CUPRINS Introducere....................................................................................... 4 2. Vulnerabilitatea reelelor.......................................................................... 4 3. Categorii de atacuri asupra reelelor......................................................... 5 4. Atacurile posibile..................................................................................... 6 5. Nivele, principii, politici i mecanisme de securitate...............................

8 6. Securitatea n Internet............................................................................... 11 7. Tehnici de securitate n reele................................................................... 13 7.1 Servere de autentificare Kerberos............................................................ 13 7.2 Standardul de pot electronic cu faciliti de securitate (PEM)............ 14 7.3 PGP (Pretty Good Privacy)...................................................................... 16 7.4 Criptarea datetor....................................................................................... 17 8. Securitatea prin firewall........................................................................... 21 8.1 Avantajele unui firewall........................................................................... 22 8.2 Dezavantajele unui firewall...................................................................... 23 8.3 Componentele unui firewall..................................................................... 24 8.4 Implementarea securitii prin firewall.................................................... 25 8.5 Filtrarea pachetelor................................................................................... 26 8.6 Reguli de filtrare a pachetelor.................................................................. 28 8.7 Procurarea unui firewall........................................................................... 29 9 Mecanismele de autentificare avansate.................................................... 30 Concluzie ............................................................................................. 31 Bibliografie............................................................................................... 32 Recenzie................................................................................................... 33

Coala Mod Coala N Document Semnat Data

Introducere
Securitatea informatic este o problem vital pentru toi utilizatorii de internet, fie c sunt furnizori de servicii fie c sunt utilizatori. Nevoia tot mai mare de comunicare, pe de o parte i nevoia de protecie i securitate a informaiilor pe de alt parte sunt dou cerine diferite i chiar opuse care trebuie asigurate n reelele i sistemele informatice. n condiiile n care milioane de ceteni folosesc n mod curent reelele de comunicaii i calculatoare pentru operaiuni bancare, cumprturi, plata taxelor i serviciilor etc. problema securitii este de maxim importan. Au aprut multe organizaii i organisme internaionale care se ocup de cele mai diverse aspecte ale securitii informaionale, de la aspectele legislative, la cele organizatorice, procedurale i funcionale. Securitatea este un subiect vast i ocup o multitudine de imperfeciuni. Majoritatea problemelor de securitate sunt cauzate intenionat de persoane ruvoitoare care ncearc s obin beneficii, s culeag informaii dar i s provoace ru.

2. Vulnerabilitatea reelelor
O reea de calculatoare este o structur deschis la care se pot conecta permanent noi utilizatori i noi tipuri de echipamente (terminale, calculatoare) ceea ce lrgete necontenit cercul de utilizatori care au acces la resursele acesteia (programe, fiiere, baze de date). Vulnerabilitatea se manifest pe dou planuri: atacul la integritatea fizic a informaiilor (distrugere, modificare) i folosirea neautorizat a informaiilor (scurgerea de informaii). Referitor la securitatea n informatic trebuie avute n vedere dou aspecte: 1. Integritatea resurselor unei reele, adic disponibilitatea lor indiferent de defectele de funcionare hard sau soft care pot aprea, inclusiv deteriorrile sau sustragerile ruvoitoare. 2. Caracterul privat al informaiei, adic dreptul individual de a dispune ce informaie poate fi stocat i vehiculat n reea i cine are dreptul s o acceseze. O reea sigur este acea reea n ale crui componente (resurse, operaii) se poate avea ncredere, adic furnizeaz servicii de calitate i corecte, conform cerinelor i
Coala Mod Coala N Document Semnat Data

specificaiilor. Securitatea i caracterul privat trebuie s fie obiectul unor analize atente i responsabile din nurmtoarele motive: - reelele sunt sisteme mari sau foarte mari, de arie i complexitate considerabile. Penetrarea reelelor i atacurile ruvoitoare se pot face n multe locuri i modaliti nebnuite, greu depistabile. - informaia este vulnerabil la atac n orice punct al reelei, de la introducere sa pn la utilizatorul final. - reelele de calculatoare sunt o component tot mai prezent n viaa economic, social, individual, de funcionarea lor corect depinznd activitatea guvernamental, comercial, industrial i chiar individual. - tot mai multe informaii memorate n fiiere separate pot fi corelate, sintetizate, prelucrate prin intermediul reelelor sporind posibilele consecinele nefaste asupra caracterului privat al acesora.

3. Categorii de atacuri asupra reelelor

n afara cazurilor de for major produse de calamiti naturale, dezastre, cderi de echipamente etc pentru care msurile de securitate perevd salvri i copii de rezerv, dublarea echipamentelor, tehnici de autorestabilire etc. n cazul atacurilor voite se disting dou categorii principale: - atacuri pasive; - atacuri active. Atacurile pasive sunt acele atacuri n care intrusul observ informaia care trece prin canal, fr s interfereze cu fluxul sau coninutul mesajelor. Se face doar analiza traficului, descoperirea identitii entitilor care comunic, descoper lungimea i frecvena mesajelor chiar dac coninutul acestora rmne ascuns. Aceste atacuri nu cauzeauz pagube i nu ncalc regulile de confidenialitate. Scopul lor este de a asculta datele care sunt vehiculate prin reea. Atacurile active sunt acelea n care intrusul se angajeaz n furtul mesajelor, modificarea lor, tergerea, rularea, schimbarea coninutului sau a adreselor, redirecionarea, substituirea, refuzul unui serviciu, repudierea etc. Acestea sunt serioase,
Coala Mod Coala N Document Semnat Data

cauzeaz prejudicii mari i consecine juridice. Tot n categoria atacurilor active intr i programele create cu scop distructiv care afecteaz serios, uneori catastrofal, securitatea calculatoarelor i a informaiilor. n aceast categorie intr: viruii, bombele logice, viermii, trapele, programele tip cal troian, etc.

4. Atacurile posibile
Atacuri interne Multe atacuri privind securitatea reelei provin din interiorul ei. La atacurile interne se refer furt de parole (care pot fi utlizate sau vndute), spionaj industrial, angajai nemulumii care tind de a cauza daune angajatorului, sau simpla utilizare necorespunztoare. Majoritatea acestor nclcri pot fi soluionate cu ajutorul ofierului de securitate a companiei, care monitorizeaz activitatea utilizatorilor reelei. Puncte de acces nesecurizate Aceste puncte de acces nesecurizate fr fir sunt foarte slabe mpotriva atacurilor din exterior. Ele des sunt prezentate pe comunitile locale ale hakerilor. Punctul slab este c orice persoan poate conecta un ruter fr fir ceea ce ar putea da acces neautorizat la o reea protejat. Back Doors Comenzi rapide administrative, erori de configurare, parole uor descifrabile pot fi utilizate de ctre hackeri pentru a avea acces. Cu ajutorul cuttorilor computerizai (bots), hackerii pot gsi punctul slab al reelei. Denial of Service (DoS i DDoS)

Sniffing i spoofing
Coala Mod Coala N Document Semnat Data

Un atac cibernetic de tip DoS (Denial of Service) sau DDoS (Distributed Denial of service) este o ncercare de a face ca resursele unui calculator s devin indisponibile utilizatorilor. Dei mijloacele i obiectivele de a efectua acest atac sunt variabile, n general el const n eforturile concentrate ale unei, sau ale mai multor persoane de a mpiedica un sit sau serviciu Internet s funcioneze eficient, temporar sau nelimitat. Iniiatorii acestor atacuri intesc de obicei la situri sau servicii gzduite pe servere de nivel nalt, cum ar fi bncile, gateway-uri pentru pli prin carduri de credite, i chiar servere ntregi. Hackers, Crackers, Script Kiddies Hackerii Cuvntul hacker n sine are o mulime de interpretri. Pentru muli, ei reprezint programatori i utilizatori cu cunotinte avansate de calculator care ncearc prin diferite mijloace s obin controlul sistemelor din internet, fie ele simple PC-uri sau servere. Se refer de asemeni la persoanele care ruleaz diferite programe pentru a bloca sau ncetini accesul unui mare numr de utilizatori, distrug sau terg datele de pe servere. Hacker are i o interpretare pozitiv, descriind profesionistul n reele de calculatoare care-i utilizeaz aptitudinile n programarea calculatoarelor pentru a descoperi reele vulnerabile la atacuri de securitate. Aciunea n sine, aceea de hacking e privit ca cea care impulsioneaz cercetarea n acest domeniu. Crackerii sunt nite persoane care au un hobby de a sparge parole i de a dezvolta programe i virusuri de tip calul troian (en:Trojan Horse), numite Warez. De obicei ei folosesc programele pentru uz propriu sau pentru a le realiza pentru profit. Script kiddies sunt persoane care nu au cunotine sau aptitudini despre penetrarea unui sistem ei doar descarc programe de tip Warez pe care apoi le lanseaz cu scopul de a produce pagube imense. Alte persoane sunt angajai nemulumii, teroriti, cooperativele politice. Virui i viermi Viruii i viermii reprezint programe care au proprietatea de a se automultiplica sau fragmente de cod care se ataeaz de alte programe (virui) sau calculatoare (viermii). Viruii de obicei stau n calculatoarele gazd, pe cnd viermii tind s se multiplice i s se extind prin intermediul reelei.

Coala Mod Coala N Document Semnat Data

Trojan Horse Acest virus este principala cauz a tuturor atacurilor a sistemelor informaionale. Calul Troian se ataeaz de alte programe. Cnd se descarc un fiier care este infectat cu acest virus el infecteaz sistemul, unde ofer hakerilor acces de la distan unde ei pot manipula cu sistemul. Botnets ndat ce un calculator (sau probabil mai multe calculatoare) au fost compromise de un Troian, hackerul are acces la aceste calculatoare infectate, unde de aici el poate lansa atacuri cum ar fi DDoS (Distribuited Denial of Service). Grupa de calculatoare care sunt sub controlul hakerului se numesc botnets. Cuvntul botnet provine de la robot, aceasta nsemnnd c calculatoarele ndeplinesc comenzile proprietarului lor i reeaua nsemnnd mai multe calculatoare coordonate. Sniffing/Spoofing Sniffing se refer la actul de interceptare a pachetelor TCP (Transmission Control Protocol). Spoofing se refer la actul de trimitere nelegitim a unui packet de ateptare ACK.

5. Nivele, principii, politici i mecanisme de securitate

Modelul de securitate n reele prevede protecia pe mai multe nivele care nconjoar obiectul protejat. Un prim nivel necesar este securitatea fizic care const, n general, ncuierea echipamentelor, plasare a lor n camere speciale ferite de foc, distrugere fizic fie intenionat fie nu. Este o msur aplicabil tuturor sistemelor de calcul dar mai puin posibil n cazul reelelor, mai ales cele de arie medie sau mare. Cellalt nivel se refer la securitatea logic i cuprinde acele metode de control a accesului la resursele i serviciile sistemului. Au fost stabilite i unanim acceptate linii directoare i principii privind securitatea sistemelor informatice care trebuiesc respectate de ctre toate entitile care produc, livreaz, instaleaz i exploateaz sisteme informatice. 1. Principiul responsabilitii care impune stabilirea clar a responsabilitilor
Coala Mod Coala N Document Semnat Data

referitoare la securitate pe care le au proprietarii, furnizorii, administratorii i utilizatorii sistemelor informatice. 2. Principiul sensibilizrii conform cruia toate persoanele interesate asupra acestui aspect trebuie corect i oportun informate. 3. Principiul eticii care impune elaborarea unor reguli de conduit n utilizarea SI. 4. Principiul pluridisciplinaritii conform cruia metodele tehnice i organoizatorice care trebuie luate n vederea securitii SI au caracter multidiscilpilinar i cooperant. 5. Principiul proporionalitii care cere ca nivelul de securitate i msurile de protecie s fie proporional cu importana informaiilor gestionate. 6. Principiul integrrii conform cruia securitatea este necesar n toate staiile de prelucrare a informaiilor (creare, colectare, prelucrare, stocare, transport, tergere, etc.). 7. Principiul oportunitii conform cruia mecanismele de securitate s rspund prompt i s permit o colaborare rapid i eficient n caz de detectare a tentativelor de corupere a mecanismelor de securitate. 8. Principiul reevalurii, care cere revizuirea periodic a cerinelor de securitate i a mecanismelor de implementare a lor. 9. Principiul democraiei, conform cruia cerinele de protecie i securitate s nu limiteze nejustificat libera circulaie a informaiilor, conform principiilor care guverneaz societile democratice. Msurile de securitate care trebuie luate se pot clasifica n : - Procedurale (utilizare de parole cu schimbarea lor periodic, instruirea personalului, - Logice (criptare, control acces, ascundere informaii) - Fizice (blocare acces, camere speciale, ecranare electromagnetic, etc.). Fiecare organizaie care gestioneaz informaii sensibile (vulnerabile) trebuie si defineasc o politic de securitate care trebuie s gseasc soluii urmtoarelor probleme :
Coala Mod Coala N Document Semnat Data

- ce ameninri exist, de ce natur sunt, care se pot elimina i care nu; - ce resurse pot fi protejate i la ce nivel; - cu ce mijloace se poate asigura securitatea - ce cost introducerea, meninerea i actualizarea mecanismelor de securitate. Politica de securitate se implementeaz prin servicii de securitate au ca scop reducerea vulnerabilitii informaiilor i resurselor care poate duce la pierderea acestora, deteriorarea sau ajungerea acestora n posesia unor persoane neautorizate. Fiecare serviciu de securitate se poate implementa prin unul sau mai multe mecanisme de securitate, care, la rndul lor, cuprind o serie de activiti. Arhitectura de securitate specific sistemelor deschise interconectate cuprind 5 elemente majore : - Definirea serviciilor de securitate ; - Definirea mecanismelor de securitate ; - Descrierea principiilor de securitate pe nivele; - Implementarea serviciilor de securitate pe nivele ; - Realizarea mecanismelor de securitate prin folosirea serviciilor de securitate Serviciile de securitate definite de ISP sunt: autentificarea, confidenialitatea, controlul accesului, intergritatea i ne-repudierea. Mecanismele de securitate sunt folosite individual sau colectiv pentru construirea serviciilor de securitate. 1. Criptarea transform datele de la entitatea surs ntr-o manier unic astfel nct s nu poat fi cunoscut semnificaia lor dect n urma unei transformri inverse pereche, numit decriptare. Este folosit n special pentru implementarea serviciului de confidenialitate. 2. Semntura digital d sigurana c datele furnizate au fost produse chiar de ctre semnatar. Mecanismul este folosit de ctre serviciul de integritate i nonrepudiere. La rndul su se bazeaz pe dou proceduri: - procedura semnrii unui bloc de date - procedura verificrii semnturii
Coala Mod Coala N Document Semnat Data

10

3. Controlul accesului la resursele din Internet presupune recunoaterea identitii solicitantului n baza unei nregistrri prealabile i posibilitatea validrii sau invalidrii cererii. Tentativele de acces neautorizat trebuie semnalale prin diverse modaliti. Ca tehnici de control a accesului se pot folosi : liste de acces, parole, etichete de securitate, limitarea timpului de acces, limitarea numrului de ncercri de acces, calea de acces etc. 4. Autentificarea permite identificarea reciproc a entitilor corespondente. 5. Notarizarea presupune folosirea unei a treia entiti numit notar, n care toate prile au ncredere deplin, care ofer garanie privind originea, destinaia, integritatea i confidenialitatea informaiilor.

6. Securitatea n Internet
Securitatea n Internet se poate realiza pe mai multe nivele i subnivele, individual sau combinat pentru a realiza un grad de protecie cerut. Securitatea la nivel fizic Serviciile de securitate la nivel fizic asigur o protecie punct la punct pe canalul fizic de legtur, ntre entitile care comunic, fie c sunt sisteme finale, fie intermediare. Avantajul major al securitii pe acest nivel este independena de protocoalele implementate pe nivelele suprerioare. Dezavantajul const n dependena de tehnologia de comunicaie folosit la nivel fizic (tipuri de interfee, rate de transmisie, probleme de sincronizare etc.). Aici se realizeaz de regul confidenialitatea traficului i securizarea circuitului orientat pe conexiune. Securitatea la nivel legtur de date Serviciile de securitate la nivel legtur de date sunt tot de tipul punct la punct. Nivelul de securitate este nc redus, determinat n principal de facilitile de detecie i eventual corecie a erorilor, de secveniere a transmisiei n funcie de caracteristicile canalului. Criptarea la nivel 2 nu este recomandat deoarece ofer mult informaie unui adversar care intercepteaz pachete, cmpurile de control fiind n clar. Principalul dezavantaj al criptrii la acest nivel este c datele sunt memorate n clar n fiecare nod
Coala Mod Coala N Document Semnat Data

11

intermediar i ofer faciliti de atac multiple ruvoitorilor. Serviciile de securitate la nivel reea pot fi realizate att ntre sistemele finale ct i ntre sisteme finale i rutere sau ntre dou rutere. De la acest nivel ele ncep s devin dependente de protocoalele folosite pe nivelele superioare. Este posibil securizarea unei anumite rute din reea (de exemplu criptarea datelor de pe acea rut i transmisia n clar pe alte rute). Unele pachete care trec printr-un nod intermediar (ruter) sunt criptate, altele nu, n funcie de rut. Antetul de nivel reea al pachetelor nu este criptat, ceea ce face ca s se asigure numai integritatea i confidenialitatea datelor transmise, nu i a traficului. Serviciile de securitate la nivel transport Nivelul transport ofer mai multe servicii de securitate i mai complete: confidenialitatea (orientat sau nu pe conexiune), integritatea, autentificarea originii datelor, autentificarea entitilor pereche, controlul accesului. Deoarece nivelul transport asigur servicii de transfer de date ntre surs i destinaie, adic ntre utilizatori finali, i serviciile de securitate au acelai caracter. Nivelele sesiune i prezentare nu au referiri privitoare la implementarea de servicii de securitate, dei confidenialitatea prin criptare sau altele (autentificarea etc.) pot fi evident realizabile. Nivelul aplicaie asigur implementarea tuturor serviciilor de securitate, ba mai mult chiar, unele, de exemplu, nerepudierea mesajelor poate fi realizat numai la acest nivel. Avantajul major al asigurrii securitii la acest nivel este independena de sistemele de operare i de protocoalele utilizate pe nivelele inferioare. n schimb, trebuie menionat c la acest nivel securitatea este dependent de aplicaie (trebuie implementat individual pentru fiecare aplicaie). Aplicaiile de baz ale Internetului (FTP, SMTP, TELNET, HTTP, DNS, POP, WWW etc.) ruleaz pe servere, ele reprezentnd adevrate pori prin care utilizatorii din lumea exterioar pot accesa informaii de pe un calculator privat. Fiecare server trebuie s aib urmtoarele faciliti: S determine ce informaie sau aciune este cerut de client; S decid dac acesta are dreptul s acceseze informaia, utiliznd eventual o
Coala Mod Coala N Document Semnat Data

12

procedur de autentificare (persoan sau program); S transfere informaia cerut sau s execute programul cerut. Protecia serverelor se poate face prin mai multe msuri cum ar fi: Autentificarea sigur a clienilor prin parole sau protocoale criptografice (cum ar fi Kerberos);folosirea unui firewall care s separe reeaua intern de lumea exterioar; Separarea fizic a reelei interne de cea extern. Accesul la reeaua extern (Internet, WWW, etc.) se face prin staii separate. Crearea unei reele separate pentru datele confideniale; Dezactivarea tuturor serviciilor inutile i protejarea lor prin programe de tip wrapper.

7. Tehnici de securitate n reele 7.1 Servere de autentificare Kerberos

Kerberos este la ora actual cel mai puternic i mai folosit serviciu de autentificare din lume. El permite utilizatorilor s comunice n reea pentru a-i dezvlui identitatea i pentru a se autentifica n timp real, ntr-un mediu distribuit nesecurizat. Este un serviciu de autentificare i nu de autorizare, n care parolele sunt folosite drept chei i nu sunt nici o dat transmise n clar prin reea. Kerberos este folosit de protocoalele de nivel aplicaie (ftp, telnet etc.) pentru a asigura securitatea comunicaiilor cu gazda. El are dou obiective principale: autentificarea i distribuia cheilor i furnizeaz urmtoarele servicii: - autentificarea mutual i comunicaie sigur ntre dou entiti ale unei reele deschise; - distribuie chei secrete oferind macanisme pentru transferul siugur al acestora prin reea; - indentificarea sigur a utilizatorilor individuali care apeleaz servicii de pe calculatoarele gazd.
Coala Mod Coala N Document Semnat Data

13

Kerberos este utilizat n SUA, o variant similar dezvoltat n Europa, compatibil cu acesta este SESAME. Protocolul de autentificare Kerberos folosete o a treia entitate (ter de ncredere) care furnizeaz tichete de identificare i chei criptografice ctre utilizatori sau aplicaii. Un tichet este un bloc de cteva sute de octei care poate fi folosit n aproape orice protocol de reea. Protocolul Kerberos conine urmtoarele entiti: - Serverul de autentificare Kerberos - Entitatea de acordare a tichetului - Clientul C care trebuie autentificat pentru a i se acorda acces la serviciul furnizat de serverul S - Serverul S la care cere acces din partea clientului.

Server Kerberos 2 1

Server de tichete (ST)

Server (S) 5 6

Client (C)

Protocolul der autentificare Kerberos

7.2 Standardul de pot electronic cu faciliti de securitate

Pota electronic este unul dintre cele mai rspndite servicii pe Internet folosit de milioane de utilizatori. Ca urmare au fost dezvoltate aplicaii de securitate specifice acestui serviciu cum ar fi PEM PrivacyEnhanced Mail care ofer urmtoareler faciliti: - confidenialitatea (secretizarea) mesajelor; - autentificarea originii mesajelor - integritatea legturii n reea
Coala Mod Coala N Document Semnat Data

14

- nerepudierea legturii prin dovedirea originii. Confidenialitatea protejeaz coninutul mesajelor mpotriva citirii lor neautorizate de ctre alte persoane dect cele autorizate specificate de emitent. Accesul nedorit la mesaje se poate face fie prin inteceptatrea comunicaiei din linia de transmisie, fie prin accesul la cutia potal care de fapt este o locaie pe un hard disk sau un alt mijloc de stocare. n aceste situaii protecia se face prin criptarea mesajelor. Autentificarea originii mesajelor permite receptorului unui mesaj prin pot electronic s determine n mod sigur identitatea emitorului. Este un serviciu foarte necesar asigurrii credibilitii potei electronice att de rspndit i de util n prezent. Integritatea legturii furnizeaz receptorului sigurana c mesajul primit este identic cu cel emis la origine, c nu a fost nlocuit pe traseu cu altul sau nu a fost modificat chiar i parial. De regul, autentificarea i integritatea sunt servicii care se folosesc mpreun. Nerepudierea mesajelor mpiedic transmitorul s nu recunoasc faptul c el i numai el a transmis mesajul n discuie chiar dac el a trecut i prin intermediari. Utilitatea serviciului de nerepudiere este evident n situaia transmiterii unor ordine, decizii, dispoziii etc. cu caracter imperativ si care pot genera consecine majore unele chiar cu caracter juridic. Implementarea serviciilor de securitate n conformitate cu standardul PEM se poate face peste infrastructura de pot electronic existent. Exist dou variante de integrare:
1)

cu includerea funciilor de securitate n agentul utilizator (UA) cu avantajul obinerii unei interfee mai bune cu utilizatorul. fr modificare agentului utilizator prin realizarea unui filtru de securizare a mesajelor n exteriorul UA.

2)

Pentru a putea asigura serviciile de securitate, PEM folosete o varietate de algoritmi criptografici necesari cifrrii mesajelor, distribuirii cheilor, verificrii integritii mesajelor sau autentificrii. PEM folosete sisteme simetrice i nesimetrice pentru cifrarea mesajelor, integritate i autentificare. n cazul sistemelor simetrice cheia de cifrare este identic cu cea de descifrare i ca urmare ele trebuie s fie secrete i
Coala Mod Coala N Document Semnat Data

15

distribuite utilizatorilor pe canale sigure, pe baza unui sistem de management al cheilor. Prelucrarea uneu scrisori PEM se face dup un algoritm. O scrisoare este format din 2 zone : antetul mesajului i coninutul mesajului. Datele din antet trec de regul nemodificate prin prelucrrile PEM. Coninutul scrisorii care face obiectul prelucrrii este ncadrat de unul sau mai multe antete PEM /delimitatori PEM care implemeteaz serviciile de securitate folosite. Paii n care se face prelucrarea PEM sunt de regul urmtorii: 1) 2) 3) Aducerea la forma canonic, adic o form standard specific reelei. Tipul de canonizare este specificat n cmpul Content Domain din antetul PEM. Calculul valorii de integritate a mesajului (MIC- Message Integrity Code) Cifrarea (opional) dac se consider necesar se face o singur dat indiferent de ci destinatari l vor primi, folosind o tehnic de criptare acceptat, fr a fi impus una anume. 4) Codificarea n vederea transmisiei are rolul de a converti mesajele de tip MIC ONLY i ENCRIPTED care sunt iruri oarecare de bii n caractere care pot fi transmise n sistemele de transport al mesajelor.

7.3 PGP (Pretty Good Privacy)

Este un pachet de programme destinat potei electronice i a fiierelor proprii prin cifrare clasic cu chei publice care poate funciona pe diferite platforme (Windows, UNIX, etrc.). PGP poate asigura urmtoarele faciliti : - criptarea fiierelor folosind algoritmi simetrici sau nesimetrici ; - crearea de chei publice sau secrete folosite la criptare; - gestionarea cheilor prin crearea i ntreinerea unei baze de date destinate acestui scop ; - transmiterea i recepionarea de mesaje criptate prin e-mail ; - folosirea semnturilor digitale ; - certificarea cheilor (semnarea electronic a cheilor) ; - revocarea, dezactivarea i pstrarea cheilor cu posibilitatea dezactivrii, revocrii i schimbrii lor n caz de atac ctiptografic;
Coala Mod Coala N Document Semnat Data

16

- configurarea dup necesiti a PGP-ului; - folosirea server-elor de chei de pe Internet.

7.4 Criptarea datetor

Avnd n vedere faptul c transmisia de date n Internet este neprotejat, a aprut necesitatea dezvoltrii tehnicilor de criptare n direcia automatizrii acestora si a implementrii lor n reele de calculatoare. Astfel, utilizarea unor algoritmi pentru criptarea informaiilor transmise va deveni principalul mijloc de rezolvare a problemelor de interceptare n reele. n descrierea unei transmisii de date prin reea se obinuiete s se numeasc generic "mesaj" un ansamblu de date trimis de un "emitor" unui "receptor". Printr-o metod de criptare, mesajele vor fi transformate, pe baza unei chei de criptare, astfel nct s poat fi nelese doar de destinatar. Unul din principiile mai recent aprute n criptanaliz const n utilizarea unei alte chei pentru decodificarea mesajului dect cea folosit la codificare; aceast tehnic este mai eficient dar complic puin procedeul general i de aceea se prefer cnd criptarea / decriptarea se realizeaz automat. Evident, dimensiunea unei chei de criptare (exprimate n general n bii) este o msur a nivelului de securitate dat de acea cheie, ea indicnd rezistenta mesajului cifrat la ncercrile de descifrare de ctre cineva care nu deine cheia de descifrare potrivit. Principiile de criptare din algoritmii cu cheie secret au evoluat odat cu apariia calculatoarelor; ele continu ns s se bazeze pe metodele tradiionale, cum ar fi transpoziia i substituia. Algoritmii cu cheie secret sunt caracterizai de faptul c folosesc aceeai cheie att n procesul de criptare, ct i n cel de decriptare (vezi figura de mai jos). Din acest motiv, aceti algoritmi mai sunt cunoscui sub numele de algoritmi simetrici; pentru aplicarea lor este necesar ca naintea codificrii / decodificrii, att emitorul ct i receptorul s posede deja cheia respectiv. n mod evident, cheia care caracterizeaz aceti algoritmi trebuie s fie secret.

Coala Mod Coala N Document Semnat Data

17

Schema de aplicare a unui algoritm simetric Principalul dezavantaj al algoritmilor simetrici const n faptul c impun un schimb de chei private nainte de a se ncepe transmisia de date. Altfel spus, pentru a putea fi utilizai, este necesar un canal cu transmisie protejat pentru a putea fi transmise cheile de criptare / decriptare. Ulterior, vor aprea si algoritmi cu cheie public, caracterizai prin faptul c criptarea si decriptarea folosesc chei diferite (vezi figura de mai jos). Aceast caracteristic a dat algoritmilor cu cheie public si numele de algoritmi asimetrici. n acest caz, una dintre chei poate fi public (general cunoscut - poate fi distribuit oricui) iar cealalt va trebui s fie privat / secret (cunoscut doar de cel care o folosete). Fiecare dintre aceste chei poate cripta mesajul, dar un mesaj criptat cu o anumit cheie nu poate fi decriptat dect cu cheia sa pereche. Astfel, n cazul utilizrii unui algoritm asimetric n comunicarea dintre un emitor i un receptor, fiecare dintre acetia va deine cte o pereche de chei - public i privat. Emitorul poate cripta mesajul cu cheia public a receptorului, astfel nct doar acesta s poat decripta mesajul cu cheia sa privat. n cazul unui rspuns, receptorul va utiliza cheia public a emitorului astfel nct decriptarea s se poat face exclusiv de ctre emitor (cu cheia sa pereche, privat). Cheile algoritmilor asimetrici sunt obinute pe baza unei formule matematice din algebra numerelor mari, pentru numere prime ntre ele, iar din valoarea unei chei nu poate fi dedus valoarea cheii asociate. Remarcm faptul c aplicarea n informatic a calculelor modulo numere prime s-a dovedit extrem de benefic pentru multi algoritmi moderni.
Coala Mod Coala N Document Semnat Data

18

Schema de aplicare a unui algoritm asimetric Tradiional, criptografii foloseau algoritmi simpli asociai cu chei de securitate foarte lungi. Azi se urmrete crearea unor algoritmi de criptare att de compleci nct s fie practic ireversibili, chiar dac un criptanalist achiziioneaz cantiti foarte mari de text cifrat. O alt caracteristic a criptografiei moderne const n automatizarea tehnicilor clasice, prin folosirea unor dispozitive special concepute. Transpoziiile i substituiile vor fi implementate cu circuite simple, de vitez mare, care vor fi conectate n cascad astfel nct dependenta ieirii de intrare devine extrem de complicat si dificil de descoperit. n 1977, guvernul SUA a adoptat ca standard oficial pentru informaiile nesecrete un cifru produs i dezvoltat de IBM, numit DES (Data Encryption System), care a fost larg adoptat n industrie. DES este cel mai popular algoritm cu cheie secret; el continu s stea la baza unor sisteme folosite n mod curent. DES folosete (uzual) o cheie de 56 de bii; aceasta a fost n cele din urm adoptat n locul uneia de 128 de bii, neagreat de NSA (National Security Agency), agenia "sprgtoare de coduri a guvernului", care dorea supremaia n domeniul criptografic. Din 1977, cercettorii n criptografie au ncercat s proiecteze maini pentru a sparge DES. Prima asemenea main (1977) a fost conceput de Diffie si Hellman, avea nevoie de mai putin de o zi iar costul ei a fost estimat la 20 de milioane de dolari. Dup aproape 2 decenii, costul unei astfel de maini a ajuns la 1 milion de dolari iar timpul necesar spargerii codului a sczut la 4 ore. Ulterior, s-au dezvoltat i alte metode, cum ar fi folosirea unui cip DES ncorporat (loteria chinezeasc).
Coala Mod Coala N Document Semnat Data

19

n scopul decriptrii s-ar mai putea folosi mecanisme soft specifice (cum ar fi algoritmul asimetric Diffie-Hellman) i resursele libere ale unor calculatoare cu destinaie universal. Astfel, s-a demonstrat c rularea pe mai multe calculatoare a unor programe distribuite de criptare (uzual, pe un numr mare de maini, de ordinul miilor sau chiar zecilor de mii) creste considerabil eficienta procesului de decriptare. Un alt cifru renumit este IDEA (International Data Encryption Algorithm), realizat de doi cercettori la Politehnica Federal din Zrich (ETHZ). Acest algoritm folosete o cheie de 128 de bii i este inspirat din metodele anterioare - DES i cele imaginate pentru spargerea DES. Un alt algoritm performant a fost descoperit de un grup de cercettori de la MIT Ronald Rivest, Adi Shamir, Leonard Adelman - i s-a numit cu iniialele creatorilor lui: RSA. Algoritmul de criptare RSA folosete o cheie public. Se observ c utilizarea unor astfel de algoritmi de criptare a datelor asigur transmisii confideniale de date n reele neprotejate, rezolvnd problema interceptrii. De fapt, riscul de interceptare / modificare nu dispare cu totul, din cauz c orice mesaj criptat poate fi n general decriptat fr a deine cheia corespunztoare, dac se dispune de suficiente resurse materiale i de timp. Evident, dimensiuni variate ale cheii asigur diferite grade de confidenialitate iar perioada de timp necesar pentru decriptare poate fi prevzut n funcie de mrimea cheii utilizate. Totui, dac procesul de decriptare este lent, este posibil ca n momentul n care s-ar obine datele dorite, acestea s nu mai fie actuale sau utile. Timpul de decriptare depinde n mod natural i de puterea procesoarelor utilizate n acest scop, astfel nct utilizarea distribuit a unui foarte mare numr de procesoare poate duce la o micorare considerabil a timpului necesar. Din acest motiv, pentru transmisii de date n care este necesar o confidenialitate stric se utilizeaz chei de dimensiuni mult mai mari, chiar pentru algoritmul DES (de 256, 512, 1024 i chiar 2048 sau 4096 de bii), tiut fiind c timpul necesar decriptrii crete exponenial cu dimensiunea cheii de criptare / decriptare. Pentru utilizatorii obinuii ai Internet-ului, cei mai convenabili algoritmi de criptare sunt cei cu cheie public fiindc folosirea lor nu implic schimbul preliminar de chei pe canale de transmisie protejate, ca n cazul algoritmilor cu cheie secret. Cheia
Coala Mod Coala N Document Semnat Data

20

public poate fi distribuit fr restricii pe intranet (reeaua local) sau Internet, iar mesajele criptate cu aceast cheie de un emitor vor putea fi decriptate numai utiliznd cheia privat, care este deinut exclusiv de ctre destinatar. Astfel, nici mcar expeditorul nu ar putea realiza decriptarea mesajului trimis.

8. Securitatea prin firewall

Un firewal (zid de protecie, perete antifoc) este un sistem de protecie plasat ntre dou reele care are urmtoarele proprieti : - oblig tot traficul dintre cele dou reele s treac prin el i numai prin el, pentru ambele sensuri de transmisie ; - filtreaz traficul i permite trecerea doar a celui autorizat prin politica de securitate ; - este el nsui rezistent la ncercrile de penetrare, ocolire, spagere exercitate de diveri. Un firewall nu este un simplu ruter sau calculator care asigur securitatea unei reele. El impune o politic de securitate, de control a accesului, de autentificare a clienilor, de configurare a reelei. El protejeaz o reea sigur din punct de vedere al securitii de o reea nesigur, n care nu putem avea ncredere.
Reea protejat
Trafic autorizat

Firewall Internet

Dispunerea unui firewall

Fiind dispus la intersecia a dou reele, un firewall poate fi folosit i pentru alte scopuri dct controlul accesului : - pentru monitorizarea comunicaiilor dintre reeaua intern i cea extern (servicii folosite, volum de trafic, frecvena accesrii, distribuia n timp etc.); - pentru interceptarea i nregistrarea tuturor comunicaiilor dintre cele dou
Coala Mod Coala N Document Semnat Data

21

reele ; - pentru criptare n reele virtuale.

8.1 Avantajele unui firewall

ntr-un mediu fr firewall securitatea reelei se bazeaz exclusiv pe securitatea calculatoarelor gazd care trebuie s coopereze pentru realizarea unui nivel corespunztor de securitate. Cu ct reeaua este mai mare, cu att este mai greu de asigurat securitatea fiecrui calculator. Folosirea unui firewall asigur cteva avantaje : 1) Protecia serviciilor vulnerabile prin filtrarea (blocarea) acelora care n mod obinuit sunt inerent mai expuse. De exemplu un firewall poate bloca intrarea sau ieirea dintr-o reea protejat a unor servicii expuse cum ar fi NFS, NIS etc. De asemenea mecanismul de dirijare a pachetelor din Internet poate fi folosit pentru rutarea traficului ctre destinaiii compromise. Prin intermediul ICMP firewall-ul poate reject aceste pachete i informa administratorul de reea despre incident. 2) Impunerea unei politici a accesului n reea deoarece un firewall poate controla accesul ntr-o reea privat. Unele calculatoare pot fi fcute accesibile din exterior i altele nu. De exemplu, serviciile de pot electronic i cele informaionale pot fi accesibile numai pe unele calculatoare din reeaua intern protejndu-le pe celelalte de expuneri la atacuri. 3) Concentrarea securitii pe firewall reduce mult costurile acestei fa de cazul n care ar fi distribuit pe fiecare staie. Folosirea altor soluii cum ar fi Kerberos, implic modificri la fiecare sistem gazd, ceea ce este mai greu de implementat i mai costisitor. 4) ntrirea caracterului privat al informaiei care circul prin reea. n mod normal o informaie considerat pe bun dreptate nesenzitiv (navigarea pe Web, citirea potei electronice etc.) poate aduce atacatorilor informaii dorite despre utilizatori : ct de des i la ce ore este folosit un sistem, dac s-a citit pota electronic, site-urile cele mai vizitate etc. Asemenea informaii sunt furnizate de serviciul finger, altfel un serviciu util n Internet. Folosirea unui firewall poate
Coala Mod Coala N Document Semnat Data

22

bloca asemenea servicii cum ar fi finger, DNS etc. Blocarea ieirii n exterior a informaiei DNS referitoare la sistemele gazd interne, numele i adresele IP, ascunde informaie foarte cutat de atacatori. 5) Monitorizarea i realizarea de statistici privind folosirea reelei sunt mult uurate dac ntregul trafic spre i dinspre Internet se face printr-un singur punct (firewall).

8.2 Dezavantajele unui firewall

Folosirea unui firewall are i unele limitri i dezavantaje, inclusiv unele probleme de securitate pe care nu le poate rezolva. 1. Restricionarea accesului la unele servicii considerate vulnarabile care sunt des solicitate de utilizatori : FTP, telnet, http, NSf etc. Uneori politica de securitate poate impune chiar blocarea total a acestora. 2. Posibilitatea existenei unor ui secrete Un firewall nu poate proteja mpotriva unor trape care pot aprea n reea, de exemplu accesul prin modem la unele calculatoare gazd. Folosirea modemuri de vitez mare pe o conexiune PPP sau SLIP deschide o u neprotejabil prin firewall. 3. Firewall-ul nu asigur protecie fa de atacurile venite din interior. Scurgerea de informaii, atacurile cu virui, distrugerea intenionat din interiorul reelei nu pot fi protejate de firewall. 4. Reducerea vitezei de comunicaie cu exteriorul (congestia traficului) este o problem major a unui firewall. Ea poate fi depit prin alegerea unor magistrale de mare vitez la interfaa acestuia cu reeaua intern i cea extern. 5. Fiabilitatea reelei poate fi redus dac i chiar dezastruoas dac sistemul firewall nu este fiabil. Comparnd avantajele i limitrile securitii prin firewall se poate concluziona c protejarea resurselor unei reele este bine s se fac att prin sisteme firewall ct i prin alte mecanisme i sisteme de securitate.

Coala Mod Coala N Document Semnat Data

23

8.3 Componentele unui firewall

Componentele fundamentale ale unui firewall sunt : - politica de control a acesului la servicii ; - mecanismele de autentificare ; - filtrarea pachetelor; - serviciile proxy i porile de nivel aplicaie. Politica de control a accesului la servicii definete n mod explicit acele servicii care sunt permise i care sunt refuzate, precum i cazurile de exepie i condiiile n care pot fi acceptate. O politic realist trebuie s asigure un echilibru ntre protejarea reelei fa de anumite riscuri cunoscute i asigurarea accesului utilizatorilor la resurse. Mai nti se definete politica de acces la serviciile reelei, ca politic de nivel nalt, dup care se definete politica de proiectare a firewall-ului ca politic subsidiar. Se pot implementa diverse politici de acces la servicii : - interzicerea accesului din Internet la reeaua proprie i accesul invers, din reea spre Internet; - accesul din Internet dar numai spre anumite staii din reeaua proprie, cum ar fi serverele de informaii, serverele de e-mail ; - accesul din internet spre anumite sisteme locale dar numai n situaii speciale i numai dup autentificare reciproc. Politica de proiectare a firewall-ului se bazeaz pe dou sub-politici : 1. ceea ce nu este interzis n mod explicit este permis 2. ceea ce nu este permis n mod explicit este interzis. Prima subpolitic este mai puin oportun deoarece ofer posibiliti de a ocoli sistemul de securitate prin firewall. Pot aprea servicii noi, necunoscute, se pot folosi porturi TCP/UDP nestandard etc. Eficiena unui sistem firewall de protecie a unei reele depinde de politica de acces la servicii, de politica de proiectare a firewall-ului i de arhitectura acestuia.

Coala Mod Coala N Document Semnat Data

24

8.4 Implementarea securitii prin firewall

Implementarea securitii pritr-un sistem firewall se poate face respectnd urmtorii pai: - Definirea politicii de securitate prin firewall - Definirea cerinelor de funcionare i securitate prin firewall - Procurarea unui firewall - Administrarea unui firewall. Politica de securitate prin firewall are dou niveluri de abordare: politica de acces la servicii i politica de proiectare a firewall-ului. Gradul de ndeplinire a securitii pe cele dou nivele depinde n mare msur de arhitectura sistemului firewall. Pentru a defini o politic de proiectare a firewall-ului, trebuie examinate i documentate urmtoarele: Ce servicii urmeaz a fi folosite n mod curent i ocazional Cum i unde vor fi folosite (local, la distan, prin Internet, de la domicilui) Care este gradul de sensibilitate al informaiei, locul unde se afl i ce persoane au acces acces ocazional sau curent Care sunt riscurile asociate cu furnizarea accesului la aceste informaii Care este costul asigurrii proteciei n vederea procurrii componenetelor soft i hard ale unui sistem firewall, trebuie definite ct se poate de concret cerinele de funcionalitate i de securitate ale acestuia. Pentru aceasta este recomandabil s se in seama de urmtoarele aspecte: n ce msur poate fi suportat o politic de securitate impus de organizaie i nu de sistem n sine Flexibilitatea, gradul de adaptabilitate la noi servicii sau cerine determinate de schimbrile n politica de securitate S conin mecanisme avansate de autentificare sau posibiliti de instalare a acestora S foloseasc tehnici de filtrare de tip permitere/interzicere acces la sisteme,
Coala Mod Coala N Document Semnat Data

25

aplicaii, servicii Regulile de filtrare s permit selectarea i combinarea ct mai multor atribute (adrese, porturi, protocoale) Pentru servicii ca TELNET, FTP etc s permit folosirea serviciului proxy individuale sau comune Firewall-ul i accesul public n reea trebuie corelate astfel nct serverele informaionale publice s poat fi protejate de de firewall, dar s poat fi separate de celelalte sisteme de reea care nu furnizeaz acces public Posibilitatea ca firewall-ul i sistemul de operare s poat fi actualizate periodic

8.5 Filtrarea pachetelor

Un serviciu securitate foarte eficient realizabil prin firewall este filtrarea pachetelor. El permite sau blocheaz trecerea unor anumite tipuri de pachete n funcie de un sistem de reguli stabilite de administratorul de securitate. De exemplu filtrarea pachetelor IP se poate face dup diferite cmpuri din antetul su: adresa IP a sursei, adresa IP a destinaiei, tipul protocol (TCP sau UDP), portul surs sau portul destinaie etc. Filtrarea se poate face ntr-o varietate de moduri: blocare conexiuni spre sau dinspre anumite sisteme gazd sau reele, blocarea anumitor porturi etc. Filtrarea de pachete se realizeaz, de obicei, la nivelul ruterelor. Multe rutere comerciale au capacitatea de a filtra pachete pe baza cmpurilor din antet. Urmtoarele servicii sunt n mod inerent vulnerabile i de accea se recomand blocarea lor la nivelul firewall-ului: tftp (trivial file transfer protocol), portul 69 folosit de obicei pentru secvena de boot a staiilor fr disc, a serverelor de terminale i a ruterelor. Configurat incorect, el poate fi folosit pentru citirea oricrui fiier din sistem; X Windows, porturile ncepnd cu 6000. Prin intermediul serverelor X intruii pot obine controlul asupra unui sistem gazd; RPC (Remote Procedure Call), portul 111, inclusiv NIS i NIF care pot fi folosite pentru a obine informaii despre sistem, despre fiierele stocate;
Coala Mod Coala N Document Semnat Data

26

 Rolgin, rsh, rexec, porturile 513, 514, 512 servicii care configurate incorect pot permite accesul neautorizat la conturi i comenzi de sistem. Urmtoarele servicii sunt, n mod obinuit, filtrate i restricionate numai la acele sisteme care au nevoie de ele: ) Telnet, portul 23, restricionat numai spre anumite sisteme; ) Ftp, porturile 20 i 21, restricionat numai spre anumite sisteme; ) SMTP, portul 25, restricionat numai spre un server central de mail; ) RIP, portul 25, care poate fi uor nelat i determinat s redirecioneze pachete; ) DNS, portul 53, care poate furniza informaii despre adrese, nume, foarte urmrit de atacatori; ) UUCP (Unix to Unix CoPy), portul 540, care poate fi utilizat pentru acces neautorizat; ) NNTP (Network News Transfer Protocol), portul 119 pentru accesul la diferite tiri din reea; ) http, (portul 80), restricionat spre o poart de aplicaii pe care ruleaz servicii proxy. Nivelurile de filtrare a pachetelor corespund nivelelor din arhitectura OSI sau TCP/IP. Antetul de reea IP conine patru cmpuri relevante pentru filtrarea pachetelor: cele dou adrese, surs i destinaie, tipul de protocol de nivel transport i cmpul de opiuni IP. Opiunea IP cea mai relevant pentru faciliti de filtrare este dirijarea de la surs (source routing). Ea permite expeditorului unui pachet s specifice ruta pe care acesta o va urma spre destinaie. Scopul su este de a nu trimite pachete n zone n care tabelele de dirijare ale pachetelor sunt incorecte sau ruterele sunt defecte. Antetul de nivel transport conine cmpurile port surs i destinaie i cmpul de indicatori (flag-uri). TCP fiind un protocol orientat pe conexiune, naintea transferului de pachete se sabilete ruta prin intermediul unui pachet de setare care are cmpul ACK de un bit setat pe 0. Bitul ACK este foarte important din punct de vedere al filtrrii. Dac se dorete blocarea unei conexiuni TCP este suficient a se bloca primul pachet identificat prin valoarea 0 a cmpului ACK. Chiar dac urmtoarele pachete cu ACK =1
Coala Mod Coala N Document Semnat Data

27

corespunztoare aceleiai conexiuni vor trece prin filtru , ele nu vor fi asamblate la destinaie din cauza lipsei informaiilor despre conexiune, informaii coninute n primul pachet. Practic, conexiunea nu va fi realizat. Pe baza acestei particulariti se poate impune o politic de securitate care permite clienilor din interior s se conecteze n exterior la servere externe, dar nu permite clienilor externi s se conecteze n interior (la servere interne). n filtrarea UDP sunt posibile mai multe abordri: - interzicerera tuturor pachetelor UDP; - permiterea conexiunilor la anumite porturi UDP standard, considerate mai puin periculoase; - se poate seta ruterul ca s monitorizeze pachetele care pleac din interior spre exterior astfel ca ele s fie rspuns pachetele (cererile) memorate (filtrare dinamic).

8.6 Reguli de filtrare a pachetelor

Filtrarea pechetelor se face dup reguli care fac parte din configurarea ruterului i care pot fi reguli explicite sau implicite. De exemplu, interzicerea a tot ce nu este permis n mod explicit este o interzicere implicit. Regula filtrtrii implicite este mai bun din punct de vedere al securitii deoarece ne asigur c n afara cazurilor pe care le dorim s treac, celelalte sunt filtrate, deci sunt evitate situaii neprevzute de acces. Regulile fac parte din configuraia ruterului. Pentru a decide trimiterea sau blocarea unui pachet, regulile sunt parcurse pe rnd, pn se gsete o concordan i se conformez acesteia. Dac nu se gsete o asemenea concordan, pachetului i se aplic regula implicit. n cazul filtrrii dup adres, exist urmtoarele riscuri: 1. simpla filtrare nu poate fi sigur deoarece adresa surs poate fi falsificat. Un ruvoitor poate simula c trimite pachete de la un utilizator de ncredere. El nu va primi rspuns, dar simplul acces n reea poate reprezenta o ameninare. 2. atacul de tip omul din mijloc n care un atacator se interpune pe calea dintre surs i destinaie i intercepteaz pachetele venind din ambele sensuri. Evitarea unei asemenea situaii se poate face prin autentificare reciproc folosind
Coala Mod Coala N Document Semnat Data

28

mecanisme criptografice avansate. Filtrarea dup serviciu este de fapt filtrarea dup porturile surs i destinaie. n UNIX porturile privilegiate (0 1023) sunt ocupate doar de servere, nu de clieni. Pe aestea ruleaz aplicaii sau servicii specifice superuser-ilor. Porturile mai mari de 1024 sunt folosite de clieni i se pot aloca n mod aleator.

8.7 Procurarea unui firewall

Exist dou variante de procurare a unui firewall: realizare proprie sau de pe Internet variante libere i cumprarea unui produs profesional la cheie. Ambele au avantaje i dezavantaje. Un firewall de firm este puternic, verificat i ofer multe faciliti dar este mai scump. Unul construit pentru o anumit organizaie sau reea permite ca specialitii firmei s neleag specificaiile de proiectare i de utilizare a acestuia. nainte de a se lua decizia de procurare trebuie s se afle rspunsuri la ntrebri de felul: - cum se va verifica dac produsul firewall respect cerinele funcionale - cum poate fi testat mpotriva diverselor atacuri - cine, cum i cu ce mijloace va face ntreinerea, repararea, actualizarea sa - cum i cine va face instruirea utilizatorilor - cum vor fi rezolvate eventuale incidente de securitate. Un exemplu de produs firewall de firm este TIS Firewall Toolkit (TIS FWTK) produs de firma Trust Information System. El reprezint un set de programe i practici de configurare care pot fi folosite pentru construirea de diverse tipuri de firewall. Componentele pot fi folosite fie independent, fie n combinaie cu componentele altor produse firewall. Produsul este conceput pentru sisteme UNIX folosind suita de protocoale TCP/IP printr-o interfa soket de tip Berkley. Instalarea FWTK persupune o oarecare experien n administrarea sistemelor UNIX. Deoarece conponentele sunt prezentate sub forma unor programe de cod surs scrise n C, sunt necesare cunotine referitoare la folosirea utilitatrului make. FWTK are trei componente de baz:
Coala Mod Coala N Document Semnat Data

29

- concepii de proiectare - practici de configurare i strategii de verificare - componente software. Cteva dintre componentele soft sunt urmtoarele: 1. SMAP/SMAPT pentru serverul de pot electronic. El ajut la implementarea serviciului SMTP. SMAP accept mesaje venite din reea pe care le scrie ntr-un director propriu fr a permite accesul la restul sistemului de fiiere. Fiierele create n acest director sunt blocate pn se ncarc n ntregime. Ulterior se deblocheaz i permite smapd-ului s acioneze asupra sa. Smapd-ul este un program care inspecteaz coada, scoate fiierele i le trimite destinatarului prin sendmail. 2. FTP-GW este un server proxy pentru ftp care poate efectua operaii de tipul logare, interzicere, autentificare etc. Pentru autentificare sunt recunoscute mai multe protocoale: SecurID produs de Security Dynamics, SNK produs de Digital Patways, Silver Card etc. 3. 4. TELNET-GW este un server proxy pentru telnet folosit la conectarea utilizatorului PLUG-GW este un server proxy generic care suport o gam restrns de la sistem. protocoale i utilizatori. El examineaz adresa de la care s-a iniiat conexiunea i portul pe care a primit-o i creaz o nou conexiune la un alt sistem gazd pe acelai port.

9. Mecanismele de autentificare avansate

Cartelele inteligente, jetoanele de autentificare, tehnicile biometrice, sunt din ce n ce mai folosite n locul parolelor pentru autentificarea entitilor care au acces la informaii vehiculate sau stocate n reele. Deoarece firewall-ul este locul fizic care concentreaz accesul ntr-o reea, acesta este , n mod logic, i locul n care se afl hardwer-ul i software-ul pentru autentificare. Printre mecanismele avansate de autentificare de actualitate sunt parolele de unic folosin i cartelele inteligente. Sistemele cu parolele de unic folosin conin o tabel de parole n care se intr la
Coala Mod Coala N Document Semnat Data

30

fiecare cerere de acces la resursele de reea, se valideaz individual intrarea n tabel iar parolele se genereaz individual pe baza unui algoritm. Cartelele inteligente se bazeaz pe mecanismul numit rspuns la provocare care funcioneaz astfel : - utilizatorul introduce un nume de logare - sistemul genereaz un numr aleator (provocare) i l trimite utilizatorului - utilizatorul cripteaz acest numr cu o cheie cunoscut de sistem i trimite rezultatul - sistemul cripteaz i el acel numr aleator cu aceeai cheie i compar rezultatele. n caz de coinciden solicitantul este acceptat n sistem.

Coala Mod Coala N Document Semnat Data

31

Concluzie
n concluzie, pentru a trata toate aspectele referitoare la securitatea unei reele trebuie abordate dou aspecte protecia la atacurile din interior i la atacurile din exterior. De asemenea, protecia unei reele de calculatoare nu se realizeaz dor la nivel logic, al aplicaiilor, ci i la nivel fizic, al securitii echipamentelor. Un echipament, aflat ntr-o locaie public, n care au acces multiple catogorii de persoane, sunt mult mai susceptibile la atacuri la nivel fizic dect cele situate n locaii cu control strict al accesului. O buna practic ne nva c politicile de securitate trebuie aplicate la toate nivelurile ierarhice ale unei reele de calculatore nu doar la nivelul access, unde se regsesc utilizatorii finali. De asemenea, utilizarea programelor de protecie antivirus i firewall pentru protejarea calculatoarelor i serverelor este necesar la orice nivel al reelei de date.

Coala Mod Coala N Document Semnat Data

32

Bibliografie

Primii pasi in securitatea retelelor

Thomas Tom, Ediia 2008

CISCO - arhitecturi de securitate

Hundley Kent, Ediia 2009

Firewalls. Protectia retelelor conectate la Internet

Ogletree, Terry William, Ediia 2007

www.ro.wikipedia.org

www.Scribd.com

www.facultate.regielive.ro

Coala Mod Coala N Document Semnat Data

33

Recenzie

Coala Mod Coala N Document Semnat Data

34