Programe de Audit Si Supraveghere In Retelele de Calculatoare

NOTIUNI GENERALE DESPRE RETELE

Transmiterea de date prin intermediul dischetelor tine de trecut, pentru ca legarea in retea este cea mai avantajoasa. Este suficient sa avem o placa de retea in fiecare calculator si cativa metri de cablu. Restul (software-ul) este deja continut in Windows. Astfel se pot accesa toate unitatile de disc de pe orice calculator, se poate utiliza in comun fisierele si imprimanta, se poate lucra impreuna la mai multe workstation-uri la acelasi proiect sau se pot face schimburi de mesaje.

1.1Tipuri de retele peer-to-peer:

1.1.1 Retele cu forma backbone (sau bus): aici exista doar un singur circuit, de la primul pana la ultimul calculator, reprezentand un fel de coloana vertebrala (backbone) a retelei. Cablul coaxial este asemanator cu un cablu de antena TV si este construit dintr-un conductor intern bine izolat si un strat de ecranare intre stratul de izolare si cel extern. Ca stechere si mufe sunt folosite cele numite BNC, conexiuni masive si inchidere tip baioneta. De la fiecare calculator pleaca o mufa in forma de T, de care se ataseaza cablul de retea. Cele doua capete ale cablului sunt terminate cu o rezistenta (50 de ohmi), asemanator cu un lant de aparate SCSI.

Avantaje:

Mai putin cablu, deoarece legarea PC-urilor se realizeaza pe cea mai scurta cale.

Scade sensibilitatea la influente electromagnetice, deoarece cablurile coaxiale necesare acestui tip de conexiune dispun de o ecranare foarte buna;

Costuri scazute, deoarece se folosesc numai placi de retea si cabluri coaxiale. Mufa in forma de T este livrata, de regula, impreuna cu placile.

Dezavantaje:

In cazul in care se desprinde undeva in lant o conexiune, intreaga retea este compromisa. Daca se folosesc cabluri de calitate indoielnica, se pot desprinde foarte usor de mufe;

Cablul coaxial este gros si neflexibil, stecherele BNC destul de mari. De aceea, montarea, mai ales prin perete, este destul de dificila. Un alt dezavantaj este si faptul ca, prin aceasta arhitectura, un cablu intra in calculator, iar altul iese;

Rata maxima de transfer a acestei solutii este limitata la 10Mb pe secunda. Depinde de scopul acestei retele daca valoarea indicata este sau nu prea mica.

1.1.2.Retele Twisted Pair (stea): acest tip de retea se impune tot mai mult si in LAN-uri (Local Area Network) mai mici, pana nu de mult fiind utilizata doar in retele mari. Ea este construita in forma de stea sau de paianjen. De la fiecare calculator din retea pleaca un circuit spre un distribuitor central, hub-ul. Acesta regleaza la nivel electric fluxul de date de la si spre calculatoarele conectate; conversia si supravegherea transferului de date este preluat aici de catre placa de retea. Cablul folosit la arhitectura de retea este UTP –unshielded twisted-pair (cablul torsadat neecranat), asemanator unui cablu telefonic. Exista o varianta mai scumpa, ecranata (shielded twisted pair), care este recomandabila pentru retele rapide (peste 100MB/s). Stecherele folosite (RJ 45) amintesc de stecherele telefonice americane, folosite tot mai des la noi.

Avantaje:

Plecand de la premisa ca se utilizeaza placi de retea de calitate si un hub performant este posibila atingerea unei rate de transfer de pana la 100Mb/s.

Reteaua nu are de suferit de pe urma unor desprinderi izolate ale conexiunilor. Doar calculatorul afectat pierde conexiunea la restul retelei.

Cablul folosit (CAT5 cu mufe RJ-45) este mai subtire si mai flexibil; poate fi deci usor montat. In plus, doar un singur cablu intra in calculator.

Dazavantaje:

Este o solutie mai costisitoare, cu toate ca un cablu twisted-pair este ceva mai ieftin decat unul coaxial. Este necesar un hub (componenta suplimentara fata de varianta prezentata anterior).

In cazul in care calculatoarele ce trebuie conectate nu sunt asezate perfect in stea, este necesar mult mai mult cablu, ceea ce se rasfrange, evident, asupra costurilor.

Indeosebi cablurile twisted-pair neecranate sunt sensibile la bruiaje si campuri magnetice. Chiar si numai cateve cabluri de curent obisniute care sunt pozitionate in apropierea circuitului retelei pot provoca bruiaje, care nu blocheaza reteaua, dar performanta acesteia are in mod sigur de suferit.

Este de preferat solutia twisted-pair, daca nu trebuie sa tinem cont de costuri. Este mai putin sensibila la factorii mecanici, este mai usor de instalat si mai moderna.

1.1.3 Retele de tip inel: are in componenta sa un echipament pentru controlul comunicatiei numit token-ring. Acesta emite intr-un singur sens. La acest tip de retea exista o fisa care se plimba prin retea, ea fiind un cadru de date gol, care contine 1 octet pentru delimitator de START, 1 octet pentru controlul accesului si 1 octet pentru delimitator de STOP. Cand token-ul este ocupat intre campul destinat controlului accesului si delimitatorul de STOP se mai intercaleaza inca 6 campuri, unul fiind format din datele propriu-zise. Primele doua campuri contin adresele MAC ale destinatarului si ale sursei iar celelalte 3 informatii despre starea pachetului de date si suma de control.

Retele Wireless LAN “ Ca si telefonia celulara, retelele locale de calculatoare

tind sa elimine si sa transmita date prin eter”

1.2.1 Notiuni generale

Retelele locale LAN (Local Area Network) traditionale conecteaza statiile de lucru intre ele, cu un server, imprimante sau alte echipamente de retea. Pentru aceasta folosesc cabluri sau fibre optice ca mediu de transmisie. Utilizatorii prin LAN, schimba mesaje electronice si acceseaza programe sau baze de date comune. Pentru a conecta un calculator la o retea LAN, avem nevoie de a placa de retea si un cablu pe care trebuie sa-l introducem intr-un hub montat pe un perete apropiat. Distanta pana la cel mai apropiat hub determina lungimea cablului si posibilitatea, mai mare sau mai mica, de a deplasa in spatiu statia de lucru. Daca dorim sa rearanjam spatiul, vom face deconectarea de la retea, taierea unui nou cablu, posibil de lungime mai mare, si reconectarea in noua locatie. Extinderea retelei LAN inseamna cabluri suplimentare si supraincarcarea serverului. Retelele LAN complexe, cu numar mare de utilizatori localizati in incaperi sau la etaje diferite, trebuie impartite in domenii sau segmente, pentru a facilita administrarea.

Retelele LAN Wireless, sau WLAN, permit statiilor de lucru sa comunice si sa acceseze reteaua folosind propagarea undelor radio, ca mediu de transmisie. ReteleleWLAN pot fi conectate la o retea cablata existenta, ca o extensie, sau pot forma baza unei noi retele.

La realizarea unei retele radio, investitia initiala este mai mare decat in cazul unei retele cablate, insa amortizarea acestei investitii se face prin avantajele evidente pe care le ofera in privinta administrarii, amplasarii fixice, latimii de banda si a securitatii, in comparatie cu retelele cablate.

Cea mai importanta carateristica a retelelor WLAN este adaptabilitatea lor la modificarile de locatii ale statiilor de lucru. Aceasta implica functionalitatea lor in interiorul cat si in exteriorul cladirii, de orice dimensiuni, destinata birourilor, productiei sau universitatilor.

Costructia unei retele WLAN se bazeaza pe crearea de “celule”. O celula este determinata de zona in care comunicarea prin radio este posibila. Undele radio au o propagare mai mare sau mai mica in functie de puterea transmitatorului, de tipul si forma zidurilor dintre receptor si emitator, de caracteristicile fizice ale mediului care poate reflecta in diverse moduri aceste unde.

1.2.2 Configuratii WLAN: topologia de baza a unei retela WLAN consta in doua sau mai multe noduri wireless, sau statii (STA), care s-au recunoscut intre ele si au stabilit o comunicatie. In cea mai simpla forma, statiile comunica direct una cu alta, peer-to-peer, in regiunea de acoperire a celulei. Acest tip de retea este de obicei creata temporar, purtand denumirea de IBSS (Independent Basic Service Set).

Celulele pot fi conectate la un Ethernet folosind un Access Point (AP) sau prin conectarea la un

LAN indepartat folosind un bridge radio (wireless). Cand este prezent un AP, statiile nu comunica peer-to-peer. Toate comunicatiile intre statii, sau dintre o statie si un client al unei retele cablate, trec prin AP. Deoarece AP-urile nu sunt mobile, ele formeaza o parte a infrastructurii cablate a retelei, iar reteaua se numeste BSS (Basic Service Set).

Mai multe retele BBS care se suprapun, fiecare continand un AP, si conectate intre ele printr-un sistem de distributie (SD) formeaza o retea ESS (Extended Sercice Set). Desi un sistem de distributie poate reprezenta orice tip de retea, acesta este de obicei un Ethernet LAN. Nodurile mobile se pot deplasa intre celulele diferitelor AP-uri, astfel incat poate acoperi intregul campus.

1.2.3 Securitatea retelelor WLAN: Una dintre cele mai frecvente intrebari referitoare la retelele radio este aceea referitoare la gradul de securitate pe care il ofera. Poate pentru ca datele nu mai circula pe un fir, care apartine cladirii, ci prin aer, administratorii de retea prezinta un grad mai mare de ingrijorare privind securitatea unei retele radio. De fapt, orice retea, inclusiv una cablata, este supusa unor riscuri privind securitatea: riscuri privind integritatea fizica, riscuri privind accesul neautorizat si interceptarilor, sau atacuri din partea utilizatorilor care sunt autorizati sa acceseze reteaua. Din acest punct de vedere o retea WLAN are toate avantajele si dezavantajele unei retele LAN cablate. Insa retelele LAN radio includ un set suplimentar de elemente de securitate, care nu sunt disponibile in “ lumea cablurilor”, si care le confera, in opinia multor specialisti, calitatea de a fi mai sigure decat cele clasice. Tehnicile de “imprastiere” a spectrului de frecventa fac aproape imposibila receptia semnalului de catre un hacker. Se foloseste tehnica criptarii si de aceea majoritatea echipamentelor si software-ul de la retelele WLAN au implementata o anumita forma de criptare ca o componenta standard sau optionala.

Retele virtuale private

Reteaua virtuala privata VPN (Virtual Private Network) se poate defini ca o conexiune privata intre doua statii sau retele, stabilita intr-o retea deschisa accesului public. Tehnologia retelelor private permite unei firme sa-si extinda prin Internet, in conditii de maxima securitate, serviciile de retea la distanta oferite utilizatorilor, reprezentantelor sau companiilor partenere, Avantajul este evident, chiar si fara a intra in amanunte: crearea unei legaturi de comunicatie rapida, ieftina si sigura.

1.3.1 Functionare: Pentru a utiliza Internetul ca o retea privata virtuala, de tip Wide Area Network (WAN), trebuie depasite doua obstacole principale. Primul apare din cauza diversitatii de protocoale prin care comunica retelele, cum ar fi IPX sau NetBEUI, in timp ce Internetul poate intelege numai traficul de tip IP. Astfel, VPN-urile trebuie sa gaseasca un mijloc prin care sa transmita protocoale non-IP de la o retea la alta. Al doilea obstacol este datorat faptului ca pachetele de date prin Internet sunt transportate in format text. In consecinta, oricine poate “vedea” traficul poate sa citeasca datele continute in pachete. Aceasta este cu adevarat o problema in cazul firmelor care vor sa comunice informatii confidentiale si, in acelasi timp, sa foloseasca Internetul. Solutia la aceste probleme a permis aparitia VPN si a fost denumita “ tunnel-ing”. In loc de pachete de date lansate intr-un mediu care nu ofera protectie, datele sunt mai intai criptate, apoi incapsulate in pachete IP si trimise printr-un “tunel” virtual prin Internet. Intregul pachet de date criptat este transformat intr-unul de tip IP. Acum, indiferent de protocolul in care au fost transmise, datele pot calatori prin Internet. La destinatie, terminatorul de tunel primeste pachetul, inlatura informatia de IP si decripteaza datele cu schema stabilita initial. Astfel decriptate, datele sunt transmise formeaza o parte a infrastructurii cablate a retelei, iar reteaua se numeste BSS (Basic Service Set).

Mai multe retele BBS care se suprapun, fiecare continand un AP, si conectate intre ele printr-un sistem de distributie (SD) formeaza o retea ESS (Extended Sercice Set). Desi un sistem de distributie poate reprezenta orice tip de retea, acesta este de obicei un Ethernet LAN. Nodurile mobile se pot deplasa intre celulele diferitelor AP-uri, astfel incat poate acoperi intregul campus.

1.2.3 Securitatea retelelor WLAN: Una dintre cele mai frecvente intrebari referitoare la retelele radio este aceea referitoare la gradul de securitate pe care il ofera. Poate pentru ca datele nu mai circula pe un fir, care apartine cladirii, ci prin aer, administratorii de retea prezinta un grad mai mare de ingrijorare privind securitatea unei retele radio. De fapt, orice retea, inclusiv una cablata, este supusa unor riscuri privind securitatea: riscuri privind integritatea fizica, riscuri privind accesul neautorizat si interceptarilor, sau atacuri din partea utilizatorilor care sunt autorizati sa acceseze reteaua. Din acest punct de vedere o retea WLAN are toate avantajele si dezavantajele unei retele LAN cablate. Insa retelele LAN radio includ un set suplimentar de elemente de securitate, care nu sunt disponibile in “ lumea cablurilor”, si care le confera, in opinia multor specialisti, calitatea de a fi mai sigure decat cele clasice. Tehnicile de “imprastiere” a spectrului de frecventa fac aproape imposibila receptia semnalului de catre un hacker. Se foloseste tehnica criptarii si de aceea majoritatea echipamentelor si software-ul de la retelele WLAN au implementata o anumita forma de criptare ca o componenta standard sau optionala.

Retele virtuale private

Reteaua virtuala privata VPN (Virtual Private Network) se poate defini ca o conexiune privata intre doua statii sau retele, stabilita intr-o retea deschisa accesului public. Tehnologia retelelor private permite unei firme sa-si extinda prin Internet, in conditii de maxima securitate, serviciile de retea la distanta oferite utilizatorilor, reprezentantelor sau companiilor partenere, Avantajul este evident, chiar si fara a intra in amanunte: crearea unei legaturi de comunicatie rapida, ieftina si sigura.

1.3.1 Functionare: Pentru a utiliza Internetul ca o retea privata virtuala, de tip Wide Area Network (WAN), trebuie depasite doua obstacole principale. Primul apare din cauza diversitatii de protocoale prin care comunica retelele, cum ar fi IPX sau NetBEUI, in timp ce Internetul poate intelege numai traficul de tip IP. Astfel, VPN-urile trebuie sa gaseasca un mijloc prin care sa transmita protocoale non-IP de la o retea la alta. Al doilea obstacol este datorat faptului ca pachetele de date prin Internet sunt transportate in format text. In consecinta, oricine poate “vedea” traficul poate sa citeasca datele continute in pachete. Aceasta este cu adevarat o problema in cazul firmelor care vor sa comunice informatii confidentiale si, in acelasi timp, sa foloseasca Internetul. Solutia la aceste probleme a permis aparitia VPN si a fost denumita “ tunnel-ing”. In loc de pachete de date lansate intr-un mediu care nu ofera protectie, datele sunt mai intai criptate, apoi incapsulate in pachete IP si trimise printr-un “tunel” virtual prin Internet. Intregul pachet de date criptat este transformat intr-unul de tip IP. Acum, indiferent de protocolul in care au fost transmise, datele pot calatori prin Internet. La destinatie, terminatorul de tunel primeste pachetul, inlatura informatia de IP si decripteaza datele cu schema stabilita initial. Astfel decriptate, datele sunt transmise la server sau router, cel care le plaseaza in reteaua locala.

1.3.2 Metode de transmisie prin VPN: o retea privata virtuala este initiata in jurul unui protocol de securitate, cel care cripteaza si decripteaza datele la sursa si la destinatie pentru transmisia prin IP. In prezent exista multe protocoale de acest tip: de exemplu L2TP (Layer-2 Tunneling Protocol), Ipsec, SOCKS5, FPSecure. Protocolul L2TP este o combinatie dintre un protocol al firmei Cisco Systems si cel al firmei Microsoft denumit Point-to Point Tunneling Protocol (PPTP) El este conceput pentru a suporta orice alt protocol de rutare, incluzand IP, IPX, el poate fi rulat pe orice tip de retea WAN. El poate crea mai multe tunele simultan, pornind de la acelasi client, de exemplu spre o baza de date a firmei si spre intranetul aceleasi firme.

1.3.3 Securitate si VPN: retelele private virtuale sunt un produs derivat al clasei de elemente de securitate ale unei retele. Astazi, securitatea retelei este in principal asigurata de firewall-uri, produse care pun o bariera software intre resursele companiei si Internet. Cel mai intalnit dintre protocoalele VPN estre Ipsec- un “open- standard” de securitate folosit de cele mai mari firme, prin care se numara si IBM- pentru stabilirea comunicatiilor directe private in trei moduri, folosind tehnici criptografice:

Autentificare: procesul prin care este verificata identitatea unui host sau statie de lucru;

Verificarea integritatii: Procesul prin care se semnaleaza orice modificare ale datelor survenite in procesul de transport prin Internet, intre sursa si destinatie;

Criptare: procesul de codificare a informatiei in tranzit prin retea, pentru a asigura caracterul sau privat.

1.3.4.Avantajele retelelor virtuale private: Cel mai puternic argument folosit este reducerea costurilor. Daca se foloseste Internetul pentru a distribui servicii de retea la mare distanta, atunci se poate evita achizitionarea de linii inchiriate, extrem de scumpe. Reprezentanta va trebui sa se conecteze numai local, la un provider Internet, pentru a ajunge in reteaua firmei mama.

Un alt aspect pozitiv al retelelor private virtuale este acela ca sunt mediul ideal de comunicatie pentru utilizatorii mobili, adica cei care poseda laptop-uri si doresc sa acceseze serverul firmei pentru obtinerea unor informatii confidentiale.

Se poate face conexiunea intre doua retele, extrem de rapid si ieftin, mai ales acum cand in lumea afacerilor companiile partenere trebuie sa comunice mereu.

Pentru providerii de Internet (ISP), retelele virtuale private prezinta o oportunitate de a furniza servicii de calitate si cu un profit potential important.

1.3.5.Componenta retelei VPN: principalele componente ale unei retele virtuale sunt: software-ul client, serverul de tunel, reteaua si securitatea datelor, arhitectura scalabila si metodele de autentificare.

Prin software-ul de client si serverul de tunel, se stabileste o cale privata, criptata, de comunicatie printr-o retea extinsa, de tip public. De securitatea retelei se ocupa un firewall, care va verifica cele trei componente fundamentale ale securitatii datelor: integritatea, secretul si autenticitatea. O arhitectura scalabila permite oricarui utilizator care doreste sa se conecteze la retea sa o poata face, devenind nod al retelei fara restrictii din partea acesteia.

O retea virtuala va dispune de un mecanism de autentificare flexibil, pentru a permite diferiti-lor clienti sa isi decline identitatea folosind propria politica de autentificare la conectarea in retea.

1.3.6. Aplicatii VPN : O retea virtuala poate fi necesara in trei situatii:

Cand un utilizator aflat la distanta doreste sa acceseze reteaua companiei sale folosind Internetul;

Cand o firma cu multiple birouri doreste sa le conecteze intr-o retea privata de tip intranet, insa folosind Internetul si nu o linie inchiriata scumpa;

Cand acelasi lucru este facut intre companii partenere ale caror retele vor comunica intr-un asa-numit Extranet de tip virtual privat.

Bazele teoretice ale programarii retelelor

Pentru a comunica intre ele calculatoarele trebuie sa fie conectate iar schimbul de date trebuie sa se faca conform anumitor reguli si standarde. Aceste reguli poarta numele de protocoale de transmisie. Cel mai folosit protocol este TCP/IP. Aplicatiile client/server de audit si supraveghere pot folosi in plus si alte protocoale specializate ( Simple Management Network Protocol- SMNP, Dynamic Host Configuration Protocol- DHCP). Sistemul de operare Windows ofera programatorilor servicii care permit administrarea usoara a acestor protocoale. Aplicatia proiectului foloseste pentru comunicarea intre client si server protocolul TCP/IP.

Comunicarea are loc intre un calculator sursa si unul destinatie. Pentru a stabili schema de comunicatie avem nevoie de adrese, porturi si socketuri.

2.1 Ce este TCP / IP ?

Un numar foarte mare al persoanelor care in activitatea lor interactioneaza cu calculatoarele folosesc (in mod constient sau nu), in cadrul comunicarii de-a lungul uneia sau mai multor retele, asa-numitul “TCP/IP”.

Desi ii este atribuita denumirea de protocol de comunicatie, acest lucru sugerandu-i si titlul, TCP/IP fiind prescurtarea de la Transmission Control Protocol/Internet Protocol (Protocol pentru Controlul Transmisiei/Protocol de Internet) de fapt TCP/IP se refera la o intreaga clasa de protocoale (Protocol Suice), ce include pe langa TCP si IP si alte tipuri de protocoale, de transfer de fisiere, de posta electronica si multe altele.

2.1.1 Modelul de referinta OSI : pentru realizarea unei transmisii de date in mod corect, trebuie respectat un set de reguli, de proceduri necesare pentru realizarea comunicatiei. Acestor pro-ceduri le este asociat un model de referinta, numit OSI si atribuit de catre Organizatia Inter-nationala de Standardizare ( International Standard Organization). Modelul este structurat pe sapte niveluri sau straturi ( leyere), grupate primele trei pentru a facilita comunicatia intre aplicatii, urmatoarele doua pentru realizarea logica a transportului iar ultimele doua pentru realizarea fizica a transportului. Transferul de informatii intre aceste niveluri se face de sus in jos.

Nivelul Aplicatie: In acest nivel se trateaza problemele din domeniul comunicatiei intre aplicatii. Multe dintre aplicatiile pentru retea (de genul transfer de fisiere, posta electronica, emulare de terminal, procese server/client) acceseaza acest nivel. Folosirea Internetului pentru tranzactii si schimb de informatii necesita existenta unor astfel de protocoale de comunicatie intre aplicatii. Cele mai simple si mai uzitate protocoale de legatura intre aplicatii sunt cele care realizeaza transmiterea de mesaje de genul posta electronica (SMTP-Simple Mail Transfer Protocol de exemplu) intre diferite aplicatii de posta electronica.

Nivelul Prezentare: Acest nivel dupa cum sugereaza si numele, are scopul de a “prezenta” datele oferite de nivelul Aplicatie. De fapt nivelul Prezentare standardizeaza datele preluate de la nivelul Aplicatie pentru a putea fi preluate de nivelul imediat urmator, nivelul Sesiune. Aceasta operatiune de standardizare este necesara deoarece PC-urile sunt configurate pentru a receptiona datele intr-un format standard generic. Exemple de astfel de standarde sunt JPEG sau TIFF pentru imagini, MIDI pentru muzica digitala, MPEG pentru secvente video.

Nivelul Sesiune: Acest nivel se ocupa cu stabilirea in conditii optime a unui “dialog” intre dispozitive sau noduri. Acest dialog se poate purta dupa trei modele diferite, cunoscute sub denumirile de simplex, half-duplex si full-duplex. In modelul simplex o singura statie emite, iar cealalta doar receptioneaza, pentru cazul half-duplex ne putem imagina un dispozitiv de emisie-receptie, in care se schimba sensul transferului doar dupa ce statia care emite se opreste din emis. Cazul full-duplex ofera insa controlul fluxului, adica rezolva probleme cum ar fi diferentele de viteza intre noduri ( o statie emite mai repede decat poate cealalta sa receptioneze) sau problema in care ambele statii transmit si receptioneaza la aceleasi perioade de timp. O sesiune de comunicare se realizeaza in cadrul a trei etape, prima fiind realizarea conexiunii, a doua transferul efectiv de informatii si a treia desfiintarea (distrugerea conexiunii). Pentru nivelul Sesiune se pot asocia intefete si protocoale precum NFS (Network File System), SQL (Structured Query Language), X-Window si multe altele.

Nivelul Transport: Serviciile oferite de acest nivel se ocupa cu transmisia de date, mai exact segmenteaza aceste date si le trasporta punct-cu-punct. Tot in cadrul acestui nivel sunt realizate si problemele de integritate a datelor, acest lucru realizandu-se prin controlul fluxului. Controlul fluxului inseamna eliminarea problemelor de genul supraincarcarii memoriei tampon a receptorului, caz in care s-ar pierde datele. In acest sens, pachetele expediate primesc o confirmare din partea receptorului in momentul incheierii transmisiei; in cazul neprimirii confirmarii, pachetele in cauza sunt retransmise. Dupa ajungera la destinatie, pachetele sunt trimise secvential inapoi in ordine, iar fluxul de date este mentinut pentru a evita saturarea cu date, ce ar duce la pierderea lor.

Nivelul Retea: Routerele sunt dispozitivele ce se ocupa cu determinarea caii pe care o au de urmat datagramele (pachetele de date transmise). Pentru a gasi cea mai buna cale, acesta evalueaza toate traseele disponibile, trasee pe care le “citeste” de pe o asa numita “harta a retelei”. El are stocata o tabela de rutare care ii spune care sunt toate conexiunile disponibile catre alte interfete de retea staine. Hartile de retea pot fi configurate de catre administratorul de retea sau obtinute prin intermediul unui proces care ruleaza continuu in reteaua respectiva. Scopul nivelului retea este ca, avand ajutorul nivelului transport, sa transmita datele pe calea cea mai buna de la o sursa de retea catre o alta sursa de retea. Dupa alegerea conexiunii adecvate, routerul pune datele intr-o lista de asteptare, acestea urmand a fi transmise catre urmatorul nod. Operatia se repeta pentru fiecare router, pana cand se ajunge la routerul retelei de destinatie. Un sistem de retele interconectate trebuie sa fie actualizat tot timpul, sa proiecteze toate caile disponibile pentru conectarea mediilor aflate in comunicatie. Pentru aceasta, atunci cand un router este introdus intr-o retea, se emite un semnal prin care se informeaza ca acesta si-a facut aparitia (se executa o operatie cunoscuta sub numele de broadcasting).

Nivelul Legatura de date: Acest nivel transforma datele primite in secvente binare (siruri de biti), pe care le transmite nivelului fizic, acesta fiind responsabil cu transmisia lor efectiva. Nivelul fizic formateaza datele sub forma unor capsule, numite cadre de date (frame-uri). Aceste cadre de date respecta un format, ce contine mai multe tipuri de elemente. Indicatorul de start este un mesaj ce alerteaza dispozitivele aflate in transmisie de aparitia inceputului unui cadru de date. Adresa de destinatie ( Destination Address-DA) este un camp ce contine o adresa verificata de nivelul legatura de date pentru a vedea daca se potriveste cu cea proprie. Adresa sursa (Source Address-SA) constituie adresa dispozitivului emitator, si serveste pentru a usura trimiterea de replici la mesaje. Dupa adresa resursa urmeaza un camp de doi octeti, care in cazul cadrelor standardizate Ethernet II este un camp de biti, iar pentru cadrele 802.3 un camp de dimensiune, ce indica numarul de octeti ai datelor ce urmeaza dupa acest camp, pana la secventa de verificare a cadrului (Frame Check Seguance-FCS). Dupa acest camp dimensiune, pentru cadrele 802.3 apare un antet pentru informatie ce specifica procesul de pe nivelul imediat urmator (Logical Link Control-LLC) deoarece cadrele 802.3 nu contine camp de biti. Datele reprezinta de fapt informatia propriu-zisa ce este transmisa de sus in jos, catre nivelul de legatura de date. Ultimul camp este secventa de verificare a cadrului FCS. Acesta dispune de mecanism ciclic de verificare a sumei de control (Ciclic Redundancy Checksum-CRC). Un pachet transmis contine un bit numai antet pentru suma de control (checksum header), prin care se verifica integritatea datelor. Dispozitivul ce emite determina un sumar al datelor ce urmeaza a fi transmise, il scrie sub forma unui checksum si include acest antet in interiorul datelor. Dispozitivul destinatie realizeaza aceeasi operatiune de sumare, dupa care verifica daca valoarea aflata de el corespunde cu cea transmisa de emitator. Daca valorile nu corespund datele au fost alterate pe parcursul transmisiei. Protocoalele existente in cadrul nivelului legatura de date sunt de fapt expresii ale standardelor de control, dezvoltate in timp pentru a suporta transmisia cu viteze mari si compatibitatea cu toate platformele. Dintre aceste protocoale amintesc: HLDC (High Level Data Link), creat pentru a suporta atat configuratii punct la punct cat si multipunct; SLDC (Synchronous Data Link Control), creat de IBM pentru a fi implementat pe retelele lor foarte extinse (Wide Area Network-WAN), ce foloseste un sistem de interogare polling; LAPB (Link Access Procedure, Balanced),creat in scopul verificarii cadrelor, si anume el verifica daca lipsesc cadre, daca exista cadre in afara secventei, retransmite sau schimba cadre, trimite cadre de confirmare; X.25, care este primul tip de retea cu comutare de pachete; linia seriala IP (Serial Line IP-SLIP) implementata pentru a suporta interconexiuni pe interfete seriale de viteza mica; protocolul PPP (Point to Point Protocol), ce a preluat caracteristicile SLIP si a adaugat noi functii, cum ar fi parole sau corectia de erori si releul de cadre (Frame Relay), o extidere a standardului X.25 o varianta foarte rapida dar cu functionarea conditionata de calitatea liniei de transfer.

Nivelul fizic: Acest nivel este cel care transmite si primeste fizic datele sub forma de biti. Datorita varietatii extrem de mari a mediilor ce pot comunica, acest nivel trebuie sa fie servit de protocoale de comunicatie care sa poata interactiona cu aceste medii, si in acest scop se folosesc diferite sobloane de biti. Pe acest nivel se determina si tipul de interfata intre terminalul de date si circuitul de date (Data Terminal Equipment- DTE si Data Circuit-terminating Equipment-DCE). Sunt diferite standarde pentru nivelul fizic, dintre acestea amintesc EIA/TAI-232, EIA/TIA-449, X.21,V.24,V.35.

2.1.2 Modelul DOD

Un alt model atasat transmisiei de date este modelul DOD (numele vine de la Department Of Defense al SUA), care de fapt este o schematizare a modelului OSI. El e structurat pe patru niveluri primul fiind denumit nivelul Proces/Aplicatie ce corespunde primelor trei niveluri din OSI (Aplicatie,Prezentare,Sesiune), al doilea fiind numit Host-to-Host, al treilea Internet (acestea doua corespunzand nivelurilor transport si Retea ale OSI), iar ultimul nivel al DOD fiind nivelul Acces Retea, corespondent al ultimelor doua niveluri ale OSI (Legatura de date si Fizic). Nivelul Proces/Aplicatie stabileste protocoalele pentru realizarea comunicatiei intre aplicatii host-to-host, nivelul Host-to-Host defineste protocoalele pentru nivelul serviciilor de transmisie ale aplicatiilor si controleaza expedierea corecta a datelor, nivelul Internet se ocupa de transmisia logica a datelor, asociaza adrese de IP host-urilor, se ocupa cu rutarea de pachete si controleaza fluxul de date, iar nivelul Acces Retea defineste protocoale pentru transmisia efectiva de date.

Comparatie intre cele doua moduri

TCP/IP modelul OSI TCP/IP modelul DOD

2.1.3 Protocoalele nivelului Proces/Aplicatie

Telnet: Atunci cand vorbim de Telnet ne referim la emularea de terminal. De fapt, un utilizator de pe o masina indepartata poate accesa resursele unei alte masini, serverul Telnet. Da fapt, Telnet ataseaza un terminal virtual retelei locale, ce lucreaza in mod text si executa proceduri predefinite. O sesiune Telnet se initializeaza prin lansarea unui client Telnet cu care vor accesa serverul Telnet respectiv.

Protocolul pentru transferul fisierelor (File Transfer Protocol-FTP): Prin acest protocol se realizeaza transferul de fisiere intre doua masini care il folosesc. El are de fapt o structura duala, este atat de protocol cat si de program. Ca protocol, FTP deserveste aplicatiile iar ca program se foloseste pentru realizarea manuala de operatiuni cu fisiere. FTP face transparenta conectarea prin tehnologie de tip Telnet cu un server FTP, iar apoi creaza suportul pentru operatiunile cu fisiere, cum ar fi listarea, manipularea directoarelor, vizualizarea sau transferul de fisiere intre statii. Pentru limitarea accesului, este necesar un proces de autentificare in momentul accesarii unui server FTP, proces caruia i se asociaza o parola. Majoritatea serverelor FTP permit si accesarea anonima (fara parola), dar obtiunile avute in acest caz sunt limitate.

Protocolul Network File System-NFS: Acest protocol se ocupa cu partajarea fisierelor. El permite interoperabilitatea a doua tipuri de fisiere; de exemplu, daca pe un sistem UNIX ruleaza un server NFS, un client de pe o platforma Microsoft va beneficia de posibilitatea de a stoca fisiere UNIX intr-o portiune RAM transparenta noua, pe care le vor putea folosi utilizatorii UNIX. Mai mult, NFS poate executa fisiere aflate pe statii indepartate ca programe, deci are capacitatea de a manipula aplicatii aflate la distanta.

Protocolul pentru posta electronica ( Simple Mail Transfer Protocol-SMTP); este probabil cel mai utilizat protocol, acesta se ocupa cu trimiterea si receptia de informatii sub forma de mesaje de posta electronica. El foloseste un algoritm numit “spooling” pentru acest lucru. De fapt, SMTP insereaza informatia ce urmeaza a fi trimisa intr-o coada de mesaje, dupa care o expediaza. In momentul receptiei mesajul este stocat pe un dispozitiv, de obicei un disc, iar serverul retelei destinatie face o verificare periodica a acestui disc si va expedia mesajul catre statia destinatie.

Protocolul de tiparire la imprimanta ( Line Printer Daemon-LDP); Acest protocol partajeaza cererile de tiparire la imprimanta, adica la aparitia unor cereri de tiparire, LDP le memoreaza si apoi, urmand niste reguli, le transmite imprimantelor aflate in retea.

X Window: Acest protocol se bazeaza pe ideea de interfata client/server, adica permite ca un program client sa ruleze pe o statie de lucru si in acelasi timp sa fie afisat pe o alta statie pe care ruleaza un Window Server.

Protocolul de gestiune a retelei (Simple Network Management Protocol-SNMP); Prin intermediul acestui protocol se interogheaza dispozitivele din cadrul unei retele, de la o retea de urmarire, la intervale stabilite de timp, cerandu-le acestora informatii de interes. Dupa interogare, in cazul unui rezultat pozitiv SNMP receptioneaza un mesaj numit “linie de baza”, un raport ce contine caracteristicile retelei. Acest protocol este cunoscut sub numele de agent de retea, deoarece atunci cand are loc o actiune nedorita in retea, el emite catre statia de deservire a retelei un semnal numit “cursa”. Aceste evenimente sunt receptionate de catre administratori, care vor cauta rezolvarea problemei aparute. Exista un asa-numit “prag al agentului” sau prag de alerta, care este stabilit tot de catre administratori, prin care se determina gradul de sensibilitate al agentului.

Protocoalele nivelului Host-to-Host

Protocolul de control al transmisiei ( Transmission Control Protocol-TCP); Acest protocol se ocupa cu depistarea si corectarea erorilor ce apar la transmisie. TCP-ul de pe dispozitivul emitator va realiza o legatura cu cel de pe dispozitivul receptor, acestea negociind cantitatea de date ce se va transmite, ansamblul fiind cunoscut sub denumirea de “ circuit virtual”. Acest tip de comunicatie se numeste “comunicatie orientata pe conexiune”. TCP este o conexiune full-duplex, foarte stabila si precisa, cu numarare de jetoane de receptie si corectie de erori. El preia blocuri de informatie, pe care le imparte in segmente fiind ulterior numerotate. La destinatie, protocolul TCP existent acolo va fi astfel capabil sa reasambleze informatia primita de la emitator.Dupa trimiterea fiecarei secvente (segment numerotat), protocolul TCP emitator va astepta confirmarea de primire de la receptor, iar daca nu o primeste recurge la retrimiterea segmentului. Oricum este inportant de cunoscut faptul ca folosirea TCP-ului nu este neaparat necesara decat atunci cand fiabilitatea este foarte stricta, acest protocol intarziind semnificativ transmisia de date. Pentru o transmisie mai rapida si mai putin stricta se foloseste un alt protocol-UDP.

Protocolul User Datagram Protocol-UDP; La fel ca si la TCP, folosirea acestui protocol se face tot in scopul transferului de segmente, dar in cazul UDP transmisia se aplica la acele elemente ce nu necesita un control foarte ezact. De foarte multe ori folosirea TCP face ca o retea proiectata pentru viteze bune sa se transforme intr-una lenta, din cauza timpilor pierduti in scopul deschiderii, mentinerii si inchiderii unei conexiuni TCP. UDP-ul este mult mai rapid, fapt ce poate fi dedus din modul in care acesta lucreaza. Asemanator cu TCP, UDP segmenteaza datele si asociaza cate un numar fiecarui segment, cu diferenta ca nu secventializeaza datele si nici nu este interesat in a afla modul in care ajung la destinatie. UDP nu are nici un mecanism de confirmare de primire si nici verificare in timpul transferului, realizeaza doar numerotarea segmentelor si nu lucreaza in flux continuu de date, cum o face TCP. Dupa transmiterea mesajelor UDP uita de ele, le abandoneaza complet, acest lucru neinsemnand insa ca este ineficient ci doar ca nu are un mecanism de asigurare a controlului transmisiei. UDP nu este un protocol orientat pe conexiune, el nu creeaza un circuit virtual, nici macar nu contacteaza destinatia.

2.1.5.Protocoalele nivelului Internet

Protocolul pentru Internet (Internet Protocol-IP); Fiind folosit in principal pentru Internet, acest protocol identifica diferitele dispozitive ale retelelor, afland pe ce retea se gasesc si care sunt elementele ce descriu acele dispozitive. Tuturor host-urilor dintr-o retea le sunt atasate niste indicative numite adrese IP. Aceasta adresa contine o informatie care face posibila dirijarea unui pachet de date sau altor informatii catre dispozitivul careia ii este atasata. IP-ul preia segmentele de la nivelul superior (Host-to host) si le reimparte in portiuni mai mici, numite datagrame in momentul receptiei. Pentru fiecare datagrama se atribuie o adresa IP a celui care transmite si una a celui care primeste. Fiecare element al retelei ce va primi un pachet il va dirija in functie de adresa de destinatie a acestuia.

Protocolul de rezolutie a adresei (Address Resolution Protocol-ARP); Acest protocol realizeaza pentru IP gasirea adresei hardware a masinii de destinatie. IP-ul trebuie sa informeze nivelul imediat inferior (in cazul de fata, nivelul Acces Retea) de aceasta adresa. Daca IP-ul nu o stie, foloseste ARP pentru a o afla. APR-ul gaseste masina ce are adresa IP specificata in pachetul transmis si interogheaza reteaua care este adresa hardware a acestei componente. Aceasta adresa hardware e cunoscuta sub numele de Media Access Control sau MAC. De asemenea exista un protocol de aflare a adresei IP in cazul in care se cunoaste doar adresa MAC a componentei de retea. Acest prtocol se numeste protocol de rezolutie inversa a adresei (Reverse Address Resolution Protocol-RARP) si foloseste algoritmi destul de complicati prin care combina informatiile despre adresa hardware a masinii respective si cele ale celorlalte componente de retea pentru a crea un portret de identificare a adresei IP de destinatie.

Programul de incarcare (BootProgram-BootP); Daca in retea exista statii de lucru ce nu poseda harddisk, atunci cand acestea emit cererea de incarcare in retea, serverul BootP analizeaza fisierul de boot propriu ca sa afle adresa hardware a clientului. Dupa ce gaseste clientul, ii va trimite acestuia adresa de IP cat si locatia fisierului pe care masina va trebui sa-l ruleze pentru a incarca un sistem de operare.

Protocolul de control al mesajelor prin Internet (Internet Control Message protocol-ICMP); Pentru dirijarea informatiilor si cu oferirea de servicii pentru controlul mesajelor catreIP, se foloseste ICMP. De fapt, ICMP transmite periodic, sub forma de pachete IP, anunturi care sa fie receptionate de router, si care contin adrese de IP pentru diferite interfete de retea. O alta parte a ICMP o reprezinta mesajele de descoperire router prin care se transmit statiilor de lucru mesaje privind caile catre portile de acces (gateways). Un router nu poate trimite datagrame catre o destinatie din diferite motive, va utiliza ICMP pentru a transmite catre emitator un mesaj prin care il va anunta de neputinta indeplinirii sarcinii. De asemenea, mesaje de atentionare vor fi trimise prin ICMP si atunci cand memoria routerului e plina sau cand informatia transmisa a depasit numarul de hopuri (routere) prin care a trecut.

2.1.6.Atributiile nivelului Acces Retea;

Marele avantaj al modelului DOD este acela ca poate fi implementat pe aproape orice platforma hardware, datorita faptului ca definirea protocoalelor a fost concentrata pe nivelul Internet. Nivelul Acces Retea se ocupa cu receptia pachetelor si convertirea lor in cadre (frame-uri); tot pe acest nivel se plaseaza adresa MAC in interiorul cadrului MAC (MAC frame). Pe acelasi nivel se verifica fluxul de biti prin calculul CRC si se specifica metodele de acces pentru reteaua fizica (FIFO, Token Passing, FDDI, Polling). Tehnologiile cele mai importante utilizate in scopul implementarii acestui nival sunt Ethernet, Token Ring si ACRnet pentru LAN-uri si PPP, X. 25 sau Frame Relay pentru WAN-uri.

2.2 Protocolul SNMP (Simple Network Management Protocol )

Simple Network Management Protcol (SNMP) este un protocol standard pentru schimbarea de informatii de management intre aplicatii de management al retelelor, precum HP Openview, Novell NMS, IBM NetView, sau Sun Net Manager, si entitati de management. Entitatile manageriate pot include gazde, router-e, hub-uri.

2.2.1 SNMP Service in Windows

Implementarea protocolului SNMP in Microsoft ® Windows® 2000 este un serviciu care suporta rularea protocoalelor TCP/IP si IPX. Se poate folosi SNMP pentru a configura dispozitivele remote (la distanta), a monitoriza performantele retelei, auditul folosirii retelei si detectarea defectelor sau accesului neadecvat.

SNMP foloseste o arhitectura distribuita care consta din aplicatii de management si aplicatii agent. Serviciul SNMP implementeaza un agent SNMP. Pentru a folosi informatiile pe cale serviciul SNMP le ofera, trebuie sa existe cel putin o gazda care sa ruleze o aplicatie de management SNMP. Se pot folosi software de la o terta parte sau se pot dezvolta propriile aplicatii de management SNMP. Windows 2000 ofera urmatoarele API-uri pentru acest scop.

SNMP Management API, un set de functii care pot fi filosite pentru a dezvolta rapid aplicatii de baza SNMP

WinSNMP API, veriunea 2.0, un set de functii pentru codare, decodarea, trimiterea si primirea de mease SNMP in sistemul de operare Windows 2000

In plus, SNMP Extention Agent API, defineste o interfata intre serviciul SNMP si DLL-urile de la o terta parte. SNMP Utility API pot fi folosite pentru a simplifica procesarea de mesaje SNMP.

API-urile specificate mai sus au fost concepute pentru a fi folosite de programatorii C/C++. Sunt necesasre familiaritatea cu SNMP si SNMPv2C, precum si cunostiinte despre retele si concepte de management arl retelelor.

2.3 Protocolul DHCP (Dynamic Host Configuration Protocol Version 1.00 )

Dynamic Host Configuration Protocol (DHCP) este un protocol standardizat care permite sa se asigneze dinamic clientilor diferiti parametrii, precum adresa IP, gateway-ul predefinit si alte informatii ctitice de retea. Serverele DHCP controleaza central aceste date de configurare, si sunt configurate de catre administratorii de retea cu setari ce sunt potrivite cu mediul respectiv de retea. Serverele DHCP comunica pe rand cu clientii prin folosirea mesajelor DHCP.

DHCP are multe documente asociate care standardizeaza protocolul precum si mesaele folosite de serverele si clientii DHCP pentru a comunica intre ele. Aceste documente de standardizare pot fi gasite pe pagina de web a Internet Engineering Task Force (IETF) localizata la www.ietf.org. Mai jos se gasesc cateva documente Request For Comments (RFCs) relevante asociate cu DHCP, care include definitiile mesajelor DHCP:

Dynamic Host Configuration Protocol (RFC 2131)

Interoperation Between DHCP and BOOTP (RFC 1534)

Clarifications and Extensions for the Bootstrap Protocol (RFC 1542)

DHCP Options and BOOTP Vendor Extensions (RFC 2132)

Procedure for Defining New DHCP Options (RFC 2489)

DHCP Options for Service Location Protocol (RFC 2610)

De remarcat este faptul ca exista si alte RFCs asociate cu DHCP. Deasemenea elementele de standardizare si specificatiile DHCP sunt in continua schimbare.

API-ul DHCP, din Windows numit si Optiuni DHCP Client, permite clientilor Windows 2000/98 sa acceseze informatii de pe servere DHCP. DHCP API este conceput pentru a fi folosit de programatorii C/C++ famailiarizati cu suita de protocoale IP, cu DHCP si retele Windows.

2.4 Managementul retelelor in Windows

Microsoft® Windows NT®, Windows® 2000, Windows® 95 si Windows® 98 suporta o varietate de API-uri de retea. Functiile de managementul retelelor permite controlul conturilor utilizatorilor si resurselor din retea.

Aceste functii permit folosirea resurselor comune, asa cum fac Windows Explorer sau comenzile Net. Se pot administra si counturie clientilor, asa cum procedeaza User Manager.

2.4.1 Serviciul Remote Acces

Remote Acces Service (RAS) este inclus in Microsoft® Windows NT® 4.0. RAS este folosit pentru a crea aplicatii client care:

– afiseaza oricare din casetele de dialog comune de rout-are si RAS

incep si termina o conexiune la distanta;

manipuleaza adrese de retea si numere de telefon;

preiau informatii despre starea conexiunii RAS sau a dispozitivelor compatibile RAS.

RAS face posibila conectarea unui client la distanta la un server de retea, dintr-o retea mare (WAN-Wide Area Network) sau o retea virtuala privata (VPN- Virtual Private Network). Calculatorul client poate participa la activitatile retelei ca si cum ar fi conectat direct la LAN(Local Area Network-Retea locala). API-urile RAS permit programatorilor sa acceseze datele RAS. API-urile sunt aplicabile oricarui mediu care utilizeaza RAS.

API-urile RAS sunt concepute pentru a fi folosite de catre progrmatorii C/C++ sau Visual Basic. Programatorii ar trebui sa fie familiarizati cu conceptele de retea.

2.4.2 Rout-area si Remote Acces Service

API-urile RRAS (Routing and Remote Accees Service) fac posibila crearea aplicatiilor care administreaza rout-area si capabilitatile de conectare la distanta din Microsoft Windows 2000 Server. Dezvoltatorii pot folosi RRAS pentru a implementa protocoale de rout-are.

RRAS face posibila rularea unui sistem Windows 2000 Server ca un router de retea. RRAS ofera si generatia urmatoare de capabilitati server ale Remote Acces Service (RAS), pentru Windows.

Tracing

API-urile da depistare ofera un mecanism uniform de generare a diagnosticului. Tracing (depistare) este folosit de componentele RRAS si este aplicat pe calculatoarele care folosesc Microsoft Windows 2000 si RRAS.

2.4.3 Protocolul DNS (Domain Name System Version 1.00)

Domain Name System (DNS), acum un protocol standard la nivel de industrie, localizeaza computerul intr-o retea bazata pe IP. Retelele IP, precum Internetul si retelele Microsoft Windows, se bazeaza pe un numar de adresare pentru a muta informatii prin retea. Totusi, utlilizatorii retin mai usor numele de domenii, mai prietenoase, astfel incat este necesara traducerea numelor de domenii in adrese pe care reteaua le poate recunoaste (de exemplu, www.microsoft.com–>207.46.131.137).

2.4.4 Serviciul Internet Protocol Helper

API-urile (seturi de functii) Internet Protocol Helper (IP Helper) fac posibil pentru dezvoltatorii de software modificarea configuratiei de retea pentru un calculator local. API-urile IP Helper sunt aplicabile in orice mediu in care este folosit protocolul TCP/IP, si unde este nevoie de manipulare a configuratiilor acestui protocol. Aplicatii tipice ar include protocoale IP de rout-are si agenti Simple Network Management Protocol (SNMP).

2.5 Adrese, porturi si socketuri

2.5.1. Adrese, porturi

Pentru a comunica intre ele, calculatoarele trebuie sa fie conectate. Conexiunea acestora poate avea diferite forme. Calculatoarele dintr-o arie mica, de exemplu o sala de laborator, pot fi conectate intr-o retea locala (LAN-Local Area Network). Calculatoarele conectate pe distante mai mari, de exemplu orase, continente sau pe glob, sunt de obicei conectate de o retea mare (WAN- Wide Area Network). Cea mai cunoscuta retea mare este Internetul, reprezentand o conexiune de calculatoare (de fapt retea de retele) care au fost de acord sa comunice folosind anumite reguli, numite protocoale.

Pentru ca un calculator sa fie capabil sa selecteze o aplicatie care ruleaza pe un alt calculator dintr-o multime mare de calculatoare (sute de milioane in cazul Internetului) conectate la o retea trebuie sa existe o schema de adresare. Pe Internet, aceasta adresa este cunoscuta sub numele de adresa IP (Internet Protocol). Aceasta se scrie sub forma a 4 numere, fiecare intre 0 si 255, separate prin puncte (de ex 176.342.123.23) Aceste adrese se pot scrie si intr-un mod mai prietenos folosind numele de domenii.

O adresa nume de domeniu este un alt mod de a desemna un calculator specific. Numele de domeniu denota o masina specifica unui numar de niveluri, niveluri ce se precizeaza de la general la mai specific in ordine de la dreapta la stanga. De exemplu adresa thor.infoiasi.ro semnifica masina thor, facultatea de informatica, Iasi, Romania.

Pentru a schimba date, clientii si serverele au nevoie de mai mult decat adrese. De exemplu, multe servere pot rula simultan pe aceiasi masina, desi au aceeasi adresa IP. Intr-un calculator mecanismul folosit pentru stabilirea unei intalniri se numeste port. Un port este o locatie unde informatia poate fi schimbata intre client si server. Porturile sunt desemnate ca numere intregi, intre 0 si 66535. De obicei, valorile mai mici de 1024 sunt rezervate pentru servicii predefinite (e-mail- posta electronica, ftp-transfer de fisiere, http-transfer de Hyper text) si porturile definite de utilizatori au numere mai mari de 1024.

2.5.2 Socketuri

Combinatia dintre adresa IP si numarul de port este folosita pentru crearea unui termen abstract numit socket. Acesta se mai numeste in literatura de specialitate canal de comunicatie , sau simplu conexiune. Un client cauta serverul, creeaza o conexiune prin care informatia poate curge si se poate deconecta lasand liber socketul pentru o folosire ulterioara. Un socket furnizeaza facilitati pentru crearea de fluxuri de intrare si iesire, care permit datelor sa fie schimbate intre client si server.

Cand un program creeaza un socket , se trimite un numar de identificare numit numar de port asociat socketului. Numarul de port poate fi specificat prin program sau asignat de catre SO. Cand un socket trimite un pachet, pachetului i se vor adauga informatii specifice destinatiei pachetului : 1: adresa retelei care specifica sistemul care trebuie sa primeasca pachetul 2: un numar de port care “spune” sistemului primitor carui socket sa trimita datele.

De obicei, socketurile lucreaza in perechi, un socket actionand ca si client iar celalalt ca server. Un socket pentru server specifica numarul portului pentru reteaua de comunicatie si apoi “asculta” datele trimise prin socket-urile clientilor. Numerele de port pentru socketurile serverului sunt numere cunoscute pentru programele client. De exemple, un server ftp utilizeaza un socket care asculta la portul 21. Daca un program client doreste sa comunice cu un server ftp, acesta va sti sa contacteze un socket care asculta la portul 21.

SO-ul specifica normal numerele de port pentru socketu-rile client pentrue ca alegerea unui numar de port nu este de obicei importanta. Cand un socket client trimite un pachet catre un socket server, pachetul contine si un numar de port al socket-ului client si adresa retelei client. Serverul este atunci capabil sa foloseasca informatia pentru a raspunde clientului.

Cand se folosesc socket-uri, trebuie se decidem care tip de protocol dorim sa utilizam pentru transportul datelor in retea:

protocol orientat pe conexiune;

protocol neorientat pe conexiune (fara conexiune);

In cazul protocolului orientat pe conexiune, un socket client stabileste o conexiune cu un socket server cand acesta este creat. Odata stabilita conexiunea, un protocol orientat pe conexiune asigura ca datele s-au trimis sigur, adica:

fiecare pachet trimis este si primit. De fiecare data cand un socket trimite un pachet, acesta asteapta o confirmare ca pachetul s-a primit cu succes. Daca socket-ul nu primeste confirmarea intr-un timp precizat, socket-ul trimite din nou pachetul. Socket-ul continua sa trimita pachete pana cand transimisia este cu succes sau cand decide ca transmisia este imposibila;

pachetele sunt citite de socket-ul destinatie in aceiasi ordine in care au fost trimise.datorita modului in care functioneaza retelele, pachetele pot ajunge intr-o ordine diferita, fata de cea in care au fost trimise. Protocolul orientat pe conexiune va permite socket-ului destinatie sa reordoneze pachetele in aceeasi ordine in care au fost trimise.

Un protocol neorientat pe conexiune permite cea mai rapida trimitere a pachetelor. Acesta nu garanteaza ca pachetele care sunt trimise sunt citite in aceeasi ordine de programul de destinatie. Un protocol neorientat pe conexiune are aceste deficiente fata de protocoalele orientate pe conexiune care sunt performante. Cu toate acestea, iata doua situatii cand protocoalele neorientate pe conexiune sunt frecvent preferate celor orientate pe conexiune:

cand trebuie trimis doar un singur pachet si garantatrea trimiterii nu este cruciala, atunci un protocol neorientat pe conexiune elimina timpul pierdut pentru crearea si distrugerea unei conexiuni. De exemplu, protocolul orientat pe conexiune TCP poate expedia mai multe copii ale aceluias pachet pentru trimiterea acestuia , in timp ce protocolul neorientat pe conexiune UDP (User Datagram Protocol) foloseste doar unul. Un protocol pentru obtinerea timpului curent de obicei foloseste un protocol neorientat pe conexiune pentru a cere timpul curent de la server si sa returneze timpul clientului;

pentru aplicatii in timp real, garantarea unei transmisii sigure nu este un avantaj. Asteptarile unor date care intarzie pot implica pauze importante in aplicatia respectiva. Tehnicile de trimitere care utilizeaza un protocol neorientat pe conexiune au fost dezvoltate si functioneaza mai bine.

Diferenta dintre conexiunile TCP si UDP pot fi descrise prin urmatoarea analogie. TCP este un apel telefonic: numarul de telefon este format o data, apoi se stabiseste o conexiune care este valabila pana cand unul inchide telefonul. Pe de alta parte, UDP este echivalent cu a trimite scrisori. Fiecare scrisoare (mesaj) este pusa intr-un plic (pachet) separat si vor ajunge separat sau nu la destinatie. Pachetele UDP pot fi pierdute sau se pot depasi. Cu toate acestea, daca un pachet ajunge, suntem siguri ca aceste este intact! Ambele protocoale TCP si UDP opereaza asupra IP-ului, impartind mesajul intreg in pachete IP individuale. Totusi, UDP este mai apropiat de nivelul IP.

Fisierele care sunt rezidente pe un calculator specific sunt descrise folosind omniprezentul URL (universal recource location). Un URL consta din mai multe parti: protocolul care indica metoda comunicarii (de exemplu, ftp sau http), adresa de nume de domeniu, un nume de fisier din calculator si optional, numarul de port. Numarul de port este necesar numai atunci cand portul implicit pentru protocolul respectiv nu este utilizat din anumite motive.

Interfata socket reprezinta o facilitate generala, independenta de arhitectura hardware, de protocol si de tipul de transmisiune a datelor, pentru facilitarea comunicarii intre procese aflate pe masini diferite, conectate in retea, introdus pentru prima data in sistemul BSD 4.1c si mai apoi perfectionata odata cu versiunea BSD 4.2. Socket-urile sunt disponibile in toate versiunile UNIX actuale.

Interfata socket suporta diferite protocoale de comunicatie. Protocolul domeniului UNIX este folosit pentru comunicatii intre procese de pe aceeasi masina (ruland un sistem UNIX), iar protocolul domeniului Internet este utilizat pentru comunicatii intre procese de pe acelasi computer sau de pe computere diferite conectate la retea folosind TCP/IP. Desigur, sunt acceptate si alte protocoale de comunicatii.

2.6 Modelul Client/Server

In cadrul aplicatiilor in retea sintagma cel mai frecvent folosita este modelul client/server in care un server ofera mai multe servicii anumitor clienti ruland pe aceiasi masina sau la distanta (pe alte calculatoare conectate la retea).

Serverul poate satisface cererile provenite de la clienti in mod iterativ (la un moment dat serverul va deservi cereri provenite de la un singur client, secvential pentru toti clientii lui) sau concurent (mai multe cereri, provenite de la clienti multiplii, vor fi procesate simultan). Serverele concurente sunt folosite mai ales atunci cand raspunsul nu poate fi transmis inpoi imediat sau in cazul in care trebuie realizate comunicatii suplimentare cu clientuil. De obicei, serverele concurente folosesc protocoale de comunicatie orientate pe conexiune. Astfel, serverul concurent raspunde oricaror cereri client independent de toti ceilalti clienti.

Comunicarea dintre server si clientii sai se va realiza prin intermediul suitei de protocole TCP/IP, prin intermediul socket-urilor, utilizandu-se stream-uri de octeti (protocolul TCP) sau datagrame (protocolul UDP).

Modelul general al unui server TCP iterativ respecta ordinea urmatoarelor apeluri de sistem:

socket()—creeaza un socket care va trata conexiunile cu clientii

pregatirea structurilor de date pentru a atasa socketul la portul folosit de aplicatie;

bind()—ataseaza socket-ul la port;

listen()—pregateste socket-ul pentru ascultarea portului in vederea stabilirii conexiunii cu clientii;

accept()—asteapta realizarea unei conexiuni cu un anumit client (acest apel blocheaza programul pana la aparitia unei cereri de conectare din partea unui client);

procesarea cererolor clientului- schimb de mesaje intre server si client folosindu-se descriptorul de socket returnat de accept()

close()—inchiderea conexiunii cu clientul la terminarea dialogului cu acesta;

shutdown()—inhiderea directionala a conexiunii cu clientul;

2.7 Modelul client/server TCP

Conexiunea client/server odata stabilita, ramane valabila pana cand fie clientul, fie serverul o intrerupe in mod explicit sau nu. Socket-ul utilizat pentru aceasta conexiune se numeste socket orientat pe conexiune. Desigur, un socket poate fi folosit la un moment dat pentru mai multe conexiuni.

2.8 Controlul ActiveX WinSock

Controlul Winsock, invizibil pentru utilizator, permite accesul facil la retele TCP si UDP. Poate fi folosit de dezvoltatori Microsoft Acces, Visual Basic, Visual C++ sau Visual FoxPro. Pentru a scrie aplicatii client/server nu sunt necesare cunostiinte profunde despre TCP, sau apelarea de functii API de nivel jos. Prin setarea proprietatilor si prin invocarea de metode ale control-ului, se pot usor realiza conexiuni la o alta masina pentru schimb de informatii.

Pentru crearea unei aplicatii client, trebuie cunoscut numele calculatorului (proprietatea RemoteHost ) precum si portul pe care “asculta” serverul (proprietatea RemotePort). Apoi trebuie invocata metoda Connect.

Pentru crearea unei aplicatii server trebuie setat un port (proprietatea LocalPort) la care sa “asculte”, dupa care se invoca metoda Listen.

Dupa ce conexiunea a fost realizata, oricare computer poate trimite sau primi date. Pentru a trimite date, se invoca metoda SendData. Cand sosesc date, survine evenimentul DataArrival. Metoda GetData este invocata in evenimentul DataArrival.

Pentru inchiderea conexiunii se invoca metoda Close. Starea conexiunii este verificata prin proprietatea State.

SECURIZAREA RETELELOR

Securizarea este un element crucial in retelele deschise. Au fost dezvoltate diferite mecanisme de securitate pentru a lupta cu potentialele amenintari de securitate in mediile bazate pe IP. A preveni este mai usor decat a trata. A asigura o retea inseamna a identifica si opri atacurile de orice fel.

3.1 Securizarea arhitecturilor de retea IP

3.1.1 Introducere

Pana in urma cu 10 ani, retelele bazate pe Internet Protocol (IP) erau utilizate in si intre mediile de cercetare si academice. “Internetul” era in continuare un concept confidential, ceea ce insemna ca in ciuda faptului ca specificatiile erau disponibile in mod deschis, doar cativa oameni de pe glob cunosteau tenologia. Cresterea exploziva a Internetului si a folosirii acestuia in medii de afaceri a schimbat in mod fundamental aceasta situatie. Cu toate ca problemele de securitate erau prezente si inainte, folosirea in masa a tehnologiilor IP a facut publicul larg sa fie mai atent la acestea. Azi, importanta acordata securitatii este cu atat mai importanta cu cat o parte din ce in ce mai mare a vietii economice si a infrastructurilor de comunicatie de baza (telefonie/multimedia, securitatea publica, furnizorii de energie electrica) utilizeaza retelele bazate pe IP.

In decursul ultimilor ani, comunicarea Internet a dezvoltat numeroase solutii pentru duverse amenintari privind securitatea. IN mod general, aceste solutii rezolvau diferite tipuri de probleme si, ca urmare, puteau fi adesea combinate pentru a incerca sa se asigure o solutie sigura completa. In acest material imi voi focaliza atentia pe solutii care pot fi folosite in mod tipic pentru securizarea retelelor din generatia viitoare (Next Generation Networks-NGN). Exista si alte tehnologii pentru securizarea traficului care se transporta pe retele bazate pe IP si pentru permisia la retele IP.Exemplu in acest sens sunt Secure Socket Layer-SSL, Transport Layer Security-TLS si SOCKS- un mecanism bazat pe socluri folosit pentru autentificarea traversarii firewall-urilor.

3.1.2. Securizarea traficului IP

Cand se ia in considerare securitatea traficului pe retele IP exista cateva solutii care pot fi luate in discutie. Cele doua solutii domonante sunt SSL (acum TLS) si Internet Protocol Security (IPsec). Cata vreme SSL/TLS se aplica peste Transmission Control Protocol (TCP) si protejeaza doar traficul desfasurat pe TCP, IPsec este folosit la nivel IP, putand fi utilizat pentru securizarea oricarui tip de trafic desfasurat pe IP. Ca urmaare, IPsec este un mod mai generic decat SSL/TLS.

3.1.2.1 Serviciile de securitate

Caracteristicile de securitate asigurate de extensiile de securitate IP sunt dupa cum urmeaza:

Verificarea integritatii datelor: pachetele IP pot fi protejate impotriva modificarilor accidentale sau malitioase, cel putin in cazul acelor campuri pentru care valorile sunt neschimbate sau pot fi prezise la receptie.

Autentificarea datelor: pachetele IP pot fi autentificate; acest serviciu este asigurat in combinatie cu verificarea integritatii datelor.

Confidentialitatea datelor; datele [ User Datagram Protocol-UDP, TCP, IP-in-IP, Internet Control Message Protocol-ICMP ] transportate in pachetele IP pot fi criptate.

Confidentialitatea fluxului traficului; acesta poate fi partial obtinut ( inseamna ca fluxul de trafic nu este in totalitate ascuns fata de terte parti) prin folosirea tehnicii de tunelare IP in combinatie cu IPsec .

Prevenirea reluarii: fiecarui pachet IP ii este asignat un numar de secventa unic, care poate fi utilizat de receptor pentru protejarea impotriva atacurilor de reluare a transmisiei (de exemplu, un atacator trimite pachete IP mai vechi).

3.1.2.2. Metode

Securizarea pachetelor IP (indiferent daca prin autentificare, criptare sau prin ambele) poate fi realizata in doua moduri: modul transport si modul tunel

In modul transport se aplica functii de securitate (in principiu autentificare si criptare) in cadrul pachetului IP care urmeaza a fi trimis. Aceasta metoda nu protejeaza complet antetul IP; nu fiecare camp al antetului este protejat de functia de autentificare sau de cea de criptare.

Modul transport este aplicabila doar sistemelor gazda, inclusiv routerelor daca acestea joaca

rolul de sisteme gazda finale (end-systems), ca in cazul in care sunt destinate administrarii

Simple Network Management Protocol-SNMP. Un router intermediar nu poate utiliza modul

de transport IP sec al unui pachet IP din cauza problemelor care sunt date de fragmentare si

reasamblare.

In modul tunel un pachet nou IP este creat folosind o metoda de tunelere IP in IP. Functiile de securitate, care sunt aplicate pachetului IP exterior, protejeaza intregul pachet IP original (antetul si datele) din moment ce ultimul alcatuieste datele din pachetul IP exterior. IN mod evident, acesta este este cel mai potrivit mod de creare a Retelelor Virtuale Private (Virtual Private Networks) securizate si ofera o protectie sporita impotriva analizei fluxului de trafic.

3.1.3 Extensia de securitate IP

Din punctul de vedere al protocolului IP, securitatea este obtinuta de doua noi tipuri de date IP, care pot fi utilizate atat cu IPv4 cat si cu IPv6 . Antetul de autentificare (Authentication Header-AH) este un nou subcamp al antetului, care poate fi plasat in interiorul datagramelor IPv4 si IPv6 pentru a verifica autenticitatea si integritatea unei datagrame IP. Acesta poate fi folosit si pentru a detecta retransmisiile. AH este identificat de valoarea 51. Autentificarea este calculata pentru intreaga aplicatie (TCP, UDP, ICMP) si subcampurile antetului IP pentru care valorile sunt neschimbate (de exemplu adresa IP a sursei) sau previzibile ( adresa IP a destinatiei cu rutarea data de sursa) la destinatie. Subcampurile antetului IP pentru care valorile nu pot fi prezise la sosirea acestora la destinatie (de exemplu timp de viata, tipul serviciului si campurile de flag-uri) sunt setate pe zero ca urmare a procesului de autentificare si, ca urmare, nu sunt protejate impotriva atacurilor care tintesc modificarea acestora. In figura 1. voi prezenta continutul antetului de autentificare si voi arata cum este acesta plasat in interiorul datagramei IPv4 in modurile de transport si tunel.

Encapsulating Security Payload- ESP este un nou antet care poate fi utilizat pentru a se asigura nu doar confidentialitate, ci si autentificarea si integritatea datelor. DE asemenea, ofera si detectarea reluarilor transmisiei. ESP poate fi plasat in datagramele IPv4 si IPv6; este identificat de valoarea 50. Procesul de criptare se aplica tuturor datelor din aplicatie si subcampurilor antetului care nu sunt necesare in vederea procesarii intermediare de catre rutere (asemenea campuri nu exista in IPv4; ele reprezinta optiuni ale destinatiei in cazul IPv6).

Daca este ales procesul de autentificare, se aplica asupra ESP. Acesta este diferit fata de autentificarea asigurata de AH, neacoperind subcampurile antetului IP necriptat, ca de exemplu adresa IP a sursei. In cazul ESP, se poate folosi doar una, sau ambele metode: criptarea si autentificarea; cel putin una dintre ele trebuie folosita. Daca se foloseste atat criptarea cat si autentificarea, ultima asigura protectie impotriva acestei modificari in parametrii mecanismului de criptare. Daca se foloseste doar autentificarea, aceasta autentifica si protejeaja impotriva modificarii datelor aplicatiei si subcampul antetului destinatiei incorporat in ESP. Daca se foloseste doar criptarea, se cripteaza datele aplicatiei si subcampul antetului destinatiei incorporat in ESP. Figura 2 ilustreza continutul ESP si o posibila pozitionare a acestuia in datagrama IP v4, in modurile transport si tunel.

In mod clar, AH si ASP pot fi aplicate aceleasi datagrame IP, in mod tipic prin aplicarea in primul pas a ESP-ului, iar apoi a AH-ului asupra datagramei IP. Figura 3 prezinta un scenariu tipic in care este utilizat un tunel IP sec pentru a se asigura comunicatie VPN securizata intre doua locatii.

3.1.4.Asocieri de securitate. Una din problemele majore in folosirea criptografiei pentru securizarea datagramelor IP este stabilirea intelegerilor intre parteneri. Inainte ca doua implementari IPsec (sisteme gazda, rutere intermediare sau firewall-uri) sa poata schimba datagrame IPsec, trebuie sa se inteleaga asupra serviciului de securitate care va fi aplicat in fiecare directie, cat si ce fel de algoritmi (si parametrii asociati) urmeaza a fi folositi. De asemenea trebuie sa se stabileasca cheile care vor fi folosite daca se utilizeaza algoritmi bazati pe secrete partajate- in mod uzual algoritmi de criptare simetrica si algoritmi si Cod de Autentificare al Mesajului (Message Authentication Code-MAC). Toate aspectele asupra carora se cade de acord intre doi “parteneri” IPsec formeaza o Asociere a Securitatii (Security Association- SA) intre cei doi. Avand in vedere ca nivelul protectiei aplicat traficului intr-o directie intre cei doi parteneri IPsec nu trebuie sa fie in mod necesar acelasi in cealalta directie de comunicare, se poate afirma ca SA este unidirectional. De exemplu ESP se poate aplica pentru traficul da la A la B, in timp ce AH poate fi aplicat da la B la A. O SA se poate stabili intre doua implementari IPsec, folosind un protocol de administrare SA, care in mod uzual este de doua tipuri: manual si automat.

Administrarea SA manuala foloseste unul sau mai multi administratori pentru a configura SA pe fiecare echipament IPsec in parte. Se poate folosi in medii IPsec relativ mici si usor controlabile (de ex unde echipamentele IPsec este redus) si unde SA-urile nu necesita sa fie schimbate prea frecvent.

Protocoalele de administrare SA automate permit echipamentelor IPsec sa negocieze in cadrul SA folosind un anumit protocol. In cadrul Internet Engineering Task Force (IETF) s-a adoptat protocolul Internet Key Exchange (IKE) pentru scopul administrarii SA a echipamentelor IPsec. Un alt protocol de administrare la care se lucreaza in momentul de fata este cel bazat pe Kerberos . Folosirea unor asemenea protocoale permite SA-urilor sa fie stabile sau modificate in mod regulat fara interventia administratorului si permit tenologiei IPsec sa poata fi utilizata in mediu deschis. Cu toate acestea, administratorul trebuie in continuare sa poata configura echipamentul IPsec prin intermediul unei interfete oarecare de administrare pentru a se specifica care tipuri de SA (in speta, politici de securitate) trebuie negociate si urmate impreuna cu alti parteneri IPsec.

Un SA reprezinta toti parametrii necesari asupra carora s-a cazut de acord in urma negocierilor intre doua echipamente IPsec, inainte ca vreunul dintre ele sa poata trimite trafic IPsec catre celalalt (sa se retina ca un SA este unidirectional).

Un SA este identificat de un triplet:

Adresa IP a destinatiei (tinta pentru traficul IPsec nu este in mod obligatoriu destinatia finala a traficului IPsec, cand se foloseste tunelerea IPsec);

Protocolul IPsec (AH sau ESP);

Indexul parametrului d securitate (Security Parameter Index-SPI) care este o valoare intrega si este fixata cand se stabileste SA. Acest index este folosit pentru a se face distinctie intre SA-uri care folosesc acelasi protocol IPsec si sfarsitul aceleasi destinatii (IPsec).

Pentru ca un echipament IPsec sa poate suporta SA-uri cu diferiti parteneri IPsec si chiar diferiti SA cu acelasi partener IPsec, trebuie sa intretina o baza de date Security Association Database (SAD). Fiecare intrare in SAD contine descrierea unui SA care a fost stabilit cu un partener. Pentru ca SA este unidirectional este necesar sa existe doua asemenea tabele- unul pentru traficul care este transmis, iar celalalt pentru cel receptionat. In cazul traficului transmis, tabelul ii asigura motorului IPsec toate informatiile (algoritm de criptare, parametrii) de care acesta are nevoie pentru a securiza IP transmis, in concordanta cu un anumit SA. In cazul traficului receptionat ii asigura motorului IPsec toate informatiile necesare pentru decriptare si/sau autentificarea pachetului IP receptionat, in concordanta cu un SA dat. Daca gazda sau ruterul are diferite interfete Ip, activate IPsec, va exista o pereche de tabele pentru fiecare interfata in parte. Figura 4 si figura 5 ilustreaza procesarea pachetelor receptionate si emise, ca si interactiunea dintre SAD si Security Policy Database (SPD).

3.1.5.Politica de securitate: In timp ce un SA reprezinta un set de AH sau parametrii ESP intre doua echipamente IPsec, pentru ultimul este necesar sa se determine care SA (sau secventa de SA) sa fie aplicata unei datagrame IP pe care o proceseaza. Decizia in ceea ce priveste folosirea unuia sau a mai multor SA se ia in functie de politica de securitate. Administratorul configureaza politicile de securitate, astfel incat echipamentul IPsec trebuie sa le aplice datagramelor IP pe care le proceseaza. Ecest lucru poate fi privit ca un SPD, care reprezinta o lista ordonata. Fiecare intrare in lista, specifica cum va fi procesata o datagrama IP cu caracteristici particulare (de exemplu care SA sau secventa de SA-uri va fi aplicata). Cand un echipament IPsec trebuie sa trimita o datagrama IP (fie ca si gazda originala a mesajului, fie ca un intermediar) chestioneaza SPD-ul pentru a gasi prima intrare care se potriveste cu caracteristicile acestei datagrame IP. Intrarea gasita indica care SA trebuie aplicata datagramei IP. Daca exista deja un SA potrivit este folosit acesta. Daca nu exista un SA potrivit, este stabilit unul cu echipamentul IPsec tinta (care nu este in mod necesar destinatia finala a datagramei IP).

Din cauza ca nu este definit un protocol standard pentru descoperirea automata a partenerilor IPsec, o interfata de administrare trebuie sa defineasca lista cu potentialii parteneri IPsec.

3.1.6.Administrarea asocierii securitatii. Protocolul IKE a fost adoptat de IETF pentru a permite ca doua entitati sa se inteleaga asupra SA-urilor, precum si pentru a se autentifica reciproc. IKE se bazeaza pe Internet Security Association and Key Management Protocol (ISAKMP) pentru formatele mesajului si al datelor, respectiv pe Oakley pentru informatia schimbata si secventa operatiilor. Poate fi folosit pentru a seta SA-uri in cazul protocoalelor de securitate, altele decat IPsec (ca de ex TLS), acesta fiind singurul scop definit pentru a fi folosit pentru UDP 9pe portul 500).

Avand in vedere ca IKE este folosit pentru a stabili SA-uri, este importanta securizarea acestuia, din moment ce aceasta abordare ar crea o problema gen “gaina si oul”. Pentru a atinge un anumit nivel de securitate, setarea SA-urilor cu IKE este realizata in doua faze. In primul rand, trebuie stabilit un SA intre doua entitati IKE. Odata ce a fost stabilit SA, IKE, cele doua entitati IKE pot stabili SA-urile specifice, ca de exemplu pentru utilizarea AH si/sau ESP. Acestea se numesc negocieri SA de faza a 2-a.

3.2.Kerberos:

3.2.1.Serviciile de securitate: Cand se lucreaza cu retele deschise (nu neaparat sigure in totalitate), un aspect important este autentificarea entitatilor (denumite “principals” in Kerberos), care creaza interactiunile. De exemplu, cand se receptioneaza o cerere pentru imprimarea unui fisier, exista posibilitatea ca severul de imprimare sa autentifice dispozitivul care a facut cererea (de fapt, utilizatorul care lucreaza pe calculatorul client). Se pot utiliza diferite tehnologii pentru asigurarea autentificarii entitatii, inclusiv cele bazate pe folosirea certificatelor cu semnaturi digitale. Kerberos asigura aceasta autentificare a entitatii prin folosirea unui server central de incredere care partajeaza o cheie secreta (diferita) cu fiecare entitate in parte. Autentificarea este bazata pe utilizarea secretelor partajate si nu pe chei/certificate publice. Un serviciu aditional Kerberos este schimbarea informatiei de autentificare intre ambele entitati (in mod uzual client si server), operatia ducand la stabilirea unui secret partajat intre cele doua entitati. Un asemenea secret partajat ar putea fi folosit ca si material de securizare in contextul mecanismului de protectie al traficului, ca IPsec, intre ambele entitati. Chiar Kerberos defineste formatele mesajelor care pot fi utilizate pentru criptarea sau protejarea integritatii traficului de date intre cele doua entitati. Materialul de securizare folosit este derivat din cheia secreta partajata, stabilita in timpul fazei de autentificare.

Kerberos asigura autentificarea entitatii intr-un mediu centralizat ( autentificarea dintre ambele parti provine din increderea acestora fata de serverul central) si asigura o intelegere a partilor in ceea ce priveste cheia secreta partajata. Optional, Kerberos poate proteja confidentialitatea sau integritatea traficului de date, insa aceasta nu reprezinta principalul lui rol de utilizare.

3.2.2.Functionalitate generala:

La un nivel de baza, protocolul Kerberos aduce patru entitati: clientul (utilizatorul), serverul cu care doreste sa comunice, serverul de autentificare (Authentication Server-AS) si serverul de acordare a biletului (Ticket Granting Server-TGS). Ultimele doua , care se gasesc de regula pe acelasi sistem gazda, formeaza Key Distribution Center-KDC. Intregul sistem se bazeaza pe folosirea biletelor, care sunt eliberate de KDC si permit clientilor autentificarea cand se conecteaza la servere.

AS contine o baza de date cu toti participantii (“prinipals” clienti si servere) pentru care este responsabil in interiorul domeniului( denumit “realm”). Pentru fiecare participant AS stocheaza informatii ca de exemplu si cheia secreta. Ca urmare AS partajeaja o cheie secreta diferita cu fiecare “principal” localizat in “realm”.

Autentificarea intre client si server are loc in trei pasi:

Clientul receptioneaza un Ticket Granting Ticket-TGT de la AS

Clientul obtine un bilet de la TGS pentru utilizarea cu serverul

Clientul se autentifica cu serverul folosind biletul obtinut de la TGS.

Motivul folosirii TGS este acela ca previne folosirea cheii secrete a clientului de fiecare data cand este un bilet solicitat pantru un server. Clientul foloseste cheia secreta a sesiunii (SA-tgs) generata de AS pentru autentificare cand se conecteaza cu TGS, de la care vor fi obtinute bilete server. Acest lucru il voi reprezenta in figura 6. Mecanismul Kerberos si schimbul de pachete al acestuia pot fi apoi integrate in protocoalele de aplicatie ca si un mecanism de autentificare ( care asigura in mod aditional material de securizare secret).

CONCLUZIE: Au fost dezvoltate multe tehnologii pentru a securiza retelele IP. Nu fiecare dintre acestea asigura acelasi serviciu, deci este nevoie de o combinatie de mai multe tehnologii pentru a asigura un nivel maxim de securitate. Desigur ca tehnologile utilizate vor depinde de tipul de amenintari receptionat si de cerintele de securitate care trebuie asigurate. In acest caz, IPsec si tehnologiile firewall reprezinta probabil mimimul in ceea ce priveste protejarea schimburilor de date, respectiv a accesului la retea. Ce nu trebuie uitat este ca sunt multe alte aspecte legate de securitate vor trebui sa fie studiate.

Nonce=valoare aleatoare

3.3.Protocolul SSL

Protocolul SSL (Secure Sockets Layer) este realizat de Netscape si la ora actuala este acceptat universal pe www pentru realizarea autentificarii si comunicatiei criptate intre clienti si servere, mai noul TLS (Transport Layer Security) bazandu-se pe SSL.

Protocolul TCP/IP (Transmission Control Protocol/ internet Protocol) este cel ce guverneaza transportul si rutarea datelor pe Internet.

Celelalte protocoale, cum ar fi HTTP (Hyper Text Transport Protocol), LDAP (Lightweight Directory Access Protocol),ruleaza “deasupra” TCP/IP, in sensul ca toate folosesc acest protocol pentru a suporta diferite aplicatii cum ar fi afisarea paginilor web sau accesarea serverelor de posta electronica.

Protocolul SSL ruleaza deasupra TCP/IP, dar sub protocoalele de nivel inalt (HTTP, IMAP). Foloseste TCP/IP in actionarea asupra protocoalelor de nivel inalt, da voie unui server controlat SSL sa se autentifice unui client SSL, realizeaza autentificarea clientului catre server si ofera ambelor statii posibilitatea de a stabili o conexiune codificata.

Autentificarea serverului catre client ofera clientului confirmarea identitatii serverului. Software-ul SSL client poate folosi tehnici standard ale codificarii/decodificarii ( cum ar fi public key criptography) pentru a verifica daca identitatea serverului si certificatul acestuia sunt valide si au fost aprobate de catre o terta entitate, existenta in lista clientului si acceptata de acesta ca “autoritate”. Aceasta confirmare este importanta pentru utilizator, de exemplu in cazul in care acesta transmite numarul cartii de credit prin Internet, catre un server si, evident, vrea ca informatia sa ramana confidentiala, adica atat drumul de la PC-ul propriu la server este sigur, cat si serverul care primeste informatia este cel caruia doreste sa i se adreseze.

Autentificarea clientului de catre server creaza acestuia posibilitatea de a afla identitatea clientului. Utilizand aceleasi tehnici descrise anterior, serverul poate verifica daca identitatea si certificatul clientului sunt valide si aprobate de o terta parte acceptata. Acest lucru e important pentru server, de exemplu daca acesta apartine unei banci care detine informatii confidentiale in legatura cu clientul.

3.3.1.Structura:

Pentru realizarea unei conexiuni codificate intre server si client trebuie ca toate informatiile aflate in transfer sa fie criptate de programele apartinand partii care transmite informatia si decriptate de programele partii care primeste informatia, acest lucru asigurand un grad de incredere ridicat cu privire la securitatea informatiilor. Mai mult, toate datele trimise printr-o conexiune codificata SSL sunt protejate cu ajutorul unui mecanism de controlare a interferentelor, ce detecteaza daca s-au facut modificari asupra acestora in timpul transferului.

SSL contine doua subprotocoale, primul fiind un protocol de inregistrare SSL (SSl record protocol) iar al doilea un protocol de interchimbare de mesaje (SSL handshake protocol). Primul defineste formatul criptat folosit in transmisia datelor, iar celalalt implica folosirea celui dintai in schimbul de mesaje dintre client si server la inceputul unei conexiuni SSL. Acest schimb de mesaje se face in scopul autentificarii serverului catre client si eventual a clientului catre server, ofera celor doua parti posibilitatea de a selecta algoritmii de codificare sau cifrurile pe care acestea le suporta, aplica tehnici de criptare (public key encription) pentru a realiza accesibilitatea datelor doar pentru cele doua parti, si in final stabileste o conexiune codificata SSL.

Protocolul SSL suporta folosirea unei varietati de algoritmi de criptare, sau cifruri, in procesele de autentificare client catre server si servar catre client, in transmisiile de certificate si chei de sesiune intre cele doua entitati. Clientii si serverele pot suporta cifruri diferite, functie de factori cum ar fi versiunea SSL sub care ruleaza, politica organizatiei referitoare la puterea algoritmului de cifrare si restrictiile guvernamentale privind exportul de software SSL.

3.3.2 Cifruri:

Cele mai folosite cifruri au o structura bazata pe algoritmi cunoscuti, cum ar fi DES (Data Encryption Standard), DSA ( Digital Signature Algorithm). KEA (Key Exchange Algorithm), MD5 (algoritm Message Digest), RSA (algoritm crea t de Riverst, Shamir si Adleman), RC2 si RC4 (algoritm Rivest Cipher), SHA-1 (Secure Hash Algoritm), SKIPJACK (implementat in hardware-ul FORTEZZA folosit de guvernul SUA) sau triplu DES (DES aplicat de trei ori).

Algoritmii cu interschimbare de chei (cum ar fi RSA si KEA) controleaza felul in care clientul si serverul isi aleg cheile simetrice pe care la vor utiliza in timpul unei sesiuni SSL. Majoritatea cifrurilor folosesc interschimbarea de chei tip RSA.

Versiunile SSL 2.0 si SSL 3.0 contin seturi de cifruri din care administratorii le pot selecta pe acelea care doresc sa fie suportate de aparatura lor. Cand un server si un client oarecare schimba informatii in timpul protocolului SSL handshare, protocolul identifica cel mai puternic cifru activat si comun celor doua masini si il utilizeaza pentru realizarea conexiunii.

Deciziile cu privire la alegerea cifrurilor pe care o anume organizatie le foloseste depind de felul datelor transportate, viteza cifrului si de legislatia ce le permite sau nu activarea codului.

Unele organizatii ar putea dori sa dezactiveze cifrurile de putere mica pentru a preveni conexiunile SSL cu criptare slaba, dar datorita politicii guvernului SUA care restrictioneaza folosirea in interiorul tarii a protocoalelor cu criptare mai puternica de 40 biti, actiunea de a dezactiva codurile slabe ar opri accesul catre alte parti ale lumii, daca serverul accesat nu are un certificat de autentificare global dat de acest guvern.

3.3.3.“Strangerea de mana”:

Protocolul SSL foloseste o combinatie formata din cheile publice si cele simetrice in vederea criptarii. Criptarea cu chei simetrice este mult mai rapida decat cea cu chei publice, dar cea cu chei publice poseda tehnici de autentificare mai performante. “Handshake-ul” autentifica serverul fata de client, apoi ofera serverului si clientului posibilitatea cooperarii in vederea formarii cheilor simetrice pentru criptare, decriptare si detectia interferentelor. Optional se poate face si autentificarea clientului fata de server.

La inceput, clientul trimite serverului informatii privind versiunea SSL folosita, setarile cifrului, un pachet de date generate aleator si alte informatii necesare in vederea comunicarii prin SSL. Serverul, la randul lui, trimite versiunea SSL folosita de el, setari ale cifrului, pachete de date generate aleator si alte date necesare comunicatiei prin SSL, apoi livreaza cartificatul propriu de autentificare, iar daca autentificatorul are nevoie de o resursa ce necesita autentificarea, serverul cere certificatul clientului. Clientul foloseste o parte a informatiilor trimise de server pentru a realiza autentificarea acestuia. Daca operatiunea esueaza, utilizatorul primeste un mesaj de avertizare si este informat ca legatura nu se poate face. Daca autentificarea are succes, procesul de realizare a conexiunii SSL continua.

Folosind toate datele transmise pana acum, clientul (restrictionat de raspunsul primit de la server privind cifrul utilizat) creeaza asa-numitul “premaster secret”, de fapt o portiune de text pe care o cripteaza cu cheia publica a serverului (transmisa de acesta prin intermediul certificatului de autentificare) si trimite rezultatul. Daca serverul a cerut autentificarea clientului, acesta “semneaza” o alta portiune de date, unica si cunoscuta de ambele entitati, pe care o trimite odata cu “premaster secret-ul” criptat.

O data ajunse aceste informatii la server, daca a fost ceruta autentificarea clientului aceasta se verifica, iar daca trece testul, serverul foloseste cheia sa privata pentru a decodifica datele primite de la client, apoi parcurge o serie de pasi pentru a crea asa numitul “master secret”.

Amandoi (clientul si serverul) folosesc acest “master secret” pentru a genera cheile folosite in timpul sesiunii, o pereche de chei simetrice pentru criptarea si decriptarea datelor trimise prin SSL si pentru verificarea integritatii lor. Clientul trimite catre server un mesaj prin care il informeaza ca urmatoarele date vor fi trimise codificat. Apoi trimite un mesaj separat ce indica faptul ca partea de client a “handshake-ului” a fost parcursa si terminata. Acest lucru il face si serverul catre client. Din acest moment, primul subprotocol este terminat, si avem de a face cu o sesiune SSL.

3.3.4. Autentificarea serverului:

Software-ul SSL pentru client necesita intotdeauna autentificarea serverului sau validarea criptografica a identitatii acestuia catre client. Serverul trimite certificatul de autentificare, iar clientul il verifica. Pentru ca serverul sa treaca testul, un client SSL trebuie sa primeasca raspuns pozitiv la cele patru intrebari existente in figura 1. Cu toate ca a patra intrebare nu este de fapt componenta a protocolului SSL, este responsabilitatea clientului verificarea acestei conditii pentru a se asigura intr-o oarecare masura de identitatea serverului si sa se protejeze de unele atacuri impotriva securitatii sistemului.

Prima data se verifica daca data curenta se afla in interiorul intervalului de validitate existent pe certificatul de autentificare al serverului. Daca aceasta conditie nu este satisfacuta, procesul va fi oprit. Fiecare client pastreaza o lista de certificate acceptate, prezentata in partea dreapta a figurii. In cazul in care certificatul de autentificare al serverului verificat se afla pe lista, procesul poate continua, daca nu este pe lista , procesul va fi oprit, cu exceptia cazului in care clientul poate efectua o verificare suplimentara. Apoi se constata daca acea cheie publica trimisa de sever verifica semnatura digitala a acestuia. Daca informatia din certificatul serverului s-a schimbat de cand a fost semnat certificatul de autentificare sau daca acea cheie publica existenta pe certificat nu corespunde cu cheia privata folosita de autoritatea de certificare pentru a semna documentul, clientul nu va putea autentifica identitatea serverului. Daca semnatura digitala a serverului poate fi validata, serverul trateaza certificatul clientului ca pe o “ scrisoare de introducere” valida din partea autoritatii de certificare. Daca s-a ajuns in acest punct, clientul a acceptat validitatea certificatului primit de la server, si este responsabilitatea lui de a parcurge urmatoarea etapa, in care se verifica daca locatia serverului este intr-adevar la aceeasi adresa de retea specificata de numele de domeniu din certificatul serverului. Clientii trebuie sa parcurga acest pas si sunt obligati sa refuze stabilirea unei conexiuni in cazul in care adresele nu corespund, pentru a se apara de atacurile cunoscute sub numele de “persoana din mijloc” (man in the middle).

3.3.5. Atacurile “man in the middle”:

“Man in the middle” este un program folosit in scopul de a intercepta comunicatia dintre client si server prin SSL. El intercepteaza cheile de legitimare ce trec in ambele sensuri in procesul SSL handshake, le substituie cu ale lui si se da drept server clientului si drept client serverului. De fapt, informatia codificata interschimbata la inceputul sesiunii SSL este criptata cu cheile publica sau privata ale programului pirat, in loc de cele ale serverului sau clientului. Acest program finalizeaza operatiunea prin a stabili un set de chei pe care le foloseste in comunicatia cu clientul si un alt set de chei, diferit de primul, pentru lucrul cu serverul. Acest program nu numai ca poate citi toate informatiile schimbate de cele doua entitati, dar le poate si modifica fara a fi detectat, astfel ca verificarea locatiei serverului reprezinta un pas esential in stabilirea unei conexiuni SSL.

3.3.6 Autentificarea clientului:

Serverele ce comunica prin SSL pot fi configurate astfel incat sa ceara autentificarea clientului, sau validarea criptografica a identitatii acestuia. Cand un server configurat in acest fel cere identitatea clientului, acesta din urma trimite catre server pe langa certificat o portiune de date generate aleator si semnate digital reprezentand autentificarea identitatii lui. Serverul foloseste datele cu semnatura digitala in vederea validarii cheii publice din certificatul primit de la client.

Pentru a autentifica legatura dintre cheia publica folosita de client si persoana identificata de catre certificatul ce contine cheia, un server SSL trebuie sa primeasca raspuns pozitiv la primele patru intrebari ce apar in figura 2. Cu toate ca a cincea intrebare nu face parte din protocolul SSL, serverele pot fi configurate pentru a verifica aceasta conditie in vederea folosirii informatiilor de catre administratori, acestia putand nega o anumita conexiune, chiar daca acel client a trecut toate testele pana atunci.

Ca prima etapa, serverul verifica daca semnatura digitala a clientului poate fi validata cu ajutorul cheii publice aflate in certificat. Daca testul este trecut, serverul stabileste ca acea cheie publica atasata clientului se potriveste cu cea privata folosita in crearea semnaturii si datele nu au fost modificate de cand aceasta a fost scrisa. Chiar daca acesta etapa este parcursa cu succes, nu se poate insa face legatura dintre cheia publica si numele de domeniu specificat in certificat, acest act putand fi creat de catre altcineva care vrea sa para a fi clientul. Pentru a valida concordanta dintre cheia publica si numele de domeniu, trebuie parcursi pasii urmatori.

La fel ca la server, se verifica perioada de validare a certificatului clientului. Fiecare server pastreaza stocate intr-o lista toate numerele de domeniu valide si la primirea unei cereri din partea unui client ce nu apartine listei nu va accepta conexiunea decat in cazul in care certificatul de autentificare va verifica anumite conditii suplimentare. Administratorii serverului pot controla accesul diferitilor clienti prin modificarea listelor de certificate inmagazinate de server.

Apoi are loc procesul de verificare a cheii publice primite de la client, operatiune ce se desfasoara ca si in cazul cheii trimise de server. Serverele ce executa urmatorul pas poseda o baza de date interna in care sunt pastrate certificatele de autentificare ale clientilor. Serverul poate revoca un certificat primit de la client ( chiar daca acesta a trecut toate testele pana in acel moment) in cazul in care nu este identic cu cel aflat in baza de date. Aceasta etapa este optionala, dar este spre binele securitatii serverului efectuarea ei, crescand gradul de incredere cu privire la informatiile ce descriu clientul. In final, serverul verifica pe lista de control a accesului utilizatorului ce resurse este acesta autorizat sa acceseze, si stabileste o conexiune in acest sens.

Cu toate ca necesita destul de multi pasi pentru realizarea unei conexiuni, si ca nu este in totalitate sigur, protocolul de comunicatie SSL este probabil una din cele mai bune optiuni existente la ora actuala, si popularitatea lui va creste odata cu schimbarea politicii de export a cifrurilor de codificare.

SUPRAVEGHERE SOFTWARE

4.1 Supravegherea software a angajatilor

“Traim intr-o lume cubica, spatii de birouri inchise[…] este dificil pentru manageri sa-si monitorizeze angajatii. Noi oferim acestora un instrument de monitorizare a angajatilor fara a-si parasi birourile” Roy Young- Adavi Inc. – producatorul software-ului de supraveghere Silent Watch.

“Multi manageri realizeaza probabil ca trebuie sa existe limite ale acestei supravegheri. Finalul nu corespunde intotdeauna intentiilor.”

Un numar crescand de angajatori folosesc software pentru a determina in secret care dintre angajatii lor ar putea sa piarda timpul companiei folosind calculatoarele pentru a vizita pagini web necorespunzatoare sau pentru a trimita e-mail-uri neautorizate.

Statisticile care au luat in considerare supravegherea continua si sistematica arata ca:

Xerox Corporation a concediat 40 de angajati pentru motivul folosirii neadecvate a Internetului la locul de munca ;

The New York Times a concediat 23 de angajati pentru motivul ca au trimis e–mail-uri posibil jignitoare de pe calculatoarele companiei.

Scott Lebowitz, presedintele unui magazin cu comenzi on-line, a descoperit ca doi angajati au petrecut intre 50-70% din timpul de lucru pe Internet;

Un recent sondaj realizat de American Management Association a relevat ca 54% din companii monotorizeaza conexiunea Internet a angajatilor iar 38% revizualizeaza e-mail-ul angajatilor;

Din cele 2100 care au raspuns sondajului 17% au concediat angajati din aceste motive, 20% au mustrat financiar si 20% au adresat mustrari scrise.

Cand firma de consultanta Dataquest a intrebat 200 de firme din SUA daca conexiunea Internet ar trebui supravegheata 82% au raspuns afirmativ.

Supravegherea la locul de munca a crescut de la 34% in 1999 la 66% in 2001;

Majoritatea angajatilor nu sunt ingrijorati de supravegherea conexiunii la Internet. Foarte putini se comporta necorespunzator navigand pe Web. Numai 5% aleg sa isi puna cariera in pericol vizitand situri dubioase.

14 000 000 de angajati din SUA ( mai mult de 1/3 din forta de munca on-line) au Internetul sau e-mail-ul sub supraveghere continua la locul de munca. Pe glob acest numar este estimat la 27 000 000.

Cel mai folosit program de supraveghere a Internetului este Websense iar pentru e-mail: MIMEsweeper.( 60% din vanzari sunt in America de Nord).

Pe plan global vanzarile de software de supraveghere sunt estimate la

140 000 000 dolari pe an sau la 5.25 dolari pe persoana monitorizata.

Armata SUA a cumparat 200 000 de licente Websense cu costuri de 1.8 milioane de dolari, 9 dolari/ angajat.

4.1.1 Orice apasare de tasta este inregistrata

Software-ul de supraveghere permite angajatorilor sa monitorizeze sute de calculatoare de la un singur ecran in timp real, in timp ce fiecare apasare de tasta, clik de mouse sau comanda sunt inregistrate, chiar si in cazul in care datele sunt sterse.

Aceste programe de supraveghere au fost concepute initial pentru monitorizarea actiunilor copiilor, ca apoi sa se extinda si in celelalte domenii.Companii mari si agentii guvernamentale isi monitorizeaza astazi personalul: Century Fox, Glaxo Wellcome, Nike, Duracell, Barclays, Marriott, Texaco, American Express, Premera Blue Cross and Zenith Electronics.

Acest software actioneaza ca un video recorder: inregistreaza tot ce utilizatorul face pe un PC si apoi ruleaza la cerere. Chiar si parolele pot fi decodate cu aceste programe.

Un mod de supraveghere este capturarea imaginii de pe ecran: la fiecare 30 de secunde se realizeaza o captura care este trimisa la un server sau la o adresa de e-mail, pentru vizualizare ulterioara.

O modalitate de control a activitatii angajatilor este filtrarea de pe server a paginilor care pot fi incarcate (accesul interzis la paginile pornografice si de comert electronic).

Supravegherea se poate face si fara software specializat: prin inspectarea fisierelor stocate pe masina angajatului, copii pastrate de pragramele de backup sau e-mail, jurnale pastrate de proxy server.Software specializat este necesat in monitorizarea in timp real: blocarea accesului la situri, filtrarea e-mail-ului dupa ce a parasit calculatorul angajatului dar inainte de a ajunge in Internet, observatia peer-to-peer.

Supravegherea este obligatorie in unitatile in care activitatea este strict secreta.

4.1.2 Intimitatea in era digitala

Cei ce abuzeaza de Internet au iluzia intimitatii. Deoarece nu este nimeni care sa le pazeasca spatele, angajatii tind sa uite sau sa ignore faptul ca tot ce este conectat la un server central poate fi stocat si vizualizat.

Folosirea crescanda a uneltelor sofisticate de supraveghere ridica multe probleme de intimitate. Profesorul in drept Jeffrey Rosen a scris o carte intitulata “ Nedorita realitate: Distrugerea intimitatii in America”.In mod traditional justitia SUA a tinut partea angajatorilor in astfel de conflicte. “Judecatorii au spus ca atata timp cat angajatorii ii atentioneaza pe angajati ca sunt supravegheati nu ar trebui sa existe niciun conflict. Angajatorii spun ca problema tine de proprietate. “ Daca detin calculatorul si am cheltuit mii sau chiar milioane de dolari pentru a construi reteaua si birourile, as vrea sa ma asigur ca echipamentul pe care il ofer angajatilor este folosit in mod corespunzator.”- Young.

Ei considera ca atata timp cat angajatii folosesc timpul de lucru in scopuri personale, acestia fura din fondul de salarii.

Rosen atentioneaza asupra potentialului efect al supravegherii calculatoarelor: “Nu este benefic pentru o societate libera sau un loc de munca intradevar productiv, sa se munceasca tot timpul sub ochiul care nu clipeste al camerei de luat vederi deoarece aceasta steseaza angajatii.”

Conform unui sondaj realizat printre profesionistii din managenentul resurselor umane, de Society for Human Resource Managenent (SHRM), 75% dintre acestia considera ca angajatorii au dreptul sa citeasca posta electronica in cadrul companiei. Asta inseamna ca atata timp cat esti la munca trebuie sa fii atent la ce scri in e-mail; nu este in ordine sa trimiti mesaje romantice sau sa petreci ore navigand pe situri de divertisment.

Zece la suta din angajatori au primit reclamatii din partea angajatilor privitoare la folosirea neadecvata de catre colegii lor, dupa SHRM. Acestea includeau descarcarea si vizualizarea siturilor pornografice si sexuale. 20% s-au plans ca au prmit prin e-mail glume, imagini, desene animate, insulte, amenintari, toate necorespunzatoare pentru un loc de munca. O consecinta a acestor, aparent, nevinovate glume a fost aceea cand un grup de femei au fost ofensate de un e-mail care detalia “25 de motive pentru care o bere este mai buna decat o femeie”. S-au platit despagubiri de 2.2 milioane de dolari.

Unele companii nu sunt deranjate de folosirea in scopuri personale a calculatorului inafara programului. La 60% din companii angajatii pot folosi Internetul in scopuri personale, dupa SHRM.

Considerand ca durata medie de folosire a Internetului in scopuri personale este de 3 ore pe saptamana, o reglementare este indreptatita, cu toate ca ea nu va castiga un concurs de popularitate.

In ciuda nevoi de organizare, majoritatea companiilor nu au definitivat regulile de folosire a Internetului la locul de munca. Majoritatea companiilor le cer angajatilor o conformare cu un set de reguli formale. Totusi pentru un numar crescand de afaceri aceasta nu este de ajuns. Managerii ( 34%) considera ca o abordare a acestui subiect este neaparat necesara.

4.1.3 Beneficiile angajatorului

mareste productivitatea si performanta;

imbunatateste relatiile cu consumatorii;

depisteaza timpul pierdut;

depisteaza greselile din procesul muncii;

determina folosirea software-ului licentiat;

protejeaza secretele companiei;

protejeaza imaginea companiei;

securitatea datelor si accesul la date;

recupereaza date pierdute;

supervizeaza supervizorii;

regularizeaza activitatile non-companie;

descurazeaza pierderea timpului in spatiul cibernetic;

descurazeaza cautarea unui nou loc de munca;

previne instalarea unui mediu ostil sau violent;

investigheaza furturile;

4.1.4 Tipuri de software

Client: instalat pe calculatorul angajatului; inregistreza tastele si folosirea programelor locale.

Server: instalat intr-o locatie centrala; monitorizeaza e-mail-lul si Internetul si monitorizeaza mai multi utilizatori simultan.

Hibrid; instaleaza agent client care comunica cu componenta centrala de pe server.

4.1.5 Tinte monitorizate

On-line : e-mail, navigare pe Internet, chat si mesagerie.

Altele, on-line sau nu: fisiere accesate, programe rulate, taste apasate.

4.1.6 Tipuri de monitorizare

Pe loc (la un moment dat): inspectarea calculatorului numai atunci cand angajatorul il suspecteaza pe angajat;

Sistematica: continua a tuturor calculatoarelor si / sau a Internetului;

Intamplatoare: este aplicata tuturor angajatilor la intervale nedefinite;

2.1.7 Comportarea software-ului

Scopul: verifica vizitele la toate siturile sau numai la exceptiile cuprinse in politica de folosire a retelei;

Legare la retea sau filtrare/blocare: software-ul de login inregistreaza activitatea on-line si produce un raport pentru angajator. Software-ul de filtrare/ blocare interzice accesul la situri necorespunzatoare si previne trimiterea sau primirea e-mail-ului functie de cuvinte cheie sau adrese setate de angajator.

Nivel de supraveghere: inspecteaza fie intregul continut al sitului/ e-mail-ului sau numai informatiile antet sau inregistreaza toate apasarile de taste.

Focalizare : rapoartele contin numai numarul de vizite la un anume site si alte rapoarte pot contine si timpul petrecut pe situl respectiv si/sau paginile vizitate de la acel site.

4.2 Software pentru supravegherea retelelor

( traducere si adaptare dupa NetworkWorld)

Un vas care este supravegheat nu da niciodata in foc, dar o retea care nu este tinuta sub observatie poate da nastere foarte usor la neplaceri. O metoda fireasca de a tine lucrurile sub control este de a invata elementele componente ale retelei sa aiba grija de ele insele.
NetworkWorld a testat software care substituie activitatea de monitorizare a retelei facuta in mod normal de un administrator de retea. Premisa este simpla: monitorizeaza dispozitive de retea, cum ar fi serverele sau routerele si alerteaza persoana potrivita in momentul in care ceva merge prost. Majoritatea retelelor de astazi sunt construite cu echipamente furnizate de mai multi producatori, insemnand ca trebuie sa suporte TCP/IP, NetWare si Windows NT la un loc. Toate aceste produse lucreaza pe retele TCP/IP, dar, din pacate, numai AlertPage al fimei Geneva Software si Global Watcher, al firmei Carravel Network Corp. lucreaza cu mai multe protocoale. Daca programul WhatsUp Gold de la Ipswitch Inc. ar fi avut suport NetWare, ar fi fost alegerea noastra numarul unu datorita ariei largi de caracteristici si al pretului bun. Astfel, AlertPage este alegerea numarul unu datorita suportului integrat pentru suportarea mai multor retele. WhatsUp Gold este o alegere buna doar pentru retelele IP. Network Audit Technology al firmei Kaspia Systems este un program complex care utilizeaza SNMP ca avantaj. Global Watcher, desi suporta mai multe device-uri si are mai multe optiuni de notificare decat alte programe, se loveste de problema lipsei unui client de Web si de cea a unei documentatii incomplete.

4.2.1 AlertPage (Geneva Software)

Daca o retea include servere NetWare sau Windows NT si alte device-uri TCP/IP, AlertPage poate fi folosit. Se poate monitoriza fiecare server din retea fara adaugarea de module NetWare suplimentare sau de servicii si script-uri Windows NT. Ceea ce trebuie facut este sa se adauge un utilizator cu numele "alertpage" in lista de utilizatori Novell Directory Service in fiecare loc unde se doreste o monitorizare. Astfel programul poate sa citeasca fisierul de erori al serverului NetWare.
Odata instalat, doar software-ul AlertPage este recunoscut de software-ul de monitorizare – nici un alt device din retea nu este vizualizat. Primul icon din coltul stanga sus al ecranului deschide pagina Group Information cu posibilitatea de a accesa sectiunile Device Groups, Discover IP Addresses, Discover Managewise Devices si Discover Server. Va trebui sa se treaca prin toate aceste sectiuni pentru a introduce configurarea software-ului. Tot in aceasta pagina exista o sectiune Global Device Configuration, prin intermediul careia se pot configura detalii ale sistemului, cum ar fi culori pentru afisarea alarmelor si modul de tiparire al rapoartelor cu privire la un anumit server.
AlertPage cauta un device intr-un segment definit al retelei prin interogarea fiecarei adrese secventiale. Pentru routerul Pipeline 50 ISDN furnizat de Ascend Communications Inc. In locul adresei de IP a fost afisata adresa p50.gaskin.com; in loc de adresa de IPX a fost afisata adresa GATEWAY2K; in loc de adresa NT NETBEUI a fost afisata adresa GW2K-NT, facand identificarea device-ului simpla.
Interfata produsului ascunde multiple caracteristici in tot felul de locuri. Indicatorul circular tip radar devine albastru in momentul in care o activitate de polling si rosu cand aceasta activitate s-a terminat. "Apasand" pe orice icoana de stare sau utilizand butonul din dreapta mouse-ului in orice portiune a sectiunii Last Alarm Masage, se poate deschide o istorie a alarmelor pentru un anumit device. Activitatile de polling pot fi configurate pentru a verifica un anumit device la intervale ce variaza de la 10 secunde la o ora.
Asa cum se poate observa din a doua parte a numelui AlertPage, se pot trimite o varietate de mesaje prin pagerele alfanumerice. Configurarea este foarte usoara, introducandu-se numarul de telefon al operatorului automat de pager si ID-ul pagerului. Device-urile pot fi grupate, astfel incat, spre exemplu un tehnician primeste toate mesajele de la un server NetWare iar altul le primeste pe cele referitoare la imprimante si la sistemele Windows NT.
Instalarea programului AlertPage este acceptabila. Manualul se refera la dischete, dar programul este distribuit pe un CD-ROM. Exista doua probleme potentiale in momentul in care se instaleaza AlertPage pe un server NT, amandoua parand a fi cauzate de Microsoft Corporation. Manualul AlertPage include instructiuni pentru trecerea peste avertismentele open file warning care apar in timpul fiecarei instalari Windows NT. Daca sunt componente Shared Microsoft instalate pe acest NT, anumite comenzi de editare a registrilor trebuie sa fie introduse manual. Daca se ruleaza AlertPage pe un sistem Windows 95, dar dorim sa monitorizam host-uri Windows NT, trebuie sa instalam mai intai NT Server Tools for Windows 95 al firmei Microsoft.
AlertPage 4.0 este disponibil in versiunea beta. Aceasta versiune are caracteristici noi, incluzand capacitatea de a monitoriza aplicatii si performante ale site-urilor de Web ca si legaturi mai puternice cu sisteme existente de e-mail, cum ar fi GroupWise, Exchange si Protocol si servere de e-mail bazate pe SMTP.

4.2.2 WhatsUp Gold (Ipswitch)
WhatsUp Gold este furnizat pe o singura discheta de 3,5" si are o lista de caracteristici si o interfata cu utilizatorul care rivalizeaza cu celelalte pachete in discutie. Instalarea este simpla, constand in lansarea programului de instalare de pe discheta si transferarea automata a 20 de fisiere.
Detectarea retelei se face automat in momentul in care se lanseaza in executie programul. WhatsUp Gold este un sistem centrat pe IP si nu stie cum sa trateze serverele NetWare care nu ruleaza TCP/IP. In reteaua noastra a descoperit si denumit cele doua servere NetWare (pe baza NETBIOS-ului acestora) si apoi a raportat ca acestea nu raspund deoarece nici unul dintre ele nu a reactionat la protocolul Internet Control Message Protocol folosit la identificare. Programul nu poate fi folosit pentru servere NetWare in nici o configurare. WhatsUp Gold este mult mai agresiv in ceea ce priveste includerea sistemelor aflate in afara retelei locale decat celelalte pachete. Acest lucru face posibila accesarea unei retele WAN fara a folosi statii remote in fiecare segment al retelei.
Operatiile de polling pot fi programate la nivelul secundelor, valoarea default fiind 60. WhatsUp Gold utilizeaza cateva ferestre care pot fi aranjate, denumite si salvate de utilizator pentru a se crea "vederi" diferite. Fereastra asociata starilor din mijlocul acestei figuri poate fi micsorata si poate fi mutata in orice portiune a ecranului.
Asa cum rezulta din consultarea programului Task Manager din Windows NT, WhatsUp Gold utilizeaza cele mai putine resurse dintre toate pachetele testate. Se poate foarte usor rula acest program in background pe un sistem Windows 95, deoarece secventa de polling ocupa foarte putin procesorul sistemului.
Daca se doreste o harta a resurselor retelei, trebuie sa se deseneze manual, dar WhatsUp Gold va ajuta prin punerea la dispozitie a unui editor grafic de tip Paint. Utilizand optiunile din meniul pop-up, se pot trasa linii si se pot muta, sterge sau eticheta icoane. Arborele generat se reactualizeaza automat.
Trebuie sa se configureze fiecare device individual prin introducerea numelui, tipului de protocol utilizat pentru interogare, daca sunt utilizate alertari (incluzand fisiere WAV), introducerea unui fisier de log, specificarea serviciilor verificate in sistem (precum Domain Name System, File Transfer Protocol, HTTP etc.) si a observatiilor specifice fiecarui device. Ipswitch furnizeaza o metoda de interogare "inteligenta" de tipul verificare la fiecare n interogari, astfel incat unele device-uri pot fi interogate, de exemplu, la un minut, iar altele la 5 minute. Se poate, de asemenea, specifica momentul de timp la care se va efectua interogarea, lucru care este foarte util daca se doreste, spre exemplu, sa se monitorizeze print serverul pe durata orelor de lucru. Un device poate fi configurat sa depinda de un altul din cadrul arborelui, astfel incat un sistem poate fi interogat doar daca un altul este dezactivat sau activat.
Daca un router este dezactivat, o alertare in acest sens este deajuns; nu este nevoie sa fie alertat administratorul pentru fiecare device care este accesat prin intermediul acestui router.
Optiunile de notificare includ alarme audibile, pagere (cu text), beepere, mesaje vocale (prin intermediul unui modem voice) si mesaje e-mail SMTP sau in momentul in care are loc o alarma se poate lansa un anumit program. Textul mesajelor este bazat pe date caracteristice fiecarui device, astfel incat se pot construi mesaje de eroare foarte explicite, incluzand numele sistemului, ora, adresa, starea si chiar anumite observatii. In mesajele e-mail, se poate transmite intregul fisier de log pentru acel device.
Una dintre cele mai ingenioase caracteristici este includerea unui mic server de Web in program care afiseaza o lista cu sistemele monitorizate si starea acestora. Selectarea, prin intermediul mouse-ului, a unui anumit sistem din lista duce la deschiderea unei pagini cu detalii despre acel sistem si permite accesarea fisierului de log. Acest mini-server de Web duce la o incarcare apreciabila a sistemului deoarece permite accesarea acestor informatii de catre oricine prin intermediul unui client Web.
Unele posibilitati oferite de alte pachete, cum ar fi DNS lookup si desenarea hartii, lipsesc in WhatsUp Gold. Daca reteaua este IP, WhatsUp Gold este cel mai ieftin pachet de monitorizare, cu caracteristici care concureaza cu succes in fata oricarui competitor.

4.2.3 Network Audit Technology (Kaspia)

NAT, cunoscut inainte si sub numele Automated Network Monitoring, este un program mare, proiectat pe mai multe niveluri care monitorizeaza retele TCP/IP. O consola de monitorizare este interfata primara, fiind furnizate rapoarte accesibile printr-un client de Web in cadrul sectiunii Online Report Center.
Pentru a descoperi device-urile din cadrul retelei, NAT cere adresa IP al celui mai apropiat router si apoi acceseaza tabela routerului pentru a identifica device-urile. Fiecare nou router gasit in timpul operatiei de cautare este din nou interogat in acelasi fel pana cand sunt identificate toate device-urile. Device-urile cu suport SNMP sunt verificate prin SNMP si IP. Prima data se verifica integritatea device-ului si apoi se verifica conexiunea la retea. Odata ce device-urile sunt introduse in baza de date, se poate schimba numele acestora si descrierea lor prin intermediul consolei de monitorizare.
Masinile care nu au agenti software SNMP sunt verificate prin interogare. Harta sistemului (Enterprise Map) include device-urile identificate, dar se pot adauga device-uri critice. Toate device-urile din retea sunt incluse in Segment Map si apar in momentul in care se face dublu clic asupra icon-ului unei retele din cadrul hartii sistemului. Prin efectuarea aceleiasi actiuni asupra oricarui component din tabelul rezultat se va afisa o fereastra care va cuprinde date despre respectivul device. In acest moment se poate schimba numele, clasa (router, bridge, hub, server, switch, workstation etc.) si se poate defini felul in care sistemul afiseaza numele si detaliile retelei.
Se doresc rapoarte? NAT afiseaza chart-uri pie si bar, harti, tabele si liste de tranzactii pentru un anumit device sau pentru intregul segment de retea. Vizualizarea acestor rapoarte se poate face prin intermediul consolei de monitorizare sau prin intermediul interfetei de Web.
Instalarea produsului este simpla.Este nevoie de informatii referitoare la IP si SNMP in timpul instalarii, dar nu informatii NetWare sau Windows NT. Aceasta deoarece pachetul este pentru retele IP si pentru device-uri SNMP. NAT este intr-atat de centrat pe IP, incat cere sa indepartati toate celelalte protocoale din sistem.
Kaspia recomanda sa se dedice o statie de lucru pentru a rula acest program, permitandu-i sa monitorizeze starea retelei si verificand fiecare device din cadrul retelei. De asemenea, este necesara prezenta unui server de Web Microsoft care sa permita accesarea rapoartelor. De asemenea, va fi necesar un client de Web care sa fie Java-enabled.
Manualul de utilizare este excelent si include multe imagini color ale ecranelor, desi instalarea decurge atat de usor, incat nu este nevoie de folosirea acestui manual.
Acest program este unul serios si lucreaza bine in retele IP largi. Daca compania are console de management SNMP ce sunt mai vechi de un an, plusul adus de NAT poate schimba aceste console, de vreme ce ele suporta un nivel de management SNMP care era odata disponibil doar in retele Unix.

4.2.4 GlobalWatcher (Caravelle)

GlobalWatcher este un alt produs puternic multiprotocol care urmareste toate device-urile din retea. Exista o mai putina profunzime a informatiei decat la alte programe, dar se acopera mai multe device-uri si exista mai multe optiuni de notificare decat in orice alt pachet.
Descoperirea retelei dureaza mai mult, in parte deoarece se cauta utilizandu-se fiecare protocol si fiecare tip de server in parte. Descoperirea adreselor IP este mai inceata aici decat la alte produse. Pe de alta parte, se poate salva configuratia tuturor volumelor disc ale retelei NetWare si a cozilor de tiparire ca liste, de exemplu, si se poate reincarca o anumita lista ulterior. Se doreste verificarea imprimantelor? Se incarca lista ce cuprinde imprimantele. Sunteti ingrijorat despre discuri, routere sau servere? Definiti lista cu device-urile pe care vreti sa le verificati si reincarcati-o ori de cate ori doriti sa le testati.
Se poate testa toate device-urile sau doar cele care sunt selectate. Pare ca nu exista o cale sa se testeze mai mult decat un set de device-uri selectate la un anumit moment de timp, iar help-ul, care nu cuprinde foarte multe informatii, nu este de ajutor pentru a afla acest lucru.
Interogarile pot fi programate pentru orice perioada de timp, incepand de la o interogare continua si terminand cu o interogare la 24 de ore. Incarcarea pe care o aduce in sistem operatia de interogare este neglijabila.
Prin dublu clic asupra unui device se va deschide o fereastra care infatiseaza alte device-uri conectate cu acesta, cum ar fi servere dependente de un router. Alte sectiuni infatiseaza istoria de evenimente, rezultatele testelor si zone cu informatii personale.
GlobalWatcher poate notifica prin mesaje afisate pe ecran, mail SNMP si prin pagere sau modemuri. De asemenea, se pot lansa programe in momentul in care are loc o alertare si exista un calendar prin intermediul caruia se pot stabili pentru fiecare zi persoanele care urmeaza a fi alertate pentru un anumit device.
Instalarea programului este foarte usor de realizat, dar s-a descoperit o mica disfunctiona-litate in rularea programului. Atunci cand ruleaza pe un server Windows NT, GlobalWatcher nu a poate face o conexiune cu serverele NetWare. Functioneaza perfect in sistemul Windows 95, astfel incat se cred ca Microsoft a schimbat ceva in NT Service Pack 3 decat sa credem ca exista o greseala de programare.

4.2.5 E-Sweeper : cel mai folosit program de supraveghere a e-mailului

4.2.5.1 Cum functioneaza e-Sweeper

e-Sweeper livreaza politici de management si securitate a sistemului de e-mail prin SMTP. Agentul e-Sweeper proceseaza emailurile, iar configuratia este determinata folosind o baza de date “santinela” si interactia cu o interfata de management Web-based.

e-Sweeper permite optiuni de distributie, de care au nevoie prestatorii de servicii datorita naturii distribuite si a arhitecturii bazate pe web.

e-Sweeper demonstreaza o flexibilitate datorita separarii intre baza de date de configurare si procesul efectiv de procesare a e-mailului. Un volum mic de date este transferat intre Server si Agent(i), in timp ce configurarea si actualizarea este controlata de Server.

Pasul 1: Idendificarea politicii -recognitia regulilor de securitate asa cum au fost definite de administratorul domeniului.

Aplicarea operatiilor de securitate pe fiecare entitate asa cum au fost setate, folosind configuratii bazate pe pagini web

Aplicarea politicilor bidirectionale: atat mesaje primite cat si trimise

Utilizatorii interni pot trece peste anumite politici particulare; listele create pot contine indivizi sau grupuri care reflecta entitati organizationale (ex: finante, administratie etc.)

Pasul 2: Analiza continutului – Analiza si scanarea obiectelor din email

Managementul continutului mai degraba dupa arhitectura fisierului decat dupa extensie

Descompunerea recursiva a obiectelor componente pentru a identifica continutul original

Recunoasterea si managementul cheilor de format ale datelor, folosite in transferul emailului: formate de compresie, formate document, imagini, video, executabile, de criptare;

Rout-area si carantina formatelor nerecunoscute;

Scanarea emailului potrivit politicii;

Scanarea de catre antivirusii majori- suport pentru mai multi antivirusi;

Scanarea liniei de subiect, corpului de mesaj, si a atasamentelor pentru depistarea de cuvinte cheie sau fraze (ex: expresii ofensive, agresare rasiala sau sexuala);

Scanarea dupa tipul fisierului;

Scanarea dupa marimea atasamentelor;

Atasarea de text la e-mail (ex: materiale promotionale, (ne)asumare de raspundere);

Pasul 3: Clasificare/Stergere

Executarea actiunilor (ex: carantina, stergere, curatare);

Notificari (ex: alertarea administratorului si./sau a expeditorului si/sau a destinatarului)

4.2.5.2 Metodele de distribuire

Agentul e-Sweeper este fundamentat pe standardul industrial SMTP (Simple Mail Transport Protocol- Protocol de Transmitere a e-mailului). Flexibilitatea aplicatiei e-sweeper consta in faptul ca diferite parti componente pot fi localizate in diferite locuri pe orice retea data.

Fully Hosted

Serverul si agentul sunt plasate in acelasi centru logic de date.

Beneficii: Aceasta metoda ofera prestatorilor de servicii control desavarsit asupra mediului de operare si asupra serviciilor oferite utilizatorilor

Ideal pentru: Prestatori de servicii mari.

Manageriat in totalitate

Serverul si Agentul sunt gazduiti de un Distribuitor de Servicii Manageriate (Managed Service Distribuitor), care opereaza in sistem in numele clientilor mai degraba decat in cel al Prestatorilor de Servicii. Agentii pot fi dedicati clientilor Prestatorilor de Servicii iar natura legaturii dintre email si configuratia dintre MSP si client poate fi modificata.

4.2.6 Websense – cel mai utilizat program de supraveghere a Internetului

Websense se bazeaza pe tehnologia proprie de filtrare a datelor, cea mai clara, scalabila si sigura pentru filtrarea Internetului. Aceasta tehnologie necesita toate cererile din Internet pentru a trece printr-un punct de control, cum ar fi un firewall, proxy server sau device de stocare (caching). Websense este integrat in aceste puncte de control si verifica imediat daca cererea trebuie acceptata sau refuzata. Toate raspunsurile sunt retinute pentru o raportare ulterioara.

Websense filtreaza continutul Internet in conjunctie cu Websense Master Database, baza de date cu mai mult de 3,1 milioane de situri organizate in mai mult de 75 de categorii incluzand mp3, jocuri de noroc, cumparaturi, si continut pentru adulti.

4.2.6.1 Schema de functionare a Websense

4.2.6.2 Acomodarea lui Websense in diferite medii de retea