Licenta Servere 2.1 [306643]

sisteme distribuite

Capitolul 1 – [anonimizat]. [anonimizat]: Internet, Intranet, sisteme workflow care coordoneaza activitatea angajatilor intr-o [anonimizat], [anonimizat]. Acestea trebuie sa fie usor de administrat și întreținut. Realizarea sistemului cu câte mai multe componente și echipamente similare ajută foarte mult in acest lucru și reduce foarte mult prețul sistemului. Astfel administrarea și mentenanța sistemului este mult mai ușor și mai efectiv. [anonimizat] o [anonimizat]. [anonimizat].

Un sistem distribuit este cea mai buna soluție care îndeplinește aceste criterii. [anonimizat]. Cu setarea corectă putem modera accesul unui user la datele alților sau să facem grupări în care oamenii selectați au acces la datele colegilor din grup.

Importanța aspectelor de securitate in rețele de calculatoare a crescut odată cu extinderea prelucrărilor electronice de date și a transmiterii acestora prin intermediul rețelelor. [anonimizat], cu transmiterea în clar a acestora. [anonimizat] .

[anonimizat], [anonimizat], [anonimizat]. [anonimizat]. [anonimizat].

[anonimizat] a fost dezvoltat rețeaua de informatică intr-o [anonimizat]. [anonimizat]. În partea hardware este detaliată cum a [anonimizat]. Această lucrare ne-a ajutat sa înțelegem mai în detalui conceptele

În cealaltă parte este descris ce aplicații și sisteme de operare sunt rulate pe diferite servere și echipamente pentru a permite o funcționare corectă și sigură a sistemului informatic. [anonimizat] a sistemuli de operare linux ca să-l folosim ca gateway sau server de mail.

La sfârșitul lucrării trag o [anonimizat]-l dezvoltam mai departe.

Nu exista o astfel de lucrare despre acest sistem, ……

CAPITOLUL 2: Aspecte teoretice

Sisteme distribuite

Un sistem distribuit este un sistem a carui componente se află pe calculatoare interconectate în rețea, comunică și se coordonează prin transfer de mesaje. Conform lui Andrew Tanenbaum, “A distributed system is a collection of independent computers that appears to its users as a single coherent system”[1]

Motivația pentru construirea și utilizarea sistemelor capabile de calcul paralel vine din nevoia de a reduce timpul de calcul prin diviziunea unei probleme mari în sub-probleme ce se pot rezolva simultan pe structuri de calcul adecvate, iar sistemele informatice distribuite răspund cerințelor de simultaneitate a calcului paralel și au în plus facilități de a putea partaja unele resurse scumpe: hardware (imprimante, discuri, scanere, faxuri) și software (pagini web, baze de date, fișiere). Din punct de vedere al investiției în echipamente, costurile se pot reduce considerabil, dacă se utilizează un sistem distribuit care partajează unele resurse hardware scumpe (imprimante, servere cu baze de date, plăci pentru achiziție de date, discuri, scanere, faxuri etc.), dar și a unor produse software cu licențe scumpe (medii de programare, limbaje de programare, programe utilitare, programe pentru achiziții de date etc.). Acest lucru se face de obicei în organizații (instituții, întreprinderi) prin organizarea sistemului de calcul într-o rețea Intranet în care este reglementat accesul distribuit la resurse.

Partajarea resurselor se face începând de la indivizi foarte apropiați (de exemplu, membri unei familii sau colegi de serviciu care folosesc aceeași imprimantă sau cooperează în mod direct prin partajarea unor fișiere comune dintr-un intranet local) și până la indivizi care nu se cunosc între ei și nici nu intră vreodată în contact (de exemplu, utilizatorii unor motoare de căutare pe Internet). În cadrul partajării resurselor într-un sistem distribuit denumirea de serviciu este considerată ca o parte distinctă a unui sistem care face managementul unei colecții de resurse asemănătoare și face publică funcționalitatea lor utilizatorilor și aplicațiilor care apelează la ele. Dacă, de exemplu invocăm un fișier partajat cu ajutorul unui serviciu pentru fișiere, accesul se face de fapt printr-o serie de operații: read, write, delete. Termenul de server se referă la un program care rulează (proces) pe un computer dintr-o rețea și care acceptă cereri de la computere din rețea, iar cei care trimit cereri poartă numele de clienți, funcționalitatea fiind asigurată prin protocolul client/ server. Într-un sistem distribuit care este modelat prin folosirea programării orientate obiect, resursele pot fi încapsulate ca obiecte și pot fi accesate de așa numiții client object prin cererea unei metode de la server object [2]

Caracteristici și avantajele specifice ale unui sistem ditribuit

Din modul de definire a sistemelor distribuite rezultă câteva caracteristici de bază ale lor:

concurența: există o concurența a programelor dintr-un sistem distribuit pentru folosirea anumitelor resurse. O problema este coordonarea programelor concurente ce acceseaza resurse partajate.

Lipsa unui ceas global: este o consecintă a faptului că unicul mecanism de comunicare între componente este transferul de mesaje. Acest lucru limitează capacitatea computerelor din rețea de a-și sincroniza ceasurile interne.

Erori independente: Orice componenta a unui SD poate fi afectata de erori si proiectantul trebuie sa aiba in vedere acest lucru. Un defect în rețea poate duce la izolarea unor computere, însă rețeaua va funcționa în continuare Exemple de erori: deconectarea sau defectarea unui calculator din retea, terminarea neasteptata a unui program.

Dificultatea construirii unor astfel de sisteme apare în momentul elaborării algoritmilor de prelucrare ce sunt folosiți în sistemele distribuite. Algoritmii utilizați în sistemele distribuite, pe lângă faptul trebuie să fie corecți, flexibili și eficienți, trebuie să țină cont de resursele care pot fi puse să lucreze în paralel și de modul de comunicare între acestea. Dezvoltarea unui algoritm distribuit diferă esențial față de dezvoltarea unui algoritm centralizat, mai ales datorită particularității sistemelor distribuite, cum ar fi lipsa informațiilor despre starea globală, lipsa unui timp global, nedeterminismul etc.

Criptografia

Criptografia reprezintă o ramură a matematicii care se ocupă cu securizarea informației precum și cu autentificarea și restricționarea accesului într-un sistem informatic. În realizarea acestora se utilizează atât metode matematice (profitând, de exemplu, de dificultatea factorizării numerelor foarte mari), cât și metode de criptarea cuantică.

Criptologia este considerată ca fiind cu adevărat o știință de foarte puțin timp. Aceasta cuprinde atât criptografia – scrierea secretizată – cât și criptanaliza.

Criptarea se împarte în doua mari categorii: criptarea simetrică si cea asimetrică.

Înainte de epoca modernă, criptografia se ocupa doar cu asigurarea confidențialității mesajelor (criptare) – conversia de mesaje dintr-o formă comprehensibilă într-una incomprehensibilă, și inversul acestui proces, pentru a face mesajul imposibil de înțeles pentru cei care interceptează mesajul și nu au cunoștințe secrete adiționale (anume cheia necesară pentru decriptarea mesajului). În ultimele decenii, domeniul s-a extins dincolo de problemele de confidențialitate și include, printre altele, și tehnici de verificare a integrității mesajului, autentificare a emițătorului și receptorului, semnătură electronică, calcule securizate.

Criptografia, folosită intr-un protocol de securitate, dorește să asigure următoarele deziderate fundamentale pentru securitatea informației: confidențialitate, integritatea datelor, autenticitatea și ne-repudierea.

Criptografia cu chei simetrice

Criptografia cu chei simetrice se referă la metode de criptare în care atât trimițătorul cât și receptorul folosesc aceeași cheie (sau, mai rar, în care cheile sunt diferite, dar într-o relație ce la face ușor calculabile una din cealaltă). Acest tip de criptare a fost singurul cunoscut publicului larg până în 1976.

Problema fundamentală a utilizării criptografiei în rețele este aceea a găsirii unor modalități de distribuție sigură și periodică a cheilor criptografice, fiind necesar ca acestea să fie schimbate cât mai des. Uzual, se folosește un protocol de schimbare de chei între participanți, sau criptografia cu chei publice. Fiindcă securitatea criptării simetrice depinde mult de protecția cheii criptografice, administrarea acestora este un factor esențial și se referă la:

generarea cheilor, adică mijloacele (pseudo)aleatoare de creare a succesiunii de octeți (biți) ai cheii

distribuția cheilor, adică modul în care se transmit și se fac cunoscute cheile tuturor utilizatorilor cu drept de acces la informațiile criptate

memorarea cheilor, adică stocarea lor sigură pe un suport magnetic sau pe un card, de obicei criptate sub o altă cheie de cifrare a cheilor, numită și cheie master.

Algoritmii de criptare cu chei simetrice (cele mai populare includ: Twofish, Serpent, AES (Rijndael), Blowfish, CAST5, RC4, TDES, IDEA) se pot împărți în două categorii: cifru pe blocuri și cifru pe flux.

Cel mai celebru cifru simetric pe blocuri, DES (Data Encryption Standard) are deja peste 20 de ani. El este primul standard dedicat protecției criptografice a datelor de calculator. Progresele tehnologice au impus înlocuirea DES-ului care a devenit vulnerabil. S-a demonstrat de curând că, folosind o mașină paralelă complexă, se poate găsi, într-un timp de aproximativ 60 de ore, o cheie de 56 de biți cu care a fost criptat un bloc de text clar. Din acest motiv, în 2000, organizația guvernamentală americană NIST (National Institute of Standards and Technology) a selectat algoritmul Rijndael (AES) [4], dezvoltat de doi criptografi belgieni, Joan Daemen și Vincent Rijmen, să fie noul standard în criptografie simetrică.

Criptografia cu chei asimetrice

Criptografia cu chei asimetrice se mai numește și criptografie cu chei publice.

Conceptul de criptografie cu chei publice a fost introdus de Whitfield Diffie ¸si Martin Hellman[3] și independent de aceștia de Ralph Merkle. În criptografia cu chei publice sunt două tipuri de chei: o cheie publică și o cheie privată.

Aceste două chei sunt dependente una de cealaltă, dar aproape imposibil de calculat una din ele dacă nu se cunoște cealaltă. Astfel, una dintre chei se poate face publică și stocată în domeniul public iar cealaltă va fi cheia privată, cunoscută numai de către posesor. Folosind cheia publică se poate cripta un mesaj care nu va putea fi decriptat decât cu cheia pereche, cea privată.

Un exemplu foarte bun pentru acest proces este cutia postală. Oricine poate sa depuna un mesaj, dar la mesaj doar posesorul cheii are acces. Criptografia cu chei asimetrice se poate folosi atât la asigurarea confidențialității cât ¸si la asigurarea autenticității (semnătura digitală).

Dacă mesajul a fost criptat cu cheia privată, se poate decripta de oricine cu cheia publică. Acesta se numește semnătură digitală, pentru că se cunoaște destinatarul mesajului (având în posesie cheia secretă pentru a genera mesajul), și se poate dovedi că mesajul este nemodificat. O analogie pentru semnăturile digitale ar fi sigilarea unui plic folosind un sigiliu personal. Plicul poate fi deschis de oricine, dar sigiliul personal este cel care verifică autenticitatea plicului. Matematic, cele două chei sunt legate, însă practic nu se pot deriva una din cealaltă. Avantajul evident constă în faptul că cheia secretă este cunoscută doar de o singură entitate, și nu trebuie trimisă niciodată, fiind astfel aproape imposibil de atacat cu succes, în cazul în care este folosit corect.

O problemă pentru criptografia asimetrică este dovedirea autenticității cheii publice, trebuie dovedit că nu a fost înlocuită de o a treia persoană malițioasă. O abordare comună este folosirea unei infrastructuri pentru chei publice ( PKI – Public Key Infrastructure ), în interiorul căreia, una sau multe „third-parties”, cunoscute sub numele de autorități de certificare (CA – Certification Autority), certifică posesorul perechii de chei. O altă abordare, folosită de PGP (Prety Good Privacy), un program care garantează securitate criptografică și autentificare, este metoda „web of trust” pentru a asigura autenticitatea perechii de chei, o metodă descentralizată prin care orice utilizator, prin intermediul unui certificat de identitate, poate garanta autenticitatea. [5]

Criptosistemul RSA este unul dintre cei mai cunoscuți algoritmi criptografici cu chei publice, și este de asemenea primul algoritm utilizat atât pentru criptare, cât și pentru semnătura electronică. Algoritmul a fost dezvoltat în 1977 și publicat în 1978 de Ron Rivest, Adi Shamir și Leonard Adleman la MIT și își trage numele de la inițialele numelor celor trei autori. Algoritmul implică trei stări: generarea cheilor, criptarea și decriptarea [6]. RSA folosește produsul dintre două numere prime mari pentru a cripta si decripta, făcînd atît criptarea cheiei publice cât și semnatura digitală. Securitatea acestei metode se bazează pe dificultatea descompunerii numerelor mari, o problemă la care nu a fost gasită o soluție practicabilă până în prezent. Cel mai mare număr factorizat vreodată avea 663 biți, iar cheile folosite de obicei au o lungime de 1024 sau 2048 biți, ceea ce demonstrează siguranța acestui algoritm. [7]

În schema de mai jos este ilustrată modul de funcționare a semnaturii digitale.

Modul de funcționare a semnăturii digitale

Funcția Hash

Se poate numi o funcție hash (message digest) orice procedură bine definită sau o funcție matematică care convertește o cantitate mare de date (de dimensiuni variabile) într-un alt set de date, de obicei mult mai redus ca dimensiune, și de lungime fixă. Funcția este ireversibilă, iar aceleași date de intrare va avea ca rezultat aceleași date de ieșire daca se aplică aceeași funcție hash pe ele. Pentru hash-urile bune, coliziunile (două texte clare diferite 12 care produc același hash) sunt extrem de dificil de găsit. Funcțiile hash sunt folosite în mai multe domenii, de exemplu pentru a accelera căutările în tabele, sau baze de date mari, ca sume de control, coduri de corectoare de erori, sau în criptografie, componente în schemele de semnătură digitală. Cele mai des folosite funcții hash in criptografie sunt MD5 (Message Digest Algorithm 5) și SHA1 (Secure Hash Algorithm), cea din urmă fiind mai sigură. În următorul tabel este rezultatul celor două funcții aplicate pentru textul “Hello World!”

Rezultatul funcțiilor hash SHA1 și MD5

Tipuri de backup pentru servere

Pentru ceva timp, existau trei metode princilape de backup pentru servere. Backup complet, incremental si diferential.

Backup complet

Backup-ul complet este exact ceea ce sugereaza numele. Esete o copie complete despre intregul set de date. Chiar daca el ofera cea mai buna solutie, cele mai multe organizatii il folosesc doar periodic, pentru ca consuma foarte mult timp, si necesita un spatiu de stocare mai mare.

Bacup Incremental

Pentru ca backupul complet necesita mult timp, a fost introdusa metoda incrementala pentru a micsora timpul necesar pentru aceasta operatie. Bacupul incremental salveaza doar data care a fost modificata de la ultima salvare completa. De exemplu, luni a fost facuta un backup complet si am folosit backup incremental in restul saptamanii. Backup-ul din marti contine doar datele care au fost modificate dupa luni, iar cel din miercuri doar datele care s-au schimbat dupa backupul anterior. Dezavantajul principal este, ca consuma mai mult timp recrearea datelor. Pornind din exemlul mai sus, pentru recuperarea datelor din miercuri, mai intai trebuie sa recuperam complet datele din luni, urmand cu datele din marti si miercuri. Daca unul dintre salvarile lipseste sau este stricata, nu mai putem sa facem o recuperare completa.

Backup diferential

Este asemanator cu backup-ul incremental si el incepe cu un backup complet si salvarile subsecvente conțin doar date care s-au schimbat.  Pentru a determina dacă un fișier a fost modificat de la ultimul backup complet se folosește "bitul de arhivare" care este setat de către orice operațiune de modificare sau copiere a fișierului de pe un disc pe altul. Backupul incremental va analiza acest bit, în timp ce un backup complet îl va ignora; însă ambele proceduri îl vor reseta. Diferența este că backup-ul diferențial conține toate datele care s-au schimbat după backup complet. De exemplu, luni am facut un backup complet iar la restul săptămânii backup diferențial. Salvarea facută marți o să contina doar schimbările facute pe aceasi zi. Pâna acest punct este identic cu backup incremental. Dar miercuri, backup-ul diferențial va salva toate datele modificate de luni.

Advantajul fața de backupul incremental este micșorarea timpului de recuperare completă a datelor. Recuperarea nu necesită mai mult de două salvări, backup-ul complet si ulitmul backup diferențial. Dezavantajul este că, cu trecerea timpului backup-ul diferential poate să creasca mult mai mare decat beckup-ul incremental.

Backup complet sintetic

Este o procedură care creează un nou backup complet preluând informațiile dintrun backup complet și din cel diferențial sau incremental. Soluția este adoptată atunci când intervalul de timp disponibil pentru backup este prea scurt pentru alte opțiuni. Procedura asigură crearea offline a unui backup complet, permițând funcționarea rețelei fără întreruperi sau scăderi ale vitezei.

Instantanee ale sistemului de fișiere

Reprezintă o imagine "înghețată" la un anumit moment de timp (o "poză" – snapshot) a unui sistem de fișiere. Această strategie este disponibilă în cele mai recente versiuni de UNIX. Instantaneele oferă urmatoarele avantaje: realizarea unor backupuri ale sistemului de fișiere în diferite momente ale zilei fără a fi nevoie de spațiu tradițional de stocare foarte mare, reprezintă o metodă de a efectua verificări ale integrității unui sistem de fișiere care rulează și se modifică, backupuri sigure realizate în timp scurt.

Instantaneele sistemului de fișiere permit administratorului de sistem să facă, după dorință, un backup al sistemului fără a fi nevoit să oprească aplicații în scopul de e evita modificarea datelor în timpul procesului de backup. Metoda devine foarte atrăgătoare atunci când este vorba de un backup al unei baze de date.

Strategii pentru crearea unui backup

Pentru responsabilul cu salvarea datelor viața devine tot mai grea. Deși volumul de date produs de activitățile unei firme este în creștere explozivă, timpul de backup și cel de restaurare trebuie să rămână constant – sau chiar să scadă. Pentru a răspunde acestor cerințe, șeful departamentului informatic trebuie să creeze un cadru pentru stocarea și salvarea informației.

Următoarele factori trebuie sa luam in considerare când vrem sa facem un backup:
– cât de valoroase sunt fișierele?
– care ar fi consecințele pierderii fișierelor?
– care este frecvența de modificare a fișierelor?
– câte versiuni anterioare ale fișierelor sunt necesare?
– ce limitări sunt impuse dispozitivelor de backup (timp, capacitate, costuri)?
– este necesară transportarea sau distribuirea fișierelor salvate?
– cât de important este accesul instantaneu la fișierele salvate?

Acești factori pot fi împărțiți în câteva categorii importante pe combinarea cărora se bazează strategiile de backup. În final, este nevoie de un plan care să permită restaurarea facilă și rapidă a datelor atunci când survine nevoia.

Valoarea

La elaborarea unei strategii de backup, luați în considerare costurile (de timp și de bani) implicate de înlocuirea fișierelor pierdute. De exemplu, pentru o companie de asigurări care administrează informații despre clienți și daunele pretinse de ei, pierderea fișierelor poate fi considerată un dezastru. În acest caz, salvarea zilnică a fișierelor pe medii diferite de stocare poate deveni foarte atrăgătoare.

Modificarea

Frecvența de modificare a fișierelor este un alt factor important care trebuie avut în vedere la elaborarea unei strategii. Pentru o firmă care face livrări prin poștă, pierderea datelor acumulate în numai câteva ore poate produce pierderi financiare serioase. O strategie recomandabilă ar fi salvarea periodică, de mai multe ori pe zi, a fișierelor care se modifică.

Capacitatea suportului și viteza dispozitivului

Ideal ar fi să faceți zilnic un backup complet. Însă acest lucru nu este totdeauna posibil din cauza restricțiilor impuse de timp, suport sau dispozitiv. Strategia de backup va depinde de tipul echipamentului de backup utilizat sau, în cazul ideal, dispozitivul va fi ales în funcție de strategie.

Portabilitatea

Portabilitatea suportului pe care se face backupul poate fi un factor care influențează strategia ce urmează a fi implementată. În situațiile în care este necesară "mișcarea" fișierelor în departament sau trimiterea lor în alt loc, este indicat să se utilizeze un dispozitiv de backup pentru a realiza transportul fizic al datelor. De asemenea, poate fi util ca și dispozitivul de backup de la destinație să utilizeze același tip de suport.

Autentificarea SSL/TLS Secures Sockets Layer (SSL)

Tehnologia care permite utilizarea certificatelor digitale, este un protocol din nivel transport care oferă o securitate deosebită de tip endto-end, prin securizarea sesiunii din punctul de origine până în punctul destinație. SSL se referă în general la securitatea comunicării între două părți. Acest lucru poate însemna comunicarea dintre un browser Web și un server Web, o aplicație e-mail și un server e-mail sau chiar canalele de comunicație dintre două servere. SSL poate de asemenea să autentifice un server și, în mod opțional, un client. SSL a devenit astfel, metoda de facto pentru securizarea comerțului electronic prin Internet. SSL este un protocol orientat pe conexiuni care necesită ca atât aplicația client cât și serverul să cunoască acest protocol. În cazul în care este necesar SSL la nivelul unui server, aplicațiile care nu pot să utilizeze acest protocol nu vor putea comunica cu acesta.

SSL oferă servicii de securitate printre care se numără:

• confidențialitatea (privacy),

• autentificarea

• integritatea mesajului.

SSL oferă integritatea mesajului prin utilizarea unei verificări de securitate cunoscută sub numele de codul de autentificare al mesajului (message authentication code – MAC). MAC asigură faptul că sesiunile criptate nu sunt modificate în timpul tranzitului.

SSL oferă autentificarea serverului prin utilizarea tehnologiei de criptare cu cheie publică și, în mod opțional, poate autentifica anumiți clienți prin necesitatea existenței de certificate digitale la nivel de client. În practică, certificatele pentru clienți nu sunt disponibile pe scară largă deoarece nu sunt ușor portabile între mașini, pot fi ușor pierdute sau distruse, fiind în trecut și dificil de instalat în aplicațiile reale. De asemenea, multe site-uri Web au găsit satisfăcătoare din punct de vedere al securității pentru cele mai multe cazuri, combinația de SSL utilizată împreună cu un nume de utilizator și o parolă.

Internet Engineering Task Force (IETF) este organizația responsabilă pentru dezvoltarea standardului SSL. Noul standard este cunoscut sub numele de Transport Layer Security (TLS), dezvoltat inițial de Netscape Communications Corporation. TLS 1.0 definit în RFC 2246, oferă îmbunătățiri minore față de SSL 3.0. În realitate TLS este SSL 3.1

Noile îmbunătățiri cuprind: raportarea unui număr de versiune, diferențe în tipurile de protocoale, tipuri de mesaje de autentificare, generarea cheilor și verificarea certificatelor. În plus, TLS elimină suportul pentru algoritmul Fortezza, o familie de produse de securitate care cuprinde soluțiile de securitate Personal Computer Memory Card International Association (PCMCIA). Deoarece TLS este un standard deschis, este de așteptat ca întreaga comunitate Internet să coopereze pentru îmbunătățirea performanței și securității acestuia.

Tehnici, servicii și soluții de securitate pentru Intranet-uri și portaluri Legătura SSL-HTTP

Sesiunile Web standard utilizează HyperText Transfer Protocol (HTTP) pentru a stabili canale de comunicație prin rețelele TCP/IP. SSL a fost creat ca și un protocol de securitate separat, care îmbunătățește standardul HTTP. Din punct de vedere logic, SSL se inserează între protocolul aplicație HTTP și nivelul de conversație TCP, din punctul de vedere al TCP SSL fiind doar un alt nivel protocol de nivel aplicație. Deoarece SSL se comportă ca o îmbunătățire, adăugarea SSL la protocoalele existente este simplă, nemainecesitând rescrierea protocoalelor de bază. Din cauza acestui design flexibil, SSL este capabil să cripteze aproape întregul trafic bazat pe TCP. Mai mult, SSL a fost utilizat pentru a oferi securitate la nivel de sesiune pentru e-mail (SMTPS, POP3S, IMAPS), news (NNTPS), LDAP (LDAPS), IRC (IRCS), Telnet (Telnets), FTP (FTPS). Dar SSL nu poate să îmbunătățească transmisiunile prin UDP. În general traficul Web bazat pe SSL este configurat să utilizeze portul 443 în locul portului standard 80. Browser-ele Web vor crea o sesiune SSL prin utilizarea HTTPS în locul HTTP.

Cum funcționează SSL Pentru funcționarea unei sesiuni bazată pe SSL, trebuie luate în calcul o serie de elemente. Astfel, serverul Web necesită un certificat digital împreună cu o cheie privată corespunzătoare. Cel mai mare distribuitor de certificate pentru server este VeriSign. Obținerea și instalarea unui certificat SSL de la VeriSign presupune un proces în mai mulți pași: generarea unei cereri, trimiterea unui Certificate Signing Request (CSR), completarea unui formular prin care se autentifică un utilizator sau o afacere, instalarea identificatorului de server și activarea SSL pentru serverul Web. Autentificarea prin VeriSign presupune și verificarea datelor trimise de organizația care necesită un certificat. Înainte de stabilirea unei sesiuni SSL, clientul trebuie să cunoască de asemenea acest protocol. În momentul existenței elementelor necesare, clientul și serverul pot stabili o conexiune securizată. Procesul prin care se stabilește o conexiune între un client și un server (de exemplu cumpărare online), se desfășoară în mai mulți pași. SSL utilizează o combinație de criptări cu chei publice și secrete.

Datele brute ale unei sesiuni SSL sunt întotdeauna criptate cu cheia secretă, fiind mult mai puțin consumatoare de resurse din punct de vedere al procesării decât criptarea cu cheie publică. Protocolul SSL/TLS suportă mai mulți algoritmi de criptare cu cheie secretă, printre care DES, Triple-DES, IDEA, RC2 și RC4. Algoritmii cunoscuți pentru schimbarea cheilor cuprind DiffieHellman și RSA.

O sesiune SSL cuprinde următorii pași:

ClientHello – în acest pas, clientul trimite un mesaj către server (ClientHello) cerând opțiuni de conectare SSL, între care numărul de versiune al SSL, setările cifrului, date generate în mod aleator care stau la baza calculelor criptografice și metoda de compresie utilizată;

ServerHello – după primirea mesajului ClientHello, serverul ia la cunoștință recepția prin trimiterea unui mesaj ServerHello care conține numărul de versiune al protocolului, setările cifrului, date generate aleator, metoda de compresie și identificatorul de sesiune;

ServerKeyExchange – imediat după trimiterea ServerHello, serverul trimite un mesaj de tip ServerKeyExchange către client care conține certificatul cu cheia publică. În cazul în care sunt necesare și certificate din partea clienților, este generată o cerere în acest sens;

ServerHelloDone – după ServerKeyExchange, serverul trimite un mesaj final prin care se indică finalizarea negocierii inițiale;

ClientKeyExchange – după recepționarea mesajului de tip ServerHelloDone, clientul răspunde cu mesajul ClientKeyExchange care constă în cheia simetrică a sesiunii, criptată cu cheia publică a serverului, primită în pasul 3;

ChangeCipherSpec – în acest pas clientul trimite către server un mesaj de tip ChangeCipherSpec în care specifică ce setări de securitate ar trebui invocate /utilizate;

Finished – clientul trimite mesajul Finished, prin care se permite determinarea finalizării cu succes a negocierii și dacă opțiunile de securitate au fost sau nu compromise în orice stagiu anterior;

ChageCipherSpec – serverul trimite către client un mesaj de tip ChangeCipherSpec, prin care se activează opțiunile de securitate invocate;

Finished – serverul trimite un mesaj de tip Finished, permițând clientului să verifice opțiunile de securitate activate. După trimiterea acestui mesaj, negocierea este finalizată, iar conexiunea este stabilită. În continuare, toate comunicațiile sunt criptate, până la terminarea sau finalizarea sesiunii.

Performanța SSL

Dacă SSL oferă o asemenea securitate, de ce nu se criptează întregul trafic? Deși este o idee bună, în procesul de criptare și stabilire a unei conexiuni SSL este implicat și foarte mult trafic adițional, din cauza naturii protocolului HTTP care creează o nouă sesiune pentru fiecare obiect cerut dintr-o pagină Web. De exemplu, într-o simplă tranzacție în care browser-ul cere o singură pagină de text cu patru imagini, generează cinci cereri GET (una pentru pagină și patru pentru imagini). Prin utilizarea SSL, pentru fiecare din aceste sesiuni trebuie negociate chei separate de criptare. Pentru a înrăutății și mai mult lucrurile, utilizatorii frustrați de timpul de răspuns reîncarcă pagina în browser-ul Web (refresh), generând și mai multe conexiuni SSL. Pentru îmbunătățirea performanțelor SSL se pot aplica următoarele:

• utilizarea de acceleratoare de criptare hardware, proces care nu necesită rescrierea paginilor Web sau achiziționarea de servere adiționale;

• utilizarea de pagini SSL simple, cu cât mai puține imagini; utilizarea SSL numai pentru anumite pagini Web selectate, precum acelea prin care se trimit informații privitoare la cărțile de credit; cache-ingul conexiunilor SSL permite de asemenea îmbunătățirea performanțelor, deoarece stabilirea unei noi conexiuni necesită de cinci ori mai mult timp decât reconectarea la o sesiune păstrată în cache.

Cu toate acestea, activarea sesiunilor SSL în cache este dificil de implementat – dacă timpul de expirare este stabilit prea mare, serverul poate consuma prea multă memorie prin păstrarea conexiunilor neutilizate.

De asemenea, cache-ul pentru Intranet-uri și portaluri conexiunilor nu ar putea fi dezirabil din punct de vedere al securității paginilor dintr-un site. De exemplu, o aplicație bancară online ar trebuie să favorizeze securitatea și să nu activeze cache-ingul conexiunilor. Riscuri de securitate în SSL SSL nu oferă nici o protecție în afara sesiunilor, iar serverele Web care permit utilizarea SSL nu pot să ofere protecție pentru date care sunt stocate în format text în server. SSL nu oferă protecție împotriva atacurilor bazate pe Web precum exploatarea diverselor puncte slabe prin scripturi CGI. De asemenea, SSL nu oferă nici un mecanism pentru controlarea drepturilor de securitate (ceea ce îi este permis unei persoane să facă după autentificarea pe un server). În cele din urmă, SSL nu protejează împotriva atacurilor de tip Denial of Service și rămâne vulnerabil la analiza traficului. Pentru a oferi un nivel de securitate adecvat, serverele care lucrează cu SSL ar trebui să suporte criptarea pe 128 biți și o cheie publică pe 1024 biți. Certificatele la nivel de server auto-semnate pot oferi securitate, dar nu și autentificare. Un certificat auto-semnat nu este considerat sigur de către mașina client fără a executa anumiți pași adiționali. [10]

Configurația uniățiilor de stocare în RAID

RAID (Redundant Array of Independent Disks) este o configurație (matrice) de discuri dure (HDD) ce oferă scurtarea timpilor de acces la date precum și o siguranță a sistemului in caz de erori hardware.

Conceptul RAID combină mai multe hard disku-ri (HDD) într-o singură unitate de disc logic cu o capacitate de stocare mai mare, folosind un controler hardware sau o aplicație software. Soluțiile hardware sunt proiectate cu scopul de a se prezenta sistemului la care sunt atașate ca un singur disc dur mare, cu alte caracteristici de stocare, fără ca sistemul de operare să aibă nevoie să cunoască arhitectura fizică reală. Sistemele RAID reprezintă o virtualizare a discurilor dure reale înglobate. Soluțiile software sunt implementate în sistemul de operare, dar aplicațiile utilizează arhitectura RAID ca o singură unitate. În general o matrice RAID se implementează în intreprinderi și organizații pentru a spori performanta sau pentru a asigura protecția datelor, unde aceste criterii sunt necesare. Serverele sau NAS-urile au de obicei încorporate un controller RAID care reprezinta o componentă hardware ce controlează matricea de hdd-uri. Aceste sisteme sunt dotate cu mai multe unitati SSD, SAS sau SATA, in functie de configuratia RAID aleasa. Din cauza cerintelor crescute de stocare a datelor, dispozitivele NAS pot veni și în sprijinul utilizatorilor de acasă. Software-ul RAID înseamnă că se poate seta RAID fără a fi nevoie de un controller RAID hardware dedicat. Performanța Raid-ului se bazează foarte mult pe sistemul de operare folosit. Windows 8 si Windows 7 (editiile Pro si Ultimate) au constituit un suport software pentru RAID. Putem configura un singur hard disc cu doua partitii: una la boot și cealaltă pentru stocarea de date iar partiția de date să o confiragurăm în oglinda. Acest tip de RAID este disponibil si pe alte sisteme de operare, inclusiv OS X Server, Linux, si Windows Servers. Deoarece acest tip de RAID vine deja ca o caracteristică in sistemul de operare face ca pretul pentru acestea sa nu fie egalat de nici alta solutie de acest gen. Software-ul RAID poate cuprinde de asemenea soluții virtuale RAID.

Modul in care se configurează matricea RAID determină performanța sistemului, o rezistentă mai mare la erori hardware sau pe amble în acelasi timp. În general intr-o afacere este mult mai important ca datele sa fie în siguranță și să se poată restaura în caz de esec hardware. Nivelurile RAID reprezintă diferite configurații, care oferă fie optimizarea performanței fie protecție asupra datelor.

Există trei tipuri principale de RAID:

Mirroring: (cu oglindire = stocarea automată a unei copii a datelor pe alte HDD-uri)

data striping: (date intrețesute = distribuirea datelor pe mai multe HDD-uri)

Error correction: (cu corectarea erorilor, pentru care se prevăd discuri de verificare suplimentare care stochează informațiile necesare detectării și corectării eventualelor erori).

Diferitele niveluri RAID folosesc unul sau mai multe dintre tipurile enumerate mai sus, în funcție de cerințele sistemului. Scopul principal în folosirea arhitecturii RAID este mărirea siguranței datelor, important pentru protejarea informațiilor critice pentru afaceri, de exemplu o bază de date a comenzilor date de clienți; sau a măriri vitezei. Diferitele configurații afectează stabilitatea și performanța (viteza de acces) în mod diferit. Riscul la folosirea în paralel a mai multor discuri este creșterea probabilității ca unul dintre ele să se strice; folosind funcții automate de detectare a erorilor, întreg sistemul poate deveni totuși mai stabil și capabil de a repara automat și „în zbor” unele erori. Oglindirea simplă poate crește viteza la citire, deoarece la fiecare moment dat sistemul poate accesa date diferite de pe cele două discuri, dar este mai încet la scriere dacă sistemul insistă ca ambele discuri să confirme înapoi corectitudinea datelor scrise. Formatul întrețesut este îndeosebi folosit pentru mărirea performanței, deoarece permite citirea secvențelor de date de pe mai multe discuri deodată. În mod obișnuit detectarea erorilor încetinește sistemul, deoarece datele sunt citite simultan din mai multe locuri diferite și apoi comparate între ele.

Tehnologia Hot Swap înseamnă că discurile pot fi înlocuite „la cald” și datele recuperate automat, în timp ce sistemul rulează în continuare (eventual ceva mai lent, până la terminarea recuperării datelor). Prin comparație, sistemele de discuri normale trebuie oprite până când datele sunt recuperate. RAID este adeseori folosit la sistemele cu accesibilitate ridicată, unde este important ca sistemul să ruleze cât mai multă vreme cu putință.

RAID este în general folosit la servere, dar poate fi folosit și în cazul stațiilor de lucru (workstation). Așa de ex. când pe stația de lucru rulează aplicații cu stocare intensivă, ca de exemplu aplicații WEB, aplicații care necesita o bază de date comună, aplicații de gestiune.

http://www.recoverydata.ro/

Cisco UCS Servers RAID Guide; October 21, 2015; Text Part Number: OL-26591-01

Diferite niveluri de RAID

Exista mai multe nivele de RAID. In principiu putem vorbi despre 7 nivele separate (de la RAID 0 la RAID6) și două care sunt create prin combinarea diferita a nivelului 1 cu 0 (RAID 01 si RAID 10)Nivelurile diferite nu reprezintă ordinea de evoluție sau de calitate ci diferite metode de realizare.

RAID0

RAID 0 (striping la nivel de bloc fara paritate, sau mirroring) furnizează performanțe crescute și spațiu de stocare suplimentară dar nu și redundanță sau toleranță la erori (ceea ce face ca RAID0 să nu fie cu adevărat RAID, conform definitiei acronimului). RAID 0 poate să fie folosit cel mai bine în sistemuri unde nu este necesar securitatea datelor sau sistemul de operare limitează numărul hard discurilor. Totuși, datorită similaritații cu RAID (în special necesitatea unui controller care să distribuie datele pe discuri multiple), seturile de stripping simplu sunt denumite in mod uzual RAID 0. Defectarea oricăruia dintre discuri are ca efect distrugerea matricei și probabilitatea de defectare creste direct proporțional cu numărul de discuri din matrice (cu un număr minim de discuri, pierderea datelor este de două ori mai probabilă comparat cu un disc fără RAID). O singura defecțiune distruge întreaga matrice pentru că atunci când datele sunt scrise pe un volum RAID, datele sunt împărțite in fragmente denumite blocuri. Numarul de blocuri este dictat de mărimea întrețeserii (stripe size), un parametru de configurare al matricei. Blocurile sunt scrise pe discuri simultan în acelasi sector. Acesta permite ca segmente dintr-un fragment de date să fie scrise sau citite de pe discurile respective în paralel, crescand lățimea de bandă și astfel viteza operațiunilor de citire/scriere. RAID 0 nu împlementează verificarea erorilor. Mai multe discuri în matrice conduc la performanțe crescute dar și la un risc crescut de pierdere a datelor.

RAID 1

În RAID 1 (mirroring fără paritate sau striping), datele sunt scrise identic pe discuri multiple ("în oglinda"). Cu toate că majoritatea implementărilor conțin 2 discuri, un set poate conține 3 sau mai multe discuri. Matricea furnizează toleranță la erori de disc sau defecțiuni și continuă să opereze câta vreme există cel puțin un disc în matrice. Cu suport adecvat din partea sistemului de operare, această poate conduce la creșterea performanțelor la citirea datelor și o reducere minimă a vitezei de scriere. Utilizarea RAID 1 cu controller separat pentru fiecare disc este denumită uneori duplexare.

RAID 2

Este o matrice întrețesută la nivel de bit, organizată în mod similar cu o memorie la care se utilizează coduri Hamming. Trebuie satisfăcut criteriul ca numărul biților de corecție, egal cu numărul discurilor de corecție k, să satisfacă relația: unde „m” este numărul discurilor de date. Dacă există 10 discuri de date, sunt necesare k = 4 discuri redundante. Cu toate că reduce costurile, RAID 2 are unele dificultăți. Acest nivel este potrivit numai matricilor de discuri sincronizate (ds). Fișierul minim trebuie să conțină 10 blocuri de date, deoarece acestea vor reprezenta unitatea minimă de scriere pe disc. Nivelul RAID 2 este util mai mult pentru aplicații de tip supercalculator.

RAID 3

În cazul nivelului RAID 3, se introduce un disc de paritate, care creează, folosind multiplicație XOR, un tip de cod de corecție. Datele sunt distribuite la nivel de bit pe mai multe discuri, ultimul disc conținând paritatea înregistrărilor de biți. O eroare este detectată la accesarea unui disc individual, iar discul de paritate poate fi utilizat pentru a reconstrui informația defectă. Utilizarea unui disc de paritate necesită accesarea acestuia la toate operațiile de scriere. Ca și RAID 2, nivelul RAID 3 este potrivit în general numai pentru matrici de discuri sincronizate.

RAID 4

Este similar cu RAID 3, exceptând faptul că în locul distribuirii datelor pe discuri la nivel de bit, fiecărui disc i se alocă un bloc întreg al înregistrării . Astfel se îmbunătățește abilitatea sistemului de a accesa fișiere de dimensiuni mici (de exemplu, fișiere formate dintr-un singur bloc), deoarece este necesară implicarea unui singur disc de date și a discului de paritate în procesul de acces.

RAID 5

La nivelul RAID 5, informația de paritate nu mai este stocată pe un disc separat, care devine o zonă îngustă a sistemului , ci este distribuit la fiecare disc. Aceasta îmbunătățește Citirea și scriere poate să fie facută simultan, în paralel. Capacitatea totală de stocare este unde „s” este volumul de dată stocabila pe discul cu capacitatea cea mai mică și „n” numarul hard discurilor. Viteza de citire este, unde „v” reprezintă viteza maximăde citire a celui mai lent hard disc. La viteza de scriere este important să ținem cont de puterea de calcul necesar pentru crearea datelor de paritate.

În cazul defectării unui hard disc, datele pierdute pot fi recreate, recalculate de controller după celelalte discuri. Este important să schimbăm unitatea stricată, deoarece daca 2 unități se strică, datele nu mai pot fi recuperate. În cazul înlocuirii unui hard disc defectat cu una nouă, controlerul poate sa recreeze datele originale pe discul gol.

RAID6

Nivelul RAID 6 este o extensie a nivelului RAID 5. Se poate considera că există discuri pe mai multe dimensiuni în care se poate crea o paritate atât pe linie cât și pe coloană.

RAID 1+0(10)

RAID 1+0 este o combinatie de RAID 1 si 0 si este adesea notata RAID 10. Acesta combina reflectarea RAID 1 cu micsioare de RAID 0. Este nivelul RAID care ofera cea mai buna performanta, dar este, deasemenea costisitoare, necesita de două ori mai multe hard discuri ca alte niveluri RAID, minim de patru. Aceasta nivel RAID este ideal pentru servere ce contin baze de date si sunt foarte utilizate sau pentru orice server pe care se desfasoara multe operații de scriere.
RAID 1+0 poate sa fie implementată ca hardware sau software, dar consensul general este ca multe dintre avantajele de performanță se pierde atunci când utilizăm software-ul RAID 1+0.

Baruch Zoltan Francisc: SISTEME DE INTRARE/IEȘIRE  ALE CALCULATOARELOR Editura Cartea Albastră, Cluj-Napoca, 2000, ISBN 973-9443-39-7

http://www.recoverydata.ro/

Capitolul 3 -Retea locala la consiliul judetean harghita

în cadrul Consiliului Judetean Harghita există un isstem informatic pentru angajații și vizitatorii săi. El a fost organizat și conceput să faca față următoarelor cerințe:

Să fie posibil managementul central al userilor

Să aiba și un spațiu de stocare comună a fișierelor pentru utilizatorii

Să poate să ruleze aplicații de contabilitate, management, evidențare, cu o bază de date comună

Să aibă o toleranță ridicată față de defecțiunile hardware și căderi de tensiune electrică

Sa permite vizitatorilor să conecteze la internet, izolat,fără să aibă posibilitatea de a accesa restul rețelei.

Pentru satisfacerea acestor cerințe la Consiliul Județean harghita este creat un sistem informatic cu un management centralizat. El are un centru de management, de unde este guvernat rețeaua, cu ajutorul serverelor si routerului. Pe aceste servere este setat domainul, baza de date pentru diferite aplicații și aici este punctul de conectare între internet și rețeaua locală.

Structura fizică a rețelei locale

Ca toate birourile sa fie acoperite și să aibă o conexiune bună cu serverele, există puncte de distribuție. Aceste puncte de distribuție sunt alcatuite din rack-uri(dulapuri industriale) care au înăuntru unu sau mai mai multe switc-uri și patch panel-uri. Fecare priză (RJ-45)de pe panel corespunde unei prize pe perete unui birou. Pentru identificare, ele sunt numerotate.

punct de vedere hardware, la Consiliul Judetean Harghita am creat un sistem informatic care este bazată pe 7 servere, UPS-uri, 4 puncte de distribuție cu switch-uri și patch paneluri și 220 de calculatoare.

Divizarea acesta este rezolvat prin software și hardware. Ei pot conecta la rețea la același puncte de acces dar comunicația este pe un gateway separat care comunică pe un alt fir.

…………………..

Structura unui dulap industrial

Cu sageti este marcata directia calblurilor de retea. Fiecare cablu din switch este introdus in canelet. (sageata rosie si galbena) exista porturi care sunt legate la un switch mai distantat, pentru acesta cablul iese din canelet si intra in alutl. (sageata neagra) . Capatul cablului este scos din canelet si mufa rj45 bagat in port-ul corespunzator.

Rețea locala din punct de vedere software

În cadrul unei instituții publice, este foarte important partajarea resurselor și managementul accesului la informații și date sensibile.

Exista un domain(hrcc.local) in care sunt indroduse calculatoarele și imprimantele locale, care aparțin consiliului. Ei comunica pe un gateway separat iar pentru vizitatori este un alt gateway, care comunica pe un fir separat, si foloseste adrese IP din clasele 100,102.

Calculatoarele locale au o adresa IP rezervata în router. Ele apartin clasei de IP 1, 11, 12, Adică primesc adresa incepand cu 192.168.1.0 pana 192.168.1.255 si 192.168.11.0 pana la 192.168.12.255. Aceste clase de IP sunt transparente pentru membrii clasei. Au acces, limitat de tipul de user( administrator sau user normal), la orcare calculator care aparține domeniului.

SOFTWARE

Sistemul informatic din punct de vedere software este alcatuit din 2 părți principale care servesc angajații si vizitatorii consiliului. Există o reațea locală, care este alcautită din calculatoarele, imprimantele, scanerele și serverele locale, care alcatuieste domainul local. Paralel cu acesta este o rețea separată pentru vizitatorii, care doresc să se conecteze la internet. Această rețea este folosită și de angajații instituției, care aduc cu ei laptopuri sau smartphone-uri. Pentru ei și echipamentele lor, din motive de siguranță, restul rețelei trebuie să fie invizibil.

Adaugarea unui calculator nou in retea

***A Pentru a adauga un calculator aceste clase de Ip, trebuie sa modificam baza de date pe router.

La router putem sa ne conectam cu o aplicație de consolă virtuală. În cazul nostru, folosim Putty. El se conectează la una dinre consolele sistemului Linux carew ruleaza pe Router. Trebuie să configurăm aplicația, intoducând adresa IP a routerului(192.168.100.1) si numarul portului(42000).

La intrare, trebuie să introducem userul și parola contului administrator(in acest caz este numit„root”). Fișierul de configurație este numit dhcpd.conf, locată in folderul etc/dhcp/ .

Cu cumanda nano /etc/dhcp/dhcpd.config pot să acceses informația din fișierul respectiv.

Trebuie să navigăm la sfârșitul listei cu înregistrări și într-un rând nou putem sa înscirem datele noi.

Fiecare înregistrare începe cu comanda “host”, dupa care vine numele noului echipament. În cazul de mai sus, _l reprezintă conexiunea prin cablul de rețea, iar _w pentru cea wireless. Aceste două adaptoare au adrese de MAC diferite, de aceea trebuie o astfel de configurație.

Între acoladele gasim data exacta la care are nevoie Routerul. După comanda „fixed-addres” vine adresa IP fixă care dorim, urmată de comanda „hardware ethernet” care are ca parametru adresa MAC. Pentrul conexiune cu cablul de rețea șo cea wireless, putem să folosim același adresă IP, deoarece marea majoritate a echipamentelor nu poate să conecteze în același timp cu două metode.

Următorul pas este repornirea service-ului DHCP ca să actualizeze informațiile. Acesta se face cu comanda /etc/init.d/dhcpd restart .

Posibilitățiile utilizatoriilor(echipamentelor) neregistrati, sunt limitate. Ei primesc IP-ul dintr-o altă clasa de adrese, care este limitat, neavând acces sau drepturi în domain. Printr-un alt gateway fizic au acces doar la internet. <DESCRIERE SI POZA DESPRE ACEASTA SETARE>

Conectarea calculatoarelor la internet

În sistemul informatic, echipamentele din rețea pot sa comunice între ele. În cazul calculatoarelor și serverelor, ei sunt conectate și la internet.

Când un calculator sau echipament este conectat la rețeaua noastră, trimite o cerere spre router ca să-i atribuiască o adresa IP. In router cererea este preluată de service-ul DHCPD. DHCPD este un service care rulează in backgorund și este responsabil de închirierea adreselor IP pentru clienți.

vrea să conecteze la internet, cererea lui printr-un switch ajunge in Router, unde este preluat de service-ul DHCPD. După configurația presetată, decide dacă expeditorul este un calculator intern, care e in domenul nostru sau extern. Conform acestei decizii, atașează adresa IP.

În momentul în care un calculator încearcă să conecteze la un alt calculator sau la internet, declanșează următoarea serie de evenimente.

Numele site-ului sau calculatorului căutat prin Switch ajunge in Domain controller.

Domain controllerul decodează adresa și determină dacă destinația este sau nu rețea locală. Trimite informația mai departe spre router.

În router, conform informației primite de la domain controller, urmatoarele lucruri se pot întâmpla:

Dacă comunicația se face prin portul 80(HTTP) sau 443(HTTPS) el este redirecțonat la serverul Proxy. De acolo trece prin gateway si prin firewall, si iese din rețea noastră.

Dacă conectam la un alt calculator local sau imprimantă, atucni, ocolind serverul proxy, prin gateway ne conectăm la echipamentul căutat.

În firewall, dacă o cerere este direcționată spre o adresă IP la care conectarea nu este permisă , atunci el blochează conexiunea. Conform setărilor din firewal(DROP sau REJECT) emițătorul primește înapoi mesajul cu eroarea.

Gateway-ul are mai multe adrese IP, ca să poate să fie accesat din diferite clase de IP(192.168.1.5; 11.5; 12.5). Acest lucru este necesar, pentru că între clasele de IP nu este legatură directă, ele comunică prin gatewayul.

În cazul în care un echipament dinafara domeniului(laptop, telefon mobil) trimite o cerere, că doreste să conecteze la o sursă externă, comunicația lui este direcționată printr-un gateway separat. Din switch este conectat la gatewayul dedicat pentru cei diafara domeniului. Gatewayul are mai multe adrese IP, 192.168.100.5 pentru clasa 100 respecti 192.168.102.5 pentru clasa 102 și una prin care el poate sa fie gasit dinafara rețelei noastre. Din gateway cererea printr-un alt switch ajunge in Router. În ruter, pachetul nu este preluat de gateway si de serverul proxy. Ocolind aceste servicii, prin firewall cererea iese din rețeaua noastră. În acest gateway, ca server DNS este setat serverul public de la google, care are adresa 8.8.8.8 .

Explicatii: verde: echipament dinafara domeniului.

Rosu: conexiune la internet

Albastru: conexiune intre doua exhipamente din domeniu

Albastru cu puncte: daca folosim adresa IP a destinatarului, atunci nueste nevoie de domain controller sa decodeze numele(nume: notebook25, sau notebook25.hrcc1.local)

Setările ruterului și a firewallului

Ruterul este un element de bază al unei rețele de calculatoare. El dirijează comunicația intre elementele rețelei. Această funcție a routerului se numește rutare.

Ruterele operează la nivelul 3 al modelului OSI. Modelul de Referință OSI (OSI este un acronim pentru interconectarea sistemelor deschise), este o stivă de protocoale de comunicație ierarhic foarte des folosit pentru a realiza o rețea de calculatoare. Ele folosesc deci adresele IP  ale pachetelor aflate în tranzit pentru a decide către care anume interfață de ieșire trebuie să trimită pachetul respectiv. Decizia este luată comparând adresa calculatorului destinație cu înregistrările (câmpurile) din tabela de rutare. Aceasta poate conține atât înregistrări statice (configurate/definite de către administratorul rețelei), cât și dinamice, aflate de la ruterele vecine prin intermediul unor protocoale de rutare.

În aplicația noastră, ca router este folosit un calculator special, destinat aplicațiilor de tip server. Pe el ruleaza un sistem de oparare, bazată pe linux, CentOS. CentOS[0] este o distribuție a Linuxului care oferă o soluție gratiută pentru intreprinderi. Este o derivație a sistemului de operare Red Hat Enterprise Linux(RHEL).

Setările corecte ale ruterului și firewallului sunt foarte importante. Trebuie să selectăm corect, care conexiuni lasăm să treacă și câte dorim să blocăm. Această setare În primul pas blocăm toată comunicația prin router. Pentru acesta modificam tabela adreselor de IP cu urmatoarea comandă:

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

După ce am blocat tot traficul prin ruter, începem să deschidem conexiunea pentru adresele noastre de IP. Cu comanda Iptables -t nat putem să edităm lista adreselor de IP. Pentru lista comenzilor posibile putem să folosim comanda:

–help

După ce am terminat folosesc comanda iftables-save pentru a salva modificările. Trebuie sa fim foarte atenți când lucrăm în Lunux cu aceste fisiere, o greșeală sau un buton apăsat greșit și service-ul nu va reporni.

Adresele blocate in router.

Adresele care sunt blocate cu drop, am primit multe mailuri virusate, sau spamuri. O adresă blocată cu “drop” nu primește înapoi informație de la router, este mult mai greu sa determină dacă adresa de IP este greșit și nu a fost recepționat de nimeni sau este blocat de cineva. Cererea lor de conectare se termină cu “timeuout” sau dacă este oprit de emițător.

Acest lucru nu este de folos când cererea vine din interiorul rețelei. Este foarte lungă timpul până când clientul termină încercările de conectare, de obicei 100 de secunde. [1] În cazul în care clientul este blocat cu “reject” , timpul raspunsului este foarte rapid, aproape 0.01 secunde. Astfel gasirea unei adrese, sa scanarea lor este mult mai rapdă. Adresele blocate cu “reject” sunt clienți pe care nu dorim sa se conectezze la noi, sau blocăm temporar din diferite motive .

În anumite cazuri nu vrem sa închidem trafucl de date în ambele direcții. Pentru asta adaugam comanda “ –d” sau „–s” la sfârșitul comenzii. Ei reprezint „destination ” și „source” în limba engleză, adică destinație și sursă. Cu această metoda puem bloca separat intrările și iesirile.[2]

Pentru a mari viteza de accesare a siteurilor

,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

Redirecționarea comunicarii

Serverul Proxy

[0] https://www.centos.org/about/

[1]http://www.cyberciti.biz/tips/linux-iptables-4-block-all-incoming-traffic-but-allow-ssh.html

[2] http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject

https://www.ripe.net/about-us/press-centre/understanding-ip-addressing

Sistem de fișiere distribuite

Setarile pt dfs

Cum vad userii pe calculatorul lor.

SETAREA Sistemului de fisiere distribuite

Sistemul distribuit de fisiere este în srânsă legătura cu Active Directory. În active directory utilizatorii sund grupați un unități organizatorice(organizational unit).Acesta ajută în aranjarea eficienta a utilizatorilor. În aceste unități sunt create grupuri.

Crearea unui grup

După ce am facut setările pentru useri, trebuie sa facem și pentru fișierele care dorim să distribuim. …………..

https://technet.microsoft.com/en-us/library/cc781446(v=ws.10).aspx

…..

Semnatura Digitală

În anul 2013 Ministerul Finanțelor Publice și Ministerul Administrației și Internelor a dezvoltat un sistem care ajută crestea eficienței îi raportarea situațiilor financiare ale instituțiilor publice. [1] Cu accest sistem, transmiterea documentelor a devenit mult mai usoară, rapidă și cost efectivă. În cazul documentelor imprimate pe foaie autenticitatea este garantată de o semnatură manuscrisă. Pentru documentele digitale s feoloseste semnătura digitală. Semnătura digitală nu este o semătură scrisă cu mână și scanată ci o metodă specifica de codare. Când semnăm digital un document, autenticitatea este garantată de structura lui. Când semnăm digital un document, atunci facem o declarație că suntem de acord cu conținutul lui. Semnătura reprezintă dovada acestei declarații. Dovedește că într-adevăr noi am semnat documentul respectiv.

Când semnăm digital un document, atunci facem o codificare complexa aspura lui. Noul document astfel generat are o structură specială conform căruia se poate dovedi, cine era care a facut criptarea și persoana respectivă pe care document a semnat. Astfel daca o persoana semnează mai multe documente, semnătura trebuie sa fie diferită la fiecare document. Daca cineva reușește să transcrie semnatura digitală de la un document la alta, vom putea detecta că semnatura nu a fost creată pentru documentul respectiv.

În cadrul Consiliului Județean Harghita sunt folosite soluțiile firmei Certsign. Ei oferă certificate digitale calificate pentru semnarea documentelor oficiale. Acesta este necesar când documentele sunt publicate pe site-uri oficiale ale altor instituții publice(eLicitație) și la trimiterea rapoartelor lunare(ANAF). Pentru folosirea dispozitivului cripotografic trebuie să fie instalată pe calculator aplicația clickSIGN. [2] Cu instalarea Fiecare dispozitiv criptografic este securizat cu o parolă, care este conoscut doar de priprietarul dispozitivului, deținătorul cheii private.

Pentru generarea cheii publice, avem nevoie de documentul care dorim să semnăm și cheia privată. Cheia privată este pe un dispzitiv criptografic (token).

Dispozitive criptografice

Documentul semnat este creat după parcurgerea următoarelor pași:

Selectăm ducumentul pe care dorim să semnăm digital și pornim aplicația clickSIGN.

Introducem parola dispozitivului criptografic în câmpul liber și apăsăm butonul „SIGN”

Aplicația generează un document nou, cu o extensie modificată .p7s . În cazul unui document .docx, documentul semnat digital o să aiba extensia .docx.p7s

Când deschidem un document semnat digital, se pornește automat programul și putem verifica proprietarul semnăturii.

[1]: http://www.anfp.gov.ro/Anunt/Semnatura_electonica_in_relatia_interinstitutionala_cu_ANFP

[2] http://www.certsign.ro/certsign/certificat-digital-calificat-certsign/?gclid=CLj3sJDToM0CFbYK0wodosECWQ

Email

……………….

Hogy van beallitva az hogy a kulso IP cimek a masik gatewayen keresztul menjenek?

Kulso gateway op rendszer?

Email server.

Bibliografie

[1]Distributed systems: principles and paradigms I Andrew S. Tanenbaum, Maarten Van Steen.

[2] Sisteme distribuite – Modele informatice / Ioan Dzițac, Grigor Moldovan. – Oradea : Editura Universității Agora, 2006

[3]AES Algorithm (Rijndael) Information, http://csrc.nist.gov/archive/aes/rijndael

[4]

http://andrei.clubcisco.ro/cursuri/f/f-sym/5master/aac-atcns/Criptografia%20asimetrica.pdf

[5]

http://www.ibs.ro/~bela/Teachings/CompNetworks/Resources/

[6]

Ronald L. Rivest, Adi Shamir, Leonard M. Adleman, Communications of the ACM, 21(2):120-126., februarie 1978

[7]

W. Stallings, Cryptography and Network Security, 4th edition, Prentice Hall. ISBN 0-13- 187319-3., 2005

[8]http://searchdatabackup.techtarget.com/tip/Data-backup-types-explained-Full-incremental-differential-and-incremental-forever-backup

[9]http://www3.agora.ro/index.php?qs_sect_id=142 backup

[10] http://cadredidactice.ub.ro/sorinpopa/files/2011/10/Curs_Securit_Sist_Inf.pdf