PROIECT -ADMINISTRATOR RETEA DE CALCULATOARE-

Cursant : OTELEA CORNELIA

Centru formare: CPI Romania S.A.

Concepia de reea Legarea calculatoarelor ntr-o reea pentru a utiliza n comun informaiile nu este un fenomen nou. Instituiile guvernamentale i companiile din orice domeniu de activitate din rile dezvoltate fac acest lucru de mai multe decenii. Multe corporaii i firme au adoptat de peste 20 de ani lucrul n reele. O reea de calculatoare reprezint un mod de conectare a unor calculatoare individuale, astfel nct s poat folosi n comun anumite resurse. Aceste resurse includ componente de genul unitilor de disc, fiiere (baze de date), imprimante i echipamente de comunicaie. n plus, reeaua permite o interaciune mai mare i o comunicare mai bun ntre membrii reelei, prin intermediul potei electronice, bazelor de date i a altor metode de utilizare n comun a informaiilor de orice fel. Calculatoarele conectate la reea sunt denumite noduri. Cnd nodurile aparin aceleiai cldiri sau aceleiai organizaii, reeaua este local (Local Area Network - LAN), de exemplu reeaua unui liceu. Dac nodurile sunt dispersate pe o zon mai extins, de exemplu pe suprafaa unui jude sau a ctorva judee, la nivelul rii sau pe ntregul glob, reeaua este pe plan extins (Wide Area Network - WAN). O astfel de reea ar putea fi constituit, de exemplu, la nivel naional, pentru toate instituiile Ministerului Educaiei i Cercetrii. Reeaua de acest tip folosete un calculator separat (server), de regul performant, care este calculator central, care lucreaz cu toate fiierele i efectueaz serviciile de tiprire pentru mai muli utilizatori. Calculatorul ofer rspunsuri rapide clienilor, asigur cea mai bun protecie a datelor din reea i folosesc un sistem de operare avansat (de exemplu: Novell NetWare, Windows NT Server, IBM OS/2 LAN Server, etc.). O reea poate avea mai multe servere. Clienii din reea sunt calculatoare conectate la server, puternice sau cu putere redus, ca vitez de lucru, capacitate de memorie, etc. Arhitectura reelei / reelelor i componente de conectare la reea Reea ce utilizeza cablu UTP simplu, netorsadat pentru calculatoare desktop, cu adaptor Realtek RTL8101E

Reteaua curenta Retea 2 Topologie Staii Desktop conectate la un Router CISCO cu 16 conexiuni de reea Ethernet . Staii Wireless (Laptop) conectate la un Access Point / Router CISCO cu patru conexiuni de reea Ethernet i o anten radio. Laptop-urile au i adaptoare de reea n arhitectur Ethernet dar sunt dezactivate (disable).

Calculatoare i alte echipamente conectate la reea Sunt conectate 16 calculatoare (staii) la un Access Point. Rolul de Access Point este ndeplinit de un echipament care funcioneaz ca router CISCO, server cu sistem de operare LINUX. La Access Point /Router CISCO /Server Linux sunt ataate: imprimant de reea conectat prin RJ45 (Ethernet)

un hard disc resurs conectat prin port

extern, folosit ca partajat n reea, USB.

Serverul Linux are adresa IP 192.168.1.41 i funcioneaz ca server DNS pentru laptop-urile din aceast reea local. Cererile de rezolvare de nume de la clienii din reeaua local sunt retransmise pentru rezolvare (forward) serverului 172.20.1.12. Serverul 192.168.1.41 pstreaz n cache rezolvrile efectuate. Protocoale de comunicaii folosite TCP/IP IPv4; NetBIOS over TCP http POP3 pentru accesul la serverul de mail local; adresa serverului de mail este 172.20.1.1 SMTP pentru trimiterea mesajelor e-mail. Niveluri ale unei retele si tipuri de retele Exist apte niveluri de clasificare a unei reele. Cinci dintre aceste niveluri sunt prezentate n continuare. Nivelul fizic este constituit din cablurile sau alte echipamente ce leag ntre ele calculatoarele, adic partea palpabil a reelei. Aici intr i plcile de interfa ale reelei, elementele de conectare i orice alt component hard (inclusiv concentratoare i amplificatoare). Nivelul logic este cel care interpreteaz semnalele obinute, le traduce sub forma de date n cod binar (0 si 1), ce pot fi transmise celuilalt nivel i care pot fi prelucrate de calculator. Nivelul de reea rspunde de identificarea calculatoarelor din reea. Nivelul de transport rspunde de corectitudinea recepionrii datelor transmise ntre calculatoare. Nivelul de aplicaie este pachetul de programe (software-ul) folosit de fiecare calculator pentru accesul la alte resurse ale reelei, de exemplu la tiprirea la o imprimant din reea. Ca tipuri de reele se rein: magistrala (toate calculatoarele conectate la cablul principal al reelei); n stea (calculatoarele interconectate prin intermediul unui concentrator); circular (un calculator ntre alte dou calculatoare), magistral n stea (combinaie a primelor dou tipuri). Calculatoarele se conecteaz prin plcile adaptoare pentru reea. Aceste plci au rolul de a realiza legtura ntre cablurile reelei i staia de lucru. Placa dispune de puncte de conectare n care se cuplez cablurile reelei. Placa are o mic memorie folosit ca memorie tampon. Ca tipuri de cablu se folosesc cabluri coaxial i fibrele optice (transmitere prin unde luminoase). Pot fi folosite i sisteme de transmitere prin unde luminoase sau prin unde radio, cu aparate de emisie i de recepie. Pot fi conectate i doar dou calculatoare, printr-un cablu serial cu un adaptor null-modem. Adrese de reea Obinute automat de la serverul DHCP Ipconfig/all

Descrierea de principiu a funcionrii reelei / reelelor Reeaua este folosit de elevii din cadrul colegiului in timpul orelor de Tehnologia informatiei si comunicatiilor si Informatica. Fiecare persoan folosete un desktop conectat la reea. Imprimanta este folosit n comun de ctre toi utilizatorii iar lucrrile importante sunt salvate pe hard discul extern.

Calculatoarele din reea sunt membre ale unui grup de lucru.

Ca atare pentru autentificare se va folosi un cont de utilizator local, neprivilegiat. Utilizatorii autentificai lucreaz local, folosind aplicaii instalate local, utilitare incluse n sistemul de operare i fiierele proprii. Toi utilizatorii au acces la Interne. Pentru accesul la resursele partajate de folosete un cont utilizator special destinat acestui scop. Accesul la resursa aflat la distan are loc printr-o proiecie de tip map:

Proiecia map are urmtorii parametrii: unitatea Y: puncteaz ctre serverul identificat prin adresa IP 192.168.1.41, resursa partajat cu numele C. Accesul se face n numele unui utilizator numit user1. Interconectarea reelelor

conectarea la reeaua Internet Se realizeaza folosind doi provider-i: RCS-RDS(avand conexiune standard prin cablu) si Romtelecom(folosind o conexiune wireless prin stick cu conectare USB). Internet este o reea de reele, cu zeci sau sute de milioane de calculatoare, dispuse pe ntregul glob, staionare sau mobile, reea ce deine cantiti uriae de informaii, din care foarte multe pot fi consultate fr restricii, iar unele contra cost sau numai cu diferite parole de acces. Fiecare individ care posed un calculator cu modem cu vitez de transmitere de cel puin 14,4 kbps (kilobii pe secund, viteza indicat fiind cea minim pentru Internet, se recomand chiar o vitez mai mare), o linie telefonic fix sau mobil, se poate conecta la aceast mare reea prin intermediul unei firme furnizoare de servicii Internet. n cadrul reelei Internet poate fi folosit pota electronic sau pot fi consultate site-uri ale reelei WWW. Reeaua World Wide Web, denumit Web sau WWW, este partea cea mai dezvoltat din internet. A fost creat n 1989, la centrul european de cercetri nucleare. Reeaua este bazat pe grafic, fiind folosit un limbaj special, HTML (Hypertext Markup Language limbaj de marcare pentru hipertext). Cu un click pe textul sau imaginea grafic cu o anumit codificare se ajunge la alte documente

denumite pagini Web (Web pages), unde se pot vedea imagini, text, videoclipuri, se pot asculta mesaje vocale. Pe ecranul propriului calculator pot fi aduse imagini din toat lumea sau informaii referitoare la orice domeniu de activitate. Totul este s salvai pe hard-diskul calculatorului propriu. O alt modalitate de utilizare a internetului o reprezint dialogul efectiv realizat cu ajutorul chat-ului. Accesul la o pagin Web, a unui site Internet (site-urile fiind constituite din pagini Web) se poate face printr-un program, ca de exemplu Netscape Comunicator sau Microsoft Internet Explorer. Fiecare site are o adres format din grupuri de litere, ca de exemplu http://www.msn.com, pentru compania Microsoft. Deci folosind orice program care ofer posibilitatea de a naviga pe Internet, putem accesa orice adres de site cunoscndu-i, bineneles, numele prin introducerea acestuia pe bara de adres din fereastra deschis cu ajutorul programului respectiv. Ultimele dou litere pot reprezenta ara (ro pentru Romnia, de pentru Germania, uk pentru Marea Britanie, etc.), tipul organizaiei (com pentru comercial, edu de la education pentru instituii de nvmnt, etc.). Pe diferite site-uri ale reelei internet putem crea propriile adrese de e-mail, folosind diferite opiuni: E-mail, Sign me up, etc. Numele adresei de e-mail are n componen un simbol @ (A rond) aflat ntre numele dat de utilizator adresei i numele site-ului respectiv. Starea conexiunii este descrisa astfel:

In timpul activitatii la clasa, atunci cand unii utilizatori deviaza de la programul standard, conexiunea la Internet este dezactivata pentru statiile respective. Exista si intreruperi ale conexiunii datorate provider-ului, aparand un moment bizar cand ambele conexiuni(cea standard si cea de rezerva) picand din motive diferite:

cea standard(cablu) avand probleme datorita caderii unei portiuni mari de cablu de pe stalpi, iar cea de rezerva(wireless) avand mari probleme din cauza unei furtuni puternice cu descarcari electrice intense. Componentele reelei: caracteristici hardware i software Componentele hardware elementare includ trei tipuri de dispozitive: Echipamente de transmisie Dispozitive de acces Dispozitive ce repeta semnalele transmise Aceste componente sunt elementare prin faptul ca toate retelele trebuie fie sa le contina, fie cel putin, sa functioneze in preajma lor. Echipamente de transmisie Echipamentele de transmisie reprezinta mediul utilizat pentru a transporta semnalele unei retele catre destinatie. Tipurile de medii includ cabluri coaxiale, cabluri torsadate si fibre optice. Tipurile de medii LAN pot fi, de asemenea, intangibile. Ele pot fi semnale luminoase, radio si microunde, transmise prin aer. Retelele WAN au, de asemenea, echipamente de transmisie proprii. Astfel de echipamente sunt descrise de obicei prin viteza de tact si structurile lor de cadre, nu ca simple medii de transmisie. Mediul lor fizic este irelevant comparativ cu performantele lor. Dispozitive de acces Un dispozitiv de acces raspunde de: Formatarea corecta a datelor, astfel incat sa fie acceptate de retea. Plasarea datelor in retea Acceptarea datelor care ii sunt adresate Intr-o retea locala, dispozitivul de acces este cunoscut ca placa de interfata cu reteaua (NIC Network Interface Card). NIC este o placa de circuite instalata intrun calculator si ocupa un slot de intrare/iesire de pe placa de baza a acestuia. Reteaua este cablata apoi la portul pus la dispozitie de aceasta placa. NIC formeaza cadrele de date care trebuie transmise de aplicatiile calculatorului, pune datele in forma binara si accepta intrarea cadrelor adresate calculatorului respectiv. Intr-o retea WAN, dispozitivul de acces este un router. Routerele opereaza la nivelul 3 al modelului de referinta OSI si includ doua tipuri de protocoale: de rutare

(routing) si rutabile (routable). Protocoalele rutabile, ca IP, sunt utilizate pentru a transporta datele dincolo de limitele domeniilor de nivel 2. Protocoalele de rutare furnizeaza toate functiile necesare realizarii urmatoarelor operatii: Determinarea cailor optime prin reteaua WAN pentru orice adresa de destinatie data Acceptarea si trimiterea pachetelor prin aceste cai la destinatiile lor. Repetoare Repetorul este un dispozitiv care accepta semnalele trimise, le amplifica si le plaseaza din nou in retea. Intr-un LAN, un repetor cunoscut mai mult sub numele de concentrator (hub) permite conectarea in retea a mai multor dispozitive, prin furnizarea mai multor puncte de intrare in retea. Aceasta functie este atat de importanta pentru retelele LAN actuale, incat adevaratul lor rol regenerarea semnalului este adesea uitat. Capacitatea concentratorului de a regenera semnalele este la fel de vitala pentru succesul unui LAN ca si capacitatea de a asigura mai multe puncte de intrare. Semnalele electronice trimise printr-un cablu se vor deteriora in mod inevitabil. Aceasta deteriorare poate lua una din urmatoarele doua forme: atenuare sau distorsionare. Atenuarea este scaderea puterii semnalului. Distorsionarea este modificarea nedorita a semnalelor in timpul transferului. Fiecare dintre aceste forme de deteriorare trebuie sa fie abordata si rectificata separat. Atenuarea poate fi compensata prin dimensionarea cablurilor la o lungime minima, pentru a garanta ca semnalul este suficient de puternic pentru a ajunge la toate destinatiile din lungul cablului. In cazul in care cablul trebuie sa fie relativ lung, poate fi instalat pe linie un repetor. Distorsionarea este o problema mai grava in transmiterea semnalelor. Aceasta este diferita de atenuare. Semnalele distorsionate pot altera orice date transportate. Repetoarele sunt incapabile de a face diferenta dintre semnalele corecte si cele distorsionate; ele repeta semnalele fara deosebire. Exista totusi mai multe metode de combatere a distorsiunilor: Urmati riguros orice instructiuni de instalare care v-au furnizate impreuna cu mediul dumneavoastra de transmisie. Identificati toate sursele care pot cauza distorsiuni. In continuare, incercati sa indepartati cablurile de sursele respective. De asemenea, poate fi util sa

folositi tehnologii speciale de transmisie in retea, precum cablarea prin fibre optice, care pot impiedica aparitia distorsiunilor. Utilizarea protocoalelor de retea care au capacitatea sa detecteze si sa corecteze automat orice erori de transmisie posibile. Componentele software necesare intr-o retea includ urmatoarele elemente: Protocoale care definesc si regleaza modul in care comunica doua sau mai multe dispozitive Software la nivel hardware, cunoscut ca microcod sau drivere, care controleaza modul de functionare al dispozitivelor individuale, precum placile de interfata cu reteaua. Software pentru comunicatii. Protocoale Asigurarea conectivitatii fizice pentru o retea reprezinta partea cea mai usoara. Adevarata greutate consta in dezvoltarea unor mijloace de comunicare standard pentru calculatoare si alte dispozitive atasate la retea. Aceste mijloace de comunicare sunt cunoscute oficial ca protocoale. Protocoalele pentru retele LAN sunt numite frecvent arhitecturi LAN, pentru ca sunt incluse in NIC. Ele predetermina in mare masura forma, dimensiunea si mecanica retelei. Drivere de dispozitiv Un driver de dispozitiv este un program de nivel hardware care controleaza un anumit dispozitiv. Un driver de dispozitiv poate fi privit ca un sistem de operare in miniatura pentru o singura componenta hardware. Fiecare driver contine toata logica si toate datele necesare pentru a asigura functionarea corecta a dispozitivului respectiv. In cazul unei placi de interfata cu reteaua (NIC), driverul include furnizarea unei interfete pentru sistemul de operare al gazdei. Software pentru comunicatii Componentele hardware si software de retea care au fost descrise anterior nu au capacitatea de a-i permite unui utilizator sa foloseasca efectiv reteaua. Ele nu fac decat sa asigure infrastructura si mecanismele care permit utilizarea acesteia.

Sarcina utilizarii efective a retelei cade in seama aplicatiilor software specializate, care controleaza comunicatiile. Indiferent de tipul sau complexitatea aplicatiilor, software-ul pentru comunicatii reprezinta mecanismul care face banda de frecventa cu adevarat utilizabila. componente hardware Staiile desktop sunt identice din punct de vedere hardware i sunt configurate software asemntor. Deosebirile dintre ele sunt minore. Sistemele de operare instalate sunt licentiate, la fel ca si soft-urile instalate. Memoria RAM pe statiile de lucru este de 1Gb, iar pe server de 8Gb(DDR2). Componentele hardware ale staiilor sunt:

Sisteme de operare

Windows Vista Business Windows 7 ultimate Aplicaii instalate Microsoft Office(2003 SI 2007) Microsoft ExpressionWeb3 Adobe Dreamweaver CS4 XAMP(Apache Server, MySQL Server, Php) CorelDraw X4 MingGW Microsoft Security Essentials Adobe Reader Mozilla Firefox i Thunderbird VMware player VLC Player si BSPlayer La care se adaug aplicaiile incluse n sistemele de operare Windows 7 Ultimate si Windows Vista Business: Internet Explorer, Windows Media Center, Windows Media Player, Microsoft Virtual PC, jocuri, etc. Server Linux servicii instalate: DNS, DHCP, Router, Firewall roluri ndeplinite n reea: server de fiiere utilizatorii pot citi, salva, copia, modifica, fiierele aflate pe server (resursa partajat C). Lucrrile terminate, salvrile intermediare i orice alte informaii i date de interes public sunt salvate pe serverul de fiiere. n calitate de server DNS rezolv cererile primite de la clienii DNS i pstreaz rezolvrile n cache. n calitate de server DHCP ofer adrese IP calculatoarelor din reeaua local. Adresele IP sunt configurate cu: adresa default gateway 192.168.1.1, adresa serverului DNS 213.154.124.1. Reguli i proceduri de utilizare a resurselor reelei utilizatori i conturi ale utilizatorilor; autentificare Utilizatori locali: un utilizator - un desktop

Acces la resursele locale ale fiecrui calculator Fiecare utilizator poate accesa resursele calculatoarelor din retea, existand insa restrictii legate de cele trei conturi existente pe fiecare statie de lucru: -contul de Administrator are drepturi depline -contul de elev are drept de creare, copiere si vizualizare a fisierelor locale dar nu si de modificare a acestora; nu are dreptul de utilizare a stick-urilor sau a altor dispozitive de stocare a datelor -contul de profesor - are drept de copiere si vizualizare a fisierelor locale dar nu si de modificare a acestora; are dreptul de utilizare a stick-urilor sau a altor dispozitive de stocare a datelor

Utilizatori i Grupuri de utilizatori Linux este un sistem de operare multi-user i multi-tasking, drept urmare trebuie s avem mecanisme care s ofere control deplin asupra accesului n sistem. Ca i n alte sisteme de operare, n Linux beneficiem de conturi de

utilizatori, prin care ne putem desfura activitile. Fiecare utilizator are o parol i face parte din cel puin un grup de utilizatori un grup de utilizatori este un set de utilizatori, care ar putea avea ceva n comun, i sunt grupai astfel pentru o mai bun organizare: putem grupa de exemplu toi studenii unei faculti n grupul studeni i toi profesorii n grupul profesori. Crearea unei noi parole pentru un cont de utilizator Pentru ca orice cont de utilizator s fie funcional, acesta trebuie neaprat s aib asociat o parol. Comanda pentru crearea sau schimbarea unui cont este passwd. Aceasta poate fi folosit fr nici un parametru, cnd va ncerca schimbarea parolei contului logat n momentul respectiv, sau poate avea ca parametru numele contului pentru care se ncearc atribuirea unei noi parole. Este important de amintit, ca un cont nu este activ i deci nu poate fi folosit dac nu are atribuit o parol. Motivul gruprii utilizatorilor este posibilitatea de a stabili accesul la resurse ale sistemului la un nivel mai general dect cel de utilizator dar i acest lucru este posibil, dat fiind un numr redus de utilizatori). Sistemul de permisiuni stabilete clar cine i cum poate accesa fiierele sistemului. Ca meniune, Grupuri de utilizatori Dup cum am amintit mai devreme, conturile fac parte din cel puin un grup de utilizatori; pentru control asupra acestora, putem folosi comenzile: putem afla numele utilizatorului curent cu ajutorul comenzii whoami i grupurile din care face parte prin comanda groups. Fiecare utilizator din sistem va avea de asemenea un director privatat n directorul /home, unde de regul va pstra fiierele personale. De asemenea, acest director va avea permisiunile setate n aa fel nct s fie accesibil doar proprietarului. Excepie la aceast regul este superuser-ul root, care practic poate face orice ntr-un sistem Linux. Adugarea de noi ueri i grupuri se poate face doar de ctre root, neexistnd ns o limit de utilizatori sau grupuri. Pentru administrarea conturilor i grupurilor de utilizatori, avem o serie de opiuni, de la folosirea utilitarelor grafice cea mai simpl metod de altfel pn la folosirea unei game mari de comenzi ce vor fi descrise n continuare. Crearea conturilor de utilizator Pentru crearea unui nou utilizator se va folosi comanda useradd, cu sintaxa urmtoare: useradd [opiuni] <nume_utilizator>. Opiunile cele mai ntlnite sunt: c - comentariu d - directorul home al utilizatorului. Implicit este /home/<nume_utilizator> e - data de expirare a contului, n format AAAA-LL-ZZ (an, lun, zi) g - numele sau numrul grupului primar al uerului G - Lista cu grupuri adiionale n care user-ul nou creat va fi inclus D - folosit ca atare, va afia setrile implicite, iar folosit n conjuncie cu alte opiuni, schimb setrile implicite pentru opiunile respective. De exemplu, putem schimba shell-ul folosit implicit din bash n sh prin comanda useradd D s /bin/sh m - aceast opiune va avea ca efect crearea directorului home al utilizatorului dac acesta nu exist.

groupadd creaz un nou grup (EXEMPLU: groupadd test) groupmod modific un grup. (EXEMPLU: groupmod n <nume_nou> <nume_vechi> schimb numele unui grup de utilizatori deja existent.

tergerea conturilor de utilizator i a grupelor de utilizatori n cazul n care dorim s tergem fie un cont fie un grup de utilizatori, putem folosi urmtoarele comenzi: userdel [-r] <cont_utilizator> - pentru tergerea contului specificat. Parametrul opional r menioneaz c va fi ters i directorul home al respectivului utilizator. groupdel <nume_grup> - aceast comand terge grupa specificat din lista de grupuri. Comenzi adiionale usermod modific detaliile conturilor deja existente. Putem de exemplu, folosind comanda usermod L user2 (-L de la Lock), s blocm accesul la un cont. Pentru a debloca un cont, trebuie folosit parametrul U (Unlock). adduser, addgroup, deluser, delgroup reprezint variantele mai uor de folosit ale comenzilor explicate mai devreme. Diferena const n faptul c acestea sunt mai prietenoase cu utilizatorul, n sensul c n locul parametrilor adiionali, v vor ntreba ntr-un mod interactiv, detaliile necesare. gpasswd este un utilitar folosit pentru administrarea grupurilor de utilizatori. Parametrii acceptai de acest utilitar sunt urmtorii: -a <user> <grup> - adaug utilizatorul n grup -d <user> <grup> - elimin utilizatorul din grup Important de menionat este faptul c informaiile despre utilizatori i grupe sunt meninute n dou fiiere importante: /etc/passwd pentru utilizator i /etc/group. Aceste fiiere au un format strict, foarte bine definit: fiecare linie reprezint o intrare, i are mai multe cmpuri separate prin caracterul :. Pentru fiierul /etc/passwd formatul este: nume:parol:id_utilizator:id_grup:comentariu:director_home:shellSFAT: pentru a viziualiza coninutul fiierului /etc/passwd putei folosi comanda less /etc/passwd. Ca meniune, n majoritatea cazurilor, cmpul parol este completat cu un singur caracter x, ceea ce simbolizeaz faptul c parola este criptat i stocat n fiierul /etc/shadow.

Pentru fiierul /etc/group formatul este: nume_grup:parol:id_grup:user1,user2,... este similar cu fiierul /etc/passwd, dar conine informaii despre grupuri. Ultimul cmp al fiecrei intrri reprezint lista toturor utilizatorilor din grupul respectiv, desprii prin virgule. Se pot trage o serie de concluzii: att utilizatorii ct i grupurile au un identificator numeric numit id, folosit pentru reprezentare. n momentul n care este creat un nou cont de utilizator, se creaz i o grup cu acelai nume, i acelai id, din care acesta va face parte. grupurile pot avea i ele parole, permind existena grupurilor privilegiate putem aduga i terge utilizatori din grupe, exclusiv prin editarea fiierelor descrise mai sus. Acest procedeu nu este recomandat ns, i este preferabil folosirea utilitarelor descrise mai devreme. Putem restriciona accesul anumitor utilizatori prin comanda usermod Putem afla oricnd care utilizatori sunt logai folosind comanda who, care ne va specifica i pe ce consol sunt acetia logai.

Grupuri de utilizatori

Exista patru grupuri de utilizatori, asa cum se observa in imaginea de deasupra. Operaii / aciuni executate Utilizatorii executa diverse sarcini descrise de profesor(in cazul elevilor) sau impuse de necesitatile de lucru sau de raportare(in cazul profesorilor). Privilegii, permisiuni, restricii, drepturi reguli de securitate La conectarea la Internet s-au impus restrictii legate de site-urile cu materiale cu caracter obscen sau discriminatoriu. Exista instalat un program de monitorizare la distanta a activitatii utilizatorilor(Security Administrator), program ce permite intruziunea directa a dministratorului de retea in activitate acestora. Pentru protejarea fisierelor a fost instalata aplicatia DeepFreeze ce permite instalarea aplicatiilor doar de catre administratorul de retea si care protejeaza calculatorul impotriva descarcarilor sau actiunilor distructive voluntare sau involuntare ale utilizatorilor. PROTOCOALE DE RETEA Protocoalele sunt reguli si proceduri de comunicare. Intreaga operatie

tehnica de transmitere a datelor prin retea trebuie sa fie impartita in etape distincte. In fiecare etapa au loc actiuni specifice, care nu se mai pot repeta intr-o alta etapa. De asemenea, fiecare etapa are propriile reguli si proceduri, adica protocoale. Protocoalele de retea asigura asa-numitele servicii de conectari (client services).Acestea se ocupa cu informatiile de adresare si rutare, cu verificarea erorilor si cu cererile de retransmisie. De asemenea, protocoalele de retea definesc regulile de comunicatie in anumite medii de retea, cum ar fi Ethernet sau Token Ring. Cele mai folosite protocoale sunt : - TCP / IP - NetBEUI - X.25 - IPX / SPX si NWLink - APPC - AppleTalk - Suita de protocoale OSI Intr-o retea, trebuie sa conlucreze mai multe protocoale pentru a asigura pregatirea, transferul, receptionarea si procesarea datelor. O stiva (suita) de protocoale este o combinatie de protocoale care functioneaza impreuna. Fiecare nivel specifica un protocol diferit, care se ocupa de o functie sau de un subsistem al procesului de comunicatie. Prin urmare ,fiecare nivel are propriul sau set de reguli .

Modelul OSI cu nivelurile de protocoale Protocolul TCP / IP. (Transmission Control Protocol/Internet Protocol) este o suita de protocoale standard, permit nd comunicarea

intr-un mediu eterogen. TCP/IP a devenit protocolul standard folosit pentru comunicarea intre diferite tipuri de calculatoare. Protocolul NetBEUI este un protocol de nivel Transport, mic, rapid si eficient, livrat impreuna cu toate produsele de retea Microsoft. Calculatoarele transmitatoare si receptoare folosesc protocoalele pentru a: Fragmenta datele in pachete Adauga pachetelor informatii de adrese Pregati pachetele in vederea transmisiei Prelua pachetele de pe cablu Copia si reasambla datele din pachete Transfera datele reasamblate in calculator. Implementarea si dezinstalarea protocoalelor Protocoalele sunt implementate si dezinstalate aproximativ in acelasi mod ca si driverele. In functie de sistemul de operare folosit, protocoalele principale vor fi instalate automat . Proceduri i tehnici de ntreinere hardware i software

Jurnale de evenimente staiile Windows 7 Evenimentele jurnalizate sunt cele implicite: funcioneaz jurnalele implicite n care sunt acumulate evenimentele implicite. Administratorul nu a implementat nc un model de jurnalizare, de salvare iinterpretare a evenimentelor.

Proceduri de audit staiile Windows 7 funcioneaz procedurile de audit implicite.

Monitorizarea performanelor reelei utilizarea de moment este redus, att pe partea de procesor ct i pentru traficul de date n reea

Performane ateptate Procesorul nu ar trebui sa admita o activitate mai mare de 80% decat in cazul lucrului cu aplicatiile de grafica (CorelDraw) ; memoria RAM pentru tipul de aplicatii descris anterior este suficienta, daca nu ruleaza si alte aplicatii emergente simultan.

Transferul pachetelor de date in retea ar trebui sa se desfasoare fara probleme notabile. Criterii de performan utilizatori mulumii. Att timp ct utilizatorii nu se plng de nimic se consider ca reeaua funcioneaz la parametrii ateptai. Riscuri, soluii pentru atenuarea sau eliminarea riscurilor , riscuri comunicaii prin cablu UTP , virui care trec de protecia local n vederea blocrii accesului neautorizat la calculatoarele din reeaua local a fost redenumit contul administratorului local i a fost dotat cu o parol care respect criteriile de complexitate a parolelor. De obicei virusii provin din stick-uri USB aduse de profesori, stick-uri a caror scanare prealabila nu a fost realizata. Soluii de backup n fiecare sptmn se salveaz pe DVD cte un exemplar al folderului C de pe serverul de fiiere. Exemplarul de rezerv se pstreaz n arhiv. Exist o arhiv cu exemplarele mai vechi ale lucrrilor aflate pe serverul de fiiere. Exist o persoan desemnat care este responsabil cu salvrile datelor de pe serverul de fiiere. In plus, se realizeaza si back-up-ul la provider, spatiul maxim oferit fiind de 2Tb(back-up asociat conturilor de Admin si Profesor).

Proceduri de instalare i configurare Windows 7 si Vista preinstalat. Dac trebuie reinstalat sistemul de operare, acest lucru este realizat de administratorul de retea. Acelasi lucru este valabil si pentru software-ul necesar desfasurarii activitatii scolare, drepturile de instalare sau reparare a sistemelor fiind disponibile exclusiv administratorului de retea. Exista imagini realizate la statiile de lucru(imagini realizate cu Acronys), acestea fiind instalate local sau la distanta de pe server.

Concluzii puncte tari, puncte slabe ale soluiei IT&C i ale reelei prezentate Puncte tari Calculatoare destul de noi, fiabile. Acces sigur la serverul de fiiere, Puncte slabe Memorie RAM medie, ce nu permite rularea mai multor aplicatii complexe simultan si nici transfer acces la Intranet si Internet. Utilizatorii autentificai sunt neprivilegiai, ceea ce le limiteaz operaiile de configurare, complex ultrarapid in retea. Au fost pstrate aproape toate configurrile de securitate implicite.

reconfigurare. Administratorul reelei este singurul care configureaz orice component hardware sau software din reea Vulnerabiliti identificate Chiar dac exist protecie prin nume de utilizatori i parole, ultimele tipuri de programe utilizate la spargerea parolelor(programe ce pot fi descarcate de pe Internet) pot crea probleme mari pe anumite statii. Router, Acces Point, server de fiiere. Mic, portabil, elegant. Daca pleac cineva cu el ne las fr reea, ceea ce nu e deosebit de grav, dar dac ne ia hard discul extern rmnem frdocumentele importante ale colegiului. De aceea e bun si back-up-ul la provider. Camera se ncuie i funcioneaz sisteme electronice de paz. Exist i paznici angajai. Eventualitatea materializrii unui atac prin Internet la calculatoarele din aceast reea local este foarte redus: funcioneaz cteva firewall-uri, inclusiv paravanul firewall local:

Programul antivirus instalat este Avast, pana acum nefiind detectate probleme majore.

Limitri tehnice, tehnologice sau de orice fel Testele de pn acum au artat c daca vom conecta la router-ul Cisco mai mult de 12 calculatoare, performantele scad in medie cu 10-25%(lucru vizibil mai ales la mai ales la reducerea vitezei de transfer a pachetelor de date). Se mai ntmpl ca unele conexiuni s fie automat i aleatoriu dezactivate n aceste condiii. Soluii pentru creterea performanelor reelei i pentru creterea gradului de utilizare a resurselor reelei Este indicata utilizarea unei memorii RAM de minim 2Gb, lucru ce ar facilita toate operatiile desfasurate local, cat si transferul optim al pachetelor de date in acdrul retelei. Eventualii adaptori wireless instalati ar micsora riscul deteriorarii cablurilor din retea.

O eventuala ecranare externa folosind un dispozitiv specializat ar fi indicata pentru a reduce la maxim riscul penetrarii componentelor retelei.

Securizarea serviciilor O alt seciune important n ceea ce privete securitatea, este cea dedicat securizrii serviciilor ce ruleaz pe un sistem Linux. Procesul de securizare poate fi mprit n dou seciuni: limitarea zonelor de influen a serviciilor i configurarea acestora n aa fel nct s nu poat fi utilizate n alte scopuri dect cele pentru care au fost concepute. Securizarea serviciului SSH Serviciul SSH, menionat n capitolul de administrare general reprezint alternativa sigur prin care utilizatorii unui sistem Linux se pot conecta la acesta la distan, prin protocolul TCP. Un prim pas n vederea securizrii sistemelor, pstrnd facilitile de remote login este nlocuirea serviciului telnet cu ssh, asigurndu-se astfel confidenialitatea conexiunilor. n continuare vom analiza o serie de schimbri n configuraia server-ului ssh care pot duce la o mbuntire a serviciului - fiierul de configurare implicit al server-ului descris este /etc/ssh/sshd_config i n marea parte a cazurilor trebuie creat. PermitRootLogin no nu va permite autentificarea utilizatorilor drept root (nici mcar cu parola corect), limitnd astfel posibilitatea compromiterii parolei de root prin atacuri de tip fora brut. PermitEmptyPasswords no va interzice folosirea parolelor goale. AllowUsers user1 user2 - descrie o serie de utilizatori care vor avea acces la acest serviciu. Aceast opiune este una exclusiv. Port [numr] va schimba port-ul pe care serviciul va rspunde la conexiuni. Dei acest tip de securitate este unul foarte bun (nepermind atacatorilor s-i dea seama cu uurin ce servicii ruleaz pe un anumit sistem), necesit cunotina utilizatorilor ce vor folosi acest serviciu, i ca urmare nu va putea fi aplicat cu succes n scenarii extinse. ListenAddress [adresa_ip] permite restricionarea serviciului la o interfa ethernet anume. Ca urmare direct, serviciul ssh nu va fi disponibil dect prin cadrul interfeei menionate. Banner [nume_fiier] va afia fiierul menionat drept MOTD (Message of the day), putnd s fie folosit ca un avertisment. Securizarea serviciului HTTP Server-ul Apache descris n seciunile anterioare reprezint ca orice alt serviciu pornit, o posibil poart de intrare n sistem pentru atacatori. Creterea nivelului de securitate pentru serviciul HTTP se poate realiza n mai multe feluri, precum restricionarea accesului la fiierele ce alctuiesc site-urile gzduite, restricionarea porturilor i adreselor IP la care server-ul va putea fi accesat, sau chiar configurarea unui mediu chroot pentru serviciul httpd.

Fiierele ce alctuiesc site-urile gzduite prin serviciul respectiv ar trebui s fie accesibile de orice user din sistem, dar n niciun caz modificabile de userul www-data sau de oricine n grupul cu acelai nume. Userul menionat anterior este contul cu drepturile cruia procesul server-ului Apache ruleaz, i cel mai probabil va reprezenta i drepturile de care va dispune un eventual atacator care a reuit s compromit serviciul HTTP. Din acest motiv, se recomand ca fiierele site-urilor s nu poat fi modificate de ctre userul www-data, dar i modificarea site-ului implicit care ar putea furniza informaii nedorite eventualilor atacatori precum versiunea de apache folosit sau distribuia folosit. Securizarea serverului DNS bind9 Din motive de securitate, se recomand c serviciul s urmeze procesul chrooting. Acesta este o tehnic cunoscut de securizare i presupune schimbarea directorului root (/) pentru instana procesului responsabil i copiii si. n urm acestui procedeu procesul n cauz va considera directorul setat ca fiind rdcina sistemului de fiiere i prin urmare nu va avea acces n afara acesteia. Pentru a efectua aceast schimbare va fi necesarea mutarea efectiv a fiierelor de configurare ale serviciul ntr-o locaie care este sigur, schimbarea fiierului de configuraie al daemon-ului, simularea unor fiiere de tip dispozitiv speciale i crearea unor legturi simbolice astfel nct instana server-ului s poat gsi fiierele de configuraie. Configurarea unui mediu chroot pentru server-ul bind9 este printre cele mai simple proceduri de acest tip, i de aceea reprezint exemplul ideal (i datorit faptului c este unul dintre cele mai vulnerabile servicii): Pasul 1. Crearea noilor directoare se poate face ntr-o locaie precum /var/named i n scopul acestui exerciiu, vom alege aceast locaie: mkdir p /var/named/etc mkdir p /var/named/dev mkdir p /var/named/var/run/bind/run mkdir p /var/named/var/cache/bind Pasul 2. Editarea fiierului de configuraie presupune modificarea fiierului /etc/default/bind9 i schimbarea liniei OPTIONS cu nou linie OPTIONS=-u bind t /var/named

Pasul 3. Mutarea directorului de configurare bind n noua locaie, i crearea unei legturi simbolice ctre noua locaie astfel nct daemon-ul s poat gsi fiierele de configurare i s eliminm orice fel de probleme n eventualitatea unei actualizri a programului: mv /etc/bind /var/named/etc ln s /var/named/etc/bind /etc/bind

Pasul 4. Simularea dispozitivelor speciale null i random i schimbarea setului de permisiuni se poate realiza executnd urmtoarele comenzi. Programul mknod se folosete pentru crearea fiierelor de tip dispozitiv.

cd /var/named/dev mknod null c 1 3 mknod random c 1 8 chown bind:bind R ../etc/bind chown bind:bind R ../var/* chmod a+rw * Pasul 5. Adugarea facilitilor de jurnalizare se realizeaz prin crearea fiierului /etc/rsyslog.d/bind-chroot.conf i adugarea urmtoarei linii n acesta: $AddUnixListenSocket /var/named/dev/log Pasul 6. Repornirea serviciilor DNS i de jurnalizare se va face conform comenzilor de mai jos: /etc/init.d/rsyslog restart /etc/init.d/bind9 start n acest moment, avem un server bind9 configurat astfel nct s ruleze ntrun mediu chroot. i alte servicii pot fi modificate n acest scop, ns pentru a menine dimensiunea acestui manual ct mai mic, vom trata doar acest serviciu, acesta fiind unul dintre cele mai vulnerabile servicii existente pe sistemele Linux n mare parte datorit complexitii sale.

Securizarea general a unui sistem Linux Dei acesta problem este una mult prea general pentru a putea fi tratat punctual, exist un set de practici recomandate n cadrul procesului de administrare a serverelor Linux care poate reduce semnificativ riscul compromiterii sistemului. Alegerea de parole complexe este unul dintre cele mai importante aspecte ntr-un sistem. Date fiind drepturile privilegiate ale contului root, este clar c acesta nu trebuie s aib asociat o parol slab. Multe companii private sau de stat folosesc aa numitele politici de parole, pentru reglementarea parolelor folosite n sistemele informatice pe care acestea le dein. Aceste politici descriu diverse aspecte precum: Compoziia unei parole n mod optim aceasta trebuie s aib o dimensiune minim, s conin att caractere speciale, numerice ct i litere, s conin elemente de capitalizare (combinaii de litere mici i mari) i s nu aib n componen cuvinte sau buci de cuvinte ce pot fi regsite n dicionare. Un exemplu de parol bun ar fi W9]alKi8gj aceasta conine att cifre, ct i caractere speciale dar i combinaii ntre litere mari i litere mici. La polul cellalt, parole slabe pot fi cele ce reprezint nume precum Maria sau cuvinte ce pot fi regsite n dicionare precum pantofi. Viaa unei parole este folosit pentru a marca perioada de valabilitate a unei parole. Cnd termenul unei parole expir, aceasta va trebui schimbat neaprat. Duratele de via a parolelor variaz n general ca multiplu de 30 de zile, ns aceast abordare nu este obligatorie. O politic de parole balansat poate prevedea durate de 90 pn la 120 de zile. Principalul motiv pentru aceast regul este diminuarea riscului de compromitere al parolelor prin atacuri de tip fora brut n care se ncearc n mod iterativ toate combinaiile posibile de parole. Acest tip de atac poate dura mult timp, prin urmare o politic de schimbare periodic a parolelor va face imposibil aflarea acestora n timp util. O alt problem asociat cu aceast abordare o constituie comoditatea utilizatorilor, acetia ncercnd de multe ori schimbarea minimal a parolei de exemplu prin adugarea unui singur caracter la sfritul vechii parole. O politic corect de parole va interzice alegerea unei noi parole care seamn prea mult cu vechea parol. Practici referitoare la parole specific regulile ce trebuie urmate n legtur cu parolele alese. Acestea pot s varieze de la interzicerea divulgrii parolei (chiar i colegilor), interzicerea notrii parolei pe suport fizic (precum hrtia), pn la menionarea sanciunilor ce vor fi aplicate utilizatorilor care nu respect politicile alese. Restricionarea serviciilor sistemului reprezint o alt abordare foarte eficient n vederea securizrii unui sistem Linux. Primul lucru pe care un administrator trebuie s-l fac este s determine scopul final al server-ului pe care l ntreine. Dac scopul final este ntreinerea unui simplu server HTTP, atunci servicii precum DNS nu-i vor avea rostul. Ideea din spatele acestei

abordri este limitarea numrului de servicii pornite la minimul posibil, fr a afecta ns nivelul de funcionalitate dorit. Principalul motiv pentru care limitatarea numrului de servicii pornite crete nivelul de securitate este c se reduce numrul de vulnerabiliti expuse la un moment dat orice serviciu deschis poate s prezinte diferite vulnerabiliti ce pot fi exploatate de ctre utilizatori ru intenionai. Dup ce stabilirea exact a scopului final al server-ului, ar trebui fcut o list cu toate servicile eseniale astfel nct scopul ales s poat fi atins. Se recomand dezinstalarea serviciilor care nu vor fi folosite - din moment ce nu fac altceva dect s ocupe spaiu de stocare; acestea pot fi reinstalate foarte uor n funcie de necesitile administratorului. Dezinstalarea programelor inutile este o alt metod de securizare a serverelor. n cazul distribuiei Debian, sunt incluse o mulime de programe care nu vor avea nici un rol ntr-un server aflat n producie. Toate programele neeseniale vor constitui un risc, putnd fi folosite prin intermediul unor conturi compromise pentru preluarea controlului sistemului. Printre cele mai periculoase programe se numr compilatoare precum g++ care pot fi folosite pentru construirea unor utilitare care pot fi folosite pentru atacarea altor sisteme. Acestea din urm pot fi atacuri de tip denial of service, spam, etc, deci trebuie vizate utilitarele care ar putea fi folosite n acest scop. Dei nlturarea utilitarelor va mbunti nivelul de securitate, acest procedeu nu ofer nici un fel de garanie, ci mai degrab o tentativ de ntrziere - un atacator mai experimentat putnd s-i descarce singur utilitarele de care are nevoie prin intermediul Internet-ului. Actualizarea sistematic a software-ului folosit este n cele mai multe cazuri soluia optim pentru prevenirea atacurilor care au la baz exploatarea vulnerabilitilor. De regul actualizrile programelor conin att imbunatiri legate de funcionalitile i performanele acestora, ct i soluii la problemele de securitate cunoscute. Se poate realiza i actualizarea preferenial n cazul n care acest lucru se dorete, ns administratorul va trebui s fie la curent cu vulnerabilitile existente pentru a putea lua decizii informate. n acest scop este recomandat abonarea la o list de email specific distribuiei Debian, strict legat de securitate. Pentru abonarea la aceast list, vizitai pagina http://lists.debian.org/debian-securityannounce/, unde administratorul va primi periodic atenionri. Restricionarea conturilor de utilizator se poate realiza n scopul limitrii pagubelor ce pot rezulta din cauza unor conturi compromise. n acest scop se poate limita abilitatea utilizatorilor de a se log n sistem la una din console sau folosind protocolul ssh. Restricionarea procesului de login se face prin modificarea shell-ului implicit pentru fiecare utilizator dorit n parte; shell-ul implicit este bash, i l vom schimba ntr-un shell care nu va permite utilizatorului s execute nimic. Un astfel de shell este /bin/false pentru distribuia Debian, i poate fi setat pentru fiecare utilizator, folosind utilitarul usemod: usermod s /bin/false [nume_utilizator]

Comanda anterioar va stabili c shell implicit /bin/false eliminnd astfel posibilitatea contului respectiv de a se mai log n consol - contul utilizatorului nu a fost eliminat ns, ci a rmas activ. Este recomandat restricionarea accesului la consola pentru utilizatorii care nu au nevoie neaprat de facilitile oferite de aceasta.