Firewalls. Protectia Retelelor Conectate la Internet
INTRODUCERE
Protectia retelelor conectate la Internet “si prezinta solutii pentru protectia retelelor care sunt conectate la internet.Lucrarea este structurată în 2 părți prima de teorie conține 3 capitole referitoare la , concepet, definiții, soluții, notiuni, clasificari proceduri, programe și sisteme de asigurare a securității reteleor și a informațiilor și adoua parte conține configurarea unuei aplicații software firewall si rezultatele sale.
Partea teoretică începe cu noțiuni despre evolutia tehnologiei, culminand cu istoria internetului.Asadar primul capitol își propune sa facă o introducere in lumea Internetului si face scurte prezentari ale intrenetului în lume și în România.
În capitolul al-II- lea se prezinta notiunea de retea de calculatoare, modul de realizare, securitatea,clasificarea si echipamentele retelelor de calculatoare.
În capitolul al-III-lea se face o introducere în securitatea rețelelor de calculatoare,prezentându-se mecanisme utilizate însecuritatea rețelelor de calculatoare: DHCP, firewall, servere proxy,filtrele de pachete, precum și tehnica rețelelor VPN. Tot aici se definește notiunea de firewall ca solutie de securitate, precum si programe, politici, norme și standard de securitate.
A doua parte a lucrării tratează instalarea, configurarea si rezultatele unei aplicații firewall prin experimentarea si verificarea noțiunii si tehnicii de securitate prezentă in capitole de mai sus.
CAPITOLUL 1. NOTIUNI INTRODUCTIVE DESPRE INTERNET
1.1. INTERNET
Internetul s-a născut la mijlocul anilor 60 în forma ARPAnet (Advanced Research Projects Agency Net) – o rețea între mai multe computere din unele instituții americane, ce lucrau pentru ARPA, un departament de cercetare din cadrul Pentagonului. ARPA a fost pus în funcțiune ca reacție la succesul sovietic al lansării satelitului Sputnik în spațiu în 1957. Unul din obiectivele ARPAnet era crearea unei rețele, care să nu fie distrusă datorită atacurilor asupra sistemului. Războiul Rece fiind la apogeu, scenariul unui dezastru era considerat fie lansarea unei bombe fie un atac nuclear. De aici a rezultat un proiect de rețea, unde rețeaua însăși era permanent în pericol de atac. În consecință:- doar un minimum de informații era cerut de la computerele client în rețea – oricând transmisia de date întâlnea un obstacol, sau una dintre adrese era de negăsit, se găsea o altă cale către adresa căutată.
Toate acestea au fost codificate într-un protocol care reglementa transmisia de date pe Internet. În forma sa finală, acesta era TCP/IP (Transmission Control Protocol / Internet protocol), care este și acum baza Internetului. TCP/IP face posibil ca modele diferite de calculatoare, de exemplu IBM compatibile sau Mac's, folosind sisteme diferite de operare, cum ar fi UNIX, Windows, MacOS etc. să se "înțeleagă" unele cu altele. În acest fel, Internetul era și este cu adevărat o platformă-independentă.
Internet-ul "civil" a început ca o rețea de patru computere între Universitățile din Utah, Santa Barbara și Los Angeles și Institutul de Cercetare din Stanford. În curând, cercetători din alte instituții de stat au devenit interesați. Deoarece folosirea computerelor era costisitoare, ei au văzut imediat avantajele folosirii în comun a unei rețele. La sfârșitul anilor 60 și începutul anilor 70, când Internetul număra în jur de 50 de computere, s-au dezvoltat primele dintre servicii, folosite încă și azi pentru transferul informației:- File Transfer Protocol pentru trimiterea și regăsirea fișierelor – Telnet pentru accesarea și folosirea bazelor de date, a bibliotecilor și a cataloagelor din toată lumea – E-Mail pentru trimiterea mesajelor personale. Internetul era în mod categoric în ascendență. Cu noi grupuri de utilizatori care se alăturau, în următoarea decadă, Internetul a crescut la o rețea de 200 de computere. Partea militară era organizată într-o rețea separată, Milnet.
În același timp, au apărut alte rețele, mai ales în sectorul academic. Importantă printre acestea era (și este) USENET sau Users' Network, care a început în 1979, când câteva UNIX-computere au fost conectate. USENET. În sute de grupuri de discuții despre orice subiect imaginabil, oamenii făceau schimb de noutăți și imagini, în ciuda distanțelor și a hotarelor. Alte rețele s-au dezvoltat de-a lungul USENETului. Toate formau baza unui spațiu de comunicație radical democratic. De exemplu, înaintea unei noi discuții pe care grupul o începea, comunității Netului i se cerea un vot de accept.
Grupurile de discuții joacă încă un rol mare pe Internet. Există mii și zeci de mii în întreg Internetul. unor bunuri vitale – informațiile. Aceasta era o lume UNIX, în care toate comunicațiile existau doar ca text sau numere, și liniile de comandă trebuiau memorate și tipărite. Marea schimbare a început în 1989, când Tim Berners Lee de la CERN (Centrul European pentru Fizica Nucleara) din Geneva a pus bazele în 1989 dezvoltării primului prototip al World Wide Web (WWW sau 3W). Ca de obicei în istoria Internetului, scopul inițial al WWW-ului era destul de limitat. Era destinat să fie o platformă internă de comunicații pentru cercetătorii din întreaga lume care lucrau pentru CERN. Sarcina principală era să asigure un sistem care să facă legătura între varietatea de platforme ale diverselor calculatoare. Soluția de bază era ideea de a face legătura între documente via "hipertext". Hipertext înseamnă, a marca șirurile de text sau alte obiecte și de a le lega cu alte obiecte, care ar putea fi din punct de vedere fizic la mare distanță de obiectul original. Când legătura este selectată, cineva poate "sări" la documentul legat. În acest fel este posibil de a lega un număr nelimitat de documente între ele într-o structură web ne-ierarhică. Pentru a putea deosebi aceste documente și pentru a le regăsi, fiecare are o adresă unică. Aceasta este Unique Resource Locator (URL). URL-urile constau într-un protocol de transmitere (în cazul WWW-ului acesta este Hypertext Transfer Protocol – http), urmat de www (în cele mai multe cazuri) și de domeniu (de exemplu numele serverului și numele paginii).Prima versiune a programelor pentru a naviga pe www, așa numitele "browsere" urmau încă tradiția originală a Internetului – erau numai text.
De aceea, sistemul a rămas, în principiu, neprietenos cu utilizatorii. În septembrie 1992 nu existau mai mult de 20 de servere web în întreaga lume. Schimbarea radicală s-a produs când NCSA (National Center for Supercomputing Applications) din SUA a scos "Mosaic" – Browser în 1993, care era bazat pe o interfață grafică (Windows). Enorma creștere a web-ului a început virtual, dintr-o dată: În iunie 1993, 130 servere Web erau înregistrate, în 1994 erau deja 11.576 servere.Dar web-ul nu a făcut doar să se dezvolte. De asemenea, posibilitățile de a prezenta datele au crescut dramatic. Curând au apărut poze și animații pe situri web, urmate de sunete . Doar un mic pas mai era necesar pentru a aduce cataloage, directoare și formulare de comandă pe situri web. Astfel, câțiva ani mai târziu s-a născut E-Commerce.
1.2. INTERNETUL IN LUME
Doar 64% dintre firme acceseaza internet.l In Romania dotarea cu computere a firmelor se apropie de nivelul atins in Uniunea Europeana, dar procentul celor care au conexiune la internet este sensibil mai mic decat cel inregistrat la nivel european. Aceasta este una dintre concluziile studiului realizat de Consiliul National al Intreprinderilor Private Mici si Mijlocii din Romania (CNIPMMR) in lunile aprilie-mai 2005 pe un esantion de 1.399 de IMM-uri (micro, mici si mijlocii) ce activeaza in intreaga economie, din toate cele opt regiuni de dezvoltare ale tarii. Studiul dat publicitatii arata ca 81,90% dintre firmele autohtone au in dotare computere, 64,16% acceseaza internetul iar 56,51% utilizeaza e-mail-ul. Circa 27,97% dintre IMM-uri detin site-uri proprii si 7,51% din intreprinderi recurg la vanzarile/cumparaturile on-line. Totusi, un procent destul de ridicat de IMM-uri (15,52%) nu detin computere/site propriu si nu utilizeaza internetul, e-mail-ul si vanzarile/cumparaturile on-line, in vreme ce 0,79% dintre firme folosesc alte componente IT, cum ar fi telefonia IP, programe de proiectare asistata sau intranetul.Un sondaj asemanator, realizat la nivel european pe 7.662 de IMM-uri, a evidentiat ca 85,3% dintre microfirme, 91% din firmele mici si 95% dintre firmele mijlocii au in dotare computere. De asemenea, 73% dintre microintreprinderile investigate au conexiune la internet, comparativ cu numai 54,59% dintre microfirmele romanesti. E-mail-ul este folosit de aproximativ 68% dintre microfirmele europene si de 53,11% din cele romanesti.
Reteaua Internet utilizata tot mai frecvent pentru obtinerea de informatii pentru vacante si calatorii si pentru achizitionarea aranjamentelor de calatori Termen aproape necunoscut publicului larg in urma cu mai putin de un deceniu, Internet a devenit astazi una dintre principalele modalitati de comunicare si de informare, a lumii moderne. Numarul de utilizatori ai retelei Internet se apropie de stabilizare in tarile dezvoltate si creste intr-un ritm sustinut in tarile in curs de dezvoltare. In tarile dezvoltate ale lumii orice persoana educata foloseste in mod curent reteaua Internet pentru a obtine informatii, in legatura cu cele mai diverse domenii. Statisticile in legatura cu numarul de utilizatori Internet in lume sunt dinamice insa datele care urmeaza pot sa ofere o imagine generala in legatura cu amplarea fenomenului Internet in lume.
Numar de utilizatori Internet in unele tari ale lumii
2. Date cu privire la utilizatorii Internet din Statele Unite ale Americii:
Circa 65% dintre familiile americane au acces Internet la domiciliu. Pana la sfarsitul anului 2005, 38% dintre familiile americane si 51% dintre familiile canadiene vor dispune de acces Internet rapid (broadband), la domiciliu,
In anul 2003, 65 de milioane de americani (30% din populatia adulta a SUA) au folosit Internet pentru obtinerea de informatii/ planificarea calatoriilor/vacantelor
Analistii estimeaza ca valoarea produselor si a serviciilor achizitionate prin reteaua Internet, in SUA, va fi in acest an 2004 de circa 100 miliarde de dolari.
In anul 2003 valoare aranjamentelor de calatorie achizitionate prin reteaua Internet, in SUA, a fost de aproximativ 41 miliarde dolari SUA.
42,5 milioane de americani au facut, in anul 2003, rezervari si au achizitionat aranjamente de calatorie prin Internet.
Circa 19 milioane de americani au facut toate aranjamentele de calatorie prin Internet.
Valoarea medie a aranjamentelor de calatorie achizitionate de americani, prin Internet, a fost in anul 2003 de 2600 $ SUA/ utilizator Internet.
Folosirea Internet pentru obtinerea de informatii si perfectarea de aranjamente de calatorie va continua sa castige popularitate. PhoCus Wright Research anticipeaza ca in anul 2004 aproximativ 24% din aranjamentele de calatorie ale americanilor vor fi tranzactionate prin reteaua Internet. In anul 2005 ponderea aranjamentelor de caltorie prin Internet ar putea sa urce la 29% din total.
Americanii folosesc in medie 70 de minute pe zi pentru comunicare si obtinere de informatii prin reteaua Internet (cifra include comunicare prin e-mail). In SUA, Internet ocupa locul al treilea in randul celor mai frecvent utilizate medii pentru informare si divertisment, dupa televiziune si radio.
PhoCus Wright Research anticipeaza ca valoarea aranjamentelor de calatorie care vor fi perfectate prin Internet, de calatorii si turistii americani, va depasi in anul 2004 suma de 53 de miliarde de dolari.
Date cu privire la utilizatorii Internet din Europa:
Numar de utilizatori Internet in Europa, la sfarsitul anului 2003
73% dintre utilizatorii Internet din Europa apeleaza la site-uri care ofera informatii deprodusele sau serviciile pe care doresc sa le achizitioneze.
peste 50% dintre utilizatorii Internet din Europa au vizitat la site-uri care furnizeaza informatii pentru turism si calatorii
8% dintre utilizatorii Internet din Europa au achizitionat servicii prin Internet
Valoarea aranjamentelor de calatorie, tranzactionate prin Internet, in Europa, a fost in anul 2003 de 11,2 miliarde Euro. 60% din volumul tranzactiilor – Internet – pentru aranjamente de calatoriede calatorie – a fost realizat de calatori si turisti din Marea Britanie (39%) si Germania (21%).
Biletele de avion sunt aranjamentele de calatorie tranzactionate cel mai frecvent prin Internet (56,7% din totalul tranzactiilor inEuropa) urmate de rezervarile pentru camere de hotel (15,8%) si tururi/ pachete turistice (13,3%).
13,8 milioane de britanici au folosit Internet pentru achizitionare de produse si servicii. 5,5 milioane dintre acestia au cumparat bilete de avion prin Internet.
Principalele motive care ii determina pe europeni sa foloseasca Internet pentru obtinerea de informatii de calatorie si pentru a achizitiona servicii prin Internet:
Posibilitatea gasirii celor mai bune preturi sau tarife (50%),
Acces facil si convenabil (29%),
Posibilitati de informare si comparare a ofertelor existente (26%).
3. Repartizarea utilizatorilor Internet pe tari/ continente
4. Alte date in legatura cu folosirea Internet in lume
Companiile de transport, hoteliere si de turism folosesc in mod curent mijloacele electronice de comunicare pentru a transmite informatii clientilor potentiali. Aproximativ 35 de milioane de americani sunt abonati la buletine informative, transmise prin e-mail, cu privire la oferte de turism si calatorii.
Forrester Research estimeaza ca 10 milioane de americani au luat decizia sa calatoreasca/ achizitioneze anumite aranjamente de calatorie in urma primirii de buletine informative si oferte prin e-mail.
Tendinta de utilizare a retelei Internet pentru achizitionarea de aranjamente de calatorie este evidenta si in Asia. Un studiu realizat recent (PhoCus Wright) estimeaza ca in anul 2004 circa 20 de milioane de persoane care locuiesc in tari din Asia vor efectua transzactii pentru aranjamente de calatorie, prin Internet, in valoare de 20 de miliarde de dolari.
1.3. INTERNETUL ÎN ROMÂNIA
În România, Internetul a apărut în anul 1993, luna februarie, moment la care fost înregistrat domeniul .ro. La numai câteva luni mai târziu, în iunie 1993, devine funcțională infrastructura de comunicații a Universității Politehnice din București, numită RoEduNet. Același an reprezintă momentul de debut al primului operator comercial Internet, sub numele de SC EUNET SRL.
În anul 1995, în cadrul Strategiei de aderare la Uniunea Europeană, au fost trasate princiaplele priorități pentru dezvoltarea Societății informaționale a țării noastre. În anul 1998, se atinsese cifra de 20.000 de utilizatori aparținând domeniului .ro. Evoluția numărului domeniilor înregistrate în România a crescut vertiginos de la un an la altul. Astfel, numai în anul 2007, s-au înregistrat aproximativ 80,000 de domenii .ro, ajungându-se la un total de peste 250.000 de domenii înregistrate. Numărul total de domenii înregistrate în anul 2007 a fost, comparativ cu anul 2006, cu 35% mai mare.
Pentru anul 2008, se estimează o creștere în același ritm alert, de aproximativ 35-40% față de anul precedent. O evoluție similară celei pe care a înregistrat-o numărul de domenii înregistrate o are și numărul de utilizatori ai Internetului. Un raport realizat de PricewaterhouseCoopers relevă faptul că numărul de utilizatori de Internet în România, începând cu anul 2001, a crescut cu aproximativ 1 milion de utilizatori pe an. Astfel, dacă în anul 2001 existau aproximativ 1 milion de utilizatori de Internet, la sfârșitul anului 2007 erau circa 7 milioane de utilizatori.
CAPITOLUL 2. RETEA DE CALCULATOARE
2.1. NOTIUNI DESPRE RETEA DE CALCULATOARE
Rețeaua de calculatoare (engleză: computer network) leagă între ele o mulțime mai mică sau mai mare de calculatoare, astfel încât un calculator poate accesa datele, programele și facilitățile unui alt calculator din aceeași rețea. De obicei este nevoie desigur și de măsuri de restricție/siguranță a accesului. Metodele de conectare sunt în continuă dezvoltare și deja foarte diverse, începând cu tot felul de cabluri metalice și de fibră optică, chiar submarine, și terminând cu legături prin unde radio cum ar fi WLAN, Wi-Fi, WiMAX sau Bluetooth, prin raze infraroșii ca de ex. IrDA sau prin intermediul sateliților. La rețelele moderne de telefonie, radio, televiziune ș.a. informațiile de transmis sunt mai întâi digitalizate (transformate în date) și apoi transmise tot prin rețele de calculatoare și/sau Internet, deoarece acestea oferă mari avantaje față de rețelele analoage tradiționale respective.
Topologii de retea:
Topologia (structura) unei rețele rezultă din modul de conectare a elementelor rețelei între ele. Ea determină și traseul concret pe care circulă informația în rețea "de la A la B". Principalele tipuri de topologii pentru rețelele LAN sunt:
Toplogia Bus (inseamna magistrala) – are o fiabilitate sporita si o viteza mare de transmisie
Topologia Ring (inel) – permite ca toate statiile conectate sa aiba drepturi si functiuni egale
Topologia Star (Stea )- ofera o viteza mare de comunicatie, fiind destinata aplicatiilor in timp real.
Rețelele de calculatoare pot fi clasificate și după tehnlogia care este folosită pentru a conecta dispozitive individuale din rețea, cum ar fi fibră optică, Ethernet, Wireless LAN (din engleză și înseamnă "fără fir"), HomePNA sau Power line.
Metodele de conectare sunt în continuă dezvoltare și deja foarte diverse, începând cu tot felul de cabluri metalice și de fibră optică, cabluri submarine, și terminând cu legături prin radio cum ar fi Wi-Fi sau Bluetooth, prin raze infraroșii (IrDA) sau chiar prin intermediul sateliților.
Foarte răspândită este metoda Ethernet, termen care se referă la natura fizică a cablului folosit și la tensiunile electrice ale semnalului. Cel mai răspândit protocol de comunicare în rețelele Ethernet se numește CSMA/CD ("Carrier Sense Multiple Access / Collision Detection"). Dacă sunt utilizate undele radio, atunci rețeaua se numește rețea fără fir (engleză: wireless).
"HomePNA" este un sistem de conectare între ele a calculatoarelor și aparatelor "inteligente" dintr-o locuință, bazat pe fire normale de telefon sau cablu normal de televiziune.
În fine, sistemul "Power line communication" (PLC) se bazează pe rețeaua de curent electric, atât cea de înaltă cât și cea de joasă tensiune, care practic ajung la orice loc din lume.
Rețelele de calculatoare se împart după extinderea lor în următoarele tipuri: LAN, MAN, WAN și, ceva mai nou, PAN. Rețelele relativ mici, de exemplu cu cel mult câteva sute de calculatoare în aceeași clădire legate între ele direct, se numesc Local Area Network (LAN). O rețea de tip LAN dar fără fir (prin unde radio) se numește WLAN (Wireless LAN). Rețele de mare întindere geografică, de exemplu între 2 orașe, pe o țară, un continent sau chiar pe întreaga lume, se numesc Wide Area Network (WAN). Rețelele de tip WAN au fost inițial foarte costisitoare. Numai companiile mari își puteau permite un WAN particular. La ora actuală însă, cele mai multe conexiuni de tip WAN folosesc ca mijloc de comunicație Internetul – acesta este universal și public, deci nu foarte controlabil de către un utilizator, în schimb însă foarte convenabil ca preț. În sfârșit, PAN înseamnă Personal Area Network – o rețea de foarte mică întindere, de cel mult câțiva metri, constând din aparatele interconectabile din apropierea unei persoane, cum ar fi o imprimantă sau un scanner, sau chiar aparatele pe care o persoană le poartă cu sine, ca de exemplu un telefon mobil sau un smartphone, un player MP3 sau un aparat de navigație GPS portabil.
Retele personale
Un Personal Area Network (PAN) este o rețea de calculatoare folosită pentru comunicarea între câteva mici calculatoare sau și aparate multifuncționale inteligente (smart), apropiate unele de altele. Exemple de dispozitive care sunt folosite în rețeaua de tip PAN sunt imprimantele, aparatele de fax, telefoanele mobile, Personal Digital Assistant (PDA-uri), scanere, aparate de poziționare și navigație GPS, playere "inteligente" și altele. Raza de acțiune a rețelelor PAN este aproximativ de la 6-9 metri. Rețelele PAN pot fi conectate cu magistrale USB și FireWire. Cu ajutorul unor tehnologii ca IrDA (unde infraroșii) și Bluetooth (unde radio) se pot crea si retele de tip Wireless.
2.1.1. REȚELE LOCALE (LOCAL AREA NETWORK)
Un LAN este o rețea care acoperă o zonă geografică restrânsă, cum ar fi la domiciliu, birou, sau o clădire. Rețelele LAN curente sunt bazate pe tehnologia Ethernet. De exemplu, o bibliotecă va avea o conexiune prin fir sau de tip Wireless LAN pentru a interconecta dispozitive locale (ex.: imprimante, servere) și pentru a accesa Internetul. Toate calculatoarele din bibliotecă sunt conectate prin fir de rețea de categoria 5, numit UTP CAT5 cable, rulează protocolul IEEE 802.3 printr-un sistem de dispozitive interconectate care eventual se conectează și la Internet. Cablurile care duc spre server sunt de tipul numit UTP CAT5e enhanced cable; ele suportă protocolul IEEE 802.3 la o viteză de 1 Gbit/s. În exemplul din dreapta rețeaua a fost construită în așa fel încât calculatoarele angajaților bibliotecii din partea dreptă a imaginii pot accesa imprimanta color, înregistrările despre cărțile împrumutate, rețeaua academică și Internetul. Toți utilizatorii pot accesa Internetul, și catalogul bibliotecii. Fiecare grup din rețea poate accesa imprimanta sa locală. În rest, imprimantele nu sunt accesibile din afara grupului respectiv. Toate dispozitivele interconectate trebuie să folosească nivelul 3 network layer din modelul de referință OSI, fiindcă în acest exemplu este vorba de mai multe subrețele (cu culori diferite). Subrețelele din interiorul bibliotecii au viteza de numai 10/100 Mbit/s, conexiune Ethernet pînă la utilizatorul final, și Gigabit Ethernet către ruter-ul principal, care poate fi numit și "layer 3 switch", fiindcă el are numai interfață Ethernet și trebuie să "înțeleagă" IP. Mai corect ruterele se numesc: "ruter de acces" (ruterul de sus este un ruter de distribuire care conectează la Internet), și "ruter al rețelei academice" – accesat de utilizator.
2.1.2. RETELE METROPOLITANE
Rețelele metropolitane (MAN) sunt rețele de mare extindere care de obicei împînzesc orașe întregi. Aceste rețele folosesc pentru legături cel mai des tehnologii fără fir (wireless) sau fibră optică. Definiția IEEE Standardul IEEE 802-2001 descrie MAN ca fiind o rețea metropolitană care este optimizată pentru o întindere geografică mai mare decît rețelele locale LAN, începând de la cartiere rezidențiale, zone economice și până la orașe întregi. Rețelele metropolitane MAN la rândul lor depind de canalele de comunicații, și oferă un transfer moderat pâna la transfer înalt de date. Rețeaua MAN în cele mai frecvente cazuri este proprietatea unui singur operator (companie), dar rețeaua este folosită de către mai multe persoane și organizații. Rețelele MAN mai pot fi deținute și conduse ca utilități publice. Implementarea rețelelor metropolitane MAN Unele tehnologii folosite pentru aceste scopuri sunt ATM, FDDI și SMDS. Dar aceste tehnologii vechi sunt în procesul de substiturire de către rețele Ethernet bazate pe MAN, ex: Metro-Ethernet. Rețelele MAN, la fel ca multe rețele LAN, au fost construite fără fir datorită folosirii microundelor, undelor radio, sau a undelor laser infraroșii. Multe companii dau cu chirie sau închiriază circuitele de la transportatori publici (din cauza costului ridicat al tragerii unui cablu prin oraș). Standardul actual de comunicare al rețelelor metropolitane este "Distribuite Queue Dual Bus", DQDB. Acesta este specificat în standardul IEEE 802.6. Folosind DQDB, rețelele pot avea o întindere de peste 50 km și pot opera la viteze de la 34 pînă la 155 Mbit/s. Printre primii care au creat rețele MAN au fost companiile Internet peering points, MAE-West, MAE-East și Sohonet media network.
2.1.3. RETELE DE ARIA LARGA
WAN desemnează tipul de rețele de transport de date care acoperă zone geografice mari și foarte mari (de ex. de la un oraș la altul, de la o țară la alta, de la un continent la altul), și folosesc de multe ori facilitățile de transmisiuni de date de la transportori publici (ca de ex. companiile de telefonie). Tehnologiile WAN funcționează în general la nivelele inferioare ale modelului de referință OSI: physical layer, data link layer și network layer.
2.1.4. REȚEA ACADEMICĂ (CAMPUS AREA NETWORK)
Un Campus Area Network (CAN) este o rețea de LAN-uri interconectate, asemănatoare cu cea de tip MAN, dar ea se extinde pe o zonă geografică limitată, de exemplu a unei universități.
În cazul unei universități o rețea CAN poate face legătura între diferite clădiri ale campusului: departamentele academice, biblioteca universitară, căminul studențesc. CAN este ca extindere în general mai mare decât rețelele locale LAN dar mai mic decât WAN. Rețelele CAN au fost create cu scopul de a facilita studenților accesul liber la rețeaua Internet și la resursele universității.
2.2. REALIZAREA RETELELOR DE CALCULATOARE
O placă de rețea, adapter de rețea sau placă de interfață cu rețeaua este o piesă / un circuit electronic care permite calculatoarelor să se lege la o rețea de calculatoare. Ea asigură accesul fizic la resursele rețelei, care la rândul lui permite utilizatorilor să creeze conexiuni/sesiuni/legături cu alți utilizatori și calculatoare.
2.2.1. ECHIPAMENTE PENTRU REALIZAREA RETELELOR.
2.2.1.1. REPEATER
Termenul de repetor vine de la începutul comunicațiilor la distanță când era necesară montarea, din loc în loc, a unor amplificatoare care să refacă proprietățile semnalului (raportul semnal/zgomot). El se întâlnește la telegraf, telefon, microunde și comunicații optice. În cazul rețelelor, repertorul nu a fost folosit decât pentru cablul coaxial. Repertorul are doar rolul de a copia biții individuali între segmente de cablu diferite; el nu interpretează cadrele pe care le recepționează, din acest punct d vedere reprezentând cea mai simplă și mai ieftină metodă de extindere a unei rețele liniare.
Repetoarele sunt utilizate în general pentru a extinde lungimea cablului coaxial cu maxim cinci tronsoane. Pentru a putea fi utilizate, pachetele de date și protocoalele folosite trebuie să fie identice pe ambele segmente (nu se pot conecta rețele care folosesc standarde diferite); de asemenea ele trebuie să folosească aceeași metodă de acces (CSMA/CD). Repetorul mai este folosit pentru a face legătura dintre mediile de transmisie diferite (cablu coaxial – fibră optică, cablu coaxial gros – cablu coaxial subțire). Repetoarele pot fi dispozitive cu un singur port „in” și un singur port „out”, deși de cele mai multe ori sunt modularizate sau multiport, cunoscute mai bine sub denumirea de HUB-uri. Repetoarele sunt clasate ca fiind dispozitive d nivel 1 în modelul OSI pentru că acționează doar la nivel de bit și nu necesittă nici o altă informație.
2.2.1.2. HUB
Un "hub" de rețea (cuvântul englez hub se citește aproximativ hab și înseamnă butuc de roată) este un dispozitiv pentru conectarea altor dispozitive fie prin cablu răsucit (de tip twisted pair), fie prin cablu de fibră optică; legătura permite ca rețeaua să se comporte ca un singur segment. Hub-urile funcționează la nivelul 1 (fizic) al sistemului de referință OSI. În caz de blocare, hub-ul este responsabil și pentru retransmiterea semnalului spre toate porturile sale Deseori hub-urile dispun de connectoare de tip BNC și/sau AUI, pentru a permite conectarea la astfel de segmente de rețele cum ar fi 10BASE2 și 10BASE5
O rețea Ethernet unită prin hub-uri se comportă ca o rețea partajată, fiindcă la orice moment dat un singur dispozitiv transmite, iar fiecare gazdă este responsabilă de detectarea eventualelor coliziuni ale semnalelor, în care caz semnalul trebuie retransmis. În general hub-urile sunt dispozitive de transmitere de date cu randament scăzut. Hub-urile nu duc evidența despre traficul care trece prin ele, orice pachet de date care intă prin unul din porturile disponibile este transmis spre toate celelalte porturi. Pentru că fiecare pachet de date este trimis la toate celelalte porturi, are loc așa numitul proces de coliziune a datelor care frânează fluxul datelor sub viteza nominală. Necesitatea gazdelor (host) pentru detectarea coliziunilor de date limitează numărul de hub-uri și mărimea rețelei. Pentru rețele de 10 Mbit/s, sunt permise până la 5 segmente (4 hub-uri) între două stații de lucru finale. Pentru rețele de 100 Mbit/s cifra se reduce la 3 segmente (2 hub-uri) între două terminale finale, și acest lucru este permis numai dacă media de întârziere a semnalului este scăzută.
Multe hub-uri detectează probleme tipice, așa cum ar fi coliziuni excesive pe unele porturi. Rețelele Ethernet bazate pe hub-uri sunt în general mai robuste decât rețele Ethernet pe bază de cablu coaxial, unde un dispozitiv cu malfuncțiuni poate deactiva un segment întreg. Chiar dacă nu este partiționat automat, depanarea hub-urilor este o procedură mai ușoară fiindcă indicatorii de activitate situați în dispozitiv pot reflecta sursa problemei; în ultimă instanță, pentru a localiza sursa unei probleme, dispozitivele pot fi deconectate de la hub pe rând, unul câte unul, mult mai ușor decât la un cablu coaxial.
2.2.1.3. DISPOZITIVELE DE TIP WIRELESS
Pot fi folosite pentru a crea o rețea fără a mai fi nevoie de cablu. Semnalele folosite de aceste dispozitive sunt unde electromagnetice ce circulă prin aer. Aceste tipuri de rețele folosesc frecvențe radio (FR), laser, infraroșu (IR), sau unde transmise cu ajutorul sateliților de la o mașină la alta. Stațiile care nu sunt în preajma undelor unei astfel de rețele pot fi mutate ușor fără a fi nevoie de o reconectare cu ajutorul cablurilor. Acest tip de comunicație este des întâlnit în cazul avioanelor, sateliților, navetelor spațiale și a stațiilor spațiale. La baza acestor comunicații stau așa numitele dispozitive transmițător – receptor. Transmițătorul convertește datele în unde electromagnetice (EM) care sunt transmise receptorului, care convertește la rândul său aceste unde în date. Pentru a se putea stabili această legătură este nevoie de câte un transmițător și un receptor pentru fiecare mașină. Acestea pot fi găsite într-o singură componentă numită „transceiver” sau „placă de rețea wireless”. Cele mai des folosite tehnologii wireless sunt IR și RF. Tehnologia IR are un mare dezavantaj, acela că pentru a putea comunica, mașinile trebuie să fie dispuse în linie fără a exista alte corpuri între ele. Tehnologia RF permite mașinilor să fie dispuse în alte clădiri, însă raza semnalului e limitată. Se pot folosi mai multe frecvențe, făcând din această transmisie o transmisie sigură, care nu poate fi monitorizată și interceptată. Se folosesc două tipuri de transmisii – FHSS (Frequency Hopping Spread Spectrum) și DSSS (Direct Sequence Spread Spectrum).
2.2.1.5. BRIDGE-UL.
Lucrează la subnivelul MAC (Media Acces Control) al nivelului 2 și funcționează pe principiul că fiecare nod de rețea are propria adresă fizică. Bridge-ul interconectează rețelele LAN de același tip sau de tipuri diferite. Este folosit în principal în două situații:
• Extinderea fizică a unei rețele LAN (în loc de hub);
• Interconectarea rețelelor locale ce utilizează tehnici de control al accesului la mediu diferite.
Tipuri de bridge-uri:
• Transparent – în acest caz acesta examinează adresele MAC in pachetele care circulă în rețelele la care este conectat și pe baza unor tabele de adrese decide pentru fiecare pachet dacă trebuie trimis pe o rețea sau alta;
• Cu rutare prin sursă sau Token Ring – în acest caz utilizează informația de rutare inclusă de sistemul-sursă în câmpul din cadrul MAC. Aceste bridge-uri sunt specifice pentru interconectarea rețelelor Token Ring.
Dacă într-o rețea există mai multe rețele cu tipologii diferite, atunci administrarea fluxurilor de date pateu fi făcută de un calculator echipat cu mai multe plăci de rețea, care va juca rolul de bridge între aceste rețele, asociind rețelele fizice diferite într-o singură rețea logică. Toate calculatoarele din rețeaua logică au aceeași adresă logică de subrețea. Bridge-ul izolează comunicația între stații aflate în același segment, la nivelul segmentului. De aici rezultă că bridge-ul va mări domeniile de coliziune (nu propagă coliziunea dintr-o subrețea în alta); totodată ea va oferi mai multă bandă disponibilă, deoarece comunicația în interiorul aceluiași segment nu va consuma din banda disponibilă a întregii rețele. O altă consecință o reprezintă minimizarea riscurilor de securitate legate de atacurile din interiorul rețelei locale. Prin folosirea bridge-urilor se pot izola de restul rețelei stațiile ce prezintă un risc de securitate.
În corespondență cu modelul OSI, bridge-ul lucrează la nivelul 2 și operează cu adresele fizice ale calculatoarelor-este capabil să decodeze cadrul pe care îl primește pentru a face prelucrările necesare transmiterii pe rețeaua vecină.
2.3. SECURITATEA RETELELOR
Politicile de securitate se referă la acele politici (documente, setări, modalități de lucru, prin care se definesc unele reguli) ce definesc unele recomandări și acțiuni necesare minimizării riscului aferent efectuării tranzacțiilor electronice, risc ce se referă în special la atacuri asupra sistemului de securitate al unei rețele (deși termenul se extinde pentru a cuprinde și intruziunile, furtul sau calamitățile – naturale sau voite).Măsurile de securitate definite sub forma acestor politici nu garantează eliminarea completă a oricărui risc, dar poate să-l reducă la un nivel acceptabil (acoperă conceptele de „mitigation” și „contingency” definite în material). Politicile de securitate IT se concentrează pe crearea unui mediu favorabil, dar mai ales sigur, mediu în care doar persoanele sau programele care au drepturi alocate, definite explicit, să poată desfășura acțiuni, respectiv să ruleze. Toate persoanele sau aplicațiile care nu intră în anumite categorii din aceste politici nu vor avea drept de execuție.
Pentru a putea defini aceste politici (reguli) de securitate, este necesar să se îndeplinească de către întregul sistem informatic a următoarelor cerințe:
a) Identificarea utilizatorilor – reprezintă procesele și procedurile necesare pentru stabilirea unei identități unice la nivel de utilizator sau aplicație în cadrul sistemului informatic. Identificarea va permite contabilizarea (jurnalizarea sau auditarea) tuturor operațiunilor individuale și astfel putând preveni accesul neautorizat.
b) Autentificarea utilizatorilor – este procedura prin care se verifică utilizatorii sau aplicațiile definite la pasul a), astfel orice formă de acces devine autorizată.
c) Controlul accesului – determină ce sau cine anume poate executa o anumită entitate autentificată în sistem, având în vedere, minim următoarele: controlul accesului la sistem, controlul accesului la rețea, clasificarea sau gruparea informației accesibile, privilegiile permise.
d) Responsabilitatea – este strâns legată de politicile de securitate definite la pasul anterior și se referă în special la regulile impuse utilizatorilor sistemului, care vor fi răspunzători pentru acțiunile întreprinse după conectarea la sistem. Aici se vor defini persoanele cheie care vor avea puteri de acces (scrieri, modificări, ștergeri, etc.) superioare.
e) Auditul de securitate – cerință care este folosită în special pentru analiza înregistrărilor activităților executate, pentru a determina dacă sistemul de protecție este în concordanță cu politicile și procedurile de securitate stabilite (sau în concordanță cu un minim acceptat). Scopul unui audit este de a identifica slăbiciunile legate de politicile de securitate implementate și de a evidenția eventualele eșecuri sau omiteri, care pot fi corectate sau controlate.
f) Integritatea sistemului – cerință prin care se urmărește să se crească redundanța sistemului în cazul apariției unor defecțiuni, pentru aceasta se tratează necesitatea următoarelor etape:
– protejarea software-ului, datelor și hardware-ului de modificări, fie accidentale sau voite;
– separarea proceselor și datelor sistemului;
– separarea proceselor și datelor utilizatorilor;
– controlul acțiunilor și operațiilor de întreținere.
g) Integritatea informațiilor – presupune mecanisme de protecție a datelor împotriva distrugerii sau accesului neautorizat precum și mecanisme de propagare a unor modificări survenite de-a lungul timpului.
h) Fiabilitatea serviciilor – etapă prin care se încearcă să se optimizeze, păstrându-se ce;e convenite mai sus, modul de lucru al utilizatorilor sau mai bine zis cât de ușor și sigur un utilizator autentificat poate accesa și utiliza resursele unui sistem.
i) Documentarea politicilor definite – este vitală pentru menținerea unui anumit sistem de securitate operațional și eficient. Nu trebuie privită ca ultima cerință, ea fiind folosită pentru documentarea tuturor cerințelor și a modului de implementare, pentru fiecare cerință anterioară.
Se pot defini și unele politicile de securitate formale, ce vor dicta cerințele de bază și obiectivele pe care trebuie să le îndeplinească o tehnologie, la modul general (de multe ori aceste politici sunt așa numitele „politici de început”, până la implementarea politicilor finale). Este de reținut faptul ca politica de securitate este o componentă a politicilor de dezvoltare a companiei prin care:
– se garantează continuitatea funcțională a proceselor de afacere;
– se asigură protecția informațiilor confidențiale.
O politică de securitate nu va fi niciodată finalizată, încheiată (cel mult va fi „automatizată”), ea va fi mereu în dezvoltare pentru cresterea nivelului de securitate oferit.
Pentru a realiza un sistem de protecție minim, eficient din punctul de vedere al costului și al factorului temporal necesar implementării, se vor parcurge următorii pași:
– evaluarea riscurilor ce pot apare;
– definirea politicii de securitate la nivel minim (politicile formale);
– implementarea elementelor stabilite în pașii anteriori;
– administrarea și suplimentarea continuă a politicilor definite;
– nu în ultimul rând, auditul – formă prin care se validează etapele implementate.
Pentru stabilirea acelor politici formale de securitate vor fi parcurse etapele (se vor asigura că fiecare dintre acestea sunt prinse într-o formă mai mult sau mai puțin acoperitoare):
– se analizează riscurile majore ale organizației (pentru definirea procedurilor prin intermediul cărora vor fi prevenite riscurile ca urmare a apariției unor evenimente nedorite);
– se definește o primă politică de securitate pentru tratarea componentelor la care nu pot fi prevenite anumite acțiuni fără a se impune aceste măsuri de protecție;
Figura 2 Microsoft Management Console – Local Security Settings, setări locale de securitate
– stabilirea unui plan de urgență care se va aplica în cazul în care măsurile de protecție sunt învinse. Deoarece aceste probleme nu pot fi rezolvate numai prin definirea unei politici de securitate și prin investirea de bani pentru anumite activități, în final se cere acordul șefului departamentului de management pentru acceptarea unor riscuri (acestea fiind documentate și se vor conveni formele „generale” de tratare în cazul producerii lor).
Importanța definirii acestor politici este reflectată de următoarele avantaje oferite de implementarea lor:
– o politică bine definită va face gestionarea unui sistem mult mai ușoară decât gestionarea unor seturi de reguli definite preferențial. Uniformizarea și centralizarea lor fiind cele mai puternice unelte aflate la îndemâna unui administrator;
– o politică bună ne permite să putem lua decizii în legătură cu măsurile ce merită aplicate și cele care nu;
– conturile de utilizator compromise reprezintă unele din cele mai comune amenințări ale securității unui sistem. Trebuie să se explice utilizatorilor importanța securității și eventual, cu acordul lor stabilite reguli care să le crească nivelul de securitate măcar la un minim de comun acord stabilit.
O atenție specială o prezintă etapa prin care, pentru a diagnostica problemele și conduce audituri sau depista intruși, este posibil să trebuiască să se intercepteze traficul din rețea, să se inspecteze istoricul autentificărilor și al comenzilor utilizatorilor legitimi și să se analizeze directoarele personale ale utilizatorilor (gen „home” sau „My Documents”). Este obligatoriu ca utilizatorii să fie înștiințați de aceste acțiuni, pentru că altfel ele pot deveni ilegale.
Pentru a exemplifica o politică de securitate formală (de început) putem configura următoarele (posibilități ce stau, în marea majoritate a cazurilor, și la îndemâna unor utilizatori fără drepturi de administrare – utilizatori obișnuiți) trei nivele:
1. Nivelul de utilizare acceptabilă:
• Aplicații Screen saver cu activarea parolării
• Manipularea parolei
• Folosirea în mod uzual, a conturilor cu drepturi restrictive (de tip „restricted user”)
• Descărcarea și instalarea aplicațiilor (necesită drept de administrator)
• Informații ce menționează ce utilizatori sunt monitorizați (pentru administrare, necesită drept de administrare)
• Utilizarea de aplicații anti-virus
2. Manipularea informației sensibile, private (în orice formă scrisă, hârtie sau format digital):
• Curățarea biroului și încuierea informațiilor confidențiale
• Oprirea sistemului PC înainte de a părăsi spațiul
• Utilizarea criptării
• Manipularea cheilor de acces la echipamente (stabilirea regulilor de încredere)
• Manipularea materialului confidențial în afara sistemului sau pe durata călătorilor
3. Manipularea echipamentului în afara sistemului sau pe durata călătoriilor:
• Manipularea sistemelor mobile gen laptop, netbook, telefon, etc. în afara sistemului, pe durata călătoriilor sau conectărilor la zone nesigure (de ex. „hot spot”- uri gratuite).
Politica de securitate poate deveni foarte mare în conținut (un prim exemplu ar fi faptul că diferiți utilizatori vor trebui să aibă drepturi distincte, ajungând la personalizări preferențiale), iar informațiile vitale pot fi ușor uitate sau omise. Politica pentru personalul IT poate conține informații ce sunt confidențiale pentru utilizatorii obișnuiți, fiind vitală împărțirea acesteia în mai multe politici mai mici (asupra cărora se vor defini drepturi diferite de management și administrare); spre ex. Politica de utilizare acceptabilă, Politica pentru stabilirea parolelor, Politica pentru mesageria electronică, Politica pentru accesul la distanță, etc..
Abordarea ce mai bună privind politicile de securitate aplicate în cadrul unei rețele este de a aplica un set de politici de bază la nivelul întregului domeniu, politici care să se aplice tuturor mașinilor (servere și stații de lucru) și tuturor utilizatorilor. Aceste politici vor fi completate diferențiat cu alte politici suplimentare, aplicabile anumitor roluri funcționale pe care le au servere-le și stațiile din rețea.
Figura 2 În MMC (Microsoft Management Console) se pot adăuga diferite alte add-în-uri sau colsole de administrare. Se observă în dreapta posibilitatea de a insera și diferite template-uri (șabloane) predefinite
In Figura 2.15 in MMC (Microsoft Management Console) se pot adăuga diferite alte add-în-uri sau console de administrare. Se observă în dreapta posibilitatea de a insera și diferite template-uri (șabloane) predefiniteAceastă abordare simplifică modul de gestionare al politicilor și ne asigură că avem un nivel de securitate de bază pentru întreaga rețea.
Exemple cu privire la aceste politici de bază care merită luate în considerare pentru securizarea de bază (primară) a sistemelor (exemplu oferit pentru o administrare sub sisteme server de tip Windows – 2000, 2003 sau 2008):
Politici de audit:
– Account logon & Management – auditarea evenimentelor de autentificare
– Directory Service Access – auditarea folosirii resurselor din cadrul AD
– Object Access – auditarea folosirii de diferite drepturi asupra sistemelor de fișiere
– System Events – jurnalizarea evenimentelor sistemului de operare
Privilegii ale utilizatorilor:
– Allow log-on locally – oferirea de acces local la sisteme
– Logon cu Terminal Services – oferirea de acces la distanță pe sisteme
– Deny log-on as a batch job – eliminarea posibilității de rulare de cod cu autologare
– Deny force shutdown from Remote system – eliminarea posibilității de restart al sistemului de către persoane logate din afară.
Pentru ușurarea creării politicilor de securitate, cel mai simplu este să se pornească de la un template cu măsuri de securitate predefinite, pe care să se realizeze diferite modificări din mers, modificări ce sunt adaptate la cerințele regăsite în pașii premergători precizați anterior, și să se aplice în întreaga rețea.
De obicei aceste „propagări” ale politicii de securitate se poate face folosind diferite sisteme specializate cum ar fi „Security Configuration Manager” din sistemele bazate pe platforma Windows. Acesta conține: template-uri care definesc setările ce trebuie aplicate pentru câteva configurații tipice, cu ajutorul snap-in-ul „MMC Security Configuration & Analysis” sau a utilitarului în linie de comandă „secedit” cu ajutorul căruia se poate automatiza procesul de aplicare al politicilor definite pe un singur calculator către o întreagă rețea.
Figura 2 cum se observă la nivel de securitate se pot restricționa inclusiv accesul la dispozitive hardware
In Figura 3.3 După cum se observă la nivel de securitate se pot restricționa inclusiv accesul la dispozitive hardware
Template-urile de securitate sunt fișiere text cu extensia „.inf” ce conțin un set predefinit de setări de securitate. Aceste setări pot fi adaptate și aplicate asupra sistemelor din rețea. Setările de securitate disponibile includ: aplicarea de ACL-uri (Access Control List – liste de control la acces) pe chei de Registry și fișiere, aplicarea de politici de conturi și parole, parametri de start la servicii și setarea de valori predefinite pentru unele chei de Registry.
Template-urile sunt aditive, adică se pot aplica succesiv mai multe template-uri. Ordinea de aplicare este importantă: setările din ultimul template aplicat vor suprascrie setările anterioare. Template-urile pot fi aplicate global, cu ajutorul Group Policy, sau individual, cu ajutorul Security Configuration & Analysis. Template-urile pot fi obținute din mai multe surse: spre exemplu, Windows Server 2003 vine cu un set predefinit de template-uri, iar în Windows Server 2003 Security Guide se pot găsi template-uri adiționale.
Mai mult CIAC (Computer Incident Advisory Capability), SANS (SysAdmin, Audit, Network, Security) sau NSA/CSS (National Security Agency/Central Security Service) publică propriile recomandări și template-uri pentru sistemele de operare Microsoft.
Security Configuration & Analysis este un snap-in MMC cu ajutorul căruia putem crea o bază de date cu setări de securitate, putem importa template-uri și putem aplica setări suplimentare, iar apoi putem compara setările sistemului cu template-ul creat în baza de date. Comparația este non-distructivă, adică sunt raportate doar diferențele între starea actuală a sistemului și template-ul ales.
De asemenea, putem aplica setările respective asupra sistemului curent. „secedit”(SECurity EDITor) este un utilitar linie de comandă cu ajutorul căruia putem automatiza operațiile de aplicare ale template-urilor folosind posibilități de creare de script-uri. Parametrii programului permit analiza, configurarea, importul, exportul, validarea sau rollback-ul (revenirea la setările originale) setărilor de securitate aplicate sistemelor.
Deși crearea unei politici de securitatea este un proces foarte anevoios, satisfacțiile oferite de o implementare reușită și bine documentată poate însemna siguranța și rularea fără incidente a unui rețele de sute de calculatoare mai flexibile decât rularea unor politici inadecvate pe o rețea de zece-douăzeci de calculatoare.
Principiile de bază ale securității sistemelor informatice s-au schimbat relativ puțin în ultimii ani.
Există două mari categorii – protecția la nivel fizic (garduri, uși cu încuietori, lacăte, etc.) și protecția la nivel informațional (accesare prin intermediul unor dispozitive electronice și/sau a unor aplicații software, a informațiilor dintr-un sistem de clacul – în mod general, în mod particular, informațiilor dintr-un calculator sau dintr-o rețea de calculatoare).
Figura 2. Securitatea la nivel de acces perimetral
Soluțiile de protecție fizică se pot împărți la rândul lor în două mari categorii: soluții de protecție pentru echipamente și soluții pentru protecția intruziunilor.
a). soluțiile de protecție pentru echipamente sunt împărțite la rândul lor funcție de natura protecție care se dorește, în:
Securizări prin încasetări în dulapuri speciale (prevăzute cu UPS-uri, sisteme de aer condiționat, protecții la efracții, șocuri, dezastre naturale, etc.)
Protecție contra furtului – prin încuietori, încabinări (montarea în cabine prevăzute cu sisteme speciale de porotecție), plasări în spații special amenajate, etc.
Protecție contra distrugerilor (cu sau fară intenție, aici intervenind și cataclismele naturale gen incendii, inundații, cutremure) – prin instalarea de sisteme de securizare contra incendiilor, inundațiilor sau cutremurelor.Aceste forme de protecție se refereră în special la informații cu adevărat sensibile (gen backup-uri, date confidențiale, etc.);
Protecție contra plusurilor de tensiune – prin instalarea de siguranțe specializate de protecție la supratensiune, generatoare automate, etc..
Soluțiile de protecție a echipamentelor reprezintă un pas foarte important în securizarea unei rețele. Nu putem să considerăm securizată o rețea dacă nu avem minimul de protecție asigurat echipamentelor din cadrul ei, fie ele directe (cabluri, switch-uri, servere, cabinete, calculatoare, etc.) sau indirecte (panouri electrice, sisteme de protecție contra incendiilor, etc.)
b). soluțiile de protecție pentru protecția intruziunilor se referă în special la securizarea perimetrală – securizare care se poate efectua folosind garduri, sisteme de supraveghere, acces limitat pe bază de chei, cartele de acces, zone diferențiate pe nivele diferite de acces – atât la nivel de securizare zonală – prin așezări și amenajări speciale pentru zonele sensibile ce dețin echipamente speciale – cât și pentru diferențieri de acces pentru persoane distincte, cu drepturi personalizate la nivel de acces.
În această categorie intră toate formele de acces: de securizare perimetrală la nivel fizic, ca de ex. garduri, porți, scanere de bagaje, etc., cât și formele de securizare la nivel parțial fizic, ca de ex. sisteme de acces bazat pe control biometric, sisteme de supraveghere, alarme, etc
Securizarea la nivel informațional. În această categorie intră toate formele de protecție ce se bazează pe protejarea informațiilor accesibile utilizatorilor acreditați sau formelor de protecție contra utilzatorilor răuvoitori. La fel ca securizarea la nivel fizic, și securitatea la nivel informațional se poate separa și ea în: securizare la nivel de „intruziune” și la nivel de „acces”.
Securizarea la nivel de „intruziune” trebuie privită ca toatalitatea formelor de protecție ce pot limita accesul la informație persoanelor din afara rețelei, dar în același timp să ofere și protecție internă și față de utilizatorii din rețea. În această categorie se încadrează sistemele de detecție gen firewall, sisteme de detecție a intruziunilor (IDS – Intrusion Detection System), etc.
Securitatea la nivel de „acces” se referă la modalitatea de îngrădire a diferiților utilizatori (atât cei neautorizați cât și celor autorizați) în a accesa diferitele informații din sistem. În acestă categorie intră sistemele de logare autentificate pe bază de conturi și parole, criptări de date, etc.
Așadar securitatea unei rețele trebuie să fie atacată din două mari puncte de vedere:
– securizarea la nivel de acces la echipamente;
– și protejarea la nivel de informații ce circulă în cadrul ei.
Deși securizarea la nivel fizic este foarte importantă, de obicei se înțelege de la sine modalitățile de protejare a sa, rămânând ca importanța majoră ce cade pe umerii unui tehnician să revină găsirii și încercării de configurare a unei securizări la nivel informațional cât mai puternice. Această formă de tratare a securității nu este foarte sănătoasă din cauza faptului că însăși întreaga rețea funcționează atâta timp cât este fucțională, făcând astfel inutilă forma de securizare la nivel informațional (oricât de puternică ar fi ea) inutilă.
Tot timpul trebuie mers în paralel cu aceste forme de securizare, iar în cazul unor extinderi suplimentare a rețelei, să se ia în calcul foarte serios și această formă de securizare la nivel fizic.
Tot legat de noțiunile de securizate intervin și așa numitele proceduri de lucru în caz de dezastru. Mai mult teoria din spatele denumirii de securitate, vine cu precizări foarte clare prin care trebuiesc definite (și documentate) atât procedurile de lucru pentru protecția unei rețele cât și proceduri prin care să se minimalizeze riscul odată ce a apârut o breșă de securitate. Aceste proceduri poartă denumirile de „mitigation” (planuri de măsuri ce trebuiesc relizate pentru reducerea expunerii la riscuri) și „contingency” (planuri de măsuri ce trebuiesc luate pentru reducerea impactului odată ce riscul s-a produs).
De multe ori nu contează cât de „bine” a mers (și eventual cât de mult a mers) securizarea definită într-o rețea, dacă atunci când a „picat”, când a apărut o breșă de securitate, riscurile au fost catastrofale. Acesta este motivul pentru care trebuiesc foarte clar aceste proceduri prin care să se reflecte (măcar pentru o parte din riscuri) moduri de lucru atât pentru remedierea situației, cât mai ales pentru limitarea efectelor negative produse.
Ca un exemplu care să evidențieze importanța pe care o are politicile de „mitigation” și „contingency” să luăm următoarele exemple:
1. Să presupunem că un echipament critic – gen un switch care gestiona 24 de calculatoare s-a defectat – dacă nu există un switch de schimb va trebui să oferim, cu soluțiile existente, acces dispozitivelor cu acces prioritar. Acest „schimb” trebuie să fie documentat, astfel încât orice tehnician să poată efectua acest schimb într-un timp cât mai scurt și cu pierderi cât mai mici.
2. Să presupunem, în al doilea exemplu, că un atacator a reușit să penetreze rețeaua noastră. Dacă informațiile sensibile (confidențiale) nu sunt protejate suplimentar (criptare, parolare, protejare la ștergere, etc.) vă dați seama în ce situație periculoasă vă aflați! Și în acest caz ar trebui să existe o procedură prin care anumite documente cu statut special (o bază de date cu date privind conturile de bancă a utilizatorilor, un stat de plată, un contract, un document confidențial, etc.), să fie protejate suplimentar ca și formă de acces, în primul rând, și obligatoriu protejate și ca și conținut (criptate sau parolate).
Cred că s-a înțeles că primul exemplu se referă la conceptul de „mitigation” – preparearea pentru dezastre – și al doilea la „contingency” – prepararea pentru minimizarea efectelor unor breșe apărute în politica de securitate.
Tot în cadrul definirii conceptelor „sănătoase” de securizare a unei rețele trebuie menționată importanța procedurilor de backup. Deși această procedură se referă în mare parte la protejarea datelor, este de înțeles că, cel puțin pentru echipamentele sensibile (gen acel switch din primul exemplu de mai sus), și funcție de bugetul disponibil, trebuiesc realizate achiziții de echipamente pentru backup în caz de urgențe.
Ca și politică de back-up al datelor stocate într-o rețea, funcție de informațiile care se regasesc în cadrul ei, poate fi o politică cu totul specială ce poate folosi servere speciale de tip NAS (Network Array Storage – Sistem de stocare în rețea).
Ca nivel minim de securizare, politica de back-up trebuie să ofere minim două lucruri principale: o procedură de actualizare/restaurare cât mai complete, efectuate într-un timp cât mai scurt și protecție sporită pentru suportul pe care se păstrează aceste informații (la fel, funcție de natura informațiilor păstrate, putând vorbi de necesitatea achiziționării de seifuri, realizarea de copii de siguranță la copiile de siguranță, etc.).
CAPITOLUL 3. FIREWALL SI SECURITATEA LA INTERNET
3.1. ELEMENTE DE BAZA DESPRE FIREWALL
Din punct de vedere morfologic firewall reprezinta o bariera pentru a impiedica patrunderea intrusilor intr-o retea conectata la o retea mai mare. Cand este folosit intr-o retea firewall functioneaza astfel: ajuta la impiedicarea patrinderii problemelor din alte retele in reteaua locala proprie , fapt care ar putea duce la compromiterea sistemelor si a datelor. Firewall-ul indeplineste acest obiectiv permitand circulatia unui anumit trafic intre reteaua proprie si Internet blocand restul traficului . Firewall-ul reprzinta un produs software care poate fi asociat cu un sistem de componente proiectate sa controleze accesul la si din reteaua proprie si o retea externa. Cand este folosit intr-o retea firewall functioneaza astfel: ajuta la impiedicarea patrinderii problemelor din alte retele in reteaua locala proprie , fapt care ar putea duce la compromiterea sistemelor si a datelor. Firewall-ul indeplineste acest obiectiv permitand circulatia unui anumit trafic intre reteaua proprie si Internet blocand restul traficului . Firewall-ul reprzinta un produs software care poate fi asociat cu un sistem de componente proiectate sa controleze accesul la si din reteaua proprie si o retea externa. Utilizarea unui paravan de protecție este importantă în special dacă calculatorul este conectat în permanență la Internet.
3.2. FILTRAREA ACCESULUI ÎN REȚEA – FIREWALL
Un firewall se poate defini ca fiind un paravan de protecție ce poate ține la distanță traficul Internet, de exemplu hackerii, viermii și anumite tipuri de viruși, înainte ca aceștia să pună probleme sistemului. În plus, acest paravan de protecție poate evita participarea computerului la un atac împotriva altora, fără cunoștința utilizatorului. Utilizarea unui paravan de protecție este importantă în special dacă calculatorul este conectat în permanență la Internet.
Figura 3. Filtrarea accesului in retea
O altă definiție – un firewall este o aplicație sau un echipament hardware care monitorizează și filtrează permanent transmisiile de date realizate între PC sau rețeaua locală și Internet, în scopul implementării unei "politici" de filtrare. Această politică poate însemna:
• protejarea resurselor rețelei de restul utilizatorilor din alte rețele similare – Internetul -> sunt identificați posibilii "musafiri" nepoftiți, atacurile lor asupra PC-ului sau rețelei locale putând fi oprite.
• controlul resurselor pe care le vor accesa utilizatorii locali.
Mod de funcționare:
De fapt, un firewall, lucrează îndeaproape cu un program de routare, examinează fiecare pachet de date din rețea (fie cea locală sau cea exterioară) ce va trece prin serverul gateway pentru a determina dacă va fi trimis mai departe spre destinație. Un firewall include de asemenea sau lucrează împreună cu un server proxy care face cereri de pachete în numele stațiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecție sunt instalate pe calculatoare ce îndeplinesc numai această funcție și sunt instalate în fața routerelor.
Figura 3. O posibila implementare a unui firewall
Soluțiile firewall se împart în două mari categorii: prima este reprezentată de soluțiile profesionale hardware sau software dedicate protecției întregului trafic dintre rețeaua unei întreprinderi (instituții, serverele marilor companii publice) și Internet; iar cea de a doua categorie este reprezentată de firewall-urile personale dedicate monitorizării traficului pe calculatorul personal. Utilizând o aplicație din ce-a de a doua categorie se poate preântâmpina atacurile colegilor lipsiți de fair-play care încearcă să acceseze prin mijloace mai mult sau mai puțin ortodoxe resurse de pe PC.
În situația în care se dispune de o conexiune la Internet, un firewall personal vă va oferi un plus de siguranță transmisiilor de date. Cum astăzi majoritatea utilizatorilor tind să schimbe clasica conexiune dial-up cu modalități de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reușite asupra sistemului crește. Astfel, mărirea lărgimii de bandă a conexiunii la Internet facilitează posibilitatea de "strecurare" a intrușilor nedoriți.
Astfel, un firewall este folosit pentru două scopuri:
• pentru a păstra în afara rețelei utilizatorii rău intenționati (viruși, viermi cybernetici, hackeri, crackeri)
• pentru a păstra utilizatorii locali (angajații, clienții) în rețea
Politici de lucru:
Înainte de a construi un firewall trebuie hotărâtă politica sa, pentru a ști care va fi funcția sa și în ce fel se va implementa această funcție.
Pentru a putea defini politica firewall-ului, sunt necesare unele răspunsuri la următoarele întrebări:
• ce servicii va deservi firewall-ul ?
• ce grupuri de utilizatori care vor fi protejați ?
• de ce fel de protecție are nevoie fiecare grup de utilizatori ?
• cum va fi protejat fiecare grup(detaliere privind și natura serviciilor din cadrul grupurilor)?
La final este necesar să se scrie o declarație prin care oricare alte forme de access sunt o ilegalitate. Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să fie simplă și la obiect.
Figura 3. Diferite politici de implementate intr-un firewall
Clasificări:
Firewallurile pot fi clasificate după:
• Layerul (stratul) din stiva de rețea la care operează
• Modul de implementare
În funcție de layerul din stiva TCP/IP (sau OSI) la care operează, firewall-urile pot fi:
• Layer 2 (MAC) și 3 (datagram): packet filtering.
• Layer 4 (transport): tot packet filtering, dar se poate diferenția între protocoalele de transport și există opțiunea de "stateful firewall", în care sistemul știe în orice moment care sunt principalele caracteristici ale următorului pachet așteptat, evitând astfel o întreagă clasă de atacuri
• Layer 5 (application): application level firewall (există mai multe denumiri). În general se comportă ca un server proxy pentru diferite protocoale, analizând și luând decizii pe baza cunoștințelor despre aplicații și a conținutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat application firewall pentru email.
Deși nu este o distincție prea corectă, firewallurile se pot împărți în două mari categorii, în funcție de modul de implementare:
• dedicate, în care dispozitivul care rulează software-ul de filtrare este dedicat acestei operațiuni și este practic "inserat" în rețea (de obicei chiar după router). Are avantajul unei securități sporite.
• combinate cu alte facilități de networking. De exemplu, routerul poate servi și pe post de firewall, iar în cazul rețelelor mici același calculator poate juca în acelați timp rolul de firewall, router, file/print server, etc.
Concluzii:
Un firewall poate să:
– monitorizeze căile de pătrundere în rețeaua privată, permițând în felul acesta o mai bună monitorizare a traficului și deci o mai ușoară detectare a încercărilor de infiltrare;
– blocheze la un moment dat traficul în și dinspre Internet;
– selecteze accesul în spațiul privat pe baza informațiilor conținute în pachete.
– permită sau interzică accesul la rețeaua publică, de pe anumite stații specificate;
– și nu în cele din urmă, poate izola spațiul privat de cel public și realiza interfața între cele două.
De asemeni, o aplicație firewall nu poate:
– interzice importul/exportul de informații dăunătoare vehiculate ca urmare a acțiunii răutăcioase a unor utilizatori aparținând spațiului privat (ex: căsuța poștală și atașamentele);
– interzice scurgerea de informații de pe alte căi care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);
– apăra rețeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în rețea (USB Stick, dischetă, CD, etc.)
– preveni manifestarea erorilor de proiectare ale aplicațiilor ce realizează diverse servicii, precum și punctele slabe ce decurg din exploatarea acestor greșeli.
Tehnologia firewall se bazează pe folosirea porturilor. Porturile nu sunt altceva decât niște numere plasate într-un anumit loc bine definit în pachetul de date. Fiecare aplicație folosește anumite porturi deci anumite numere .
Figura 3. Configurari diferite privind implementarea unui firewall
Deși un anumit serviciu poate avea un port asignat prin definiție, nu există nici o restricție ca aplicația să nu poată asculta și alte porturi. Un exemplu comun este cel al protocolului de poștă electronică Simple Mail Transfer Protocol (SMTP). Acest serviciu are portul asignat 25. Posibil ca furnizorul de internet să blocheze acest port pentru a evita folosirea unui server de mail pe calculatorul propriu. Nimic nu ne oprește însă să configurăm un server de mail pe un alt port. Motivul principal pentru care anumite servicii au porturi asignate implicit este acela ca un client să poată găsi mai ușor un anumit serviciu pe o gazdă aflată la distanță. Câteva exemple: serverele FTP ascultă portul 21; serverele HTTP sunt pe portul 80; aplicațiile client de genul File Transfer Protocol (FTP) folosesc porturi asignate aleator de obicei mai mari ca 1023.
Există puțin peste 65000 porturi împărțite în porturi bine cunsocute (0–1023), porturi înregistrate (1024–49151) și porturi dinamice (49152–65535). Deși sunt sute de porturi cu aplicațiile corespunzătore, în practică mai puțin de 100 sunt utilizate frecvent. în tabelul 1 putem vedea cele mai frecvente porturi și protocolul care îl folosește. Trebuie să menționăm că aceste porturi sunt primele vizate de un spărgător pe calculatorul victimei.
Tabel 1 Porturi comune și protocoale
O bună practică de siguranță este blocarea acestor porturi dacă nu sunt folosite. Se recomandă folosirea practicii least privilege. Acest principiu constă în acordarea accesului minimal, strict necesar desfășurării activității unui serviciu. Să nu uităm că securitatea este un proces fără sfârșit. Dacă un port este inchis astăzi nu înseamna ca va rămâne așa și mâine. Se recomanda testarea periodică a porturilor active. De asemenea aplicațiile au grade de siguranță diferite; SSH este o aplicație relativ sigură pe când Telnet-ul este nesigur.
3.3.PREZENTAREA FIREWALL-ULUI INCLUS ÎN WINDOWS XP SP2
Figura 3. Windows firewall inclus odata cu Windows XP SP2
Componenta firewall are funcția de a supraveghea comunicația sistemului precum și a aplicațiilor instalate cu internetul sau rețeaua și să blocheze în caz de nevoie conexiunile nedorite. Ea asigură protecția PC-ului împotriva pro-gramelor dăunătoare și a hacker-ilor. Spre deosebire de versiunea anterioară, Windows Firewall este activat în Service Pack 2 imediat după instalare și blochează majoritatea programelor care comunică cu internetul. De aceea, mulți utilizatori preferă să îl dezactiveze în loc să îl configureze. Pentru o configurare optima nu sunt necesare decât câteva setări de bază.
Dacă un program instalat împreună cu sistemul de operare încearcă să inițieze o legătură la internet sau la rețeaua internă, apare o fereastră de informare care întreabă cum doriți să tratați această comunicare. Sunt la dispoziție opțiunea de a bloca sau a permite conexiunea. În funcție de selecție, firewall-ul din XP stabilește automat o regulă. Dacă unei aplicații trebuie să îi fie permis să realizeze legături, în registrul Excep¬tions se pot stabili reguli permanente corespunzătoare. În meniul Programs se obține o listă cu toate aplicațiile insta¬late de sistemul de operare, ale căror setări de conectare pot fi definite după preferințe.
Aplicațiile individuale nu sunt de multe ori enumerate în listă. Acestea pot fi introduse în listă cu ajutorul opțiunii Add Program, indicând apoi calea spre executabil printr-un clic pe Browse. Din motive de siguranță se pot defini suplimentar, la Ports, ce interfețe și ce protocol – TCP sau UDP – poate utiliza programul. În aceeași fereastră se află și butonul Change Scope, cu ajuto¬rul căruia este posibilă introducerea de diverse adrese IP ale sistemelor cu care programul are voie să realizeze o conexiune. Dacă aceste date nu sunt încă de¬finite, aplicația este în măsură să comunice pe toate porturile și cu toate sistemele ceea ce, funcție de aplicație, are ca urmare diverse riscuri de securitate.
3.3. PROTECȚIA REȚELEI – ANTI-VIRUS ȘI ANTI-MALWARE
Datorită conotației, se folosește termenul de virus pentru totalitatea malware-ului, totuși pentru formele de prevenție se păstrează denumirile de: anti-viruși, anti-malware, anti-spyware, anti-adware și anti-phishing.
3.4.1. ANTI-VIRUȘI
Scurt istoric:
Majoritatea sunt de părere că primul software de tip antivirus este atribuit lui Bernt Fix în 1987, aceasta fiind prima neutralizare a unui virus informatic(nume de cod Viena), cel puțin prima documentată și publicată. Începând cu anul 1988 încep să apara primele companii care să produca software dedicat (Dr. Solomon’s Anti-Virus ToolKit, AIDSTEST, AntiVir) urmat în 1990 de aproximativ 19 programe antivirus distincte, printre care apar și Norton AntiVirus (achiziționat de Symantec în 1992) și McAfee VirusScan.
Dacă înainte de răspândirea Internetului majoritatea infectărilor se făceau folosind disketele, odată cu evoluția interconectării între computere au început adevăratele probleme. Autorii de viruși au reușit să-și diversifice modalitățile de răspândire folosind aplicații uzuale cum sunt editoarele de texte (macrourile scrise în diferite limbaje de programare puteau fi rulate prin simpla deschidere cu aplicația corespunzătoare), programe de e-mail (Microsoft Outlook Express, Outlook, etc), programe de tip chat (Yahoo messenger, MSN messenger), etc.
Odată cu răspândirea pe scară largă a conexiunilor de tip broad-band, virușii au început să se înmulțească și să se răspândească foarte rapid, astfel aplicațiile de tip antivirus fiind nevoite să-și actualizeze dicționarele odată la fiecare 5-10 minute. Cu toate acestea un virus nou, poate să se răspândească cu o așa viteză încât pâna la momentul depistării și găsirii modalității de neutralizare este posibil să infecteze foarte multe calculatoare (de ordinul sutelor de mii sau chiar milioanelor), aici intervenind și faptul că nu toti utilizatorii își actualizează cât de des cu putință software-ul antivirus.
Ca metode de identificare a virușilor deosebim:
1. identificarea bazată pe semnatură (signature based) este cea mai comună variantă. Pentru identificarea virușilor cunoscuți fiecare fișier este scanat ca și conținut (întreg și pe bucăți) în căutarea informațiilor păstrate într-un așa-numit dicționar de semnături;
2. identificarea bazată pe comportament (malicious activity), în acest caz aplicația antivirus monitorizează întregul sistem pentru depistarea de programe suspecte în comportament. Dacă este detectată o comportare suspectă, programul respectiv este investigat suplimentar, folosindu-se de alte metode (semnături, heuristic, analiză de fișier, etc.). Este de menționat că aceasta metodă poate detecta viruși noi;
3. metoda heuristică (heurisitc-based) este folosită pentru detectarea virușilor noi și poate fi efectuată folosind două variante(independent sau cumulat): analiza de fișier și emulare de fișier. Astfel analiză bazată pe analiza fișierului implică cautarea în cadrul acelui fișier de instrucțiuni „uzuale” folosite de viruși. Ex. Dacă un fișier are instrucțiuni pentru formatarea discului, acesta este investigat suplimentar. O problemă a acestei variante este necesitatea unor resurse foarte mari pentru analiza fiecărui fișier, rezultând în încetiniri evidente ale sistemului. Cea de-a doua metodă este cea de emulare în care se rulează fișierul respectiv într-un mediu virtual și jurnalizarea acțiunilor pe care le face. În funcție de aceste jurnale, aplicația poate determina dacă este infectat sau nu acel fișier.
4. un mod relativ nou se bazează pe conceptul de semnături generice – ceea ce s-ar traduce în posibilitatea de a neutraliza un virus folosindu-se de o semnătură comună. Majoritatea virușilor din ziua de astazi sunt așa-numiții – viruși de mutație – ceea ce înseamnă că în decursul răspândirii sale el își schimbă acea semnătură de mai multe ori. Aceste semnături generice conțin informațiile obțiunte de la un virus și în unele locuri se introduc așa-numitele wildcard-uri – caractere speciale care pot lipsi sau pot fi distincte – aplicația software căutând în acest caz informații non-continue.
3.4.2. ANTI-SPYWARE
Ca răspuns la pariția aplicațiilor de tip spyware, companiile care produceau software de tip anti-virus au început să ofere și aplicații (care apoi au devenit din ce în ce mai complexe, integrând foarte multe module, pentru fiecare tip de malware) contra acestora. Instalarea unei astfel de aplicații la momentul actual este considerată un „must-do” – obligatorie intrând în categoria „nivel minim de securitate”. Deși ideea inițială a acestor aplicații era spre beneficiul utilizatorilor în final – prin „culegerea” informațiilor care sunt cel mai căutate, elocvente, ducând astfel la o dezvoltare naturală și concretă a furnizorilor de servicii online, abuzul a condus la interzicerea sa, în special prin faptul ca se efectuiază de cele mai multe ori fără acceptul utilizatorilor.
3.4.3. ANTI-ADWARE
Aplicațiile Anti-adware se referă la orice utilitar software care scanează sistemul și oferă posibilități de dezinfecție sau eliminare a diferitelor forme de malware gen: adware, spyware, keyloggers, trojans, etc.. Unele dintre aceste programe sunt nedetectabile de către programele antivirus instalate și astfel se definește ca nivel minim de securitate alături de programele anti-virus, anti-spyware și, mai nou, anti-phishing.
3.4.4. ANTI-PHISHING
Pe langă câteva aplicații software care pot oferi o oarecare protecție contra efectelor de phising, se definesc și alte posibilități, care se pot folosi și pentru protecția contra virușilor, spyware-ului sau adware-ului și anume: instruirea utilizatorilor. O astfel de tehnică poate fi foarte eficientă, mai ales acolo unde această tehnică se bazează și pe un feedback puternic. Pentru aceasta este de menționat următoarele reguli ce trebuie urmărite:
– Folosirea de conexiuni sigure (https). Model prin care se impune ca toate formele prin care se transmit date cu caracter confidențial să se realizeze într-un mod sigur.
– Care este sit-ul? Utilizatorul este așteptat să confirme adresa din bara de adrese cum că acesta este efectiv sit-ul pe care voia să intre, sau sa-l folosească (și nu altul, de ex. www.banca.ro cu www.sitefantoma.banca.ro).
– folosirea de cerfiticate și verificarea lor. Deși necesită mai multe cunoștințe această formă este foarte importantă prin prisma faptului că sunt oferite foarte multe informații în acest certificat, informații care pot face ca acel site să devină „trusted” – credibil pentru toate aplicațiile care se descarcă de pe el. Tot la aceste certificate trebuiesc verificate și autoritățile care le-au emis.
– click-ul la întâmplare: apăsarea la întâmplare pe butoanele care confirmă anumite acțiuni, în speranța că vor dispărea aumite ferestre și „lucrul va reveni la normal” conduce la foarte mari breșe de securitate.
– lipsa de interes: este datorată în special firmelor care nu doresc să treacă la diferite forme avansate de securizare și certificare, forme care sunt deseori foarte costisitoare.
– forma de comunicație: deoarece modelul de securitate se bazează pe foarte mulți participanți la comunicație: utilizatori, client de browser, dezvoltatori, auditori, webserver, etc. face ca această formă de comunicare să fie foarte dificilă.
– abonarea la servicii care oferă liste cu sit-uri care au fost catalogate ca sit-uri „fantomă” – au apărut foarte multe astfel de liste care vin să ajute utilizatorii prin introducerea unui așa numit page ranking – sau rang de acreditare.
Este forarte importantă realizarea actualizării cât mai des a aplicației anti-malware instalate (fie ea antivirus, antispyware, antiadware, etc.) și a sistemelor de operare pentru a putea fi protejați măcar la nivel „normal”. Pentru suplimentarea modalităților de protecție se vor organiza diferite forme de instruire a persoanelor care fac administrare rețelei pentru a putea fi „la zi” cu cunoștințele și noutățile din domeniu.
Este foarte important și stabilirea de diferite politici de lucru prin care să se realizeze, periodic, verificări de jurnale, de aplicații instalate (poate sunt oferite îmbunătățiri la nivel de aplicație sau de securizare), de modalități de lucru.
3.4. SECURIZAREA ACCESULUI PRINTR-UN ROUTER WIRELESS
Prima rețea wireless a fost pusă în funcțiune în 1971 la Universitatea din Hawai sub forma unui proiect de cercetare numit ALOHANET. Topologia folosită era de tip stea bidirecțională și avea ca noduri constituente un număr de șapte calculatoare împrăștiate pe patru insule din arhipelag ce comunicau cu un nod central aflat pe insula Oahu doar prin legături radio.
Figura 3. 6 Schematizeaza modul de conectare al unui wireless.
Inițial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo unde amplasarea de cabluri ar fi fost tehnic imposibilă. Ca și în alte cazuri din istoria tehnicii de calcul, primele soluții produse pe scară largă au fost cele proprietare (nestandard) și orientate pe diverse nișe de piață, dar odată cu sfârșitul anilor ‘90 acestea au fost înlocuite de cele standard și generice cum ar fi cele descrise de familia de standarde 802.11 emise de IEEE.
Versiunea inițială a standardului IEEE 802.11 lansată în 1997 prevedea două viteze (1 și 2 Mbps) de transfer a datelor peste infraroșu sau unde radio. Transmisia prin infraroșu rămâne până astăzi o parte validă a standardului, fară a avea însă implementări practice.
Au apărut atunci cel puțin șase implementări diferite, relativ interoperabile și de ca¬li¬tate comercială, de la companii precum Alvarion (PRO.11 și BreezeAccess-II), BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus și AirSurfer Pro), Symbol Technologies (Spectrum24) și Proxim (OpenAir). Un punct slab al acestei specificații era că permitea o varietate mare a designului, astfel încât interoperabilitatea era mereu o pro¬blemă. 802.11 a fost rapid înlocuit (și po¬pularizat) de 802.11b în 1999 ce aducea, pe lângă multe îmbunătățiri în redactare, și o viteză crescută de transmisie a datelor de până la 11Mbps. Adoptarea pe scară largă a rețelelor 802.11 a avut loc numai după ce 802.11b a fost ratificat ca standard, iar produsele diverșilor producători au devenit interoperabile.
Cam în aceeași perioadă (1999) a apărut și 802.11a, o versiune pentru banda de 5GHz a aceluiași protocol. Acesta a fost urmat de 802.11g, în iulie 2003, ce aducea per¬for¬man¬țe sporite, atât în ceea ce privește viteza de transmisie (ce urca la 54Mbps), cât și distanța de acoperire în jurul antenei. Standardul aflat în prezent în elaborare de către IEEE este 802.11n – acesta aduce și el îmbunătățiri, cum ar fi o viteză teoretică de transmisie de 270Mbps.
Ca în cazul oricărei tehnici de transmisie sau comunicație care se dezvoltă rapid și ajunge să fie universal folosită, apare la un moment dat necesitatea de a implementa diverse tehnici de protecție a informatiilor transmise prin rețelele de acest tip. În cazul 802.11, securitatea se referă atât la topologia și componența rețelei (i.e. asigurarea accesului nodurilor auto¬rizate și interzicerea accesului celorlalte în rețea), cât și la traficul din rețea (i.e. găsirea și folosirea unei metode de securizare a datelor, de criptare, astfel încât un nod care nu este parte din rețea și care, deci, nu a fost autentificat să nu poată descifra „conversațiile” dintre două sau mai multe terțe noduri aflate în rețea). Un ultim aspect al securității îl constituie autentificarea fiecărui nod, astfel încât orice comunicație originată de un nod să poată fi ve¬rificată criptografic sigur ca provenind, într-adevăr, de la nodul în cauză.
Figura 3. Posibilitați de conectare folosind conexiuni wireless
Primele tehnici de securitate ce au fost folosite în astfel de rețele au fost cele din clasa „security by obscurity”, adică se în¬cerca atingerea siguranței prin men¬ținerea secretă a specificațiilor tehnice și/sau prin devierea de la standard – nu de puține ori în măsură consi¬derabilă. Aceste tehnici însă, au adus în mare parte neajunsuri implementatorilor, deoarece făceau echipamentele diferiților producători vag interoperabile. Alte probleme apăreau din însăși natura proprietară a specificațiilor folosite de aceste echipamente.
Filtrarea MAC
O formă primară de securitate este filtrarea după adresa MAC (Media Access Control address), cunoscută sub denumiri diverse precum Ethernet hardware address (adresă hardware Ethernet), adresă hardware, adresa adaptorului de rețea (adaptor – sinonim pentru placa de rețea), BIA – built-in address sau adresa fizică, și este definită ca fiind un identificator unic asignat plăcilor de rețea de către toți producătorii.
Adresa MAC constă într-o secvență numerică formată din 6 grupuri de câte 2 cifre hexadecimale (în baza 16) de tipul 00-0B-E4-A6-78-FB. Primele 3 grupuri de câte două caractere (în acest caz 00-0B-E4) identifică întotdeauna producătorul plăcii de rețea (RealTek, Cisco, Intel, VIA, etc.), iar următorii 6 digiți identifică dispozitivul în sine.
Dacă într-o primă fază această adresă era fixată, noile adrese se pot modifica, astfel această formă de securizare își pierde din valabilitate. Noile dispozitive pot să-și modifice aceasta secvență numerică doar prin intermediul driverului folosit. Este de reținut că această adresă MAC este în continuare unică, doar că driverul folosit poate face această convenție, fără a exista posibilitatea de a modifica această adresă și la nivel fizic, real. Astfel acum există riscul de ca prin aflarea unui MAC valid din cadrul unei rețele, folosind un program de tip snnifer, și schimbându-și MAC-ul în cel nou (clonând la nivel software prin intermediul driverului folosit placa cu MAC-ul aflat), atacatorul va putea avea acces legitim, fiind autentificat în cadrul rețelei. Dar totuși mulți administratori folosesc în continuare aceasta formă de securizare, datorită formei foarte simple de implementare, motiv pentru care este absolut necesar ca această formă de parolare să se completeze și cu alte modalități de securizare enunțate în continuare.
Tehnicile de generația întâi (WEP)
Prima tehnică de securitate pentru rețele 802.11 ce a fost cuprinsă în standard (implementată de marea majoritate a producătorilor de echipamente) a fost WEP – Wired Equivalent Privacy. Această tehnică a fost concepută pentru a aduce rețelele radio cel puțin la gradul de protecție pe care îl oferă rețelele cablate – un element important în această direcție este faptul că, într-o rețea 802.11 WEP, participanții la trafic nu sunt protejați unul de celălalt, sau, altfel spus, că odată intrat în rețea, un nod are acces la tot traficul ce trece prin ea. WEP folosește algoritmul de criptare RC-4 pentru confidențialitate și algoritmul CRC-32 pentru verificarea integrității datelor. WEP a avut numeroase vulnerabilități de design care fac posibilă aflarea cheii folosite într-o celulă (rețea) doar prin ascultarea pasivă a traficului vehiculat de ea. Prin metodele din prezent, o celulă 802.11 WEP ce folosește o cheie de 104 biți lungime poate fi „spartă” în aproximativ 3 secunde de un procesor la 1,7GHz.
Tehnicile de generația a doua (WPA, WPA2)
Având în vedere eșecul înregistrat cu tehnica WEP, IEEE a elaborat standardul numit 802.11i, a cărui parte ce tratează securitatea accesului la rețea este cunoscută în practică și ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publice și private, mesaje cu cod de autentificare (MAC), precum și metode extensibile de autentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni în întâmpinarea utilizatorilor casnici sau de arie restrânsă, IEEE a dezvoltat și o variantă mai simplă a standardului și anume WPA-PSK (< Pre-Shared Key mode). În acest mod, în loc de un certificat și o pereche de chei (publică și privată), se folosește o singură cheie sub forma unei parole care trebuie cunoscută de toți membrii rețelei(parolă ce poate fi de 64 sau 128 de biți).
Totuși nici această formă de securizare nu este invincibilă din cauza unor erori în algoritmii de criptare care pot face ca această cheie să poată fi restransă, în urma unor date suficiente, la o rafinare a căutărilor, ce poate face spargerea sa într-un timp relativ scurt (de ordinul zilelor).
Odată cu apariția unor tehnici și metode avansate de securizare a accesului la mediul de transmisie, s-a făcut simțită și nevoia de a administra o astfel de structură de autentificare dintr-o locație centrală, așa numita centralizare a accesului și managementului. Așa se face că tot mai multe dispozitive de tip Access Point (echipamentele ce fac legătura dintre rețeaua cablată și cea transportată prin unde radio, având un rol primordial în menținerea securității rețelei) pot fi configurate automat dintr-un punct central. Există chiar seturi preconfigurate de echipamente ce sunt destinate de către producător implementării de hotspot-uri (locuri unde se poate beneficia de acces la Internet prin 802.11 gratis sau contra cost). Aceste seturi conțin de obicei un echipament de gestiune a rețelei, o consolă de administrare, un terminal de taxare și unul sau mai multe Access Point-uri. Atunci când sunt puse în funcțiune, acestea funcționează unitar, accesul și activitatea oricărui nod putând fi atent și în detaliu supravegheată de la consola de administrare.
Imediat după perfectarea schemelor de administrare centralizată a securității în rețelele 802.11, a apărut necesitatea integrării cu sistemele de securitate ce existau cu mult înainte de implementarea rețelei 802.11 în acel loc. Această tendință este naturală; cu cât interfața de administrare a unui sistem alcătuit din multe componente este mai uniformă, cu atât administrarea sa tinde să fie mai eficientă și mai predictibilă – ceea ce duce la creșterea eficienței întregului sistem.
Figura 3. Necesitatea securizării unei rețele wireless
WPA a fost prima tehnologie care a facilitat integrarea pe scară largă a administrării rețelelor radio cu cele cablate, deoarece se baza pe principii comune descrise de standardul 802.1X. Astfel, o companie poate refolosi întreaga infrastructură pentru au-ten¬tificarea și autorizarea accesului în rețeaua sa cablată și pentru rețeaua radio. WPA poate fi integrat cu RADIUS, permițând astfel administrarea și suprave¬gherea unei rețele de dimensiuni mari ca și număr de noduri participante la trafic (e.g. un campus universitar, un hotel, spații pu¬blice) dintr-un singur punct, eliminând astfel necesitatea supravegherii fizice a aparaturii de conectare (i.e. porturi de switch).
Datorită scăderii corturilor echipamentelor de rețea și dezvoltării foarte rapide produselor destinate creării și configurării unei rețele wireless s-a impus introducerea de standarde care să asigure compatibilitatea și unitatea definirii modelelor de rețele wireless.
Standardul IEEE (Institute of Electrical and Electronic Engineers) 802.11 este un set de standarde pentru rețele de tip WLAN(wireless local area network). Din cadrul acestui standard cel mai usual este IEEE 802.11b, numit și Wi-Fi – folosind acest standard se pot trimite date cu 1, 2, 5.5 sau 11Mbps folosind banda de 2.4-2.5 GHz. Pentru condiții ideale, distanțele scurte, fără surse care să atenuieze sau să interfereze standardul IEEE 802.11b operează la 11Mbps, mai mult decât poate oferi standardul “cu fir” Ethernet(10Mbps). În condiții mai puțin ideale, conexiuni folosind vireze de 5.5, 2 sau chiar 1Mbps sunt folosite.
Standardul IEEE 802.11 mai are și componentele IEEE 802.11a – cu o rată maximă de transfer de 54Mbps, folosind frecvențe de 5Ghz – de aceea oferind un semnal mai curat și o rată de transfer mai mare, și standardul IEEE 802.11g – care are aceeași rată maximă de transfer de 54Mbps, folosind frecvențe în banda S ISM.
Cel mai nou standard inclus este IEEE 802.11n – care încă nu a fost implementat final – el având următoarele limitări teoretice: rată maximă de transfer de 600 Mbps, funcționare în benzile de frecvență 5GHz și/sau 2.4 GHz și o rază de acțiune în interior de ~ 300m. Acest standard se preconizează a se lansa oficial în 2010.
În standardul IEEE 802.11 se deosebesc două moduri de operare: modul infrastructură sau modul ad-hoc.
Modul infrastructură este folosit pentru a conecta calculatoare folosindu-se adaptoare wireless la o rețea legată „prin fire”. Ca exemplu: o firmă poate avea deja o rețea Ethernet cablată. Folosindu-se de modul infrastructură un laptop sau un alt calculator care nu are o conectare Ethernet cablată se poate conecta totuși la rețeaua existentă folosind un nod de rețea denumit Access Point – AP – pentru a realiza un „bridge” (pod) între rețeaua cablată și rețeaua wireless.
Figura 3. 9 Modul „infrastructură” pentru o rețea wireless
În cadrul acestui mod funcțional datele care sunt transmise de un client wireless către un client din rețeaua cablată sunt mai întâi preluate de AP care trimite la rândul lui datele mai departe.
Modul funcțional „Ad-hoc”
Acest mod de conectare este folosit pentru conectarea directă a două sau mai multe calculatoare, fără a mai fi nevoie de un AP(fară necesitatea unui echipament distinct de comunicare). Acest mod de comunicare totuși este limitat la 9 clienți, care pot să-și trimită datele direct între ei.
Figura 3. Reprezentarea modulului „Ad-hoc”
Pentru configurarea unei rețele wireless de tip „infrastructură” sunt necesare a se parcurge următoarele etape (denumirile pot diferi de la un producător al echipamentului la altul):
a) Wireless Mode: Partea de wireless poate funcționa în mai multe moduri și poate diferi funcție de producător sau versiune de firmware.
Modurile pot fi:
– AP (Access Point), este modul cel mai des utilizat, fiind specific modului Infrastructure, în care două device-uri wireless nu sunt conectate direct, ci prin intermediul routerului sau Access Point-ului.
– Client, în acest mod partea radio conectează wireless portul WAN din router la un punct distant. Se folosește de exemplu în cazul unei conexiuni wireless cu providerul.
– Ad-Hoc, în acest mod clienții se pot conecta direct intre ei 🙂 , conexiunea dintre ei nu mai trece prin router.
– Client Bridged, în acest mod partea radio conecteaza wireless partea LAN a routerului cu un punct distant. Astfel partea LAN va fi în aceeași rețea cu partea LAN a punctului distant.
b) Wireless Network Mode: Standardul conexiunii wireless (B, G sau A) ales trebuie să fie suportat atat de router cât și de device-urile wireless din rețea. În banda de 2,4 Ghz pot fi folosite standardele B și G, iar în banda de 5 GHz standardul A. Viteza maximă pentru standardul B este 11 Mbps, iar pentru G și A este 54 Mbps. Dacă în rețea aveți device-uri care folosesc standarde diferite puteți seta Mixed.
c) SSID (Security Set Identifier) sau Wireless Network Name: este numele asociat rețelei wireless. Default acest parametru este setat cu numele producătorului sau modelul de router sau Access Point. Din motive de securitate modificați această valoare cu un termen fară legătura cu producatorul, modelul sau date personale.
d) Wireless Chanel: Puteti seta unul din cele 13 canale disponibile pentru Europa.
e) Wireless Broadcast SSID: dacă setati Enable veți afișa numele (SSID) în rețea. Dacă este Disable când veți scana spectrul, rețeaua nu va fi afișată.
Odată parcurse etapele de mai sus rețeaua este creată – dar nu are setată nici o securitate. Este foarte important să se configureze și această parte de securitate.
Astfel pentru securizarea unei rețele avem opțiunile:
WEP (Wired Equivalent Protection) este o metodă de criptare:
– folosind 64 biti (10 caractere hexa) sau 128 biti (26 caractere hexa). Caracterele hexa sunt: 0-9 și A-F;
– autentificare Open sau Shared Key.
Acum aceasta criptare WEP cu 64 biti poate fi spartă în câteva minute, iar cea cu 128 biți în câteva ore, folosind aplicații publice.
WPA-PSK (WPA Preshared Key sau WPA-Personal) este o metodă mult mai sigură decât WEP. WPA2 este metoda cea mai sigură de criptare, fiind o variantă îmbunătățită a metodei WPA. Și aceste criptări (WPA și WPA2) pot fi sparte dacă parola conține puține caractere sau este un cuvânt aflat în dicționar. Pentru a face imposibilă spargerea acestei criptări folosiți parole lungi, generate aleator.
Filtrarea MAC, prezentată mai sus este în continuare folosită pe scară largă, oferind acel minim minimorum necesar securizării la nivel minimal. Această formă de securizare implică introducerea într-o listă de acces a tuturor adreselor MAC ale dispozitivelor ce se doresc a fi interconectate. Dispozitivele care se pot conecta la aceste echipamente (AP sau routere wireless) s-au diversificat în ultimul timp foarte mult, de la clasicile calculatoare sau laptopuri, ajungând la console de jocuri, telefoane, sisteme multimedia, imprimante sau echipamente de nișă gen televizoare, figidere sau rame foto.
Pentru definirea unei rețele wireless bazată pe modelul ad-hoc nu sunt necesare echipamente distincte (router sau access point). Pentru acest mod nu sunt necesare decât că dispositivele ce se doresc a se conecta să conțină un adaptor wireless funcțional. Toate dispozitivele de acest gen au opțiunea de „ad-hoc”, opțiune care trebuie selectată pe toate dispozitivele ce se doresc a se conecta.
Diferența între aceste dispzitive vine de la faptul că există un număr limitat de conexiuni posibile (9 la număr) care pot fi integrate în același timp în rețea. Avantajele unor astfel de conexiuni se bazează în special pe faptul că se pot realiza conexiuni de viteză mare, cauza fiind de obicei distanța mică între echipamente, fapt ce conduce la pierderi mici de pachete transmise
Figura 3. 11 Exemplu privind o rețea bazată pe modelul „Ad-hoc”.
CAPITOLUL 4. CONFIGURARE APLICATIE BITDEFENDER TOTAL SECURITY 2010
4.1. MODUL DE FUNCTIONARE AL UNUI FIREWALL
Un firewall este o aplicație sau un echipament hardware care monitorizează și filtrează permanent transmisiile de date realizate între PC sau rețeaua locală și Internet, în scopul implementării unei "politici" de filtrare. Această politică poate însemna:
protejarea resurselor rețelei de restul utilizatorilor din alte rețele similare – Internetul -> sunt identificați posibilii "musafiri" nepoftiți, atacurile lor asupra PC-ului sau rețelei locale putând fi oprite.
controlul resurselor pe care le vor accesa utilizatorii locali.
De fapt, un firewall, lucrează îndeaproape cu un program de routare, examinează fiecare pachet de date din rețea (fie cea locală sau cea exterioară) ce va trece prin serverul gateway pentru a determina dacă va fi trimis mai departe spre destinație. Un firewall include de asemenea sau lucrează împreună cu un server proxy care face cereri de pachete în numele stațiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecție sunt instalate pe calculatoare ce îndeplinesc numai această funcție și sunt instalate în fața routerelor.
Soluțiile firewall se împart în două mari categorii: prima este reprezentată de soluțiile profesionale hardware sau software dedicate protecției întregului trafic dintre rețeaua unei întreprinderi și Internet; iar cea de a doua categorie este reprezentată de firewall-urile personale dedicate monitorizării traficului pe calculatorul personal.
Astfel, un firewall este folosit pentru două scopuri:
pentru a păstra în afara rețelei utilizatorii rău intenționati (viruși, viermi cybernetici, hackeri, crackeri)
pentru a păstra utilizatorii locali (angajații, clienții) în rețea.
Politica Firewall-ului:
Înainte de a construi un firewall trebuie hotărâtă politica sa, pentru a ști care va fi funcția sa și în ce fel se va implementa această funcție.
Politica firewall-ului se poate alege urmând câțiva pași simpli:
1.alege ce servicii va deservi firewall-ul
2.desemnează grupuri de utilizatori care vor fi protejați
3. definește ce fel de protecție are nevoie fiecare grup de utilizatori
4.pentru serviciul fiecărui grup descrie cum acesta va fi protejat
5. scrie o declarație prin care oricare alte forme de access sunt o ilegalitate
Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să fie simplă și la obiect.
Deși nu este o distincție prea corectă, firewallurile se pot împărți în două mari categorii, în funcție de modul de implementare:
dedicate, în care dispozitivul care rulează software-ul de filtrare este dedicat acestei operațiuni și este practic "inserat" în rețea (de obicei chiar după router). Are avantajul unei securități sporite.
combinate cu alte facilități de networking. De exemplu, routerul poate servi și pe post de firewall, iar în cazul rețelelor mici același calculator poate juca în acelați timp rolul de firewall, router, file/print server, etc.
Ce "poate" și ce "nu poate" să facă un firewall?
Un firewall poate să:
– monitorizeze căile de pătrundere în rețeaua privată, permițând în felul acesta o mai bună monitorizare a traficului și deci o mai ușoară detectare a încercărilor de infiltrare;
– blocheze la un moment dat traficul în și dinspre Internet;
– selecteze accesul în spațiul privat pe baza informațiilor conținute în pachete.
– permită sau interzică accesul la rețeaua publică, de pe anumite stații specificate;
– și nu în cele din urmă, poate izola spațiul privat de cel public și realiza interfața între cele două.
De asemeni, o aplicație firewall nu poate:
– interzice importul/exportul de informații dăunătoare vehiculate ca urmare a acțiunii răutăcioase a unor utilizatori aparținând spațiului privat (ex: căsuța poștală și atașamentele);
– interzice scurgerea de informații de pe alte căi care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);
– apăra rețeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în rețea (USB Stick, dischetă, CD, etc.)
– preveni manifestarea erorilor de proiectare ale aplicațiilor ce realizează diverse servicii, precum și punctele slabe ce decurg din exploatarea acestor greșeli.
Pentru acest proiect am ales ca soluție software “ Firewall BitDefender Total Security 2010 “
4.2. SETARE FIREWALL BITDEFENDER TOTAL SECURITY 2010
4.2.1. CERINTE SISTEM NECESARE PENTRU INSTALARE
BitDefender Total Security 2010 se poate instala doar pe calculatoare pe care ruleazăurmătoarele sisteme de operare:
● Windows XP (32/64 biți) cu Service Pack 2 sau mai recent
● Windows Vista (32/64 biți) sau Windows Vista cu Service Pack 1 sau mai recent
● Windows 7 (32/64 biți)
Cerinte de sistem minime:
● 450 MB de spațiu liber pe hard disc
● Procesor de 800 MHz
● Memorie RAM:
▶ 512 MB pentru Windows XP
▶ 1 GB pentru Windows Vista și Windows 7
● Internet Explorer 6.0
● .NET Framework 1.1 (disponibil și în kitul de instalare)
Cerințe de sistem recomandate
● 600 MB de spațiu liber pe hard disc
● Intel Core Duo (1.66 GHz) sau procesor echivalent
● Memorie RAM:
▶ 1 GB pentru Windows XP și Windows 7
▶ 1,5 GB pentru Windows Vista
● Internet Explorer 7 (sau mai recent)
● .NET Framework 1.1 (disponibil și în kitul de instalare)
4.2.2. INSTALARE BITDEFENDER TOTAL SECURITY 2010
BitDefende Total Security 2010 se poate instala de pe CD-ul de instalare BitDefender sau folosind fișierulde instalare descărcat de pe site-ul BitDefender saude pe alte site-uri autorizate (de exemplu, site-ul unui partener BitDefender sau unmagazin online). Se poate descărca fișierul de instalare de pe site-ul BitDefender:
http://www.bitdefender.ro/site/Downloads/.
● Pentru a instala BitDefender de pe CD, se introduce CD-ul în unitate. În câteva momente se va afișa un ecran de întâmpina● Pentru a instala BitDefender folosind fișierul de instalare descărcat pe calculator, se localizeaza fișierul și se face dublu-click pe el. Programul de instalare va verifica mai întâi sistemul , pentru a valida instalarea.Se urmeaza instrucțiunile pentru a începe instalarea.
4.3. CONFIGURARE APLICATIE FIREWALL
4.3.1.SETARI FIREWALL
4.3.1.1. SETARI FUNDAMNETALE FIREWALL
Din meniul Firewall-Setari in Modul Expert se poate configure protectia firewall.
Figura 4. 1 Setari firewall
Pentru protejarea atacurilor de pe internet se pastreaza modul Firewall activat.
Există două categorii de informații:
● Sumar configurație rețea. Aici se poate vedea numele calculatorului ,adresa IP și gateway-ul acestuia. Dacă exista mai multe plăci de rețea se va vedea adresa IP și gateway-ul configurat pentr fiecare placă de rețea.
● Statistici. Se pot vedea statistici variate referitoare la activitatea firewall:
▶ numărul de biți trimiși.
▶ numărul de biți primiți.
▶ numărul de scanări de porturi detectate și blocate de BitDefender. Scanările de porturi sunt folosite în mod frecvent de hackeri pentru a detecta porturi deschise pe calculator cu intenția de a le exploata.
▶ numărul de pachete neprelucrate (aruncate).
▶ numărul de porturi deschise.
▶ numărul de conexiuni la intrare active.
▶ numărul de conexiuni la ieșire active.
Pentru a se vedea conexiunile active și porturile deschise, se merge la tabul Activitate. În partea de jos a secțiunii se pot vizualiza statisticile BitDefender referitoare la traficul la intrare și la ieșire. Graficul arată volumul traficului internet în ultimele două minute.
4.3.1.2. SETAREA ACTIUNII IMPLICITE:
În mod implicit, BitDefender permite automat tuturor programelor din lista de programe cunoscute să acceseze rețeaua și Internetul. Pentru toate celelalteprograme, BitDefender vă va solicita prin intermediul unei ferestre de alertă să se specifice acțiunea care să fie aplicată. Acțiunea specificată este aplicată de fiecaredată când respectiva aplicație necesită acces la rețea sau Internet. Se poate muta cursorul pentru a seta acțiunea implicită care să fie luată asupraaplicațiilor care necesită acces la rețea sau Internet. Următoarele acțiuni implicite sunt disponibile:
Permite toate:
Aplică regulile curente și permite toate tentativele de trafic care nu se potrivesc niciunei reguli existente, fără niciun avertisment. Această politică nu este recomandată; totuși, ea poate fi utilă administratorilor de rețea și pasionaților de jocuri.
Permite cunoscute:
Aplică regulile curente și permite toate tentativele de conectare la ieșire ale programelor cunoscute de BitDefender ca fiind legitime (pe lista albă) fără asolicita permisiunea. Pentru restul tentativelor deconectare, BitDefender vă va solicita permisiunea.Programele cunoscute de BitDefender cuprind celemai utilizate aplicații de pe mapamond. Sunt incluseaici cele mai cunoscute browsere web, playere audio&video, aplicații de chat și de transfer de fișiere,precum și clienți de servere și programe ale sistemuluide operare. Pentru a se vedea lista albă completă, clic pe Vizualizare listă albă .
Raport:
Aplică regulile curente și consulta în legătură cu tentativele de trafic care nu se potrivesc niciunei reguli existente.
Interzice toate:
Aplică regulile curente și blochează toate tentativele de trafic care nu se potrivesc niciunei reguli existente.
4.3.1.4. CONFIGURAREA SETĂRILOR AVANSATE DE FIREWALL
Pentru setari avanstae firewall se face click pe Setari avansate
Figura 4. 2 Setari avansate firewall
Următoarele opțiuni sunt disponibile:
● Activează suportul pentru Internet Connection Sharing(ICS) – activează suportul pentru Internet Connection Sharing(ICS).Această opțiune nu activează automat ICS pe sistem ci doar permite acest tip de conexiune în cazul în care se activeaza din sistemul de operare. Opțiunea Internet Connection Sharing (ICS) a sistemului de operare permite membrilor unei rețele locale să se conecteze la Internet prin intermediulcalculatorului . Acest lucru este util când se beneficiaza de o conexiune specială la Internet, cum ar fi una wireless. Împărțirea conexiunii Internet cu membrii rețelelor locale conduce la mărireaconsumului de resurse și implică un anumit grad de risc. De asemenea, ocupă unele porturi (cele deschise de membrii ce utilizează conexiunea Internet).
● Detectează aplicațiile care s-au modificat de la crearea regulii de firewall
– verifică fiecare aplicație care încearcă să se conecteze la Internet pentru a vedea dacă aceasta a fost modificată de la adăugarea regulii care îi controlează accesulla Internet. Dacă aplicația a fost modificată, va fi afișată o alertă prin care vi se va cere să permiteți sau să blocați accesul aplicației la Internet. În general, aplicațiile sunt modificate în urma actualizărilor. Totuși, există risculca acestea să fie modificate de aplicații malițioase, cu scopul de a infecta calculatorul precum și alte calculatoare din rețea.
Este recomandat sa se tina această opțiune selectată și să se permita accesul doar acelor aplicații care se așteptaț să fi fost modificate după ce a fost creată regula care le controlează accesul.Aplicațiile semnate sunt presupuse a fi sigure și au un grad sporit de securitate. Se pot selecta Ignoră modificările aplicațiilor cu semnătură digitală pentru a permite aplicațiilor semnate și modificate să se conecteze la Internet fără ca sa se primeasca vreo alerta în legătură cu acest eveniment.
● Afișează notificări wireless – dacă exista conexiune la o rețea fără fir (wireless), afișează ferestre informative privind anumite evenimente din rețea (de exemplu,când un calculator nou s-a conectat la rețea).
● Blochează scanările de porturi – detectează și blochează tentativele de a descoperi care porturi sunt deschise. Scanările de porturi sunt folosite în mod frecvent de hackeri pentru a detecta porturi deschise pe calculator. Dacă este detectat un port vulnerabil, aceștia pot pătrunde în calculator.
Activează reguli automate stricte – creează reguli stricte prin intermediul ferestrei de alertă de firewall. Fiind selectată această opțiune, BitDefender solicita se se aleaga acțiunea și va crea reguli pentru fiecare proces diferit care deschide aplicația care necesită acces la rețea sau Internet.
● Activează detecția intruziunilor (IDS) – activează monitorizarea euristică aaplicațiilor care încearcă să acceseze serviciile de rețea sau Internetul
4.3.2. REȚEA
Pentru a configura setările firewall,se merge la Firewall>Rețea în Modul Expert
Figura 4. 3 Retea
Coloanele din tabelul Configurație rețea furnizează informații importante despre rețeaua la care este conectat calculatorul:
● Adaptor – placa de rețea folosită pentru conectarea la rețea sau la Internet.
● Nivel de încredere – nivelul de încredere atribuit plăcii de rețea. În funcție de configurația plăcii de rețea, BitDefender va atribui în mod automat un nivel de încredere plăcii de rețea sau va solicita informații suplimentare.
● Modul Ascuns – dacă calculatorul poate fi detectat de alte calculatoare.
● Profil generic – dacă sunt aplicate reguli generice pentru această conexiune.
● Adrese – adresa IP configurată pentru această placă de rețea.
● Gateway – adresa IP folosită de calculatodumneavr pentru a accesa Internetul
4.3.2.1.MODIFICAREA NIVELULUI DE ÎNCREDERE
BitDefender atribuie fiecărei plăci (adaptor) de rețea un nivel de încredere. Nivelul de încredere atribuit adaptorului de rețea indică încrederea acordată rețelei. Pe baza nivelui de încredere, sunt create reguli specifice pentru adaptor privindmodul în care sistemul și procesele BitDefender accesează rețeaua și Internetul. Se poate vedea vedea nivelul de încredere configurat pentru fiecare adaptor în tabelul Configurare rețea, sub coloana Nivel de încredere. Pentru a modifica nivelul de încredere, clic pe săgeata din coloana Nivel de încredere și se selecteaza nivelul dorit.
4.3.2.2. CONFIGURAREA MODULUI ASCUNS
În modul ascuns, calculatorul este ascuns față de aplicații periculoase și de hackeri din rețea sau din Internet. Pentru a configura modul ascuns,se face clic pe săgeata din coloana Ascuns și se selecteza opțiunea dorită.
Activat: Modul ascuns este activat. Calculatorul nu poate fi detectat nici din rețeaua locală, nici de pe Internet.
Dezactivat: Modul ascuns este dezactivat. Oricine din rețeaua locală sau de pe Internet poate da ping și detecta calculatorul.
La distanță: Calculatorul nu poate fi detectat din Internet. Utilizatorii din rețeaua locală pot da ping și detecta calculatorul .
4.3.2.3. CONFIGURAREA SETĂRILOR GENERICE
Dacă se schimbă adresa IP a unui adaptor de rețea, BitDefender va modifica automat și nivelul de încredere. Dacă se doreste sa se pastreze același nivel de încredere, se face clic pe săgeata din coloana Generic și se selecteaza Da.
4.3.2.4. ZONE DE REȚEA
Se pot adăuga calculatoare blocate sau permise pentru un anumit adaptor.
O zonă de încredere este un calculator în care se are deplină încredere. Tot traficul dintre calculatorul și un calculator de încredere este permis. Pentru a putea partaja resurse cu calculatoare din rețele fără fir (wireless) nesecurizate, se aduga calculatoarele ca fiind calculatoare permise.
O zonă blocată este un calculator care nu să poate comunica sub nicio formă cu calculatorul.
Tabelul Zone afișează zonele curente de rețea pentru fiecare adaptor în parte.
Pentru a adăuga o zonă, clic pe butonul Adaugă.
Figura 4. 4 Adaugare zone
Se procedeaza astfel:
1. Se selecteaza adresa IP a calculatorului care se doreste a fi a daugat.
2. Se selecteza i acțiunea:
● Permite – pentru a permite tot traficul dintre calculatorul și calculatorul selectat.
● Blochează – pentru a bloca tot traficul dintre calculator și calculatorul selectat.
3.Click pe OK.
4.3.3. REGULI
Figura 4. 5Reguli firewall
Pentru a administra regulile firewall care controlează accesul aplicațiilor la rețea și Internet, se merge la Firewall>Reguli în Modul Expert.
Se pot vedea aplicațiile (procesele) pentru care au fost create reguli firewall. Se debifeaza căsuța Ascunde regulile de sistem pentru a vedea și regulile referitoare la procesele de sistem sau la cele ale BitDefender.
Pentru a vedea regulile create pentru o anumită aplicație, clic pe căsuța cu+ de lângă aplicația respectivă. Se pot afla informații detaliate despre fiecare regulă din tabel:
● Proces/Tip adaptor – procesul și tipul adaptorului de rețea cărora li se aplică regula. Regulile sunt create automat pentru a filtra accesul la rețea sau Internet prin oricare adaptor. Pentru a filtra accesul aplicațiilor la rețea și Internet printr-un anumit adaptor (de exemplu, printr-un adaptor de rețea wireless), se pot crea reguli manual sau se pot puteți edita regulile existente.
● Linie de comandă – comanda utilizată în linia de comandă a Windows (cmd) pentru a porni procesul.
● Protocol – protocolul IP căruia i se aplică regula. Se pot Puteți vedea unul dintre urrmătoarele protocoale:
TCP – acronimul pentru Transmission Control Protocol, permite stabilirea unei conexiuni si schimbul de date intre 2 sisteme. TCP garantează livrarea de date si primirea pachetelor trimise in aceeași ordine în care au fost expediate.
UDP – acronimul pentru User Datagram Protocol, este un protocol bazat pe IP proiectat pentru performante ridicate. Jocurile si alte aplicații video folosesc adesea UDP.
Un numar – reprezintă un anumit protocol IP (altul decât TCP și UDP).
● Evenimente rețea – evenimentele de rețea căruia i se aplică regula. Pot fi luate în considerare următoarele evenimente:
Conectare. În cazul protocoalelor orientate pe conexiune, traficul de date dintre două calculatoare apare numai după ce a fost stabilita conexiunea.
Trafic. Schimb de date dintre două calculatoare.
Asculta .Stare în care o aplicație monitorizează rețeaua așteptând stabilirea unei conexiuni sau recepționarea unor informații de la o aplicație parteneră.
● Porturi locale – porturile de pe calculatorul cărora li se aplică regula.
● Porturi la distanță – porturile de pe calculatorul la distanță cărora li se aplică regula.
● Local – dacă regula se aplică doar calculatoarelor din rețeaua locală.
● Acțiune – dacă aplicației îi este permis accesul la rețea sau Internet în circumstanțele date.
4.3.3.1. ADĂUGAREA AUTOMATĂ A REGULILOR
Având modulul Firewall activat, BitDefender va cere permisiunea de fiecare dată când se realizează o conectare la Internet:
Figura 4. 6Alerta firewall
Se poate vedeea aplicația care încearcă să accesezeinternetul, calea către aceasta, destinația,protocolul utilizat și portul prin care aplicația încearcă să se conecteze.Se face i clic pe Permite pentru a permite tottraficul (la intrare și la ieșire) generat de aceastăaplicație de pe calculatorul local către orice destinație, prin protocolul IP respectiv și pe toate porturile. Daca se face clic pe Blochează, va fi refuzat complet accesul aplicației la Internet prin protocolul IP respectiv.Pe baza răspunsului, va fi creată o regulă, care va fi aplicată și listată în tabel. Data viitoare când aplicația va încerca să se conecteze, această regulă va fi aplicată implicit.
4.3.3.2. ȘTERGEREA ȘI RESETAREA REGULILOR
Pentru a șterge o regulă, se selecteaza si se bifeaza butonul Șterge regulă.Se pot selecta și șterge mai multe reguli deodată.
Dacă se doreste sa se stearga toate regulile create pentru o anumită aplicație, se selecteaza aplicația din listă și se face clic pe butonul Șterge regulă.
Dacă se doreste incarcarea setul implicit de reguli stabilit pentru nivelul de încredere selectat, se face click pe Resetare Reguli.
4.3.3.3. CREAREA ȘI MODIFICAREA REGULILOR
Crearea manuală de noi reguli sau modificarea regulilor existente constă în configurarea parametrilor regulii în fereastra de configurare.
Crearea regulilor. Pentru a crea manual o regulă,se executa acești pași:
1.Clic pe butonul Adaugă regulă. Va apărea fereastra de configurare.
2. Se configureaza parametrii principali și pe cei avansați, după cum este nevoie.
3. Click pe OK pentru a adăuga regula.
Modificarea regulilor. Pentru a modifica o regulă existentă, se executa acești pași:
Clic pe butonul Editează regula sau i dublu-clic pe regulă. Va apare fereastra de configurare.
Se configureaza parametrii principali și pe cei avansați, după cum este nevoie.
Click pe OK pentru a salva modificările.
4.3.3.4.CONFIGURAREA PARAMETRILOR PRINCIPALI:
Tabul Principal al ferestrei de configurare permite configurarea parametrilor principali ai regulii. Se pot configura următorii parametri:
● Cale program. Se face clic pe Caută și se selecteaza aplicația căreia i se aplică regula. Dacă se doreste care regula să fie aplicată tuturor aplicațiilor, se selecteaza Oricare.
● Linie de comandă. Dacă se doreste ca regula să fie aplicată doar atunci când aplicația selectată este deschisă cu o anumită comandă în linia de comandă Windows, se debifeaza căsuța Oricare și se introduce respectiva comandă în câmpul corespunzător.
● Protocol. Se selecteaza din meniu protocolul IP căruia i se aplică regula.
▶ Dacă regula trebuie să fie aplicată tuturor protocoalelor, se selecteaza Oricare.
▶ Dacă regula trebuie să fie aplicată pentru TCP, se selecteaza TCP.
▶ Dacă regula trebuie să fie aplicată pentru UDP, se selecteaza UDP.
▶ Dacă regula trebuie să fie aplicată unui anumit protocol, se selectaza Altul. Va apărea un câmp editabil. Se introduce în câmpul editabil numărul atribuit protocolului care se doreste să fie filtrate
▶ Dacă doriți ca regula să fie aplicată unui anumit protocol, selectați Altul. Va
apărea un câmp editabil. Introduceți în câmpul editabil numărul atribuit
protocolului care doriți să fie filtrat● Evenimente rețea – evenimentele de rețea căruia i se aplică regula. Pot fi luate
în considerare următoarele evenimente: ● Evenimente rețea – evenimentele de rețea căruia i se aplică regula. Pot fi luate
Figura 4. 7 Parametrii principali
● Evenimente. În funcție de protocolul selectat,se aleg evenimentele de rețea cărora li se aplică regula. Pot fi luate în considerare următoarele evenimente:
Conectare: În cazul protocoalelor orientate pe conexiune, traficul de date dintre două calculatoare apare numai după ce a fost stabilită conexiunea.
Trafic: Schimb de date dintre două calculatoare.
Asculta : Stare în care o aplicație monitorizează rețeaua așteptând stabilirea unei conexiuni sau recepționarea unor informații de la o aplicație parteneră.
● Tipuri de adaptoare.Se selecteaza tipurile de adaptoare cărora li se aplică regula.
● Acțiune. Se selecteaza una dintre acțiunile disponibile:
Permite Aplicației specificate îi va fi permist accesul la rețea / Internet în condițiile specificate.
Intrezice : Aplicației specificate îi va fi refuzat accesul la rețea / Internet în condițiile specificate.
Configurarea parametrilor avansați
Tabul Avansat al ferestrei de configurare permite configurarea parametrilor avansați ai regulii.
Figura 4. 8 parametri avansati
Se pot configura următorii parametri avansați:
● Direcție. Se selecteaza din meniu direcția traficului căreia i se aplică regula.
La ieșire- Regula nu se va aplica decât pentru traficul la ieșire.
La intrare- Regula nu se aplica decât pentru traficul la intrare.
Ambele- Regula se va aplica în ambele direcții.
● Versiune IP. Se selecteaza din meniu versiunea IP (IPv4, IPv6 sau ambele) căreia I se aplică regula.
● Adresa locală. Se specifica adresa IP locală și portul local cărora li se aplică regula după cum urmează:
▶ Dacă sunt mai multe adaptoare de rețea, se poate debifa căsuța Oricare și introduce o anumită adresă IP.
▶ Dacă a fost selectat TCP sau UDP ca protocol se poate seta un port specific sau o valoare între 0 și 65535. Dacă se doreste ca regula să se aplice tuturor porturilor se selecteaza Oricare.
● Adresa la distanță. Se specifica adresa IP și portul la distanță cărora li se aplică regula după cum urmează:
▶ Pentru a filtra traficul dintre calculatorul gazda si un anumit calculator,căsuța Oricare trebuie debifata și introdusa adresa IP a acestuia.
▶ Dacă a fost selectat TCP sau UDP ca protocol se poate seta un port specific sau o valoare între 0 și 65535. Dacă regula trebuie să se aplice tuturor porturilor se selecteaza Oricare.
● Aceasta regula se aplica doar calculatoarelor direct conectate. Se selecteaza aceasta opțiune dacă regula trebuie să fie aplicată doar tentativelor de traffic locale.
● Verifică procesul părinte al evenimentului original. Acest parametru se poate modifica doar dacă a fost selectat Reguli automate stricte .Reguli stricte înseamnă că BitDefender va solicita să se aleaga acțiunea când o aplicație necesită acces la rețea sau Internet de fiecare dată când procesul părinte este diferit.
4.3.3. 5. ADMINSTRAREA AVANSATĂ A REGULILOR
Pentru administrarea regulilor firewall la un nivel avansat, se merge la sectiunea Avansat
Va apărea o nouă fereastră.
Figura 4. 9Administrarea avansata a regulilor
Se pot vedea regulile firewall listate în ordinea în care sunt aplicate. Tabelul furnizează informații complete despre fiecare regulă.
Atunci când are loc o tentativă de conexiune (la intrare sau la ieșire), BitDefender aplică acțiunea primei reguli care îndeplinește condițiile conexiunii respective. Din acest motiv, ordinea în care sunt verificate aceste reguli este foarte importantă.
Pentru a șterge o regulă, se selecteza si se bifeaza butonul Șterge regula.
Pentru a modifica o regulă existentă, se selecteza si se bifeaza butonul Editează regula sau dublu-clic pe regulă.
Puteți schimba prioritatea unei reguli. Se bifeaza butonul Mută cu un nivel mai sus în listă pentru a mări prioritatea regulei selectate cu un nivel, sau pebutonul Mută cu un nivel mai jos în listă pentru a scădea prioritatea regulei selectate cu un nivel. Pentru a atribui unei reguli prioritatea maximă, se bifeazabutonul Mută prima. Pentru a atribui unei reguli prioritatea minimă, se bifeaza pe butonul Mută ultima.
Se bifeaza butonul Închide pentru a închide fereastra.
4.3.4. CONTROLUL CONEXIUNII
Pentru a monitoriza activitatea curentă în rețea / pe Internet (prin TCP și UDP), sortată pe aplicații, și pentru a deschide jurnalul BitDefender Firewall, se merge la Firewall>Activitate în Modul Expert.
Figura 4. 10 Control conexiuni
Se poate vedea traficul total, sortat după aplicație. Pentru fiecare aplicație, se pot vedea conexiunile și porturile deschise, precum și statistici referitoare la vitezatraficului la intrare & ieșire și cantitatea de date trimise / primite.
Pentru vizualizarea processor inactive se debifeaza căsuța Ascunde procesele inactive.
Sensul iconițelor este după cum urmează:
● Indică o conexiune la ieșire.
● Indică o conexiune la intrare.
● Indică un port deschis pe calculator.
Fereastra prezintă, în timp real, activitatea curentă pe rețea / Internet. Pe măsură ce sunt închise conexiuni și porturi, statisticile corespunzătoare acestora dispar treptat. Același lucru se întâmplă tuturor statisticilor unei aplicații care generează trafic sau are porturi deschise atunci când este inchisa.
Pentru o listă completă a evenimentelor referitoare la activitatea modulului Firewall (activare/dezactivare Firewall, blocare trafic, modificare setări) sau generate de activitățile detectate de firewall (scanare de porturi, blocare tentative de conectare sau trafic conform regulilor) se acceseza fișierul jurnal al BitDefender Firewall făcând clic pe Vizualizare jurnal. Fișierul este localizat în directorul Common Files alutilizatorului Windows curent, la adresa: …BitDefender\BitDefender Firewall\bdfirewall.txt.
CAPITOLUL 5. CONCLUZII
5.1. REZULTATELE FIREWALL-LUI
Într-un mediu fără firewall securitatea rețelei se bazează exclusiv pe securitatea calculatoarelor gazdă care trebuie să coopereze pentru realizarea unui nivel corespunzător de securitate. Cu cât rețeaua este mai mare, cu atât este mai greu de asigurat securitatea fiecărui calculator. Folosirea unui firewall asigură câteva avantaje :
1) Protecția serviciilor vulnerabile prin filtrarea (blocarea) acelora care în mod obișnuit sunt inerent mai expuse. De exemplu un firewall poate bloca intrarea sau ieșirea dintr-o rețea protejată a unor servicii expuse cum ar fi NFS, NIS etc. De asemenea mecanismul de dirijare a pachetelor din Internet poate fi folosit pentru rutarea traficului către destinațiii compromise. Prin intermediul ICMP firewall-ul poate rejecta aceste pachete și informa administratorul de rețea despre incident.
2) Impunerea unei politici a accesului în rețea deoarece un firewall poate controla accesul într-o rețea privată. Unele calculatoare pot făcute accesibile dei exterior și altele nu. De exemplu, serviciile de poștă electronică și cele informaționele pot fi accesibile numai pe unele calculatoare din rețeaua internă protejându-le pe celelalte de expuneri la atacuri.
3) Concentrarea securității pe firewall reduce mult costurile acestei față de cazul în care ar fi distribuită pe fiecare stație. Folosirea altor soluții cum ar fi Kerberos, implică modificări la fiecare sistem gazdă, ceea ce este mai greu de implementat și mai costisitor.
4) Întărirea caracterului privat al informației care circulă prin rețea. În mod normal o informație considerată pe bună dreptate nesenzitivă (navigarea pe Web, citirea poștei electronice etc.) poate aduce atacatorilor informații dorite despre utilizatori : cât de des și la ce ore este folosit un sistem, dacă s-a citit poșta electronică, site-urile cele mai vizitate etc. Asemenea iformații sunt furnizate de serviciul finger, altfel un serviciu util în Internet. Folosirea unui firewall poate bloca asemenea servicii cum ar fi finger, DNS etc. Blocarea ieșirii în exterior a informației DNS referitoare la sistemele gazdă interne, numele și adresele IP, ascunde informație foarte căutată de atacatori.
5) Monitorizarea și realizarea de statistici privind folosirea rețelei sunt mult ușurate dacă întregul trafic spre și dinspre Internet se face printr-un singur punct (firewall).
5.2. DEZAVANTAJELE UNUI FIREWALL
Folosirea unui firewall are și unele limitări și dejavantaje, inclusiv unele probleme de securitate pe care nu le poate rezolva.
1. Restricționarea accesului la unele servicii considerate vulnarabile care sunt des solicitate de utișlizatori : FTP, telnet, http, NSf etc. Uneori politica de securitate poate impune chiar blocarea totală a acestora.
2. Posibilitatea existenței “unor uși secrete” Un firewall nu poate proteja împotriva unor trape care pot apărea în rețea, de exemplșu accesul prin modem la unele cailculatoare gazdă. Folosirea modemuri de viteză mare pe o conexiune PPP sau SLIP deschide o “ușă” neprotejabilă prin firewall.
3. Firewall-ul nu asigură protecție față de atacurile venite din interior. Scurgerea de informații, atacurile cu viruși, distrugerea intenționată din interiorul rețelei nu pot fi protejate de firewall.
4. Reducerea vitezei de comunicație cu exteriorul (congestia traficului) este o problemă majoră a unui firewall. Ea poate fi depășită prin alegerea unor magistrale de mare viteză la interfața acestuia cu rețeaua internă și cea externă.
5. Fiabilitatea rețelei poate fi redusă dacă și chiar dezastruoasă dacă sistemul firewall nu este fiabil.
Comparând avantajele și limitările securității prin firewall se poate concluziona că protejarea resurselor unei rețele este bine să se facă atât prin sisteme firewall cât și prin alte meeanisme și sisteme de securitate.
Principiul activității sale, în general, este neinteresant, și nu este necesar unui utilizator obișnuit. Mult mai important este rezultatul. Și el într-adevăr are rezultate foarte bune. Acesta este instalat și consumă foarte puține resurse de sistem, oferă protecție practic absolută împotriva virușilor, troienilor și altor programe dăunătoare.
5.3. IMPLEMENTAREA SECURITĂȚII PRIN FIREWALL
Implementarea securității pritr-un sistem firewall se poate face respecând următorii pași:
– Definirea politicii de securitate prin firewall
– Definirea cerințelor de funcționare și securitate peri firewall
– Procurarea unui firewall
– Administrarea unui firewall.
Politica de securitate prin firewall are două niveluri de abordare: politica de acces la servicii și politica de proiectare a firewall-ului. Gradul de îndeplinire a securității pe cele două nivele depinde în mare măsură de arhitectura sistemului firewall. Pentru a defini o politică de proiectare a firewall-ului, trebuie examinate și documentate următoarele:
• Ce servicii urmează a fi folosite în mod curent și ocazional
• Cum și unde vor fi folosite (local, la distanță, prin Internet, de la domicilui)
• Care este gradul de sensibilitate al informației, locul unde se află și ce persoane au acces au ‚acces ocazional sau curent
• Care sunt riscurile asociate cu furnizarea accesului la aceste informații
• Care este costul asigurării protecției
În vederea procurării componenetelor soft și hard ale unui sistem firewall, trebuie definite cât se poate de concret cerințele de funcționalitate și de securitate ale acestuia. Pentru aceasta este recomandabil să se țină seama de următoarele aspecte:
• În ce măsură poate fi suportată o politică de securitate impusă de organizație și nu de sistem în sine
• Flexibilitatea, gradul de adaptabilitate la nio servicii sau ceințe determinate de schimbările în politica de securitate
• Să conțină mecanisme avansate de autentificare sau posibilități de instalare a acestora
• Să foloseească tehnici de filtrare de tip permitere/interzicere acces la sisteme, aplicații, servicii
• Regulile de filtrare să permitpă selectarea și combinarea cât mai multor atribute (adrese, porturi, protocoale)
• Pentru servicii ca TELNET, FTP etc să permită folosirea serviciului proxy individuale sau comune
• Firewall-ul și accesul public în rețea trebuie corelate astfel încât serverele informaționale publice să poată fi portejate de de firewall, dar să poată fi separate de celelalte sisteme de rețea care nu furnizează acces public
• Posibilitatea ca firewall-ul și sistemul de operare să poată fi actualizate periodic
5.4. MECANISMELE DE AUTENTIFICARE AVANSATE
Cartelele inteligente, jetoanele de autentificare, tehnicile biometrice, sunt din ce în ce mai folosite în locul parolelor pentru autentificarea entităților care auu acces la informații vehiculate sau stocate în rețele. Deoarece firewall-ul este locul fizic care concentrează accesul într-o rețea, acesta este , în mod loigic, și locul în care se află hardwer-ul și software-ul pentru autentificare.
Printre macanismele avansate de autentificare de actualitate sunt parolele de unică folosionță și cartelele inteligente.
Sistemele cu parolele de unică folosință conțin o tabelă de parole în care se intră la fiecare cerere de acces la resursele de rețea, se validează individual intrarea în tabel iar parolele se generează individual pe baza unui algoritm.
Cartelele inteligente se bazează pe mecanismul numit “răspuns la provocare” care funcționează astfel :
– utilizatorul introduce un nume de logare
– sistemul generează un număr aleator (porvocare) și îl trimite utilizatorului
– utilizatorul criptează acest număr cu o cheie cunoscută de sistem ți trimite rezultatul
– sistemul criptează și el acel număr aleator cu aceeași cheie și compară rezultatele. În caz de coincidență solicitantul este acceptat în sistem
ANEXA Lista figurilor
Figura 1.1. Internet 2
Figura 1.2 Emblema internet 3
Figura 1.3 Folosirea internetului in lume 7
Figura 1.4 Internetul In Romania 8 Sursa:http://www.google.ro/search?hl=ro&gbv=2&tbm=isch&sa=X&ei=EPLUTcyxEseDswaj2J2DDA&ved=0CDQQBSgA&q=internet&spell=1&biw=1366&bih=643
Figure 1. 5 Graficul utilizarii inernetului in diverse activitati 9
Sursa:http://www.google.ro/search?hl=ro&gbv=2&tbm=isch&sa=X&ei=EPLUTcyxEseDswaj2J2DDA&ved=0CDQQBSgA&q=internet&spell=1&biw=1366&bih=643
Figura 2 .1 Retea de calculatoare 10
Figura 2. 2 Topologii de retea 10
Figura 2 .3 Diverse tipuri de retele 11
Figura 2. 4 Retea PAN 12
Figura 2. 5 Retea LAN 12
Figura 2.6 Retea MAN 13
Figura 2 .7 Retea acdemica 14
Figura 2. 8 Placa de interfata cu retea 15
Figura 2 .9 Radio Repeater 15
Figura 2. 11 Hub 16
Figura 2. 12 Dispozitive de tip wireless 17
Figura 2. 13 Realizarea bridge-lor 17
Sursa: http://ro.wikipedia.org/wiki/Re%C8%9Bea_de_calculatoare
Figura 2 14 Microsoft Management Console – Local Security Settings, setări locale de securitate 21
Figura 2 15 În MMC (Microsoft Management Console) se pot adăuga diferite alte add-în-uri sau colsole de administrare. Se observă în dreapta posibilitatea de a insera și diferite template-uri (șabloane) predefinite 23
Figura 2 16 cum se observă la nivel de securitate se pot restricționa inclusiv accesul la dispozitive hardware 25
Figura 2. 17 Securitatea la nivel de acces perimetral 27
Figura 2. 18 Securitatea la nivel informațional 28
Sursa: http://www.google.ro/search?q=Microsoft+Management+Console&hl=ro&biw=1366&bih=643&prmd
Figura 4. 1 Setari firewall 58
Figura 4. 2 Setari avansate firewall 60
Figura 4. 3 Retea 62
Figura 4. 4 Adaugare zone 65
Figura 4. 5Reguli firewall 66
Figura 4. 6Alerta firewall 68
Figura 4. 7 Parametrii principali 70
Figura 4. 8 parametri avansati 72
Figura 4. 9Administrarea avansata a regulilor 74
Figura 4. 10 Control conexiuni 75
Sursa: Din aplicatie.Configurare BitDefender
Bibliografie:
Retele locale de calculatoare.Proiectare si administrare.Adrian Munteanu. Ed. Polirom, 2006
Retele de calculatoare pentru incepatori.HabrakenJoe.Ed.ALL.
Tehnologia client server pentru toti.Doug Lowe.Ed. Teora
Primii pasi in securitatea retelelor.TomThomas.Ed. Corint
Aplicatii software pentru protocoalele de comunicatie.Emil Sofron, Valeriu Ionescu.Ed.Matrixrom
Internetul, societatea informational si societatea cunoasterii.Titu Bajenescu .Ed. Matrixrom
Firewalls.Protectia retelelor conectate la internet.Terry William Ogletree.Ed. Teora
Securitatea retelelor, Stuart McClure Joel Scambray George Kurtz, Editura Teora
Material de predare,Securizarea retelelor
Webgrafie:
http://www.competentedigitale.ro/internet/internet_istoric.html
http://www.socio.uvt.ro/CLMIS/GabrielaGrosseck/
http://www.scritube.com/stiinta/informatica/Lucrare-de-licenta-MAGAZINE
http://www.google.ro/#hl=ro&source=hp&biw=1366&bih=600&q
http://www.anteea.ro/raport.pdf
http://www.mediawebdesign.ro/internet.html
http://ro.wikipedia.org/wiki/Internet
http://ro.wikipedia.org/wiki/Retea_de_calculatoare
http://www.referat.ro/referate/Securitatea_retelelor_4c6d0.html
http://profs.info.uaic.ro/~busaco/teach/courses/net/presentations/net12.pdf
http://www.google.ro/#hl=ro&source=hp&biw=1366&bih=643&q=securizarea+retelleor
http://www.google.ro/#hl=ro&biw=1366&bih=600&q=securitate+software
http://www.paginata.com/paginata/mac/filtrarea-adreselor-mac-pentru-retele-wireless
http://www.google.ro/search?q=tehnici+de+generatia+inati
http://www.price.ro/t-27184
http://www.securizare.ro/content/view/38/36
http://en.wikipedia.org/wiki/SOCKS
http://www.squid-cache.org/
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Firewalls. Protectia Retelelor Conectate la Internet (ID: 149811)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.