LUMINI łA SCRIPCARIU [601338]
LUMINI łA SCRIPCARIU
ION BOGDAN
ȘTEFAN VICTOR NICOLAESCU
CRISTINA GABRIELA GHEORGHE
LIANA NICOLAESCU
SECURITATEA RE łELELOR DE
COMUNICA łII
CASA DE EDITUR Ă „VENUS” IA ȘI 2008
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 3 – CUPRINS
CUVÂNT ÎNAINTE………………………………. ………………………………………….- 5 –
Capitolul I INTRODUCERE………………………. ……………………………………..- 7 –
I.1 NO łIUNI GENERALE DESPRE RE łELELE DE
COMUNICA łII …………………………………………… …………………………………………… ……..- 7 –
I.2 TIPURI DE RE łELE DE COMUNICA łII …………………………………………… ……..- 9 –
I.3 MODELAREA RE łELELOR DE CALCULATOARE ………………………………- 13 –
I.3.1 MODELUL DE RE łEA ISO/OSI …………………………………………… ……………- 13 –
I.3.2 MODELUL TCP/IP …………………………………………… ………………………………..- 20 –
I.3.3 MODELUL CLIENT-SERVER …………………………………………… ………………- 30 –
I.3.4 MODELUL PEER-TO-PEER …………………………………………… ………………….- 31 –
I.4 INTRODUCERE ÎN SECURITATEA RE łELELOR ………………………………….- 33 –
Capitolul II PRINCIPII ALE SECURIT Ăł II RE łELELOR…………….- 49 –
II.1 ASPECTE GENERALE …………………………………………… ……………………………….- 49 –
II.2 ANALIZA SECURIT Ăł II RE łELEI …………………………………………… …………..- 61 –
II.3 MODELE DE SECURITATE …………………………………………… ………………………- 63 –
II.4 SECURITATEA FIZIC Ă…………………………………………… ……………………………..- 67 –
II.5 SECURITATEA LOGIC Ă…………………………………………… …………………………..- 69 –
II.5.1 SECURITATEA LOGIC Ă A ACCESULUI …………………………………………- 7 0 –
II.5.2 SECURITATEA LOGIC Ă A SERVICIILOR ………………………………………- 74 –
II.6 SECURITATEA INFORMA łIILOR …………………………………………… ……………- 77 –
II.6.1 CRIPTAREA CU CHEIE SECRET Ă…………………………………………… …….- 80 –
II.6.2 CRIPTAREA CU CHEIE PUBLIC Ă…………………………………………… ……..- 82 –
II.6.3 MANAGEMENTUL CHEILOR …………………………………………… …………….- 84 –
II.7 INTEGRITATEA INFORMA łIEI …………………………………………… ………………- 86 –
II.7.1 TEHNICA HASH …………………………………………… ………………………………….- 87 –
II.7.2 SEMN ĂTURA DIGITAL Ă…………………………………………… ……………………- 91 –
II.7.3 CERTIFICATUL DIGITAL …………………………………………… ………………….- 94 –
II.7.4 MARCAREA …………………………………………… …………………………………………- 9 7 –
II.8 POLITICI DE SECURITATE …………………………………………… ……………………..- 98 –
Capitolul III ATACURI ASUPRA RE łELELOR DE COMUNICA łII- 105 –
III.1 VULNERABILIT Ăł I ALE RE łELELOR …………………………………………… ..- 105 –
III.2 TIPURI DE ATACURI …………………………………………… ……………………………..- 107 –
III.2.1 ATACURI LOCALE …………………………………………… ………………………….- 108 –
Securitatea re Ńelelor de comunica Ńii
– 4 – III.2.2 ATACURI LA DISTAN łĂ …………………………………………… …………………- 109 –
III.2.4 ATACURI ACTIVE …………………………………………… ……………………………- 114 –
III.3 ATACURI CRIPTOGRAFICE …………………………………………… …………………- 120 –
Capitolul IV PROTOCOALE ȘI SERVERE DE SECURITATE……..- 125 –
IV.1 IPSEC …………………………………………… …………………………………………… …………- 126 –
IV.1.1 PROTOCOLUL AH …………………………………………… ……………………………- 132 –
IV.1.2 PROTOCOLUL ESP …………………………………………… ………………………….- 133 –
IV.1.3 ASOCIA łII DE SECURITATE …………………………………………… …………- 135 –
IV.1.4 APLICA łII ALE IPSEC …………………………………………… …………………….- 136 –
IV.2 PROTOCOLUL KERBEROS …………………………………………… …………………..- 137 –
IV.3 PROTOCOLUL SESAME …………………………………………… ………………………..- 140 –
IV.4 PROTOCOLUL RADIUS …………………………………………… …………………………- 144 –
IV.5 PROTOCOLUL DIAMETER …………………………………………… ……………………- 147 –
IV.6 PROTOCOLUL DE AUTENTIFICARE EXTINS Ă (EAP) ……………………..- 151 –
Capitolul V TEHNICI DE SECURITATE……………… ……………………….- 155 –
V.1 INTRODUCERE …………………………………………… ………………………………………..- 15 5 –
V.2 FIREWALL …………………………………………… …………………………………………… ….- 158 –
V.3 SISTEME DE DETEC łIE A INTRU ȘILOR …………………………………………… – 166 –
V.4 VPN – RE łELE PRIVATE VIRTUALE …………………………………………… ……..- 168 –
ABREVIERI…………………………………… …………………………………………… ..- 173 –
BIBIOGRAFIE…………………………………. …………………………………………… – 193 –
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 5 – CUVÂNT ÎNAINTE
Re Ńelele de comunica Ńii reprezint ă o realitate cotidian ă pentru fiecare
dintre noi indiferent de vârst ă, în toate domeniile de activitate (comercial,
financiar-bancar, administrativ, educa Ńional, medical, militar etc.), dar și în
mediul familial.
Fără a depinde de mediul fizic prin care se realizeaz ă (cablu metalic,
fibr ă optic ă sau mediul wireless) sau de specificul re Ńelei de transmisie a
informa Ńiilor (de calculatoare, de telefonie fix ă sau mobil ă, de televiziune
prin cablu, de distribu Ńie a energiei electrice), securitatea comunica Ńiilor
reprezint ă un aspect esen Ńial al serviciilor oferite, fiind critic ă în cazul
informa Ńiilor cu caracter secret din aplica Ńii fianciar-bancare, militare,
guvernamentale și nu numai acestea.
“Cine? Când? De unde? Ce? De ce?” acestea sunt într eb ările
esen Ńiale referitoare la securitatea comunica Ńiilor, care determin ă împreun ă
o nou ă sintagm ă, “a celor cinci W” (5W – Who, When, Where, What,
Why?). Cine acceseaz ă re Ńeaua? Când și de unde se produce accesul? Ce
informa Ńii sunt accesate și de ce? Aceste aspecte trebuie s ă fie monitorizate
și securizate în func Ńie de importan Ńa informa Ńiilor, de caracterul public sau
privat al re Ńelei de comunica Ńii, indiferent de terminalul folosit (calculator,
laptop, telefon mobil, PDA, iPOD, bancomat etc.).
Conexiunea la Internet reprezint ă o facilitate dar creeaz ă de cele mai
multe ori mari probleme de securitate pentru re Ńelele de comunica Ńii.
Scopul serviciilor de securitate în domeniul re Ńelelor de comunica Ńii
vizeaz ă pe de o parte men Ńinerea acestora în func Ńiune (regula celor cinci de
9 adic ă 99,999 % din durata de func Ńionare), iar pe de alt ă parte asigurarea
Securitatea re Ńelelor de comunica Ńii
– 6 – securit ăŃii aplica Ńiilor precum și a informa Ńiilor stocate pe suport sau
transmise prin re Ńea.
Se identific ă mai multe aspecte ale securit ăŃii unei re Ńele (securizarea
accesului fizic și logic, securitatea serviciilor de re Ńea, secretizarea
informa Ńiilor) care se exprim ă prin diver și termeni specifici: autentificare,
autorizare, asociere cu un cont de utilizator și audit (AAAA –
Authentication, Authorization, Accounting, Auditing ), confiden Ńialitate,
robuste Ńe.
Politica de securitate este cea care, pe baza anali zei de securitate a
unei re Ńele, exprim ă cel mai bine principiile care stau la baza adopt ării unei
anumite strategii de securitate, implementat ă prin diverse m ăsuri specifice,
cu tehnici și protocoale adecvate.
Scopul acestei c ărŃi este acela de a trece în revist ă toate aceste
aspecte, de a analiza riscuri și vulnerabilit ăŃi specifice diferitelor re Ńele de
comunica Ńii, precum și o serie de solu Ńii și strategii, tehnici și protocoale de
securitate.
AUTORII AUTORII AUTORII AUTORII
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 7 – Capitolul I INTRODUCERE
I.1 NO łIUNI GENERALE DESPRE
RE łELELE DE COMUNICA łII
O re Ńea de comunica Ńii reprezint ă un ansamblu de echipamente de
comunica Ńii (calculatoare, laptopuri, telefoane, PDA-uri etc .), interconectate
prin intermediul unor medii fizice de transmisie (c ablu torsadat, coaxial sau
optic, linie telefonic ă, ghid de unde, mediul wireless), în scopul comunic ării
folosind semnale vocale, video sau de date, precum și al utiliz ării în comun
a resurselor fizice (hardware), logice (software) și informa Ńionale ale re Ńelei,
de c ătre un num ăr mare de utilizatori.
Se disting diverse tipuri de re Ńele de comunica Ńii (re Ńele de telefonie
fix ă, re Ńele telefonice celulare, re Ńele de cablu TV, re Ńele de calculatoare
ș.a.) prin intermediul c ărora se transmit informa Ńii sau se comunic ă în timp
real.
Calculatoarele personale interconectate în re Ńele au oferit un nivel
superior de performan Ńă în stocarea, procesarea și transmisia informa Ńiilor.
Ansamblul tuturor calculatoarelor interconectate în tre ele în cea mai larg ă
re Ńea de calculatoare din lume reprezint ă a șa-numitul INTERNET
(INTERnational NETwork).
Conexiuni la Internet se pot realiza în prezent nu numai prin
intermediul calculatoarelor, dar și de pe alte echipamente precum telefoane
mobile sau PDA-uri.
Securitatea re Ńelelor de comunica Ńii
– 8 – Terminalele din re Ńea pot fi fixe sau mobile, astfel c ă accesul la
Internet se poate face în prezent și din vehicule în mi șcare, pe baza unor
standarde definite pentru Internetul mobil.
Comunica Ńiile între echipamentele interconectate fizic și logic într-o
re Ńea se realizeaz ă pe baza protocoalelor de comunica Ńii.
Prin protocol se în Ńelege o suit ă de reguli de comunicare și formate
impuse pentru reprezentarea și transferul datelor între dou ă sau mai multe
calculatoare sau echipamente de comunica Ńie.
Se folosesc numeroase suite de protocoale dar scopu l oric ărei re Ńele
de comunica Ńii este acela de a permite transmisia informa Ńiilor între oricare
dou ă echipamente, indiferent de produc ător, de sistemul de operare folosit
sau de suita de protocoale aleas ă, pe principiul sistemelor deschise ( open
system ).
Echipamentele de interconectare (modem, hub, switch , bridge,
router, access point) sunt responsabile de transfer ul informa Ńiilor în unit ăŃi
de date specifice (cadre, pachete, datagrame, segme nte, celule) și de
conversiile de format ce se impun, precum și de asigurarea securit ăŃii
comunica Ńiilor.
Probleme specifice de securitate se identific ă atât în nodurile re Ńelei,
precum și pe c ăile de comunica Ńie (cablu sau mediu wireless).
De asemenea, atunci când se ia în discu Ńie securitatea comunica Ńiei,
trebuie f ăcut ă distinc Ńia între procesele de comunica Ńie în timp real care se
realizeaz ă în cazul transmisiilor vocale sau video și cele de transfer al
informa Ńiilor sub form ă de fi șiere. Apar riscuri mari de securitate în
aplica Ńiile de tip „peer-to-peer” (p2p), precum Skype, în care se desf ăș oar ă
procese de comunica Ńie în timp real, dar și atacuri la securitatea re Ńelei în
paralel cu acestea.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 9 – Serviciul de transfer al fi șierelor este mai pu Ńin critic din punct de
vedere al timpului de rulare, ceea ce permite efect uarea unor teste de
asigurare a securit ăŃii sistemului.
Pentru o analiz ă complet ă a securit ăŃii trebuie avute în vedere toate
aspectele referitoare la o re Ńea de comunica Ńii, interne și externe, hardware
și software, factorul uman și de tip automat, tipurile de re Ńea, topologiile și
mediile de transmisie, protocoalele de comunica Ńii, aplica Ńiile rulate,
riscurile de securitate și, nu în ultimul rând, costurile.
Vulnerabilit ăŃile re Ńelelor de comunica Ńii și ale sistemelor
informatice actuale pot antrena pierderi uria șe de ordin financiar și nu
numai, direct sau indirect, cum ar fi scurgerea de informa Ńii confiden Ńiale cu
caracter personal, militar sau economic.
I.2 TIPURI DE RE łELE DE COMUNICA łII
Re Ńelele de comunica Ńii se clasific ă în primul rând în func Ńie de
aplicabilitatea lor:
• De calculatoare
• Telefonice
• De comunica Ńii mobile
• De radio și teledifuziune
• De televiziune prin cablu
• De comunica Ńii prin satelit.
Întrucât în continuare ne vom referi la securitatea comunica Ńiilor și
în deosebi a datelor transmise prin Internet, în co ntinuare vom prezenta în
Securitatea re Ńelelor de comunica Ńii
– 10 – detaliu re Ńelele de calculatoare și vom face referire, acolo unde este cazul, la
modalit ăŃile de utilizare a celorlalte tipuri de re Ńele pentru transmisii de date.
Un criteriu de clasificare a re Ńelelor de calculatoare este m ărimea lor
(Tabelul I.1):
1. re Ńele locale (LAN – Local Area Network );
2. re Ńele metropolitane (MAN – Metropolitan Area Network );
3. re Ńele de arie larg ă (WAN – Wide Area Network ).
În cadul re Ńelelor locale sau de arie larg ă se disting și unele
subtipuri, definite de comunica Ńiile wireless prin unde radio, în func Ńie de
tehnologia folosit ă, puterea de emisie și aria de acoperire:
4. re Ńele personale (PAN – Personal Area Network ) numite și
piconet , asociate tehnicii Bluetooth (BTH).
5. re Ńele locale wireless (WLAN – Wireless Local Area Network )
asociate în general comunica Ńiilor în standard IEEE 802.11,
denumite și re Ńele WiFi.
6. re Ńele wireless de arie larg ă (WWAN – Wireless Wide Area
Network) create pe baza tehnologiilor de arie larg ă (ATM –
Asynghronous Transfer Mode , WiMax – Worldwide
Interoperability for Microwave Access ș.a.).
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 11 – Tabelul I.1
Clasificarea re Ńelelor de calculatoare
Ordin de m ărime Arie de acoperire Tipul re Ńelei
1m mic ă PAN
10-100-1000 m Camer ă, Cl ădire, Campus LAN, WLAN
10 Km Ora ș MAN, WMAN
100-1000 Km łar ă, Continent WAN, WWAN
10.000 Km Planet ă Internet
Un alt criteriu de clasificare a re Ńelelor este cel al modului de
transmisie:
• re Ńele cu difuzare c ătre toate nodurile terminale, utilizate în
general pentru arii mici de acoperire;
• re Ńele punct-la-punct cu conexiuni fizice între oricare dou ă
noduri, f ără risc de coliziune a pachetelor.
Modelarea unei re Ńele de calculatoare se poate face pe baza teoriei
grafurilor. Echipamentele terminale sau cele de com unica Ńie sunt
reprezentate ca noduri iar fiecare conexiune fizic ă existen Ńă între dou ă
noduri apare ca arc în graf.
Într-o re Ńea local ă sunt interconectate mai multe calculatoare-gazd ă
(host ) și unul sau mai multe servere. De asemenea, în re Ńea pot fi incluse și
alte echipamente terminale (imprimante, scannere, m a șini de tip xerox etc.)
pe care utilizatorii le folosesc în mod partajat.
În re Ńelele metropolitane și cele de arie larg ă un rol deosebit îl are
re Ńeaua de transport format ă din routere și alte echipamente de dirijare a
Securitatea re Ńelelor de comunica Ńii
– 12 – pachetelor de date (switch cu management, bridge, a ccess point) între
diverse re Ńele locale.
Din punct de vedere al configur ării, specificul unei re Ńele de arie
larg ă este total diferit de cel al unei re Ńele locale. Într-o re Ńea local ă se
configureaz ă pl ăcile de re Ńea din fiecare calculator sau alt echipament
terminal conectat la re Ńea și serverele locale, în timp ce într-o re Ńea de arie
larg ă accentul cade pe partea de configurare a routerelo r sau a altor
echipamente de comunica Ńii.
În particular, configur ările pe partea de securitate sunt diferite.
Fiecare sistem de operare de pe echipamentele de t ip client ofer ă
facilit ăŃi de securizare prin stabilirea grupurilor și a drepturilor de utilizator,
domenii de lucru etc.
Pe serverele din re Ńea se pot stabili diferite restric Ńii referitoare la
traficul intern și extern.
Interfa Ńa de acces spre și dinspre Internet este securizat ă de
echipamentele de tip firewall.
Totu și în LAN cele mai periculoase atacuri sunt cele int erne iar
efectele acestora pot fi minimizate prin stabilirea și aplicarea unei politici de
securitate adecvate și a unor tehnici de securizare eficiente.
În WAN aspectele securit ăŃii sunt diferite fa Ńă de o re Ńea local ă.
Furnizorii de servicii de Internet sunt cei care ad ministreaz ă re Ńeaua de
transport și care aplic ă diferite politici și m ăsuri de securitate.
Responsabilitatea acestora este mult crescut ă deoarece num ărul de
utilizatori este foarte mare și este dificil sau chiar imposibil s ă se
administreze manual re Ńeaua. În acest caz se pot folosi diferite programe
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 13 – sofware de securitate oferite de firme de profil, c are monitorizeaz ă și
clasific ă evenimentele din re Ńeaua de arie larg ă.
De exemplu, într-o re Ńea cu peste 100000 de echipamente terminale,
num ărul de evenimente înregistrate în decurs de o or ă poate fi semnificativ,
clasificarea acestora în func Ńie de natura lor și pe mai multe nivele de
gravitate permite identificarea unor atacuri cu ris c sporit și luarea m ăsurilor
pentru obstruc Ńionarea lor în timp util. Totul se poate face autom at prin
intermediul programelor software de securitate a re Ńelelor de comunica Ńii.
I.3 MODELAREA RE łELELOR DE
CALCULATOARE
I.3.1 MODELUL DE RE łEA ISO/OSI
Proiectarea, între Ńinerea și administrarea re Ńelelor de comunica Ńii se
poate face mai eficient prin folosirea unui model d e re Ńea stratificat. De
asemenea, pe baza unui model stratificat se pot rea liza modulele software
necesare func Ńion ării re Ńelei care implementeaz ă diferite func Ńii (codare,
criptare, împachetare, fragmentare etc.).
Organiza Ńia Interna Ńional ă de Standardizare ISO a propus pentru
re Ńelele de calculatoare modelul OSI ( Open Systems Interconnection )
stratificat, cu șapte nivele ( Layers ) numerotate de jos în sus (Fig.I.2):
1. nivelul fizic ( Physical Layer )
2. nivelul leg ăturii de date ( Data Link Layer )
3. nivelul de re Ńea ( Network Layer )
Securitatea re Ńelelor de comunica Ńii
– 14 – 4. nivelul de transport ( Transport Layer )
5. nivelul sesiune ( Session Layer )
6. nivelul de prezentare ( Presentation Layer )
7. nivelul de aplica Ńie ( Application Layer ).
Acestor nivele li se asociaz ă seturi de protocoale, denumite
protocoale OSI .
Fiecare nivel are rolul de a ascunde nivelului sup erior detaliile de
transmisie c ătre nivelul inferior și invers. Nivelele superioare beneficiaz ă de
serviciile oferite de cele inferioare în mod transparent. De exemplu, între
nivelele-aplica Ńie informa Ńia circul ă f ără erori ( error-free ), de și apar erori de
transmisie pe canalul de comunica Ńie, la nivel fizic.
În figura I.2, calculatoarele A și B sunt reprezentate pe baza
modelului OSI. Transferul datelor de la A la B, res pectiv de la B la A, se
face pe traseele marcate cu linie continu ă. Datele sunt transmise între
echipamente prin leg ătura fizic ă.
Între nivelele similare ale terminalelor, comunica Ńia se realizeaz ă pe
baza unui protocol specific, denumit dup ă numele nivelului. Cu excep Ńia
protocolului de la nivelul fizic, toate celelalte s unt asociate unor
comunica Ńii virtuale prin leg ăturile virtuale ( virtual path ) deoarece nu
exist ă o leg ătur ă real ă între nivelele respective, datele transferându-se doar
la nivel fizic, acolo unde are loc comunica Ńia real ă (fizic ă) dintre
calculatoare, printr-un circuit fizic .
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 15 –
Dac ă cele dou ă calculatoare nu apar Ńin aceleia și re Ńele, atunci
protocoalele de pe nivelele inferioare (1, 2 și 3) se aplic ă prin intermediul
echipamentelor de comunica Ńie ( switch, bridge, router sau gateway ), în
subre Ńeaua de comunica Ńie sau de transport.
Se observ ă c ă pe fiecare nivel se denume ște altfel unitatea de date
(DU – Data Unit ).
Denumirea unit ăŃii de date pe fiecare nivel al modelului OSI depind e
de protocolul aplicat. În figura I.1, s-au folosit pentru nivelele superioare,
termeni generici cum ar fi APDU ( Application Protocol Data Unit ), PPDU
Securitatea re Ńelelor de comunica Ńii
– 16 – (Presentation Protocol DU ), SPDU ( Session Protocol DU ), TPDU
(Transport Protocol DU ) care vor c ăpăta denumiri specifice în func Ńie de
suita de protocoale folosit ă într-o anumit ă re Ńea. De exemplu, în re Ńelele
TCP/IP se folosesc termenii de datagram ă sau segment pe nivelul de
transport ( L4 ). Pe nivelul de re Ńea ( L3 ) se folose ște termenul consacrat de
pachet (packet ). Pe nivelul leg ăturii de date ( L2 ) se transfer ă cadre de date
(frame ). La nivel fizic ( L1 ) datele sunt transmise sub form ă de bi Ńi.
La nivel fizic , se transmit datele în format binar (bi Ńi 0 și 1) pe
canalul de comunica Ńie din re Ńea. În standardele echipamentelor care
lucreaz ă la nivel fizic, precum și în cele ale interfe Ńelor fizice aferente
acestora, sunt specificate caracteristicile lor ele ctrice, mecanice, func Ńionale
și procedurale. Natura sursei de informa Ńie (date, voce, audio, video) nu se
mai cunoa ște la acest nivel ceea ce face ca procesul de comun ica Ńie s ă fie
considerat transparent.
La nivelul leg ăturii de date circul ă cadre de bi Ńi, adic ă pachete
încapsulate cu antet (H – header ) și marcaj final (T – trail ), care includ
adresele sursei (SA – Source Address ) și destina Ńiei (DA – Destination
Address ) pentru a se putea expedia datele între calculatoa re. Suplimentar, în
cadrul de date sunt incluse: un câmp de control al erorilor, unul responsabil
de sincronizarea transmisiei, un câmp de protocol e tc.
În principal, nivelul leg ăturii de date este responsabil de detec Ńia
erorilor de transmisie a datelor prin re Ńea.
Pe nivelul OSI 2, se folosesc coduri ciclice (CRC – Cyclic
Redundancy Checking ) care au o capacitate mai mare de detec Ńie a erorilor
decât sumele de control. Pentru aplica Ńii speciale se codific ă datele în baza
unei tehnici de codare pentru corec Ńia erorilor de transmisie (Hamming,
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 17 – Reed-Solomon etc.), ceea ce permite eliminarea retr ansmisiilor de cadre și
cre șterea eficien Ńei canalului de comunica Ńie.
Nivelul leg ăturii de date este împ ărŃit în dou ă subnivele: LLC
(Logical Link Control ) și MAC ( Media Access Control ) (Fig. I.2). Aceste
subnivele stabilesc modalit ăŃile de acces la mediu în cazul canalelor de
comunica Ńie cu acces multiplu și realizeaz ă controlul traficului pentru a se
evita efectele neadapt ării ratelor de transmisie ale echipamentelor și
posibilitatea satur ării lor ( flooding ).
Pe nivelul de re Ńea , se alege calea de expediere a pachetului, se
realizeaz ă controlul traficului informa Ńional din re Ńea și dintre re Ńele, se
rezolv ă congestiile, eventual se converte ște formatul pachetului dintr-un
protocol în altul. În unele LAN-uri, func Ńia nivelului de re Ńea se reduce la
cea de stocare ( buffering ) și retransmisie a pachetelor. În WAN-uri, la acest
nivel se realizeaz ă opera Ńia de rutare a pachetelor, adic ă stabilirea c ăilor
optime de transmisie între noduri. În Internet, se utilizeaz ă sume de control
(check sum ), calculate la emisie și la recep Ńie, prin sumarea pe vertical ă,
modulo-2 bit cu bit în GF ( Galois Field ), a tuturor blocurilor de 16 bi Ńi din
Securitatea re Ńelelor de comunica Ńii
– 18 – câmpul datelor (RFC 1071). Aceste sume permit dete c Ńia erorilor simple,
eventual a unor erori multiple, urmat ă de cererea de retransmisie a
pachetului.
Nivelul de transport deplaseaz ă datele între aplica Ńii. Acest nivel
răspunde de siguran Ńa transferului datelor de la surs ă la destina Ńie, controlul
traficului, multiplexarea și demultiplexarea fluxurilor, stabilirea și anularea
conexiunilor din re Ńea. De asemenea, la acest nivel mesajele de mari
dimensiuni pot fi fragmentate în unit ăŃi mai mici, cu lungime impus ă,
procesate și transmise independent unul de altul. La destina Ńie, acela și nivel
răspunde de refacerea corect ă a mesajului prin ordonarea fragmentelor
indiferent de c ăile pe care au fost transmise și de ordinea sosirii acestora.
Nivelul de sesiune furnizeaz ă diverse servicii între procesele-
pereche din diferite noduri: transfer de fi șiere, leg ături la distan Ńă în sisteme
cu acces multiplu, gestiunea jetonului ( token ) de acordare a permisiunii de a
transmite date, sincronizarea sistemului etc. O ses iune începe doar dac ă
leg ătura între noduri este stabilit ă, deci este orientat ă pe conexiune. Nivelul
sesiune este considerat ca fiind interfa Ńa dintre utilizator și re Ńea.
Nivelul de prezentare se ocup ă de respectarea sintaxei și semanticei
impuse de sistem, de codificarea datelor (compresie , criptare) și
reprezentarea lor în formatul standard acceptat, de exemplu, prin codarea
ASCII ( American Standard Code for Information Interchange ) a
caracterelor. În plus, acest nivel supervizeaz ă comunica Ńiile în re Ńea cu
imprimantele, monitoarele, precum și formatele în care se transfer ă fi șierele.
La nivelul aplica Ńie se implementeaz ă algoritmii software care
convertesc mesajele în formatul acceptat de un anum it terminal de date real.
Transmisia se realizeaz ă în formatul standard specific re Ńelei. Fa Ńă de aceste
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 19 – standarde de comunica Ńie, DTE-ul real devine un terminal virtual care
accept ă standarde de re Ńea specifice (de exemplu, VT100/ANSI).
Un program de aplica Ńie pentru comunica Ńii în re Ńea poate s ă ofere
unul sau mai multe servicii de re Ńea, pe baza anumitor protocoale de
transmisie.
Nivelele modelului OSI pot fi implementate fizic ( hardware ) sau
logic ( software ). Evident nivelul fizic este implementat fizic (in terfe Ńe
fizice, conectori de leg ătur ă). Nivelul leg ăturii de date poate fi implementat
logic dar se prefer ă varianta fizic ă, aceasta asigurând viteze mari de
procesare. Nivelele superioare sunt de obicei imple mentate logic, ca procese
software, în cadrul sistemului de operare în re Ńea (NOS – Network
Operating System ), de cele mai multe ori inclus în sistemul de oper are
propriu-zis (OS – Operating System ).
Echipamentele de comunica Ńie din re Ńea se clasific ă de asemenea pe
baza modelului OSI.
Conectarea terminalului de date la mediul fizic de transmisie se
realizeaz ă prin intermediul interfe Ńei fizice cu caracteristicile specificate de
nivelul fizic (de exemplu , Ethernet, RS – 232, RS – 485, E1, X.21, V.35).
Între nivelele superioare se intercaleaz ă interfe Ńe implementate doar
prin soft, denumite interfe Ńe logice . De exemplu, în sistemele cu
multiplexare în timp, cum ar fi sistemele de transm isie sincrone (SDH –
Synchronous Digital Hierarchy) , un canal E1 cu 32 de canale primare
trebuie partajat pentru asigurarea accesului multip lu. Utilizatorilor li se
aloc ă anumite intervale de transmisie ( time slot ), pe baza protocolului de
leg ătur ă punct-la-punct (PPP – Point-to-Point Protocol ) prin interfe Ńe logice
ppp.
Securitatea re Ńelelor de comunica Ńii
– 20 – Echipamentele de comunica Ńie din re Ńea de tip hub lucreaz ă pe
nivelul fizic.
Comutatoarele de re Ńea ( switch ) și pun Ńile de comunica Ńie ( bridge )
sunt proiectate pe nivelul OSI 2, în timp ce router ele, configurate ca
“gateway” sau “firewall”, lucreaz ă pe nivelul de re Ńea.
Modelul OSI este foarte general, pur teoretic, și asigur ă o mare
flexibilitate în cazul dezvolt ării re Ńelelor prin separarea diverselor func Ńii ale
sistemului pe nivele specifice. Num ărul relativ mare de nivele din acest
model face necesar ă utilizarea unui mare num ăr de interfe Ńe și a unui volum
crescut de secven Ńe de control. De aceea, în numeroase cazuri se va f olosi
un num ăr redus de nivele. Modelul OSI nu constituie un sta ndard, ci doar o
referin Ńă pentru proiectan Ńii și utilizatorii de re Ńele de calculatoare.
I.3.2 MODELUL TCP/IP
Familia de protocoale în baza c ăreia se realizeaz ă comunica Ńia în
re Ńelele eterogene de calculatoare conectate la Intern et este denumit ă suita
de protocoale Internet sau TCP/IP ( Transmission Control
Protocol/Internet Protocol ). De asemenea, termenul de tehnologie Internet
semnific ă suita de protocoale TCP/IP și aplica Ńiile care folosesc aceste
protocoale (RFC 1180).
Suita de protocoale TCP/IP gestioneaz ă toate datele care circul ă prin
Internet.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 21 – Modelul TCP/IP are patru nivele și este diferit de modelul OSI
(Open System Interconnection ), dar se pot face echival ări între acestea
(Fig.I.3).
Primul nivel TCP/IP de acces la re Ńea (Network Access ) înglobeaz ă
func Ńiile nivelelor OSI 1 și 2.
Al doilea nivel TCP/IP corespunde nivelului OSI 3 și este denumit
nivel Internet dup ă numele principalului protocol care ruleaz ă pe acesta.
Al treilea nivel TCP/IP este cel de transport, echivalent ca nume și
func Ńionalitate cu nivelul OSI 4.
Nivelul aplica Ńie din modelul TCP/IP include func Ńiile nivelelor
OSI superioare 5, 6 și 7.
Figura I.3 Echivalen Ńele între modelele de re Ńea OSI, TCP/IP și NFS
Modelul TCP/IP și modelul NFS ( Network File System ) alc ătuiesc
împreun ă a șa-numitul context de operare al re Ńelelor deschise (ONC – Open
Network Computing ).
Securitatea re Ńelelor de comunica Ńii
– 22 – Observa Ńie : În multe cazuri se consider ă modelul de re Ńea TCP/IP ca
având cinci nivele: fizic, leg ătur ă de date, Internet, transport și aplica Ńie.
Acest lucru este motivat de faptul c ă cele dou ă nivele inferioare au
numeroase func Ńii care trebuie diferen Ńiate, preferându-se discutarea lor pe
nivele separate.
Suita de protocoale TCP/IP gestioneaz ă toate transferurile de date
din Internet, care se realizeaz ă fie ca flux de octe Ńi (byte stream ), fie prin
unit ăŃi de date independente denumite datagrame (datagram ).
Numele acestei suite de protocoale este dat de prot ocolul de re Ńea
(IP) și de cel de transport (TCP). Stiva de protocoale TC P/IP include mai
multe protocoale deosebit de utile pentru furnizare a serviciilor Internet.
Protocoalele de aplica Ńie colaboreaz ă cu protocoalele de pe nivelele
inferioare ale stivei TCP/IP pentru a transmite dat e prin Internet, mai precis
pentru a oferi servicii utilizatorului (po ștă electronic ă, transfer de fi șiere,
acces în re Ńea de la distan Ńă , informa Ńii despre utilizatori etc).
Protocoalele din aceast ă familie sunt ierarhizate pe cele patru nivele
ale modelului TCP/IP (Figura I.4):
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 23 – Pe nivelul de acces la re Ńea se definesc standardele de re Ńele
(Ethernet, Fast Ethernet, GigaEthernet, 10GigaEthern et, Token-Bus,
Token-Ring, WLAN, WIFI , Bluetooth etc.) și protocoalele pentru
comunica Ńii seriale PPP ( Point-to-Point Protocol ) și SLIP ( Serial Line
Internet Protocol ).
Leg ătura cu nivelul Internet este f ăcut de cele dou ă protocoale de
adresare ARP ( Address Resolution Protocol ) și RARP ( Reverse Address
Resolution Protocol ).
ARP comunic ă la cerere, pe baza adresei IP a unui echipament,
adresa fizic ă (MAC) de 6 octe Ńi a acestuia (RFC 826). Tabelele ARP sunt
stocate în memoria RAM a echipamentului (calculator , router etc). Se pot
face echival ări sugestive între numele unei persoane și adresa MAC a
echipamentului, respectiv între adresa po ștal ă și adresa IP, care permit
localizarea destina Ńiei unui mesaj.
RARP furnizeaz ă la cerere adresa IP dat ă unui echipament cu adresa
MAC, pe baza unor tabele de adrese (RFC 903).
ARP și RARP se utilizeaz ă numai în interiorul unui LAN. Aceste
protocoale nu folosesc IP pentru încapsularea datel or.
Pe nivelul Internet, se folosesc protocoalele IP ( Internet Protocol ),
ICMP ( Internet Control Message Protocol ) și IGMP ( Internet Group
Management Protocol ).
Protocolul Internet este un protocol de nivel re Ńea prin intermediul
căruia se transfer ă toate datele și care stabile ște modul de adresare ierarhizat
folosind în versiunea 4 adrese IP de 4 octe Ńi, exprima Ńi în format zecimal cu
separare prin puncte ( dotted-decimal notation ), pentru localizarea
sistematic ă a sursei și destina Ńiei, într-o anumit ă re Ńea sau subre Ńea de
calculatoare (RFC 791). Întrucât IP încapsuleaz ă datele provenite de pe
Securitatea re Ńelelor de comunica Ńii
– 24 – nivelul de transport sau de la celelalte protocoale de pe nivelul Internet
(ICMP, IGMP), nivelul de re Ńea mai este denumit și nivel IP .
Versiunea 6 a protocolului IP (IPv6) define ște adrese de 128 de bi Ńi,
respectiv 16 octe Ńi, adic ă un spa Ńiu de adrese extrem de larg, de circa
3,4×10 38 adrese. Dimensiunea unit ăŃii de date maxim transferabile (MTU –
Maximum Transfer Unit ) este considerabil m ărit ă, de la 64 KB cât admite
IPv4, la 4GB în a șa-numite „ jumbograms ”. IPv6 nu mai folose ște sume de
control pe nivelul Internet, controlul erorilor rev enind nivelelor leg ătur ă de
date și celui de transport. Prin utilizarea IPv6 NAT nu m ai este necesar și
multe probleme legate de rutare precum CIDR ( Classless Interdomain
Routing ) sunt eliminate. IPv6 include protocoalele de secu ritate IPsec care
erau doar op Ńionale în versiunea anterioar ă a protocolului IP. O alt ă
facilitate se refer ă la utilizarea IPv6 pentru comunica Ńii mobile (MIPv6 –
Mobile IPv6 ) care evit ă o serie de probleme de rutare precum cea de rutare
în triunghi. Pentru aplicarea IPv6 se preconizeaz ă adaptarea protocoalelor
actuale la acesta (DHCPv6, ICMPv6 etc.)
ICMP este un protocol de nivel re Ńea care transport ă mesaje de
control, de informare sau de eroare, referitoare la capacitatea sistemului de a
transmite pachetele de date la destina Ńie f ără erori, informa Ńii utile despre
re Ńea etc (RFC 792). Protocolul ICMP comunic ă direct cu aplica Ńiile, f ără a
accesa TCP sau UDP.
IGMP gestioneaz ă transferul datelor spre destina Ńii de grup, care
includ mai mul Ńi utilizatori, prin transmisii multicast (RFC 1112).
Tot pe nivelul de re Ńea opereaz ă și protocoalele de rutare (RIP –
Routing Information Protocol , OSPF – Open Shortest Path First , BGP –
Border Gateway Protocol ș.a.).
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 25 – Pe nivelul de transport se folosesc dou ă tipuri de protocoale, cu și
fără conexiune.
TCP ( Transmission Control Protocol ) este un protocol orientat pe
conexiune, asemenea sistemelor telefonice. Permite controlul traficului,
confirmarea sau infirmarea recep Ńiei corecte a mesajelor, retransmisia
pachetelor și ordonarea corect ă a fragmentelor unui mesaj.
UDP ( User Datagram Protocol ) este un protocol de transport f ără
conexiune, asem ănător sistemului po ștal clasic, mai pu Ńin sigur decât TCP
dar mai pu Ńin preten Ńios.
SCTP ( Stream Control Transmission Protocol ), definit în RFC 4960
din 2000, este un protocol de transport asem ănător TCP dar, spre deosebire
de acesta, permite transmisia în paralel a mai mult or fluxuri ( multi-
streaming ), util ă în numeroase aplica Ńii de tip multimedia (de exemplu,
transmisia simultan ă a mai multor imagini dintr-o aplica Ńie web.
O reprezentare echivalent ă a suitei TCP/IP este dat ă în figura I.5.
Protocoalele de pe nivelele superioare ale stivei b eneficiaz ă de serviciile
furnizate de nivelele inferioare.
Securitatea re Ńelelor de comunica Ńii
– 26 –
Din figura I.5, se observ ă c ă un protocol de aplica Ńie (A) poate
comunica direct cu IP, dar în acest caz este nevoie s ă includ ă func Ńiile de
transport în propriul program de aplica Ńie.
Toate protocoalele care folosesc încapsularea IP și implicit adresele
de re Ńea sunt rutabile .
Utilizatorul folose ște serviciile de re Ńea prin intermediul unor
programe de aplica Ńii care implementeaz ă protocoalele de comunica Ńie
pentru serviciile respective, eventual folosind int erfe Ńe grafice pentru
utilizatori (GUI – Graphic Unit Interface ).
Ca protocoale de aplica Ńii , care ofer ă direct servicii de re Ńea
utilizatorului, se folosesc:
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 27 – SMTP ( Simple Mail Transfer Protocol ) permite diferitelor
calculatoare care folosesc TCP/IP s ă comunice prin po șta electronic ă
(electronic-mail ). Acest protocol stabile ște conexiunea punct-la-punct între
clientul SMTP și serverul SMTP, asigur ă transferul mesajului prin TCP,
în știin Ńeaz ă utilizatorul despre noul mesaj primit, dup ă care se desface
leg ătura dintre client și server (RFC 821).
POP ( Post-Office Protocol) este protocolul prin care utilizatorul î și
preia mesajele din c ăsu Ńa po ștal ă proprie. Spre deosebire de versiunea POP
2, POP3 permite accesul de la distan Ńă al utilizatorului la c ăsu Ńa sa po ștal ă.
IMAP ( Internet Message Access Protocol ) versiunea 4 (RFC 3501,
RFC 2595) este echivalent ca func Ńionalitate cu POP3, adic ă permite
clientului preluarea de la distan Ńă a mesajelor de e-mail din c ăsu Ńa po ștal ă
proprie. Acest protocol folose ște portul de aplica Ńii 143 și este preferat în
re Ńele largi precum cele din campusuri. IMAP4 poate ut iliza SSL ( Secure
Sockets Layer ) pentru transmisia criptat ă a mesajelor. Spre deosebire de
POP3, IMAP permite conexiuni simultane la aceea și cutie po ștal ă.
FTP ( File Transfer Protocol ) este un protocol de transfer al fi șierelor
între calculatoare, mai precis un limbaj comun care permite comunicarea
între oricare dou ă sisteme de operare (WINDOWS, LINUX/UNIX etc)
folosind programe FTP pentru client și server. FTP folose ște dou ă conexiuni
TCP pentru transferul sigur al datelor simultan cu controlul comunica Ńiei
(RFC 959).
SFTP ( Simple File Transfer Protocol ) este o versiune simplificat ă a
FTP, bazat ă pe o singur ă conexiune TCP, care nu s-a impus îns ă ca
performan Ńe.
TFTP ( Trivial File Transport Protocol ), mai pu Ńin sofisticat decât
FTP, acesta este folosit pentru transferul unor mes aje scurte prin UDP. Se
Securitatea re Ńelelor de comunica Ńii
– 28 – impun tehnici de corec Ńie a erorilor întrucât UDP nu genereaz ă confirmarea
de recep Ńie corect ă a mesajelor (ACK) ca TCP (RFC 783, RFC 906).
TELNET ( Virtual Terminal Connection Protocol ) este un protocol
de terminal virtual care permite conectarea unui ut ilizator de la distan Ńă la
anumite calculatoare-gazd ă, rulând programul telnetd al serverului. Se
utilizeaz ă algoritmi de negociere cu terminalul respectiv, pe ntru a-i cunoa ște
caracteristicile. Acesta este v ăzut ca un terminal virtual cu care se poate
comunica de la distan Ńă , indiferent de caracteristicile lui fizice (RFC 85 4,
RFC 856).
FINGER ( Finger User-information Protocol ) este un protocol care
permite ob Ńinerea de informa Ńii publice despre utilizatorii unei re Ńele.
SSH ( Secure Shell Protocol ) ofer ă mai multe servicii de re Ńea (po ștă
electronic ă, transfer de fi șiere, conexiuni la distan Ńă ș.a.) în mod securizat,
folosind algoritmi de criptare.
BOOTP ( BOOTstrap Protocol ) este apelat de un utilizator pentru a-
și afla adresa IP. Acest protocol folose ște UDP pentru transportul mesajelor.
Un calculator care folose ște BOOTP, expediaz ă un mesaj în re Ńea prin
broadcast (pe o adres ă IP cu to Ńi bi Ńii '1'). Serverul de BOOTP retransmite
mesajul în toat ă re Ńeaua ( broadcast ) iar destina Ńia î și recunoa ște adresa
MAC și preia mesajul. Acest protocol nu poate lucra într -un sistem de
alocare dinamic ă a adreselor IP, dar spre deosebire de RARP, acesta
furnizeaz ă sursei atât adresa sa IP, cât și adresele IP ale serverului și
routerului ( default gateway ) folosit de LAN (RFC 951).
DHCP ( Dynamic Host Configuration Protocol ), succesor al
protocolului BOOTP, permite utilizarea unui num ăr limitat de adrese IP de
către mai mul Ńi utilizatori. Clientul solicit ă serverului DHCP o adres ă IP.
Acesta îi aloc ă o adres ă dintr-un domeniu de adrese cunoscut, eventual îi
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 29 – furnizeaz ă și masca de re Ńea. Alocarea este rapid ă și dinamic ă. De și
routerele nu suport ă transmisiile broadcast solicitate de ARP și RARP, ele
permit aceste transmisii în cazul BOOTP și DHCP ceea ce faciliteaz ă
comunica Ńiile dintre diverse LAN-uri.
HTTP ( HyperText Transfer Protocol ), protocolul generic al
serviciului de web, este folosit de utilizatorii web și de serverele WWW
pentru transferul unor fi șiere de tip text, imagine, multimedia, în format
special ( hypertext ), prin intermediul unui limbaj de editare HTML
(HyperText Markup Language ). Varianta securizat ă a acestuia este HTTPS
(HTTP Secure ) folose ște pentru securizarea procesului de navigare pe web
fie SSL, fie TLS ( Transport Layer Security ) care ofer ă protec Ńie fa Ńă de
tentativele de interceptare a comunica Ńiei sau fa Ńă de atacurile de tip „omul
din mijloc” ( man-in-the-middle attack ). Comunica Ńia se poate face pe portul
implicit 443 sau pe orice alt port ales de utilizat or.
NTP (Network Time Protocol ) este cel mai precis protocol de timp
din Internet. Acesta sincronizeaz ă ceasurile interne din dou ă sau mai multe
calculatoare, cu o precizie de 1 – 50 ms fa Ńă de timpul standard oficial (RFC
1305).
SNMP ( Simple Network Management Protocol ) este folosit pentru
supravegherea func Ńion ării re Ńelelor bazate pe TCP/IP (controlul statistic al
traficului, performan Ńelor, modului de configurare și securizare) utilizând
bazele de informa Ńii de management (MIB), structurate pe baza unor r eguli
definite de SMI ( Structure of Management Information ) conform RFC
1155. Versiunea SNMP2 prevede posibilitatea aplic ării unor strategii
centralizate sau distribuite de management de re Ńea.
Securitatea re Ńelelor de comunica Ńii
– 30 – IRC ( Internet Relay Chat ) este un protocol de comunica Ńie în timp
real, fie de tip conferin Ńă , cu mai mul Ńi utilizatori, fie de comunicare în
pereche de tip unul-la-unul. IRC folose ște TCP și op Ńional TLS.
Exist ă și alte protocoale în suita TCP/IP care ofer ă diverse servicii
utilizatorilor din Internet. Clien Ńii serviciilor de re Ńea pot fi utilizatori umani
dar și o serie de module software (programe software, pr otocoale,
echipamente) care adreseaz ă cereri serverelor din re Ńea.
În general, lista serviciilor Internet disponibile pe un PC din re Ńea,
con Ńinând informa Ńii despre protocoalele utilizate și porturile de aplica Ńii
asociate se g ăse ște într-un fi șier special (SERVICES), conceput ca o baz ă de
date.
I.3.3 MODELUL CLIENT-SERVER
Deosebit de util pentru în Ńelegerea proceselor de comunica Ńii și
realizarea programelor de aplica Ńii pentru re Ńea este modelul client-server.
Clientul este partea hardware sau software care adreseaz ă o cerere
(de acces, de informare, de transfer de fi șiere etc).
Serverul este partea hardware sau software care r ăspunde cererii
clientului (Figura I.6).
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 31 – Pe aceste considerente, anumite calculatoare din r e Ńea pe care sunt
instalate programe software de tip server sunt denu mite simplu servere (de
nume, de fi șiere, de web, de po ștă electronic ă, de baz ă de date etc).
Numeroase procese de comunica Ńie din re Ńea, dintre echipamente sau
dintre module software, au loc pe baza modelului cl ient-server. De multe
ori, rolurile de client și de server se inverseaz ă pe durata comunica Ńiei.
Aplica Ńia server se autoini Ńializeaz ă dup ă care r ămâne într-o stare de
așteptare pân ă la primirea unei cereri de serviciu de la un proce s client.
Aplica Ńia client este cea care solicit ă a conexiune iar aplica Ńia server
prime ște cererea și o rezolv ă. Între cele dou ă aplica Ńii apare o conversa Ńie
virtual ă ca și cum între ele ar exista o conexiune punct-la-punc t.
I.3.4 MODELUL PEER-TO-PEER
Modelul de re Ńea de comunicare în pereche (p2p – peer-to-peer)
reune ște în fiecare nod rolurile de client și de server, rezultînd o pereche de
noduri comunicante cu drepturi egale precum în tele fonia clasic ă. Topologia
de re Ńea de tip „plas ă” ( mesh ) ilustreaz ă foarte bine acest concept (Figura
I.7).
Securitatea re Ńelelor de comunica Ńii
– 32 –
Figura I.7 Re Ńea de comunica Ńii P2P
Primele re Ńele P2P erau folosite pentru distribu Ńia ( sharing ) de
fi șiere muzicale în format mp3 (re Ńelele Napster, KaZaA etc.) iar în prezent
aplica Ńiile sunt mult diversificate (mesagerie scris ă,vocal ă sau video, schimb
de fi șiere de orice tip inclusiv muzic ă și filme, forumuri de discu Ńii și multe
altele).
Din punctul de vedere al securit ăŃii, aceste aplica Ńii P2P sunt de
multe ori critice, ele permi Ńând accesul neautorizat la resursele re Ńelei:
• programele software folosite în comunica Ńiile P2P pot fi modificate
de ter Ńi;
• entit ăŃi cu inten Ńii mali Ńioase pot redirec Ńiona pachetele spre
destina Ńii inexistente sau incorecte rezultând pierderi de pachete
• în comunica Ńii P2P entit ăŃile î și pot p ăstra anonimatul.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 33 – I.4 INTRODUCERE ÎN SECURITATEA
RE łELELOR
Informa Ńiile, stocate sau transmise ca date în re Ńea, reprezint ă o
resurs ă valoroas ă care trebuie controlat ă și administrat ă strict, ca orice
resurs ă comun ă. O parte sau toate datele comune pot prezenta o im portan Ńă
strategic ă pentru organiza Ńie. Bazele de date reprezint ă o aplica Ńie major ă a
re Ńelelor de calculatoare. Sistemul de gestiune a baze i de date SGBD trebuie
să furnizeze un mecanism prin care s ă garanteze c ă numai utilizatorii
autoriza Ńi pot accesa baza de date și c ă baza de date este sigur ă. Securitatea
se refer ă la protejarea bazei de date fa Ńă de accesul neautorizat fie
inten Ńionat, fie accidental, prin utilizarea unor element e de control bazate
sau nu pe calculatoare. Considera Ńiile de securitate nu se aplic ă doar datelor
con Ńinute în baza de date. Bre șele din sistemul de securitate pot afecta și alte
părŃi ale sistemului care la rândul lor pot afecta baza de date.
Securitatea re Ńelelor se refer ă la elementele hardware, software,
persoane și date.
Persoanele sau entit ăŃile autentificabile și înregistrate sunt denumite,
în satndardele ISO, parteneri . Partenerii care au un rol activ în sistem se
numesc ini Ńiatori . Partenerii cu rol pasiv sunt denumi Ńi Ńinte .
Vom considera securitatea datelor relativ la:
• furt și fraud ă,
• pierderea confiden Ńialit ăŃii,
• pierderea caracterului privat,
• pierderea integrit ăŃii,
• pierderea disponibilit ăŃii.
Securitatea re Ńelelor de comunica Ńii
– 34 – Furtul și frauda nu sunt limitate la mediul bazelor de date ci
întreaga re Ńea este expus ă acestui risc. Pentru a reduce riscurile de furt și
fraud ă se procedeaz ă la păstrarea în siguran Ńă a documentelor privind plata
salariilor, înregistrarea cantit ăŃii exacte de hârtie utilizat ă la tip ărirea
cecurilor de plat ă și asigurarea înregistr ării corespunz ătoare și distrugerii
hârtiilor rezultate ca urmare a tip ăririi gre șite.
Confiden Ńialitatea se refer ă la necesitatea de a p ăstra secretul
asupra unor date, de regul ă numai a celor de importan Ńă major ă pentru
organiza Ńia respectiv ă, în timp ce caracterul privat se refer ă la necesitatea
de a proteja datele referitoare la persoane individ uale.
Integritatea reprezint ă asigurarea faptului c ă datele nu au fost
alterate(corupte) sau distruse în urma unui proces de atac.
Pierderea integrit ăŃii datelor are ca rezultat apari Ńia unor date care
numai sunt valabile sau sunt gre șite.
Disponibilitatea se define ște ca și caracteristic ă a unui sistem
informatic de a func Ńiona fără întreruperi și posibilitatea lui de a fi accesat
oricând, de oriunde. Importan Ńa ei este motivat ă de faptul c ă o re Ńea
găzduie ște servere de aplica Ńii, baze de date, echipamente de stocare, și nu
în ultimul rând ofer ă operabilitate utilizatorilor finali.
Pierderea disponibilit ăŃii înseamn ă c ă datele, sistemul sau ambele,
nu pot fi accesate.
Este necesar ca organiza Ńiile s ă identifice riscurile de securitate la
care sunt expuse și s ă ini Ńieze planuri și m ăsuri adecvate, Ńinându-se cont de
costurile implement ării acestora și valoarea informa Ńiilor protejate.
Computerele și re Ńelele de calculatoare prezint ă puncte slabe,
intrinseci. Printre acestea se num ără cele legate de protocolul TCP/IP,
sisteme de operare, și nu în ultimul rând puncte slabe datorate unui
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 35 – management defectuos, și unei politici de securitate necorespunz ătoare.
Administratorii re Ńelelor trebuie s ă descopere și s ă contracareze punctele
slabe din cadrul re Ńelelor de care r ăspund.
Se pot identifica trei tipuri de bre șe de securitate care pot reprezenta
o posibil ă Ńint ă în cazul unui atac:
• bre șe cauzate de aspecte tehnologice
• bre șe datorate unei configur ări necorespunz ătoare a echipamentelor
și a re Ńelei în general
• bre șe determinate de o politic ă de securitate necorespunz ătoare.
Evenimentele provocate pân ă în prezent de bre șele de securitate din
re Ńelele de comunica Ńii demonstreaz ă c ă indiferent de cât de sigur pare a fi
un sistem, un nivel adecvat de securitate poate fi atins doar dac ă este
securizat și mediul de transmisie. Obiectivul oric ărei politici de securitate
este de a realiza un echilibru între o opera Ńie rezonabil de sigur ă, care nu
obstruct Ńioneaz ă în mod nejustificat utilizatorii, și costurile între Ńinerii
acestora. Pericolele accidentale au ca rezultat maj oritatea pierderilor din
cele mai multe organiza Ńii.
Tipurile de contram ăsuri fa Ńă de pericolele care amenin Ńă o re Ńea
variaz ă, de la elemente de control fizic, pân ă la procedura administrativ ă. În
general, securitatea unui sistem SGBD este aceea și ca cea a sistemului de
operare, datorit ă strânsei lor asocieri.
Pentru a evita problemele create de atacurile adres ate securit ăŃii
re Ńelelor, trebuie adoptate m ăsuri adecvate fiec ărui nivel OSI:
1. la nivel fizic, se impune controlul accesului fizic la re Ńea și la
resursele acesteia, precum și minimizarea riscului de „ascultare
pasiv ă” a fluxurilor de date transmise.
Securitatea re Ńelelor de comunica Ńii
– 36 – 2. la nivel leg ătur ă, este necesar ă securizarea prin criptare a
informa Ńiilor.
3. la nivel de re Ńea, este eficient ă activarea firewall-urilor și
configurarea lor pe baza principiilor exprimate în politica de
securitate a re Ńelei. Accesul logic la sistem sau re Ńea se poate realiza
pe baza diferitelor metode de autentificare, inclus iv pe baza unor
liste de control al accesului (ACL – Access Control List ).
4. la nivel de transport se pot folosi diferite protoc oale de securitate a
conexiunilor, precum SSL ( Secure Socket Layer ), sau TLS
(Transport Layer Security ).
5. la nivel de aplica Ńie, securitatea se realizeaz ă prin jurnalizarea
accesului, monitorizarea evenimentelor din re Ńea, clasificarea lor pe
clase de risc și aplicarea unor m ăsuri de limitare și anihilare a
atacurilor. Se pot folosi diferite instrumente soft ware și hardware
pentru efectuarea unor teste de securitate asupra r e Ńelei cu simularea
atacurilor (scanarea re Ńelei și a porturilor: Nmap, Ethereal,
SuperScan ; identificarea sistemelor de operare: Xprobe; testarea
serverelor de baze de date precum SQLping ; testarea conectivit ăŃii
prin TraceRoute sau VisualRoute ; detec Ńia vulnerabilit ăŃilor: Nessus,
Nikto, Netcat, Zedebee, Winfo ; conexiuni de la distan Ńă : Remote
Desktop, PsExec ; spargerea parolelor: Brutus, Hydra, Vncrack ;
instrumente de ecou de la tastatur ă: Xspy ; detec Ńia vulnerabilit ăŃilor
re Ńelelor wireless: Netstumbler, Kismet, Airsnort, Process Explorer ;
listarea, recuperarea și protejarea resurselor: chkrootkit, TCT –
Coroner’s Toolkit , IPchains, Iptables.
Elementele de control al securit ăŃii bazate pe calculator cuprind:
/square4 autorizarea
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 37 – /square4 autentificarea
/square4 copiile de siguran Ńă și posibilit ăŃile de refacere a sistemului
/square4 integritatea
/square4 criptarea.
Autorizarea reprezint ă acordarea unui drept sau privilegiu care
permite unei persoane s ă aib ă acces legitim la un sistem sau la un obiect din
sistem. Controlul autoriz ării poate fi implementat în cadrul elementelor de
software și poate reglementa nu numai sistemele sau obiectele la care are
acces un utilizator, ci și ce poate face acesta cu ele (citire, scriere, exe cu Ńie).
Autentificarea este un mecanism de verificare a identit ăŃii unei
entit ăŃi. De obicei administratorul de sistem este respons abil de acordarea
permisiunilor de acces la un sistem, prin crearea u nor conturi individuale.
Odat ă ce unui utilizator i-a fost acordat ă permisiunea de a utiliza un sistem,
acestuia îi pot fi acordate anumite privilegii. Aut entificarea este vital ă
pentru securitatea sistemului, pentru c ă arat ă valabilitatea unui utilizator,
serviciu sau aplica Ńie. Cu alte cuvinte trebuie verificat ă identitatea
utilizatorului care inten Ńioneaz ă s ă acceseze resursele.
Autentificarea poate fi realizat ă pe diferite criterii:
• cuno știn Ńe (parole, adrese fizice sau de re Ńea, coduri PIN, coduri de
tranzac Ńii etc.)
• posesie (carduri, chei etc.)
• propriet ăŃi (biometrice: amprente, retin ă, voce; de alt ă natur ă).
Ca metode de autentificare amintim:
/square4 parolele asociate cu nume de utilizator
/square4 protocoale de securitate, precum SSL ( Secure Socket Layer )
/square4 semn ături și certificate digitale (X.509)
/square4 carduri inteligente ( smart cards )
Securitatea re Ńelelor de comunica Ńii
– 38 – /square4 cookies.
În re Ńelele de comunica Ńii cu acces nerestric Ńionat, nu este necesar ă
aplicarea vreunei metode de autentificare ( no-authentication ). Este cazul
așa-numitelor „ free hotspot ” care ofer ă servicii gratuite de Internet în
aeroporturi, universit ăŃi, școli, restaurante etc.
În cazul re Ńelelor cu acces restric Ńionat, se impune utilizarea unei
anumite tehnici de autentificare, fie în sistem des chis ( open system
authentication ), fie în sistem închis ( closed system authentication ), cu o
cheie predefinit ă, cunoscut ă dinainte numai de utilizatorii autoriza Ńi ( shared
key authentication ) care, în plus, dispun de un mecanism de criptare comun.
În sistem deschis, autentificarea se face la cerere , f ără restric Ńii sau
pe baza unei liste de clien Ńi. Clientul trimite ca cerere un cadru de
management pentru autentificare în care este inclus identificatorul s ău.
Serverul verific ă acel cadru și identificatorul clientului și îl autentific ă dac ă
identificatorul de re Ńea este corect. Acest mecanism de autentificare est e de
exemplu util pentru diferen Ńierea re Ńelelor wireless care transmit în aceea și
arie, pentru a se realiza conexiunea la re Ńeaua cu SSID-ul corect. Acest mod
de autentificare este considerat modul implicit sau nul de autentificare în
multe sisteme sau re Ńele ( null-type authentication ). Acest mod de
autentificare permite intru șilor s ă intercepteze sau „s ă asculte” tot ce se
transmite în re Ńea ( eavesdropping ) și de aceea se impune în acest caz
criptarea informa Ńiilor cu caracter secret.
Autentificarea cu cheie predefinit ă se face la cererea clientului, pe
baza unei informa Ńii secrete pe care o de Ńin serverul și clientul. Serverul
genereaz ă o întrebare aleatoare pe care o cripteaz ă cu cheia secret ă și o
trimite clientului. Clientul cripteaz ă r ăspunsul la întrebare, dac ă de Ńine
informa Ńia respectiv ă, și o r ăspunde serverului. Dup ă decriptare, serverul
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 39 – decide dac ă r ăspunsul este corect, caz în care consider ă autentificarea
realizat ă. Cheia de criptare poate fi cunoscut ă în pereche, numai de server și
de un anumit client ( unicast key ), fie de server și de to Ńi clien Ńii din re Ńea
(multicast or global key ).
Pentru un control mai riguros al accesului în re Ńea (NAC – Network
Access Control ), se poate impune ca, în vederea autentific ării, clientul s ă
ofere o serie de garan Ńii ( credentials ) înainte de a se autentifica în vederea
acces ării serviciilor oferite pe un anumit port din re Ńea ( port based NAC ).
Odat ă autentificat, clientul ob Ńine acces la toate serviciile oferite pe acel
port. De accea, sunt necesare metode de certificare riguroase pentru a nu
crea bre șe în sistem.
Autentificarea se poate face și mutual, adic ă ambele entit ăŃi
implicate într-un proces de comunica Ńie se autentific ă una fa Ńă de cealalt ă.
Salvarea de siguran Ńă este procesul de efectuarea periodic ă a unei
copii a bazei de date pe un mediu de stocare offlin e. Un sistem SGBD
trebuie s ă con Ńin ă facilitatea de salvare de siguran Ńă , care s ă asiste la
refacerea bazei de date dup ă o defec Ńiune. În general, pentru orice sistem
trebuie s ă se realizeze copii de siguran Ńă cu o anumit ă perioad ă de
valabilitate.
Criptarea reprezint ă tehnica de codare a datelor printr-un anumit
algoritm, care transform ă a șa-numitul „text în clar” ( plaintext ) în date
criptate din care informa Ńia nu poate fi extras ă în absen Ńa algoritmului de
decodare și a cheii de criptare, asigurându-se astfel secretu l acesteia. Ini Ńial
tehnicile de criptare se aplicau doar pe texte, ult erior securizarea
con Ńinutului fiind necesar ă pentru multe alte tipuri de informa Ńii (financiare,
date de identificare, fotografii, h ărŃi, transmisii vocale sau video etc.).
Securitatea re Ńelelor de comunica Ńii
– 40 – Pentru a transmite datele în siguran Ńă , este necesar ă utilizarea unui
criptosistem, care include:
• cheia de criptare
• algoritmul de criptare
• cheia de decriptare
• algoritmul de decriptare.
În asigurarea securit ăŃii unui sistem, atitudinea și comportamentul
oamenilor sunt semnificative. Ca urmare este necesa r un control adecvat al
personalului pentru evitarea unor atacuri din inter iorul organiza Ńiei, din
re Ńeaua intern ă ( intranet ).
Securitatea re Ńelelor impune printre altele și asigurarea securit ăŃii
serverelor de re Ńea . Majoritatea resurselor informa Ńionale sunt accesate
prin intermediul site-urilor web. Serverul de web e ste considerat temelia
unui site deci și al unui portal. Orice aplica Ńie web va interac Ńiona cu
serverul și cu ajutorul lui se va vizualiza cea mai mare part e a con Ńinutului.
Trebuie deci folosit un server de web securizat car e s ă corespund ă nevoilor
aplica Ńiei care va fi implementat ă.
În alegerea unui server web, se au în vedere cele c are permit
controlul autentific ării, setarea drepturilor și permisiunilor de utilizator,
folosirea scripturilor CGI ( Common Gateway Interface ). Serverul Apache
este unul dintre cele mai populare servere Web, gra tuit, u șor de configurat,
rezultatul proiectului Apache. Serverul Apache î și seteaz ă configur ările
conform cu trei fi șiere:
/head2right access.conf – controleaz ă drepturile de acces global.
/head2right httpd.conf – con Ńine directive de configurare care controleaz ă modul
de rulare a serverului, loca Ńia fi șierelor-jurnal (log-urilor), porturile de
acces.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 41 – /head2right smr.conf – con Ńine directive pentru configurarea resurselor (loca Ńia
documentelor web, scripturi CGI).
Configurarea serverului pentru rulare se face prin intermediul
directivelor de configurare ( configuration directives ). Acestea sunt comenzi
care seteaz ă anumite op Ńiuni. Serverul Apache ruleaz ă în unul din
urm ătoarele dou ă moduri:
/square4 stand-alone – cu performan Ńe superioare, pentru care în fiecare
moment exist ă un proces gata s ă serveasc ă o cerere de client.
/square4 daemon – serverul porne ște de fiecare dat ă când apare o nou ă cerere.
Ca și avantaje ale acestui server, se pot aminti:
• ofer ă securitate sporit ă aplica Ńiilor prin protocolul SSL, prin
criptarea mesajelor
• este u șor de configurat
• ruleaz ă pe un num ăr mare de platforme și sisteme de operare.
RISCURI DE SECURITATE ÎN RE łELELE WIRELESS
/square4 Furtul și frauda – re Ńelele wireless pot fi detectate de la distan Ńe
relativ mari (10 km), cu echipamente simple și costuri reduse (antene
parabolice de 18”), cu programe software adecvate ( NetStumbler)
disponibile pe Web ( free software ), f ără posibilitatea detect ării intru șilor
pasivi. Folosind sisteme de operare Linux sau Macin tosh, un eventual
hacker se poate disimula ca și sistem Windows, poate accesa resursele
publice ( sharing ). Intru șii activi sunt aceia care apar ca și utilizatori
autoriza Ńi ( crack MAC), ei fiind capabili s ă intercepteze pachetele din re Ńea.
Este recomandat ă separarea resurselor care necesit ă securitate sporit ă prin
configurarea unor re Ńele VPN și aplicarea politicii de firewall.
Securitatea re Ńelelor de comunica Ńii
– 42 – /square4 Controlul accesului – cele mai periculoase echipamente de accesare
neautorizat ă a re Ńelei wireless sunt dispozitivele de tip PDA ( Personal
Digital Assistant ), echipamente portabile de mici dimensiuni care di spun de
software adecvat diverselor sisteme de operare (Poc ketDOS, Windows,
Linux).
/square4 Autentificarea – precede faza de asociere a sta Ńiei cu un punct de
acces (AP – Access Point ), fiind realizat ă pe baza unui identificator de re Ńea
(SSID – Service Set Identifier ) valid. Exist ă riscul ca într-o anumit ă arie
geografic ă s ă funcŃioneze pe lâng ă un AP autorizat, un AP intrus
(counterfeiting ), eventual cu nivel de putere sporit, care încearc ă s ă
detecteze identitatea utilizatorilor autoriza Ńi din acea celul ă și cheile de
criptare folosite în re Ńeaua wireless. Localizarea unui fals AP este difici l ă și
devine practic imposibil ă atunci când acest AP este mobil. Monitorizarea
traficului pe teren de c ătre organismele de control abilitate, combinat ă cu
preluarea și memorarea informa Ńiilor GPS, permite crearea unor baze de
date cu informa Ńii despre AP-urile autorizate, urmând ca accesarea unui AP
de c ătre client s ă se realizeze pe principiile unei politici de secur itate
aplicat ă la nivelul acestuia, bazat ă pe verificarea coordonatelor AP-ului,
eventual furnizate de un server de securitate intermediar care pe principiul
client-server r ăspunde afirmativ ( access granted ) sau negativ ( access
denied ) cererii de acces, p ăstrând secretul identit ăŃilor unit ăŃilor din re Ńea pe
care le deserve ște. Se impune în acest caz asigurarea securit ăŃii fizice în
perimetrul AP-urilor autorizate. IEEE 802.1X nu est e un mecanism propriu-
zis de autentificare ci este asociat cu EAP. 802.1x descrie autentificarea
automat ă și criptarea cu cheie modificat ă dinamic prin protocolul extins de
autentificare (EAP – Extensible Authentication Protocol ), localizat pe server
precum și în echipamentele-client, care accept ă autentificarea pe baz ă de
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 43 – jetoane (token ), parole, certificate digitale și metodele cu cheie public ă
(EAP – TLS, EAP – TTLS Tunneled Transport Layer Se curity, LEAP –
Lightweigth EAP).
/square4 Criptarea datelor – este considerat ă o func Ńie op Ńional ă și de aceea
este dezactivat ă în varianta implicit ă (default) de instalare a sistemelor de
operare, pentru a folosi viteza maxim ă de transmisie. Se efectueaz ă în mod
uzual cu chei de maximum 128 bi Ńi, relativ scurt ă ca num ăr de caractere (16
caractere ASCII, 8 caractere UNICODE). DES suport ă chei de criptare de
40 – 64 bi Ńi; 802.11b folose ște chei de 64-128 bi Ńi. Metoda WEP ( Wired
Equivalent Privacy ) aplic ă algoritmul simetric de criptare RC4-128 pe baza
unei chei de transmisie de 104 bi Ńi, cu vectori de ini Ńializare IV
(Initialization Vector ) de 24 de bi Ńi transmi și în clar, pentru secretizarea
datelor, nu și a antetelor de transmisie, asigurând confiden Ńialitatea
informa Ńiilor, nu și restric Ńionarea accesului utilizatorilor neautoriza Ńi.
Schimbarea manual ă a cheilor de criptare și posibilitatea ca mai mul Ńi
utilizatori s ă foloseasc ă aceea și cheie, cresc riscul de interceptare a cheii și
extragerea informa Ńiilor din pachetele criptate similar. Metoda WPA (W iFi
Protected Access ) folose ște algoritmii AES-128 și TKIP pentru schimbarea
automat ă a cheilor. Pentru o securitate sporit ă se impune criptarea cu cheie
secret ă a informa Ńiilor de identificare, a cadrelor de control și de
management. Trebuie acordat ă o aten Ńie sporit ă sistemului de generare și
gestionare a cheilor de criptare, precum și excluderii cheilor compromise
sau slabe. Dimensiunea spa Ńiului cheilor de criptare este diminuat ă
semnificativ prin folosirea parolelor bazate pe car actere printabile (din 26
litere mici, 26 litere mari și 10 cifre rezult ă circa 2×10 14 combina Ńii posibile
de 8 caractere), eventual cu semnifica Ńii particulare și personale de tip
cuvinte uzuale, nume proprii, date de na ștere etc.
Securitatea re Ńelelor de comunica Ńii
– 44 – /square4 Tehnici de protec Ńie și autorizare – acordarea dreptului de acces în
re Ńeaua wireless pe baza adreselor MAC unic alocate de produc ător pl ăcilor
de re Ńea NIC, folosind liste de control al accesului stoc ate în router, AP sau
în servere RADIUS, permite eliminarea riscului de a sociere a unui posibil
intrus în infrastructura și evitarea emul ării unei adrese MAC autorizate
(MAC spooffing ). Metodele de extensie a spectrului cu o secven Ńă de cod
pseudoaleator confer ă o oarecare securitate, metoda de extensie cu secve n Ńă
direct ă DSSS (Direct Sequence Spread Spectrum ) fiind mai performant ă
decât metoda de extensie cu salturi de frecven Ńă FHSS ( Frequency Hopping
Spread Spectrum ). Prin eventuala scanare pasiv ă a benzii de transmisie a
unui AP ( eavesdropping ) nu se pot prelua pachetele de date f ără cunoa șterea
codului de împr ăș tiere a spectrului. Caracterul periodic al secven Ńelor
pseudoaleatoare este un inconvenient în men Ńinerea unei redundan Ńe reduse
a semnalului transmis, fiind necesar ă g ăsirea unor secven Ńe de cod mai
eficiente. Monitorizarea traficului din re Ńea în timpul orelor fire ști de
func Ńionare și din afara programului permite administratorului s ă detecteze
eventualele congestii sau intruziuni din re Ńea, depistarea porturilor de
protocol prin care se acceseaz ă neautorizat re Ńeaua cu posibilitatea
restric Ńion ării ulterioare a accesului. Cel mai puternic și mai d ăun ător este
atacul de tip “acces interzis” (DoS – Denial of Service ) prin care se
întrerupe orice comunica Ńie în re Ńea folosind surse de emisie suficient de
puternice în aceea și arie geografic ă. În acest caz, o solu Ńie eficient ă const ă
în aplicarea unei tehnici de extensie de spectru cu un câștig de extensie
suficient de mare. Este de asemenea util ă monitorizarea permanent ă a
traficului (24/24, 7/7) și a tuturor transmisiilor radio din aria re Ńelei wireless.
/square4 Tehnici de detec Ńie a intru șilor IDS ( Intrusion Detection System ) –
în re Ńelele wireless este mai dificil ă detec Ńia intru șilor decât în re Ńelele cu
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 45 – transmisie “pe fir”, prezen Ńa lor fiind similar ă unei rate de eroare a
pachetelor (PER – Packet Error Rate ) mari sau unor încerc ări e șuate de
autentificare a unui utilizator autorizat. Se poate restric Ńiona num ărul maxim
de încerc ări de autentificare de la distan Ńă e șuate succesiv, dreptul de acces
fiind acordat numai dup ă reidentificarea persoanei și a echipamentului de
către administratorul de re Ńea.
/square4 Integritatea datelor – este testat ă folosind diverse coduri, precum
cele ciclice (CRC – Cyclic Redundancy Checking ) și func Ńiile hash.
Odat ă cu dezvoltarea tot mai mult a re Ńelelor de calculatoare, a
serviciilor oferite de acestea și a importan Ńei informa Ńiilor pe care le
vehiculează, a crescut și necesitatea protej ării acestora.
Comunica Ńiile P2P ofer ă o serie de facilit ăŃi:
/square4 jurnalizarea transferurilor
/square4 autentificarea partenerilor
/square4 mobilitatea echipamentelor
/square4 rezisten Ńă la atacuri de tip DoS, flooding, reluarea mesajelo r.
/square4 folosirea mecanismelor anti-pollution.
Re Ńelele pot fi amenin Ńate la nivel fizic, logic sau informa Ńional, atât
din interior, cât și din exterior. Pot fi persoane bine inten Ńionate, care fac
diferite erori de operare sau persoane r ău inten Ńionate, care aloc ă timp și
bani pentru penetrarea re Ńelelor.
Exist ă și factori tehnici care determin ă bre șe de securitate în re Ńea:
• anumite erori ale software-ului de prelucrare sau d e comunicare;
• anumite defecte ale echipamentelor de calcul sau de comunica Ńie;
• viru șii de re Ńea și alte programe cu caracter distructiv ( worms,
spam );
Securitatea re Ńelelor de comunica Ńii
– 46 – • lipsa unei preg ătiri adecvate a administratorilor, operatorilor și
utilizatorilor de sisteme;
• folosirea abuziv ă a unor sisteme.
ReŃelele de comunica Ńii pot deservi organisme vitale pentru
societate, cum ar fi: sisteme militare, b ănci, spitale, sisteme de transport,
burse de valori, oferind în acela și timp un cadru de comportament antisocial
sau de terorism. Este din ce în ce mai greu s ă se localizeze un defect, un
punct de acces ilegal în re Ńea, un utilizator cu un comportament inadecvat.
Cre șterea securit ăŃii re Ńelelor trebuie s ă fie un obiectiv important al
oric ărui administrator de re Ńea. Îns ă trebuie avut ă în vedere realizarea unui
echilibru între costurile aferente și avantajele concrete ob Ńinute. M ăsurile de
securitate trebuie s ă descurajeze tentativele de penetrare neautorizat ă, s ă le
fac ă mai costisitoare decât ob Ńinerea legal ă a accesului la aceste programe și
date.
Asigurarea securit ăŃii informa Ńiilor stocate în cadrul unei re Ńele de
comunica Ńii, presupune proceduri de manipulare a datelor car e s ă nu poat ă
duce la distribuirea accidental ă a lor și/sau m ăsuri de duplicare a
informa Ńiilor importante, pentru a putea fi ref ăcute în caz de nevoie.
O re Ńea de calculatoare cu acces sigur la date presupune o procedur ă
de autentificare a utilizatorilor și/sau de autorizare diferen Ńiat ă pentru
anumite resurse.
O re Ńea de calculatoare este sigur ă dac ă toate opera Ńiile sale sunt
întotdeauna executate conform unor reguli strict de finite, ceea ce are ca
efect o protec Ńie complet ă a entit ăŃilor, resurselor și opera Ńiilor din re Ńea,
reguli cunoscute sub numele de politic ă de securitate .
Lista de amenin Ńă ri la adresa unei re Ńele constituie baza definirii
cerin Ńelor de securitate . Odat ă cunoscute acestea, trebuie elaborate regulile
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 47 – conform c ărora se efectueaz ă toate opera Ńiile din re Ńea. Aceste reguli
opera Ńionale se implementeaz ă prin protocoale și servicii de securitate .
Pentru a realiza o re Ńea sigur ă, trebuie implementate, pe baza
politicilor și protocoalelor de securitate, unul sau mai multe mecanisme de
securitate (“zid de foc” – firewall , re Ńele virtuale private cablate VPN –
Virtual Private Network, reŃele private ad-hoc virtuale VPAN – Virtual
Private Ad-Hoc Network , servere de securitate și altele).
Securitatea, ca proces, define ște starea re Ńelei de a fi protejat ă în fa Ńa
atacurilor. Nu se poate vorbi despre securitate în sens absolut pentru c ă, în
realitate, orice form ă de securitate poate fi compromis ă. Resursele de care
dispun atacatorii sunt finite și astfel o re Ńea poate fi considerat ă sigur ă atunci
când costurile de atac sunt cu mult mai mari decât „recompensa” ob Ńinut ă.
Securitatea re Ńelei trebuie avut ă în vedere înc ă din faza de proiectare.
Ad ăugarea ulterioar ă a măsurilor de securitate conduce la costuri ridicate,
precum și la nevoia schimb ărilor în arhitectura retelei.
Este foarte important ca serviciile de securitate s ă fie asigurate pe
toate nivelele, de la nivel fizic, pân ă la cel de aplica Ńie pentru protec Ńia
propriu-zis ă a informa Ńiilor și a re Ńelei în general.
Securitatea re Ńelelor de comunica Ńii
– 48 –
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 49 – Capitolul II PRINCIPII ALE
SECURIT Ăł II RE łELELOR
II.1 ASPECTE GENERALE
Ca o categorie aparte a serviciilor de re Ńea, serviciile de securitate
sunt oferite prin intermediul diferitelor tipuri de programe sofware, fie ca
module componente ale unui sistem de operare, fie c a și facilit ăŃi ale unor
programe specifice, fie ca aplica Ńii independente. Implementarea lor se
poate face și în varianta hardware, cu circuite dedicate, a c ăror eficien Ńă este
în general foarte ridicat ă. Dezavantajul metodelor hardware deriv ă din
necesitatea achizi Ńion ării unor noi module hardware atunci când se schimb ă
metoda de securizare a unui sistem.
Serviciile de securitate sunt diverse :
• Autentificarea (authentication ) – reprezint ă un mecanism prin care
se identific ă un utilizator uman, un echipament sau un program
sofware client sau server, prin prezentarea unor da te de identificare
(parol ă, smart card, amprente, date biometrice etc.).
• Autorizarea (autorization ) – este permisiunea acordat ă unui
utilizator, de accesare a unor date sau programe, d up ă ce a fost
autentificat.
• Disponibilitatea (availability ) – este serviciul prin care un anumit
serviciu poate fi utilizat de catre grupul de utili zatori cu drept de
acces. Un atac împotriva disponibilit ăŃii unui sistem este cunoscut
sub numele de “refuzul serviciului” ( Denial of Service – DoS).
Securitatea re Ńelelor de comunica Ńii
– 50 – • Confiden Ńialitatea (confidentiality ) – reprezint ă protec Ńia secretului
informa Ńiilor cu caracter privat.
• Integritatea (integrity ) – se refer ă la protec Ńia datelor împotriva
modific ărilor neautorizate.
• Nerepudierea (non-repudiation ) – reprezint ă un mecanism de
prevenire a fraudelor prin care se dovede ște c ă s-a executat o
anumit ă ac Ńiune dintr-un anumit cont de utilizator f ără ca posesorul
său să poat ă nega acest lucru .
Costurile serviciilor de securitate depind de mai mul Ńi factori:
1. mediul fizic de transmisie
2. performan Ńele echipamentelor din re Ńea
3. performan Ńele pachetelor software folosite (aplica Ńii dar și sisteme de
operare)
4. nivelul de securizare a datelor propriu-zise prin c riptare.
Este important ă clasificarea și ierarhizarea datelor transferate sau
stocate în re Ńea în vederea securiz ării corespunz ătoare a lor.
Datele sau informa Ńiile pot fi clasificate în mai multe tipuri, folosi nd
diverse criterii.
Pe criteriul de proprietate , informa Ńiile se împart în:
a. informa Ńii de utilizator
b. informa Ńii de re Ńea
Pe criteriul importan Ńei , informa Ńiile pot fi:
a. informa Ńii publice
b. informa Ńii private (cu diferite grade impuse de confiden Ńialitate).
Pe criteriul loca Ńiei , se pot defini urm ătoarele categorii de date:
a. informa Ńii externe (stocate pe diferite tipuri de suport)
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 51 – b. informa Ńii interne (de terminal, server sau echipament de r e Ńea cu
management).
Pe criteriul domeniului de utilizare , aplica Ńiile se împart în mai
multe categorii:
a. Publicitare
b. Comerciale
c. Educa Ńionale
d. De divertisment
e. Cu sau f ără plat ă
f. Guvernamentale
g. Militare
Alegerea unui anumit serviciu de securitate este co ndi Ńionat ă de
natura informa Ńiilor care trebuie protejate și de costurile acceptate pentru
aceast ă opera Ńie.
Politicile de securitate stabilesc regulile și normele care trebuie
respectate de to Ńi utilizatorii re Ńelei: modul de utilizare adecvat ă a resurselor,
de deschidere a unui cont de utilizator, modul de a cces de la distan Ńă ,
protec Ńia informa Ńiilor confiden Ńiale, administrarea și distribuirea parolelor,
modul de conectare la Internet etc.
Alegerea unei strategii eficiente de securizare a u nei re Ńele trebuie s ă
aib ă în vedere riscurile la care este expus ă aceasta și punctele vulnerabile
pentru a adapta solu Ńia de securitate la nevoile fiec ărei re Ńele și a reduce
costurile, atât pe termen scurt, cât și pe termen lung.
Securitatea la nivel fizic presupune luarea unor m ăsuri de securitate
pentru controlul accesului la resursele fizice ale re Ńelei și protec Ńia acestora
prin protec Ńia sub cheie, folosirea cardurilor de acces, identi ficarea
biometric ă a personalului autorizat. Este necesar ă protec Ńia fizic ă a tuturor
Securitatea re Ńelelor de comunica Ńii
– 52 – resurselor importante ale re Ńelei, precum și amplasarea corespunz ătoare a
echipamentelor de re Ńea și a cablurilor de leg ătur ă astfel încât s ă se evite
degradarea lor inten Ńionat ă sau accidental ă.
Accesul fizic la anumite echipamente trebuie restri c Ńionat și admis
doar pe baza unor elemente de identificare (carduri de acces, insigne,
recunoa șterea unor caracteristici biometrice precum fa Ńa, vocea, amprentele,
geometria mâinii, irisul sau retina). Este necesar ă securizarea strict ă a
serverului pe care este stocat ă baza de date con Ńinând aceste informa Ńii de
identificare precum și sistemul de transmisie al lor c ătre terminalul de
identificare, fiind preferabil ca transmisia s ă se realizeze „cu fir” și chiar
fibr ă optic ă, pe distan Ńe mici.
Securitatea la nivel logic se refer ă la acele metode software prin
care se asigur ă controlul accesului logic la resursele informatice și la
serviciile re Ńelei. De regul ă, identificarea și autentificarea persoanelor cu
drept de acces, precum și accesul selectiv la resursele re Ńelei se realizeaz ă
prin intermediul conturilor de utilizator și a parolelor. În cadrul unei re Ńele
este foarte important ă stabilirea unor reguli cu privire la p ăstrarea și
distribuirea parolelor, care trebuie respectate de to Ńi utilizatorii.
Administrarea conturilor de utilizator în mod siste matic
preîntâmpin ă eventualele posibilit ăŃi de abuz manifestate ca atacuri interne
asupra re Ńelei private (furtul, distrugerea sau modificarea u nor informa Ńii).
Este total neindicat ă crearea unui cont general de utilizator care
poate fi utilizat și de persoane neautorizate cu un efort minim de afl are a
informa Ńiilor de autentificare. De aceea este recomandat ă o preautentificare
a pl ăcilor de re Ńea wireless, pe baza adreselor MAC, pentru care est e permis
accesul în re Ńea.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 53 – Existen Ńa programelor de clonare a adreselor MAC scade efic ien Ńa
metodei de filtrare pe baza de MAC. Cunoa șterea istoricului comunica Ńiilor
(Logs) dintr-o re Ńea permite identificarea acelor combina Ńii utilizator-adres ă
MAC și refuzarea accesului în cazul unor încerc ări repetate cu adrese
diferite. Un utilizator autorizat care folose ște un alt echipament trebuie s ă
în știin Ńeze administratorul despre noua adres ă pentru a putea accesa re Ńeaua.
Păstrarea la secret a adreselor MAC autorizate este e sen Ńial ă pentru
succesul metodei. Stabilirea unor criterii stricte de autorizare a anumitor
persoane și echipamente pentru acces la re Ńeaua wireless este deosebit de
important ă. Folosirea semn ăturilor electronice, a certificatelor digitale
precum și a unor coduri de acces personalizate este o metod ă sigur ă de
securizare a accesului.
De asemenea, pentru un control mai strict al accesu lui în re Ńea este
indicat ă folosirea adres ării statice în locul celei dinamice prin DHCP chiar
dac ă acest lucru presupune gestionarea corect ă a unui spa Ńiu de adrese
relativ mare.
Monitorizarea traficului din re Ńea și opera Ńiile de audit permit
detec Ńia unui eventual utilizator neautorizat (IDS – Intrusion Detection
System ) și excluderea sa. Sistemele de alarmare în cazul unu i volum mare
de date transferat sau a unei înc ărc ări excesive a procesoarelor permit de
asemenea detec Ńia intru șilor sau a unor eventuale atacuri de floodare a
re Ńelei. Programarea corespunz ătoare a firewall-ului și configurarea unor
re Ńele virtuale private reduc riscurile de intruziune și de atac din exterior.
Utilizarea programelor de tip NetStumbler permite a dministratorului
scanarea tuturor re Ńelelor wireless dintr-o anumit ă arie geografic ă, testarea
caracterului deschis sau privat al acestora, deduce rea identificatorului de
re Ńea (SSID), a canalelor de comunica Ńie folosite.
Securitatea re Ńelelor de comunica Ńii
– 54 – Chiar și f ără a se autentifica un eventual atacator poate utiliz a un
program de preluare de pachete (packet sniffer) rea lizând un atac pasiv
asupra re Ńelei. Acesta este deosebit de eficient dac ă monitorizeaz ă traficul
broadcast din re Ńea. De aceea se recomand ă folosirea echipamentelor
multiport de tip switch și nu a celor de tip hub.
Eventualele resurse partajate ( shared ) f ără restric Ńii între doi
utilizatori autoriza Ńi sunt vizibile și pentru al Ńi clien Ńi neautoriza Ńi care
detecteaz ă re Ńeaua Wi-Fi și se asociaz ă la aceasta în mod pasiv.
Programele de tip „virus” de asemenea pot afecta re Ńeaua în mod
distructiv.
Pentru evitarea unor astfel de riscuri, trebuie apl icate m ăsuri de
control al accesului suficient de stricte.
Securizarea informa Ńiilor se refer ă la secretizarea acestora atunci
când este cazul, la asigurarea integrit ăŃii datelor și verificarea autenticit ăŃii
lor.
Transmiterea informa Ńiilor în clar în aceste pachete prezint ă riscul
prelu ării lor neautorizate. Evitarea acestui risc este po sibil ă prin folosirea
tehnicilor de criptare, respectiv prin activarea op Ńiunilor de secretizare a
informa Ńiilor oferite de diverse echipamente și standarde de re Ńea.
Performan Ńele acestora sunt exprimate pe diferite nivele de s ecurizare și
sunt limitate astfel încât gradul de protec Ńie oferit nu este întotdeauna
acela și depinzând substan Ńial de costurile echipamentelor și ale programelor
software (sisteme de operare, programe de aplica Ńii etc).
Un sistem informatic satisface proprietatea de confiden Ńialitate dac ă
datele sale sunt protejate fa Ńă de uzul neautorizat adic ă doar destinatarul
unui mesaj poate descifra con Ńinutul acestuia, fapt care se poate realiza prin
utilizarea unor algoritmi criptografici . Sistemele criptografice transform ă
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 55 – un text în clar într-un text criptat. Sunt dou ă tipuri de sisteme criptografice:
simetrice și asimetrice. Sistemele simetrice folosesc o singur ă cheie, secret ă,
atât pentru criptare, cât și pentru decriptare. Criptosistemele asimetrice
utilizeaz ă chei diferite. Cheile folosite la decriptate sunt secrete, pe când
cele folosite la criptare sunt f ăcute publice. În acest fel doar destinatarul de
drept al mesajului va putea descifra con Ńinutul acestuia, presupunând c ă
de Ńine cheia privat ă de decriptare. Sistemele simetrice se mai numesc și
sisteme cu chei private, iar cele asimetrice sistem e cu chei publice. Acestea
din urm ă sunt mai lente și impun folosirea unor mecanisme de distribu Ńie
sigur ă a cheilor.
Lungimea cheii de criptare variaz ă și depinde de nivelul de
securitate dorit. Aceasta poate fi de exemplu de 40 , 64 sau 128 de bi Ńi. De și
cre șterea lungimii cheii de criptare reduce șansele de atac brut, aceasta poate
fi f ăcut ă numai în condi Ńiile cre șterii performan Ńelor procesoarelor (ca
num ăr de opera Ńii pe secund ă) pentru a nu întârzia transmisia.
Algoritmii matematici de criptare sunt și ei diferi Ńi ca nivel de
robuste Ńe la atacurile criptografice (DES, 3DES, IDEA, RC4, RSA, AES
etc). Oricum, în timp, algoritmii de criptare sunt tot mai mult analiza Ńi, tot
mai multe vulnerabilit ăŃi ale lor sunt depistate și variate modalit ăŃi de atac
asupra lor sunt g ăsite. Optimizarea acestor algoritmi și proiectarea altora noi
este esen Ńial ă pentru eficien Ńa opera Ńiei de criptare a datelor.
DES ( Data Encryption Standard ) reprezint ă un cifru bloc, cu cheie
simetric ă, care prin utilizarea unor opera Ńii simple de permutare și
substitu Ńie, cripteaz ă un bloc de 64 de bi Ńi, cu ajutorul unei chei tot de 64 de
bi Ńi. Algoritmul de criptare difer ă de cel de decriptare prin utilizarea în
ordine invers ă a subcheilor. Lungimea mult prea scurt ă a cheii de criptare
Securitatea re Ńelelor de comunica Ńii
– 56 – DES îl face vulnerabil în fa Ńa atacului, ceea ce a dus la folosirea din ce în ce
mai pu Ńin a acestuia.
3DES (Triple DES ) reprezint ă varianta îmbun ătăŃit ă a algoritmului
DES simplu, prin cre șterea domeniului cheii. Acesta aplic ă de trei ori
algoritmul DES (cu 2 sau 3 chei distincte) ceea ce îl face mult prea lent în
compara Ńie cu al Ńi algoritmi simetrici.
RSA ( Rivest, Shamir, Adleman ) este cel mai utilizat standard pentru
criptare și semnare care folose ște chei publice. Securitatea algoritmului are
la baz ă dificultatea factoriz ării numerelor foarte mari. În principal RSA este
utilizat pentru generarea semn ăturilor digitale și criptarea unor volume mici
de date deoarece este destul de lent.
IDEA ( International Data Encryption Algorithm ) este un cifru bloc
simetric utilizat pentru criptarea unui bloc de dat e de lungime 64 de bi Ńi cu
ajutorul unei chei de 128 de bi Ńi. În prezent, este considerat ca fiind unul
dintre cei mai rapizi și mai siguri algoritmi. Decriptarea se face identic ca în
procesul de criptare, cu diferen Ńa utiliz ării unui set diferit de chei,
determinat din cele utilizate la criptare.
Blowfish este un cifru bloc simetric, cu ajutorul c ăruia pot fi
criptate/decriptate blocuri de date de 64 de bi Ńi cu ajutorul unei chei de
lungime variabil ă. Este un algoritm rapid, imposibil de spart în var ianta de
aplicare în 16 pa și. Poate înlocui DES și IDEA. Decriptorul utilizeaz ă
aceleași opera Ńii ca și algoritmul de criptare îns ă subcheile se aplic ă în
ordine inversa.
AES ( Advanced Encryption Standard ) este un algoritm simetric
utilizat pentru criptarea unui bloc de date de lung ime 128, 192 sau 256 de
bi Ńi cu ajutorul unei chei cu aceea și lungime. Este un algoritm rapid și u șor
de implementat. Este standardul actual cu chei sime trice. Algoritmul de
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 57 – decriptare AES presupune inversarea func Ńiilor utilizate la criptare și
aplicarea acestora în ordine invers ă.
Modalit ăŃile de generare, transmitere și gestionare a cheilor de
criptare afecteaz ă securitatea datelor stocate sau transferate în re Ńea.
Neutilizarea cheilor de criptare slabe sau compromi se constituie o sarcin ă
important ă a sistemului de gestionare a cheilor. Mecanismul K erberos este
indicat pentru distribu Ńia sigur ă a cheilor de criptare.
Schimbarea periodic ă automat ă a cheii de criptare reduce riscul
deducerii acesteia din secven Ńa de date transmis ă.
Un alt serviciu de securitate, integritatea informa Ńiilor, se refer ă la
acele metode de securitate care trebuie implementat e pentru a se evita
modificarea sau ștergerea f ără autoriza Ńie a informa Ńiilor. Printre metodele
care pot asigura integritatea datelor se num ără: tehnica hash, semn ăturile
digitale, certificatul digital și marcarea informa Ńiilor.
Tehnica hash presupune utilizarea unei func Ńii de transformare prin
care se ob Ńine un cod unic de identificare a datelor. Dac ă informa Ńiile
transmise sunt modificate în timpul transmisiei, ac est cod unic nu se va mai
potrivi la recep Ńie.
Semn ăturile digitale sunt o modalitate prin care se poate demonstra
autenticitatea originii unui mesaj dar și verificarea integrit ăŃii acestuia. De
asemenea, semn ăturile digitale asigur ă non-repudierea mesajelor transmise
sau a serviciilor de re Ńea folosite. Semn ăturile digitale se realizeaz ă prin
tehnici de criptare asimetric ă. Ele se realizeaz ă cu ajutorul cheii private și
sunt verificate la recep Ńie cu ajutorul cheii publice. Exist ă numero și
algoritmi pentru generarea semn ăturilor digitale, dintre care cel mai utilizat
este RSA.
Securitatea re Ńelelor de comunica Ńii
– 58 – Certificatele digitale asigur ă autenticitatea cheilor publice de
criptare. Certificatele sunt emise de c ătre o autoritate de certificare. Aceasta
trebuie s ă se bucure de încrederea mutual ă a entit ăŃilor care comunic ă.
Marcarea unui mesaj se realizeaz ă fie prin semnarea digital ă a
mesajului, fie prin ata șarea unei informa Ńii specifice pentru protec Ńia
drepturilor autorului.
O re Ńea de comunica Ńii poate fi vulnerabil ă la atacuri atât din punct
de vedere hardware (atacul la integritatea fizic ă), cât și software
(posibilitatea folosirii neautorizate a informa Ńiilor). Printre cele mai
importante categorii de atacuri se num ără: atacurile locale și cele de la
distan Ńă , atacurile pasive și cele active.
Atacurile locale pot fi evitate prin distribuirea selectiv ă a drepturilor
utilizatorilor în re Ńea, precum și educarea corespunz ătoare a acestora. I
În cazul atacurilor de la distan Ńă este dificil ă localizarea și
identificarea atacatorilor. Pentru evitarea atacuri lor de la distan Ńă , pentru
realizarea controlului comunica Ńiei dintre o re Ńea public ă și una privat ă, se
poate utiliza un firewall . VPN-urile reprezint ă re Ńele virtuale private care
asigur ă comunicarea în mod sigur prin intermediul unei re Ńele publice
nesigure. Acestea dou ă (firewall-ul și VPN-urile) au în comun faptul c ă
delimiteaz ă o zon ă de ap ărare în care accesul este restric Ńionat.
Atacurile pasive sunt doar atacuri de intercep Ńie. Atacatorul nu
modific ă în nici un fel informa Ńiile transferate în re Ńea dar le poate folosi în
alte scopuri și de aceea este necesar ă prevenirea Ńi contracararea lor.
În schimb, atacurile active determin ă modificarea, deteriorarea sau
întârzierea informa Ńiilor transferate prin intermediul re Ńelelor de
comunica Ńii.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 59 – Toate aceste tipuri de atacuri, pot fi evitate prin implementarea unor
tehnici de securitate corespunz ătoare, pe baza unor politici de securitate a
re Ńelelor bine definite.
O categorie aparte o constituie atacurile criptografice care
ac Ńioneaz ă asupra criptosistemelor, prin care se urm ăre ște determinarea
cheilor pentru decriptare sau ob Ńinerea mesajelor în clar. Cel mai cunoscut
atac criptografic este atacul brut, care const ă în testarea tuturor cheilor
posibile pentru determinarea celei corecte.
Prin implementarea unor tehnici de securitate adecvate într-o re Ńea
de comunica Ńii se pot evita intercep Ńia, accesarea și falsificarea informa Ńiilor
în mod neautorizat. Cerin Ńele de rapiditate și func Ńionalitate ale re Ńelei
afecteaz ă de multe ori deciziile privind securitatea în detr imentul protec Ńiei
datelor. Neactivarea op Ńiunilor de securizare (WEP, WPA, WPA2, WPA-
PSK) conduce la cre șterea vitezei de transmisie dar permite preluarea
neautorizat ă a informa Ńiilor.
O metod ă de reducere a interferen Ńelor dintre canale și de cre ștere a
securit ăŃii comunica Ńiei o reprezint ă extensia spectrului semnalului transmis,
de exemplu cu salturi de frecven Ńă (FHSS) sau cu secven Ńă direct ă (DSSS),
pe baza unei secven Ńe binare pseudoaleatoare. Necunoa șterea acestei
secven Ńe împiedic ă detec Ńia semnalului util și preluarea informa Ńiei
transmise.
O metod ă de atac asupra re Ńelelor este și cea de perturbare a
comunica Ńiilor radio ( electronic warfare ), de exemplu prin bruiaj, cu scopul
întreruperii totale a acestora. Sunt trei categorii de m ăsuri de protec Ńie fa Ńă
de perturba Ńiile specifice comunica Ńiilor radio:
1. ECM ( Electronic Counter Measure ) pentru a opri folosirea
neautorizat ă a unei benzi de transmisie;
Securitatea re Ńelelor de comunica Ńii
– 60 – 2. ESM ( Electronic Support Measure ) pentru intercep Ńia, identificarea,
analiza și localizarea atacatorilor;
3. ECCM ( Electronic Counter – Countermeasure ) pentru planificarea și
proiectarea corespunz ătoare a re Ńelei, respectiv a serviciilor de
securitate, în vederea preîntâmpin ării atacurilor asupra ei.
În prima categorie, ECM, sunt incluse metodele de p rotec Ńie
antibruiaj, care pot folosi fie tehnici de extensie a spectrului, fie filtre
adaptate pentru maximizarea raportului de puteri se mnal-zgomot de bruiaj.
Ca m ăsuri de tip ECCM putem considera alegerea unei benz i de
frecven Ńe licen Ńiate, cu frecven Ńe mai mari pentru care analizoarele de
spectru și alte echipamente s ă aib ă costuri suficient de mari pentru a fi
inaccesibile marii majorit ăŃi a hackerilor, protec Ńia zonei de acoperire a
re Ńelei WLAN la interferen Ńe radio cu ecrane adecvate, de exemplu ecrane
din aluminiu plasate în imediata vecin ătate a unui AP pentru a cre ște
raportul radia Ńiilor fa Ńă -spate și pentru a reduce șansele celor din exterior de
a intercepta ( eavesdropping ) sau de a perturba transmisia. Utilizarea
antenelor directive în locul celor omnidirec Ńionale reprezint ă o solu Ńie de
restrângere a ariei în care traficul de date prin u nde radio poate fi
interceptat.
Prin combinarea diverselor metode de securizare a c omunica Ńiilor
(autentificare, criptare, extensie de spectru) din re Ńelele Wi-Fi simple sau
mixte (Wi-Fi și cablate) se asigur ă cre șterea gradului de securitate.
În standardul IEEE 802.11n adresat sistemelor MIMO ( Multiple
Input Multiple Output ) de Internet mobil, în care gradul de utilizare a
serviciului de roaming este deosebit de mare, trebuie prev ăzute m ăsuri
adecvate și performante de reducere a riscurilor de securitat e.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 61 – Măsurile de securitate se pot aplica pe toate nivelel e suitelor de
protocoale folosite (în particular, TCP/IP) fiind i ndicat ă folosirea
protocoalelor de securitate precum TLS ( Transport Layer Security ), SSL
(Secure Socket Layer ), HTTPS ( HyperText Transfer Protocol Secure ), IPsec
(IP security ) pentru a împiedica preluarea pachetelor și a informa Ńiilor
secrete sau confiden Ńiale transmise prin re Ńeaua public ă. Serviciile oferite
prin intermediul paginilor web folosind protocolul HTTPS sunt mai sigure
deoarece folosesc un alt port pentru conexiunea rea lizat ă prin TCP (443) și
introduc opera Ńii de criptare între nivelul de aplica Ńie pe care lucreaz ă
protocolul HTTP și cel de transport corespunz ător protocolului TCP.
În concluzie, putem afirma c ă utilizarea m ăsurilor de securitate
este destul de costisitoare ca pre Ń și resurse astfel încât aplicarea lor se
justific ă pentru informa Ńiile care necesit ă cu adev ărat protec Ńie (date de
identificare, parole, informa Ńii de configurare, date confiden Ńiale, informa Ńii
cu caracter secret „mission-critical data”).
II.2 ANALIZA SECURIT Ăł II RE łELEI
Analiza securit ăŃii datelor într-o re Ńea presupune în primul rând
identificarea cerin Ńelor de func Ńionare pentru acea re Ńea, apoi identificarea
tuturor amenin Ńă rilor posibile (împotriva c ărora este necesar ă protec Ńia).
Aceast ă analiz ă const ă în principal în trei sub-etape:
/square4 analiza vulnerabilit ăŃilor – identificarea elementelor poten Ńial slabe
ale re Ńelei
Securitatea re Ńelelor de comunica Ńii
– 62 – /square4 evaluarea amenin Ńă rilor – determinarea problemelor care pot ap ărea
datorit ă elementelor slabe ale re Ńelei și modurile în care aceste
probleme interfer ă cu cerin Ńele de func Ńionare
/square4 analiza riscurilor – posibilele consecin Ńe pe care bre șele de securitate
le pot crea, gradul de admisibilitate a lor.
Urm ătoarea etap ă const ă în definirea politicii de securitate, ceea ce
înseamn ă s ă se decid ă:
• care amenin Ńă ri trebuie eliminate și care se pot tolera
• care resurse trebuie protejate și la ce nivel
• cu ce mijloace poate fi implementat ă securitatea
• care este pre Ńul (financiar, uman, social etc.) m ăsurilor de securitate
care poate fi acceptat.
Odat ă stabilite obiectivele politicii de securitate, urm ătoarea etap ă
const ă în selec Ńia serviciilor de securitate – func Ńiile individuale care sporesc
securitatea re Ńelei. Fiecare serviciu poate fi implementat prin me tode
(mecanisme de securitate) variate pentru implementa rea c ărora este nevoie
de a șa-numitele func Ńii de gestiune a securit ăŃii. Gestiunea securit ăŃii într-o
re Ńea const ă în controlul și distribu Ńia sigur ă a informa Ńiilor c ătre toate
sistemele deschise ce compun re Ńeaua, în scopul utiliz ării serviciilor și
mecanismelor de securitate și al raport ării evenimentelor de securitate ce pot
ap ărea c ătre administratorii de re Ńea.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 63 – II.3 MODELE DE SECURITATE
O re Ńea de calculatoare este un sistem complex cu mul Ńi utilizatori,
cu drepturi diferite de utilizare a resurselor, iar securitatea acesteia trebuie
asigurat ă modular, pe mai multe nivele: fizic, logic și informa Ńional.
Modelul de securitate centrat pe informa Ńie sau pe subiect are mai
multe straturi care reprezint ă nivelele de securitate (figura II.1) . Acestea
ofer ă protec Ńie subiectului ce trebuie securizat. Fiecare nivel izoleaz ă
subiectul și îl face mai dificil de accesat în alt mod decât c el în care a fost
prev ăzut. Acest model este denumit sugestiv în literatur a de specialitate
“modelul ceap ă” ( onion model ). Fiecare nivel sau strat ofer ă un plus de
securitate informa Ńiei cu caracter secret.
Nivelele de securitate din acest model au urm ătoarele semnifica Ńii:
SF – Securitatea fizic ă;
SLA – Securitatea logic ă a accesului;
SLS – Securitatea logic ă a serviciilor;
SI – Secretizarea informa Ńiei;
II – Integritatea informa Ńiei.
Un sistem de securitate func Ńional trebuie s ă asigure accesul la
resurse prin verificarea drepturilor de acces pe to ate aceste nivele, f ără
posibilit ăŃi de evitare a lor.
Securitatea re Ńelelor de comunica Ńii
– 64 –
Figura II.1 Modelul stratificat de securitate
Modelul de securitate stratificat se preteaz ă cel mai bine într-un
anumit nod de re Ńea. Dar procesele de comunica Ńie implic ă dou ă sau mai
multe noduri de re Ńea precum și c ăile de transmisie dintre acestea. Prin
urmare, securitatea trebuie urm ărit ă în fiecare nod al re Ńelei dar și pe fiecare
cale sau flux de comunica Ńie (flow) din re Ńea.
Pentru modelarea serviciilor de securitate din sis temele
informatice, se folose ște și modelul distribuit de securitate, de tip „arbore”
(Figura II.2).
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 65 –
Figura II.2 Model de securitate arborescent
Modelul de securitate de tip „arbore” trebuie apli cat în cazul în
care se acceseaz ă resurse distribuite pe mai multe servere din re Ńea.
Informa Ńiile sunt transferate de la nodul-surs ă la nodul-destina Ńie prin
intermediul mai multor noduri de re Ńea și pe diverse c ăi fizice de
comunica Ńie, „cu sau f ără fir”. Gradul de securitate oferit unui proces de
transfer de date în re Ńea va fi dat de cel mai „slab” segment al c ăii de
transfer (nod sau canal de comunica Ńie). De aceea, pentru reducerea
riscurilor de securitate din re Ńea, este necesar ă securizarea tuturor
segmentelor implicate în procesul de comunica Ńie la gradul de securitate
dorit pentru fiecare mesaj.
Clientul este reprezentat ca nod-r ădăcin ă în diagrama de mai sus,
serverele ca noduri-terminale, iar echipamentele de comunica Ńie din re Ńea ca
și noduri intermediare. În fiecare nod se poate apli ca primul model de
securitate centrat pe subiect. Conexiunile dintre n oduri sunt c ăile fizice de
comunica Ńie, de tip radio sau cablate. În cazul re Ńelelor cu topologie
redundant ă, de tip „plas ă” (mesh) este dificil de identificat „arborele” de
Securitatea re Ńelelor de comunica Ńii
– 66 – comunica Ńie dar acesta poate fi impus prin decizii de rutare strict ă pe o
anumit ă cale din re Ńea.
Pentru rutarea unui pachet cu un anumit grad de se curitate
specificat este necesar ă definirea unei metrici de securitate care s ă poat ă fi
aplicat ă în graful re Ńelei. Spre deosebire de metricile uzuale folosite d e
algoritmii de rutare, metrica vizând securitatea tr ebuie s ă includ ă și nivelul
de securitate oferit de nodurile care delimiteaz ă un arc din graf. De
asemenea, este util ă folosirea grafurilor orientate și reprezentarea separat ă a
căilor de transmisie de tip up-link și down-link dintre dou ă noduri de re Ńea,
în cazul comunica Ńiilor asimetrice, cu medii și tehnologii diferite de
transmisie. Metrica de securitate se va stabili pe baza riscului de securitate
pe care îl prezint ă un anumit element din graful re Ńelei. Decizia privind ruta
optim ă din punct de vedere al securit ăŃii transmisiei va viza reducerea
riscului de securitate la nivelul impus de costuril e maxim admise. Gradul de
securitate al unui pachet poate fi exprimat prin bi Ńii op Ńionali de securitate
inclu și în antetul pachetului.
Modelul de securitate arborescent este deosebit de util pentru
analiza atacurilor distribuite lansate în re Ńea din și spre mai multe noduri,
pentru a fi mai greu de identificat atacatorul și pentru a cre ște eficien Ńa de
atac.
Monitorizarea proceselor de comunica Ńie și a evenimentelor de
securitate, simultan cu clasificarea și ierarhizarea lor pe mai multe grade de
risc pe principiul sistemelor fuzzy, permite stabil irea unei strategii de
securitate optime și aplicarea unor m ăsuri eficiente de contraatac folosind
modelul arborescent de securitate.
În domeniul re Ńelelor de comunica Ńii, s-au propus diverse modele
securitate de c ătre firmele produc ătoare de echipamente și de programe
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 67 – software, pentru diferite domenii de aplicabilitate care necesit ă protec Ńia
informa Ńiilor cu caracter privat sau confiden Ńial (în domeniul s ănătăŃii
popula Ńiei HIPAA – Health Insurance Portability and Accountability Act , în
domeniul financiar-bancar și de asigur ări GLBA – Gramm-Leach-Bliley Act,
precum și în cel al pl ăŃilor prin intermediul cardurilor bancare PCI DSS –
Payment Card Industry Data Security Standard și altele).
II.4 SECURITATEA FIZIC Ă
Securitatea fizic ă (IRL – in real life security ) trebuie s ă constituie
obiectul unei analize atente în cazul re Ńelelor de comunica Ńii. Aceasta
cuprinde atât securitatea mediului de transmisie, c ât și a tuturor
echipamentelor din re Ńea.
Securitatea fizic ă reprezint ă nivelul exterior al modelului de
securitate și const ă, în general, în protec Ńia “sub cheie” a echipamentelor
informatice într-un birou sau într-o alt ă incint ă precum și asigurarea pazei și
a controlului accesului.
Conform statisticilor 80 % din atacuri pornesc din interiorul re Ńelei.
Este foarte dificil s ă se ob Ńin ă o schem ă complet ă a tuturor entit ăŃilor
și opera Ńiilor active la un moment dat în re Ńea, deoarece acestea sunt sisteme
complexe, cu un num ăr foarte mare de echipamente, în particular
calculatoare (uneori de ordinul sutelor de mii sau milioanelor la nivel
macro), și cu numeroase linii de leg ătur ă. Din aceast ă cauz ă, reŃelele de
comunica Ńii sunt aproape imposibil de administrat manual în mod eficient,
ele devenind vulnerabile la diferite atacuri extern e, dar și interne.
Securitatea re Ńelelor de comunica Ńii
– 68 – Aceast ă complexitate este generat ă de:
/head2right dispersarea geografic ă, uneori intercontinental ă a componentelor
re Ńelei;
/head2right implicarea mai multor organiza Ńii în administrarea unei singure
re Ńele;
/head2right existen Ńa unor tipuri diferite de echipamente și sisteme de operare;
/head2right existen Ńa unui num ăr foarte mare de entit ăŃi în re Ńea.
Personalul care se ocup ă de administrarea re Ńelei trebuie s ă asigure și
să respecte m ăsurile de bun ă func Ńionare și securitate fizic ă prev ăzute de
politica de securitate a re Ńelei:
/head2right cablurile și echipamentele distribuite din re Ńea trebuie s ă fie protejate
prin montarea acestora pe perete, în locuri cu traf ic redus pentru a se
evita defectarea lor accidental ă sau inten Ńionat ă;
/head2right serverele de re Ńea trebuie protejate de accesul fizic neautorizat a l
unor persoane, prin amplasarea acestora în incinte închise, cu acces
restric Ńionat;
/head2right echipamentele din re Ńea trebuie protejate de anumite perturba Ńii de
tensiune din re Ńeaua de alimentare cu energie electric ă, folosind
surse de energie electric ă neîntreruptibile (UPS – Uninterruptible
Power Supply ), care trebuie s ă asigure func Ńionarea neîntrerupt ă a
celor mai importante echipamente din re Ńea;
/head2right accesul fizic la componentele critice din re Ńea trebuie securizat
folosind dispozitive cu chei, carduri sau coduri de acces, senzori de
mi șcare, de identificare biometric ă (amprente digitale, semnatur ă,
voce, forma mâinii, imaginea retinei sau a fe Ńei etc.);
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 69 – Tehnicile de identificare biometric ă sunt relativ scumpe în
compara Ńie cu cele clasice și deseori incomode sau nepl ăcute la utilizare, dar
se dovedesc a fi cele mai eficiente pentru securiza rea accesului fizic la re Ńea.
Securitatea fizic ă poate fi asigurat ă prin:
/square4 amenajarea adecvat ă a spa Ńiului re Ńelei astfel încât s ă fie descurajate
eventualele tentative de intruziune (IPS – Intrusion Prevention
System );
/square4 restric Ńionarea, controlul și monitorizarea video a accesului fizic;
/square4 detectarea intru șilor (IDS – Intrusion Detection System ) din spa Ńiile
nesupravegheate cu ajutorul sistemelor automate de alarmare (RAI –
Remote Alarm Indicator ).
Măsurile de securitate fizic ă a re Ńelei se stabilesc pe baza analizei
riscurilor și vulnerabilit ăŃilor de securitate ale re Ńelei, pe baza politicii de
securitate adoptate și se implementeaz ă de către grupul de administrare
folosind diferite produse software și hardware.
II.5 SECURITATEA LOGIC Ă
Securitatea logic ă se refer ă la protec Ńia accesului logic la resursele și
serviciile de re Ńea. Aceasta se realizeaz ă prin metode și facilit ăŃi software
care asigur ă controlul drepturilor de acces și utilizare.
Se disting dou ă mari nivele de securitate logic ă, fiecare cu mai multe
subnivele:
/square4 securitatea logic ă a accesului (SLA) care include: accesul la
sistem/re Ńea, la contul de utilizator și la documente (fi șiere).
Securitatea re Ńelelor de comunica Ńii
– 70 – /square4 securitatea logic ă a serviciilor (SLS) care cuprinde accesul la
serviciile de sistem/re Ńea pe baza listelor de a șteptare, intrare/ie șire
de pe disc, controlul și gestionarea serviciilor (management).
Controlul serviciilor (CS) monitorizeaz ă și raporteaz ă starea
serviciilor, activeaz ă sau dezactiveaz ă serviciile oferite de sistem și de re Ńea.
Drepturile la servicii (DS) stabilesc cine și cum folose ște un anumit
serviciu.
II.5.1 SECURITATEA LOGIC Ă A ACCESULUI
În orice re Ńea de calculatoare, sistemul de securitate trebuie s ă
determine care sunt persoanele autorizate, vizitato rii sau categoriile de
utilizatori indezirabili, neautorizate.
De regul ă, identificarea, autentificarea și autorizarea persoanelor cu
drept de acces se realizeaz ă prin intermediul numelor și al parolelor de
utilizator.
Parolele sunt utilizate pentru a se permite accesul la calculatoarele
din re Ńea, fie ca utilizatori, fie în grupuri de utilizato ri.
Sistemul parolelor, oricât de complex, nu ofer ă un nivel de securitate
suficient, acesta depinzând în mod esen Ńial de modul de p ăstrare a
caracterului lor secret.
De cele mai multe ori, utilizatorii î și aleg parole cu un num ăr mic de
caractere, redundante și cu o anumit ă semnifica Ńie care s ă le permit ă
memorarea u șoar ă a acestora (nume, date importante, numere de ma șin ă
etc.) toate fiind vulnerabile în fa Ńa unor sp ărg ători califica Ńi care de Ńin deja
unele informa Ńii private. Programele actuale de baleiere a seturi lor de
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 71 – caractere pentru atacul brut de deducere a parolei sau a codului de acces
sunt destul de performante.
O gre șeal ă comun ă a celor mai pu Ńin aviza Ńi o reprezint ă păstrarea
parolelor sub form ă scris ă, pe hârtie sau în documente electronice, de teama
de a nu fi uitate.
Cre șterea securit ăŃii logice accesului la conturile de utilizator este
posibil ă prin folosirea unor parole sub forma unor combina Ńii de caractere
aleatoare, relativ lungi, schimbate periodic, acces ibile doar persoanelor
autorizate și de încredere. În cazul sistemelor care vehiculeaz ă informa Ńii cu
caracter secret (confiden Ńiale sau private), parolele sunt atribuite de
persoanele responsabile de securitatea sistemului, în particular,
administratorul de re Ńea.
Având în vedere importan Ńa parolelor în sistemul de securitate al
re Ńelei, se impune respectarea unor reguli de alegere, gestionare și p ăstrare a
parolelor, stabilite în cadrul politicii de securit ate:
1. Parolele sunt șiruri de caractere alfanumerice – cifre, litere mar i și
mici, alte caractere, ordonate aleator. Pentru o pa rol ă de 4 caractere
trebuie încercate circa 256000 de combina Ńii dar sistemele actuale
sunt suficient de performante pentru a o deduce în doar câteva
minute. Combina Ńiile scurte de caractere sunt vulnerabile fa Ńă de
“profesioni ști”. Se impune alegerea unei combina Ńii cât mai lungi, de
tip “passphrase” fa Ńă de care atacul brut s ă devin ă ineficient. La o
astfel de combina Ńie apare problema memor ării sau a transferului ei
în condi Ńii de siguran Ńă .
2. Parolele trebuie s ă fie schimbate periodic, m ăcar o dat ă la 6 luni, dar
pentru informa Ńiile deosebit de importante se impun termene și mai
scurte.
Securitatea re Ńelelor de comunica Ńii
– 72 – 3. Parolele comune trebuie înlocuite imediat ce o pers oan ă părăse ște un
grup. De aceea este indicat ca includerea unei pers oane într-un grup
să se fac ă abia dup ă ce s-a dovedit a fi de încredere și stabil ă.
4. Parolele trebuie s ă fie schimbate imediat ce apar unele b ănuieli
privind cunoa șterea lor de persoane neautorizate sau atunci când, din
anumite motive, secretul lor a trebuit s ă fie dezv ăluit pentru
redresarea unei stari de urgenta.
5. Parolele trebuie s ă fie Ńinute minte și nu scrise, cu excep Ńia celor
pentru situa Ńii de urgen Ńă . Fiecare parol ă scris ă se păstreaz ă într-un
plic sigilat pe care sunt înscrise detalii privind echipamentul la care
poate fi folosit ă și numele celor autoriza Ńi să o foloseasc ă. Dup ă
ruperea sigiliului, pe plic vor fi scrise data și numele celor care au
aflat parola. Plicurile cu parole se p ăstreaz ă în condi Ńii de siguran Ńă ,
de c ătre persoana responsabil ă de securitatea re Ńelei.
6. Dac ă parolele-duplicat se p ăstreaz ă stocate pe calculator, astfel de
fi șiere trebuie s ă fie protejate împotriva accesului neautorizat și
create copii de siguran Ńă . Listele cu parole pot fi memorate în form ă
criptat ă.
7. Parolele nu trebuie afi șate pe echipamentele din configura Ńia
sistemului, iar la introducerea acestora de la tast atur ă nu trebuie s ă se
afle persoane str ăine în preajm ă.
8. Pentru blocarea opera Ńiunilor de g ăsire a parolelor și a codurilor de
acces prin încerc ări repetate, de ordinul miilor, echipamentul de
re Ńea trebuie s ă permit ă un num ăr limitat de încerc ări de introducere
a acestora, uzual trei, urmat de perioade de refuz al accesului. Dac ă
limita a fost dep ășit ă de c ătre utilizator, inten Ńia trebuie raportat ă
administratorului de re Ńea, înso Ńit ă de un semnal sonor specific de
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 73 – avertizare. Acesta trebuie s ă blocheze terminalul de la care s-au
efectuat prea multe încerc ări e șuate și de asemenea tot el îl va repune
în func Ńiune. În cazul sistemelor speciale, se recomand ă și
supravegherea s ălii sau a locului de unde s-a încercat accesarea pr in
parole eronate repetate, pentru identificarea perso anei respective.
9. Odat ă ce au p ătruns în sistem, utilizatorilor nu trebuie s ă li se
permit ă schimbarea identit ăŃii cu care au efectuat deschiderea
sesiunii și nici s ă acceseze documente sau resurse alocate altor
utilizatori. În re Ńelele cu un num ăr foarte mare de utilizatori se
recomand ă folosirea unor programe software pentru securizare , cu
control automat al accesului în re Ńea, f ără interven Ńia explicit ă a
administratorului.
10. Dac ă un terminal func Ńioneaz ă o perioad ă lung ă de timp, procesul de
autentificare trebuie reluat la intervale regulate de timp pentru a se
asigura c ă nu folose ște altcineva sistemul. Dac ă terminalul r ămâne
neutilizat, dar deschis și nesupravegheat, acesta trebuie s ă se
“încuie” ( lock ) automat dup ă un anumit interval de timp, pentru a
evita folosirea unui cont autorizat de acces de c ătre persoane rău
inten Ńionate.
11. La deschiderea unei noi sesiuni de lucru, utilizato rului trebuie s ă i se
aduc ă la cunostin Ńă când a fost accesat ultima dat ă sistemul cu parola
respectiv ă, pentru a observa dac ă altcineva a folosit-o între timp.
12. În cazul acces ării unor resurse informa Ńionale deosebit de
importante, precum baze de date, fi șiere de configurare, servere,
fi șiere din sistemul de operare, liste cu parole, etc. se impune
controlul dual al parolei iar cele dou ă persoane responsabile
Securitatea re Ńelelor de comunica Ńii
– 74 – trebuie să fie con știente de riscurile și consecin Ńele declan șă rii unor
opera Ńiuni împotriva re Ńelei.
II.5.2 SECURITATEA LOGIC Ă A SERVICIILOR
Dup ă realizarea identific ării sau ”legitim ării” persoanei, în urma
căreia se ob Ńine accesul fizic la resursele re Ńelei, se realizeaz ă introducerea
parolei fie direct de la tastatur ă, fie prin introducerea într-un echipament
special a unui document care s ă con Ńin ă parola (de exemplu, un cititor de
card), ob Ńinându-se astfel și accesul logic la resursele re Ńelei.
Serverul de autentificare verific ă parola pe baza unei liste pentru
controlul accesului stocate într-o baz ă de date local ă sau „la distan Ńă ”. Pe
baza numelui și parolei, utilizatorului i se permite accesul și i se garanteaz ă
respectarea privilegiilor predefinite la anumite re surse ale sistemului, cum ar
fi:
/head2right Drept de execu Ńie – prin care poate lansa în execu Ńie un program,
dar nu i se permite s ă modifice structura acestuia;
/head2right Drept de citire – prin care poate citi un fi șier, dar nu îi este permis ă
nici o alt ă opera Ńiune;
/head2right Drept de scriere – prin care i se ofer ă posibilitatea de scriere a
datelor în fi șierul deschis, dar i se interzic alte opera Ńiuni;
/head2right Drept de citire / scriere – prin care poate citi fi șierul și i se ofer ă și
posibilitatea de scriere în el;
/head2right Drept de ștergere – prin care utilizatorul poate efectua ștergerea
unor date din fi șiere.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 75 – Sistemele de operare actuale ofer ă metode de administrare a
drepturilor de acces al fi șierelor pentru anumi Ńi utilizatori sau grupuri de
utilizatori. Aceste sisteme au capacitatea de a con trola opera Ńiile ce pot fi
realizate asupra fi șierelor din sistem.
Pentru ilustrarea modului în care se pot realiza li mit ările la serviciile
și resursele unui sistem, se consider ă drept exemplu, sistemul de operare
UNIX, în care permisiunile de acces sunt exprimate printr-o secven Ńă de 10
caractere format ă din:
/square4 primul caracter ilustreaz ă tipul fi șierului ( ”-” pentru fi șier obi șnuit,
”d” pentru director, ”l” pentru un link etc.);
/square4 trei grupuri de câte trei caractere fiecare: primul grup specific ă
opera Ńiile permise ”proprietarului” resursei ( owner ), cel de-al doilea
triplet se refer ă la drepturile acordate grupului de utilizatori ( group ),
iar cel de-al treilea exprim ă permisiunile celorlal Ńi utilizatori
(others ), al Ńii decât proprietarul și grupul c ăruia îi apar Ńine acesta.
Fiecare grup de 3 caractere are urm ătoarea semnifica Ńie:
/square4 primul caracter exprim ă dreptul sau interdic Ńia de citire (”r” – read );
/square4 cel de al doilea caracter exprim ă dreptul sau interdic Ńia de scriere
(”w” – write );
/square4 cel de-al treilea caracter exprim ă dreptul sau interdic Ńia de execu Ńie
(”x” – execute ).
Exemplu : Secven Ńa – rwxr-xr– înseamn ă c ă pentru un fi șier obi șnuit
”proprietarul” poate realiza toate tipurile de oper a Ńii, în timp ce cei din
grupul s ău pot citi sau lansa în execu Ńie fi șierul, restul utilizatorilor fiindu-le
permis ă numai opera Ńia de citire.
Secven Ńa de exprimare a drepturilor de utilizatori poate f i echivalat ă
cu o valoare numeric ă octal ă, corespunz ătoare unei secven Ńe de 9 bi Ńi.
Securitatea re Ńelelor de comunica Ńii
– 76 – Fiecare bit are semnifica Ńia corespunz ătoare pozi Ńiei sale, conform regulilor
de mai sus, valoarea „1” exprim ă dreptul de operare iar „0” interdic Ńia de
efectuare a acelei opera Ńii.
Exemplu : Dac ă se exprim ă în binar secven Ńa de drepturi din
exemplul anterior, se ob Ńine șirul de bi Ńi 111101100 și secven Ńa octal ă 754.
Pe tot parcursul acces ării re Ńelei, trebuie monitorizat accesul la
servicii și resurse informa Ńionale pentru a depista eventualele tentative sau
evenimente de fraud ă, prin „dep ăș irea” restric Ńiilor impuse de c ătre
utilizatorii autoriza Ńi ai re Ńelei. Pentru un num ăr mare de utilizatori activi la
un anumit moment în re Ńea, este necesar ă utilizarea unor programe de
securitate cu facilit ăŃi de monitorizare automat ă a accesului la servicii și
resurse, precum și de solu Ńionare automat ă a evenimentelor de securitate,
prin punerea în carantin ă a anumitor utilizatori și/sau echipamente cu risc
crescut, urmat ă eventual de restric Ńionarea accesului și chiar excluderea
acestora din re Ńea. Restric Ńiile pot fi impuse pe diferite criterii:
/square4 adrese de re Ńea
/square4 adrese MAC
/square4 porturi logice
/square4 nume de utilizatori
/square4 temporale (anumite zile și ore)
/square4 ierarhice, conform func Ńiei fiec ărui utilizator.
Drepturile utilizatorilor și grupurilor de utilizatori, restric Ńiile care
trebuie impuse și criteriile de stabilire a acestora sunt incluse î n politica de
securitate a re Ńelei.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 77 – II.6 SECURITATEA INFORMA łIILOR
Secretul transmisiei, confiden Ńialitatea mesajelor și autentificarea
surselor de informa Ńie se asigur ă prin diver și algoritmi de criptare a datelor.
Criptografia reprezint ă o ramur ă a matematicii, care se ocup ă cu
securizarea informa Ńiei, precum și cu autentificarea și restric Ńionarea
accesului într-un sistem informatic. În realizarea acestora se utilizeaz ă
metode matematice, bazate de exemplu pe dificultate a factoriz ării
numerelor foarte mari.
Criptarea (encryption ) reprezint ă procesul de conversie a
informa Ńiei obi șnuite (text în clar – plaintext – M) într-un text neinteligibil
(text cifrat – ciphertext – C), cu ajutorul unei chei de criptare, EK:
)(MEC
EK=
Decriptarea (decryption ) este inversul cript ării, adic ă, trecerea de la
textul cifrat, neinteligibil, la textul original, c u ajutorul unei chei, DK.
)(CDM
DK=
Modul de operare detaliat al unui criptosistem este controlat de
algoritmii folosi Ńi pentru criptare și pentru decriptare precum și de
secven Ńele-cheie.
Termenul „cheie” se refer ă la informa Ńia necesar ă pentru a cripta sau
a decripta datele. Securitatea unei chei este deseo ri discutat ă în termeni de
lungime sau de num ăr de bi Ńi ai acesteia, dar nu m ărimea cheii este singura
garan Ńie a robuste Ńii sistemului de securitate a re Ńelei.
Exist ă dou ă categorii de tehnici de criptare, definite în func Ńie de
tipul de cheie utilizat:
• criptarea cu cheie secret ă;
Securitatea re Ńelelor de comunica Ńii
– 78 – • criptarea cu cheie public ă.
Criptosistemele mixte, care utilizeaz ă mai multe chei de transmisie,
de exemplu una secret ă și alta public ă, se dovedesc a fi superioare ca
performan Ńe celor cu cheie unic ă.
Criptosistemele cu spectru extins care se utilizeaz ă pentru
comunica Ńii de band ă larg ă ( broadband communications ), în sisteme radio
terestre sau prin satelit, respectiv pe fibr ă optic ă, folosesc secven Ńe-cheie
pseudoaleatoare, care prin periodicitatea lor sunt vulnerabile în fa Ńa
atacurilor statistice.
Se cunosc numeroase tehnici de criptare bazate pe a lgebr ă (Laplace),
topologie matematic ă și geometrie (Poincaré) sau combinatoric ă. Multe
dintre acestea utilizeaz ă sisteme liniare, relativ u șor predictibile.
Algoritmii de criptare utiliza Ńi în prezent (DES, 3DES, RSA, MD4,
MD5, SHA-1) sunt relativ robu ști fa Ńă de diverse metode de atac dar devin
vulnerabili din cauza lungimii finite a cheilor de criptare și prin faptul c ă au
fost studia Ńi în detaliu de mult timp. De aceea, se dezvolt ă noi algoritmi de
criptare a datelor mai performan Ńi, cu timp redus de procesare și diversitate
mare a cheilor de criptare, baza Ńi pe noi teorii matematice și fizice
(criptografie cuantic ă, criptografie haotic ă). Metodele bazate pe teoria
haosului pot fi aplicate cu succes pentru secretiza rea transmisiei (vezi
sistemul lui Baptista, simplu sau modificat) și pot fi aplicate și în spa Ńii
multidimensionale (ca în cazul imaginilor digitale 2D și 3D, respectiv
pentru transmisii simultane de date-voce, audio-vid eo etc).
Principiul criptografiei bazate pe teoria haosului este dat de difuzia
și confuzia parametrilor traiectoriilor generate pe baza cheii de criptare și a
mesajului transmis. La mici varia Ńii ale cheii de transmisie trebuie s ă apar ă
modific ări extreme ale traiectoriei din spa Ńiul fazelor pentru sistemul
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 79 – dinamic utilizat. Astfel se asigur ă rezisten Ńa criptosistemului fa Ńă de
atacurile brute bazate pe încercarea tuturor cheilo r posibile de transmisie.
Traiectoriile haotice nu sunt nici periodice, nici cvasiperiodice, și au
un aspect aleator, cu un spectru de putere de tip ‘ zgomot alb’ (de band ă
larg ă).
Nici un calculator și nici un program software nu poate prezice
traiectoria unui sistem dinamic haotic deoarece com plexitatea algoritmic ă a
traiectoriilor este pozitiv ă, fiind dat ă de entropia K-S (Kotulski-
Szczepanski) a sistemului. Pe acest fapt se bazeaz ă ideea proiect ării unor
tehnici eficiente de criptare a datelor pe baza teo riei haosului astfel încât
entropia sistemului s ă creasc ă prin codare și s ă dep ăș easc ă limitele
capacit ăŃii computa Ńionale a criptanalistului.
Criptosistemele bazate pe haos utilizeaz ă sisteme dinamice discrete,
descrise de ecua Ńii func Ńionale de stare în care se utilizeaz ă o func Ńie f de
‘dinamic ă a sistemului’, liniar ă sau neliniar ă, extrem de sensibil ă la
condi Ńiile ini Ńiale care determin ă în mod unic evolu Ńia st ărilor
criptosistemului și permite decodarea necatastrofic ă a secven Ńei codate.
x[ n+1] = f(x[ n], n ) ( n – variabila discret ă de timp).
Se prefer ă utilizarea sistemelor dinamice neliniare care pot avea în
regim permanent mai multe mul Ńimi limit ă, cu bazine de atrac Ńie diferite,
dependente într-un mod foarte sensitiv de condi Ńia ini Ńial ă, astfel încât
devine imposibil ă predic Ńia pe termen lung a st ării acestora.
Pentru generarea cheilor de criptare se poate folos i func Ńia logistic ă
neliniar ă urm ătoare:
. 0), 4, 0 (), 1 , 0 ( …, 2 , 1 , 0), 1 (0 1 ≠ ∈ ∈ =−=+ x R x kxRx xk k k k
Securitatea re Ńelelor de comunica Ńii
– 80 – Se pot utiliza si alte func Ńii logistice neliniare (triunghiulare
simetrice sau în form ă de „din Ńi de fier ăstr ău”, exponen Ńiale sau
logaritmice).
Cheia de transmisie, introdus ă de exemplu ca parol ă de utilizator cu
lungime neimpus ă, este utilizat ă pentru ini Ńializarea sistemului haotic care
genereaz ă cheia de criptare pe toat ă durata transmisiei.
Reducerea lungimii cheii de transmisie determin ă cre șterea
redundan Ńei secven Ńei criptate și a riscului de deducere a ei de c ătre
criptanalist.
Pentru reducerea șanselor atacurilor criptografice, lungimea cheii de
criptare trebuie s ă fie comparabil ă cu cea a mesajului.
II.6.1 CRIPTAREA CU CHEIE SECRET Ă
Criptosistemele conven Ńionale au fost concepute pe principiul cheii
secrete, cu o func Ńie de criptare inversabil ă cunoscut ă doar de utilizatori.
Cheia secret ă constituie punctul vulnerabil al sistemului deoare ce odat ă
aflat ă, securitatea tuturor informa Ńiilor transmise este compromis ă.
Decriptorul aplic ă func Ńia invers ă pentru deducerea secven Ńei originale,
folosind aceea și cheie ca la criptare (Figura II.3).
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 81 –
Figura II.3 Schema de principiu a unui sistem de co munica Ńii
cu criptare cu cheie secret ă
Criptarea cu cheie secret ă, cunoscut ă sub numele de criptare
simetric ă, utilizeaz ă o singur ă cheie, K, pentru a cripta și decripta datele.
⇒==D EKKK )(MECK= , )(CDMK=
Securitatea algoritmului cu cheie secret ă depinde deseori de cât de
bine este p ăstrat ă sau distribuit ă cheia secret ă.
Algoritmii cu chei secrete se împart în dou ă mari categorii:
• algoritmi bloc (block cipher ), care proceseaz ă blocuri de date de
lungime fix ă;
• algoritmi de șiruri (stream cipher ), care proceseaz ă la un moment
dat un singur bit sau simbol.
Printre avantajele cript ării cu cheie simetric ă se num ără rapiditatea
procesului de criptare și simplitatea utiliz ării acestuia. Dezavantajele acestei
tehnici sunt legate de necesitatea distribuirii în siguran Ńă a cheii secrete și de
managementul cheilor.
Printre algoritmii de criptare de tip bloc, cu chei e simetric ă, se
num ără:
• DES – Data Encryption Standard
Securitatea re Ńelelor de comunica Ńii
– 82 – • 3DES – Triple DES
• IDEA – International Data Encryption Algorithm
• AES – Advanced Encryption Standard
• Blowfish
Dintre algoritmii de criptare baza Ńi pe șiruri, se remarc ă:
• RC4 – Ron’s Cipher 4
• SEAL – Software-Optimized Encryption Algorithm
• Cifrurile de transpozi Ńie (modific ă ordinea simbolurilor din șir, dup ă
o anumit ă regul ă)
• Cifrurile de substitu Ńie (se înlocuiesc litere sau simboluri, singure
sau în grup, cu altele generate pe baza unor tabele de substitu Ńie).
II.6.2 CRIPTAREA CU CHEIE PUBLIC Ă
Un criptosistem cu cheie public ă, bazat pe func Ńii greu inversabile,
folose ște de fapt o func Ńie inversabil ă într-un singur sens ( one-way
function ), a c ărei invers ă nu poate fi calculat ă practic întrucât acest calcul
implic ă depa șirea fie a capacit ăŃii sistemelor de calcul utilizate, fie a
timpului în care informa Ńiile transmise sunt valabile și considerate secrete
(Figura II.4).
Figura II.4 Schema de principiu a unui sistem de co munica Ńii
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 83 – cu criptare cu cheie public ă
Acest principiu de criptare a fost propus în 1976 d e doi cercet ători,
Diffie și Hellman (DH).
Criptarea cu cheie public ă sau criptarea asimetric ă utilizeaz ă o
pereche de chei. Una dintre aceste chei, cheia public ă ( EK), este utilizat ă
pentru criptarea informa Ńiilor și se caracterizeaz ă prin faptul c ă este
distribuit ă în re Ńeaua public ă de comunica Ńii, în timp ce cealalt ă cheie,
numit ă cheia secret ă ( DK), folosit ă pentru decriptarea informa Ńiilor trebuie
să aib ă caracter secret. Din cheia public ă, este imposibil s ă se determine
cheia secret ă.
D EKK≠=> )(MEC
EK= , ) (CDM
DK=
Algoritmii cu cheie public ă se bazeaz ă, cel mai adesea, pe
complexitatea calculelor și opera Ńiilor care trebuie realizate. Ele pot fi
utilizate pentru generarea semn ăturilor digitale.
Cheile private corespunz ătoare cheilor publice trebuie întotdeauna
securizate și transmise pe canale de comunica Ńii securizate. Unul dintre
mecanismele utilizate pentru stocarea cheii private este cardul inteligent
(smart card ), un dispozitiv electronic asem ănător unei c ărŃi de credit. Un
card criptografic are abilitatea de a genera și stoca chei. Acesta poate fi
vulnerabil la atacuri, dar ofer ă o mai mare securitate fa Ńă de procedeul de
stocare a cheilor private pe un calculator.
Printre algoritmii cu cheie public ă se num ără:
• RSA – Rivest, Shamir, Adelman
• El Gamal
• DH – Diffie-Hellman .
Securitatea re Ńelelor de comunica Ńii
– 84 – II.6.3 MANAGEMENTUL CHEILOR
Una dintre problemele fundamentale atât în sistemel e de
criptografice cu cheie public ă, cât și în cele cu cheie secret ă, o reprezint ă
modalitatea de distribuire și p ăstrare în mod securizat a cheilor utilizate
pentru criptare și decriptare.
Algoritmii cu cheie secret ă depind de ob Ńinerea în mod securizat a
cheii de c ătre toate p ărŃile implicate.
Mecanismul de management al cheilor include mai mul te aspecte:
/head2right Generarea la secret a cheilor
/head2right Distribu Ńia securizat ă a cheilor
/head2right Stocarea, eventual arhivarea cheilor în mod securiz at
/head2right Păstrarea istoricului utiliz ării cheilor (cine și ce chei a folosit deja)
prin procesul de audit al cheilor
/head2right Eliminarea cheilor deja compromise.
Toate aceste procese sunt importante pentru securit atea re Ńelei de
comunica Ńii. Insecuritatea unui singur proces afecteaz ă siguran Ńa
transmisiilor din re Ńea.
Parolele implicite constituie un punct slab în secu ritatea re Ńelei sau o
vulnerabilitate critic ă. Acestea trebuie schimbate de la prima utilizare p entru
a securiza entitatea în cauz ă (echipament, cont de utilizator etc).
Folosirea unor parole sau chei foarte simple (secve n Ńe de caractere
identice, de exemplu “1” sau “0”, sau alte combina Ńii simple, “abcd”,
“1234”) sunt primele încercate de cei care încearc ă s ă sparg ă sistemul de
securitate, deci devin puncte de vulnerabilitate în sistem.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 85 – Referitor la distribu Ńia cheilor, sistemul de po ștă electronic ă nu este
considerat un mecanism securizat de distribuire a c heilor, deoarece exist ă
ter Ńi care îl pot intercepta în tranzit.
De fapt, dificultatea de a gestiona cheile de trans misie cre ște odat ă
cu num ărul de utilizatori din re Ńea.
O problem ă a criptografiei cu cheie secret ă este faptul c ă nu este un
sistem la fel de scalabil ca și criptarea cu cheie public ă.
De exemplu, în cazul în care se dore ște trimiterea unui mesaj criptat
cu o cheie secret ă c ătre mai mul Ńi destinatari, to Ńi trebuie s ă primeasc ă cheia
prin care s ă se poat ă decripta mesajul. Astfel, expeditorul trebuie s ă se
asigure de faptul c ă to Ńi destinatarii recep Ńioneaz ă cheia, c ă aceasta nu este
interceptat ă sau compromis ă în timpul tranzitului și c ă este p ăstrat ă în mod
securizat la destina Ńie. Pentru fiecare mesaj nou trimis, procesul trebu ie s ă
se repete, cu excep Ńia faptului când se dore ște reutilizarea cheii ini Ńiale.
Reutilizarea cheii originale spore ște șansele ca aceasta s ă fie
compromis ă, iar în cazul în care se dore ște ca fiecare destinatar s ă aib ă o
cheie secret ă, sistemul de distribu Ńie nu mai este practic.
Prin utilizarea criptografiei cu cheie public ă are loc un singur schimb
de chei publice pentru fiecare destinatar, iar aces t lucru poate fi u șurat prin
plasarea acestora într-un director.
Sistemul de gestiune a cheilor trebuie s ă le clasifice pe acestea în
chei tari și chei slabe pentru a distribui numai chei tari, și, în plus, este
necesar ă eliminarea cheilor deja compromise. Îns ă nu în toate situa Ńiile de
interceptare a cheii, re Ńeaua poate s ă sesizeze acest fapt. De exemplu, în
re Ńelele wireless este dificil de urm ărit intru șii pasivi, care “ascult ă” re Ńeaua
și preiau pachetele din care extrag cheia de transmi sie prin diferite metode
de atac criptografic sau preiau vectorii de ini Ńializare transmi și în clar.
Securitatea re Ńelelor de comunica Ńii
– 86 – Sunt necesare mecanisme specializate de distribu Ńie a cheilor, astfel
încât nici m ăcar serverul care intermediaz ă transferul s ă nu cunoasc ă
secven Ńele-cheie folosite la criptare. De asemenea, este n ecesar ă dubla
autentificare, a clien Ńilor c ătre server și a serverului de chei c ătre clien Ńi,
pentru a se evita p ătrunderea în re Ńea a unor intru și neautoriza Ńi.
În acest sens, sunt indicate mecanisme de autentifi care Kerberos sau
RADIUS, precum și metode de criptare P2P ( Peer-to-Peer ) pentru
conexiuni în pereche între clien Ńi.
II.7 INTEGRITATEA INFORMA łIEI
Termenul de integritate a datelor sau informa Ńiilor semnific ă faptul
că acestea nu pot fi create, modificate sau șterse f ără autoriza Ńie.
Integritatea informa Ńiei se poate asigura prin mai multe metode:
• tehnica rezumatului
• semn ătura digital ă
• certificatul digital
• marcarea con Ńinutului.
Codarea fiec ărui cadru de date transmis în re Ńea folosind un cod
ciclic de verificare a redundan Ńei (CRC) permite verificarea la recep Ńie a
integrit ăŃii datelor și rejectarea celor modificate, accidental sau cu in ten Ńie.
Rezumatul electronic permite verificarea integrit ăŃii datelor stocate
sau transmise și identificarea informa Ńiilor false sau eronate transmise în
mod neautorizat.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 87 – Semn ăturile digitale atest ă autenticitatea informa Ńiilor, faptul c ă
acestea sunt transmise de surse autorizate, și nu permit repudierea
mesajelor. Autentificarea originii datelor ( message authentication )
include integritatea datelor.
Certificatele digitale se utilizeaz ă pentru autentificarea
echipamentelor din re Ńea și realizarea unor interconexiuni sigure. Sunt
indicate în mod special în re Ńelele wireless, pentru a evita accesul
neautorizat al unor echipamente.
Marcarea mesajelor se folose ște pentru aplicarea dreptului de autor
în cazul documentelor electronice.
II.7.1 TEHNICA HASH
Integritatea datelor reprezint ă un aspect extrem de in important ce
trebuie avut în vedere la comunica Ńiile prin intermediul re Ńelelor publice,
întrucât aceste date pot fi interceptate și modificate.
Pentru a preveni modificarea unui mesaj sau pentru a putea verifica
dac ă mesajul recep Ńionat este identic cu cel transmis, se utilizeaz ă o tehnic ă
specific ă, tehnica hash sau tehnica rezumatului , care permite generarea
unei secven Ńe de identificare a datelor transmise, denumit ă “rezumatul
datelor” ( message digest ). Rezumatul unui mesaj se construie ște prin
aplicarea unei func Ńii de transformare (func Ńie hash), care se caracterizeaz ă
prin faptul c ă furnizeaz ă la ie șire un șir de date de lungime fix ă, o valoare de
transformare ( hash value ), atunci când la intrare se aplic ă un șir de date cu
Securitatea re Ńelelor de comunica Ńii
– 88 – lungime variabil ă. Sensul unic de transformare asigur ă faptul c ă nu se pot
deduce datele de intrare pe baza celor de ie șire.
Func Ńia hash ne asigur ă c ă datele transmise la intrarea în re Ńea sunt
acelea și cu cele primite la destina Ńie, metoda fiind oarecum asem ănătoare cu
suma de control ( checksum ) dintr-un segment folosit ă pentru controlul
erorilor. În urma aplic ării unei func Ńii hash la un pachet de date, înainte de
transmisie, va rezulta o valoare fix ă, care este apoi recalculat ă la recep Ńie. În
cazul în care cele dou ă valori sunt identice, se trage concluzia ca datele nu
au fost alterate din punct de vedere al securit ăŃii. Dac ă datele sunt
modificate în tranzit, la destina Ńie se va ob Ńine o alt ă valoare de
transformare, ceea ce va indica falsificarea datelo r. Prin utilizarea unei
func Ńii hash, chiar și o mic ă modificare a con Ńinutului va crea mari diferen Ńe
între valorile hash de la transmisie și recep Ńie.
Func Ńiile hash criptografice sunt utilizate pentru auten tificarea
mesajelor, controlul integrit ăŃii datelor, verificarea parolelor și realizarea
semn ăturilor digitale, în diferite aplica Ńii de securitate a re Ńelelor de
comunica Ńii.
Func Ńiile hash se clasific ă în dou ă mari categorii:
1. Coduri de detec Ńie modificate (MDCs), cunoscute ca și coduri de
manipulare-detec Ńie sau, mai pu Ńin folosit, coduri de integritate a
mesajului (message integrity codes – MICs ). Scopul unui MDC este
de a oferi o imagine (hash) reprezentativ ă unui mesaj și de a facilita,
cu ajutorul unor mecanisme secundare, verificarea i ntegrit ăŃii datelor
cerut ă de aplica Ńii specifice. MDC-urile sunt o subclas ă a func Ńiilor
hash f ără cheie, și, la rândul lor, pot fi clasificate în:
• func Ńii hash inversabile într-un singur sens (one-way hash
functions – OWHFs) rezistente la preimagine ( preimage resistant ),
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 89 – adic ă pentru o valoare hash dat ă (H), este greu de g ăsit un mesaj M,
astfel încât:
H = hash(M)
• func Ńii hash rezistente la coliziune (collision resistant hash
functions – CRHFs): aceast ă proprietate se refer ă la faptul c ă este
dificil ă g ăsirea a dou ă mesaje care s ă aib ă aceea și valoare hash (o
coliziune apare atunci când dou ă mesaje distincte au aceea și valoare
hash).
2. Coduri de autentificare a mesajelor (message authentication
codes -MACs) care permit, f ără ajutorul niciunui mecanism
adi Ńional, asigurarea autenticit ăŃii sursei și a integrit ăŃii mesajelor.
MAC-urile au func Ńional doi parametrii distinc Ńi: mesajul de intrare
și o cheie secret ă (subclasa de func Ńii hash cu cheie).
Observa Ńii:
1. Trebuie f ăcut ă distinc Ńia între algoritmul MAC și utilizarea
unui MDC cu o cheie secret ă inclus ă ca o parte din mesajul
de intrare. Se presupune în general c ă algoritmul unei func Ńii
hash este cunoscut. Deci, în cazul MDC-urilor, dat fiind un
mesaj de intrare, oricine poate calcula func Ńia sa hash.
2. MAC-urile și semn ăturile digitale pot determina dac ă datele
au fost generate de o anumit ă entitate la un moment dat în
trecut, dar ele nu ofer ă garan Ńii în privin Ńa momentului când
acestea au luat na ștere. Deci aceste tehnici nu pot detecta
mesajele reutilizate, ceea ce este necesar în medii în care
acestea au un alt efect sau o utilizare secundar ă. Ins ă, aceste
Securitatea re Ńelelor de comunica Ńii
– 90 – tehnici de autentificare pot fi modificate pentru a asigura și
aceste garan Ńii.
Pentru asigurarea integrit ăŃii datelor, se folosesc algoritmii Message
Digest (MD) și Secure Hash Algorithm (SHA), ambii implementa Ńi în
diferite variante de-a lungul timpului:
/square4 SHA-1- Secure Hash Algorithm 1;
/square4 MD4- Message Digest 4;
/square4 MD5- Message Digest 5;
/square4 RIPEMD-160 – Race Integrity Primitives Evaluation Message
Digest – 160.
Exemplific ăm folosirea func Ńiilor hash prin c onstruc Ńia Merkle-
Damgård (Figura II.5).
O func Ńie hash trebuie s ă fie capabil ă s ă proceseze un mesaj de
lungime variabil ă și s ă furnizeze o ie șire de lungime fix ă. Acest lucru se
poate realiza prin împar Ńirea mesajului de intrare într-o serie de blocuri d e
dimensiuni egale, și procesarea succesiv ă a acestora folosind o func Ńie
ireversibil ă (F). Aceast ă func Ńie se caracterizeaz ă prin faptul c ă ea
converte ște cele dou ă intr ări de aceea și lungime, într-o ie șire de lungime
egal ă cu una din intr ările sale.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 91 –
Figura II.5 Construc Ńia Merkle-Damgård
De exemplu, dac ă func Ńia F are o intrare de 128 de bi Ńi și una de 256
de bi Ńi, atunci va furniza o ie șire de 128 de bi Ńi.
Func Ńia utilizat ă poate fi proiectat ă special pentru hashing sau
construit ă dintr-un cifru bloc.
O func Ńie hash realizat ă folosind construc Ńia Merkle-Damgård este
rezistent ă la coliziune, în aceea și m ăsura în care este și func Ńia ireversibil ă
utilizat ă.
Ultimul bloc procesat trebuie s ă fie urmat de un alt bloc de extindere
(length-padding) , cu ajutorul c ăruia este mascat ă lungimea real ă a acestuia,
lucru deosebit de important pentru securitatea cons truc Ńiei.
II.7.2 SEMN ĂTURA DIGITAL Ă
Termenul de semn ătur ă electronic ă sau digital ă are interpret ări mai
largi, pornind de la semn ături criptografice digitale pân ă la o imagine
Securitatea re Ńelelor de comunica Ńii
– 92 – scanat ă a unei semn ături de mân ă. În ambele cazuri, se define ște calea
pentru utilizarea legal ă a semn ăturilor digitale în comunica Ńiile electronice.
Semn ăturile digitale pot ajuta la identificarea și autentificarea
persoanelor, organiza Ńiilor și a calculatoarelor prin Internet, putând fi
utilizate și pentru a verifica integritatea datelor la recep Ńie.
Semn ăturile digitale sunt un tip de criptare asimetric ă, asem ănătoare
semn ăturilor de mân ă, ce sunt utilizate pentru a identifica un individ într-o
manier ă legal ă. Ele pot identifica persoana care a semnat o tranz ac Ńie sau un
mesaj, dar spre deosebire de semn ăturile de mân ă, poate ajuta în verificarea
faptului c ă un document sau o tranzac Ńie nu a fost modificat ă fa Ńă de starea
original ă din momentul semn ării.
În cazul în care sistemul a fost implementat coresp unz ător,
semn ătura digital ă nu se poate falsifica. În condi Ńii ideale, acest lucru poate
însemna faptul c ă un mesaj semnat digital apar Ńine persoanei a c ărei
semn ătur ă apare în mesaj, f ără drept de repudiere.
Incapacitatea de a nega faptul c ă un mesaj sau o tranzac Ńie a fost
executat ă (semnat ă, în acest caz) se nume ște nerepudiere .
În Ńelegerea riscurilor asociate cu utilizarea semn ăturilor digitale
presupune în Ńelegerea limit ărilor acestei tehnologii. Astfel, o semn ătur ă
digital ă, când nu este legat ă de numele utilizatorului printr-un certificat
digital, nu are nici o semnifica Ńie referitoare la identitatea utilizatorului.
Schema unei semn ături digitale const ă din 3 algoritmi:
• algoritmul de generare a cheii – furnizeaz ă aleator o pereche de
chei, o cheie de verificare cu caracter public PK și o cheie pentru
semn ătur ă cu caracter privat SK.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 93 – • algoritmul de semnare – produce o semn ătur ă S cu ajutorul cheii
private SKpentru mesajul de intrare M.
• algoritmul de verificare a cheii V – pentru un mesaj de intrare M, o
cheie de verificare PK și o semn ătur ă S, accept ă sau respinge
mesajul.
Un algoritm de criptare care poate fi utilizat pent ru semn ăturile
digitale este algoritmul RSA, în care, generarea un ui mesaj semnat se
realizeaz ă cu o func Ńie exponen Ńial ă, într-un câmp algebric finit:
NMSdmod =
N este dimensiunea câmpului și se ob Ńine ca produs de dou ă numere
prime foarte mari.
M este mesajul care trebuie semnat și transmis.
d este exponentul cheii private (semn ătura este generat ă cu ajutorul
cheii private).
La recep Ńie se verific ă dac ă este adev ărat ă rela Ńia:
NSMemod =
e reprezint ă exponentul cheii publice (decriptarea mesajului se mnat
se face cu ajutorul cheii publice).
Acest ă metod ă nu este prea sigur ă din punct de vedere al atacurilor,
o solu Ńie în acest sens ar fi, aplicarea unei func Ńii hash, înaintea algoritmului
RSA. Astfel la emisie se va realiza opera Ńia:
NHSdmod =
Iar la recep Ńie:
NSHemod =
Securitatea re Ńelelor de comunica Ńii
– 94 – Valoarea hash H rezultat ă este comparat ă cu valoarea hash a
mesajului și dac ă sunt egale, atunci se confirm ă faptul că mesajul provine
într-adev ăr de la persoana autorizat ă.
În concluzie, func Ńiile hash, cu sau f ără cheie, pot fi utilizate pentru
securizarea accesului la re Ńea, pentru criptarea datelor și verificarea
integrit ăŃii acestora.
II.7.3 CERTIFICATUL DIGITAL
Accesul neautorizat reprezint ă o problem ă tuturor re Ńelelor wireless,
în particular WiFi.
Pentru a avea un control asupra persoanelor care ac ceseaz ă re Ńeaua și
asupra resurselor accesate de acestea ( who and what? ) este necesar un
mecanism de control selectiv al accesului, pe baz ă de credite personale.
O semn ătur ă digital ă în sine nu ofer ă o leg ătur ă puternic ă cu o
persoan ă sau o entitate.
Pentru a avea garan Ńia c ă o cheie public ă utilizat ă pentru a crea o
semn ătur ă digital ă apar Ńine într-adev ăr unui anumite persoane și c ă acea
cheie este înc ă valid ă, este necesar un mecanism care s ă stabileasc ă o
leg ătur ă între cheia public ă și utilizatorul real. Acest serviciu de
autenticitate este oferit de certificatele digitale .
Certificatele digitale pot fi generate folosind che i publice sau chei
private.
Infrastructura cu chei publice ( PKI – Public Key Infrastructure )
este mecanismul prin care o cheie public ă este “legat ă” de un anumit
utilizator printr-un certificat digital de identifi care.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 95 – Sistemul PKI coreleaz ă informa Ńiile despre utilizator cu o anumit ă
cheie public ă, astfel încât cheile publice s ă poat ă fi utilizate ca o form ă de
identificare.
Sistemul PKI se ocup ă de crearea, distribu Ńia, stocarea centralizat ă,
revocarea și actualizarea certificatelor digitaleprin intermed iul c ărora se
asigur ă servicii de baz ă de securitate precum autentificarea utilizatorilor ,
confiden Ńialitatea și integritatea informa Ńiilor, ajutând de asemenea la
implementarea serviciului de nerepudiere.
Certificatele digitale pot oferi un nivel ridicat d e încredere asupra
faptului c ă persoana al c ărei nume apare pe acel certificat are ca și
corespondent o anumit ă cheie public ă. Aceast ă încredere este realizat ă prin
utilizarea unei ter Ńe p ărŃi, cunoscut ă sub numele de autoritate de
certificare (CA – Certificate Authority ). O autoritate de certificare semneaz ă
un certificat în calitate de garant pentru identita tea persoanei c ăreia îi
apar Ńine certificatul respectiv.
Toate certificatele revocate sau anulate sunt trecu te într-o list ă de
revocare a certificatelor ( CRL – Certificate Revocation List ).
Cel mai întâlnit standard pentru certificatele digi tale este ITU-T
X.509, standard pentru infrastructura cu chei publi ce (PKI). Acesta
specific ă, printre altele, formatul standard al certificatel or digitale, precum
și un algoritm de validare a certificatelor.
Elementele unui certificat digital definite de aces t standard sunt
urm ătoarele:
/square4 versiunea certificatului ( certificate version ) – care indic ă formatul
unui certificat;
Securitatea re Ńelelor de comunica Ńii
– 96 – /square4 num ărul de serie ( serial number ) – un num ăr unic generat de c ătre
autoritatea de certificare, utilizat pentru a se Ńine eviden Ńa
certificatelor;
/square4 numele emitentului ( issuer name ) – specific ă numele autorit ăŃii de
certificare;
/square4 perioada de valabilitate ( period of validity )
/square4 numele proprietarului certificatului ( subject );
/square4 cheia public ă și algoritmul cheii publice (subject’s public key info );
/square4 un câmp op Ńional utilizat pentru a identifica emitentul certif icatului
sau autoritatea de certificare ( issuer unique identifier );
/square4 un câmp op Ńional pentru identificarea subiectului ( subject unique
identifier );
/square4 un câmp op Ńional utilizat pentru extensii ( extensions ), care poate
cuprinde: alte denumiri ale subiectului, informa Ńii pentru utilizarea
cheilor și punctele de distribu Ńie a listelor de revocare a certificatelor
(CRL );
/square4 algoritmul folosit pentru semnarea certificatului ( certificate
signature algorithm );
/square4 semn ătura (signature ).
O problem ă a certificatelor digitale o reprezint ă faptul c ă listele de
revocare a certificatelor (CRL ) sunt verificate foarte rar , inclusiv de c ătre
browser-ele Web. Un certificat poate fi revocat din mai multe motive,
printre care se num ără compromiterea cheii, compromiterea autorit ăŃii de
certificare sau o schimbare a autorit ăŃii de certificare.
Numeroase metode de autentificare sunt bazate pe P KI, iar
certificatele pot fi stocate pe carduri inteligente ( smart cards ), fie în fi șiere,
în registrele sistemului. Prin folosirea cardurilor de acces, utilizatorul nu
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 97 – este obligat s ă re Ńin ă sau s ă introduc ă de fiecare dat ă un volum mare de
informa Ńii de identificare, ci numai o simpl ă secven Ńă PIN ( Personal
Identification Number ).
Utilizatorilor autentifica Ńi în re Ńea pe baz ă de certificate digitale, în
sistem PKI, li se asigur ă un grad mare de securitate, la nivel de aplica Ńii
(application-level security ), cu posibilitatea semn ării și cod ării mesajelor
folosind certificate de criptare ( encryption cerificates ).
Certificatele digitale sunt utilizate și în autentificarea mutual ă dintre
client și server, fiecare prezentând un certificat propriu.
PKI este un sistem complex și robust de securizare, recomandat doar
pentru comunica Ńiile care necesit ă un grad foarte mare de securitate
(mission-critical ), precum cele guvernamentale.
II.7.4 MARCAREA
În literatura de specialitate pot fi întâlnite dife rite defini Ńii pentru
marcarea documentelor.
Marcajele sunt acele elemente distinctive, greu de reprodus, care
asigur ă autenticitatea unui document și, eventual identificarea autorului.
Astfel de elemente de marcare se utilizeaz ă din cele mai vechi timpuri pe
bancnote și monede pentru a nu putea fi falsificate.
Marcajele pot fi vizibile sau ascunse, transparente ( watermark ).
Marcajele pentru imaginile digitale sunt tratate ca manipul ări ale
celor mai pu Ńin semnficativi bi Ńi din e șantioanele de imagine ( LSB – Least
Significant Bits ), coduri ascunse de marcare, texturi invizibile, c onstrângeri
secrete în domenii de transformare etc.
Securitatea re Ńelelor de comunica Ńii
– 98 – Marcajele sunt generate în mod privat și pot fi detectate folosind
chei private sau publice, în func Ńie de întrebuin Ńarea lor.
Marcajul pentru protejarea dreptului de autor (copyright )
denumit și ștampil ă invizibil ă, con Ńine o informa Ńie specific ă proprietarului
legal sau este un semn aleator de unicitate pentru respectivul proprietar.
Protejarea informa Ńiilor prin marcare se realizeaz ă astfel:
/head2right fiecare proprietar de copyright de Ńine un num ăr unic sau un set de
numere care constituie cheia privat ă a marcajului;
/head2right folosind cheia privat ă și un algoritm public sau privat, proprietarul
dreptului de autor modific ă datele digitale care sunt marcate;
/head2right folosind un algoritm de detec Ńie, proprietarul de copyright poate
verifica sau decoda modific ările f ăcute de el însu și.
Marcajele de autenticitate a produselor digitale sunt de fapt
semn ăturile digitale. Autenticitatea face referire la un produs original cu
privire la originalitatea con Ńinutului, numele autorului, data la care a fost
creat, proprietarul dreptului de autor etc. Marcare a cu ajutorul semn ăturii
digitale asigur ă autenticitatea sursei din care provine un produs d igital sau
un mesaj transmis în re Ńea și elimin ă riscul ca acesta s ă fie un fals.
II.8 POLITICI DE SECURITATE
Principiile care stau la baza asigur ării securit ăŃii unei re Ńele de
comunica Ńii sunt exprimate, sub forma unui set de reguli și practici, în a șa-
numita politic ă de securitate a re Ńelei.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 99 – Politica de securitate se aplic ă tuturor persoanelor care într-un fel
sau altul au acces la resursele re Ńelei, la orice nivel începând cu cel fizic și
indiferent de scop (utilizare, administrare, între Ńinere, fraud ă, atac).
În primul rând, trebuie stabilite necesit ăŃile fiec ărei categorii de
utilizatori cu privire la resursele re Ńelei și drepturile de acces, din interiorul
sau din exteriorul acesteia, folosind structura cab lat ă sau accesul wireless la
re Ńea. De asemenea, trebuie stabilit care dintre utili zatori au cu adev ărat
nevoie de acces la re Ńeaua public ă de Internet. Toate aceste aspecte sunt
tratate în cadrul politicii de acces .
Criteriile dup ă care se stabilesc grupurile de utilizatori, dreptu l de a
avea un cont de acces în re Ńea, condi Ńiile de activare și de dezactivare a
conturilor, persoanele cu drept de administrare rep rezint ă politica de
conturi a re Ńelei.
Conexiunea la Internet și la re Ńeaua public ă în general reprezint ă o
bre șă în securitatea oric ărei re Ńele deoarece pe aici ac Ńioneaz ă atacurile
lansate din afara re Ńelei. Sunt necesare principii clare de securizare a
interfe Ńelor dintre re Ńeaua public ă și cea privat ă. Principiile conform c ărora
se securizeaz ă c ăile de acces la Internet și se acord ă drepturi în acest sens
alc ătuiesc politica de acces la Internet (I-AUP – Internet Acceptable Use
Policy ).
Accesul, fizic și logic, pe diferite echipamente de comunica Ńie din
re Ńea trebuie restric Ńionat corespunz ător importan Ńei acestora în buna
func Ńionare a re Ńelei. Trebuie luate m ăsuri de prevenire a tentativelor de
acces neautorizat.
Folosirea metodei de autentificare pe baz ă de nume de utilizator și
parol ă implic ă aplicarea unor principii de acceptare, gestionare și schimbare
a parolelor în cadrul politicii de management a parolelor .
Securitatea re Ńelelor de comunica Ńii
– 100 – Drepturile de acces la re Ńea trebuie diferen Ńiate în ceea ce prive ște
accesul la documente și drepturile asupra acestora (citire, scriere, modi ficare
sau ștergere). Prin politica de securitate se stabilesc drepturile utilizatorilor
referitor la accesul la informa Ńii și fi șiere în general, strategia care trebuie
adoptat ă în vederea asigur ării respect ării acestora, garan Ńiile de respectare a
politicii de securitate de c ătre to Ńi utilizatorii (de exemplu, clauze de
confiden Ńialitate din contractele semnate de utilizatori). T oate aceste aspecte
reprezint ă a șa-numita politic ă de utilizare adecvat ă a resurselor re Ńelei .
Formularea politicii de securitate a unei re Ńele trebuie f ăcut ă clar, cu
cât mai multe detalii, astfel încât s ă nu apar ă interpret ări diferite (“be as
specific as possible”).
Cunoa șterea în detaliu a tuturor echipamentelor care se c onecteaz ă la
re Ńea și a garan Ńiilor pe care le ofer ă fiecare utilizator constituie premiza
unor decizii juste cu privire la privilegiile sau r estric Ńiile care se impun în
fiecare caz în parte ( politica de conectare ).
Refuzul accesului la re Ńea pentru acele entit ăŃi pentru care se
dovede ște inten Ńia de atac, prin monitorizarea traficului, constitu ie o m ăsur ă
de for Ńă major ă, necesar ă men Ńinerii func Ńion ării re Ńelei în condi Ńii de
siguran Ńă .
Vulnerabilit ăŃile de securitate sunt cauzate de diver și factori, printre
care neactualizarea ( update ) sistemelor de operare, programelor antivirus
sau a altor programe sau module de securitate ( software patches, firmware
upgrades, authentication routines, encryption algor ithms, intrusion
detection systems ). Periodic se impune instalarea celor mai noi vers iuni de
software, actualizarea bazelor de date cu semn ăturile viru șilor noi ap ăru Ńi
sau ale altor forme de atac recent identificate.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 101 – De asemenea, periodic, personalul implicat în asig urarea securit ăŃii
re Ńelei trebuie instruit pentru a cunoa ște eventualele noi riscuri la care este
expus ă re Ńeaua și procedurile care trebuie urmate pentru solu Ńionarea
problemelor.
Trebuie stabilite reguli pentru asigurarea securit ăŃii pe toate nivelele:
fizic, de acces logic, de acces la servicii, de acc es la informa Ńii.
Toate configur ările implicite trebuie schimbate din momentul
punerii în func Ńiune a echipamentului și nu mai trebuie s ă se revin ă
niciodat ă la acestea.
Periodic trebuie revizuite configur ările diferitelor echipamente din
re Ńea pentru a stabili dac ă ele corespund nevoilor de securitate ale re Ńelei de
la un anumit moment, inclusiv parole, liste de cont rol al accesului, adrese
MAC, chei de criptare.
În cazul re Ńelelor wireless, trebuie aplicate tehnici de site s urvey
pentru m ăsurarea ariei de acoperire a fiec ărui echipament AP ( Access Point )
și a nivelului de semnal în afara zonei de interes, pentru a stabili posibilele
loca Ńii ale unor intru și. Reducerea nivelului la emisie precum și a ariei de
acoperire prin ecranarea anumitor pere Ńi sau folosirea unor antene directive
conduce la mic șorarea riscurilor de atac asupra re Ńelei wireless.
Criptarea informa Ńiilor se impune ca m ăsur ă ultim ă de asigurare a
secretului transmisiei, în situa Ńia în care un intrus reu șește s ă descarce
pachete din re Ńeaua privat ă. De asemenea, criptarea reprezint ă o m ăsur ă de
siguran Ńă în ceea ce prive ște secretul unor informa Ńii cu caracter special,
care poate fi atacat de persoane din exteriorul dar și din interiorul re Ńelei.
Principiile de securizare a informa Ńiilor sunt incluse în politica de protec Ńie
a informa Ńiilor .
Securitatea re Ńelelor de comunica Ńii
– 102 – Re Ńelele VPN ( Virtual Private Network ) reprezint ă o bun ă solu Ńie de
securitate, adoptat ă cu prec ădere de companii cu mai multe sedii r ăspândite
într-o arie geografic ă larg ă. Accesul de la distan Ńă prezint ă de cele mai
multe ori riscuri mari de securitate cauzate de ten tative de atac ale unor
persoane din afara companiei fiind necesar ă securizarea pe baza unor
principii clare privind drepturile și restric Ńiile de acces de la distan Ńă ( remote
access ) și tacticile de securitate care trebuie adoptate con form politicii de
acces de la distan Ńă .
Politici de securitate specifice se pot stabili pen tru fiecare serviciu de
re Ńea în parte (po ștă electronic ă, transfer de fi șiere, aflarea informa Ńiilor
despre utilizatorii re Ńelei etc).
Regulile de securitate pot avea caracter obligatori u sau facultativ
rezultând mai multe categorii de prevederi de secur itate:
• prevederile obligatorii, rezultate ca efect al acordurilor, al
regulamentelor și al legilor, exprimate detaliat, cu cât mai multe
elemente specifice, în func Ńie de domeniul de utilizare, au rolul de a
oferi siguran Ńă și încredere într-o re Ńea de comunica Ńii sau o anumit ă
entitate (server, serviciu, program etc).
• prevederile recomandate, de și neobligatorii, sunt motivate de
consecin Ńele grave ale neaplic ării lor. Pentru o securitate cât mai
bun ă a re Ńelei, acestea trebuie considerate ca și obligatorii de și
costurile implement ării lor sunt în general mari. De exemplu, nu
este obligatorie rularea programelor de tip antivir us și nici instalarea
tuturor patch-urilor de securitate din sistemele de operare. Toate
acestea implic ă unele costuri suplimentare (pre Ń, memorie de
sistem, timp de procesare) dar într-o re Ńea fiecare nod nesecurizat
corespunz ător poate fi o poart ă de acces pentru atacatori.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 103 – • prevederile informative au rolul de a aten Ńiona (warning )
utilizatorii asupra existen Ńei unor vulnerabilit ăŃi (de exemplu,
neactualizarea listelor cu viru și pentru programele antivirus), asupra
riscurilor și consecin Ńelor bre șelor de securitate ale sistemelor și
re Ńelelor.
Politica de securitate se exprim ă sub forma unui document în care
sunt incluse: motivele și obiectivele aplic ării acesteia, autoritatea
competent ă care o aprob ă, autori, referin Ńe, data elabor ării, proceduri,
măsuri de compatibilitate, consecin Ńele neaplic ării.
Din p ăcate, nu exist ă un sistem de securitate sigur 100 %, dar prin
definirea unei politici de securitate se încearc ă g ăsirea celei mai bune c ăi de
evitare a riscurilor la care este supus ă re Ńeaua de comunica Ńii.
Securitatea re Ńelelor de comunica Ńii
– 104 –
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 105 – Capitolul III ATACURI ASUPRA
RE łELELOR DE COMUNICA łII
III.1 VULNERABILIT Ăł I ALE RE łELELOR
O re Ńea sigur ă este aceea în ale c ărei resurse se poate avea încredere,
adic ă furnizeaz ă servicii corecte și de calitate.
Deoarece o re Ńea de comunica Ńii este un sistem complex, eterogen,
cu foarte mul Ńi utilizatori, ea reprezint ă o zon ă convenabil ă pentru diferite
atacuri. De aceea, securitatea reprezint ă un obiectiv opera Ńional vital al
oric ărei re Ńele de comunica Ńii.
ReŃelele de calculatoare ale diferitelor organiza Ńii sunt utilizate atât
pentru realizarea comunica Ńiilor dintre angaja Ńi, cât și pentru comunica Ńii
externe, astfel încât acestea nu mai pot fi izolate și trebuie securizate la
nivelul interfe Ńelor de acces dintre re Ńeaua public ă și cea privat ă.
Comunica Ńiile realizate prin re Ńelele publice sunt expuse riscurilor de
interceptare, de furt sau de falsificare a informa Ńiilor, de disfunc Ńionalit ăŃi
tehnice manifestate fie prin calitate slab ă a transmisiei, fie prin întreruperi.
În func Ńie de vulnerabilit ăŃile re Ńelei de comunica Ńii pe care le pot
exploata, atacurile se pot manifesta pe mai multe p lanuri:
/head2right accesare neautorizat ă a re Ńelei sau a unor resurse ale acesteia din
interiorul organiza Ńiei sau din afara acesteia,
/head2right tentative de perturbare sau de întrerupere a func Ńion ării re Ńelei la
nivel fizic (prin factori mecanici, de întrerupere a unor cabluri sau
scoatere din func Ńiune a unor echipamente din re Ńea; factori electrici,
Securitatea re Ńelelor de comunica Ńii
– 106 – de bruiaj în cazul re Ńelelor radio, semnale de interferen Ńă în re Ńelele
cablate),
/head2right tentative de întrerupere sau de înc ărcare excesiv ă a traficului din
re Ńea prin transmiterea unui num ăr foarte mare de pachete c ătre unul
sau mai multe noduri din re Ńea ( flooding ),
/head2right atacuri soft asupra echipamentelor de re Ńea care concentreaz ă și
dirijeaz ă fluxurile în noduri critice (switch, router, acces s point etc.)
prin modificarea fi șierelor de configurare și a drepturilor de acces
stabilite de personalul autorizat,
/head2right modificarea sau distrugerea informa Ńiei, adic ă atacul la integritatea
fizic ă datelor,
/head2right preluarea și folosirea neautorizat ă a informa Ńiilor, adic ă înc ălcarea
confiden Ńialit ăŃii și a dreptului de autor.
Astfel, trebuie avute în vedere, cu prioritate, dou ă aspecte principale
legate de securitatea re Ńelelor:
• integritatea și disponibilitatea resurselor unei re Ńele, fizice sau
logice, indiferent de defectele de func Ńionare, hard sau soft, de
perturba Ńii sau de tentative de întrerupere a comunica Ńiilor.
• caracterul privat al informa Ńiilor ( privacy ), exprimat ca fiind dreptul
individual de a controla sau de a influen Ńa care informa Ńie
referitoare la o persoan ă poate fi memorat ă în fi șiere sau în baze de
date din re Ńea și cine are acces la acestea, re Ńeaua fiind responsabil ă
de împiedicarea încerc ărilor ilegale de sustragere a informa Ńiilor,
precum și de încerc ările de modificare ale acestora. Informa Ńia este
vulnerabil ă la atac, în orice punct al unei re Ńele, fie stocat ă pe diferite
ma șini (sta Ńii de lucru, servere) din re Ńea, fie în procesul de
transmisie de la surs ă la destina Ńia final ă.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 107 – Vulnerabilit ăŃile re Ńelelor se manifest ă pe toate nivelele OSI, fiind
necesar ă adoptarea unor m ăsuri de securitate adecvate fiec ărui nivel și
fiec ărui model de re Ńea în parte.
III.2 TIPURI DE ATACURI
Atacurile asupra re Ńelelor de comunica Ńii pot fi clasificate dup ă mai
multe criterii.
łinând cont de locul de unde se execut ă, atacurile pot fi:
/head2right locale ( local )
/head2right de la distan Ńă ( remote ).
O alt ă clasificare a atacurilor adresate re Ńelelor de comunica Ńii, în
func Ńie de modul în care ac Ńioneaz ă acestea, ca surs ă și destina Ńie, atacurile
pot fi centrate pe o singur ă entitate (de exemplu, este atacat un anumit
server din reŃea de pe un singur echipament) sau pot fi distribuite (lansate
din mai multe loca Ńii sau c ătre mai multe ma șini simultan).
Atacurile distribuite sunt cele mai performante deo arece este dificil ă
identificarea și localizarea autorilor, iar efectele lor sunt maxi mizate prin
atacarea re Ńelei în mai multe noduri simultan.
Dup ă modul de interac Ńiune a atacatorului cu informa Ńia ob Ńinut ă în
urma unui atac reu șit, se disting dou ă categorii de atacuri: pasive și active .
Este greu de spus care dintre acestea are un risc m ai mare. La o prim ă
vedere, s-ar crede c ă cele mai periculoase sunt atacurile active. Dar s ă nu
uit ăm atacurile pasive prin care se preiau chei de crip tare fără ca serverul de
Securitatea re Ńelelor de comunica Ńii
– 108 – chei s ă î și dea seama care sunt cheile compromise. Toate info rma Ńiile
criptate cu acele chei devin astfel complet neprote jate.
O categorie aparte de atac asupra informa Ńiilor stocate sau transmise
în re Ńea o reprezint ă atacurile criptografice , prin care se încearc ă
extragerea informa Ńiei din mesajele criptate.
Un tip aparte de atac îl reprezint ă a șa-numitul atac etic lansat
periodic chiar de personalul de administrare a re Ńelei, simulare de atac
menit ă a testa securitatea re Ńelei și a descoperi vulnerabilit ăŃile acesteia.
Cu toate c ă nu exist ă solu Ńii care s ă fie capabile s ă protejeze re Ńeaua
împotriva oric ărui tip de atac, exist ă unele sisteme de securitate care pot
reduce substan Ńial șansele și efectele atacurilor. Se impune dezvoltarea unei
politici de securitate adecvate fiec ărei re Ńele în parte, aplicarea ei simultan
cu educa Ńia utilizatorilor și adoptarea unor solu Ńii de securitate, software sau
hardware, potrivite vulnerabilit ăŃilor și riscurilor de atac specifice fiec ărei
re Ńele.
III.2.1 ATACURI LOCALE
Atacurile locale presupun spargerea securit ăŃii unei re Ńele de
calculatoare de c ătre o persoan ă care face parte din aceasta, adic ă de c ătre
un utilizator local.
Acesta dispune de un cont și de o parol ă de utilizator care îi dau
drept de acces la o parte din resursele sistemului. De asemenea, persoana
respectiv ă poate s ă aib ă cuno știn Ńe despre arhitectura sistemului de
securitate al re Ńelei, putând astfel lansa atacuri mult mai periculo ase.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 109 – Atacatorul, de la calculatorul propriu, va putea s ă-și sporeasc ă
privilegiile și în acest fel s ă acceseze informa Ńii la care nu are drept de
acces. De asemenea va putea s ă încarce programe care s ă scaneze re Ńeaua și
să găseasc ă punctele vulnerabile ale re Ńelei.
Ob Ńinerea de drepturi de administrator ( admin , root ) reprezint ă Ńelul
atacatorilor.
Riscul de atac local poate fi redus în diferite mod uri:
• acordarea utilizatorilor locali privilegiile minim necesare efectu ării
sarcinilor zilnice, potrivit func Ńiei și rolului fiec ăruia în companie;
• monitorizarea activit ăŃilor din re Ńea pentru a sesiza eventualele
încerc ări de dep ăș ire a atribu Ńiilor, eventual și în afara orelor de program;
• impunerea de restric Ńii de acces pe cele mai importante
echipamente din re Ńea;
• distribuirea responsabilit ăŃilor mari între mai mul Ńi angaja Ńi.
Din nefericire, majoritatea sistemelor de protec Ńie sunt inutile dac ă
mai mul Ńi indivizi din interiorul re Ńelei coopereaz ă pentru a învinge m ăsurile
de securitate ale acesteia. De aceea, în vederea ac ord ării unor privilegii de
utilizare a resurselor re Ńelei, utilizatorii trebuie ierarhiza Ńi pe mai multe
nivele de încredere, în func Ńie de vechimea în re Ńea, comportamentul
acestora și gravitatea unor evenimente de securitate în care au fost implica Ńi.
III.2.2 ATACURI LA DISTAN łĂ
Atacul la distan Ńă (remote attack ) este un atac lansat împotriva unei
re Ńele de comunica Ńii sau a unui echipament din re Ńea, fa Ńă de care atacatorul
nu de Ńine nici un fel de control.
Securitatea re Ńelelor de comunica Ńii
– 110 – Accesul de la distan Ńă la resursele unei re Ńele este mai riscant decât
accesul din re Ńeaua local ă prin simplul fapt c ă în Internet sunt câteva
miliarde de utilizatori ceea ce face ca num ărul posibililor atacatori externi s ă
fie mult mai mare decât al celor interni. Prin apli carea unei politici de
securitate corecte și a unor solu Ńii de securitate performante, riscul atacurilor
locale poate fi minimizat.
Atacul de la distan Ńă se poate realiza în trei etape:
Prima etap ă este una de informare în care atacatorul trebuie s ă
descopere informa Ńii despre:
• administratorul retelei
• echipamentele din re Ńea și func Ńiile acestora
• sisteme de operare folosite
• puncte de vulnerabilitate
• topologia re Ńelei
• politici de securitate etc.
Aceast ă etap ă este considerat ă un atac în sine, denumit atac de
recunoa ștere (reconnaissance ), și const ă în maparea neautorizat ă a unui
sistem informatic, a serviciilor și a vulnerabilit ăŃilor lui. Este un pas
precedent oric ărui atac informatic, prin care se identific ă porturi deschise,
serviciile active, sisteme de operare, aplica Ńii rulate, versiuni de software. Pe
baza acestor informa Ńii, atacatorul poate preg ăti un atac eficient.
Atunci când calculatorul- Ńint ă de Ńine o solu Ńie de securitate,
eforturile de atac sunt diminuate.
În func Ńie de dimensiunea și arhitectura re Ńelei din care face parte
calculatorul-Ńint ă, folosind programe de scanare se pot ob Ńine informa Ńii
despre numele și adresele IP ale calculatoarelor dintr-o anumit ă arie.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 111 – Dar cea mai mare importan Ńă o are colectarea informa Ńiei despre
administratorul de re Ńea din care provine Ńinta. Aceasta va aduce cele mai
multe informa Ńii utile atacatorului. Dac ă se determin ă când, cum și cât îi ia
administratorului de sistem sau persoanei responsab ile de securitatea re Ńelei,
să detecteze un eventual atac, atacatorul va ini Ńia atacurile în afara acestor
perioade, cu parametrii care s ă îi asigure succesul.
2. A dou ă etap ă este una de testare care presupune crearea unei
clone a Ńintei și testarea atacului asupra acesteia, pentru a se ve dea modul în
care reac Ńioneaz ă. Realizând aceste experimente pe un calculator-clo n ă,
atacatorul nu atrage aten Ńia asupra sa pe durata simul ării iar șansele atacului
real, care va fi lansat ulterior, vor fi foarte mar i. Dacă se fac experimente
direct pe Ńinta real ă, pentru atacator exist ă riscul s ă fie detectat și se pot
alege cele mai eficiente contram ăsuri.
3. Etapa a treia const ă în lansarea atacului asupra re Ńelei. Pentru a
avea cele mai mari șanse, atacul trebuie s ă dureze pu Ńin și s ă fie efectuat în
intervalele când Ńinta este mai vulnerabil ă.
Observa Ńie : Atacurile combinate, în care una sau mai multe pe rsoane
furnizează informa Ńii din interiorul re Ńelei și altele din exterior lanseaz ă
atacul de la distan Ńă folosind acele informa Ńii, sunt extrem de periculoase,
din punctul de vedere al atacatorului. În aceste ca zuri, mascarea atacului
este foarte bun ă iar șansele sistemului de securitate al re Ńelei de a reac Ńiona
la timp și eficient sunt din cele mai mici.
Securitatea re Ńelelor de comunica Ńii
– 112 – III.2.3 ATACURI PASIVE
Atacurile pasive sunt acele atacuri în cadrul c ărora intrusul doar
observ ă re Ńeaua, canalul de comunica Ńie, adic ă monitorizeaz ă transmisia și,
eventual, preia semnalul sau pachetele de date fiin d denumite și atacuri de
intercep Ńie (Figura III.1).
Atacurile pasive pot fi de dou ă feluri:
/square4 de citire și înregistrare a con Ńinutului mesajelor, de exemplu, în
serviciul de po ștă electronic ă;
/square4 de analiz ă a traficului.
Figura III.1 Model de atac pasiv
Atacul pasiv de simpl ă observare sau de „ascultare” a traficului
(eavesdropping ) poate fi simplu realizat în re Ńelele wireless cu echipamente
de radiorecep Ńie acordate pe frecven Ńa de lucru a re Ńelei.
Interceptarea pachetelor transmise în re Ńea ( packet sniffing )
reprezint ă de asemenea un atac pasiv deosebit de periculos de oarece intrusul
este conectat la re Ńeaua de comunica Ńie (de exemplu, pe un port la unui
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 113 – switch nesecurizat fizic) are acces logic la re Ńea și poate prelua din pachete
informa Ńiile transmise în clar.
Referitor la atacurile pasive, se observ ă c ă:
• nu produc distrugeri vizibile (de exemplu, nu bloch eaz ă re Ńeaua, nu
perturb ă traficul, nu modific ă datele)
• încalc ă regulile de confiden Ńialitate prin furtul de informa Ńii
• observ ă modific ările din re Ńea (noi echipamemente introduse,
schimbarea configur ărilor etc.)
• sunt avantajate de rutarea pachetelor prin noduri d e re Ńea mai pu Ńin
protejate, cu risc crescut
• sunt greu sau chiar imposibil de detectat.
De aceea, se dezvolt ă sisteme de preven Ńie și detec Ńie a intruziunilor
în re Ńea, fie ca solu Ńii software, fie cu echipamente dedicate (de exempl u,
prin m ăsur ători de câmp radiat pentru stabilirea ariei de acop erire a unei
re Ńele wireless).
Din acest punct de vedere, re Ńelele optice sunt cel mai bine protejate
fiind practic imposibil ă interceptarea traficului f ără a se sesiza prezen Ńa
intrusului. Riscurile cele mai mari de atac pasiv, de intercep Ńie a
informa Ńiilor din re Ńea (date propriu-zise sau de identificare) apar în re Ńelele
wireless. Re Ńelele cablate, cu cabluri cu conductoare metalice, sunt
vulnerabile la atacuri pasive în nodurile de comuni ca Ńie de tip hub sau
switch.
Atacurile pasive nedetectate care au ca finalitate preluarea cheilor de
criptare reprezint ă un risc major pentru re Ńea, întrucât prin necunoa șterea
cheilor compromise se creeaz ă bre șe în sistemul de securizare a
informa Ńiilor prin criptarea traficului.
Securitatea re Ńelelor de comunica Ńii
– 114 – III.2.4 ATACURI ACTIVE
Atacurile active au ca scop furtul sau falsificarea informa Ńiilor
transmise ori stocate în re Ńea, reducerea disponibilit ăŃii re Ńelei prin
supraînc ărcarea acesteia cu pachete ( flooding ), perturbarea sau blocarea
comunica Ńiilor prin atac fizic sau logic asupra echipamentel or din re Ńea și a
căilor de comunica Ńii (Figura III.2).
Figura III.2 Model de atac activ
S-au identificat pân ă în prezent mai multe tipuri de atacuri active:
Mascarada (masquerade ) este un atac în care o entitate din re Ńea
(client, server, utilizator, serviciu) pretinde a a vea o alt ă identitate pentru a
prelua informa Ńii confiden Ńiale (parole de acces, date de identificare, chei d e
criptare, informa Ńii despre c ărŃi de credit și altele).
Multe dintre atacurile de acest tip pot fi evitate prin adoptarea unor
politici de securitate adecvate, care presupun resp onsabilizarea utilizatorilor,
implementarea unor metode de acces robuste, folosir ea unor metode de
autentificare cât mai eficiente.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 115 – Un tip aparte de atac de mascare sau de fals ă identitate se produce
atunci când atacatorul activeaz ă în re Ńeaua wireless un echipament
neautorizat de tip AP ( counterfeiting ) care reu șește s ă preia date valide de
identificare ale utilizatorilor autoriza Ńi, în scopul folosirii lor ulterioare
pentru accesare neautorizat ă a re Ńelei asupra c ăreia s-a produs atacul.
Un alt tip de atac const ă în modificarea mesajelor (message
alteration ), adic ă mesajul transmis este interceptat, întârziat, iar con Ńinutul
său este schimbat sau reordonat pentru modificarea da telor precum
schimbarea unor valori în fi șiere, în particular în înregistr ări financiar-
bancare, în diverse programe software astfel încât acestea s ă produc ă efecte
diferite de cele pentru care au fost gândite. Un as tfel de atac se întâlne ște în
re Ńelele wireless 802.11b bazate pe WEP, cu vulnerabil it ăŃi ale
mecanismului de criptare. Atacatorul reu șește s ă intercepteze pachetele, s ă
decripteze datele și s ă modifice informa Ńiile, dup ă care le cripteaz ă din nou,
cu acela și algoritm, și corectează CRC-ul pentru ca datele modificate s ă fie
considerate valide la destina Ńie. Acest tip de atac este denumit și atac subtil,
fiind extrem de dificil de depistat.
Falsificarea datelor și a mesajelor este posibil ă și prin atacul de tip
“omul-din-mijloc” ( man-in-the-middle attack ) când atacatorul se afl ă într-
un nod intermediar dintr-un link de comunicare și poate intercepta mesajele
transmise de surs ă substituindu-le cu mesaje proprii, cu informa Ńii false.
Refuzul serviciului (DoS Denial-of-service attack ), lansat eventual
în varianta distribuit ă (DDoS – Distributed Denial-of-Service ), const ă într-o
supraînc ărcare a serverelor cu cereri din partea atacatorulu i și consumarea
resurselor, astfel încât acele servicii s ă nu poat ă fi oferite și altor utilizatori.
Ca urmare a acestui atac, conexiunile existente se închid, fiind necesar ă
reautentificarea utilizatorilor. Atacatorul profit ă de acest moment pentru a
Securitatea re Ńelelor de comunica Ńii
– 116 – intercepta date de identificare valide, informa Ńii despre re Ńea și conturi de
utilizare autorizat ă.
In general, atacurile DoS se realizeaz ă fie prin for Ńarea
calculatorului-Ńint ă s ă aloce toate resursele pentru a r ăspunde cererilor
transmise într-un num ăr tot mai mare de c ătre atacatori pân ă la epuizarea
resurselor, fie prin perturbarea și chiar întreruperea comunica Ńiei dintre
client și server (de exemplu, a celor wireless prin diferit e tehnici de bruiaj),
astfel încât serverul s ă nu mai poat ă furniza serviciile sale clientului.
Reluarea unui mesaj sau a unui fragment din acesta ( replay ) este un
atac lansat cu scopul de a produce un efect neautor izat în re Ńea
(autentificarea atacatorului folosind informa Ńii de identificare valide,
transmise de un utilizator autorizat al re Ńelei). Sistemul de gestionare a
resurselor și de monitorizare a accesului poate depista inten Ńia de acces
fraudulos de pe un anumit nod din re Ńea și, pe baza politicii de securitate,
poate s ă îl treac ă în carantin ă, pe o perioad ă de timp limitat ă în care se
verific ă existen Ńa atacului, și ulterior s ă îi interzic ă total accesul în re Ńea pe
baza adresei fizice, a celei de re Ńea sau de pe un anumit cont de utilizator de
pe care s-a produs atacul. Acest atac poate avea ca efect erori de de
management de re Ńea, interzicerea accesului clientului la anumite re surse,
neplata unor servicii de re Ńea. De cele mai multe ori acest atac este
considerat pasiv, dar dac ă se iau în considerare efectele pe care le poate
avea, inclusiv interceptarea și distrugerea informa Ńiilor transmise prin re Ńea,
este mai indicat ă includerea lui în categoria atacurilor active.
O schem ă simpl ă de clasificare a atacurilor este dat ă în figur ă:
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 117 –
Figura III.3 Clasificarea atacurilor
Repudierea serviciului ( repudiation ) este un alt tip de atac asupra
re Ńelelor de comunica Ńii care se produce atunci când o entitate sau un
utilizator refuz ă s ă recunoasc ă un serviciu deja executat. Nerepudierea
serviciului ( non-repudiation ) este foarte important ă în aplica Ńiile cu plat ă
care necesit ă servicii de taxare ( billing ). Dac ă utilizatorul neag ă folosirea
serviciului și refuz ă plata acestuia, furnizorul trebuie s ă dispun ă de dovezi
solide care s ă împiedice repudierea serviciului în context legal.
Din aceea și categorie a atacurilor active, fac parte și programele cu
scopuri distructive (virus, worm, spy, spam ) care afecteaz ă securitatea
echipamentelor și a informa Ńiilor din re Ńea, fie prin preluarea unor informa Ńii
confiden Ńiale, fie prin distrugerea par Ńial ă sau total ă a datelor, a sistemului
de operare și a altor programe software, și chiar prin distrugeri de natur ă
hardware. Răspândirea acestor programe în re Ńea se face prin diverse
servicii de re Ńea mai pu Ńin protejate (de exemplu, unele sisteme de po ștă
electronic ă, de sharing de fi șiere, de mesagerie în timp real etc.) sau prin
intermediul mediilor de stocare externe (CD, DVD, removable disk ) atunci
când mecanismele de transfer de fi șiere nu sunt verificate cu programe
Securitatea re Ńelelor de comunica Ńii
– 118 – specializate de detectare a viru șilor și a viermilor de re Ńea. De asemenea,
rularea unor programe de protec Ńie a sistemelor, de tip antivirus sau antispy,
devine de cele mai multe ori ineficient ă dac ă acestea nu sunt corect
configurate și nu dispun de liste actualizate ( up-date ) cu semn ăturile celor
mai noi viru și sau ale altor elemente de atacare a re Ńelei.
Viru șii de re Ńea (viruses ) sunt programe inserate în aplica Ńii, care
prin automultiplicare pot determina saturarea compl et ă a spa Ńiului de
memorie și blocarea sistemului. P ătrunderea unui virus într-o re Ńea de
comunica Ńii o face vulnerabil ă la orice form ă de atac, tentativ ă de fraud ă sau
de distrugere. Infectarea se poate produce de oriun de din re Ńea. Cei mai
mul Ńi viru și p ătrund în sistem direct din Internet, prin serviciil e de
download, atunci când se fac up-date-uri pentru dri verele componentelor
sau pentru diferite programe software, inclusiv pen tru sistemul de operare.
Viru șii rescriu por Ńiuni din fi șiere de un anumit tip, nu infecteaz ă fi șierele
deja infestate pentru a nu- și irosi resursele, sunt transporta Ńi de fi șierele gata
infectate. Serviciile gratuite oferite de diferite servere din Internet
mascheaz ă de multe ori sursele de viru și de re Ńea. De aceea, este indicat ă
folosirea up-date-urilor oferite numai de firme con sacrate, surse autentice de
software, cu semn ături recunoscute ca fiind valide de c ătre sistemele de
operare. De asemenea, prin verificarea periodic ă a sistemului de operare se
pot depista la timp anumite erori sau modific ări ale programelor ( sofware
bugs ) și se poate folosi solu Ńii de refacere ( restore, backup ).
Bombele software au la baz ă proceduri sau por Ńiuni de cod-surs ă
incluse neautorizat în anumite aplica Ńii, care sunt activate de un anumit
eveniment predefinit: lansarea în execu Ńie a unui program, deschiderea unui
document sau fi șier ata șat transmis prin po șta electronic ă, o anumit ă dat ă
calendaristic ă (1 aprilie, vineri 13 etc.), accesarea unui anumit site web etc.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 119 – Viermii de re Ńea (worms ) au de asemenea efecte de blocare sau de
distrugere a datelor și a re Ńelei ca și viru șii și bombele software. Principalele
diferen Ńe fa Ńă de acestea sunt acelea c ă î și schimb ă permanent loca Ńia fiind
dificil de detectat și că nu se multiplic ă singuri. Cel mai renumit exemplu
este viermele Internet-ului care reu șit s ă scoat ă din func Ńiune un num ăr mare
de servere din Internet în noiembrie 1988.
Trapele (backdoors ) reprezint ă căi de acces la sistem rezervate,
folosite în mod normal pentru proceduri de între Ńinere ( maintenance ) de la
distan Ńă . Din cauza faptului c ă permit accesul nerestric Ńionat la sistem sau
pe baza unor date simple de identificare, acestea d evin puncte vulnerabile
ale re Ńelei care fac posibil accesul neautorizat al unor i ntru și în re Ńea.
Calul Troian (trojan horse ) este o aplica Ńie care, pe lâng ă func Ńia de
utilizare declarat ă, realizeaz ă și o func Ńie secret ă. Un astfel de program este
dificil de observat deoarece nu creeaz ă copii. De exemplu, se înlocuie ște
codul unui program normal de autentificare pe baz ă de nume de utilizator și
parol ă, printr-un alt cod care, în plus, permite copierea într-un fi șier a
numelui și parolei pe care utilizatorul le introduce de la t astatur ă.
Contram ăsurile folosite în acest caz constau în rularea pro gramelor antivirus
cu liste de semn ături cât mai complete și prin folosirea unor protocoale de
comunica Ńii și programe securizate pentru accesarea serviciilor de Internet
(HTTPS, anumite browsere de Internet, programe secu rizate de e-mail, ftp,
telnet etc).
Re Ńelele botnet reprezint ă un atac extrem de eficient din Internet.
Atacatorii î și creeaz ă o re Ńea din calculatoare deja compromise de o
aplica Ńie de tip malware , numite și computere bot, pe care le comand ă un
botmaster . Prin intermediul acestei re Ńele și al programelor de aplica Ńii de
Internet (de exemplu, e-mail, chat IRC – Internet Relay Chat ), sunt lansate
Securitatea re Ńelelor de comunica Ńii
– 120 – diverse atacuri ( spam, spyware, adware, keylogger, sniffer, DDoS ș.a.).
Aceste re Ńele acumuleaz ă o putere de procesare extrem de mare consumând
resursele calculatoarelor cooptate pentru execu Ńia aplica Ńiilor.
În general, atacurile distribuite în re Ńea sunt dificil de urm ărit și de
anihilat.
Controlul re Ńelelor botne t se poate face centralizat, peer-to-peer sau
aleator. Pentru combaterea acestor re Ńele, este necesar ă întreruperea c ăilor
de comand ă și control al lor (C&C – Command and Control ).
În modul centralizat, serverul C&C poate fi oricare sta Ńie cu
capacitate mare de procesare pe care sunt rulate ap lica Ńii de chat sau http.
Prin intermediul acestuia se transmit comenzi c ătre celelalte sta Ńii „bot ” (în
num ăr foarte mare, de ordinul sutelor). Canalele de com unica Ńii folosite de
atacatori sunt protejate de ace știa, de exemplu prin parole.
Re Ńelele botnet P2P sunt și mai dificil de detectat pentru c ă
identificarea și anihilarea unei sta Ńii „bot ” nu afecteaz ă restul re Ńelei. Acest
tip de re Ńea poate incorpora pân ă la 50 de calculatoare. Distribu Ńia mesajelor
C&C este mai dificil ă și se face cu oarecare întârzieri.
De și experimental, modul C&C aleator se dovede ște a fi cel mai
eficient și prin implementarea acestuia, re Ńelele botnet vor fi foarte greu de
distrus.
III.3 ATACURI CRIPTOGRAFICE
Atacurile criptografice se aplic ă direct mesajelor cifrate în vederea
ob Ńinerii informa Ńiei originale în clar și/sau a cheilor de criptare și de
decriptare.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 121 – Prin defini Ńie, criptanaliza este știin Ńa spargerii cifrurilor.
Criptanalistul este persoana care se ocup ă cu criptanaliza mesajelor cu
caracter secret.
Scopul metodelor de criptanaliz ă este descoperirea mesajelor în clar
(M) și/sau a cheii (K) din mesajul criptat (C).
Se cunosc mai multe tipuri de atacuri criptografice :
• brut ( brute force ), prin încercarea tuturor combina Ńiilor posibile fie
de chei de criptare, fie de simboluri din text pent ru deducerea
textului în clar (de exemplu, la metodele de cripta re prin substitu Ńia
sau transpozi Ńia literelor din mesaje de tip text).
• asupra textului criptat ( cipher text attack ) interceptat, prin analiza
căruia se încearc ă g ăsirea textului original sau a cheii de criptare.
• asupra unui text în clar cunoscut ( known plain-text attack ), pentru
care s-a aflat criptograma și pe baza c ăruia se face o extrapolare
pentru deducerea iterativ ă a altor por Ńiuni din mesaj.
• asupra unor texte criptate alese ( chosen cipher-text attack ), pentru
care se ob Ńin criptogramele asociate unor texte folosind algor itmi de
criptare cu chei publice și se urm ăre ște aflarea cheilor de decriptare.
Observa Ńii:
1. Interceptarea mesajelor criptate se realizeaz ă printr-un atac de tipul
„omul din mijloc”.
2. Un intrus se poate conecta la un server care ofer ă cheile publice de
criptare prin atacuri de tip mascarad ă autorizându-se ca o alt ă
entitate.
3. Atacul brut devine ineficient atunci când lungimea cheii este
suficient de mare încât num ărul de încerc ări pe care trebuie s ă îl fac ă
Securitatea re Ńelelor de comunica Ńii
– 122 – un criptanalist dep ăș ește capacitatea de procesare a celor mai
performante sisteme de calcul iar durata de procesa re criptanalitic ă
este mai mare decât perioada de valabilitate a info rma Ńiilor transmise
criptat. În medie, num ărul de încerc ări necesare pân ă la g ăsirea cheii
corecte este egal cu jum ătate din dimensiunea spa Ńiului cheilor.
Fiecare combina Ńie încercat ă trebuie verificat ă dac ă genereaz ă text în
clar. Prin urmare timpul de atac este relativ mare.
4. Un alt tip de atac, cu conota Ńii sociale și psihologice, este ac Ńiunea de
“cump ărare” a cheii, adic ă aflarea cheii f ără nici un efort de
criptanaliz ă, prin alte mijloace decât cele tehnice ( șantaj la adresa
persoanelor care o de Ńin, furt sau scurgeri de informa Ńii de la
persoane sau din documente scrise sau în fomat elec tronic etc.).
Acest procedeu este unul dintre cele mai puternice atacuri lansate la
adresa unor surse din interiorul re Ńelei. Pentru preîntâmpinarea lui
este util ă responsabilizarea personalului, eliminarea bre șelor de
securitate a documentelor, eventual dubla criptare a datelor astfel
încât secretul lor s ă nu depind ă de o singur ă persoan ă.
5. Atacul de tip “întâlnire” ( meet-in-the-middle attack ) a fost dezvoltat
pentru criptosistemele cu dubl ă criptare. Acesta presupune criptarea
unui text în clar cunoscut cu fiecare cheie posibil ă la un anumit cap ăt
și compararea rezultatului cu ceea ce se ob Ńine prin decriptarea
textului criptat aferent. Aparent timpul de atac es te crescut
exponen Ńial, dar în realitate se constat ă doar o dublare a acestuia.
Ca și metode de criptanaliz ă, s-au dezvoltat urm ătoarele:
/head2right Metoda diferen Ńial ă: este folosit ă pentru spargerea algoritmilor cu
cheie secret ă, pe baza unei perechi de texte criptate, ob Ńinute prin
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 123 – criptarea unei perechi de texte în clar și analiza diferen Ńelor dintre
acestea.
/head2right Metoda liniar ă: folose ște texte în clar cunoscute și textele criptate
asociate încercând pe baza lor aproximarea liniar ă a cheii de
criptare.
/head2right Metoda combinat ă, diferen Ńial-liniar ă: aplic ă ambele procedee
men Ńionate anterior pentru spargerea cifrurilor.
La data apari Ńiei criptanalizei diferen Ńiale, algoritmul DES era
singurul care rezista la toate formele de atac cuno scute. Între timp,
capacitatea procesoarelor a crescut vertiginos și spargerea DES este o
chestiune de minute. A devenit necesar ă cre șterea complexit ăŃii
algoritmului. S-a propus algoritmul Triple DES, cu cheie de criptare mai
lung ă, dar nici acesta nu s-a dovedit a fi suficient de sigur și s-a impus
proiectarea unor noi algoritmi.
Ca regul ă general ă, un algoritm este considerat sigur dac ă cea mai
pu Ńin costisitoare metod ă prin care poate fi atacat (ca timp de procesare,
spa Ńiu de memorie, pre Ń) este atacul brut.
Securitatea re Ńelelor de comunica Ńii
– 124 –
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 125 – Capitolul IV PROTOCOALE ȘI
SERVERE DE SECURITATE
Protocoalele de securitate a re Ńelelor de comunica Ńii sunt definite
pentru a stabili modul în care sunt oferite servici ile de securitate.
Aceste protocoale de securizare a comunica Ńiilor pot lucra pe diferite
nivele ale modelului OSI:
/head2right pe nivelul leg ăturii de date: protocoale de tunelare, precum L2TP
(Layer2 Tunnelling Protocol ) care, de și definit pe acest nivel,
opereaz ă de fapt pe nivelul OSI 5, de sesiune.
/head2right pe nivelul de re Ńea: IPsec ( IP Security ) ofer ă servicii de autentificare,
de control al accesului, de confiden Ńialitate și integritate a datelor.
/head2right pe nivelul de transport: TLS ( Transport Layer Security ), SSL
(Secure Socket Layer ), protocolul Handshake de autentificare
mutual ă a clien Ńilor și serverelor și negocierea algoritmilor de
criptare înaintea desf ăș ur ării propriu-zise a transmisiei datelor.
/head2right pe nivelul de aplica Ńie: SSH ( Secure Shell ), PGP ( Pretty Good
Privacy ), S/MIME ( Secure Multipurpose Internet Mail Extension ) și
altele.
Descrierea protocoalelor de securitate se va face î n func Ńie de
serviciile de securitate oferite și de arhitectura folosit ă pentru aplica Ńiile de
re Ńea.
De cele mai multe ori, se definesc suite de protoco ale de securitate
(IPsec, KERBEROS, SESAME și altele).
Securitatea re Ńelelor de comunica Ńii
– 126 – Implementarea suitelor de protocoale de securitate în re Ńelele de
comunica Ńii se face cu mai multe servere de re Ńea dedicate diferitelor
servicii:
/square4 servere de autentificare
/square4 servere de certificare
/square4 servere de distribu Ńie a cheilor de criptare
/square4 servere de gestiune a cheilor de criptare etc.
IV.1 IPSEC
Serviciile de securitate a re Ńelelor de comunica Ńii sunt implementate
pe baza protocoalelor de securitate în diferite sol u Ńii tehnice, hardware și
software.
Exist ă diferite metode de asigurare a securit ăŃii transmisiei într-o
re Ńea prin opera Ńii de autentificare a utilizatorilor, criptare a me sajelor,
filtrare a traficului etc.
Protocoalele de securitate din Internet se aplic ă pe diferite nivele
(fizic, leg ătur ă, re Ńea, aplica Ńie). Fiecare poate oferi unul sau mai multe
servicii de securitate.
Se pot utiliza programe software specializate pentr u asigurarea
securit ăŃii transmisiei datelor în re Ńea.
Primele m ăsuri de securitate a re Ńelelor defineau asocia Ńii de
securitate (SA – Security Association), adic ă grupuri de utilizatori autoriza Ńi
să foloseasc ă o anumit ă re Ńea, denumit ă re Ńea virtual ă privat ă (VPN –
Virtual Private Network). Ca o extensie a acestora, în re Ńelele wireless se
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 127 – pot configura re Ńele private virtuale ad-hoc (VPAN – Virtual Private Ad-
Hoc Networks ).
În prezent, în re Ńelele de arie larg ă bazate pe TCP/IP se poate utiliza
suita de protocoale de securitate IPsec (Internet Protocol Security Facility),
care realizeaz ă criptarea și autentificarea pachetelor IP cu performan Ńe
superioare sistemului ini Ńial SA. VPN pot fi configurate în mod adecvat s ă
aplice protocoalele de securitate din suita IPsec.
Gradul de protec Ńie a pachetelor IP și cheile de criptare utilizate de
IPsec se stabilesc prin mecanismul IKE ( Internet Key Exchange) descris de
protocolul cu acela și nume , care se aplic ă împreun ă cu protocolul ISAKMP
(Internet Securi Ńy Association and Key Management Protocol), Astfel IPsec
beneficiaz ă de serviciile ISAKMP/IKE.
IPsec ofer ă urm ătoarele servicii de securitate pe nivelul IP al
re Ńelelor TCP/IP:
• integritatea conexiunii – asigur ă faptul c ă în procesul de comunica Ńie
nu intervin entit ăŃi neautorizate care s ă modifice datele sau s ă
genereze mesaje false în re Ńea;
• autentificarea sursei de date – permite identificar ea sursei și
asigurarea autenticit ăŃii mesajelor;
• criptarea datelor – asigur ă confiden Ńialitatea mesajelor transmise și
imposibilitatea prelu ării neautorizate a informa Ńiilor;
• protec Ńia la atacuri în re Ńea – detecteaz ă pachetele repetitive, replici
ale aceluia și pachet, care se transmit la infinit în re Ńea și pot produce
blocaje sau saturarea re Ńelei (flooding).
IPsec asigur ă mai multe servicii de securitate : autenticitatea
pachetelor și integritatea conexiunii (AH – Authentication Header ), criptarea
și/sau autenticitatea pachetelor (ESP – Encapsulating Security Payload ) și
Securitatea re Ńelelor de comunica Ńii
– 128 – mecanisme pentru stabilirea parametrilor conexiunii (SA- Security
Association ).
Autentificarea sursei se face pe baza protocolului AH (IP
Authentication Header) din suita IPsec (RFC 2401, RFC 2402). Acest
protocol asigur ă integritatea conexiunii și a datelor transmise, precum și
autenticitatea mesajelor. AH asigur ă securitatea integral ă a pachetelor IP,
inclusiv a antetelor de securitate ata șate ulterior acestora.
Serviciile de securitate sunt asigurate și de protocolul ESP de
încapsulare a pachetelor IP ( IP Encapsulating Securi Ńy Payload), care
stabile ște opera Ńii de criptare a datelor și de autentificare a sursei de
informa Ńii (RFC 2406).
ESP ofer ă servicii de securitate numai protocoalelor de pe n ivelele
superioare celui de re Ńea, excluzând antetele de securitate ulterior ad ăugate
pachetelor.
Protocoalele AH și ESP pot fi implementate prin diver și algoritmi
software și se pot aplica fie individual, fie ambele simultan , în func Ńie de
gradul de securitate impus pachetelor IP (RFC 2403, RFC 2404).
IPsec asigur ă securitatea comunica Ńiei dintre dou ă calculatoare-
gazd ă, dintre dou ă echipamente de comunica Ńii (de exemplu, rutere) sau
dintre un DTE și un DCE.
Un router sau un server pe care sunt activate proto coalele de
securitate IPsec se nume ște poart ă de securitate ( securi Ńy gateway) sau "zid"
de protec Ńie (firewall).
În general, asigurarea securit ăŃii unei transmisii se realizeaz ă la
ambele capete ale c ăii de comunica Ńie, cu dou ă echipamente care folosesc IP
sec lucrând în pereche (IPsec peers).
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 129 – Cele dou ă protocoale de securitate (AH sau ESP) pot ac Ńiona în dou ă
moduri:
1. modul de transport ( transport mode ) – protocolul de securitate
intervine în pachetul IP și adaug ă un antet de securitate imediat dup ă antetul
IP (cu sau f ără op Ńiuni exprimate) dar antetul IP ini Ńial (header-ul) nu se
modific ă, doar datele transmise sunt securizate (criptate și/sau autentificate).
Prin folosirea protocolului AH, adresele IP ale sur sei, respectiv destina Ńiei,
nu pot fi modificate pe parcurs deoarece acest lucr u ar duce la modificarea
valorii hash. ESP ofer ă protec Ńie minimă protocoalelor de nivel superior, în
timp ce AH securizeaz ă total pachetul, inclusiv antetul IP. Acest mod de
operare se utilizeaz ă pentru schimbul de pachete între calculatoarele-ga zd ă
(host-to-host ).
2. modul de tunelare (IP tunneling) – întregul pachet (date și antete)
este securizat. Se introduc dou ă antete de securitate în fiecare pachet, înainte
(outer header) și dup ă (inner header) antetul EP. Antetul extern specific ă
perechea de entit ăŃi între care se creeaz ă tunelul IP și se aplic ă m ăsurile de
securitate pe baza IPsec. Antetul intern precizeaz ă destina Ńia final ă a
pachetului pentru realizarea rut ării. ESP protejeaz ă numai pachetul transmis
prin tunelul IP, în timp ce AH asigur ă și securitatea antetului exterior ata șat.
De regul ă acest mod de operare se utilizeaz ă între por Ńi de securitate care
execut ă împachetarea și despachetarea mesajelor ( gateway-to-gateway ).
Configurarea echipamentelor dintr-o re Ńea în vederea aplic ării IPsec
se realizeaz ă de c ătre o persoan ă cu drepturi depline de stabilire a securit ăŃii
re Ńelei (security officer), în trei etape:
1. crearea grupurilor de securitate (SA) și stabilirea drepturilor și
atribu Ńiilor acestora;
Securitatea re Ńelelor de comunica Ńii
– 130 – 2. configurarea leg ăturilor dintre SA-uri și stabilirea ierarhiilor de
priorit ăŃi, folosind ISAKMP/IKE (RFC 2408, RFC 2409);
3. stabilirea modalit ăŃilor de clasificare a pachetelor IP și de ac Ńiune
asupra lor (permite sau interzice accesul în re Ńea, aplic ă procedurile
de securitate conform IPsec).
Aceste configura Ńii referitoare la IPsec sunt stocate în bazele de d ate
pentru securitatea re Ńelei (SPD – Security Policy Database), la care are acces
doar administratorul de re Ńea.
Prin SA în Ńelegem o conexiune simplex definit ă pe o pereche IPsec,
pentru securitatea traficului doar într-un sens, fo losind un singur protocol de
securitate (AH sau ESP).
Pentru transmisiile duplex se define ște câte un SA pentru fiecare
sens de comunica Ńie cu reŃeaua (inbound/outbound traffic).
Dac ă la unul din capetele canalului de comunica Ńie definit de SA, se
găse ște un echipament de securitate (security gateway; firewall), atunci este
obligatoriu ca acel SA s ă lucreze în modul de tunelare pentru a evita
problemele create prin fragmentarea pachetelor și de existen Ńa c ăilor
multiple de rutare.
Un SA este identificat prin trei parametri:
1. un num ăr aleator denumit identificator de securitate (SPI – Security
Parameter Index);
2. adresa IP de destina Ńie;
3. protocolul de securitate (AH sau ESP).
Dac ă este necesar ă utilizarea ambelor protocoale de securitate în
Internet (AH și ESP), atunci se creeaz ă și se configureaz ă leg ăturile dintre
dou ă sau mai multe SA.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 131 – Regulile de securitate aplicate într-o re Ńea folosind IPsec sunt
memorate în SPD. Acestea stabilesc trei moduri posi bile de ac Ńiune asupra
pachetelor IP:
1. se aplic ă pachetului, serviciile de securitate conform IPsec ;
2. se interzice accesul pachetului în re Ńea (deny);
3. se acord ă permisiunea de acces în re Ńea, f ără aplicarea măsurilor de
securitate IP ( bypass IPsec).
Modul de ac Ńiune asupra unui pachet IP se stabile ște pe baza
antetelor con Ńinute de acesta, prin opera Ńia de clasificare a pachetelor, în
func Ńie de diver și factori de selec Ńie:
• adresa IP a sursei;
• adresa IP a destina Ńiei;
• portul-surs ă;
• portul-destina Ńie;
• protocolul de transport;
• numele utilizatorului sau al sistemului;
• gradul de prioritate a informa Ńiilor con Ńinute în pachet.
Aplicarea m ăsurilor de securitate IPsec asupra unui pachet
(autentificare, criptare, compresie), se realizeaz ă pe baza mecanismului
ISAKMP/TKE prin care se genereaz ă și se transmit între p ărŃi cheile de
criptare utilizate de SA în diferite sesiuni, memor ate într-o baz ă de date
proprie ISAKMP ca atribute ale SA.
În re Ńelele TCP/IP, se utilizeazeaz ă diver și algoritmi de criptare,
uzuali fiind cei cu cheie public ă (RSA, Diffie-Hellman, DES, 3DES etc).
De exemplu, protocolul SSH, utilizat pentru transfe rul securizat al
fi șierelor și al mesajelor prin sistemul de po ștă electronic ă din Internet,
folose ște diver și algoritmi de criptare cu cheie public ă. Opera Ńia de
Securitatea re Ńelelor de comunica Ńii
– 132 – autentificare se bazeaz ă de asemenea pe secven Ńe de tip 'cheie de
transmisie'.
IV.1.1 PROTOCOLUL AH
Protocolul AH ( Authentication Header ) asigur ă autenticitatea
mesajelor și a tuturor informa Ńiilor adi Ńionale incluse în pachet precum și
integritatea pachetului de date, prin aplicarea fun c Ńilor hash. AH împiedic ă
modificarea ilegal ă a pachetelor, multiplicarea sau întârzierea datelo r ( anti-
replay security ).
Diagrama unui pachet AH este prezentat ă în figura IV.1.
BiŃii 0 – 7 8 – 15 16 – 23 24 – 31
Antetul urm ător Lungimea
pachetului Câmp REZERVAT
Identificatorul de securitate
Num ărul de secven Ńă
Informa Ńia de autenticitate
Figura IV.1 Diagrama unui pachet AH
Semnifica Ńiile câmpurilor sunt urm ătoarele:
/head2right antetul urm ător (next header ) – identific ă protocolul de transfer al
datelor;
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 133 – /head2right lungimea pachetului AH ( payload length ) exprimat ă în cuvinte de
32 de bi Ńi;
/head2right câmp rezervat cu to Ńi bi Ńii 0, care poate fi utilizat ulterior în alte
scopuri;
/head2right Identificatorul de securitate (SPI – Security Parameters Index )
identific ă asocia Ńia de securitate (SA – S ecurity Association )
implementat ă în acest pachet;
/head2right Num ărul de secven Ńă (sequence number ) – reprezint ă un num ăr
monoton cresc ător, folosit pentru a evita atacurile de reluare a
datelor ( replay attacks );
/head2right Informa Ńia de autenticitate (authentication data ) – con Ńine valoarea
de verificare a integrit ăŃii (ICV – Integrity Check Value ) sau codul de
autentificare a mesajului ( MAC – Message Authentication Code ),
necesare pentru verificarea autenticit ăŃii pachetului.
IV.1.2 PROTOCOLUL ESP
Protocolul ESP ( Encapsulating Security Payload ) asigur ă
autenticitatea, integritatea și confiden Ńialitatea pachetelor de date. Spre
deosebire de protocolul AH, antetul pachetului IP n u este protejat de ESP.
Confiden Ńialitatea datelor este asigurat ă prin criptare.
Diagrama unui pachet ESP este dat ă în figura IV.2.
Pachetul ESP con Ńine urm ătoarele câmpuri:
/head2right Identificatorul de securitate (SPI – Security Parameters Index ) al
asocia Ńiei de securitate implementate (SA);
Securitatea re Ńelelor de comunica Ńii
– 134 –
Bi Ńii 0 – 7 8 – 15 16 – 23 24 – 31
Identificatorul de securitate
Num ărul de secven Ńă
Mesaj transmis (câmp de lungime variabil ă)
Expandare (0-255 octeti)
Lungimea
câmpului de
expandare Antetul urm ător
Informa Ńia de autentificare (câmp de lungime variabil ă)
Figura IV.2 Diagrama unui pachet ESP
/head2right Num ărul de secven Ńă (SN – Sequence Number ), num ăr generat dintr-
un șir monoton cresc ător, folosit pentru a preveni atacurile de
reluare;
/head2right Informa Ńia transmis ă ( payload data ) – mesajul de pe nivelul de
transport (în mod transport) sau IP (în mod tunel) care este protejat
prin criptare;
/head2right Expandare ( padding )- câmp folosit împreun ă cu unele cifruri-bloc
pentru a acoperi lungimea total ă a blocului;
/head2right Dimensiunea câmpului de expandare ( pad length ) – exprimat ă în
octe Ńi;
/head2right Antetul urm ător ( next header ), identific ă protocolul de transfer al
datelor;
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 135 – /head2right Informa Ńia de autentificare ( authentication data ) – câmpul con Ńine
valoarea de verificare a integrit ăŃii (ICV – Integrity Check Value ).
La trecerea pachetului de date prin diferite tunele și por Ńi de
securitate, acestuia îi sunt ad ăugate și alte antete. Un antet se aplic ă unui
pachet la începutul fiec ărui tunel. Dup ă verificare, la ie șirea din tunel,
antetul este eliminat.
IV.1.3 ASOCIA łII DE SECURITATE
Un concept de baz ă, care apare în mecanismele IP pentru
autentificare și confiden Ńialitate, este asocia Ńia de securitate (SA – Security
Association ). SA este o rela Ńie unidirec Ńional ă între o surs ă și o destina Ńie
care asigur ă servicii de securitate traficului efectuat pe baza ei. Pentru un
schimb securizat bidirec Ńional, sunt necesare dou ă asociaŃii de securitate.
Serviciile de securitate pot fi asigurate de o asoc iaŃie de securitate,
fie pentru utilizarea protocolului AH, fie pentru p rotocolul ESP, dar nu
pentru ambele. Dac ă este necesar ă utilizarea ambelor protocoale de
securitate în Internet (AH și ESP), atunci se creeaz ă și se configureaz ă
leg ăturile dintre dou ă sau mai multe SA-uri.
O asociaŃie de securitate este definit ă în mod unic de trei parametri:
• Identificatorul de securitate const ă într-un șir de bi Ńi cu
semnifica Ńie local ă, inclus în antetele AH și ESP pentru a permite
destina Ńiei s ă selecteze SA-ul pentru procesarea pachetului
recep Ńionat;
• Adresa IP de destina Ńie este adresa nodului de destina Ńie al
asocia Ńiei de securitate, care poate fi un calculator-gazd ă (host ) sau
Securitatea re Ńelelor de comunica Ńii
– 136 – un echipament de comunica Ńie al re Ńelei (router, firewall, access
point);
• Identificatorul protocolului de securitate indic ă pentru care
protocol, AH sau ESP, lucreaz ă SA.
IV.1.4 APLICA łII ALE IPSEC
IPsec ofer ă posibilitatea unei comunic ări sigure în re Ńelele de arie
larg ă (WAN), în aplica Ńii precum:
• Definirea re Ńelelor virtuale private (VPN – Virtual Private
Network ), în care uzual IPsec este configurat s ă foloseasc ă
protocolul ESP în modul tunel pentru furnizarea con fiden Ńialit ăŃii.
Pentru o organiza Ńie cu mai multe re Ńele locale, aflate în diferite
loca Ńii, traficul intern re Ńelelor locale nu este securizat în timp ce
traficul între acestea utilizeaz ă IPsec pentru securizare. IPsec este
activat în echipamentele de acces la re Ńeaua de arie larg ă, de
exemplu în gateway, router sau firewall. Opera Ńiile de
criptare/decriptare și de autentificare executate de IPsec sunt
transparente pentru sta Ńiile de lucru și serverele din re Ńelele locale.
• Accesul securizat de la distan Ńă prin re Ńeua public ă de Internet la
un sistem în care este implementat protocolul IPsec . Se poate apela
la un furnizor de Internet (ISP – Internet Service Provider ) pentru a
ob Ńine accesul securizat la o re Ńea privat ă.
• Îmbun ătăŃirea securit ăŃii aplica Ńiilor distribuite care au o serie de
mecanisme de securitate incluse.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 137 – Principala caracteristic ă a IPsec care îi permite s ă securizeze o gam ă
atât de larg ă de aplica Ńii distribuite (e-mail, transfer de fisiere, acces Web
etc.), este faptul c ă pentru întregul trafic IP se pot utiliza mecanisme le de
criptare și/sau autentificare.
IV.2 PROTOCOLUL KERBEROS
Kerberos este un protocol de autentificare și de control al accesului
în re Ńele, pentru aplica Ńii distribuite.
A fost proiectat pe baza modelului client-server și asigur ă
autentificarea mutual ă, adic ă atât utilizatorul cât și serverul se autentific ă
unul fa Ńă de cel ălalt.
Denumirea protocolului a fost preluat ă din mitologia greac ă, de la
câinele cu trei capete pe care îl chema Kerberos. S imilar, protocolul cu
acela și nume implic ă trei entit ăŃi: clientul, serverul și centrul de distribu Ńie a
cheilor (KDC – Key Distribution Center ). Protocolul impune existen Ńa unei
ter Ńe p ărŃi de încredere, KDC, intermediar ă în aplica Ńia client-server.
Acestea nu trebuie neap ărat s ă î și acorde reciproc încredere, ci ambele
trebuie s ă aib ă încredere în KDC.
KDC are dou ă p ărŃi:
/head2right un server de autentificare ( Authentication Server – AS);
/head2right un server de alocare a tichetelor ( Ticket Granting Server – TGS).
Mesajele protocolului Kerberos sunt protejate împot riva atacurilor
de ascultare ( eavesdropping) și de reluare a mesajelor ( replay ).
Securitatea re Ńelelor de comunica Ńii
– 138 – Kerberos utilizeaz ă tehnici simetrice de criptare și ofer ă un sistem de
mesaje criptate numite tichete , care asigur ă în mod securizat încrederea
reciproc ă dintre dou ă entit ăŃi din re Ńea. Utilizând Kerberos, parolele nu mai
sunt transmise prin re Ńea, nici măcar criptate. În cazul în care un tichet
Kerberos este interceptat acesta r ămâne protejat deoarece este criptat cu
algoritmi robu ști de criptare.
Odat ă ce o entitate-client ob Ńine un tichet c ătre un anume server,
tichetul este p ăstrat pe calculatorul local pân ă la expirare, f ăcând astfel din
Kerberos un sistem de autentificare foarte eficient . Depinde de
implementare, dar în mod uzual un tichet Kerberos e xpir ă dup ă opt ore.
KDC de Ńine o baz ă de date cu toate cheile secrete. Fiecare entitate
din re Ńea, fie client, fie server, de Ńine o cheie secret ă, cunoscut ă doar de ea și
de KDC. Aceast ă cheie constituie dovada identit ăŃii unei entit ăŃi.
Pentru o comunicare sigur ă între dou ă entit ăŃi din re Ńeaua public ă,
KDC genereaz ă o cheie a sesiunii .
Pentru a înŃelege principiul de func Ńionare a protocolului, trebuie
introduse urm ătoarele no Ńiuni:
• Serverul TGS (Ticket Granting Server ) ofer ă tichete de tip sesiune
pentru accesarea altor resurse. De obicei, TGS rule az ă în KDC.
• Tichetul TGT ( Ticket Granting Ticket ) reprezint ă un jeton de
validare a unui tichet Kerberos care atest ă faptul c ă o entitate a fost
deja autentificat ă și ne asigur ă c ă utilizatorii nu mai trebuie s ă
reintroduc ă parola dup ă un login ini Ńial, pân ă la expirarea tichetului.
• Tichetul de sesiune ST (Session Ticket ) reprezint ă un jeton de
sesiune care permite accesul la resurse protejate. Pentru accesarea
oric ărei aplica Ńii care utilizeaz ă Kerberos este necesar un tichet de
sesiune valid.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 139 – Procesul de autentificare Kerberos se desf ăș oar ă în mai mul Ńi pa și:
Utilizatorul unui sistem client, utilizând un usern ame si o parol ă sau
un smart card, se autentific ă fa Ńă de server-ul de autentificare (AS din
KDC);
/head2right AS emite clientului un tichet de tip TGT pe care îl utilizeaz ă pentru
a accesa TGS.
/head2right TGS emite un tichet de sesiune (ST) c ătre client.
/head2right Clientul prezint ă acest tichet serviciului de re Ńea accesat. Tichetul de
sesiune dovede ște atât identitatea utilizatorului c ătre serviciu, cât și a
serviciului fa Ńă de client.
Observa Ńii:
• Faptul c ă se utilizeaz ă un server central, furnizarea serviciului se
poate întrerupe (DoS) atunci când acesta nu mai fun c Ńioneaz ă,
deoarece nimeni nu îl mai poate apela. Aceast ă situa Ńie poate fi
evitat ă dac ă se utilizeaz ă mai multe servere Kerberos.
• Având în vedere c ă toate cheile secrete ale utilizatorilor sunt stoca te
în serverul central, compromiterea acestuia poate d uce la
compromiterea tuturor cheilor.
• Kerberos necesit ă sincronizarea entit ăŃilor apelante cu server-ul iar
dac ă acestea nu sunt sincronizate, atunci procesul de a utentificare nu
poate avea loc. Se impune s ă nu existe o diferen Ńă de timp mai mare
de 10 minute. În practic ă, se poate utiliza protocolul NTP ( Network
Time Protocol ) pentru realizarea sincroniz ării.
Serviciul de autentificare extins ă Kerberos v5 (RFC 1510) se
bazeaz ă atât pe mecanismul de autentificare cu nume și parol ă, cât și pe
sistemul de criptografie cu chei publice (PKC – Public Key Cryptosystem ).
Securitatea re Ńelelor de comunica Ńii
– 140 – IV.3 PROTOCOLUL SESAME
Protocolul SESAME ( Secure European System for Applicxations in
a Multivendor Environment ) este rezultatul unui proiect al Asocia Ńiei
Fabrican Ńilor Europeni de Calculatoare (ECMA – European Computer
Manufacturer Asociation ) propus pentru optimizarea și extinderea
protocolului Kerberos pentru controlul distribuit a l accesului în re Ńea.
SESAME folose ște interfa Ńa de aplica Ńii GSS-API ( Generic Security
Services Application Program Interface ) care ascunde detaliile de securitate
lucrând în mod transparent fa Ńă de utilizatori.
SESAME modific ă modul de implementare a algoritmilor de
criptare DES, RSA și MD5 adoptat de protocolul Kerberos, precum și
func Ńiile de dispersie.
SESAME folose ște o tehnic ă de autorizare și control al accesului
similar ă celei aplicate de protocolul Kerberos, cu autentif icare a clientului
de c ătre AS. Suplimentar, este necesar ă și autentificarea de c ătre un server
de privilegii (PAS – Privilege Attribute Server) care elibereaz ă un certificat
de privilegii (PAC – Privilege Attribute Certificate ) dup ă prezentarea unei
dovezi de autenticitate. Certificatul este semnat c u cheia privat ă a serverului
emitent. În certificat se specific ă identitatea și rolul utilizatorului, grupul
organiza Ńional c ăruia îi apar Ńine, permisiuni și restric Ńii impuse, condi Ńii de
utilizare a certificatului.
Dup ă ob Ńinerea certificatului, clientul se adreseaz ă serverului KDS
(Key Distribution Center Server ), conform RFC 3634, pentru ob Ńinerea
tichetului de serviciu.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 141 – Se observ ă c ă protocolul SESAME se aplic ă pas-cu-pas prin mai
multe procese succesive de comunica Ńie client-server.
În versiunile mai noi ale protocolului, aceste proc ese de comunica Ńie
cu serverele AS, PAS și KDS sunt rulate pe un server de securitate a
domeniului SESAME (DSS – Domain Security Server ) pe care este instalat ă
o baz ă de date care gestioneaz ă toate informa Ńiile de securitate din domeniu
(SMIB – Security Management Information Base ). Fiecare domeniu dispune
de o autoritate local ă de înregistrare a utilizatorilor (LRA – Local
Registration Authority ) de la care se ob Ńin informa Ńii de la autoritatea de
certificare (CA – Certificate Authority ), prin intermediul agen Ńilor de
certificare (CAA – CA Agent ) (Figura IV.3). Certificatele sunt criptate cu
chei publice pe baza mecanismului de autentificare X.509 fiind necesar un
mecanism de gestionare și de distribu Ńie a cheilor publice în re Ńea.
Figura IV.3 Domenii de securitate SESAME
Securitatea re Ńelelor de comunica Ńii
– 142 –
În domeniul CA, serverele comunic ă în modul asincron. Serverul
CA opereaz ă offline, în timp ce serverul CAA este online. Comu nica Ńia
dintre LRA și CAA se realizeaz ă în mod sincron.
Arhitectura SESAME include suplimentar (Figura IV.4 ):
1. sponsorul clientului care furnizeaz ă o interfa Ńă de aplica Ńii US ( User
Sponsor ).
2. modulul APA ( Authentication Privilege Atribute ) care asigur ă
transparen Ńa serviciilor de securitate oferite de SESAME
3. managerul de context SACM ( Secure Association Context Manager )
prin care se asigur ă autentificarea mutual ă client-server.
4. managerul cheilor publice PKM ( Public Key Manager )
5. modulul de validare a certificatelor PVF (PAC Validation Facility )
6. componenta de audit realizeaz ă doar înregistr ări ale evenimentelor
de securitate astfel încât acestea s ă nu poat ă fi modificate de
aplica Ńiile-proces. Analiza de audit nu cade în sarcina si stemului
SESAME.
7. Facilitatea de suport criptografic (CSF – Crypt ographic Support
Facility ) implementeaz ă algoritmi criptografici utiliza Ńi fie de
componentele SESAME sau de alte aplica Ńii. Algoritmii
utiliza Ńi în curent de SESAME sunt DES-CBC, RSA, MD5 și
DES-MD5. CSF a fost proiectat astfel încât a lgoritmii s ă poat ă
fi înlocui Ńi iar m ărimile cheilor ajustate în func Ńie de legisla Ńia
local ă. Din motive de control al exportului, versiunea public ă a
sistemului SESAME folose ște un simplu XOR pentru a cripta
datele.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 143 –
Figura IV.4 Arhitectura sistemului SESAME
SESAME folose ște o ierarhie de chei cu dou ă niveluri:
• O cheie simpl ă – stabilit ă și utilizat ă între un SACM ini Ńiator și
PVF-ul SACM-ului Ńint ă, pentru a proteja PAC-urile
corespunz ătoare precum și informa Ńiile de stabilire a cheilor.
• O cheie de dialog – derivat ă din cheia simpl ă cu o func Ńie de
dispersie cu sens unic ( one-way function ). Scopul acesteia este de a
proteja datele schimbate într-un context de securit ate.
Pentru protec Ńia integrit ăŃii și a confiden Ńialit ăŃii se
pot stabili chei de dialog separate, permi Ńând ca mecanisme cu puteri
de criptare diferite s ă fie utilizate conform cu legisla Ńia local ă.
SESAME este proiectat pentru sisteme deschise, cu e chipamente de
la diferi Ńi produc ători ( multi-vendor ), pentru servicii de autentificare, de
confiden Ńialitate și integritate a datelor, de autorizare și control al accesului
în aplica Ńii distribuite în re Ńea.
Securitatea re Ńelelor de comunica Ńii
– 144 – IV.4 PROTOCOLUL RADIUS
RADIUS (Remote Authentication Dial In User Service ) este un
protocol de autentificare, autorizare și gestionare a conturilor de utilizator
(AAA- Authentication , Authorization , Accounting ) care asigur ă controlul
accesului la resursele unei re Ńele. RADIUS este utilizat de furnizorii de
servicii Internet (ISP – Internet Service Provider ) și de alte organisme care
administreaz ă accesul la Internet sau la re Ńelele interne.
Un pachet RADIUS (Figura IV.5) con Ńine urm ătoarele câmpuri:
/square4 Cod (type ) – specific ă tipul pachetului RADIUS (1B);
/square4 Identificator ( identifier ) – prin care se realizeaz ă legatura dintre
cerere și r ăspuns (1B);
/square4 Lungime ( length ) – indic ă lungimea întregului pachet, minimum 20
B, maximum 4096 B (2B);
/square4 Autentificator ( authenticator ) – reprezint ă informa Ńia prin care este
autentificat r ăspunsul server-ului RADIUS (16 B);
/square4 Atribute ( attributes ) – câmp de lungime variabil ă care con Ńine lista
tuturor informa Ńiilor necesare pentru un anumit tip de serviciu. Un
atribut este format din trei câmpuri: nume, lungime și valoare.
Figura IV.5 Structura pachetului RADIUS
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 145 – Atributele pot fi împ ărŃite în patru categorii:
• atribute de management ale protocolului RADIUS;
• atribute de identificare și autentificare a utilizatorului;
• atribute de autorizare care arat ă tipul serviciului furnizat
utilizatorului;
• atribute de gestionare a contulurilor care indic ă modul de utilizare a
serviciului.
Serverele RADIUS utilizeaz ă conceptul AAA pentru a administra
accesul în re Ńea, în trei pa și:
1. Autentificarea clientului
Clientul cere permisiunea de accesare a resurselor re Ńelei unui server
de acces la re Ńea (NAS – Network Access Server ). NAS trimite server-ului
RADIUS o cerere de acces ( access request ), prin care solicit ă autoriza Ńia de
a permite accesul. Aceasta cerere include și o form ă de identificare a
clientului, un nume de utilizator și o parol ă sau un certificat digital,
furnizate de acesta. În plus, cererea poate include alte informa Ńii cunoscute
de NAS, cum ar fi: adresa de re Ńea ( MAC- Media Access Control ), num ărul
de telefon, informa Ńii cu privire la conexiunea fizic ă dintre NAS și client.
2. Autorizarea
Cererea de acces ini Ńiat ă de NAS este procesat ă de server-ul
RADIUS. Acesta caut ă într-o list ă intern ă de conturi, contul utilizatorului
pentru a verifica informa Ńiile despre acesta. Identitatea utilizatorului este
verificat ă și, op Ńional alte informa Ńii cu privire la cererea acestuia.
Server-ul RADIUS poate furniza unul dintre urm ătoarele r ăspunsuri:
Securitatea re Ńelelor de comunica Ńii
– 146 – • Acces respins (Access-Reject ) utilizatorului, la toate resursele re Ńelei
pentru care a adresat cererea, pentru c ă nu s-a dovedit identitatea
acestuia sau contul acestuia nu este recunoscut sau activ.
• Acces permis (A ccess-Accept ) utilizatorului. Atributele autoriza Ńiei
sunt trimise c ătre NAS de serverul RADIUS, inclusiv limitarea
timpului de acces sau a cantit ăŃii de informa Ńie și restric Ńiile de
securitate referitoare la controlul accesului și adresele de re Ńea
ata șate.
• Răspuns ( Access-Challenge ) prin care se cer informa Ńii suplimentare
de la client, cum ar fi de exemplu o a doua parol ă.
3. Gestionare cont
Atunci când se acord ă accesul la re Ńea, unui utilizator, de c ătre NAS,
un mesaj de ini Ńiere a contului ( accounting start ) este trimis de NAS server-
ului RADIUS pentru ai semnala acestuia c ă un utilizator a accesat re Ńeaua.
Acest mesaj de obicei con Ńine: identitatea utilizatorului, adresele de re Ńea și
ID-ul unic al sesiunii deschise de utilizator.
Periodic NAS poate trimite mesaje intermediare ( interim
accounting ) c ătre RADIUS pentru a-l în știin Ńa cu privire la starea unei
sesiuni active. În final, când sesiunea se încheie, NAS trimite un mesaj de
încheiere server-ului RADIUS ( accounting stop ) cu informa Ńii cu privire la
timpul, data, motivul deconect ării și alte informa Ńii cu privire la accesul
utilizatorului la re Ńea.
Pentru protectia parolelor trimise între NAS și server-ul RADIUS, se
pot utiliza tunele IPsec, pentru criptarea traficul ui. De regul ă, se utilizeaz ă
pentru criptarea informa Ńiilor algoritmul RSA .
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 147 – Serverul RADIUS a fost implementat în sistemul de o perare MS
Windows 2000 ca server IAS ( Internet Authentication Service ) care
realizeaz ă centralizat opera Ńiile de autentificare, autorizare, audit și de cont
(AAAA) pentru conexiuni prin dial-up sau VPN, de ac ces la servicii de la
distan Ńă sau la cerere, cu echipamente fabricate de un prod uc ător unic
(single vendor ) sau de mai multe firme produc ătoare (multi-vendor ).
IV.5 PROTOCOLUL DIAMETER
Odat ă cu cre șterea num ărului de utilizatori și al punctelor de acces, a
num ărului de servicii și a complexit ăŃii acestora, protocolul RADIUS nu a
mai putut îndeplini toate cerin Ńele AAA. A fost nevoie de un nou protocol,
capabil s ă îndeplineasc ă toate noile probleme ap ărute în controlul accesului
și s ă men Ńin ă flexibilitatea, pentru dezvolt ări ulterioare.
DIAMETER (“diametru”) nu este un protocol nou, ci o versiune
îmbun ătăŃit ă a protocolului RADIUS (“raz ă”).
DIAMETER utilizeaz ă o arhitectur ă peer-to-peer , astfel încât fiecare
calculator-gazd ă care folose ște acest protocol poate juca atât rolul de client,
cât și pe cel de server.
Un dispozitiv care prime ște o cerere de conectare la re Ńea, se va
comporta ca server de acces la re Ńea (NAS – Network Access Server ), care,
dup ă colectarea datelor despre client (nume de utilizat or, parol ă, certificat
digital ș.a.), trimite o cerere de acces ( access request ) serverului
DIAMETER. Acesta, pe baza informa Ńiilor primite, autentific ă utilizatorul.
Dac ă procesul de autentificare se face cu succes, privi legiile de acces ale
Securitatea re Ńelelor de comunica Ńii
– 148 – utilizatorului sunt incluse într-un mesaj de r ăspuns, care este trimis înapoi
serverului NAS.
Mesajele serverului DIAMETER (figura IV.6) sunt de mai multe
tipuri și se deosebesc prin codul de comand ă din fiecare pachet. Schimbul
de mesaje DIAMETER se face sincron, adic ă fiecare cerere are propriul
răspuns, înso Ńit de acela și cod de comand ă.
Codul de comand ă stabile ște tipul mesajului, dar informa Ńia propriu-
zis ă este transportat ă printr-un set de AVP-uri (AVPs – Attribute-Value-
Pairs ). Aceste AVP-uri con Ńin detalii cu privire la autentificarea unui
utilizator, autorizarea și gestionarea conturilor, dar și informa Ńii cu privire la
rutarea pachetelor și securitatea acestora între dou ă noduri DIAMETER.
Figura IV.6 Structura pachetului DIAMETER
Un pachet DIAMETER include câmpurile:
• Versiune ( version ) – indic ă versiunea de protocol.
• Lungime a mesajului ( message length ) – indic ă lungimea întregului
pachet.
• Bi Ńi de comand ă (command flags ):
/head2right R ( request ) – indic ă dac ă mesajul este o cerere sau un r ăspuns.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 149 – /head2right P ( proxiable ) – arat ă dac ă mesajul trebuie redirec Ńionat sau
procesat local;
/head2right E ( error ) – indic ă o eroare a protocolului;
/head2right T ( re-transmitted message ) – arat ă daca mesajul a mai fost
transmis;
/head2right r ( reserved ) – bi Ńi rezerva Ńi.
• Codul de comanda ( command code ) – face legatura dintre tipul
mesajului-cerere și tipul mesajului-r ăspuns;
• Identificatorul aplica Ńiei (application ID) – identific ă aplica Ńia pentru
care a fost trimis mesajul;
• Identificatorul hop-by-hop – asigur ă legatura dintre cerere și r ăspuns;
• Identificatorul end-to-end – detecteaz ă mesajele duplicat.
AVP reprezint ă o metoda de încapsulare a informa Ńiilor în mesajele
DIAMETER. Antetul AVP, de minimum 8 octe Ńi, are urm ătoarea structur ă:
Figura IV.7 Structura AVP
Semnifica Ńiile câmpurilor:
• Codul AVP împreun ă cu identificatorul produc ătorului (ID Vendor )
– identific ă unicitatea atributului.
Securitatea re Ńelelor de comunica Ńii
– 150 – • Bitul V – arat ă prezen Ńa câmpului op Ńional ID Vendor (de obicei este
0);
• Bitul P – indic ă necesitatea cript ării pentru securitatea end-to-end ;
• Bitul M – trebuie s ă ia valoarea 1, pentru ca mesajul s ă nu fie
respins;
• Lungime AVP – indic ă lungimea total ă a mesajului AVP;
• Date – este câmpul care con Ńine informa Ńii specifice atributului.
Protocolul DIAMETER poate furniza aplica Ńiilor dou ă tipuri de
servicii: autentificare și autorizare, cu op Ńiunea de gestionare a conturilor,
sau numai gestionarea conturilor.
În cazul serviciului de autentificare si autorizare , deschiderea unei
sesiuni se realizeaz ă prin trimiterea unui mesaj serverului NAS, care la
rândul s ău trimite o cerere de autentificare serverului DIAM ETER cu un
identificator unic de sesiune ( session-ID ). Serverul DIAMETER poate
include în mesajul de r ăspuns un AVP care s ă indice “timpul de via Ńă ” al
autoriza Ńiei (exprimat în secunde) dup ă care utilizatorul trebuie s ă fie
reautentificat. Dup ă expirarea timpului, serverul DIAMETER închide
sesiunea, elibereaz ă toate resursele alocate acesteia. În timpul sesiun ii, pot fi
ini Ńiate cereri de reautentificare și reautorizare, menite s ă verifice dac ă
utilizatorul mai folose ște serviciul. Mesajele de închidere a unei sesiuni pot
fi ini Ńiate atât de NAS, cât și de serverul DIAMETER.
În cadrul serviciului de gestionare a conturilor , se au în vedere
num ărul mesajelor, starea unei sesiuni active, modul de trimitere al
mesajelor etc.
Erorile protocolului DIAMETER se împart în dou ă categorii:
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 151 – • Erorile de protocol – se refer ă la problemele ap ărute în transportul
mesajelor (de exemplu, informa Ńii de rutare gre șite, întreruperi
temporare ale unor c ăi de comunica Ńie din re Ńea).
• Erorile de aplica Ńie – cauzate de modul de implementare a
protocolului.
Ca avantaje ale protocolului DIAMETER suplimentare fa Ńă de
RADIUS, se pot aminti:
/square4 mesajele de eroare care specific ă problema ap ărut ă
/square4 utilizarea mesajelor de confirmare
/square4 blocarea trimiterii repetate a unui mesaj ( no-replay )
/square4 garantarea integrit ăŃii mesajelor (securitate de tip end-to-end).
DIAMETER este un protocol ”peer-to-peer” și nu client-server,
aplicabil în re Ńelele de mari dimensiuni, recomandat atât în re Ńelele cablate,
cât și în cele wireless sau hibride.
IV.6 PROTOCOLUL DE AUTENTIFICARE
EXTINS Ă (EAP)
Protocolul de autentificare extins ă (EAP – Extensible Authentication
Protocol ) este utilizat în sistemele de autentificare cu ch eie global ă, pentru
transmisia criptat ă a acesteia în re Ńea.
EAP este utilizat în re Ńelele wireless în standard IEEE 802.11.
Pentru autentificare mutual ă se folose ște pe nivelul de transport
protocolul TLS ( Transport Layer Security ) care asigur ă integritatea
comunica Ńiilor și schimbul sigur de chei între nodurile re Ńelei. Acest
Securitatea re Ńelelor de comunica Ńii
– 152 – protocol solicit ă reautentiifcarea și reautorizarea de fiecare dat ă când se
trece din re Ńeaua wireless într-o re Ńea cablat ă sau o alt ă re Ńea wireless cu un
nivel de securitate mai mic.
Fiecare sta Ńie care dore ște s ă se conecteze la re Ńeaua wireless, trimite
către AP un mesaj de tip EAP Start pentru începerea p rocesului de
autentificare. AP-ul îi r ăspunde cu o cerere EAP (EAP Request ) pentru a-i
afla identitatea dup ă care îi trimite un mesaj de deschidere a conexiuni i cu
acel AP (EAP Start Connected ). Sta Ńia r ăspunde AP-ului (EAP Response )
cu un mesaj în care este inclus fie identificatorul cererii dac ă nu este nici un
utilizator activ la acel moment fie numele utilizat orului activ. AP-ul trimite
acest r ăspuns serverului de autentificare care va adresa pr in TLS sau codat
MD5 o interogare de verificare ( challenge ) a identit ăŃii clientului. Aceast ă
cerere este transmis ă criptat, cu o cheie unic ă de sesiune ( unicast key )
deoarece serverul de autentificare nu admite chei g lobale pentru transmisie.
AP-ul intermediaz ă comunica Ńia client-server. Clientul transmite r ăspunsul
con Ńinând garan Ńiile sale ( credentials ) serverului de autentificare și dac ă
acestea sunt valide, se creez ă un mesaj „Succes”, dup ă care trimite AP-ului
mesajul de r ăspuns pentru client în care se transmite cheia crip tare generat ă
pe baza cheii de sesiune EAP-TLS. AP-ul genereaz ă aleator o cheie global ă
de criptare sau o alege dintr-un set predefinit de chei, pe care o prezint ă
serverului de autentificare. Dup ă confirmarea recep Ńiei acestui mesaj, AP-ul
transmite clientului r ăspunsul (EAP Key Message ) cu cheia de transmisie
criptat ă cu cheia de sesiune dat ă de server. Toate cheile de sesiune folosite
de clien Ńii unui AP, sunt stocate de acesta în liste special e. Fiecare client
extrage prin decriptare cheia global ă din mesajul trimis de AP. Dup ă aceea,
AP-ul genereaz ă din cheia de sesiune EAP-TLS și transmite clientului cheia
de criptare pe care o va folosi pentru transmisie c a și cheie unic ă de sesiune
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 153 – (unicast session key ). Placa de re Ńea (NIC – Network Interface Card ) a
clientului este programat ă pentru a folosi aceast ă cheie pentru toate
transmisiile efectuate prin acel AP. Se adreseaz ă apoi o cerere de DHCP
pentru alocarea unei adrese pe baza c ăreia se conecteaz ă clientul la re Ńeaua
aleas ă.
Similar se pot folosi variante îmbun ătăŃite ale protocolului EAP cu
tunelare (EAP-TTLS sau LEAP – Lightweight EAP).
Securitatea re Ńelelor de comunica Ńii
– 154 –
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 155 – Capitolul V TEHNICI DE SECURITATE
V.1 INTRODUCERE
Importan Ńa aspectelor de securitate în re Ńelele de comunica Ńii a
crescut odat ă cu extinderea aplica Ńiilor cu caracter privat, de genul celor
financiar-bancare, realizate prin intermediul acest ora (pl ăŃi electronice,
tranzac Ńii între conturi, licita Ńii electronice, comer Ń electronic etc). În cazul
oper ării cu informa Ńii confiden Ńiale, este important ca avantajele de partajare
și comunicare aduse de re Ńelele de comunica Ńii s ă fie sus Ńinute de facilit ăŃi
de securitate substan Ńiale.
În urma implement ării unor tehnici de securitate într-o re Ńea,
informa Ńiile nu vor mai putea fi accesate sau interceptate de persoane
neautorizate (curioase sau r ău inten Ńionate) și se va împiedica falsificarea
informa Ńiilor transmise sau utilizarea clandestin ă a anumitor servicii
destinate unor categorii aparte de utilizatori ai r e Ńelelor.
În condi Ńiile în care exist ă numeroase interese de spargere a unei
re Ńele, este evident c ă proiectan Ńii resurselor hard și soft ale acesteia trebuie
să ia m ăsuri de protec Ńie serioase împotriva unor tentative r ău inten Ńionate.
Îns ă metodele de protec Ńie luate împotriva “inamicilor” accidentali, se pot
dovedi inutile sau cu un impact foarte redus asupra unor adversari
redutabili, cu posibilit ăŃi materiale considerabile.
Pentru implementarea securit ăŃii unei re Ńele este important ă
utilizarea unor tehnici specifice:
• protec Ńia fizic ă a dispozitivelor de re Ńea și a liniilor de transmisie la
nivel fizic;
Securitatea re Ńelelor de comunica Ńii
– 156 – • proceduri de blocare a accesului la nivelul re Ńelei;
• transport securizat al datelor în spa Ńiul public prin tunele securizate
sau VPN-uri (Virtual Private Network);
• aplicarea unor tehnici de criptare a datelor.
Fără o politic ă de securitate riguroas ă, diversele mecanisme de
securitate pot fi aproape ineficiente întrucât nu a r corespunde strategiei și
obiectivelor pentru care a fost proiectat ă re Ńeaua.
Măsurile de securitate prev ăzute în politica de securitate pot s ă
vizeze mai multe aspecte:
/square4 Renun Ńarea la set ările implicite și configurarea adecvat ă a
echipamentelor din re Ńea (sta Ńii de lucru, servere, routere, AP):
parole, chei de criptare, func Ńii de reset, func Ńii de conectare și de
reconectare automat ă și de la distan Ńă , liste de control pe baza
adreselor MAC și a cheilor publice, agen Ńi SNMP din versiunile mai
noi de protocol.
/square4 Reînnoirea parolelor și a set ărilor implicite în general, care pot
constitui vulnerabilit ăŃi ale sistemului de securitate. Se poate folosi
un generator automat de parole, eventual combinat c u mecanismul
de autentificare cu doi factori în care parola este combinat ă fie cu
codul PIN al unui dispozitiv de acces hardware (sma rt card), fie cu
un alt cod de acces. Nu întotdeauna se justific ă m ăsuri de control al
accesului atât de severe.
/square4 Stabilirea caracteristicilor de criptare trebuie f ăcut ă pe cel mai
performant nivel oferit de un standard dac ă nu sunt probleme de
compatibilitate cu sisteme de comunica Ńie mai vechi. De exemplu, în
cazul comunica Ńiilor wireless care folosesc WEP, op Ńiunile
referitoare la cheile de criptare sunt: niciuna, ch eie public ă de 40 de
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 157 – bi Ńi și cheie public ă de 104 bi Ńi. Interconectarea unui echipament
care folose ște o cheie de 128 de bi Ńi cu unul care utilizeaz ă WEP,
devine astfel imposibil ă.
/square4 Controlul func Ńiei de resetare este foarte important pentru c ă o
persoan ă care are acces fizic la un echipament, îl poate re aduce la
configur ările implicite prin ac Ńionarea butonului de resetare dup ă
care are acces direct la re Ńea.
/square4 Utilizarea listelor de acces (ACL – Access Control List ) cu filtrare
pe baz ă de adrese fizice (MAC – Media Access Control ) și cu adrese
statice de re Ńea (DHCP dezactivat), cu limitarea domeniului de
adrese alocabile, pot împiedica accesul neautorizat la re Ńea.
/square4 În cazul re Ńelelor wireless, este util ă dezactivarea op Ńiunii de
transmitere prin braodcast a identificatorului setu lui de servicii
(SSID – Service Set Identifier ) astfel încât o simpl ă cerere de
identificare a re Ńelelor wireless dintr-o zon ă, s ă fie ignorat ă de AP-ul
respectiv. Atacatorul trebuie s ă lanseze în acest caz un proces de
scanare activ ă a re Ńelei care îns ă îi desconspir ă prezen Ńa.
/square4 Maximizarea intervalului de baliz ă poate de asemenea s ă ascund ă
temporar un AP, fiind mai greu de depistat.
/square4 Schimbarea canalului implicit folosit de AP în re Ńeaua wireless poate
fi util ă în cazuri de interferen Ńă cu alte echipamente care transmit în
acea și arie geografic ă. Se recomand ă o separare de minimum 5
canale.
Aplicarea principiilor de securitate enun Ńate trebuie realizat ă cu
ajutorul unor tehnici eficiente de control al acces ului logic la re Ńea și la
servicii, atât pentru utilizatorii din intranet, câ t și pentru cei din afar ă.
Securitatea re Ńelelor de comunica Ńii
– 158 – Securitatea trebuie asigurat ă de la prima cerere de stabilire a unei
conexiuni între dou ă echipamente de comunica Ńie, urmând ca m ăsuri
specifice de securizare s ă se aplice ulterior la nivel de aplica Ńie, în func Ńie de
privilegiile de acces la servicii pe care le are so licitantul, utilizator sau
proces software.
A devenit o cerin Ńă imperativ ă în re Ńelele de comunica Ńii,
implementarea contram ăsurilor pentru accesul procedurilor automate de tip
client, care sunt deosebit de eficiente în aflarea codurilor de acces, precum
și în lansarea unor atacuri de saturare a serverelor și a re Ńelei. Se folosesc, de
exemplu, solicit ări de recunoa ștere a unor litere sau cifre, cu forme
deosebite sau marcate cu un simbol, care nu pot fi rezolvate prin proceduri
automate de recunoa ștere a formelor ci numai de utilizatorii umani.
V.2 FIREWALL
Un firewall („zid de protec Ńie ”) joac ă un rol semnificativ în procesul
de securitate al unei re Ńele de calculatoare. Ca firewall se poate folosi un
dispozitiv dedicat sau o aplica Ńie software care controleaz ă procesul de
comunica Ńie dintre re Ńeaua intern ă și cea extern ă, prin aplicarea politicii de
securitate a re Ńelei protejate.
Un router poate fi configurat ca firewall. De aseme nea, unele
sisteme de operare, precum Windows XP ( eXPerience ), includ op Ńiunea de
activare a unui firewall intern care aplic ă anumite reguli și constrângeri
privind accesul pe diferite interfe Ńe ale sale.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 159 – Firewall-ul interconecteaz ă re Ńeaua public ă și o re Ńea privat ă,
asigurând securitatea datelor vehiculate intern în re Ńea și protec Ńia re Ńelei
private fa Ńă de eventualele atacuri externe (Fig.V.1).
Fig. V.1 Conectarea unei re Ńele private la Internet
prin intermediul unui firewall
Un firewall are minimum dou ă interfe Ńe:
• Interfa Ńa public ă prin care se realizeaz ă conexiunea dintre firewall și
re Ńeaua public ă (în particular, Internet-ul);
• Interfa Ńa privat ă prin care se interconecteaz ă firewall-ul la re Ńeaua
privat ă.
Firewall-ul protejeaz ă re Ńeaua privat ă de atacurile externe și
restric Ńioneaz ă accesul din afar ă la resursele acesteia.
Întrucât firewall-ul reprezint ă singura conexiune dintre re Ńeaua
privat ă și cea public ă, la nivelul s ău se poate monitoriza și jurnaliza traficul
de pachete și se verific ă drepturile de acces ale utilizatorilor din afara r e Ńelei
interne (prin opera Ńia de login )
În prezent, se utilizeaz ă dou ă tipuri de firewall:
1. Poart ă de aplica Ńii (Application Gateway ) – varianta tradi Ńional ă
de firewall.
Securitatea re Ńelelor de comunica Ńii
– 160 – Orice conexiune între dou ă re Ńele se face prin intermediul unui
program de aplica Ńii ( proxy ). O sesiune deschis ă în re Ńeaua privat ă este
încheiat ă de proxy, dup ă care acesta creeaz ă o nou ă sesiune spre nodul de
destina Ńie prin care serverul proxy adreseaz ă cererile de la nodurile interne,
în numele s ău, în re Ńeaua extern ă.
Programul proxy se bazeaz ă pe particularit ăŃile suitei TCP/IP și este
restrictiv pentru alte suite de protocoale. Execu Ńia acestui program necesit ă
resurse relativ mari din partea CPU.
La nivelul firewall-ului sunt admise numai acele p rotocoale pentru
care sunt configurate aplica Ńii proxy specifice. Cadrele bazate pe alte tipuri
de protocoale sunt automat rejectate.
2. Modul de inspec Ńie dependent de stare (Stateful Inspection ) sau
de filtrare dinamic ă a pachetelor , denumit și mod de control al accesului
în func Ńie de context (CBAC – Context-Based Access Control ).
În aceast ă tehnologie, se preiau pachetele de date și se citesc antetele
introduse de protocolul de re Ńea (IP) și de cele corespunz ătoare nivelelor
OSI și TCP/IP superioare, pân ă la nivelul de aplica Ńie.
Firewall-ul verific ă fiecare pachet care urmeaz ă s ă fie transferat și
acord ă dreptul de acces în func Ńie de adresele sursei și destina Ńiei, precum și
de serviciul solicitat.
Ac Ńiunile firewall-ului pot fi de mai multe tipuri:
1. acceptare ( Accept, Allow ) a pachetelor, condi Ńionat ă sau
necondi Ńionat ă de un set de reguli.
2. respingere ( Reject ) a pachetelor care nu corespund regulilor de
securitate cu trimiterea unui mesaj nodului emitent .
3. blocare ( drop, deny, blackhole ) sau interzicere a accesului pachetelor
în re Ńea, f ără în știin Ńarea expeditorului.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 161 – În practic ă, se configureaz ă și firewall-uri transparente, care
transfer ă cadrele între cele dou ă sesiuni f ără analiza prealabil ă a
informa Ńiilor pe care acestea le con Ńin.
Acest tip de firewall CBAC realizeaz ă controlul fluxului cu
memorie, astfel încât echipamentul este capabil s ă recunoasc ă acele pachete
transmise din re Ńeaua public ă ( extranet ) ca r ăspuns la o cerere adresat ă de
un nod din re Ńeaua intern ă ( intranet ), prin monitorizarea sesiunilor TCP. În
paralel, se rejecteaz ă toate pachetele transmise din re Ńeaua public ă în cea
intern ă, dar care nu provin din traficul ini Ńiat intern.
Prin acest concept, se asigur ă o procesare rapid ă și eficient ă a
traficului de informa Ńii dintre Internet și re Ńelele private, perfect adaptat ă
noilor aplicaŃii Internet și realizat ă cu resurse hardware relativ reduse.
Implementarea firewall-ului cu routere se face pri n filtrarea
dinamic ă a pachetelor și controlul traficului pe baza regulii care stabile ște
că:
• orice pachet transmis din re Ńeaua intern ă c ătre o destina Ńie extern ă
este transferat de firewall necondi Ńionat, cu excep Ńia cazurilor în care
se impun constrângeri;
• transferul oric ărui pachet din re Ńeaua public ă spre o destina Ńie din
re Ńeaua privat ă este blocat de firewall, cu excep Ńia cazurilor în care
se admite accesul acestora în mod explicit, prin co nfigurarea
adecvat ă a interfe Ńelor publice referitor la accesul din exterior.
Interfe Ńele firewall-ului sunt deschise numai pe durata ses iunii
ini Ńiate de un utilizator cu drept de acces.
Firewall-ul intercepteaz ă orice conexiune stabilit ă prin TCP și o
continu ă numai dup ă verificarea prealabil ă a leg ăturii. Acest lucru previne
Securitatea re Ńelelor de comunica Ńii
– 162 – atacurile din exterior asupra re Ńelei private, prin distrugerea cadrelor
transmise prin TCP f ără drept de acces.
Firewall-ul poate fi configurat în vederea limit ării accesului
utilizatorilor din re Ńeaua intern ă în cea public ă.
Se poate controla accesul pe diferite porturi de p rotocol. Este
indicat ă închiderea unor porturi neutilizate de utilizatori i proprii pentru a nu
lăsa c ăi de acces eventualilor atacatori.
Mesajele generate prin ICMP pot fi transferate sau blocate de
firewall în func Ńie de modul de configurare a acestuia.
Pentru evenimentele semnificative care apar la niv elul firewall-ului
se pot trimite mesaje de în știin Ńare c ătre nodurile de destina Ńie accesate.
Echipamentele de tip firewall admit diverse protoc oale de aplica Ńie:
FTP, NETBIOS, GRE, OSPF, RSVP ( ReSerVation Protocol ), VDOnet's
VDOLive, Microsoft's NetShow etc.
Firewall-ul protejeaz ă re Ńeaua privat ă fa Ńă de atacurile externe de
tip "inundare" cu pachete ( flooding ), cu pachete PING ilegale sau ICMP
generate în num ăr excesiv, atacuri Smurf cu pachete având adresa IP din
spa Ńiul de adrese alocat re Ńelei private, de cele mai multe ori fiind chiar
adresa de broadcast a acesteia, scanare a porturilo r.
Firewall-ul permite controlul și monitorizarea accesului ( Logging
Facility ) în re Ńeaua privat ă dar numai pentru sesiunile create pe baza
protocolului Internet, nu și pentru alte suite de protocoale (Appletalk,
DECnet, IPX/SPX).
Politica de securitate aplicat ă de firewall stabile ște regulile pe baza
cărora se admite sau se blocheaz ă transferul pachetelor între re Ńeaua privat ă
și cea public ă.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 163 – Un firewall devine activ numai dup ă ce au fost configurate cel pu Ńin
o interfa Ńă public ă și una privat ă și s-au stabilit regulile de acces la nivelul
acestora.
Traficul între dou ă interfe Ńe ale firewall-ului nesupuse politicii de
securitate se desf ăș oar ă normal, f ără restric Ńii.
Transferul pachetelor de la o interfa Ńă nesecurizat ă c ătre una
securizat ă este automat blocat.
Firewall-ul controleaz ă traficul de pachete pe baza adreselor fizice
sau IP, a porturilor de aplica Ńie și chiar a zilei sau orei la care se acceseaz ă
re Ńeaua.
Politica de securitate se aplic ă pe baza listelor de acces stocate în
routere sau în servere RADIUS ( Remote Authentication Dial In User
Service ).
Firewall-ul lucreaz ă ca server de control al accesului ( Network
Access Server ) care folose ște serviciile unui server RADIUS care
gexstioneaz ă baza de date cu informa Ńii despre utilizatorii re Ńelei (nume de
utilizatori și parole), modul de configurare a re Ńelei (adrese IP, m ăș ti de
re Ńele și de subre Ńele etc), precum și despre sesiunile stabilite anterior, sub
forma unui istoric al evenimentelor din re Ńea.
Firewall-ul este clientul RADIUS care adreseaz ă cererea de
autentificare c ătre serverele RADIUS, pentru accesarea listelor de acces.
Acestea sunt fi șiere de tip 'text' (.txt), codate ASCII, care inclu d liste de
adrese IP sau MAC.
Listele de acces bazate pe adrese IP includ adrese IP individuale,
eventual numele calculatoarelor-gazd ă, domeniul de adrese IP al unei re Ńele
și eventual unele comentarii care faciliteaz ă administrarea acestor liste.
Securitatea re Ńelelor de comunica Ńii
– 164 – Listele de acces cu adrese fizice includ adrese MAC individuale ale
componentelor re Ńelei, eventual numele sta Ńiilor și comentarii ajut ătoare.
Num ărul maxim de liste de acces care pot fi stocate pe un router,
precum și dimensiunile acestora este în general limitat.
Pentru un spa Ńiu de adrese extins se prefer ă utilizarea unui server
RADIUS care s ă gestioneze eficient aceste liste, pentru a reduce întârzierile
de trafic produse de routere.
În acest caz, routerul devine un simplu client RAD IUS care
adreseaz ă cererea de autentificare c ătre serverul RADIUS și prime ște un
răspuns din partea acestuia.
Firewall-urile pot opera pe diferite nivele:
/square4 nivel OSI 2 (pe subnivelul MAC): filtrarea cadrelor
/square4 nivel OSI 3 de re Ńea: filtrarea pachetelor
/square4 nivel OSI 4 de transport: filtrarea pachetelor cu o p Ńiunea de inspec Ńie
a st ării pentru a cunoa ște caracteristicile urm ătorului pachet a șteptat
în vederea evit ării multor atacuri.
/square4 nivel de aplica Ńie ( application level firewall ) când se comport ă ca
server proxy pentru diverse protocoale care ia deci zii privind
aplica Ńiile și conexiunile stabilite în re Ńea.
Observa Ńii :
1. Filtrarea dinamic ă a pachetelor se realizeaz ă la nivelul firewall-
ului prin politica de securitate dar și prin procedeele de translare a adreselor
private în adrese publice (NAT – Network Address Translation ; ENAT –
Enhanced NAT ). Pentru a evita dubla filtrare a pachetelor în ro utere, se
dezactiveaz ă serviciul NAT pe durata activ ării firewall-ului.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 165 – 2. Se poate monitoriza activitatea firewall-ului, m ai precis
evenimentele care se desf ăș oar ă la nivelul s ău:
• accesarea adreselor de e-mail;
• desf ăș urarea sesiunilor Telnet de acces de la distan Ńă în re Ńeaua
privat ă;
• comunicarea pe porturi asincrone (de exemplu, inter fe Ńe seriale);
• accesarea agen Ńilor SNMP.
O aplica Ńie de tip firewall are și o serie de limit ări:
• nu poate interzice importul/exportul de informa Ńii d ăun ătoare
vehiculate prin diferite servicii de re Ńea (de exemplu, prin po șta
electronic ă);
• nu poate interzice scurgerea de informa Ńii pe alte c ăi, care ocolesc
firewall-ul ( dial-up );
• nu poate proteja re Ńeaua privat ă de informa Ńiile aduse pe suporturi
mobile (USB flash memory, dischet ă, CD – Compact Disc , DVD –
Digital Versatil Disc etc.);
• nu poate preveni efectul erorilor de proiectare ale aplica Ńiilor care
realizeaz ă diverse servicii ( bugs ).
• Firewall-urile pot fi implementate în form ă:
• dedicat ă oferind un nivel sporit de securitate
• combinat ă cu alte servicii de re Ńea, în router sau gateway sau într-un
simplu calculator.
Eficien Ńa unui firewall depinde de politica de securitate a plicat ă și de
modul de configurare. De cele mai multe ori este in dicat ă restric Ńionarea
total ă a traficului, urmat ă de deschiderea acelor porturi și admiterea acelor
Securitatea re Ńelelor de comunica Ńii
– 166 – aplica Ńii care se justific ă prin politica de securitate și dup ă o verificare a
activit ăŃii lor pe o anumit ă perioad ă de timp dup ă activare. Verificarea
eficien Ńei firewall-ului se poate face cu aplica Ńii software care ofer ă servicii
de testare a vulnerabilit ăŃilor de securitate (precum Shields Up ).
V.3 SISTEME DE DETEC łIE A
INTRU ȘILOR
Sistemele de detec Ńie a intru șilor (IDS – Intrusion Detection System )
sunt o completare a activit ăŃii unui firewall în procesul de securitate a unei
re Ńele de comunica Ńii și constau în solu Ńii pasive de analiz ă, clasificare și
raportare a evenimentelor de re Ńea nedorite.
Cele mai frecvente atacuri lansate din Internet asu pra serverelor de
re Ńea sunt de tip „refuz al serviciului” (DoS) corelat e cu ac Ńiuni de
„inundare” a re Ńelei ( flooding ) cu un num ăr mare de pachete de diferite
tipuri (ping. TCP syn ș.a.). Dar se impune și limitarea atacurilor pasive de
interceptare a pachetelor con Ńinând informa Ńii cu caracter secret în scop de
furt sau de falsificare a acestora.
Atacurile asupra re Ńelelor de comunica Ńii pot fi lansate pe diferite
căi, de exemplu prin serviciul de e-mail sau prin int ermediul aplica Ńiilor
p2p, și pot viza aplica Ńii cu caracter critic precum cele de tranzac Ńii
financiar-bancare sau de comer Ń electronic pentru care pierderile sunt
substan Ńiale și se exprim ă în mari sume de bani.
De aceea, investi Ńiile în solu Ńiile de securitate a comunica Ńiilor se
dovedesc a fi necesare și eficiente ca raport pre Ń-pierderi.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 167 – Sistemele IDS detecteaz ă atacurile asupra re Ńelei, alerteaz ă
personalul de administrare și eventual declan șeaz ă ac Ńiuni de r ăspuns, cum
ar fi plasarea în carantin ă a anumitor procese pân ă la clarificarea situa Ńiei.
Bineîn Ńeles c ă pot s ă existe și alarme false dar procedurile aplicate în prim ă
faz ă nu vor face decât s ă întârzie anumite transmisii.
Solu Ńiile IDS monitorizeaz ă traficul, identific ă evenimentele cu risc
de securitate, le clasific ă pe mai multe clase de risc și le raporteaz ă
sistemului de securitate.
Spre deosebire de un firewall care are un caracter activ, de permitere
sau de blocare a pachetelor pe diferite criterii pr ev ăzute în politica de
securitate a re Ńelelor, IDS-ul opereaz ă pasiv în re Ńea, analizeaz ă traficul,
identific ă tentativele de atac pe baza semn ăturilor aplica Ńiilor și anomaliile
de trafic, alerteaz ă serviciul de administrare pentru a recurge în timp util la
contram ăsuri dar nu blocheaz ă atacurile.
Problemele de securitate pot fi rezolvate manual do ar în re Ńele de
mici dimensiuni. În re Ńelele mari, cu zeci și sute de mii de noduri,
solu Ńionarea evenimentelor cu risc de securitate trebuie realizat ă în mod
automat, prin solu Ńii software adecvate care proceseaz ă în timp real
informa Ńiile referitoare la traficul neautorizat de pachete și care ia decizii de
ac Ńiune f ără interven Ńia factorului uman de administrare. Apar în acest c az
probleme de clasificare a evenimentelor într-un num ăr relativ redus de clase
de risc pentru a putea observa atacurile distribuit e asupra re Ńelei. Acestea
pot fi tratate pe baza teoriei sistemelor fuzzy iar în procesele de decizie se
pot folosi algoritmi optimi de procesare a informa Ńiei.
Solu Ńiile IDS pot fi aplicate fie la nivel de re Ńea, pentru controlul
accesului în re Ńea (NAC – Network Access Control ), fie la nivel de
calculator-gazd ă ( Host IDS ).
Securitatea re Ńelelor de comunica Ńii
– 168 – Serviciul de detectare a intru șilor realizeaz ă la nivelul unui
echipament din re Ńea urm ătoarele func Ńii:
1. inspectarea fluxului de pachete
2. identificarea semn ăturilor de atac
3. alertarea serviciului de securitate
4. activarea unor ac Ńiuni de r ăspuns automate.
În general, orice IDS detecteaz ă și procesele de scanare a re Ńelei (de
exemplu, Nmap ) care preced de obicei un atac, astfel fiind posib il ă
preîntâmpinarea acestora prin solu Ńii active de prevenire a intruziunilor (IPS
– Intrusion Prevention System ).
V.4 VPN – RE łELE PRIVATE VIRTUALE
Un VPN este o re Ńea de comunica Ńii privat ă, folosit ă de obicei în
cadrul uneia sau mai multor organizatii, pentru a c omunica în mod
confiden Ńial, prin intermediul unei re Ńele publice.
Mesajele din traficul VPN pot fi transmise prin int ermediul
infrastructurii unei re Ńele publice de date, precum Internet-ul, folosind
protocoalele standard, sau prin intermediul unei re Ńele private a furnizorului
de servicii Internet.
VPN-ul este o solu Ńie eficient ă din punctul de vedere al costurilor,
pentru ca diferite organiza Ńii s ă poat ă asigura accesul la re Ńeaua intern ă
pentru angaja Ńii și colaboratorii afla Ńi la distan Ńă , și pentru a permite
confiden Ńialitatea datelor schimbate între punctele de lucru aflate la distan Ńă .
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 169 – Multe din programele-client ale VPN- ului pot fi co nfigurate în a șa
fel încât s ă cear ă dirijarea întregului trafic printr-un tunel , atâta timp cât
conexiunea VPN este activ ă, sporind astfel siguran Ńa conexiunii. Atâta
vreme cât conexiunea VPN este activ ă, accesul din afara re Ńelei sigure se
face prin acela și firewall, ca și cum utilizatorul ar fi conectat din interiorul
re Ńelei private. Acest fapt reduce riscurile unei posi bile acces ări din partea
unui atacator, de interceptare și de urm ărire a pachetelor.
Un tunel reprezint ă o conexiune ”punct-la-punct” între dou ă
calculatoare sau dou ă re Ńele pentru care se utilizeaz ă diferite protocoale de
rutare prin care se stabile ște calea pe care este trimis pachetul de la surs ă la
destina Ńie.
Termenul de VPN descrie dou ă modalit ăŃi de abordare a problemei
re Ńelelor private care au ca suport o re Ńea public ă, din punctul de vedere al
accesibilit ăŃii:
1. VPN-uri realizate între mai multe re Ńele locale (LAN- to -LAN VPNs,
cunoscute și sub denumirea de Site-to-Site VPNs) care conecteaz ă la
un nod central mai multe LAN-uri diferite aflate la mare distan Ńă
unele fa Ńă de altele dar care fac parte din acela și intranet, astfel încât
să asigure conectivitatea între ele.
2. VPN-uri de acces de la distan Ńă (Remote Access VPNs ) care asigur ă
accesul de la distan Ńă la o re Ńea privat ă, de exemplu pentru
utilizatorii de Internet mobil.
Se pot folosi diverse tehnologii de implementare a VPN-urilor
(Figura V.2). Alegerea uneia anume depinde de crite riile impuse prin
politica de securitate a re Ńelei.
Prin aplicarea algoritmilor de criptare pe un anu mit nivel OSI,
informa Ńiile de pe toate nivelele de deasupra sunt protejat e.
Securitatea re Ńelelor de comunica Ńii
– 170 – Se pare c ă nivelul de re Ńea este cel mai indicat a fi securizat,
deoarece este independent de nivelul-aplica Ńie și de cel fizic, în acest fel
asigurându-se o flexibilitate sporit ă.
Aplicarea serviciilor criptografice la nivel de a plica Ńie nu este o
solu Ńie eficient ă din cauza diversit ăŃii aplica Ńiilor rulate care implic ă
schimbarea algoritmului de criptare de la caz la ca z (voce, imagine, date).
Figura V.2 Protocoale folosite pentru VPN
La nivelul de transport, s-au impus mai multe pro tocoale de
securitate:
1. SSL (Secure Socket Layer ) asigur ă autentificarea și integritatea
aplica Ńiilor bazate pe protocolul TCP, dar are ca dezavant aj major
lipsa de flexibilitate și dependen Ńa de nivelul-aplica Ńie.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 171 – 2. TLS (Transport Layer Security ) s-a dezvoltat ca o alternativ ă la SSL
care rezolv ă majoritatea inconvenientelor acestuia.
În ceea ce prive ște protec Ńia nivelului leg ăturii de date, problemele
cele mai stringente apar la capitolul costuri de im plementare, întrucât
implic ă securizarea fiec ărei leg ături în mod separat.
Un protocol de tunelare este protocolul prin care s e stabile ște un
tunel între dou ă entit ăŃi din WAN, desp ărŃite de o infrastuctur ă public ă,
pentru care se asigur ă integritatea datelor vehiculate.
Se folosesc diferite protocoale de tunelare, difere n Ńiate prin traficul
care îl pot susŃine:
/square4 GRE (Generic Routing Encapsulation ) recomandat pentru re Ńele
multiprotocol (IP, AppleTalk, DecNet). Cadrele sunt împachetate cu
antete IP și transmise prin re Ńeaua public ă.
/square4 IPSEC ( Internet Protocol Security ) care permite doar trafic IP.
/square4 PPTP ( Point-to-Point Tunneling Protocol )
/square4 L2F (CISCO Layer 2 Forwarding )
/square4 L2TP ( Layer 2 Tunneling Protocol )
/square4 MPLS ( Multiprotocol Label Switching ).
Protocoalele de tunelare VPN asigur ă func Ńiile de autentificare și
de criptare. Autentificarea permite atât clien Ńilor, cât și serverelor VPN,
identificarea corect ă a utilizatorilor de resurse. Criptarea asigur ă protec Ńia
informa Ńiilor transportate prin tunelul VPN.
MPPE ( Microsoft Point-to-Point Encryption ) este un protocol de
criptare a datelor pe leg ături PPP în cadrul re Ńelelor virtuale private. MPPE
folose ște algoritmul RC4, cu chei de sesiune de 40, 56 sau 128 de bi Ńi.
Cheia de criptare poate fi schimbat ă la fiecare pachet. MPPE nu realizeaz ă
compresia datelor și, de aceea, pentru cre șterea eficien Ńei sale, se folose ște
Securitatea re Ńelelor de comunica Ńii
– 172 – împreun ă cu protocoale de compresie (MPPC – Microsoft Point-to-Point
Compression , CCP – Compression Control Protocol un subprotocol al PPP).
Avantajele folosirii unui VPN sunt numeroase:
/square4 conectivitate geografic ă extins ă sub forma unei re Ńele globale;
/square4 îmbun ătăŃirea securit ăŃii căilor de comunica Ńii pe care datele sunt
transmise necriptat;
/square4 reducerea costurilor opera Ńionale în compara Ńie cu cele de securizare
a comunica Ńiilor prin re Ńeaua public ă de arie larg ă;
/square4 reducerea timpului de acces și a costurilor de transport pentru
utilizatorii afla Ńi la distan Ńă ;
/square4 simplificarea topologiei re Ńelei în anumite cazuri.
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 173 – ABREVIERI
A
AAA Authentication, Authorization, Accounting
AAL ATM Adaptation Layer
AC Access Control
ACK ACKnowledge
ACL Access Control List
ACS Advanced Connectivity System
ACU Automatic Calling Unit
ADIF Accounting Data Interchange Format
ADPCM Adaptive Differential Pulse Coded Modulation
ADSL Asymmetric Digital Subscriber Line
AES Advanced Encryption System
AGP Advanced Graphics Card
AH Authentication Header
AM Amplitude Modulation
AMI Alternative Mark Inversion
ANSI American National Standards Institute
AODI Always On/Demand ISDN
AP Application Processor/ Access Point
APDU Application Protocol Data Unit
API Application Program Interface
ARP Address Resolution Protocol
ARPA Advanced Research Project Agency
ARPANET Advanced Research Projects Agency Network
AS Authentication Server/ Autonomous System
ASCII American Standard Code for Information
ASIC Application Specific Integrated Circuit
ASN Autonomous System Number
Securitatea re Ńelelor de comunica Ńii
– 174 – ATA Advanced Technology Attachment
ATM Asynchronous Transfer Mode
AU Attachment Unit
AUI Attachment Unit Interface
AVP Attribute-Value Pairs
AWGN Additive White Gaussian Noise
B
BACP Band Allocation Control Protocol
BAP Band Allocation Protocol
BATE Baseband Adaptive Transversal Equalizer
BB Base Band
BCD Binary Coded Decimal
BCP Bridging Control Protocol
BECN Backward Explicit Congestion Notification
BER Bit Error Rate
BGP Border Gateway Protocol
BIP-L BIPhase-Level
BIOS Basic Input-Output System
B-ISDN Broadband ISDN
BOOTP BOOTstrap Protocol
BOP Byte Oriented Protocol
BNC Bayonet Nut Connector
BPI Baseline Privacy Interface
bps bits-per-second
BPSK Binary Phase Shift Keying
BR Bridge-Router
BRA Basic Rate Access
BRI Basic Rate Interface
BS BackSpace
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 175 – BSA Basic Service Area
BSC Basic Station Controller
BSS Basic Service Set
BTC Basic Transceiver
BTH Bluetooth
BUS Broadcast Unknown Server
C
C/N Carrier-to-Noise Ratio
CA Certificate Authority
CBAC Context-Based Access Control
CBR Constant Bit Rate
CCK Complementary Code Keying
CD Compact Disc
CD Carrier Detect
CDDI Copper Distributed Data Interface
CDE Common Desktop Environment
CDFS Compact Disk File System
CDMA Code Division Multiple Access
CELP Code Excited Linear Prediction
CES Circuit Emulation Service
CHAP Challenge-Handshake Authentication P rotocol
CIDR Classless InterDomain Routing
CIR Committed Information Rate
CISC Complet Instruction Set Computing
CLP Cell Loss Priority
CM Cable Modem
CMI Coded Mark Inversion
CMOS Complementary Metal Oxid Semiconductor
CMTS Cable Modem Termination Sysem
CODEC COder-DECoder
Securitatea re Ńelelor de comunica Ńii
– 176 – COFDM Coded OFDM
COMSEC Comunications Security
CP Communication Processor
CPCS Common Part Convergence Sublayer
CPU Central Processing Unit
CR Carriage Return
CRC Cyclic Redundancy Checking
CRL Certificate Revocation List
CS Checksum / Convergence Sublayer
CSMA/CA Carrier Sense Multiple Access with Collisio n Avoidance
CSMA/CD Carrier Sense Multiple Access with Collisio n Detection
CSNET Computer Science Network
CSS Card and Socket Specification
CTS Clear-To-Send
CU Central Unit
D
3DES Triple Data Encryption System
DA Destination Address
DAS Dual Attachment Station
DB Database
DC Differential Cryptanalysis
DCE Data Circuit Terminal Equipment
DCL Data and Control Logic
DDN Defense Data Network
DEC Digital Equipment Corporation
DES Data Encryption Standard
DH Diffie-Helmann
DHCP Dynamic Host Configuration Protocol
DIR Desired Information Rate
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 177 – DL Down Link
DLC Data Link Control / Data Link Connection
DLCI Data Link Connection Identifier
DLL Dynamic Link Library
DMA Direct Memory Access
DNS Domain Name System
DNS Domain Name System
DoCSIS Data over Cable Service Interface
DoD Department of Defense
DoS Denial of Service
DOS Disk Operating System
DPEs Data Packet Encodings
DPMA Demand Priority Media Access
DPP Demand Priority Protocol
DPSK Differentially Phase Shift Keying
DS Distribution System
DSAP Destination Service Access Point
DSB-AM Double Side Band Amplitude Modulation
DSL Digital Subscriber Line
DSP Digital Signal Processing
DSR Data Set Ready
DSSS Direct Sequence Spread Spectrum
DTE Data Terminal Equipment
DTR Data Terminal Ready
DU Data Unit
DVMRP Distance Vector Multicast Routing Protocol
E
EAP Extensible Authentication Protoc ol
EBCDIC Extended Binary Coded Decimal Interchange C ode
Securitatea re Ńelelor de comunica Ńii
– 178 – ECP Encryption Control Protocol
ED Ending Delimiter
EGP External Gateway Protocol
EGRP Enhanced IGRP
EIA Electronics Industries Association
EISA Extended Industry Standard Architecture
E-mail Electronic mail
EMI ElectroMagnetic Interference
EMS Element Management System
ENAT Enhanced Network Address Translation
ENCO ENcryption & COmpression
ENQ ENQuire
ESA Extended Service Area
ESS Extended Service Set
ESP IP Encapsulating Security Payload
ETH Ethernet
EUNET EUropean NETwork
F
FAQ Frequently Asked Questions
FAT File Allocation Table
FC Fragment Control / Frame Control
FCC Federal Communications Commission
FCS Frame Check Sequence
FDDI Fiber Distributed Data Interface
FDMA Frequency Division Multiple Access
FEC Forward Error Correction
FF Form Feed
FHSS Frequency Hopping Spread Spectrum
FIFO First-In First-Out
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 179 – FIN Final flag
Finger Finger User-information Protocol
FI Fragment Identification
FM Frequency Modulation
FR Frame Relay
FS File System / Frame Status
FSK Frequency Shift Keying
FTP File Transfer Protocol / Foil Twisted Pair
G
Gbps Giga bits-per-second
GbE Gigabit Ethernet
GF Galois Field
GFC General Flow Control
GIF Graphic Interchange Format
GMSK Generalized Minimum Shift Keying
GRE Generic Routing Encapsulation
GUI Graphic Unit Interface
H
H Header / Host
HAL Hardware Abstraction Layer
HDBn High Density Bipolar Code no.n
HDD Hard-Disk Drive
HDLC High-level Data Link Control
HEC Header Error-Control
HID Host IDentifier
HL Header Length
Securitatea re Ńelelor de comunica Ńii
– 180 – HPFS High-Performance File System
HTML HyperText Markup Language
HTTP HyperText Transfer Protocol
HTTPS HTTP Secure
I
I/O Input/Output
IANA Internet Assigned Number Agency
I-AUP Internet Acceptable Use Policy
IBSS Independent Basic Service Set
ICMP Internet Control Message Protocol
ICS Internet Connection Sharing
ICV Integrity Check Value
ID IDentifier
ID IDentifier
IDE Integrated Digital Electronics
IDEA International Data Encryption Algor ithm
IDEA International Data Encryption Algorithm
IE Internet Explorer
IEEE Institute of Electrical and Electronic Engine ers
IER Interrupt Enable Register
IETF Internet Engineering Task Force
IGMP Internet Group Management Protocol
IGRP Internal Gateway Routing Protocol
IKE Internet Key Exchange
INTERNET INTERnational NETwork
InterNIC Internet Network Information Center
Intranet Internal Local Web Servers
IP Internet Protocol / Initial Permu tation
IPCP Internet Protocol Control Protocol
IPES Improved Proposed Encryption Stan dard
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 181 – IPng IP next generation
IPsec Internet Protocol Security Facility
IPX Internetwork Packet eXchange
IR Infra Red
IRC Internet Relay Chat
IRDA Infra Red Data Access
IRQ Interrupt ReQuest
ISA Industry Standard Architecture
ISAKMP Internet Security Association and Key Manag ement Protocol
ISDN Integrated Services Digital Network
ISI InterSymbol Interference
ISO International Standards Organisation
ISOC Internet SOCiety
Iso-Ethernet Isochronous Ethernet
ISP Internet Service Provider
ISTE Integrated Services Terminal Equipment
ITU International Telecommunication Union
J
JPEG Joint Photographic Experts Group
K
kbps kilo bits-per-second
KDC Key Distribution Center
L
L2F Layer 2 Forwarding
Securitatea re Ńelelor de comunica Ńii
– 182 – L2TP Layer 2 Tunneling Protocol
LAN Local Area Network
LAPB Link Access Procedure Balanced
LAPD Link Access Protocol for D-channel
LASER Light Amplification by Stimulated Emissions of Radiation
LC Linear Cryptanalysis
LCN Logical Channel Number
LCP Link Control Protocol
LES LAN Emulation Server
LF Line Feed
LFSR Linear Feedback Shift Register
LLC Logical Link Control
LMI Local Management Interface
LoS Line of Sight
LPC Local Procedure Call
LSB Least Significant Bit
LST Link State Technology
M
Mbps Mega bits-per-second
MA Multiple Access
MAC Message Authentication Code/Media Access Control
MAN Metropolitan Area Network
Manchester Biphase-L Coding
MAU Multistation Access Unit
MCA Micro Channel Architecture
MD5 Message Digest 5
MG Media Gateway
MGCP Media Gateway Control Protocol
MIB Management Information Base
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 183 – MII Media Independent Interface
MIME Multipurpose Internet Mail Extension
MIMO Multiple-Input Multiple Output
MIOX Multiprotocol Interconnect Over X.25
MLID MultiLink Interface Driver
MMF MultiMode Fiber
MNP Microcom Networking Protocol
MPEG Movie Photographic Experts Group
MPLS MultiProtocol Label Switching
MPPE Microsoft Point-to-Point Encryption
MRC MultiRate Coder
MRRU Maximum Receive Reconstructed Unit
MRU Maximum Received Unit
MS-DOS Microsoft Disk Operating System
MSB Most Significant Bit
MSC Mobile Switching Center
MSK Minimum Shift Keying
MSR Modem Status Register
MTA Message Transfer Agent
MTU Maximum Transfer Unit
N
N Network
NAK Not AcKnowledge
NAS Network Access Server
NAT Network Address Translation
NAV Network Allocation Vector
NBF NetBEUI Frame
NCB Network Control Block
NCP Netware Core Protocol / Network Control Protoc ol
Securitatea re Ńelelor de comunica Ńii
– 184 – NDIS Network Driver Interface Specification
NetBeui Network BIOS extended user interface
NetBIOS Network Basic Input/Output System
NFS Network File System
NIC Network Interface Card
NID Next IDentifier
NLPID Network Layer Protocol IDentifier
NOC Network Operating Center
NOS Network Operating System
NM Network Mask
NMM Network Management Module
NMS Network Management Station
NN Netscape Navigator
NNI Network – Network Interface
NPM Network Protocol Module
NT Network Termination
NTFS NT File System
NTP Network Time Protocol
NUL Null
NVT Network Virtual Terminal
O
OAEP Optimal Asymmetric Encryption Paddi ng
ODI Open Data-link Interface
OFDM Orthogonal Frequency Division Multiplexing
ONC Open Network Computing
OOK On-Off Keying
OQPSK Offset Quadrature Phase Shift Keying
OS Operating System
OSI Open System Interconnection
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 185 – OSPF Open Shortest Path First
OUI Organizational Unique Identifier
P
P2P Peer-to-Peer
PAD Packet Assembly/Disassembly
PAM Pulse Amplitude Modulation
PAN Personal Area Network
PAP Password Authentication Protocol
PAP Password Authentication Protocol
PBX Public Branch eXchange
PC Personal Computer
PC1 Permuted Choice 1
PCI Peripheral Component Interconnect
PCM Pulse Coded Modulation
PCMCIA Personal Computer Memory Card International Association
PDA Personal Digital Assistant
PDN Public Data Networks
PDU Protocol Data Unit
PER Packet Error Rate
PERL Practical Extraction and Reporting Language
PES Proposed Encryption Standard
PG Protective Ground
PGP Pretty Good Privacy
PHP Personal Home Page/HyperText Preprocessor
PI Protocol Interpreter
PING Packet InterNetwork Groper
PKI Public Key Infrastructure
PMD Physical Medium Dependent
PMP Point – to – Multipoint
Securitatea re Ńelelor de comunica Ńii
– 186 – PnP Plug and Play
PoE Power-over-Ethernet
POP Post-Office Protocol
PP Point-to-Point
PPDU Presentation Protocol Data Unit
PPP Point-to-Point Protocol
PPSN Public Packet Switched Network
PRA Primary Rate Access
PRI Primary Rate Interface
PS Postscript
PSH Push flag
PSK Phase Shift Keying/Pre-Shared Key
PSTN Public Switched Telephony Network
PSU Power Supply Unit
PTY Payload TYpe
PVC Permanent Virtual Circuit
Q
QAM Quadrature Amplitude Modulation
QoS Quality of Service
QPRS Quadrature Partial Response Signal
QPSK Quadrature Phase Shift Keying
R
RADIUS Remote Authentication Dial In User Service
RAI Remote Alarm Indication
RAM Random Access Memory
RARP Reverse Address Resolution Protocol
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 187 – RAS Remote Access Service
RCC Routing Control Center
RFI Radio Frequency Interference
RJ Registered Jack
RFC Request For Comments
RFI Radio Frequency Interference
RG Radio Guide
RI Ring Indicator
RIP Routing Information Protocol
RISC Reduced Instruction Set Computing
RLL Run-Length Limited
RLP Resource Locator Protocol
RMON Remote Monitoring
PnP Plug-n-Play
ROM Read-Only Memory
RPC Remote Procedure Call
RS Reed-Solomon
RSA Rivest, Shamir, Adleman
RSMI Removable Security Interface
RST Reset flag
RSVP ReSerVation Protocol
RTCP Real Time Control Protocol
RTF Rich Text Format
RTP Real Time Protocol
RTS Request-To-Send
RxD Data Receiving
RC4 Ron’s Cipher 4
RIPEMD Race Integrity Primitives Evaluation M essage Digest
Securitatea re Ńelelor de comunica Ńii
– 188 – S
S/MIME Secure Multipurpose Internet Mail Extension
SA Source Address / Security Association
SADB Security Association Database
SAM Security Account Manager
SAP Service Access Point / Service Advertising Pro tocol
SAPI Service Access Point Identifier
SAR Segmentation And Reassemble
SAS Single Attachment Station
SATA Serrial ATA
SC Simplex Connector
SCSI Small Computer System Interface
ScTP Screened Twisted Pair
SD Starting Delimiter
SDH Synchronous Digital Hierarchy
SDLC Synchronous Data Link Control
SDSL Single-line Digital Subscriber Line
SEAL Software-Optimized Encryption Algor ithm /
Simple Efficient Adaptation Layer
SFSK Sinusoidal Frequency Shift Keying
SFTP Simple File Transfer Protocol
SG Signal Ground / Signaling Gateway
SHA1 Secure Hash Algorithm 1
SID Subnetwork Identifier
SLA Service Level Agreement
SLIP Serial Line Internet Protocol
SMB Server Message Block
SMF Single-Mode Fiber
SMI Structure of Management Information
SMP Symmetric Multiprocessing
SMTP Simple Mail Transfer Protocol
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 189 – SN Sequence Number
SNA Service Network Architecture
SNAP SubNetwork Access Protocol
SNMP Simple Network Management Protocol
SNR Signal-to-Noise Ratio
SNTP Simple Network Time Protocol
SPD Security Policy Database
SPDU Session Protocol Data Unit
SPI Security Parameters Index
SPI Service Parameter Index
SPX Sequenced Packet eXchange
SRM Security Reference Monitor
SS Socket Services / Spread Spectrum
SS-7 Signaling System no.7
SSAP Source Service Access Point
SSH Secure SHell Protocol
SSI Security System Interface
ST Session Ticket
STA Station Adapter / Spanning-Tree Algorithm
STP Shielded Twisted Pair/Spanning Tree Protocol
SVC Switched Virtual Circuit
SYN Synchronize flag
T
TA Terminal Adapter
Tbps Tera bits-per-second
TC Transmission Convergence
TCL Tool Command Language
TCM Trellis Coded Modulation
TCP Transmission Control Protocol
Securitatea re Ńelelor de comunica Ńii
– 190 – TCP/IP Transmission Control Protocol/Internet Prot ocol
TDM Time Division Multiplexing
TDMA Time Division Multiple Access
TE Terminal Equipment
Telnet Virtual Terminal Connection
TFM Tamed Frequency Modulation
TFTP Trivial File Transport Protocol
TGS Ticket Granting Server
TGT Ticket Granting Ticket
TIA Telecommunication Industry Association
TIME Time of Day Protocol
TL Total Length
ToS Type of Service
TPDU Transport Protocol Data Unit
TRI Telephony Return Interface
TSM Telephony Signaling Module
TTL Time-To-Live
TTY TeleTYpe
TxD Data Transmission
U
UA User Agent
UART Universal Asynchronous Receiver- Transmitter
UCAID University Corporation for Advanced Internet Development
UDP User Datagram Protocol
UL Up-Link
UNI User-Network Interface
UPS Uninterruptible Power Supply
URG Urgent flag
URI Uniform Resource Identifier
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 191 – URL Uniform Resource Locator
URN Uniform Resource Name
USB Universal Serial Bus
UTP Unshielded Twisted Pair
USENET USEr NETwork
V
V/FoIP Voice/Fax-over-IP
VBR Variable Bit Rate
VCI Virtual Channel Identifier
VLAN Virtual Local Area Network
VoATM Voice-over-ATM
VoDSL Voice-over-Digital Subscriber Line
VoFR Voice-over-Frame Relay
VoIP Voice-over-IP
VoN Voice-over-Network
VoP Voice-over-Packet
VPAN Virtual Private Ad-hoc Network
VPI Virtual Path Identifier
VPN Virtual Private Network
VSB Vestigial Side Band
VT Virtual Terminal / Vertical Tab
VxD Virtual Device Driver
W
WAN Wide Area Network
WDMA Wavelength Division Multiple Access
WEP Wired Equivalent Privacy
Securitatea re Ńelelor de comunica Ńii
– 192 – WFQ Weighted Fairly Queuing
WiFi v Wide Fidelity
WiMax Worldwide Interoperability for Microwave Acc ess
WINS Windows Internet Name Service
WLAN Wireless Local Area Network
WM Wireless Medium
WPA WiFi Protected Access
WWW W3 / World Wide Web
X
XML Extendable Markup Language
XPSN X.25 Packet Switched Network
L. Scripcariu, I. Bogdan, Ș.V. Nicolaescu, C.G. Gheorghe, L. Nicolaescu
– 193 – BIBIOGRAFIE
[1] Barker C. William, “Recommendation for the Triple D ata
Encryption Algorithm (TDEA) Block Cipher”, Publica Ńie specială
NIST 800-67, May 2004
http://csrc.nist.gov/publications/nistpubs/800-67/S P800-67.pdf
[2] Frankel Sheila, Kent Karen, Lewkowski Ryan, Orebaug h D.
Angela, Ritchey W. Ronald, Sharma R. Steven, “Guide to IPsec
VPNs – Recommendations of the National Institute o f Standards and
Technology”, Publicatie special ă NIST 800-77, Dec. 2005,
http://csrc.nist.gov/publications/nistpubs/800-77/s p800-77.pdf
[3] http://www.tml.tkk.fi/Studies/T-110.551/2003/papers /13.pdf
[4] http://www.zeroshell.net/eng/kerberos, Fulvio Ricci ardi,
“The Kerberos protocol and its implementations”, No v. 2006
[5] Klander Lars, “Anti-hacker. Ghidul securit ăŃii re Ńelelor de
calculatoare”, ALL Educational, Bucure ști, 1998
[6] Liu Jeffrey, Jiang Steven, Lin Hicks, “Introduction to
Diameter”, Jan. 2006
http://www.ibm.com/developerworks/wireless/library/ wi-diameter
[7] Menezes J. Alfred, Van Oorschot C. Paul, Vanstone A . Scott,
“Handbook of Applied Cryptography”, CRC Press, Oct. 1996
[8] Oprea Dumitru, “Protec Ńia și securitatea informa Ńiilor”, Ed.
Polirom, Ia și, 2003
[9] Päivi Savola, “Mobility support in RADIUS and Diame ter”,
May, 28, 2003
Securitatea re Ńelelor de comunica Ńii
– 194 – [10] Paterson G. K., Yau K.L. Arnold, “Cryptography in T heory
and Practice: The Case of Encryption in IPsec”, Nov . 2005,
http://eprint.iacr.org/2005/416.pdf
[11] Patriciu V.V., “Criptografia și securitatea re Ńelelor de
calculatoare cu aplica Ńii în C și Pascal”, Ed. Tehnic ă, Bucure ști,
1994
[12] Scripcariu Lumini Ńa, “Bazele re Ńelelor de calculatoare”, Ed.
Cermi Ia și, 2005
[13] Tanenbaum S. Andrew, “Re Ńele de calculatoare”, Ed.
Computer Press Agora, 1997
[14] Thomas J., Elbirt A.J., “Understanding Internet Pro tocol
Security”, Electrical and Computer Engineering Depa rtment,
University of Massachusetts Lowell, One University Avenue,
Lowell, MA 01854, USA, 2006
http://faculty.uml.edu/aelbirt/IPsec.pdf
[15] *** http://en.wikipedia.org/
[16] *** http://www.securizare.ro/content/view/147/36 “ Reguli
de securizare pentru re Ńea”, 2004
[17] *** http://csrc.nist.gov/publications/fips/fips197/ fips-
197.pdf, “Announcing the ADVANCED ENCRYPTION
STANDARD (AES)”, Publica Ńia de procesare a standardelor 197,
Nov. 2001
[18] *** http://docs.hp.com/en/T1428-90011/T1428-90011.p df,
Interlink Networks: “Introduction to Diameter”, Feb . 2002
[19] *** http://technology.berkeley.edu/policy/admsecpol .html,
“Admin Apps and Data Security Policy”, 2008
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: LUMINI łA SCRIPCARIU [601338] (ID: 601338)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.