FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630888]
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
PROIECT DE DIPLOMĂ
COORDONATOR ȘTIINȚIFIC
Prof. Dr. Ing. Vlăduțiu Mircea
ABSOLVENT: [anonimizat]
2018
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
TRATAREA UNOR ASPECTE PRIVIND
CONFIGURARE A ȘI SECURITATE UNEI REȚELE
DE CALCULATOARE
COORDONATOR ȘTIINȚIFIC
Prof. Dr. Ing. Vl ăduțiu Mircea
ABSOLVENT: [anonimizat]
2018
UNIVERSITATEA DIN ORADEA
FACU LTATEA DE INGINERIE ELECTRICĂ ȘI TEHNOLOGIA INFORMAȚIEI
DEPARTAMENTUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
TEMA: SECURITATEA REȚELELOR DE CALCULATOARE
Proiectul de Finalizare a studiilor a student: [anonimizat]
1). Tema proiectului de finalizare a studiilor : TRATAREA UNOR ASPECTE PRIVIND
CONFIGURARE A ȘI SECURITATE UNEI REȚELE DE CALCULATOARE
2). Termenul pentru predarea proiectului de diplomă ____ _______________________ _______
3). Elemente inițiale pentru elaborarea proiectului de finalizare a studiilor :
Documentația aferentă ;
Platforma de experimentare ;
4). Conținutul proiectului de finalizare a studiilor :
Succit c apitol ul introductiv cu precizarea domeniului căreia îi aparține lucrarea și a structurii
acesteia;
Partea aplicativă referitoare la configurarea și securitate unei rețele de calculatoare incluzând
rezultate experimentale pentru investigațiile applicative;
Concluz ii rezumative.
5). Material grafic:
Tabele și reprezintări grafice corespunzătoare rezultatelor experimentale .
6). Locul de do cumentare pentru elaborarea proiectului de diplomă :
Interprindere și la Biblioteca Universități i “Politehnica” din Timișoara
7). Data emiterii t emei_______________________________________________________
Coordonator științific
Prof. Dr. Ing. Vl ăduțiu Mircea
UNIVERSITATEA DIN OR ADEA
FACULTATEA DE INGINERIE ELECTRICĂ
ȘI TEHNOLOGIA INFORMAȚIEI
Adresa Oradea, Cod 410087, Bihor, Romania, Strada Universit ății, nr. 1 ,
Tel/Fax :+40 259/408412, Tel:+40 259/408104; +40 259/408204
REFERAT
PRIVIND PROIECTUL DE DIPLOMĂ
A
ABSOLVENT: [anonimizat] : Vulpe Ovidiu Viorel
DOMENIUL Calculatoare și tehnologia informației
SPECIALIZAREA Tehnologia informației
PROMOȚIA 2018
1. Titlul proiectului TRATAREA UNOR ASPECTE PRIVIND CONFIGURAREA ȘI
SECURITATE UNEI REȚELE DE CALCULATOARE
2. Structura proiectului
Capitolul I. Introducere
Capitolul II. Securizarea și monitorizarea rețelei
Capitolul III VPN – Rețea Virtuală Privată
Capitolul IV Realizarea practică a proiectului
3. Apreci eri asupra conținutului proiectului de DIPLOMĂ (finalizare a studiilor ), mod
de abordare, complexitate, actualitate, deficiențe :
Lucrarea se caracterizează printr -o construcție echilibrată cu o bună ponderare între
dezvoltarea noțiunilor și descrierea aplicativă.
Lucrarea tratează o problematică de strictă a ctualitate luând în considerație importanța
domeniului.
Studentul reprezintă corect elementele teoretice esențiale folosindu -le în lucrare doar în
măsura în care contribuie la înțelegerea părții aplicative.
Lucrarea conține o parte aplicativă consistentă explicând soluții cu caracter de originalitate.
4. Aprecieri asupra proiectului (se va menționa: numărul titlurilor bibliografice
consultate, frecvența notelor de subsol, calitatea și diversitatea surselor consultate;
modul în care absolventul a prelucrat informațiile din surse teoretice)
Sunt utilizate referințele bibliografice de marcă în domeniu, totuși investigația din literatura
de specialitate este limitată.
Sursele bibliografice sunt alese în mod corespunzător .
Materialul grafic este executat în mod îngrijit , fiind complementar părți i redactate.
(se va menționa: opțional locul de documentare și modul în care absolventul a realizat
cercetarea menționându -se contribuția autorului)
Autorul alege în mod corect sursele de literatură, lucrarea având la bază un număr de 22
surse bibliografice.
5. Concluzii (coordonatorul proiectului trebui e să aprecieze valoarea proiectului
întocmit , relevanța studiului întreprins, competențele absolventului, rigurozitatea pe
parcursul elaborării proiectului , consecvența și seriozitatea de care a dat dovadă
absolventul pe parcurs)
În baza celor mai sus menționate apreciez că lucrarea elaborată de absolvent este valoroasă,
fiind bazată pe un amplu studiu de literatură de specialitate . Pe parcursul elaborării lucrării de
licență, autorul a dovedit seriozitate și consecvență în elaborarea lucrărî de licență.
6. Redactarea proiectului respectă …………………………………………………. cerințele
academice de redactare (părți, capitole, subcapitole, note de subsol și bibliografie).
7. Consider că proiectul îndeplinește/ nu îndeplinește condițiile pentru susținere în
sesiunea de Examen de LICENȚĂ (finalizare a studiilor ) din IULIE 2018 și propun
acordarea notei ………………
Oradea,
Data Coordonator științific
Prof. Dr. Ing. Vl ăduțiu Mircea
1
Cuprins
Cuprins ………………………………………………………………………………..
Capitolul I.
Introducere …………………………………………………………………..
I.1 Aspecte generale privind securitatea reț elelor de calculatoare ………….
I.2 Riscuri de securitate …………………………………… ………………..
I.3 Tipuri de atacuri asupra rețelei …………………………………….. …..
I.3.1 Atacurile de nivel fizic ……………….……………… ……..
I.3.2 Atacurile de nivel legătură date ………………… ………….
I.3.3 Atacurile de nivel rețea …………….………………. ………
I.3.4 Atacurile de nivel aplicație …………………………… ……
I.3.5 Atacurile web ………………………………… …………….
I.3.6 Viruși , viermi , troieni …………………………… ………….
I.4 Metodologii de atac ……………..…………… ……………………….
I.4.1 Atacuri de recunoaștere …………………… ……………….
I.4.2 Atacuri acces ………………………… ……….…………….
I.4.3 Atacurile DoS ……………………………… ……………….
Capitolul II. Securi zarea și monitorizarea rețelei …………………… ……… ..……… .
II.1 AAA …………………………… ……………….……………………
II.2 Securizarea accesului remote pe echipamente ……………………… .
II.2.1 Protocolul SSH ………………………… ….……………….
II.3 Securitatea prin criptare ……………………………………… ……. ..
II.3.1 Criptarea Simetrică ……………………………… …………
II.3.1 Criptarea Asimetrică ………………………….… …………
II.4 Securitatea prin firewall ………………………… …………………..
II.5 Sistemul de D etectare și Prevenire a I ntruziunilor ………. .……… …
II.5.1 Sistem de Detectare a Intruziunilor (IDS) ………… …
II.5.2 Sistem de P revenire a intruziunilor (IPS) …… …….… 1
3
3
4
4
4
5
6
7
7
8
10
10
11
12
14
14
15
15
16
17
18
19
21
21
23
24
2 II.6 ACL (Listele de acces) …………………… ……………… …….……
II.7 Translatarea adreselor (NAT) ………………………… .…… ….……
Capitolul III VPN – Rețea Virtuală Privată ………………………………… …………
III.1 Tipuri de rețele VPN ……………………………… ……..…
III.1.1 Remote VPN …………………………… ……………
III.1.2 Intranet VPN ……………………… ..…….…………
III.1.3 Extranet VPN ………………………… .………….…
III.2 Protocolul IPSec ………………………… ………….………
III.2.1 Algoritmi criptografici ……………………….…
III.2.1.1 Algoritmi de autentificare …………… …
III.2.1.2 Algoritmi de criptare ………… …………
III.2.1.3 Algoritmi criptografici cu chei publice …
III.2.2 Protocoale de securitate: AH și ESP …… ………
III.2.2.1 Protocolul Authentication Header ………
III.2.2.2 Protocolul Encapsulating Security Payload
III.3 Protocolul IKEv1 ………………………………… …
Capitolul IV Realizarea practică a proiectului ……………………… ………………..
IV.1 Prezentarea temei de proiect ……… …………… ..………
IV.2 Arhitectura rețelei ……………………… ………..………
IV.3 Utilitare pentru simularea și configurarea rețelei…… ……
IV.4 Configurarea Switch -urilor ………………… ….…………
IV.5 Configurarea Router -elor ……………. …………….……
Concluzii ……………… ……………….……………………….…………………….
Bibliografie ………………… ………………………………………………………… 25
28
31
32
32
32
34
36
36
37
37
38
38
39
40
40
42
42
42
44
46
48
53
54
3
CAPITOLUL I
I. Introducere
În primele decenii, rețelele de calculatoare au fost folosite pentru trimiterea poștei
electronice și pentru partajarea imprimantelor. În aceste condiții, problema securității nu atrăgea
atenția. Acum, când milioane de oameni obișnuiți folosesc rețelele pentru operațiuni bancare,
cumpărături și plat a taxelor, securitatea rețelei apare la orizont ca o m are problemă.
Securitatea este un subiect vast și acoperă o mulțime de imperfecțiuni. În forma sa simplă,
ea asigură că persoane curioase nu pot citi sau modifica mesajele destinate altor destinatari. Se
ocupă de cei care încearcă să apeleze servicii la d istanță pe care nu sunt autorizați să le folosească.
Securitatea se ocupă de problemele legate de capturarea și falsificarea mesajelor autorizate și de cei
ce încearcă să nege faptul că au trimis anumite mesaje.
Majoritatea problemelor de securitate sunt c auzate intenționat de persoane răuvoitoare ce
încearcă să obțină anumite beneficii sau să provoace rău cuiva. Realizarea unei rețele sigure implică
ceva mai mult decât păstrarea ei fără erori de programare. Problemele securității rețelei pot fi
împărțite î n patru domenii : confidențialitate, autentificare, nerepudiere și controlul integrității.
Confidențialitatea se referă la păstrarea informației departe de utilizatorii neautorizați.
Autentificarea reprezintă determinarea identității persoanei cu care vorbești înainte de a dezvălui
informații importante . Nerepudierea implică semnături , cum poți fi sigur că mesajul pe care l -ai
primit a fost cel trimis și nu unul pe care cineva răutăcios l-a modificat în trazit sau l -a măsluit?
I.1 Aspecte generale pri vind securitatea retelelor de calculatoare
Domeniul care se ocupă de studiul mecanismelor de protecție a informației în scopul
asigurării unui nivel de încredere în aceasta se numește securitatea informaț iei. Putem afirma
că nivelul de încredere în informație depinde de nivelul mecanismelor de securitate care îi
garantează protecția și de riscurile care apar asupra securității ei. Securitatea informației este
un concept mai larg care se referă la asigurarea integrității, confidențialității și disponi bilității
informației.
Securitatea reț elei reprezintă acum o componen tă în networking , implică proto coale,
dispozitive, tehnologii și tehnici pentru a securiza datele și atenuarea amenințărilor. Securitatea
rețelei este în mare măsură determinată de efortul de a rămâne cu un pas înaintea hackerilor.
Securitatea rețelei se referă direct la continuitatea afacerii unei organizații. Breșele de
securitate de rețea: pot perturba e -commerce , cauzează pierderea de date, amenință intimitatea
oamenilor, compro mit integritatea informațiilor . Aceste încălcări pot conduce la venituri pierdute,
furt de propietate intelectuală , amenințări la siguranța publică.
Atacurile cibernetice au crescut considerabil în ultimii ani, conform unor rapoarte Eu ropol
infracțiunile comise în spațiul cibernetic provoacă anual pagube de aproximativ 1 trilion de dolari.
În iulie 2001, viermele Code Red a atacat servere web la nivel global, infectând peste
350.000 de gazde în câteva ore de la lansarea atacului . Viermele a perturbat accesul la serverele
infectate și la rețelele locale de găzduire a serverelor, provocând un atac DoS pentru milioane de
utilizatori. Dacă responsabilii cu securitatea rețelelor a acestor servere (infectate cu Code Red) ar
fi dezvoltat și implementat o poli tică de securitate, iar patch -urile de securitate ar fi fost aplicate în
timp util, atacul ar fi fost oprit.
Viermele SQL Slammer din ianuarie 2003 a încetinit traficul de internet la nivel mondial, ca
urmare a unui atac de tip DoS.
– în primele 30 de minu te de la lansare au fost afectate peste 250.000 de gazde
4 – viermele a exploatat un bug buffer overflow în Microsoft SQL Server
– un patch pentru această vulnerabilitate a fost lansat la mijlocul anului 2002, astfel încât
au fost afectate serverele care nu au avut actualizate patch -urile.
WannaCry un software rău intenționat, care viza sistemul de operare Microsoft Windows.
Atacul de tip ransomware mai 2017,a infectat peste 230.000 de calculatoare din 150 de țări,
software -ul cerând cumpărare plătibilă în cr iptomoneda Bitcoin . Atacul a fost descris de către
Europol ca fiind de o scară fără precedent.
În același timp, au fost atacate ținte din 99 de alte țări. Acest atac de tip ransomware, sa
răspând it prin e -mail de phishing, răspândindu -se printr -o rețea în care nu au fost instalate
actualizări de securitate recente, infectând direct orice sistem expus. Un patch critic fusese publicat
de Microsoft în martie 2017 pentru a înlătura vulnerabilitatea pe s istemele suportate, cu aproape
două luni înainte de atac, dar multe organizații totuși nu îl instalaseră încă.
I.2 Riscuri de securitate
O prima clasificare a riscurilor de securitate distinge trei tipuri de atacuri: atacuri venite din
rețeaua Internet (au o rată de succes redusă), atacuri inițiate din rețeaua locală și atacuri generate de
pe același sistem – acasta avănd impact mult mai însemnat decât primele.
Deși au gradul de risc cel mai ridicat, atacurile inițiate de utilizatorii serverului țintă s unt
deseori tratate în grabă și unitar.
Principiul fundamental al securității, fie ea IT sau de orice altă natură, este:
”Securitatea unui sistem este egală cu securitatea celei mai slabe verigi.”
Altfel spus, nu are rost să cheltui sume enorme de bani pe sisteme de securitate dacă
utilizatorii folosesc drept parole propiul nume sau își țin parola lipită pe monitor.
Privită din perspectiva unui sistem IT, o soluție de securitate trebuie să includă atât o
politică de securitate, ce definește drepturile și re sponsabilitățile utilizatorilor, cât și specificații
pentru asigurarea securității fizice, a componentelor sistemului de operare, a aplicațiilor locale,
precum și a serviciilor de rețea.
O politică de securitate trebuie să stabilească un compromis între gr adul de flexibilitate al
serviciilor IT și nivelul de securitate dorit. Cerințele de securitate ar presupune izolarea totală a
sistemului (rețelei) de lumea exterioară, dar o astfel de abordare duce la limitarea funcționalității,
cel mai adesea securitatea unui sistem este definită ca un set de metode de protecție menite să
descurajeze și să întârzie atacatorul. (Răzvan Rughiniș, 2002)
I.3 Tipuri de atacuri asupra rețelei
Informațiile confidențiale p ot fi întâlnite în două st ări într -o rețea. Se pot găsi pe dispozitive
fizice de stocare sau se pot găsi în trecere de -a lungul cablului sub formă de pachete. Aceste
informaț ii constituie multiple oportunități pentru atacuri din partea utilizatorilor din rețeaua internă,
precum și a utilizatorilor din exterior (internet).
Următoarele metode comune de atac oferă oportunități de compr omitere a informației din
rețea:
I.3.1 Atacurile de nivel fizic
Atacurile de nivel 1 (fizic) reprezint ă un num ăr foarte mic din totalul atacurilor pentru că
presupun acces la mediul de transmisie. Î n aceast ă categorie sunt incluse atacurile ce presupun
interceptarea traficului din re țea. Metodele de protec ție difer ă în func ție de mediul de transmisie
folosit.
În rețelele f ără fir, mediul fiind atât partaja t cât și foarte accesibil, protec ția se bazeaz ă mai
ales pe criptarea traficului. Securizarea unei astfel de retele porne ște de la reglarea puterii de emisie
a echipamentelor f ără fir (echipamentele mai ieftine de obicei nu permit astfel de configur ări), în
scopul limit ării accesului la mediu din afara ariei de lucru. În alegerea cript ării trebuie ținut cont c ă
atât WEP, cât și WPA sunt protocoale relativ u șor de compromis. În măsura în care componentele
rețelei f ără fir o permit, se recomand ă folosirea WPA 2, protocol bazat pe AES.
Pentru relelele de cupru, atacatorul va avea nevoie de acces la miezul de cupru al mediului
de transmisie. la cablurile UTP, atacul se rezumă la a îndep ărta cămașa de plastic, urmând ca prin
intermediul unor cle ști să se intercept eze semnalele electrice transmise pe firele de cupru.
5 Fibra optic ă, deși este mai greu de atacat, poate c ădea victim ă unor tehnici neintruzive (care
nu se bazeaz ă pe întreruperea mediului de transmisie). Un aparat ce intercepteaz ă semnalul luminos
dintr -o fibră îndoit ă poate fi cump ărat de pe eBay la mai pu țin de 500 USD.
Trebuie remarcat c ă un astfel de atac necesit ă acces la mediul fizic. În plus, prin î ndoirea
fibrei semnalul luminos se atenueaz ă, atenuare ce poate fi detectat ă de receptor și folosit ă în
declan șarea unei alarme.
I.3.2 Atacuri de nivel legătur ă de date
Atacurile de nivel 2 (le gătură de date) presupun acces î n rețeaua locală. lista acestor atacuri
include: atac MAC, atac STP, schimbarea VLAN (VLAN hopping), dar și ARP poisoning, atac
greu detectabil și ușor de f olosit în rețelele locale actuale.
Atacul ARP poisoning (Figura 1.1 ) presupune redirec ționarea traficului dintre orice sta ție
din re țeaua local ă și routerul de ie șire din LAN (gateway) prin sta ția atacatorului. Acest lucru este
realizat prin trimiterea de pachete ARP (atât cereri ARP, cât și răspunsuri) cu informa ții alterate.
Pentru exemplificare, fi e cazul din figura 1.1, în care sta ția C dore ște să intercepteze traficul
dintre sta țiile A și B. Pentru aceasta, sta ția C va trimite dou ă pachete ARP de tip r ăspuns false: o
dată pentru sta ția B, în care se specific ă faptul c ă adresa de nivel 2 a stației A este
AA:BB:CC:00 :00:13 , și o dat ă pentru stația A , în care se specific ă faptul c ă adresa de nivel 2 a
stației B este tot AA:BB:CC:00:00:13 .
Astfel, atunci când stația A doreșt e să trimită un pachet stației B, î l va trimite stației C. La
fel, atunci când stația B dorește s ă trimită un pachet stației A, îl va trimite tot stației C . Pentru că
procesul să func ționeze, stația C va trebui să trimită pachetele primite stațiilor care sunt adresate. În
plus, stația C trebuie să retrimită pachetele ARP false la intervale regulate.
Aceasta pentru că intrările din tabela ARP s unt evacuate după un timp, caz î n care stația va
trimite un pach et ARP de interogare. Dacă stația interogată răspunde, intrarea din tabela ARP va fi
actualizată și astfel traficul nu va mai ajunge la stația C.
Figura 1.1 Atac ARP poisoning1 [HTTP04]
Acest tip de atac, î n care două stații comunică printr -un intermediar, poartă numele de man
in the middle attack . Există multe atacu ri de acest tip și din păc ate singura soluție pentru evitarea
acestor atacuri este autentificarea.
Simpla criptare a traficului nu evită întotdeauna aceste tipuri de atacuri. Dacă se folosește o
criptare cu o cheie partajată, atunci se obtine un grad oarecare de securitate. În schimb, dacă se
folosește o criptare fără o cheie pa rtajată și fără autentificare, î n care cheia de criptare se deri vă prin
schimbul de informații î ntre cele do uă stații, gradul de securitate este zero: atacatorul va stabili două
1 [HTTP04]
6 canale de comunicație, cu fiecare dinlre cele două statii, și, chiar dacă acele canale de comunicație
sunt criptate, atacatorul are toate informațiile necesare pentru decriptare.
Pentru prevenirea unui atac ARP poisoning trebui e monitorizat tot traficul ARP î n rețeaua
locală, atâ t la nivelul dispozitivelor de i nterconectare – folosind switch -uri ce implementează ARP
Inspection (interceptează și validează toate cererile și răspunsurile ARP), cât și la nivelul stațiilor –
folosindu -se programe de tip ARPWat ch pentru a detecta eventuale schimbări î n asocierile IP –
MAC. În același timp, pentru destinațiile importante (de exemplu pen tru gateway), se recomandă
folosirea de asocieri statice î n tabela ARP.
Apariția switch -urilor î n rețelele locale au transformat mediul partajat al Ethernet -ului î ntr-
un mediu dedicat. Astfel, un administrator de rețea ce dorește monitorizarea t raficului c ătre o
anumită destinație va trebui ca, î nainte de a lansa programul de interceptare a traficului, să facă un
atac ARP poisoning pentru respectiva destinație. Pentru aceasta poate folosi orice generator de
pachete, cele mai utilizate fiind: Cain, dsniff, I PSorcery .
I.3.3 Atacurile de nivel rețea
Atacurile de nivel 3 (reț ea) sunt cel mai adesea inițiate din Internet. deși există atacuri de
nivel 3 și î n rețelele locale, precum DHCP starvation și DHCP spoofing .
Din multitudinea atacurilor de nivel 3 cele mai î ntâlnite sunt atacurile bazate pe f1ooding ,
sau cele bazate pe DoS (Denia l of Service) sau mai nou DDoS (Distributed DoS).
Un flood reprezintă un număr foarte mare de pachete venite î ntr-un interval scurt de timp.
Un trafic ce poate fi interpretat dre pt flood la nivelul routerului de acces î n rețeaua locală poate fi
tratat drept trafic normal î n nucleul Internet -ului. Pentru tehnologiile actuale, un flood este definit
astfel: la nivelul unui switch de nivel 2 un număr de 100.000 – 150.000 de pachete pe secundă, iar la
nivelul unui router de acces (ce conectează o rețea locală) un flood are 8.000 -12.000 de pachete pe
secundă. În nucleul Internet -ului un trafic de sute de milioane de pachete pe secundă poate fi tratat
drept trafic legitim, de aceea un flood se identifică după tipul traficului și nu după numărul de
pachete.
Atacurile bazate pe flooding pot folosi conexiuni TCP, mai exact pachete de SYN (atacul
numindu -se SYN flooding ), cât și pachete ICMP sau UDP. î n cazul SYN f1ooding, atacatorul va
trimite un num ăr foarte mare de cereri de deschidere a unei noi conexiuni TCP (pachete ce au
câmpul de control SYN setat). Serverul țintă va răspunde cu pachete ce au câmpurile ACK și SYN
setate. Atacatorul nu va trimite niciodat ă pachetul de stabilire a cone xiunii (o sesiune TCP se
bazeaz ă pe three·wa y handshoke). Astfel, sesiunile vor r ămâne în starea half-open, consumând
resurse î n continuare pe server.
Mecanismele de protecție împotriva atacurilor SYN flood se bazează pe stabilirea unui timp
maxim pentru s tabilirea unei conexiuni (timp în care conexiunea poate fi î n starea half-open ), a unui
număr maxim de conexiuni half -open (v aloare de la care conexiunile ha lf-open vor începe să fie
șterse). O altă abordare se numește SYN cookies. Această metodă permite severului să evite
înlăturarea conexiunilor, când coada în care sunt păstrate SYN -urile devine plină, serverul
comportându -se normal, ca și când aceasta din urmă ar fi fost mărită. Server -ul în acest caz, va
trimite î napoi client -ului un ră spuns de forma SY N+ACK, dar va șterge din coadă intrarea
corespunzătoare pachetului ce conținea bit -ul SYN setat. Dacă serverul va primi un pachet de
răspuns de la client cu bit -ul ACK setat, atunci conexiunea poate fi stabilită, intrarea ce fusese
ștearsă putând fi recons truită pe baza numărului de secvență din antetul T CP.
ICMP fooding se bazeaz ă pe trimiterea unui num ăr foarte mare de pachete ICMP,
consumând î ntreaga l ățime de band ă disponibil ă. Cel mai adesea atacul este prevenit prin filtrare a
întreg traficului ICMP, cu costul pierderii func ționalit ăți utilitarelor ping și traceroute .
Atacul UDP flooding este cu adevărat distructiv când folosește drept țintă porturile 7 și 19,
adică serviciile de echo și chargen . Acest e servicii, fiind rar folosite î n rețele locale, p ot fi oprite de
firew all-ul de intrare î n LAN, fără un impact real asupra funcționării rețelei.
Atacurile bazate pe flooding sunt î n general combinate cu un atac de tip spoofing , prin care
se generează adrese sursă fictive și diferite pentru pachetele din flood (altfel o filtrare pe baza
depășirii unui număr limită de pachete per sursă ar elimina atacul). Atacul spoofing asigură î n
același timp ascund erea identității atacatorului. Î n plus, dacă destinația atacului bazat pe fl ooding nu
7 este o sursă țintă ci adresa de difuzare a unei rețele, toate echipamentele din respectiva rețea vor
încerca să răspundă unei surse ce nu există în realitate. Acest atac este de tip DDoS și se numește
atac smurf (figura 1.2) .
Figura 1.2 Atacul smurf2 (HTTP04)
Există trei forme prin care un atac de tip DoS poate fi inițiat: atacurile din exterior, venite
din Internet, atacuri inițiate din rețeaua locală și atacuri generate de pe aceeași mașină. Atacurile din
exterior pot avea ca țintă: închiderea anumitor servicii, dezactivarea conturilor utilizatorilor,
utilizarea malițioasă a telnet sau finger . Ca metode de atac din interior putem enumera: umplerea
harddisk -ului, crearea de procese la infinit, crearea de fișiere greu de șters.
Atacurile DDoS por nesc de la putere a enormă de calcul disponibilă î n rețelele actuale locale.
Unele dintre aceste atacuri pot fi neintenționate, precum î n cazul Slashd ot effect. Numele vine de la
cunoscutul s ite Slashdot , care a postat un link către un site cu capabilități mai mici. Când foarte
mulți utilizatori au incercat să acceseze respectivul site, efectul a fost echivalent cu un atac SYN
flood.
Atacurile DDoS se bazează î n general pe infe ctarea unui număr cât mai mare de stații, și
coordonarea unui atac către aceeași ț intă. Un astfel de atac a fost generat de virusul MyDoom .
Tot în categoria DDoS intră și viruși de tip IRCBots , programe care după infectarea unei
stații vor iniția o conexiune către un server de IR C pe un canal privat, atacatorul putând să
controleze toate stațiile infectate. Un IRCBot va deschide și portul 6667 (portul implicit pentru
IRC) pe mașina infectată.
I.3.4 Atacuri de nivel aplicație
Atacurile de nivel 7 (aplicație) exploatează în general vulnerabilități ale aplicațiilor web.
Atacurile de ni vel 7 pot avea drept țintă și tehnologiile din spatele aplicațiilor web, un număr
important de atacuri fiind direcționate î mpotriva bazelor de date. Cel mai cunoscut atac de aceast fel
este inserarea de cod SQL (SQ L Injection). Acest atac se bazează pe mod ul direct de interogare a
bazei de date.
Este necesar să se atragă atenția asupra riscului de securitate adus de utilizatorii neglijenți
din rețea. Chiar și î n cazul unor utilizatori responsabili nu trebuie ignorate riscurile unui atac bazat
pe inginerie socială – adică pe manipularea indivizilor pentru obținerea accesului la informații le
confidenția le sau alte resurse. Nu este o î ntâmplare că cel mai cunoscut hacker al tuturor timpurilor
este Kevin Mitnick, un om cu cunoștințe tehnice limitate, dar cu o bună ințelegere a psihologiei
utilizatorilor și a administratorilor din rețelele actuale.
I.3.5 Atacuri web
O clasă tot mai relevant ă actualmente a atacurilor de nivel aplica ție o reprezint ă atacurile
web. Datorita maturiz ării Internetului și volumelor ri dicate de tranzac ții online, majoritatea
atacurilor din ultima perioad ă se concentreaz ă asupra serviciilor oferite pe net. Pe de o parte ,
porturile asociate acestora trebuie s ă fie tot timpul deschise, iar pe de alta, protocoalele folosite nu
2 [HTTP04]
8 au fost ini țial concepute pentru magazine virtuale sau pl ăți electronice, cu atât mai puțin fiind lua te
în calcul considerentele de securitate.
Astfel, de -a lungul timpului au fost aduse multe îmbun ătătiri pentru a permite aplica țiilor
web s ă serveasc ă obiectivele actuale, precum criptarea comunica țiilor peste un canal SSL (HTIPS),
menținerea unei sesiuni între client și server folosind cooki e-uri, animarea conținutului paginilor
web cu XHTML, CSS, JavaScrÎpt sau Flash, comunicaț ia asincron ă folosind AJ AX – conducând
utilizatorul c ătre o experien ță Web 2.0, pu țin peticit ă din punct de vedere al securit ății.
Atacurile pe Web se împart î n dou ă categorii: atacuri asupra platformei : sistem de operare,
servicii, comunica ții și atacuri asupra aplica ției, care vizeaz ă compromiterea sistemului sau a
utilizatorului.
Atacurile asupra platformei se bazeaz ă pe exploatarea unor vulnerabilit ăți în sistemul de
operare, în serviciile expuse sau î n protocoalele utilizate. Acestea urm ăresc ob ținerea accesului la
date neautorizate sau incapacitarea serviciului. Aceste atacuri verific ă porturile deschise î n firewall,
versiunile serviciilor active și apoi caut ă vulnerabilit ăți cunoscute pe care să le utilizeze pentru a
obține acces la sisteme. Atacurile se pot baza, de exemplu, pe bug -uri în versiunile de SSH, î n
serverele de FTP, DNS sau SMTP și cel mai adesea chiar in serverele Web (Apache sau lIS ).
Asemenea atacuri există și pentru Apache. De exemplu, existența unui bug î n biblioteca
openssl permite deschiderea unui shell prin ataca rea unui server web care foloseș te SSL .
Atacurile asupra aplicației Web se bazează pe vulnerabilități î n modul de programare, pe
bug-urile și breșete de securitate inerente limbajului de programare, sau pe greșelile
programatorilor. Atacur ile asupra aplicaliilor Web acoperă două ținte: compromiterea sistemului,
prin obținerea accesului neautorizat pe unul dintre serverele de aplicație sau baze de date, sau
compromiterea clientului, prin obținerea informațiilor confidențiale ale acestuia, furtul sesiunii, sau
execuția de cod pe mașina acestuia.
Majoritatea atacurilor asupra aplicațiilor web sunt datorate validării insuficiente a datelor
de intrare ale aplicației: acestea pot fi date introduse de utilizatori, câmpuri ascunse ale
formularelor, parametri ai pagini lor dinamice, variabile aflate î n cookie -uri, antete HT TP, etc.
Datorita fapturilor că aplicațiile web sunt eterogene prin definiție, atacarea acestora nu se bazează
atât de mult pe vulnerabilități cunoscute, cât pe o metodologie particu lară, specifică fiecă reia.
Bazele de date CVE (Common Vulnera bilities and Exposures) conțin informații despre aplicații
particulare des înt âlnite pe web (WordPress, PHPBB). Î n continuare vor fi analizate vulnerabititățile
generale ale aplica țiilor web, și vor fi detaliate cele de mare notorietate (HTTP14) .
Vulnerabilitățile î n procesul de autentificare implică unul dintre următoarele scenarii:
obținerea neautorizată a informațiilor de autentificare, spoof -area identității utilizatorului,
interceptarea informațiilor de lo gare, spargerea algoritmilor de criptare sau retransmiterea datelor,
furtul sesiunii sau atașarea la o sesiune validă. Procesul de autorizare implică acțiunile pe care le
poate intreprinde un utilizator aute ntificat, iar atacurile includ escaladarea orizontală a privilegiilor,
cum ar fi accesarea datelor din profilul altui utilizator al unui magazin online sau escaladarea
verticală a privilegiilor, precum accesarea unor pagini specifice administratorilor maga zinului.
I.3.6 Viruși, viermi, troieni
Când au apărut primii viruși și a fost dezlănțuit primul atac DoS, lumea profesionaliștilor în
rețele a început să se schimbe. Principalul lor obiectiv a evoluat de la proiectare, construirea și
creșterea rețelelor, la securizarea acestora.
Viruși
Cod executabil atașat unui program sau executabil . Codul trebuie să fie rulat de un utilizator
pentr u a avea efect. Se propagă prin: atașamente de e -mail, fișiere descărcate infectate, partajări dc
fișiere în rețeaua locală sau stick -uri USB. Virus reprezintă un software malițios care execută pe un
calculator, o anumită funcție nedorită, de multe ori dăunătoare . Un virus simplu se poate instala la
prima linie de cod pe un fiș ier executabil . Când este activat, virusul ar putea verifica disc -ul pentru
alte executabile, astfel î ncât să poată infecta toate fișierele care nu au fost încă infectate. Virușii p ot
9 fi inofensivi (exmplu : afișează o imagine pe ecran) , distructivi (exempl u: șterg fișiere de pe hard
disk) sau pot fi programați să evolueze , pentru a evita detectarea .
Clasificarea virușilor î n funcție de modul de replicare distinge î ntre mai multe tipuri, dintre
care cei mai întâlniți sunt: viruși de e -mail, de macro, bombe l ogice, viruși de baal, viermi, și
troieni.
Pentru a reduce impactul virușilor sunt importante atât măsurile luate la nivelul rețelei, cât și
exersarea unor deprinderi din partea utilizatorilor.
Astfel, este important ca accesul în rețea să fie protejat de un firewall (dispozitiv de filtrare
atât a traficului de intrare î n rețea, cât și a celui de ieșire), ca serverul de e -mail să aibă instalat un
antivirus, să existe o politică de monitorizare a serviciilor, etc.
La nivelul utilizatorulu i este important să nu lanseze î n execuție fișiere primite prin e -mail,
să nu deschidă atașamente primite de la necunoscuți, să mențină un antivirus actualizat pe stația de
lucru, etc. În același timp este important să nu fie instalate programe antivirus redundante, deoarece
prin consumul de resurse acestea pot afecta semnificativ performanțele sistemului.
Viermi
Cod executabil ce folosește vulnerabilități pentru a se răspândi. Spre deosebire de viruși nu
necesită intervenția directă a unui utilizator, se răspândesc rapid în rețea și sunt greu de îndepărtat.
Viermii (Worms) reprezintă un tip deosebit de periculos de cod ostil și se reproduc prin exploatarea
vulerabilităților în rețele. Sunt responsabili pentru unele din cele mai devastatoare atacuri de pe
internet.
În ciuda te hnicilor de diminuare a vulnerabilităților apărute de -a lungul anilor, viermi au
continuat să evolueze odată cu Internetul și încă reprezintă o amenințare prin exploatarea punctelor
slabe din aplicațiile software . Sunt programe autonome care atacă un siste m speculând o
vulnerabilitate cunoscută, dupa specularea cu succes, viermele se copiază de la gazda atacată, la un
sistem nou atacat și ciclul se repetă.
Atacurile software rău intenționate utilizează metode similare și parcurg aceleași etape:
Sondare – sunt indentificate obiectivele vulnerabile . Scopul este de a găsi computere ce pot
fi compromise. Se utilizează scanarea prin ping (Internet Control Message Protocol – ICMP) pentru
a face harta rețelei. Apoi aplicația scanează și identifică sistemele de operare și software vulnerabil.
Hackerii pot obține parole folosind atacuri dicționar, atacuri brute -force sau prin sniffing în rețea.
Pătrundere – codul exploit (speculativ) este transferat la ținta vulner abilă, în scopul de a fi
executat pintr -un vector de atac ( cum ar fi vulnerabilități : buffer overflow, Common Gateway
Interface – CGI, ActiveX sau un virus prin e -mail).
Persistență – după ce atacul este lansat cu succes în memorie, codul încearcă să persiste pe
sistemul țintă, pentru a fi disponibil pentru atacator, chiar dacă sistemul repornește . Acest lucru se
realizează prin modificarea fișierelor de sistem (ex. modificări în regiștri) și instalarea noului cod.
Propagare – atacatorul încearcă să extindă atacul la alte ținte prin căutarea prin siste mele
vulnerabile vecine. Vectorii de propagare includ: încărcarea fișierelor la alte sisteme ce utilizează
servicii FTP, conexiunile web active transferul de fișiere prin Internet Relay Chat (IRC).
Paralizare – sistemul este compromis . Fișierele pot fi ște rse, sistemul poate să cadă, atacurile
pot fi furate sau distribuite, atacurile DoS pot fi lansate.
Troie ni
Cod executabil atașat unei aplicații, spre deosebire de viruși care au efect direct, au efect
subtil – deschidere backdoor. Sunt mult mai greu de d etectat ca viruși. Un troian este un malware
care efectuează operațiuni malițioase sub masca unei funcți dorite , conține cod ascuns, care
speculează privilegiile utilizatorului care îl rulează. Acesta provoacă daune imediate, oferă acces de
la distanță la sistem sau accesul printr -un backdoor. Troieni pot avea un cod pentru o țintă
specificată, ceea ce il face mai greu de detectat.
Troieni se clasifică în funcție de daunele pe care le provoacă sau de modul în care deschid
breșa în sistem :
Remote -access Trojan horse – activează accesul neautorizat la distanță .
Data -sending Trojan horse – oferă atacatorului date sensibile, cum ar fi parole .
10 Destructive Trojan horse – corupe sau șterge fișiere.
Proxy Trojan horse – utilizează calculatorul infectat ca proxxy server.
FTP Trojan horse – permite servici FTP neautorizate.
Security software disabler Trojan horse – oprește programele antivirus și firewall .
DoS Trojan horse – oprește sau încetinește activitatea rețelei.
Buffer overflow
Apare într -un program oricând acesta scrie mai multe informați într -o zonă tampon decât
spațiul alocat în memorie pentru ea. Poate fi definit ca o eroare de programare , o anomalie într -un
program care permite scrierea de date într-un tampon și suprascrierea memoriei adiacente . La bază
buffer ove rflow este un bug de programare, la nivelul următor este considerat vulnerabilitate de
securitate , potențial urmată de buffer overflow ca atac iar la nivelul superior, buffer overflow poate
fi reprezenta tă ca un incident de securitate. Rapoarte le arată că o treime dintre vulnerabilitățile
software indentificate de CERT se referă la buffer overflow .
Într-un atac buffer overflow, obiectivul atacatorului este de a folosi vulnerabilitatea pentru a
corupe informațiile într -un mod controlat. Dacă atacul se face cu succes, atacat orul obține în mod
eficient controlul asupra sistemului. Odată ce controlul este transferat la codul malițios, se execută
instrucțiunile date care au ca scop , de obicei, acordarea de acces complet neautorizat la sistem.
Un a tac de tip buffer overflow poate fi local sau la distanță :
– atac local – atacatorul are deja acces la sistem și poate fi interesat de creșterea privilegiului.
– atac la distanță – este livrat printr -un port de rețea
Un atac de tip buffer overflow este for mat din 3 părți: plantarea codului de atac în programul
țintă, copierea efectivă în tampon și deturnarea controlului pentru a executa codul de atac.
Vulnerabilitatea poate fi un proces care: ascultă pe un port de comunicații deschis sau
acceptă date de int rare neverificate.
Atenuarea virușilor, viermilor sau a troienilor
Viermii se bazează pe rețea mai mult decât virușii. Atenuarea viermilor necesită sârguință și
coordonare din partea profesionaliștilor în securitatea rețelei. Răspunsul la un atac vierme poate fi
împărțită în patru etape: izolare, inoculare (vaccinare), carantină și tratament.
Faza de izolare – presupune limitarea răspândirii unei infecții cu vierme în zonele de rețea
care sunt deja afectate . Izolarea necesită utilizarea ACL, atât de ieșire cât și de intrare pe routere și
firewall -uri la punctele de control din cadrul rețelei.
Faza de inoculare (vaccinare) – se desfășoară în paralel sau după faza de izolare . Se aplică
patch -uri furnizor pentru vulnearbilitate, la toate sistemele nei nfectate. Vaccinarea privează
viermele de a infecta alte obiective disponobile, un scanner de rețea poate ajuta la identificarea
gazdelor potențial vulnerabile .
Faza de carantină – presupune depistarea și identificarea sistemelor infectate și
deconectarea, blocarea sau eliminarea lor. Aceasta izolează aceste sisteme pentru faza de tratament.
Faza de tratament – în timpul acestei faze, sistemele infectate sunt în mod activ dezinfectate
de vierme. Acest lucru implică : încheierea procesului, eliminarea fișiere lor modificate , eliminarea
setărilor de sistem introduse de vierme și aplicarea patch -ului pentru vulnerabilitatea aplicată.
I.4 Metodologii de atac
Există mai multe tipuri de atac de rețea, altele decât viruși, viermi sau troieni. Clasificarea
atacurilor de rețea se face în trei mari categorii: atacuri de recunoaștere, atacuri acces și atacuri
DoS.
I.4.1 Atacuri de recunoaștere
Un atac de recunoaștere constă în recoltarea informaț iilor despre o anumită rețea , în multe
cazuri, preced un atac de tip acces sau DoS. Intrusul malware începe prin executarea unui ping
sweep asupra rețelei țintă, pentru a determina ce adrese IP sunt active , apoi determină ce servicii sau
porturi sunt dispo nibile pe sistemele cu adresele IP active . Intrusul interoghează porturile pentru a
determina tipul și versiunea sistemul de operare și aplicaț iile ce rulează pe hostul țintă, el caută
11 servicii vulnerabile ce pot fi exploatate mai târziu. Atunci când sunt utilizate în mod lega l,
aplicațiile de ping sweep și port scan , servesc la indentificarea serviciilor vulnerabile . Un atacator
utilizează informațiile prin examinarea adreselor IP , a porturilor Transmission Control Protocol
(TCP) și User Datagram Protocol (UDP) pentru a compromite un sistem.
I.4.2 Atacuri acces
Una din cele mai sigure metode de a obține accesul priveligiat este de a sparge parola . Acest
lucru presupune că atacatorul are de ja acces pe un sistem din rețea șsi dorește acces privegiliat.
Parola nu este salvată pe hard disk în clar, se salvează un hash al acesteia. În momentul în
care user -ul introduce parola, se calculează hash -ul acesteia care este apoi comparat cu hash -ul
salvat în momentul setării parolei inițiale, parola este corectă dacă cele două hash -uri sunt egale .
Dacă parola este greșită , hash -ul ei este diferit de cel salvat fiindcă mesaj are propil hash , nu există
2 mesaje (2 parole) cu acealși hash. Dacă un hacker compromite sistemul și are acces la fișierul cu
parole, aces ta poa te observa hash -ul parolelor, nu și parolele .
Parolele cărora li s -a obținut hash -ul po t fi sparte prin:
Brute force – se încearcă toate combinațiile ce folosesc un set simboluri , poate fi aplicat
direct pe serviciul de autentificare , fără a avea hash-ul.
Dictionary attack – se încearcă toate cuvintele din dicționar împreună cu permutări simple ,
poate fi aplicat direct pe serviciul de autentificare, fără a avea hash -ul.
Cryptanalysis attack (Rainbow tabels ) – atac de cripanaliză, pentru spargere se pot folosi
tabele de hash -uri precalculate . Pentru a preveni un atac ce folosește rainbow tabels se utilizează
metoda Salting . Un segment suplimentar, generat aleatoriu, este concatenat la parola utilizatorului
înainte de hashing.
Port redirec tion (Redi recționarea portului)
Este bazat pe exploatarea încrederii, atacatorul utilizează un host compromis pentru a avea
acces printr -un firewall care altfel l -ar fi blocat. Dacă un intrus este în măsură să compromită un
host din segmentul serviciilor publice, at acatorul ar putea instala software -ul pentru a redirecționa
traficul de la hostul din exterior, direct la hostul din interior. Deși comunicarea încalcă regulile
implementate în firewall, hostul din exterior are acum conectivitate la hostul din interior, pr in
procesul de redirecționare port pe hostul din segmentul serviciilor publice. Un instrument care poate
oferi acest tip de acces este Netcat .
Switch spoofing
Sistemul atacatorului (figura 1.3) negociază o legătură trunkcu switch -ul (prin DTP) .
Atacatorul poate ulterior trimite trafic în orice vlan.
Figura 1.3 Atacul Switch spoofing3 (HTTP04)
3 [HTTP04]
12 Buffer Overflow
Un program scrie date dincolo de memoria tmpon alocată. Buffer overflow apare ca o
consecință a unui bug de program în C sau C++. Un rezultat al overflow este că datele valide sunt
suprascrise sau exploatate pentru a permite executarea unui cod malițios.
Double tagging
Nu necesită implementarea DTP pe atacator. Dacă un atacator este conectat la un por t acces
(figura 1.4) , care este în VLAN nativ 802.1q (vlan 1, în mod implicit), el poate provoca trafic de salt
VLAN prin injectarea de pachete dublu marcat e. Switch -ul desface doar primul tag și nu va dori să
”observe” al doilea tag. Atunci când este transmis unui alt switch printr -un trunk 802.1q, nu i se
aplică nici un tag de VLAN, deoarece aparține unui VLAN care este VLAN nativ pentru trunk.
Celălalt swi tch, vede eticheta VLAN rămasă (al doilea tag aplicat de atacator) și va transmite
pachetul pe VLAN -ul specificat în tag.
Figura 1.4 Atacul Double tagging4 (HTTP04)
Atacuri STP
Protocolul STP nu folosește autentificarea, ceea ce îl face vulnerabil. Un atac STP parcurge
de obicei următorii pași:
Atacatorul se conectează la rețeaua de switch -uri(prin Shitch2p). Trimite frame BPDU
(Bridge Protocol Data Units) cu BID mic, devine roo t bridge .
Soluții pentru protejarea STP: RootGuard, BPDU Guard sau BPDU Filter.
Atenuarea atacurilor acces
Atacurile acces, în general, pot fi detectate prin verificarea: logurilor, utilizării lățimii de
bandă și proceselor încărcate. Prin verificarea log urilor, administratorii de rețea pot determina dacă
au avut loc un număr neobișnuit de încercări de autentificare eșuate. Pachete software, cum ar fi
ManageEngine Analyzer EventLog sau Cisco Secure Acces Control Server ( CSACS ) mențin
informațiile privind î ncercările nereușite de login la dispozitivele din rețea. Echipamentele de rețea
și dispozitivele firewall pot fi configurate pentru a preveni încercările de conectare pentru un timp
dat, dintr -o anumită sursă și după o serie de eșecuri.
Atacurile man in the middle pot fi indicate de aplicați ile de monitorizare a rețelei prin
activitate neobișnuită în rețea și utilizare mai mare a lățimii de bandă.
Un atac acces într -un sistem compromis este probabil dezvăluit de activitatea lentă din cauza
atacurilor buf fer overflow în curs de desfășurare.
I.4.3 Atacurile DoS
DoS este un atac de rețea care duce întrerupere a serviciului pentru utlizatori, dispozitive sau
aplicații. Mai multe mecanisme pot genera un atac DoS. Atacul DoS saturează rețeaua, astfel ca
traficu l utilizatorului valid nu poate trece. Atacul DoS poate fi: un pachet infestat, care prelucrat de
4 [HTTP04]
13 hostul destinație, provoacă funcționarea defectuoasă a acestuia sau un flux de pachete valide, care
consumă resursele hostului destinație.
Atacuri DDoS (Distr ibuted Denial of Service)
Constă în trimiterea cererilor de la mai multe sisteme către o singură țintă. Atacurile
DoS/DDoS sunt dificil de identificat, nu se poate determina mereu care sunt cereri valide și care
reprezintă un atac.
Ping of Death (PoD)
PoD (Figura 1.5) poate paraliza o rețea, speculând o deficiență din standardul TCP/IP .
Dimensiunea maximă a unui pachet este 65.535 bytes, dacă s -ar trimite un pachet mai mare, hostul
care îl primește se va prăbuși în cele din urmă datorită confuziei. Trimiterea unui ping de această
dimensiune este împotriva regulilor din standardul TCP/IP, dar hackerii pot ocoli acest lucru prin
trimiterea pachetelor în fragmente. Când fragmentele sunt ansamblate pe hostul destinați e,
dimensiunea pachetului este prea mare , acest lucru va provoca buffer overflow și crashul hostului.
Figura 1.5 Atacul Ping of Death5 (HTTP04)
CAM Overflow
CAM este tabela folosită de switc h-uri pentru a reține prin ce po rt se ajunge la o anumită
adresă MAC. Memoria unui switch nu este nelimitată, tabela CAM se poate umple și switch -ul va
funcționa în regim de hub. Un atacator poate trimite un număr mare de cadre cu adrese MAC
spoofed. P entru a opri acest tip de atac este necesar să se limiteze numărul de adrese MAC ce pot fi
învățate pe un port.
Atenuarea atacurilor de recunoaștere
Tehnici de atenuare a atacurilor de recunoaștere includ: implementarea unei autentificări
puternice, utilizarea criptării pentru a face inutile atacurile pachetelor sniffer, utilizarea de
instrumente anti -sniffer pentru a detecta atacurile pachet sniffer, folosirea firewall și IPS.
Atenuarea atacurilor acces
Software anti -sniffer și instrumente hardware pot detecta schimbări în timpul de răspuns al
hosturilor pentru a determina dacă acestea prelucrează mai mult trafic decât ar indica în mod
normal. Este imposibil de a atenua Port Scan, dar folosind un sistem de prevenire a intruziunilor
(IPS) și firewall, se pot limita informațiile care pot fi descoperite cu un scanner de port. Ping sweep
poate fi oprit dacă ICMP echo și echo -reply sunt dezactivate pe routerele edge, dar procesul de
diagnosticare este îngreunat.
Atenuarea atacurilor DoS
Aceste tipuri de atacuri pot fi contracarate prin ut ilizarea tehnologiilor anti spoofing pe
routere și firewall -uri de perimetru. Routerele și switch -urile suportă o serie de tehnologii anti
spoofing, cum ar fi port security, Dynamic Host Configuration Protocol (DHCP) snooping, IP
Source Guard, Dynamic Addr ess Resolution Protocol (ARP) Inspection și listele de control acces
(ACL). Deși Quality of Service (QoS) nu este conceput ca o tehnologie de securitate, una din
aplicațiile sale, politica de trafic, poate fi utilizată pentru a utiliza pentru a limita traf icul de intrare
de la orice client pe un router edge. Aceasta nu permite ca o singură sursă să poată utiliza întreaga
lățime de bandă.
5 [HTTP04]
14
CAPITOLUL II
II Securi zarea și monitorizarea rețelei
II.1 AAA(Authentication, Authorization and Accounting)
Securizarea pe echipamente CISCO este o preocupare critică din punct de vedere al
securității. De multe ori, această problemă este rezolvată folosind parole de enable și vty/console,
configurate local pe echipament. Pentru rețele cu mai multe echipamente, această abordare este greu
de gestionat. Pentru a rezolva această problemă este nevoie de o formă centralizată de acces
securizat la echipamente.
Serviciile de securitate de rețea ale protocolului AAA asigură cadrul primar pentru a
configura controlul acc esului pe un dispozitiv de rețea. AAA (figura 2.1) este o modalitate de a
controla cine are permisiunea să acceseze o rețea( Authentication – permite accesul bazat pe un cont
de utilizator și o parolă), ce poate face în timp ce este logat( Authorization – determină nivelul de
acces al unui utilizator logat) și verificarea acțiunilor pe care le efectuează în timp ce accesează
resursele rețelei( Acconting – contabilizează serviciile pe care le accesează utilizatorii și resursele din
rețea pe care aceștia le cons umă(loguri pentru fiecare utilizator)) .
Figura 2.1 Procesul de Autentifica re AAA bazată pe Server6 (HTTP19)
Authentication
Protocolul AAA poate fi folosit pentru autentificarea utilizatorilor cu acces la funcții
administrative sau poate fi folosit pentru autentificarea utilizatorilor pentru accesul la rețea, de la
distanță. Autentificarea poate fi configurată local folosind username și parolă sau folosind un server
RADIUS sau TACACS+ care deține o bază de date cu utilizatorii pentru toate echipamentele din
rețea. Securitatea este menținută folosind cheie partajată(shared key) care trebuie să fie aceeași pe
client și server.Trebuie specificate metodele de autentificare pe care vrem ca echipamentul să le ia
în consid erare când un utilizator se loghează pe un echipament. Se pot configura până la 4 metode
de autentificare pe echipament.
Authorization
După ce utilizatorii sunt autentificați cu succes pe echipament, conform metodei local sau
server, aceștia sunt apoi aut orizați pentru resursele specifice din rețea. Autorizarea este de fapt ceea
ce un utilizator poate sau nu poate face în rețea, după ce acesta s -a autentificat.
6 [HTTP19]
15 Accounting
Contorizează serviciile pe care le accesează utilizatorii și resursele din rețea pe care aceștia
le consumă astfel încât să poată fi folosite pentru scopuri cum ar fi cele de audit. Datele colectate ar
putea include timpii de start și stop ai conexiunii, c omenzi executate, numărul de pachete sau
numărul de octeți. Contorizarea este implementată folosind o soluție AAA bazată pe server. Acest
serviciu raportează statistici de utilizare, acestea
CBAC (Context Based Access Control)
Control accesului bazat pe context (CBAC) este o soluție disponibilă în cadrul Cisco IOS.
CBAC filtrează inteligent pachetele TCP si UDP pe baza sesiunii de informații de pe Nivelul
Aplicație. Acesta oferă filtrare dinamică la nivel Aplicație, inclusiv protocoalele care sunt spec ifice
pentru aplicații unice, precum și aplicații multimedia, dar și protocoale care necesită mai multe
canale de comunicare, cum ar fi FTP si H.323. CBAC poate examina, de asemenea, conexiuni
acceptate informații ce integrează NAT și PAT și efectuează sch imbările necesare pentru adresă.
Filtrarea traficului
CBAC -urile pot fi configurate să permită returnarea traficului TCP și UDP specificat, printr –
un paravan de protecție (firewall) în cazul în care conexiunea este inițiată din interiorul rețelei. Ea
realizează acest lucru prin crearea de deschideri temporare într -un ACL care ar nega astfel de trafic.
CBAC poate inspecta traficul pentru sesiuni care provin din ambele părți ale firewall -ului. Acestea
pot de asemenea fi folosite pentru intranet, extranet, și în cadrul rețelei de Internet. CBAC
examinează nu numai Nivelul Rețea și Nivelul Transport al traficului, dar analizează, de asemenea,
și Nivelul Aplicație (cum ar fi conexiuni FTP) pentru a afla despre starea sesiunii. Acest lucru
permite suportul prot ocoalelor care implică mai multe canale create ca rezultat al negocierilor din
canalul de control. Cele mai multe dintre protocoalelor multimedia, precum și a unor alte protocoale
(cum ar fi FTP, RPC, SQL * Net) implică mai multe canale.
Controlul Traf icului
Deoarece CBAC inspectează pachetele la Nivelul Aplicație și menține informația sesiunilor
TCP și UDP, poate detecta și a preveni anumite tipuri de atacuri de rețea, cum ar fi SYN -flood. Un
atac SYN -flood apare atunci când un atacator de rețea „inun dă” un server cu un număr mare de
cereri de conectare dar nu efectuează conexiunea până la capăt. Volumul conexiunilor pe -jumătate
deschise copleșește server -ul, determinând -ul să nege serviciul de cereri valabile. CBAC de
asemenea, ajută la protecția împo triva atacurilor DoS și în alte moduri. Se inspectează numere de
secvență în conexiunile de pachete TCP pentru a vedea dacă acestea se încadrează în intervalele
date și distruge orice pachete suspecte. CBAC poate fi configurat, de asemenea, să renunțe la
conexiuni pe -jumătate deschise, care necesită o prelucrare de către firewall și mențin resursele de
memorie la un nivel înalt.
Detecția Intruziunilor
CBAC oferă un număr limitat de detectare a intruziunii pentru a proteja împotriva atacurilor
specifice SMTP. Cu serviciul de detecție a intruziunilor, mesajele syslog sunt revizuite și
monitorizate pentru semnături de atac specifice. Anumite tipuri de atacuri de rețea au caracteristici
sau semnături specifice. Atunci când CBAC detectează un atac bazat pe aceste caracteristici
specifice, se resetează conexiunile ofensatoare și se trimit captările către server -ul syslog.
II.2 Securizarea accesului remote pe echipamente
Telnet – este un protocol de rețea care se folosește în Internet precum și în rețele de
calculatoare tip LAN la comunicația textuală, bidirecțională și interactivă, bazată pe realizarea unei
conexiuni virtuale cu stația de lucru destinatară. Telnet este un protocol necriptat, pachetele sunt
trimise în clar inclusiv și parolele de login.
16 II.2.1 Secure Shell (SSH)
SSH (Secure Shell ) – este un protocol utilizat pentru accesul la distanță și pentru executarea
comenzilor pe un echipament de la distanță. A fost conceput pentru a înlocui rlogin , rsh și telnet,
pentru a asigura comunicație criptată între două stații ce comunică intr -o rețea nesigură, cum este
rețeaua Internet. Prin canalul oferit pot fi redirectate și conexiuni X11 și porturi arbitrare TCP/IP.
SSH utilizează conexiuni TCP, componenta server ascultănd pe portul 22 .
SSH (Figura 2.2) oferă o comunicație criptată între două echipamente , cripta rea oferind
datelor confidențialitatea și integritatea. SSH utilizează criptografia cu chei publice pentru
autentificarea stațiilor ce doresc să se conecteze și să exe cute comenzi la distanță, conectarea
realizâ ndu-se pe baza unui nume de utilizator și a unei parole. Sunt suportate următoarele metode de
criptare: IDEA, DES, 3DES, ARCFOUR, BLOWFISH și TSS, implicit folosindu -se IDEA (Răzvan
Rughiniș, 2002) .
Figura 2.2 Conexiune SSH criptată
În prezent, există două versiuni ale acestui protocol. Prima versiune, SSH -1, a fost lansată în
1995, câștigând rapid popularitatea utilizatorilor. În 1996, apare SSH -2, o rescriere in tegrală a
primei versiuni, incompatibilă cu prima versiune, aducâ nd îmbunătățiri substanțiale în procesul de
schimbare a cheilor și în asigurarea integrității datelor.
Tabel 2.1 Principalele diferențe între cele două versiune SSH
II.3 Securitatea prin criptare
În plus față de prevenirea și interzicerea traficului malițios, securitatea rețelei impune ca
datele să ramână protejate. Criptografia este utilizată în securitatea modernă a rețelei. Problemele
securității rețelei pot fi împărțite în patru dome nii interconectate: confidențialitatea, integritatea
datelor, autentificarea și nerepudierea.
1. Confidențialitate – asigurarea că utilizatori neautorizați nu pot citi mesajul cu excepț ia
destinatarului.
2. Integritatea datelor – realizează protejarea dat elor la alterare sau manipularea de către
persoane neautorizate. Prin manipularea datelor înțelegem procese cum ar fi inserții,
întârzieri sau substituiri.
17 3. Autentificarea – presupune determinarea identității persoanei înainte de a dezvălui
informații importante.
4. Nerepudierea – implică semnături , previne o entitate în a nega o acțiune întreprinsă
(Andrew, 2003) .
Când vorbim de confidenț ialitatea datelor ne referim la criptarea lor cu scopul de a le
face indescifrabile . Acest proces de criptare necesit ă algoritmi, formule mat ematice foarte
complexe, care să asigure ca ele nu pot fi citite. Există 2 moduri în care se poate face criptarea:
1. criptare a Simetric ă – folosind o singură cheie
2. criptarea Asimetric ă – folosind o pereche de chei , una public ă și una privat ă
II.3.1 Criptarea Simetric ă
Criptarea simetrică este cea mai folosită form ă de criptare din rețeaua Internet , fiind în
același timp rapidă și sigură .
Pentru asigurarea confidențialității datelor transmise prin rețele se folosesc algoritmi
criptografici cu cheie secretă (simetrici). Ei se caracterizează prin aceea că ambii utilizatori ai
algoritmului împart aceeași cheie secretă, folosită la cifrare cît și la descifrare. Cheia de criptare
trebuie păstrat ă în secret față de utilizatorii neautorizați, cel ce are acces la acestă cheie poate avea
acces și la informația secretă. Algoritmii criptografici simetrici se caracterizează prin vitez a de
cifrare foarte mare, compara tiv cu algoritmii criptografici asimetrici și sunt ușor de folosit la
cifrarea blocurilor mari de informație. Securitatea acestui tip de algoritm depinde în mare măsură de
lungimea cheii și posibilitatea de a o păstra în secret. Problema prin cipală apare la încercarea de a
crea o comunicație secreteă între mai mulți utilizatori privind manegementul cheilor; pentru n
utilizatori sunt posibile n(n -1)/2 legături bidirecționale, fiind necesare tot atîtea chei. Aceasta
implică în general dificultăț i în generarea, distribuția sau memorarea cheilor. Utilizarea
calculatoarelor electronice a permis folosirea unor chei de dimensiuni mai mari, crescând astfel
rezistența la atacuri criptoanalitice. Câ nd cheia secretă are o dimeniune convenabilă și este suf icient
de frecvent schimbată, devine imposibilă spargerea cifrului, chiar dacă se cunoaște algoritmul de
cifrare (HTTP01) .7
Securitatea criptării simetrice depinde mult de protecția cheii criptografice. Administrarea
acestora este un factor esențial și se referă la:
– generarea cheilor, adică mijloacele (pseudo) aleatoare de creare a succesiunii de octeți
(biți) ai cheii;
– distribuția cheilor, adică modul în care se transmit și se fac cunoscute cheile tuturor
utilizatorilor cu drept de acces la informațiile criptate;
– memorarea cheilor, adică stocarea lor sigură pe un suport magnetic sau pe un card, de
obicei criptate sub o altă cheie de cifrare a cheilor, numită și cheie master.
Problema fundamentală a utilizării criptografie i în rețele este aceea a găsirii unor modalități
de distribuție sigură și periodică a cheilor criptografice, este necesa r ca acestea să fie schimbate câ t
mai des. În Internet, se utilizează tot serviciile rețelei, folosind protocoale speciale sau sisteme c u
chei publice, așa numitele anvelope (plicuri) digitale.
Cei mai cunoscuți algoritmi criptografici simetrici sunt: DES, 3DES , AES, Blowfish și RC4.
Fiecare dintre aceș ti algoritmi folosesc :
DES si 3DES (Data Encryption Standard) sunt 2 algoritmi de criptare dezvoltați î n Sta tele
Unite la inceputul anilor 1970 ș i au o complexitate a cheii de 56-bits pentru DES , respectiv 168-
bits pentru 3DES .
DES ș i 3DES sunt algoritmi c are nu se mai folosesc pentru că au fost descoperite
vulnerabilități în aceștia, iar complexitatea criptării este mult mai slabă î n comparație cu ceilalți
algoritmi existenți pe piață .
AES (Advanced Encryption Standard) cunoscut și sub numele de Rijndael, este un
algoritm standardizat pentru criptarea simetrică, pe bl ocuri, este cel mai utilizat algoritm de criptare
în aplicații și adoptat ca standard de organizația guvernamentală americană NIST (National Institute
of Standards and Technology – Institutul National pentru Standarde si Tehnologie) (HTTP06) .
Acesta folosește o singură cheie (PSK – pre-shared key ) pentru criptare datelor și aceeaș i cheie
7 [HTTP01]
18 pentru decriptarea lor. Algoritmului AES (Rijndael) (figura 2.3) este definit un algoritm de criptare
pe blocuri în ca re lungimea blocului și a cheii puteau fi independente, de 128 de biți, 192 de biți sau
256 de biți , totul depinzâ nd de nivelul de securitate dorit sau de capacitatea siste mului de a face
astfel de criptă ri.
Figura 2.3 Proiectarea algoritmul AES8 (HTTP06)
III.3.2 Criptarea Asimetrică
Criptarea asimetrică este un tip de criptografie ce utilizează o pereche de chei: o cheie
publică și o cheie privată. Un utilizator care deține o astfel de pereche își publică cheia publ ică
astfel încat oricine dorește să o poata folosi pentru a îi transmite un mesaj criptat. Numai deținătorul
cheii secrete (private) este cel care poate decripta mesajul astfel criptat.
Matematic, cele două chei sunt legate, însă cheia privată nu poate fi obținută din cheia
publică. Î n caz contrar, orcine ar putea decripta mesajele destinate unui alt utilizator, fiindcă oricine
are acces la cheia publică a acestuia.
Cripografia asimetrică se mai numește criptografie cu chei publice.
Metodele criptografice î n care se folosește aceeași cheie pentru criptare și decriptare sunt
metode de criptografie simetrică sau criptografie cu chei secrete. Si stemele de criptare asimetrice
înlătură problema întâlnită la sistemele de criptare cu chei simetrice ce foloseau o singură cheie,
atât pentru criptare cât și pentru decriptare. Pentru a putea folosi această metodă trebuia ca atât
expeditorul cât și destinatarul trebuia să cunoască cheia secretă. Aceasta trebuia să fie unică pentru
o pereche de utilizatori, fapt ce conduce a la probleme din cauza gestionă rii unui numă r foarte mare
de chei. Se elimină și necesitatea punerii de acord asupra unei chei comune, greu de transmis în
condiții de securitate sporită î ntre cei 2 interlocutori (HTTP06) .
Cele două mari ramuri ale criptografiei asimetrice sunt:
1.Criptarea cu cheie publică (figura 2.4) – un mesaj criptat cu o cheie publică nu poate fi
decodificat dec ât folosind cheia privată corespunzătoare. Metoda este folosită pentru a asigura
confid ențialitatea.
2.Semnături digitale – un mesaj semnat cu cheia privată a emiță torului poate fi verificat de
către oric ine, prin acces la cheia publică corespunzatoare, astfel asigurandu -se autenticitatea
mesajului.
O problemă majoră în folosire a acestui tip de criptare este î ncrederea (dovada) că cheia
publică este corectă, autentică și nu a fost interceptată sau înlocuită de o a treia parte rău voitoare. În
8 [HTTP06]
19 mod normal problema este rezolvată folosind infrastructura cu cheie publică (PKI) în care una sau
mai multe persoane asigură autenticitatea cheilor pereche. O altă abordare folosită de PGP (Pretty
Good Privacy) este cea a conceptului web of trust .
Figura 2.4 Criptarea asimetrică9 (HTTP06)
Iar celalalt mod, care nu oferă confidenț ialitate ci autentifcare:
Orice criptez cu cheia privat ă, pot decripta doar cu cheia public ă (astfel ob ținem
o semnatur ă digital ă care are scopul de a autentifica ).
Algoritmi de criptare asimetrici : RSA , DH și DSA
RSA (Rivest Shamir Adleman) este un algoritm de criptare asimetric care folose ște o pereche
de chei : una public ă și una privat ă. Acest algoritm poart ă numele dezvoltatorilor s ăi care a fost
dezvoltat în anii 1970. Algoritmii asimetrici în comparație cu algoritmii simetrici pot folos i chei
mult mai mari, valorile lor fiind de 1024, 2048 sau chiar 4096.
Cu câ t valoare cheii este mai mare , cu atâ t criptarea va fi mai sigur ă sau complex ă dar
aceasta, se va face mai lent pentru că necesit ă mai mult ă putere de procesare.
DH (Diffie-Helman ) este un algoritm asimetric care are scopul de a genera o cheie
simetrică folosită pentru criptarea traficului ( aceasta cheie poate fi folosită de 2 Routere care
formează un tunel VPN pentru criptarea traficului dintre reț elele lor) dintre 2 entit ăți.
Ce reprezinta semnatura Semnatura Digitala ?
Algoritmul DSA (Digital Signature Algorithm) este similar cu RSA, este folosit pentru
generarea semnăturilor digitale. Semnătura digitală are loc prin criptarea unui mesaj sau fiș ier
cu cheia privat ă și trimitere a lui că tre destinatar. Destinatarul va încerca să decripteze acel mesaj
cu cheia public ă, iar în cazul în care reușeste va fi confirmată (autentificat ă) sursa mesajului
(mesajul vine de la entitatea dorita in comunicare).
II.4 Securitatea prin Firewall
Cel mai cunoscut dispozitiv de securitate este firewall -ul. Prin definiție, firewall -ul este un
sistem sau un grup de sisteme care implementează politica de acces între două sau mai multe rețele.
Firewall -urile pot fi clasificate în patru mari clase: firew all-uri dedicate , firewall -uri integrate în
routere, firewall -uri integrate în servere și firewall -uri personale.
Firewall -urile dedicate sunt echipamente ce rulează un sistem de operare special conceput
pentru filtrarea de pachete și translatarea de adrese(sistemele PIX sau CheckPoint). Aceste
echipamente sunt capabile să susțină un număr mare de conexiuni, dar facilitățile de rutare sunt
extrem de limitate. Pentru o rețea simplă se poate folosi firewall -ul ca router, însă pentru re țele
complexe este necesar un router (HTTP11) .
9 [HTTP06]
20 Firewall -urile dedicate în routere sunt folosite pentru a înlătura problema firewall -urilor
dedicate. Ele nu pot susține același număr de conexiuni, dar se descurcă mai bine în to pologii mai
complexe unde este nevoie de facilitățile unui router. Multe produse oferă facilități de firewall
integrate în routere, de la module de firewall pentru routere high -end, până la routerele extrem de
compacte , dedicate utilizării în rețele LAN.
Firewall -urile de server sunt implementate ca un software adițional peste un sistem de
operare de rețea. Ele sunt compatibile ca facilități și performanțe cu firewall -urile integrate în
routere de nivelul mediu.
Firewall -urile personale sunt instalate pe c alculatoare personale. Ele sunt concepute pentru
a preveni atacuri asupra calculatorului pe care rulează. Acest tip de firewall -uri nu sunt optimizate
pentru rețele întregi de calculatoare.
Firewall (figura 2.5) este un dispozitiv configurat să filtreze, să cripteze sau să intermedieze
traficul între diferite domenii de securitate pe baza unor reguli predefinite. Un firewall poate ține la
distanță traficul din Internet cu intenții rele, de exemplu hackerii, viermii și anumiți tipuri de viruși,
înainte ca aceștia să pună probleme sistemului. Utilizarea unui firewall este importantă în special
dacă rețeaua sau calculatorul este conectat în permanență la Internet.
Figura 2.5 Rețea lo cală protejată cu Firewall10 (HTTP11)
Un firewall este o aplicație sau un echipament care monitorizează și filtrează permanent
transmisiile de date realizate între un calculator sau rețea locală și Internet, în scopul implementării
unei politici de filtrare. Această politică poate însemna:
protejarea resurselor rețelei de restul utilizatoriilor din alte rețele similare, toate
interconectate printr -o rețea de arie largă sau/și Internet. Posibilii atacatori sunt indentificați,
atacurile lor asupra PC -ului sau rețelei locale putând fi oprite.
controlul resurselor la care au acces utilizatori din rețea.
Firewall – Stateful packet inspection
Filtrarea de pachete este un proces prin care doar anumite pachete sunt rutate dintr -o rețea
în alta, pe baza unor reguli. Filtrarea de pachete operează tra dițional cu informații de la nivelurile
OSI 3 și 4.
Regulile de filtrare sunt formate dintr -o parte care identică pachetul și o parte care specifică
cum să se trateze pachetul. În partea de identificare se poate specifica adresa sursă, adresa
destinație, adresa de rețea sursă, adresa de rețea destinație, protocolul (TCP, UDP , ICMP ), portul
sursă sau destinație (doar pentru TCP și UDP), tipul mesajului (pentru ICMP), interfața de intrare
sau ieș ire și chiar adresele de nivel doi. În principiu identificarea pachetului se poate face cu orice
informație scrisă în antetul pachetului, la nivelul OSI 3, 4 sau chiar și 2, în funcție de implementare.
Furnizează servicii adiționale față de pachet filte r, urmărește sesiunile TCP/UDP între
echipamente. Stateful inspection urmărește conexiunea care a pornit din rețeaua sigură și o
10 [HTTP11]
21 memorează în state session table. Această tabelă permite temporar traficul din rețeaua untrusted
pentru canalul de comunicații care a fost inițiat din rețeaua trusted .
Conexiunea dintr -o rețea untrusted intr-o rețea trusted sunt monitorizate, astfel în cazul unui
atac de tip Denial of Service(DoS), dacă se detectează un număr mare de sesiuni deschise pe
jumătate, firewall -ul poate fi configurat să închidă sesiunea și să trimită mesaje de alertă indicând
faptul că are loc un atac.
Sesiunile TCP deschise pe jumătate indică faptul că three -way handshake -ul nu a fost
terminat. Sesiunile UDP deschise pe jumătate indică faptul că nu a f ost detectat trafic de întoarcere.
Un număr mare de sesiuni deschise pe jumătate ocupă resursele echipamentelor, împiedicând
utilizatori să comunice.
Firewall – Proxy Services
Funcționează ca un middle -man pentru comunicația între echipamente. Furnizează securitate
în rețea ascuzând sursa reală a cererii, tot traficul va părea ca fiind inițiat din proxy. Serverele proxy
sunt folosite pentru a crea o copie(local cache) pentru toate cererile din exterior. Acest serviciu
îmbunătățește performanța rețelei cu l ățime de bandă mică, permitând userilor să facă cereri de la
proxy, în loc să trimită la surse externe.
II.5 IDS / IPS (Intrusion Detection/ Prevention System)
Detecț ia intruziunilor este procesul de monitoriza re a evenimentelor care au loc într -un
sistem sau o rețea de calculatoare ș i analiza lor pentru a detecta posibile incidente c um sunt violări
sau ameniță ri iminente de violare a politicilor de securitate, a politicilor de utilizare acceptate sau a
practicilor standard de securitate. Prevenirea intruziunilor este procesul prin care se desfășoară
detecția intruziunilor și încercarea de î nlaturare a posibilelor incident e detectate. Sistemele de
detecție ș i prevenire ale intruziunilor – IDS / IPS (Intrusion Detection / Prevention Systems) au ca
scop principal identi ficarea posibilelor incidente, înregistrarea informațiilor despre ele, încercarea
de înlăturare a incidentelor și raportarea că tre administratorii de securitate. În plus, organizaț iile po t
folosi IDPS -urile ș i pentru alte scopuri: identifi carea problemelor legate de politicile de s ecuritate,
documentarea amenințărilor existente și descurajarea userilor în a încă lca politicile de securitate
(HTTP05) .
II.5.1 Sistem de Detectare a Intruziunilor (IDS)
Un sistem de detectare a intruziunilor (IDS) este un echipament sau o aplicație software care
monitorizează rețeaua și activitățile legate de acesta , un sistem pentru activități rău intenționate,
încălcăr i ale politicilor și produce rapoarte la o stație de management.
Atacurile de rețea sau intruziunile costă scump firmele datorită furtului de date, pierderi lor
de productivitate în urma se rviciilor compromise sau costurile pentru remedierea calculatoarelor
compromise. Numărul de infiltrări în sistem este în crește re și sunt din ce în ce mai cpmplexe . Doar
sistemele automate de decție și prevenire a intruziunilor ar putea atenua atacuri complexe cu viteza
necesară sau prevenirea pagubelor.
Tipuri de IDS -uri
Sistem de detecție al intruziunilor de tip network -based
Într-un sistem de detecție al intruziunilor de tip network -based – Network -based Intrusion
Detection System(NIDS) – senzorii sunt conectați în puncte le critice ale rețelei ce urmează să fie
monitorizată, deseori în DMZ(demilitarized zone) sau la marginea rețelei. Senzorii monitorizează
tot traficul din rețea, fiecare pachet este verificat căutând urme de trafic malițios.
Un NIDS reprezintă o platformă independentă care indentifică intruziunile prin
monitorizarea traficului din rețea. NIDS -urile pot verific a traficul din rețea prin conectarea lor la un
hub sau la un echipament swich configurat cu port mirroring.
Sistem de detecție al intruziunilor de tip host -based
Într-un sistem de detecție al intruziunilor de tip host -based – Host -based Intrusion Detectio n
System(HIDS) – senzorul reprezintă , de obicei, un agent software care verifică activi tatea ce se
22 desfășoară pe ecipamentul unde este instalat, incluzând aici s istemul de fișiere, kernel -ul sau
aplicați .
Un HIDS reprezintă un agent software ce rulează lo cal pe calculator și acesta indetifică
intruziunile monitorizând aplicațiile, activitățile sistemului, modificările sistemului de fișiere și alte
activități ale stației.
Sisteme pasive și sisteme active
Într-un sistem pasi v sistemul de detecț ie al intruziunilor (IDS) detectează o po sibilă breșă de
securitate, înregistrează informația și alertează administratorul (mesaje în consolă, alerte, etc.). Î ntr-
un sistem reactiv, denumi t Sistem de Prevenire al Intruziunilor – Intrusion Pr eventi on System (IPS) ,
IPS-ul acționează la detectarea activităț ii suspicioase prin închiderea conexiunii sau prin
reconfigurarea firewall prin bloca rea traficul de reț ea provenit de la sursă malițioasă suspectată.
Aceasta se poate întâ mpla automat sau la comanda unui utilizat or.
Chiar dacă ambele se referă la securitatea rețele i, și uneori noț iunile pot fi confundate, un
IDS se deosebește de firewall deoarece firewall -ul verifică semne ale in truziunilor pentru a le
împiedica să se întâmple. Un IDS monitorizează o posibilă int ruziune o dată ce a avut loc și
semnalează o alertă. Un sistem care închide conexiunea ca metodă de raspuns la o intruziune este un
IPS ș i poate fi comparat uneori ca o formă de firewall la niv el de aplicaț ie.
Termenul IDPS – Sistem de Detectie ș i Prev enire al intruziunilor se referă la sistem e de
securitate hibride care atât detectează intruziunile cât și încearcă să le prevină .
IDS-uri bazate pe anomalii și IDS -uri bazate pe semnă turi
Sistemele de detecție ale intruziunilor folosesc cel puțin una dintre cele două tehnici de
detecție: anomalii statice și/sau semnături.
IDS bazat pe anomalii statice – Un astfel de IDS stabilește o valoare inițială de performanță
bazată pe evaluări ale traficului normal din retea. După efectuarea acestui pas inițial, I DS-ul va
raporta traficul din rețea la valoarea inițială stabilită pentru a stabili dacă se păstrează în limitele
normale. Dacă limitele traficul normal din rețea sunt depășește va fi generată o alarmă.
IDS bazat pe semnături – acest tip de IDS examinează monit orizează traficul din rețea
cautând modele de atac preconfigurate și predeterminate cunoscute sub numele de semnături. Multe
atacuri astăzi au semnături diferite. Pentru a putea face față amenințărilor baza de date cu semnături
trebuie actualizată în perma nență.
Limitări ș i tehnici de evitare ale IDS -urilor
Capabilitățile unui IDS pot fi limitate de:
Zgomot – acesta poate afecta în mod critic eficacitatea unui IDS. Pachete le greșite generate
de defecțiuni ale aplicațiilor , server DNS alterat, pot crea o rată crescută de alarme false.
Prea puține atacuri – Atacurile reale pot fi foarte puține în comparație cu numărul de alarme
false încât sunt de obicei ignorate de IDS.
Actualizarea semnăturilor – Multe atacuri sunt îndreptate către versiuni sp ecifice de
software. Pentru a putea face față amenințărilor este nevoie de o bază de date a semnături lor
actualizată în mod constant. O bază de date a semnături lor ce nu a fost actualizată poate lasă IDS -ul
vulnerabil la strategii noi de atac.
Tehnici de evitare a IDS -urilor:
– fragmentarea și trimit erea de pachete mici – o metodă de bază ce presupune fragmentarea
datelor în mai multe pachete mai mici pentru a face imposibilă reconstruirea datelor la IDS
– fragmente care se suprapun – tehnică constă în crearea de pachete cu numere ale secvenței
TCP care se vor suprapun e forțând astfel să se exploateze faptul că sistemele de operare tratează
diferit această suprapunere: unele vor lua în considerare datele mai noi, altele datele mai vechi
– violări de pro tocol – violări deliberate ale protocoalelor TCP sau IP în așa fel încât
echipamentul țintă să manevreze diferit pachetele decât IDS -ul
23 – inserarea de trafic în IDS – un atacator poate trimite pachete care să aj ungă doar la IDS nu
și la echipamentul țintă generând astfel o serie de alarme false .
Atacuri de tip DoS – un atacator încearcă evita rea unui IDS prin efectuarea unui atac de tip
DoS asupra lui astfel încât încearcă să îi consume resursele sau să genereze un număr foarte mare de
alarme false reușind astfel să ascundă un atacul real
II.5.2 IPS – Sisteme de prevenire a intruziunilor
Un IPS este conceput pentru a funcționa complet ”invizibil ” în rețea. Echipamentele IPS nu
au de obicei asignată o adresă IP din re țeaua protejată dar pot acționa în mod direct oricărui tip de
trafic prin diverse metode ( generarea de alerte, terminarea conexiunilor, renunțarea la pachete, etc.) .
Deși unele IPS -uri au posibilitatea de a implementa reguli de firewall aceasta este o funcție
adițională și nu una din funcțiile de bază ale echipamentului. T ehnologia IPS oferă o mai bună
monitorizare a activitățiilor unei rețele oferind informații despre echipamentele active, conținut
necorespunzător , încercările de autentificare eșuate și alte funcții ale ni velelor rețea și aplicație.
Diferențe față de IDS -uri
IPS-urile au câteva avantaje față de IDS -uri. Unul dintre acestea îl reprezintă faptul că IPS –
urile sun t proiectate să fie configurate și poziționate inline astfel încât tot traficul să tre acă prin ele
și să poată opri atacurile în timp real. În plus, multe dintre soluțiile IPS au capabilitatea să
decodifice protocoalele de nivel aplicație ( FTP, HTTP, SMTP) oferind astfel posibilitatea pentru o
mai bună monitorizare. Totuși dacă se dorește montarea unui IPS de tip ”network -based ” trebuie să
se ia în considerare faptul că prin respectivul segment de rețea ”circulă ” trafic criptat majoritatea
produselor nu pot să inspecteze astfel de trafic.
Un alt avantaj major ar fi faptul că unele dintre echipamentele IPS-uri au posibilitatea de a
corecta unele dintre problemele apărute la IDS-uri (conținut necorespunzător , atacuri de tip DoS).
Tipuri de IPS -uri
Host -based
Un Sistem de Prevenire al Intruziunilor este de tip host -based(HIPS) atunci când aplicația de
prevenire a intruziunilor se află pe adresa IP specifică sistemului protejat, de obicei o singură stație.
HIPS complementează metodele antivirus tradiționale bazate pe semnături deoarece nu necesită o
actualizare continuă pentru a putea răspunde atacurilor. D eoarece codul dăunător trebuie să
modifice sistemul sau alte componente software care se află pe mașina în cauză un HIPS va observa
aceste modificări și va încerca să prevină această acțiune sau să anunțe utilizatorul pentru
permisiune.
Dezavantajul major al unui astfel de produs constă în folosirea extensivă a resurselor stației
pe care se află.
Network -based
Un Sistem de Prevenire al Intruziunilor este de tip network -based (NIPS) atunci când
aplicația / echipamentul de prevenire al intruziunilor se află la o altă adresă IP decât stația pe care o
monitorizeaza. NIPS sunt platforme hardware/software care analizează, detectează și raportează
evenimente legate de securitatea unei rețele/segment de rețea de calculatoare.
Diferențe între IPS -uri de tip host -based și network -based
HIPS -urile pot lucra atât cu date criptate cât și cu date necriptate deoarece analiza se face
după ce datele au fost decriptate de către stație
NIPS -urile nu folosesc din memoria și procesorul stațiilor care le protejează ci dispun de
propria memorie și propriul procesor.
NIPS -urile se află în punctele critice ale rețelei și tot traficul depinde de buna lor
funcționare, fapt ce poate constitui un dezavantaj atunci când echipamentul este nefuncțional
24 NIPS -urile pot detecta evenimente distribuite în rețea(evenimente de prioritate joasă dar care
afectează mai multe stații din rețea) și pot reacționa în timp ce HIPS -urile au la dispoziție doar
datele de pe mașina pe care funcționează pentru a putea lua o decizie (HTTP05) .
II.6 ACL – IP Access Control List
Securitatea are numeroase fațete și una dintre cele mai importante este capacitatea de a
controla fluxul pachetelor de date dintr -o rețea. Este esențial să controlăm fluxul pachetelor de date
dintr -o rețe a. Filtrarea pachetelor reprezintă una dintre cele mai importane utilizări ale listelor de
acces Cisco.
Filtrarea pachetelor ne permite să controlăm fluxul de date din rețea în funcție de adresele IP
sursă și destinație, precum și după tipul aplicației utilizate. Ruterele servesc pentru conectarea între
un LAN al unei compani și Internet, sau între două sau mai multe rețele ale unei compani. În aceste
situații, ruterele servesc la filtrarea pachetelor, deoarce fiecare pachet care circulă între două rețele
trebuie să treacă prin ruter. Sistemul de operare inter -rețele Cisco include toate funcțiile necesare
pentru implementarea unei soluții complexe de garantare a securității.
Cisco folosește termenul sistem de operare inter -rețele (IOS – internetwork operating
system) pentru a desemna sistemul utilizat de ruterele Cisco. Sistemul de operare de pe ruterele
Cisco oferă multe caracteristici asemănătoare sistemelor de orerare UNIX sau Windows, dar și
facilități specializate. Controlează echipamentele hardware, memoria și interfețele sau executarea
unor sarcini de sistem cum ar fi transferul pachetelor și construir ea unor informații dinamice, cum
sunt tabelele de rutare și ARP.
Una dintre cele mai importante caracteristici ale IOS este capacitatea de a filtra în mod
intelegent pachetele transferate între rețele de date. Această obțiune se bazează pe crearea și
aplicarea listelor de acces.
Listele de acces
O listă de acces este o listă orodnată de enunțuri care permit sau interzic accesul pachetelor
pe baza unui criteriu de corespondență inclus în pachet. Ordinea în care sunt create enunțurile din
lista de acces e ste foarte imporantă. Una din cele mai dese greșeli în ceea ce privește crearea listelor
de acces este introducerea enunțurilor într -o ordine neadecvată. La sfârșitul unei liste de acces Cisco
există întotdeauna un enunț prestabilit ”Deny All” (interzice t ot). Un pachet al cărui acces nu este
permis în mod explicit va fi respins datorită enunțului Deny all de la sfârșitul listei. Listele de acces
Cisco sunt folosite în multe alte scopuri decât filtrarea traficului.
Listelele de acces sunt folosite pentru:
filtrarea traficului
indentificarea traficului
Listele de acces functionează la nivelele 2, 3 și 4 ale modelului OSI și actionează ca un
firewall de rețea.
ACL este folosit ca scop principal in filtrarea traficului, dar sunt cazuri in care trebuie să
ident icam un trafic, de exemplu:
– Identificarea traficului pentru tunnelare VPN.
– Identificarea rutelor
– Identificarea traficului pentru QoS.
– Identificarea retelei/hosturilor care pot fi translatate (NAT).
Când un packet ajunge la router, lista ACL este parcursa de sus în jos până la prima
potrivire. Odată facută potrivirea, packet -ul este permis sau dropat. Regulile noi sunt puse la finalul
liste de acces, dar înainte “deny all” implicit. Când filtram un trafic, lista de acces este aplicată pe o
interfa ță (sau virtual terminal).
Pe o interfață listele de acces sunt aplicate:
– inboud – packet -ul este receptionat pe interfata / inainte de a fi rutat
– outboud – packet -ul este transmis pe interfață / după ce a fost rutat.
25 Listele de acces – Standard
Acest tip de liste se bazează pe rețeaua sau hostul sursă și trebuie plasate cât mai aproape de
rețeaua destinație.
Listele de acces – Extinse
Listele de acces extended se bazează pe adresa IP sursă, adresa IP destinație, portul
TCP/UDP sursă și portul TCP/UDP destinație. Acest tip de liste trebuie să fie plasat cât mai
aproape de rețeaua sursă.
II.7 Translatarea de adrese
Nu există destule adrese IPv4 publice pentru a asign a o adresa unică pentru fiecare
echipament conectat la Internet. Rețelele de regulă sunt implementate folosind adrese IPv4 private
(RFC 1918). Adresele private nu pot fi rutate peste Internet, aceste adrese nu id entifică o organizaț ie
sau o companie.
Pentru a permite echipamentelor cu adrese IPv4 private să acceseze echipamente și resurs e
din exteriorul rețelei locale, adresele private trebuie să fie translatate în adrese publice.O singură
adresă IPv4 publică poate partaja sute, chiar mii de echipamente, fiecare dintre ele configurate cu o
adresă IPv4 privată unică.
Translatarea de adrese sau NAT (Network Address Translation) este procesul prin care se
modifică adresele sursă (SNAT) sau destinație (DNAT) din anumite pachete care trec prin firewall .
Din punctul de vedere al securității, translatarea de adrese se folosește pentru a ascunde m odul de
adresare intern și pentru a evita accesarea stațiilor interne din exterior, prin folosirea unor adrese
private în rețeaua internă, adrese ce vor fi translatate la drese publice pentru ca stațiile interne să
aibă acces la Internet.
Terminolagia NAT se aplică din perspectiva echipamentului cu adresele translatate:
– Inside address – adresa echipametului care este translatată de NAT
– Outside address – adresa echipamentului destinație. NAT -ul introduce conceptul de adrese
locale și globale:
– Local add ress – orice adresă ce apare în partea internă a rețelei.
– Global address – orice adresă ce apare în partea externă a rețelei. Routerul care face NAT
se mai numește și punct de delimitare între rețeaua internă și cea externă, precum și între adresele
locale și cele globale.
Se poate considera că translatarea adreselor este o funcție definită pe o mulțime de adrese
(A) cu rezultate într -o altă mulțime de adrese (B). Fiecare pachet cu o adresă de sursă sau destinație
din mulțimea A va fi înlocuită cu o adre să din mulțimea B. Se consideră că se realizează o
translatare de adrese statică (figura 2.6) dacă funcția de translatare este injectivă, adică fiecărei
adrese din mulțimea A îi corespunde o singură adresă corespunzătoare în mulțimea B.
Figura 2.6 Translatarea de adrese statică (SNAT)11 (HTTP15)
11 [HTTP15]
26
Dacă funcția de translatare nu este injectivă, adică dacă pentru mai multe adrese din
mulțimea A corespunde o singură adresă din mulțimea B, aceasta se numește translatare de ad rese
dinamică (figura 2.7) .
Figura 2.7 Translatarea de adrese dinamică (DNAT)12
Avantajul folosirii translatării de adrese dinamice constă în faptul că se pot partaja adrese
rutabile disponibile. Calculatoarelor din rețeaua locală li se alocă adrese p rivate, iar router -ul
(firewall -ul) va face o translatare de adrese dinamice din mulțimea de adrese private în mulțimea de
adrese publice.
Avantajele NAT:
– NAT conservă adresele IP publice permițând privatizarea intranetului (NAT overload).
– NAT crește flexibilitatea conexiunii la retea publică (Se pot implementa mai mult pool -uri de
adrese, inclusiv pool de backup sau pool pentru load balancing).
– Consistența schemelor de adresare interne. (Nu trebuie schimbat planul de adresare local daca se
schimbă a dresa publică).
– NAT furnizează securitate în rețea. ( Rețelele private nu anunță adresarea sau topologia internă.
Atenție! NAT nu înlocuiește un firewall!)
Dezavantaje NAT :
– Faptul că echipamentul din extern apare că ar comunica cu echipamentul care f ace NAT.
– NAT are un impact negativ asupra performanței rețelei, în special pentru protocoale în timp real
cum ar fi VoIP.
– NAT aduce o întârziere de switching deoarece translatarea fiecarei adrese IPv4 din pachetul IP
necesită timp.
– Primul pachet este procesat, echipamentul trebuie să modifice câmpurile din antet și să recalculeze
sume de control. Pachetele râmase trec prin fast -switching dacă există intrare de cache, altfel sunt
întârziate și acestea.
– Adresarea end -to-end este pierdută (Unele aplica ții nu funcționează cu NAT, unele având
posibilitatea de a fi rezolvate prin NAT sta tic sau folosind înaintarea IP (IP Forwarind) ).
12 [HTTP15]
27 – Trasabilitatea nu poate fi realizată.
– Complicarea protocoalelor de tunelare (IPsec), NAT modifică valoarea din header => nu se mai
poate asigura integritatea datelor.
Port address translation (PAT) (figura 2.8) – mapare mai multe adrese locale la o adresă
globală. Această metode mai este cunoscută ca supraîncărcare (NAT – overloading ). PAT încearcă
să rezerve portul sursă original. În cazul în care portul nu mai este disponibil pe echipamentul care
face PAT, ac esta va asigna port disponibil pornind de la inceputul fiecarui grup de porturi
corespunzător portului sursă original (0 -511, 512 -1023, 1024 -65535). Atunci cand sunt utilizate
toate porturile și mai există adrese IP externe în pool -ul de adrese atunci se t rece la urmatoarea
adresă IP din pool și se încearcă rezervarea portului sursă original dacă este posibil. Procesul
continuă până când nu mai există porturi/adrese IP -uri externe în pool -ul de adrese (Răzvan
Rughiniș, 2002) .
Figura 2.8 Port adress translation (PAT)13
Un caz special al PAT îl reprezintă redirectarea. În acest caz se va înlocui pachetul primit
din rețeaua locală având adresa sursă S, adresa destinație D, portul P cu un altul având adresa sursă
S, adresa destinație M (adresa router -ului), portul R (portul în care se face redirectarea, de către
utilizator). Redirectarea este în general folosită pentru a implementa un proxy transparent, pe router –
ul M portul R ascultă un proxy configurat pentru proxy transpa rent.
13 [HTTP15]
28
CAPITOLUL III
III VPN – Virtual Private Network
Într-o lume î n care pericolul se raspandește cu o viteză ridicată și în care este din ce în ce
mai greu de controlat , iar ac est pericol a devenit o problemă foarte importantă mai ales pentru
companiile IT mandatate să protejeze datele informatice de așa -numiții hoți cibernetici.
Cu ani în urmă rețelele reprezentau doar un prag către lumea de afară; erau utilizate în
principal pentru comunicarea între angajaț i și rareori pentru comunicarea în afara companiei. Acum
companiile nu î și mai pot izola rețeaua internă de mediul extern. Comerțul electronic, lanțurile de
furnizori de servicii și produse, telefonia mobilă și o serie de alte cerințe ale mediului de aface ri al
secolului XXI nu mai permit acest lucru .
Virtual private network (VPN ) este o “rețea privată virtuală”. Reprezintă o tehnologie
compiuterizată de comunicații sigure, de obicei folosită în cadrul unei întreprindere, organizații, sau
al mai multor companii, ce sw bazează pe o rețea publică (Internet) și de aceea nu foarte sigură.
Tehnologia VPN este construită tocmai pentru a crea printr -o rețea publică o subrețea de
confidențialitate la fel de înaltă ca și într -o rețea privată independentă. În mod intenționat această
subrețea, denumită “VPN”, nu poate comunica cu celelalte sisteme sau utilizatori ai rețelei publice
de bază. Utilizatorii unei rețele VPN vor avea astfel impresia că sunt conectați la o rețea privată
independentă, dedicată, cu toate ava ntajele pentru securitate, rețea care defapt este însă doar
virtuală, ea fiind o subrețea înglobată fizic în rețeaua de bază (HTTP08) .
Informația din traficul de tip VPN poate fi transmisă prin intermediul unei rețele private a
furnizorului de servicii Internet (ISP), pusă la dispoziție publicului sau prin intermediul
infrastructurii unei rețele publice de date (Internet) folosind protocoalele standard.
Aceste tipuri de conexiuni sunt o alternativă cu cost redus, în comparație cu rețelele dedicate
de tip WAN private, oferind posibilitatea de conectare a comutatoarelor de telecomunicații la
rețeaua internă a unei companii prin dial -up, xDSL, sau cablu. Conexiunile VPN sunt ușor de
implementat peste rețelele publice existente, și oferă o alternativă în comparație cu rețelele dedicate
private, care în general sunt mai scumpe, cum ar fi cele de tip Frame Relay sau ATM (HTTP09) .
Rețelele VPN oferă mai multe avantaje: prețuri redus pentru implementare, administrare,
întreținere, funcționare, securitate informațională sporită (asemănătoare cu securitatea rețelele
private propriu -zise, tradiționale), acces simplificat, scalabilitate și, în sfârșit, compatibilitate cu
rețelele publice de mare viteză.
Figura 3.1 Arhitectura rețelei VPN14 (HTTP12)
14 [HTTP12]
29
Pentru stabilirea unei conexiuni VPN există mai multe metode (bazate pe nivelele 2 și 3 din
Modelul OSI), împreună cu tehnologiile respective. Rețeaua VPN poate fi administrată și sta bilită la
sediul clientului, sau și de către furnizorul de servicii de Internet. De asemenea, există și
posibilitatea de a combina mai multe din aceste metode între ele pentru a satisface cerințe speciale.
VPN -urile sigure folosesc cryptografic tunneling p rotocols. Acestea sunt protocoale de
codificare (criptare) care asigură confidențialitatea (blocând persoanele), autenticitatea
expeditorului și integritatea mesajelor. Astfel de tehnici, dacă sunt implementate, alese și utilizate în
mod corespunzător, pot asigura comunicații sigure chiar dacă este folosită o rețea nefiabilă.
Deoarece o astfel de alegere, folosire și implementare nu sunt sarcini simple, se pot găsi pe piață
multe scheme, echipamente VPN nesigure (nesatisfăcătoare) (HTTP13) .
Tehnologiile VPN sigure pot fi de asemenea utilizate pentru a crește securitatea în infrastructura
rețelelor.
Următoarele protocoale VPN sunt considerate sigure:
– IP security (IPsec) – folosit pe IPv4.
– Secure Sockets Layer / Transport Layer Security (SSL/TLS) – folosit pentru întreaga rețea,
precum în proiectul OpenVPN sau pentru securizarea unui proxy web.
– Point -to-Point Tunneling Protocol (PPTP), creat de un grup de companii, printre care și
Microsoft .
– Layer 2 Tunneling Protocol (L2TP), creat prin cooperarea între Microsoft și Cisco.
– Layer 2 Tunneling Protocol, version 3 (L2TPv3), lansat recent.
– VPN -Q
– Multi Path Virtual Private Network (MPVPN). MPVPN este marcă înregistrată a companiei
Ragula Systems D evelopment Company.
Există pe piață firme care asigură administrarea serviciului VPN, serviciu oferit clienților lor
dacă nu doresc să facă acest lucru ei înșiși. VPN -urile sigure nu folosesc tunelele criptografice, în
schimb se bazează pe securitatea unu i singur distribuitor al rețelei care va asigura un trafic protejat.
Multi -Protocol Label Switching (MPLS) este deseori folosit pentru construirea unui VPN
fiabil.
Tunelarea
Tunelarea reprezintă transmiterea datelor în cadrul unei rețele publice(Internet) astfel încât
rețeaua să nu “înțeleagă” faptul că transmiterea (transportul de informații) e parte a unei rețele
private.
Este realizată prin încapsularea datelor aparținând rețelei private și crearea unui protocol
care să nu permită accesul nimănui la acestea. Tunelarea permite folosirea rețelelor publice, privite
astfel ca niște “rețele private” sau aproape private.
Cel mai important aspect oferit de VPN este securitatea in formațiilor ce sunt transmise prin
rețea. O rețea VPN, prin natura sa, trebuie să se ocupe și să rezolve toate tipurile de amenințări ale
siguranței acesteia, oferind și servicii de securitate în domeniul autentificării (controlului accesului).
Encapsular ea generică
Generic Router Encapsulation(GRE) reprezintă o metodă de dirijare a pachetelor IP care
sunt nerutabile. De asemenea se poate folosi și pentru rutarea pachetlor multicast peste rețele
incompatibile. GRE poate ruta pachete non -IP (cum ar fi Apple Talk, Internetwork Packet Exchange
sau IPX) peste rețele IP.
Mecanismul de autentificare
Acesta este procesul prin care se verifică identitatea utilizatorului (sau a sistemului
utilizator). Există multe tipuri de mecanisme de autentificare, dar cele mai m ulte folosesc unul din
următoarele moduri de abordare: nume utilizator, parolă,PIN, Smartcard, un card key, amprentă, un
pattern al retinei, un pattern al iris -ului, configurație manuală, etc.
30 Autentificarea “slabă” folosește doar una din categoriile de ma i sus, iar pentru o
autentificare “puternică” este recomandat combinarea a cel puțin două din categoriile prezentate
mai sus. Cu toate acestea nu există o metodă absolut sigură de protecție.
VPN din punct de vedere al costurilor este o modalitate eficientă pentru ca diferite firme să
poată asigura accesul la rețeaua firmei pentru angajații sau colaboratorii aflați la distanță față de
sediul acesteia, și pentru a securiza confidențialitatea datelor schimbate între punctele de lucru
aflate la distanță.
Între calculatorul utilizatorului sau al angajatului, aflat la depărtare, și rețeaua la care acesta
este conectat pentru a accesa resursele sau a datelor companiei, există un firewall. Programul client
(sau sistemul client) al angajatului poate stabili o comunic are cu firewall -ul, prin care va putea
trasmite datele de autentificare către un serviciu specializat. Astfel, utilizatorul, utilizând uneori
numai dispozitive cunoscute, poate obține privilegiile de securitate care îi permit accesul la
resursele companiei , blocate pentru ceilalți utilizatori neautorizați din Internet.
Multe programe client ale unei rețele VPN pot fi configurate în așa fel încât, pe toată durata
unei conexiuni VPN active, ele să ceară trecerea întregului trafic IP printr -un așa numit tunel,
sporind astfel siguranța conexiunii. Din perspectiva angajatului, lucrul acesta înseamnă că atâta
timp cât conexiunea VPN e activă, accesul la rețeaua sigură, din afară v -a trebui să treacă prin
același echipament firewall, ca și cum angajatul s -ar fi con ectat din interiorul rețelei sigure. Datorită
acestui fapt se reduce riscul unei accesări din partea unei personae neautorizate (atacator). O astfel
de securizare e critică deoarece alte calculatoare conectate local la rețeaua clientului pot fi nesigure
sau sigure doar parțial. Chiar și o rețea restrânsă protejată cu un echipament sau software firewall,
având mai mulți clienți conectați simultan fiecare la câte un VPN, va putea astfel securiză și proteja
datele, chiar dacă este infectată de viruși rețeaua l ocală (HTTP18) .
Dacă, pentru a se conecta la rețeaua organizației, angajații trebuie să folosească un program
client VPN dintr -un punct de acces Wi -Fi într -un loc public, această securizare devine și mai
importantă.
Caracteristici ale aplicației
Un VPN bine proiectat poate oferi beneficii considerabile pentru o organizație. Acesta
poate:
– Extinde conectivitatea geografică.
– Reduce timpul de tranzit și costurile de transport al datelor pentru utilizatorii aflați la
dista nță.
– Simplifica topologia rețelei.
– Oferi compatibilitate cu rețelele de mare viteză de tip broadband.
– Oferi un return on investment (ROI) mai rapid decât liniile tradiționale WAN, fie proprietare
sau închiriate.
– Reduce costurile operaționale, în comparație cu o rețea tradițională de tip WAN.
– Îmbunătăți securitatea liniilor necriptate.
– Oferi oportunitățile unei rețele globale.
Prezintă o scalabilitate sporită, când este folosit în cadrul unei infrastructuri cu cheie
publică.
Având în vedere faptul că VPN -urile sunt extinderi ale rețelei private, există unele implicații de
securitate care trebuiesc luate în considerare cu multă atenție:
Securitatea pe partea clientului trebuie să fie întărită. Acest procedeu poartă numele de
”Central Client Administration” sa u ”Security Policy Enforcement”. Adeseori organizațiile cer
angajaților care doresc să utilizeze VPN -ul în afara serviciului să își instaleze în prealabil un
software firewall oficial. Unele compani care gestionează date importante, precum sunt cele din
domeniul sănătății, au grijă ca utilizatorii trebuie să utilizeze două conexiuni WAN separate: una
pentru gestionarea datelor sensibile, și a doua pentru alte interese.
Accesul la rețeaua țintă poate fi limitat.
Politicile de jurnalizare trebuie evaluate din nou și în cele mai multe cazuri revizuite.
31 O singură scurgere de informații nedorită poate duce la compromiterea securității unei
rețele. În cazul în care un angajat sau o organizație are obligații legale privind protejarea datelor
confidențiale, pot apăr ea probleme legale chiar cu răspundere penală.
Avantaje ale tehnologiei VPN.
Mediul de afaceri este în continuă schimbare, multe firme îndreptându -și atenția spre piața
globală. Aceste firme devin regionale, multinaționale și toate au nevoie de: o c omunicație rapidă,
fiabilă și sigură între sed iul central, filiale, birouri sau punctele de lucru, adică de o rețea WAN.
O rețea WAN tradițională presupune închirierea unor linii de comunicație, fibră optică OC -3
(155 Mbps ) sau ISDN (128/256Kbps) care să acopere aria geografică necesară. O asemenea rețea
are avantaje clare față de una publică, cum este Internetul, când vine vorba de fiabilitate,
performanță și sec uritate. Dar configurarea unei rețele WAN cu linii închiriate este extrem de
scumpă, direct proporțional cu aria geografică acoperită (HTTP09) .
O dată cu creșterea popularității Internet -ului, interprinderile au început să își extindă
propriile rețele. La început au apărut intranet -urile, ca re sunt site -uri protejate p rin parolă destinate
utilizatorilor companiei. Acum, organizațiile și-au creat propriile VPN -uri pentru a veni în
întâmpinarea cerințelor angajațiilor pentru a avea acces la rețea, de la distanță.
Un VPN poate aduce multe benef icii unei organizați : extinde aria de conectivitate, crește
productivitatea, sporește securitatea, simplifică topologia rețelei, reduce costurile operaționale, oferă
oportunități de lucru într -o rețea externă , asigură suport pentru tendința afacerilor spre operare de la
distanță, operații distribuite global și operații de parteneriat foarte interdependente, în care angajați
trebuie să se poate conecta la resursele centrale ale rețelei și să comunice unul cu celălalt , iar
companiile trebuie să -și administreze eficient stocurile pentru un ciclu de producție scurt.
III.1 Tipuri de rețele VPN.
O rețea privată virtuală (VPN) este o rețea care extinde accesul de la distanță către utilizatori
pe o rețea partajată infrastructură. VPN -urile mențin aceleași politici de securitate și gestionare ca și
o rețea privată.
Acestea sunt metoda cea mai rentabilă de stabilire a unei conexiuni punct -la-punct între
telecomandă utilizatorii și o rețea a unui client al în treprinderii.
Figura 3.2 Tipuri de re țele VPN (HTTP18)
Principalele tipuri de VPN -uri, sunt : VPN -uri de acces, VPN -uri intranet și VPN -uri
extranet.
III.1. 1. Acces VPN de la distanță (Remote Access VPN) (figura 3.3) – Furnizați acces la
distanță la intranetul sau extranetul unui client al unei întreprinderi pe o rețea infrastructură
partajată. Accesul VPN -urilor utilizează funcțiile analogice, dial, ISDN, DSL, IP mobile și cablu
tehnologii pentru a conecta în siguranță utilizatorii de telefonie mobilă, telecomunicații și sucursale.
32
Figura 3.3 Remote access VPN (HTTP18)
III.1. 2. Acces la sediul clientului de afaceri, birouri de la distanță, și filiale la o rețea internă
pe o infrastructură partajată utilizând conexiuni dedicate. Intranet VPN -urile (figura 3.4) diferă de
VPN -uri extranet, prin faptul că permit doar accesul la angajații clientului întreprinderii. Acestea
sunt denumite și VPN -uri „site -to-site” sau „LAN -to-LAN”.
Figura 3.4 Intranet VPN (HTTP18)
III.1. 3. VPN -urile extranet (Extranet VPN) (figura 3.5) permit conexiuni securizate între
partenerii de afaceri, furnizori și clienți, în general în scopul realizării comerțului electronic. VPN –
urile extranet sunt o extensie a VPN -urilor intranet la care se adaugă firewall -uri pentru protecția
rețelei interne.
Figura 3.5 Extranet VPN (HTTP18)
Toate aceste rețele virtuale private au scopul de a oferi fiabilitatea, per formanța și
securitatea rețelelor WAN t radiționale, dar cu costuri scăzute și conexiuni ISP (Internet Service
Provider) flexibile. Tehnologia VPN poate fi folosită și într -un intranet pentru a asigura resurse sau
sisteme vitale , securitatea și controlul accesului la informații . Se poate limita accesul anumitor
angajați la sistemele financiare din companie sau se pot trimite informații confidențiale în manieră
securizată.
33
VPN cu livrare sigură (Trusted VPN)
Înainte ca Internetul să devine o rețea aproape universal ă, o rețea virtuală privată consta în
unul sau mai mult e circuite închiriate de la un furnizor de comunicații. Fiecare circuit închiriat se
comporta ca un singur fir într -o rețea controlată de client. Deasemenea, câteodată furnizorul ajută la
administrarea rețelei clientului, dar ideea de bază era ca acesta, c lientul, să poată utiliza aceste
circuite închiriate la fel ca și cablurile fizice din rețeaua proprie.
Siguranța oferită de aceste VPN -uri „moștenite” se referea doar la faptul că furnizorul de
comunicații asigura clientul că nimeni altcineva nu va folo si aceleași circuite. Acest lucru permitea
clienților să aibă adresarea IP și politici de securitate proprii. Circu itele închiriate treceau prin unul
sau mai multe switch -uri de comunicații, fiecare dintre acestea putând fi compromis de către cineva
doritor să intercepteze traficul rețelei. Clientul VPN avea încredere că furnizorul de VPN va
menține integritatea circuitelor și va utiliza cele mai bune echipamente pentru a e vita interceptarea
traficului din rețea. De aceea, aceste rețele se numesc VPN cu livrare sigură (Trusted VPN).
VPN securizate (Secure VPN)
Odată cu popularizarea Internetului ca un mediu de comunicații corporativ, securitatea a
devenit un aspect important atât pentru clienți cât și pentru furnizori. Văzând că VPN cu livrare
sigură nu oferă o reală securitate, furnizorii au început să creeze protocoale care permit criptarea
traficului la marginea rețelei sau la calculatorul de origine, trecerea prin rețea ca orice alte date și
apoi decriptarea în momentul în care datele ajung la rețeaua corporativă sau calculatorul de
destinație. Acest trafic criptat se comportă de parcă ar fi un tunel între cele două rețele: chiar dacă
un atacator poate observa traficul, nu -l poate citi și nu îi poate schimba conținutul fără ca aceste
schimbări s ă fie observate de partea de recepție și, în concluzie, rejectate. Rețelele construite
utilizând criptarea se numesc VPN securizate (Secure VPN) (HTTP02) .
Furnizorii de servicii au început să ofere un nou tip de VPN cu livra re sigură, de data asta
folosind Internetul în loc de rețeaua telefonică, ca suport pentru comunicații. Noile VPN -uri cu
livrare sigură tot nu oferă securitate perfectă, dar dau posibilitatea clienților să creeze segmente de
rețea pe ntru WAN -uri. În plus, segmentele de VPN cu livrare sigură pot fi controlate dintr -un singur
loc și deseori furnizorul garantează o anumită calitate a serviciilor (QoS – Quality of Service).
VPN hibrid (Hybrid VPN)
Un VPN securizat poate rula ca parte a unui VPN cu livrare s igură, creând un al treilea tip
de VPN, foarte nou pe piață: VPN hibrid (Hybrid VPN). Părțile sigure a unui VPN hibrid pot fi
controlate de client sau de același furnizor care asigură partea de încredere a VPN -ului hibrid.
Câteodată întregul VPN hibrid est e asigurat cu VPN -ul securizat dar, de obicei, doar o parte a VPN
hibrid este sigură .
Cerințe de baza pentru VPN -uri
La adoptarea unei rețele virtuale private prin Internet există două probleme majore:
securitatea și performanța. Protocolul de contro l al transmisiei (TCP/IP) și Internetul nu au fost
gândite inițial să asigure în principal securitate și performanță, deoarece la acea vreme utilizatorii și
aplicațiile lor nu necesitau o securitate puternică și o performanță garantată. Din fericire,
stand ardele pentru securitatea datelor din rețelele IP au evoluat, fiind posibilă crearea VPN -urilor
folosind rețele IP.
În mod normal, când proiectează o soluție de acces de la distanță la o rețea, o companie
dorește să permită accesul controlat la resurse și informații. Soluția trebuie să permită clienților
autorizați să se conecteze ușor la LAN -ul corporației, și să permi tă sucursalelor să se conecteze între
ele pentru a pune în comun informații și resurse (conexiuni LAN -LAN). În plus, soluția trebuie să
asigure securitatea și integritatea datelor când traversează Internet -ul. Aceleași preocupări apar și în
cazul când date le ce trebuie protejate traversează inter -rețeaua corporației.
34
III.2 Protocolul IPSec
Securitatea unei rețele de calculatoare poate fi afectată de mai mulți factori, cum ar fi:
dezastre sau calamități naturale, defectări ale echipamentelor, greșeli umane de operare sau
manipulare, fraude. Pentru asigurarea securității unei rețele s -au creat așa numitele servicii de
securitate care au scopul de a asigura securitatea aplicațiilor precum și a informațiilor stocate pe
suport sau transmise prin rețea. Când este vorba despre securitatea unei rețele apar mai multe
aspecte, cum ar fi: securizarea ac cesului fizic și logic, securitatea serviciilor de rețea, secretizarea
informațiilor etc. Au fost implementate mai multe metode pentru a prote ja și spori gradul de
securitate. Majoritatea metodelor s-au concentrat pe nivelurile superioare ale modelului OSI pentru
a compensa lipsa de securitate a adreselor IP.
IPSec (Internet Protocol Security), sau protocolul de securitate IP, este un cadru de
standarde deschise pentru a asigura securizarea comunicațiilor private pe Internet. IPSec (figura 3.6)
asigură i ntegritatea, confidențialitatea și autenticitatea comunicațiilor de date printr -o rețea publică,
fiind o componentă tehnică cheie pentru o soluție de securitate totală. Un astfel de protocol poate
rezolva amenințările de securitate din infrastructura rețel ei, fără a solicita modificări costisitoare ale
gazdei și aplicațiilor utilizate. IPSec oferă autentificarea și criptare la nivelul de rețea IP. Deoarece
pachetele criptate arată ca pachete IP obișnuite, ele pot fi redirecționate ușor către o rețea IP
nesigură, ca Internetul, exact ca pachetele IP obișnuite. Singurele echipamente care cunosc criptarea
sunt punctele finale. IPSec folosește diferite tehnologii existente, cum sunt certificatele digitale sau
criptarea DES .
Figura 3.6 Prezentare generală VPN IPSec15 (HTTP10)
IPSec are două moduri de criptare : transport și tunel. Transportul criptează și datele în timp
ce tunelul criptează doar antetul. IPSec poate cripta informațiile între diverse echipam ente: PC –
router, PC -server, router -router, firewall -router.
IPSec este un protocol de criptare ce lucrează la nivelul 3 (rețea) din modelului de referință
OSI și care asigură transmisia criptată a informației. Stabilirea VPN -ului de tip -ul IPSec are loc î n
urma negocierii între cele două părți ale unui mod standard de comunicație în sensul de a utiliza o
politică de securitate comună, de a folosi aceiași algoritmi de criptare și aceeași metodă de
autentificare. Odată negociată politica acesta, se creează u n tunel de comunicații între cele două
locații și astfel angajatul din afara interprinderii are acces la resursele interne ale rețelei private.
Însă, pentru a fi îndeplinite toate condițiile de VPN via IPSec, fiecare echipament de la care se
dorește acces are nevoie de instalarea unui „client” software de VPN (HTTP07) .
15 [HTTP10]
35 IPsec cuprinde următoarele elemente:
1. algoritmi criptografici;
2. tehnici de management a cheilor și SA
3. asocieri de securitate;
4. protocoale de securit ate;
Toate aceste elemente împreună furnizează următorul serviciu de securitate la IP:
– Access control – IPsec controlează accesul la resurse cum ar fi un capăt al rețelei sau
gazdei (host) din spatele unei porți de securitate;
– Integritatea fără cone xiuni – IPsec poate descoperi modificările la pachetele IP indiferent
de ordinea în care ele sunt recepționate sau trimise. Dacă un hacker modifică pachetele în tranzit
între gazde sau porți de securitate, aceste pachete sunt oprite de poarta de securitate sau de gazdă la
recepționare.
– Autentificarea originii datelor – IPSec verifică dacă mesajele ce sunt recepționate au fost
transmise de un anumit expeditor și nu de o altă sursă mascată. Pachetele trimise de un
atacator sunt oprite de porțile de securitate sau gazdă la primire;
– Replay protection – se asigură că gazdele și porțile de securitate opresc orice pachete IPSec
duokicate ce sunt recepționate;
– Confindețialitatea datelor – ascunde datele și împiedică ca acestea să fie descoperite de un
atacator. Ipsec utilizează algoritmi de criptare pentru a se asigura confindențialitatea datelor;
– Limited traffic flow confidentiality – chiar dacă un atacator nu este capabil să determine
exact natura datelor protejate, ei ar putea însă descoperi informații cum ar fi identitatea
mecanismelor de comunicare, mărimea pachetelor și chiar frecvența de transmisie. IPSec asigură o
protecție limitată împotriva unui atacator capabil să obțină aceste informații (HTTP10) .
Asocierea de securitate
Asocierea de securitate este un ansamblu de date de tip nume de cheie – algoritm, care
reprezintă capabilită țile criptografice comune entităților participante la asocierea IPsec.
SAD – Security Association Database reprezintă ansamblul unor seturi de asocieri de
securitate pe un anumit calculator sau gateway, baza de date cu informații criptografice, de pe
fiecare entitate IPSec, în legătură cu celelalte entități conexe.
Pe fiecare entitate IPSec se mai găsește o a doua bază de date, numită SPD – Security Policy
Database, cu date despre traficul care trebuie securizat, numit trafic interesant. Conținutul bazei de
date SAD este populat manual, de către administratorul acelui system sau dinamic prin negocierea
de IKE între entități, însă folosind tot un set predefinit de capabilități ale fiecărui sistem.
În momentul securizării traficului fiecare pentru ca entita te să cunoască parametrii de
securizare, fiecare tip de trafic este folosit de identificatorul SPI – Security Parameter Index, un
index pe baza de date SAD. Folosind acest index și valoarea adresei IP din destinația pachetului ce
urmează a fi supus procesu lui de criptare sau autentificare, fiecare entitate IPsec știe exact ce
transformare trebuie realizată pe fiecare pachet IP pentru ca acesta să poată fi decriptat la destinație
și să fie corect interpretat. Procesul de decriptare este asemănător în momentu l recepției unui pachet
astfel securizat.
În cazul în care sunt mai mult de doi participanți la asocierea de securitate, cum ar fi
traficului de tip multicast, asocierea de securitate este furnizată pentru întregul grup și este prezentă
pe fiecare sistem participant. Pot exista, de asemenea, mai multe asocieri de securitate pentru un
același grup de entități, fiecare cu diverse nivele de securitate în interiorul grupului.
În funcție de modalitatea de stabilire a parametrilor asocierii de securitate, suita IPSec poate
fi stabilită prin ISAKMP – negociere prin mesaje IKE sau manual – static, preconfigurate de
administrator pe fiecare sistem.
În funcție de tipul de încapsulare al traficului supus IPSec, suita poate realizare securizarea
prin încapsulare de tip transport sau de tip tunel.
36 Încapsularea de tip tunel apare în momentul în care entitățile participante la IPsec sunt de tip
gateway; ele au în administrare una sau mai multe subrețele pentru traficul cărora realizează operații
criptografice. Pachetul înc apsulat IPsec va avea un set de adrese IP exterioare – adresele IP ale
entităților gateway și un set de adrese IP interioare sau protejate – adresele IP, publice sau private,
ale subrețelelor din spatele acestor gateway -uri (HTTP17 ).
Încapsularea de tip transport apare în momentul în care entitățile participante la IPSec sunt
calculatoare independente, care au instalat un soft specializat IPsec, realizînd operații criptografice
pentru propriul trafic. Pachetul încapsulat va av ea un singur set de adrese IP, publice, ale acestor
calculatoare.
Site-to-Site sau Remote -Access
Această manieră de clasificare se pretează în exclusivitate tipului de încapsulare tunel,
neavând sens pentru tipul transport. Criteriul de clasificare este acela al tipului entității participante
la IPsec.
În cazul în care entitățile sunt două gateway -uri de securitate care realizează operații
criptografice pentru subrețele protejate aflate în administrarea lor, modelul de trafic se numește
Site-to-Site sau L AN-to-LAN, în accepțiunea mai multor producători de echipamente de securitate
IPSec. Denumirea sugerează scenariul de comunicare descris în figura de mai jos.
În cazul în care entitățile sunt un gateway de securitate care are în administrare o subrețea și
un calculator independent care dorește să comunice cu acea subrețea, scenariul se numește Remote –
Access sau Dial -Up VPN, în accepțiunea mai multor producători de echipamente. Denumirea
sugerează scenariul de comunicare descris în figura de mai jos.
Cazul d e remote -access este un tip de scenariu de tunel, deoarece, în momentul în care este
trimis pe rețea, pachetul încapsulat are două seturi de adrese IP: un set "extern", reprezentat de
adresele IP ale calculatorului și al gateway -ului căruia se adresează, ș i un set de adrese IP "intern",
reprezentat de adresa IP a unei mașini din interiorul rețelei și a unei adrese IP noi a calculatorului,
obținută de la acel gateway pentru a avea adresabilitate de nivel IP în interiorul rețelei la care acest
calculator se c onectează.
Procedeul prin care un calculator obține, în momentul negocierii IPsec, o adresă de la
gateway pentru a avea acces într -o rețea internă este numit mode -config în scenariile de tip IKEv1
sau configurare remote în cele de IKEv2 (HTTP16) .
III.2.1 Algoritmi criptografici
Algoritmi criptografici folosiți de către IPSec pentru a autentifica și a cripta pachetele
utilizator sunt:
a) Algoritmi de autentificare;
b) Algoritmi de criptare;
c) Algoritmi criptografici cu chei publice.
III.2.1.1 Algoritmi de autentificare
Pentru a preveni modificarea unui mesaj, se utilizează o tehnică specifică, denumită tehnica
hash, ce permite construirea unui cod de identificare a datelor transmise, numit ”rezumatul datelor”.
Într-un IPSec, un număr de algoritmi hash asigură integritate a fără conexiuni și autentificarea
originii datelor. Un algoritm hash este un tip de algoritm criptografic ce ia un mesaj de o lungime
arbitrară la intrare și produce o lungime fixă la ieșire, valoare ce este characteristic mesajului de
intrare și nu altui mesaj.
Algoritmii criptografici hash au două caracteristici improtante:
1. Rezumatul unui mesaj se construiește prin aplicarea, în sens unic, a unei funcții de
transformare(funcție hash) într -o secvență de biți – de lungime mare, pentru a fi dificil d e ”spart”.
Sensul unic de transformare asigură faptul că nu se pot deduce datele de intrare pe baza datelor de
ieșire.
37 2. Datele ce trebuie transmise sunt utilizate ca și date de intrare, obținându -se astfel o
valoare de transformare(”hash value”). Dac ă datele în transit sunt modificate, la destinație se va
obține o altă valoare de transformare, ceea ce va indica falsificarea datelor.
Valoarea de trasformare este în general criptată ulterior prin utilizarea aceași chei secrete ca
și pentru criptarea da telor transmise. Astfel se formează o ”semnătură digitală” a datelor, care nu
mai pot fi modificate fără ca acest lucru să fie depistat.
III.2.1.2 Algoritmi de criptare
Criptarea este o metodă care poate fi utilizată pentru a ascunde conținutul unui mesa j de
persoanele care nu trebuie să îl înțeleagă. Informațiile cu formă necriptată sunt cunoscute ca și text
simplu (plaintest) sau text curat (cleartext). Informațiile cu formă criptată sunt cunoscute ca și text
cifrat (ciphertext). Procesul de criptare sc himbă un text simplu într -un text cifrat, iar procesul invers
este cunoscut ca și process de decriptare.
IPSec folosește algoritmi de criptare simetrici pentru criptarea datelor. Algoritmi simetrici
sun caracterizați de faptul că folosesc aceași cheie atâ t în procesul de criptare, cât și în cel de
decriptare. Pentru aplicarea lor este necesar ca înaintea codificării / decodificarii, atât emițătorul cât
și receptorul să posede deja cheia respectivă. În mod evident, cheia care caracterizează acești
algoritmi trebuie să fie secretă. Atunci când poarta IPSec VPN criptează datele cu o cheie, o altă
poartă va cere aceiași cheie pentru a decripta datele.
Caracteristicile principale ale algoritmilor de criptare simetrici sunt următorii:
– aceiași cheie este folosită pentru a cripta sau decripta;
– textul cifrat este compact;
– algoritmii de criptare simetrici sunt rapizi;
Principalul dezavantaj al algoritmilor simetrici constă în faptul că impugn un schimb de chei
private înainte de a se începe transmisia de date. Altfel spus, pentru a putea fi utilizați, este necesar
un canal cu transmisie protejată pentru a putea transmise chei de criptare / decriptare.
Algoritmi de cripare simetrici sunt: Data Encryption Standard (DES) și Advanced
Encryption Standard (AES).
DES – criptează/decriptează blocuri de text simplu / cifrat pe 64 de biți în același timp și
folosește o cheie de 64 de biți, 8 bițt ai cheii sunt folosiți pentru paritate, lungimea efectivă a cheii
este de 56 biți.
Triple DES (3DES) – este o derivație a algoritmului DES ce folosește diferite chei să
cripteze, apoi să decripteze, iar în final criptează fiecare bloc simplu. 3DES are o lungime efectivă a
cheii de 168 biți (3*56 biți).
AES – criptează / decriptează blocuri text simplu / cifrat pe 128 de biț i și pot folosi chei de
lungime de 128 biți, 192 biți sau 256 biți.
III.2.1.3 Algoritm criptografic cu chei publice
Algoritmii criptografici cu cheie publică, sunt caracterizați prin faptul că criptarea și
decriptarea folosesc chei diferite. Această carac teristică a dat algoritmilor cu cheie publică și
numele de algoritmi asimetrici. În acest caz, o cheie poate fi publică (în general cunoscută – poate fi
distribuită oricui) iar cealaltă va trebui să fie privată(secretă), cunoscută doar de cel care o folose ște.
Fiecare din aceste chei poate cripta mesajul, dar mesajul criptat cu o anumită cheie nu poate fi
decriptat decât cu cheia sa pereche.
Cheile algoritmilor asimetrici sunt obținuți pe baza unei formule matematice din algebra
numerelor mari, pentru nume re prime între ele, iar valoarea unei chei nu poate di dedusă valoarea
cheii asociate.
Cei mai populari algoritmi cu chei publice sunt: Diffie -Hellman; Rivest, Shamir and
Addlemen (RSA); the Digital Signature Algorithm(DSA) și ElGamal.
38 Utilizarea unor ast fel de algoritmi de criptare a datelor asigură transmisii confidențiale de
date în rețele neprotejate, rezolvând problema interceptării. Riscul de interceptare / modificare nu
dispare cu totul, din cauză că orice mesaj criptat poate fi în general decriptat fără a deține cheia
corespunzătoare, dacă se dispune de suficiente resurse materiale și de timp.
Dimensiuni variate ale cheii asigură diferite grade de confidențialitate iar perioada de timp
necesară pentru decriptare poate fi influențată în funcție de m ărimea cheii utilizate. Totuși, dacă
procentul de decriptare este lent, este posibil ca în momentul în care s -ar obține datele dorite,
acestea să nu mai fie utile sau actuale.
Timpul de decriptare depinde în mod natural și de puterea procesoarelor utiliza te în acest
scop, astfel încât utilizarea distribuită a unui număr foarte mare de procesoare poate duce la o
micșorare considerabilă a timpului necesar. Din acest motiv, pentru transmisii de date în care este
necesară o confidențialitate strictă se utilize ază chei de dimensiuni mult mai mari, chiar pentru
algoritmul DES (de 256, 512, 1024 și 2048 sau 4096 de biți), știind faptul că timpul necesar
decriptării crește exponential cu dimensiunea cheii de criptare / decriptare.
Pentru utilizatorii obișnuiți ai Internet -ului, cei mai convenabili algoritmi de criptare sunt cei
cu cheie publică fiindcă folosirea lor nu implică schimbul preliminar de chei pe canale de transmisie
protejată, ca în cazul algoritmilor cu cheie secretă. Cheia publică poate fi distribuită fără restricții pe
Intranet (rețea locală) sau Internet, iar mesajele criptate cu această cheie de un emițător vor putea fi
decriptate numai utilizând cheia private, care este deținută exclusiv de către destinatar. Astfel, nici
măcar expeditorul nu ar put ea realiza decriptarea mesajului trimis.
III.2.2 Protocoale de securitate: AH și ESP
IPsec folosește două protocoale de securitate, Authentication Header (AH) și Encapsulating
Security Payload (ESP).
III.2.2.1 Protocolul Authentication Header
Este un pachet header ce asigură următoarele servicii de securitate:
• Integritatea fără conexiuni
• Autentificarea originii datelor
• Protecție opțională de replay
Authentication Header (figura 3.7) reprezinta protocolul 51 IP si poate opera în 2 moduri –
modul tr ansport si modul tunel.
În modul transport, un AH header este inserat între headerul original și headerul următorului
protocol (ca de exemplu TCP, UDP, sau ICMP) pentru ca pachetul utilizator să fie protejat. Figura
următoare prezintă modul transport AH.
În AH transport mode, întregul pachet este autentificat excepție facînd câmpurile ce se pot
schimba în timpul tranzitării între host -urile permise sau porțile de securitate. Câmpurile variabile
cuprind Time -To-Live (TTL), Type of Service (ToS), și Header Checksum. În modul transport AH
este folosit să protejeze pachetele utilizator care tranzitează o rețea între hosturi sau devices..
Aceasta este posibil deoarece porțile de securitate folosesc AH transport mode să protejeze
protocoalele tunel ca și GRE, an d Layer Two Tunneling Protocol (L2TP).
În modul tunel , AH header împreună cu un nou IP header este folosit să protejeze pachetele
utilizator.
În modul tunel întregul pachet este autentificat excepție făcând câmpurile mutate în noul IP
header. Modul tunel poate fi folosit să protejeze pachetele utilizator care tranzitează rețeaua între
hosturi, dar și între porțile de securitate (security gateway s).
39
Figura 3.7 Formatul datagramei IPv4 cu headerul de autentificare (AH) IPS ec16 (HTTP16)
III.2.2.2 Protocolul Encapsulating Security Payload
ESP este un pachet header ce asigură următoarele:
• Integritatea fără conexiune
• Autentificarea originii datelor
• Protecție opțională replay
• Confindențialitatea datelor
• Confindențialitatea limitată a traficului(disponibilă numai în modul tunel)
Observăm că ESP asigură aceleași servicii de securitate ca și AH, precum și
confindențialitatea limitată a traficului și datelor. Din această cauză, AH este mai rar folosit. ESP
este protocolul 50 IP.
De asemenea, ESP poate opera în 2 moduri -modul transport si modul tunel.
Observăm că dacă autentificarea ESP (figura 3.8) este con figurată, câmpul ESP header
inițial (inclusiv SPI și câmpurile Sequence Number), TCP/UDP/Other Header, Payload, și
câmpurile ESP Trailer sunt toate autentificate. Precizăm că, câmpul header original nu este
autentificat ca și când foloseam AH . Dacă cripta re ESP este configurată, atunci câmpurile
TCP/UDP/Other Header, Payload, și ESP sunt toate criptate. Modul transport este de obicei folosit
să protejeze traficul între host -uri și alte devices
În modul tunel ESP, un nou header IP și header ESP sunt folosi te de pachetele utilizator iar
un ESP trailer și (dacă autentificarea ESP este configurată) un ESP ICV sunt atașate la pachetul
utilizator. Dacă autentificarea ESP este configurată, câmpul header ESP, intrarea pachetului
utilizator și ESP trailer sunt aute ntificate.
16 [HTTP16]
40 Dacă criptarea ESP este configurată, câmpul ESP header, intrarea pachetului utilizator și
ESP trailer sunt criptate.
Figura 3.8 Formatul datagramei IPv4 cu IPSec Encapsulating Security Payload (ESP)17 (HTTP16)
III.3 Protocolul IKEv1
Negocierea IKEv1 este alcătuită din două etape sau faze, numite sugestiv Faza 1 și Faza 2 .
Prima fază are rolul de a autentifica entitățile de IPSec, de a stabili o asociere de securitate și de a
deriva cheile Diffie -Hellman din care vor fi derivate ulterior cheile efective de criptate și/sau
autentificare pentru traficul de date. Prima fază are la rândul ei două variante sau moduri: modul
principal – main mode și modul agresiv – aggressive mode , fiecare redat mai jos. Faza a doua est e
numită modul rapid – quick mode .
Modul principal cuprinde un număr de șase mesaje care se schimbă între inițiatorul și
responderul de IPsec.
Modul agresiv cuprinde un număr de trei mesaje schimbate și este considerat un schimb
nesigur, de aceea nu se mai recomandă utilizarea lui.
Modul rapid cuprinde un număr de trei mesaje și este dependent de realizarea unui schimb anterior
(de tip principal sau agresiv), care să protejeze informația conținută în aceste pachete. Modul de
bază (fără schimb de chei) împro spătează informația din materialul criptografic derivat în schimbul
de prima fază. Acest procedeu nu furnizează însă serviciul de PFS – Perfect Forward Secrecy,
serviciu care poate fi obținut prin utilizarea unui payload special de schimb de chei + KE, car e
presupune încă o exponențiere (HTTP16) .
IKEv2
Negocierea IKEv2 are un singur mod de stabilire si cuprinde un schimb inițial – Initial
Exchange și un schimb de creare de asocieri de securitate – CREATE_CHILD_SA Exchange .
Initial Exchange este un schimb alcătuit din patru mesaje, el fiind oarecum echivalentul primei faze
în accepțiunea protocolului IKEv1.
Cazuri speciale
Atât IKEv1 , cât și IKEv2 au definit un timp de validitate (sau de expirare) al cheilor
negociate, pentru a proteja traficul criptat și/sau autentificat de eventualele atacuri asupra cheii, la o
17 [HTTP16]
41 utilizare îndelungată a acesteia. Acest timp este numit lifetime (durată de viață). După o valoare
negociată a acestui lifetime (în IKEv1) sau după aceeași valoare, d ar stabilită individual (în IKEv2),
protocolul de IKE împrospătează valoarea cheilor prin procedeul numit rekey . Un caz special
de rekey este numit PFS – Perfect Forward Secrecy , în care este refăcută negocierea Diffie -Hellman
și se obține un nou set de ch ei, care va fi materialul criptografic de bază pentru noile negocieri.
Renegocierea cheilor se poate face și ca urmare a depășirii unui anumit volum de date
transmis prestabilit. Presupunând că un atacator a capturat tot traficul transmis pe un anumit canal
securizat, se dorește ca acesta să nu dispună de suficient de multă informație criptografică pentru a
deduce cheia de criptare și a despacheta informația încapsulată.
În oricare dintre clasificările IPsec, setul de adrese IP externe se presupune a fi alcătuit din
adrese publice, pentru a putea obține corecta autentificare a părților. IETF a definit și maniera în
care negocierea IKE poate avea loc fără ca cele două (sau ma i multe) adrese IP participante să fie
publice, anume cazul în care acestea se găsesc în spatele unui sistem de NAT – Network Address
Translation . În acest caz special, negocierea IKE nu se mai rea lizează pe portul 500, ci pe 4500,
după ce entitățile au făcut în prealabil o probă a adresabilității directe și au determinat că cel puțin
una dintre ele se află în spatele unui server de NAT. Bineînțeles, acest caz exclude posibilitatea
încapsulării AH (din cauza adresei IP externe care se schimbă), dar se poate realiza în continuare
încapsularea ESP cu și fără autentificare. Procesul de negociere IKE în care cel puțin una dintre
entitățile participante este în spatele unui NAT se numește IKE – traversare NAT sau NAT -T for
IKE – NAT Traversal pentru IKE. (HTTP07)
Cele mai multe implementări de IPsec încearcă să realizeze pe cât posibil optimizarea
utilizării resurselor computaționale disponibile. Un exemplu în acest sens este închiderea tunelului
IPsec în cazul în care nu se mai trimit date pentru o anumită durată de timp, sau dacă lărgimea de
bandă ocupată pentru o anumită conexiune este nulă. Dacă aceasta este configurația implicită,
pentru anumite conexiuni se poate dori suprascrierea ei și menținerea acelei conexiuni.
Una dintre posibilitățile puse la dispoziți e de standard se numește DPD – Dead Peer
Detection. Acesta este un mecanism de timp keepalive care presupune trimiterea unui pachet între
capetele conexiunii, la un interval stabilit.
42
Capitolul IV
REALIZAREA PRACTICĂ A PROIECTULUI
IV.1 Prezentarea temei de proiect
Crearea unei rețele compusă din echipamente reale este foarte scumpă drept urmare pentru
acest proiect voi folosi un simulator al echipamentelor folosite, ce lucrează cu sisteme de operare
reale. Scopul urmă rit este de a implementa și configura o rețea unde doresc să implementez
politicile de securitate pe echipamente Cisco și de a analiza performanțele acestei rețele .
Pentru a implementa politicile de securitate am creat o r ețea pentru o companie privată
fictivă ce are echipamente instalate în diferite locații. La această rețea doresc ca administrat ori
rețelei să se poată conecta remote prin rețeaua Internet pentru a verifica sau monitoriza rețeaua prin
configurarea a protocolului de routare OSPF (area 0 – pentru rețeaua internă și area 54 – pentru a
configura o rută între rețeaua locală și router -ul remote) și configurarea unui tunel între rețele pentru
o conexiune sigură între cele două rețele. Topologia rețelei include trei rețele virtuale (Admin,
Users și Server ), conectarea echipamente lor s-a realizat cu switch -uri și routere Cisco . Prin
implementarea politicilor de securitate doresc protejarea informațiilor împotriva atacurilor provenite
din exterior, minimizarea riscurilor cu care se confruntă rețeau a, asigurarea f uncționalității și
analizarea traficului din rețea în permanență.
Rețelele sunt vulnerabile la atacuri sau accesări neautorizate dacă nu sunt securizate
corespunzător. Implementarea protocoalelor sau operațiunilor de criptare a informației face ca
aceasta să nu poată fi accesată de oricine, accesul fiind permis numai în anumite condiții și
furnizând anumite informații : limitarea accesului în funcție de user și parolă, implementarea
rețelelor virtuale , etc.
Pentru crearea rețelei și implemen tarea politicilor de securitate pe echipamente, switch -uri și
routere, am utilizat programul GNS3 (Graphical Network Simulator).
Topologia rețelei pentru compania fictivă va fi simulată și dezvoltată utilizând aplicația de simulare
grafică GNS3 (împreună cu aplicația Wireshark). Aplicația de simulare GNS3 oferă posibilitatea de
a modifica configurația unui echipament și observarea imediată a efectelor. Aceste simulări sunt
folosite pentru testarea unor echipamente sau modificărilor aduse acestora înainte d e implementarea
reală a acestora, analizând fiabilitatea sau efectele defectări unuia.
Scopul proiectului meu este de a aplica politicile de securitate ale rețelelor de calculatoare
pentru prevenirea atacurilor de recunoaștere, acces sau DoS și al accesăr ilor neautorizate,
implementarea unor ACL -uri pentru a interzice sau permite traficul. Configurarea a două tunele:
Tunel Gre și IPSec.
IV.2 Utilitare pentru simularea și configurarea rețelei
Aplicația GNS3 permite simularea unei rețele de calculatoare c omplexă fiind o unealtă
complementară folosită în laboratoarele reale de rețelistică pentru administratori de rețea, ingineri,
etc. GNS3 permite utilizatorilor să configureze virtual o topologie a unei rețele bazată pe
echipamente CISCO.
Caracteristicile aplicației GNS3 folosite în simularea rețelei, sunt:
– crearea unor topologi de rețele complexe;
– emularea platformelor IOS Cisco ;
– captura pachetelor cu ajutorul utilitarului Wireshark;
– conectarea rețelei simulate la o rețea reală.
43 GNS3 are o interfață pentru Dynamips, ce comunică cu acesta prin intermediul unui
hipervizor. Aplicația Dynamips este open -source ce emulează un sistem de operare IOS Cisco ,
aceasta poate rula pe platforme Windows, Linux sau MacOS. Utilizatorii aplicați ei Dynamips po t
configura routere sau switch -uri ce rulează sisteme de operare Cisco, folosind resursele
calculatorului gazdă. Avantajul folosiri acestei aplicații este acela că Dynamips nu e simulator, ci un
emulator care rulează codul sistemului de operare Cisco. Pe l ângă comportamentul real al unui
echipament Cisco ne permite să configurăm o diversitate de topologi i. Un alt aspect important
pentru utilizatorii acestei aplicații este că permite captura traficului din rețea cu ajutorul
analizatorului de pachete Wireshar k.
Crearea unei rețele în GNS3 este simplă, în special pentru utilizatorii ce au mai folosit
simulatoare de rețea cum sunt Cisco Packet Tracer sau Opnet. Pentru a folosi programul, utilizatorii
au nevoie de imaginile IOS ale echipamentelor Cisco pentru a le putea utiliza.
Pentru folos irea echipamentelor în aplicația GNS3, este necesară alegerea acestuia din
meniul aplicației și tragerea acestuia în spațiul de lucru. La început se configurează tipul de
conexiune, folosind ethernet, serial sau alte tipuri. Fiecare echipament are propiul tip de conexiune,
pentru a conecta echipamentele folosim butonul ”Add a link”
Dynamips este util în testarea configurațiilor și oferă posibilitatea de a capta pachetele din
conexiunea dintre routerele virtuale. Acesta permite conexiunea routerelor virtu ale și permite
interacțiunea cu cele reale ceea ce permite testarea unor topologii de dimensiuni mai mari.
Înainte de a începe simularea și configurarea rețelei este necesară realizarea unor setări în
GNS3. Fiecare echipament are imaginea sa, depinde de utilizator ce echipamente dorește să
folosească în simularea rețelei pentru a încărca imaginea acestuia. Pentru a reduce consumul de
resurse a calculatorului atunci când rulează simularea rețelei, este necesar să fie definită valoarea
”Idle PC”.
Wires hark este o aplicație de tip open source, ce permite analizarea pachetelor sau a
traficului dintr -o rețea, identificarea și depanarea eventualelor probleme. Permite unui utilizator să
analizee tot traficul dintr -o rețea prin configurarea interfeței în modu l promiscuu. În modul
promiscuu, interfața primește și procesează tot traficul din rețea, nu doar pe cel ce îi este destinat.
Aplicația Wireshark oferă un număr mare de capabilități, cum sunt:
– analiza offline și captura pachetelor live;
– inspectarea a sute de protocoale;
– scriere și citire în diferite formate open source: tcpdump(libpcap), Cisco Secure IDS iplog;
– multiple posibilități de filtrare a datelor capturate;
– interfața poate fi personalizată, folosind reguli de colorare asupra listei d e pachete pentru o
analiză rapidă și intuitivă;
– exportul datelor în format XML, PostScript, CSV sau text simplu.
Aplicația Wireshark utilizează API (Applicat ion Programming Interface) pentru a captura
pachetele, aplicația funcționează doar pentru rețelele suportate de API. Un alt dezavantaj este că,
pentru a putea captura pachetele în format neprelucrat de la o interfață de rețea, Wireshark trebuie
să ruleze cu drepturi de administrator. Soluția acestei probleme este aceea de a rula doar utilitarul
tcpdump sau componenta dumpcap a aplicației la un nivel privilegiat pentru a putea captura traficul
iar analiza acestuia urmând a se efectua ulterior cu Wireshark rulând la un nivel restricționat.
Folosirea aplicației Wireshark într -o rețea de d imensiuni mari unde activitate este încărcată
poate produce fișiere de captură de dimensiuni foarte mari ș i poate consuma pa rțial sau total
resursele sistemul ui, ceea ce ar putea duce la o î ncetinire a sistemului sau blocarea acestuia.
Dynagen este o interfață a a plicației Dynamips, ce comunică cu acesta printr -un hipervizor.
O problemă majoră ce apare î n folosirea Dynagen este aceea că procesorul este utilizat 100%
indiferent dacă router -ul este în uz sau î n stare de repaus.
În scopul de a creea topologii multiple care să premit ă utilizatorilor să configureze diverse
scenarii ș i să verifice politicile noi înainte de a fi implementate într -o rețea reală sau să învețe
echipamentele folosite î n rețelistică un emulator este soluț ia potrivită.
44
IV.3 Arhitectura Rețelei
Structura rețelei fictive configurată în aplicația GNS3 (Figura 4.1) a fost creată, folosind
următoarele echipamente : 5 routere Cisco, 3 switch -uri Cisco, 4 VSPC și 2 servere pentru simularea
echipamentelor ”End Devices”.
Figura 4.1 Arhitectura rețelei
Descrierea conexiunilor în rețeaua simulată:
– SW1: interfața e0/0 se conectează cu SW2 prin e0/0; interfața e0/1se conectează cu R1 prin
Gi0/0; interfața e0/2 se conectează cu PC -1prin e0 și interfața e0/3 se conectează cu PC-2 prin e0.
– SW2: interfața e0/0 se conectează cu SW1 prin e0/0 și interfața e0/1 se conectează cu PC-3
prin e0.
– SW3: interfața e0/0 se conectează cu R3 prin interfața Gi0/2; interfața e0/1 se conectează
cu ServerHTTP prin e0; interfața e0/2 se con ectează cu ServerFTP prin e0.
– R1: interfața Gi0/0 se conectează cu SW1 prin e0/1 , interfața Gi0/1 se conectează cu R2
prin Gi0/1.
– R2: interfața Gi0/0 se conectează cu R1 prin Gi0/1 , interfața Gi0/1 se conectează cu R3
prin Gi0/1.
– R3: interfața Gi0 /0 se conectează la rețeaua Internet prin Gi0/0, interfața Gi0/1 se
conectează cu R2 prin Gi0/1, Gi0/2 se conectează cu SW3 prin e0/0.
– R4: interfața Gi0/0 se conectează la rețeaua Internet prin Gi0/1 , interfața Gi0/1 se
conectează cu PC -6 prin e0.
Conexiunea calculatorului PC -1 la SW1 se face prin interfața e0/2.
Conexiunea calculatorului PC -2 la SW1 se face prin interfața e0/3.
Conexiunea calculatorului PC -3 la SW2 se face prin interfața e0/1.
Conexiunea server -ului HTTP la SW3 se face prin interfaț a e0/1.
Conexiunea server -ului FTP la SW3 se face prin interfața e0/2.
Conexiunea calculatorului PC -6 la R4 se face prin interfața Gi0/1.
45 Configurarea adreselor de IP
Companiile ce furnizează serviciile rețelei Internet au propus, prin convenț ie, adresele IP
Private să nu poată să fie rutate î n Internet , orice pachet cu IP -ul sursă Privat va fi dropat .
Astfel , toate companiile furnizoare de servicii de Internet au implementat politici de filtrare
a traficului (ACL) pe ba za IP -ului sursă care verifi că dacă un pachet are un IP privat sau nu. În
cazul în care, IP -ul sursă este privat atunci acesta va fi oprit ș i dropat, transportarea lui către
destinație nefiind permisă .
Pe SW1 și SW2 au fost configurate VLAN (rețele virtuale locale) , pentru a aloca adresele IP
am subnetat adresa IP 172.31.1 0.0 /24 în /28, astfel:
VLAN 10 (Admin) are atribuite următoarele adrese de IP private :
Adresa de rețea: 172.31.10.0 /28;
Adresele de IP ce pot fi alocate în această rețea : 172.31.10.1 – 172.31.10.14 ;
Adresa de broadcast: 172.31. 10.15;
Subnet Mask : 255.255.255.240
Gateway : 172.31.10.1
VLAN 20 (Utilizatori) are atribuite următoarele adrese de IP private:
Adresa de rețea: 172.31.10.16 /28;
Adresele de IP ce pot fi alocate în această rețea: 172.31.10.17 – 172.31.10.30 ;
Adresa de broadcast: 172.31. 10.31 ;
Subnet Mask: 255.255.255.240
Gateway : 172.31.10.30
Pe SW3 a fost configurat VLAN 30 , pentru a aloca adresele IP am subnetat adresa IP
172.16 .10.0 /24 în /28, astfel:
VLAN 30 (Servere ) are atribuite urmă toarele adrese de IP private:
Adresa de rețea: 172.16.10.0/29 ;
Adresele de IP ce pot fi alocate în această rețea: 172.16.10.1 – 172.16.10.6 ;
Adresa de broadcast: 172.16.10.7 ;
Subnet Mask: 255.255.255.248
Gateway: 172.16.10.6
Pentru a realiza conexiunea între rețeaua locală (R3) și rețeaua “ Home Ofiice ” (R4), peste
rețeaua de Internet am atri buit adrese de IP publice, astfel:
R3: adresa de rețea 77.110.10.0 /30
R4: adresa de rețea 88.88.10.0/30
Tabelul 4.1 Distribuirea adreselor IP în rețea
Echipament Interfață Adresă IP Subnet Mask Default Gateway
Router (R1) Gig 0 /0.10 172.31 .10.1 255.255.255.240/28 N/A
Gig 0 /0.20 172.31 .10.30 255.255.255.240/28 N/A
Gig 0/1 10.0.1.1 255.255.255.252/30 N/A
Tunel 0 10.155.20.1 255.255.255.252/30 N/A
Router (R2) Gig 0 /0 10.0.1.2 255.255.255.252/30 N/A
Gig 0/1 10.0.1.5 255.255.255.252/30 N/A
Router (R3) Gig 0/2.30 172.16.10.6 255.255.255.248/29 N/A
Gig 0/0 77.110.10.1 255.255.255.252/30 N/A
Gig 0/1 10.0.1.6 255.255.255.252/30 N/A
Tunel 0 10.155.20.2 255.255.255.252/30 N/A
Tunel 1 22.22.22.1 255.255.255.252/30 N/A
Router (Internet) Gig 0 /0 77.110.10.2 255.255.255.252/30 N/A
Gig 0/1 88.88.10. 1 255.255.255.252/30 N/A
46 Echipament Interfață Adresă IP Subnet Mask Default Gateway
Router (R4 ) Gig 0/0 88.88.10.2 255.255.255.252/30 N/A
Gig 0/1 192.168.0.1 255.255.255.248/29 N/A
Tunel 2 22.22.22.2 255.255.255.252/30 N/A
PC 1 e0 172.31.10. 2 255.255.255.240/28 172.31.10.1
PC 2 e0 172.31.10.17 255.255.255.240/28 172.31.10.30
PC 3 e0 172.31.10.19 255.255.255.240 /28 172.31.10.30
PC 6 e0 192.168.0.2 255.255.255.248 /29 192.168.0.1
Server FTP e0 172.16.10.1 255.255.255.248 /29 172.16.10.6
Server HTTP e0 172.16.10.5 255.255.255.248 /29 172.16.10.6
IV.4 Configurarea Switchurilor
Pe SW1 au fost configurate trei rețele virtuale :VLAN 10 (Admin), VLAN 20 (Utilizatori ) și
VLAN 99 (pentru interfețele nefolosite), pentru evitarea folosirii VLAN1 – managment. Pe port -urile
de tip acces ale SW1 a fost configurat Port Security (folosirea a maximum 3 adrese MAC pe port)
pentru atenuarea atacului de tip Buffer Over flow, am configurat PortFast (BPDU Guard,BPDU
Filter și Root Guard ), BPDU Guard pe porturile de acces pentru a preveni extinderea rețelei cu un
switch fals(dat orită unui atac al un host) , Root Guard pentru a închide interfața dacă cineva forțează
transmitre rea de BPDU pentru a prelua rolul de r oot bridge și BPDU Filter această comandă previne
într-o stare de PortF ast operațional de trimitere sau primire BPDU.
Pe SW2 au fost configurate două rețele virtuale : VLAN 20 (Users) și VLAN 99 (pentru
interfețele nefo losite) și au fost implementate aceleași politici ca și pe SW1.
Pe SW3 au fost configurate două rețele virtuale: VLAN 3 0 (Servere ) și VLAN 99 (pentru
interfețele nefolosite) și au fost implementate aceleași politici ca și pe SW1 și SW2.
Configurarea Port Security pe SW:
SW1(config -if)#switchport port -security
Activarea Port Security pe interfață
SW1(config -if)#switchport port -security mac -address sticky
Învață dinamic adresele MAC pe interfață până la numărul maxim setat pe interfață
SW1(config -if)#switchp ort port -security maximum 3
Numărul maxim de adrese acceptate pe intefață: 3
SW1(config -if)#switchport port -security violation shutdown
La depășirea numărului maxim de adrese MAC interfața intră în starea err -disable
SW1(config -if)#switchport port -security aging time 5
Timpul în care adresele MAC rămân memorate pe interfață : 5 minute
SW1(config -if)#no switchport port -security
Dezactivarea Port Security pe interfață
Figura 4.2 Configurarea Port -Security pe interfață
47 Configurarea BPDU Guard pe SW:
SW1(config)# spanning -tree portfast default
Activare Portfast pe toate porturile non -trunk
SW1(config)# spanning -tree portfast bpduguard default
Activarea BPDU Guard la nivel global pe toate porturile cu portfast activat
SW1(config)# spanning -tree portfast bpdufilter default
Activarea filtrării BPDU la nivel global pe toate interfețele cu portfast activat
SW1(config -if)#spanning -tree bpdufilter enable
Activarea filtrării BPDU pe interfețele
SW1(config -if)#spanning -tree guard root
Activarea Root Guard pe interfață
SW1(config -if)#storm -control broadcast level50
Activare storm control pentru broadcast pe portul trunk cu setarea pragului de threshold 50
SW1(config -if)#storm -control action shutdown
Se închide port -ul la atingerea pragului de th reshold
SW1(config -if)#swichport mode trunk
Configurarea interfeței în modul Trunk
SW1(config -if)#swichport nonegotiate
Dezactivarea pe interfețele Trunk generarea de pachete DTP pentru a împiedica atacurile VLAN
hopping cu dublă etichetare .
Pentru verificarea politicilor de securitate pe switch:
SW1# show port -security
Afișarea setărilor de securitate de port pentru switch
SW1# show port -security ethernet0/2
Vericarea setărilor port security pe interfața specificată (ethernet0/2)
SW1# show storm -control
Verificarea setărilor storm control
SW1# show interface ethernet0/2 trunk
SW1# show interface ethernet0/2 switchport
Verificarea configurației pe port ( ethernet0 /2)
SW1# show running -config
Afișarea configurației ce rulează pe switch
SW1# show running -config interface ethernet0/2
Afișarea configurației ce rulează pe interfața ethernet0/2 a switch-ului
Figura 4.3 Politicile de securitate activate pe un port al SW
48
IV.4 Configurarea Routerelor
Pentru a asigura partea de conexiunea între rețelele virtuale sau alte rețele am folosit routere.
Pentru conexiunea între rețelele virtuale ale routerelor R1 și R3 pe interfețele direct conectate cu
switch -urile am creat subinterfețe pentru fiecare VLAN un de am adăugat o adresă IP Gateway, iar
pentru a asigura conexiunea între router -ele R1, R2, R3, am folosit protocolul de routare OSPF.
Între routerele R1 și R3 am configurat tunel GRE , iar între R3 și R5 fiind conectate printr -o
rețea ”nesigură”, Internet , am configurat un tunel Gre over Ipsec.
Configurarea protocolului de rutare OPSF (area 0) pe router R1 .
R1(config)# router ospf 1
Roiter -ul va porni ospf având numărul de referință 1
R1(router -config)#network 172.31 .10.0 0.0.0.15 area 0
R1(router -config)#network 172 .31.10.16 0.0.0.15 area 0
R1(router -config)#network 10.0.1.0 0.0.0.3 area 0
Au fost incluse în procesul OSPF adresele de rețea, wildcard -ul acestora , ce sunt conectate la router
în aria specificată (aria 0) .
Figura 4.4 Configurare OSPF pe R1
Configurarea protocolului de rutare OPSF (area 0 și 34) pe router R3.
R3(config)#router ospf 1
Roiter -ul va porni ospf având numărul de referință 1
R3(router -config)#network 172.16.10.0 0.0.0.7 area 0
R3(router -config)#network 10.0.1.4 0.0.0.3 area 0
R3(router -config)#network 77.110.10.0 0.0.0.3 area 34
Au fost incluse în procesul OSPF adresele de rețea, wildcard -ul acestora, ce sunt conectate
la router în aria specificată (aria 0). Pe router -ul R3 pe protocolul de rutare au fo st setate două arii:
area 0 pentru rețeaua locală și area 34 ce asigură rutarea cu ajutorul OSPF peste rețeaua Internet.
Figura 4.5 Configurare OSPF pe R3
49 Pentru verificarea rutelor configurate pe router:
R1# sh ip route
Figura 4. 6 Rutele configurate pe Router
Configurare Tunnel GRE pe routere le R1 și R3:
Tabel 4.2 Configurare Tunnel GRE
R1 Numele interfeței tunel (virtuale)
Adresa IP a tunelului
Sursa tunelului
Adresa IP destinație
Modul tunel Interface Tunnel0
IP address 10.155.20.1 255.255.255.252
Tunnel soure 10.0.1.1
Tunnel destination 10.0.1.6
Mod tunnel GRE IP
R3 Numele interfeței tunel (virtuale)
Adresa IP a tunelului
Sursa tunelului
Adresa IP destinație
Modul tunel Interface Tunnel0
IP address 10.155.20.2 255.255.255.252
Tunnel soure 10.0.1.6
Tunnel destination 10.0.1.1
Mod tunnel GRE IP
Configurare SSH pe server
R1(config)# ip domain -name licenta
Configurarea domeniului “licenta”
R1(config)# username ovidiu password cisco
Configurarea user-ului de acces ovidiu și a parolei aferente contului cisco
R1(config)# line vty 0 15
Configurarea liniilor vty
R1(config -line)# login local
50 R1(config -line)# transport input ssh
R1(config -line)# crypto key generate rsa 1024
Se setează o pereche de chei
R1(config)# ip ssh version 2
Setare versiune ssh
R1(config)# crypto key zeroraise rsa
Pentru ștergerea key rsa
R1#show ssh
Pentru a verifica conexiunea SSH
Figura 4.7 Protocolul Telnet
Figura 4.8 Protocolul SSH
Datorită faptului că Telnet este un protocol necriptat, pachetele sunt trimise în clar inclusiv
și parolele de login (Figura 4.7 ), am dezactivat Telnet și am configurat SSHv2 pentru a avea o
conexiune criptată .
Configurarea listei de acces extinse pentru a permite acces la HTTP doar utilizatorilor din
rețeaua VLAN 10 .
R3(config)# access -list 105 permit tcp 172.31 .10.0 0.0.0.15 any eq 80
51 Crearea liste de access extinsă cu numărul 105
R3(config)# interface gig0/1
R3(config -if)# ip access group 105 out
Aplicarea listei 105 pe interfața gig0/1 ieșire
Configurarea unei liste de acces ce permite traficul în rețeaua internă a host -ului
172.31.1 0.17 mai puțin la server -ul FTP.
R3(config)# access -list 106 deny tcp host 172.31.10.17 host 172.16.10.5 eq 20
R3(config)# access -list 106 deny tcp host 172.31.10.17 host 172.16.10.5 eq 21
R3(config)# access -list 106 permit ip any any
R3(config)# interface gig 0/1
R3(config -if)# ip access group 106 in
Configurarea unei liste de control acces ce permite filtrarea traficului pe o perioadă de timp
Definirea intervalului de timp
R3(config)# time range BLOCK_HTTP
R3(config -time-range )# periodic weekdays 08:00 to 17:00
R3(config -time-range )# exit
Crearea listei de acces
R3(config)# ip access -list extend ed DENY_WEB
R3(config -ext-nacl)# deny tcp any host 172.16.10.1 eq www time -range BLOCK_HTTP
R3(config -ext-nacl)# permit IP any any
Aplicarea listei pe interfața router -ului
R3(config)# interface gig 0/1
R3(config -if)# ip access group DENY_WEB in
Configurarea politicilor ISAKMP
R3(config)# crypto isakmp policy 110
Am folosit politica IKE cu prioritatea 110
R3(config -isakmp)# authentication pre -share
Am folosit autentificarea cu chei simetrice
R3(config -isakmp)# encryption des
Ca algoritm de criptare am folosit aldoritmul DES
R3(config -isakmp)# group 1
Grupul Diffie -Hellman va fi 1
R3(config -isakmp)# hash md5
Algoritmul pentru hash este MD5
R3(config -isakmp)# lifetime 86400
Durata de viață a unei asocieri va fi de 86400 secunde
Figura 4.9 Politicile ISAKMP
52
Se configurează transfor m-set-ul ce conține algoritmii de criptare ș i hash pe care î i va folosi
tunelul.
R3(config)#crypto ipsec transform -set licenta esp -aes esp -sha-hmac
Figura 4.10 Configurare Transform -set
Se creeaza lista extinsă de acces “110” ce identifică traficul .
R3(config)# access -list 110 permit gre host 77.110.10.1 host 88.88.10.2
Configurarea Crypto Map pe router R3
R3(config)# crypto map Map -licenta 10 ipsec -isakmp
R3(confi g-crypto -map)# match address 110
R3(config -crypto -map)# set peer 88.88.10.2
R3(config -crypto -map)# set pfs group1
R3(config -crypto -map)#set transform -set licenta
R3(config -crypto -map)#set security -association lifetime seconds 86400
Figura 4.11 Configurare Crypto Map
Confi gurarea Crypto Map pe router R4
R3(config)# crypto map Map -licenta 10 ipsec -isakmp
R3(config -crypto -map)# match address 110
R3(config -crypto -map)# set peer 77.110.10.1
R3(config -crypto -map)# set pfs group1
R3(config -crypto -map)#set transform -set licenta
R3(config -crypto -map)#set security -association lifetime seconds 86400
53
CONCLUZII
Securitatea rețelelor de calculatoare este în acest moment parte integrată a domeniului
rețelelor de calculatoare ce implică tehnologii, instrumente și tehnici pentru a securiza informația și
oprirea atacurilor rău intenționate.
Informația reprezintă moneda economiei pe Internet, modul de securizare a acesteia are un
imens impact asupra modului în care companiile sau firmele își conduc afacerile în comerțul online.
Vule rabilitățile rețelelor de calculatoare se manifestă pe toate nivelurile OSI, fiind necesară
adoptarea unor măsuri de securitate adecvate pentru fiecare nivel și fiecărui model în parte.
Rețele private virtuale (VPN) a fost concepută din dorința de a avea o mai bună securitate a
informației transmise de către utilizatori prin intermediul unei rețele de calculatoare.
Scopul propus în această lucrare a fost implementarea cu ajutorul simulatorului GNS3 a unei
rețele unde au fost implementate diferite politici le de securitate pentru securizarea acesteia,
minimizarea riscurilor și oprirea atacurilor .
Acestă aplicație este o bună metodă de studiu a comportării prin rețeaua virtuală a datelor
înainte și după aplicarea unor politici de securitate observând efectel e acestora înainte ca acestea să
fie aplicate într -o rețea reală.
Cu ajut orul aplicațiilor GNS3 și WireShark am observat că protocolu l Telnet oferă o
conexiune necriptată, datele transmise prin acesta sunt vizibile inclusiv contul de user și parola în
comparație cu acestă protocolul SSH oferă o conexiune criptată.
Cu ajutorul listelor de acces am permis sau întrerupt traficul de date (doar anumiți utilizatori
să poată accesa rețeaua Internet). Am implementat un tunel IPSec pentru criptarea și securizar ea
datelor ce se transmit prin rețelele virtuale crescând rezistența reței din punct de vedere al furtului
de date.
Dificultăți întâmpinate
Rețeaua a fost creată și configurată în emulatorul GNS3. Topologia rețelei cuprizând 5
routere Cisco, 3 switch -uri Cisco și 6 mașini virtuale, pentru rularea acestora se folosesc resursele
memoriei RAM. La pornirea și configurarea acestora memoria laptop -ului este folosită în totalitate
iar procesorul rulează la capacitate maximă astfel pot apărea erori de funcționare.
GNS3 fiind un emulator pentru echipamente CISCO, acestă nu are încorporate funcții
similare pentru servere sau calculatoare personale datorită acestui fapt nu am putut utiliza în
totalitate caracteristicile unei rețele adevărate.
54
BIBLIOGRAFIE
[PATR01] V. V. Patriciu, M. Pietroșanu, I. Bica, C. Văduva, N. Voicu : „Securitatea Comerțului
Electronic”, Editura All, 2005
[RUG H02]Răzvan Rughiniș, Răzvan Deaconescu, Andrei Ciorba, Bogdan Doinea : „Rețele locale ”,
Editura Printech, Computer Sciene , 2002
[TANN03 ] Tannenbaum Andrew : „Rețele de calculatoare”, Editura Byblos, 2003
[HTTP01] http://www.datasecurity.ro/?p=24
[HTTP02] http://ro.wikipedia.org/wiki/Re%C8%9Bea_privat%C4%83_virtual%C4%83
[HTTP03] http://www.stud.usv.ro/~mihael_p/licenta/articole/retele.htm
[HTTP04] http://www.securitatea -informatiilor.ro/solutii -de-securitate -it/securitatea -retelelor -de-
calculatoare/
[HTTP05] http://securitateinf.freewb.ro/sisteme -ids-si-ips
[HTTP06] http://www.sec uritatea -informatica.ro/securitatea -informatica/securitatea –
siconfidentialitatea -datelor -in-retelele -publice/
[HTTP07] http://stst.elia.pub.ro/new s/RCI_2009_10/Teme_RCI_2015_16/2016_Florea%
20Carmen_IPSEC.pdf
[HTTP08] http://docshare.tips/atestate -vpn-functionare -si-securitate_ 5751a62db6d87f5e5a8 b4f71
.html
[HTTP09] https://dokumen.tips/documents/125912779 -retele -vpn.html
[HTTP10] https://www.freebsd.org/doc/handbook/ipsec.html
[HTTP11] https://ro.wikipedia.org/wiki/Paravan_(software)
[HTTP12] http://compnetworking.about.com/od/vpn/a/vpn_tutorial.htm
[HTTP13] https://dokumen.tips/documents/442a -manea -constantin.html
[HTTP14] https://ro.wikipedia.org/wiki/Securitatea_rețelelor_de_calculatoare
[HTTP15] http://computernetworkingnotes.com/ccna -study -guide/configure -cisco -router -step-
bystep -guide.html
[HTTP16 ] http://stst.elia.pub.ro/news/rci_2009_10/teme%20prezentate/alina%20burlacu/ipsec.docx
[HTTP1 7] http://stst.elia.pub.ro/RIC/Teme_RIC_2008_9/CristianAndrei/Securitatea%20informatiei
%20Cristian%20Andreiv1.doc
[HTTP18 ] http://www.netaccess.ro/retele_virtuale_private.html
[HTTP19 ] http://my.safaribooksonline.com/book/networking/network -management/1587052113
/access -control/ch03lev1sec1
55
DECLARAȚIE DE AUTENTICITATE
A
PROIECTULUI DE FINALIZARE A STUDIILOR
Titlul proiectului _______________________________________________ ______
__________________________________________________________ _________
__________________________________________________________ _________
Autorul proiectului _____________________________________________
Proiectul de final izare a studiilor este elaborat în vederea susținerii examenului
de finalizare a studiilor organizat de către Facultatea
_______________ I.E.T.I. _______________ ________ __ din cadrul Universității di n
Oradea, sesiunea________iulie _________ a anului universitar __2018___________ .
Prin prezen ta, subsemnatul (nume, prenume, CNP)_____________ ________
__________________________________________________________ _________
_________________________________________________________ __________ ,
declar pe proprie răspundere că aceast proiect a fost scris de către mine, fără nici un
ajutor neautoriz at și că nici o parte a proiectului nu conține aplicații sau studii de caz
publicate de alți autori.
Declar, de asemenea, că în proiect nu există idei, tabele, grafice, hărți sau alte
surse folosite fără respec tarea legii române și a convențiilor internaționale privind
drepturile de autor.
Oradea,
Data Semnătura
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630888] (ID: 630888)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.