția și anunțarea erorilor și controlul fluxului fizic (flow control). Rol: furnizează un
transport sigur, fiabil, al datelor de-a lungul unei legături fizice, realizând: Unitatea de date: cadrul
3. Amenințări ale securității rețelelor. Acțiunile incorecte pentru a configura parametrii rețelei
pot crește riscul unui atac.
Arhitecturi neprojetate. O rețea configurată greșit este punctul principal de intrare pentru
oaspeții neinvitați. Deschiderea unei rețele locale bazate pe încredere, nesecurizată, pentru acces de pe un
internet nesigur este ca deschiderea ușilor larg deschise într-o zonă criminală - poate că nu se va întâmpla
nimic pentru o vreme, dar în cele din urmă cineva va profita de ea.
criptare;
semnătură digitală electronică;
mecanisme de control al accesului. Ele pot fi localizate pe oricare dintre părțile implicate în
comunicare sau într-un punct intermediar;
mecanisme de control al integrității datelor. Recomandările X.800 disting două aspecte ale
integrității: integritatea unui mesaj individual sau a unui câmp de informații și integritatea fluxului
de mesaje sau a câmpurilor de informații. Numerele de secvență, marcajele de timp, legăturile
criptografice sau alte tehnici similare sunt utilizate pentru a verifica integritatea fluxului de mesaje
(adică pentru a proteja împotriva furtului, reordonării, duplicării și inserării mesajelor);
mecanisme de autentificare. Conform recomandărilor X.800, autentificarea poate fi realizată prin
utilizarea parolelor, cardurilor personale sau a altor dispozitive cu un scop similar, metode
criptografice, dispozitive pentru măsurarea și analiza caracteristicilor biometrice;
mecanisme suplimentare de trafic;
mecanisme de control al rutei. Traseele pot fi selectate static sau dinamic. Sistemul final, după ce
a înregistrat atacuri repetate pe o anumită rută, poate refuza să-l folosească. Alegerea rutei poate fi
influențată de eticheta de securitate asociată cu datele transmise;
mecanisme de notarizare. Serviți pentru a asigura caracteristici de comunicare precum integritatea,
timpul, identitatea expeditorului și a destinatarilor. Asigurarea este oferită de un terț de încredere,
cu suficiente informații. De obicei, notarizarea se bazează pe un mecanism de semnătură
electronică.
Un VLAN (prescurtare de la virtual local area network, în română rețea locală virtuală) este un grup
de gazde ce pot comunica, indiferent de locația lor fizică, ca și cum s-ar afla în același domeniu de
difuzare. Un VLAN are aceleași atribute ca o rețea locală fizică, dar permite stațiilor să nu fie legate în
același switch de rețea. Apartenența la un VLAN poate fi configurată la nivelul 3 al stivei OSI, poate fi
configurat atit pe rutere cit si pe comutatoare de tip multilayer.
O VLAN este o metodă de a segmenta logic o reţea fizică astfel încât conectivitatea de nivel 2 este
restricţionată la membri care aparţin aceleiaşi VLAN. Această separare este obţinută prin etichetarea
pachetelor Ethernet cu informaţiile lor de apartenenţă VLAN şi apoi restricţionarea livrării la membrii
acelei VLAN. VLAN este descrisă de standardul IEEE 802.1Q.
Informaţii de etichetă VLAN sunt cunoscute ca VLAN ID (VID). Porturile pe un switch sunt
configurate ca fiind membri ai unui VLAN desemnat de VID pentru acel port. VID implicit pentru un
port este referit ca Port VID (PVID). VID poate fi adăugat la pachetul Ethernet fie de o gazdă VLAN-
aware, fie de switch în cazul gazdelor VLAN-unaware. De aceea, porturile de pe un switch Ethernet
trebuie să fie configurate cu informaţii care indică dacă gazda conectată este VLAN-aware.
Oportunități oferite :
Atunci când alegem un UPS, trebuie să luam în considerare consumul total de energie al
echipamentelor conectate la sursa de alimentare și timpul în care UPS-ul poate funcționa fără tensiune de
rețea. În acest caz, sarcina principală a UPS este de a asigura finalizarea operațiunilor de schimb cu discul
înainte ca serverul să fie complet deconectat sau când se face trecerea la canalul de alimentare de
rezervă. Acest lucru se poate face folosind o interfață specială și un software adecvat care funcționează în
conformitate cu protocolul SNMP.
Când tensiunea primară ~ 220V dispare după un timp, UPS-ul emite un semnal de oprire a
computerului. Un UPS modern poate monitoriza nu numai tensiunea de alimentare, ci și temperatura
ambiantă, salvând în timp util fișierele vitale înainte ca sistemul să se supraîncălzească. În acest caz,
valoarea tensiunii și temperaturii de alimentare poate fi citită folosind protocolul SNMP. Unele sisteme
avansate autoalimentate permit agenților SNMP să fie conectați direct la rețeaua locală, ceea ce deschide
capacități suplimentare de gestionare și monitorizare de la distanță.
Interfața specificată va bloca începutul noilor operațiuni de schimb sau va opri dacă tensiunea din
rețea scade sub nivelul permis. Afișajele nu trebuie conectate la UPS (aceste dispozitive nu sunt la fel de
critice pentru alimentare ca discurile și memoria RAM) și imprimante (imprimantele laser nu pot fi
conectate la UPS din cauza cuptoarelor puternice care fac parte din aceste dispozitive). Protectoarele de
supratensiune sunt de dorit atunci când lucrați cu orice computer, deoarece rețeaua din Rusia este puternic
înfundată de interferențe de înaltă frecvență.
Când cream o rețea, ar trebui să introduceți imediat câteva elemente care să asigure securitatea. Deci,
este recomandabil să așezam cabluri de rețea în cutii sau țevi metalice, ceea ce va face conexiunea mai
dificilă. Repetatoarele și butucii ar trebui să fie adăpostite în dulapuri care pot fi închise. Unele hub-uri
monitorizează adresele MAC ale pachetelor. Astfel de echipamente ne permit să blocam un port dacă
sunt detectate pachete cu o adresă MAC necunoscută, precum și să detectam cazuri de conectare a
aceleiași adrese MAC la porturi diferite. O anumită amenințare la adresa securității rețelei poate fi
reprezentată de posibilitatea unui hacker de a atribui o adresă MAC „străină” pe placa sa de
rețea. Huburile moderne interzic unei gazde conectate la un port să transmită cadre cu o adresă MAC care
nu se potrivește cu administratorul specific pentru acel port.
Deoarece sistemele moderne de criptare implică utilizarea unor calcule destul de laborioase, care
încetinesc semnificativ procesul, se dezvoltă microcircuite speciale.
Deoarece fiabilitatea absolută este de neatins, unul dintre mijloacele de păstrare a informațiilor este
duplicarea suporturilor (de ex. Discuri), copierea și stocarea copiilor într-un loc sigur. În timp ce
dischetele sau benzile magnetice erau anterior potrivite pentru acest scop, astăzi pot fi puse la îndoială
adecvarea lor. Desigur, benzile Exabyte de 2,5-10 GB sunt încă utilizate pe scară largă, costul ridicat al
acestor unități limitează aplicabilitatea acestora (iar viteza de scriere pe ele lasă mult de dorit). O
alternativă la acestea pot fi unitățile cu CD-uri regrababile, unde costul dispozitivului este puțin mai mic,
pentru că capacitatea unui disc pentru modelele ieftine nu depășește încă 1 GB. Este posibil ca în viitorul
apropiat principalul mijloc de stocare a informațiilor să devină duplicarea sa pe un hard disk independent.
Bibliografie
1. Технические средства сетевой безопасности, Семёнов Ю.А. (ГНЦ ИТЭФ), [Resursa Online],
http://citforum.ru/nets/semenov/6/tech_61.shtml
2. Reţelele locale virtuale, [Resursa Online], https://www.ibm.com/docs/ro/power9?
topic=networking-virtual-local-area-networks
3. Сетевые механизмы безопасности, [Resursa Online],
https://studfile.net/preview/5756748/page:23/
4. Modelul OSI, [Resursa Online], https://ro.wikipedia.org/wiki/Modelul_OSI
5. Doherty, Jim. Cisco networking simplified / Jim Doherty, Neil Anderson, Paul Della Maggiora. --
2nd ed. ISBN 978-1-58720-199-8 (pbk.)
6. Nicolae Sfetcu: Manualul investigatorului în criminalitatea informatică