Documente Academic
Documente Profesional
Documente Cultură
8 6. Securitatea n Internet............................................................................... 11 7. Tehnici de securitate n reele................................................................... 13 7.1 Servere de autentificare Kerberos............................................................ 13 7.2 Standardul de pot electronic cu faciliti de securitate (PEM)............ 14 7.3 PGP (Pretty Good Privacy)...................................................................... 16 7.4 Criptarea datetor....................................................................................... 17 8. Securitatea prin firewall........................................................................... 21 8.1 Avantajele unui firewall........................................................................... 22 8.2 Dezavantajele unui firewall...................................................................... 23 8.3 Componentele unui firewall..................................................................... 24 8.4 Implementarea securitii prin firewall.................................................... 25 8.5 Filtrarea pachetelor................................................................................... 26 8.6 Reguli de filtrare a pachetelor.................................................................. 28 8.7 Procurarea unui firewall........................................................................... 29 9 Mecanismele de autentificare avansate.................................................... 30 Concluzie ............................................................................................. 31 Bibliografie............................................................................................... 32 Recenzie................................................................................................... 33
Introducere
Securitatea informatic este o problem vital pentru toi utilizatorii de internet, fie c sunt furnizori de servicii fie c sunt utilizatori. Nevoia tot mai mare de comunicare, pe de o parte i nevoia de protecie i securitate a informaiilor pe de alt parte sunt dou cerine diferite i chiar opuse care trebuie asigurate n reelele i sistemele informatice. n condiiile n care milioane de ceteni folosesc n mod curent reelele de comunicaii i calculatoare pentru operaiuni bancare, cumprturi, plata taxelor i serviciilor etc. problema securitii este de maxim importan. Au aprut multe organizaii i organisme internaionale care se ocup de cele mai diverse aspecte ale securitii informaionale, de la aspectele legislative, la cele organizatorice, procedurale i funcionale. Securitatea este un subiect vast i ocup o multitudine de imperfeciuni. Majoritatea problemelor de securitate sunt cauzate intenionat de persoane ruvoitoare care ncearc s obin beneficii, s culeag informaii dar i s provoace ru.
2. Vulnerabilitatea reelelor
O reea de calculatoare este o structur deschis la care se pot conecta permanent noi utilizatori i noi tipuri de echipamente (terminale, calculatoare) ceea ce lrgete necontenit cercul de utilizatori care au acces la resursele acesteia (programe, fiiere, baze de date). Vulnerabilitatea se manifest pe dou planuri: atacul la integritatea fizic a informaiilor (distrugere, modificare) i folosirea neautorizat a informaiilor (scurgerea de informaii). Referitor la securitatea n informatic trebuie avute n vedere dou aspecte: 1. Integritatea resurselor unei reele, adic disponibilitatea lor indiferent de defectele de funcionare hard sau soft care pot aprea, inclusiv deteriorrile sau sustragerile ruvoitoare. 2. Caracterul privat al informaiei, adic dreptul individual de a dispune ce informaie poate fi stocat i vehiculat n reea i cine are dreptul s o acceseze. O reea sigur este acea reea n ale crui componente (resurse, operaii) se poate avea ncredere, adic furnizeaz servicii de calitate i corecte, conform cerinelor i
Coala Mod Coala N Document Semnat Data
specificaiilor. Securitatea i caracterul privat trebuie s fie obiectul unor analize atente i responsabile din nurmtoarele motive: - reelele sunt sisteme mari sau foarte mari, de arie i complexitate considerabile. Penetrarea reelelor i atacurile ruvoitoare se pot face n multe locuri i modaliti nebnuite, greu depistabile. - informaia este vulnerabil la atac n orice punct al reelei, de la introducere sa pn la utilizatorul final. - reelele de calculatoare sunt o component tot mai prezent n viaa economic, social, individual, de funcionarea lor corect depinznd activitatea guvernamental, comercial, industrial i chiar individual. - tot mai multe informaii memorate n fiiere separate pot fi corelate, sintetizate, prelucrate prin intermediul reelelor sporind posibilele consecinele nefaste asupra caracterului privat al acesora.
cauzeaz prejudicii mari i consecine juridice. Tot n categoria atacurilor active intr i programele create cu scop distructiv care afecteaz serios, uneori catastrofal, securitatea calculatoarelor i a informaiilor. n aceast categorie intr: viruii, bombele logice, viermii, trapele, programele tip cal troian, etc.
4. Atacurile posibile
Atacuri interne Multe atacuri privind securitatea reelei provin din interiorul ei. La atacurile interne se refer furt de parole (care pot fi utlizate sau vndute), spionaj industrial, angajai nemulumii care tind de a cauza daune angajatorului, sau simpla utilizare necorespunztoare. Majoritatea acestor nclcri pot fi soluionate cu ajutorul ofierului de securitate a companiei, care monitorizeaz activitatea utilizatorilor reelei. Puncte de acces nesecurizate Aceste puncte de acces nesecurizate fr fir sunt foarte slabe mpotriva atacurilor din exterior. Ele des sunt prezentate pe comunitile locale ale hakerilor. Punctul slab este c orice persoan poate conecta un ruter fr fir ceea ce ar putea da acces neautorizat la o reea protejat. Back Doors Comenzi rapide administrative, erori de configurare, parole uor descifrabile pot fi utilizate de ctre hackeri pentru a avea acces. Cu ajutorul cuttorilor computerizai (bots), hackerii pot gsi punctul slab al reelei. Denial of Service (DoS i DDoS)
Sniffing i spoofing
Coala Mod Coala N Document Semnat Data
Un atac cibernetic de tip DoS (Denial of Service) sau DDoS (Distributed Denial of service) este o ncercare de a face ca resursele unui calculator s devin indisponibile utilizatorilor. Dei mijloacele i obiectivele de a efectua acest atac sunt variabile, n general el const n eforturile concentrate ale unei, sau ale mai multor persoane de a mpiedica un sit sau serviciu Internet s funcioneze eficient, temporar sau nelimitat. Iniiatorii acestor atacuri intesc de obicei la situri sau servicii gzduite pe servere de nivel nalt, cum ar fi bncile, gateway-uri pentru pli prin carduri de credite, i chiar servere ntregi. Hackers, Crackers, Script Kiddies Hackerii Cuvntul hacker n sine are o mulime de interpretri. Pentru muli, ei reprezint programatori i utilizatori cu cunotinte avansate de calculator care ncearc prin diferite mijloace s obin controlul sistemelor din internet, fie ele simple PC-uri sau servere. Se refer de asemeni la persoanele care ruleaz diferite programe pentru a bloca sau ncetini accesul unui mare numr de utilizatori, distrug sau terg datele de pe servere. Hacker are i o interpretare pozitiv, descriind profesionistul n reele de calculatoare care-i utilizeaz aptitudinile n programarea calculatoarelor pentru a descoperi reele vulnerabile la atacuri de securitate. Aciunea n sine, aceea de hacking e privit ca cea care impulsioneaz cercetarea n acest domeniu. Crackerii sunt nite persoane care au un hobby de a sparge parole i de a dezvolta programe i virusuri de tip calul troian (en:Trojan Horse), numite Warez. De obicei ei folosesc programele pentru uz propriu sau pentru a le realiza pentru profit. Script kiddies sunt persoane care nu au cunotine sau aptitudini despre penetrarea unui sistem ei doar descarc programe de tip Warez pe care apoi le lanseaz cu scopul de a produce pagube imense. Alte persoane sunt angajai nemulumii, teroriti, cooperativele politice. Virui i viermi Viruii i viermii reprezint programe care au proprietatea de a se automultiplica sau fragmente de cod care se ataeaz de alte programe (virui) sau calculatoare (viermii). Viruii de obicei stau n calculatoarele gazd, pe cnd viermii tind s se multiplice i s se extind prin intermediul reelei.
Trojan Horse Acest virus este principala cauz a tuturor atacurilor a sistemelor informaionale. Calul Troian se ataeaz de alte programe. Cnd se descarc un fiier care este infectat cu acest virus el infecteaz sistemul, unde ofer hakerilor acces de la distan unde ei pot manipula cu sistemul. Botnets ndat ce un calculator (sau probabil mai multe calculatoare) au fost compromise de un Troian, hackerul are acces la aceste calculatoare infectate, unde de aici el poate lansa atacuri cum ar fi DDoS (Distribuited Denial of Service). Grupa de calculatoare care sunt sub controlul hakerului se numesc botnets. Cuvntul botnet provine de la robot, aceasta nsemnnd c calculatoarele ndeplinesc comenzile proprietarului lor i reeaua nsemnnd mai multe calculatoare coordonate. Sniffing/Spoofing Sniffing se refer la actul de interceptare a pachetelor TCP (Transmission Control Protocol). Spoofing se refer la actul de trimitere nelegitim a unui packet de ateptare ACK.
referitoare la securitate pe care le au proprietarii, furnizorii, administratorii i utilizatorii sistemelor informatice. 2. Principiul sensibilizrii conform cruia toate persoanele interesate asupra acestui aspect trebuie corect i oportun informate. 3. Principiul eticii care impune elaborarea unor reguli de conduit n utilizarea SI. 4. Principiul pluridisciplinaritii conform cruia metodele tehnice i organoizatorice care trebuie luate n vederea securitii SI au caracter multidiscilpilinar i cooperant. 5. Principiul proporionalitii care cere ca nivelul de securitate i msurile de protecie s fie proporional cu importana informaiilor gestionate. 6. Principiul integrrii conform cruia securitatea este necesar n toate staiile de prelucrare a informaiilor (creare, colectare, prelucrare, stocare, transport, tergere, etc.). 7. Principiul oportunitii conform cruia mecanismele de securitate s rspund prompt i s permit o colaborare rapid i eficient n caz de detectare a tentativelor de corupere a mecanismelor de securitate. 8. Principiul reevalurii, care cere revizuirea periodic a cerinelor de securitate i a mecanismelor de implementare a lor. 9. Principiul democraiei, conform cruia cerinele de protecie i securitate s nu limiteze nejustificat libera circulaie a informaiilor, conform principiilor care guverneaz societile democratice. Msurile de securitate care trebuie luate se pot clasifica n : - Procedurale (utilizare de parole cu schimbarea lor periodic, instruirea personalului, - Logice (criptare, control acces, ascundere informaii) - Fizice (blocare acces, camere speciale, ecranare electromagnetic, etc.). Fiecare organizaie care gestioneaz informaii sensibile (vulnerabile) trebuie si defineasc o politic de securitate care trebuie s gseasc soluii urmtoarelor probleme :
Coala Mod Coala N Document Semnat Data
- ce ameninri exist, de ce natur sunt, care se pot elimina i care nu; - ce resurse pot fi protejate i la ce nivel; - cu ce mijloace se poate asigura securitatea - ce cost introducerea, meninerea i actualizarea mecanismelor de securitate. Politica de securitate se implementeaz prin servicii de securitate au ca scop reducerea vulnerabilitii informaiilor i resurselor care poate duce la pierderea acestora, deteriorarea sau ajungerea acestora n posesia unor persoane neautorizate. Fiecare serviciu de securitate se poate implementa prin unul sau mai multe mecanisme de securitate, care, la rndul lor, cuprind o serie de activiti. Arhitectura de securitate specific sistemelor deschise interconectate cuprind 5 elemente majore : - Definirea serviciilor de securitate ; - Definirea mecanismelor de securitate ; - Descrierea principiilor de securitate pe nivele; - Implementarea serviciilor de securitate pe nivele ; - Realizarea mecanismelor de securitate prin folosirea serviciilor de securitate Serviciile de securitate definite de ISP sunt: autentificarea, confidenialitatea, controlul accesului, intergritatea i ne-repudierea. Mecanismele de securitate sunt folosite individual sau colectiv pentru construirea serviciilor de securitate. 1. Criptarea transform datele de la entitatea surs ntr-o manier unic astfel nct s nu poat fi cunoscut semnificaia lor dect n urma unei transformri inverse pereche, numit decriptare. Este folosit n special pentru implementarea serviciului de confidenialitate. 2. Semntura digital d sigurana c datele furnizate au fost produse chiar de ctre semnatar. Mecanismul este folosit de ctre serviciul de integritate i nonrepudiere. La rndul su se bazeaz pe dou proceduri: - procedura semnrii unui bloc de date - procedura verificrii semnturii
Coala Mod Coala N Document Semnat Data
10
3. Controlul accesului la resursele din Internet presupune recunoaterea identitii solicitantului n baza unei nregistrri prealabile i posibilitatea validrii sau invalidrii cererii. Tentativele de acces neautorizat trebuie semnalale prin diverse modaliti. Ca tehnici de control a accesului se pot folosi : liste de acces, parole, etichete de securitate, limitarea timpului de acces, limitarea numrului de ncercri de acces, calea de acces etc. 4. Autentificarea permite identificarea reciproc a entitilor corespondente. 5. Notarizarea presupune folosirea unei a treia entiti numit notar, n care toate prile au ncredere deplin, care ofer garanie privind originea, destinaia, integritatea i confidenialitatea informaiilor.
6. Securitatea n Internet
Securitatea n Internet se poate realiza pe mai multe nivele i subnivele, individual sau combinat pentru a realiza un grad de protecie cerut. Securitatea la nivel fizic Serviciile de securitate la nivel fizic asigur o protecie punct la punct pe canalul fizic de legtur, ntre entitile care comunic, fie c sunt sisteme finale, fie intermediare. Avantajul major al securitii pe acest nivel este independena de protocoalele implementate pe nivelele suprerioare. Dezavantajul const n dependena de tehnologia de comunicaie folosit la nivel fizic (tipuri de interfee, rate de transmisie, probleme de sincronizare etc.). Aici se realizeaz de regul confidenialitatea traficului i securizarea circuitului orientat pe conexiune. Securitatea la nivel legtur de date Serviciile de securitate la nivel legtur de date sunt tot de tipul punct la punct. Nivelul de securitate este nc redus, determinat n principal de facilitile de detecie i eventual corecie a erorilor, de secveniere a transmisiei n funcie de caracteristicile canalului. Criptarea la nivel 2 nu este recomandat deoarece ofer mult informaie unui adversar care intercepteaz pachete, cmpurile de control fiind n clar. Principalul dezavantaj al criptrii la acest nivel este c datele sunt memorate n clar n fiecare nod
Coala Mod Coala N Document Semnat Data
11
intermediar i ofer faciliti de atac multiple ruvoitorilor. Serviciile de securitate la nivel reea pot fi realizate att ntre sistemele finale ct i ntre sisteme finale i rutere sau ntre dou rutere. De la acest nivel ele ncep s devin dependente de protocoalele folosite pe nivelele superioare. Este posibil securizarea unei anumite rute din reea (de exemplu criptarea datelor de pe acea rut i transmisia n clar pe alte rute). Unele pachete care trec printr-un nod intermediar (ruter) sunt criptate, altele nu, n funcie de rut. Antetul de nivel reea al pachetelor nu este criptat, ceea ce face ca s se asigure numai integritatea i confidenialitatea datelor transmise, nu i a traficului. Serviciile de securitate la nivel transport Nivelul transport ofer mai multe servicii de securitate i mai complete: confidenialitatea (orientat sau nu pe conexiune), integritatea, autentificarea originii datelor, autentificarea entitilor pereche, controlul accesului. Deoarece nivelul transport asigur servicii de transfer de date ntre surs i destinaie, adic ntre utilizatori finali, i serviciile de securitate au acelai caracter. Nivelele sesiune i prezentare nu au referiri privitoare la implementarea de servicii de securitate, dei confidenialitatea prin criptare sau altele (autentificarea etc.) pot fi evident realizabile. Nivelul aplicaie asigur implementarea tuturor serviciilor de securitate, ba mai mult chiar, unele, de exemplu, nerepudierea mesajelor poate fi realizat numai la acest nivel. Avantajul major al asigurrii securitii la acest nivel este independena de sistemele de operare i de protocoalele utilizate pe nivelele inferioare. n schimb, trebuie menionat c la acest nivel securitatea este dependent de aplicaie (trebuie implementat individual pentru fiecare aplicaie). Aplicaiile de baz ale Internetului (FTP, SMTP, TELNET, HTTP, DNS, POP, WWW etc.) ruleaz pe servere, ele reprezentnd adevrate pori prin care utilizatorii din lumea exterioar pot accesa informaii de pe un calculator privat. Fiecare server trebuie s aib urmtoarele faciliti: S determine ce informaie sau aciune este cerut de client; S decid dac acesta are dreptul s acceseze informaia, utiliznd eventual o
Coala Mod Coala N Document Semnat Data
12
procedur de autentificare (persoan sau program); S transfere informaia cerut sau s execute programul cerut. Protecia serverelor se poate face prin mai multe msuri cum ar fi: Autentificarea sigur a clienilor prin parole sau protocoale criptografice (cum ar fi Kerberos);folosirea unui firewall care s separe reeaua intern de lumea exterioar; Separarea fizic a reelei interne de cea extern. Accesul la reeaua extern (Internet, WWW, etc.) se face prin staii separate. Crearea unei reele separate pentru datele confideniale; Dezactivarea tuturor serviciilor inutile i protejarea lor prin programe de tip wrapper.
13
Kerberos este utilizat n SUA, o variant similar dezvoltat n Europa, compatibil cu acesta este SESAME. Protocolul de autentificare Kerberos folosete o a treia entitate (ter de ncredere) care furnizeaz tichete de identificare i chei criptografice ctre utilizatori sau aplicaii. Un tichet este un bloc de cteva sute de octei care poate fi folosit n aproape orice protocol de reea. Protocolul Kerberos conine urmtoarele entiti: - Serverul de autentificare Kerberos - Entitatea de acordare a tichetului - Clientul C care trebuie autentificat pentru a i se acorda acces la serviciul furnizat de serverul S - Serverul S la care cere acces din partea clientului.
Server Kerberos 2 1
Server (S) 5 6
Client (C)
14
- nerepudierea legturii prin dovedirea originii. Confidenialitatea protejeaz coninutul mesajelor mpotriva citirii lor neautorizate de ctre alte persoane dect cele autorizate specificate de emitent. Accesul nedorit la mesaje se poate face fie prin inteceptatrea comunicaiei din linia de transmisie, fie prin accesul la cutia potal care de fapt este o locaie pe un hard disk sau un alt mijloc de stocare. n aceste situaii protecia se face prin criptarea mesajelor. Autentificarea originii mesajelor permite receptorului unui mesaj prin pot electronic s determine n mod sigur identitatea emitorului. Este un serviciu foarte necesar asigurrii credibilitii potei electronice att de rspndit i de util n prezent. Integritatea legturii furnizeaz receptorului sigurana c mesajul primit este identic cu cel emis la origine, c nu a fost nlocuit pe traseu cu altul sau nu a fost modificat chiar i parial. De regul, autentificarea i integritatea sunt servicii care se folosesc mpreun. Nerepudierea mesajelor mpiedic transmitorul s nu recunoasc faptul c el i numai el a transmis mesajul n discuie chiar dac el a trecut i prin intermediari. Utilitatea serviciului de nerepudiere este evident n situaia transmiterii unor ordine, decizii, dispoziii etc. cu caracter imperativ si care pot genera consecine majore unele chiar cu caracter juridic. Implementarea serviciilor de securitate n conformitate cu standardul PEM se poate face peste infrastructura de pot electronic existent. Exist dou variante de integrare:
1)
cu includerea funciilor de securitate n agentul utilizator (UA) cu avantajul obinerii unei interfee mai bune cu utilizatorul. fr modificare agentului utilizator prin realizarea unui filtru de securizare a mesajelor n exteriorul UA.
2)
Pentru a putea asigura serviciile de securitate, PEM folosete o varietate de algoritmi criptografici necesari cifrrii mesajelor, distribuirii cheilor, verificrii integritii mesajelor sau autentificrii. PEM folosete sisteme simetrice i nesimetrice pentru cifrarea mesajelor, integritate i autentificare. n cazul sistemelor simetrice cheia de cifrare este identic cu cea de descifrare i ca urmare ele trebuie s fie secrete i
Coala Mod Coala N Document Semnat Data
15
distribuite utilizatorilor pe canale sigure, pe baza unui sistem de management al cheilor. Prelucrarea uneu scrisori PEM se face dup un algoritm. O scrisoare este format din 2 zone : antetul mesajului i coninutul mesajului. Datele din antet trec de regul nemodificate prin prelucrrile PEM. Coninutul scrisorii care face obiectul prelucrrii este ncadrat de unul sau mai multe antete PEM /delimitatori PEM care implemeteaz serviciile de securitate folosite. Paii n care se face prelucrarea PEM sunt de regul urmtorii: 1) 2) 3) Aducerea la forma canonic, adic o form standard specific reelei. Tipul de canonizare este specificat n cmpul Content Domain din antetul PEM. Calculul valorii de integritate a mesajului (MIC- Message Integrity Code) Cifrarea (opional) dac se consider necesar se face o singur dat indiferent de ci destinatari l vor primi, folosind o tehnic de criptare acceptat, fr a fi impus una anume. 4) Codificarea n vederea transmisiei are rolul de a converti mesajele de tip MIC ONLY i ENCRIPTED care sunt iruri oarecare de bii n caractere care pot fi transmise n sistemele de transport al mesajelor.
16
17
Schema de aplicare a unui algoritm simetric Principalul dezavantaj al algoritmilor simetrici const n faptul c impun un schimb de chei private nainte de a se ncepe transmisia de date. Altfel spus, pentru a putea fi utilizai, este necesar un canal cu transmisie protejat pentru a putea fi transmise cheile de criptare / decriptare. Ulterior, vor aprea si algoritmi cu cheie public, caracterizai prin faptul c criptarea si decriptarea folosesc chei diferite (vezi figura de mai jos). Aceast caracteristic a dat algoritmilor cu cheie public si numele de algoritmi asimetrici. n acest caz, una dintre chei poate fi public (general cunoscut - poate fi distribuit oricui) iar cealalt va trebui s fie privat / secret (cunoscut doar de cel care o folosete). Fiecare dintre aceste chei poate cripta mesajul, dar un mesaj criptat cu o anumit cheie nu poate fi decriptat dect cu cheia sa pereche. Astfel, n cazul utilizrii unui algoritm asimetric n comunicarea dintre un emitor i un receptor, fiecare dintre acetia va deine cte o pereche de chei - public i privat. Emitorul poate cripta mesajul cu cheia public a receptorului, astfel nct doar acesta s poat decripta mesajul cu cheia sa privat. n cazul unui rspuns, receptorul va utiliza cheia public a emitorului astfel nct decriptarea s se poat face exclusiv de ctre emitor (cu cheia sa pereche, privat). Cheile algoritmilor asimetrici sunt obinute pe baza unei formule matematice din algebra numerelor mari, pentru numere prime ntre ele, iar din valoarea unei chei nu poate fi dedus valoarea cheii asociate. Remarcm faptul c aplicarea n informatic a calculelor modulo numere prime s-a dovedit extrem de benefic pentru multi algoritmi moderni.
Coala Mod Coala N Document Semnat Data
18
Schema de aplicare a unui algoritm asimetric Tradiional, criptografii foloseau algoritmi simpli asociai cu chei de securitate foarte lungi. Azi se urmrete crearea unor algoritmi de criptare att de compleci nct s fie practic ireversibili, chiar dac un criptanalist achiziioneaz cantiti foarte mari de text cifrat. O alt caracteristic a criptografiei moderne const n automatizarea tehnicilor clasice, prin folosirea unor dispozitive special concepute. Transpoziiile i substituiile vor fi implementate cu circuite simple, de vitez mare, care vor fi conectate n cascad astfel nct dependenta ieirii de intrare devine extrem de complicat si dificil de descoperit. n 1977, guvernul SUA a adoptat ca standard oficial pentru informaiile nesecrete un cifru produs i dezvoltat de IBM, numit DES (Data Encryption System), care a fost larg adoptat n industrie. DES este cel mai popular algoritm cu cheie secret; el continu s stea la baza unor sisteme folosite n mod curent. DES folosete (uzual) o cheie de 56 de bii; aceasta a fost n cele din urm adoptat n locul uneia de 128 de bii, neagreat de NSA (National Security Agency), agenia "sprgtoare de coduri a guvernului", care dorea supremaia n domeniul criptografic. Din 1977, cercettorii n criptografie au ncercat s proiecteze maini pentru a sparge DES. Prima asemenea main (1977) a fost conceput de Diffie si Hellman, avea nevoie de mai putin de o zi iar costul ei a fost estimat la 20 de milioane de dolari. Dup aproape 2 decenii, costul unei astfel de maini a ajuns la 1 milion de dolari iar timpul necesar spargerii codului a sczut la 4 ore. Ulterior, s-au dezvoltat i alte metode, cum ar fi folosirea unui cip DES ncorporat (loteria chinezeasc).
Coala Mod Coala N Document Semnat Data
19
n scopul decriptrii s-ar mai putea folosi mecanisme soft specifice (cum ar fi algoritmul asimetric Diffie-Hellman) i resursele libere ale unor calculatoare cu destinaie universal. Astfel, s-a demonstrat c rularea pe mai multe calculatoare a unor programe distribuite de criptare (uzual, pe un numr mare de maini, de ordinul miilor sau chiar zecilor de mii) creste considerabil eficienta procesului de decriptare. Un alt cifru renumit este IDEA (International Data Encryption Algorithm), realizat de doi cercettori la Politehnica Federal din Zrich (ETHZ). Acest algoritm folosete o cheie de 128 de bii i este inspirat din metodele anterioare - DES i cele imaginate pentru spargerea DES. Un alt algoritm performant a fost descoperit de un grup de cercettori de la MIT Ronald Rivest, Adi Shamir, Leonard Adelman - i s-a numit cu iniialele creatorilor lui: RSA. Algoritmul de criptare RSA folosete o cheie public. Se observ c utilizarea unor astfel de algoritmi de criptare a datelor asigur transmisii confideniale de date n reele neprotejate, rezolvnd problema interceptrii. De fapt, riscul de interceptare / modificare nu dispare cu totul, din cauz c orice mesaj criptat poate fi n general decriptat fr a deine cheia corespunztoare, dac se dispune de suficiente resurse materiale i de timp. Evident, dimensiuni variate ale cheii asigur diferite grade de confidenialitate iar perioada de timp necesar pentru decriptare poate fi prevzut n funcie de mrimea cheii utilizate. Totui, dac procesul de decriptare este lent, este posibil ca n momentul n care s-ar obine datele dorite, acestea s nu mai fie actuale sau utile. Timpul de decriptare depinde n mod natural i de puterea procesoarelor utilizate n acest scop, astfel nct utilizarea distribuit a unui foarte mare numr de procesoare poate duce la o micorare considerabil a timpului necesar. Din acest motiv, pentru transmisii de date n care este necesar o confidenialitate stric se utilizeaz chei de dimensiuni mult mai mari, chiar pentru algoritmul DES (de 256, 512, 1024 i chiar 2048 sau 4096 de bii), tiut fiind c timpul necesar decriptrii crete exponenial cu dimensiunea cheii de criptare / decriptare. Pentru utilizatorii obinuii ai Internet-ului, cei mai convenabili algoritmi de criptare sunt cei cu cheie public fiindc folosirea lor nu implic schimbul preliminar de chei pe canale de transmisie protejate, ca n cazul algoritmilor cu cheie secret. Cheia
Coala Mod Coala N Document Semnat Data
20
public poate fi distribuit fr restricii pe intranet (reeaua local) sau Internet, iar mesajele criptate cu aceast cheie de un emitor vor putea fi decriptate numai utiliznd cheia privat, care este deinut exclusiv de ctre destinatar. Astfel, nici mcar expeditorul nu ar putea realiza decriptarea mesajului trimis.
Firewall Internet
Fiind dispus la intersecia a dou reele, un firewall poate fi folosit i pentru alte scopuri dct controlul accesului : - pentru monitorizarea comunicaiilor dintre reeaua intern i cea extern (servicii folosite, volum de trafic, frecvena accesrii, distribuia n timp etc.); - pentru interceptarea i nregistrarea tuturor comunicaiilor dintre cele dou
Coala Mod Coala N Document Semnat Data
21
22
bloca asemenea servicii cum ar fi finger, DNS etc. Blocarea ieirii n exterior a informaiei DNS referitoare la sistemele gazd interne, numele i adresele IP, ascunde informaie foarte cutat de atacatori. 5) Monitorizarea i realizarea de statistici privind folosirea reelei sunt mult uurate dac ntregul trafic spre i dinspre Internet se face printr-un singur punct (firewall).
23
24
25
aplicaii, servicii Regulile de filtrare s permit selectarea i combinarea ct mai multor atribute (adrese, porturi, protocoale) Pentru servicii ca TELNET, FTP etc s permit folosirea serviciului proxy individuale sau comune Firewall-ul i accesul public n reea trebuie corelate astfel nct serverele informaionale publice s poat fi protejate de de firewall, dar s poat fi separate de celelalte sisteme de reea care nu furnizeaz acces public Posibilitatea ca firewall-ul i sistemul de operare s poat fi actualizate periodic
26
Rolgin, rsh, rexec, porturile 513, 514, 512 servicii care configurate incorect pot permite accesul neautorizat la conturi i comenzi de sistem. Urmtoarele servicii sunt, n mod obinuit, filtrate i restricionate numai la acele sisteme care au nevoie de ele: ) Telnet, portul 23, restricionat numai spre anumite sisteme; ) Ftp, porturile 20 i 21, restricionat numai spre anumite sisteme; ) SMTP, portul 25, restricionat numai spre un server central de mail; ) RIP, portul 25, care poate fi uor nelat i determinat s redirecioneze pachete; ) DNS, portul 53, care poate furniza informaii despre adrese, nume, foarte urmrit de atacatori; ) UUCP (Unix to Unix CoPy), portul 540, care poate fi utilizat pentru acces neautorizat; ) NNTP (Network News Transfer Protocol), portul 119 pentru accesul la diferite tiri din reea; ) http, (portul 80), restricionat spre o poart de aplicaii pe care ruleaz servicii proxy. Nivelurile de filtrare a pachetelor corespund nivelelor din arhitectura OSI sau TCP/IP. Antetul de reea IP conine patru cmpuri relevante pentru filtrarea pachetelor: cele dou adrese, surs i destinaie, tipul de protocol de nivel transport i cmpul de opiuni IP. Opiunea IP cea mai relevant pentru faciliti de filtrare este dirijarea de la surs (source routing). Ea permite expeditorului unui pachet s specifice ruta pe care acesta o va urma spre destinaie. Scopul su este de a nu trimite pachete n zone n care tabelele de dirijare ale pachetelor sunt incorecte sau ruterele sunt defecte. Antetul de nivel transport conine cmpurile port surs i destinaie i cmpul de indicatori (flag-uri). TCP fiind un protocol orientat pe conexiune, naintea transferului de pachete se sabilete ruta prin intermediul unui pachet de setare care are cmpul ACK de un bit setat pe 0. Bitul ACK este foarte important din punct de vedere al filtrrii. Dac se dorete blocarea unei conexiuni TCP este suficient a se bloca primul pachet identificat prin valoarea 0 a cmpului ACK. Chiar dac urmtoarele pachete cu ACK =1
Coala Mod Coala N Document Semnat Data
27
corespunztoare aceleiai conexiuni vor trece prin filtru , ele nu vor fi asamblate la destinaie din cauza lipsei informaiilor despre conexiune, informaii coninute n primul pachet. Practic, conexiunea nu va fi realizat. Pe baza acestei particulariti se poate impune o politic de securitate care permite clienilor din interior s se conecteze n exterior la servere externe, dar nu permite clienilor externi s se conecteze n interior (la servere interne). n filtrarea UDP sunt posibile mai multe abordri: - interzicerera tuturor pachetelor UDP; - permiterea conexiunilor la anumite porturi UDP standard, considerate mai puin periculoase; - se poate seta ruterul ca s monitorizeze pachetele care pleac din interior spre exterior astfel ca ele s fie rspuns pachetele (cererile) memorate (filtrare dinamic).
28
mecanisme criptografice avansate. Filtrarea dup serviciu este de fapt filtrarea dup porturile surs i destinaie. n UNIX porturile privilegiate (0 1023) sunt ocupate doar de servere, nu de clieni. Pe aestea ruleaz aplicaii sau servicii specifice superuser-ilor. Porturile mai mari de 1024 sunt folosite de clieni i se pot aloca n mod aleator.
29
- concepii de proiectare - practici de configurare i strategii de verificare - componente software. Cteva dintre componentele soft sunt urmtoarele: 1. SMAP/SMAPT pentru serverul de pot electronic. El ajut la implementarea serviciului SMTP. SMAP accept mesaje venite din reea pe care le scrie ntr-un director propriu fr a permite accesul la restul sistemului de fiiere. Fiierele create n acest director sunt blocate pn se ncarc n ntregime. Ulterior se deblocheaz i permite smapd-ului s acioneze asupra sa. Smapd-ul este un program care inspecteaz coada, scoate fiierele i le trimite destinatarului prin sendmail. 2. FTP-GW este un server proxy pentru ftp care poate efectua operaii de tipul logare, interzicere, autentificare etc. Pentru autentificare sunt recunoscute mai multe protocoale: SecurID produs de Security Dynamics, SNK produs de Digital Patways, Silver Card etc. 3. 4. TELNET-GW este un server proxy pentru telnet folosit la conectarea utilizatorului PLUG-GW este un server proxy generic care suport o gam restrns de la sistem. protocoale i utilizatori. El examineaz adresa de la care s-a iniiat conexiunea i portul pe care a primit-o i creaz o nou conexiune la un alt sistem gazd pe acelai port.
30
fiecare cerere de acces la resursele de reea, se valideaz individual intrarea n tabel iar parolele se genereaz individual pe baza unui algoritm. Cartelele inteligente se bazeaz pe mecanismul numit rspuns la provocare care funcioneaz astfel : - utilizatorul introduce un nume de logare - sistemul genereaz un numr aleator (provocare) i l trimite utilizatorului - utilizatorul cripteaz acest numr cu o cheie cunoscut de sistem i trimite rezultatul - sistemul cripteaz i el acel numr aleator cu aceeai cheie i compar rezultatele. n caz de coinciden solicitantul este acceptat n sistem.
31
Concluzie
n concluzie, pentru a trata toate aspectele referitoare la securitatea unei reele trebuie abordate dou aspecte protecia la atacurile din interior i la atacurile din exterior. De asemenea, protecia unei reele de calculatoare nu se realizeaz dor la nivel logic, al aplicaiilor, ci i la nivel fizic, al securitii echipamentelor. Un echipament, aflat ntr-o locaie public, n care au acces multiple catogorii de persoane, sunt mult mai susceptibile la atacuri la nivel fizic dect cele situate n locaii cu control strict al accesului. O buna practic ne nva c politicile de securitate trebuie aplicate la toate nivelurile ierarhice ale unei reele de calculatore nu doar la nivelul access, unde se regsesc utilizatorii finali. De asemenea, utilizarea programelor de protecie antivirus i firewall pentru protejarea calculatoarelor i serverelor este necesar la orice nivel al reelei de date.
32
Bibliografie
www.ro.wikipedia.org
www.Scribd.com
www.facultate.regielive.ro
33
Recenzie
34