Corina-Ştefania Nănău

Cuprins

1.1 Nivelurile Sesiune si Prezentare (Session Layer si Presentation Layer) . . . . . . . . . . 2

1.1.1 Nivelul Sesiune . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1.2 Nivelul Prezentare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Securitatea datelor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.1 Aspecte privind securitatea retelelor . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2.2 Surse de vulnerabilitati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.2.3 Clasificarea atacurilor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.2.4 Tipuri de atacuri si metode de protectie . . . . . . . . . . . . . . . . . . . . . . 9
1.2.5 Asocieri de securitate pentru protocolul IP . . . . . . . . . . . . . . . . . . . . 14
Bibliografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1
 Corina-Ştefania Nănău

Cursul 6

1.1 Nivelurile Sesiune si Prezentare (Session Layer si Presentation

Layer)
Acestea sunt nivelurile care pregatesc datele pentru nivelul cel mai de sus al ierarhiei OSI, si
anume pentru nivelul Aplicatie. Fiecare dintre cele doua niveluri opereaza cu protocoale specifice
functiilor pe care le deservesc. In cadrul arhitecturii de retea TCP/IP, functionalitatile acestor doua
niveluri se regasesc in cadrul nivelului Aplicatie.

1.1.1 Nivelul Sesiune

Nivelul Sesiune stabileste, administreaza si termina sesiunile dintre partile implicate in comuni-
care. Acest nivel gestioneaza detalii precum: numele de cont, parolele, autorizarea utilizatorilor.
La fiecare operatie de autentificare a utilizatorului este deschisa o sesiune, incetarea acesteia
facandu-se la cererea utilizatorului sau in cazuri bine stabilite, cum ar fi terminarea sesiunii la un
numar predefinit de minute dupa incetarea utilizarii acesteia.
Principalele protocoale implementate la acest nivel sunt:

ˆ ASAP (Aggregate Server Access Protocol) - un protocol folosit impreuna cu ENRP

(Endpoint Handlespace Redundancy Protocol), care ofera un mecanism cu o puternica
disponibilitate pentru transferul datelor. Acesta foloseste un model de adresare care ofera o
scalabilitate dinamica sistemului de comunicare, oferind suport pentru ”server pooling” si ”load
sharing”. Membrii unei ”piscine de servere” pot fi adaugati sau eliminati fara a intrerupe serviciul
de comunicare si pot fi accesati mult mai rapid, fara verificari elaborate.
ˆ SSL (Secure Sockets Layer) - este un protocol de securitate in Internet, bazat pe criptarea
datelor, dezvoltat de Netscape. Criptand spre exemplu datele care se transmit de la un utilizator
la un server web, protocolul SSL se asigura ca oricine intercepteaza datele transmise nu vede
decat un amestec ciudat de caractere. Acesta ofera astfel garantia ca datele transmise intre un
client si un server se pastreaza private.
ˆ TLS (Transport Layer Security) - Din anul 1999, Internet Engineering Task Force (IETF)
a preluat de la Netscape dezvoltarea protocolului SSL si i-a schimbat denumirea in TLS. Mo-
dificarile aduse protocolului nu au fost majore, motiv pentru care adesea se confunda cele doua
denumiri ale sale SSL si TLS. De multe ori se foloseste si denumirea de SSL/TLS, avand in
vedere ca denumirea SSL are un renume puternic. Site-urile web care implementeaza protocolul
SSL/TLS au in URL ”https” in loc de ”http”. Protocolul SSL/TLS poate fi implementat doar
de catre site-urile care detin un certificat SSL (un identificator unic al site-ului care contine
si cheia publica a celui site - cheia folosita pentru criptarea datelor transmise prin intermediul
site-ului).
ˆ SSH (Secure Shell) - este un protocol folosit pentru autentificarea securizata si pentru alte
servicii securizate in retea. Acesta poate fi implementat atat la nivelul Sesiune, cat si la nivelul
Aplicatie.

Nivelul Sesiune controleaza si administreaza dialogul intre doua calculatoare (dintre aplicatia
locala si cea la distanta). Se definesc proceduri de incepere, terminare, mentinere si resetare a con-
vorbirilor (ce pot fi in mod half-duplex sau full-duplex). Acest nivel include posibilitatea de control si

2
 Corina-Ştefania Nănău
management al mesajelor, anuntand totodata nivelele superioare daca datele au fost trimise cu succes
la destinatie sau nu.
Tot aici sunt restabilite sesiunile de comunicare in cazul intreruperii acestora.

1.1.2 Nivelul Prezentare

Nivelul Prezentare are rolul de a transforma datele in formate intelese de fiecare aplicatie si de
calculatoarele respective, asigura compresia datelor si criptarea informatiilor transmise.
Nivelul Prezentare reuneste functii folosite in mod repetat in comunicatiile in retea, realizand
gestionarea detaliilor legate de interfatarea retelei cu imprimantele, formatele fisierelor, etc.
Exemple de protocoale intalnite la acest nivel:

ˆ XDR (eXternal Data Representation) - este un protocol care ofera specificatiile pentru
reprezentarea standard a datelor dintr-o retea. Folosind o reprezentare standard a datelor, un
program poate fi sigur ca interpreteaza datele corect, chiar daca sursa datelor este un dispozitiv
cu o arhitectura complet diferita. In practica insa, majoritatea programelor nu folosesc un
XDR intern, ci au o reprezentare a datelor conform arhitecturii computerului pe care ruleaza
programul. Cand programul trebuie sa comunice cu un alt program, acesta isi converteste datele
in format XDR inainte de a le trimite. iar atunci cand primeste date, converteste datele din
format XDR in propria sa reprezentare.
ˆ ASN.1 (Abstract Syntax Notation One) - este un limbaj standard folosit pentru descrierea
structurilor de date care pot fi serializate si deserializate. Acest limbaj se foloseste pe scara larga
in telecomunicatii, in retele de calculatoare si in special in domeniul criptografiei.
ˆ SMB (Server Message Block) - este un protocol de comunicare ce vizeaza accesul partajat
la fisiere, la imprimante, etc in cadrul unei retele de calculatoare. Acest protocol are mai multe
versiuni, ultima fiind 3.1.1, introdusa in Windows 10 si Windows Server 2016 si ofera securitate
sporita printr-o modalitate mai avansata de criptare si autentificare.
ˆ AFP (Apple Filing Protocol) - este un protocol de retea, care face parte din AFS (Apple
File Service) si care ofera servicii pentru transfer de fisiere pentru sistemul de operare Mac
OS.

Nivelul Prezentare rezolva astfel diferentele ce pot aparea din cauza diverselor aplicatii ce pot
folosi sintaxe si semantici diferite. Spre exemplu, un fisier video este diferit de unul audio, dar trebuie
ca ambele sa fie convertite intr-un format unic pentru retea. Foarte important este de asemenea ca
datele sa fie restaurate la finalul transmisiei, trecand de la formatul de retea la un format acceptat de
programul ce trebuie sa primeasca acele date.
De asemenea, asa cum am observat din cele mentionate anterior, criptarea datelor se face tot la
acest nivel, in completarea securitatii asigurate de nivelul precedent.

1.2 Securitatea datelor

Conform celor prezentate anterior, atat nivelul Sesiune cat si nivelul Prezentare se ocupa de
securitatea transmisiei datelor in retea, fiecare dintre acestea utilizand propriile metode si protocoale.
In cazul retelelor de calculatoare, a pune datele la adapost de orice pericol, a te proteja si apara de
orice infractiune ce poate fi comisa in spatiul cibernetic, presupune implicarea tuturor componentelor
unui astfel de sistem, si anume: protocoale, tehnologii, sisteme, instrumente si tehnici de lucru.
Securitatea unei retele de calculatoare inseamna in primul rand securitatea informatiei care
circula prin ea. Pentru aceasta trebuie avute in vedere trei aspecte importante:

ˆ confidentialitatea, care reprezinta calitatea de a permite doar utilizatorilor autorizati accesul

la informatie
ˆ integritatea, care reprezinta garantia ca informatia nu a fost modificata de persoane neautori-
zate
ˆ disponibilitatea, care este definita ca fiind asigurarea accesului la informatie doar atunci cand
aceasta este necesara

3
 Corina-Ştefania Nănău
Fiind un domeniu extrem de complex, ISO (International Organization for Standardization) si
IEC (International Electrotechnical Commission) au stabilit 14 subdomenii ale securitatii informatiei,
prin standardul ISO 27001. Cele mai importante dintre acestea, care vizeaza securitatea comunicatiei
in retea, sunt urmatoarele:
ˆ Politica de Securitate este un document care trateaza masurile coercitive si comportamentul
membrilor unei organizatii si specifica modul in care vor fi accesate datele, ce date sunt accesibile
si cui
ˆ Controlul Accesului priveste restrictiile aplicate accesului direct la retea, sisteme, aplicatii si
date.
ˆ Criptografia defineste modalitatile de criptare a informatiei si administrarea cheilor de criptare.
ˆ Securitatea Fizica si a Mediului descrie masurile de protectie pentru centrele de date din
cadrul unei organizatii.
ˆ Securitatea Operationala controleaza serviciile de retea, securitatea acesteia, transferul de
informatie, etc.
ˆ Securitatea Comunicatiilor defineste cerintele de securitate pentru procesele de dezvoltare si
suport.
ˆ Administrarea Incidentelor de Securitate a Informatiei trateaza felul in care sistemul
anticipeaza si raspunde in cazul unei brese de securitate.
Starea de securitate poate fi garantata prin implementarea a patru mecanisme de
protectie: descurajarea, prevenirea, detectarea si raspunsul.
Descurajarea este de obicei prima linie de aparare impotriva intrusilor care pot incerca sa
obtina acces la o retea. Presupune crearea unei atmosfere menite sa sperie intrusii, iar uneori, acest
lucru poate implica transmiterea unor avertismente.
Prevenirea este procesul incercarii de a impiedica intrusii sa obtina acces la resursele unui
sistem sau al unei retele prin utilizarea de firewall-uri sau utilizarea elementelor de acces pentru a
permite accesul numai pentru utilizatorii autorizati.
Detectarea are loc atunci cand intrusul a reusit sau este in curs de accesare a sistemului sau al
retelei. Semnalele din procesul de detectare includ alerte la existenta unui intrus. Uneori aceste alerte
pot fi in timp real sau pot fi stocate pentru analize suplimentare de catre personalul de securitate.
Raspunsul este un mecanism care incearca sa raspunda la esecul primelor trei mecanisme.
Acesta functioneaza incercand sa opreasca si/sau sa previna deteriorarea sistemului sau al retelei.

1.2.1 Aspecte privind securitatea retelelor

Autentificarea, autorizarea si monitorizarea activitatii utilizatorilor
Autentificarea unui persoane sau a unei aplicatii reprezinta conceptul de baza al asigurarii
securitatii unei retele si este de cele mai multe ori facuta printr-o parola si un nume de utilizator. Una
din problemele acestei metode este ca parolele folosite de utilizatori nu sunt foarte sigure, pot fi furate
sau chiar ghicite, iar multi utilizatori aleg unele foarte simple, ce folosesc cuvinte foarte evidente ori
si le salveaza in locatii sau documente la care pot avea acces mai multe persoane. De asemenea, au
aparut in ultimii ani din ce in ce mai multe metode sau programe cu ajutorul carora se pot ”fura”
parole.
Autentificarea este cu atat mai sigura cu cat parolele sunt mai complicate si se schimba la
intervale scurte de timp, sau daca se utilizeaza metode alternative precum identificarea retinei sau
amprentei, folosirea de carduri de acces sau a dispozitivelor sau aplicatiilor de tip token care genereaza
parole de unica folosinta.
Dupa autentificare, utilizatorul trebuie sa primeasca autorizarea de a realiza anumite sarcini.
Autorizarea activitatii acestuia este facuta de un administrator care are permisiunea de a-i con-
trola accesul catre diverse resurse sau servicii. Monitorizarea presupune masurarea resurselor
consumate de catre utilizator in timpul sesiunii de lucru si poate include durata de timp cat
acesta a utilizat resursele, cantitatea de date trimisa sau primita, resursele accesate in mod explicit.
Toate acestea, de obicei, se salveaza in inregistrari automate si pot fi utilizate pentru control, analize
statistice sau diverse planificari.

4
 Corina-Ştefania Nănău
Asigurarea confidentialitatii si integritatii datelor

Serviciul de confidentialitate protejeaza datele si informatiile impotriva accesarilor neautorizate,

prin folosirea de algoritmi de criptare si decriptare. Criptarea protejeaza datele pe parcursul
transferului lor prin canalul de comunicatie, decriptarea facandu-se de catre destinatar.
Criptarea datelor se poate realiza prin doua metode: utilizand algoritmi cu cheie simetrica sau
cu cheie asimetrica.
In Fig. 1.1 se poate observa un exemplu de utilizare a unei chei simetrice de criptare in cazul
transmiterii unui email intre doua persoane.

Figura 1.1: Criptare cu cheie simetrica

Algoritmii cu cheie simetrica utilizeaza aceeasi cheie atat pentru criptare cat si pentru
decriptare. Cerinta principala, dar si marele dezavantaj, este aceea ca ambele parti care comunica sa
aiba acces la acea cheie. Dificultatea apare din cauza necesitatii existentei unei metode prin care sa se
poate transmite aceasta cheie de la emitator la receptor, fara a intra in posesia altora. Transmiterea
personala este cea mai sigura, dar imposibila daca este vorba de o comunicare intre doua puncte
diferite, aflate la distanta.
Daca se doreste ca cheia sa fie secreta se utilizeaza metode de schimb in siguranta al cheii de
criptare (de exemplu metoda Diffie-Hellman) sau se utilizeaza protocoale cu cheie publica. Un exemplu
de algoritm cu cheie simetrica, utilizat in retelele de calculatoare este AES (Advanced Encryption
Standard).
Algoritmul Diffie-Hellman reprezinta o metoda care permite ca doi utilizatori care comunica
sa schimbe in mod sigur cheile utilizate pentru criptarea mesajelor. Acest algoritm are la baza un
numar prim si o radacina primitiva a acestuia.
Se numeste radacina primitiva a unui numar prim p un numar a, ale carui puteri
genereaza toate numerele de la 1 la p − 1. Cu alte cuvinte, daca a este o radacina primitiva a
lui p, atunci numerele: a mod p, a2 mod p, a3 mod p, ..., ap−1 mod p sunt distincte si reprezinta numerele
intregi de la 1 la p − 1, intr-o ordine oarecare.
Astfel, oricare ar fi numarul b intreg si numarul a radacina primitiva a unui numar prim p, se
poate gasi un exponent unic notat cu i, astfel incat sa avem b = ai mod p, unde 1 ≤ i ≤ (p − 1).
Exponentul i se numeste logaritmul discret sau indexul lui b.
Descrierea algoritmului Diffie-Hellman de generare a cheilor: Exista doua numere
cunocute public, pe care le vom nota cu q si α. q este un numar prim, iar α este o radacina primitiva
a sa. Fie doi utilizatori A si B ai unei retele, care doresc sa comunice. Pentru aceasta, ei trebuie sa
faca mai intai schimb de chei, pentru a ajunge la cheia folosita pentru criptare si respectiv pentru
decriptare. Schimbul se va face astfel: utilizatorul A alege un numar intreg oarecare, notat XA , cu
proprietatea ca XA < q si apoi calculeaza valoarea YA = αXA mod q.

5
 Corina-Ştefania Nănău
Similar, utilizatorul B alege un numar intreg oarecare, notat XB , cu proprietatea ca XB < q,
apoi calculeaza si el o valoare YB = αXB mod q.
Fiecare parte pastreza secreta valoarea XA , respectiv XB generata, si comunica celeilalte parti
doar valoarea YA , respectiv YB , calculata.
Utilizatorul A calculeaza cheia de criptare K = YBXA mod q iar utilizatorul B calculeaza cheia
K = YAXB mod q.
Folosind reguluile aritmeticii ”modulo n”, se constata ca A si B obtin aceeasi valoare pentru
cheia K. Astfel vom spune ca cele doua parti si-au transmis cheia secretă K.
XA si XB fiind secrete, un intrus are la dispozitie pentru a calcula cheia K numai valorile q, α, YA
si YB . De exemplu, pentru a obtine cheia secreta a lui B, trebuie calculat: XB = indα,q (YB ). Dupa
aceea, cheia secreta K poate fi calculata identic cu modul in care a calculat-o utilizatorul B.
In aritmetica ”modulo n”, exponentierea este o functie intr-un singur sens. Aceasta inseamna
ca este usor de calculat un numar y = q x mod n pentru o valoare secreta x, insa este mult mai dificil
sa se calculeze x din y, daca numerele sunt suficient de mari. Aceasta este cunoscuta ca problema
logaritmului discret, pentru ca x este logaritm din y in baza q mod N , iar numerele sunt finite si
intregi.
Schema algoritmului Diffie-Hellman se poate observa in Fig. 1.2.

Figura 1.2: Schimbul de chei Diffie-Hellman

Algoritmii cu cheie asimetrica, pe de alta parte, folosesc doua tipuri de chei: una privata
si una publica. Oricine poate cripta un mesaj folosind cheia publica, insa numai detinatorul cheii
private (pereche cu cheia publica folosita pentru criptare) poate decripta mesajul. Pentru mai multa
siguranta, cheia publica face parte dintr-un certificat digital eliberat de o autoritate de certificare. Cele
mai cunoscute aplicaaii ale acestui tip de algoritm sunt criptarea cu cheie publica, pentru transmiterea
de mesaje, si crearea de semnaturi digitale. In cazul retelelor de calculatoare aplicatiile client-server
folosesc un astfel de algoritm in cadrul protocolului TLS (Transport Layer Security), amintit anterior.
Datele aflate in tranzit intre emitator si receptor pot fi alterate in mod intentionat. Verificarea
integritatii acestora se realizeaza de obicei folosind coduri hash. Un cod hash este o valoare numerica
de lungime fixa (de obicei 128 de biti) care identifica in mod unic datele si se obtine din aceste date,
pe baza unei functii one-way-hash (nu se poate aplica si invers pentru a determina datele pe baza
codului hash). Codul este apoi criptat si transmis impreuna cu mesajul.
Receptorul decripteaza codul, aplica functia pe mesajul primit si verifica daca valoarea hash a
datelor primite este identica cu valoarea hash a datelor trimise, pentru a determina daca datele au
fost modificate. Acest procedeu se poate observa in Fig. 1.3.
Procedeul de creare a unui hash-code al datelor nu este insa suficient pentru a garanta integrita-
tea datelor. Se obisnuieste generarea unui sir de caractere dinamic care sa fie atasat datelor inaintea
generarii hash-cod-ului acestora. Acest sir atasat datelor poarta numele de ”salt”. Daca acest sir este
cunoscut doar de gazdele care comunica, un intrus nu ar reusi sa isi dea seama care este secventa
atasata pentru a ascunde interventia sa de corupere a datelor.

6
 Corina-Ştefania Nănău

Figura 1.3: Verificarea integritatii datelor cu coduri hash

Securizarea perimetrului retelei

Perimetrul unei retele este definit de acea granita care separa zona privata, detinuta si
administrata local, de zona publica, administrata de un furnizor de servicii.
Un singur nivel de securitate nu va fi niciodata suficient. In afara routerului de granita, ce
contine de obicei un firewall de baza (firewall-ul este o bariera care poate fi configurata sa controleze
ce anume poate trece din reteaua interna in exterior si invers), sunt necesare niveluri suplimentare
precum: impartirea retelei in sisteme cu acces in reteaua publica sau in cea privata, un firewall de
ultima generatie care poate controla traficul la nivel de aplicatie si de utilizator sau un echipament de
tip IDS (Intrusion Detection System).
Securitatea retelei poate fi imbunatatita prin crearea unei zone demilitarizate (DMZ -
Demilitarized Zone) care presupune existenta a doua firewall-uri, unul pentru traficul extern si
unul pentru cel intern.
Toate componentele utilizate in cadrul retelei trebuie actualizate permanent, din punct de ve-
dere al configuratiei hardware, al aplicatiilor sau sistemelor de operare, si trebuie configurate in mod
corespunzator, astfel incat reteaua sa poata fi protejata nu numai fata de amenintarile curente, ci si
fata de cele care evolueaza de-a lungul timpului.

Monitorizarea retelei
Monitorizarea retelei implica managementul configuratiei retelei si controlarea activitatilor nor-
male dintr-o retea: monitorizarea accesului, a routerelor sau switch-urilor, a sistemelor de tip firewall,
a sistemelor de tip server sau client. In acest caz, administratorii retelei se ocupa de controlarea si
supravegherea modului in care functioneaza aceasta, folosind unelte software specializate. Acestia au
nevoie sa stie de existenta tuturor componentelor, denumirile si adreselor acestora si, de asemenea,
detaliile de routare. Trebuie cunoscute relatiile dintre componente si operatiile caracteristice fiecaruia.
Monitorizarea presupune, de obicei, determinarea unor parametri precum: disponibilitatea, tim-
pul de raspuns sau de functionare a unui sistem, aplicatie sau serviciu. De obicei sunt trimise
mesaje prin retea pentru a verifica felul in care aceasta raspunde la cereri. De exemplu,
verificarea starii unui site web se poate face prin trimiterea de cereri periodice pentru a descarca o
anumita pagina. In cazul aparitiei unor erori sau a unor raspunsuri lente, se vor trimite alerte ce
vor fi vizibile administratorilor de retea. Astfel de teste se pot realiza cu comenzi de tip ping sau
cu protocoale de monitorizare si administrare precum SNMP (Simple Network Management
Protocol).

1.2.2 Surse de vulnerabilitati

Greseli de proiectare: Pot sa apara in oricare din cele doua componente majore ale unei retele
de calculatoare, hardware sau software. Sistemele hardware sunt mai putin susceptibile la astfel de

7
 Corina-Ştefania Nănău
greseli, datorita experientei in domeniul ingineriei si complexitatii mai reduse, care le face mai usor de
testat. Cele mai mari probleme de vulnerabilitate se datoreaza greselilor in proiectarea componentelor
software, trei factori majori contribuind in mare masura la aparitia vulnerabilitatilor:
ˆ factorul uman
ˆ complexitatea software-ului
ˆ sursele software de incredere
Gestionarea deficitara a securitatii: Este rezultatul unui control scazut asupra implementa-
rii, administrarii si monitorizarii securitatii. Este un esec in a avea un control solid asupra situatiei de
securitate a unei organizatii atunci cand administratorul de securitate nu stie cine stabileste politica
de securitate a organizatiei, cine administreaza respectarea securitatii si configuratiile de securitate
ale retelei si cine are sarcina de a trata evenimentele si incidentele de securitate.
Implementarea incorecta: Este de obicei rezultatul utilizarii unor interfete incompatibile
intre doua produse hardware sau software care trebuie sa lucreze impreuna, a utilizarii unei arhitecturi
de retea nesigura, a liniilor de comunicatie neprotejate, sau a configurarii insuficiente si incorecte a
produselor.
Factorul uman: Securitatea unei retele este asigurata si efectuata de catre persoanele care
o administreaza. Astfel, orice situatie care necesita implicarea directa a acestora poate avea diverse
efecte: lipsa atentiei, uitarea temporara, graba de a finaliza o activitate, utilizarea unor algoritmi
netestati, nepasarea, reaua intentie.

1.2.3 Clasificarea atacurilor

In functie de vulnerabilitatile retelei, atacurile se pot manifesta pe mai multe planuri:
ˆ Accesarea neautorizata a retelei sau a unor resurse ale acesteia din interiorul organi-
zatiei sau din afara acesteia.
ˆ Tentative de perturbare sau de intrerupere a functionarii retelei la nivel fizic (prin factori
mecanici, de intrerupere a unor cabluri sau scoatere din functiune a unor echipamente din retea;
factori electrici, de bruiaj in cazul retelelor radio, semnale de interferenta in retelele cablate).
ˆ Tentative de intrerupere sau de incarcare excesiva a traficului din retea prin transmiterea
unui numar foarte mare de pachete de date catre unul sau mai multe noduri din retea (aparitia
fenomenului de ”flooding”).
ˆ Atacuri asupra software-ului echipamentelor de retea care concentreaza si dirijeaza
fluxurile in noduri critice (switch, router, access point etc.) prin modificarea fisierelor de
configurare si a drepturilor de acces stabilite de personalul autorizat.
ˆ Modificarea sau distrugerea informatiei, adica atacul la integritatea fizica a datelor.
ˆ Preluarea si folosirea neautorizata a informatiilor, adica incalcarea confidentialitatii si a
dreptului de autor.
In functie de locul de unde se executa, atacurile pot fi:
ˆ Atacul local, ce presupune spargerea securitatii unei retele de calculatoare de catre un utilizator
local, adica o persoana care face parte din retea si care dispune de un cont si de o parola de
utilizator care ii dau drept de acces la o parte din resursele sistemului. De asemenea, persoana
respectiva poate sa aiba cunostinte despre arhitectura sistemului de securitate al retelei, putand
astfel lansa atacuri mult mai periculoase, principalele riscuri constand in accesarea informatiilor
la care nu are drept de acces, gasirea punctelor vulnerabile ale retelei prin incarcarea unor
programe care sa scaneze reteaua.
ˆ Atacul la distanta (remote attack) este un atac lansat impotriva unei retele de comunicatii
sau a unui echipament din retea, fata de care atacatorul nu detine nici un fel de control. Accesul
de la distanta la resursele unei retele este mai riscant decat accesul din reteaua locala deoarece in
Internet sunt cateva miliarde de utilizatori, ceea ce face ca numarul posibililor atacatori externi
sa fie mult mai mare decat al celor interni.
In functie de modul in care actioneaza, ca sursa si destinatie, atacurile pot fi:

8
 Corina-Ştefania Nănău
ˆ Centrate pe o singura entitate - de exemplu, este atacat un anumit server din retea de pe
un singur echipament.
ˆ Distribuite - lansate din mai multe locatii sau catre mai multe dispozitive simultan.
In functie de metodele utilizate, atacurile pot fi:
ˆ Nestructurate, ce sunt initiate de indivizi neexperimentati ce utilizeaza exploit-uri disponibile
pe Internet. Exploit-urile sunt programe ce exploateaza vulnerabilitatile unei retele, pentru a
ocoli politica de securitate implementata intr-o retea.
ˆ Structurate, ce sunt initiate de indivizi mult mai bine motivati si care detin cunostinte tehnice
competente. Acesti indivizi cunosc posibile vulnerabilitati de sistem si le pot folosi pentru a
obtine acces in retea, pot detecta noi vulnerabilitati de sistem si pot dezvolta cod si scripturi
pentru a exploata reteaua.
Atacurile asupra unui sistem pot fi executate atat pentru culegere de date, cat si pentru
modificarea datelor. Din acest punct de vedere, atacurile se clasifica in atacuri pasive si atacuri
active.
Atacurile pasive sunt acele atacuri care au ca tinta furtul datelor si al drepturilor
utilizatorilor autorizati. Aceste date pot fi utilizate ulterior de atacator in accesarea diverselor
componente ale sistemului ca si cand acesta ar fi utilizatorul de drept al datelor.
Atacurile pasive pot fi:
ˆ monitorizarea transmisiei dintre doua entitati (eavesdropping) si furtul informatiei (pa-
cket sniffing) care este transmisa intre aceste entitati. Atacatorul nu intentioneaza sa intrerupa
serviciul sau sa cauzeze un efect, ci doar sa intre in posesia informatiei.
ˆ analiza traficului - daca informatia este criptata, va fi mult mai dificil sa fie citita, dar ata-
catorul nu doar observa informatia, ci si incearca sa inteleaga ceva din ea; sau pur si simplu sa
determine identitatea si locatia celor doua parti implicate in conversatie sau sa descopere modul
si cheia de criptare.
Atacurile pasive sunt greu de detectat din moment ce exista un impact foarte mic asupra infor-
matiei comunicate.
Atacurile active au ca scop cauzarea unei intreruperi, si de obicei sunt usor de recunoscut.
Spre deosebire de atacul pasiv, un atac activ modifica informatia, poate sterge, insera sau intarzia
mesaje sau poate intrerupe un serviciu. Exemple de atacuri active sunt:
ˆ Mascarada (masquerade) - atacatorul pretinde a fi altcineva cu intentia de a obtine date
secrete. Multe dintre atacurile de acest tip pot fi evitate prin adoptarea unor politici de securitate
adecvate, care presupun responsabilizarea utilizatorilor, implementarea unor metode de acces
robuste, folosirea unor metode de autentificare cat mai eficiente.
ˆ Reluarea - se produce atunci cand un mesaj sau o parte a acestuia este repetata, cu intentia
de a produce un efect neautorizat (autentificarea atacatorului folosind informatii de identificare
valide, transmise de un utilizator autorizat al retelei). Acest tip de atac poate fi prevenit prin
etichetarea fiecarei componente criptate cu un ID de sesiune si un numar de componenta.
ˆ Modificarea mesajelor - face ca datele mesajului sa fie alterate prin modificare, inserare sau
stergere. Poate fi folosita pentru a se schimba beneficiarul unui credit in transferul electronic
de fonduri sau pentru a modifica valoarea acelui credit. O alta utilizare poate fi modificarea
campului destinatar/expeditor al postei electronice.
ˆ Refuzul serviciului - se produce atunci cand o entitate nu reuseste sa indeplineasca propria
functie. Acest lucru se realizeaza prin supraincarcarea serverelor cu cereri din partea atacatorului
si consumarea resurselor, astfel incat acele servicii sa nu poata fi oferite si altor utilizatori.

1.2.4 Tipuri de atacuri si metode de protectie

Ingineria sociala
Reprezinta unul dintre cele mai simple si eficiente atacuri, dar totusi nu necesita cunostinte in
domeniul tehnologiilor de retea. Ea presupune manipularea persoanelor ce au o autoritate in sistemul

9
 Corina-Ştefania Nănău
ce urmeaza a fi spart, pentru a face anumite lucruri, ce l-ar ajuta pe hacker sa execute atacul.
De obicei, ingineria sociala este insotita de alte tipuri de atacuri, astfel devenind o arma puternica
in mana atacantului. Ingineria sociala poate fi evitata prin implementarea tehnicilor de securitate ce
protejeaza de accesul liber al persoanelor neautorizate in incaperile companiei, instruirea riguroasa a
personalului, anuntarea lucratorilor in caz ca apare o persoana noua autorizata, etc.
Exista mai multe metode de atacuri de acest tip, printre care phishing-ul si baiting-ul.
Phishing-ul reprezinta un atac in care se simuleaza o organizatie legitima, care cere informatii
confidentiale de la utilizator, de exemplu, pe e-mailul victimei vine un mesaj ce contine site-ul emulat
al unei organizatii reale, cu emblema sa, iar cand utilizatorul incearca sa se autentifice, parola sa este
trimisa atacatorului.
Baiting-ul este un tip de atac prin care victima introduce codul daunator in calculatorul sau.
Hackerul poate lasa codul pe un disc sau un flash drive USB, ce se va instala automat atunci cand
acestea sunt introduse in calculator, de obicei din curiozitate, pentru a vedea ce se afla pe mediul de
stocare respectiv.

Spargerea parolelor
Reprezinta un atac pe care hackerul il efectueaza ca sa se poata autoriza si autentifica intr-un
sistem, pentru a-i obtine resursele. In majoritatea cazurilor, acesta nu obtine neaparat parolele, cat
hash cod-ul acelor parole. Deoarece functia de criptare a parolelor nu este una reversibila, asa cum
am mentionat si anterior, parola este aflata prin incercarea tuturor variantelor posibile, sau conform
unui dictionar, pana cand parola criptata coincide cu hash-ul obtinut in mod infractional.
Pentru a evita riscul ca parolele sa fie sparte, e nevoie ca ele sa aiba o dificultate mare, sa contina
litere mici, majuscule, cifre, semne de punctuatie. Totodata trebuie ca ele sa fie schimbate la intervale
regulate, pentru a nu da sansa atacatorului sa reuseasca sa le sparga in acest interval de timp.

Inundarea retelei cu mesaje (efectul de ”Flooding”)

Flooding-ul presupune blocarea unui server sau a unui client cu o cantitate anormala de pachete
de date, avand ca scop supraincarcarea acestuia. Atacurile de acest tip sunt periculoase doar in cazul
in care latimea de banda a victimei este cu mult mai mica decat cea a atacatorului. In prezent astfel
tipuri de atacuri nu prezinta pericol, deoarece latimile de banda de obicei sunt destul de mari pentru
a suporta cantitatile mari de pachete livrate fraudulos.

Spoofing
Spoofing-ul nu este mereu un atac, dar de obicei este insotit de un atac. Acesta reprezinta
ascunderea informatiei despre calculatorul atacator, de exemplu a adresei IP, adresei MAC, serverului
DHCP, DNS etc, utilizand identitatea unui alt calculator autorizat, facand dificila gasirea atacatorului.
IP Spoofing este analog cu un atacator care trimite un pachet unei persoane cu adresa de retur
gresita. Daca persoana care primeste coletul doreste sa opreasca expeditorul sa trimita pachete,
blocarea tuturor pachetelor de la adresa falsa nu va ajuta la nimic, deoarece adresa de retur este
usor de schimbat, iar atacatorul va lua alta identitate. In mod similar, daca destinatarul doreste sa
raspunda la adresa de retur, pachetul sau de raspuns va merge in alta parte decat la expeditorul real
(atacatorul). Abilitatea de a falsifica adresele pachetelor este o vulnerabilitate de baza exploatata de
multe atacuri DDoS (Distributed Denial of Service).
Dupa cum stim, toate pachetele IP contin un antet care precede corpul pachetului si care contine
informatii importante de routare, inclusiv adresa calculatorului sursa. Intr-un pachet normal, adresa
IP a calculatorului sursa este adresa expeditorului pachetului. Daca pachetul a fost falsificat, adresa
sursa va fi una falsa.
Spoofing-ul se realizeaza prin proxy servere, vulnerabilitati in protocoalele TCP/IP sau prin
intermediul serviciilor anonime de pe Internet.
Cea mai utilizata metoda de securizare impotriva Spoofing-ului, este criptarea datelor intre
routere si gazde externe, ce micsoreaza sansa ca hackerul sa afle datele despre calculatoare intr-un
interval de timp rezonabil, pana sa fie detectat.

10
 Corina-Ştefania Nănău
Sniffing
Sniffing-ul reprezinta procesul de capturare si analiza a traficului. Programele folosite
pentru sniffing se numesc sniffere sau analizatoare de protocoale, cum ar fi: Wireshark, Network-
Miner, Telerik Fiddler, etc. Ele analizeaza pachetele transmise prin retea, capturand parolele sau alte
date confidentiale transmise in forma de text simplu.
Pentru protectia de acest tip de atac se utilizeaza protocoale pentru securizarea comunicatiilor,
cum ar fi IPSec (Internet Protocol Security) care cripteaza traficul din retea. Astfel, datele capturate
de hacker nu vor fi usor descifrabile.
Alta metoda de protectie ar fi folosirea programelor anti-sniffer, care verifica daca reteaua este
monitorizata. De obicei utilizarea unui serviciu de tip VPN si evitarea retelelor Wi-Fi publice reduce
riscul de sniffing.

Denial of Service (DoS)

Scopurile atacurilor DoS nu sunt captarea datelor sau a parolelor, ci prevenirea utilizatorilor
legitimi de a se folosi de anumite resurse ale retelei. Atacurile DoS se pot manifesta in doua
moduri:

ˆ prin inundarea cu informatie invalida a serverului

ˆ prin blocarea activitatii serverului

Cele mai frecvente atacuri DoS sunt bazate pe protocoalele TCP/IP si functioneaza prin una
din urmatoarele metode:

ˆ Consumul resurselor computationale, precum latimea benzii de transfer, spatiu de stocare,

puterea procesorului, etc.
ˆ Coruperea informatiei
ˆ Coruperea starii informatiei, de exemplu intreruperea nesolicitata a conexiunilor TCP/IP.
ˆ Distrugerea fizica a componentelor retelei
ˆ Impiedicarea comunicarii dintre doua calculatoare

Exista multe tipuri diferite de atacuri DoS, cele mai grave dintre acestea fiind:

ˆ Ping of Death, ce trimite pachete de tip ping de marime mai mare decat marimea maxima a
unui pachet, si anume 65535 bytes. Astfel, pachetul ICMP (Internet Control Message Protocol)
este fragmentat si statia victima va trebui sa il reasambleze, dar in acest timp el mai primeste
si alte astfel de pachete, ajungandu-se astfel la supraincarcarea sistemului.
ˆ Permanent Denial of Service (PDoS), cunoscut ca s, i Phlashing, reprezinta atacuri care
distrug sistemul intr-atat incat e necesara inlocuirea componentelor hardware, sau chiar a in-
tregului sistem. Atacatorul obtine acces la o imprimanta, router sau alte componente hardware
din retea si ii poate modifica firmware-ul cu o imagine invalida, corupta, sau cu o imagine modi-
ficata, distrugand astfel acea componenta. Firmware-ul unui dispozitiv este un software
care ofera instructiuni de baza ale acelui dispozitiv hardware, care permit acestuia
sa functioneze si sa comunice cu alte programe care ruleaza pe alte dispozitive.
Firmware-ul ofera control la nivelul cel mai de jos al unui dispozitiv hardware. Din acest motiv,
uneori este numit ”software pentru hardware”. O alta caracteristica distinctiva este aceea ca
firmware-ul de regula nu este conceput pentru a fi usor de utilizat (nu este user-friendly).
ˆ Banana attack este o tehnica speciala de atac DoS, ce redirectioneaza toate pachetele trimise
de un client catre un server, inapoi clientului, inundandu-l cu acele pachete trimise de el insusi.
ˆ DDoS (Distributed Denial of Service) reprezinta atacul in care un singur server este atacat
de mai multe calculatoare Zombie, care sunt infectate de hacker prin diverse metode, de obicei
prin intermediul programelor malware, in care este inscrisa adresa IP a victimei. Nu este nevoie
de interactiunea atacatorului pentru a realiza atacul, desi in unele cazuri el poate prelua con-
trolul asupra calculatoarelor infectate. In prezent nu exista metode foarte eficiente de evitare a
atacurilor DDoS. Totodata nu poate fi aflata usor provenienta atacului.

11
 Corina-Ştefania Nănău
ˆ DRDoS (Distributed Reflected Denial of Service Attack) presupune trimiterea unor
cereri false catre un numar mare de calculatoare, iar cu ajutorul IP Spoofing se redirectioneaza
toate raspunsurile catre gazda cu IP-ul emulat.

Man-in-the-Middle (MITM)
Atacul MITM presupune ca hackerul sa intercepteze si, daca are nevoie, sa modifice continutul
mesajelor dintre doua calculatoare, facand ambele victime sa creada ca ele comunica una cu cealalta,
conversatia fiind de fapt controlata de atacator. Acest atac poate fi obtinut prin intermediul DHCP
Spoofing. Mai exact, un calculator din retea va pretinde ca el este serverul DHCP (Dynamic Host
Configuration Protocol), luand informatiile despre gazde de la serverul DHCP real. Daca atacatorul
furnizeaza calculatoarelor din retea date gresite, acesta poate aplica apoi sniffing-ul pentru a afla toate
datele confidentiale trimise de calculatoarele din retea altor retele externe. Acest Spoofing DHCP poate
fi detectat utilizand programele special destinate, care includ functionalitati de DHCP snooping, ce
atenueaza aceste atacuri. Astfel de programe au fost dezvoltate de catre Cisco si Juniper.

DNS cache poisoning

Aceasta metoda de atac presupune modificarea bazei de date cache a serverului DNS, astfel
incat el va asocia adrese ale site-urilor Web cu IP-uri gresite, redirectionand de fapt utilizatorul spre
un alt site ce poate contine un virus, un vierme sau un cal troian, infectand astfel calculatorul victimei
prin intermediul vulnerabilitatilor din serverul DNS.

Malware
Acesta este un tip de software proiectat intentionat pentru deteriorarea unui calculator sau
infiltrarea in el sau/si deteriorarea ori infiltrarea in retele intregi de calculatoare, fara consimtamantul
detinatorului. Notiunea de malware se utilizeaza generalizat de catre informaticieni pentru
a desemna orice forma ostila, intruziva sau suparatoare de software sau cod sursa al
unui program. De cele mai multe ori, software-ul daunator este folosit pentru a lua, fara voia
proprietarului, informatii personale din computerul infectat, cum ar fi: parole, date bancare sau
alte informatii confidentiale. Protectia impotriva acestui tip de atac se realizeaza prin utilizarea
antivirusilor.

Spyware
Spyware este un software nedorit, de spionaj, care ajunge pe computer, adesea fara a constientiza
acest fapt. Sunt atasate astfel de bucati de cod de obicei la programe gratuite (jocuri, programe de
partajat fisiere, programe de chat, etc.), care capteaza pe ascuns date de marketing (prin analiza
site-urilor pe care le viziteaza utilizatorul). Informatiile culese de pe calculatorul / dispozitivul atacat
sunt folosite ulterior pentru a transmite utilizatorului reclame corespunzatoare, dar nesolicitate. In
99% dintre cazuri, programul spion este instalat de insusi utilizatorul calculatorului, in mod voit sau
nu, necitind licenta si termenii si conditiile programului ce contine spyware, prin apasarea la instalare
pe un buton de genul ”Da, sunt de acord”.
Programele de tip spion nu sunt considerate virusi informatici, deoarece, in general, ele nu cauta
sa infecteze programe si nici sa atace calculatoarele altor utilizatori din retea. Ele sunt considerate
doar amenintari la adresa sferei private a utilizatorilor. Unele programe antivirus nu detecteaza niciun
fel de program spion. Pentru inlaturarea programelor spion sunt folosite programele antispyware. De
obicei programele de tip antivirus contin si extensii antispyware.

Trojan horse
Calul troian este un tip de software spion care pare ca ar realiza ceva inofensiv, dar care in
realitate realizeaza functii ce permit accesarea neautorizata a unui calculator, respectiv copierea fisi-
erelor, si chiar controlarea comenzilor acestuia. Caii troieni, care tehnic nu sunt virusi informatici,

12
 Corina-Ştefania Nănău
pot fi descarcati cu usurinta si in necunostinta de cauza. Acestia nu se manifesta prin ei insisi, ci
au nevoie de utilizatorul dispozitivului sa instaleze un program aparent inofensiv (sau chiar util), dar
care instaleaza si o alta aplicatie ce va produce atacuri dispozitivului respectiv.
Spre exemplu, daca un joc pe calculator este astfel proiectat ca la executarea sa de catre un
utilizator sa deschida o ”usa de intrare (backdoor)” pentru un hacker, care poate prelua ulterior
controlul computerului, se spune despre acel joc ca este un cal troian.
Exista mai multe tipuri de aplicatii de tip ”cal troian”:
ˆ Banker Troian - este o aplicatie conceputa pentru a viza conturile bancare si informatiile finan-
ciare ale utilizatorilor. Acesta incearca sa sustraga datele contului de la cardurile de credit sau
de debit, de la sistemele de plata electronica si de la sistemele bancare online.
ˆ Downloader Trojan - vizeaza un computer care a fost deja infectat cu programe malware, apoi
descarca si instaleaza pe acesta mai multe programe rau intentionate. Astfel de programe ar
putea fi troieni suplimentari sau alte tipuri de softuri de tip malware.
ˆ Fake antivirus Trojan - un troian antivirus fals simuleaza actiunile unui antivirus legitim. Troia-
nul este conceput pentru a detecta si elimina amenintarile ca un program antivirus obisnuit, dar
care ulterior solicita sume de bani nejustificate de la utilizatori pentru eliminarea amenintarilor
care ar putea fi inexistente.
ˆ Spy Trojan - sunt proiectati sa stea pe computerul unui utilizator si sa spioneze activitatea
acestuia. Aceasta include inregistrarea actiunilor de la tastatura, realizarea de capturi de ecran,
accesarea aplicatiilor pe care le foloseste utilizatorul, precum si urmarirea datelor de conectare
ale utilizatorului.
Exemplele de aplicatii de tip ”cal troian” sunt mult mai multe si diverse. Protectia impotriva
acestora se poate realiza prin utilizarea antivirusilor.

Ransomware
Este un software rau intentionat care, dupa ce se instaleaza pe dispozitivul victimei (calculator,
tableta, smartphone) cripteaza datele acesteia tinandu-le ”ostatice” sau santajeaza victima, pe care
o ameninta ca ii va publica datele daca aceasta nu plateste o ”rascumparare”. Acest tip de software
se raspandeste in retea ca un cal troian. Ca metoda de protectie se foloseste un antivirus, dar daca
datele au fost deja criptate de un astfel de program, se vor folosi aplicatii de decriptare specifice
fiecarui ransomware.

Virusi
Sunt programe care se instaleaza singure pe dispozitivele din retea, fara voia utilizatorului, si pot
provoca pagube atat in sistemul de operare cat si in elementele hardware (fizice) ale dispozitivului.
Acestea pot fi orientate spre componentele hardware (le solicita din punct de vedere fizic pana la
deteriorarea acestora) sau spre componentele software (afecteaza toate tipurile de fisiere, inclusiv pe
cele ale sistemului de operare).
Cateva dintre efectele pe care le genereaza virusii software sunt:
ˆ distrugerea unor fisiere;
ˆ modificarea dimensiunii fisierelor;
ˆ stergerea totala a informatilor de pe disc, inclusiv formatarea acestuia;
ˆ distrugerea tabelei de alocare a fisierelor, care duce la imposibilitatea citirii informatiei de pe
disc;
ˆ diverse efecte grafice sau sonore, care pot fi inofensive sau daunatoare;
ˆ incetinirea vitezei de lucru (utila) a calculatorului, pana la blocarea acestuia;
ˆ inmultirea fisierelor pana la umplerea memoriei;
ˆ ascunderea fisierelor si blocarea anumitor spatii de lucru de pe calculator.
Virusii pot fi detectati si eliminati prin utilizarea unor programe antivirus puternice, cum ar
fi: Norton 360, Bitdefender, TotalAV, McAfee, Panda, PCprotect, Avira, Kaspersky, ESET NOD32,
AVG, Microsoft Defender, etc.

13
 Corina-Ştefania Nănău
Viermi (worms)
Sunt programe care se instaleaza singure, se auto-multiplica si se raspandesc in retea prin uti-
lizarea vulnerabilitatilor sistemelor de operare. Multi viermi care au fost creati sunt conceputi doar
pentru a se raspandi si nu incearca sa schimbe sistemele prin care trec. Aproape intotdeauna provoaca
cel putin cateva daune retelei, chiar si numai prin consumul de latime de banda.

Masuri de protectie
Cateva dintre cele mai uzuale masuri de protectie impotriva atacurilor nedorite asupra utiliza-
torilor unei retele de calculatoare (a retelei Internet):

ˆ Ca regula generala, orice calculator trebuie sa aiba instalat un program antivirus, actualizat cat
mai des.
ˆ Utilizatorii nu trebuie sa instaleze programe provenite din surse care nu prezinta incredere.
ˆ La utilizarea serviciului de e-mail nu trebuie deschise fisierele atasate unor mesaje provenind de
la necunoscuti, in special cele cu extensia ”.exe”.
ˆ Este foarte util sa se creeze copii dupa fisierele importante, care sa fie pastrate pe alt suport
decat hard-discul folosit in mod curent.

O modalitate eficienta de lupta impotriva amenintarilor la adresa securitatii retelelor o constituie

o combinatie de resurse hardware si software numita firewall. Un firewall actioneaza efectiv ca o
bariera intre retea si calculatoarele din afara ei, dar si invers. Informatiile sunt dirijate in afara
retelei catre un calculator specializat numit proxy - server, care filtreaza cererile provenite de la
calculatoarele client, dirijandu-le inspre retea pe cele considerate a fi ”sigure” si blocandu-le pe cele
provenite din surse neautorizate.
Una dintre cele mai importante aspecte ale securitatii datelor o reprezinta criptarea, insa acest
aspect va fi abordat intr-un curs separat.

1.2.5 Asocieri de securitate pentru protocolul IP

In cazul protocolului IP, fiecare pachet IP este independent de celelalte pachete ce apartin
aceleiasi sesiuni de comunicare (ca drum de routare pe care il parcurge in retea). In acest caz,
parametrii de securitate pot fi stabiliti intr-una din urmatoarele modalitati:

1. Parametrii de securitate sunt stabiliti individual pentru fiecare pachet IP (in consecinta se vor
adauga informatii suplimentare la fiecare pachet, crescand costurile de transmisie).
2. Inainte de a incepe transmiterea pachetelor IP propriu-zisa, sunt stabiliti o serie de parametri
ai comunicatiei, ceea ce presupune transmiterea unor pachete IP suplimentare. Este o varianta
mai ineficienta decat cea anterioara, neutilizata in cadrul IPSec (Internet Protocol Security).
3. Protocolul IPSec (Internet Protocol Security) foloseste o a treia varianta, si anume:
parametrii de securitate sunt inclusi in primul pachet IP si gazda destinatie ii salveaza pentru
a-i utiliza si pentru celelalte pachete primite in cadrul transmisiei respective.

Un concept de baza, care apare in mecanismele IP pentru autentificare si confidentialitate, este

asocierea de securitate (Security Association - SA). SA este o relatie unidirectionala intre o
sursa si o destinatie care asigura servicii de securitate a traficului efectuat pe baza acesteia. Pentru
un schimb securizat bidirectional sunt necesare doua asocieri de securitate. Serviciile de securitate
pot fi asigurate de o asociere de securitate, fie pentru utilizarea protocolului AH (Authentication
Header), fie a protocolului ESP (Encapsulating Security Payload), dar nu pentru ambele. Aso-
cierea de securitate este un aspect foarte important al IPSec. Folosind SA, IPSec schimba protocolul
IP dintr-unul neorientat pe conexiune, intr-unul orientat pe conexiune, deoarece putem privi o astfel
de asociere ca pe o conexiune.
Putem spune ca daca doi participanti la comunicarea in retea, denumiti generic A si B, dupa ce s-
au pus de acord asupra unei multimi de parametri de securitate, inseamna ca au si stabilit o conexiune
logica intre ei (o asociere). In timp, aceasta ”intelegere” se poate schimba, pentru a nu exista pericolul

14
 Corina-Ştefania Nănău
ca un intrus sa intre in posesia acelor parametri. De obicei, Security Association presupune un set
destul de complex de informatii pe baza carora se realizeaza autentificarea si confidentialitatea.
O asociere de securitate (SA) este definita in mod unic de:

ˆ Indexul parametrilor de securitate (SPI - Security Parameter Index): un sir de biti

asignat unei SA, cu semnificatie locala; este inclus in header-ele AH si ESP pentru a permite
sistemului de destinatie sa selecteze SA pentru procesarea pachetului receptionat.
ˆ Adresa IP de destinatie: nu sunt permise adrese multiple; este vorba doar de adresa punctului
de destinatie final al SA, care poate fi o gazda sau un router.
ˆ Identificatorul protocolului de securitate: indica daca este o SA pentru protocolul AH sau
pentru protocolul ESP.
ˆ Numar de secventa: un numar reprezentat pe 32 de biti pentru a identifica a cata secventa
este cea utilizata de AH sau ESP.
ˆ Numar de depasire: un flag care indica daca a avut loc o depasire pentru a asocia numere de
secventa si impiedica folosirea SA pentru transmiterea de noi pachete in cazul in care se ajunge
la ultima secventa.
ˆ Fereastra Anti-Replay: permite detectarea repetarii pachetelor.
ˆ Informatii AH: algoritmi de autentificare, chei criptografice, timp de viata pentru chei, alti
parametri legati de utilizarea AH.
ˆ Informatii ESP: algoritmi de criptare si autentificare, chei criptografice, valori de initializare,
alti parametri legati de utilizarea ESP.
ˆ Timp de viata al SA: indica timpul dupa care asocierea de securitate trebuie inlocuita cu una
noua.
ˆ Modul IPSec: indica modul de utilizare al protocolului IPSec - transport (asigura protectie nu-
mai pentru datele primite de la protocoalele de nivelul imediat superior in ierarhia arhitecturala)
sau tunel (asigura protectie pentru intregul pachet IP - inclusiv antetul, nu doar datele).
ˆ MTU (Maximum Transmission Unit): indica dimensiunea maxima a pachetului care poate
fi transmis fara fragmentare.

Baza de date a SA (SPD - Security Policy Database). O asociere de securitate poate fi

foarte complexa, in conditiile in care o sursa vrea sa transmita mesaje catre mai multe destinatii. In
plus, pentru a se permite comunicarea bidirectionala, fiecare parte implicata in comunicare are nevoie
de infomatii legate atat de intrarea datelor cat si de iesirea acestora. In orice implementare a IPSec,
trebuie sa existe o baza de date a asocierii de securitate, care defineste parametrii asociati cu fiecare
SA. Pentru actualizarea acestei baze de date se foloseste protocolul IKE (Internet Key Exchange).
Selectori SA. Politica de securitate prin care traficul IP este corelat cu anumite SA (sau cu
nici o SA, in cazul traficului care nu este controlat de IPSec) este implementata prin Security Policy
Database (SPD). Fiecare intrare in SPD este definita printr-un set de valori definite de campuri ale
formatului IP si ale formatului protocolului de nivel superior protocolului IP, care poarta denumirea
de selectori, si care contin o SA pentru tipul respectiv de trafic. Acesti selectori sunt folositi pentru
a filtra traficul, astfel incat fiecare pachet sa fie procesat de o asociere corespunzatoare politicii de
securitate implementate.
Protocolul AH (Authentication Header). Antetul pachetului AH asigura mecanismul
pentru controlul integritatii si autenticitatii pachetului IP. Controlul integritatii elimina posibilitatea
modificarii pachetelor in tranzit, fara ca modificarile sa fie detectate. Controlul autenticitatii permite
unui calculator gazda sau unui echipament de retea sa autentifice utilizatorii si aplicatiile folosite de
acestia si sa filtreze traficul in mod corespunzator. De asemenea, acesta previne atacurile bazate
pe adrese false (address spoofing attack) si atacurile prin repetarea pachetelor (replay
attack).
Antetul pachetului AH este format din urmatoarele campuri:

ˆ Next Header: identifica tipul header-ului imediat urmator lui AH.

ˆ Payload length: lungimea lui AH, in cuvinte de 32 biti.
ˆ Reserved: secventa de biti rezervati.
ˆ Security Parameters Index: identifica indexul asocierii de securitate.

15
 Corina-Ştefania Nănău
ˆ Sequence Number: este un numar utilizat pentru eliminarea duplicatelor.
ˆ Authentication Data: contine ICV (Integrity Check Value) sau MAC (Message Authentica-
tion Code) pentru pachet.

Protocolul ESP (Encapsulating Security Payload). Este un protocol care asigura con-
fidentialitatea continutului mesajelor si, partial, si confidentialitatea traficului. Optional,
acesta poate asigura si serviciile de autentificare ale protocolului AH.
Protocolul ESP se efectueaza in doua moduri:

ˆ Mod transport: Cripteaza unitatea de date IP si toate extensiile header-ului IPv6 care urmeaza
dupa header-ul ESP.
ˆ Mod tunel: Cripteaza pachetul IP original

Protocolul ESP care ofera si servicii de autentificare se efectueaza in:

ˆ Mod transport: Cripteaza unitatea de date IP si toate extensiile header-ului IPv6 care urmeaza
dupa header-ul ESP si autentifica unitatea de date IP.
ˆ Mod tunel: Cripteaza pachetul IP original si autentifica pachetul IP original.

Antetul unui pachet ESP are urmatoarele campuri:

ˆ Security Parameter index: identifica asocierea de securitate;

ˆ Number Sequence: numar utilizat pentru eliminarea duplicatelor;
ˆ Payload Data: pachet al nivelului transport (efectuat in mod transport) sau pachet IP (in
mod tunel) care este protejat prin criptare;
ˆ Padding-Pad Length: indica numarul de octeti ai campului imediat precedent;
ˆ Next Header: identifica tipul de date continute in campul Payload Data prin indicarea primului
header din acest camp;
ˆ Authentication Data: contine ICV (Integrity Check Value) calculata asupra pachetului ESP
minus campul Authentication Data.

Bibliografia folosita ca sursa de documentare pentru majoritatea informatiilor pre-

zentate in acest curs este urmatoarea:

16
 Corina-Ştefania Nănău

Bibliografie

[1] Reţele de calculatoare, Curs, UNIVERSITATEA ”POLITEHNICĂ” DIN BUCUREŞTI, FACUL-

TATEA TRANSPORTURI, Departamentul Telecomenzi şi Electronică ı̂n Transporturi

[2] Radu-Lucian Lupşa, Reţele de calculatoare, Principii

[3] Liviu Sime, Note de curs – Introducere ı̂n reţelele de calculatoare

[4] Florea Ion, Reţele de calculatoare, Curs

[5] Silviu Vasile, Fundamentele retelelor de calculatoare (Introduction to Networks)

[6] https://www.fortinet.com/resources/cyberglossary/trojan-horse-virus

[7] https://www.ibm.com/docs/en/zos/2.3.0?topic=ipsec-ah-esp-protocols

17