Documente Academic
Documente Profesional
Documente Cultură
RAPORT
S.R.L. “ECOMERTZ”
Grupa : CIE1401
Lector universitar
CHIŞINĂU, 2017
CUPRINS
INTRODUCERE……………………………………………………………………………...……….3
ÎNCHEIERE………………………………………………………………………………………….32
BIBLIOGRAFIE……………………………………………………………………………………..33
2
INTRODUCERE
Actualitatea şi importanta temei: În această epocă a calculului distribuit, reţelele sunt
prezentate în aproape toate mediile de lucru. O reţea este un mecanism care permite calculatoarelor
distincte şi utilizatorilor acestora să comunice şi să partajeze resurse. În ciuda utilizării lor pe scară
largă, reţelele rămân cele mai misterioase dintre tehnologiile informaţionale.
O rețea de calculatoare leagă între ele o mulțime mai mică sau mai mare de calculatoare, astfel
încât un calculator poate accesa datele, programele și facilitățile sau resursele unui alt calculator
conectat la aceeași rețea. De obicei este nevoie de măsuri de restricție/siguranță a accesului.
Metodele de conectare sunt în continuă dezvoltare și deja foarte diverse, începând cu tot felul de
cabluri metalice și de fibră optică, chiar submarine, și terminând cu legături fără fir prin unde radio
cum ar fi Wi-Fi, WiMAX sau Bluetooth, prin raze infraroșii.
Cuvintеlе-chеiе alе rapоrtului privind practica dе spеcialitatе: Reţea locală, Reţea globală, Sistem
informatic, Sisteme de gestiune a bazelor de date, Programare orientată pe obiect, Limbaje de marcare.
3
CAPITOLUL I. Caracteristica generală a structurii şi organizării
întreprinderii S.R.L. “ECOMERTZ”
Societatea cu răspundere limitată “ECOMERTZ” a fost fondată în anul 2005 de către Teodor
Turta şi este un internet magazin prin intermediul căruia se furnizează produse diverse (casnice,
alimentare, de agrement şi altele) şi le promovează, realizând astfel o deservire comfortabila a
clientului prin intermediul unei companii de logistică (livrarea produselor).
Produse casnice;
Produse alimentare;
Produse auto;
Altele;
· Furnizarea clientelei cu produse diferite din categorii de preţuri diferite, astfel oferind clientului
posibilitatea de a-şi comanda un produs după posibilitate şi gust;
4
· Promovarea altor servicii prin intermediul publicităţii ;
Scopul întreprinderii – promovarea, furnizarea şi livrarea unei game largi de produse în orice
punct pe teritoriul Republicii Moldova şi teritoriul Transnistriei.
Preturi justificate;
Comoditate în utilizare;
Informativitate;
· Alţii;
5
1.2 Analiza sistеmului infоrmațiоnal
Sistemul informațional este ansamblul de elemente implicate în procesul de colectare,
transmisie, prelucrare, etc. de informaţii. Rolul sistemului informațional este de a transmite informația
între diferite elemente. De exemplu, în cadrul unei unităţi economice, roulul sistemului informațional
este de a asigura persoanele din conducere cu informații necesare pentru luarea diferitelor decizii
economice sau de altă natură. În cadrul companiei s-a depistat că angajații sunt încurajați să utilizеzе
E-Shop Intranet. Un intranet este o rețea din interiorul unei organizaţii care leagă utilizatori multipli
prin intermediul tehnologiilor Internet. Cu alte cuvinte, intraneturile limitează teritoriul nelimitat al
Internetului, stabilind sectoare cu acces controlat în care utilizatorii pot să comunice şi să
interacţioneze în mod liber. Aceste reţele au la baza World Wide Web-ul, permiţând utilizatorilor
comunicarea între platforme diferite în timp real. Sitе-ul intranеt cоnținе dоcumеntеlе ECOMERTZ și
infоrmațiе privind pоlitica cоmpaniеi, matеrial pеntru prеgătirе, pоsturilе vacantе în cadrul
cоmpaniеi.
Utilizatorii folosesc poșta outlook. Microsoft Outlook este un client de poștă electronică și face
parte din Suita Office dezvoltată de compania Microsoft. Active Directory este o implementare a
serviciilor de directoare LDAP, folosită de Microsoft în cadrul sistemelor de operare Windows. Astfel
"Active Directory" pune la dispoziția administratorilor un mediu flexibil cu efect global pentru:
asignarea permisiunilor, instalarea programelor, înnoirea securității. Toate aceste operațiuni pot fi
aplicate atât la rețele mici, cât și la rețele complexe. Numărul de calculatoare în cadrul companiei este
de approximativ 15.
Progamatorii gestionează site-ul întreprinderii prin intermediul aplicaţiei Microsoft Visual
Studio. Visual Studio include un set complet de instrumente de dezvoltare pentru generarea de aplicații
ASP.NET, Servicii Web XML, aplicații desktop și aplicații mobile. Visual Basic, Visual C++, Visual
C# și Visual J# toate folosesc același mediu de dezvoltare integrat (IDE) care le permite partajarea
instrumentelor și facilitează crearea de soluții folosind mai multe limbaje de programare. Aceste
limbaje permit să beneficieze de caracteristicile .NET Framework care oferă acces la tehnologii cheie
care simplifica dezvoltarea de aplicații web ASP și XML Web Services cu Visual Web Developer.
Timеshееt-ul rеprеzintă rapоrtarеa zilnică a timpului și prоiеctеlе asupra cărоra s-a lucrat.
Timеshееt-ul sе cоmplеtеază în fiеcarе zi dе vinеri, și mai apоi еstе prоbat dе cătrе managеr.
Dеpartamеntul cоntabilitatе analizеază оrеlе lucratе și rеspеctiv la finalul fiеcărеi luni calculеază
salariul. Cоncеdiilе dе bоală sau dе studii la fеl sunt rapоrtatе în timеshееt. Acеastă practică еstе
întâlnită în mai multе cоmpanii privatе, еa ajută la mеnținеrеa unui climat prоductiv și оrganizarеa
еficiеntă a timpului pеrsоanlului.
6
1.3 Spеcificul activităţii dе bază
7
1.4 Structura organizatorică a întreprinderii
Societatea are o structură internă ce presupune existența unui organ de eliberare și decizie, a
unui organ executiv și a unui organ de control, după cum urmează:
Administratorul
9
Administratorul este în drept:
a) Administratorul este obligat să gestioneze societatea astfel încât scopurile, pentru care aceasta a
fost constituită, să fie realizate cât mai eficient.
b) Administratorul este obligat să execute hotărârile adunării generale a asociaţilor şi ale
consiliului societăţii.
c) Administratorul este obligat să ia parte la adunările generale ale asociaţilor şi la şedinţele
consiliului societăţii.
d) Administratorul asigură ţinerea contabilităţii societăţii, precum şi a registrelor societăţii
prevăzute de lege şi de actul de constituire, şi informează asociaţii cu privire la starea de lucruri
şi la gestiunea societăţii.
e) În exercitarea atribuţiilor sale, administratorul va da dovadă de diligenţă şi loialitate.
f) Administratorul este obligat să convoace adunarea generală a asociaţilor dacă valoarea
activelor nete ale societăţii a devenit mai mică decât capitalul ei social.
g) În cazul apariţiei indiciilor de insolvabilitate, administratorul este obligat să depună imediat,
dar nu mai târziu decât la expirarea unei luni, cerere introductivă de intentare a procesului de
insolvabilitate dacă asociaţii nu vor acoperi pierderile.
Compania este formată din 28 persoane: Teodor Turtă (director general), Anton Moduicov (director
IT)
10
CAPITOLUL II. Administrarea reţelelor locale
Caracteristicile reţelelor:
• topologia, descrie modul de organizare şi interconectare a componentelor şi echipamentelor
de comunicaţie din cadrul reţelei;
• arhitectură, descrie categoriile de echipamente şi protocoale de comunicaţii utilizate în
cadrul reţelei.
Topologia reţelelor
În funcţie de tipul componentelor şi cablurilor utilizate şi de dispunerea calculatoarelor, reţelele
pot fi:
• de tip magistrală sau bus (Figura 2.1);
• de tip stea (Figura 2.2);
• plasă, inel (ring), mixte.
11
Figură 2.1 Reţea de tip magistrala
Arhitectura reţelelor
Indiferent de topologia utilizată, arhitectura standard a unei reţele Ethernet este următoarea:
• Server-e;
• staţii de lucru (clienţi);
• echipamente de comunicaţie LAN (hub/switch) sau WAN (router).
Server-ul este un calculator din reţea care gestionează resursele reţelei (de exemplu, stochează
date pentru orice utilizator din reţea, gestionează imprimantele din reţea, gestionează traficul etc.),
respectiv are instalate aplicaţii pe care membrii reţelei le pot utiliza.
Clientul este un calculator care este legat la un server în scopul efectuării unor operaţii şi
depinde de acesta cu utilizarea de fişiere şi programe, pentru acces la Internet, pentru lansare de
aplicaţii de calcul mari consumatoare de resurse etc.
Ethernet este o arhitectură de reţea locală dezvoltată de firma Xerox în 1976, în colaborare cu
DEC şi Intel. Utilizează o topologie de tip magistrală sau stea şi suportă rate de transfer de până la
10Mbps. O versiune mai nouă de Ethernet, 100Base-T sau Fast Ethernet (Ethernet rapid) transferă
12
date cu până la 100Mbps. Acest tip de reţele utilizează cabluri cu perechi răsucite. Fiecare placă de
reţea se conectează printr-un cablu (patch cord) la echipamentul central (hub, switch), rezultând astfel
o topologie tip stea. Lungimea cablului care conectează plăcile de reţea la hub sau switch nu trebuie să
fie mai mare de 100m. În reţelele tip stea, dacă se defectează cablul care conectează un calculator sau
se opreşte un calculator, este afectat numai calculatorul respectiv, nu şi restul reţelei.
Când se doreşte conectarea sau deconectarea fizică a unui calculator din reţea, se închid toate
programele active ale utilizatorului, se închide sistemul de operare, se scoate calculatorul din priza de
alimentare electrică, se scoate sau se introduce cablul de reţea, se conectează calculatorul din nou la
priza de alimentare şi se porneşte prin apăsarea butonului Power.
Echipamente de comunicaţie
Hub-ul
Hub-ul este un dispozitiv de reţea cu mai multe porturi (intrări) necesar pentru interconectarea
prin cabluri UTP a calculatoarelor dintr-o reţea (host-uri). Hub-ul amplifică semnalul primit de la un
host şi îl distribuie către toate celelalte calculatoare. Într-o reţea existentă pot fi adăugate noi host-uri
prin conectarea fizică a acestora cu cabluri UTP la hub-ul existent. Există hub-uri cu 4, 8, 16 sau 24 de
intrări. Hub-urile pot fi montate în cascadă pentru a obţine extinderea unei reţele existente.
Switch-ul
Switch-ul este un dispozitiv de reţea cu mai multe porturi care filtrează şi expediază pachete de
date între segmentele reţelei. Operează pe nivelele 2 şi uneori 3 ale modelului de referinţă OSI, care va
fi tratat într-un subcapitol următor, şi suportă orice protocol de transfer de date (protocol de
comunicare, codul de adresare şi împachetare de date care constituie „limbajul comun” al
calculatoarelor din reţea).
Principiul de funcţionare a switch-ului are la bază mecanismul store-and-forward. Pentru
aceasta, fiecare switch întreţine o tabelă de redirecţionare compusă din adrese MAC şi numere de
porturi (căi de acces). Pentru un anumit port, care defineşte un domeniu de coliziune distinct, switch-ul
memorează adresele MAC ale staţiilor din domeniul respectiv (conectate la acel port). Termenul de
valabilitate al intrărilor din această tabelă este dat de un parametru numit age (vârsta), care stabileşte
cât timp sunt reţinute în buffer-e (zone tampon de stocare intermediară de date) adresele MAC ale
staţiilor care nu generează şi nu primesc trafic. Prin urmare, valoarea acestui parametru poate influenţa
performanţele unei reţele: dacă are valori prea mici, staţiile care generează puţin trafic vor fi mai greu
de găsit în reţea de către alte echipamente, iar dacă valoarea parametrului este prea mare, există riscul
ocupării buffer-elor şi al blocării echipamentului. După recepţia de date este analizată adresa MAC de
13
destinaţie şi este căutată în tabela de redirecţionare. Prin acest mecanism switch-ul identifică interfaţa
prin care este disponibilă staţia de destinaţie şi direcţionează datele printr-un canal de comunicaţie
virtual, complet separat de traficul generat de celelalte interfeţe. Astfel se reduce numărul coliziunilor,
ceea ce conduce la creşterea benzii de transfer şi la optimizarea modului de utilizare a canalului de
comunicaţie
Router-ul
În Internet, router-ul este un dispozitiv, sau în unele cazuri un software instalat pe un
calculator, care determină care este următorul punct din reţea către care se expediază un pachet de date
în drum spre destinaţia sa finală. Router-ul este conectat la cel puţin două reţele (în punctul în care o
reţea comunica cu cealaltă, adică în gateway). Decizia asupra direcţiei în care se trimite fiecare pachet
de date se bazează pe determinarea stării reţelelor la care este conectat. Router-ul poate fi şi o parte a
switch-ului.
Router-ul creează şi/sau stochează un tabel al rutelor disponibile, cu informaţii despre starea
lor, şi îl utilizează împreună cu algoritmii de determinare a distanţei şi costurilor pentru a selecta cea
mai bună cale de urmat pentru pachetul dat. De obicei, un pachet parcurge un număr de puncte de reţea
cu router-e înainte de a ajunge la destinaţie. Rutarea este o operaţie asociată cu nivelul 3 din standardul
OSI (Open Systems Interconnection), nivelul reţea.
Pentru a determina calea optimă între două reţele, router-ul foloseşte două metode:
• Rutarea statică, constând dintr-o tabelă de adrese pentru a determina locaţia în care să
direcţioneze datele;
• Rutarea dinamică, constând dintr-un protocol specializat (RIP, OSPF, IGRP, BGP) Router-
ul nu identifică tipul şi conţinutul datelor transmise.
Cabluri şi conectori
Pentru reţele locale se realizează cablarea structurată de tip UTP/STP. Conceptul de cablare
structurată a fost dezvoltat ca urmare a necesităţii uniformizării celor două tipuri de cablaje existenţe:
cablajul de voce (telefonie) şi cel de date. Până la elaborarea standardelor de cablare structurată, partea
14
de telefonie a unei clădiri era realizată pe cabluri răsucite (topologie stea), în timp ce pentru reţeaua de
date s-a utilizat cablul coaxial (topologie de tip magistrală).
Conectarea la Internet
Pentru conectarea reţelei locale la Internet se utilizează un router şi un modem Router-ul face
legătura între reţele, iar modem-ul transformă semnalul digital în semnal analogic (la transmisie) şi
invers (la recepţie).
Legătura la Internet se face prin intermediul unui furnizor de servicii de Internet (Internet
Service Provider, ISP). Acest furnizor va comunica modalitatea prin care se va face conectarea reţelei
15
locale la Internet, va furniza adresele IP, măştile, adresele DNS (Domain Name System), adresele de
server proxy etc.
DNS este prescurtarea de la Domain Name System sau Domain Name Service, un serviciu
Internet care transformă numele de domenii în adrese IP. Numele de domenii sunt şiruri de litere şi
cifre care sunt mai uşor de memorat decât adresele IP. De exemplu, domeniul microsoft.com are adresa
IP 207.46.249.27, care se poate afla introducând comanda ping www.microsoft.com într-o fereastră
DOS, care se deschide în Windows selectând Start/All_Programs/Accessories/Command Prompt.
Domeniul de Internet este un grup de calculatoare dintr-o reţea care sunt administrate printr-un set de
reguli şi proceduri comune. În Internet, domeniile sunt definite prin nume, care au asociate adrese IP.
Prin intermediul acestui model suita de operaţii necesare pentru desfăşurarea unui
flux de date între clienţii din reţea este organizată ierarhic pe şapte niveluri:
• nivelul fizic: stabileşte proprietăţile cablurilor şi conectorilor, defineşte protocoalele necesare
pentru transmisia datelor pe o linie de comunicaţie;
• nivelul legăturii de date: defineşte modalităţile de acces la mediul de transmisiune partajat de
mai multe echipamente, stabileşte modul de transfer al datelor între nivelurile superioare şi conectorii
fizici;
• nivelul reţea: permite identificarea nodurilor de destinaţie prin prelucrarea informaţiilor
rezultate din adresele de reţea şi tabelele de direcţionare ale router-elor;
• nivel de transport: defineşte metodele prin care se asigură integritatea datelor către nodul de
destinaţie,
• nivelul sesiune: sincronizează comunicaţia între două calculatoare, controlează când un
utilizator poate transmite sau recepţiona date;
• nivelul prezentare: efectuează translaţia datelor între formatul utilizat de aplicaţie şi formatul
informaţiei transferate prin reţea;
• nivelul aplicaţie: asigură interfaţa software pentru utilizatori.
Primele patru niveluri (figura 2.4) sunt caracteristice echipamentelor de comunicaţii cu funcţii
specializate implementate pe o platformă hardware. Următoarele trei niveluri sunt oferite de orice
16
aplicaţie (software) de reţea existentă pe server-e, calculatoare sau echipamente de comunicaţie
specializate.
17
1.2 Monitorizarea şi administrarea reţelelor
Monitorizarea reţelelor
Scopul principal al monitorizării unei reţele este urmărirea permanentă a stării de funcţionare a
echipamentelor de comunicaţie sau a echipamentelor destinate anumitor servicii, simultan cu urmărirea
disponibilităţii şi încărcării canalelor de comunicaţie. Informaţia rezultată din monitorizarea unei reţele
trebuie să asigure un suport pentru identificarea şi depanarea rapidă a defectelor.
ICMP este un protocol care funcţionează la nivelul 3 al modelului OSI (nivelul reţea), nefiind
necesară utilizarea unui protocol de transport (TCP sau UDP) sau a unui port de comunicaţie. Acest
protocol permite încapsularea în interiorul cadrului IP a unor informaţii, care o dată ajunse la destinaţia
specificată, determină generarea unui răspuns către sursa ICMP, din care se poate deduce timpul de
răspuns pe un canal de comunicaţie (de exemplu, mesajul rezultat în urma lansării comenzii „ping” în
linia de comandă, în fereastra DOS a sistemului de operare Windows). Parametrii ICMP pot fi astfel
configuraţi încât să determine generarea unui răspuns din partea fiecărui echipament de comunicaţie
tranzitat de pacheţele ICMP (comenzile tracert, ping route), obţinându-se şi o imagine a traseului fizic
corespunzător canalului de comunicaţie. În cazul în care nodul de destinaţie sau un nod tranzitat nu
răspunde la un pachet ICMP, este asociat un mesaj de eroare, care poate oferi informaţii utile în
stabilirea cauzelor pentru care nu poate fi atinsă o destinaţie (cale de comunicaţie nefuncţională, rute
IP necorespunzătoare etc.).
SNMP este un protocol care funcţionează la nivelul de aplicaţie al modelului OSI şi cuprinde
una sau mai multe staţii de administrare şi mai multe elemente de reţea administrabile (server, switch,
hub, router etc.).
18
Colecţia MIB conţine următoarele informaţii:
• starea sistemului şi a dispozitivelor care compun echipamentul (interfeţe de reţea);
• statistici despre performanţele sistemului (memorie, procesor, buffer-e);
• statistici ale traficului pe interfeţe, erori la nivel logic sau fizic;
• parametri de configurare (adrese IP, rute etc.).
Din compararea caracteristicilor celor două protocoale reiese că utilizarea combinată a acestora
constituie soluţia optimă de monitorizare şi administrare a reţelelor, fiind posibilă astfel atâtraportarea
detaliată a funcţionării echipamentelor (inclusiv în format grafic), prin utilizarea protocolului SNMP
cât şi menţinerea unei imagini minimale a stării de funcţionare a reţelei, prin intermediul protocolului
ICMP, în cazul în care este afectată funcţionarea agentului SNMP.
Administrarea reţelelor
Administrarea reţelei locale presupune:
• monitorizarea reţelei Ethernet şi a traficului;
• asigurarea, menţinerea şi controlul securităţii reţelei locale;
19
• colaborarea în vederea remedierii nefuncţionalităţilor echipamentelor cu firma care asigură
service-ul în limitele contractuale şi rezolvarea diverselor disfuncţionalităţi apărute în exploatarea
curentă;
• gestiunea corectă e elementelor de bază ale reţelei locale (adrese IP, echipamente de
comunicaţii, aplicaţii specifice);
• menţinerea la standarde corespunzătoare a calităţii reţelei din punct de vedere al
configurărilor.
În arhitectura reţelei, server-ele sunt maşinile cu importanţa cea mai mare. Ele stochează baze
de date, au componente ale aplicaţiilor care rulează în sistem, deţin un rol important în sistemul de
comunicaţie şi dispun de resurse hardware importante. Server-ul are în componenţă subansamble
redundante pentru asigurarea toleranţei la defectare şi disponibilităţii permanente în funcţionare.
Staţiile de lucru (clienţii) necesită în general un set de activităţi de administrare similare celor
ale server-elor, şi anume:
• monitorizarea funcţionării şi menţinerea în stare de funcţionare;
• colaborarea în vederea remedierii nefuncţionalităţilor echipamentelor cu firma care asigură
service-ul în limitele contractuale şi rezolvarea diverselor disfuncţionalităţi apărute în exploatarea
curentă;
20
• gestionarea sistemului de operare şi a aplicaţiilor instalate (verificări software şi hardware,
politica de backup şi restore, gestiunea spaţiului pe disc, antiviruşi etc.) etc.
Pentru asigurarea unei corecte gestionări a sistemelor, se recomandă păstrarea unui jurnal (log
file) în care să se noteze toate elementele semnificative atunci când se face o modificare în reţea (de
natură hardware sau software, cum ar fi: schimbări de adrese, adăugări de noi calculatoare,
reconfigurarea BIOS-ului, actualizarea şi/sau instalarea de programe, etc.). Pentru protecţia datelor se
recomanda urmărirea unei politici de backup. Periodic, este indicat să se salveze datele pe server şi/sau
pe alte calculatoare. În cazul extrem când sistemul de operare a fost grav afectat, se poate face re-
instalarea de pe CD-urile de backup (urmată de reluarea procedurilor de personalizare, moment în care
un jurnal care conţine setările corecte este de mare folos).
21
2.3 Atacuri şi metode de prevenire
Atacurile asupra rețelelor de comunicații pot fi clasificate după mai multe criterii. În funcție de
locul de unde se execută, atacurile pot fi: locale (local) sau de la distanță (remote).
Atacurile locale presupun spargerea securității unei rețele de calculatoare de către un utilizator
local, adică o persoană care face parte din rețea și care dispune de un cont și de o parolă de utilizator
care îi dau drept de acces la o parte din resursele sistemului. De asemenea, persoana respectivă poate
să aibă cunoştinţe despre arhitectura sistemului de securitate al rețelei, putând astfel lansa atacuri mult
mai periculoase, principalele riscuri constând în accesarea informațiilor la care nu are drept de acces,
găsirea punctelor vulnerabile ale rețelei prin încărcarea unor programe care să scaneze rețeaua.
Riscul de atac local poate fi redus prin:
22
· acordarea utilizatorilor locali privilegiile minim necesare efectuării sarcinilor zilnice,
potrivit funcției și rolului fiecăruia în companie;
· monitorizarea activităților din rețea pentru a sesiza eventualele încercări de depășire a
atribuțiilor, eventual și în afara orelor de program;
· impunerea de restricții de acces pe cele mai importante echipamente din rețea;
· distribuirea responsabilităților mari între mai mulți angajați.
Este recomandat ca acordarea privilegiilor de utilizare a resurselor rețelei să se facă ținându-se
seama de nivelul de încredere, de vechimea în reţea şi comportamentul membrului respectiv.
Atacul la distanţă (remote attack) este un atac lansat împotriva unei reţele de comunicaţii sau
a unui echipament din reţea, faţă de care atacatorul nu deţine nici un fel de control. Accesul de la
distanţă la resursele unei reţele este mai riscant decât accesul din reţeaua locală deoarece în Internet
sunt câteva miliarde de utilizatori ceea ce face ca numărul posibililor atacatori externi să fie mult mai
mare decât al celor interni. Prin aplicarea unei politici de securitate corecte şi a unor soluţii de
securitate performante, riscul atacurilor locale poate fi minimizat.
23
În funcție de modul în care acționează, ca sursă şi destinație, atacurile pot fi centrate pe o
singură entitate (de exemplu, este atacat un anumit server din rețea de pe un singur echipament) sau
pot fi distribuite (lansate din mai multe locații sau către mai multe mașini simultan).
· Atacurile pasive sunt acelea în cadrul cărora intrusul observă informația ce trece prin "canal",
fară să interfereze cu fluxul sau conținutul mesajelor. Ca urmare, se face doar analiza traficului,
prin citirea identității parţilor care comunică şi "învăţând" lungimea şi frecvenţa mesajelor
vehiculate pe un anumit canal logic, chiar dacă conținutul acestora este neinteligibil. Atacurile
pasive pot fi de două feluri:
· de citire şi înregistrare a conţinutului mesajelor, de exemplu, în serviciul de postă
electronică;
· de analiză a traficului.
Aceste atacuri pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legăturilor
telefonice sau radio, exploatarea radiaţiilor electromagnetice emise, rutarea datelor prin noduri
adiţionale mai puţin protejate. Pentru contracararea acestor atacuri se dezvoltă sisteme de prevenţie şi
24
detecţie a intruşilor în reţea, fie ca soluţii software, fie cu echipamente dedicate (de exemplu, prin
măsurători de câmp radiat pentru stabilirea ariei de acoperire a unei reţele wireless).
Din punct de vedere al acestor atacuri, reţelele optice sunt cel mai bine protejate, fiind practic
imposibilă interceptarea traficului fără a se sesiza prezenţa intrusului. Riscurile cele mai mari de atac
pasiv, de intercepţie a informaţiilor din reţea (date propriu-zise sau de identificare) apar în reţelele
wireless. Reţelele cablate, cu cabluri cu conductoare metalice, sunt vulnerabile la atacuri pasive în
nodurile de comunicaţie de tip hub sau switch. Atacurile pasive nedetectate care au ca finalitate
preluarea cheilor de criptare reprezintă un risc major pentru reţea, întrucât prin necunoaşterea cheilor
compromise se creează breşe în sistemul de securizare a informaţiilor prin criptarea traficului.
Atacurile active sunt acele atacuri în care intrusul se angajează fie în furtul mesajelor,fie în
modificarea, reluarea sau inserarea de mesaje false, fie prin supraîncărcarea reţelei cupachete
(flooding). Aceasta înseamnă că el poate șterge, întârzia sau modifica mesaje, poate să facă inserarea
unor mesaje false sau vechi, poate schimba ordinea mesajelor, fie pe o anumită direcţie, fie pe ambele
direcţii ale unui canal logic. Aceste atacuri sunt serioase deoarece modifică starea sistemelor de calcul,
a datelor sau a sistemelor de comunicaţii.
25
vulnerabilităților diferitelor rețele de comunicații, precum și găsirea soluțiilor, strategiilor, tehnicilor și
protocoalelor de securitate care să prevină aceste aspecte neplăcute.
Pentru asigurarea securității unei rețele s-au creat așa numitele servicii de securitate care au
scopul de a asigura securitatea aplicațiilor precum și a informațiilor stocate pe suport sau transmise
prin rețea. Când este vorba despre securitatea unei rețele apar mai multe aspecte, cum ar fi: securizarea
accesului fizic și logic, securitatea serviciilor de rețea, secretizarea informațiilor etc.
Pentru o analiză completă a securității trebuie avute în vedere toate aspectele referitoare la o
rețea de comunicații, interne și externe, hardware și software, factorul uman și de tip automat, tipurile
de rețea, topologiile și mediile de transmisie, protocoalele de comunicații, aplicațiile rulate, riscurile de
securitate și, nu în ultimul rând, costurile. Vulnerabilitățile rețelelor se manifestă pe toate nivelele OSI,
fiind necesară adoptarea unor măsuri de securitate adecvate fiecărui nivel și fiecărui model de rețea în
parte.
Toate acestea arată că trebuie avute în vedere, cu prioritate, două aspecte principale legate de
securitatea rețelelor:
· integritatea și disponibilitatea resurselor unei rețele, fizice sau logice, indiferent de
defectele de funcționare, hard sau soft, de perturbații sau de tentative de întrerupere a comunicațiilor;
· caracterul privat al informațiilor, exprimat ca fiind dreptul individual de a controla sau de a
influența care informație referitoare la o persoană poate fi memorată în fişiere sau în baze de date din
rețea ți cine are acces la acestea, rețeaua fiind responsabilă de împiedicarea încercărilor ilegale de
sustragere a informațiilor, precum şi de încercările de modificare ale acestora.
Comunicațiile între echipamentele interconectate fizic și logic într-o rețea se realizează pe baza
protocoalelor de comunicații. Prin protocol se înțelege o suită de reguli de comunicare și formate
impuse pentru reprezentarea și transferul datelor între două sau mai multe calculatoare sau
echipamente de comunicație. Se folosesc numeroase suite de protocoale dar scopul oricărei rețele de
26
comunicații este acela de a permite transmisia informațiilor între oricare două echipamente, indiferent
de producător, de sistemul de operare folosit sau de suita de protocoale aleasă.
De cele mai multe ori, se definesc suite de protocoale de securitate cum ar fi: IPSec,
KERBEROS, SESAME și altele. Implementarea suitelor de protocoale de securitate în rețelele de
comunicații se face cu mai multe servere de rețea dedicate diferitelor servicii, cum ar fi: servere de
autentificare, servere de certificare, servere de distribuție a cheilor de criptare, servere de gestiune a
cheilor de criptare etc.
În general, asigurarea securității unei transmisii se realizează la ambele capete ale căii de
comunicație, cu două echipamente care folosesc IPSec lucrând în pereche (IPsec peers). Prin suita
IPSec pot fi securizate comunicațiile între două sau mai multe calculatoare independente, între două
sau mai multe subrețele aflate fiecare în spatele unui gateway care se ocupă de folosirea funcțiilor
criptografice pentru fiecare subrețea aflată în administrarea să, precum și între un calculator
independent și o subrețea aflată în spatele unui gateway. IPSec se bazează pe proprietățile criptografice
ale unor modele precum Diffie-
Hellman, RSA sau DSA și a algoritmilor de criptare și autentificare, cum sunt DES, 3 DES,
AES, MD5, SHA1.
IPsec oferă posibilitatea unei comunicări sigure în rețelele de arie largă (WAN), în aplicații
precum:
Definirea rețelelor virtuale private (VPN – Virtual Private Network), în care uzual IPsec este
configurat să folosească protocolul ESP în modul tunel pentru furnizarea confidențialității. Pentru o
organizație cu mai multe rețele locale, aflate în diferite locații, traficul intern rețelelor locale nu este
securizat în timp ce traficul între acestea utilizează IPsec pentru securizare. IPsec este activat în
echipamentele de acces la rețeaua de arie largă, de exemplu în gateway, router sau firewall. Operațiile
de criptare/decriptare și de autentificare executate de IPsec sunt transparente pentru stațiile de lucru și
serverele din rețelele locale.
28
Accesul securizat de la distanță prin rețeua publică de Internet la un sistem în care este
implementat protocolul IPsec. Se poate apela la un furnizor de Internet (ISP – Internet Service
Provider) pentru a obține accesul securizat la o rețea privată. Îmbunătățirea securității aplicațiilor
distribuite care au o serie de mecanisme de securitate incluse. Principala caracteristică a IPsec care îi
permite să securizeze o
gamă atât de largă de aplicații distribuite (e-mail, transfer de fișiere, acces Web etc.), este faptul
că pentru întregul trafic IP se pot utiliza mecanismele de criptare şi/sau autentificare.
În cazul în care sunt mai mult de doi participanți la asocierea de securitate, în cazul traficului
de tip multicast, asocierea de securitate este furnizată pentru întregul grup și este prezentă pe fiecare
sistem participant. Pot exista, deasemenea, mai multe asocieri de securitate pentru un același grup de
entități, fiecare cu diverse nivele de securitate în interiorul grupului. În funcție de al tipului entității
participante la IPSec putem avea modelul de trafic:
· Site-to-Site sau LAN-to-LAN, în cazul în care entitățile sunt două gateway-uri de securitate
care realizează operații criptografice pentru subrețele protejate aflate în administrarea lor.
· Remote-Access sau Dial-Up VPN, în cazul în care entitățile sunt un gateway de securitate care
are în administrare o subrețea și un calculator independent care dorește să comunice cu acea
subrețea.
29
Această manieră de clasificare se pretează în exclusivitate tipului de încapsulare tunel, neavând
sens pentru tipul transport, în principal datorită faptului că un pachet trimis pe rețea are două seturi de
adrese IP: un set "extern", reprezentat de adresele IP are calculatorului și al gateway-ului căruia se
adresează, și un set de adrese IP "intern", reprezentat de adresa IP a unei mașini din interiorul rețelei și
a unei adrese IP noi a calculatorului, obținută de la acel gateway pentru a avea adresabilitate de nivel
IP în interiorul rețelei la care acest calculator se conectează. Procedeul prin care un calculator obține,
în momentul negocierii IPSec, o adresă de la gateway pentru a avea acces într-o rețea internă este
numit mode-config în scenariile de tip IKEv1 sau configurare remote în cele de IKEv2.
În momentul realizării negocierii IKE, entitățile trimit această cheie pe rețea, spre a fi verificată
de entitățile omoloage și verifică, la rândul lor, că o anumită entitate-pereche are o anumită cheie
secretă.
PKI - Public Key Infrastructure: pentru autentificare este folosit un sistem de tip PKI. Fiecare
entitate are un certificat digital semnat de o autoritate de certificare publică sau internă companiei, dar
de încredere pentru toate entitățile participante în IPSec. În faza de autentificare din IKE, fiecare
entitate își trimite certificatul digital către omologi spre a fi verificat și verifică la rândul ei validitatea
acelui certificat digital.
Cele mai multe implementări de IPSec încearcă să realizeze pe cât posibil optimizarea utilizării
resurselor computaționale disponibile. Un exemplu în acest sens este închiderea tunelului IPSec în
cazul în care nu se mai trimit date pentru o anumită durată de timp, sau dacă lărgimea de bandă
ocupată pentru o anumită conexiune este nulă. Dacă aceasta este configurația implicită, pentru anumite
conexiuni se poate dori suprascrierea ei și menținerea acelei conexiuni. Una dintre posibilitățile puse la
30
dispoziție de standard se numește DPD - Dead Peer Detection. Acesta este un mecanism de timp
keepalive care presupune trimiterea unui pachet între capetele conexiunii, la un interval stabilit.
Cu toate "măsurile de siguranță" luate în cazul IPSec, au fost raportate și unele vulnerabilităţi
în anumite configuraţii ale acestuia, acestea putând fi exploatate de atacatori pentru a sustrage
informaţii confidenţiale. Aceste atacuri sunt posibile când IPSec foloseşte ESP (Encapsulating Security
Payload) în modul de funcţionare tunnel cu opţiunea confidentiality only, sau opţiunea integrity
protection oferită de modulul AH sau de un protocol de nivel mai ridicat. Dacă un atacator poate
intercepta şi modifica comunicaţiile IPSec și ICMP între două servere de tip security gateway,
exploatând această vulnerabilitate poate lansa atacuri de tip Destination Address Rewriting, IP Options
modification şi Protocol Field modification, astfel făcând posibilă sustragerea de informaţii din datele
transferate folosind IPsec. Ca și soluţie este recomandat să se configureze ESP astfel încât să
folosească atât opţiunea confidentiality, cât şi integrity protection și să se folosească protocolul AH
alături de ESP pentru a oferi protecţia integrităţii.
CAPITOLUL III. Analiza reţelei locale a întreprinderii „ECOMERTZ”
SRL
Pentru departamentul IT, au fost construite 2 reţele locale compuse din câte 5 calculatoare, în
cele din urmă fiind interconectate.
Din punct de vedere a tehnologiei de transmisie, reţelele fiind de arie locală, este utilizată
tehnologia reţelelor cu difuzare, reţelele au un singur canal comun de comunicaţie accesibil tuturor
calculatoarelor. Orice staţie trimite mesaje numite pachete care sunt primite de celelalte staţii.
Topologia reţelelor este de tip magistrala (BUS) Figura 2.1 – consta dintr-un singur cablu –
trunchi care conectează toate staţiile de lucru din reţea pe o singură linie. Datele din reţea sub formă de
semnale electronice sunt transmise tuturor calculatoarelor. Informaţia este acceptată doar de
calculatorul a cărui adresa corespunde adresei codificate în semnalul transmis.
Avantaje:
- Implementare şi extindere uşoară;
- Utilizare minimă de cabluri;
- Bine adaptată reţelelor locale – mici;
- Costuri scăzute de proiectare.
Dezavantaje :
31
- Se prăbuşeşte reţeaua dacă exista defecţiuni cu o porţiune de cablu sau o staţie de
lucru ;
- Cu cât mai multe calculatoare sunt conectate cu atât mai mult este influenţată
performanta reţelei ;
În timpul formării reţelelor au fost utilizate următoarele compenente :
ÎNCHEIERE
Întreprinderea “ECOMERTZ” SRL, cunoscută mai mult sub denumirea magazinului Online –
“E-shop.md” pe parcursul a 12 ani s-a dezvoltat ponderat, considerând faptul că nevoile
consumatorilor “Online” se amplifica. La fel şi reţeaua locală a departamentului IT a întrunit
schimbări, precum extinderea reţelei, modificarea modului de transmisie a traficului de la una
telefonică la una digitală.
Pentru îmbunătăţirea reţelei se iau în vedere unele soluţii. Au fost propuse următoarele
modificări şi actualizări a reţelei :
Firewall-ul este un sistem sau un grup de sisteme care implementează politica de acces între
două sau mai multe reţele. Trecerea de un firewall dedicat la unui cu destinaţie – server este utilă
deoarece filtrarea de pachete şi translatarea de adrese este mai eficientă şi firewall-ul de tip server se
descurcă mai bine în situaţii de încărcare mare.
32
Filtrarea permite transferarea pachetelor prin reţeaua locală pe baza unor reguli, în baza acestei
soluţii se admit excepţii şi restricţii privind anumite pachete de date. În partea de identificare se poate
specifica adresa sursa, adresa destinaţie, adresa de reţea sursa, adresa de reţea destinaţie, protocoale
TCP, UDP, ICMP, portul sursa sau destinaţie, etc.
Datorită filtrării, la solicitarea unor adrese DNS, să presupunem acelaşi Google, routerului
poate fi setat în aşa mod că accesul la paginile web – Google, să fie restricţionat. Acelaşi lucru se
întâmplă atunci când avem nevoie de a limita accesul utilizatorilor reţelei la un anumit conţinut, site-
uri necenzurate, aplicaţii malware şi adware, reţele de socializare, etc.
Filtrarea pachetelor de date este o soluţie utilă, considerând faptul că ajută la evitarea
transmisiei prin reţea a conţinutului necenzurat, filtrarea joacă un rol important în sporirea
productivităţii de muncă, restricţionând accesul utilizatorilor la reţele de socializare, site-uri de umor,
etc.
BIBLIOGRAFIE
33