Autentificarea, autorizarea și controlul accesului în sisteme distribuite [306642]
UNIVERSITATEA „TRANSILVANIA” DIN BRAȘOV
DEPARTAMENTUL Automatică și Tehnologia Informației
Programul de studiu: Automatică și Informatică Aplicată
KIRMÁJER Előd
Autentificarea, autorizarea și controlul accesului în sisteme distribuite
Îndrumător:
Conf. Dr. ing. Delia UNGUREANU
BRAȘOV
2016
Lista de figuri
Figura 1 -Modul de funcționare a semnăturii digitale 14
Figura 2:RAID 0 26
Figura 3:RAID1 27
Figura 4:RAID 2 28
Figura 5: RAID 3 28
Figura 6: RAID 4 29
Figura 7: RAID 5 30
Figura 8: RAID 6 30
Figura 9: RAID 10 31
Figura 10: Structura cutiei industriale 34
Figura 11: Infrastructura rețelei locale 35
Figura 12: Configurația RAID Domain controllerului 36
Figura 13: Microserver HP Proliant G8 37
Figura 14: Configurația RAID serverului bazei de date 37
Figura 15: [anonimizat] 38
Figura 16: [anonimizat] 40
Figura 17: Setarea folderelor 41
Figura 18: Aplicația DFS management 42
Figura 19: [anonimizat] 42
Figura 20: Logshiping 43
Figura 21: Comunicația echipamentelor 46
Figura 22:Clasele IP care comunică prin router 48
Figura 23: Adresele blocate in router 49
Figura 24 Redirecționarea comunicarii 50
Figura 25: Configurația PuTTY 51
Figura 26: Configurarea adreselor 52
Figura 27: Dispozitive criptografice 54
Figura 28: Pornirea aplicației de semnătură digitală 55
Figura 29Crearea și verificarea semnăturii digitale 55
Capitolul 1 – [anonimizat]. [anonimizat]: Internet, Intranet, sisteme workflow care coordoneaza activitatea angajatilor intr-o [anonimizat], sisteme cloud.
In cadrul unei instituții in care lucrează foarte multe angajați este nevoie să realizăm un sistem informatic unitar. Acestea trebuie sa fie usor de administrat și întreținut. Realizarea sistemului cu cât mai multe componente și echipamente similare ajută foarte mult în admisitrarea și mentenanța lui și reduce foarte mult prețul sistemului. [anonimizat] o [anonimizat], ale sistemului. [anonimizat].
Un sistem distribuit este cea mai buna soluție care îndeplinește aceste criterii. [anonimizat]. Cu setarea corectă putem modera accesul unui user la datele altora sau să facem grupări în care utilizatorii selectați au acces la datele colegilor din grup.
Importanța aspectelor de securitate in rețele de calculatoare a crescut odată cu extinderea prelucrărilor electronice de date și a transmiterii acestora prin intermediul rețelelor. [anonimizat], cu transmiterea în clar a acestora. [anonimizat] .
[anonimizat], pe fiecare trebuie să ne cream un cont de utilizator, completând cu atenție formulare de înregistrare, să reținem parole, și să le introducem de fiecare dată când vrem să accesăm conținutul. Acest lucru devine plictisitor și repulsiv, și în același timp informațiile noastre confidențiale sunt expuse la potențiale atacuri de fiecare dată. Mulți dintre noi refolosim același parole în mai multe locuri, crescând astfel riscul unui compromis neplăcut.
În cadrul acestei lucrări, prezenetăm cum este conceput și cum a fost dezvoltată rețeaua informatică intr-o instituție publică, în Consiliul Județean Harghita. Tratăm separat, partea hardware și partea software.
În partea hardware este detaliat modul în care a fost concepută, proiectată și creată rețeaua calculatoarelor și ce echipamente sunt folosite pentru menținerea performanței și securității lui.
În cealaltă parte am descris ce aplicații și sisteme de operare sunt rulate pe diferite servere și echipamente pentru a permite o funcționare corectă și sigură a sistemului informatic. Acesta include programele de criptare, semnătură digitală și setările speciale a sistemuli de operare linux ca să-l folosim ca gateway sau server de mail.
La sfârșitul lucrării tragem o colncluzie despre acest sistem, despre beneficiile și dezavantajele uniui astfel de sistem și cum am putea să-l dezvoltam mai departe.
Capitolul 2 – Aspecte teoretice
Sisteme distribuite
Un sistem distribuit este un sistem ale carui componente se află pe calculatoare interconectate în rețea, comunică și se coordonează prin transfer de mesaje. Conform lui Andrew Tanenbaum, “A distributed system is a collection of independent computers that appears to its users as a single coherent system”[1]
„Motivația pentru construirea și utilizarea sistemelor capabile de calcul paralel vine din nevoia de a reduce timpul de calcul prin diviziunea unei probleme mari în sub-probleme ce se pot rezolva simultan pe structuri de calcul adecvate, iar sistemele informatice distribuite răspund cerințelor de simultaneitate a calcului paralel și au în plus facilități de a putea partaja unele resurse scumpe: hardware (imprimante, discuri, scanere, faxuri) și software (pagini web, baze de date, fișiere). Din punct de vedere al investiției în echipamente, costurile se pot reduce considerabil, dacă se utilizează un sistem distribuit care partajează unele resurse hardware scumpe (imprimante, servere cu baze de date, plăci pentru achiziție de date, discuri, scanere, faxuri etc.), dar și a unor produse software cu licențe scumpe (medii de programare, limbaje de programare, programe utilitare, programe pentru achiziții de date etc.). Acest lucru se face de obicei în organizații (instituții, întreprinderi) prin organizarea sistemului de calcul într-o rețea Intranet în care este reglementat accesul distribuit la resurse.
Partajarea resurselor se face începând de la indivizi foarte apropiați (de exemplu, membri unei familii sau colegi de serviciu care folosesc aceeași imprimantă sau cooperează în mod direct prin partajarea unor fișiere comune dintr-un intranet local) și până la indivizi care nu se cunosc între ei și nici nu intră vreodată în contact (de exemplu, utilizatorii unor motoare de căutare pe Internet). În cadrul partajării resurselor într-un sistem distribuit denumirea de serviciu este considerată ca o parte distinctă a unui sistem care face managementul unei colecții de resurse asemănătoare și face publică funcționalitatea lor utilizatorilor și aplicațiilor care apelează la ele. Dacă, de exemplu invocăm un fișier partajat cu ajutorul unui serviciu pentru fișiere, accesul se face de fapt printr-o serie de operații: read, write, delete. Termenul de server se referă la un program care rulează (proces) pe un computer dintr-o rețea și care acceptă cereri de la computere din rețea, iar cei care trimit cereri poartă numele de clienți, funcționalitatea fiind asigurată prin protocolul client/ server. Într-un sistem distribuit care este modelat prin folosirea programării orientate obiect, resursele pot fi încapsulate ca obiecte și pot fi accesate de așa numiții client object prin cererea unei metode de la server object.” [2]
Caracteristici și avantajele specifice ale unui sistem ditribuit
Din modul de definire a sistemelor distribuite rezultă câteva caracteristici de bază ale lor:
concurența: există o concurența a programelor dintr-un sistem distribuit pentru folosirea anumitelor resurse. O problema este coordonarea programelor concurente ce acceseaza resurse partajate.
Lipsa unui ceas global: este o consecintă a faptului că unicul mecanism de comunicare între componente este transferul de mesaje. Acest lucru limitează capacitatea computerelor din rețea de a-și sincroniza ceasurile interne.
Erori independente: Orice componenta a unui SD poate fi afectata de erori si proiectantul trebuie sa aiba in vedere acest lucru. Un defect în rețea poate duce la izolarea unor computere, însă rețeaua va funcționa în continuare Exemple de erori: deconectarea sau defectarea unui calculator din retea, terminarea neasteptata a unui program.
Dificultatea construirii unor astfel de sisteme apare în momentul elaborării algoritmilor de prelucrare ce sunt folosiți în sistemele distribuite. Algoritmii utilizați în sistemele distribuite, pe lângă faptul trebuie să fie corecți, flexibili și eficienți, trebuie să țină cont de resursele care pot fi puse să lucreze în paralel și de modul de comunicare între acestea. Dezvoltarea unui algoritm distribuit diferă esențial față de dezvoltarea unui algoritm centralizat, mai ales datorită particularității sistemelor distribuite, cum ar fi lipsa informațiilor despre starea globală, lipsa unui timp global, nedeterminismul etc.
Criptografia
Criptografia reprezintă o ramură a matematicii care se ocupă cu securizarea informației precum și cu autentificarea și restricționarea accesului într-un sistem informatic. În realizarea acestora se utilizează atât metode matematice (profitând, de exemplu, de dificultatea factorizării numerelor foarte mari), cât și metode de criptarea cuantică.
Criptologia este considerată ca fiind cu adevărat o știință de foarte puțin timp. Aceasta cuprinde atât criptografia – scrierea secretizată – cât și criptanaliza.
Criptarea se împarte în doua mari categorii: criptarea simetrică si cea asimetrică.
Înainte de epoca modernă, criptografia se ocupa doar cu asigurarea confidențialității mesajelor (criptare) – conversia de mesaje dintr-o formă comprehensibilă într-una incomprehensibilă, și inversul acestui proces, pentru a face mesajul imposibil de înțeles pentru cei care interceptează mesajul și nu au cunoștințe secrete adiționale (anume cheia necesară pentru decriptarea mesajului). În ultimele decenii, domeniul s-a extins dincolo de problemele de confidențialitate și include, printre altele, și tehnici de verificare a integrității mesajului, autentificare a emițătorului și receptorului, semnătură electronică, calcule securizate.
Criptografia, folosită intr-un protocol de securitate, dorește să asigure următoarele deziderate fundamentale pentru securitatea informației: confidențialitate, integritatea datelor, autenticitatea și ne-repudierea.
Criptografia cu chei simetrice
Criptografia cu chei simetrice se referă la metode de criptare în care atât trimițătorul cât și receptorul folosesc aceeași cheie (sau, mai rar, în care cheile sunt diferite, dar într-o relație ce la face ușor calculabile una din cealaltă). Acest tip de criptare a fost singurul cunoscut publicului larg până în 1976.
Problema fundamentală a utilizării criptografiei în rețele este aceea a găsirii unor modalități de distribuție sigură și periodică a cheilor criptografice, fiind necesar ca acestea să fie schimbate cât mai des. Uzual, se folosește un protocol de schimbare de chei între participanți, sau criptografia cu chei publice. Fiindcă securitatea criptării simetrice depinde mult de protecția cheii criptografice, administrarea acestora este un factor important și se referă la:
generarea cheilor, adică mijloacele (pseudo)aleatoare de creare a succesiunii de octeți (biți) ai cheii
distribuția cheilor, adică modul în care se transmit și se fac cunoscute cheile tuturor utilizatorilor cu drept de acces la informațiile criptate
memorarea cheilor, adică stocarea lor sigură pe un suport magnetic sau pe un card, de obicei criptate sub o altă cheie de cifrare a cheilor, numită și cheie master.
„Algoritmii de criptare cu chei simetrice (cele mai populare sunt: Twofish, Serpent, AES (Rijndael), Blowfish, CAST5, RC4, TDES, IDEA) se pot împărți în două categorii: cifru pe blocuri și cifru pe flux.
Cel mai celebru cifru simetric pe blocuri, DES (Data Encryption Standard) are deja peste 20 de ani. El este primul standard dedicat protecției criptografice a datelor de calculator. Progresele tehnologice au impus înlocuirea DES-ului care a devenit vulnerabil. S-a demonstrat de curând că, folosind o mașină paralelă complexă, se poate găsi, într-un timp de aproximativ 60 de ore, o cheie de 56 de biți cu care a fost criptat un bloc de text clar. Din acest motiv, în 2000, organizația guvernamentală americană NIST (National Institute of Standards and Technology) a selectat algoritmul Rijndael (AES), dezvoltat de doi criptografi belgieni, Joan Daemen și Vincent Rijmen, să fie noul standard în criptografie simetrică.” [3]
Criptografia cu chei asimetrice
Criptografia cu chei asimetrice se mai numește și criptografie cu chei publice.
„Conceptul de criptografie cu chei publice a fost introdus de Whitfield Diffie ¸si Martin Hellman și independent de aceștia de Ralph Merkle. În criptografia cu chei publice sunt două tipuri de chei: o cheie publică și o cheie privată.
Aceste două chei sunt dependente una de cealaltă, dar aproape imposibil de calculat una din ele dacă nu se cunoște cealaltă. Astfel, una dintre chei se poate face publică și stocată în domeniul public iar cealaltă va fi cheia privată, cunoscută numai de către posesor. Folosind cheia publică se poate cripta un mesaj care nu va putea fi decriptat decât cu cheia pereche, cea privată.
Un exemplu foarte bun pentru acest proces este cutia postală. Oricine poate sa depuna un mesaj, dar la mesaj doar posesorul cheii are acces. Criptografia cu chei asimetrice se poate folosi atât la asigurarea confidențialității cât ¸si la asigurarea autenticității (semnătura digitală).
Dacă mesajul a fost criptat cu cheia privată, se poate decripta de oricine cu cheia publică. Acesta se numește semnătură digitală, pentru că se cunoaște destinatarul mesajului (având în posesie cheia secretă pentru a genera mesajul), și se poate dovedi că mesajul este nemodificat. O analogie pentru semnăturile digitale ar fi sigilarea unui plic folosind un sigiliu personal. Plicul poate fi deschis de oricine, dar sigiliul personal este cel care verifică autenticitatea plicului. Matematic, cele două chei sunt legate, însă practic nu se pot deriva una din cealaltă. Avantajul evident constă în faptul că cheia secretă este cunoscută doar de o singură entitate, și nu trebuie trimisă niciodată, fiind astfel aproape imposibil de atacat cu succes, în cazul în care este folosit corect.”[4]
„O problemă pentru criptografia asimetrică este dovedirea autenticității cheii publice, trebuie dovedit că nu a fost înlocuită de o a treia persoană malițioasă. O abordare comună este folosirea unei infrastructuri pentru chei publice ( PKI – Public Key Infrastructure ), în interiorul căreia, una sau multe „third-parties”, cunoscute sub numele de autorități de certificare (CA – Certification Autority), certifică posesorul perechii de chei. O altă abordare, folosită de PGP (Prety Good Privacy), un program care garantează securitate criptografică și autentificare, este metoda „web of trust” pentru a asigura autenticitatea perechii de chei, o metodă descentralizată prin care orice utilizator, prin intermediul unui certificat de identitate, poate garanta autenticitatea.” [5]
„Criptosistemul RSA este unul dintre cei mai cunoscuți algoritmi criptografici cu chei publice, și este de asemenea primul algoritm utilizat atât pentru criptare, cât și pentru semnătura electronică. Algoritmul a fost dezvoltat în 1977 și publicat în 1978 de Ron Rivest, Adi Shamir și Leonard Adleman la MIT și își trage numele de la inițialele numelor celor trei autori. Algoritmul implică trei stări: generarea cheilor, criptarea și decriptarea.” [6] „RSA folosește produsul dintre două numere prime mari pentru a cripta si decripta, făcînd atît criptarea cheiei publice cât și semnatura digitală. Securitatea acestei metode se bazează pe dificultatea descompunerii numerelor mari, o problemă la care nu a fost gasită o soluție practicabilă până în prezent. Cel mai mare număr factorizat vreodată avea 663 biți, iar cheile folosite de obicei au o lungime de 1024 sau 2048 biți, ceea ce demonstrează siguranța acestui algoritm.” [7]
În schema de mai jos este ilustrat modul de funcționare a semnaturii digitale.
Figura 1 -Modul de funcționare a semnăturii digitale
Funcția Hash
„Se poate numi o funcție hash (message digest) orice procedură bine definită sau o funcție matematică care convertește o cantitate mare de date (de dimensiuni variabile) într-un alt set de date, de obicei mult mai redus ca dimensiune, și de lungime fixă. Funcția este ireversibilă, iar aceleași date de intrare vor avea ca rezultat aceleași date de ieșire daca se aplică aceeași funcție hash pe ele. Pentru hash-urile bune, coliziunile (două texte clare diferite care produc același hash) sunt extrem de dificil de găsit. Funcțiile hash sunt folosite în mai multe domenii, de exemplu pentru a accelera căutările în tabele, sau baze de date mari, ca sume de control, coduri de corectoare de erori, sau în criptografie, componente în schemele de semnătură digitală. Cele mai des folosite funcții hash in criptografie sunt MD5 (Message Digest Algorithm 5) și SHA1 (Secure Hash Algorithm), cea din urmă fiind mai sigură.”[7] În următorul tabel este rezultatul celor două funcții aplicate pentru textul “Hello World!”
Tabelul 1 Rezultatul funcțiilor hash SHA1 și MD5
Backup de date
În tehnologia informației, procesul salvării și arhivării datelor cu scopul de a-le putea recupera în cazul în care versiunea originală se strică este numit backup. Backup-ul are două scopuri. Scopul cel mai important este recuperarea datelor după ce ele sunt pierdute sau șterse. Al Obiectivul secundar când facem un backup este posibilitatea de a reseta datele într-o versiune anterioară.
Crearea backupului este o parte foarte importantă în planul pentru recuperarea datelor in cazul unei defecțiuni grave. Doar backup-ul nu poate fie considerată ca o metodă sigură de recuperarea totală. Nu toate sisteme de backup pot salva și reconstrui o configurație coplexă de calculatoare sau setări comlpexe. Doar prin restabilirea datelor nu putem să repornim un sistem de directoare active, sau un server de bază de date.
Tipuri de backup pentru servere
Pentru ceva timp, existau trei metode principale de backup pentru servere. Backup complet, incremental si diferential.
Backup complet
Backup-ul complet este exact ceea ce sugereaza numele. Este o copie completă al intregului set de date. Chiar daca el ofera cea mai buna solutie, cele mai multe organizatii il folosesc doar periodic, pentru ca consuma foarte mult timp, si necesita un spatiu de stocare mai mare.
Backup Incremental
Pentru ca backupul complet necesita mult timp, a fost introdusă metoda incrementală pentru a micsora timpul necesar pentru aceasta operație. Backupul incremental salvează doar data care a fost modificată de la ultima salvare completa. De exemplu, luni a fost facut un backup complet si am folosit backup incremental in restul saptamanii. Backup-ul de marti conține doar datele care au fost modificate dupa luni, iar cel din miercuri doar datele care s-au schimbat după backupul anterior. Dezavantajul principal este, că consumă mai mult timp recrearea datelor. Pornind de la exemlul mai sus, pentru recuperarea datelor de miercuri, mai intai trebuie sa recuperam complet datele de luni, urmand cu datele de marți si miercuri. Dacă una dintre salvarile lipsește sau este stricată, nu mai putem să facem o recuperare completă.
Backup diferential
Este asemanator cu backup-ul incremental și el începe cu un backup complet si salvările subsecvente conțin doar date care s-au schimbat. Pentru a determina dacă un fișier a fost modificat de la ultimul backup complet se folosește "bitul de arhivare" care este setat de către orice operațiune de modificare sau copiere a fișierului de pe un disc pe altul. Backupul incremental va analiza acest bit, în timp ce un backup complet îl va ignora; însă ambele proceduri îl vor reseta. Diferența este că backup-ul diferențial conține toate datele care s-au schimbat după backup complet. De exemplu, luni a fost făcut un backup complet iar în restul săptămânii backup diferențial. Salvarea facută marți o să contina doar schimbările facute în aceasi zi. Pâna la acest punct este identic cu backup incremental. Dar miercuri, backup-ul diferențial va salva toate datele modificate de luni.
Avantajul fața de backupul incremental este micșorarea timpului de recuperare completă a datelor. Recuperarea nu necesită mai mult de două salvări, backup-ul complet si ulitmul backup diferențial. Dezavantajul este că, cu trecerea timpului backup-ul diferential poate să creasca mult mai mare decat beckup-ul incremental.
Backup complet sintetic
Este o procedură care crează un nou backup complet preluând informațiile dintrun backup complet și din cel diferențial sau incremental. Soluția este adoptată atunci când intervalul de timp disponibil pentru backup este prea scurt pentru alte opțiuni. Procedura asigură crearea offline a unui backup complet, permițând funcționarea rețelei fără întreruperi sau scăderi ale vitezei.
Instantanee ale sistemului de fișiere
Reprezintă o imagine "înghețată" la un anumit moment de timp (o "poză" – snapshot) a unui sistem de fișiere. Această strategie este disponibilă în cele mai recente versiuni de UNIX. Instantaneele oferă urmatoarele avantaje: realizarea unor backupuri ale sistemului de fișiere în diferite momente ale zilei fără a fi nevoie de spațiu tradițional de stocare foarte mare, reprezintă o metodă de a efectua verificări ale integrității unui sistem de fișiere care rulează și se modifică, backupuri sigure realizate în timp scurt.
Instantaneele sistemului de fișiere permit administratorului de sistem să facă, după dorință, un backup al sistemului fără a fi nevoit să oprească aplicații în scopul de e evita modificarea datelor în timpul procesului de backup. Metoda devine foarte atrăgătoare atunci când este vorba de un backup al unei baze de date.
Strategii pentru crearea unui backup
Pentru responsabilul cu salvarea datelor viața devine tot mai grea. Deși volumul de date produs de activitățile firmei este în creștere explozivă, timpul de backup și cel de restaurare trebuie să rămână constant sau chiar să scadă.
Trebuie să luam în considerare următorii factori când vrem sa facem un backup:
– cât de valoroase sunt fișierele?
– care ar fi consecințele pierderii fișierelor?
– care este frecvența de modificare a fișierelor?
– câte versiuni anterioare ale fișierelor sunt necesare?
– ce limitări sunt impuse dispozitivelor de backup (timp, capacitate, costuri)?
– este necesară transportarea sau distribuirea fișierelor salvate?
– cât de important este accesul instantaneu la fișierele salvate?
Acești factori pot fi împărțiți în câteva categorii importante pe combinarea cărora se bazează strategiile de backup. În final, este nevoie de un plan care să permită restaurarea facilă și rapidă a datelor atunci când este necesar.
Valoarea
La elaborarea unei strategii de backup, luați în considerare costurile (de timp și de bani) implicate de înlocuirea fișierelor pierdute. De exemplu, pentru o companie de asigurări care administrează informații despre clienți și daunele pretinse de ei, pierderea fișierelor poate fi considerată un dezastru. În acest caz, salvarea zilnică a fișierelor pe medii diferite de stocare poate deveni foarte importantă.
Modificarea
Frecvența de modificare a fișierelor este un alt factor important care trebuie avut în vedere la elaborarea unei strategii. Pentru o firmă care face livrări prin poștă, pierderea datelor acumulate în numai câteva ore poate produce pierderi financiare serioase. O strategie recomandabilă ar fi salvarea periodică, de mai multe ori pe zi, a fișierelor care se modifică.
Capacitatea suportului și viteza dispozitivului
Ideal ar fi să se facă zilnic un backup complet. Însă acest lucru nu este totdeauna posibil din cauza restricțiilor impuse de timp, suport sau dispozitiv. Strategia de backup va depinde de tipul echipamentului de backup utilizat sau, în cazul ideal, dispozitivul va fi ales în funcție de strategie.
Portabilitatea
Portabilitatea suportului pe care se face backupul poate fi un factor care influențează strategia ce urmează a fi implementată. În situațiile în care este necesară "mișcarea" fișierelor în departament sau trimiterea lor în alt loc, este indicat să se utilizeze un dispozitiv de backup pentru a realiza transportul fizic al datelor. De asemenea, poate fi util ca și dispozitivul de backup de la destinație utilizat să fie același tip de suport.[8]
Autentificarea Secures Socets Layer(SSL)/Transport Layer Security(TLS)
“Tehnologia care permite utilizarea certificatelor digitale, este un protocol de la nivelul transport care oferă o securitate deosebită de tip end-to-end, prin securizarea sesiunii din punctul de origine până în punctul destinație. SSL se referă în general la securitatea comunicării între două părți. Acest lucru poate însemna comunicarea dintre un browser Web și un server Web, o aplicație e-mail și un server e-mail sau chiar canalele de comunicație dintre două servere. SSL poate de asemenea să autentifice un server și, în mod opțional, un client. SSL a devenit astfel, metoda de facto pentru securizarea comerțului electronic prin Internet. SSL este un protocol orientat pe conexiuni care necesită ca atât aplicația client cât și serverul să cunoască acest protocol. În cazul în care este necesar SSL la nivelul unui server, aplicațiile care nu pot să utilizeze acest protocol nu vor putea comunica cu acesta.
SSL oferă servicii de securitate printre care se numără:
• confidențialitatea (privacy),
• autentificarea
• integritatea mesajului.
SSL oferă integritatea mesajului prin utilizarea unei verificări de securitate cunoscută sub numele de codul de autentificare al mesajului (message authentication code – MAC). MAC asigură faptul că sesiunile criptate nu sunt modificate în timpul tranzitului.
SSL oferă autentificarea serverului prin utilizarea tehnologiei de criptare cu cheie publică și, în mod opțional, poate autentifica anumiți clienți prin necesitatea existenței de certificate digitale la nivel de client. În practică, certificatele pentru clienți nu sunt disponibile pe scară largă deoarece nu sunt ușor portabile între mașini, pot fi ușor pierdute sau distruse, fiind în trecut și dificil de instalat în aplicațiile reale. De asemenea, multe site-uri Web au găsit satisfăcătoare din punct de vedere al securității pentru cele mai multe cazuri, combinația de SSL utilizată împreună cu un nume de utilizator și o parolă.
Internet Engineering Task Force (IETF) este organizația responsabilă pentru dezvoltarea standardului SSL. Noul standard este cunoscut sub numele de Transport Layer Security (TLS), dezvoltat inițial de Netscape Communications Corporation. TLS 1.0 definit în RFC 2246, oferă îmbunătățiri minore față de SSL 3.0. În realitate TLS este SSL 3.1
Noile îmbunătățiri cuprind: raportarea unui număr de versiune, diferențe în tipurile de protocoale, tipuri de mesaje de autentificare, generarea cheilor și verificarea certificatelor. În plus, TLS elimină suportul pentru algoritmul Fortezza, o familie de produse de securitate care cuprinde soluțiile de securitate Personal Computer Memory Card International Association (PCMCIA). Deoarece TLS este un standard deschis, este de așteptat ca întreaga comunitate Internet să coopereze pentru îmbunătățirea performanței și securității acestuia.”[9]
Tehnici, servicii și soluții de securitate pentru Intranet-uri și portaluri, legătura SSL-HTTP
Sesiunile Web standard utilizează HyperText Transfer Protocol (HTTP) pentru stabilirea canalelor de comunicație prin rețelele TCP/IP. A fost creat un protocol de securitate SSL, care îmbunătățește standardul HTTP. Din punct de vedere logic, SSL este plasat între protocolul aplicație HTTP și nivelul de conversație TCP, din punctul de vedere al TCP SSL fiind doar un alt nivel protocol de nivel aplicație. Deoarece SSL se comportă ca o îmbunătățire, adăugarea SSL la protocoalele existente este ușoară, protocoalele de bază nu trebuie rescrise. Datorită flexibilității, SSL este capabil să cripteze aproape întregul trafic bazat pe TCP. Mai mult, SSL a fost utilizat pentru a oferi securitate pentru e-mail (SMTPS, POP3S, IMAPS), news (NNTPS), Telnet (Telnets), FTP (FTPS). Dar SSL nu poate să îmbunătățească comunicația prin UDP(User Datagram Protocol). În general traficul Web bazat pe SSL ulilizează portul 443 în locul portului standard 80. Browser-ele Web vor crea o sesiune SSL prin utilizarea HTTPS în locul HTTP.
Pentru funcționarea unei sesiuni bazată pe SSL, trebuie luate în calcul o serie de elemente. Astfel, serverul Web necesită un certificat digital împreună cu o cheie privată corespunzătoare. Cel mai mare distribuitor de certificate pentru server este VeriSign. Obținerea și instalarea unui certificat SSL de la VeriSign presupune un proces în mai mulți pași: generarea unei cereri, trimiterea unui Certificate Signing Request (CSR), completarea unui formular prin care se autentifică un utilizator sau o afacere, instalarea identificatorului de server și activarea SSL pentru serverul Web. Autentificarea prin VeriSign presupune și verificarea datelor trimise de organizația care necesită un certificat. Înainte de stabilirea unei sesiuni SSL, clientul trebuie să cunoască de asemenea acest protocol. În momentul existenței elementelor necesare, clientul și serverul pot stabili o conexiune securizată. Procesul prin care se stabilește o conexiune între un client și un server (de exemplu cumpărare online), se desfășoară în mai mulți pași. SSL utilizează o combinație de criptări cu chei publice și secrete.
Datele brute ale unei sesiuni SSL sunt întotdeauna criptate cu cheia secretă, fiind mult mai puțin consumatoare de resurse din punct de vedere al procesării decât criptarea cu cheie publică.
„O sesiune SSL cuprinde următorii pași:
ClientHello – în acest pas, clientul trimite un mesaj către server (ClientHello) cerând opțiuni de conectare SSL, între care numărul de versiune al SSL, setările cifrului, date generate în mod aleator care stau la baza calculelor criptografice și metoda de compresie utilizată;
ServerHello – după primirea mesajului ClientHello, serverul ia la cunoștință recepția prin trimiterea unui mesaj ServerHello care conține numărul de versiune al protocolului, setările cifrului, date generate aleator, metoda de compresie și identificatorul de sesiune;
ServerKeyExchange – imediat după trimiterea ServerHello, serverul trimite un mesaj de tip ServerKeyExchange către client care conține certificatul cu cheia publică. În cazul în care sunt necesare și certificate din partea clienților, este generată o cerere în acest sens;
ServerHelloDone – după ServerKeyExchange, serverul trimite un mesaj final prin care se indică finalizarea negocierii inițiale;
ClientKeyExchange – după recepționarea mesajului de tip ServerHelloDone, clientul răspunde cu mesajul ClientKeyExchange care constă în cheia simetrică a sesiunii, criptată cu cheia publică a serverului, primită în pasul 3;
ChangeCipherSpec – în acest pas clientul trimite către server un mesaj de tip ChangeCipherSpec în care specifică ce setări de securitate ar trebui invocate /utilizate;
Finished – clientul trimite mesajul Finished, prin care se permite determinarea finalizării cu succes a negocierii și dacă opțiunile de securitate au fost sau nu compromise în orice stagiu anterior;
ChageCipherSpec – serverul trimite către client un mesaj de tip ChangeCipherSpec, prin care se activează opțiunile de securitate invocate;
Finished – serverul trimite un mesaj de tip Finished, permițând clientului să verifice opțiunile de securitate activate. După trimiterea acestui mesaj, negocierea este finalizată, iar conexiunea este stabilită. În continuare, toate comunicațiile sunt criptate, până la terminarea sau finalizarea sesiunii. “ [10]
Performanța SSL
„ Dacă SSL oferă o asemenea securitate, de ce nu se criptează întregul trafic? Deși este o idee bună, în procesul de criptare și stabilire a unei conexiuni SSL este implicat și foarte mult trafic adițional, din cauza naturii protocolului HTTP care creează o nouă sesiune pentru fiecare obiect cerut dintr-o pagină Web. De exemplu, într-o simplă tranzacție în care browser-ul cere o singură pagină de text cu patru imagini, generează cinci cereri GET (una pentru pagină și patru pentru imagini). Prin utilizarea SSL, pentru fiecare din aceste sesiuni trebuie negociate chei separate de criptare. Pentru a înrăutății și mai mult lucrurile, utilizatorii frustrați de timpul de răspuns reîncarcă pagina în browser-ul Web (refresh), generând și mai multe conexiuni SSL. Pentru îmbunătățirea performanțelor SSL se pot aplica următoarele:
• utilizarea de acceleratoare de criptare hardware, proces care nu necesită rescrierea paginilor Web sau achiziționarea de servere adiționale;
• utilizarea de pagini SSL simple, cu cât mai puține imagini; utilizarea SSL numai pentru anumite pagini Web selectate, precum acelea prin care se trimit informații privitoare la cărțile de credit; cache-ingul conexiunilor SSL permite de asemenea îmbunătățirea performanțelor, deoarece stabilirea unei noi conexiuni necesită de cinci ori mai mult timp decât reconectarea la o sesiune păstrată în cache.
Cu toate acestea, activarea sesiunilor SSL în cache este dificil de implementat – dacă timpul de expirare este stabilit prea mare, serverul poate consuma prea multă memorie prin păstrarea conexiunilor neutilizate.
De asemenea, cache-ul pentru Intranet-uri și portaluri conexiunilor nu ar putea fi dezirabil din punct de vedere al securității paginilor dintr-un site. De exemplu, o aplicație bancară online ar trebuie să favorizeze securitatea și să nu activeze cache-ingul conexiunilor.
Riscuri de securitate în SSL
SSL nu oferă nici o protecție în afara sesiunilor, iar serverele Web care permit utilizarea SSL nu pot să ofere protecție pentru date care sunt stocate în format text în server. SSL nu oferă protecție împotriva atacurilor bazate pe Web precum exploatarea diverselor puncte slabe prin scripturi CGI. De asemenea, SSL nu oferă nici un mecanism pentru controlarea drepturilor de securitate (ceea ce îi este permis unei persoane să facă după autentificarea pe un server). În cele din urmă, SSL nu protejează împotriva atacurilor de tip Denial of Service și rămâne vulnerabil la analiza traficului. Pentru a oferi un nivel de securitate adecvat, serverele care lucrează cu SSL ar trebui să suporte criptarea pe 128 biți și o cheie publică pe 1024 biți. Certificatele la nivel de server auto-semnate pot oferi securitate, dar nu și autentificare. Un certificat auto-semnat nu este considerat sigur de către mașina client fără a executa anumiți pași adiționali.” [11]
Configurația uniățiilor de stocare în RAID
RAID (Redundant Array of Independent Disks) este o configurație (matrice) de discuri dure (HDD) ce oferă scurtarea timpilor de acces la date precum și o siguranță a sistemului in caz de erori hardware.
Conceptul RAID înseamnă combinarea mai multor hard discuri (HDD) într-o singură unitate de disc logic cu o capacitate de stocare mai mare, folosind un controler hardware sau o aplicație software. Soluțiile hardware sunt proiectate cu scopul de a se prezenta sistemului la care sunt atașate ca un singur disc dur mare, cu alte caracteristici de stocare, fără ca sistemul de operare să aibă nevoie să cunoască arhitectura fizică reală. Sistemele RAID reprezintă o virtualizare a discurilor dure reale înglobate. Soluțiile software sunt implementate în sistemul de operare, dar aplicațiile utilizează arhitectura RAID ca o singură unitate. În general o matrice RAID se implementează în intreprinderi și organizații pentru a spori performanta sau pentru a asigura protecția datelor, unde aceste criterii sunt necesare. Serverele sau NAS-urile(Network Atached Storage) au de obicei încorporate un controller RAID care reprezinta o componentă hardware ce controlează matricea de hdd-uri. Aceste sisteme sunt dotate cu mai multe unitati SSD, SAS sau SATA, in functie de configuratia RAID aleasa. Din cauza cerintelor crescute de stocare a datelor, dispozitivele NAS pot veni și în sprijinul utilizatorilor de acasă. Software-ul RAID înseamnă că se poate seta RAID fără a fi nevoie de un controller RAID hardware dedicat. Performanța Raid-ului se bazează foarte mult pe sistemul de operare folosit. Windows 8 si Windows 7 (editiile Pro si Ultimate) au constituit un suport software pentru RAID. Putem configura un singur hard disc cu doua partitii: una la boot și cealaltă pentru stocarea de date iar partiția de date să o confiragurăm în oglinda. Acest tip de RAID este disponibil si pe alte sisteme de operare, inclusiv OS X Server, Linux, si Windows Servers. Deoarece acest tip de RAID vine deja ca o caracteristică in sistemul de operare face ca pretul pentru acestea sa nu fie egalat de nici alta solutie de acest gen. Software-ul RAID poate cuprinde de asemenea soluții virtuale RAID.[12]
„Modul in care se configurează matricea RAID determină performanța sistemului, o rezistentă mai mare la erori hardware sau pe amble în acelasi timp. În general intr-o afacere este mult mai important ca datele sa fie în siguranță și să se poată restaura în caz de esec hardware. Nivelurile RAID reprezintă diferite configurații, care oferă fie optimizarea performanței fie protecție asupra datelor.”[12]
Există trei tipuri principale de RAID:
Mirroring: (cu oglindire = stocarea automată a unei copii a datelor pe alte HDD-uri)
data striping: (date intrețesute = distribuirea datelor pe mai multe HDD-uri)
Error correction: (cu corectarea erorilor, pentru care se prevăd discuri de verificare suplimentare care stochează informațiile necesare detectării și corectării eventualelor erori).
Diferitele niveluri RAID folosesc unul sau mai multe dintre tipurile enumerate mai sus, în funcție de cerințele sistemului. Scopul principal în folosirea arhitecturii RAID este mărirea siguranței datelor, important pentru protejarea informațiilor critice pentru afaceri, de exemplu o bază de date a comenzilor date de clienți; sau a măriri vitezei. Diferitele configurații afectează stabilitatea și performanța (viteza de acces) în mod diferit. Riscul la folosirea în paralel a mai multor discuri este creșterea probabilității ca unul dintre ele să se strice; folosind funcții automate de detectare a erorilor, întreg sistemul poate deveni totuși mai stabil și capabil de a repara automat și „în zbor” unele erori. Oglindirea simplă poate crește viteza la citire, deoarece la fiecare moment dat sistemul poate accesa date diferite de pe cele două discuri, dar este mai încet la scriere dacă sistemul insistă ca ambele discuri să confirme înapoi corectitudinea datelor scrise. Formatul întrețesut este îndeosebi folosit pentru mărirea performanței, deoarece permite citirea secvențelor de date de pe mai multe discuri deodată. În mod obișnuit detectarea erorilor încetinește sistemul, deoarece datele sunt citite simultan din mai multe locuri diferite și apoi comparate între ele.
Tehnologia Hot Swap înseamnă că discurile pot fi înlocuite „la cald” și datele recuperate automat, în timp ce sistemul rulează în continuare (eventual ceva mai lent, până la terminarea recuperării datelor). Prin comparație, sistemele de discuri normale trebuie oprite până când datele sunt recuperate. RAID este adeseori folosit la sistemele cu accesibilitate ridicată, unde este important ca sistemul să ruleze cu un down-time cât mai mic.
RAID este în general folosit la servere, dar poate fi folosit și în cazul stațiilor de lucru (workstation). Așa de ex. când pe stația de lucru rulează aplicații cu stocare intensivă, ca de exemplu aplicații WEB, aplicații care necesita o bază de date comună, aplicații de gestiune.[13]
Diferite niveluri de RAID
Exista mai multe niveluri de RAID. In principiu putem vorbi despre 7 niveluri separate (de la RAID 0 la RAID6) și două care sunt create prin combinarea diferita a nivelului 1 cu 0 (RAID 01 si RAID 10) Nivelurile diferite nu reprezintă ordinea de evoluție sau de calitate ci diferite metode de realizare.
RAID0
„RAID 0 (striping la nivel de bloc fara paritate, sau mirroring) furnizează performanțe crescute și spațiu de stocare suplimentară dar nu și redundanță sau toleranță la erori (ceea ce face ca RAID0 să nu fie cu adevărat RAID, conform definitiei acronimului). RAID 0 poate să fie folosit cel mai bine în sisteme unde nu este necesară securitatea datelor sau sistemul de operare limitează numărul hard discurilor. Totuși, datorită similaritații cu RAID (în special necesitatea unui controller care să distribuie datele pe discuri multiple), seturile de striping simplu sunt denumite in mod uzual RAID 0. Defectarea oricăruia dintre discuri are ca efect distrugerea matricei și probabilitatea de defectare creste direct proporțional cu numărul de discuri din matrice (cu un număr minim de discuri, pierderea datelor este de două ori mai probabilă comparat cu un disc fără RAID). O singura defecțiune distruge întreaga matrice pentru că atunci când datele sunt scrise pe un volum RAID, datele sunt împărțite in fragmente denumite blocuri. Numarul de blocuri este dictat de mărimea întrețeserii (stripe size), un parametru de configurare al matricei. Blocurile sunt scrise pe discuri simultan în acelasi sector. „ Acesta permite ca segmente dintr-un fragment de date să fie scrise sau citite de pe discurile respective în paralel, crescand lățimea de bandă și astfel viteza operațiunilor de citire/scriere. RAID 0 nu împlementează verificarea erorilor. Mai multe discuri în matrice conduc la performanțe crescute dar și la un risc crescut de pierdere a datelor.” [14]
RAID 1
„În RAID 1 (mirroring fără paritate sau striping), datele sunt scrise identic pe discuri multiple ("în oglinda"). Cu toate că majoritatea implementărilor conțin 2 discuri, un set poate conține 3 sau mai multe discuri. Matricea furnizează toleranță la erori de disc sau defecțiuni și continuă să opereze câta vreme există cel puțin un disc în matrice. Cu suport adecvat din partea sistemului de operare, această poate conduce la creșterea performanțelor la citirea datelor și o reducere minimă a vitezei de scriere. Utilizarea RAID 1 cu controller separat pentru fiecare disc este denumită uneori duplexare.”[14]
RAID 2
„Este o matrice întrețesută la nivel de bit, organizată în mod similar cu o memorie la care se utilizează coduri Hamming. Trebuie satisfăcut criteriul ca numărul biților de corecție, egal cu numărul discurilor de corecție k, să satisfacă relația: unde „m” este numărul discurilor de date. Dacă există 10 discuri de date, sunt necesare k = 4 discuri redundante. Cu toate că reduce costurile, RAID 2 are unele dificultăți. Acest nivel este potrivit numai matricilor de discuri sincronizate (ds). Fișierul minim trebuie să conțină 10 blocuri de date, deoarece acestea vor reprezenta unitatea minimă de scriere pe disc. Nivelul RAID 2 este util mai mult pentru aplicații de tip supercalculator.”[14]
RAID 3
„În cazul nivelului RAID 3, se introduce un disc de paritate, care creează, folosind multiplicație XOR, un tip de cod de corecție. Datele sunt distribuite la nivel de bit pe mai multe discuri, ultimul disc conținând paritatea înregistrărilor de biți. O eroare este detectată la accesarea unui disc individual, iar discul de paritate poate fi utilizat pentru a reconstrui informația defectă. Utilizarea unui disc de paritate necesită accesarea acestuia la toate operațiile de scriere. Ca și RAID 2, nivelul RAID 3 este potrivit în general numai pentru matrici de discuri sincronizate. „[14]
Figura 5: Configurația RAID 3
RAID 4
„Este similar cu RAID 3, exceptând faptul că în locul distribuirii datelor pe discuri la nivel de bit, fiecărui disc i se alocă un bloc întreg al înregistrării . Astfel se îmbunătățește abilitatea sistemului de a accesa fișiere de dimensiuni mici (de exemplu, fișiere formate dintr-un singur bloc), deoarece este necesară implicarea unui singur disc de date și a discului de paritate în procesul de acces.” [14]
Figura 6: Configurația RAID 4
RAID 5
„La nivelul RAID 5, informația de paritate nu mai este stocată pe un disc separat, care devine o zonă îngustă a sistemului , ci este distribuit la fiecare disc. Aceasta îmbunătățește Citirea și scriere poate să fie facută simultan, în paralel. Capacitatea totală de stocare este unde „s” este volumul de dată stocabila pe discul cu capacitatea cea mai mică și „n” numarul hard discurilor. Viteza de citire este, unde „v” reprezintă viteza maximăde citire a celui mai lent hard disc. La viteza de scriere este important să ținem cont de puterea de calcul necesar pentru crearea datelor de paritate.”[14]
În cazul defectării unui hard disc, datele pierdute pot fi recreate, recalculate de controller după celelalte discuri. Este important să schimbăm unitatea stricată, deoarece daca 2 unități se strică, datele nu mai pot fi recuperate. În cazul înlocuirii unui hard disc defectat cu una nouă, controlerul poate sa recreeze datele originale pe discul gol.
RAID6
Nivelul RAID 6 este o extensie a nivelului RAID 5. Se poate considera că există discuri pe mai multe dimensiuni în care se poate crea o paritate atât pe linie cât și pe coloană.
RAID 1+0(10)
„RAID 1+0 este o combinatie de RAID 1 si 0 si este adesea notata RAID 10. Acesta combina reflectarea RAID 1 cu micsioare de RAID 0. Este nivelul RAID care ofera cea mai buna performanta, dar este, deasemenea costisitoare, necesita de două ori mai multe hard discuri ca alte niveluri RAID, minim de patru. Aceasta nivel RAID este ideal pentru servere ce contin baze de date si sunt foarte utilizate sau pentru orice server pe care se desfasoara multe operații de scriere.
RAID 1+0 poate sa fie implementată ca hardware sau software, dar consensul general este ca multe dintre avantajele de performanță se pierde atunci când utilizăm software-ul RAID 1+0. „ [14]
Capitolul 3 -Retea locala la Consiliul judetean harghita
În cadrul Consiliului Judetean Harghita există un sistem informatic pentru angajații și vizitatorii săi. El a fost organizat și conceput să faca față următoarelor cerințe:
Să fie posibil managementul central al userilor
Să aiba și un spațiu de stocare comună a fișierelor pentru utilizatorii
Să poate să ruleze aplicații de contabilitate, management, cu o bază de date comună
Să aibă o toleranță ridicată față de defecțiunile hardware și căderi de tensiune electrică
Sa permite vizitatorilor să se conecteze la internet, izolat,fără să aibă posibilitatea de a accesa restul rețelei.
Pentru satisfacerea acestor cerințe la Consiliul Județean harghita este creat un sistem informatic cu un management centralizat. El are un centru de management, de unde este guvernată rețeaua, cu ajutorul serverelor si routerului. Pe aceste servere este setat domeniul, baza de date pentru diferite aplicații și aici este punctul de conectare între internet și rețeaua locală.
Structura fizică a rețelei locale
Consiliul Judetean Harghita am creat un sistem informatic care este bazat pe 6 servere, UPS-uri, 4 puncte de distribuție cu switch-uri și patch paneluri și 220 de calculatoare . Ca toate birourile sa fie acoperite și să aibă o conexiune bună cu serverele, există puncte de distribuție. Aceste puncte de distribuție sunt alcatuite din rack-uri(dulapuri industriale) care au înăuntru unu sau mai mai multe switch-uri și patch panel-uri. Fecare priză (RJ-45)de pe panel corespunde unei prize pe perete într-un birou. Pentru identificare, ele sunt numerotate. Rețeaua noastră locală nu acoperă toată cladirea, ci doar o parte din ea (aproape 75%). În această clădire, care găzduieste Consiliul Județean, mai sunt și alte instituții publice(Prefectura, Direcția Generală de Asistență Sociala și Protecția Copiilor) , care au o rețea informatică independentă de a Consiliului Județean.
Punctele de distribuție sunt conectate la switch-ul principal din camera cu servere. Această camera cu servere este centrul sistemului informatic. Camera cu servere este echipată cu sistem de aer condiționat. Pentru a rula în condiții optime, temperatura camerei este ținută sub 23 ͦC. [15] Aici sunt locate toate serverele, routerul și switchurile principale. Ele sunt montate in rackuri standarde ETSI( European Telecommunications Standards Institute). Pentru evitarea unei opriri drastice în cazul în care se oprește curentul electric, sunt instalate 2 UPS-uri APC de 3000 de wați.
Aceste servere au rolul de a dirija calculatoarele domeniului, servesc ca bază de date pentru aplicații și pentru utilizatori. Din motive de siguranță, aceste servere sunt echipate cu 2 surse, care lucrează în paralel. Cele două surse sunt legate la UPS-ur separate, pentru a mări toleranța față de defecte. Sursele au technologia hot-swap, daca unul se defectază, poate să fie schimbată, fără ca microserverul să fie oprit. Centrul acestui sistem este serverul de domain controller.
Serverele sunt echipate cu două tipuri de hard disc, SATA și SAS. SATA este prescurtarea termenului Serial Advanced Technology Attachment și SAS a termenului Serial Attached SCSI. Unitățile de tip SAS sunt mai performante, viteza de transfer a datelor este mai mare, fiind destinate special în aplicații de tip server, unde sunt folosite constant. Suportă temperaturi de operare mai ridicate și timpul mediu între defecte(MTBF) este aproape 1,2 Milioane de ore[16] cu 50% mai mult decât cele SATA. Dezavantajul este, că aceste unități sunt mai scumpe cu aproape 50%. (conform studiului meu pe piața română).
Figura 10 reprezintă structura rack-ului cel mai aglomerat din sistemul nostru. Cu sageti este marcata directia calblurilor de retea. Fiecare cablu din switch este tras printr-un canelet. (săgeata roșie și galbenă). Există porturi care sunt legate la un switch mai distanțat, pentru acesta cablul este scos din canelet la capătul caneletului. Este reintrodus cablul în caneletul dorit, la capătul lui. (sageata neagra) . Cablul este scos din canelet și băgat în portul dorit astfel încât sa fie cât mai drept. (Săgeata albastră). Fiecare switch este alimentat prin UPS(săgeata verde).
Figura 10: Structura cutiei industriale
Figura 11arată structura rețelei locale în Consiliul Județean Harghita. La parter, sunt multe săli de ședință, și un amfiteatru. Acolo numărul echipamentelor din rețea informatică este mic. La primul etaj este camera cu servere. Rețeaua noastră nu acoperă tot etajul, pentru că aici este și Prefectura. Etajul al 2-lea este acoperit în totalitate de rețeaua noastră. Aici, din cauza distanței față de servere, avem montat un dulap industrial cu un switch patch paneluri și UPS. Etajul al 3-lea in 75% eeste acoperit de rețeauan noastră. Pe acest etaj este și o altă instituție publică. Aici avem setat un Rack cu 4 switchuri, aranjate conform schemei de mai sus. Pe etajul 4 sunt mai puține birouri care aparțin consiliului. Pentru servirea lor este un rack cu un singur switch, patch paneluri și UPS.
Figura 11: Infrastructura rețelei locale
Gatewayul secundar
Din motive de securitate, canalul de comunicare a echipamentelor care nu aparțin domeniului este și fizic separat de canalul echipamentelor locale. Această divizare este facută prin intermediul unui gateway separat. Acest gateway este un workstation cu porcesor intel Core 2 Duo și 1GB RAM. Ca și celelalte servere, este echipat cu 2 porturi de rețea, pentru intrare și ieșire.
Serverul Domain Controller
Domain controllerul este unul dintre cele mai importante servere din instituție. El este un microserver HP Proliant G7. Puterea de calcul este furnizat de un procesor Intel Xenon. Este echipat cu 4GB de RAM. Cel mai important aspect este siguranța datelor. Ca să aibă serverul o toleranță ridicată față de erori, am configurat hard discurile în RAID5. Microserverul are controler RAID dedicat, astfel managementul datelor este facut separat de procesor. Configurarea Raidului este primul pas la pornirea unui server nou. Acaesta se face intrând în meniul controllerului imediat după ce am pornit microserverul. RAID-ul este alcatuit din 4 hard discuri de tip SATA, cu capacitate individuală de 500GB. Astfel avem un volum logic cu o capacitate de 1400GB, 1,4 TB .
Acest volum este împărțit în 3 partiții.Primul, cu capacitatea cea mai mică este destinat sistemului de operare și aplicații importante, a 2-a pentru backup și a 3-a este pentru menținerea datelor din sistemul distribuit de fișiere.
Domain controllerul are un server backup,care este domain controllerul secundar. Domain controllerul secundar este un microserver HP Proliant G8.
Figura 13: Microserver HP Proliant G8
Puterea de calcul provine dintr-un procesor Intel Xenon, de 2.3 Ghz. Are la dizpoziție 4GB de RAM. Această cantitate de memorie este satisfăcătore pentru ceea ce care trebuie să facă serverul. Spațiul de stocare in acest server este alcătuit din 4 hard discuri. Ele sunt hard discuri de tip SAS, aranjate în 2 bolcuri de RAID1. Prima matrice RAID1 este alcătuit din 2 hard discuri cu capacitate de 600GB, iar celălalt din 2 HDD-uri de 1TB.
Pe lângă controlarea domeniului este important să avem un centru de date, pentru aplicații care au folosesc o bază de date comună. Pentru satisfacerea acestui cerințe, este instalat un server dedicat bazei de date și unul identic cu el pentru backup. Ele sunt servere Maguay eXpertServer, echipate cu două procesoare Intel Xenon 2.13Ghz și cu 16GB RAM. Pentru stocarea datelor sunt 3 hard discuri SAS cu capacitate de 136,7GB în configurație RAID 5 și 2 hard discuri SATA de 1TB în configurațe RAID1. Astfel avem 2 partiții, prima cu 136,7GB pentru sistemul de operare și aplicații iar a doua cu capacitate de 1TB pentru baza de date.
Serverul mail
Mail serverul este un server de tip HP Proliant G7. Pentru a suporta cantitatea mare de e-mailuri generat de aproape 300 de angajați a consiliului, el este unul dintre ccele mai puternici servere din rețeaua noastră. Este echipat cu 2 porcesoare intel Xenon 2.1 Ghz fiecare cu 8 nuclee. Cu tehnologia hyper threading, serverul are 24 nuclee. Este echipat cu 32GB RAM și 2 hard discuri SAS cu capacitate de 500GB in configurație RAID1. Pentru a asigura o comunicație bună și atunci când serverul primește foarte multe e-mailuri , este echipat cu 4 plăci de rețea.
Structura software a rețelei locale
În cadrul unei instituții publice, este foarte importantă partajarea resurselor și managementul accesului la informații și date sensibile. Sistemul informatic este alcatuit din 2 părți principale care deservesc angajații si vizitatorii consiliului. Există o reațea locală, care este formată din calculatoarele, imprimantele, scanerele și serverele locale, care alcatuieste domainul local. Paralel cu aceasta este o rețea separată pentru vizitatorii, care doresc să se conecteze la internet. Această rețea este folosită și de angajații instituției, care aduc cu ei laptopuri sau smartphone-uri. Pentru ei și echipamentele lor, din motive de siguranță, restul rețelei trebuie să fie invizibil. Această divizare este rezolvată din setările routerului și prin redirecționarea cumunicației vizitatorilor printr-un gateway separat.
Figura 15: Setarea DHCP-ului pentru redirecționarea comunicării spre gateway
Posibilitățiile utilizatoriilor(echipamentelor) neînregistrati, sunt limitate. Ei primesc IP-ul dintr-o altă clasa de adrese, care este limitat, neavând acces sau drepturi în domain. Printr-un alt gateway fizic au acces doar la internet.
Domain controllerul este unul dintre cele mai importante servere din instituție. El este un server care in cadrul unei domeniu Windows se ocupă cu autentificarea utilizatorilor și autorizațiile lor. În cadrul unui domain, utilizatorii au un user registrat pe domain controller, cu ajutorul caruia pot să intre în orcare dintre calculatoarele care aparțin domeniului. Astfel utilizatorul are acces la resursele din domeniu. Utilizatorii sunt locate in Active Directory-ul domain controllerului.
Active Directory-ul este prezent pe fiecare domain controller din domeniu, replicat automat pe domain controller secundar. Dacă domain controllerul primar nu este accesibil, locul lui este automat preluat de domain controlerul secundar.
Înainte ca un utilizator să poate intra în domeniu, calculatorul trebuie să trebuie să fie conectat în domeniu. Daca calculatorul are conexiune la rețea, utilizatorul poate să intre în domeniu, dacă contul lui este registrat în Active Directory. Și calculatorul trebuie să se autentifice în Active Directory . Această formă de logare este “computer logon”. Din punctul de vedere al domain controllerului, calculatorul și utilizatorul sunt tratate după același principii de securitate; pentru permiterea accesului la resursele rețelei, ambii trebuie să clarifice identitatea.
Kerberos, care este un sistem de autentificare în rețea, permite unui utilizator să-și demonstreze identitatea altui serviciu în interiorul unei rețele. Autentificarea utilizatorilor este efectuată printr-un server centralizat numit KDC (key distribution center). KDC autentifică un utilizator cu un tichet Kerberos. Aceste tichete dovedesc identitatea principalului altor servicii dintr-o rețea. După ce un principal este autentificat cu aceste tichete, el și serviciul pot schimba date criptate cu un serviciu destinație. Această opțiune furnizează un nivel mai mare de autentificare utilizator și protejează intimitatea informațiilor de autentificare. [17]
După un login cu succes, datele de autentificare sunt ținute intr-o memorie cache. Asta înseamnă, că utilizatorul poate sa reintre in calculator chiar și atunci când domain controllerul care a permis intrarea nu este disponibil. Acesta este un lucru foarte avantajos untilizatorilor cu laptop. [18]
Active Directory are un rol foarte important în alcătuirea sistemului de fișiere distribuite. Sistemul fișiere distribuite este un set de servicii client-server, care ajută in organizarea unui file-share eficient.
Sistem de fișiere distribuit
Sistemul distribuit de fisiere este în srânsă legătura cu Active Directory. În active directory utilizatorii sund grupați un unități organizatorice(organizational unit).Acesta ajută în aranjarea eficienta a utilizatorilor. În aceste unități sunt create security group-uri. Crearea acestor grupuri este o metodă eficientă de a permite utilizatorilor accesul la anumite resurse ale rețelei. În aceste grupuri sunt utilizatorii, care au nevoie să aibă acces la același set de date, care lucrează în cadrul aceluiași departament. Un utilizator poate să fie și în mai multe grupuri(directorii).
Figura 16: Configurarea security group-ului
După crearea grupului, trebuie să adaugăm utilizatorii și calculatoarele(dacă este cazul). Putem adăuga individual sau folosind unitățile organizatorice.
Figura 17: Setarea folderelor
Următorul pas este configurarea fișierelor. Acest lucru este se face prin schmbarea setărilor de securitate și distribuire. Configurăm, pentru cine dorim să facem vizibil fișierul prin rețea și dăm o nume folderului care va fi numele lui în rețea.
Figura 18: Aplicația DFS management
După setarea datelor, in aplicația DFS Management configurăm cum să vada utilizatorii aceste documente. Acest lucru este dirijat de service-ul DNS Namespaces. Namespace este o vizualizare a folderelor partajate in rețea. Toate folderele sunt grupate cu o rădăcină comună.
Cu ajutorul sistemului de fișiere distribuite putem avea un sistem în care utilizatorii au acces ușor la un set de date care sunt răsfirate pe diferite servere. Pentru a ușura accesul, folderul care conține restul datelor este conectat la fiecare calculator ca un hard disc pe rețea, un network drive. Această conectare este automatizată cu ajutorul unui logon scrip. Acest script este copiat în folderul „SYSVOL\domain.local\scripts” pe domain controller. Pentru fiecare user în active directory este setat acest script, să pornească când intră in calculator.
Figura 19: File Share-ul apare ca un hard disc pe rețea
Serverul bazei de date
În cadrul consiliului județean sunt mulți angajați, care lucrează cu programe de gestiune, ex: contabilitate, facturare, salarizare. Aceste programe au nevoie de o bază de date comună, pentru că datele trebuie sa fie identice la fiecare utilizator. Pentru satisfacerea acestei necesitate avem un server dedicat bazei de date. Pe acest server avem baza de date de tip SQL. Pentru a mări siguranța bazei de date paralel cu acest server avem si un server backup. Pe serverul backup avem o bază de date secundară identică cu originalul.
Cu fiecare modificare in baza de date este facută ca o tranzacție. Aceste tranzacții sunt salvate pe o listă, numită transaction log. Întrun transaction log putem vedea toate modificările facute în baza de date pentru un interval de timp. Acest log este foarte important și din motive de siguranță. În cazul unei erori, conform acestui log putem repara baza de date.
Prin transportul acestui log la serverele secundare putem actualiza baza de date secundară. Metoda este numită Transaction Log Shipping. Logshiping este asemănător cu backup diferențial fiindcă doar shimbările sunt transmise. Transaction Log Shiping-ul trebuie sa conigurăm pentru fiecare bază de date separat.
Figura 20: Logshiping
Acest log este transferat la baza de date secundare în intervale de timp bine stabilite. Avantajul unui interval mai lung este, că în cazul unei mudificăr greșite in baza de date principală, eroarea nu este transmisă și la celelalte servere. Dacă eroarea este detectată în timp recuperarea datelor din serverul secundar este mai ușor. Dezavantajul este, că în cazul în care baza de date primară nu poate să fie accesată, datele care au fost modificate după ultimul backup vor fi pierdute.
În afară de logshiping, facem lunar un backup complet. Acest lucru este facut manual prin crearea unei copie despre baza de date. Din motive de siguranță, această copie este stocată pe un alt hard disk. [19]
Conectarea calculatoarelor la internet
În sistemul informatic, echipamentele din rețea pot sa comunice între ele. În cazul calculatoarelor și serverelor, ei sunt conectate și la internet.
Când un calculator sau echipament este conectat la rețeaua noastră, trimite o cerere spre router ca să-i atribuie o adresa IP. Cererea lui printr-un switch ajunge in router , unde este preluată de service-ul DHCPD. DHCPD este un service care rulează in backgorund și este responsabil de închirierea adreselor IP pentru clienți. După configurația presetată, decide dacă expeditorul este un calculator intern, care e in domenul nostru sau extern. Conform acestei decizii, atașează adresa IP.
În momentul în care un calculator încearcă să se conecteze la un alt calculator sau la internet, declanșează următoarea serie de evenimente.
Numele site-ului sau calculatorului căutat prin Switch ajunge in Domain controller.
Domain controllerul decodează adresa și determină dacă destinația este sau nu rețea locală. Trimite informația mai departe spre router.
În router, conform informației primite de la domain controller, urmatoarele lucruri se pot întâmpla:
Dacă comunicația se face prin portul 80(HTTP) sau 443(HTTPS) el este redirecțonat la serverul Proxy. De acolo trece prin gateway si prin firewall, si iese din rețea noastră.
Dacă îl conectam la un alt calculator local sau imprimantă, atunci, ocolind serverul proxy, prin gateway ne conectăm la echipamentul căutat.
În firewall, dacă o cerere este direcționată spre o adresă IP la care conectarea nu este permisă , atunci el blochează conexiunea. Conform setărilor din firewal(DROP sau REJECT) emițătorul primește înapoi mesajul cu eroarea.
Gateway-ul are mai multe adrese IP, ca să poate să fie accesat din diferite clase de IP(192.168.1.5; 192.168.11.5; 192.168.12.5). Acest lucru este necesar, pentru că între clasele de IP nu este legatură directă, ele comunică prin gateway.
În cazul în care un echipament dinafara domeniului(laptop, telefon mobil) trimite o cerere de conectare la o sursă externă, comunicația lui este direcționată printr-un gateway separat. Din switch este conectat la gatewayul dedicat pentru cei din afara domeniului.El are mai multe adrese IP, 192.168.100.5 pentru clasa 100 respectiv 192.168.102.5 pentru clasa 102 și una prin care el poate sa fie gasit dinafara rețelei noastre.
Din gateway cererea printr-un alt switch ajunge in Router. În ruter, pachetul nu este preluat de gateway si de serverul proxy. Ocolind aceste servicii, prin firewall cererea iese din rețeaua noastră. În acest gateway, ca server DNS este setat serverul public de la google, care are adresa 8.8.8.8 .
Pe figura 20 este ilustrat care sunt pașii și echipamentele necesare pentru un calculator să se conecteze la internet.
Linia roșie marchează comunicația unui calculator din domeniu pentru a conecta la internet.
Linia verde marchează comunicația unui echipament dinafara domeniului.
Cu linia albastră este marcata conexiunea locală intre 2 calculatoare. Daca folosim adresa IP a destinatarului, atunci nu este nevoie de domain controller sa decodeze numele lui. (ex: notebook25, sau notebook25.hrcc1.local).
Figura 21: Comunicația echipamentelor
Setările ruterului și a firewallului
Ruterul este un element de bază al unei rețele de calculatoare. El dirijează comunicația intre elementele rețelei. Această funcție a routerului se numește rutare.
Ruterele operează la nivelul 3 al modelului OSI. Modelul de Referință OSI (OSI este un acronim pentru interconectarea sistemelor deschise), este o stivă de protocoale de comunicație ierarhic foarte des folosit pentru a realiza o rețea de calculatoare. Ele folosesc deci adresele IP ale pachetelor aflate în tranzit pentru a decide către care anume interfață de ieșire trebuie să trimită pachetul respectiv. Decizia este luată comparând adresa calculatorului destinație cu înregistrările (câmpurile) din tabela de rutare. Aceasta poate conține atât înregistrări statice (configurate/definite de către administratorul rețelei), cât și dinamice, aflate de la ruterele vecine prin intermediul unor protocoale de rutare.
În aplicația noastră, ca router este folosit un calculator special, destinat aplicațiilor de tip server. Pe el ruleaza un sistem de oparare, bazat pe linux, CentOS. CentOS[17] este o distribuție a Linuxului care oferă o soluție gratiută pentru intreprinderi. Este o derivație a sistemului de operare Red Hat Enterprise Linux(RHEL).
Figura 22:Clasele IP care comunică prin router
Calculatoarele locale au o adresa IP rezervata în router. Ele apartin clasei de IP 1, 11, 12, Adică primesc adresa incepand cu 192.168.1.0 pana 192.168.1.255 si 192.168.11.0 pana la 192.168.12.255. Aceste clase de IP sunt transparente pentru membrii clasei. Au acces, limitat de tipul de user( administrator sau user normal), la orcare calculator care aparține domeniului.
Setările corecte ale ruterului și firewallului sunt foarte importante. Trebuie să selectăm corect, care conexiuni sunt lăsate să treacă și câte dorim să blocăm. În primul pas blocăm toată comunicația prin router. Pentru acesta modificam tabela adreselor de IP cu urmatoarea comandă:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
După ce am blocat tot traficul prin ruter, începem să deschidem conexiunea pentru adresele noastre de IP. Cu comanda Iptables -t nat putem să edităm lista adreselor de IP. Pentru lista comenzilor posibile putem să folosim comanda:
–help
După ce am terminat se folosește comanda iftables-save pentru a salva modificările. Trebuie sa fim foarte atenți când lucrăm în Lunux cu aceste fisiere, o greșeală sau un buton apăsat greșit și service-ul nu va reporni.
Figura 23: Adresele blocate in router
O adresă blocată cu “drop” nu primește înapoi informație de la router, este mult mai greu sa determinăm dacă adresa de IP este greșită și nu a fost recepționată de nimeni sau este blocată de cineva. Cererea lor de conectare se termină cu “timeuout” sau dacă este oprită de emițător.
Acest lucru nu este de folos când cererea vine din interiorul rețelei. Este foarte lung timpul până când clientul termină încercările de conectare, de obicei 100 de secunde. [18] În cazul în care clientul este blocat cu “reject” , timpul raspunsului este foarte rapid, aproape 0.01 secunde. Astfel gasirea unei adrese, sa scanarea lor este mult mai rapdă. Adresele blocate cu “reject” sunt clienți care nu dorim sa se conecteze la noi, sau blocăm îi temporar din diferite motive .
În anumite cazuri nu vrem sa închidem traficul de date în ambele direcții. Pentru asta adaugam comanda “ –d” sau „–s” la sfârșitul comenzii. Ei reprezintă „destination ” și „source” în limba engleză, adică destinație și sursă. Cu această metoda putem bloca separat intrările și iesirile.[20]
Pentru a mari viteza de accesare a siteurilor este instalat un server proxy pe router.
Serverul Proxy
Serverul proxy este integrat în router și acționează ca un intermediar între utilizator și pagina web. Când utilizatorul accesează o pagină web, serverul proxy interpretează cererea și răspunde în numele paginii web originale.
În sistemul nostru, pe router este instalată aplicația Squid. Squid este sun server proxy de tip cache. El stochează datele și conținutul paginilor web în memoria lui. Cooperează cu pagina web, pentru a arăta utilizatorului conținutul paginii(documente,poze,…) mai ușor și mai rapid.
Când utilizatorul descide o pagină web, borwserul conectează automat la serverul proxy.Acest lucru este invisibil utilizatorului și nu necesită setare laclienți. Comunicația este redirecționată automat în router.
Figura 24 Redirecționarea comunicarii
Browserul cere date din serverul proxy. Serverul automat verifică dacă are datele necesare și dacă ele sunt curente. În cazul în care ele sunt vechi sau lipsesc, trimite date noi de la sursă și le memorează în memoria lui.
Cu ajutorul serverului proxy putem micșora traficul de internet, astfel utilizatorii pot accesa datele necesare mai rapid și mai eficient. [21]
Adaugarea unui calculator nou in domeniu
Când adaugăm un calculator în domeniu trebuie sa modificam baza de date pe router.
La router putem sa ne conectam cu o aplicație de consolă virtuală. În cazul nostru, folosim Putty. El se conectează la una dinre consolele sistemului Linux care ruleaza pe Router. Trebuie să configurăm aplicația, intoducând adresa IP a routerului(192.168.100.1) si numarul portului(42000).
Figura 25: Configurația PuTTY
Pentru a intra, trebuie să introducem userul și parola contului administrator(in acest caz este numit„root”). Fișierul de configurație este numit dhcpd.conf, locată in folderul etc/dhcp/ .
Cu comanda nano /etc/dhcp/dhcpd.config pot să acceses informația din fișierul respectiv.
Figura 26: Configurarea adreselor
După ce am navigat sfârșitul listei cu înregistrări, într-un rând nou putem sa înscirem datele noi.
Fiecare înregistrare începe cu comanda “host”, dupa care urmează numele noului echipament. În cazul de mai sus, _l reprezintă conexiunea prin cablul de rețea, iar _w pentru cea wireless. Aceste două adaptoare au adrese de MAC diferite, de aceea trebuie o astfel de configurație. În cazul calculatoarelor nu trebuie să facem această divizare.
Între acolade gasim data exacta de care are nevoie Routerul. După comanda „fixed-addres” vine adresa IP fixă care dorim, urmată de comanda „hardware ethernet” care are ca parametru adresa MAC. Pentrul conexiune cu cablul de rețea și cea wireless, putem să folosim aceeași adresă IP, deoarece marea majoritate a echipamentelor nu poate să se conecteze în același timp cu două metode.
Ultimul pas este repornirea service-ului DHCP ca să actualizeze informațiile. Acesta se face cu comanda /etc/init.d/dhcpd restart . [22]
Sistemul de e-mail este bazat pe un server linux cu system de operare CentOS. CentOS este o distribuție a Linuxului care oferă o soluție gratiută pentru intreprinderi. Este o derivație a sistemului de operare Red Hat Enterprise Linux(RHEL). În cadrul acestui sistem rulează mail transfer agent-ul Sendmail. Un mail transfer agent este o aplicație care transferă e-mailuri de la un calculator la altul folosind arhitectura de aplicație client-server. Pentru primirea și aranjarea mailurilor este instalat service-ul Dovecot. El este responsabil de primirea și aranjarea mailurilor in foldere pentru fiecare user registrat. Folosim protocoalele de transmisie SMTP și POP3. POP3 este o metodă avantajoasă când avem un server dedicat pentru e-mailurile noastre. Astfel dimensiunea cutiei noastre de e-mail nu este limitată de dimensiunea serverului, fiindcă toate e-mailurile sunt descarcate pe clienți și pot fi vizualizate fără conexiune la internet. POP3 folosește portul 110 în aplicația noastră. SMTP(Simple Mail Transfer Protocol) este un protocol simplu, folosit pentru transmiterea mesajelor în format electronic pe Internet. SMTP în aplicația noastră folosește portul 587.
Pentru filtrarea spamurilor avem instalată aplicația SpamAssassin. SpamAssassin are un plug-in în serverul virtual Sendmail în partea de Mail Submission Agent(MSU) care este responsabil de primirea mailurilor. Aplicația verifică conținutul e-mailului primit și adresa de unde este expediat. Verifică adresa intr-o baza de date online și decide dacă este spam sau nu. Criptarea SSL pentru transmiterea datelor nu este folosită.
Ca mail user agent(MUA) sau client email, am integrat o interfață web în Sendmail, numit SqurrelMail. SquirrelMail este un client web de tip IMAP, care după autentificare poate să vizualizeze cutia poștală utilizatorului. Pentru a conecta prin webmail, trebuie sa accesăm siteul mail.județulharghita.ro/mail .Astfel putem accesa cutia de mail, fără un client de poștă electornică instalată și setată corect. Acesta este un lucru important pentru utlizatorii care doresc să acceseze cutia lor de e-mail.
Semnatura Digitală
În anul 2013 Ministerul Finanțelor Publice și Ministerul Administrației și Internelor a dezvoltat un sistem care ajută crestea eficienței îi raportarea situațiilor financiare ale instituțiilor publice. [23] Cu acest sistem, transmiterea documentelor a devenit mult mai usoară, rapidă și cost minim. În cazul documentelor imprimate pe hârtie autenticitatea este garantată de o semnatură manuscrisă. Pentru documentele digitale se folosește semnătura digitală. Semnătura digitală nu este o semătură scrisă cu mână și scanată ci o metodă specifica de codare. Când semnăm digital un document, autenticitatea este garantată de structura lui. Când semnăm digital un document, atunci facem o declarație că suntem de acord cu conținutul lui. Semnătura reprezintă dovada acestei declarații. Dovedește că într-adevăr noi am semnat documentul respectiv.
Când semnăm digital un document, atunci facem o codificare complexa aspura lui. Noul document astfel generat are o structură specială conform căreia se poate dovedi, cine a facut criptarea și se poate știa persoana pe ce documente a semnat. Astfel daca o persoana semnează mai multe documente, semnătura trebuie sa fie diferită la fiecare document. Daca cineva reușește să transcrie semnatura digitală de la un document la altul, vom putea detecta că semnatura nu a fost creată pentru documentul respectiv.
În cadrul Consiliului Județean Harghita sunt folosite soluțiile firmei Certsign. Ei oferă certificate digitale calificate pentru semnarea documentelor oficiale. Acesta este necesar când documentele sunt publicate pe site-uri oficiale ale altor instituții publice(eLicitație) și la trimiterea rapoartelor lunare(ANAF). Pentru folosirea dispozitivului cripotografic trebuie să fie instalată pe calculator aplicația clickSIGN. [24] Fiecare dispozitiv criptografic este securizat cu o parolă, care este conoscută doar de proprietarul dispozitivului, deținătorul cheii private.
Pentru generarea cheii publice, avem nevoie de documentul care îl dorim să semnăm și cheia privată. Cheia privată este pe un dispzitiv criptografic (token).
Figura 27: Dispozitive criptografice
Documentul semnat este creat după parcurgerea următoarelor pași:
Selectăm ducumentul pe care dorim să semnăm digital și pornim aplicația clickSIGN.
Figura 28: Pornirea aplicației de semnătură digitală
Introducem parola dispozitivului criptografic în câmpul liber și apăsăm butonul „SIGN”
Figura 29Crearea și verificarea semnăturii digitale
Aplicația generează un document nou, cu o extensie modificată .p7s . În cazul unui document .docx, documentul semnat digital o să aiba extensia .docx.p7s
Când deschidem un document semnat digital, se pornește automat programul și putem verifica proprietarul semnăturii.
Capitolul 4 -Concluzie
În cadrul acestui proiect am determinat care sunt principiile de bază ale unui sistem distribuit. În prima parte a lucrării, în al doilea capitol, am descris aspectele teoretice ale unui astfel de sistem. Prin cercetare am aflat cum funcționează componentele și care sunt tehnologiile care au rol important în realizarea lui. Cu descrierea sistemului informatic al Consiliului Județean Harghita am arătat cum este alcătuit un astfel de sistem. În capitolul al treilea sunt enumerate și descrise componentele sistemului informatic din Consiliul Județean Harghita. Am tratat separat partea hardware și software. La partea hardware am descris componentele care alcătuiesc rețeaua locală și specificațiile lor. Partea software conține apliațiile și configurația lor, cu ajutorul căreia componentele hardware pot să funcționeze corect.
Pentru satisfăcerea cerințeleor consiliului Județean am creat un sistem informatic eficient, stabil și rentabil. Sistemul este eficient, pentru că de la bază este concepută pentru cerințele clientului, cu aplicații și setări unice. Stabilitatea sistemuli este garantat de mulțimea elementelor de backup și securitate. Ca sistemul să fie și rentabil, are multe componente cu sotware gratuit . Lânga faptul ca aceste programe pot fi folosite liber, sunt stabile și pot fi personalizate ușor.
Avantajul mare al unui sistem distribuit este relativă ușurința de administrare. Atribuirea și partajarea resurselor este facut centralizat, ușurând managementul sistemului. Fiecare component din domeniu poate să fie accesat de administrator. Astfel el poate să facă modificăr, reparații la clienti de la distanță. Un aspect important într-o instituție în care majoritatea utilizatorilor nu are cunoștințe avansate în acest domeniu.
Dezavantajul unui astfel de sistem este, că toți clienți sunt afectați în cazul în care este o porblemă cu partea centrală.
Sistemul poate să fie dezvoltată. Echipamentele care au rolul de backup și siguranța sistemului pot fi configurate și mai bine sau sunt învechite. Toate hard discurile SATA ar trebui schimbate cu unitați de tip SAS. Prin reconfigurarea arhitecturilor RAID 1 în RAID 10 sau RAID 5, posibilitatea de pierderea datelor ar deveni mai mică. Toate aceste modificări depind de bugetul alocat pentru acest scop al Consiliului Județean.
Bibliografie
[1] ] Andrew S. Tanenbaum, Maarten Van Steen, Distributed systems: principles and paradigms I. ISBN 0-13-239227-5 2007.
[2] Ioan Dzițac, Grigor Moldovan , Sisteme distribuite – Modele informatice, Oradea : Editura Universității Agora, 2006
[4] . Vasile PREDA, Emil SIMION ,Adrian POPESCU, CRIPTANALIZA. REZULTATE S¸I TEHNICI MATEMATICE , Ed. Univ. Buc, 2004, ISBN 973575975-6 Ediția a doua, 2011
[6] Ronald L. Rivest, Adi Shamir, Leonard M. Adleman, Communications of the ACM, 21(2):120-126., februarie 1978
[7] W. Stallings, Cryptography and Network Security, 4th edition, Prentice Hall. ISBN 0-13- 187319-3., 2005
[10] POPA SORIN EUGEN: Securitatea sistemelor informatice ; note de curs și aplicații pentru studenții Facultății de Inginerie; 2007
[13]***, Cisco UCS Servers RAID Guide; Text Part Number: OL-26591-01, 2015
Webografie
[3]AES Algorithm (Rijndael) Information, http://csrc.nist.gov/archive/aes/rijndael
[5]http://www.ibs.ro/~bela/Teachings/CompNetworks/Resources/
[8] http://www3.agora.ro/index.php?qs_sect_id=142
[9] http://searchdatabackup.techtarget.com/tip/Data-backup-types-explained-Full-incremental-differential-and-incremental-forever-backup
[11] http://cadredidactice.ub.ro/sorinpopa/files/2011/10/Curs_Securit_Sist_Inf.pdf
[12] http://www.recoverydata.ro/
[14] http://users.utcluj.ro/~baruch/book_siec/SIEC-RAID.pdf
[15] https://www.openxtra.co.uk/articles/recommended-server-room-temperature
[16] http://www.intel.com/content/www/us/en/support/boards-and-kits/000005782.html
[17] http://www.ibm.com/support/knowledgecenter/ro/ssw_ibm_i_71/rzalv/rzalv_plan_controller.htm
[18]https://technet.microsoft.com/en-us/library/cc780332(v=ws.10).aspx
[17] https://www.centos.org/about/
[18] http://www.cyberciti.biz/tips/linux-iptables-4-block-all-incoming-traffic-but-allow-ssh.html
[19] https://msdn.microsoft.com/en-us/library/ms187103.aspx
[20] http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject ; https://www.ripe.net/about-us/press-centre/understanding-ip-addressing
[21]https://www.maxcdn.com/one/visual-glossary/proxy-caching/
[22] https://technet.microsoft.com/en-us/library/cc781446(v=ws.10).aspx
[23] http://www.anfp.gov.ro/Anunt/Semnatura_electonica_in_relatia_interinstitutionala_cu_ANFP
[24] http://www.certsign.ro/certsign/certificat-digital-calificat-certsign/?gclid=CLj3sJDToM0CFbYK0wodosECWQ
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Autentificarea, autorizarea și controlul accesului în sisteme distribuite [306642] (ID: 306642)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.