Documente Academic
Documente Profesional
Documente Cultură
sergiu.jecan@econ.ubbcluj.ro
Retea de calculatoare
Materiale bibliografice
Compania BELL a creat primul modem care să poată transmite date binare pe o linie
1958
telefonică simplă
Conectarea primelor calculatoare între patru universități americane de către Leonard
Kleinrock (University of California Los Angeles; Stanford Research Institute; University of
1969 California, Santa Barbara; University of Utah School of Computing)
29 octombrie 1969 – primul mesaj intre 2 calculatoare aflate la distanta intre University of California si
Standford (Login – din care s-au trimis doar primele 2 caractere)
1958 – ARPA
1972 – FTP
1975 – newsgroups
1995 – comert electronic
1994 – Yahoo
2004 - Google
WORLD INTERNET USAGE AND POPULATION STATISTICS
Usage
Population Population Internet Usage, % Population Usage Growth
World Regions
(2008 Est.) % of World Latest Data (Penetration) % of World 2000-
2008
Africa 955,206,348 14.3 % 51,022,400 5.3 % 3.6 % 1030 %
Latin
576,091,673 8.6 % 137,300,309 23.8 % 9.8 % 659.9 %
America/Caribbean
NOTES: (1) Internet Usage and World Population Statistics are for March 31, 2008. (5) For definitions, disclaimer, and navigation
help, please refer to the Site Surfing Guide, now în ten languages. (6) Information în this site may be cited, giving the due credit
to www.internetworldstats.com. Copyright © 2001 - 2008, Miniwatts Marketing Group. All rights reserved worldwide.
Rețele de calculatoare
◼ Vom vedea conceptele rețelelor de
calculatoare
◼ Vom trata partea de structura a
rețelelor de calculatoare
◼ Vom vedea elemente de programare a
rețelelor de calculatoare
◼ Vom vedea principalele aplicatii in
rețele de calculatoare(Internet)
Istoria rețelelor si Internetului
•Aplicatii Comerciale
•Home Applications
•Mobile Users
•Social Issues
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Business Applications
?
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Business Applications
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Business Applications (1)
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Business Applications (2)
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Home Application
De ce aveti calculatoare acasa ?
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Home Application
În 1977 Ken Olsen era preşedinte al Digital Equipment Corporation, care era
pe vremea aceea a doua companie în lume în vânzarea de calculatoare (după
IBM). Atunci când a fost întrebat de ce Digital nu se implică mai mult în piaţa
calculatoarelor personale, el a răspuns: „Nu există nici un motiv ca fiecare
individ să aibă un calculator acasă.” Istoria a arătat că răspunsul a fost greşit,
iar Digital nu mai există. De ce cumpără oamenii calculatoare pentru a le folosi
acasă? La început, pentru prelucrarea de texte şi pentru jocuri, dar în ultimii
ani această imagine s-a schimbat radical. Probabil că în acest moment cel mai
important motiv este accesul la Internet.
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Home Application
Cele mai populare utilizări ale Internet-ului pentru utilizatorii casnici sunt
următoarele:
1. Accesul la informaţie de la distanţă.
2. Comunicaţiile interpersonale.
3. Divertismentul interactiv
4. Comerţul electronic
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Home Applications (1)
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Home Applications (2)
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Mobile Users
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Mobile Users
Unul dintre lucrurile importante după care comerţul mobil s-a orientat
este acela că utilizatorii de telefoane mobile sunt obişnuiţi să
plătească pentru tot (spre deosebire de utilizatorii de Internet,
care aşteaptă totul gratis). Dacă un sit Internet ar impune o taxă
pentru a permite utilizatorilor săi să plătească prin intermediul cărţii de
credit, s-ar naşte o grămadă de proteste zgomotoase din partea
utilizatorilor. Dacă un operator de telefonie mobilă ar permite
oamenilor să plătească pentru articolele dintr-un magazin folosind
telefonul şi apoi le-ar fi impus o taxă pentru acest serviciu, probabil că
totul ar fi fost perceput ca normal. Timpul va decide.
Computer Networks, Fourth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2003
Mobile Users
Computer Networks, Fourth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2003
Mobile Users
Praful inteligent?
Cercetătorii de la Berkley au construit un calculator fără fir într-un cub
cu latura de 1 mm (Warneke et al., 2001).
Aplicaţiile potenţiale includ evidenţa stocurilor, pachetelor, ba chiar şi
a păsărelelor, rozătoarelor şi insectelor.
Computer Networks, Fourth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2003
Social Issues
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Network Hardware (1)
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Network Hardware (2)
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Personal Area Network
? Ce mediu se
utilizeaza pt
transmitere
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Local Area Networks
Computer Networks, Fifth Edition by Andrew Tanenbaum and David Wetherall, © Pearson Education-Prentice Hall, 2011
Metropolitan Area Networks
Transmiterea mesajelor:
– Antetul (header) identifica fiecare
nivel
– Exista un specificator de terminare
a mesajului(trailer)
–Intre header si trailer exista stocat
mesajul
Protocol
Probleme:
– identificarea emitatorilor & receptorilor
–stabilirea regulilor la transferul de date:
comunicare:simplex semiduplex fullduplex
– controlul erorilor
– reconstituirea ordinii corecte a mesajelor
– impartirea/asamblarea mesajelor
– multiplexarea
– gasirea drumului (dirijarea datelor – routing)
Protocol
Tipuri de servicii:
– orientat conexiune – serviciul
telefonic
• Inainte de comunicarea propriu-zisa,
trebuie stabilita o conexiune
– fara conexiune –serviciul postal
•Nu necesita ca in prealabil sa
se stabileasca o conexiune
Protocol
◼ Functiile:
- Transfer fisiere
- Accesul si gestiunea fisierelor
- Posta electronica
- Servicii de terminal virtual
- Gestionarea retelei
- Navigarea
• Satelitii de comunicatie
Corpuri lansate in spatiu care receptioneaza semnalele venite de
pe pamant, le amplifica si apoi le retransmit.
La o altitudine de 35.800 km deasupra ecuatorului perioada
de rotatie a unui satelit este de 24 h si prin urmare satelitul
se invarte cu aceiasi viteza ca si pamantul si se numeste
geostationar.
- Pentru a evita interferentele este bine ca satelitii sa fie unul de
altul la o distanta de ce cel putin 2 grade in plan ecuatorial.
- La frecvente diferite 2 sau mai multi sateliti pot ocupa aceiasi
pozitie pe orbita.
Benzile care se folosesc:
• - C ( 4 – 6 GHz)
• - Ku ( 11 – 14 GHz)
• - Ka ( 20 – 30 GHz)
Nivelul fizic
Transmiterea datelor poate fi realizata
-analogic (valori continue) sau
-digital (valori discrete-digitale sau numerice)
Nivelul fizic
Data vs. semnal
Privire de ansamblu
– nivelul fizic –
responsabil de transmiterea de biti pe un canal de comunicatie
Nivelul aplicatie
SNMP (Simple Network Management Protocol) RFC 1157
– SMTP (Simple Mail Transfer Protocol) – RFC 821
– POP3 (Post Office Protocol) – RFC 1081
– TELNET – RFC 854, 764
– FTP (File Transfer Protocol) – RFC 454
– NFS (Network File System) – RFC 1094
– DNS (Domain Name System) – RFC 1034, 1035
– HTTP (HyperText Transfer Protocol) – RFC 2616
– RTP (Realtime
Transport Protocol) – RFC 1889
– SIP (Session Initiation Protocol) – RFC 3261
– etc., etc.
Echipamente de interconectare
• – repetor –nivelulfizic
• Echipamente folosite:
Hub, Switch, Router, Gateway,
Bridge
Intrebari?
Nivelul rețea
Nivelul rețea: preia pachetele de la sursă si
le transferă către destinaţie; controlul traficului
– filosofii:
•comunitatea Internet: transfer de biti, neorientat
conexiune: send (pachet), receive (pachet); fiecare
pachet este independent de celelalte
• companiile telefonice:
servicii orientate conexiune, sigure, inainte de
transfer se initiaza o negociere
– servicii: dirijare (routing), controlul congestiei,
interconectarea rețelelor, contorizarea traficului
Nivelul rețea
ansamblu (continuare)
– nivelul rețea – dirijare, controlul
fluxului, fragmentare & reasamblare
a pachetelor, interconectare rețele
incompatibile; circuite virtuale
Nivelul rețea
Nivelul rețea:
– Probleme:
•conversii de protocol si de adrese• controlul
erorilor (flux, congestie)
• divizarea si recompunerea pachetelor
•securitatea – criptare( exista protocolul
IPsec), firewall
– Datagrame – tipice pentru rețele fara conexiune,
dirijarea se face pentru fiecare pachet in parte
– Circuite virtuale – tipice pentru rețele
orientate-conexiune, dirijarea are loc dupa stabilirea
conexiunii
– Protocoale folosite:
X.25 (orientat-conexiune), IP (neorientat
conexiune)
Protocolul IP
Un router poate(este liber) să ignore acest câmp, dar acest câmp devine din ce în ce mai important deoarece furnizorii de
rețea doresc perceperea de tarife diferenţiate pentru diferite niveluri deservicii.
Ultimul grup( al treilea) din câmpul TOS este format dintr-un singur bit care e rezervat pentru dezvoltări ulterioare, de obicei
fiind 0.
Protocolul IP
• Cimpul Protocol specifica protocolul (de nivel
superior) caruia îi este destinată informatia inclusă
în datagramă:
1 ICMP (Internet Control Message Protocol)
2IGMP (Internet Group Management Protocol)
4 IP in IP
6 TCP (Transmission Control Protocol)
8 EGP (Exterior Gateway Protocol)
17 UDP (User Datagram Protocol)
46 RSVP (Resource Reservation Protocol)
89 OSPF (Open Shortest Path First)
etc
Protocolul IP
• Cimpul Identificare(Identifier), în
conjunctie cu Flags si Deplasament
fragment(Fragment Offset), identifică
fragmentele de pachete (dacă
lungimea datelor depășește valoarea
MTU – Maximum Transmission Unit,
adica lungimea maxima, a pachetului,
ce poate fi transmisa)
Protocolul IP
Cimpul Flags stochează 3 biți:
◼ Primul bit – nefolosit
◼ Al doilea bit Don’t Fragment (DF=1) bit –
datagrama nu poate fi fragmentată (daca
routerul nu poate transmite pachetul
nefragmentat, il va distruge)
◼ Al treilea bit More Fragments (MF=1) bit –
semnalează că pachetul este un fragment,
urmat de altele
(ultimul fragment are MF=0), deci s-au
terminat fragmentele
Protocolul IP
• Fragmentarea datagramelor
–fiecare fragment (pachet) are aceeasi structura
ca datagrama IP
– reasamblarea datagramelor se face la destinatar
–dacă un fragment al unei datagrame e pierdut, acea
datagramă este distrusă (se trimite la expeditor
un mesaj ICMP – Internet Control Message Protocol)
– mecanismul de fragmentare a fost folosit pentru
unele atacuri (un fragment “special” e considerat ca
fiind parte a unei conexiuni deja stabilite, astfel încât
îi va fi permis accesul via firewall) – firewall piercing
Protocolul IP
• Controlul fluxului, detectia erorilor
– daca pachetele ajung prea rapid, receptorul acestora
va elimina pe cele in exces (va trimite si un mesaj
ICMP la destinatar)
– daca apare o eroare de antet(header checksum
error), pachetul este distrus
-se realizeaza suma de control numai pentru antet
deoarece acesta este folosit pentru rutare( adresele
si alte campuri), iar datele nu-l intereseaza.
-suma de control se calculeaza la fiecare nod de
trecere(hop) (unde de obiecei este un router) ceea
ce duce la incetinirea procesului de dirijare
Protocolul IP
• Filtrarea pachetelor (datagramelor)
– Se realizeaza de un firewall: ofera accesul din
exterior în rețeaua internă, conform unor politici
(reguli) de acces, doar pentru anumite tipuri de
pachete (utilizate de anumite protocoale/servicii)
• preîntâmpină anumite atacuri vizând securitatea
–Firewall-ul poate fi software (iptables, ISA Server,
ZoneAlarm etc.) sau hardware (ex., Cisco PIX,
Cyberoam, PaloAlto)
– Firewallul poate juca rol de proxy (poartă de aplicaţii)
sau gateway
Protocolul IP
Proxy
◼ Un server proxy este un calculator care funcționează ca
intermediar între un browser Web (cum ar fi Internet Explorer,
Microsoft Edge, Google Crome, Firefox, etc.) și Internet.
◼ Serverele proxy ajută la îmbunătățirea performanței Web,
stocând câte o copie a paginilor Web utilizate frecvent. Atunci
când un browser solicită o pagină Web stocată în colecția
(cache) serverului proxy, pagina este furnizată de serverul
proxy, mai rapid decât deplasarea pe Web.
◼ De asemenea, serverele proxy ajută la îmbunătățirea
securității, filtrând unele tipuri de conținut Web și software-
urile rău intenționate.
◼ Serverele proxy sunt utilizate cel mai mult de către rețele din
organizații și firme. De obicei, persoanele care se conectează
la Internet de acasă nu utilizează un server proxy
Protocolul IP
• Rolul & arhitectura unui proxy
–Acces indirect la alte rețele (Internet)
pentru gazdele dintr‐o rețea locala via proxy
– Proxy‐ul poate fi software ori hardware
–Rol de poarta (gateway), de firewall sau
de server de cache
– Proxy‐ul ofera partajarea unei conexiuni Internet
–Utilizat la imbunatatirea performantei (de ex. caching,
controlul fluxului), filtrarea cererilor, asigurarea
anonimitatii
Protocolul IP
Protocolul IP-Rezolutia adreselor
• Adrese IP ↔ adrese hardware (fizice)
– procesul de a gasi adresa hardware a unei gaze ştiind adresa IP se
numeşte rezoluţia adresei (address resolution) – protocolul ARP
•ARP e protocol de tip broadcast (fiecare maşină primeşte cererea
de trimitere a adresei fizice, răspunde doar cea în cauză – maşina
proprietar)
•nu se utilizează pentru fiecare datagrama IP (masinile
memoreaza adresa fizica)
– procesul invers este numit rezolutia inversa a adresei (reverse
address resolution)
– protocolul RARP
• utilizat la boot‐are de statiile de lucru fara disc
ARP și RARP
Protocolul ICMP
-Internet Control Message Protocol este tot un protocol la nivel
retea:
• utilizat pentru schimbul de mesaje de control
• foloseste datagrame IP
• mesajele ICMP sunt procesate de software‐ul IP, nu de
procesele utilizatorului
• tipuri de mesaje:
8 Echo Request (“existi?”)
0 Echo Reply (“exist!”)
3 Destination Unreachable (destinatie inaccesibila)
5 Redirect (schimbarea rutei)
11 Time Exceeded (“a expirat timpul”)
etc.
Protocolul ICMP
• Mesaje ICMP:
– Redu sursa (source quench):
“Incetineste! Unele datagrame au fost pierdute”
– Timp expirat (time exceeded):
“Cimpul TTL al unui pachet are valoarea 0”
– Fragmentare (fragmentation required): “Datagrama
este mai lunga decit MTU”/“Este setat bitul DF”
–Cerere/raspuns pt. masca (address mask request or
reply): “Care e masca de rețea pentru aceasta rețea?”
(va raspunde “agentul de masca de rețea”)
– Redirectare (redirect): “Trimite routerului X”
Protocolul ICMP
• Utilizat de comanda ping
– PING (Packet InterNet Groper)
◼ Adresele private sunt locale, fiind destinate unui link sau site şi nu sunt rutate in exterior.
Pentru acestea valoarea primului octet este “FE” şi urmatoarea cifra hexazecimala este
in gama “8”-“F”.
Aceste adrese sunt împărţite în două tipuri: site-local şi link-local.
-Adresele site-local se folosesc pentru un site sau organizaţie. In acest caz valoarea
celei de-a treia cifra hexazecimala este în gama “C”-“F”.
- Adresele link-local au drept scop o legătură fizică. In acest caz valoarea celei de-a
treia cifra hexazecimala este in gama “8”-“B”.
Adresa loopback este “::1”. O adresă nespecificată este scrisă ca şi “::”. Adresa
nespecificată, “::”, este folosită în câmpul sursă al unei datagrame, transmisă de către un
dispozitiv care încearcă să-şi configureze adresa IP.
Adrese IPv6
Problemele de conectivitate, în cazul folosirii IPv6, sunt, de obicei, cauzate de:
◼ echipamentele de reţea (de exemplu, routere la domiciliu) configurate greşit
sau care se comportă neadecvat;
◼ erori ale sistemelor de operare;
◼ probleme ale reţelelor furnizorilor de servicii de Internet( Internet Service
Provider-ISP).
◼ În multe cazuri, problema se poate remedia trecând la modele de routere mai
noi sau înlocuindu-le şi trecând sistemele de operare la o versiune
superioară. De asemenea, problema poate fi remediată de către furnizorul de
servicii de internet.
◼ Problema se poate evita prin utilizarea IPv4.
IPv6
• ICMPv6
–Ofera functiile ICMP (raportarea transmiterii
datelor, erorilor etc.), plus:
Descoperirea vecinilor (Neighbor Discovery)
– înlocuieşte ARP (Address Resolution Protocol)
Descoperirea multicast a ascultătorilor
(Multicast Listener Discovery) – înlocuieşte
IGMP (Internet Group Management Protocol)
– Detalii in RFC 2463
Rutare-preliminarii
• Partea software‐ului nivelului rețea care alege calea
pe care un pachet receptionat de un router trebuie trimis pentru a
ajunge la destinatie
• Dacă se folosesc datagrame, decizia de rutare trebuie luată
pentru fiecare pachet
• Dacă se utilizeaza circuite virtuale, decizia de rutare se ia la
stabilirea unui nou circuit
• Cerinte pentru un algoritm de rutare: corect, simplu, robust,
stabil, optim, rapid convergent
• Activități:
– Determinarea căii optime de trimitere a pachetelor este
procesul de dirijare/rutare (routing)
– Transportarea pachetelor este procesul de comutare
(switching)
Rutare-preliminarii
• Terminologie:
–end systems – dispozitive de rețea fără capacităti de
redirectat pachete către subrețele
– intermediate systems – cele având astfel de capacități
• Intradomain IS
(comunică in cadrul unui domeniu de rutare)
• Interdomain IS (comunică și între domenii de rutare)
–domeniu de rutare (sistem autonom) – portiune de
inter‐rețea avind aceeasi autoritate de administrare
– arie de rutare – sub‐domeniu de rutare
Comutare
• O gazdă determină dacă un pachet trebuie trimis la o alta gazdă
• Rutarea dinamică
– Ruterele comunica intre ele informaţii despre rute
–Tabelele de rutare se schimbă conform informaţiilor
date de routere
– Se realizează folosind mai multe protocoale
Rutarea
•Problema: conform algoritmului cu vectori distanţă,
la fiecare actualizare a rutelor, tabelele de rutare
trebuie trimise fiecărui vecin;
– când router-ul trimite actualizari de rute folosind
o anumită interfață de rețea, ele nu vor fi expediate
rețelelor ale căror rute au fost învățate din actualizări
primite via acea interfață
Rutarea/exemplu
Intrebari?
Retele de calculatoare
Protocoale la nivel transport
• Nivelul transport
– Preliminarii
– Porturi
– Protocoale
– TCP (Transmission Control Protocol)
– UDP (User Datagram Protocol)
– TCP versus UDP
Protocoale la nivel transport
End to End
Nivelul transport
• Transmite date de la mașina sursă la mașina destinație –
comunicare end to end-capăt la capăt
• Asigură transportul datelor de la aplicație la aplicație
• Asigură fluxuri de octeți în mod fiabil (reliable), in cazul unui
protocol orientat conexiune
• Oferă servicii mult mai fiabile decît nivelul retea (IP)
– pachetele pierdute/incorecte la nivelul retea pot fi
detectate/corectate la nivelul transport
– Comunicații orientate flux de date (stream‐uri) sau datagrame
– Conectare prin circuite virtuale
– Transfer de date via zone tampon (buffers)
Nivelul transport
• Calitatea serviciilor la nivel transport e dată de:
– Rata erorilor;
– Rata de transfer;
– Intârzierea la stabilirea sau inchiderea conexiunii
– Protecția, prioritatea, reziliența conexiunii
•Unitatea de date pentru transport este TPDU
(Transport Protocol Data Unit) cu identificatorul:
adresa IP:port ( adică se identifică hostul şi
procesul-aplicaţia din host-socket-soclu)
Nivelul transport
Nivelul transport:
–primitive
LISTEN – se blocheaza pînă un proces încearcă
să se conecteze( porturile sunt deschise, de ex: portul 80)
CONNECT – încearcă să stabilească o conexiune
SEND – transmite date
RECEIVE –se blocheaza pînă primește date
DISCONNECT –eliberează conexiunea
–probleme
•duplicarea pachetelor, stabilirea/eliberarea
conexiunii, controlul fluxului
Porturi
0 – 65535
0 – 1023 rezervate, 0 – 512 servicii de sistem
RFC 1700 Internet Assigned Number Authority
(IANA)
Serviciile‐sistem au porturi precizate în fișierul
/etc/services
Exemple:
22 – SSH, 23 – telnet, 25 – SMTP, 80 – HTTP
443-HTTPS, 53-DNS
Porturi
Protocoale(UDP)
Terminologie:
Securitatea reprezintă abilitatea de a evita neplăcerile produse de orice risc, ameninţare sau
pericol, deziderat imposibil de realizat în practică.
Vulnerabilitate = caracteristica unui produs care permite altora decât proprietarului acces la
nivelul de confidenţialitate, integritate şi disponibilitate
Securitatea retelelor de calculatoare
◼
-confidenţialitatea
-integritatea
-disponibilitatea.
Securitatea retelelor de calculatoare
◼
Confidențialitatea
Este definită conform ISO (organizația mondială pentru standardizare) ca fiind asigurarea
accesabilității informației doar de către persoanele autorizate în accesarea și folosirea
acestor informații.
Cea mai eficientă metodă de asigurare a confidențialității informațiilor este criptografia.
Astfel, datele cu caracter privat și sensibile sunt encriptate de către sursă și decriptate de
către persoana autorizată.
Asigurarea confidențialității este critică în aplicațiile care folosesc tranzacții bancare online.
De asemenea confidențialitatea este necesară și în menținerea caracterului privat al datelor
cu caracter personal.
Securitatea retelelor de calculatoare
◼
Disponibilitatea
Se referă la asigurarea accesului la informație, atunci când este cerută și implică în principiu
disponibilitatea sistemelor informatice de a oferi informația. Internetul a perfecționat acest
principiu prin introducerea conceptului de disponibilitate permanentă (High Availability),
fiind o necesitate absolută a traseului informție-utilizator. Sistemele informatice care oferă
informație în internet trebuie să asigure disponibilitatea permanentă, să prevină prin soluții
tehnice întreruperile de serviciu din cauze diverse (căderi de tensiune în rețeaua
electrică, disfunționalități hardware, etc) și prevenirea atacurilor de tip Denial of Service.
Securitatea retelelor de calculatoare
◼
Disponibilitatea
Se referă la asigurarea accesului la informație, atunci când este cerută și implică în principiu
disponibilitatea sistemelor informatice de a oferi informația. Internetul a perfecționat acest
principiu prin introducerea conceptului de disponibilitate permanentă (High Availability),
fiind o necesitate absolută a traseului informție-utilizator. Sistemele informatice care oferă
informație în internet trebuie să asigure disponibilitatea permanentă, să prevină prin soluții
tehnice întreruperile de serviciu din cauze diverse (căderi de tensiune în rețeaua
electrică, disfunționalități hardware, etc) și prevenirea atacurilor de tip Denial of Service.
Securitatea retelelor de calculatoare
◼
Motivele hackerilor
Prestigiul - hacking benign orientat spre încălcarea protecţiilor şi nu spre
accesarea de resurse protejate
util în testarea securităţii;
Curiozitatea – implică accesarea de resurse protejate dar nu şi exploatarea
lor
read-only hacking
Utilizarea – implică exploatarea resurselor protejate în interesul hackerului,
fără a bloca accesul proprietarului la resurse
spyware, viruşi de e-mail
Vandalizarea – implică blocarea accesului proprietarului la resurse fără
beneficii directe pentru hacker
modificarea GUI (frecvent la site-uri Web), distrugerea datelor sau blocarea
funcţionalităţii (denial-of-service)
Furtul – exploatarea resurselor în interesul hackerului şi blocarea accesului
proprietarului la resurse
furtul de numere de card, bunuri şi servicii, date personale
Securitatea retelelor de calculatoare
◼
- bărbat cu vârsta cuprinsă între 15 şi 45 de ani, având un statut social bun, fără
antecedente penale, inteligent şi motivat. În multe cazuri, autorul este
chiar salariat al întreprinderii atacate, sau cunoaşte modul de funcţionare a
sistemului atacat.
Securitatea retelelor de calculatoare
◼
Parole
Distributia initiala a parolelor
Ingineria sociala
O inundație SYN are loc atunci când atacatorul trimite foarte multe segmente deschise
de SYN și nu finalizează/completează niciodată dialogul ȋn trei faze(handshake).
Fiecare SYN consumă resurse ale serverului, care nu devin disponibile până când nu a
trecut o anumită perioadă de timp. Serverul poate să nu dispună de suficientă
memorie pentru a administra cereri reale de conexiune TCP.
Atacuri asupra rețelelor
La un semnal, toate „fantomele” trimit cereri HTTP unui server victimă. Supraîncărcarea
reduce drastic nivelul de servicii oferit de server, chiar până la zero, altor calculatoare.
Acest procedeu este folosit pentru a supraîncărca gazda/serverul, (din motive cel mai
adesea, politice) de către cracker sau ca parte a unui atac mai amplu împotriva unei
gazde comerciale (de exemplu, un site de pariuri) cu scopul de a-l determina să plătească
o răscumpărare.
Atacuri asupra rețelelor
MTU. Pachetele ICMP reale nu sunt niciodată suficient de mari/largi astfel ȋncât să fie
necesară o fragmentare a lor, deci, putem renunța fără probleme la fragmentele ICMP. O
altă variantă este de a încerca repararea/fixarea codului de reasamblare(adică asamblarea
pachetelor din fragmente).
◼În mod similar, unele sisteme nu pot face față la fragmentele bombă. Acest lucru are loc
atunci când un număr de fragmente de pachete sunt primite, dar toate pachetele au și
fragmente lipsă și din acest motiv ele nu pot fi reasamblate. Din nou, cauza problemei
constă ȋn insuficiența resurselor necesare stocării fragmentelor.
Atacuri asupra rețelelor
fiind de fapt programe răuvoitoare, ce se ascund sub forma unor programe utile, în speranța
că utilizatorul le va rula, din greșeală. Ele permit răufăcătorilor să câştige accesul la
calculatoarele pe care se află programul de tip troian şi să provoace daune asupra fişierelor, a
modului de rulare a programelor, a datelor sau, pur şi simplu, să fure anumite date sau să le
modifice.
◼Un alt mod de a intra într-un calculator are loc atunci când aplicația nu verifică suficient de
bine datele primite. În cazul atacurilor asupra buffere-lor, atacatorul trimite o mulțime de
date, alese cu atenție, astfel încât clientul să eșueze în încercarea de a le verifica. Acestea
supraîncarcă memoria buffer, pe care clientul a alocat-o datelor. Ca rezultat, clientul începe să
ruleze datele primite care, desigur vor rula în favoarea serverului(adică vor executa operaţiile
dorite de server) și în detrimentul clientului. Browserele web, fiind programe mari și
complexe, sunt, îndeosebi, susceptibile la această problemă.
Atacuri asupra rețelelor
Această formă de atac este una veche, dar a renăscut o dată cu era Internetului.
◼
◼ In cazul în care calculatorul este mult prea greu de spart, este atacat, în schimb,
utilizatorul. Multe persoane consideră acest gen de atacuri mai ușoare decât cele asupra
calculatorului. Cea mai simplă formă este apelarea unui administrator de sistem și
folosirea unor mijloace de persuasiune asupra acestuia ca să se obţină parola maşinii lui.
Acest lucru se face uneori prin prezentarea atacatorului( care se poate afla la distanţă)
drept superiorul lui și să-l amenințe cu concedierea, sau atacatorul se poate preface că
este un utilizator care şi-a uitat parola, sau alte șiretlicuri asemănătoare care să-l
sensibilizeze şi să-l facă să cedeze. Această metodă este mult mai ușoară și mai rapidă
decât încercările de a sparge parola.
Atacuri asupra rețelelor
◼ Pagina Web este construită plauzibil, astfel încât să pară a fi de la banca respectivă
◼ Victima primește un e-mail cu o poveste referitoare la „cineva care are foarte mulți bani,
aur sau diamante și dorește să le transfere în țara dumeavoastră dar anumite legi îl
împiedică”;
◼ E-mailul oferă victimei un procent din bani dacă îl ajută, dar prima dată victima trebuie să
garanteze înțelegerea plătind o anumită taxă, sau trimiţând detalii privind transferul bancar,
pentru a face posibil transferul.
◼ Un atac similar implică ideea că victima a câștigat la loterie și sunt necesare date personale
bancare pentru a permite transferul câștigului.
◼ Acest tip de atacuri, la nivel social, au existat încă dinainte de existența Internetului: atacul
419 s-a perpetuat prin intermediul scrisorilor sau al faxului. In societate s-au găsit metode
de a contracara aceste atacuri și trebuie făcut același lucru și în cazul Internetului.
Atacuri asupra rețelelor
◼ Pentru a reduce impactul atacurilor asupra reţelei se iau unele măsuri precum: accesul în
reţea să fie protejat de un firewall, instalarea unui antivirus pentru serverul de e-mail, o
politică de monitorizare a serviciilor prin scanarea porturilor pentru a vedea care
sunt deschise şi ar putea fi folosite de atacatori, etc.
◼ O aplicaţie de scanat porturi este cea care iniţiază conexiuni către toate porturile unui
sistem ţintă, pentru a determina care porturi sunt deschise şi aflând astfel ce servicii sunt
disponibile. Una din cele mai folosite aplicaţii de scanat porturile este nmap (network
mapper) pentru explorarea reţelei şi audit de securitate, care poate oferi informaţii
despre porturile deschise şi despre porturile filtrate. De asemenea oferă informaţii
despre serviciile rulate şi pune la dispoziţia administratorului de reţea metode de
detectare a staţiilor active dintr-o reţea, serviciile folosite de utilizatori, etc.
◼ O metodă de a reduce pericolul unui atac este, în primul rând, de a preveni ca pachetul
să ajungă la gazdă.
◼ Un firewall(numit şi „zid de protecţie”) este un element intermediar(hard sau soft, sau
ambele, de exemplu un router) poziționat între o rețea privată și Internet, care încearcă
să protejeze rețeaua privată de atacuri din exterior, cercetând fiecare pachet, pe măsură
ce acesta trece prin el și decizând ce să facă cu el .
Protecția rețelelor prin firewall-uri
menţiunea „port imposibil de ajuns”. Acesta este un semnal trimis expeditorului care
sugerează funcționarea calculatorului și încurajează încercările ulterioare. Tăcerea poate
sugera că nu există nici un calculator la celălalt capăt.
Funcționarea firewall-urilor
◼Tipul fundamental de firewall este cel ce face filtrare de pachete. Firewall-ul de tip filtru de
pachete se află, de obicei, în dispozitive de rutare care includ funcţionalităţi de control pentru
sistemul de adresare şi sesiunile de comunicări.
◼Funcţionalitatea de control al accesului unui firewall de filtrare de pachete este guvernată de
bază este concepută să asigure controlul accesului la reţea, bazat pe mai multe informaţii
conţinute într-un pachet IP şi anume:
❖Firewall-urile cu filtrare de pachete sunt, de obicei, implementate pe infrastructuri de reţea
asemenea, bazat pe anumite caracteristici ale traficului, de exemplu, în cazul în care ar folosi
protocolul ICMP pentru inundarea cu trafic, creând astfel denial-of-service distribuit (DDoS).
Firewall-uri cu filtrarea pachetelor
Firewall-urile cu filtrarea pachetelor au două puncte forte principale:
◼ viteza
◼ flexibilitatea,
pentru că ele nu examinează datele deasupra nivelului reţea. De asemenea, fiindcă pot fi
folosite cele mai moderne protocoale la nivel reţea, firewall-ul cu filtrarea pachetelor poate fi
folosit pentru a asigura aproape orice tip de comunicare în reţea. Această simplitate permite
firewall-ului filtru de pachete să fie folosit în aproape orice infrastructură de reţea de firmă.
DMZ IDS/IPS
Figura de mai jos arată, o reţea internă bine protejată de firewall-ul principal şi cel cu filtrare de pachete
precum şi de un IDS/IPS(Intruder Detect System/Intruder Protect System), ce poate detecta o serie de
atacuri precum: scanarea porturilor, negarea serviciului, inundare, viermi, viruşi, etc. Mai are o zonă
DMZ(Demilitarizet Zone) de mai puţină încredere, pentru Web siDNS.
Firewall-uri cu filtrarea pachetelor
◼ Se trec apoi pachetele la alte firewall-uri mai puternice( numite firewaluri principale),
pentru controlul accesului şi mai multe operaţiuni de filtrare din straturile superioare ale
stivei OSI. Figura anterioara arată, de asemenea, o reţea internă, cu mai puţină
încredere, legată între router-ul de margine şi un firewall interior, denumită uneori zonă
de reţea DMZ (Demilitarized Zone) şi o reţea bine protejată de firewall-ul principal.
Reguli de filtrare
4 192.168.1.0 Oricare Oricare Oricare permis Utilizatorii interni pot accesa servere
(any) (any) (any) externe
7 Oricare Oricare Oricare Oricare interzis Reuneşte toate regulile. Tot ceea ce nu
(any) (any) (any) (any) este permis (anterior nu a fost permis),
în mod explicit, este interzis
Reguli de filtrare
◼ Firewall-urile cu inspectare dinamică sunt filtre de pachete care includ în plus filtrarea la
nivelul transport.
Atunci când o aplicaţie creează o conexiune TCP cu un host de la distanţă, este creat, de
◼
Po r ile de aplicaţie proxy sunt firewall-uri avansate care combină funcţionalitatea de control al accesului de
◼ ţ
la nivele inferioare cu cea de la nivelul superior (nivelul aplicaţie). In cazul în care softul porţii de aplicaţie
proxy încetează să funcţioneze, sistemul firewall nu mai este capabil să transmită pachetele de reţea prin
sistemul firewall. Fiecare aplicaţie proxy, în parte, numită, de asemenea, şi agent proxy interferează în
mod direct cu setul de reguli al controlului de acces al firewall-ului pentru a determina dacă unei părţi a
traficului reţelei îi este permisă trecerea prin firewall.
◼ Pe lângă setul de reguli, fiecare agent proxy are capacitatea de a cere autentficarea fiecărui utilizator
individual al reţelei. Această autentificare a utilizatorilor poate lua mai multe forme, printre care:
◼ - autentificarea prin ID-ul utilizatorului şi parola de autentificare;
◼ - autentificarea printr-un simbol hardware şi software;
◼ - autentificare pe baza adresei sursă;
◼ - autentificare biometrică.
◼ Porţile de aplicaţie proxy au numeroase avantaje faţă de firewall-urile cu filtrarea pachetelor precum şi
asupra firewall-urilor cu inspecţie dinamică a (filtrării) pachetelor. Porţile de aplicaţie proxy au, de obicei,
mai multe posibilităţi de logare extensivă, datorită faptului că firewall-ul este capabil să examineze întregul
pachet de reţea şi nu doar adresele şi porturile reţelei. De exemplu, logarea porţilor de aplicaţie proxy
poate conţine comenzi specifice de aplicaţie în interiorul traficului reţelei.
Servere proxy dedicate
Servere proxy dedicate
◼ Pe lângă funcţionalitatea autentificării şi logării, serverele proxy dedicate sunt utile pentru
scanarea conţinutului web şi al e-mail-urilor, incluzând următoarele:
◼ filtrare JavaScript;
◼ controale specifice pentru utilizatori, incluzând blocarea unor anumite tipuri de conţinut
pentru anumiţi utilizatori.
Tehnologii firewall hibride
◼Tot în acest mod, multe firewall-uri cu filtrarea pachetelor, comercializate sau cu inspecţie
dinamică a filtrării pachetelor, au implementat funcţionalitatea aplicaţiei proxy. In
majoritatea cazurilor, firewall-urile cu filtrarea pachetelor sau a celor cu inspecţie stabilă a
filtrării pachetelor implementează aplicaţii proxy pentru a furniza o îmbunătăţire a logării
traficului de reţea şi a autentificarii utilizatorului în firewall-urile lor.
◼ Mai nou au apărut aşa numitele NGF(Next Generation Firewall) care pe lângă
facilităţile amintite mai sus au şi sistem IDP(Intrusion Detection and Prevention).
Translatarea adreselor de retea
Translatarea adreselor de retea si a porturilor
Firewall-uri personale
◼ Securizarea calculatoarelor personale, acasă sau în alte locaţii, este acum la fel de
importantă ca şi securizarea lor la birou, deoarece multă lume lucrează acasă şi operează
cu date ale unor organizaţii sau agenţii. Utilizatorii care au acces la Internet de acasă,
prin modem sau nu, spre un furnizor de servicii internet (ISP), pot avea puţine protecţii
firewall disponibile la ei, pentru că un ISP trebuie să armonizeze mai multe politici diferite
de securitate. Aceste produse sunt implementate tipic în una sau două configuraţii.
◼ Una dintre aceste configuraţii este un firewall personal, care este instalat pe sistemul care
trebuie protejat. Firewall-urile personale nu oferă, de obicei, protecţie altor sisteme sau
resurse. La fel, firewall-urile personale nu furnizează controale asupra traficului de reţea
care traversează un sistem al unui calculator – ele doar protejează sistemul calculatorului
pe care sunt instalate.
◼ A doua configurare este denumită dispozitiv firewall personal, care este un concept
similar cu acela al unui firewall tradiţional. In majoritatea cazurilor, dispozitivele firewall
personale sunt proiectate spre a proteja reţelele mici precum reţelele care pot fi găsite în
birouri de acasă. Aceste dispozitive operează, de obicei, pe un hardware specializat şi
integrează şi alte forme de componente de infrastructură a reţelei pe lângă însuşi
firewall-ul, printre care: modem pe cablu cu rutare WAN, switch de reţea, server DHCP,
agent de management reţea (SNMP) și agenţi de aplicaţie proxy.
Utilitarul/modulul IPtables
◼Modulul IPtables, care intră în componenţa unor firewall-uri, conţine 3 tabele: Mangle,
Filter şi NAT. Fiecare dintre aceste tabele conţine anumite lanţuri (chains) de dirijare:
PREROUTING, INPUT, FORWARD, OUTPUT şi POSTROUTING.
◼ Un lanţ este o listă cu reguli de verificare. Fiecare regulă spune ce să faci cu un pachet, în
lanţ. În final, dacă nu mai există reguli de examinat, nucleul Linux se uită la politica acelui
lanţ pentru a decide soarta pachetului. Fiecare regulă sau set de reguli are o ţintă. Dacă o
regulă se potriveşte, ţinta ei specifică ce se va întâmpla cu acel pachet.
Există două ţinte foarte simple, incluse: ACCEPT şi DROP. Mai există şi specificaţii de tipul
◼
salt (jump). Această instrucţiune se foloseşte atunci când ţinta unui pachet este un alt lanţ.
Sintaxa unei reguli este de forma:
Metodele folosite de NGFW pentru realizarea dezideratelor privind securitatea sunt enumeratemai jos.
• Gruparea continuă a întregului trafic prin toate porturile. Spre deosebire de firewall-urile vechi NGF aplică
mai multe mecanisme de grupare a fluxului de trafic pentru a identifica aplicaţii, ameninţări şi malware. Tot
traficul este grupat, indiferent de portul, criptare (SSL sau SSH), sau alte tehnici care sunt folosite mai rar.
Aplicaţiile neidentificate-de obicei un mic procent din trafic, dar cu risc potenţial mai mare — sunt în mod
automat “vizate” pentru o gestionare/management atentă şi sistematică.
• Odată ce traficul este grupat, puteţi reduce atacurile reţelei, prin permiterea rulării aplicaţiilor specifice şi
oprirea( deny) tuturor celorlalte aplicaţii. Prevenirea unor atacuri cibernetice coordonate poate fi realizată
prin blocarea site-urilor cunoscute de malware precum şi împiedicarea vulnerabilităţilor speculate, a
viruşilor, spyware-ului şi a interogărilor ostile a/de DNS. Orice client sau malware necunoscut este analizat
şi identificat de către fişierele de execuţie şi este observat comportamentul său rău intenţionat într-un
mediu virtualizat. Atunci când este descoperit un nou malware se generează automat o semnătură a
traficului malware şi ne este livrată pentru a fi adăugată la baza de date cu semnăturilemalware.
• Realizarea unei mapări a traficului aplicaţiilor şi a ameninţărilor asociate la/pe utilizatori şi dispozitive.
Pentru a îmbunătăţi securitatea şi a reduce timpul de răspuns la un incident de securitate, este esenţial să
se realizeze o mapare a aplicaţiilor la/pe utilizatori şi dispozitive — şi în acest context să se poată aplica
politicile de securitate. Integrarea cu o gamă largă de arhive de utilizatori oferă identitatea utilizatorilor
precum: Microsoft® Windows®, Mac® OS X®, Linux®, Android® sau iOS şi a dispozitivelor care
accesează aplicaţiile. Combinarea vizibilităţii şi controlului atât asupra utilizatorilor cât şi asupra
dispozitivelor va face posibilă activarea în condiţii de siguranţă a utilizării oricărei aplicaţii din reţea,
indiferent de utilizator sau tipul de dispozitiv folosit.
Firewaluri de ultimă generaţie(Next Generation Firewalls)-politici/reguli
◼Când se ştie exact care sunt aplicaţiile/cererile care traversează gateway-ul Internet, dacă se operează în data-
center-ul local sau în cloud, dacă se lucrează de la distanţă, se pot aplica politici specifice pentru aceste aplicaţii,
coroborate cu protecţia contra atacurilor. Cunoaşterea/cunoştinţele privind utilizatorul şi nu doar adresa IP, adaugă
un alt element de context care ajută politicile de Securitate
◼ Regulile/politicile de control includ:
• permis sau nu( alow or deny);
• permis dar se scanează( alow but scan for viruses and otherthreats);
• permisie bazată pe programare, utilizatori sau grupuri(alow based on schedule, users, or groups);
• se aplică trafficului modelul QoS (apply trafic shaping throughQoS)
• decriptare şi inspecţie (decrypt and inspect);
• permiterea anumitor funcţii ale aplicaţiei( alow certain applicationfunctions);
• aplicarea de politici pentru forţare a traficului( apply policy–basedforwarding);
• orice combinaţie a regulilor/politicilor de mai sus( any combination of the above).
Prin folosirea editorului de politici, lucru familiar celor care au experienţă în administrarea firewall-urilor, se pot
crea politici flexibile precum: blocarea aplicaţiilor răuvoitoare p2p, forţarea traficului pe anumite rute( de ex. cel de
Facebook), identificarea transferurilor sensibile(carte de credit, etc.), politici de filtrare URL, definirea unor politici
de inspectare a email-urilor, activarea pentru grupul IT a utilizării unui management specific pentru SSH, etc.
NGFW
Firewaluri de ultimă generaţie(Next Generation Firewalls)-grupare
frecvent sunt folosite, sau de către cine. O vizibilitate completă a aspectelor legate de traficul de reţea —
aplicaţie, conţinut şi utilizator — este primul pas spre un control informat privind politicile desecuritate.
NGFW- Protejarea conţinutului şi a aplicaţiilor permise/activate
:
◼ Prevenirea ameninţărilor cunoscute folosind IPS și a unui antivirus/anti-spyware pentru rețea.
Notă: Spyware este un software răuvoitor care își propune să adune informații despre o persoană sau o
organizație fără știrea lor şi apoi transmite aceste informații către o altă entitate fără acordul persoanei sau
organizaţiei, sau care realizează controlul asupra unui dispozitiv fără știrea celui ce-l utilizează legal.
◼ Blocarea de malware necunoscut sau targhetat cu motoare de scanare.
Malware-ul necunoscut sau cunoscut(de ex. ameninţările complexe persistente), ascuns în fişiere poate fi
identificat şi analizat de un motor de scanare( de ex. WildFire) în mai multe sisteme de operare, într-un mediu
virtualizat şi în cloud. Sunt monitorizate un număr mare de comportamente maliţioase şi, dacă este găsit un
malware este creată în mod automat o semnătură, care este livrată în câteva minute. Sunt suportate majoritatea
tipurilor de fişiere precum: Microsoft Office .doc, .xls şi .ppt; Portabil Document Format (PDF); Apleturi Java (jar şi
class); şi pachetul Android (APK). În plus sunt analizate link-urile din e-mail pentru a opri atacurile de phishing.
◼ Identificarea gazdelor bot-infectate şi oprirea perturbării activităţilor din reţea de către aplicaţiile
ostile(malware).
Trierea completă, gruparea tuturor aplicaţiilor, în/din toate porturile, inclusiv orice trafic necunoscut, adesea pot
duce la anomalii sau ameninţări în reţea. Se poate folosi o comandă pentru un raport privind comportamentul
botnet(o reţea de calculatoare, tablete, smartphone, etc. infectate cu software de tip bot, software ce permite unor
persoane rău intenţionate să preia controlul acestora fără cunoştinţa proprietarilor de drept şi să le utilizeze pentru
a lansa atacuri cibernetice de tip DdoS, spam, asupra unor terţi), DNS “rău”-sinkholing( un server DNS care dă
informaţii false), DNS pasiv şi să se coreleze repede traficul necunoscut, DNS-ul suspect şi interogările URL cu
gazdele infectate. Se aplică inteligenţa globală pentru a intercepta şi interoga DNS-ul “rău” pentru domenii “rău
intenţionate”(malicious).
NGFW- Protejarea conţinutului şi a aplicaţiilor permise/activate
◼Cele mai bune practici de securitate presupun realizarea unui echilibru între eforturile de gestionare a
evenimentelor în curs de desfăşurare( proactivi) şi cele de a fi reactivi, ceea ce implică investigarea şi
analiza incidentelor de securitate sau generarea de rapoarte de zi cuzi.
• Raportarea.
◼ Rapoartele predefinite pot fi personalizate, sau grupate împreună ca un singur raport pentru a se
potrivi cu cerinţele specifice ale politicilor de securitate. Toate rapoartele pot fi exportate în format CSV
sau PDF şi pot fi executate şi trimise prin e-mail pe baza unui program.
• Jurnalizarea(Log-uri).
◼ Filtrarea rapidă, în timp real, a fişierelor de log-uri facilitează analiza rapidă a fiecărei sesiuni ce
◼Aceste reguli pot fi configurate astfel încât să fie specifice pentru: calculatoare,
utilizatori, programe, servicii, porturi sau protocoale. De asemenea, este posibil să
specificăm la care adaptor de reţea (ex. wireless, prin cablu, VPN) sau profil de
utilizator sunt aplicate aceste reguli
Intrebari?
Programarea in retea
Socluri in C(Sockets)
Modelul client/server
• Paradigme ale comunicarii in retea:
-modelul client/server
-apelul procedurilor la distanta (RPC)
-comunicarea punct‐la‐punct (peer to
peer– P2P)
Modelul client/server
• Proces server
– Oferă servicii obţinute prin reţea
– Acceptă (iterativ sau concurent) cereri de la un proces
client, realizează un anumit serviciu şi returnează
rezultatul
• Proces client
– Iniţializează comunicarea cu serverul
– Solicita un serviciu, apoi aşteapta răspunsul serverului
Modelul client/server
• Moduri de interactiune (via canale de comunicatie):
❖ orientat‐conexiune – se foloseste TCP
❖ neorientat‐conexiune – se utilizeaza UDP
• Implementare:
❖ iterativă – fiecare cerere e tratata pe rând, secvenţial
❖ concurentă – cererile sunt procesate concurent
❖ Procese fiu/copil pentru fiecare cerere de procesat
❖ Multiplexarea conexiunii
❖ Tehnici combinate
API retea
• Necesitatea existentei unui API(Application Programming
Interface) pentru realizarea de aplicaţii în reţea
– Interfaţa generică pentru programare
– Suport pentru comunicaţii orientate‐conexiune şi prin mesaje
– Compatibilitate cu serviciile I/O comune
– Independenţa de hardware şi de sistemul de operare
– Suport pentru familii (suite) de protocoale multiple
– Independenţa în reprezentarea adreselor
– Oferirea de servicii speciale pentru aplicaţii
API retea
• TCP/IP nu include definirea unui API
• Se pot utiliza mai multe API‐uri pentru programarea aplicatiilor
Internet (TCP/IP)
– Socket‐uri BSD (Berkeley System Distribution)
– TLI (Transport Layer Interface) – AT&T, XTI
– Winsock1 şi 2 de la Microsoft
– MacTCP
• Funcţii oferite:
❖ specificare de puncte terminale locale şi la distanţă,
❖ iniţiere şi acceptare de conexiuni,
❖ trimitere şi receptare de date,
❖ terminare conexiune,
❖ tratare erori
Socket
• Socket‐uri BSD (Berkeley System Distribution)
• Facilitate generala, independenta de hardware, protocol si tipul
de transmitere, pentru comunicarea intre procese aflate pe
masini diferite, in retea
• Suporta pentru familii multiple de protocoale
– Protocolul domeniului UNIX pentru comunicatii (locale) intre
masini UNIX (e.g., uucp)
– Protocolul domeniului Internet folosind TCP/IP
– Altele: XNS Xerox, ISO/OSI,…
• Independenţă în reprezentarea adreselor
Socket
• Similar unui descriptor de fisier
• Diferente apar la creare şi la diferite
operaţiuni de control a socket‐urilor
Client/server TCP|server
• Modelul unui server TCP iterativ
– Creare socket pentru tratarea conexiunilor cu clientii: socket()
– Pregatirea structurilor de date (sockaddr_in)
– Atasarea socket‐ului la adresa locala (port): bind()
– Pregatirea socket‐ului pentru ascultarea portului
in vederea stabilirii conexiunii cu clientii: listen()
–Asteptarea realizarii unei conexiuni cu un anumit client
(deschidere pasiva): accept()
– Procesarea cererilor clientului, folosindu‐se socket‐ul returnat
de accept() pentru clentul respectiv: succesiune de read()/write()
– Inchiderea (directionata) a conexiunii cu clientul:
close(), shutdown()
Client/server TCP|client
• Modelul unui client TCP iterativ
– Creare socket pentru conectarea la server: socket()
– Pregatirea structurilor de date (sockaddr_in)
– Atasarea socket‐ului: bind() – optional
– Conectarea la server (deschidere activa): connect()
– Solicitarea de servicii si receptionarea rezultatelor
trimise de server: succesiune de write()/read()
–Inchiderea (directionata) a conexiunii cu serverul:
close(), shutdown()
Client/server
Dialogul folosind calculatorul
Port 80 25 23
192.18.22.13
Socluri(Sockets)
◼ Sunt identificate de protocol si adresa/portul
locala/de la distanta
◼ Aplicatiile pot fi referite de la mai multe socluri
◼ Soclurile sunt accesate de mai multe aplicatii
Primitive de serviciu socket API(1)
Primitive de serviciu socket API(2)
Proprietati ale soclurilor/corolar
◼ este un punct de comunicaţie prin care un proces poate emite
sau recepţiona informaţie sub forma unui flux de bytes;
◼este identificat printr-un descriptor, asemănător cu cel pentru
fişier
◼ realizează următoarele operaţii elementare:
• conectarea la staţia de la distanţă
• emiterea datelor
• recepţionarea datelor
• închiderea unei conexiuni
• ataşarea la un port
• aşteptarea cererilor de conexiune emise de staţiile de la
distanţă
• acceptarea cererilor de conexiune la portul local
Transmitere parametri catre functii
◼ Pentru ca funcţiile amintite să poată avea aceeaşi sintaxă de
apel independent de tipul de reţea şi, în consecinţă, de
structura adresei, funcţiile primesc adresa printr-un pointer la
zona de memorie ce conţine adresa de reţea si portul.
“O zi buna, Joana.”
◼ Serverul: Pasiv asteapta sa raspunda
Interactiunea TCP Client/Server
Clientul Serverul
1. Creaza un soclu TCP 1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Asigneaza un port la soclu
3. Comunica 3. Setaza soclul pentru afisare
4. Inchide conexiunea 4. Repeta:
a. Accepta o noua conxiune
b. Comunica
c. Inchide conexiunea
Interactiunea TCP Client/Server
Clientul Serverul
1. Creaza un soclu TCP 1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Leaga soclul la un port
3. Comunica 3. Setaza soclul pentru afisare
4. Inchide conexiunea 4. Repeta:
a. Accepta o noua conxiune
b. Comunica
c. Inchide conexiunea
Interactiunea TCP Client/Server
echoServAddr.sin_family = AF_INET; /* adrese din familia Internet */
echoServAddr.sin_addr.s_addr = htonl(INADDR_ANY);/* Pentru orice interfata */
echoServAddr.sin_port = htons(echoServPort); /* Port local */
Clientul Serverul
1. Creaza un soclu TCP 1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Leaga soclul la un port
3. Comunica 3. Setaza soclul pentru afisare
4. Inchide conexiunea 4. Repeta:
a. Accepta o noua conxiune
b. Comunica
c. Inchide conexiunea
Interactiunea TCP Client/Server
/* marcarea soclului astfel ca sa fie afiasat pentru eventuale conexiuni care
vor veni */
if (listen(servSock, MAXPENDING) < 0)
DieWithError("listen() failed");
Clientul Serverul
1. Creaza un soclu TCP 1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Leaga soclul la un port
3. Comunica 3. Seteaza soclul pentru afisare
4. Inchide conexiunea 4. Repeta:
a. Accepta o noua conxiune
b. Comunica
c. Inchide conexiunea
Interactiunea TCP Client/Server
for (;;) /* merge continuu */
{
clntLen = sizeof(echoClntAddr);
Clientul Serverul
1. Creaza un soclu TCP 1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Leaga soclul la un port
3. Comunica 3. Seteaza soclul pentru afisare
4. Inchide conexiunea 4. Repeta:
a. Accepta o noua conexiune
b. Comunica
c. Inchide conexiunea
Interactiunea TCP Client/Server
Clientul Serverul
1. Creaza un soclu TCP 1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Leaga soclul la un port
3. Comunica 3. Seteaza soclul pentru afisare
4. Inchide conexiunea 4. Repeta:
a. Accepta o noua conexiune
b. Comunica
c. Inchide conexiunea
Interactiunea TCP Client/Server
echoServAddr.sin_family = AF_INET; /* familia de adrese Internet */
echoServAddr.sin_addr.s_addr = inet_addr(servIP); /* adrea serverului */
echoServAddr.sin_port = htons(echoServPort); /* portul serverului */
Clientul
Serverul
1. Create a TCP socket
1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Leaga soclul la un port
3. Comunica
3. Seteaza soclul pentru afisare
4. Inchide conexiunea
4. Repeta:
a. Accepta o noua conexiune
b. Comunica
c. Inchide conexiunea
Interactiunea TCP Client/Server
Clientul Serverul
1. Creaza un soclu TCP 1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Leaga soclul la un port
3. Comunica 3. Seteaza soclul pentru afisare
4. Inchide conexiunea 4. Repeta:
a. Accepta o noua conexiune
b. Comunica
c. Inchide conexiunea
Interactiunea TCP Client/Server
echoStringLen = strlen(echoString); /* lungimea intrarii */
Clientul Serverul
1. Creaza un soclu TCP 1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Leaga soclul la un port
3. Comunica 3. Seteaza soclul pentru afisare
4. Inchide conexiunea 4. Repeta:
a. Accepta o noua conexiune
b. Comunica
c. Inchide conexiunea
Interactiunea TCP Client/Server
close(sock); close(clntSocket)
Clientul Serverul
1. Creaza un soclu TCP 1. Creaza un soclu TCP
2. Stabileste conexiunea 2. Leaga soclul la un port
3. Comunica 3. Seteaza soclul pentru afisare
4. Inchide conexiunea 4. Repeta:
a. Accepta o noua conexiune
b. Comunica
c. Inchide conexiunea
Comunicatie UDP/IP
Tipuri de primitive
◼ Integer
◼ Reprezentarea nativa
Little-Endian 0 0 92 246
Big-Endian 246 92 0 0
◼ Network byte order (Big-Endian)
◼ Utilizat pentru multi-byte, schimbul datelor
binare
◼ htonl(), htons(), ntohl(), ntohs()
Client/server UDP
• Pentru socket() se va folosi SOCK_DGRAM
in loc de SOCK_STREAM
• Apelurile listen(), accept(), connect()
nu vor mai fi utilizate in mod uzual
• Pentru citire/scriere de datagrame,
se pot folosi sendto() si recvfrom(), respectiv
• Se pot utiliza, mai general, send() si recv()
•Nimeni nu garanteaza ca datele expediate
au ajuns la destinatar sau ca nu sint duplicate!
Client/server UDP
Client/server UDP
• Socket‐urile UDP pot fi conectate: clientul poate folosi
connect() pentru a specifica adresa (IP, port)
a punctului terminal (serverul) – pseudoconexiuni
–Convenabil pentru transmiterea mai multor
datagrame la acelasi server, fara a mai specifica
adresa serverului pentru fiecare datagrama in parte
–Pentru UDP, connect() va retine doar informatiile
despre punctul terminal, fara a se initia nici un schimb
de date
–Desi connect() raporteaza succes, nu inseamna ca
adresa punctului terminal e valida sau serverul este
disponibil
Client/server UDP
• Pseudoconexiuni UDP
– Se poate utiliza shutdown() pentru a opri
directionat transmiterea de date,
dar nu se va trimite nici un mesaj
partenerului de conversatie
– Primitiva connect() poate fi apelata
si pentru a elimina o pseudo‐conexiune
Alte primitive|I/O
readv()/writev() – Mai generale ca read()/write(),
ofera posibilitatea de a transmite date aflate
in zone necontigue de memorie
recv()/send()
–Ofera modalitati de controlare a transmisiei
(e.g., receptare/trimitere de packete
“outofband”,
“urgent data”, fara rutare locala,…)
recvmsg()/sendmsg()
– Receptioneaza/transmite mesaje,
extragindu‐le din structura msghdr
Alte primitive|informatii
getsockname()
– Returneaza numele curent al unui socket (local)
• adresa la care este atasat
“The quieter you become , the more you are able to hear”
Rumi
Pasca Doru
Sys Admin / Ofiter in Securitate Cibernetica
I. Ce este o retea?
Switch
Router-ul
IP-urile publice sunt ip-uri care sunt folosite pentru a comunica (tranzita )
doar in internet (WAN)
IP-urile private sunt ip-uri care sunt folosite doar in LAN
POW 2^8 2^7 2^6 2^5 2^4 2^3 2^2 2^1 2^0
SUBNET MASK 0 128 192 224 240 248 252 254 255
C.I.D.R / 24 / 25 / 26 / 27 / 28 / 29 / 30 / 31 / 32
3rd Octet / 16 / 17 / 18 / 19 / 20 / 21 / 22 / 23 / 24
2nd Octet /8 /9 / 10 / 11 / 12 / 13 / 14 / 15 / 16
1st Octet /0 /1 /2 /3 /4 /5 /6 /7 /8
Impartire Subnet-uri
Cele 7 atribute ale subnetarii
Network ID :
BroadCast IP :
Primul IP Folosibil :
Ultimul IP Folosibil :
Urmatoarea Retea :
Adrese IP :
CIDR / Subnet :
Exercitiul 1
10.1.1.37 / 29
NET ID :
Bcast IP:
First IP:
Last IP:
Next Net:
IP Addr:
Cidr/Subnet
Exercitiul 2
10.2.2.88 / 27
NET ID:
Bcast IP:
First IP:
Last IP:
Next Network:
IP Addr:
CIDR/Subnet:
II. Securitate Cibernetica
Ce este hacking-ul??
❖ I. Black hat
Hacker de tip “Black Hat”, adica un Hacker non-etic pus pe fapte (rele).
De obicei cei care sunt la inceput pe partea de CyberSecurity si PentTesting
se incadreaza in aceasta categorie pentru ca vor sa invete (si nu prea stiu ce
fac).
Black Hat Hackerii, sunt persoanele care fac lucruri intr-un mod total lipsit de
etica si cu scopul de a se afirma, de a-si demonstra lor ca pot, Iar bineinteles
(nu in ultimul rand), de a lua diferite date extrem de valoroase (ex: datele
clientilor, informatii bancare, datele strict secrete ale companiei) de la
diferite organizatii.
❖ Tipuri de hackeri
Ce este un firewall?
La fel ca si un Router sau un Switch, un firewall este un echipament de retea
care are scopul de a securiza (proteja) reteaua de potentialii atacatori
(hackeri) din Internet.
Prin securizarea retelei, ma refer in mod special la filtrarea pachetelor (adresa
IP sursa/destinatie, porturi, filtrare URL etc.) cu scopul de a nu permite accesul
unei persoane neautorizate in retea.
❖ Exemplu retea cu Firewall
Securitatea retelelor de calculatoare
◼ autentificarea utilizatorului,
◼ autorizarea
◼ autentificarea datelor (integritatea datelor şi
autenticitatea datelor de origine),
◼ Nerespingerea/nerepudierea (acceptarea originii )
◼ disponibilitatea
◼ intimitatea
◼ confidenţialitatea datelor
Aspecte ale securităţii
Autentificarea utilizatorului.
◼ •Dacă ne conectăm la un sistem de calcul trebuie (sau cel puţin ar trebui) să
existe un mod prin care să-l convingem pe interlocutor asupra identităţii
noastre. Odată ştiută identitatea, se poate verifica dacă avem dreptul de a intra
în sistem. Acelaşi principiu se aplică când o persoană încearcă să comunice cu o
alta: primul pas este acela de a verifica dacă persoana cu care se comunică este
într-adevăr cine susţine că este. Deci, trebuie să existe un mod în care să-ţi
dovedeşti identitatea. Procesul este numit autentificarea utilizatorului
◼ Cel ce vrea să se conecteze va transmite un element de identificare pe care-l ştie
numai el: o parolă, un identificator de utilizator, un cod pin, etc. Sau poate avea
un element specific cu care se poate identifica: un card magnetic, un smart card,
un simbol, etc. Se mai pot folosi şi proprietăţile biometrice; este un fapt bine
cunoscut că amprentele digitale, forma mâinii sau modelul retinal ale unei
persoane sunt criterii bune de decizie. Acestea necesită însă echipamente
specializate şi de aceea reprezintă o mare investiţie. Totuşi, aceste sisteme
biometrice nu sunt perfecte: unii utilizatori legitimi vor eşua inevitabil asupra
identificării, iar unii intruşi vor fi acceptaţi ca autentici. Alte tehnici includ
măsuri despre cum îşi tastează numele sau îşi scrie semnătura, sau se ia în
calcul locaţia utilizatorului.
Aspecte ale securităţii
• Autorizarea
– Specifica actiunile (rolurile) pe care un utilizator le poate realiza;
asociata autentificarii
– Se permite administratorului definirea politicilor/regulilor de
control al accesului la servicii
– Solutii:
• drepturi de acces (permisiuni) + liste de control al accesului (ACL
– Access Control List)
• controlul accesului bazat pe roluri (RBAC – Role Based Access
Control)
Autentificarea datelor
◼ rapid
◼ simplu
Algoritmul AES
◼ Un cifru simetric de tip bloc care poate procesa blocuri de date de 128 biți,
folosind chei cu lungimi de 128, 192 sau 256 biți. În publicația FIPS nr. 197
(Federal Information Processing Standard), operațiile sunt definite sub forma
unor operații pe matrice. La început, blocul este copiat într-un tablou de
stări(state), câte 4 octeți pe o coloană ( după relația: s[r, c] = in[r + 4c]).
◼ Algoritmul de decriptare:
◼ Pentru a determina textul clar M din textul cifrat C, utiliz. A calc.:
M = Cd (mod n).
◼ Numai utilizatorul A cunoaste cheia privata (d ,n).
Exemplu -RSA
◼ Se generează mai întâi cheile
◼ Fie p=5 şi q=7 două numere prime;
◼ Produsul acestor două numere ţinute secrete este n=5*7=35 iar
◼ z=(p-1)*(q-1)=4*6=24.
◼ Fie e =5 astfel că e şi z sunt relativ prime, va rezulta d=29 , astfel ca ed-1 să fie
divizibil cu z
◼ Cheia de criptare va fi (5, 35), iar cea de decriptare (29,35)
◼ Pentru a cifra mesajul, M=RETEA, acesta se va împărţi în blocuri de câte un
caracter fiecare, unde A=00, B=01, C=02,.D=03, E=04, F=05, G=06, H=07, I=08,
J=09, K=10, L=11, M=12, N=13,O=14, P=15, Q=16, R=17, S=18, T=19, U=20,
V=21, W=22, X=23, Y=24, Z=25 şi blanc=26: M=R E T E A = 17 04 19 04 00.
Primul bloc se va cifra ca 17^5 mod 35(1419857mod35=12) =12, etc.
Criptograma obţinută devine: C =12 09 24 09 00
◼ La descifrare, fiecare literă în clar se obţine folosindu-se cheia secretă
d:12^29mod 35( 19781359483314150527412524285952mod35=17)=17,
etc.
◼ Alegând numere prime mai mari se pot obţine chei mai puternice(de ex pentru
p=53 şi q=61 se obţine n=3233, iar pentru d=791 e devine=71 şi în acest caz se
Protocoale de autentificare in trei faze (folosind o cheie secretă)
•Clientul selectează pentru început un număr aleator x şi îl criptează folosind cheia secretă, pe
care o notăm ca fiind CHK (client handshake key). Clientul trimite apoi E(x,CHK), împreună cu
un auto-identificator (ClientId) către server. Serverul foloseşte cheia care crede că, corespunde
clientului ClientID ( să o numim SHK acronim pentru-server handshake key) pentru a decripta
numărul aleator.
•Serverul adaugă 1 la numărul pe care îl decriptează şi trimite rezultatul înapoi la client. El
trimite de asemenea înapoi un număr aleator y care a fost criptat folosind SHK. In continuare
clientul decriptează prima jumătate a mesajului şi dacă rezultatul este cu 1 mai mare decât
numărul aleator x care este trimis serverului atunci ştie că serverul posedă cheia secretă. In
acest moment clientul a autentificat serverul. Clientul decriptează de asemenea numărul
aleator trimis de către server ( care ar trebui să returneze y) criptează acest număr + 1 şi trimite
rezultatul serverului. Dacă serverul este capabil să refacă y+1, atunci ştie că, clientul este cine
pretinde că este.
•După al treilea mesaj, fiecare a fost autentificat faţă de celălalt. Al patrulea mesaj este trimis
de server clientului cu o cheie de sesiune(SK) criptată folosind SHK ( care este egală cu CHK).
De obicei clientul şi serverul folosesc SK pentru a cripta orice date viitoare care sunt trimise
de unul celuilalt.
Autentificarea folosind increderea in a treia persoana (folosind o cheie
secretă)
•Avem doi participanţi pe care dorim să-i autentificăm ca fiind A şi B şi numim serverul de autentificare S.
Protocolul Kerberos presupune că A şi B partajează o cheie secretă cu S, iar cele două chei le notează cu Ka,
respectiv Kb.
•A trimite un mesaj serverului S care îl identifică pe el şi pe B. Serverul generează o cuantă de timp T, un
timp de viaţă L şi o nouă cheie de sesiune K. Cuanta de timp T va fi folosită similar numărului aleator din
metoda anterioară şi este de asemenea folosită împreună cu L pentru a limita timpul pentru care sesiunea K
este validă.
• Participanţii A şi B vor trebui să se întoarcă la serverul S pentru a primi o nouă cheie de sesiune când
expiră acest timp. Ideea aici este de a limita vulnerabilitatea oricărei chei de sesiune.
• Serverul S răspunde lui A cu un mesaj din două părţi. Prima parte criptează cele trei valori T, L şi K,
împreună cu identificatorul pentru participantul B, folosind cheia pe care serverul o partajează cu A. Cea de-
a doua parte criptează cele trei valori T, L şi K împreună cu identificatorul participantului A, dar de data
aceasta folosind cheia pe care serverul o partajează cu B. E limpede că atunci când A primeşte mesajul va fi
capabil să decripteze prima parte dar nu şi pe a doua. A trimite a doua parte lui B, împreună cu criptarea lui A
şi T folosind noua cheie de sesiune K( A a fost capabil să refacă T şi K decriptând prima parte a mesajului
primit de la S). In final B decriptează partea din mesajul primit de la A, criptat iniţial de către S şi astfel
recuperează T, K şi A. Se foloseşte K pentru a decripta jumătate de mesaj criptat de către A şi după ce se
constată că A şi T se regăsesc( sunt consistente) în cele două jumătăţi ale mesajului, se replică cu un mesaj
care criptează T+1 folosind noua cheie de sesiune K. A şi B pot acum comunica unul cu celălalt folosind
cheia secretă de sesiune K, pentru a asigura securitatea comunicării. Serverul se mai numeşte şi KDC-Key
Distribution Center-centru de distribuţie a cheilor care după cum s-a văzut acţionează ca un intermediar între
entităţi.
Autentificarea cu cheie publica
◼semnătura nu trebuie să fie reutilizabilă; semnătura reprezintă o funcție a documentului și nu poate fi transferată la un alt
document.
Sistemul RSA de semnare digitală a mesajelor are aceste proprietăți. Algoritmul RSA de semnare digitală a mesajelor este
aproape identic cu cel folosit pentru criptarea cu cheie publică, singura diferență fiind aceea că rolul cheilor se schimbă.
Dacă un utilizator A are o cheie privată (dA,nA) şi dorește să trimită mesajul mt (mesaj de trimis) autentificat unui utilizator
B, iar utilizatorul B deţine cheia publică a lui A adică (eA,nA) atunci se procedează astfel:
1. Utilizatorul A creează o semnătură digitală s a mesajului mt folosind funcţia exponenţială şi anume:
s=mtdAmod nA
Dacă mc=mt,adică mesajul calculat este la fel cu cel primit, semnătura este autentică.
.
Funcţia de calcul a rezumatului mesajului
(messaje digest-MD)
Funcţia de calcul al unui rezumat al mesajului(messaje digest-MD) este o funcţie hash ce calculează dintr-un
mesaj un fel de sumă criptografică de control. Unul din algoritmii utilizaţi pe scară largă este MD5. Dacă:
r = MD(m)
unde m este mesajul, documentul, sau fişierul, MD este funcţia de calcul a rezumatului mesajului(messaje
digest), iar r(rezumat) este suma de control calculată. De obicei, r are lungimea de cel puţin 128 biţi şi nu
este posibil să se deducă nimic despre m din r. De asemenea, este aproape imposibil ca orice alt document
m′ să producă acelaşi r şi deci o schimbare oricât de mică a lui m, va duce la schimbarea lui r. Se poate
spune că r este aproape o amprentă unică a lui m.
Funcţia de calcul al rezumatului unui mesaj, (MD) este utilizată pentru a-i asigura pe utilizatori de siguranţa
şi autenticitatea unor fişiere care sunt distribuite.
În cazul în care un utilizator, A, are de distribuit un fişier f, utilizatorul A ȋi va calcula acestuia
rezumatul/suma_de_control folosind funcţia MD şi va "semna" acest rezumat folosind cheia sa privată
rezultând rcriptat( rezumatul criptat ), valoare ce va fi pusă pe server ȋmpreună cu f.
rcriptat=encrypt(Kpriv−A,MD(f))
Funcţia de calcul a rezumatului mesajului
(messaje digest-MD)
Când un utilizator B descarcă fişierul f şi rcriptat ,va calcula rezumatul/suma_de control a
fişierului f folosind algoritmul MD şi anume:
rcalculat=MD(f)
rdecriptat=decrypt(Kpub−A,rcriptat)
Utilizatorul B compară cele două sume de control (cea calculată de el din f cu cea calculată
prin decriptarea valorii rcriptat ) şi dacă rcalculat=rdecriptat,atunci el ştie că nimeni nu a
falsificat fişierul f ȋntrucât utilizatorul A a calculat rezumatul MD(f) şi nimeni ȋn afara
utilizatorului A nu putea obţine acelaşi rezultat.
Funcţia hash cea mai des folosită funcţie este MD5. Ea transformă un fişier de lungime
arbitrară într-o valoare exprimată pe 128 de biţi. Această funcţie hash se utilizează la
generarea semnăturilor digitale, caz în care rezultatul aplicării sale unui mesaj se numeşte,
aşa cum am mai spus, rezumatul MD al mesajului.
Schimbul de chei Diffie-Hellman
◼ Algoritmul Diffie-Hellman, cu cheie publică, este utilizat pentru stabilirea unei chei secrete pe un canal nesigur.
◼ Schimbul de chei Diffie-Hellman constituie o componentă esenţială a frameworkului/cadrului ISAKMP/Oakley. Înaintea
sesiunii de negociere a cheii de sesiune nu există un canal sigur, de comunicatie ȋntre cele două părţi. Ele pot obţine
cheile secrete partajate folosind algoritmul Diffie-Hellman.
◼ Protocolul presupune următorii paşi;
1. Părţile (A şi B) partajează două valori publice, adică s un număr prim mare şi un întreg g.
2. A generează un număr aleator mare, a şi calculează:
X = ga mod s
3. B generează un număr aleator mare, b şi calculează:
Y = gb mod s
4. A trimite valoarea X la B.
5. B calculează K1:
K1 = Xb mods
6. B trimite valoarea Y la A.
7. A calculează K2:
K2 =Ya mod s
K1 şi K2 sunt egale cu gabmod s. Aceasta este cheia secretă partajată de A şi B. Nimeni nu este capabil să genereze
această valoare fără să cunoască a sau b. Securitatea schimbului se bazează pe faptul că este extrem de dificilă
calcularea valorii inverse a funcţiei exponenţiale calculate de către părţi. (Cu alte cuvinte, pentru a calcula logaritmi
discreţi în câmpul finit a lui s.) Ca şi ȋn cazul algoritmului RSA, pentru a avea un avans ȋn puterea de calcul, faţă de un
posibil răufăcător, se alege o valoare iniţială s foarte mare.
Asigurarea integrității mesajelor prin MD5 cu cheie
◼Asa cum am mai spus, MD5 calculează o sumă de control criptografică pentru un mesaj.
Această sumă de control nu depinde de o cheie secretă, deci nu previne faptul ca un
impostor să se pretindă drept altcineva şi să calculeze o sumă de control MD5 pentru acel
mesaj. Există două moduri de a folosi MD5 în combinaţie cu un algoritm cu cheie publică,
cum ar fi RSA,
Prima metodă, numită de obicei MD5 cu cheie, funcţionează după cum urmează:
◼Expeditorul generează o cheie aleatoare, Ka şi aplică MD5 asupra mesajului m şi cheii
Ka. Cheia aleatoare este apoi criptată folosind RSA şi cheia privată a expeditorului.
Mesajul original, suma de de control MD5 şi versiunea criptată a cheii aleatoare
sunt apoi împachetate împreună şi trimise la destinatar. In continuare vom rezuma mesajul
complet trimis la destinatar:
m+MD5(m+Ka)+E(Ka,Kprivata)
unde MD5(s) reprezintă aplicarea algoritmului MD5 asupra textului s, iar a+b reprezintă
concatenarea textelor a şi b.
◼Destinatarul reface cheia aleatoare folosind cheia publică RSA a expeditorului şi apoi
aplică MD5 asupra concatenării acestei chei aleatoare cu corpul mesajului. Dacă rezultatul
corespunde sumei de control trimisă împreună cu mesajul atunci acesta a fost trimis de
către participantul care a generat cheia aleatoare.
Asigurarea integrității mesajelor prin MD5 cu semnătura RSA
m + MD5(m) + E(MD5(m),Kprivata).
◼ Protocolul IPSec, care este format din câteva protocoale, creează VPN-uri(Virtual
Private Netwoks) punct la punct şi de asemenea, poate să administreze secretizarea
şi autentificarea conectărilor individuale.
◼ Secretizarea este implementată de protocolul ESP (Encapsulating Security
Payload- protocol de securizare prin încapsularea datelor utile), în timp ce
◼ autentificarea este relizată de AH (Autentification Header-protocol de
autentificare a antetului).
◼ Cheile sunt gestionate de IKE (Internet Key Exchange-protocol de schimb
de chei pe Internet) care rulează separat folosind ISAKMP(Internet Security
Association şi Key Management Protocol).
◼ IPSec autentifică conexiuni şi nu utilizatori. Autentificarea este folosită de
utilizator nu pentru a se loga ci pentru a se asigura de faptul că destinatarul este cel
dorit. Ambele protocoale, adică ESP şi AH au nevoie de o cheie secretă (secret
shared key) pentru a funcţiona. Această cheie poate:
◼ fi agreată dinainte de utilizatori (cheie manuală)
◼ fi negociata de protocolul IKE.
Securizarea la nivel reţea cu IPsec(IP security)
Protocolul IKE poate folosi o cheie secretă agreată dinainte pentru a livra cheia AH/ESP, dar poate, de
asemenea, folosi un mecanism de certificare pentru chei publice. In mod normal, un singur proces al
sistemului IKE gestionează toate schimburile pentru o gazdă. Când este pornită o nouă conexiune IPSec/IP,
va avea loc un schimb IKE, înainte ca IPSec/IP să poată continua, iar acest lucru poate dura destul de mult.
IKE foloseşte soclul PF_KEY socket. Modurile de lucru şi impachetarea datelor sunt indicate în figura de
mai jos. Astfel:
•Actiunea asupra pachetelor se află la nivelul reţea, aşa că datele vor fi livrate de TCP si UDP (sau oricare
alt protocol la nivel transport);
• se aplică doar la pachete IP;
• AH-ul face autentificarea , este atasat fiecarei datagrame si contine semnatura sub forma hash cu MD5
• în timp ce ESP-ul face criparea pachetelor( şi, opţional, autentificarea ) in doua moduri:
• transport(protejeaza doar continutul pachetului , nu si antetul, folosindu-se vechiul antet) sau
• tunel(tot pachetul este criptat)
•In modul tunel pachetul este format din: încărcătura utilă (payload) adică întregul pachet original, antetul
IP şi celelalte, iar in modul transport ESP-ul sau antetele AH urmează direct după antetul IP (şi încărcătura
utilă/payload este criptată);
• se aplică la fel atât pentru IPv4 cât şi pentru IPv6.
Securizarea la nivel transport
.
Securitatea nivelului transport este bună, dar are nevoie de un programator de
aplicatii pentru a înţelege şi a provoca functiile de apelare, pentru a realiza verificarea
certificării şi pentru a ȋncepe dialogul.
In comparaţie cu aceasta, la securitatea nivelului reţea(IP) programatorul poate fi
destul de ignorant. Pe de altă parte, securitatea stratului transport asigură
programatorii că securitatea este sub controlul lor, şi nu sub a sistemului de operare
sau al administratorului său.
Protocoalele SSL/TLS sunt folosite în mare parte în WWW( ȋn particular HTTPS)
pentru a preveni ca indiscreţii (eavesdroppers) să afle detalii personale precum
numerele cardurilor de credit sau să acceseze unele unele site-uri web care necesită
autentificare.
Certificate digitale
Cache
Depozit local de stocare – în memorie, pe disc –
a mesajelor (datelor) la nivel de server/client
HTTP: mesaje
Mesaj HTTP = antet + corp
Antet = multime de câmpuri
Message-header ::= field-name “:” [ field-
value ] CRLF
HTTP: mesaje
Cerere HTTP:
Request ::= Method Request-URI ProtocolVersion CRLF
[ Message-header ] [ CRLF MIME-data ]
GET /index.html HTTP/1.1 CRLF Host:
www.pinguin.info
Raspuns HTTP:
Status-line ::= HTTP-version Digit Digit Digit Reason
CRLF
HTTP/1.1 200 OK CRLF …
HTTP: metode
GET
cerere de acces la reprezentarea
unei resurse – e.g., cod HTML, CSS, SVG,
PDF,…
HTTP: metode
HEAD
similara cu GET, dar in mod uzual
se doresc doar meta‐informatii (e.g., tipul)
HTTP: metode
POST
utilizata pentru trimiterea unor entitati
(date, actiuni) spre server
e.g., datele dintr‐un formular
HTTP: metode
PUT
plaseaza reprezentarea unei resurse pe
server
HTTP: metode
OPTIONS
furnizeaza optiunile dialogului intre
client & server
(e.g., negocierea reprezentarii)
HTTP: metode
DELETE
sterge o resursa (reprezentarea ei) de pe
server
HTTP: reprezentari ale resursei
Formatul reprezentarii
text (HTML, text obisnuit, XML,...) sau
binar
HTTP: câmpuri (atribute)
ContentType
MIME (Multipurpose Internet Mail Extensions)
specifica un set de tipuri primare de continut
+ subtipuri aditionale
permite transferul datelor de orice tip
Content-Type: tip/subtip
HTTP: câmpuri (atribute)
Tipuri MIME principale
text desemneaza formate textuale
text/plain – fisier text neformatat
text/html – document HTML
(HyperText Markup Language)
text/css – foaie de stiluri CSS
(Cascading Style Sheet)
HTTP: câmpuri (atribute)
Tipuri MIME principale
image specifica formate grafice
image/gif – imagini in format GIF
(Graphical Interchange Format)
image/jpeg – fotografii in format JPEG
(Joint Picture Experts Group)
image/png – imagini PNG
(Portable Network Graphics)
HTTP: câmpuri (atribute)
Location
Location “:” “http://” host [ “:” port ] [ abs_path ]
Location: http://www.infoiasi.ro:8080/s-a_mutat.html
folosit la redirectarea spre o alta reprezentare a resursei
HTTP: câmpuri (atribute) – altele
Accept – specifica tipul/tipurile de reprezentare
acceptate de client, plus calitatea Cache‐Control
– stabileste parametrii de control ai cache‐ului
(la nivel de proxy, uzual)
Referer – desemneaza URI‐ul resursei
care a referit resursa curenta
HTTP: câmpuri (atribute) – altele
• Cuprins
• Rolul reţelelor wireless
• Undele electromagnetice
• Transmisia în spectru împrăştiat
• Echipamente specifice
• Topologii specifice
• Standarde pentru reţele locale
• Accesul la mediu
• Formatul cadrului 802.11
• Canalele de comunicaţie
• Mecanisme de securitate
Preliminarii
• Probleme€:
– Acoperirea si penetrarea
– Latimea de banda
– Latenta
– Fiabilitatea transmiterii
– Standardizarea
Preliminarii
• Provocări:
– Descoperirea locatiei
– Detectarea mutarii
– Actualizarea comunicatiei
– (Re)Stabilirea caii de comunicare
Dispozitive
• Aspecte de interes:
– Marime & greutate
– Memorie disponibila pentru aplicatii & date
– Viteza procesorului
–Caracteristicile ecranului (rezolutie, adincime de culoare,
utilizare in exterior etc.)
– Mecanismele de intrare (achizitie de date)
– Suport pentru mobilitate din partea sistemului de operare
Dispozitive
8
Aplicaţii
Domenii de utilizare:
– Locuri de muncă mobile pentru acasă şi la oficii
– Posibilitatea formării de grupuri de lucru mobile pentru timp scurt
– Săli de învăţare/săli de conferinţe
– Achiziţii mobile de date/acces la date mobile
– Hot-spot-uri pentru legări rapide în reţea din locuri necablate-precum la
FSEGA Cluj
– Conexiuni LAN-LAN
- Conexiuni LAN-MAN
9
Tipuri de reţele fără fir
10
Tipuri de reţele fără fir
11
Rolul rețelelor wireless
Rolul rețelelor wireless
Rolul rețelelor wireless
Rolul rețelelor wireless
Rolul rețelelor wireless
Rolul rețelelor wireless
18
Undele elecromagnetice
19
Undele electromagnetice-Spectrul de frecvenţe
20
Undele electromagnetice
21
Undele electromagnetice
22
Undele electromagnetice
23
Undele electromagnetice
24
Undele electromagnetice
25
Undele electromagnetice
26
Undele electromagnetice
27
Factori de pierdere
28
Transmisia în spectru împrăștiat
29
Transmisia în spectru împrăștiat
30
Transmisia în spectru împrăștiat
• FHSS = Frequency Hopping Spread Spectrum
-schimbarea periodică a frecvenţei de lucru
31
IEEE802.11n(OFDM-MIMO)
32
Echipamente
• Standard:
Adaptoare wireless
Access Point(AP)
Bridge
Range expander
Antene
• Combinate:
AP/Bridge
Router wireless
Bridge/Switch
33
Echipamente
34
Echipamente
35
Echipamente
36
Echipamente
37
Echipamente
38
Echipamente-antene-propagare
39
Topologii specifice
40
Topologii specifice
41
Topologii specifice
42
Topologii specifice
43
44
Topologii specifice
45
Standarde pentru rețele locale
46
Evolutie
Evolutie
Standarde care se află în lucru, pentru rețele locale(draft-2012-2014)
Mai lent dar cu avantajul unei propagări mult mai bune în spaţii închise, semnalul radio fiind atenuat mai
puţin la trecerea prin pereţii încăperilor şi alte obstacole.
Astfel, este posibilă folosirea unei puteri de transmisie mai redusă, economisind bateria dispozitivelor
conectate.
• Are avantajul ca nu consuma prea mult curent si poate transmite datele pana la o distanta de 1 Km.
• Noul standard va fi destinat utilizatorilor clasici, ce au nevoie acasa o retea stabila, de mare viteza, cu
consum mic si raza mare de acoperire.
• Vitezele promise in acest moment sunt intre 150 Kb/s si 18 Mb/s, destul de mici la prima vedere, insa
suficiente daca nu tragi filme de pe torrent. Insa sa nu uitam ca va suporta mai multe dispozitive
conectate decat de obicei
Accesul la mediu- MAC
54
Subnivelul MAC
Sarcini:
1.Rezolvarea (dacă este posibil) a coliziunilor-accesul liber la canal
(CSMA/ CA)
2. Administrarea şi autentificarea staţiilor
• Specificaţii:
1.Imposibilitatea detectării coliziunilor şi deci folosim: CSMA/ CA
• CS = Carrier Sense, fiecare participant “ascultă” canalul
• MA = Multiple Access, diverşi participanţi utilizează acelaşi canal de
comunicare (Shared Medium-mediu partajat)
•CA = Collision Avoidance, mecanism de evitare a coliziunilor
2.Staţii ascunse(Hidden Station)/ Problema expunerii nodurilor
55
CSMA/CA (1)
56
CSMA
57
CSMA
58
Noduri ascunse
CTS
Date Punct
de Staţie
Ack acces
Staţiile nu se aud una pe alta
Staţie Dar fiecare aude punctul de
acces
59
CSMA/CA(3)
60
CSMA/CA(4)
61
Noduri ascunse
62
CSMA/CA (5)
63
Accesul
64
Etapele conectării
65
Roaming
66
Autentificarea(1)
67
Autentificare(2)
68
Autentificare(3)
69
Planificarea unei reţele WLAN
70
Aspecte ale planificării
71
Planificarea unui WLAN
72
Topologie Ad-Hoc
73
Topologie tip infrstructură
74
AP uri
75
AP uri
76
Network Stumbler
77
Comparaţie privind topologiile
78
Planificarea unui WLAN
• Planificarea capacităţii
• Selecţia frecvenţei
79
Relaţia Ca/Tr(capacitate/trafic) sau cost/performanta
80
Canale multiple de comunicație
81
Canale multiple de comunicație
BSS- Basic Service Set-grup( o celula) de statii cu acelas SSID
ESS- Extended Service Set- un grup de BSS-uri
82
Canale multiple
83
Segmentarea(1)
84
Planificarea unui WLAN
• Distanţa(domeniul-range)/Antenele
85
Sursele de interferenţă
86
Distanţa(1)
87
Variatia vitezei
88
Distanţa(2)
89
Distanţa(3)
90
Antene(1)
91
LAN-LAN(1)
92
LAN-LAN (2)
93
Planificarea unui WLAN
• Aspecte de securitate
94
Mecanisme de securitate
• Manipularea semnalului
Diminuarea puterii de emisie
Folosirea de antene direcţionale
96
Securitatea(1)
97
Securitatea(2)
98
WEP(3)
• IV-Initialization Vector ( vector de initializare)
• ICV-Integrity Check Value ( suma de control a integritatii)
WEP(4)
Puncte slabe
–Cheia de 40 biţi are lungimea prea mică, în timp ce cheia de 104
biţi are lungimea prea mare
–Vectorul de iniţialiyare(Intialiasation Vector-IV) de 24 biţi este prea
scurt, fiind posibilă calcularea lui după aproximativ 4000 pachete
de date schimbate
–IV este transmis necriptat
–Autentificarea în modul cu cheie partajată poate fi monitorizată şi
folosind funcţia XOR dintre şirul de încercare şi răspuns putem
calcula şirul de biţi
–Pentru cheia statică lipseşte gestionarea ei
–Algoritmul RC4-algorithm poate fi “spart” cu programe precum:
„Airsnort“ sau „WEP Hack“
100
EAP(Extensible Authentication Protocol)
EAP
104
WPA(1)
105
IEEE 802.1x
106
IEEE 802.1x(3)
107
IEEE 802.1x(5)
108
Concluzii
Acţiuni imediate:
1.Schimbarea standard a parolei administratorului la punctual de acces(AP)
2.Schimbarea standard a adreselor IP (192.168.71.xxx în loc de
192.168.0.xxx), sau dezactivarea DHCP
3. Utilizarea unor SSID care nu au correspondent în firmă
4. Dezactivarea “Accept ANY SSID”
5. Configurarea filtrării adreselor MAC
6. Activarea criptăii WEP folosind chei de 104(128)biţi şi schimbarea deasă a
cheilor
7. Utilizarea autentificării Open-System şi inserarea monitoarelore Ethernet
Monitors/ Wireless Sniffers care să monitorizeze WLAN-urile
8. Realizarea de cursuri de securitate cu salariaţii
9. Instalarea de protecţii: firewall, detectare de intruşi, etc
109
1. 172.20.0.55
a. este un ip public
b. nu este un ip valid
c. este un ip de clasa A
e.este un ip privat
Select one:
True
False
a. WPA
b. WEP
c. WPA2
d. DNS
a. Posta electronica
b. nume de domenii
d. transferul fisierelor
a. TCP
b. SSH
c. DHCP
d. IP
e. Apache
f. UDP
g. DNS
h. FTP
a. IPv4
b. Legatura de date
c. Aplicatie
d. IP
e. Sesiune
f. TCP
g. Transport
h. Prezentare
i. Retea
j. Fizic
k. Internet
a. 255 de calculatoare
b. 2.097.152 calculatoare
c. 65534 de calculatoare
d. 254 de calculatoare
e. 16.777.214 de calculatoare
a. Source Port
b. TTL
c. DHCP
d. TOS
e. DNS
f. Destination Port
g. DOS
b. Protocolul HTTP
c. Protocolul HTTP
d. Protocolul FTP
a. Nivelul internet
b. Nivelul TCP
c. Nivelul IP
d. Nivelul fizic
e. Nicelul retea
a. Fizic
b. Retea
c. Sesiune
d. Legatura de date
e. Transport
b. Firewall
c. Denial of service
a. Lent
b. Sigur
c. Orientat conexiune
d. Rapid
e. Nesigur
a. Retelele MAN nu fac parte din categoria retelelor metropolitan sau care deserves un
oras
c. Retelele LAN sunt localizate intr o singura cladire sau pe o distanta de cativa km
a. Toate varaintele
a. 192.168.0.1
b. 255.255.255.0
c. 255.255.248.0
d. 255.255.254.0
e. 255.255.0.0
f. 127.0.0.1
Selectati o optiune:
Adevarat
Fals
Selectati o optiune:
Adevarat
Fals
domeniu este:
a. ARP
b. IP
c. DNS
d. ICMP
b. Nu este posibil
26. RSA:
routere
a. DNS
b. ARP
c. IP
d. ICMP
30. La configurara manuala a ip-urilor intr-o retea locala este obligatoriu de configurat:
a. NETMASK
b. DHCP
c. Routing Name
d. GATEWAY
e. IP
f. DNS
g. Secondary DNS
d. Viteza maxima cu care poate circula un pachet de date, fara a se produce coliziuni
e. Distanta in metri intre sursa si destinatie
a. B0
b. 100
c. 160
d. 11
e. 10
a. 10E
b. B0
c. C0
d. 110
e. 11E
f. 11F
a. 1001
a. http://10.11.11.2/index.html
b. http://www.yahoo.com
c. http://11.11.11.1//hello.php
36. Pentru o retea de 83 de calculatoare masca de retea este:
255.255.255.128
38. Modelul ISO/OSI este un model teoretic, pe cand modelul TCP/IP este implementarea
practica
TRUE
nu este un IP valid
a. topologia stea
b. topologia ring
c. topologia bridge
d. topologia magistrala
e. topologia IP
101 + 101
1010
5. antetul ip contine
a. dhcp
b. destination port
c. source port
d. dos
e. dns
f. tos
g. ttl
6. securitatea in retele fara fir nu se poate asigura prin (un singur raspuns corect)
a. DNS
b. WPA2
c. WEP
d. WPA
17. la configurarea manuala a ip-urilor intr-o retea locala este obligatoriu de configurat
a. NETMASK
b. routing name
c. dns
d. secondary dns
e. gateway
f. dhcp
g. ip
20. ce reprezinta ttl (mai multe variante de raspuns) (da timpul maxim de existenta a cadrului ip)
a. timpul cate poate exista un pachet ip, inainte de a fi distrus
b. nici un raspuns nu este corect
c. timpul mediu, necesar parcurgerii de catre un pachet ip a distantei dintre doua rutere
d. timpul maxim in care un pachet ip trebuie sa parcurga calea catre destinatie
e. timpul optim, necesar transmiterii unui pachet ip catre destinatie
23. care dintre urmatoarele elemente reprezinta protocoale ale nivelului aplicatie
a. HTTP (ftp,pop,smtp,dns)
b. IPX
c. IP
26. RSA
a. este primul algoritm de criptare realizat
b. este o criptare simetrica
c. este o criptare asimetrica
27. protocolul UDP este
a. sigur
b. lent
c. rapid
d. orientat conexiune
e. nesigur
45. modelul ios/osi este un model teoretic, pe cand modelul tcp/ip este implementarea practica
a. true
b. false
47. Echipamentul care permite extinderea retelei de calculatoare, primeste datele pe un port, le
regenereaza si le transmite pe toate celelalte porturi se numeste
a. Router
b. Switch
c. Hub
d. Modem
52. Care este adresa de broadcast a retelei din care face parte statia cu adresa IP 172.179.200.242/24
(un singur raspuns corect)
a. 255.255.255.0
b. 172.179.0.0
c. 172.179.200.1
d. 172.179.200.0
e. 172.179.200.255
f. 172.179.200.254
53. Protocolul care permite unei retele atribuirea unei adrese temporare IP unui calculator gazda
conectat la ea este
a. MSN
b. DHCP
c. HTTP
d. HTML
e. MAC
f. DNS
57. Lungimea maxima a unui cablu UTP este de (un singur raspuns corect)
a. 500m
b. 10m
c. 1000m
d. 100m
59. Calculatoarele care au o arie de raspandire foarte mare (suprafata unui continent) sunt legate
printr-o retea de tip
a. MAN
b. WAN
c. LAN
d. FTP
65. 172.20.0.254
a. este un ip utilizat doar pentru masini virtuale
b. nu este un ip valid
c. este un ip privat
d. este un ip de clasa A
Rețele de calculatoare
Răspuns:
2. Care
Care este deosebirea
deosebirea dintre
dintre o rețea
rețea de calculatoare
calculatoare și un sistem
sistem distribuit
distribuit?
?
Răspuns:
'. Ce este
este un sist
sistem
em dist
distrib
ribuit
uit?
?
Răspuns:
*. Care
Care sunt cele * scopuri
scopuri ale
ale construirii
construirii unei
unei rețele
rețele de calculatoar
calculatoare?
e?
Răspuns:
Răspuns:
rile
1. 8ețelele de calculat
calculatoare
oare pot
pot + utili#a
utili#ate
te in scop
scop
a) Come
Comerrcial
ial
b) omestic
c) Personal
d) 9oate
oate cele
cele de mai sus
sus
a) 8etele cu difu#ar
difu#are
e si retele
retele client!
client!ser%er
ser%er
b) 8etele cu
cu difu#are
difu#are si
si retele
retele punct!la!
punct!la!punct
punct
c) 8etele radio cu difu#ar
difu#are e si retele
retele cosmice
cosmice
d) ;ici
;iciun
una
a din %ar
%arian
iante
te
7. rmat
rmatoar
oarele
ele a+rmati
a+rmatiii sunt ade%ar
ade%arate
ate
a) 8etele <3; sunt retele
retele pri%ate locali#ate
locali#ate intr!o
intr!o singura cladire
cladire sau intr!un
intr!un
campus de cel mult cati%a =m si se disting de celelalte tipuri de retele prin
marime" tehnologie de transmisie si topologie.
b) 8etele 03; nu fac parte
parte din categoria
categoria retelelor
retelelor metropoli
metropolitane
tane care
care
deser%este un oras
c) 8eteaua de tele%i#iu
tele%i#iune
ne este
este o retea
retea de tip >3;
>3;
d) 9oate >3;!ur
>3;!urile
ile au comutare
comutare de pachete
pachete
Raspuns:
2. ati e,emplu
e,emplu pentru
pentru un set de
de primiti%e
primiti%e pentru
pentru un ser%iciu
ser%iciu orientat
orientat pe
cone,iune.
Raspuns:
'. Care
Care sunt principiil
principiile
e aplicate
aplicate pentru a se
se a$unge la cele
cele @ ni%eluri
ni%eluri ale
modelului de referinta &?
Raspuns:
*. Care
Care sunt ni%ele
ni%elele
le modelul
modelului
ui &B&
&B&?
?
Raspuns:
7. Care
Care sunt functiile
functiile ni%elului
ni%elului ntern
nternet
et al modelului
modelului 9CPBP?
9CPBP?
Raspuns:
rile
1. er%iciile
er%iciile orienta
orientate
te pe cone,iune
cone,iune se ba#ea#a
ba#ea#a pe
a) ist
istemu
emull telef
telefon
onic
ic
b) ist
istemu
emull post
postal
al
c) istemu
istemull pentru
pentru %ideo
%ideocon
conferi
ferinte
nte
d) 9oate
oate %ariant
%arianteleele de mai
mai sus
2. 0ode
0odelu
lull &B
&B&
&
a) 3re o struct
structura
ura strati+
strati+cata
cata pe ni%eluri
ni%eluri
b) 3re o struct
structura
ura ierarh
ierarhica
ica pe
pe ni%eluri
ni%eluri
c) 8epre#i
8epre#intanta principalul
principalul protoco
protocoll comercial
comercial de interconec
interconectare
tare a
retelelor
d) ;u se refera
refera la interco
interconectar
nectarea
ea sistemelor
sistemelor deschis
deschise
e
'. 3%anta$ele
%anta$ele folosirii
folosirii +brei
+brei optice
optice sunt
sunt
a) sor de
de instalat
instalat si
si presupu
presupunene un cost mic
b) :ac cu %ite#e
%ite#e mari
mari si la distante
distante mari
c) munit
munitate
ate la #gom
#gomotot ridi
ridicat
cata
a
d) ;iciuna
;iciuna din
din %arian
%ariantel
tele
e de mai sus
sus
*. 0odelul
0odelul 9CPBP
9CPBP are urmatoar
urmatoarele
ele ni%ele
ni%ele
a) ;i%elul
;i%elul transport"
transport" ni%elul
ni%elul sesiune
sesiune si ni%elul
ni%elul pre#enta
pre#entare
re
b) ;i%elul
;i%elul aplicatie"
aplicatie" ni%elul
ni%elul transport
transport si ni%elul
ni%elul internet
internet
c) ;i%elul
;i%elul legatura
legatura date sisi ni%elul
ni%elul acces
acces la retea
d) 9oate
oate %ariant
%ariantele
ele de mai
mai sus
7. 0ode
0odelu
lull
este
este
a) & ierarh
ierarhie
ie digit
digitala
ala sinc
sincron
ronaa
b) & retea
retea optica
optica sincr
sincrona
ona
c) n mode
modell ierar
ierarhic
hic cu ' ni%el
ni%ele
e
d) n model
model client
client!se
!ser%er
r%er
*.1-2 &e"nolo+ii de RC
)ntrebări
1. Care
Care sunt cele
cele doua
doua tipuri
tipuri de topol
topologi
ogii?
i?
Raspuns:
2. Ce este
este o retea cu D!uri
D!uri si >9
>9C!uri?
C!uri?
Raspuns:
Raspuns:
-,ista doua moti%e pentru care ub!urile (repetoarele) sunt inferioase fata
de sitch!uri (comutatoare)
Raspuns:
Cele doua se aseamana prin faptul ca sunt situate pe ni%elul 2" numit si
ni%elul legatura de date.
7. Pe ce
ce ni%el
ni%el se plas
plasea#
ea#a
a ub!ur
ub!urile?
ile?
Raspuns:
rile
1. Printre
Printre topolog
topologiile
iile +#ice
+#ice de ba#a se
se regasesc
regasesc
a) 9opologia
opologia magistrala
magistrala comuna
b) 9opol
opolog
ogia
ia stea
stea
c) 9opol
opolog
ogia
ia 8ing
8ing
d) 9oate %ariantele
%ariantele de mai
mai sus
sus
2. ub!ur
ub!urile
ile repr
repre#i
e#inta
nta
a) n element
element de intercon
interconectar
ectare
e pentru
pentru >3;
>3;
b) n element
element de de interconect
interconectare
are intr
intr!un
!un <3;
c) & conec
conectiti%it
%itat
atee a unui
unui <3;
d) 9oate
oate %ariant
%arianteleele de mai
mai sus
'. Comutatoar
Comutatoareleele sunt
sunt superio
superioare
are in comparat
comparatie
ie cu
a) it
itch
ch!u
!uri
rile
le
b) ub!u
ub!urrile
ile
c) Puntilor
lor
d) ;iciun
;iciuna
a din %arian
%ariantel
tele
e de mai sus
sus
*. unt elemente
elemente dede interconec
interconectare
tare pentru
pentru <3;
<3; urmatoar
urmatoarele
ele
a) ub!ur
ub!urii si itch!
itch!uri
uri
b) 0odelul
0odelul punct!la!p
punct!la!punct
unct si Puntile
Puntile (Dridge)
(Dridge)
c) Eirtua
irtuall <3;
<3; si
si 8in
8ing
g
d) 9oate
oate %ariant
%ariantele
ele de mai
mai sus
7. ub!ur
ub!urile
ile mai
mai poarta
poarta si
si denumir
denumirea
ea de
a) Comu
Comutatato
toar
are
e
b) Conc
Concen
entr
trat
atoa
oare
re
c) 8epetoa
epetoarere si concen
concentra
tratoa
toare
re
d) Punti
Raspuns:
2. Care
Care este comanda
comanda prin
prin care
care se interogh
interoghea#a
ea#a ser%erul
ser%erul de nume?
Raspuns:
nsloo=up
'. Cu ce
ce se ocupa
ocupa ser%i
ser%iciu
ciull de nume
nume ;?
;?
Raspuns:
er%iciul de nume ; asigura corespondenta intre adresele P si numele
simbolice ale calculatoarelor din retea.
*. Care
Care este comanda
comanda speci+c
speci+ca
a ser%iciului
ser%iciului de
de posta electronica?
electronica?
Raspuns:
7. Care
Care sunt partile
partile componente
componente ale mesa$ul
mesa$ului
ui transmis
transmis prin ser%iciu
ser%iciull de
posta electronica?
Raspuns
rile
1. ntern
nternetu
etull repr
repre#i
e#inta
nta
a) & retea
retea globa
globala
la de calcu
calculat
latoar
oare
e
b) & retea
retea de retele
retele ba#ata
ba#ata pe proto
protocoale
coalele
le 9CPBP
9CPBP
c) n set
set de pro
protoc
tocoal
oale
e de comun
comunicat
icatie
ie
d) 9oate %ariantele
%ariantele de maimai sus
sus
2. ntern
nternetu
etull are
are o struc
structur
tura
a
a) erarh
erarhica
ica pe ' ni%el
ni%eluri
uri
b) tan
tanda
dard
rdi#
i#at
ata
a
c) era
erarh
rhic
icaa pe * ni%e
ni%elu
luri
ri
d) ;iciun
;iciunaa din %arian
%ariantel
tele
e de mai sus
sus
'. Compon
Component entele
ele ser%i
ser%iciu
ciului
lui >>>
>>> sunt
sunt
a) Clie
Client
ntul
ul si ser%
ser%eru
erull
b) 3gentul
3gentul utili#ator
utili#ator si
si ser%iciul
ser%iciul de posta
posta electro
electronica
nica
c) <imba$
<imba$ulul de marc
marcare
are 90<
90< sisi ser%eru
ser%erull
d) 9oate
oate %ariant
%ariantele
ele de mai
mai sus
*. Componentele
Componentele ser%iciului
ser%iciului de
de posta
posta electronic
electronica
a sunt
sunt
a) 3gen
3gentu
tull util
utili#a
i#ato
torr
b) Cuti
Cutia
a post
postalalaa
c) 3genti
3gentiii de
de tran
transfe
sferr post
postal
al
d) 9oate %ariantele
%ariantele de mai mai sus
sus
7. er%iciul
er%iciul de
de transfer
transfer de
de +siere
+siere se
se ba#ea#a
ba#ea#a pe
pe
a) Prot
Protoc
ocol
olul
ul :9P
:9P
b) <imba$
<imba$ul
ul de
de marc
marcare
are 90<
90<
c) Prot
Protoc
ocol
olul
ul 99P
99P
d) 9oate
oate %ariant
%ariantele
ele de mai
mai sus
Raspuns:
2. Cum funct
function
ionea#
ea#a
a protoco
protocolul
lul 89P?
89P?
Raspuns:
'. Ce este
este port
port!u
!ul?
l?
Raspuns:
Port!ul este un numar pe 15 biti care identi+ca in mod unic procesele care rulea#a
pe o anumita masina.
*. Ce este
este soc=
soc=et
et!u
!ul?
l?
Raspuns:
oc=et!ul este un punct de comunicatie prin care un proces poate emi te sau
receptiona un informatie sub forma unui Au, de DHtes.
7. <a ce se
se folosest
foloseste
e indicato
indicatorul
rul de
de urgenta?
urgenta?
Raspuns:
ndicatorul de urgenta speci+ca ultimul DHte de date urgente" daca 8IG1.
rile
1. :unctia ni%elului
ni%elului de transport
transport care
care impiedica
impiedica transmiter
transmiterea
ea mai multor date
date
decat este necesar este
a) Cont
Contro
rolu
lull acce
accesusulu
luii
b) Cont
Contro
rolu
lull Au,ul
Au,uluiui
c) Comuni
Comunicat
catii
ii orient
orientate
ate pe cone
cone,iu
,iune
ne
d) 0emor
0emorararea
ea tempo
tempora rara
ra
2. :unctii
unctiile
le ni%elul
ni%eluluiui transpo
transport
rt sunt
sunt
a) Cont
Contro
rolulull Au,u
Au,ulu luii
b) Comuni
Comunicatcatiiii orienta
orientata ta pe cone,iu
cone,iunene
c) tabil
tabilir
irea
ea si eliber
eliberararea
ea cone,
cone,iune
iune
d) 9oate %ariantele
%ariantele de mai mai sus
sus
'. er%e
er%erurull 9CP
9CP asig
asigurura
a
a) 9ransmis
ransmisia ia Au,ulu
Au,uluii de date
b) Cont
Controrolu
lull Au,u
Au,ulu
luii
c) a) si b)
d) suma
suma de cont contro
roll
*. 3dre
3dresa
sa unui
unui soc=e
soc=ett este
este data
data de
a) protocol
b) adre
adresa
saJl
Jloc
ocal
ala
a
c) proc
proces
esJl
Jloc
ocal
al
d) 9oate %ariantele
%ariantele de mai
mai sus
sus
7. Proto
Protocol
colul
ul P
P este
este folos
folosit
it
a) Ca multiple
multiple,or,orBdemult
Bdemultiple,
iple,or
or pentru
pentru emiterea
emiterea si receptio
receptionar
narea
ea
datagramelor
b) 9ransmis
ransmisia ia Au,ului
Au,ului de date
date
c) tab
tabil
ilir
irea
ea cone,i
cone,iun
unii
ii
d) ;iciun
;iciuna a din %arian
%ariantel
telee de mai sus
sus