Retele de Calculatoare_didactica

Reţele de calculatoare

Cuprins I. Introducere ................................................................................................................... 2 II. Documente necesare pentru activitatea de predare .................................................... 4 III. Resurse ...................................................................................................................... 5

Tema 1. Descrierea topologiilor reţelelor de date ........................................................ 5 Fişa suport 1.1. Transmisia datelor în reţelele de calculatoare ................................ 5 Fişa suport 1.2. Tipuri de reţele ................................................................................ 9 Fişa suport 1.3. Topologii ....................................................................................... 14

Tema 2 Arhitectura reţelelor de calculatoare ............................................................. 18 Fisa suport Arhitectura Ethernet, Token-Ring, FDDI .............................................. 18

Tema 3 Standarde Ethernet ....................................................................................... 22 Fişa suport Standarde pentru reţele Ethernet ........................................................ 22

Tema 4 Modele de date ............................................................................................. 25 Fişa suport Modelul OSI şi TCP/IP ......................................................................... 25

Tema 5 Adresarea IP ................................................................................................. 31 Fisa suport 5.1Structura unei adrese IP ................................................................. 31 Fisa suport 5.2.Clase de adrese IP ........................................................................ 33 Fisa suport 5.3 Adresarea IP în subreţele .............................................................. 35

Tema 6 Serviciul de rezolvare a numelui ................................................................... 39 Fişa suport Descrierea serviciului DNS ................................................................. 39

Tema 7 Suita de protocoale TCP/IP .......................................................................... 42 Fişa suport Protocoale TCP/IP .............................................................................. 42

IV. Fişa rezumat ............................................................................................................ 46 V. Bibliografie ................................................................................................................ 47

I. Introducere O caracteristică esenţială a pregătirii elevilor în cadrul învăţământului profesional şi tehnic este necesitatea corelării competenţelor dobândite în cursul formării profesionale cu cerinţele impuse în practicarea ocupaţiilor compatibile cu calificarea profesională obţinută în urma certificării. Din acest motiv, restructurarea învăţământului a însemnat printre altele si alegerea ca punct de plecare în stabilirea competenţelor tocmai finalitatea actului educaţional, şi anume, cerinţele impuse de piaţa muncii.

Prin materialul prezentat, autorii au dorit să propună profesorilor, maiştrilor instructori şi tutorilor de instruire practică implicaţi în pregătirea de specialitate a elevilor care urmează specializarea Tehnician operator tehnică de calcul nivel 3,care face parte din domeniul Electronică şi automatizări, conţinuturi orientative în concordanţă cu competenţele, criteriile de performanţă şi condiţiile de aplicabilitate stabilite de standardele de pregătire profesională.

Materialul propus acoperă conţinuturile prevăzute pentru unitatea de competenţă 27 Reţele de calculatoare, şi este însoţit de unele sugestii metodologice referitoare la la metodologii, locaţii de desfăşurare a orelor de instruire şi metode de evaluare recomandate pe conţinuturi tematice.

El a fost elaborat pentru modulul Reţele de calculatoare, ce se desfăşoară în 31 ore, din care:

Laborator tehnologic 16 ore

Competenţe Teme Fişe suport 1 Analizează arhitectura şi standardele reţelelor de date

• Tema 1Descrierea topologiilor reţelelor de date

• Fişa 1.1 Transmisia datelor în reţelele de calculatoare

• Fişa 1.2 Tipuri de reţele • Fişa 1.3 Topologii

• Tema 2 Arhitectura reţelelor de calculatoare

• Fisa Arhitectura Ethernet, Token-Ring, FDDI

• Tema 3 Standarde Ethernet • Fişa Standarde pentru

reţele Ethernet • Tema 4 Modele de referinţă • Fişa Modelul OSI şi TCP/IP

2 Analizează protocolul TCP/IP

• Tema 5 Adresarea IP • Fisa 5.1Structura unei adrese IP

• Fisa 5.2.Clase de adrese IP

• Fişa 5.3 Adresarea IP în subreţele

• Tema 6 Serviciul de rezolvare a numelui

• Fişa Descrierea serviciului DNS

• Tema 7 Suita de protocoale TCP/IP

• Fişa Protocoale TCP/IP

Temele din prezentul material de predare nu acoperă toate conţinuturile prevăzute în curriculumul pentru modulul Reţele de calculatoare Pentru parcurgerea integrală a

modulului în vederea atingerii competenţelor vizate / rezultate ale învăţării profesorul va avea în vedere şi materialul de predare Reţele de calculatoare partea II.

Absolvenţii nivelului 3, liceu, calificarea Tehnician operator tehnica de calcul, vor fi capabili să îndeplinească sarcini cu caracter tehnic de interconectare, punere în funcţiune, configurare şi depanare a echipamentelor de reţea.

II. Documente necesare pentru activitatea de predare Pentru predarea conţinuturilor abordate în cadrul materialului de predare cadrul

didactic are obligaţia de a studia următoarele documente:

• Standardul de Pregătire Profesională pentru calificarea Tehnician operator tehnică de calcul, nivelul 3 – www.tvet.ro, secţiunea SPP sau www.edu.ro , secţiunea învăţământ preuniversitar

• Curriculum pentru calificarea Tehnician operator tehnică de calcul, nivelul 3 – www.tvet.ro, secţiunea Curriculum sau www.edu.ro , secţiunea învăţământ preuniversitar

http://www.tvet.ro/�

http://www.edu.ro/�



III. Resurse

Tema 1. Descrierea topologiilor reţelelor de date

Fişa suport 1.1. Transmisia datelor în reţelele de calculatoare

Acest material vizează competenţa / rezultat al învăţării : Analizează arhitectura şi standardele reţelelor de date.

O reţea de calculatoare este alcătuită dintr-un ansamblu de echipamente interconectate între ele prin intermediul unor echipamente de reţea, cu scopul transmisiei de date şi partajării resurselor.

Fig.1.1 Resurse în reţele de calculatoare

O reţea poate partaja diverse tipuri de resurse:

• Servicii – cum ar fi imprimarea sau scanarea

• Spaţii de stocare pe suporturi externe – cum ar fi hard-diskurile

• Aplicaţii – cum ar fi bazele de date

Echipamentele interconectate pot fi sisteme de calcul (desktop sau laptop) sau echipamente periferice (imprimante, scannere etc)

Conectivitatea este asigurată de echipamente de reţea (hub-uri, switch-uri, rutere, puncte de acces wireless)

Transmisia datelor se realizează prin medii de transmisie care pot fi:

• Conductoare de cupru – pentru transmisia datelor sub formă de semnale electrice

• Fibră optică – din fibre de sticlă sau materiale plastice – pentru a transporta datele sub formă de impulsuri luminoase

• Medii de transmisie a datelor fără fir – transmit datele sub formă de unde radio , microunde, raze infraroşii sau raze laser - în cadrul conexiunilor fără fir (wireless)

Sugestii metodologice Se poate folosi metoda Studiu de caz pentru a identifica echipamentele interconectate în reţeaua din cabinetul de informatică, mediile de transmisie utilizate

În timpul transmisiei de la un calculator sursă la un calculator destinaţie, datele suferă o serie de modificări:

Înainte de a fi transmise în reţea, datele sunt transformate în flux de caractere alfanumerice, apoi sunt împărţite în segmente, care sunt mai uşor de manevrat şi permit mai multor utilizatori să transmită simultan date în reţea.

Fiecărui segment i se ataşează apoi un antet (header), care conţine o serie de informaţii suplimentare cum ar fi: un semnal de atenţionare, care indică faptul că se transmite un pachet de date; adresa IP a calculatorului-sursă; adresa IP a calculatorului-destinaţie; informaţii de ceas pentru sincronizarea transmisiei) şi un postambul care este de obicei o componentă de verificare a erorilor(CRC). Segmentul, astfel modificat se numeşte pachet, pachet IP sau datagramă

Fiecărui pachet i se ataşează apoi un al doilea antet care conţine adresele MAC ale calculatorului-sursă, respectiv ale calculatorului-destinaţie. Pachetul se transformă astfel în cadru (frame)

START ADRESĂ TIP/LUNGIME DATE CRC STOP

Fig. 1.2. Structura generală a unui cadru

Cadrele circulă prin mediul de transmisie sub formă de şiruri de biţi. Există mai multe tipuri de cadre, în funcţie de standardele folosite la descrierea lor (cadru Ethernet, cadru FDDI, etc.)

Odată ajunse la calculatorul-destinaţie, şirurile de biţi suferă procesul invers de transformare. Li se detaşează antetele, segmentele sunt apoi reasamblate, li se verifică integritatea şi numărul, apoi sunt aduse la o formă care poate fi citită de utilizator.

Procesul de împachetare a datelor se numeşte încapsulare, iar procesul invers, de detaşare a informaţiilor suplimentare se numeşte decapsulare. Trebuie menţionat că în timpul încapsulării, datele propriu-zise rămân intacte.

Sunt definite două tehnologii de transmisie a datelor:

• transmisia prin difuzare (broadcast);

• transmisia punct-la-punct;

Transmisia prin difuzare utilizează de cele mai multe ori un singur canal de comunicaţie care este partajat de toate staţiile din reţea. Orice staţie poate trimite pachete, care sunt primite de toate celelalte staţii, operaţiunea numindu-se difuzare. Staţiile prelucrează numai pachetele care le sunt adresate şi le ignoră pe toate celelalte.În unele reţele cu difuzare este posibilă transmisia simultană de pachete către mai multe staţii conectate la reţea, operaţiune ce poartă numele de trimitere multiplă. Această tehnică se utilizează cu precădere în reţelele de mici dimensiuni, localizate în aceeaşi arie geografică

Transmisia punct-la-punct se bazează pe conexiuni pereche între staţii, cu scopul transmiterii de pachete. Pentru a parcurge traseul de la o sursă la destinaţie intr-o reţea de acest tip, un pachet va „calatori” prin una sau mai multe maşini intermediare. Pot exista mai multe trasee între o sursă şi o destinaţie motiv pentru care în aceste situaţii este necesara implementarea unor algoritmi specializaţi de dirijare. Tehnica punct-la-punct este caracteristică reţelelor mari.

Cantitatea de informaţie care poate fi transmisă în unitatea de timp este exprimată de o mărime numită lăţime de bandă (bandwidth), şi se măsoară în biţi pe secundă (bps). Adeseori în aprecierea lăţimii de bandă se folosesc multiplii cum ar fi:

Kbps – kilobiţi pe secundă

Mbps – megabiţi pe secundă

Sugestii metodologice Se poate folosi metoda Studiu de caz pentru a identifica lăţimea de bandă a conexiunii la Internet existente în laboratorul de informatică

O reţea suportă trei moduri de transmisie a datelor: simplex, half-duplex şi full-duplex

• Simplex- întâlnit şi sub numele de transmisie unidirecţională, constă în transmisia datelor într-un singur sens. Cel mai popular exemplu de transmisie simplex este transmisia semnalului de la un emiţător (staţia TV )către un receptor(televizor)

• Half-duplex – constă în transmiterea datelor în ambele direcţii alternativ. Datele circulă în acest caz pe rând într-o anumită direcţie. Un exemplu de transmisie half-duplex este transmisia datelor între staţiile radio de emisie-recepţie. Sistemele sunt formate din două sau mai multe staţii de emisie-recepţie dintre care una singură joacă rol de emiţător, în timp ce celelalte joacă rol de receptor

• Full-duplex – constă în transmisia datelor simultan în ambele sensuri. Lăţimea de bandă este măsurată numai într-o singură direcţie ( un cablu de reţea care funcţionează în full-duplex la o viteză de 100 Mbps are o lăţime de bandă de 100 Mbps). Un exemplu de transmisie full-duplex este conversaţia telefonică.

Sugestii metodologice Se poate folosi metoda Jocului de roluri pentru a identifica modurile de transmisie a datelor: un elev/o elevă va îndeplini rolul de receptor, altul de emiţător.

Sugestii metodologice

UNDE ? Se recomandă predarea conţinutului într-un cabinet dotat cu o reţea de calculatoare conectate la Internet CUM? Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.

Pentru evaluare se recomandă probe scrise sau orale.

Fişa suport 1.2. Tipuri de reţele


O clasificare a reţelelor după criteriul răspândirii pe arii geografice, al modului de administrare si al mediului de transmisie a datelor ar evidenţia, printre altele , următoarele trei tipuri de reţele , frecvent întâlnite în documentaţie:

• Reţele locale de calculatoare (LAN – Local Area Network)

• Reţele de întindere mare (WAN – Wide Area Network))

• Reţele fără fir(WLAN – Wireless Local Area Network)

Reţele locale de calculatoare

Fig. 1.3 Reţea locală de calculatoare

Reţeaua locală de calculatoare este o reţea de echipamente interconectate răspândite pe o suprafaţă de mici dimensiuni (încăpere, clădire, grup de clădiri

apropiate).

Conform unor surse, conceptul de LAN face referire la o reţea de calculatoare interconectate şi supuse aceloraşi politici de securitate şi control a accesului la date, chiar dacă acestea sunt amplasate în locaţii diferite(clădiri sau chiar zone geografice). În acest context, conceptul de local se referă mai degrabă la controlul local decât la apropierea fizică între echipamente. Transmisia datelor în reţelele LAN tradiţionale se face prin conductoare de cupru.

Reţelele de întindere mare

O reţea de întindere mare este alcătuită din mai multe reţele locale (LAN-uri) aflate în zone geografice diferite. Reţelele de întindere mare acoperă arii geografice extinse, o reţea WAN se poate întinde la nivel naţional sau

internaţional

În mod specific în aceste reţele calculatoarele se numesc gazde (host), termen care se extinde şi la reţelele LAN care fac parte din acestea. Gazdele sunt conectare printr-o subreţea de comunicaţie care are sarcina de a transporta mesajele de la o gazdă la alta. Subreţeaua este formată din două componente distincte: liniile de transmisie şi elementele de comutare. Elementele de comutare, numite generic noduri de comutare,

sunt echipamente specializate, folosite pentru a interconecta două sau mai multe linii de transmisie.

Unele reţele WAN aparţin unor organizaţii a căror activitate se desfăşoară pe o arie largă şi sunt private. Cel mai popular exemplu de reţea WAN este Internetul, care este format din milioane de LAN-uri interconectate cu sprijinul furnizorilor de servicii de comunicaţii (TSP-Telecommunications Service Providers).

Fig.1.4. Reţea de întindere mare

Reţele fără fir

Sunt reţele locale care transmisia datelor se face prin medii fara fir. Într-un WLAN, staţiile, care pot fi echipamente mobile – laptop – sau fixe – desktop - se conectează la echipamente specifice numite puncte de acces. Staţiile sunt

dotate cu plăci de reţea wireless. Punctele de acces, de regulă routere, transmit şi recepţionează semnale radio către şi dinspre dispozitivele wireless ale staţiilor conectate la reţea

Punctele de acces se conectează de obicei la reţeaua WAN folosind conductoare de cupru. Calculatoarele care fac parte din WLAN trebuie să se găsească în raza de acţiune a acestor puncte de acces, care variază de la valori de maxim 30 m în interior la valori mult mai mari în exterior, în funcţie de

tehnologia utilizată.

Primele transmisii de date experimentale în reţele reţele wireless au avut loc în anii 70 si au folosit ca agent de transmisie a datelor in reţea undele radio sau razele infraroşii. Între timp, tehnologia a evoluat şi s-a extins până la nivelul utilizatorilor casnici..

În prezent există mai multe moduri de a capta datele din eter: Wi-Fi, Bluetooth, GPRS, 3G ş.a. Acestora li se adaugă o nouă tehnologie care poate capta datele de şapte ori mai repede şi de o mie de ori mai departe decât populara tehnologie Wireless Fidelity (Wi-Fi), numită WiMAX. În timp ce reţelele Wi-Fi simple au o rază de acţiune de aproximativ 30 m, WiMax utilizează o tehnologie de microunde radio care măreşte distanţa la aproximativ 50 km. Astfel, se pot construi reţele metropolitane WiMAX.

Avantaje:

• Simplitate in instalare.

• Grad ridicat de mobilitate a echipamentelor – tehnologia s-a popularizat cu precădere pentru conectarea la reţea a echipamentelor mobile

http://ro.wikipedia.org/wiki/Wi-Fi�

http://ro.wikipedia.org/wiki/Bluetooth�

http://ro.wikipedia.org/w/index.php?title=GPRS&action=edit&redlink=1�

http://ro.wikipedia.org/wiki/3G�

http://ro.wikipedia.org/w/index.php?title=WiMAX&action=edit&redlink=1�

• Tehnologia poate fi utilizată în locaţii în care cablarea este dificil sau imposibil de realizat

• Costul mai ridicat al echipamentelor wireless este nesemnificativ raportat la costul efectiv şi costul manoperei în cazul reţelelor cablate

• Conectarea unui nou client la o reţea wireless nu implică folosirea unor echipamente suplimentare

Dezavantaje

• Securitate scăzută

• Raza de acţiune în cazul folosirii echipamentelor standart este de ordinul zecilor de metrii. Pentru extinderea ei sunt necesare echipamente suplimentare care cresc costul

• Semnalele transmise sunt supuse unor fenomene de interferenţe care nu pot fi controlate de administratorul de reţea şi care afectează stabilitatea şi fiabilitatea reţelei– motiv pentru care serverele sunt rareori conectate wireless

• Lăţimea de bandă mică (1-108 Mbit/s) în comparaţie cu cazul reţelelor cablate (până la câţiva Gbit/s)

Fig 1.5.Reţea LAN fără fir

Reţele peer-to-peer(P2P) vs reţele client-server

Într-o reţea de calculatoare comunicarea are loc între două entităţi: clientul care emite o cerere prin care solicită o anumită informaţie şi serverul care primeste cererea, o prelucreaza iar apoi trimite clientului informatia solicitată. Dacă ar fi să clasificăm reţelele după ierarhia pe care o au într-o reţea echipamentele conectate, ar trebui să facem referire la două tipuri de reţele:

• Reţele de tip peer-to-peer

• Reţele de tip client-server

Într-o reţea peer-to-peer, toate calculatoarele sunt considerate egale (peers), fiecare calculator îndeplineşte simultan şi rolul de client şi rolul de server, neexistînd un

administrator responsabil pentru întreaga reţea. Un exemplu de serviciu care poate fi oferit de acest tip de reţele este partajarea fişierelor. Acest tip de reţele sunt o alegere bună pentru mediile în care: există cel mult 10 utilizatori, utilizatorii se află într-o zonă restrânsă, securitatea nu este o problemă esenţială, organizaţia şi reţeaua nu au o creştere previzibilă în viitorul apropiat

Neajunsuri ale reţelelor peer-to-peer:

• Nu pot fi administrate centralizat

• Nu poate fi asigurată o securitate centralizată, ceea ce înseamnă că fiecare calculator trebuie să folosească măsuri proprii de securitate a datelor

• Datele nu pot fi stocate centralizat, trebuie menţinute backup-uri separate ale datelor, iar responsabilitatea cade în sarcina utilizatorilor individuali.

• Administrarea reţelelor peer-to-peer este cu atât mai complicată cu cât numărul calculatoarelor interconectate este mai mare

Fig.1.6.Reţea peer-to-peer

Reţele client-server, în care un calculator îndeplineşte rolul de server, în timp ce toate celelalte îndeplinesc rolul de client. De regulă, serverele sunt specializate (servere dedicate) în efectuarea diferitelor procesări pentru sistemele-client, cum ar fi:

• Servere de fişiere şi imprimare – oferă suport sigur pentru toate datele şi gestionează tipărirea la imprimantele partajate în reţea

• Servere web – găzduiesc pagini web

• Servere pentru aplicaţii – cum ar fi serverele pentru baze de date

• Servere de mail – gestionează mesaje electronice

• Servere pentru gestiunea securităţii – asigură securitatea unei reţele locale câns aceasta este conectată la o reţea de tipul Internetului – exemple: firewall, proxy-server

• Servere pentru comunicaţii – asigură schimbul de informaţii între reţea şi clienţii din afara acesteia

Reţelele client-server se folosesc cu precădere pentru comunicarea de date în reţea, marea majoritate a aplicaţiilor software dezvoltate au la bază acest model. Printre avantajele reţelelor de tip client-server se numără: administrarea centralizată,

administratorul de reţea fiind cel asigură back-up-urile de date, implementează măsurile de securitate şi controlează accesul utilizatorilor la resurse, funcţionarea cu sisteme-client de capabilităţi diverse, securitate ridicată a datelor, controlul accesului exclusiv la resurse a clientilor autorizaţi, intretinere usoară

Fig.1.7 Reţea client-server

Reţelele hibride – sunt o combinaţie a modelului client-server cu modelul peer-to-peer Staţiile (peers) depozitează resursele partajate iar serverul păstrează informaţii în legătură cu staţiile ( adresa lor, lista resurselor deţinute de acestea) şi răspunde la cererea de astfel de informaţii. Un exemplu de serviciu oferit de o astfel de reţea este descărcarea de fişiere de pe site-urile torrent.


UNDE ? Se recomandă predarea conţinutului într-un cabinet dotat cu o reţea de calculatoare conectate la Internet CUM? Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi. Se recomandă folosirea planşelor pentru descriera reţelelor LAN, WAN şi WLAN şi a simulărilor pe calculator pentru descrierea pentru descrierea reţelelor peer-to-peer şi a reţelelor client-server Ca metode, se recomandă conversaţia euristică, iar pentru reţeaua client-server se poate apela şi la metoda Studiu de caz referitor la reţeaua din sala de informatică.


Fişa suport 1.3. Topologii


Topologia este un termen care desemnează maniera de proiectare a unei reţele. Există două tipuri de topologii: topologia fizică şi topologia logică

Topologia logică descrie metoda folosită pentru transferul informaţiilor de la un calculator la altul.

Cele mai comune două tipuri de topologii logice sunt broadcast şi pasarea jetonului (token passing)

Într-o topologie broadcast, o staţie poate trimite pachete de date în reţea atunci când reţeaua este liberă (prin ea nu circulă alte pachete de date). În caz contrar, staţia care doreşte să transmită aşteaptă până reţeaua devine liberă. Dacă mai multe staţii încep să emită simultan pachete de date în reţea, apare fenomenul de coliziune. După apariţia coliziunii, fiecare staţie aşteaptă un timp( de durată aleatoare), după care începe din nou să trimită pachete de date. Numărul coliziunilor într-o reţea creşte substanţial odată cu numărul de staţii de lucru din reţeaua respectivă, şi conduce la încetinirea proceselor de transmisie a datelor în reţea, iar dacă traficul depăşeşte 60% din lăţimea de bandă, reţeaua este supraîncărcată şi poate intra în colaps.

Pasarea jetonului controlează accesul la reţea prin pasarea unui jeton digital secvenţial de la o staţie la alta. Când o staţie primeşte jetonul, poate trimite date în reţea. Dacă staţia nu are date de trimis, pasează mai departe jetonul următoarei staţii şi procesul se repetă.

Sugestii metodologice Se poate folosi metoda Joc de roluri pentru a identifica topologiile logice.

Topologia fizică defineşte modul în care calculatoarele, imprimantele şi celelalte echipamente se conectează la reţea .

Topologii fizice fundamentale sunt : magistrală, inel, stea, plasă (mesh), arbore

Topologia magistrală

Foloseşte un cablu de conexiune principal, la care sunt conectate toate calculatoarele. Cablul principal are la capete instalate capace (terminatoare) care previn fenomenul de reflexie a semnalelor, fenomen care poate genera

erori în transmisia datelor.

Topologia magistrală are avantajul consumului redus de cablu si al conectării facile a calculatoarelor. În schimb, identificarea defectelor de reţea este dificilă, dacă apar întreruperi în cablu, reţeaua nu mai funcţionează şi este nevoie de terminatori la ambele capete ale cablului

Fig.1.8. Topologia magistrală

Topologia inel

Într-o topologie inel (ring), fiecare dispozitiv este conectat la următorul, de la primul până la ultimul, ca într-un lanţ

Fig.1.9.Topologia inel

Topologia stea

Are un punct de conectare central, care este de obicei un echipament de reţea, precum un hub, switch sau router. Fiecare staţie din reţea se conectează la punctul central prin câte un segment de cablu, fapt care conferă acestei toplogii

avantajul că se depanează uşor. Dacă un segment de cablu se defectează, acest defect afectează numai calculatorul la care este conectat, celelalte staţii rămânând operaţionale.

Topologia stea are dezavantajul costului ridicat şi al consumului ridicat de cablu. În plus, dacă un hub se defectează, toate echipamentele din acel nod devin nefuncţionale. În schimb, calculatoarele se conectează uşor, reţeaua nu este afectată dacă sunt adăugate sau deconectate calculatoare şi detectarea defectelor este simplă

Fig.1.10. Topologia stea

Topologia plasă (mesh)

Într-o topologie mesh, fiecare echipament are conexiune directă cu toate celelalte. Dacă unul din cabluri este defect, acest defect nu afectează toată reţeaua ci doar conexiunea dintre cele două staţii pe care le conectează.Altfel

spus, dacă o parte a infrastructurii de comunicaţie sau a nodurilor devine nefuncţională, se găseşte oricând o noua cale de comunicare.

Topologia plasă se foloseşte în cadrul reţelelor WAN care interconectează LAN-uri. În plus, datorita fiabilităţii ridicate aceste topologii sunt exploatate in cazul aplicaţiilor spaţiale, militare sau medicale unde întreruperea comunicaţiei este inacceptabilă

Fig.1.11. Topologia plasă

Topologia arbore (tree)

Combină caracteristicile topologiilor magistrală şi stea. Nodurile sunt grupate în mai multe topologii stea, care, la rândul lor, sunt legate la un cablu central.

Topologia arbore prezintă dezavantajul limitării lungimii maxime a unui segment. În plus, dacă apar probleme pe conexiunea principală sunt afectate toate calculatoarele de pe acel segment. Avantajul topologiei arbore constă în faptul că segmentele individuale au legături directe

Fig.1.12. Topologia arbore

În practică se întâlnesc de multe ori topologii compuse rezultate din combinarea topologiilor fundamentale, cum ar fi, spre exemplu este topologia magistrală-stea: mai multe reţele cu topologie stea sunt conectate la un cablu de conexiune principal.

Sugestii metodologice Conţinutul referitor la topologii fizice se poate preda cu ajutorul metodei Conversaţie euristică

UNDE ? Se recomandă predarea conţinutului într-un cabinet dotat cu o reţea de calculatoare conectate la Internet sau într-o sală de curs dotată cu videoproiector CUM? Se recomandă utilizarea unor planşe sau prezentări multimedia Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.


Tema 2 Arhitectura reţelelor de calculatoare

Fisa suport Arhitectura Ethernet, Token-Ring, FDDI


Arhitecturile pentru LAN descriu atât topologiile fizice cât şi pe cele logice folosite într-o reţea

Arhitectura Ethernet

Ethernet este denumirea unei familii de tehnologii de reţele de calculatoare, bazate pe transmisia cadrelor (frames) şi utilizate la implementarea reţelelor locale de tip LAN. Ethernetul se defineşte printr-un şir de standarde pentru cablare şi semnalizare aparţinând primelor două nivele din Modelul de Referinţă OSI - nivelul fizic şi legătură de date.

Numele ethernet provine de la cuvântul “eter” ilustrând faptul că mediul fizic(de exemplu cablurile) transportă biţi către toate staţiile de lucru într-un mod asemănător cu străvechiul “luminiferous ether", despre care se credea odată că este mediul prin care se propagă undele eletromagnetice1

Ethernetul a fost inventat pe baza ideii că pentru a lega computerele între ele astfel ca să formeze o reţea este nevoie de un mediu de transmisie central cum ar fi un cablu coaxial partajat. Conceptul şi implementarea Ethernetului s-au dezvoltat permanent, ajungându-se azi la tehnologiile de reţea complexe, care constituie fundamentul majorităţii LAN-urilor actuale. În loc de un mediu (cablu) central, tehnologiile moderne utilizează legături de tipul punct-la-punct, hub, switch (

română comutator), bridge (română punte) şi repeater, bazate pe fire de cupru torsadate care reduc costurile instalării, măresc fiabilitatea şi înlesnesc managementul şi reparaţiile reţelei.

Arhitectura Ethernet foloseşte:

o topologie logică de tip broadcast şi o topologie fizică de tip magistrală sau stea. Vitezele de transfer standard sunt de 10 Mbps şi 100 Mbps, iar noile standarde specifice pentru arhitectura Gigabit Ethernet permit viteze de până la

1000 Mbps.

metoda de control a accesului CSMA/CD (Carrier Sense Multiple Access Collision Detection = Acces multiplu cu detecţia purtătoarei şi coliziunii) . Conform acestei metode, dacă o staţie din reţea doreşte să transmită date

trebuie ca înainte să “asculte” mediul de transmisie, proces similar cu a aştepta tonul înainte de a forma un număr pe linia telefonică. Dacă nu detectează nici un alt semnal, atunci poată să trimită datele. Dacă nici una din celelalte staţii conectate la reţea nu transmite date în acel moment, datele transmise vor ajunge în siguranţă la calculatorul destinaţie, fără nici o problemă. Dacă, însă, în acelaşi moment cu primul calculator, şi alt calculator din reţea decide că mediul de transmisie este liber şi transmite datele în acelaşi moment cu primul, va avea loc o coliziune. Prima staţie din reţea care a depistat coliziunea, adică dublarea tensiunii pe mediul de transmisie, va transmite către toate staţile un semnal de jam, care le avertizează să oprească transmisia şi să execute un

1 www.ethermanage.com/ethernet/ethername.html

http://ro.wikipedia.org/wiki/Re%C5%A3ea_de_calculatoare�

http://ro.wikipedia.org/wiki/LAN�

http://ro.wikipedia.org/wiki/OSI�

http://ro.wikipedia.org/wiki/Limba_rom%C3%A2n%C4%83�

http://ro.wikipedia.org/wiki/Limba_rom%C3%A2n%C4%83�

http://ro.wikipedia.org/wiki/Cablu_Twisted_Pair�

http://ro.wikipedia.org/wiki/Fiabilitate�

algoritm de încetare a comunicaţiei pentru un timp (backoff algorithm). Acest algoritm generează un timp aleator de una, două milisecunde sau chiar mai scurt, de circa o miime de secundă, interval de timp după care staţiile să reînceapă transmisia. Algoritmul este repetat ori de câte ori apare o coliziune în reţea.

cablu coaxial ( la primele retele Ethernet) torsadat sau fibre optice ca mediu de transmisie a datelor

cadrul Ethernet, ce constă dintr-un set standardizat de biţi utilizat la transportul datelor şi al cărui structură este ilustrată mai jos:

PRE START A D A S TIP/LUNGIME DATE CRC

7 byte 1 byte 6 byte 6 byte 4 byte 46-1500 byte 4 byte

Fig.2.1. Structura unui cadru Ethernet

• PRE - Preambulul constă într-o secvenţă alternantă de 1 şi 0 ce indică staţiilor receptoare sosirea unui cadru

• START - Delimitatorul de start al cadrului - conţine o secvenţă alternantă de 1 şi 0 şi care se termină cu doi de 1 consecutivi, indicând faptul că următorul bit constituie începutul primului octet din adresa destinaţie ;

• AD - Adresa destinaţie - identifică staţia ce trebuie să recepţioneze cadrul.

• AS -Adresa sursă - adresa staţiei ce a emis cadrul ;

• TIP/LUNGIME- indică numărul de biţi de date conţinuţi în câmpul de date al cadrului.

• DATE - o secvenţă de date de maxim 1500 de octeţi. Dacă lungimea cadrului de date este inferioară valorii de 46 de octeţi, este nevoie să se completeze restul biţilor până se ajunge la valoarea minimă impusă de standard (tehnică cunoscută sub numele de padding) ;

• CRC - semnalizează apariţia unor eventuale erori în cadrul de transmisie.

Cu toate progresele făcute, formatul cadrelor nu s-a schimbat, astfel încât toate reţelele Ethernet pot fi interconectate fără probleme

Fiecare calculator echipat Ethernet poartă denumirea de staţie.

Arhitectura Ethernet este o arhitectură populară deoarece oferă echilibru între viteză, preţ şi instalare facilă.

Arhitectura Token Ring

Este integrată în sistemele mainframe, dar şi la conectarea calculatoarelor personale în reţea. Foloseşte o tehnologie fizică stea-cablată inel numită Token Ring. Astfel, văzută din exterior reţeaua pare a fi proiectată ca o stea, calculatoarele fiind conectate la un hub central, numit unitate de acces multiplu (MAU sau MSAU- Multi Station Access

Unit), iar în interiorul echipamentului cablajul formează o cale de date circulară, creând un inel logic.

Fig.2.2. Arhitectura Token-Ring

Arhitectura foloseşte topologia logică de pasare a jetonului. Inelul logic este creat astfel de jetonul care se deplasează printr-un port al MSAU către un calculator. Dacă respectivul calculator nu are date de transmis, jetonul este trimis înapoi către MSAU şi apoi pe următorul port către următorul calculator. Acest proces continuă pentru toate calculatoarele, dând astfel impresia unui inel fizic.

Foloseşte ca mediu de transmisie a datelor cablul torsadat, cablul coaxial sau fibra optică

Arhitectura FDDI (Fiber Distributed Data Interface), bazată pe topologia logică Token Ring, foloseşte fibra optică şi funcţionează pe o topologie fizică de tip inel dublu. Inelul dublu este alcătuit dintr-un inel principal, folosit pentru transmiterea datelor, şi un inel secundar, folosit în general pentru back-up (linie de siguranţă). Prin aceste inele, traficul se desfăşoară în sensuri opuse. În mod normal, traficul foloseşte doar inelul primar. În cazul în care acesta se defectează, datele o să circule în mod automat pe inelul secundar în direcţie opusă. Un inel dublu suportă maxim 500 de calculatoare pe inel. Lungimea totală a fiecărui inel este de 100 km şi se impune amplasarea unui repetor care să regenereze semnalele la fiecare 2 km. Inelul principal oferă rate de transfer de până la 100 Mbps, iar dacă cel de-al doilea inel nu este folosit pentru backup, capacitatea de transmisie poate fi extinsă până la 200 Mbps.

În FDDI se întâlnesc două categorii de staţii, fiecare având două porturi prin care se conectează la cele două inele:

• staţii de clasă A, ataşate ambelor inele

• staţii de clasă B ataşate unui singur inel

Fig.2.3. Reţea FDDI


UNDE ? Se recomandă predarea conţinutului într-un cabinet dotat cu o reţea de calculatoare conectate la Internet sau într-o sală de curs dotată cu videoproiector CUM? Se recomandă utilizarea unor planşe sau prezentări multimedia

Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi. • Pentru evaluare se recomandă probe scrise sau orale.

Tema 3 Standarde Ethernet

Fişa suport Standarde pentru reţele Ethernet


Standardizarea asigură compatibilitatea echipamentelor care folosesc aceeaşi tehnologie. Există numeroase organizaţii de standardizare, care se ocupă cu crearea de standarde pentru reţelele de calculatoare.

IEEE (The Institute of Electrical and Electronic Engineers) este o asociaţie profesională tehnică nonprofit fondată în 1884, formată din peste 3777000 de membrii din 150 de ţări, cu ocupaţii diferite – ingineri, oameni de ştiinţă, studenţi. IEEE este foarte cunoscut pentru dezvoltarea standardelor pentru industria calculatoarelor şi electronicelor în particular.

Pentru a asigura compatibilitatea echipamentelor într-o reţea Ethernet, IEEE a dezvoltat o serie de standarde recomandate producătorilor de echipamente Ethernet. Au fost elaborate astfel:

• Standarde pentru reţele cu cabluri

• Standarde pentru reţele cu fir

Standarde pentru reţele cu cabluri

În cazul reţelelor cu arhitectură Ethernet şi mediu de transmisie a datelor prin cablu, a fost elaborat standardul IEEE 802.3

Au fost implementate o serie de tehnologii care respectă standardul Ethernet 802.3. dintre acestea cele mai comune sunt: 10BASE-T, 100 BASE-TX (cunoscută şi sub numele de Fast Ethernet deoarece dezvoltă o lăţime de bandă mai mare decât precedenta), 1000BASE-T (cunoscută şi sub numele de Gigabit Ethernet), 10BASE-FL, 100BASE-FX, 1000BASE-SX, 1000BASE-LX

Numărul din partea stângă a simbolului ilustrează valoarea în Mbps a lăţimii de bandă a aplicaţiei

Termenul BASE ilustrează faptul că transmisia este baseband – întreaga lăţime de bandă a cablului este folosită pentru un singur tip de semnal

Ultimele caractere se referă la tipul cablului utilizat ( T-indică un cablu torsadat, F ,L şi S indică fibra optică)

Avantajele şi dezavantajele tehnologiilor Ethernet dezvoltate în medii de transmisie prin cablu sunt ilustrate în tabela de mai jos:

Tehnologia Avantaje Dezavantaje 10BASE-T Costuri de instalare mici în

comparaţie cu fibra optică Sunt mai uşor de instalat decât cablurile coaxiale Echipamentul şi cablurile

Lungimea maximă a unui segment de cablu este de doar 100 m Cablurile sunt susceptibile la interferenţe

sunt uşor de îmbunătăţit electromagnetice

100BASE-TX Costuri de instalare mici în comparaţie cu fibra optică Sunt mai uşor de instalat decât cablurile coaxiale Echipamentul şi cablurile sunt uşor de îmbunătăţit Lăţimea de bandă este de 10 ori mai mare decât în cazul tehnologiilor 10BASE-T

Lungimea maximă a unui segment de cablu este de doar 100 m Cablurile sunt susceptibile la interferenţe electromagnetice

1000BASE-T Lăţimea de bandă de până la 1 GB Suportă interoperabilitatea cu 10BASE-T şi cu 100BASE-TX

Lungimea maximă a unui segment de cablu este de doar 100 m Cablurile sunt susceptibile la interferenţe electromagnetice Cost ridicat pentru plăci de reţea şi switch-uri Gigabit Ethernet Necesită echipament suplimentar

Standarde Ethernet pentru reţele fără fir

În cazul reţelelor cu arhitectură Ethernet şi mediu de transmisie a datelor fără fir, IEEE a elaborat standardul IEEE 802.11 sau Wi-Fi. Acesta este compus dintr-un grup de standarde , pentru care sunt specificate frecvenţa semnalelor de transmisie radio, lăţimea de bandă , raza de acoperire şi alte capabilităţi :

Lăţime bandă Frecvenţă Raza de acţiune Interoperabilitate

IEEE 802.11a

Până la 54 Mbps 5 GHz 45,7 m

Incompatibil cu IEEE 802.11b, IEEE 802.11g, IEEE 802.11n

IEEE 802.11b

Până la 11 Mbps 2,4 GHz 91 m Compatibil cu

IEEE 802.11g IEEE 802.11g

Până la 54

Mbps 2,4 GHz 91 m Compatibil cu IEEE 802.11b

IEEE 802.11n

Până la 540 Mbps 2,4 GHZ 250 m

Compatibil cu IEEE 802.11b şi cu IEEE 802.11g

Sugestii metodologice Se poate folosi metoda Studiu de caz pentru a identifica Tehnologia Ethernet aplicată în cazul reţelei din laboratorul de informatică

Sugestii metodologice UNDE ? Se recomandă predarea conţinutului într-un cabinet dotat cu o reţea de calculatoare conectate la Internet CUM? Se recomandă utilizarea unor planşe , fişe de documentare sau prezentări multimedia Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.

Pentru evaluare se recomandă probe scrise sau orale

Tema 4 Modele de date

Fişa suport Modelul OSI şi TCP/IP


Pentru a descrie modul de comunicare în reţea a două calculatoare, Andrew Tanenbaum2

l-a comparat cu discuţia între doi filozofi care vorbesc limbi diferite, dar au aceleaşi raţionament. Între ei se interpun câte un translator, şi apoi câte o secretară.

Fig.4.1. Comunicarea pe nivele

Sugestii metodologice Pentru explicarea modului de comunicare în reţea pe niveluri ,se recomandă folosirea metodei Joc de roluri. Doi elevi/eleve vor juca rolul filozofilor, doi elevi/eleve, rolurile translatorilor, iar doi elevi/eleve rolurile secretarelor

Pornind de la acest exemplu, putem aprecia că nivelul n al unui calculator nu poate comunica în mod direct cu nivelul n al altui calculator ci doar prin nivelul inferior. Prin urmare, se presupune că regulile folosite în comunicare se numesc protocoale de nivel n.

Conceptul de model de date a fost implementat cu scopul de a separa funcţiile protocoalelor de comunicaţie pe niveluri uşor de administrat şi de înţeles, astfel încât fiecare nivel să realizeze o funcţie specifică în procesul de comunicare în

reţea. Conceptul de nivel este folosit pentru a descrie acţiunile şi procesele ce apar în timpul transmiterii informaţiilor de la un calculator la altul.

2 Andrew S Tanenbaum: Reţele de calculatoare, ediţia a IV-a, editura Byblos, Bucureşti, 2003, p 26

Într-o reţea, comunicarea are loc prin transferul de informaţii de la un calculator-sursă spre un calculator-destinaţie. Informaţiile care traversează reţeaua sunt referite ca date, pachete sau pachete de date.

Modelul OSI (Open Systems Interconnect)

A fost creat de Organizaţia Internaţională de Standardizare (International Standards Organization - ISO ) cu scopul de a standardiza modul în care echipamentele comunică în reţea, şi a fost definit în standardul ISO 7498-1 . Modelul OSI are 7 niveluri şi este cel mai frecvent utilizat de producătorii de echipamente de reţea.

In modelul OSI, la transferul datelor, se consideră că acestea traversează virtual de sus în jos nivelurile modelului OSI al calculatorului sursă şi de jos în sus nivelurile modelului OSI al calculatorului destinaţie.

Nivelul Aplicaţie asigură interfaţa cu aplicaţiile utilizator şi transferul informaţional între programe. La acest nivel se defineşte accesul aplicaţiilor la serviciile de reţea si implicit comunicaţia între doua sau mai multe aplicaţii.

Nivelul Prezentare se ocupă de sintaxa si semantica informaţiilor transmise intre aplicaţii sau utilizatori. La acest nivel se realizează conversia datelor din formatul abstract al aplicaţiilor in format acceptat de reţea, compresia si criptarea datelor pentru a reduce numărului de biţi ce urmează a fi transmişi, redirecţionarea

datelor pe baza de cereri.

Nivelul Sesiune asigură stabilirea, gestionarea şi închiderea sesiunilor de comunicaţie între utilizatorii de pe două staţii diferite. Prin sesiune se înţelege dialogul între două sau mai multe entităţi. Nivelul sesiune sincronizează dialogul între nivelurile sesiune ale entităţilor şi gestionează schimbul de date între

acestea. În plus, acest nivel oferă garanţii în ceea ce priveşte expedierea datelor, clase de servicii şi raportarea erorilor. În câteva cuvinte, acest nivel poate fi asemuit cu dialogul uman.

Nivelul Transport este nivelul la care are loc segmentarea şi reasamblarea datelor. El furnizează un serviciu pentru transportul datelor către nivelurile superioare, şi în special caută să vadă cât de sigur este transportul prin reţea.

Nivelul transport oferă mecanisme prin care stabileşte, întreţine şi ordonă închiderea

APLICAŢIE

PREZENTARE

SESIUNE

TRANSPORT

REŢEA

LEGĂTURA DE DATE

FIZIC

circuitelor virtuale; detectează “căderea” unui transport şi dispune refacerea acestuia; controlează fluxul de date pentru a preveni rescrierea acestora Sarcina principală a nivelului transport este aceea de refacere a fluxului de date la destinaţie, deoarece datele sunt fragmentate în segmente mai mici, cu rute diferite prin reţeaua de comunicaţii.

În cazul utilizării protocolului IP pe nivelul reţea, sunt disponibile două protocoale la nivelul transport:

- TCP, Transmision Control Protocol este un protocol bazat pe conexiune, în care pentru fiecare pachet transmis se aşteaptă o confirmare din partea echipamentului de destinaţie. Transmisia următorului pachet nu se realizează dacă nu se primeşte confirmarea pentru pachetul transmis anterior.

- UDP, User Datagram Protocol este folosit în situaţiile în care eficienţa şi viteza transmisiei sunt mai importante decât corectitudinea datelor, de exemplu în reţelele multimedia, unde pentru transmiterea către clienţi a informaţiilor de voce sau imagine este mai importantă viteza (pentru a reduce întreruperile în transmisie) decât calitatea. Este un protocol fără conexiuni, semnalarea erorilor sau reluărilor fiind asigurată de nivelul superior, iar datele transmise nu sunt segmentate.

Nivelul Reţea Este unul dintre cele mai complexe niveluri; asigură conectivitatea şi selecţia căilor de comunicaţie între două sisteme ce pot fi localizate în zone geografice diferite. La acest nivel, se evaluează adresele sursă si destinaţie si se

fac translatările necesare intre adrese logice (IP) si fizice (MAC). Funcţia principală a acestui nivel constă în dirijarea pachetelor între oricare două noduri de reţea. Cu alte cuvinte, nivelul reţea realizează „rutarea” (direcţionarea) pachetelor de date prin infrastructura de comunicaţii, această operaţie fiind efectuată la nivelul fiecărui nod de comunicaţie intermediar. Nivelul reţea asigură interfaţa între furnizorul de servicii şi utilizator, serviciile oferite fiind independente de tehnologia subreţelei de comunicaţie.

Nivelul Legăturii de date gestionează transmisia biţilor de date, organizaţi in cadre, fără erori nedetectate, relativ la o anumită linie de transmisie. Schimbul de cadre intre sursă si destinatar presupune trimiterea secvenţială a acestora

urmată de cadre de confirmare a recepţiei. Principalele atribuţii ale acestui nivel au in vedere controlul erorilor, controlul fluxului informaţional si gestiunea legăturii.

Acest nivel este format din doua subnivele:

- MAC (Medium Access Control) – control al accesului la mediu

- LLC (Logical Link Control) – legatura logica de date

Nivelul Fizic, este nivelul la care biţii sunt transformaţi in semnale (electrice, optice) Standardele asociate nivelului fizic conţin specificaţii electrice (parametrii de semnal, proprietăţi ale mediului de comunicaţie) si mecanice (conectică,

cabluri). Ca atribuţii nivelul fizic se ocupă de codarea si sincronizarea la nivel de bit, delimitând lungimea unui bit si asociind acestuia impulsul electric sau optic corespunzător canalului de comunicaţie utilizat. La acest nivel se definesc:

• tipul de transmitere şi recepţionare a şirurilor de biţi pe un canal de comunicaţii

• topologiile de reţea

• tipurile de medii de transmisiune : cablu coaxial, cablu UTP, fibră optică, linii închiriate de cupru etc.

• modul de transmisie: simplex, half-duplex, full-duplex

• standardele mecanice şi electrice ale interfeţelor

• este realizată codificarea şi decodificarea şirurilor de biţi

• este realizata modularea şi demodularea semnalelor purtătoare (modem-uri).

Modelul OSI Nivelul Descriere Aplicaţie 7 Asigură interfaţa cu utilizatorul Prezentare 6 Codifică şi converteşte datele Sesiune 5 Construieşte, gestionează şi închide o

conexiune între o aplicaţie locală şi una la distanţă

Transport 4 Asigură transportul sigur şi menţine fluxul de date dintr-o reţea

Reţea 3 Asigură adresarea logică şi domeniul de rutare

Legătură de date 2 Pachetele de date sunt transformate în octeţi şi octeţii în cadre. Asigură adresarea fizică şi procedurile de acces la mediu

Fizic 1 Mută şiruri de biţi între echipamente Defineşte specificaţiile electrice şi fizice ale echipamentelor

Modelul TCP/IP (Transport Control Protocol/Internet Protocol)

Modelul de referinţă TCP/IP a fost creat de cercetătorii din U.S.Department of Defense (DoD), este folosit pentru a explica suita de protocoale TCP/IP, şi are 4 niveluri:

Protocoalele de nivel Aplicaţie oferă servicii de reţea aplicaţiilor utilizator cum ar fi browserele web şi programele de e-mail. Câteva exemple de protocoale definite la acest nivel sunt TELNET, FTP, SMTP, DNS, HTTP

Protocoalele la nivel Transport oferă administrarea de la un capăt la altul a transmisiei de date. Una din funcţiile acestor protocoale este de a împărţi datele

APLICAŢIE

TRANSPORT

INTERNET

ACCES REŢEA

în segmente mai mici pentru a fi transportate uşor peste reţea. La nivelul Transport funcţionează protocoalele TCP(Transmission Control Protocol) şi UDP(User Datagram Protocol) Acest nivel oferă servicii de transport între sursă şi destinaţie, stabilind o conexiune logică între sistemul emiţător şi sistemul receptor din reţea

Protocoalele la nivel Internet operează la nivelul trei (începând de sus) al modelului TCP/IP. Aceste protocoale sunt folosite pentru a oferi conectivitate între staţiile din reţea. La nivelul Internet funcţionează protocolul IP (Internet

Protocol) Nivelul Internet are rolul de a permite sistemelor gazdă să trimită pachete în orice reţea şi să asigure circulaţia independentă a pachetelor până la destinaţie. Pachetele de date pot sosi într-o ordine diferită de aceea în care au fost transmise, rearanjarea lor în ordine fiind sarcina nivelurilor superioare

Protocoalele de nivel Acces reţea descriu standardele pe care staţiile le folosesc pentru a accesa mediul fizic. Standardele şi tehnologiile Ethernet IEEE 802.3, precum şi CSMA/CD şi 10BASE-T sunt definite pe acest nivel. Nivelul Acces

reţea – se ocupă de toate conexiunile fizice pe care trebuie să le străbată pachetele IP pentru a ajunge în bune condiţii la destinaţie.

Cele patru niveluri realizează funcţiile necesare pentru a pregăti datele înainte de a fi transmise pe reţea. Un mesaj porneşte de la nivelul superior (nivelul Aplicaţie) şi traversează de sus în jos cele patru niveluri până la nivelul inferior (nivelul Acces reţea). Informaţiile din header sunt adăugate la mesaj în timp de acesta parcurge fiecare nivel, apoi mesajul este transmis. După ce ajunge la destinaţie, mesajul traversează din nou, de data aceasta de jos în sus fiecare nivel al modelului TCP/IP. Informaţiile din header care au fost adăugate mesajului sunt înlăturate în timp ce acesta traversează nivelurile destinaţie.

Modelul TCP/IP Stratul Descriere Aplicaţie 4 La acest nivel

funcţionează protocoalele la nivel înalt ( SMTP şi FTP)

Transport 3 La acest nivel are loc controlul de debit/flux şi funcţionează protocoalele de conexiune

Internet 2 La acest nivel are loc adresarea IP

Acces reţea 1 La acest nivel are loc adresarea după MAC şi componentele fizice ale reţelei

Dacă am compara modelul OSI cu modelul TCP/IP, am observa că între ele există o serie de asemănări dar şi deosebiri.

Ambele modele de date descriu procesul de comunicaţie a datelor în reţea pe nivele şi ambele conţin nivelele Aplicaţie şi Transport, cu funcţii asemănătoare. Spre deosebire de modelul OSI care foloseşte şapte niveluri, modelul TCP/IP foloseşte patru. Astfel, nivelurile OSI sesiune şi prezentare sunt tratate de de nivelul TCP/IP aplicaţie, respectiv, nivelurile OSI legătură de date şi fizic de nivelul acces reţea. Modelul OSI

este folosit pentru dezvoltarea standardelor de comunicaţie pentru echipamente şi aplicaţii ale diferiţilor producători, pe când modelul TCP/IP este folosit pentru suita de protocoale TCP/IP.

Fig 4.2.Modelele de date OSI şi TCP/IP

Sugestii metodologice UNDE ? Se recomandă predarea conţinutului într-un cabinet dotat cu o reţea de calculatoare conectate la Internet sau într-o sală de curs dotată cu vodeoproiector CUM? Conţinuturile se pot preda cu ajutorul metodei Conversaţia euristică Se recomandă utilizarea unor planşe , fişe de documentare sau prezentări multimedia Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.


Tema 5 Adresarea IP

Fisa suport 5.1Structura unei adrese IP

Acest material vizează competenţa / rezultat al învăţării : Analizează protocolul TCP/IP

O adresă este un număr sau o înşiruire de caractere care identifică în mod unic un echipament conectat într-o reţea, servind la comunicarea cu celelalte echipamente ale reţelei.

Cu ajutorul adresei, un calculator poate fi localizat într-o reţea de către altul. Un calculator poate fi conectat simultan la mai multe reţele. În acest caz, acesta va avea asociate mai multe adrese, fiecare adresă îl va localiza în una din reţelele la care este conectat.

Adresa fizică - cum este adresa MAC (Media Access Control) atribuită plăcii de reţea - este o adresă care este fixă, nu poate fi schimbată – cum este pentru o persoană , de exemplu, codul numeric personal

Adresa logică - Adresa IP(Internet Protocol), sau adresa de reţea – este atribuită fiecărei staţii de către administratorul de reţea şi poate fi regenerată - cum ar fi pentru o persoana, de exemplu, adresa la care locuieşte.

Sugestii metodologice În cadrul orelor de laborator se recomadă efectuarea unor exerciţii de indentificare a adresei MAC a unei plăci de reţea, respectiv a adresei IP a unei staţii din reţeaua din cabinetul de Informatică

Adresarea IPv4

Adresa IPv4 este o versiune pe 32 de biţi a adresei IP. Este formată din 32 de cifre binare (1 si 0), grupate în patru bucăţi de câte 8 biţi, numiţi octeţi. Pentru a putea fi citită de către oameni , fiecare octet este reprezentat prin valoarea sa

zecimală, separat de ceilalţi octeţi prin câte un punct. Altfel spus, adresa Ipv4 este formată din patru numere zecimale cuprinse între 0 şi 255 şi separate prin puncte.

De exemplu, reprezentarea în binar: “01111101 00001101 01001001 00001111” corespunde reprezentării zecimale: ”125.13.73.15.” O adresă IP este un tip de adresare ierarhică şi din acest motiv este compusă din două părţi. Prima parte - Reţea - identifică reţeaua căreia îi aparţine un echipament şi a doua parte - Gazdă - identifică în mod unic dispozitivul conectat la reţea.

Zona Reţea

Gazdă

Biţi

octeţi 1 2 3 4

Fig 5.1. Structura unei adrese IP pe 32 de biţi

Astfel, orice adresă IP identifică un echipament din reţea şi reţeaua căruia îi aparţine.

Într-o reţea, gazdele pot comunica între ele doar dacă au acelaşi identificator de reţea. Dacă au identificatori de reţea diferiţi comunicarea se face prin intermediul unor dispozitive specializate în conexiuni.

Adresele IP care au toţi biţii identificatorului gazdă egali cu 0 sunt rezervate pentru adrese de reţea.

Adresele IP care au toţi biţii identificatorului gazdă egali cu 1 sunt rezervate pentru adrese de broadcast. Adresa de broadcast permite unei staţii din reţea să transmită date simultan către toate echipamentele din reţea (să difuzeze)

Teoretic, adresarea IPv4 acoperă adrese (in baza 10) intre 0.0.0.0 si 255.255.255.255, în total în număr de 232

Adresarea IPv6

La sfârşitul anilor 90’ s-a răspândit vestea că adresele IP în clasă B vor fi epuizate, fapt ce ar fi condus la compromiterea sistemului de adresare pe Internet, singura soluţie viabilă pe termen lung fiind reprezentată de crearea unui nou IP cu adresare pe 128 de biţi (IPv6-Internet Protocol versiunea 6 sau IPng – Internet Protocol New Generation). Versiunea 6 de IP măreşte numărul de adrese viabile la 2128 .

Sugestii metodologice Se recomandă ca metodă de predare Explicaţia

Fisa suport 5.2.Clase de adrese IP

Acest material vizează competenţa / rezultat al învăţării : Analizează protocolul TCP/IP.

Pentru a gestiona eficient adresele IP acestea au fost împărţite in clase care diferă prin numărul de biţi alocaţi pentru identificarea reţelei respectiv numărul de biţi alocaţi pentru identificarea unui dispozitiv (gazda, staţia, host) in cadrul unei reţele. Exista cinci clase de adrese IP: A, B, C, D si E.

• Clasa A – primul bit are valoarea 0, primul octet este alocat pentru identificarea reţelei, următorii trei octeţi sunt alocaţi pentru identificarea gazdei - pentru reţele mari, folosite de companii mari şi de unele ţări.

REŢEA GAZDĂ GAZDĂ GAZDĂ

• Clasa B - primii doi biţi au valoarea 10, primii doi octeţi sunt alocaţi pentru identificarea reţelei, următorii doi octeţi sunt alocaţi pentru identificarea gazdei - pentru reţele de dimensiuni medii, cum ar fi cele folosite în universităţi

REŢEA REŢEA GAZDĂ GAZDĂ

• Clasa C - primii trei biţi au valoarea 110, primii trei octeţi sunt alocaţi pentru identificarea reţelei, ultimul octet este alocat pentru identificarea gazdei - pentru reţele de dimensiuni mici, atribuite de furnizorii de servicii de Internet clienţilor lor

REŢEA REŢEA REŢEA GAZDĂ

• Clasa D – primii patru biţi au valoarea 1110, toţi cei patru octeţi sunt alocaţi pentru identificarea reţelei - folosită pentru multicast

REŢEA REŢEA REŢEA REŢEA

• Clasa E – folosită pentru testare

Adrese private

IANA (Internet Asigned Numbers Authority) a definit ca spaţiu de adresare privată intervalele:10.0.0.0 - 10.255.255.255 (clasa A), 172.16.0.0 - 172.31.255.255(clasaB), 192.168.0.0 - 192.168.255.255 (clasa C)

Totodata intervalul 169.254.0.0 -169.254.255.255 este rezervat pentru adresarea IP automată privată (APIPA - Automatic Private IP Addressing) utilizată pentru alocarea automată a unei adrese IP la instalarea iniţiala a protocolului TCP/IP peste anumite sisteme de operare . Adresele private sunt ignorate de către echipamentele de rutare, ele putând fi utilizate pentru conexiuni nerutate, in reţelele locale. Pentru clasele A, adresa de retea 127.0.0.1 este de asemenea rezervată pentru teste in bucla închisă.

Restul adreselor au statutul de adrese IP publice beneficiind de vizibilitate potenţială la nivelul reţelei mondiale Internet.

Sugestii metodologice În cadrul unei ore de lucrări de laborator se recomandă efectuarea de exerciţii de identificare a clasei în care se găseşte o adresă IP dintr-o listă dată.

Fisa suport 5.3 Adresarea IP în subreţele


De multe ori, în practică, administratorii de reţea sunt nevoiţi să împartă o reţea în mai multe reţele LAN de dimensiuni mai mici (subreţele). Împărţirea logică a unei reţele în subreţele se întâlneşte sub numele de subnetare.

Deoarece gazdele dintr-o subreţea „se văd” numai intre ele înseamna că trebuie să se definească punctul de ieşire/intrare in reţea, adică o adresa IP din interiorul subreţelei respective asociată dispozitivului de rutare (interconectarea

cu alte subreţele). Acest punct comun sistemelor din subreţea se numeşte poarta de acces (gateway).

Adresele pentru subreţele sunt unice, au 32 de biţi, şi conţin trei identificatori

Reţea Subreţea Gazdă

Reţea: numărul de indentificare a reţelei

Subreţea: numărul de indentificare a subreţelei

Gazdă: numărul de identificare a gazdei.

Pentru a crea o subreţea, administratorul va împrumuta un număr de minim 2 biţi din secţiunea gazdă a unei clase şi să îi folosească în cadrul câmpului subreţea. Dacă s-ar împrumuta un singur bit, am ajunge în situaţia de a avea doar o adresă de reţea (pt val 0 a bitului împrumutat) şi o adresă de broadcast(pentru val 1). Din acelaşi motiv, în zona gazdă trebuie să rămână minim 2 biţi.

Pentru a asigura inter-vizibiliatea dispozitivelor dintr-o subreţea s-a introdus noţiunea de mască de (sub)reţea.

Termenul de mască de subreţea (subnet mask), sau prefix, se referă la un identificator care este tot un număr pe 32 de biţi, ca şi adresa IP, şi care are rolul de a indica partea dintr-o adresă IP care este identificatorul reţelei,

partea care este identificatorul subreţelei şi partea care este identificatorul staţiei. La măştile de subreţea, biţii din porţiunea reţea şi subreţea au valoarea 1, iar cei din porţiunea staţie, au valoarea 0. Biţii folosiţi pentru a defini reţeaua si subreţeaua formează împreuna prefixul extins de reţea.

Măştile de reţea implicite pentru clasele A, B şi C sunt ilustrate în tabelul de mai jos:

Clasa Masca de reţea implicită Număr de gazde

A 255.0.0.0 224-2

B 255.255.0.0 216-2

C 255.255.255.0 28-2

Să luăm ca exemplu o adresă 193.234.57.34 , care este o adresă IP de clasă C cu masca de subreţea 255.255.255.224. Valoarea 224 a ultimului octet a măştii, care este diferită de 0 ne sugerează faptul că staţia face parte dintr-o subreţea.

Masca de subretea Baza 10 255 255 255 224 Baza 2 11111111 11111111 111111111 11100000

Cum ultimul octet din masca de subreţea are valoarea 224(10)= 11100000(2), primii trei biţi au valoarea 1, ceea ce înseamnă că porţiunea reţea a fost extinsă cu 3 biţi, ajungând la un total de 27, în timp ce numărul biţilor atribuiţi gazdelor , şi care au valoarea 0 , a fost redus la 5.

Numărul de subreţele posibile matematic depinde de tipul clasei din care face parte segmentul de adrese IP care este subnetat. De fiecare dată când se împrumută câte 1 bit din porţiunea gazdă a unei adrese, numărul subreţelelor

create creşte cu 2 la puterea numărului de biţi împrumutaţi.Prima si ultima subreţea fac parte din categoria celor rezervate, fiind deci inutilizabile.De fiecare dată când se împrumută 1 bit din porţiunea gazdă a unei adrese, numărul adreselor disponibile pentru o subreţea se reduce cu o putere a lui 2.În cazul subreţelelor, prima adresa (numele subreţelei, toti biţii măştii cu valoarea „1”) şi ultima (adresa de trimitere multiplă, broadcast, toţi biţii măstii pe „0”) nu sunt folosibile pentru adresarea gazdelor, deci la fiecare subreţea „se pierd” două adrese. La o subreţea de 4 adrese 2 nu sunt exploatabile iar o subreţea de 2 adrese nu are sens.

De exemplu, pentru adresele din clasa C, cu masca de reţea 255.255.255.224, se pot obţine 8 subreţele (23) din care doar 6 sunt utilizabile, numărul maxim al gazdelor pentru fiecare subreţea este de 32(25) din care doar 30 sunt utilizabile.

În tabelul de mai jos este exemplificată împărţirea în subreţele a reţelelor de clasă C

Număr de biţi împrumutaţi

identificatorului de reţea

Masca de subreţea

Număr de adrese de subreţea utilizabile

Număr de adrese-gazdă pe subreţea

2 255.255.255.192 2 62

3 255.255.255.224 6 30

4 255.255.255.240 14 14

5 255.255.255.248 30 6

6 255.255.255.252 62 2

Adresa subreţelei din care face parte o staţie se calculează înmulţind logic în binar (aplicând operatorul logic AND) adresa IP a staţiei cu masca de subreţea. Porţiunea gazdă a adresei se pierde pentru ca devine 0

De exemplu, pentru staţia cu adresa IP 192.168.100.40, cu masca de reţea 255.255.255.224 se poate calcula adresa subreţelei din care face parte astfel:

Prin

urmare, staţia exemplificată face parte din subreţeaua 192.168.100.32

Subnetarea într-un număr dat de subreţele

De exemplu, se cere să subnetăm reţeaua 192.168.100.0 (care este o reţea de clasă C) în 8 subreţele .

Masca de reţea implicită este

255.255.255.0 (11111111.11111111.11111111.000000000)

Va trebui să sacrificăm 3 biţi din secţiunea gazdă, pentru a forma profilul extins de reţea. Ultimul octet al măştii de subreţea va avea valoarea în binar 11100000 adică valoarea 224 în zecimal. Prin urmare, masca de subreţea va fi

255.255.255.224 (11111111.111111111.11111111.111000000)

Din 256 (echivalentul lui 28) scădem valoarea zecimală a ultimului octet din masca de subreţea:

256-224=32

Adresele de subreţea vor fi multiplu de 32

Subreţea Adresa IP a subreţelei Adresele gazdelor Adresa de broadcast Baza 192.168.100.0 Subreţea 0 192.168.100.0 Rezervat Nici una Subreţea 1 192.168.100.32 .33 la.62 192.168.100.63 Subreţea 2 192.168.100.64 .65 la .94 192.168.100.95 Subreţea 3 192.168.100.96 .97 la .126 192.168.100.127 Subreţea 4 192.168.100.128 .129 la .158 192.168.100.159 Subreţea 5 192.168.100.160 .161 la .190 192.168.100.191 Subreţea 6 192.168.100.192 .193 la .222 192.168.100.223 Subreţea 7 192.168.100.224 Rezervat Nici una

Subretele 0 si 7, nu sunt în mod normal utilizabile, ele făcând parte din categoria celor rezervate. Adresele IP ale subreţelelor sunt definite incrementând valoarea zecimală a ultimului octet cu 32. Adresele gazdelor din fiecare subreţea se obţin incrementând valoarea zecimală a ultimului octet cu 1.Sunt posibile 32 de adrese, prima si ultima fiind însă rezervate aşa cum s-arătat anterior. Rezultă un număr utilizabil de 30 de gazde pentru fiecare subreţea.

Adresa IP gazdă 192.168.100.40

11000000 10101000 01100100 00101000

AND Masca de subreţea 255.255.255.224

11111111 11111111 11111111 11100000

= Subreţea 192.168.100.32

11000011 10101000 01100100 00100000

Un dispozitiv cu adresa IP 192.168.100.33 ar fi prima gazdă din subreţeaua 1. Următoarele gazde ar fi numerotate până la 192.168.100.62, moment in care subreţeaua ar fi complet populata si nu ar mai putea fi adăugate noi gazde

Sugestii metodologice În cadrul unei ore de lucrări de laborator se recomandă efectuarea de exerciţii de calcul a numărului de subreţele şi numărul de gazde pentru fiecare subreţea, pentru o adresă IP şi o mască de subreţea dată, de determinare a adresei

subreţelei din care face parte o staţie dată, de determinare a adreselor subreţelelor a adreselor gazdelor, adreselor de broadcast pentru împărţirea unei reţele într-un număr dat de subreţele. Se recomandă efectuarea calculelor folosind calculatorul de adrese IP de la adresa www.subnet-calculator.ro

UNDE ? Se recomandă predarea conţinutului într-un cabinet dotat cu o reţea de calculatoare conectate la Internet sau într-o sală de curs dotată cu videoproiector CUM? Se recomandă utilizarea unor planşe , fişe de documentare tutoriale sau prezentări multimedia Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.

Pentru evaluare se recomandă probe scrise şi practice

Tema 6 Serviciul de rezolvare a numelui

Fişa suport Descrierea serviciului DNS


DNS (Domain Name System) – este un serviciu care permite referirea calculatoarelor gazdă cu ajutorul adresei literale.

Adresa literală conţine succesiuni de nume asociate cu domenii, subdomenii sau tipuri de servicii. Acest mod de adresare este utilizat exclusiv de nivelul aplicaţie şi este util deoarece permite operatorului uman să utilizeze o manieră prietenoasă şi comodă de localizare a informaţiilor. Forma generala a unei astfel de adrese este

[tip_serviciu].[nume_gazda].[subdomeniu2].[subdomeniu1].[domeniu].[tip_domeniu]

Exemple: www.edu.ro, http://cisco.netacad.net etc

Practic, serviciul DNS transformă adresa IP într-o adresă literală, şi invers. Privit în amănunt, DNS este un soft care gestionează şi controlează o bază de date distribuită, constituită dintr-o sumă de fişiere memorate pe calculatoare diferite-localizate în spaţii geografice diferite, ca pe o singură bază de date.

CERERE CLIENT

www.concursuri.ro

concursuri.com

RĂSPUNS SERVER DNS

Concursuri.com=172.123.84.17

Returnează rezultatul către client

Fig 6.1. Formularea unei cereri către un server DNS

Conform figurii de mai sus, clientul doreşte să acceseze de pe calculatorul său personal pagina web www.concursuri.ro , această cerere este trimisă unui server DNS care o analizează şi returnează ca rezultat adresa IP a staţiei care găzduieşte site-ul solicitat.

În principiu, DNS este alcătuit din trei componente:

• Spaţiul numelor de domenii – reprezintă informaţia conţinută în baza de date, structurată ierarhic.

• Servere de nume – programe server care stochează informaţia DNS şi răspund cererilor adresate de alte programe

• Resolverele – programe care extrag informaţiile din serverele de nume ca răspuns la cererile unor clienţi

Pentru a stabili corespondenţa dintre un nume şi o adresă IP, programul de aplicaţie apelează un resolver, transferându-I numele ca parametru, resolverul trimite un pachet UDP (printr-un protocol de transport fără conexiune) la serverul DNS local, care caută numele şi returnează adresa IP către resolver, care o trimite mai departe apelantului. Înarmat cu adresa IP, programul poate stabili o conexiune TCP cu destinaţia sau îi poate trimite pachete UDP.


http://cisco.netacad.net/�

http://www.concursuri.ro/�

http://www.concursuri.ro/�

În continuare ne vom referi mai în amănunt la spaţiul numelor de domenii.

Internetul este divizat în peste 200 de domenii de nivel superior, fiecare domeniu superior este divizat la rândul său în subdomenii, acestea la rândul lor în alte subdomenii, etc. Domeniile de pe primul nivel se împart în două categorii :generice (com, edu, gov, int, mil, net, org) şi de ţări (cuprind câte o intrare pentru fiecare ţară, de exemplu pentru România : ro).

Fiecărui domeniu, fie că este un calculator-gazdă, fie un domeniu superior, îi poate fi asociată o mulţime de înregistrări de resurse (resource records). Deşi înregistrările de resurse sunt codificate binar, în majoritatea cazurilor ele sunt prezentate ca text, câte o înregistrare de resursă pe linie. Un exemplu de format este:

Nume_domeniu Timp_de_viaţă Clasă Tip Valoare

• Nume_domeniu precizează domeniul căruia i se aplică înregistrarea. În mod normal există mai multe înregistrări pentru fiecare domeniu

• Timp_de_viaţă exprimă, în secunde, cât de stabilă este înregistrarea. De exemplu, un timp de 60 de secunde este considerat a fi scurt, iar informaţia instabilă, pe când o valoare de ordinul a 80000 de secunde este o valoare mare, informaţia este considerată stabilă.

• Tip precizează tipurile înregistrării. Cele mai importante tipuri sunt prezentate mai jos:

Tip Semnificaţie

A Adresa IP a unui sistem gazdă

MX Schimb de poştă

NS Server de nume

CNAME Nume canonic

PTR Pointer

Înregistrarea A păstrează adresa IP a calculatorului gazdă

MX precizează numele calculatorului gazdă pregătit să accepte poşta electronică pentru domeniul specificat. Dacă cineva doreşte de exemplu să trimită un mail lui [email protected], calculatorul care trimite trebuie să găsească un server la edu.ro dispus să accepte mail. Această informaţie poate fi furnizată de înregistrarea MX

NS specifică serverele de nume. De exemplu fiecare bază de date DNS are în mod normal o înregistrare NS pentru fiecare domeniu de pe primul nivel.

Înregistrările CNAME permit crearea pseudonimelor. De exemplu, o persoană familiarizată cu atribuirea numelor în Internet, care doreşte să trimită un mesaj unei persoane al cărui nume de conectare la un sistem de calcul din departamentul de calculatoare din cadrul Ministerului Educaţiei este paul, poate presupune că adresa [email protected] este corectă. De fapt, această adresă nu este corectă, domeniul departamenului de calculatoare de la Ministerul Educaţiei fiind depc.edu. Ca un serviciu

mailto:[email protected]�

pentru cei care nu ştiu acest lucru, totuşi, se poate genera o intrare CNAME pentru a dirija persoanele şi programele în direcţia corectă.

Tipul PTR se referă, la fel ca şi CNAME la alt nume. Spre deosebire de CNAME care este în realitate o macro-definiţie, PTR este un tip de date , utilizată în practică pentru asocierea unui nume cu o adresă IP, pentru a permite căutarea adresei IP şi obţinerea numelui sistemului de calcul corespunzător. Acest tip de căutări se numesc căutări inverse (reverse lookups).

• Valoare poate fi un număr, un nume de domeniu sau un cod ASCII

Exemplul de mai jos poate fi un mic segment dintr-o posibilă bază de date DNS pentru an.ofd.nl

an.ofd.nl 86400 A 194.43.54.234

ros.an.ofd.nl 86400 MX 2 iris.an.ofd.nl

www.an.ofd.nl 86400 CNAME dream.an.ofd.nl

Sugestii metodologice Se recomandă efectuarea în timpul orelor de laborator a unor exerciţii de identificare formatelor unor înregistrări date.


UNDE ? Se recomandă predarea conţinutului într-un cabinet dotat cu o reţea de calculatoare conectate la Internet sau într-o sală de curs dotată cu vodeoproiector CUM? Conţinuturile se pot preda cu ajutorul metodei Conversaţia euristică Se recomandă utilizarea unor planşe , fişe de documentare sau prezentări multimedia Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.


http://www.an.ofd.nl/�

Tema 7 Suita de protocoale TCP/IP

Fişa suport Protocoale TCP/IP


Un protocol de reţea reprezintă un set de reguli care guvernează comunicaţiile între echipamentele conectate într-o reţea. Specificaţiile protocoalelor definesc formatul mesajelor care sunt transmise şi care sunt primite asigurând totodată

şi sincronizarea. Sincronizarea asigură un anumit interval de timp maxim pentru livrarea mesajelor,astfel încât calculatoarele să nu aştepte nedefinit sosirea unor mesaje care este posibil să se fi pierdut.

Protocoalele TCP/IP (Transport Control Protocol/Internet Protocol) sunt organizate pe nivelurile modelului de date TCP/IP şi sunt caracterizate prin următoarele:

• Nu sunt specifice furnizorilor de echipamente;

• Au fost implementate pe orice tip de calculatoare începând cu calculatoare personale, minicalculatoare, calculatoare şi supercalculatoare.

• Aceste protocoale sunt utilizate de către diverse agenţii guvernamentale şi comerciale din diverse oraş

HTTP (Hyper Text transfer Protocol) - Protocol de transfer al hypertextului –guvernează cum, de exemplu, fişierele de tip text, grafică, sunet şi video sunt interschimbate pe Internet sau World Wide Web (www). Prin hypertext se înţelege o colecţie de documente unite între ele prin legături (link) ce permit parcurgerea acestora bidirectional.

Aplicaţiile care folosesc acest protocol trebuie să poată formula cereri şi/sau recepţiona răspunsuri (modelul client-server). Clientul cere accesul la o resursă, iar serverul răspunde printr-o linie de stare (care conţine, printre altele, un cod de succes sau eroare şi, în primul caz, datele cerute).

Resursa trebuie să poată fi referită corect şi fără echivoc. Pentru referirea unei resurse în Internet, se foloseşte termenul generic URI - Uniform Resource Identifier. Dacă se face referire la o locaţie spunem că avem de a face cu un URL - Universal Resource Locator. Dacă se face referire la un nume avem de-a face cu un URN- Universal Resource Name

Adresarea unei resurse în Internet se face prin construcţii de forma protocol://[servciu].nume_dns[.nume_local/cale/subcale/nume_document

Cererile sunt transmise de software-ul client HTTP, care este şi o altă denumire pentru un browser web.

Altfel spus, protocolul HTTP este specializat în transferul unei pagini web între browserul clientului şi serverul web care găzduieşte pagina respectivă. HTTP defineşte exact formatul cererii pe care browserul o trimite, precum şi formatul răspunsului pe care serverul i-l returnează. Conţinutul paginii este organizat cu ajutorul codului HTML

(Hyper Text Markup Language), dar regulile de transport al acesteia sunt stabilite de protocolul http.

TELNET –este o aplicaţie destinată accesului, controlului şi depanării de la distanţă a calculatoarelor şi a dispozitivelor de reţea. Acest protocol permite utilizatorului să se conecteze la un sistem de la distanţă şi să comunice cu acesta printr-o interfaţă. Folosind telnetul, comenzile pot fi date de pe un terminal amplasat la distanţe foarte mari faţă de computerul controlat, ca şi când utilizatorul ar fi conectat direct la acesta. TelNet asigură o conexiune logică între cele două echipamente: cel controlat şi cel folosit ca terminal numită sesiune telnet.

FTP(File Transfer Protocol) – este protocolul care oferă facilităţi pentru transferul fişierelor pe sau de pe un calculator din reţea. De multe ori pentru această acţiune utilizatorul este nevoit să se autentifice pe calculatorul de pe care doreşte să încarce/descarce fişiere. Facilitatea cunoscută sub numele de anonymous ftp lucrează cu un cont public implementat pe calculatorul gazdă, numit guest.

În general, când se iniţiază un transfer prin ftp trebuie precizate următoarele aspecte:

Tipul fişierului.- Se specifică maniera în care datele conţinute de un fişier vor fi aduse într-un format transportabil prin reţea:

• fişiere ASCII – calculatorul care transmite fişierul îl converteşte din formatul local text în format ASCII.

• fişiere EBCDIC – similar cu ASCII

• fişiere binare (binary) – fişierul este transmis exact cum este memorat pe

calculatorul sursă şi memorat la fel pe calculatorul destinaţie

• fişiere locale – folosite în mediile în care cel care transmite precizează numărul de biti/byte

Controlul formatului – se referă la fişierele text care sunt transferate direct către o imprimantă:

Structura

Modul de transmitere care poate fi:

• Stream – fişierul este transferat într-o serie de bytes

• Bloc – fişierul este transferat bloc cu bloc, fiecare cu un header

• Comprimat – se foloseşte o schemă de comprimare a secvenţelor de bytes identici.

În timpul unui transfer prin ftp nu există nici un mecanism de negociere a

transmisiei.

MAIL(POŞTA ELECRONICĂ)

Toate programele specializate în poşta electronică funcţionează pe baza unor protocoale de comunicaţie.

SMTP(Simple Mail transport Protocol) – Protocolul de transport simplu de e-mail – oferă servicii de transmitere de mesaje peste TCP/IP şi suportă majoritatea programelor de e-mail de pe Internet.

SMTP este un protocol folosit pentru a transmite un mesaj electronic de la un client la un server de poştă electronică. După stabilirea conexiunii TCP la portul 25 (utilizat de SMTP), calculatorul-sursă(client) aşteaptă un semnal de la calculatorul-receptor (server). Serverul începe să emită semnale declarându-şi identitatea şi anunţând dacă este pregătit sau nu să primească mesajul. Dacă nu este pregătit, clientul părăseşte conexiunea şi încearcă din nou, mai târziu. Dacă serverul este pregătit să accepte mesajul, clientul anunţă care este expeditorul mesajului şi care este destinatarul. Dacă adresa destinatarului este validă, serverul dă permisiunea de transmitere a mesajului. Imediat clientul îl trimite, iar serverul îl primeşte. După ce mesajul a fost transmis, conexiunea se închide.

Pentru ca un client al serviciului de poştă electronică să primească un mesaj de la serverul specializat în aceste tipuri de servicii, apelează fie la Post Office Protocol (POP), fie la Internet Message Access Protocol (IMAP) Spre deosebire de POP(mai vechi) care presupune că utilizatorul îşi va goli cutia poştală pe calculatorul personal la fiecare conectare şi va lucra deconcectat de la reţea (off-line) după aceea, IMAP păstrează pe serverul de e-mail un depozit central de mesaje care poate fi accesat on-line de utilizator de pe orice calculator.

Protocolul DHCP (Dynamic Host Configuration Protocol) are scopul de a permite calculatoarelor dintr-o reţea să obţină automat o adresă IP, printr-o cerere către serverul DHCP. Serverul poate să furnizeze staţiei respective toate informaţiile de configurare necesare, inclusiv adresa IP, masca de subreţea, default gateway, adresa serverului DNS, etc.

Astfel, când serverul primeşte o cerere de la o staţie, selectează adresa IP şi un set de informaţii asociate dintr-o mulţime de adrese predefinite care sunt păstrate într-o bază de date. Odată ce adresa IP este selectată, serverul DHCP oferă aceste valori staţiei care a efectuat cererea. Dacă staţia acceptă oferta, serverul DHCP îi împrumută adresa IP pentru o perioadă, după care o regenerează.

Generarea adreselor IP prin serverul DHCP este o metodă utilizată pe scară largă în administrarea reţelelor de mari dimensiuni.

Folosirea unui server DHCP simplifică administrarea unei reţele pentru că software-ul ţine evidenţa adreselor IP. În plus, este exclusă posibilitatea de a atribui adrese IP invalide sau duplicate.

Protocolul SNMP(Simple Network Manage Protocol) –permite administratorilor de reţea gestionarea performanţelor unei reţele, identificarea şi rezolvarea problemelor care apar, precum si planificarea dezvoltărilor ulterioare ale reţelei.

SNMP are trei componente de bază:

• Staţiile de administrare (Network Management Station) - pot fi oricare din calculatoarele reţelei pe care se execută programele de administrare

• Agenţii - dispozitivele administrate

• Informaţiile de administrare ( Management Information Base) – colecţie de date organizate ierarhic care asigură dialogul dintre staţia de administrare şi agenţi

Protocolul SNMP permite unei staţii de administrare să interogheze un agent cu privire la starea obiectelor locale şi să le modifice, dacă este necesar. În plus, dacă un agent sesizează că s-a produs un eveniment, trimite un raport către toate staţiile de administrare care îl interoghează ulterior pentru a afla detalii despre evenimentul care a avut loc.

Sugestii metodologice UNDE ? Se recomandă predarea conţinutului într-un cabinet dotat cu o reţea de calculatoare conectate la Internet sau într-o sală de curs dotată cu videoproiector CUM? Se recomandă predarea conţinuturilor prezentate prin metoda Conversaţiei euristice, Se recomandă utilizarea unor planşe ,simulări, fişe de documentare sau prezentări multimedia

Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi. Pentru evaluare se recomandă probe scrise şi practice

IV. Fişa rezumat Unitatea de învăţământ __________________

Fişa rezumat

Clasa ________________ Profesor______________________

Nr. Crt.

Nume şi prenume

elev

Competenţa 1 Competenţa 2 Competenţa 3 Observaţii A 1 A 2 A X A 1 A 2 A 3 A 1 A 2 A 3

1 zz.ll.aaaa3 2 3 4 ... Y

3 zz.ll.aaaa – reprezintă data la care elevul a demonstrat că a dobândit cunoştinţele, abilităţile şi atitudinile vizate prin activitatea respectivă

V. Bibliografie

1. Munteanu, Adrian. Greavu, Valerică (2006). Reţele locale de calculatoare, Iaşi: Editura Polirom

2. Tanenbaum, Andrew. (2003). Retele de calculatoare, Bucureşti: Editura Byblos

3. Timofte, Carmen. Constantinescu, Radu. Ilie-Nemedi, Iulian. Reţele de

calculatoare. Caiet de seminar . La http://biblioteca-digitala.ase.ro/biblioteca/ 20.05.2009

4. ***. La http://cisco.netacad.net/cnams/dispatch 01.05.2009

5. ***. La http://ralphb.net/IPSubnet 30.05.2009

6. ***. La www.ethermanage.com/ethernet/ethername.html 30.05.2009

7. ***. La http://en.wikipedia.org/wiki/LAN 3.06.2009

8. ***. La http://en.wikipedia.org/wiki/Wireless_LAN 3.06.2009

9. ***. La http://en.wikipedia.org/wiki/Peer-to-peer 4.06.2009

10. ***. La http://en.wikipedia.org/wiki/Client_server 4.06.2009

11. ***. La http://en.wikipedia.org/wiki/Token_Ring 4.06.2009

12. ***. La http://ro.wikipedia.org/wiki/Adres%C4%83_IP 30.05.2009

13. ***. La http://ro.wikipedia.org/wiki/TCP/IP 4.06.2009

http://biblioteca-digitala.ase.ro/biblioteca/�

http://cisco.netacad.net/cnams/dispatch�

http://ralphb.net/IPSubnet�

http://www.ethermanage.com/ethernet/ethername.html�

http://en.wikipedia.org/wiki/LAN�

http://en.wikipedia.org/wiki/Wireless_LAN�

http://en.wikipedia.org/wiki/Peer-to-peer�

http://en.wikipedia.org/wiki/Client_server%204.06.2009�

http://en.wikipedia.org/wiki/Token_Ring%204.06.2009�

http://ro.wikipedia.org/wiki/Adres%C4%83_IP�

http://ro.wikipedia.org/wiki/TCP/IP�

Reţele de calculatoare

Cuprins I. Introducere ................................................................................................................... 2 II. Documente necesare pentru activitatea de predare .................................................... 4 III. Resurse ...................................................................................................................... 5 Tema 7: Componentele fizice ale unei reţele de date ...................................................... 5

Fişa suport 7.1: Cabluri şi conectori utilizate în reţele de date ..................................... 5 Fişa suport 7.2: Echipamente utilizate în reţele de date ........................................... 16 Fişa suport 7.3: Interconectarea echipamentelor de reţea ......................................... 25

Tema 8: Instalarea şi configurarea plăcilor de reţea ...................................................... 30 Fişa suport 8.1 Configurarea unei plăci de reţea ....................................................... 30 Fişa suport 8.2 Configurarea unei conexiuni PPPoE ................................................. 33 Fişa suport 8.3 Configurarea unei conexiuni wireless ................................................ 37

Tema 9: Instalarea şi configurarea unui router / modem ADSL ..................................... 42 Fişa suport 9.1 Punerea în funcţiune a unui router / modem ADSL ........................... 42 Fişa suport 9.2 Configurarea serviciilor a unui router / modem ADSL ....................... 46

Tema 10: Depanarea unei reţele de calculatoare .......................................................... 50 Fişa suport 10 Verificarea şi depanarea reţelelor de date .......................................... 50


I. Introducere O caracteristică esenţială a pregătirii elevilor în cadrul învăţământului profesional şi tehnic este necesitatea corelării competenţelor dobândite în cursul formării profesionale cu cerinţele impuse în practicarea ocupaţiilor compatibile cu calificarea profesională obţinută în urma certificării. Din acest motiv, restructurarea învăţământului a însemnat printre altele si alegerea ca punct de plecare în stabilirea competenţelor tocmai finalitatea actului educaţional, şi anume, cerinţele impuse de piaţa muncii.

Prin materialul prezentat, autorii au dorit să propună profesorilor, maiştrilor instructori şi tutorilor de instruire practică implicaţi în pregătirea de specialitate a elevilor care urmează specializarea Tehnician operator tehnică de calcul nivel 3,care face parte din domeniul Electronică şi automatizări, conţinuturi orientative în concordanţă cu competenţele, criteriile de performanţă şi condiţiile de aplicabilitate stabilite de standardele de pregătire profesională.

Materialul propus acoperă conţinuturile prevăzute pentru unitatea de competenţă 27 Reţele de calculatoare, şi este însoţit de unele sugestii metodologice referitoare la metodologii, locaţii de desfăşurare a orelor de instruire şi metode de evaluare recomandate pe conţinuturi tematice.

El a fost elaborat pentru modulul Reţele de calculatoare ce se desfăşoară în 31 ore, din care:

Laborator tehnologic 16 ore.

Tema Fişa suport Competenţe vizate

Tema 7

Componentele fizice ale

unei reţele de date

Fişa 7.1

Cabluri şi conectori utilizate

în reţele de date

C1: Utilizează

componentele fizice

utilizate în reţelele de date

Fişa 7.2

Echipamente utilizate în

reţele de date

C1: Utilizează

componentele fizice


Fişa 7.3

Interconectarea

echipamentelor de reţea

C1: Utilizează

componentele fizice


Tema 8

Instalarea şi configurarea

plăcilor de reţea

Fişa 8.1

Configurarea unei plăci de

reţea

C1: Utilizează

componentele fizice


C2: Conectează un

calculator la o reţea de date

şi la internet

Fişa 8.2 C1: Utilizează

Configurarea unei conexiuni

PPPoE

componentele fizice


C2: Conectează un


şi la internet

Fişa 8.3

Configurarea unei conexiuni

wireless

C1: Utilizează

componentele fizice


C2: Conectează un


şi la internet

Tema 9


unui router / modem

ADSL

Fişa 9.1

Punerea în funcţiune a unei

router / modem ADSL

C1: Utilizează

componentele fizice


C2: Conectează un


şi la internet

Fişa 9.2

Configurarea serviciilor a unui

router / modem ADSL

C2: Conectează un


şi la internet

Tema 10

Depanarea unei reţele de

calculatoare

Fişa 10.1

Verificarea şi depanarea

reţelelor de date

C1: Utilizează

componentele fizice


Temele din prezentul material de predare nu acoperă toate conţinuturile prevăzute în curriculumul pentru modulul Reţele de calculatoare Pentru parcurgerea integrală a modulului în vederea atingerii competenţelor vizate / rezultate ale învăţării profesorul va avea în vedere şi materialul de predare Reţele de calculatoare partea I.


III. Resurse

Tema 7: Componentele fizice ale unei reţele de date

Fişa suport 7.1: Cabluri şi conectori utilizate în reţele de date

Acest material vizează competenţa / rezultat al învăţării : Utilizează componentele fizice utilizate în reţelele de date.

Componentele fizice ale unei reţele sunt necesare pentru a transporta date. Caracteristicile mediului determină unde şi cum sunt utilizate aceste medii.

Medii de transmisie in reţelele de date:

• Cablu coaxial • Cablu torsadat • Fibră optică

Ca alternativă folosim si tehnologia fără fir (Wireless) pentru transport de date.

Atenuarea

Atenuarea reprezintă pierderea în putere a semnalului electric, pe măsură ce aceasta parcurge cablul.

Interferenţa

Interferenţa este întâlnirea undelor (sonore, luminoase, electromagnetice etc.) coerente, în urma căreia unele slăbesc sau se distrug, iar altele se intensifică.

Impedanţa

Impedanţa reprezintă rezistenţa, măsurată în ohmi, a cablului străbătut de curent alternativ.

Diafonia

Diafonia (Crosstalk) este un cuplaj magnetic neintenţionat dintre conductoare aflate la o distanţă relativă foarte mică.

http://ro.wikipedia.org/w/index.php?title=Conductor&action=edit&redlink=1�

Efectul de anulare

Efectul de anulare (cancellation effect) se produce când cele doua fire se află unul lângă celelalt, torsadate, şi câmpurile magnetice se anulează reciproc. Fără această proprietate, reţeaua ar fi foarte lentă din cauza interferenţelor cauzate de câmpurile magnetice.

Cablul coaxial

Cablul coaxial constă dintr-un miez de cupru solid, înconjurat de un înveliş izolator, apoi de un strat de ecranare format dintr-o plasă metalică şi de o cămaşă exterioară de protecţie (Fig 7.1.1). Ecranele protejează datele transmise prin cablu, eliminând zgomotul, astfel datele nu vor fi distorsionate. Miezul unui cablu coaxial transportă semnale electrice. Aceste semnale electrice reprezintă datele. Miezul poate sa fie solid sau multifilar. Miezul este înconjurat de o plasă de sârmă sau o folie de aluminiu subţire. Miezul şi plasa de sârmă, sunt separate cu un strat izolator dielectric. Dacă miezul şi plasa de sârmă se ating, se produce un scurtcircuit. Acesta conduce la distrugerea datelor care circulă prin cablu. Întregul cablu este înconjurat de o cămaşă protectoare externă, care este fabricată din plastic. Cablul coaxial este destul de rezistent la interferenţe. Acesta a fost motivul pentru care cablul coaxial a fost utilizat în cazul distanţelor mari.

Tipuri de cablu coaxial:

Thicknet sau 10BASE5 – Cablu coaxial gros care a fost folosit in reţelistică şi funcţiona la viteze de 10 megabiţi pe secundă până la o distanţă maximă de 500 de metri.

Thinnet 10Base2 – Cablu coaxial subţire, care a fost folosit în reţelistică şi funcţiona la viteze de 10 megabiţi pe secundă până la o distanţă maximă de 185 de metri, după ce semnalul începea să se atenueze. Face parte din familia numită RG-58 şi are o impedanţă de 50 ohmi.

Thicknet 10BASE5 Thinnet 10BASE2

Fig. 7.1.1 Cabluri coaxiale

Conectori pentru cabluri coaxiale

Pentru conectarea la calculator se folosesc componente de conectare BNC (British Naval Connector).

a) Conectorul de cablu (Fig. 7.1.2) este sertizat la cele două capete ale cablului. b) Conectorul BNC-T (Fig. 7.1.3) cuplează placa de reţea din calculator la cablul de

reţea. c) Conector BNC bară (Fig. 7.1.4) conectează doua segmente de cablu coaxial

subţire. d) Terminatorul BNC (Fig. 7.1.5) se foloseşte la fiecare capăt al magistralei pentru a

absorbi semnalele parazite. Fără terminatoare o reţea de tip magistrală nu poate funcţiona.

Cablul torsadat (Twisted Pair)

Cablul torsadat este un tip de cablu, care in compoziţia sa conţine cupru. Se foloseşte in reţelele telefonice şi în majoritatea reţelelor Ethernet. Constă din două fire de cupru izolate, răsucite unul împrejurul celuilalt. O pereche de fire formează un circuit. Torsadarea oferă protecţie împotriva interferenţelor cauzate de celelalte perechi de fire din cablu. Perechile de fire de cupru sunt acoperite intr-o izolaţie de plastic codificată pe culori şi sunt torsadate împreuna. O izolaţie exterioară protejează fasciculul de perechi torsadate.

Funcţionare, anularea surselor de zgomot

La trecerea curentului printr-un fir de cupru, este creat un câmp magnetic în jurul firului. Fiecare circuit are doua fire, iar intr-un circuit cele doua fire au câmpuri magnetice de sens opus. Astfel se produce efectul de anulare a câmpurilor magnetice.

Fig. 7.1.2 Conector de cablu BNC Fig. 7.1.3 Conector BNC-T

Fig. 7.1.4 Conector BNC bară Fig. 7.1.5 Terminator BNC

Tipuri de cablu torsadat:

Cablu torsadat neecranat (Unshielded twisted-pair - UTP) – Cablu care are patru perechi de fire (Fig. 7.1.6). Acest tip de cablu se bazează numai pe efectul de anulare obţinut prin torsadarea perechilor de fire care limitează degradarea semnalului cauzată de interferenţe electromagnetice (EMI) şi interferenţe în frecvenţa radio (RFI). UTP este cel mai folosit tip de cablu în reţele. Lungimea unui segment poate fi de maxim 100 m.

Cablu torsadat ecranat (Shielded twisted-pair - STP) – Fiecare pereche de fire este acoperită de o folie metalică pentru a ecrana şi mai bine zgomotul (Fig. 7.1.7). Patru perechi de fire sunt ulterior învelite într-o altă folie metalică. STP reduce zgomotele electrice din interiorul cablului. De asemenea reduce EMI şi RFI din exterior. Lungimea unui segment poate fi de maxim 100 m.

Cablul torsadat în folie (Folied Twisted Pair - FTP) – Cablul FTP este un cablu UTP în care cele patru perechi de conductori sunt înveliţi într-o folie exterioară de folie de aluminiu (Fig 7.1.8). Ecranarea are scopul de a proteja cablul împotriva interferenţelor externe. Folia exterioară are, de asemenea, rolul de conductor de împământare. Lungimea unui segment poate fi de maxim 100 m.

Fig. 7.1.6 Cablu torsadat neecranat UTP

Fig. 7.1.7 Cablu torsadat ecranat STP

Standarde şi specificaţii

Standardul EIA/TIA 568 cuprinde specificaţiile cablului UTP referitor la cablarea clădirilor comerciale. EIA/TIA – Electronic Industries Association / Telecommunications Industries Association

1. Categoria 2 (CAT2) este certificat pentru transmisii de date de până la 4 Mbps (Megabiţi per secundă). Conţine patru perechi torsadate.




5. Categoria 5e (CAT5e) este certificat pentru transmisii de date de până la 100 Mbps (Megabiţi per secundă). Conţine patru perechi torsadate. Are mai multe torsadări pe metru decât cel de categoria 5. Este descris de standardul EIA/TIA 568-B. Este cel mai folosit tip de cablu în zilele noastre.

6. Categoria 6 (CAT6) este certificat pentru transmisii de date de până la 1Gbps (Gigabiţi per secundă). Conţine patru perechi răsucite. Impune specificaţii mai stricte pentru interferenţe (crosstalk) şi zgomotul de fundal (system noise).

7. Categoria 6A (CAT6A) este certificat pentru transmisii de date de până la 10 Gbps (Gigabiţi per secundă). Conţine patru perechi răsucite care pot avea un despărţitor central pentru a separa perechile din interiorul cablului.

Comparaţie - avantaje şi dezavantaje

Tip cablu UTP Perechi torsadate

Rată transfer de date

Distanţa maximă a unui segment

CAT2 4 4 Mbps Nu mai este folosită CAT3 4 10 Mbps Nu mai este folosită CAT4 4 16 Mbps Nu mai este folosită CAT5 4 100 Mbps 100 metri CAT5e 4 100 Mbps 100 metri CAT6 4 1 Gbps 100 metri CAT6A 4 10 Gbps 100 metri

Fig. 7.1.8 Cablu torsadat în folie FTP

Conectori şi prize folosite pentru UTP şi STP / FTP

Tipul de conector şi priză folosit pentru cablul UTP şi STP / FTP se numeşte 8 Position 8 Contact (8P8C). Chiar dacă denumirea de conector şi priză RJ-45 este greşită, noi o vom folosi pentru că denumirea este larg răspândită. Pentru cablul torsadat UTP folosim conectorul RJ-45 neecranat, pentru STP şi FTP folosim conectorul RJ-45 ecranat (Fig. 7.1.9).

Conectorul şi priza RJ-45 are 8 pini care fac legătura între firele cablului torsadat şi priza UTP care se află îngropată în echipamente, de exemplu: în plăci de reţea (Fig 7.1.10).

Conectorul RJ-45 nu este identic cu conectorul RJ-11! Chiar dacă la prima vedere arată la fel, între cele două tipuri de conectori există diferenţe mari. Conectorul RJ-45 are dimensiuni mai mari faţă de RJ-11 şi nu se potriveşte într-o priză RJ-11. Conectorul RJ-45 conţine opt conexiuni pentru fire, conectorul RJ-11 are numai patru conexiuni. Conectorul RJ-11 este folosit în telefonia analogică şi digitală.

Cleşte sertizat UTP - se foloseşte pentru montarea conectorului RJ-45 ecranat sau neecranat (Fig 1.1.1.11).

Punchdown tool (Crone tool)- se foloseşte pentru fixarea (fixarea) firelor torsadate în priza RJ-45 şi patch panel (Fig 7.1.11).

Fig. 7.1.9 Conectori RJ-45 ecranat şi neecranat

Fig. 7.1.10 Priză RJ-45

Fig. 7.1.11 Cleşte sertizor Punchdown tool

Pentru cablul torsadat STP şi FTP nu folosiţi conector RJ-45 neecranat! În acest caz ecranarea cablului se va comporta ca o antenă, care poate duce la distrugerea datelor care circulă prin cablu. Montarea conectorului RJ-45 se face conform standardelor TIA/EIA-568A şi TIA/EIA-568B (Fig. 7.1.12).

Conectorii RJ-45 folosţi pentru terminarea cablurilor UTP conţin 8 găuri în care trebuie introduse cele 8 fire, apoi cu ajutorul unui cleşte de sertizat UTP se sertizează mufa. În dreptul fiecărei găuri din mufă se află o lamelă metalică care iniţial este deasupra găurii, astfel încât firul intră uşor. În timpul acestui proces de sertizare lamela metalică din dreptul fiecărei găuri este apăsată şi străpunge firul, astfel se realizează contactul electric.

Trebuie acordată mare atenţie la detorsadarea firelor! Atunci când este îndepărtat manşonul de plastic cu ajutorul unui tăietor de cabluri şi sunt detorsadate perechile pentru a putea introduce firele în conector, trebuie avută mare grijă ca bucata de cablu detorsadat să fie cât mai mică. În caz contrar, va apărea o interferenţă între fire, generând crosstalk (diafonie). Trebuie tăiaţi cam 3-4 cm din manşon, apoi sunt detorsadate firele, sunt aranjate în ordinea dorită conform standardului, iar apoi cu ajutorul unor lame pe care le are cleştele de sertizat, sunt tăiate firele, lăsând cam 3/4 din lungimea mufei. În acest fel firele vor ajunge până în capătul mufei, asigurând un contact electric perfect, iar bucata detorsadată va fi aproape inexistentă, minimizând riscul apariţiei crosstalk-ului (Fig 7.1.13).

Fig. 7.1.12 Ordinea firelor în conectorul şi priza RJ-45 conform standardelor TIA/EIA 568A şi TIA/EIA 568B

Fibră optică (Fiber Optic)

În acest tip de cablu, fibrele optice transportă semnale de date digitale sub forma unui impulsuri luminoase modulate. Prin fibră optică nu se circulă semnale electrice, ca urmare, este un mod sigur pentru transport de date, deoarece datele nu pot fi interceptate.

Un cablu cu fibră optică, este format dintr-una sau mai multe fibre optice învelite intr-o teacă sau cămaşă. Fibra optică este un conductor din sticlă sau plastic. Fibrele optice sunt alcătuite dintr-un cilindru de sticlă, numit armatură. Un cablu cu fibră optică, conţine una sau mai multe fibre optice acoperite de o teacă sau cămaşă.

Fiecare fibră de sticlă transmite semnalele într-o singură direcţie!

Funcţionare, anularea surselor de zgomot

Datorita faptului ca este confecţionat din sticlă, cablul cu fibră optică nu este afectat de interferenţe electromagnetice sau interferenţe cu frecvenţe radio. Toate semnalele sunt convertite în impulsuri de lumină pentru a intra în cablu, si convertite înapoi în semnale electrice când părăsesc cablul. Un cablu cu fibră optică poate transmite semnale care sunt mai clare, ajung mai departe şi au o lăţime de banda mai mare decât cablurile de cupru sau alte cabluri metalice. Cablurile cu fibră optică pot străbate distanţe de câţiva kilometri înainte de a fi nevoie ca semnalul să fie regenerat.

Exista două tipuri de cabluri cu fibră optică (Fig 7.1.14):

Multimode – Cablul are un miez mai gros decât cablul single-mode. Este mai uşor de fabricat, poate folosi surse de lumină mai simple (LED-uri) şi funcţionează bine pe distanţe de câţiva kilometri sau mai puţin.

Single-mode – Cablul are un miez foarte subţire. Este mai greu de fabricat, foloseşte laser pentru semnalizare şi poate transmite semnale la distanţe de zeci de kilometri.

Fig. 7.1.13

Conectare defectuasă – firele nu mai sunt răsucite pentru o

lungime prea mare.

Conectare bună – firele sunt de-răsucite doar pentru

porţiunea necesară sertizării.

Conectori folosite pentru fibră optică

Exista mai multe tipuri de conectori: SC, ST, LC, MT, MIC (FDDI) si FC (Fig 7.1.15). Aceste tipuri de conectori pentru fibra optică sunt half-duplex, ceea ce permite datelor să circule intr-o singură direcţie. Astfel, pentru comunicaţie este nevoie de două cabluri (fire).

Comparaţie între diferite tipuri de cabluri

Caracteristici Cablu coaxial

subţire / gros

Cablu torsadat neecranat UTP

Cablu torsadat ecranat STP

Cablu cu fibră optică single-

mode / multimode

Costul cablului Mai scump Cel mai ieftin Puţin mai scump Cel mai

Fig. 7.1.14 Fire de fibră optică

Fig. 7.1.15 Conectori pentru fibră optică - SC, ST, LC, MT, MIC (FDDI), FC

SC ST LC

MT MIC FC

decât cablul torsadat

decât cablul UTP scump

Lungimea utilizabilă a unei

segment 185m / 500m 100m 100m Zeci de km /

câţiva km

Viteze de transmisie

(depinde de categoria cablului)

10 Mbps

Cat2 – 4 Mbps Cat3 – 10 Mbps Cat4 – 16 Mbps Cat5 – 100 Mbps Cat5e – 100 Mbps Cat6 – 1Gbps Cat6A – 10 Gbps

Cat5 – 100 Mbps Cat5e – 100 Mbps Cat6 – 1Gbps Cat6A – 10 Gbps

1-10 Gbps

Flexibilitate Mai puţin flexibil Cel mai flexibil Mai puţin flexibil ca

cablul UTP Foarte flexibil

Uşurinţa de instalare

Uşor de instalat

Uşor de instalat, uşor de preinstalat

Uşor de instalat, uşor de preinstalat

Uşor de instalat

Sensibilitate la interferenţe

Rezistenţă bună la

interferenţe

Sensibil la interferenţe

Mai puţin sensibil la interferenţe ca

cablul UTP

Nu este afectat de

interferenţe

Recomandări de utilizare

Nu se mai foloseşte

Reţele cu buget mic, reţele locale cu

dimensiuni mici sau mijlocii

Reţele cu buget mic, reţele locale

cu dimensiuni mici sau mijlocii

Reţele de orice

dimensiuni, care solicită viteze mari şi

securitate înaltă

Sugestii metodologice UNDE? Conţinutul poate fi predat în laboratorul de informatică sau într-o sală care are videoproiector sau flipchart. CUM? Se recomandă utilizarea calculatoarelor pentru activităţile de fixare a noilor cunoştinţe. Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.

Ca materiale suport se pot folosi: • O prezentare multimedia care să cuprindă următoarele noţiuni:

Pentru fiecare tip de cablu denumirea cablului Purtătorul de date Mod de funcţionare Conectori folosite pentru fiecare tip de cablu Scule folosite pentru montarea conectoarelor Cazurile în care folosim un anumit tip de cablu Comparaţie între diferite tipuri de cabluri

• Activităţi interactive, de genul următor:

Activităţi drag & drop cu imaginea cablurilor şi denumirea lor Activităţi de asociere între cabluri şi conectori Exerciţii: adevărat sau fals? Activităţi de tip rebus cu noţiunile învăţate

Ca metodă se poate folosi un Studiu de caz cu tema “Planul reţelei locale - alegerea mediului fizic de reţea”

Ca materiale de evaluare se pot folosi: Probe practice, scrise şi orale


Fişa suport 7.2: Echipamente utilizate în reţele de date


Placa de reţea Placa de reţea funcţionează ca interfaţă fizică între calculator şi cablul de reţea. Placa de reţea este instalată într-unul dintre sloturile de expansiune a fiecărui calculator, care este conectat la reţea. După ce placa de reţea a fost instalată la unul dintre sloturile de expansiune, se conectează cablul de reţea (placa de reţea Wireless nu necesită folosirea cablului de reţea).

Rolul plăcii de reţea

1. Pregăteşte datele din calculator pentru a fi transmise prin cablul de reţea 2. Transmite datele către alte calculatoare 3. Controlează fluxul de date dintre calculator şi cablul de reţea

Nivelul OSI în care funcţionează O placă de reţea conţine circuite electronice (hardware) şi programe păstrate în memorii protejate la scriere (firmware). Aceste circuite şi programe împreună implementează funcţiile nivelului de legătură de date (Data Link) al modelului OSI. Fiecare placă de reţea are propria sa adresă MAC (Media Access Control address) pentru scopuri de identificare în reţea. Placa de reţea, este unic identificabil între toate dispozitivele de acest tip produse vreodată în lume prin ceea ce poartă numele de adresă MAC. Adresa MAC este inscripţionată la momentul fabricaţiei în chipul de memorie ROM al plăcii de reţea (Read-Only memory) al cărei conţinut nu poate fi modificat şi care se păstrează chiar dacă adaptorul nu este alimentat cu energie electrică). Adresa MAC constă într-o secvenţă numerică formată din 6 grupuri de câte 2 cifre hexadecimale (în baza 16) de tipul 00-0A-E4-A6-78-FB.

Fig. 7.2.1 Plăci de reţea wired (cu fir) şi wireless (fără fir)

Tipuri de placi de reţea (Fig. 7.2.1)

a) Placă de reţea wired – ca purtător de date foloseşte semnale electronice prin cablu de reţea, corespunzător arhitecturii de reţea.

b) Placă de reţea wireless – ca purtător de date foloseşte unde radio. Pentru transmiterea şi recepţia datelor în reţea se foloseşte antenă.

Hub (Repetor multiport)

Pe măsură ce semnalul traversează cablul, el se degradează şi se distorsionează (atenuează). În cazul în care cablul este destul de lung, atenuarea devine destul de mare, datele vor deveni necunoscute împiedicând comunicarea în reţea. Un repetor (Fig. 7.2.2) permite transportul semnalului pe o distanţă mai mare. De obicei un hub (Fig 7.2.3) conţine mai multe porturi, deci de fapt este un repetor multiport . Pe aceste porturi putem conecta calculatoare sau alte echipamente de reţea cu ajutorul cablurilor de reţea. Hub-urile mai sunt denumite si concentratoare, deoarece au rolul unui punct central de conectare pentru un LAN.

Domeniu de coliziune (colision domain) - apare atunci când mai multe dispozitive împart acelaşi mediu de transmisie. Calculatoarele conectate la un hub alcătuiesc împreună un domeniu de coliziune, unde se ciocnesc (fenomenul de coliziune) pachetele trimise în acelaşi timp de către calculatoare.

Rolul unei hub

1. Primirea datelor (semnalelor electronice) pe unul dintre porturi 2. Regenerarea datelor (semnalelor electronice) distorsionate 3. Trimiterea datelor (semnalelor electronice) regenerate pe toate celelalte porturi

Acest proces înseamnă că tot traficul generat de un echipament conectat la hub, este trimis către toate celelalte echipamente conectate la hub de fiecare data când hub-ul transmite date. Dacă două calculatoare se decid să transmită în acelaşi timp, va apărea o coliziune în interiorul lui şi datele respective vor fi corupte. Astfel se generează o cantitate mare de trafic in reţea. Acest fapt va fi resimţit de către toate dispozitivele conectate la hub.

Fig. 7.2.2 Repetor – semn convenţional

Fig. 7.2.3 Hub - semn convenţional

Nivelul OSI în care funcţionează

Un hub funcţionează la nivelul fizic (Physical Layer) din modelul OSI, regenerând semnalele din reţea şi retransmiţându-le pe alte segmente prin intermediul porturilor.

Pentru transmiterea datelor printr-un repetor, de pe un segment pe altul, pachetele şi protocoalele LLC (Logical Link Control) trebuie să fie identice pe ambele segmente. Aceasta înseamnă că un Hub nu permite comunicarea între reţele diferite, de exemplu între o reţea de tip Ethernet şi una Token Ring.

Switch (Bridge multiport)

Un switch (Fig. 7.2.5) permite transportul semnalului pe o distanţă mai mare. De obicei un switch conţine mai multe porturi. Pe aceste porturi putem conecta calculatoare sau alte echipamente de reţea cu ajutorul cablurilor de reţea.

Graniţele dintre segmente pot fi definite folosind un bridge (Fig. 7.2.4, Fig. 7.2.6). Bridge-ul are două porturi prin care se conectează la două cabluri de reţea. Un bridge este un echipament folosit pentru a filtra traficul de reţea intre segmentele unui LAN. Bridge-urile păstrează în memorie informaţii despre toate echipamentele aflate pe fiecare segment cu care sunt conectate. Un bridge poate avea doar două porturi, conectând două segmente ale aceleiaşi reţele. Un switch se poate considera ca un bridge multiport. Un switch menţine o tabelă cu adresele MAC al calculatoarelor care sunt conectate la fiecare port. Când un cadru este primit pe un port, switch-ul compară informaţiile de adresă din cadru cu tabela sa de adrese MAC. Switch-ul determină ce port să folosească pentru a trimite cadrul mai departe.

Rolul unui switch

1. Verificarea adresei de sursă şi de destinaţie a fiecărui pachet care soseşte pe unul dintre porturi.

2. Transferul pachetelor mai departe în modul următor: dacă destinaţia apare în tabela de rutare, switch-ul transferă pachetele spre segmentul (portul) respectiv, dacă destinaţia nu se regăseşte în tabela de rutare, switch-ul transmite pachetele către toate segmentele (porturile).

Fig. 7.2.5 Switch – semn convenţional

Fig. 7.2.4 Bridge – semn convenţional

Segmentare - Mărirea numărului de domenii de coliziune care se poate realiza prin intermediul unui bridge sau switch. Acesta realizează filtrarea traficului, astfel încât calculatoarele aflate într-un domeniu de coliziune să poată comunica între ele nestânjenite de activitatea de pe alte domenii de coliziune. Acest proces înseamnă că traficul generat de un echipament conectat la switch este trimis spre toate celelalte echipamente, numai dacă destinaţia nu se regăseşte in tabela de rutare a switch-ului . Astfel se reduce cantitatea de trafic generată in reţea.


Switch-ul funcţionează la nivelul Legătură de date (Data Link) al modelului OSI, la subnivelul de Control al accesului la mediu (MAC – Media Access Control) . Din această cauză, toate informaţiile de pe nivelurile superioare ale modelului OSI le sunt inaccesibile şi ca urmare nu distrug protocoalele între ele. Switch-ul transferă toate protocoalele în reţea, astfel încât rămâne la latitudinea calculatoarelor să determine protocoalele pe care le recunosc. Prin faptul că folosesc tabele de rutare pentru a controla pachetele care sunt transferate spre alte segmente, switch-urile reduc traficul de reţea. Acest control al fluxului de date este cunoscut sub numele de segmentare a traficului de reţea. Prin faptul că un switch învaţă unde să transfere datele, putem să spunem că switch-ul are un oarecare grad de inteligenţă.

Router (Ruter) In timp ce un switch conectează segmente ale unei reţele, routerele interconectează mai multe reţele. O reţea complexă necesită un dispozitiv care nu doar recunoaşte adresa fiecărui segment, ci determină şi cea mai bună cale (rută) pentru transmiterea datelor şi filtrarea traficului de difuzare pe segmentul local. Switch-urile folosesc adresele MAC pentru a transmite un cadru în interiorul unei reţele. Routerele folosesc adrese IP pentru a transmite cadrele către alte reţele. Pentru a putea trimite eficient un pachet de date către destinaţie, este nevoie să se cunoască “topologia” reţelei de comunicaţie. Acest lucru este realizat prin intermediul protocoalelor de rutare. Routerele schimbă permanent între ele informaţii despre topologia reţelei.

Fig. 7.2.6 Switch

Un ruter poate fi un calculator care are instalat un software special sau poate fi un echipament special conceput de producătorii de echipamente de reţea (Fig 7.2.7, Fig. 7.2.8). Routerele conţin tabele de rutare cu adrese IP împreună cu căile optime către alte reţele destinaţie.

Rolul unui router

1. Determină adresa de destinaţie a pachetelor pe care le primeşte cu ajutorul unor tabele de rutare, care conţin următoarele informaţii:

a) Toate adresele cunoscute din reţea b) Modul de conectare la o altă reţea c) Căile (rutele) posibile între routere d) Costul transmiterii datelor pe aceste căi

2. Pe baza costului şi a căilor disponibile, routerul alege cea mai bună cale de transmitere a datelor şi transmite datele spre destinaţie.


Routerele funcţionează la nivelul Reţea al modelului OSI. La acest nivel routerul poate comuta şi ruta (dirija) pachete între diferite reţele. Routerul citeşte informaţiile complexe de adresă din pachet. Routerul funcţionează la un nivel superior punţilor (bridge) în modelul OSI, deci are acces la informaţii suplimentare. Routerul poate comuta pachetele între diferite tipuri de reţele. Comunicaţia prin Internet se desfăşoară prin intermediul routerelor.

Wireless access point (Punct de acces fără fir)

Punctele de acces fără fir (Fig. 7.2.9) fac posibilă echipamentelor care folosesc tehnologia wireless, să se conecteze la o reţea cablată. Aceste echipamente sunt: calculatoare desktop echipate cu placă de reţea wireless, calculatoare portabile (laptop), echipamente PDA, telefoane mobile cu tehnologie wireless încorporată.

Fig. 7.2.7 Router - semn convenţional

Fig. 7.2.8 Router

Punctele de acces wireless folosesc unde radio pentru a se comunica cu alte echipamente wireless sau alte puncte de acces wireless. Punctele de acces wireless sunt transparente, ceea ce înseamnă că un calculator poate să se comunice cu reţeaua cablată ca şi cum ar fi legat direct la reţeaua cablată prin cablu. Un punct de acces wireless are o rază de acoperire limitată. Obstacolele reduc aria de acoperire a unei punct de acces wireless. Pentru asigurarea unei acoperiri mai bune putem folosi mai multe puncte de acces wireless în aceeaşi reţea, sau putem folosi o antenă cu o putere mai mare de difuzare.

Modem DSL / ADSL (Asymmetric Digital Subscriber Line)

Un modem DSL (Fig. 7.2.10) este un echipament care face posibil conectarea unui calculator sau router la o linie telefonică digitală DSL pentru scopul folosirii unui serviciu ADSL. Ca şi un modem obişnuit şi modemul DSL este un transceiver (transmitter – receiver = transmiţător - receptor). Cu ajutorul acestui echipament putem să conectăm un calculator, sau o reţea LAN la internet. Pentru conectarea unui modem DSL cu calculatorul, putem folosi o conexiune prin USB sau Ethernet. Într-o linie DSL rata de transfer pentru download este mult mai mare decât rata de transfer pentru upload, de exemplu, 8 Mbit/sec. download şi 1 Mbit/sec. upload.

DSL modem / router sau Residental gateway – modem inteligent, care poate partaja serviciul ADSL cu mai multe calculatoare sau cu o reţea întreagă. Un astfel de modem ADSL poate fi folosit în scopul conectării pe internet, acasă sau la birou şi de obicei conţine şi un firewall pentru protejarea reţelei LAN şi a calculatoarelor.

Fig. 7.2.9 Wireless access point

Fig. 7.2.10 Modem semn convenţional

http://en.wikipedia.org/wiki/Asymmetric_Digital_Subscriber_Line�

DSLAM (Digital Subscriber Line Access Multiplexer) - pentru a pune datele de download si de upload pe o linie DSL este nevoie de două tipuri de echipamente: un modem ADSL la client si un system terminator pentru modemul ADSL (DSLAM) la provider (Fig. 7.2.11).

Cable modem (Modem de cablu)

Un modem de cablu (7.2.12) este folosit pentru conectarea unui calculator sau a unei reţele la internet. Modemul de cablu foloseşte reţeaua companiei de televiziune prin cablu. Toate modemurile de cablu conţin : un tuner, un demodulator, un modulator, un dispozitiv de control al accesului la mediu (MAC) si un microprocesor. Pentru conectarea unui modem de cablu la calculator, putem folosi conexiunea prin USB sau Ethernet.

CMTS (cable modem termination system) - pentru a pune datele de download si de upload pe un cablu de televiziune este nevoie de două tipuri de echipamente: un modem de cablu la client si un system terminator pentru modemul de cablu (CMTS) la provider (Fig. 7.2.13).

Fig. 7.2.11 Conectarea utilizatorilor DSL la ISP, prin intermediul unui DSLAM

Fig. 7.2.12 Modem semn convenţional

Echipamente multifuncţionale

Există echipamente de reţea, care au mai multe funcţii. Aceste echipamente înglobează funcţiile mai multor echipamente de reţea cum ar fi: modem ADSL, router, bridge, switch, wireless access point (Fig. 7.2.14). Este mult mai convenabil să cumpăraţi şi să configuraţi un singur echipament care deserveşte mai multe scopuri decât să utilizaţi un echipament separat pentru fiecare funcţie. Aceste echipamente sunt recomandate pentru reţeaua de acasă şi pentru birouri mai mici cu câteva calculatoare.

Fig. 7.2.13 Conectarea utilizatorilor de cablu Tv la ISP, prin intermediul unui CMTS

Fig. 7.2.14 Echipament multifuncţional



Prezentarea fiecărui echipament Nivelul OSI în care funcţionează Modul de funcţionare Diferenţe şi similitudini între echipamente Cazurile în care folosim un anumit tip de echipament


Activităţi drag & drop cu imaginea echipamentelor şi denumirea lor Exerciţii: adevărat sau fals? Activităţi de tip rebus cu noţiunile învăţate

Ca metodă se poate folosi un Studiu de caz cu tema “Planul reţelei locale – alegerea echipamentelor de reţea pentru scopul realizării a unui reţele locale”



Fişa suport 7.3: Interconectarea echipamentelor de reţea


Reţelele de calculatoare au ca scop primar interconectarea echipamentelor de reţea pentru asigurarea comunicării între ele. Pentru interconectare se folosesc în majoritate cabluri torsadate ecranate sau neecranate (STP, FTP sau UTP) şi conectori RJ-45. S-au creat şi sunt aplicate anumite standarde atât în ceea ce priveşte culoarea celor 8 fire, dar şi ordinea de dispunere a acestora. Aceste standarde sunt consacrate în literatura de specialitate drept TIA/EIA 568A şi TIA/EIA 568B. Pentru interconectarea echipamentelor de reţea folosim unul dintre cele două standarde. Cele mai multe reţele sunt cablate în conformitate cu standardul TIA/EIA 568B (în Europa). Cablurile UTP / STP / FTP folosesc doar patru fire din cele opt disponibile pentru transmiterea şi recepţia datelor în reţea. Cele patru fire folosite pentru recepţia şi transmisia datelor sunt: portocaliu, portocaliu-alb, verde, verde-alb. Pinii folosiţi la transmiterea datelor sunt pinii 1 şi 2, în timp ce pinii 3 şi 6 sunt utilizaţi pentru recepţia informaţiei. Deci se folosesc două fire pentru transmisie (Tx+ şi Tx-) şi două pentru recepţie (Rx+ şi Rx-).

Firele de Tx şi firele de Rx trebuie să facă parte din aceeaşi pereche de fire!!! Prima pereche ajunge pe pinii 1 şi 2, iar a doua pereche pe pinii 3 şi 6. Dacă nu este respectat standardul există marele risc ca cele două fire folosite pentru Rx sau Tx să nu facă parte din aceeaşi pereche, moment în care torsadarea nu mai este practic folosită şi nu se vor mai anula câmpurile electrice generând interferenţe serioase. Patchcord – denumirea universală a cablurilor pentru interconectarea echipamentelor de reţea. Un patchcord este de fapt un cablu torsadat ecranat sau neecranat cu conectori RJ-45. Un patchcord poate să fie de 3 feluri, în funcţie de dispunerea firelor la cele două capete, cu fiecare dintre tipuri destinate conexiunilor între anumite echipamente.

a) Straight-through cable (cablul direct) - este cel mai des utilizat tip de cablu în reţele locale pentru interconectarea echipamentelor de reţea. Distribuţia firelor, pe culori, la cele două capete ale unui asemenea cablu, este prezentată în figura de mai jos (Fig. 7.3.1).

Fig. 7.3.1 Ordinea firelor într-un cablu Straight-Through (cablu direct)

b) Cross-over cable (cablul inversor)- dacă inversăm la cele două capete ale unui patch-cord firele corespunzătoare pinilor folosiţi pentru transmisie, respectiv recepţie, obţinem un cablu cross-over. Acest cablu inversează pinii 1 şi 2 cu pinii 3 şi 6. Pinul 1 ajunge în cealaltă parte la pinul 3 şi pinul 2 la pinul 6. Acest cablu se realizează făcând o mufă pe standardul A şi una pe standardul B, practic se inversează perechile portocaliu cu verde (7.3.2).

c) Rollover cable – (Cablu consolă) dacă dispunem firele la celălalt capăt în ordine inversă, obţinem un cablu rollover. Este un tip de cablu null-modem care este des folosit pentru conectarea unui calculator cu portul consolă a unui router (Fig. 7.3.3).

Cablurile straight-through sunt folosite la interconectarea echipamentelor de categorii diferite, de exemplu calculatorul şi hub-ul / switch-ul.

Cablurile crossover conecteză echipamente similare, de exemplu calculator cu calculator. Un calculator foloseşte pinii 1 şi 2 ai conectorului pentru a transmite date, respectiv pinii 3 şi 6 pentru recepţia informaţiilor. Pentru a putea comunica între ele, două calculatoare interconectate doar printr-un cablu UTP necesită inversarea la cele două capete ale patchcord-ului a pinilor de transmisie cu cei destinaţi recepţiei. De aceea, în cazul unui asemenea aranjament, se folosesc cabluri crossover, care inversează pinul 1 cu pinul 3, respectiv pinul 2 cu pinul 6.

Exemple pentru interconectarea echipamentelor de reţea (Fig 7.3.4):

Fig. 7.3.2 Ordinea firelor într-un cablu Cross-Over (cablu inversor)

Fig. 7.3.3 Ordinea firelor într-un cablu Rollover (cablu consolă)

PC STRAIGHT-THROUGH SWITCH

PC STRAIGHT-THROUGH HUB

SWITCH CROSSOWER SWITCH

SWITCH STRAIGHT-THROUGH ROUTER

SWITCH CROSSOWER HUB

PC CROSSOWER PC

Fig. 7.3.4 Moduri corecte pentru interconectarea echipamentelor de reţea folosind diferite tipuri de cabluri patch

MDI / MDI-X (Medium dependent interface / Medium dependent interface crossover) - Unele dintre hub-urile / switch - urile de ultimă generaţie acceptă ambele tipuri de cabluri (straight-through şi crossover), indiferent de echipamentul la care se conectează, autoconfigurându-se corespunzător. Tehnologia folosită care face posibilă autoconfigurarea se numeşte MDI / MDI-X.

Port consolă - echipamentele inteligente de reţea (categorie în care intră switch-urile şi ruter-ele) sunt echipate cu un port "consolă", prin intermediul căruia se face posibilă configurarea echipamentului folosindu-se un laptop sau un desktop şi un program gen Hyperterminal. O asemenea conexiune presupune folosirea unui cablu de tip rollover.

Convertoare media - Convertoarele media reprezintă o soluţie ideală atunci când într-un sistem de comunicaţii avem nevoie de conversie de la un mediu de transmisie la altul. Convertoarele de la UTP la fibră optică realizează conversia de la semnale electronice la semnale optice sau invers. Aceasta reprezintă o metodă foarte avantajoasă atunci când se doreşte mărirea distanţei de transmisie. Prin conversia la fibră optică, datele ethernet pot fi transmise pe distanţe de până la zeci de kilometri, fără a necesita regenerarea semnalului.



Standardele TIA/EIA 568A şi TIA/EIA 568B Diferenţa între cele două standarde Conceptul patchcord şi tipuri de patchcord Firele folosite pentru transport de date Cazurile în care folosim un anumit tip de patchcord Tehnologia MDI-X Port consolă Convertoare media


Activităţi drag & drop cu imaginea patchcord-urilor şi denumirea lor Activităţi de asociere între cabluri şi echipamente interconectate Exerciţii: adevărat sau fals? Activităţi de tip rebus cu noţiunile învăţate

Ca metodă se poate folosi un Studiu de caz cu tema “Planul reţelei locale - alegerea patchcord-urilor corespunzătoare interconectării echipamentelor de reţea”


Tema 8: Instalarea şi configurarea plăcilor de reţea

Fişa suport 8.1 Configurarea unei plăci de reţea

Acest material vizează competenţa / rezultat al învăţării : Utilizează componentele fizice utilizate în reţelele de date şi Conectează un calculator la o reţea de date şi la internet.

Pentru conectarea unui calculator la o reţea LAN, folosim placa de reţea. Placa de reţea poate să fie placă wired (cablat) sau placă wireless (fără fir).

O placă de reţea poate să fie parte integrantă a plăcii de bază sau poate să fie de sine stătătoare şi montată într-una dintre sloturile de extensie a plăcii de bază. Deci placa de reţea poate să fie internă sau externă.

Placa de reţea necesită instalarea unui driver, care face posibilă comunicarea plăcii de reţea cu sistemul de calcul. Acest driver se poate instala de pe discul de instalare care soseşte împreună cu placa de reţea, sau se poate descărca de pe pagina web a producătorului plăcii de reţea.

Câteodată un producător va publica noi drivere software pentru placa de reţea. Un driver nou poate să sporească funcţionalitatea unei plăci de reţea, sau poate fi necesar pentru compatibilitatea cu un sistem de operare. Pentru instalarea driverelor noi parcurgeţi paşii următori:

1. Verificaţi tipul pachetului de instalare. Daca este un fişier executabil rulaţi-l şi instalarea sau actualizarea se va desfăşura automat. După instalare reporniţi calculatorul.

2. Dacă nu deţineţi un astfel de fişier executabil, deschideţi Device manager-ul, selectaţi placa de reţea şi Update driver şi urmăriţi paşii care apar pas cu pas. După ce instalarea se va termina, reporniţi calculatorul.

3. Verificaţi instalarea corectă a driver-ului in Device manager.

Pentru conectarea calculatorului la o reţea LAN, sunt necesare următoarele informaţii:

a) adresa de IP (IP address) b) mască de reţea (Network Mask) c) adresa de Gateway (Gateway Address) d) adresa de DNS (DNS Address)

Conectaţi cablul de reţea înainte de a seta adresele necesare. Verificaţi LED-urile sau indicatoarele de legătură a plăcii de reţea. In cazul în care în reţea exista un server DHCP, configurarea adreselor va fi automată. Dacă nu exista server DHCP, configuraţia trebuie făcută individual.

Adresa de IP trebuie să fie unică în reţea, altfel vor apărea conflicte de adrese IP care conduc la împiedicarea comunicării în reţea.

Pentru setarea adreselor necesare, navigaţi la setările de adresare a plăcii de reţea şi setaţi adresele necesare - Control Panel - Network Connections - Local Area Connection – selectaţi conexiunea dorită, interfaţa selectată să fie cea a plăcii de reţea care a fost instalată mai înainte – Properties – General – Internet protocol (TCP/IP) – Proprieties – General şi completaţi câmpurile cerute (Fig. 8.1.1).

Pentru a verifica conectivitatea, urmăriţi paşii:

1. Deschideţi un Command Prompt 2. Introduceţi comanda ipconfig. Verificaţi dacă setările efectuate de

dumneavoastră sau primite de la un server DHCP apar corect. 3. Folosiţi comanda PING pentru a testa conectivitatea (ping adresa_de_ ip_a_

unui_calculator_conectată_în_aceeaşi_reţea_LAN) (Fig. 8.1.2)

Fig. 8.1.1 Panou de setare a adreselor IP

Fig. 8.1.2 Rezultatul dat de comanda ping în cazul unui conexiuni funcţionale



Tipuri de plăci de reţea Purtătorul de date pentru diferite tipuri Setările TCP/IP necesare pentru buna funcţionare Mod de funcţionare Conectori folosite pentru fiecare tip de placă de reţea Cazurile în care folosim un anumit tip de placă de reţea


Activităţi drag & drop cu imaginea plăcilor de reţea şi denumirea lor Exerciţii: adevărat sau fals? Activităţi de tip rebus cu noţiunile învăţate

Ca metodă se poate folosi un Studiu de caz cu tema “Planul reţelei locale - alegerea plăcilor de reţea conform cerinţelor reţelei locale”



Fişa suport 8.2 Configurarea unei conexiuni PPPoE


Pentru a se conecta o reţea LAN cu alte reţele, sau pentru conectarea unui reţele locale sau a unui calculator la internet, trebuie sa luăm în considerare diferite tipuri de conexiuni:

a) Conexiune prin operator de cablu tv b) Conexiune prin linii telefonice analogice sau digitale c) Conexiune prin conexiuni wireless sau satelit

Diverse servicii oferă diverse viteze şi niveluri de servicii. Pentru a realiza orice fel de conexiune, trebuie folosită un echipament care ţine legătura cu ISP (Internet Service Provider). Cea mai populară conexiune pentru conectarea unui calculator la internet a fost conexiunea Dial-Up. Această conexiune necesită o linie telefonică analogică şi un echipament care converteşte semnalele digitale în semnale analogice şi invers (Modem – Modulator/Demodulator). Viteza de transfer al unui astfel de conexiuni este foarte mică.

În loc de conexiuni Dial-Up (prin linie telefonică analogică) lente avem posibilitatea să optăm pentru o conexiune cu transfer de rată ridicată folosind linie telefonică digitală ADSL şi modem ADSL.

Broadband - este o tehnică utilizată în transmisia şi recepţia semnalelor multiple care utilizează mai multe frecvenţe pe un singur cablu, de exemplu internet şi telefonie pe acelaşi cablu.

PPPoE (point-to-point protocol over Ethernet) - este un protocol de reţea pentru încapsularea cadrelor PPP (Point to Point Protocol) în cadre Ethernet. Este folosit mai ales pentru servicii broadband, cum ar fi DSL. PPPoE înseamnă o conexiune punct la punct, client-server, peste o conexiune Ethernet existentă. Protocolul PPPoE este un protocol ce permite simularea unei conexiuni tip Dial-Up peste o conexiune Ethernet prin linie telefonică digitală.

Avantajele PPPoE

a) Accesul utilizatorilor la internet folosind nume de utilizator şi parolă individuală. b) Alocarea dinamică a adreselor IP de către serverele PPPoE al ISP-ului. c) Înlăturarea utilizării nelegitime a adreselor IP. d) Contorizarea traficului făcut de către utilizatori individuali. e) Sistemele de operare au suport pentru conectarea la reţeaua PPPoE.

Realizarea conexiunii PPPoE

http://ro.wikipedia.org/w/index.php?title=Point-to-Point_Protocol&action=edit&redlink=1�

http://ro.wikipedia.org/wiki/Ethernet�

http://ro.wikipedia.org/wiki/Digital_Subscriber_Line�

Înainte de a parcurge paşii următori, aveţi nevoie mai întâi de un cont cu un furnizor de servicii Internet (ISP). Pentru DSL furnizorul de servicii Internet este de obicei o firmă de telefonie.

1. Conectarea modemului ADSL şi a calculatorului cu ajutorul unui cablu de reţea (Patch cord) sau USB.

2. Conectarea liniei telefonice la portul etichetat “DSL” (WAN, Internet) a modemului ADSL folosind conector RJ-11.

3. Conectarea cablului de alimentare a modemului ADSL.

4. Rularea aplicaţiei de instalare şi configurare a modemului ADSL (se livrează împreună cu modemul ADSL) sau intrarea pe pagina de administrare a modemului ADSL (in cazul în care avem modem cu posibilitate de configurare prin interfaţă web) şi setarea parametrilor necesari. Configurarea conexiunii poate fi realizată şi cu Expertul de conectare la Internet a sistemului de operare (Fig. 8.2.1).

5. Introducerea datelor de autentificare: nume de utilizator şi parolă, sau a altor date (dacă este cazul) necesare pentru realizarea conexiunii (Fig. 8.2.2).

Fig. 8.2.1 Panou de selectare a tipului conexiunii cuprinzând şi conexiunea prin PPPoE

Finalizarea configurării şi testarea conexiunii cu comanda ping, sau deschizând o pagină de web în browser-ul calculatorului.

Fig. 8.2.2 Panou pentru setare a parametrilor de autentificare pentru conexiunea PPPoE



Noţiunea brodband Caracteristicile conexiunii PPPoE Modul de funcţionare a unui conexiuni PPPoE Conectarea cablurilor cu un echipament compatibil PPPoE Setări necesare pentru realizarea conexiunii PPPoE Cazurile în care folosim conexiunea PPPoE


Exerciţii: adevărat sau fals? Activităţi de tip rebus cu noţiunile învăţate

Ca metodă se poate folosi un Studiu de caz cu tema “Conectarea unui calculator la Internet folosind conexiune PPPoE”

Ca materiale de evaluare se pot folosi: Probe practice scrise şi orale


Fişa suport 8.3 Configurarea unei conexiuni wireless


Sintagma „wireless” (fără fir) poate crea confuzii, inducând ideea existenţei unei reţele fără cabluri, prin intermediul căreia sunt interconectate calculatoarele şi echipamentele de reţea. În realitate, acest lucru nu este adevărat. Majoritatea reţelelor fără fir, comunică fără fir cu o reţea hibridă, care foloseşte şi cabluri.

Avantajele folosirii reţelelor fără fir:

a) Conexiuni temporare la o reţea cablată existentă cu ajutorul unui echipament fără fir.

b) Realizarea conexiunilor de rezervă pentru o reţea deja existentă. c) Existenţa unui anumit grad de portabilitate. d) Posibilitatea extinderii reţelelor dincolo de limitele impuse de cabluri.

Există situaţii în care este recomandată folosirea reţelelor fără fir:

a) În birouri, sau acasă unde cablarea este nedorită. b) În spaţii sau clădiri izolate, unde cablarea este dificilă. c) În clădiri unde configuraţia fizică a calculatoarelor se modifică frecvent.

În reţelele locale cea mai utilizată tehnologie fără fir se consideră tehnologia WiFi. Definirea tehnologiei WiFi este descrisă în standardele 802.11x.

a) 802.11a: Anunţat in anul 1999, frecventa de lucru: 5.15-5.35/5.47-5.725/5.725-5.875GHz, rata (medie): 25Mbps, rata maxima: 54Mbps, suprafata interioară şi exterioară de acoperire: ~25 metri - ~75 metri.

b) 802.11b: Funcţional din anul 1999, frecvenţa de lucru: 2.4-2.5GHz, rata (medie): 6.5 Mbps, rata maximă: 11Mbps, suprafaţa interioară si exterioară de acoperire: ~35 metri - ~100 metri.

c) 802.11g: Utilizat din anul 2003, frecvenţa de lucru: 2.4-2.5GHz, rata (medie): 25Mbps, rata maximă: 54Mbps, suprafaţa interioară si exterioară de acoperire: ~25 metri - ~75 metri.

d) 802.11n: Cea mai recentă tehnologie, frecvenţa de lucru: 2.4GHz sau 5GHz, rata (medie): 200Mbps, rata maximă: 540Mbps, suprafaţa de acoperire: ~50 metri - ~125 metri.

O reţea fără fir se comportă la fel ca o reţea cablată, cu excepţia că mediul fizic de transmisie constă din unde radio. Reţelele fără fir pot opera în modul Ad Hoc sau Infrastructură.

Ad Hoc – reţea fără fir în care sunt interconectate calculatoare sau alte echipamente (de exemplu telefoane mobile, dispozitive PDA) cu capabilităţi fără fir. O reţea configurată in modul Ad Hoc, nu necesită echipamente specializate pentru interconectarea calculatoarelor. Reţelele fără fir configurate în modul Ad Hoc, funcţionează similar reţelelor peer-to-peer. Poate suporta un număr limitat de calculatoare, performanţele reţelei scad cu fiecare calculator adăugat în reţea.

Infrastructure - reţea fără fir în care sunt interconectate calculatoare sau alte echipamente (de exemplu telefoane mobile, dispozitive PDA) cu capabilităţi fără fir. O reţea configurată in modul infrastructură, necesită echipamente specializate pentru interconectarea calculatoarelor. Reţelele fără fir configurate în modul infrastructură funcţionează similar reţelelor client-server.

Punct de acces (AP – Access Point) – emite şi recepţionează semnale către şi de la calculatoarele aflate în reţea, transferând datele între calculatoarele fără fir şi reţeaua cablată.

Dacă aveţi posibilitatea este recomandat folosirea reţelei fără fir în modul infrastructură. Avantajele modului infrastructură sunt:

a) Poate suporta un număr semnificativ mai mare de dispozitive (calculatoare, PDA-uri, telefoane mobile etc.) faţă de modul Ad Hoc.

b) Putem sa extindem reţeaua (raza de acoperire) cu adăugarea unor noi puncte de acces (Access Point).

c) Securitatea reţelei creşte semnificativ.

Pentru realizarea unei reţele fără fir avem nevoie de un Access Point şi de echipamente cu capabilităţi de conectare wireless. La selectarea plăcii de reţea fără fir pentru fiecare calculator, se ţine cont de tipul de reţea instalată. Există incompatibilitate între diferitele tipuri de reţele.

a) standardele 802.11n sunt compatibile cu 802.11n, 802.11g, 802.11b b) standardele 802.11g sunt compatibile cu 802.11g, 802.11b c) standardele 802.11b sunt compatibile cu 802.11b d) standardele 802.11a sunt compatibile cu 802.11a

Placa de reţea poate să fie ori internă ori externă (de tip PCI, Pci Express, Usb, PcCard, Express Bus). Ca şi în cazul reţelelor cablate, trebuie să stabilim adresele IP necesare. Setările IP necesare plăcii de reţea fără fir sunt acelaşi ca şi în cazul plăcii de reţea cablată: adresă de IP unică în reţea, mască de reţea, default gateway IP, Dns server IP.

Lângă datele de adresare TCP/IP, în reţelele fără fir trebuiesc efectuate şi alte setări.

SSID (Security Set Identifier) sau Wireless Network Name este numele asociat reţelei wireless (Fig. 8.3.1). SSID este un cod care defineşte apartenenţa la un anumit punct de acces fără fir. Toate dispozitivele fără fir care vor să comunice într-o reţea trebuie să aibă SSID-ul setat la aceeaşi valoare cu valoarea SSID-ului punctului de acces fără fir pentru a se realiza conectivitatea. Un punct de acces îşi transmite SSID-ul la fiecare câteva secunde spre dispozitivele aflate în aria de acoperire.

Wireless Channel - Putem seta unul din cele 13 canale disponibile pentru Europa, sau optăm pentru selectare automată. Cu selectarea canalului corespunzător putem să îmbunătăţim calitatea conexiunii.

Setări de securitate – când ne conectăm la o reţea fără fir securizat, trebuie să ne autentificăm. Pentru securizarea reţelei putem folosi WEP sau WPA (Fig. 8.3.2).

Fig. 8.3.1 Panou de informaţii cu privire la starea unui conexiuni wireless

Fig. 8.3.2 Panou de informaţii care afişează modul de securitate şi tipul criptării a unui conexiuni wireless

Pentru realizarea unui conexiuni fără fir funcţională, echipamentele din reţea trebuie să folosească metode identice de autentificare şi criptare.

Instalarea driverelor pentru placa de reţea fără fir, configurarea parametrilor de adresare IP şi configurarea parametrilor de conexiune fără fir (modul de conectare, SSID, Wireless Channel number, criptare) sunt paşii care trebuie aplicaţi în cazul interconectării unui calculator cu reţeaua fără fir. De obicei pachetul plăcii de reţea conţine şi un utilitar de instalare şi configurare. Executând utilitarul putem să instalăm, configurăm şi conectăm calculatorul la o reţea fără fir.

Paşii de mai sus menţionaţi pot fi efectuaţi şi cu ajutorul utilitarelor care sunt părţi ale sistemului de operare.

Testarea conexiunii fără fir

Pentru verificare şi testare folosim comanda ipconfig / all pentru a vizualiza configuraţia TCP/IP pe staţie şi comanda ping urmat de o adresă IP pentru a testa conectivitatea.

Un semnal wireless slab poate cauza întreruperi în conexiune. Pentru verificarea semnalului wireless putem folosi utilitarele plăcii de reţea sau a sistemului de operare. Dacă constatăm recepţionarea unui semnal slab, putem repoziţiona calculatorul în aşa fel în cât vizibilitatea să fie cât mai bună între antene (AP şi calculator) sau putem schimba antena plăcii cu o antenă care are un câştig mai mare.

Câştigul unei antene este exprimată în dBi (directivity by efficiency). Cu mărirea câştigului măreşte şi performanţa de transmitere şi recepţionare a antenei wireless. O antenă wireless poate să fie omnidirecţională sau bidirecţională.



Noţiunea Wireless (fără fir) Caracteristicile conexiunii fără fir Modul de funcţionare a unui conexiuni fără fir Folosirea securizării, criptări, chei Setări necesare pentru realizarea unui conexiuni fără fir Cazuri în care folosim conexiunea fără fir



Ca metodă se poate folosi un Studiu de caz cu tema “Conectarea unui calculator la reţea locală folosind conexiune wireless”

Ca materiale de evaluare se pot folosi: Probe practice scrise şi orale

Tema 9: Instalarea şi configurarea unui router / modem ADSL

Fişa suport 9.1 Punerea în funcţiune a unui router / modem ADSL


Orice reţea LAN necesită echipamente specializate pentru conectarea la internet. Aceste echipamente în general sunt modemuri şi routere. În majoritatea cazurilor conectarea la internet înseamnă conectarea la ISP. Din momentul conectării cu ISP, reţeaua noastră locală devine parte a unei reţele mari. Conectarea la ISP presupune folosirea a diferitelor medii: linii ISDN, linii DSL, linii CATV (televiziune prin cablu), linii wireless (conexiunea se realizează cu antene direcţionate). Aceste medii determină tipul echipamentelor folosite pentru interconectarea celor doua reţele.

Conectarea la ISP presupune folosirea modemului şi routerului. Producătorii de echipamente de reţea oferă şi echipamente multifuncţionale care să preia sarcina modemului şi a routerului.

În ultimii anii s-a răspândit folosirea liniilor DSL pentru conectarea la ISP. Acest mod de conectare necesită un modem de bandă largă şi un router. Modemul de bandă largă menţine legătura cu ISP. Routerul are sarcina de a separa reţeaua locală şi reţeaua ISP-ului.

În momentul conectării reţelei locale la ISP putem să optăm pentru folosirea unui modem de bandă largă împreună cu un router, sau putem alege un echipament multifuncţional.

Daca optăm pentru configuraţia modem şi router, trebuie mai întâi să configurăm modemul de bandă largă. Configurarea modemului de bandă largă este tratată în Fişa 2.2 Configurarea unei conexiuni PPPoE.

În unele cazuri (acasă, în reţele mai mici) echipamentul cel mai potrivit pentru conectarea la ISP este un echipament multifuncţional. Avantajele unui astfel de echipament sunt: nu trebuie să cumpărăm separat fiecare echipament pentru conectare la ISP, cablarea devine mai simplă, configurarea echipamentului este destul de uşoară şi nu necesită prea mult timp, este mai uşor de întreţinut.

Dacă echipamentul multifuncţional încorporează şi un modem de bandă largă, se aplică paşii descrişi în Fişa 8.2 Configurarea unei conexiuni PPPoE referitor la configurarea modemului de bandă largă (modem ADSL).

Paşii de conectare şi configurare a unui echipament multifuncţional care foloseşte tehnologia ADSL pentru a se conecta la ISP sunt:

1. Selectarea locului cel mai potrivit pentru echipament.

2. Pregătirea unui calculator echipat cu placă de reţea şi a cablurilor necesare conectării calculatorului cu echipamentul multifuncţional.

3. Conectarea liniei DSL sau a cablului pentru modem la portul etichetat "Internet".

4. Conectarea calculatorului la unul dintre porturile RJ45 al aparatului multifuncţional.

5. Conectarea cablului de alimentare a aparatului multifuncţional şi pornirea calculatorului.

6. Aşteptăm să se booteze echipamentul multifuncţional şi să se realizeze conexiunea cu ISP. Aceasta poate să dureze câteva minute. În faza asta echipamentul negociază parametrii referitori la conexiunea cu ISP. Echipamentul primeşte de la ISP adresă IP publică fixă sau dinamică, mască de subreţea, adresa IP de poartă implicită (Default Gateway) şi adresă de server DNS.

7. Trebuie să configuraţi router-ul (echipament multifuncţional) să comunice cu echipamentele din reţea. Pe calculatorul conectat deschideţi un browser pentru pagini web. În câmpul de adrese, introduceţi adresa de IP implicită a routerului (echipament multifuncţional). De obicei acesta este 192.168.1.1 (consultaţi manualul utilizatorului).

8. O fereastră de securitate va solicita autentificarea pentru a accesa paginile de configurare ale router-ului. Introduceţi datele cerute (consultaţi manualul utilizatorului). După autentificare apar paginile de setare a routerului. După fiecare modificare a setărilor implicite salvaţi setările noi.

9. Routerul oferă şi serviciu DHCP, care este activat implicit. Dacă trebuie, puteţi modifica domeniul de adrese IP oferit pentru clienţi (calculatoare), masca de subreţea, adresele serverelor DNS. Dacă planificaţi folosirea adreselor IP fixe în reţea locală, trebuie sa dezactivaţi serviciul DHCP. Puteţi modifica şi adresa de IP implicită a routerului (Fig. 9.1.1).

Pe lângă setările descrise mai sus avem posibilitatea de a seta şi alte servicii ale routerului, dar totuşi setările de adresare IP pentru interfaţa internet (WAN) şi interfaţa LAN sunt cele mai importante. La porturile LAN (RJ-45) putem conecta şi alte calculatoare sau alte echipamente de reţea, de exemplu switch sau Wireless Acess Point, astfel putem să extindem reţeaua locală.

Fig. 9.1.1 Panou pentru configurarea adresei IP şi a serverului DHCP a unui router (echipament multifuncţional)



Noţiunea brodband Caracteristicile conexiunii ADSL Modul de funcţionare a unui conexiuni ADSL Conectarea cablurilor cu un echipament compatibil ADSL Setări necesare pentru realizarea conexiunii cu ISP Cazurile în care folosim echipamente cu capabilităţi ADSL



Ca metodă se poate folosi un Studiu de caz cu tema “Conectarea unui calculator la Internet folosind un router/modem adsl”


Tema 9: Instalarea şi configurarea unui router / modem ADSL

Fişa suport 9.2 Configurarea serviciilor a unui router / modem ADSL


Echipamentele multifuncţionale oferă servicii integrate. Aceste servicii pot fi activate sau dezactivate în funcţie de cerinţele reţelei.

Serviciul DDNS (Dynamic Host Configuration Protocol)

Serviciul DDNS oferă posibilitatea de a asocia pentru o adresă IP dinamică un nume de gazdă şi un nume domeniu. Dacă adresa de IP primită de la ISP se schimbă, un server DNS este anunţat despre schimbare şi adresa IP actuală este actualizată pe server. Aşa putem identifica un host / domeniu şi în cazul în care adresa de IP s-a schimbat. Înainte de a folosi serviciul DDNS trebuie să vă înregistraţi la un Service Provider DDNS. Exemple de Service Provider DDNS: tzo.com, dyndns.org (Fig. 9.2.1).

Serviciul NAT (Network Address Translation)

Cele mai multe ISP-uri îţi dau doar o singură adresa IP când te conectezi la ei. Poţi trimite pachete cu orice adresă sursă pe care o doreşti, dar doar pachetele cu această adresa IP se vor întoarce la tine. Dacă doreşti să foloseşti mai multe sisteme (cum ar fi reţeaua de acasă) pentru a te conecta la internet prin această singură legătură, vei avea nevoie de NAT. Acesta este de departe cel mai răspândit mod de folosire al NAT-ului din zilele noastre, cunoscut şi sub numele de "masquerading" in lumea Linuxului.

Serviciul SPI Firewall (Stateful Packet Inspection Firewall)

Fig. 9.2.1 Panou pentru configurarea serviciului DDNS a unui router (echipament multifuncţional)

SPI Firewall are rol de protecţie împotriva atacurilor provenite dinspre interfaţa WAN a routerului (Internet). SPI funcţionează la nivelul reţea a modelului OSI. Analizează toate pachetele care vin dinspre Internet, şi blochează pachetele suspecte. Asigură protecţie împotriva atacurilor DoS (Denial of Service).

Serviciul VPN (Virtual Private Network)

O reţea privată virtuală (Virtual Private Network - VPN) asigură o modalitate de stabilire a unor comunicaţii securizate prin intermediul unui reţele nesigure ca internetul. Cu ajutorul unui conexiuni VPN, cele două părţi ale conexiunii VPN pot comunica în aceleaşi condiţii de siguranţă ca şi cele furnizate de reţeaua locală. Pentru aceasta, o conexiune VPN oferă, de obicei, următoarele funcţionalităţi:

Autentificare - utilizând parole sau alte procedee, cele două părţi îşi pot demonstra identitatea înainte de a accepta o conexiune. O dată conexiunea instalată, comunicaţia se poate desfăşura în ambele direcţii prin intermediul conexiunii respective.

Codificare - prin codificarea tuturor datelor trimise între cele doua puncte ale reţelei publice, pachetele transmise se pot vedea dar nu pot fi citite de un hacker. Acest procedeu este cunoscut sub numele de tunneling. Serviciul Port Forwarding Translatarea permanentă a unui port pe routerul reţelei către o adresă IP şi un port din reţeaua privată se numeşte Port Fowarding sau Port Mapping. Deschidem un port în router pentru a permite accesul către un server (de exemplu http sau ftp) aflat in spatele unui firewall (Fig. 9.2.2). În cazul în care nu este activat Port Forwarding-ul solicitarea primită de gateway dinspre internet pentru un anumit port (de exemplu portul 80 pentru server web) nu va fi procesată deoarece acesta nu va ştie care-i adresa IP şi portul, din reţeaua privată către care s-o trimită.

Fig. 9.2.2 Panou pentru configurarea serviciului Port Forwarding a unui router (echipament multifuncţional)

Există echipamente multifuncţionale care implementează şi rolul unui punct de acces fără fir. Realizarea comunicaţiei fără fir necesită setarea serviciilor corespunzătoare.

Setări de bază:

SSID (Security Set Identifier) sau Wireless Network Name este numele asociat reţelei wireless. SSID este un cod care defineşte apartenenţa la un anumit punct de acces fără fir. Toate dispozitivele fără fir care vor să se comunice într-o reţea, trebuie să aibă SSID-ul setat la aceeaşi valoare cu valoarea SSID-ului punctului de acces fără fir pentru a se realiza conectivitatea. Un punct de acces îşi transmite SSID-ul la fiecare câteva secunde spre dispozitivele aflate în aria de acoperire.

Wireless Channel – Putem seta unul din cele 13 canale disponibile pentru Europa, sau optăm pentru selectare automată. Cu selectarea canalului corespunzător putem să îmbunătăţim calitatea conexiunii (Fig. 9.2.3).

Setări de securitate:

Wireless SSID Brodcast – permite ascunderea reţelei wireless, astfel SSID-ul nu va fi difuzat de către punctul de acces şi reţeaua fără fir nu va fi descoperită de către echipamentele wireless. Dacă utilizatorul vrea să se conecteze la reţeaua wireless ascunsă, trebuie să cunoască setările cerute de punctul de acces. MAC Address Filter – folosind filtrul MAC putem filtra echipamentele care au acces la reţeaua fără fir în baza adresei MAC. În acest fel putem să stabilim o listă cu adrese MAC a echipamentelor şi să acceptăm sau să refuzăm cererile de conectare.

Fig. 9.2.3 Panou pentru configurarea setărilor de bază Wireless a unui router (echipament multifuncţional)

Criptare WEP / WPA / WPA2 - pentru realizarea unei reţele fără fir mai sigure, se recomandă folosirea metodelor de criptare a datelor. Este recomandată folosirea tehnologiei de criptare WPA2 dacă aceasta este suportată de fiecare echipament care trebuie să fie conectat la punctul de acces.



Noţiunea de servicii Descrierea principalelor servicii oferite de un router/modem adsl



Ca metodă se poate folosi un Studiu de caz cu tema “Conectarea reţelei locale la Internet folosind un router/modem adsl”


Tema 10: Depanarea unei reţele de calculatoare

Fişa suport 10 Verificarea şi depanarea reţelelor de date


Principiile depanării unui reţele de date:

a) Fiecare defect are propria sa cauză dar întotdeauna cauza nu este clară la prima vedere.

b) Se analizează toate simptomele problemei pas cu pas, existând posibilitatea că toate simptomele sunt cauzate de un singur defect.

c) Verificăm pas cu pas toate componentele reţelei pe baza nivelelor OSI de jos până sus.

Defectele mediului fizic sunt cauzate de cabluri care interconectează echipamentele din reţea. Aceste defecte pot fi detectate cu ajutorul testerelor şi analizatoarelor de cabluri (Fig. 10.2). Primul test care trebuie aplicat este testul de continuitate în urma căruia verificăm continuitatea între cele două capete ale cablului. Pe lângă asta, putem analiza dacă în cablu există scurtcircuite sau firele sunt inversate între ele (Fig. 10.1). În cazul în care în reţea sunt semnalizate erori de funcţionare de către utilizatori, administratorul reţelei începe procesul de detectare a cauzei. Detectarea cauzei necesită câţiva paşi care trebuiesc parcurşi.

Detectarea cauzei şi rezolvarea problemei

a) Interogarea utilizatorilor care au semnalizat nereguli sau erori. Este necesar descris clar simptomele apărute în funcţionarea sistemului. În cele mai multe cazuri utilizatorul nu are conexiune la internet, nu vede mapele partajate în reţea, nu vede serverele de reţea, nu poate să folosească imprimantele partajate etc. Dacă simptomele sunt legate de reţeaua locală, vorbim despre detectarea şi depanarea defecţiunilor în reţea.

Fig. 10.1

Pereche inversată Perechi împărţite

Pereche cu un fir rupt Scurtcircuit

b) Verificarea conexiunilor fizice. Trebuie verificată legătura între calculator şi reţea. Cauza problemei apărute poate să fie un cablu de reţea deconectat, deteriorat, rupt sau o placă de reţea nefuncţională. Pasul cel mai important este verificarea LED – urilor indicatoare ale plăcii de reţea şi ale echipamentelor de reţea de exemplu: hub, switch, echipament multifuncţional. Dacă nu găsim nereguli trecem la pasul următor. Dacă se observă, că unul dintre ledurile indicatoare nu prezintă activitate, se verifică cele doua capete ale segmentului respectiv. Este necesar să verificăm şi starea echipamentului de reţea la care este conectat segmentul respectiv, deci verificăm dacă funcţionează sau nu hubul, switchul sau echipamentul multifuncţional. Dacă se observă că problema apărută este cauzată de un cablu defect, verificăm starea cablului, conectorii RJ-45 şi conectarea corespunzătoare. Pentru verificarea cablurilor UTP sau STP putem să folosim tester de cablu. Cu un tester de cablu mai simplu putem detecta întreruperea firelor sau scurtcircuite în cablul torsadat. Dacă cablul sau conectori RJ-45 sunt defecte, schimbăm cablul sau schimbăm conectorii RJ-45.

c) Dacă suntem siguri că problema nu este cauzată de cabluri, conectori sau de

nefuncţionarea unui concentrator (hub, switch), pasul următor este verificarea plăcii de reţea. Dacă ledul indicator al plăcii nu arată semne de funcţionare, trebuie verificat dacă placa este conectată corespunzător în slotul de expansiune a plăcii de bază. Dacă conexiunile fizice sunt în regulă, probabil că trebuie schimbată placa de reţea. Dacă placa funcţionează corect, în panoul Conexiuni de reţea a sistemului de operare verificăm dacă conexiunea este activată sau dezactivată (Fig. 10.3). Urmează verificarea configuraţiei TCP/IP a calculatorului.

Fig. 10.2 Tester de cabluri UTP

d) Folosind comanda ipconfig putem afişa configuraţia TCP/IP curentă (Fig. 10.4). Acest utilitar trebuie executat din linia de comandă a sistemului de operare. Pentru afişarea tuturor informaţiilor disponibile, se foloseşte parametrul /all. Dacă este setată o configuraţie validă, este afişată adresa IP şi masca de subreţea, precum şi gateway-ul implicit a reţelei. Dacă este detectat în reţea un duplicat al adresei IP folosite, va fi afişată adresa IP folosită, dar în dreptul măştii de subreţea se va apare 0.0.0.0. Dacă sistemul de operare nu a putut obţine o adresă IP de la un server DHCP, va fi afişată adresa alocată prin tehnologia APIPA. În sistemele de operare Linux / Unix folosim comanda ifconfig în loc de ipconfig. Dacă constatăm că configuraţia TCP/IP a calculatorului nu este corectă, putem să setăm o configuraţie validă a adreselor IP sau putem reînnoi configuraţia TCP/IP. Folosind ipconfig /release şi după asta ipconfig /renew putem reînnoi configuraţia TCP/IP a calculatorului cu ajutorul unui server DHCP. Utilitarul Ping este folosit pentru testarea conexiunii TCP/IP între un calculator şi unul aflat la distanţă. Ping transmite pachetele utilizând ICMP ECHO_REQUEST şi se aşteaptă primirea unui răspuns de confirmare pentru fiecare pachet transmis prin ICMP ECHO_REPLY. Sintaxa comenzii este: ping adresa_IP_a_computerului_de_la_distanţă (Fig. 10.5). Dacă nici după folosirea acestor operaţiuni nu putem stabili cauza problemei apărute, trecem la pasul următor.

e) Verificăm dacă placa de reţea are drivere corect instalate. Putem încerca reinstalarea driverelor, sau restaurarea lor. Verificăm dacă găsim vreun mesaj de eroare sau un cod de eroare în urma căruia putem detecta problema. Dacă considerăm că nu driverele plăcii de bază sunt de vină, trecem la pasul următor.

f) Verificăm existenţa unei firewall şi dacă există verificăm configuraţia acestuia. În unele cazuri firewall-ul poate bloca traficul între calculator şi reţea.

Paşii descrişi mai sus sunt paşi pe care se pot parcurge în cazul în care sesizaţi probleme de comunicare între calculator şi reţea. Cauzele erorilor în reţea pot fi cauzate şi de traficul aglomerat în reţea, servicii nefuncţionale temporar şi multe altele. Pentru detectarea erorilor putem să folosim şi comanda netstat şi traceroute. Comanda netstat este folosită pentru a extrage o serie de informaţii cum ar fi tabelele de rutare,

Fig. 10.3 Panou cu conexiunile de reţea existente a unui calculator şi starea lor (active sau dezactivate)

conexiunile active, fluxuri (Fig. 10.6). Utilitarul tracert (în sistemele Unix şi Linux se numeşte traceroute) este utilizat pentru a identifica traseul ce trebuie urmat de un pachet pentru a ajunge la destinaţie. Traceroute este un utilitar ce urmăreşte pachetele trimise de un calculator de către o gazda pe Internet sau către un alt calculator în reţea, arătând prin câte hopuri trec pachetele pentru a ajunge la gazda respectivă şi în cât timp (Fig 10.7). Dacă vizităm un sit web şi paginile se încarcă încet, putem utiliza traceroute-ul pentru a afla unde apar întârzierile. Utilitarul traceroute funcţionează prin trimiterea de pachete cu TTL (time-to-live) scăzut. Valoarea TTL specifică prin câte hopuri poate trece pachetul înainte de a fi returnat. Când un pachet nu poate ajunge la destinaţie din cauza unei valori prea scăzute a TTL, ultima gazda returnează pachetul şi se identifică. Prin trimitea unei serii de pachete si creşterea valorii TTL cu fiecare pachet succesiv, traceroute află care sunt toate gazdele intermediare.

Fig. 10.4 Rezultate date de utilitarul ipconfig în cazul configurării corecte a conexiunii de reţea şi a setărilor IP

Fig. 10.5 Rezultate date de utilitarul ping în cazul configurării corecte a conexiunii de reţea şi a setărilor IP

Fig. 10.6 Rezultate date de utilitarul netstat în cazul configurării corecte a conexiunii de reţea şi a setărilor IP

Fig. 10.7 Rezultate date de utilitarul tracert în cazul configurării corecte a conexiunii de reţea şi a setărilor IP



Noţiunea de defect şi cauzele defectelor în reţele locale Paşii de detectare a defectelor Unelte hardware şi software pentru detectarea defectelor



Ca metodă se poate folosi un Studiu de caz cu tema “Depanarea unui defect simulat în reţea locală”



Fişa rezumat Clasa ________________ Profesor______________________

Nr. Crt.

Nume şi prenume

elev

Competenţa 1 Competenţa 2 Competenţa 3 Observaţii

A 1 A 2 A X A 1 A 2 A 3 A 1 A 2 A 3

1 zz.ll.aaaa1

2

3

4

...

Y


• Competenţe care trebuie dobândite

Această fişă de înregistrare este făcută pentru a evalua, în mod separat, evoluţia legată de diferite competenţe. Acest lucru înseamnă specificarea competenţelor tehnice generale şi competenţelor pentru abilităţi cheie, care trebuie dezvoltate şi evaluate. Profesorul poate utiliza fişele de lucru prezentate în auxiliar şi/sau poate elabora alte lucrări în conformitate cu criteriile de performanţă ale competenţei vizate şi de specializarea clasei.

• Activităţi efectuate şi comentarii

Aici ar trebui să se poată înregistra tipurile de activităţi efectuate de elev, materialele utilizate şi orice alte comentarii suplimentare care ar putea fi relevante pentru planificare sau feed-back.

• Priorităţi pentru dezvoltare

Partea inferioară a fişei este concepută pentru a menţiona activităţile pe care elevul trebuie să le efectueze în perioada următoare ca parte a viitoarelor module. Aceste informaţii ar trebui să permită profesorilor implicaţi să pregătească elevul pentru ceea ce va urma.

• Competenţele care urmează să fie dobândite

În această căsuţă, profesorii trebuie să înscrie competenţele care urmează a fi dobândite. Acest lucru poate implica continuarea lucrului pentru aceleaşi competenţe sau identificarea altora care trebuie avute in vedere.

• Resurse necesare

Aici se pot înscrie orice fel de resurse speciale solicitate:manuale tehnice, reţete, seturi de instrucţiuni şi orice fel de fişe de lucru care ar putea reprezenta o sursă de informare suplimentară pentru un elev care nu a dobândit competenţele cerute.

Notă: acest format de fişă este un instrument detaliat de înregistrare a progresului

elevilor. Pentru fiecare elev se pot realiza mai multe astfel de fişe pe durata derulării modulului, aceasta permiţând evaluarea precisă a evoluţiei elevului, în acelaşi timp furnizând informaţii relevante pentru analiză.

V. Bibliografie

1. Petrescu, Silviu şi Petrescu, Anca. (1999). Bazele reţelelor de calculatoare, Bucureşti: Editura Teora (Microsoft Press).

2. Cisco Systems Inc. (2007 - 2008). IT Essentials 1 - Pc Hardware and Software 4.0, Cisco Networking Academy.

3. Cisco Systems Inc. (2007 - 2009). CCNA Discovery 4.0 – Networking for Home and Small Businesses, Cisco Networking Academy.

4. Dispozitive aflate în reţea. (2009). La http://downloadme.programareweb.ro/an2sem2/retele/lab2.pdf. 12.05.2009

5. MAC address. (2009). La http://en.wikipedia.org/wiki/MAC_address. 14.05.2009

6. ***. La http://www.scientia.ro/tehnologie/34-cum-functioneaza-calculatorul/258-ce-reprezinta-adresa-mac.html. 14.05.2009

7. Auto MDI-X. (2009). La http://en.wikipedia.org/wiki/Auto-MDIX. 18.05.2009

8. Conectarea în reţea prin cablu UTP. (2009). La http://www.scientia.ro/tehnologie/34-cum-functioneaza-calculatorul/147-conectarea-in-retea-prin-cablu-utp.html. 4.05.2009

9. Dr. inginer Neculai Fudulu. (2009). Reţele wireless. La http://www.dpa.ro/rp/publicatii/rtm/RTM12006/cercetare/RTM2006_1_9.pdf. 06.05.2009

10. Configurare reţea wireless. La http://www.drogoreanu.ro/tutorials/retea-wireless.php. 10.05.2009

11. Wireless security. (2009). La http://en.wikipedia.org/wiki/Wireless_security#WEP_encryption. 11.05.2009

12. Dynamic DNS. (2009). La http://en.wikipedia.org/wiki/Dynamic_DNS. 13.05.2009

13. Stateful firewall. (2009). La http://en.wikipedia.org/wiki/Stateful_firewall. 12.05.2009

14. Virtual private network. (2009). La http://en.wikipedia.org/wiki/Virtual_private_network 12.05.2009

15. Punch down tool. (2009). La http://en.wikipedia.org/wiki/Punch_down_tool. 19.05.2009

16. Collision domain. (2009). La http://en.wikipedia.org/wiki/Collision_domain 19.05.2009

1

Securizarea reţelelor

Cuprins I. Introducere ........................................................................................................ 2 II. Documente necesare pentru activitatea de predare ...................................... 4 III. Resurse ............................................................................................................ 5

Tema 1: Politici de securitate ................................................................................................. 5 Fişa 1.1 Politici de securitate ................................................................................................. 5 Fişa 1.2 Noţiuni de securitate a reţelelor............................................................................. 12 Fişa 1.3 Identificarea problemelor de securitate a echipamentelor ...................................... 18 Fişa 1.4 Identificarea problemelor de securitate a datelor ................................................... 23

Tema 2 Dezvoltarea unei politici de securitate în reţea ..................................................... 31 Fişa 2.1 Prezentarea soluţiilor de protecţie .......................................................................... 31 Fişa 2.2 Soluţii de securitate hardware ................................................................................ 35 Fişa 2.3 Soluţii de securitate software ................................................................................. 37

Tema 3 Ameninţări de securitate a reţelelor ....................................................................... 40 Fişa 3.1 Surse de atac ......................................................................................................... 40 Fişa 3.2 Tipuri de atacuri asupra reţelelor............................................................................ 46

IV. Fişa rezumat .................................................................................................. 54 V. Bibliografie ..................................................................................................... 56

2

I. Introducere Materialele de predare reprezintă o resursă – suport pentru activitatea de predare, instrumente auxiliare care includ un mesaj sau o informaţie didactică.

Prezentul material de predare, se adresează cadrelor didactice care predau în cadrul liceelor, domeniul Informatică, calificarea Administrator reţele locale şi de comunicaţii.

El a fost elaborat pentru modulul Securizarea reţelelor, ce se desfăşoară în 100 ore, din care:



Tema 1 Politici de securitate

Fişa 1.1 Politici de securitate 1. Prezintă politica de securitate

Fişa 2 Noţiuni de securitate a reţelelor 1. Prezintă politica de securitate

Fişa 1.3 Identificarea problemelor de securitate a echipamentelor 1. Prezintă politica de securitate

Fişa 1.4 Identificarea problemelor de securitate a datelor 1. Prezintă politica de securitate

Tema 2 Dezvoltarea unei

politici de securitate în reţea

Fişa 2.1 Prezentarea soluţiilor de protecţie

1. Prezintă politica de securitate 2. Analizează metodele de protecţie a reţelei împotriva atacurilor

Fişa 2.2 Soluţii de securitate hardware

2. Analizează metodele de protecţie a reţelei împotriva atacurilor

Fişa 2.3 Soluţii de securitate software

2. Analizează metodele de protecţie a reţelei împotriva atacurilor

Tema 3 Ameninţări de securitate a

reţelelor

Fişa 3.1 Surse de atac


Fişa 3.2 Tipuri de atacuri asupra reţelelor


Temele din prezentul material de predare nu acoperă toate conţinuturile prevăzute în curriculumul pentru modulul Securizarea reţelelor. Pentru parcurgerea integrală a modulului în vederea atingerii competenţelor vizate / rezultate ale învăţării profesorul va avea în vedere şi materialul de predare Securizarea reţelelor partea II.

Absolvenţii nivelului 3 avansat, şcoală postliceală, calificarea Administrator reţele locale şi de comunicaţii, vor fi capabili să utilizeze echipamentele reţelelor de calculatoare, să cunoască şi să utilizeze protocoale şi terminologii de reţea, să cunoască şi să aplice

topologii de reţele locale (LAN) şi globale (WAN), modele de referinţă OSI (Open System Interconnection), să utilizeze cabluri, unelte pentru cablarea structurată, routere în conformitate cu standardele în vigoare.



• Standardul de Pregătire Profesională pentru calificarea Administrator reţele locale şi de comunicaţii, nivelul 3 avansat – www.tvet.ro, secţiunea SPP sau www.edu.ro , secţiunea învăţământ preuniversitar

• Curriculum pentru calificarea Administrator reţele locale şi de comunicaţii, nivelul 3 avansat – www.tvet.ro, secţiunea Curriculum sau www.edu.ro, secţiunea învăţământ preuniversitar

• Wikipedia biblioteca electronica cea mai completă.





5

III. Resurse

Tema 1: Politici de securitate

Fişa 1.1 Politici de securitate

Acest material vizează competenţa/rezultat al învăţării: Prezintă politica de securitate

Politicile de securitate se referă la acele politici (documente, setări, modalităţi de lucru, prin care se definesc unele reguli) ce definesc unele recomandări şi acţiuni necesare minimizării riscului aferent efectuării tranzacţiilor electronice, risc ce se referă în special la atacuri asupra sistemului de securitate al unei reţele (deşi termenul se extinde pentru a cuprinde şi intruziunile, furtul sau calamităţile – naturale sau voite).

Măsurile de securitate definite sub forma acestor politici nu garantează eliminarea completă a oricărui risc, dar poate să-l reducă la un nivel acceptabil (acoperă conceptele de „mitigation” şi „contingency” definite în material).

Politicile de securitate IT se concentrează pe crearea unui mediu favorabil, dar mai ales sigur, mediu în care doar persoanele sau programele care au drepturi alocate, definite explicit, să poată desfăşura acţiuni, respectiv să ruleze. Toate persoanele sau aplicaţiile care nu intră în anumite categorii din aceste politici nu vor avea drept de execuţie.

Pentru a putea defini aceste politici (reguli) de securitate, este necesar să se îndeplinească de către întregul sistem informatic a următoarelor cerinţe:

a) Identificarea utilizatorilor – reprezintă procesele şi procedurile necesare pentru stabilirea unei identităţi unice la nivel de utilizator sau aplicaţie în cadrul sistemului informatic. Identificarea va permite contabilizarea (jurnalizarea sau auditarea) tuturor operaţiunilor individuale şi astfel putând preveni accesul neautorizat. b) Autentificarea utilizatorilor – este procedura prin care se verifică utilizatorii sau aplicaţiile definite la pasul a), astfel orice formă de acces devine autorizată. c) Controlul accesului – determină ce sau cine anume poate executa o anumită entitate autentificată în sistem, având în vedere, minim următoarele: controlul accesului la sistem, controlul accesului la reţea, clasificarea sau gruparea informaţiei accesibile, privilegiile permise. d) Responsabilitatea – este strâns legată de politicile de securitate definite la pasul anterior şi se referă în special la regulile impuse utilizatorilor sistemului, care vor fi răspunzători pentru acţiunile întreprinse după conectarea la sistem. Aici se vor defini persoanele cheie care vor avea puteri de acces (scrieri, modificări, ştergeri, etc.) superioare. e) Auditul de securitate – cerinţă care este folosită în special pentru analiza înregistrărilor activităţilor executate, pentru a determina dacă sistemul de protecţie este în concordanţă cu politicile şi procedurile de securitate stabilite (sau în concordanţă cu un minim acceptat). Scopul unui audit este de a identifica slăbiciunile legate de politicile de securitate implementate şi de a evidenţia eventualele eşecuri sau omiteri, care pot fi corectate sau controlate.

f) Integritatea sistemului – cerinţă prin care se urmăreşte să se crească redundanţa sistemului în cazul apariţiei unor defecţiuni, pentru aceasta se tratează necesitatea următoarelor etape:

- protejarea software-ului, datelor şi hardware-ului de modificări, fie accidentale sau voite;

- separarea proceselor şi datelor sistemului; - separarea proceselor şi datelor utilizatorilor; - controlul acţiunilor şi operaţiilor de întreţinere.

g) Integritatea informaţiilor – presupune mecanisme de protecţie a datelor împotriva distrugerii sau accesului neautorizat precum şi mecanisme de propagare a unor modificări survenite de-a lungul timpului. h) Fiabilitatea serviciilor – etapă prin care se încearcă să se optimizeze, păstrându-se ce;e convenite mai sus, modul de lucru al utilizatorilor sau mai bine zis cât de uşor şi sigur un utilizator autentificat poate accesa şi utiliza resursele unui sistem. i) Documentarea politicilor definite – este vitală pentru menţinerea unui anumit sistem de securitate operaţional şi eficient. Nu trebuie privită ca ultima cerinţă, ea fiind folosită pentru documentarea tuturor cerinţelor şi a modului de implementare, pentru fiecare cerinţă anterioară.

Figura 1.1.1 Microsoft Management Console – Local Security Settings, setări locale de securitate

Se pot defini şi unele politicile de securitate formale, ce vor dicta cerinţele de bază şi obiectivele pe care trebuie să le îndeplinească o tehnologie, la modul general (de multe ori aceste politici sunt aşa numitele „politici de început”, până la implementarea politicilor finale). Este de reţinut faptul ca politica de securitate este o componentă a politicilor de dezvoltare a companiei prin care:

- se garantează continuitatea funcţională a proceselor de afacere; - se asigură protecţia informaţiilor confidenţiale.

O politică de securitate nu va fi niciodată finalizată, încheiată (cel mult va fi „automatizată”), ea va fi mereu în dezvoltare pentru creşterea nivelului de securitate oferit.

Pentru a realiza un sistem de protecţie minim, eficient din punctul de vedere al costului şi al factorului temporal necesar implementării, se vor parcurge următorii paşi:

- evaluarea riscurilor ce pot apare; - definirea politicii de securitate la nivel minim (politicile formale); - implementarea elementelor stabilite în paşii anteriori; - administrarea şi suplimentarea continuă a politicilor definite; - nu în ultimul rând, auditul – formă prin care se validează etapele implementate.

Pentru stabilirea acelor politici formale de securitate vor fi parcurse etapele (se vor asigura că fiecare dintre acestea sunt prinse într-o formă mai mult sau mai puţin acoperitoare):

- se analizează riscurile majore ale organizaţiei (pentru definirea procedurilor prin intermediul cărora vor fi prevenite riscurile ca urmare a apariţiei unor evenimente nedorite);

- se defineşte o primă politică de securitate pentru tratarea componentelor la care nu pot fi prevenite anumite acţiuni fără a se impune aceste măsuri de protecţie;

- stabilirea unui plan de urgenţă care se va aplica în cazul în care măsurile de protecţie sunt învinse. Deoarece aceste probleme nu pot fi rezolvate numai prin definirea unei politici de securitate şi prin investirea de bani pentru anumite activităţi, în final se cere acordul şefului departamentului de management pentru acceptarea unor riscuri (acestea fiind documentate şi se vor conveni formele „generale” de tratare în cazul producerii lor).

Importanţa definirii acestor politici este reflectată de următoarele avantaje oferite de implementarea lor:

- o politică bine definită va face gestionarea unui sistem mult mai uşoară decât gestionarea unor seturi de reguli definite preferenţial. Uniformizarea şi centralizarea lor fiind cele mai puternice unelte aflate la îndemâna unui administrator;

- o politică bună ne permite să putem lua decizii în legătură cu măsurile ce merită aplicate şi cele care nu;

- conturile de utilizator compromise reprezintă unele din cele mai comune ameninţări ale securităţii unui sistem. Trebuie să se explice utilizatorilor importanţa securităţii şi eventual, cu acordul lor stabilite reguli care să le crească nivelul de securitate măcar la un minim de comun acord stabilit.

O atenţie specială o prezintă etapa prin care, pentru a diagnostica problemele şi conduce audituri sau depista intruşi, este posibil să trebuiască să se intercepteze traficul din reţea, să se inspecteze istoricul autentificărilor şi al comenzilor utilizatorilor legitimi şi să se analizeze directoarele personale ale utilizatorilor (gen „home” sau „My

Documents”). Este obligatoriu ca utilizatorii să fie înştiinţaţi de aceste acţiuni, pentru că altfel ele pot deveni ilegale.

Pentru a exemplifica o politică de securitate formală (de început) putem configura următoarele (posibilităţi ce stau, în marea majoritate a cazurilor, şi la îndemâna unor utilizatori fără drepturi de administrare – utilizatori obişnuiţi) trei nivele:

1. Nivelul de utilizare acceptabilă:

• Aplicaţii Screen saver cu activarea parolării

• Manipularea parolei

• Folosirea în mod uzual, a conturilor cu drepturi restrictive (de tip „restricted user”)

• Descărcarea şi instalarea aplicaţiilor (necesită drept de administrator)

• Informaţii ce menţionează ce utilizatori sunt monitorizaţi (pentru administrare, necesită drept de administrare)

• Utilizarea de aplicaţii anti-virus

2. Manipularea informaţiei sensibile, private (în orice formă scrisă, hârtie sau format digital):

• Curăţarea biroului şi încuierea informaţiilor confidenţiale

• Oprirea sistemului PC înainte de a părăsi spaţiul

• Utilizarea criptării

• Manipularea cheilor de acces la echipamente (stabilirea regulilor de încredere)

• Manipularea materialului confidenţial în afara sistemului sau pe durata călătorilor

3. Manipularea echipamentului în afara sistemului sau pe durata călătoriilor:

• Manipularea sistemelor mobile gen laptop, netbook, telefon, etc. în afara sistemului, pe durata călătoriilor sau conectărilor la zone nesigure (de ex. „hot spot”- uri gratuite).

Politica de securitate poate deveni foarte mare în conţinut (un prim exemplu ar fi faptul că diferiţi utilizatori vor trebui să aibă drepturi distincte, ajungând la personalizări preferenţiale), iar informaţiile vitale pot fi uşor uitate sau omise. Politica pentru personalul IT poate conţine informaţii ce sunt confidenţiale pentru utilizatorii obişnuiţi, fiind vitală împărţirea acesteia în mai multe politici mai mici (asupra cărora se vor defini drepturi diferite de management şi administrare); spre ex. Politica de utilizare acceptabilă, Politica pentru stabilirea parolelor, Politica pentru mesageria electronică, Politica pentru accesul la distanţă, etc..

Abordarea ce mai bună privind politicile de securitate aplicate în cadrul unei reţele este de a aplica un set de politici de bază la nivelul întregului domeniu, politici care să se aplice tuturor maşinilor (servere şi staţii de lucru) şi tuturor utilizatorilor. Aceste politici vor fi completate diferenţiat cu alte politici suplimentare, aplicabile anumitor roluri funcţionale pe care le au servere-le şi staţiile din reţea.

Figura 1.1.2 În MMC (Microsoft Management Console) se pot adăuga diferite alte add-în-uri sau colsole de administrare. Se observă în dreapta posibilitatea de a insera şi

diferite template-uri (şabloane) predefinite

Această abordare simplifică modul de gestionare al politicilor şi ne asigură că avem un nivel de securitate de bază pentru întreaga reţea.

Două lucruri sunt foarte importante atunci când dorim să se asigure un nivel de securitate de bază pentru toate sistemele din reţea:

• sistemele trebuie să fie menţinute la zi din punct de vedere al patch-urilor şi fix-urilor de securitate

• trebuie să se aplice un set de configurări de securitate de bază pe toate sistemele din reţea, adică să se facă întărirea securităţii sistemelor.

Exemple cu privire la aceste politici de bază care merită luate în considerare pentru securizarea de bază (primară) a sistemelor (exemplu oferit pentru o administrare sub sisteme server de tip Windows – 2000, 2003 sau 2008):

Politici de audit:

- Account logon & Management – auditarea evenimentelor de autentificare - Directory Service Access – auditarea folosirii resurselor din cadrul AD - Object Access – auditarea folosirii de diferite drepturi asupra sistemelor de

fişiere - System Events – jurnalizarea evenimentelor sistemului de operare

Privilegii ale utilizatorilor:

- Allow log-on locally – oferirea de acces local la sisteme

- Logon cu Terminal Services – oferirea de acces la distanţă pe sisteme - Deny log-on as a batch job – eliminarea posibilităţii de rulare de cod cu

autologare - Deny force shutdown from Remote system – eliminarea posibilităţii de restart al

sistemului de către persoane logate din afară.

Pentru uşurarea creării politicilor de securitate, cel mai simplu este să se pornească de la un template cu măsuri de securitate predefinite, pe care să se realizeze diferite modificări din mers, modificări ce sunt adaptate la cerinţele regăsite în paşii premergători precizaţi anterior, şi să se aplice în întreaga reţea.

De obicei aceste „propagări” ale politicii de securitate se poate face folosind diferite sisteme specializate cum ar fi „Security Configuration Manager” din sistemele bazate pe platforma Windows. Acesta conţine: template-uri care definesc setările ce trebuie aplicate pentru câteva configuraţii tipice, cu ajutorul snap-in-ul „MMC Security Configuration & Analysis” sau a utilitarului în linie de comandă „secedit” cu ajutorul căruia se poate automatiza procesul de aplicare al politicilor definite pe un singur calculator către o întreagă reţea.

Figura 1.1.3 După cum se observă la nivel de securitate se pot restricţiona inclusiv accesul la dispozitive hardware

Template-urile de securitate sunt fişiere text cu extensia „.inf” ce conţin un set predefinit de setări de securitate. Aceste setări pot fi adaptate şi aplicate asupra sistemelor din reţea. Setările de securitate disponibile includ: aplicarea de ACL-uri (Access Control List – liste de control la acces) pe chei de Registry şi fişiere, aplicarea de politici de conturi şi parole, parametri de start la servicii şi setarea de valori predefinite pentru unele chei de Registry.

Template-urile sunt aditive, adică se pot aplica succesiv mai multe template-uri. Ordinea de aplicare este importantă: setările din ultimul template aplicat vor suprascrie setările anterioare. Template-urile pot fi aplicate global, cu ajutorul Group Policy, sau individual, cu ajutorul Security Configuration & Analysis. Template-urile pot fi obţinute din mai

multe surse: spre exemplu, Windows Server 2003 vine cu un set predefinit de template-uri, iar în Windows Server 2003 Security Guide se pot găsi template-uri adiţionale.

Mai mult CIAC (Computer Incident Advisory Capability), SANS (SysAdmin, Audit, Network, Security) sau NSA/CSS (National Security Agency/Central Security Service) publică propriile recomandări şi template-uri pentru sistemele de operare Microsoft.

Security Configuration & Analysis este un snap-in MMC cu ajutorul căruia putem crea o bază de date cu setări de securitate, putem importa template-uri şi putem aplica setări suplimentare, iar apoi putem compara setările sistemului cu template-ul creat în baza de date. Comparaţia este non-distructivă, adică sunt raportate doar diferenţele între starea actuală a sistemului şi template-ul ales.

De asemenea, putem aplica setările respective asupra sistemului curent. „secedit”(SECurity EDITor) este un utilitar linie de comandă cu ajutorul căruia putem automatiza operaţiile de aplicare ale template-urilor folosind posibilităţi de creare de script-uri. Parametrii programului permit analiza, configurarea, importul, exportul, validarea sau rollback-ul (revenirea la setările originale) setărilor de securitate aplicate sistemelor.

Deşi crearea unei politici de securitatea este un proces foarte anevoios, satisfacţiile oferite de o implementare reuşită şi bine documentată poate însemna siguranţa şi rularea fără incidente a unui reţele de sute de calculatoare mai flexibile decât rularea unor politici inadecvate pe o reţea de zece-douăzeci de calculatoare.

Sugestii metodologice UNDE?

• Conţinutul poate fi predat în laboratorul de informatică sau într-o sală care are videoproiector sau flipchart.

CUM?

• Clasa poate fi organizată frontal sau pe grupe.

• Se pot utiliza: Prezentări multimedia conţinând informaţii despre definirea şi

porezentarea politicilor de securitate

EVALUARE

• Se pot folosi probe scrise şi orale

Fişa 1.2 Noţiuni de securitate a reţelelor


Principiile de bază ale securităţii sistemelor informatice s-au schimbat relativ puţin în ultimii ani.

Există două mari categorii – protecţia la nivel fizic (garduri, uşi cu încuietori, lacăte, etc.) şi protecţia la nivel informaţional (accesare prin intermediul unor dispozitive electronice şi/sau a unor aplicaţii software, a informaţiilor dintr-un sistem de clacul – în mod general, în mod particular, informaţiilor dintr-un calculator sau dintr-o reţea de calculatoare).

Fig. 1.2.1 Securitatea la nivel de acces perimetral

Soluţiile de protecţie fizică se pot împărţi la rândul lor în două mari categorii: soluţii de protecţie pentru echipamente şi soluţii pentru protecţia intruziunilor.

a). soluţiile de protecţie pentru echipamente sunt împărţite la rândul lor funcţie de natura protecţie care se doreşte, în:

Fig. 1.2.2 Securizări prin încasetări în dulapuri speciale (prevăzute cu UPS-uri, sisteme de aer condiţionat, protecţii la efracţii, şocuri, dezastre naturale, etc.)

- protecţie contra furtului – prin încuietori, încabinări (montarea în cabine

prevăzute cu sisteme speciale de porotecţie), plasări în spaţii special amenajate, etc.(figura 1.2.2);

Fig. 1.2.3 De observat diferenţele de încasetări (accesul la echipamente şi infrastructură este nesecurizat în partea stângă, iară acces securizat prin dulap metalic prevăzut cu

cheie, în partea dreaptă)

- protecţie contra distrugerilor (cu sau fară intenţie, aici intervenind şi

cataclismele naturale gen incendii, inundaţii, cutremure) – prin instalarea de sisteme de securizare contra incendiilor, inundaţiilor sau cutremurelor (figura 1.2.3 şi 1.2.4). Aceste forme de protecţie se refereră în special la informaţii cu adevărat sensibile (gen backup-uri, date confidenţiale, etc.);

Fig. 1.2.4 Testarea echipamentelor de protecţie (cabinete speciale gen seif)

- protecţie contra plusurilor de tensiune – prin instalarea de siguranţe specializate de protecţie la supratensiune, generatoare automate, etc..

Fig. 1.2.5 Protecţii la supratensiune (prin instalarea de siguranţe speciale)

Soluţiile de protecţie a echipamentelor reprezintă un pas foarte important în securizarea unei reţele. Nu putem să considerăm securizată o reţea dacă nu avem minimul de protecţie asigurat echipamentelor din cadrul ei, fie ele directe (cabluri, switch-uri, servere, cabinete, calculatoare, etc.) sau indirecte (panouri electrice, sisteme de protecţie contra incendiilor, etc.)

b). soluţiile de protecţie pentru protecţia intruziunilor se referă în special la securizarea perimetrală – securizare care se poate efectua folosind garduri, sisteme de supraveghere, acces limitat pe bază de chei, cartele de acces, zone diferenţiate pe nivele diferite de acces – atât la nivel de securizare zonală – prin aşezări şi amenajări speciale pentru zonele sensibile ce deţin echipamente speciale – cât şi pentru diferenţieri de acces pentru persoane distincte, cu drepturi personalizate la nivel de acces.

În această categorie intră toate formele de acces: de securizare perimetrală la nivel fizic, ca de ex. garduri, porţi, scanere de bagaje, etc., cât şi formele de securizare la nivel parţial fizic, ca de ex. sisteme de acces bazat pe control biometric, sisteme de supraveghere, alarme, etc.

Fig. 1.2.6 Securitatea la nivel informaţional

Securizarea la nivel informaţional. În această categorie intră toate formele de protecţie ce se bazează pe protejarea informaţiilor accesibile utilizatorilor acreditaţi sau formelor de protecţie contra utilzatorilor răuvoitori. La fel ca securizarea la nivel fizic, şi securitatea la nivel informaţional se poate separa şi ea în: securizare la nivel de „intruziune” şi la nivel de „acces”.

Securizarea la nivel de „intruziune” trebuie privită ca toatalitatea formelor de protecţie ce pot limita accesul la informaţie persoanelor din afara reţelei, dar în acelaşi timp să ofere şi protecţie internă şi faţă de utilizatorii din reţea. În această categorie se încadrează sistemele de detecţie gen firewall, sisteme de detecţie a intruziunilor (IDS – Intrusion Detection System), etc.

Securitatea la nivel de „acces” se referă la modalitatea de îngrădire a diferiţilor utilizatori (atât cei neautorizaţi cât şi celor autorizaţi) în a accesa diferitele informaţii din sistem. În acestă categorie intră sistemele de logare autentificate pe bază de conturi şi parole, criptări de date, etc.

Aşadar securitatea unei reţele trebuie să fie atacată din două mari puncte de vedere:

- securizarea la nivel de acces la echipamente; - şi protejarea la nivel de informaţii ce circulă în cadrul ei.

Deşi securizarea la nivel fizic este foarte importantă, de obicei se înţelege de la sine modalităţile de protejare a sa, rămânând ca importanţa majoră ce cade pe umerii unui tehnician să revină găsirii şi încercării de configurare a unei securizări la nivel informaţional cât mai puternice. Această formă de tratare a securităţii nu este foarte sănătoasă din cauza faptului că însăşi întreaga reţea funcţionează atâta timp cât este

fucţională, făcând astfel inutilă forma de securizare la nivel informaţional (oricât de puternică ar fi ea) inutilă.

Tot timpul trebuie mers în paralel cu aceste forme de securizare, iar în cazul unor extinderi suplimentare a reţelei, să se ia în calcul foarte serios şi această formă de securizare la nivel fizic.

Tot legat de noţiunile de securizate intervin şi aşa numitele proceduri de lucru în caz de dezastru. Mai mult teoria din spatele denumirii de securitate, vine cu precizări foarte clare prin care trebuiesc definite (şi documentate) atât procedurile de lucru pentru protecţia unei reţele cât şi proceduri prin care să se minimalizeze riscul odată ce a apârut o breşă de securitate. Aceste proceduri poartă denumirile de „mitigation” (planuri de măsuri ce trebuiesc relizate pentru reducerea expunerii la riscuri) şi „contingency” (planuri de măsuri ce trebuiesc luate pentru reducerea impactului odată ce riscul s-a produs).

De multe ori nu contează cât de „bine” a mers (şi eventual cât de mult a mers) securizarea definită într-o reţea, dacă atunci când a „picat”, când a apărut o breşă de securitate, riscurile au fost catastrofale. Acesta este motivul pentru care trebuiesc foarte clar aceste proceduri prin care să se reflecte (măcar pentru o parte din riscuri) moduri de lucru atât pentru remedierea situaţiei, cât mai ales pentru limitarea efectelor negative produse.

Ca un exemplu care să evidenţieze importanţa pe care o are politicile de „mitigation” şi „contingency” să luăm următoarele exemple:

1. Să presupunem că un echipament critic – gen un switch care gestiona 24 de calculatoare s-a defectat – dacă nu există un switch de schimb va trebui să oferim, cu soluţiile existente, acces dispozitivelor cu acces prioritar. Acest „schimb” trebuie să fie documentat, astfel încât orice tehnician să poată efectua acest schimb într-un timp cât mai scurt şi cu pierderi cât mai mici.

2. Să presupunem, în al doilea exemplu, că un atacator a reuşit să penetreze reţeaua noastră. Dacă informaţiile sensibile (confidenţiale) nu sunt protejate suplimentar (criptare, parolare, protejare la ştergere, etc.) vă daţi seama în ce situaţie periculoasă vă aflaţi! Şi în acest caz ar trebui să existe o procedură prin care anumite documente cu statut special (o bază de date cu date privind conturile de bancă a utilizatorilor, un stat de plată, un contract, un document confidenţial, etc.), să fie protejate suplimentar ca şi formă de acces, în primul rând, şi obligatoriu protejate şi ca şi conţinut (criptate sau parolate).

Cred că s-a înţeles că primul exemplu se referă la conceptul de „mitigation” – preparearea pentru dezastre – şi al doilea la „contingency” – prepararea pentru minimizarea efectelor unor breşe apărute în politica de securitate.

Tot în cadrul definirii conceptelor „sănătoase” de securizare a unei reţele trebuie menţionată importanţa procedurilor de backup. Deşi această procedură se referă în

mare parte la protejarea datelor, este de înţeles că, cel puţin pentru echipamentele sensibile (gen acel switch din primul exemplu de mai sus), şi funcţie de bugetul disponibil, trebuiesc realizate achiziţii de echipamente pentru backup în caz de urgenţe.

Ca şi politică de back-up al datelor stocate într-o reţea, funcţie de informaţiile care se regasesc în cadrul ei, poate fi o politică cu totul specială ce poate folosi servere speciale de tip NAS (Network Array Storage – Sistem de stocare în reţea).

Ca nivel minim de securizare, politica de back-up trebuie să ofere minim două lucruri principale: o procedură de actualizare/restaurare cât mai complete, efectuate într-un timp cât mai scurt şi protecţie sporită pentru suportul pe care se păstrează aceste informaţii (la fel, funcţie de natura informaţiilor păstrate, putând vorbi de necesitatea achiziţionării de seifuri, realizarea de copii de siguranţă la copiile de siguranţă, etc.).



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre nivele de securitate,

politici de securitate la nivel fizic şi informaţional. EVALUARE


Fişa 1.3 Identificarea problemelor de securitate a echipamentelor


Deoarece pierderile sau distrugerile echipamentelor la nivel fizic pot fi costisitoare, este necesar să se creeze o politică de securitate distinctă pentru aceasta. Această politică se identifică cu conceptul de „mitigation” prezentat în fişa 1.2.

Pentru protecţia echipamentelor, după cum s-a prezentat şi în fişa 1.2, putem defini urătoarele categorii generale de politicii de protecţii:

- politici de protecţie contra furtului – prin încuietori, încabinări (montarea în cabine prevăzute cu sisteme speciale de porotecţie);

- politici de protecţie contra distrugerilor (cu sau fară intenţie, aici intervenind şi cataclismele naturale gen incendii, inundaţii, cutremure) – prin instalarea de sisteme de securizare contra incendiilor;

- politici de protecţie contra plusurilor de tensiune – prin instalarea de siguranţe specializate de protecţie la supratensiune.

Fig. 1.3.1 Sisteme de monitorizare a parametrilor de temperatură, uminitate, presiune, etc., centralizate sub forma unor date preluate şi prelucrate de aplicaţii specializate

Trebuie menţionat faptul că sunt aplicaţii specializate care au fost dezvoltate special pentru a gestiona informaţiile primite de la diferiţi senzori instalaţi într-o anumită arie. Exemplul prezentat în figura 1.3.1 prezintă un magazin care are definiţi anumiţi senzori de temperatură legaţi între ei şi conectaţi în final la un computer, care rulează o aplicaţie prin care se poate urmări exact fiecare senzor şi se pot realiza diferite alarme

care să se declanşeze sau diferite forme de atenţionare în cazul în care sunt depăşite anumite limite la valorile primite de la senzori.

Astfel de aplicaţii sunt vitale în anumite sectoare, cum ar fi cel industrial, în care este imposibil ca o persoană să citească anumite valori şi să ia deciziile corespunzătoare. Pe aceste sisteme se bazează şi formele de protecţie la acces perimetral bazat pe camere de luat vederi care deţin (sau se realizeaza la nivel software) senzori de mişcare ce pot declanşa pornirea înregistrării sau pornirea unor alarme, reflectoare, etc.

Trebuie avut în vedere totuşi că politica definită trebuie sa fie urmărită până la cel mai mic detaliu, fară scăpări întrucăt ne interesează ca toate echipamentele să aibă parte de această securizare.

Din pricina costurior (care pot depăşi de multe ori bugetul alocat), de multe ori se foloseşte totuşi o mixtură de soluţii – unele mai speciale pentru zonele mai sensibile şi unele mai „comune” pentru celelalte. De ex. pentru servere, switch-uri, routere, soluţiile de back-up, etc. de obicei – este dealtfel şi foarte indicat – se amenajează o încăpere specială, la care are acces numai un număr foarte limitat de personal, încăpere care este protejată ignifug şi hidrofob, dotată cu generator şi panou electric special, pentru protecţie la supratensiune, surse neîntreruptibile pentru echipamentele de reţea sensibile, sistem de aer condiţionat pentru a limita problemele legate de supraîncălzirea lor, etc.

Din această formă de grupare se poate obţine o limitare a costurilor ataşate operaţiilor de implementare şi menţinere a securităţii unei reţele.

Este indicat să se ia în calcul pentru echipamentele sensibile, şi funcţie de natura afacerii (firmei) să se cumpere echipamente de back-up pentru a se putea remedia problemele într-un timp cât mai scurt în eventualitatea în care apare o problemă cu un echipament.

De multe ori se folosesc „dubluri” de echipamente care funcţionează redundant, adică în caz că echipamentul principal nu mai răspunde corespunzător normelor de folosinţă, întră al doilea echipament care preia sarcina până la remedierea problemei. Aceasta este o procedură extrem de sănătoasă, procedură după cum spuneam şi în fişa 1.2 legată de conceptul de back-up.

Ex. pentru servere se pot achiziţiona două echipamente (cel de backup de multe ori fiind ceva mai slab – pentru limitarea costurilor, dar este bine de luat totuşi în calcul şi faptul ca trebuie să ofere o funcţionarea asemănătoare) care să funcţioneze redundant, în caz că serverul principal păţeşte ceva şi devine innoperabil, serverul de back-up preia funcţiile până la remedierea problemei.

O astfel de politică poate însemna de multe ori însăşi succesul unei afaceri.

Tot aici ar intra şi necesitatea limitării accesului (prin instalarea unor cititoare de carduri, acces digital monitorizat) şi posibilitatea de audit al acestuia. Astfel este necesar să se realizeze sisteme de supraveghere, de management al acestora, de limitare a accesului şi de instalare a anumitor „trigger”-e – sau declanşatoare – de alarmă în cazul în care se detectează breşe de securitate perimetrală.

Fig. 1.3.2 Diferite sisteme de monitorizare al accesului

Nu trebuie uitată nici partea de protecţie la supratensiune – protecţie care trebuie suplimentată şi de existenţa unor UPS dedicate pentru diferite echipamente care trebuie protejate. Dintre aceste echipamente deosebim: switch-uri, servere, PC-uri, sisteme de monitorizare, etc.

Fig. 1.3.3. Protecţii la supratensiune

Fig. 1.3.4. UPS-uri, în partea dreaptă primul nivel de jos, format 2U, special pentru cabinete (server rack)

O importanţă majoră în procesul de securizare o reprezintă posibilităţile de monitorizare a parametrilor de funcţionare a unei reţele. Adică posibilităţi prin care se pot detecta în timp cât mai scurt echipamentele cu probleme din cadrul reţelei, echipamente ce pot genera probleme mult mai grave dacă nu sunt remediate în timp util.

Pentru aceasta este necesar să se efectuieze teste periodice a echipamentelor din cadrul reţelelor pentru a se putea detecta din timp echipamentele ce nu mai funcţionează în limitele admise. Aceste proceduri de testare trebuiesc efectuate şi documentate, termenul folosit fiind de mentenanţa echipamentelor de reţea.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre soluţii de protecţie a

echipamentelor, cu exemplificare pe importanţa realizării de politici de detecţie şi prevenţie a defecţiunilor echipamentelor dintr-o reţea.

Se va insista ca elevii să conştientizeze importanţa soluţiilor de protecţie a echipamentelor.

EVALUARE


Fişa 1.4 Identificarea problemelor de securitate a datelor


Fig. 1.4.1 Securitatea la nivel informaţional

Securizarea la nivel informaţional este de multe ori considetată primordială celei la nivel fizic, tosuşi trebuie să se înţeleagă strânsa inderdependenţă dintre acestea.

Securizarea la nivel informaţional trebuie să acopere mai multe forme de protecţie, urmând aceleaşi principii ca cele prezentate şi în fişele 1.2 şi 1.3, şi anume realizarea de politici de implementare a unor forme de securizare pentru minimizarea riscurilor („mitigation”) şi definirea obligatorie a unor politici de lucru pentru minimizarea riscurilor odată ce breşa de securitate a apărut („contingency”).

Politicile care sunt definite pentru minimizarea riscurilor de expunere la atacuri implică instalarea de diferite programe şi aplicaţii care să prevină în primul rând accesul

peroanelor neautorizare la resursele din cadrul reţelei (firewall, antivirus, etc.) cât şi programe şi aplicaţii care să protejeze datele vehiculate în cadrul reţelei (criptări).

Tot aici intră şi necesitatea definirii unor politici de back-up al datelor, back-up care trebuie să fie diferenţiat în primul rând după natura informaţiilor de „păstrat”, urmată de frecvenţa cu care se execută şi nu mai puţin importantă forma de păstrare a acestor fişiere.

În cadrul politicii care defineşte minimizarea riscurilor odată ce riscul s-a produs, trebuie să ofere informaţii clare prin care accesul la datele sensibile să fie protejat, eventual prin „conservarea” datelor respective, precum şi paşii necesari pentru remedierea situaţiei într-un timp cât mai scurt.

La fel ca şi mai sus, putem vorbi de o protecţie de tip „back-up” care, de această dată, trebuie să nu ofere posibilitatea de a copia anumite date sensibile, iar dacă datele totuşi au fost procurate, atacatorul să nu le poată folosi – aici intervenint obilgativitatea criptării acestor fişiere.

Pe lângă cele două direcţii prezentate mai sus, privite ca şi concepte distincte care tratează problema securităţii la nivel informaţional deosebim:

• securitatea implementată încă din faza de proiectare – security by design

• securitatea bazată pe mai multe nivele – security in depth.

Conceptul de „security by design” este foarte bun atunci când posibilităţile de implementare sunt justificate. De multe ori totuşi acest concept impune unele restricţii care limitează foarte mult utilizarea sa în arii diferite, metoda fiind folosită în zone speciale, foarte specializate (zone cu statut de importanţă majoră, ca de ex. reţelele de calculatoare care controlează traficul aerian, laboratoare de cercetare, etc.), zone în care accesul prin definiţie este foarte restrictiv.

Fig. 1.4.2 Exemplu de folosire al conceptului de „security by design” în viaţa de zi cu zi

Acest concept aplicat la „nivel software” generează un principiu de funcţionare al aplicaţiei cu restricţii foarte clare – care de multe ori din pricina acestor limitări devine în scurt timp nefezabil.

Fig. 1.4.3 Exemplu de folosire al conceptului de „security by design” la nivel IT

Pentru a exemplifica acest concept la nivel de aplicaţie(software) să presupunem că se citeste de către o aplicaţie un sir de caractere care ar trebui să reprezinte un nume. Dacă se limitează prin definiţie ca acel nume să conţină numai caractere alfabetice (litere mici şi/sau mari) vor fi persoane care se vor simţi ofensate că nu pot introduce nume de tipul „best4you” sau diferite caractere gen „/.$%@” etc. în acest caz acel program ajungând să-şi piardă din start unii utilizatori mai pretenţioşi. Totuşi merită semnalat faptul că implementarea unei astfel de metode este foarte binevenită în unele cazuri când netratarea corespunzătoare a unei astfel de secvenţe citite poate genera probleme de tipul „buffer overflow” generând apariţia unor breşe de securitate ce pot fi folosite în scopuri malefice(cazul când se folosesc caractere speciale ce pot ascunde informaţii tratate distinct ex. dacă se acceptă introducerea unei secvenţe „%n” se poate interpreta ca „salt la linie nouă” de către o funcţie de afişare generând în acel caz o posibilă eroare, cel puţin la nivel estetic – ca formă de prezentare).

„In-depth security” sau „defence in depth” este un principiu bazat pe mai multe „straturi” de securitate în vederea protejării sistemului sau reţelei din care face parte.

Fig 1.4.4. Evidenţierea conceptului de „Security in depth”

Trebuie să se înţeleagă că nu contează cât de bun este fiecare „strat” – privit singular, există cineva mai deştept, cu resurse materiale şi temporale suficiente cât să treacâ de acesta. Acesta este motivul pentru care practicile uzuale de securitate sugerează existenţa mai multor nivele de securitate sau pe scurt „in-depth security”.

Folosirea de nivele(layers) diferite de protecţie, de la diferiţi producători oferă o protecţie substanţial mai bună. Este posibil că un hacker să dezvolte un exploit(vulnerabilitate folosită în scopuri necinstite) care să permită să treacă de diferite tipuri de securitate, sau să înveţe anumite tehnici folosite de unii producatori, permiţându-le să facă acel tip de securitate (acel nivel) inefectiv.

Folosind o securitate bazată pe diferite nivele de protecţie veţi fi protejaţi de majoritatea persoanelor rauvoitoare, cu excepţia celor mai destepţi şi mai dedicaţi. Ca o regulă de bază (nivele minime de securitate instalate) se sugerează următoarele produse:

a) firewall – o barieră protectivă între calculator, reaţeaua internă şi lumea din jur. Traficul din interior şi spre exterior este filtrat, restricţionat, blocând eventualele transmisii nenecesare. Folosind reguli stricte de acces la nivel de aplicaţii şi utilizatori, se poate îmbunătăţi substanţial securitatea sistemului şi a reţelei locale;

Fig. 1.4.5 Prezentarea schemei de funcţionare şi poziţionare a unui firewall

b) antivirus – un software instalat cu scopul clar de a te proteja de viruşi, viermi şi alte coduri maliţioase. Majoritatea aplicaţiilor antivirus monitorizează traficul în fiecare moment, scanând în timp ce se navighează pe Internet sau scanând mesajele primite pe mail (cu tot cu ataşamente) şi periodic oferind posibilitatea rulării unei scanări la nivelul întregului sistem în căutarea de cod maliţios;

Fig. 1.4.6 Atenţie totuşi la aplicaţiile care se dau drept aplicaţii antivirus

c) Intrusion Detection System (IDS) şi Intrusion Prevention System(IPS o varianta mai specială a IDS) – un dispozitiv sau o aplicaţie folosit(ă) pentru a inspecta întregul trafic dintr-o reţea şi de a trimite mesaje de alertă utilizatorului sau administratorului sistemului cu privire la încercări neautorizate de acces. Principalele metode de monitorizare sunt cele bazate pe semnături şi cele bazate pe anomalii. Funcţie de metodele folosite IDS-ul poate rămâne la stadiul de a alerta utilizatori sau poate fi programat să blocheze automat traficul sau chiar programat să răspundă într-un anumit fel.

Fig. 1.4.7 IDS la nivel software şi hardware

Securizarea datelor accesibile trebuie să fie o prioritate pentru orice firmă, pierderile ce pot apare datorită neglijării deinirii unor nivele minime de securitate pot costa însaşi fucţionarea pe mai departe a întregii firme.

O politică sănătoasă, pe lângă posibilităţile de protecţie „obişnuite”, insistă pe realizarea de seminarii şi şedinţe de „traning”, de instruire, a utilizatorilor, deoarece studiile de securitate au arătat că principalele breşe de securitate, înainte de administrarea defectuasă, o reprezintă „needucarea” utilizatorilor în folosirea de nivele minime de securizare. Astfel trebuie luat în evidenţă şi posibilităţile de educare a utilizatorilor cu privire la diferite forme simple, uzuale, de protecţie personală şi împlicit comună.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre soluţii de protecţie a

datelor (backup, restaurări, criptări). Se va insista ca fiecare elev(ă) să conştientizeze importanţa securizării

datelor confidenţiale sau cel puţin cu statut privat. EVALUARE

• Se pot folosi probe scrise şi orale.

Tema 2 Dezvoltarea unei politici de securitate în reţea

Fişa 2.1 Prezentarea soluţiilor de protecţie

Acest material vizează competenţele/rezultate al învăţării: Prezintă politica de securitate şi Analizează metodele de protecţie a reţelei împotriva atacurilor

Importanţa aspectelor de securitate în retelele de calculatoare a crescut odată cu extinderea prelucrărilor electronice de date şi a transmiterii acestora prin intermediul reţelelor. În cazul operării asupra unor informatii confidenţiale, este important ca avantajele de partajare şi comunicare aduse de reţelele de calculatoare să fie susţinute de facilităţi de securitate substanţiale. Acest aspect este esenţial în condiţiile în care retelele de calculatoare au ajuns să fie folosite inclusiv pentru realizarea de operaţiuni bancare, cumpărături sau plata unor taxe.

În urma implementării unor mecanisme de securitate într-o reţea de calculatoare, informaţiile nu vor putea fi accesate sau interceptate de persoane neautorizate (curioase sau, eventual, chiar rău intenţionate) şi se va împiedica falsificarea informaţiilor transmise sau utilizarea clandestină a anumitor servicii destinate unor categorii specifice de utilizatori ai reţelelor.

Persoanele care atentează la securitatea reţelelor pot aparţine unor categorii diverse, comiţând delicte mai mult sau mai putin grave: sunt cunoscute cazurile de studenţi care se amuză încercând să fure poşta electronică a celorlalţi, "hacker"-i care testează securitatea sistemelor sau urmăresc să obţină în mod clandestin anumite informaţii, angajaţi care pretind că au atribuţii mai largi decât în realitate, accesând servicii care în mod normal le-ar fi interzise, sau foşti angajaşi care urmăresc să distrugă informaţii ca o formă de răzbunare, oameni de afaceri care încearcă să descopere strategiile adversarilor, persoane care realizează fraude financiare (furtul numerelor de identificare a cărţilor de credit, transferuri bancare ilegale etc.), spioni militari sau industriali care încearcă să descopere secretele/strategiile adversarilor, sau chiar terorişti care fură secrete strategice.

În condiţiile în care pot există interese atât de numeroase de "spargere" a unei reţele, este evident că proiectanţii resurselor hard şi soft ale acesteia trebuie să ia măsuri de protectie serioase împotriva unor tentative rău intenţionate. Metode de protecţie care pot stopa utilizatorii nedoriţi se pot dovedi inutile sau cu un impact foarte redus asupra unor adversari redutabili - dedicati şi cu posibilităti materiale considerabile cum spuneam şi mai devreme în fişa 1.1.

Problemele de asigurare a securităţii reţelelor pot fi grupate în următoarele domenii interdependente:

• confidenţialiatea se referă la asigurarea accesului la informaţie doar pentru utilizatorii autorizaţi şi împiedicarea accesului pentru persoanele neautorizate;

• integritatea se referă la asigurarea consistenţei informaţiilor (în cazul transmiterii unui mesaj prin reţea, integritatea se referă la protecţia împotriva unor tentative de falsificare a mesajului);

• autentificarea asigură determinarea identităţii persoanei cu care se comunică (aspect foarte important în cazul schimbului de informaţii confidenţiale sau al unor mesaje în care identitatea transmiţătorului este esenţială);

• ne-repudierea se referă la asumarea responsabilităţii unor mesaje sau comenzi, la autenticitatea lor. Acest aspect este foarte important în cazul contractelor realizate între firme prin intermediul mesajelor electronice: de exemplu, un contract / comandă cu o valoare foarte mare nu trebuie să poată fi ulterior repudiat(ă) de una din părţi (s-ar putea susţine, în mod fraudulos, că înţelegerea iniţială se referea la o sumă mult mai mică).

Aspectele de securitate enumerate anterior se regăsesc, într-o oarecare măsură, şi în sistemele tradiţionale de comunicaţii: de exemplu, poşta trebuie să asigure integritatea şi confidenţialitatea scrisorilor pe care le transportă. În cele mai multe situatii, se cere un document original şi nu o fotocopie. Acest lucru este evident în serviciile bancare. În mesajele electronice însă, distincţia dintre un original şi o copie nu este deloc evidentă.

Procedeele de autentificare sunt foarte răspândite şi ele: recunoaşterea feţelor, vocilor a scrisului sau a semnăturilor unor persoane pot fi încadrate în această categorie. Semnăturile şi sigiliile sunt metode de autentificare folosite extrem de frecvent. Falsurile pot fi detectate de către experţi în grafologie prin analiza scrisului şi chiar a hârtiei folosite. Evident, aceste metode nu sunt disponibile electronic şi trebuie găsite alte soluţii valabile.

Dintr-un punct de vedere mai pragmatic, implementarea unor mecanisme de securitate în reţelele de calculatoare de arie largă, în particular – Internet-ul, priveşte rezolvarea următoarelpr aspecte:

1. Bombardarea cu mesaje – aşa numitul spam – trimiterea de mesaje nedorite, de obicei cu un conţinut comercial. Acest fenomen este neplăcut în cazul unui număr mare de mesaje publicitare nedorite şi poate avea efecte mai grave în cazul invadării intenţionate cu mesaje ("flood"), uzual cu un continut nesemnificativ. Programele de e-mail pot încorpora facilităţi de blocare a mesajelor de tip "spam" prin descrierea de către utilizator a unor acţiuni specifice de aplicat asupra mesajelor, în funcţie de anumite cuvinte cheie sau de adresele (listele de adrese) de provenienţă.

2. Rularea unui cod (program) dăunător, adesea de tip virus - acesta poate fi un program Java sau ActiveX, respectiv un script JavaScript, VBScript etc.. Asemenea programe sunt în general blocate de navigatoarele moderne dar au ajuns să se răspândească ca fişiere ataşate mesajelor de e-mail, un caz renumit în acest sens fiind cel al virusului "Love Letter" (care deteriorează fişiere de tip sunet şi imagine) şi mutanţilor lui, mai destructivi decât prima versiune. Cea mai mare parte a programelor de navigare permit utilizarea unor filtre specifice pe baza cărora să se decidă dacă un anumit program va fi rulat sau nu, şi cu ce restricţii de securitate (decizia se realizează în general pe baza "încrederii" indicate în mod explicit de utilizător).

3. Infectarea cu viruşi specifici anumitor aplicaţii - se previne prin instalarea unor programe antivirus care detectează viruşii, devirusează fisierele infectate şi pot bloca accesul la fişierele care nu pot fi "dezinfectate". În acest sens, este importantă devirusarea fişierelor transferate de pe reţea sau ataşate mesajelor de e-mail, mai ales dacă conţin cod sursă sau executabil, înainte de a le deschide sau executa.

4. Accesarea prin reţea a calculatorului unui anumit utilizător şi "atacul" asupra acestuia. La nivelul protocoalelor de reţea, protejarea accesului la un calculator sau la o reţea de calculatoare se realizează prin mecanisme de tip firewall, prin comenzi specifice. Acestea pot fi utilizate şi în sens invers, pentru a bloca accesul unui calculator sau a unei reţele de calculatoare la anumite facilităţi din Internet.

5. Interceptarea datelor în tranzit şi eventual modificarea acestora – snooping. Datele se consideră interceptate atunci când altcineva decât destinatarul lor le primeşte.

6. În Internet, datele se transmit dintr-un router în altul fără a fi (uzual) protejate. Routerele pot fi programate pentru a intercepta, eventual chiar modifica datele în tranzit. Realizarea unei astfel de operatii este destul de dificilă, necesitând cunostinte speciale de programare în reţele şi Internet, dar există numeroase programe (de tip “hacker”) care pot fi utilizate în aceste scopuri, ceea ce conduc la creşterea riscului de interceptare a datelor. Transmisia protejată a datelor trebuie să garanteze faptul că doar destinatarul primeşte şi citeşte datele trimise şi că acestea nu au fost modificate pe parcurs (datele primite sunt identice cu cele trimise). Modificarea datelor s-ar putea realiza în mod intentionat, de către o persoană care atentează la securitatea reţelei sau printr-o transmisie defectuoasă.

7. Expedierea de mesaje cu o identitate falsă, expeditorul impersonând pe altcineva (pretinde că mesajul a fost trimis de la o altă adresă de postă electronică) – spoofing. Această problemă se revolvă prin implementarea unor mecanisme de autentificare a expeditorului.

Se poate remarca faptul că problemele ridicate la punctele 3 şi 4 sunt riscuri generice, specifice pentru utilizatorii care fac schimb de fişiere şi respectiv pentru toţi cei care sunt conectaţi la o reţea de calculatoare – locală sau de arie largă. Problemele de interceptare şi autentificare, cele mai importante din punctul de vedere al utilizztorilor obisnuiţi, sunt rezolvate prin aplicarea unor tehnici de codificare.

Pentru asigurarea securităţii reţelei este importantă implementarea unor mecanisme specifice pornind de la nivelul fizic (protectia fizică a liniilor de transmisie), continuând cu proceduri de blocare a accesului la nivelul reţelei (firewall), până la aplicarea unor tehnici de codificare a datelor (criptare), metodă specifică pentru protecţia comunicării între procesele de tip aplicaţie care rulează pe diverse calculatoare din reţea.

Împiedicarea interceptării fizice este în general costisitoare şi dificilă; ea se poate realiza mai facil pentru anumite tipuri de medii (de exemplu, detectarea interceptărilor pe fibre optice este mai simplă decât pentru cablurile cu fire de cupru). De aceea, se preferă implementarea unor mecanisme de asigurare a securităţii la nivel logic, prin tehnici de codificare/criptare a datelor transmise care urmăresc transformarea mesajelor astfel încât să fie întelese numai de destinatar; aceste tehnici devin mijlocul principal de protecţie a reţelelor.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii privind soluţiile de protecţie

existente şi topul acestora – din revistele de specialitate. EVALUARE

• Se pot folosi probe scrise şi orale, eseu.

Fişa 2.2 Soluţii de securitate hardware

Acest material vizează competenţa/rezultat al învăţării: Analizează metodele de protecţie a reţelei împotriva atacurilor

Conceptul de securitate hardware se referă la posibilităţile de a preveni furtul, vandalismul şi pierderea datelor. Se identifică patru mari concepte:

a) securizarea accesului – posibilitatea de a restricţiona şi urmări accesul la reţea (posibilităţile de a îngrădi clădirile şi de a securiza punctele de acces în cadrul unităţii)

b) securizarea infrastructurii – protejarea caburilor, echipamentelor de telecomunicaţii şi dispozitivelor de reţea – gruparea pe cât posibil în locaţii puternic securizate a tututor echipamentelor de comunicaţie, camere de supravegheat – cu conectare wireless pentru zone greu accesibile – firewall-uri la nivel hardware, posibilitatea de a monitoriza modificarea cablării şi a echipamentelor intermediare de comunicaţie – ex. monitorizarea switch-urilor, routerelor etc.;

c) securizarea accesului la calculatoare – folosind lacăte pentru cabluri – mai ales pentru laptopuri – carcase ce se pot închide, eventual cutii securizate ce conţin unităţile centrale ale desktop-urilor;

d) securizarea datelor – în special pentru prevenirea accesului la sursele de date – ca de ex. Hard disk-urile externe vor trebui ţinute în carcase prevăzute cu lacăte, precum şi dispozitive de siguranţă pentru stick-uri USB. O atenţie foarte mare trebuie ofrită soluţiilor de back-up folosite, suporturile acestor date trebuiesc să fie stocate şi transportate în locaţii şi în condiţii foarte sigure(stricte). Întrucât implementarea unei soluţii de securitate foarte puternice este o procedură foarte dificilă ce implică de multe ori costuri foarte mari, cât şi personal calificat şi foarte disciplinat.

Este imperios necesar să se încerce să se găsească un compromis între nivelul de securizare dorit şi implicaţiile implementării acestor restricţii.

O dezvoltare a ideii de securizare hardware o reprezintă aşa-numitele elemente de monitorizare harware a reţelelor. Aceste soluţii sunt echipamente special concepute a întreţine reţele întregi de calculatoare şi vin să inlocuiască echipamentele uzuale.

De multe ori aceste echipamente conţin un întreg ansamblu de soluţii – firewall, antivirus, criptări, IDS (Intrusion Detection System), VPN (virtial private network), trafic snaping. Aceste soluţii se bazează pe cipuri ASIC (Application-Specific Integrated Circuit) care sunt circuite integrate personalizate să efectuieze o anumită sarcină (se elimină cazurile generale, implementându-se algoritmi speciali, specializaţi şi optimizaţi). Versiuni similare sunt aşa numitele SoC (System on a Cip) care conţin şi alte blocuri funcţionale (procesare pe 32 de biţi, memorie ROM, RAM, EEPROM, Flash).

Aceste echipamente totuşi au preţuri foarte mari, prohibitive pentru companiile mici şi mijlocii, ele folosindu-se în special în cadrul marilor companii multi-naţionale.



CUM?


• Se pot utiliza: Prezentări multimedia privind securitatea la nivel de hardware. Se va insista ca fiecare elev(ă) să poată configura modalităţi de

protecţie minimală – de ex. parolarea din BIOS. EVALUARE


Fişa 2.3 Soluţii de securitate software


Menirea unei soluţii de securitate software este de a înlocui şi eventual de a îmbunătăţi soluţia de tip hardware(decizie luată în special din cauza pretului dispozitivelor harware specializate). Astfel şi soluţiile software se pot organiza într-un mod asemănător cu cel prezentat în fişa 2.2, cu precizările următoare:

a) la nivelul „accesului” se pot folosi sistemele de monitorizare folosindu-se de coduri de acces, camere de supraveghere cu detecţia mişcării

b) la nivel de „infrastructură” firewall-uri software, sisteme de monitorizare ale reţelei în vederea detectării de modificări la nivel de cablări, schimbări de configurare, declanşări de alarme, etc.;

c) la nivel de „date” – posibilităţi de backup automate, pastrate în diferite locaţii, programe de criptare, etc;

d) la nivelul „calculatoarelor” - IDS (Intrusion Detection Systems) – care pot monitoriza modificările din cadrul codului programelor şi sesizează activitatea „neobişnuită” a reţelei, folosirea de aplicaţii de detectare a elementelor de tip malaware (virusi, spyware, adware, grayware);

Din alt punct de vedere este foarte important de evidenţiat faptul că aceste soluţii de securitate se mai clasifică şi în funcţie de importanţa lor, astfel, deosebim:

a) aplicaţii de tip firewall – pentru filtrarea datelor din cadrul unei reţele; b) aplicaţii pentru detectarea codurilor dăunătoare: aplicaţii antivirus, aplicaţii

anti-spamware, anti-adware, anti-grayware la nivel de reţea; c) obligativitatea actualizării de patch-uri pentru sistemele de operare şi aplicaţii

instalate pentru a minimiza posibilităţile de infectare folosind breşele de securitate nou apărute.

Toate aceste aplicaţii sunt absolut necesare în orice reţea care este conectată la Internet. Pentru orice companie este forate important ca pe lângă setările de securitate pe calculatoarele utilizatorilor să aibă soluţii de protecţie şi la nivelul reţelei. Întrucât soluţiile de securitate care se pot seta la nivel de desktop (sau laptop) sunt relativ limitate – în special prin prisma puterii de procesare şi de disciplina şi cunosţintele utilizatorilor – rămâne să se instaleze şi configureze soluţii dedicate de securitate la nivel de reţea, soluţii de care să se folosească toţi utilizatorii din cadrul ei.

Conform unui studiu al companiei Blue Coat1

1 Solution Brief: Top Five Security Best Practices for you Web Gateway în 2009, din 06.05.2009, link

care prezintă primele 5 cele mai bune practici de securitate pentru conectarea la internet, se disting direcţiile de urmat în următoarea perioadă (luni, ani) şi anume:

http://networking.ittoolbox.com/research/top-five-security-best-practices-for-your-web-gateway-în-2009-19108

http://networking.ittoolbox.com/research/top-five-security-best-practices-for-your-web-gateway-in-2009-19108�

1. Alăturarea la o comunitate de supraveghere(community watch). Multitudinea de ameninţări venite şi de la site-uri populare şi de incredere a condus la schimbarea regulilor de apărare împotriva lor. Astfel, din ce în ce mai multi utilizatori, se unesc în comunităţi de supraveghere păstrate în aşa numitele „cloud services” – reţele între care există relaţii bine-stabilite, de încredere şi dependenţă, bazându-se pe concepte de procesare în reţea(folosindu-se astfel de puterea de procesare oferită de fiecare caclulator din cadrul ei) – pentru a se proteja unii pe alţii. Când o persoană detectează o ameninţare, aceasta este percepută de fiecare utilizător din cadrul norului (cloud) astfel ajungând să se apere fiecare utilizător. Aceste comunităţi sunt un pas foarte important în asigurarea securităţii deoarece conferă avantaje foarte puternice comparativ cu alte soluţii singulare, deoarece are la dispoziţie mai multe resurse şi soluţii defensive.

2. Schimbarea mentaltăţii defensive „one against the Web” (singur impotriva Internetului). Soluţiile personale de protejare împotriva împotriva atacurilor criminale care vizează furtul de date, de orice natură, devin foarte repede „învechite” întrucăt aceste atacuri devin din ce în ce mai complexe şi mai sofisticate tehnologic. Soluţiile personale nu se pot compara cu avantajele unei comunităţi întregi care detectează şi expun aceste atacuri venite că ameninţări din Internet, de pe diferite site-uri. Sistemele de protecţie bazate pe semnături actualizate zilnic sunt forme de protecţie depăşite. Nu se compară aceste soluţii cu ceea ce poate oferi soluţiile cu design hibrid folosite de comunităţile de supraveghere, care se bazează pe servicii de protecţie ce se actualizează odată la 5 minute, beneficiind de serviciile defensive a peste 50 de milioane de utilizatori.

3. Schimbarea politicilor bazate pe „producţie” în politici bazate pe „protecţie”. Dacă soluţia existentă la momentul actual este mai veche de 1 an, atunci această soluţie este bazată pe „producţie” – adică la momentul instalării s-a luat în calcul mărirea productivităţii utilizatorilor prin blocarea de site-uri cu conţinut obscen şi neproductiv(ex. jocuri online). Cum s-a ajuns că peste 90% din conţinutul malaware să vină de la site-uri populare şi „de încredere”, Internetul-ca un tot unitar- a ajuns să fie principalul „furnizor” de acest conţinut. Sunt foarte multe site-uri populare care ajuns să fie infectate astfel ajungând să indice în mod direct surse de descărcare de conţinut malaware. Pentru protejare de atacuri venite din Internet este necesar să se blocheze toate formele de download venite din partea unor site-uri necunoscute sau cu reputaţii ştirbe, blocând astfel o întreagă cale de acces al ameninţarilor de tip malaware în reaţeaua locală.

4. Folosirea de servicii Web real-time (în timp real) de evaluare. Conţinutul Web cuprinde o multitudine de metode de filtrare de adrese URL care actualizează zilnic listele URL statice conţinute de fiecare site. Dar, nici o astfel de listă nu poate oferi o evaluare pentru întregul Internet şi nici măcar nu poate ţine pasul cu modificările frecvente care apar în Internet, sau adăugările de conţinut nou. Serviciile Web care oferă posibilitatea de a evalua site-urile devin unelte foarte puternice şi necesare pentru a suplimenta valoare de protecţie oferită de soluţiile de filtrare de URL. Dealtfel aceste servicii oferă un real ajutor şi utilizatorilor finali, oferind informaţii în timp real cu privire la conţinutul paginilor vizitate, utilizatorii bucurându-se de navigări relativ sigure folosind politici de securitate acceptabile.

5. Protejarea utilizatorilor ce se conecteaza de la distanţă. Posibilitatea de a lucra la distanţă a devenit o foarte importantă unealtă de lucru pentru majoritatea utilizatorilor. A apărut astfel necesitatea de a securiza acesta formă de acces şi mai mult de a concepe reţele care să extindă şi să includă aceşti utilizatori. Adăugarea unui agent te tip client, legat la o comunitate de supraveghere poate proteja mai bine utilizatorii la distanţă. Centralizarea politicilor de management poate oferi protecţia

necesară oferită de filtrarea de conţinut şi blocarea de malware de pe sitr-urile detectate de o întreaga reţea defenisivă a unei comunităti de supraveghere.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre soluţii de protecţie

software, prezentarea topurilor actuale privind aceste soluţii. EVALUARE


Tema 3 Ameninţări de securitate a reţelelor



Orice reţea conectată în Internet are un potenţial ridicat de vulnerabilitate în faţa unor atacuri sau acţiuni cu efecte distructive pentru resursele informatice din acea reţea.

Pentru companii a avea facilitatăţi de producţie, birouri şi clienţi răspândiţi geografic pe arii mari înseamnă a rezolva nevoia de a conecta în reţea toţi aceşti utilizatori prin mĳloace rapide, sigure şi de încredere. Securizarea reţelelor informatice a devenit importantă pe măsură ce reţelele informatice au evoluat iar unii utilizatori au nevoie de metode de acces sigure în aceste reţele din locaţii distante.

Numărul de incidente raportate pe tema securităţii în reţele informatice urmează un trend crescător, un nivel îngrĳorător atingând atacurile venite din domeniu public (Internet). Printre cele mai utilizate mĳloace de a produce daune atunci când este vizată o reţea sunt atacuri de tip DoS -Denial of Service (o reţea este “inundată” cu un flux de date generate de atacator pentru a împiedica traficul legitim de date să ajungă la destinaţie în acea reţea), atacuri prin e-mail sau accesul neautorizat pe anumite servere ce conţin date confi denţiale sau aplicaţii de tip critic pentru activitatea unei companii.

SANS Institute a relevat printr-un studiu efectutat în 2002 pe un număr de 400 companii din 30 de ţări, că într-o săptămână s-au înregistrat o medie de 32 de atacuri. Şi asta era în 2002, de atunci aceste atacuri au luat o amploare încredibilă.

Atacurile îşi au originea nu numai din exteriorul reţelei, dar şi din interior de vreme ce parteneri de afaceri sau angajaţi ai companiei se pot conecta în reţea de la distanţă şi tot mai multe aplicaţii se bazează pe tehnologii de tip wireless pentru acces în reţea. Mobilitatea şi accesul la distanţă sunt la fel de necesare în modul nostru de lucru la fel însă şi confidenţialitatea informaţiilor, intimitatea personală şi stabilitatea în reţea ca mediu de lucru utilizat la schimbul de informaţii în timpul activităţii.

V-aţi întrebat vreodată care sunt motivaţiile unui individ care îşi zice hacker de a face ceea ce face? Aceste motivaţii sunt diverse, dar pot fi încadrate în categorii mai generale. Aşadar deosebim:

a) distracţie, „for fun”, prostie(script-kid): sunt cei care fac “prostii” pe net doar ca să se distreze sau să dovedească lor sau altora că sunt posesorii unor skill-uri mai speciale;

b) bani(well know hackers), un nivel superior, mult mai profesional de multe ori: sunt cei care fac bani din această “meserie”. Aici sunt incluse şi activităţile de spionaj industrial sau corporatist;

c) răzbunare: clienţi nemulţumiţi, foşti angajaţi, competitori sau oameni care au ceva împotriva cuiva dintr-o companie.

Ca surse de atac se disting două mari categorii:

- atacuri din interiorul reţelei; - atacuri din exteriorul reţelei.

Atacul din interiorul reţelei este forma cea mai devastatoare întrucât utilitatorul are acces la o multitudine de resurse şi deoarece politicile de securitate interne nu sunt atât de bine implementate, sau cel puţin nu sunt definite atât de strict din pricina diversităţii necesare unor utilizatori în a accesa informaţiile răspândite prin cadrul organizaţiei. Mai mult ca regulă generală toţi utilizatori interni intră în categoria utilizatorilor „trusted” – de încredere.

Acesta este şi motivul pentru care, în urma unor informaţii detaliate din cadrul unor rapoarte de securitate s-a observat că riscurile cele mai mari vin de la proprii angajaţi.

Un atac din interior poate fi neintenţionat sau deliberat. În categoria atacurilor neintenţionate întră posibilitatea de a „citi” parola de acces a unei alte persoane, sau divulgarea unor parole, sau prin infectarea calculatorului la care lucrează, expunând întreaga companie la riscul de a se infecta cu un virus.

Cea de-a doua formă de atac este de departe cea mai periculoasă, pentru că de multe ori aceste persoane deţin cunoştinţe avansate şi pot eventual să-şi ascundă şi urmele operaţiilor efectuate. Din păcate nu există o formă sigură de protecţie pentru aceste forme de atac, singura care poate oferi informaţii cu privire la astfel de atacuri fiind auditarea accesului – dar aceasta poate face şi mai mult rău prin prisma stresării suplimentare a utilizatorilor din cadrul organizaţiei.

Pentru a se putea înţelege mai bine atacurile din exterior să facem o comparaţie cu o bancă. Astfel primul pas făcut în direcţia implementării unei defensive eficiente este de a “ridica” un FIREWALL ca o barieră în faţa punctului de intrare în reţea. Este ca şi cum am instala o uşă metalică într-o bancă. Un punct de acces prin care tot traficul este monitorizat pe măsură ce intră sau iese din reţea. Orice intrus cu intenţii suspecte trebuie să fie detectat, aşa că al doilea tip de dispozitive de securitate - camerele de supraveghere – vor fi instalate în spatele porţii metalice, cazul băncii.

Pentru o reţea informatică, al doilea nivel de securitate, furnizat din spatele firewall -ului este făcut prin IDS – Intrusion Detection System sau SDI – Sisteme de Detecţie a Intruziunilor. Aceste sisteme detectează atacurile şi declaşează răspunsuri la aceste atacuri şi mai mult, alertează pe diverse căi administratorul de reţea sau alte persoane abilitate.

Câteodată băncile realizează transfer de bani lichizi şi atunci trebuie să se asigure ca în exterior totul va decurge într-un mod sigur. La fel cum băncile folosesc vehicule blindate pentru protecţia transportului de bani lichizi, reţelele informatice utilizează ca mĳloc de transport a datelor în spaţiul public tunele securizate de date sau VPN (Virtual Private Network), în româneşte: RVP Reţele Virtuale Private. Deoarece în aceste tunele există riscul să se intercepteze informaţiile, iar pachetele de date aflate în tunel să fie compromise în timp ce sunt în tranzit, conţinutul pachetelor de date este obligatoriu să fie criptat!

De cele mai multe ori oamenii vor să aibă acces la facilităţile furnizate de banca din alt oraş sau din altă ţară, aşa că o bancă trebuie să se asigure că oamenii care beneficiază de acces de la distanţă au dreptul de a accesa resursele băncii on-line. În mod similar într-o reţea trebuiesc activate sisteme de autentificare care să verifice identitatea persoanei care trimite şi recepţionează informaţia criptată prin tunelul securizat.

Un plan de securitate puternic este unul conceput pe mai multe layere sau straturi, cum am precizat şi în fişa 1.1, adică implică mai multe soluţii de securitate. În funcţie de fiecare organizaţie sau companie soluţiile diferă. Dar per total soluţiile de securizare se împart în două categorii: soluţii hardware şi soluţii software.

Cum spuneam mai sus, este necesară instalarea unui firewall care să pună o barieră între cei din afara reţelei, cei din interiorul ei şi modul în care se accesează ea.

Astfel, un sistem de tip firewall trebuie să ofere informaţii de tipul:

1. filtrarea traficului – sistemul decide ce pachet de date are permisiunea să treacă prin punctul de acces în concordanţă cu setul de reguli aplicate;

2. inspectarea fluxurilor de date, inspectare de tip Statefull (sau filtrarea dinamică a pachetelor) este utilizată pentru a verifica fiecare nou flux de date ce intră în reţea, şi este abilitatea firewall-ului de a memora starea fiecărui flux de date;

3. NAT – Network Address Translation – reprezintă o tehnică utilizată pentru a “ascunde” adresele private în spaţiul public. Tot traficul generat de utilizatorii unei reţele private va apare în spaţiu public ca un trafic generat de un singur u tilizator din spaţiul public.

4. application gateways – sunt folosite de aplicaţii precum FTP (File Transfer Protocol) sau RTSP (Real Time Streaming Protocol). Aceste protocoale trimit pachete IP ce conţin adresa fixată a aplicaţiei (socket sau port);

5. proxy servers – asigură modul ca o aplicaţie să fie utilizată conform cu politica de securitate specific setată;

6. detectarea intruziunilor – pe baza unor şabloane firewall -ul detectează un spectru de atacuri înregistrându-le, notificând administratorul de reţea şi activând un set de acţiuni menit să minimizeze efectul impactului unui atac;

7. capacităţi de monitorizare şi management al traficului – evenimentele sunt înregistrate, prelucrate şi prezentate în rapoarte către administratorul de reţea;

8. mĳloace de autentificare – listele de acces furnizează o cale eficientă de a aplica un mĳloc de constrângere unui mare grup de utilizatori aflaţi în spaţiul public.

Un prim pas în aflarea unui mod de penetrare în reţea a unui atacator va fi să afle ce porturi (uşi ascunse) sunt deschise. Pentru aceasta el va face o scanare de porturi. O astfel de metodă totuşi poate fi folosită şi de către administratorul unei reţele pentru a se asigura că este protejat corespunzător.

Scanarea de porturi nu dăunează reţelei sau sistemulu, dar asigură hackerului informaţii care pot fi folosite pentru atacuri. Potenţialii atacatori folosesc aceste scanere exact cum un hoţ intră într-o parcare şi ia fiecare maşină la rând, încercând fiecare uşă pentru a le găsi pe cele deschise.

Ca să exemplificăm voi enumera unele dintre cele mai cunoscute şi populare porturi TCP/UDP aşa cum sunt ele documentate în RFC 1700. Asignarea acestor porturi este făcută de către IANA (Internet Assigned Numbers Authority). În general, un serviciu foloseşte acelaşi număr de port UDP cât şi TCP există totuşi şi excepţii. Iniţial porturile erau curpinse în intervalul 0-255, dar mai târziu acest interval s-a extins de la 0 la 1023.

Aşadar urmează o listă cu cele mai cunoscute porturi:

TCP/UDP port 20: FTP(data) TCP/UDP port 21: FTP(control) TCP/UDP port 23: Telnet TCP/UDP port 25: SMTP TCP/UDP port 53: DNS TCP/UDP port 67: BOOTP server TCP/UDP port 68: BOOTP client TCP/UDP port 69: TFTP TCP/UDP port 80: HTTP TCP/UDP port 88: Kerberos TCP/UDP port 110: POP3 TCP/UDP port 119: NNTP TCP/UDP port 137: NetBIOS serviciul de nume TCP/UDP port 138: NetBIOS datagram TCP/UDP port 139: NetBIOS session TCP/UDP port 194: IRC TCP/UDP port 220: IMAPv3 TCP/UDP port 389: LDAP

Porturile din intervalul 1024-64535 sunt denumite registered ports ele fiind folosite de către procese şi aplicaţii. Bineînţeles, asta nu înseamnă că aceste porturi nu sunt ţinte ale atacurilor. De exemplu, portul 1433 folosit de SQL poate reprezenta interes pentru hackeri.

În total avem 65535 porturi TCP (acelaşi număr şi de porturi UDP). Ele sunt folosite de diverse aplicaţii şi servicii. Dacă un port este deschis, el răspunde de fiecare dată când un computer încearcă să-l acceseze prin reţea. Aplicaţiile ce scanează porturi, de tip Nmap, sunt folosite pentru a determina care porturi sunt deschise pe un sistem. Programul trimite pachete pentru o multitudine de protocoale, şi analizând apoi ce răspunsuri primeşte şi ce nu, creează o listă cu porturile ce “ascultă” (listening ports) sau sunt deschise pentru sistemul scanat.

O reţea virtuală privată (VPN) este tehnica prin care realizăm “tunele” în spaţiul public, în Internet, pentru a conecta în mod sigur de exemplu birourile unei companii aflate în mai multe locaţii. Pentru VPN-uri bazate pe protocol IP, traficul din reţea este încapsulat în pachetele IP iar acestea sunt transferate prin tunel. Aceasta încapsulare furnizează calea de separare a reţelelor. Autentificarea furnizează verificarea identităţii, iar criptarea furnizează confidenţialitatea datelor încapsulate.

Protocoale utlizate în crearea de tunele sunt:

MPLS –Multiprotocol Label Switching GRE – Generic Routing Encapsulation PPTP – Point-to-Point Tunnelling Protocol L2TP – Layer 2 Tunnelling Protocol IPSec – Internet Protocol Security

Pentru crearea de VPN-uri, pe scară largă este folosit protocolul IPSec. IPSec asigură separarea reţelelor private de cele publice prin tunelarea pachetelor IP în alte pachete IP asigurând totodată confidenţialitatea şi integritatea datelor. IPSec reprezintă o colecţie de alte protocoale înrudite ce operează la Nivelul Reţea( Nivelul 3 în modelul OSI). Deşi IPSec este folosit de cele mai multe ori ca soluţie completă în creearea de VPN-uri, mai poate fi folosit complementar ca schemă de criptare în cadrul VPN -urilor ce au la bază L2TP sau PPTP.



CUM?



împotriva diferitelor tipuri de atacuri. EVALUARE

• Se pot folosi probe scrise

Fişa 3.2 Tipuri de atacuri asupra reţelelor


Când spunem tip de atac ne referim la modul în care un hacker reuşeşte să preia controlul unui sistem şi ce poate el să facă după ce a reuşit penetrarea lui.

Fig. 3.2.1 O clasificare a formelor de atac

Cele mai des întâlnite tipuri de atacuri sunt următoarele:

a) atacuri social engineering; b) atacuri DoS; c) scanări şi spoofing; d) source routing şi alte exploituri de protocoale; e) exploituri de software; f) troieni, viruşi şi worms;

Atacurile de tip social engineering.

Spre deosebire de celelalte ripuri de atacuri, aceasta nu implică nici o manipulare tehnologică a harware-ului unui sistem sau a vulnerabilităţii software ale acestuia şi nu necesită skill-uri(cunoştinţe) tehnice foarte dezvoltate. În schimb, social engineering aduce în prim plan omul şi greşelile lui. Atacatorul trebuie doar să posede “people skills”. Ei câştigă încrederea userilor (sau şi mai bine, a adminilor) şi obţin credenţialele cu ajutorul cărora se pot loga pe sisteme. În multe cazuri, această metodă este cea mai uşoară formă de obţinere de acces la un sistem informaţional.

Măsurile de protecţie împotriva acestui tip de atac sunt cel puţin “challenging”. În primul rând deschizi ochii foarte bine atunci când faci angajări. Apoi îţi “educi” personalul IT. Niciodată să nu divulge parole, username-uri sau informaţii legate de sistemele administrate sau reţea. Şi bineînţeles să le explici fenomenul de social engineering. Având în vedere faptul că acest tip de atac are la bază încrederea prea mare în persoanele nepotrivite, naivitatea, frica sau alte “sentimente” de acelaşi gen, principala metodă de apărare este educarea personalului şi nu implementarea de soluţii tehnice.

Atacuri Denial-of-Service (DoS)

Anul 2000, luna februarie. O serie de atacuri DoS au pus la pământ web site-uri că yahoo.com sau buy.com. Vă daţi seama de forţa acestor atacuri, dacă au putut să doboare astfel de “mamuţi”? Atacurile DoS sunt printre cele mai “populare” printre hackeri atunci când este vizată întreruperea serviciilor unei reţele sau ale unui server.

Scopul unui atac DoS este de a genera o cantitate foarte mare de trafic care pune în cap servere, routere sau alte device-uri, astfel ele nemaifiind capabile să funcţioneze normal.

Distributed Denial-of-Service.

Acest tip de atac face cam acelaşi lucru ca şi DoS-ul, numai că se foloseşte pentru atingerea scopului său de către nişte computere intermediare, numite agenţi, pe care rulează nişte aplicaţii (zombies) care au fost instalate pe calculatoare anterior. Hacker-ul activează remote aceste “progrămele” în aşa fel încât toate aceste sisteme intermediare să lanseze atacul DDoS în acelaşi timp. Din cauză că atacul provine de la mai multe calculatoare care pot să fie răspândite prin toată lumea, originea reală a pericolului este foarte greu de găsit. Aşadar DDoS-ul este un pericol dublu. Pe lângă posibilitatea ca reţeaua personală să fie pusă la pământ cu tot cu servere, mai există şi “opţiunea” ca sistemele tale să fie folosite pe post de agenţi intermediari.

Atacul DNS DoS

Acest tip de atac exploatează diferenţele de mărime între DNS querry(interogarea name server-ului) şi DNS response (răspunsul name server-ului). Atacatorul foloseşte serverele de DNS ca şi amplificatoare pentru a mări traficul de DNS. Cum funcţionează chestia asta? Atacatorul işi alege victima şi trimite în numele ei (IP spoofing) DNS querries către diferite servere de DNS. Servere de DNS răspund cu pachete mult mai mari decât cele din querries către ţintă, până când bandwidth-ul acesteia pur şi simplu devine 0. Rezulta un prea frumos atac DoS, adica exact incapacitatea targetului de a mai funcţiona la parametri normali.

Atacul SYN şi LAND

Atacurile de tip SYN (synchronization request) exploatează handshake-ul three-way al protocolului de transport TCP, procesul prin care se stabilişte o sesiune de comunicare între două computere. Deoarece TCP-ul este un protocol de transport connection-oriented, o sesiune sau un link de comunicare one-to-one, trebuie stabilite între cele două sisteme, înainte că ele să poată comunica între ele. Ce este fapt acest handshake şi ce presupune el? Să zicem că un computer iniţiază comunicarea cu un server.

Handshake-ul dintre cele două conţine următorii paşi:

1. Clientul trimite un segment SYN. 2. Serverul trimite înapoi un mesaj ACK şi un SYN, prin care spune clientului că

a primit SYN-ul lui, deasemena trimiţînd şi el la rândul lui SYN-ul propriu. 3. Clientul trimite şi el un ACK prin care îl anunţă pe server că a primit SYN-ul lui.

După ce maşinile au înţeles request-urile reciproce SYN, handshake-ul este complet şi un link one-to-one între cele două este stabilit.

Să zicem că un atacator trimite un SYN înspre un server cu un IP sursă spoofed. Normal că server-ul va trimite înspre client un ACK/SYN. Dar cum IP-ul sursă nu este bun, serverul aşteaptă inutil ACK-ul clientului. El nu va veni. Serverul va pune atunci ACK/SYN-ul trimis către client într-un queue. Acest queue poate stoca un număr limitat de mesaje. Când este full, toate SYN request-urile care vor urma vor fi ignorate. Serverul va ajunge în postura de a ignora orice request venit din partea clienţilor legitimi.

Atacul LAND derivă din cel descris mai sus, cu un mic amendament. În acest caz, atacatorul în loc să trimită SYN-uri cu adrese IP care nu există, trimite pachete SYN cu adresa IP a clientului-target care este victima în acest caz.

Atacul Ping of Death

Mai este cunoscut şi sub numele de large packet ping. Se creează un pachet IP mai mare decât valoarea admisă de specificaţiile protocolului IP, adică 65 536 bytes. Sistemul ţintă este compromis, soluţia fiind un reboot(de multe ori forţat).

Atacul Teardrop

Acest atac are aceleaşi rezultate ca şi cel de sus, dar metoda este alta. Programul teardrop crează fragmente IP care fac parte dintr-un pachet IP. Problema este că aceste fragmente folosesc offset fields (rolul lor este de a indica porţiunea în bytes a acestor fragmente). De exemplu, câmpurile offset din două fragmente normale sunt ceva de genul:

fragment1: offset 1 – 100 fragment2: offset 101 - 200

Problema apare atunci când aceste offset-uri se suprapun. Exemplu:


Când computerul ţintă încearcă să reasambleze aceste fragmente în pachetul IP original normal că se generează o problemă(crash, freeze sau reboot).

Flood-ul cu ICMP (ping)

O grămadă de pachete ICMP echo request până când se ocupă toată banda disponibilă. Cred că toată lumea a auzit de flood. Acestui gen de atac i se mai spune şi ping storm. Când luminiţele router-ului sau switch-ului au luat-o razna, şi interogările în reţea sunt fără răspuns, este foarte posibil să fiiţi ţinta unei astfel de “agresiuni”.

Atacul fraggle este tot un fel de ping flood, dar în ce sens? Atacatorul foloseşte un IP clonat (spoofing) şi trimite ping-uri înspre un întreg subnet ca exemplu. Normal că va primi o grămadă de mesaje echo reply de la tot subnetul. Este de menţionat că acest tip de atac a fost folosit în timpul războiului din Kosovo de către hackerii sârbi împotriva siturilor NATO.

Atacul Smurf

Este un fel de agresiune brute force şi foloseşte aceeaşi metodă a flood-ului prin ping, numai că de data asta adresa destinaţie din pachetele ICMP echo request este adresa de broadcast a reţelei. Un router când primeşte astfel de pachete le trimite înspre toate hosturile pe care le “maschează”. Pot rezulta cantităţi mari de trafic şi congestionarea reţelei. Combinaţia dintre atacul fraggle si cel Smurf fac ca reţeaua destinaţie cât şi sursa să fie afectate.

Atacul Mail Bomb

Numele acestui tip de “armă” este edificator. Se trimit aşa de multe mailuri înspre un mail server, încât acesta ajunge în imposibilitatea de a le gestiona, iar userii legitimi nu mai pot beneficia de serviciile acestuia. Din acest tip de atac a derivat unul care presupune “înscrierea” mail serverului la o grămadă de mailing lists.

Scanning-ul şi spoofing-ul

Termenul de scanner, în contextul securităţii în IT, se referă la o aplicaţie software folosită de către hackeri pentru determinarea porturilor TCP sau UDP deschise pe un sistem. Dar şi administratorii este indicat să folosească astfel de aplicaţii, pentru a putea detecta vulnerabilităţile pe sistemele proprii.

Un virus este un program creat să distrugă datele sau echipamentele unui calculator. Viruşii sunt programe cu dimensiuni foarte mici, ascunşi fie în fişiere executabile fie ataşaţi unor programe (în acest caz sunt numiţi şi paraziţi).

Fred Cohen în 1988 în cartea „Computer viruses”, (deşi încă din 1966 John von Neumann, în cartea "Theory of Self-Reproducing Automata" pune bazele teoretice cum că un virus, teoretic se poate reproduce) defineşte pentru prima oară formal un virus de calculator ca fiind "un program ce poate afecta alte programe de calculator, modificandu-le într-un mod care presupune abordarea unor copii evoluate ale lor.".

Astăzi în mod uzual se înţelege prin acest termen un program care se instalează fără voia utilizatorului şi provoacă pagube atât la nivel software (în principal ne referim la sistemul de operare) cât şi în elementele hardware (fizice) ale computerului. Este de reţinut că un virus nu se poate răspândi singur, este nevoie de acceptul, involuntar de cele mai multe ori, al utilizatorului.

Sunt două categorii de viruşi informatici:

- Hardware: virusi informatici care distrug componente hardware precum hard discul, unităţi optice şi chiar monitorul sau memoria (RAM) unui calculator. Ex. Virusul CIH (1998) care deşi era conţinut în fişiere executabile, avea ca directive să ştergă memoria BIOS şi să o reprogrameze cu linii inutile care făceau calculatorul inutil până la schimbarea cipului.

- Software: acei viruşi informatici meniţi să distrugă fişiere sau programe inclusiv sisteme de operare, să modifice structura unui program, să se multiplice până la refuz (umplerea hard discului la maxim (în acest caz blocând motoarele de căutare al acestuia, acestea cedând şi hard discul devine incapabil să mai funcţioneze), să şteargă în totalitate informaţia aflată pe disc, să încetinească viteza de lucru a calculatorului, ajungând, nu de puţine ori in situaţia de a-l bloca.

Ca o definiţe a noţiunii de malware să apelăm la definiţia găsită pe ro.wikipedia.org:

„Malware este un cuvânt creat din cuvintele malicious şi software, ambele provenite din limba engleză, care se referă la un tip de software proiectat pentru infiltrarea şi/sau deteriorarea unui sistem al unui computer, sau a unei reţele de computere, fără acceptarea proprietarului computerului sau a reţelei. Termenul malware este unul de utilizare mai generală folosit de profesioniştii computerelor pentru a desemna orice formă ostilă, intrusivă sau supărătoare de software sau de cod al unui program. Termenul de virus al unui computer este uneori utilizat printr-o largă includere a diferite forme de malware, incluzând însişi viruşii informatici.”2

Tot aici putem găsi

3 şi definiţiile la următorii termeni: malware infectant: viruşi şi viermi, spyware, adware, grayware, cai toieni, rootkits şi backdoors. Astfel, prezentând succint aceste noțiuni avem:

Viermi (worms): Un vierme pe de altă parte este un program care se răspândeşte singur în cadrul unei reţele pentru a infecta alte sisteme. Din această cauză (modul de răspândire) se foloseşte denumirea de viruşi pentru toate programele malware care sunt activate prin intermediul utilizatorilor şi termenul de vierme pentru acele forme de programe care nu necesită această formă de interacţiune din partea utilizatorilor.

Grayware: Prin grayware (sau greyware) se înţelege în general orice formă de aplicaţie care se comportă într-un mod agresiv şi nedorit, dar în acelaşi timp nu depăşeşte unele limite (altfel devine malware în adevăratul sens). Grayware este un termen general în care sunt cuprinşi următorii termeni: spyware, adware, dialers, joke programs, remote acces tools şi orice altă formă de de programe dăunătoare care au fost programate să lovească în performanţa şi siguranţa unui sistem. Termenul a fost introdus în jurul anului 2004.

2 Definiţie preluată de la adresa: http://ro.wikipedia.org/wiki/Malware, pagină accesibilă la data de 23.07.2009 3 Definiţii care se regăsesc la adresa: http://ro.wikipedia.org/wiki/Malware, pagină accesibilă la data de 23.07.2009

Deşi termenii de spyware şi adware sunt incluşi în categoria grayware, datorită dezvoltării lor, încep să fie privite ca elemente distincte, astfel avem următoarele definiţii:

Spyware: Spyware este un software care colectează date personale(folosite în scopuri de marketing) despre utilizatori (şi obiceiurile lor – ex. sit-uri uzuale pe care le folosesc, aplicaţii uzuale, etc.) fără consimţământul lor. Este „acceptat” de multe sit-uri pentru beneficiile sale – din punctul de vedere al celor care primesc aceste date. Termenul a apârut în anul 1995, dar abia în jurul anului 2000 s-a răspândit şi a fost acceptat, este foarte des asociat cu termenul de adware şi malware.

Adware: Deşi este inclus în denumirea de grayware, termenul de adware este foarte folosit, pentru aceasta s-a creat o definiţie distinctă pentru el: Adware este o variantă de spyware care nu colectează date de marketing, ci doar transmite reclame. Deseori este asociată cu forma abuzivă a acestor reclame (ex. un singur click care generează deschiderea a 2-3, sau mai multe, pagini cu reclame).

Cai troiani (Trojan horses): descrie un anumit tip de spyware (care este la rândul său un tip de malware), care simulează că ar realiza ceva util, dar care în realitate realizează funcţii malefice care permit accesarea neautorizată a unui calculator, respectiv copierea fişierelor, şi chiar controlarea comenzilor calculatorului penetrat. Caii troieni, care tehnic nu sunt viruşi informatici, pot fi descărcaţi cu uşurinţă şi în necunoştiinţă de cauză.

Spre deosebire de viruşi troienii nu se multiplică singuri, dar pot fi la fel de destructivi ca viruşii.

Unul dintre cele mai întălnite tipuri de „cal Trojan” este acela care imită un antivirus însă introduce de fapt viruşi în calculatorul tău. Ex. Windows Antivirus 2009 – program care prin denumirea şi aspectul său poate păcăli multă lume să-l instaleze.

Rootkits: Odată ce un program malware a fost instalat pe un sistem, este esențial pentru el ca să rămână ascuns pentru a evita detecția şi dezinfecția. Tehnica din spatele denumirii implică modificarea sistemului de operare şi a diferitelor siteme de detecție pentru a păstra anonimatul instalării sale. Ca efecte uzuale sunt: prevenirea lansării unor aplicații care le-ar pune în pericol forma de anonimat aleasă (gen dezactivarea informațiilor afișate în task manager), blocarea anumitor aplicații să ruleze, blocarea posibilității de vizualizare sau ștergere a fișierelor dependente, etc. Termenul a fost folosit original ca un set de unelte prin care un atacator asupra unui sistem UNIX prin care atacatorul putea obține drepturi de root la nivelul sistemului. În mod uzual acest termen este folosit pentru definirea tehnicilor de ascundere a unor aplicații de către sistemul de operare. O formă evoluată a acestora folosesc mai multe servicii care se restaurează unul pe celălalt în funcție de necesități.

Backdor: Un astfel de malware se definește ca o metodă prin care se sare peste anumite etape din cadrul unei autentificări normale. Odată ce sistemul a fost compromis una sau mai multe astfel de aplicații poat fi introduse, din aproape în aproape. De obicei se folosesc forme cumulate – sistemul este compromis prin diferite forme prezentate mai sunt după care sunt deschise diferite uși din spate (backdors) prin care se instalează alte programe mult mai periculoase. Inițial se credea că această formă de malware a fost introdusă la nivel larg, de către companiile producătoare de software pentru a putea oferi suport. Totuși această formă, datorită riscului legal ce poate apărea, este doar la un statut de posibilitate.

Un termen care începe să capete din ce în ce mai multă atenție, în special din cauza creșterii comerțului online, este termenul de „phishing”: o formă de activitate criminală care constă în obţinerea datelor confidenţiale, cum ar fi date de acces pentru aplicaţii de tip bancar, aplicaţii de trading sau informaţii referitoare la cărţi de credit, folosind tehnici de manipulare a identităţii unei persoane sau a unei instituţii.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre tipuri de atacuri

asupra unei reţele. EVALUARE


54


Fişa rezumat

Clasa ________________ Profesor______________________

Nr. Crt.

Nume şi prenume

elev

Competenţa 1 Competenţa 2 Competenţa 3 Competenţa 4 Observaţii

A 1 A 2 A 3 A 1 A 2 A 3 A 1 A 2 A 3 A 1 A 2 A 3

1 zz.ll.aaaa4 2 3 4 ...

4 zz.ll.aaaa – reprezintă data la care elevul a demonstrat că a dobândit cunoştinţele, abilităţile şi aptitudinile vizate prin activitatea respectivă

55

• Competenţe care trebuie dobândite Această fişă de înregistrare este făcută pentru a evalua, în mod separat, evoluţia

legată de diferite competenţe. Acest lucru înseamnă specificarea competenţelor tehnice generale şi competenţelor pentru abilităţi cheie, care trebuie dezvoltate şi evaluate. Profesorul poate utiliza fişele de lucru prezentate în auxiliar şi/sau poate elabora alte lucrări în conformitate cu criteriile de performanţă ale competenţei vizate şi de specializarea clasei.











V. Bibliografie

1. Ionescu, Dan. (2007). Retele de calculatoare, Alba Iulia: Editura All 2. Georgescu, Ioana. (2006). Sisteme de operare, Craiova: Editura Arves 3. ***.La http://en.wikipedia.org . Informaţii multiple 4. ***.La http://support.microsoft.com . Informaţii multiple 30.04.09 5. ***.La http://www.datasecurity.ro . 02.05.09 6. Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete

reference, McGraw-Hill, 2003. 7. Tanenbaum, A.S., Computer Networks, 4th edition, Prentice-Hall, New Jersey,

2003 8. Bragg, Roberta. Windows 2000 Security. New Riders, 2001. 9. Andress, Mandy.Surviving Security. SAMS, 2001. 10. Zwicky, Elizabeth, et al. Building Internet Firewalls, 2nd Edition. O'Reilly &

Associates, 2000. 11. Northcutt, Stephen and Judy Novak. Network Intrusion Detection: An Analyst's

Handbook, 2nd Edition. New Riders, 2000.

http://en.wikipedia.org/�

http://support.microsoft.com/�

http://www.datasecurity.ro/�

Securizarea reţelelor

Cuprins I. Introducere ............................................................................................. 2 II. Documente necesare pentru activitatea de predare ........................... 3 III. Resurse ................................................................................................. 4

Tema 4 Metode de securizare a reţelelor ................................................................. 4 Fişa 4.1 Filtrarea accesului în reţea – firewall .......................................................... 4 Fişa 4.2 Protecţia reţelei – anti-virus şi anti-malware ............................................. 12 Fişa 4.3 Securizarea accesului printr-un router wireless ........................................ 16

Tema 5 Jurnalizarea sistemelor de operare şi a aplicaţiilor ................................. 25 Fişa 5.1 Noţiuni teoretice despre jurnale şi procesul de jurnalizare ........................ 25 Fişa 5.2 Jurnalele sistemului de operare ................................................................ 30 Fişa 5.3 Jurnale de aplicații .................................................................................... 39

IV. Fişa rezumat ....................................................................................... 42 V. Bibliografie .......................................................................................... 44

2


Prezentul material de predare, se adresează cadrelor didactice care predau în cadrul liceelor, domeniul Informatică, calificarea Administrator reţele locale şi de comunicaţii.

El a fost elaborat pentru modulul Securizarea reţelelor, ce se desfăşoară în 100 ore, în următoarea structură:

Laborator tehnologic 50 ore Tema Fişa suport Competenţe vizate

Tema 4

Metode de

securizare a

reţelelor

Fişa 4.1 Filtrarea accesului

în reţea – firewall

2. Analizează metodele de protecţie a

reţelei împotriva atacurilor

4. Filtrează accesul în reţea

Fişa 4.2 Protecţia reţelei –

anti-virus şi anti-malware



Fişa 4.3 Securizarea

accesului printr-un router

wireless



4. Filtrează accesul în reţea

Tema 5

Jurnalizarea

sistemelor de

operare şi a

aplicaţiilor

Fişa 5.1 Noţiuni teoretice

despre jurnale şi procesul

de jurnalizare

3. Interpretează jurnalele sistemului de

operare şi ale aplicaţiilor

Fişa 5.2 Jurnalele sitemului

de operare

3. Interpretează jurnalele sistemului de


Fişa 5.3 Jurnale de aplicaţii 3. Interpretează jurnalele sistemului de


Temele din prezentul material de predare nu acoperă toate conţinuturile prevăzute în curriculumul pentru modulul Securizarea reţelelor. Pentru parcurgerea integrală a modulului în vederea atingerii competenţelor vizate / rezultate ale învăţării profesorul va avea în vedere şi materialul de predare Securizarea reţelelor partea I.

Absolvenţii nivelului 3 avansat, şcoală postliceală, calificarea Administrator reţele locale şi de comunicaţii, vor fi capabili să utilizeze echipamentele reţelelor de calculatoare, să cunoască şi să utilizeze protocoale şi terminologii de reţea, să cunoască şi să aplice topologii de reţele locale (LAN) şi globale (WAN), modele de referinţă OSI (Open System Interconnection), să utilizeze cabluri, unelte pentru cablarea structurată, routere în conformitate cu standardele în vigoare.

3



• Standardul de Pregătire Profesională pentru calificarea Administrator reţele locale şi de comunicaţii, nivelul 3 avansat – www.tvet.ro, secţiunea SPP sau www.edu.ro , secţiunea învăţământ preuniversitar

• Curriculum pentru calificarea Administrator reţele locale şi de comunicaţii, nivelul 3 avansat – www.tvet.ro, secţiunea Curriculum sau www.edu.ro, secţiunea învăţământ preuniversitar





4

III. Resurse

Tema 4 Metode de securizare a reţelelor

Fişa 4.1 Filtrarea accesului în reţea – firewall

Acest material vizează competenţele/rezultate al învăţării: Analizează metodele de protecţie a reţelei împotriva atacurilor şi Filtrează accesul în reţea

Un firewall se poate defini ca fiind un paravan de protecţie ce poate ţine la distanţă traficul Internet, de exemplu hackerii, viermii şi anumite tipuri de viruşi, înainte ca aceştia să pună probleme sistemului. În plus, acest paravan de protecţie poate evita

participarea computerului la un atac împotriva altora, fără cunoştinţa utilizatorului. Utilizarea unui paravan de protecţie este importantă în special dacă calculatorul este conectat în permanenţă la Internet.

Figura 4.1.1 Funcţia primordială a unui firewall.

O altă definiţie – un firewall este o aplicaţie sau un echipament hardware care monitorizează şi filtrează permanent transmisiile de date realizate între PC sau reţeaua locală şi Internet, în scopul implementării unei "politici" de filtrare. Această politică poate însemna:

• protejarea resurselor reţelei de restul utilizatorilor din alte reţele similare – Internetul -> sunt identificaţi posibilii "musafiri" nepoftiţi, atacurile lor asupra PC-ului sau reţelei locale putând fi oprite.

5

• controlul resurselor pe care le vor accesa utilizatorii locali.

Mod de funcţionare:

De fapt, un firewall, lucrează îndeaproape cu un program de routare, examinează fiecare pachet de date din reţea (fie cea locală sau cea exterioară) ce va trece prin serverul gateway pentru a determina dacă va fi trimis mai departe spre destinaţie. Un firewall include de asemenea sau lucrează împreună cu un server proxy care face cereri de pachete în numele staţiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecţie sunt instalate pe calculatoare ce îndeplinesc numai această funcţie şi sunt instalate în faţa routerelor.

Figura 4.1.2 O posibilă implementare a unui firewall.

Soluţiile firewall se împart în două mari categorii: prima este reprezentată de soluţiile profesionale hardware sau software dedicate protecţiei întregului trafic dintre reţeaua unei întreprinderi (instituţii, serverele marilor companii publice) şi Internet; iar cea de a doua categorie este reprezentată de firewall-urile personale dedicate monitorizării traficului pe calculatorul personal. Utilizând o aplicaţie din ce-a de a doua categorie se poate preântâmpina atacurile colegilor lipsiţi de fair-play care încearcă să acceseze prin mijloace mai mult sau mai puţin ortodoxe resurse de pe PC-ul dumneavoastră.

În situaţia în care dispuneţi pe calculatorul de acasă de o conexiune la Internet, un firewall personal vă va oferi un plus de siguranţă transmisiilor de date. Cum astăzi majoritatea utilizatorilor tind să schimbe clasica conexiune dial-up cu modalităţi de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuşite asupra sistemului dumneavoastră creşte. Astfel, mărirea lărgimii de bandă a conexiunii la Internet facilitează posibilitatea de "strecurare" a intruşilor nedoriţi.

6

Astfel, un firewall este folosit pentru două scopuri:

• pentru a păstra în afara reţelei utilizatorii rău intenţionati (viruşi, viermi cybernetici, hackeri, crackeri)

• pentru a păstra utilizatorii locali (angajaţii, clienţii) în reţea

Politici de lucru:

Înainte de a construi un firewall trebuie hotărâtă politica sa, pentru a şti care va fi funcţia sa şi în ce fel se va implementa această funcţie.

Pentru a putea defini politica firewall-ului, sunt necesare unele răspunsuri la următoarele întrebări:

• ce servicii va deservi firewall-ul ?

• ce grupuri de utilizatori care vor fi protejaţi ?

• de ce fel de protecţie are nevoie fiecare grup de utilizatori ?

• cum va fi protejat fiecare grup(detaliere privind şi natura serviciilor din cadrul grupurilor)?

La final este necesar să se scrie o declaraţie prin care oricare alte forme de access sunt o ilegalitate. Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să fie simplă şi la obiect.

Figura 4.1.3 Diferite politici implementate într-un firewall

7

Clasificări:

Firewallurile pot fi clasificate după:

• Layerul (stratul) din stiva de reţea la care operează

• Modul de implementare

În funcţie de layerul din stiva TCP/IP (sau OSI) la care operează, firewall-urile pot fi:

• Layer 2 (MAC) şi 3 (datagram): packet filtering.

• Layer 4 (transport): tot packet filtering, dar se poate diferenţia între protocoalele de transport şi există opţiunea de "stateful firewall", în care sistemul ştie în orice moment care sunt principalele caracteristici ale următorului pachet aşteptat, evitând astfel o întreagă clasă de atacuri

• Layer 5 (application): application level firewall (există mai multe denumiri). În general se comportă ca un server proxy pentru diferite protocoale, analizând şi luând decizii pe baza cunoştinţelor despre aplicaţii şi a conţinutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat application firewall pentru email.

Deşi nu este o distincţie prea corectă, firewallurile se pot împărţi în două mari categorii, în funcţie de modul de implementare:

• dedicate, în care dispozitivul care rulează software-ul de filtrare este dedicat acestei operaţiuni şi este practic "inserat" în reţea (de obicei chiar după router). Are avantajul unei securităţi sporite.

• combinate cu alte facilităţi de networking. De exemplu, routerul poate servi şi pe post de firewall, iar în cazul reţelelor mici acelaşi calculator poate juca în acelaţi timp rolul de firewall, router, file/print server, etc.

Concluzii:

Un firewall poate să:

- monitorizeze căile de pătrundere în reţeaua privată, permiţând în felul acesta o mai bună monitorizare a traficului şi deci o mai uşoară detectare a încercărilor de infiltrare;

- blocheze la un moment dat traficul în şi dinspre Internet; - selecteze accesul în spaţiul privat pe baza informaţiilor conţinute în pachete.

- permită sau interzică accesul la reţeaua publică, de pe anumite staţii specificate;

- şi nu în cele din urmă, poate izola spaţiul privat de cel public şi realiza interfaţa între cele două.

8

De asemeni, o aplicaţie firewall nu poate:

- interzice importul/exportul de informaţii dăunătoare vehiculate ca urmare a acţiunii răutăcioase a unor utilizatori aparţinând spaţiului privat (ex: căsuţa poştală şi ataşamentele);

- interzice scurgerea de informaţii de pe alte căi care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);

- apăra reţeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în reţea (USB Stick, dischetă, CD, etc.)

- preveni manifestarea erorilor de proiectare ale aplicaţiilor ce realizează diverse servicii, precum şi punctele slabe ce decurg din exploatarea acestor greşeli.

Tehnologia firewall se bazează pe folosirea porturilor. Porturile nu sunt altceva decât nişte numere plasate într-un anumit loc bine definit în pachetul de date. Fiecare aplicaţie foloseşte anumite porturi deci anumite numere .

Figura 4.1.4 Configurari diferite privind implementarea unui firewall

Deşi un anumit serviciu poate avea un port asignat prin definiţie, nu există nici o restricţie ca aplicaţia să nu poată asculta şi alte porturi. Un exemplu comun este cel al protocolului de poştă electronică Simple Mail Transfer Protocol (SMTP). Acest serviciu are portul asignat 25. Posibil ca furnizorul de internet să blocheze acest port pentru a evita folosirea unui server de mail pe calculatorul propriu. Nimic nu ne opreşte însă să configurăm un server de mail pe un alt port. Motivul principal pentru care anumite servicii au porturi asignate implicit este acela ca un client să poată găsi mai uşor un anumit serviciu pe o gazdă aflată la distanţă. Câteva exemple: serverele FTP ascultă

9

portul 21; serverele HTTP sunt pe portul 80; aplicaţiile client de genul File Transfer Protocol (FTP) folosesc porturi asignate aleator de obicei mai mari ca 1023.

Există puţin peste 65000 porturi împărţite în porturi bine cunsocute (0–1023), porturi înregistrate (1024–49151) şi porturi dinamice (49152–65535). Deşi sunt sute de porturi cu aplicaţiile corespunzătore, în practică mai puţin de 100 sunt utilizate frecvent. în tabelul 1 putem vedea cele mai frecvente porturi şi protocolul care îl foloseşte. Trebuie să menţionăm că aceste porturi sunt primele vizate de un spărgător pe calculatorul victimei.

Tabel 1 Porturi comune şi protocoale Port Serviciu Protocol 21 FTP TCP 22 SSH TCP 23 Telnet TCP 25 SMTP TCP 53 DNS TCP/UDP

67/68 DHCP UDP 69 TFTP UDP 79 Finger TCP 80 HTTP TCP 88 Kerberos UDP

110 POP3 TCP 111 SUNRPC TCP/UDP 135 MS RPC TCP/UDP 139 NB Session TCP/UDP 161 SNMP UDP 162 SNMP Trap UDP 389 LDAP TCP 443 SSL TCP 445 SMB over IP TCP/UDP 1433 MS-SQL TCP

O bună practică de siguranţă este blocarea acestor porturi dacă nu sunt folosite. Se recomandă folosirea practicii least privilege. Acest principiu constă în acordarea accesului minimal, strict necesar desfăşurării activităţii unui serviciu. Să nu uităm că securitatea este un proces fără sfârşit. Dacă un port este inchis astăzi nu înseamna ca va rămâne aşa şi mâine. Se recomanda testarea periodică a porturilor active. De asemenea aplicaţiile au grade de siguranţă diferite; SSH este o aplicaţie relativ sigură pe când Telnet-ul este nesigur.

10

Prezentarea firewall-ului inclus în Windows XP SP2

Figura 4.1.5 Windows firewall inclus odata cu Windows XP SP2

Componenta firewall are funcţia de a supraveghea comunicaţia sistemului precum şi a aplicaţiilor instalate cu internetul sau reţeaua şi să blocheze în caz de nevoie conexiunile nedorite. Ea asigură protecţia PC-ului împotriva pro-gramelor dăunătoare şi a hacker-ilor. Spre deosebire de versiunea anterioară, Windows Firewall este activat în Service Pack 2 imediat după instalare şi blochează majoritatea programelor care comunică cu internetul. De aceea, mulţi utilizatori preferă să îl dezactiveze în loc să îl configureze. Pentru o configurare optima nu sunt necesare decât câteva setări de bază.

Dacă un program instalat împreună cu sistemul de operare încearcă să iniţieze o legătură la internet sau la reţeaua internă, apare o fereastră de informare care întreabă cum doriţi să trataţi această comunicare. Sunt la dispoziţie opţiunea de a bloca sau a permite conexiunea. În funcţie de selecţie, firewall-ul din XP stabileşte automat o regulă. Dacă unei aplicaţii trebuie să îi fie permis să realizeze legături, în registrul Exceptions se pot stabili reguli permanente corespunzătoare. În meniul Programs se obţine o listă cu toate aplicaţiile instalate de sistemul de operare, ale căror setări de conectare pot fi definite după preferinţe.

11

Aplicaţiile individuale nu sunt de multe ori enumerate în listă. Acestea pot fi introduse în listă cu ajutorul opţiunii Add Program, indicând apoi calea spre executabil printr-un clic pe Browse. Din motive de siguranţă se pot defini suplimentar, la Ports, ce interfeţe şi ce protocol - TCP sau UDP - poate utiliza programul. În aceeaşi fereastră se află şi butonul Change Scope, cu ajutorul căruia este posibilă introducerea de diverse adrese IP ale sistemelor cu care programul are voie să realizeze o conexiune. Dacă aceste date nu sunt încă definite, aplicaţia este în măsură să comunice pe toate porturile şi cu toate sistemele ceea ce, funcţie de aplicaţie, are ca urmare diverse riscuri de securitate.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre modul de funcţionare

şi configurare a soluţiiilor firewall cele mai răspândite. Se va insista pe diferitele aplicaţii software – ele fiind cele mai la

îndemână, cu prezentarea topurilor din revistele de specialitate. Eventual discuţii purtate cu firme specializate de distribuţie pentru

diferite aplicaţii. EVALUARE

• Se pot folosi probe de tip eseu sau probe scrise şi orale.

12

Fişa 4.2 Protecţia reţelei – anti-virus şi anti-malware


Datorită conotației, se folosește termenul de virus pentru totalitatea malware-ului, totuși pentru formele de prevenție se păstrează denumirile de: anti-viruşi, anti-malware, anti-spyware, anti-adware şi anti-phishing.

Anti-viruși

Scurt istoric: Majoritatea sunt de părere că primul software de tip antivirus este atribuit lui Bernt Fix în 1987, aceasta fiind prima neutralizare a unui virus informatic(nume de cod Viena), cel puţin prima documentată şi publicată. Începând cu anul 1988 încep să apara primele companii care să produca software dedicat (Dr. Solomon’s Anti-Virus ToolKit, AIDSTEST, AntiVir) urmat în 1990 de aproximativ 19 programe antivirus distincte, printre care apar şi Norton AntiVirus (achiziţionat de Symantec în 1992) şi McAfee VirusScan.

Dacă înainte de răspândirea Internetului majoritatea infectărilor se făceau folosind disketele, odată cu evoluţia interconectării între computere au început adevăratele probleme. Autorii de viruşi au reuşit să-şi diversifice modalităţile de răspândire folosind aplicaţii uzuale cum sunt editoarele de texte (macrourile scrise în diferite limbaje de programare puteau fi rulate prin simpla deschidere cu aplicaţia corespunzătoare), programe de e-mail (Microsoft Outlook Express, Outlook, etc), programe de tip chat (Yahoo messenger, MSN messenger), etc.

Odată cu răspândirea pe scară largă a conexiunilor de tip broad-band, viruşii au început să se înmulţească şi să se răspândească foarte rapid, astfel aplicaţiile de tip antivirus fiind nevoite să-şi actualizeze dicţionarele odată la fiecare 5-10 minute. Cu toate acestea un virus nou, poate să se răspândească cu o aşa viteză încât pâna la momentul depistării şi găsirii modalităţii de neutralizare este posibil să infecteze foarte multe calculatoare (de ordinul sutelor de mii sau chiar milioanelor), aici intervenind şi faptul că nu toti utilizatorii îşi actualizează cât de des cu putinţă software-ul antivirus.

Ca metode de identificare a viruşilor deosebim:

1. identificarea bazată pe semnatură (signature based) este cea mai comună variantă. Pentru identificarea viruşilor cunoscuţi fiecare fişier este scanat ca şi conţinut (întreg şi pe bucăţi) în căutarea informaţiilor păstrate într-un aşa-numit dicţionar de semnături;

2. identificarea bazată pe comportament (malicious activity), în acest caz aplicaţia antivirus monitorizează întregul sistem pentru depistarea de programe suspecte în comportament. Dacă este detectată o comportare suspectă, programul respectiv este investigat suplimentar, folosindu-se de alte metode (semnături, heuristic, analiză de fişier, etc.). Este de menţionat că aceasta metodă poate detecta viruşi noi;

13

3. metoda heuristică (heurisitc-based) este folosită pentru detectarea viruşilor noi şi poate fi efectuată folosind două variante(independent sau cumulat): analiza de fişier şi emulare de fişier. Astfel analiză bazată pe analiza fişierului implică cautarea în cadrul acelui fişier de instrucţiuni „uzuale” folosite de viruşi. Ex. Dacă un fişier are instrucţiuni pentru formatarea discului, acesta este investigat suplimentar. O problemă a acestei variante este necesitatea unor resurse foarte mari pentru analiza fiecărui fişier, rezultând în încetiniri evidente ale sistemului. Cea de-a doua metodă este cea de emulare în care se rulează fişierul respectiv într-un mediu virtual şi jurnalizarea acţiunilor pe care le face. În funcţie de aceste jurnale, aplicaţia poate determina dacă este infectat sau nu acel fişier.

4. un mod relativ nou se bazează pe conceptul de semnături generice – ceea ce s-ar traduce în posibilitatea de a neutraliza un virus folosindu-se de o semnătură comună. Majoritatea viruşilor din ziua de astazi sunt aşa-numiţii – viruşi de mutaţie – ceea ce înseamnă că în decursul răspândirii sale el îşi schimbă acea semnătură de mai multe ori. Aceste semnături generice conţin informaţiile obţiunte de la un virus şi în unele locuri se introduc aşa-numitele wildcard-uri – caractere speciale care pot lipsi sau pot fi distincte – aplicaţia software căutând în acest caz informaţii non-continue.

Anti-spyware

Ca răspuns la pariția aplicațiilor de tip spyware, companiile care produceau software de tip anti-virus au început să ofere şi aplicații (care apoi au devenit din ce în ce mai complexe, integrând foarte multe module, pentru fiecare tip de malware) contra acestora. Instalarea unei astfel de aplicații la momentul actual este considerată un „must-do” – obligatorie intrând în categoria „nivel minim de securitate”. Deși ideea inițială a acestor aplicații era spre beneficiul utilizatorilor în final – prin „culegerea” informațiilor care sunt cel mai căutate, elocvente, ducând astfel la o dezvoltare naturală şi concretă a furnizorilor de servicii online, abuzul a condus la interzicerea sa, în special prin faptul ca se efectuiază de cele mai multe ori fără acceptul utilizatorilor.

Anti-adware

Aplicațiile Anti-adware se referă la orice utilitar software care scanează sistemul şi oferă posibilități de dezinfecție sau eliminare a diferitelor forme de malware gen: adware, spyware, keyloggers, trojans, etc.. Unele dintre aceste programe sunt nedetectabile de către programele antivirus instalate şi astfel se definește ca nivel minim de securitate alături de programele anti-virus, anti-spyware şi, mai nou, anti-phishing.

Anti-phishing

Pe langă câteva aplicații software care pot oferi o oarecare protecție contra efectelor de phising, se definesc şi alte posibilități, care se pot folosi şi pentru protecția contra virușilor, spyware-ului sau adware-ului şi anume: instruirea utilizatorilor. O astfel de tehnică poate fi foarte eficientă, mai ales acolo unde această tehnică se bazează şi pe un feedback puternic. Pentru aceasta este de menționat următoarele reguli ce trebuie urmărite:

- Folosirea de conexiuni sigure (https). Model prin care se impune ca toate formele prin care se transmit date cu caracter confidențial să se realizeze într-un mod sigur.

14

- Care este sit-ul? Utilizatorul este așteptat să confirme adresa din bara de adrese cum că acesta este efectiv sit-ul pe care voia să intre, sau sa-l folosească (şi nu altul, de ex. www.banca.ro cu www.sitefantoma.banca.ro).

- folosirea de cerfiticate şi verificarea lor. Deși necesită mai multe cunoștințe această formă este foarte importantă prin prisma faptului că sunt oferite foarte multe informații în acest certificat, informații care pot face ca acel site să devină „trusted” – credibil pentru toate aplicațiile care se descarcă de pe el. Tot la aceste certificate trebuiesc verificate şi autoritățile care le-au emis.

- click-ul la întâmplare: apăsarea la întâmplare pe butoanele care confirmă anumite acțiuni, în speranța că vor dispărea aumite ferestre şi „lucrul va reveni la normal” conduce la foarte mari breșe de securitate.

- lipsa de interes: este datorată în special firmelor care nu doresc să treacă la diferite forme avansate de securizare şi certificare, forme care sunt deseori foarte costisitoare.

- forma de comunicație: deoarece modelul de securitate se bazează pe foarte mulți participanți la comunicație: utilizatori, client de browser, dezvoltatori, auditori, webserver, etc. face ca această formă de comunicare să fie foarte dificilă.

- abonarea la servicii care oferă liste cu sit-uri care au fost catalogate ca sit-uri „fantomă” – au apărut foarte multe astfel de liste care vin să ajute utilizatorii prin introducerea unui așa numit page ranking - sau rang de acreditare.

Observaţii: Este de reţinut că navigând la întamplare se pot găsi o multitudine de aplicaţii care să „pozeze” în aplicaţii de tip antivirus, antispyware sau antimalware – dar de fapt să fie ele însele viruşi deghizaţi în aplicaţii legitime.

La fel de reţinut este faptul că, cu cât este mai mare dicţionarul de semnături cu atât aplicaţia antivuris devine mai dependentă de resurse(procesor, memorie, timp).

Nu este indicat să se folosească mai multe aplicaţii antivirus instalate, de multe ori acestea intrând în conflict, dar mai important, îngreunându-şi una alteia sarcina.

Este forarte importantă realizarea actualizării cât mai des a aplicaţiei anti-malware instalate (fie ea antivirus, antispyware, antiadware, etc.) şi a sistemelor de operare pentru a putea fi protejaţi măcar la nivel „normal”. Pentru suplimentarea modalităţilor de protecţie se vor organiza diferite forme de instruire a persoanelor care fac administrare reţelei pentru a putea fi „la zi” cu cunoştinţele şi noutăţile din domeniu.

Este foarte important şi stabilirea de diferite politici de lucru prin care să se realizeze, periodic, verificări de jurnale, de aplicaţii instalate (poate sunt oferite îmbunătăţiri la nivel de aplicaţie sau de securizare), de modalităţi de lucru.

15



CUM?



anti-virus, anti-spyware, anti-adware. Se va insista şi pe prezentarea topurilor din revistele de specialitate.

Se va insista pe diferitele forme de funcţionare şi pe avantajele şi dezavantajele lor.

Demonstraţii privind modurile de actualizare, versiunile existente şi diferenţele între ele - acolo unde acestea sunt documentate.

EVALUARE

• Se pot folosi probe scrise şi orale sau probe de tip eseu.

16

Fişa 4.3 Securizarea accesului printr-un router wireless Acest material vizează competenţele/rezultate al învăţării: Analizează metodele de protecţie a reţelei împotriva atacurilor şi Filtrează accesul în reţea

Prima reţea wireless a fost pusă în funcţiune în 1971 la Universitatea din Hawai sub forma unui proiect de cercetare numit ALOHANET. Topologia folosită era de tip stea bidirecţională şi avea ca noduri constituente un număr de şapte calculatoare împrăştiate pe patru insule din arhipelag ce comunicau cu un nod central aflat pe insula Oahu doar prin legături radio.

Figura 4.3.1 Posibilităţi de conectare wireless, de aici şi necesitatea securizării accesului

Iniţial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo unde amplasarea de cabluri ar fi fost tehnic imposibilă. Ca şi în alte cazuri din istoria tehnicii de calcul, primele soluţii produse pe scară largă au fost cele proprietare (nestandard) şi orientate pe diverse nişe de piaţă, dar odată cu sfârşitul anilor ‘90 acestea au fost înlocuite de cele standard şi generice cum ar fi cele descrise de familia de standarde 802.11 emise de IEEE.

Versiunea iniţială a standardului IEEE 802.11 lansată în 1997 prevedea două viteze (1 şi 2 Mbps) de transfer a datelor peste infraroşu sau unde radio. Transmisia prin infraroşu rămâne până astăzi o parte validă a standardului, fară a avea însă implementări practice.

17

Au apărut atunci cel puţin şase implementări diferite, relativ interoperabile şi de calitate comercială, de la companii precum Alvarion (PRO.11 şi BreezeAccess-II), BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus şi AirSurfer Pro), Symbol Technologies (Spectrum24) şi Proxim (OpenAir). Un punct slab al acestei specificaţii era că permitea o varietate mare a designului, astfel încât interoperabilitatea era mereu o problemă. 802.11 a fost rapid înlocuit (şi popularizat) de 802.11b în 1999 ce aducea, pe lângă multe îmbunătăţiri în redactare, şi o viteză crescută de transmisie a datelor de până la 11Mbps. Adoptarea pe scară largă a reţelelor 802.11 a avut loc numai după ce 802.11b a fost ratificat ca standard, iar produsele diverşilor producători au devenit interoperabile.

Cam în aceeaşi perioadă (1999) a apărut şi 802.11a, o versiune pentru banda de 5GHz a aceluiaşi protocol. Acesta a fost urmat de 802.11g, în iulie 2003, ce aducea performanţe sporite, atât în ceea ce priveşte viteza de transmisie (ce urca la 54Mbps), cât şi distanţa de acoperire în jurul antenei.

Standardul aflat în prezent în elaborare de către IEEE este 802.11n – acesta aduce şi el îmbunătăţiri, cum ar fi o viteză teoretică de transmisie de 270Mbps.

Ca în cazul oricărei tehnici de transmisie sau comunicaţie care se dezvoltă rapid şi ajunge să fie universal folosită, apare la un moment dat necesitatea de a implementa diverse tehnici de protecţie a informatiilor transmise prin reţelele de acest tip. În cazul 802.11, securitatea se referă atât la topologia şi componenţa reţelei (i.e. asigurarea accesului nodurilor autorizate şi interzicerea accesului celorlalte în reţea), cât şi la traficul din reţea (i.e. găsirea şi folosirea unei metode de securizare a datelor, de criptare, astfel încât un nod care nu este parte din reţea şi care, deci, nu a fost autentificat să nu poată descifra „conversaţiile” dintre două sau mai multe terţe noduri aflate în reţea). Un ultim aspect al securităţii îl constituie autentificarea fiecărui nod, astfel încât orice comunicaţie originată de un nod să poată fi verificată criptografic sigur ca provenind, într-adevăr, de la nodul în cauză.

18

Figura 4.3.2 Posibilitaţi de conectare folosind conexiuni wireless

Primele tehnici de securitate ce au fost folosite în astfel de reţele au fost cele din clasa „security by obscurity”, adică se încerca atingerea siguranţei prin menţinerea secretă a specificaţiilor tehnice şi/sau prin devierea de la standard – nu de puţine ori în măsură considerabilă. Aceste tehnici însă, au adus în mare parte neajunsuri implementatorilor, deoarece făceau echipamentele diferiţilor producători vag interoperabile. Alte probleme apăreau din însăşi natura proprietară a specificaţiilor folosite de aceste echipamente.

Filtrarea MAC

O formă primară de securitate este filtrarea după adresa MAC (Media Access Control address), cunoscută sub denumiri diverse precum Ethernet hardware address (adresă hardware Ethernet), adresă hardware, adresa adaptorului de reţea (adaptor - sinonim pentru placa de reţea), BIA - built-in address sau adresa fizică, şi este definită ca fiind un identificator unic asignat plăcilor de reţea de către toţi producătorii.

Adresa MAC constă într-o secvenţă numerică formată din 6 grupuri de câte 2 cifre hexadecimale (în baza 16) de tipul 00-0B-E4-A6-78-FB. Primele 3 grupuri de câte două caractere (în acest caz 00-0B-E4) identifică întotdeauna producătorul plăcii de reţea (RealTek, Cisco, Intel, VIA, etc.), iar următorii 6 digiţi identifică dispozitivul în sine.

Dacă într-o primă fază această adresă era fixată, noile adrese se pot modifica, astfel această formă de securizare îşi pierde din valabilitate. Noile dispozitive pot să-şi modifice aceasta secvenţă numerică doar prin intermediul driverului folosit. Este de

19

reţinut că această adresă MAC este în continuare unică, doar că driverul folosit poate face această convenţie, fără a exista posibilitatea de a modifica această adresă şi la nivel fizic, real.

Astfel acum există riscul de ca prin aflarea unui MAC valid din cadrul unei reţele, folosind un program de tip snnifer, şi schimbându-şi MAC-ul în cel nou (clonând la nivel software prin intermediul driverului folosit placa cu MAC-ul aflat), atacatorul va putea avea acces legitim, fiind autentificat în cadrul reţelei. Dar totuşi mulţi administratori folosesc în continuare aceasta formă de securizare, datorită formei foarte simple de implementare, motiv pentru care este absolut necesar ca această formă de parolare să se completeze şi cu alte modalităţi de securizare enunţate în continuare.

Tehnicile de generaţia întâi (WEP)

Prima tehnică de securitate pentru reţele 802.11 ce a fost cuprinsă în standard (implementată de marea majoritate a producătorilor de echipamente) a fost WEP - Wired Equivalent Privacy. Această tehnică a fost concepută pentru a aduce reţelele radio cel puţin la gradul de protecţie pe care îl oferă reţelele cablate – un element important în această direcţie este faptul că, într-o reţea 802.11 WEP, participanţii la trafic nu sunt protejaţi unul de celălalt, sau, altfel spus, că odată intrat în reţea, un nod are acces la tot traficul ce trece prin ea. WEP foloseşte algoritmul de criptare RC-4 pentru confidenţialitate şi algoritmul CRC-32 pentru verificarea integrităţii datelor. WEP a avut numeroase vulnerabilităţi de design care fac posibilă aflarea cheii folosite într-o celulă (reţea) doar prin ascultarea pasivă a traficului vehiculat de ea. Prin metodele din prezent, o celulă 802.11 WEP ce foloseşte o cheie de 104 biţi lungime poate fi „spartă” în aproximativ 3 secunde de un procesor la 1,7GHz.

Tehnicile de generaţia a doua (WPA, WPA2)

Având în vedere eşecul înregistrat cu tehnica WEP, IEEE a elaborat standardul numit 802.11i, a cărui parte ce tratează securitatea accesului la reţea este cunoscută în practică şi ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publice şi private, mesaje cu cod de autentificare (MAC), precum şi metode extensibile de autentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni în întâmpinarea utilizatorilor casnici sau de arie restrânsă, IEEE a dezvoltat şi o variantă mai simplă a standardului şi anume WPA-PSK (< Pre-Shared Key mode). În acest mod, în loc de un certificat şi o pereche de chei (publică şi privată), se foloseşte o singură cheie sub forma unei parole care trebuie cunoscută de toţi membrii reţelei(parolă ce poate fi de 64 sau 128 de biţi).

Totuşi nici această formă de securizare nu este invincibilă din cauza unor erori în algoritmii de criptare care pot face ca această cheie să poată fi restransă, în urma unor date suficiente, la o rafinare a căutărilor, ce poate face spargerea sa într-un timp relativ scurt (de ordinul zilelor).

Odată cu apariţia unor tehnici şi metode avansate de securizare a accesului la mediul de transmisie, s-a făcut simţită şi nevoia de a administra o astfel de structură de autentificare dintr-o locaţie centrală, aşa numita centralizare a accesului şi managementului. Aşa se face că tot mai multe dispozitive de tip Access Point (echipamentele ce fac legătura dintre reţeaua cablată şi cea transportată prin unde

20

radio, având un rol primordial în menţinerea securităţii reţelei) pot fi configurate automat dintr-un punct central. Există chiar seturi preconfigurate de echipamente ce sunt destinate de către producător implementării de hotspot-uri (locuri unde se poate beneficia de acces la Internet prin 802.11 gratis sau contra cost). Aceste seturi conţin de obicei un echipament de gestiune a reţelei, o consolă de administrare, un terminal de taxare şi unul sau mai multe Access Point-uri. Atunci când sunt puse în funcţiune, acestea funcţionează unitar, accesul şi activitatea oricărui nod putând fi atent şi în detaliu supravegheată de la consola de administrare.

Imediat după perfectarea schemelor de administrare centralizată a securităţii în reţelele 802.11, a apărut necesitatea integrării cu sistemele de securitate ce existau cu mult înainte de implementarea reţelei 802.11 în acel loc. Această tendinţă este naturală; cu cât interfaţa de administrare a unui sistem alcătuit din multe componente este mai uniformă, cu atât administrarea sa tinde să fie mai eficientă şi mai predictibilă – ceea ce duce la creşterea eficienţei întregului sistem.

Figura 4.3.3 Necesitatea securizării unei reţele wireless

WPA a fost prima tehnologie care a facilitat integrarea pe scară largă a administrării reţelelor radio cu cele cablate, deoarece se baza pe principii comune descrise de standardul 802.1X. Astfel, o companie poate refolosi întreaga infrastructură pentru au-tentificarea şi autorizarea accesului în reţeaua sa cablată şi pentru reţeaua radio. WPA poate fi integrat cu RADIUS, permiţând astfel administrarea şi supravegherea unei reţele de dimensiuni mari ca şi număr de noduri participante la trafic (e.g. un campus universitar, un hotel, spaţii publice) dintr-un singur punct, eliminând astfel necesitatea supravegherii fizice a aparaturii de conectare (i.e. porturi de switch).

Datorită scăderii corturilor echipamentelor de reţea şi dezvoltării foarte rapide produselor destinate creării şi configurării unei reţele wireless s-a impus introducerea de standarde care să asigure compatibilitatea şi unitatea definirii modelelor de reţele wireless.

21

Standardul IEEE (Institute of Electrical and Electronic Engineers) 802.11 este un set de standarde pentru reţele de tip WLAN(wireless local area network). Din cadrul acestui standard cel mai usual este IEEE 802.11b, numit şi Wi-Fi – folosind acest standard se pot trimite date cu 1, 2, 5.5 sau 11Mbps folosind banda de 2.4-2.5 GHz. Pentru condiţii ideale, distanţele scurte, fără surse care să atenuieze sau să interfereze standardul IEEE 802.11b operează la 11Mbps, mai mult decât poate oferi standardul “cu fir” Ethernet(10Mbps). În condiţii mai puţin ideale, conexiuni folosind vireze de 5.5, 2 sau chiar 1Mbps sunt folosite.

Standardul IEEE 802.11 mai are şi componentele IEEE 802.11a – cu o rată maximă de transfer de 54Mbps, folosind frecvenţe de 5Ghz – de aceea oferind un semnal mai curat şi o rată de transfer mai mare, şi standardul IEEE 802.11g – care are aceeaşi rată maximă de transfer de 54Mbps, folosind frecvenţe în banda S ISM.

Cel mai nou standard inclus este IEEE 802.11n – care încă nu a fost implementat final – el având următoarele limitări teoretice: rată maximă de transfer de 600 Mbps, funcţionare în benzile de frecvenţă 5GHz şi/sau 2.4 GHz şi o rază de acţiune în interior de ~ 300m. Acest standard se preconizează a se lansa oficial în 2010.

În standardul IEEE 802.11 se deosebesc două moduri de operare: modul infrastructură sau modul ad-hoc.

Modul infrastructură este folosit pentru a conecta calculatoare folosindu-se adaptoare wireless la o reţea legată „prin fire”. Ca exemplu: o firmă poate avea deja o reţea Ethernet cablată. Folosindu-se de modul infrastructură un laptop sau un alt calculator care nu are o conectare Ethernet cablată se poate conecta totuşi la reţeaua existentă folosind un nod de reţea denumit Access Point – AP – pentru a realiza un „bridge” (pod) între reţeaua cablată şi reţeaua wireless.

Figura 4.3.4 Modul „infrastructură” pentru o reţea wireless.

22

În cadrul acestui mod funcţional datele care sunt transmise de un client wireless către un client din reţeaua cablată sunt mai întâi preluate de AP care trimite la rândul lui datele mai departe.

Modul funcţional „Ad-hoc” Acest mod de conectare este folosit pentru conectarea directă a două sau mai multe calculatoare, fără a mai fi nevoie de un AP(fară necesitatea unui echipament distinct de comunicare). Acest mod de comunicare totuşi este limitat la 9 clienţi, care pot să-şi trimită datele direct între ei.

Figura 4.3.5 Reprezentarea modulului „Ad-hoc”

Pentru configurarea unei reţele wireless de tip „infrastructură” sunt necesare a se parcurge următoarele etape (denumirile pot diferi de la un producător al echipamentului la altul):

a) Wireless Mode: Partea de wireless poate funcţiona în mai multe moduri şi poate diferi funcţie de producător sau versiune de firmware. Modurile pot fi:

- AP (Access Point), este modul cel mai des utilizat, fiind specific modului Infrastructure, în care două device-uri wireless nu sunt conectate direct, ci prin intermediul routerului sau Access Point-ului.

- Client, în acest mod partea radio conectează wireless portul WAN din router la un punct distant. Se foloseşte de exemplu în cazul unei conexiuni wireless cu providerul.

- Ad-Hoc, în acest mod clienţii se pot conecta direct intre ei :) , conexiunea dintre ei nu mai trece prin router.

- Client Bridged, în acest mod partea radio conecteaza wireless partea LAN a routerului cu un punct distant. Astfel partea LAN va fi în aceeaşi reţea cu partea LAN a punctului distant.

b) Wireless Network Mode: Standardul conexiunii wireless (B, G sau A) ales trebuie să fie suportat atat de router cât şi de device-urile wireless din reţea. În banda de 2,4 Ghz pot fi folosite standardele B şi G, iar în banda de 5 GHz standardul A. Viteza

23

maximă pentru standardul B este 11 Mbps, iar pentru G şi A este 54 Mbps. Dacă în reţea aveţi device-uri care folosesc standarde diferite puteţi seta Mixed.

c) SSID (Security Set Identifier) sau Wireless Network Name: este numele asociat reţelei wireless. Default acest parametru este setat cu numele producătorului sau modelul de router sau Access Point. Din motive de securitate modificaţi această valoare cu un termen fară legătura cu producatorul, modelul sau date personale.

d) Wireless Chanel: Puteti seta unul din cele 13 canale disponibile pentru Europa.

e) Wireless Broadcast SSID: dacă setati Enable veţi afişa numele (SSID) în reţea. Dacă este Disable când veţi scana spectrul, reţeaua nu va fi afişată.

Odată parcurse etapele de mai sus reţeaua este creată – dar nu are setată nici o securitate. Este foarte important să se configureze şi această parte de securitate. Astfel pentru securizarea unei reţele avem opţiunile:

WEP (Wired Equivalent Protection) este o metodă de criptare:

- folosind 64 biti (10 caractere hexa) sau 128 biti (26 caractere hexa). Caracterele hexa sunt: 0-9 şi A-F;

- autentificare Open sau Shared Key.

Acum aceasta criptare WEP cu 64 biti poate fi spartă în câteva minute, iar cea cu 128 biţi în câteva ore, folosind aplicaţii publice.

WPA-PSK (WPA Preshared Key sau WPA-Personal) este o metodă mult mai sigură decât WEP. WPA2 este metoda cea mai sigură de criptare, fiind o variantă îmbunătăţită a metodei WPA. Şi aceste criptări (WPA şi WPA2) pot fi sparte dacă parola conţine puţine caractere sau este un cuvânt aflat în dicţionar. Pentru a face imposibilă spargerea acestei criptări folosiţi parole lungi, generate aleator.

Filtrarea MAC, prezentată mai sus este în continuare folosită pe scară largă, oferind acel minim minimorum necesar securizării la nivel minimal. Această formă de securizare implică introducerea într-o listă de acces a tuturor adreselor MAC ale dispozitivelor ce se doresc a fi interconectate. Dispozitivele care se pot conecta la aceste echipamente (AP sau routere wireless) s-au diversificat în ultimul timp foarte mult, de la clasicile calculatoare sau laptopuri, ajungând la console de jocuri, telefoane, sisteme multimedia, imprimante sau echipamente de nişă gen televizoare, figidere sau rame foto.

Pentru definirea unei reţele wireless bazată pe modelul ad-hoc nu sunt necesare echipamente distincte (router sau access point). Pentru acest mod nu sunt necesare decât că dispositivele ce se doresc a se conecta să conţină un adaptor wireless funcţional. Toate dispozitivele de acest gen au opţiunea de „ad-hoc”, opţiune care trebuie selectată pe toate dispozitivele ce se doresc a se conecta. Un exemplu privind o astfel de reţea este prezentat în figura 4.3.6.

24

Diferenţa între aceste dispzitive vine de la faptul că există un număr limitat de conexiuni posibile (9 la număr) care pot fi integrate în acelaşi timp în reţea. Avantajele unor astfel de conexiuni se bazează în special pe faptul că se pot realiza conexiuni de viteză mare, cauza fiind de obicei distanţa mică între echipamente, fapt ce conduce la pierderi mici de pachete transmise.

Figura 4.3.6 Exemplu privind o reţea bazată pe modelul „Ad-hoc”.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre ultimile apariţii în

domeniu, moduri de lucru, etc. Se va insista ca fiecare elev să relizeze configurări sau să prezinte

proiecte cu modalităţi de configurare pe diferite echipamente wireless – configurări de acces şi pentru alte dispozitive mobile.

EVALUARE

• Se pot folosi probe scrise şi orale, practice sau proiect.

25

Tema 5 Jurnalizarea sistemelor de operare şi a aplicaţiilor

Fişa 5.1 Noţiuni teoretice despre jurnale şi procesul de jurnalizare

Acest material vizează competenţa/rezultat al învăţării: Interpretează jurnalele sistemului de operare şi ale aplicaţiilor

Prin definiție jurnalizarea se referă la acel proces prin care se urmărește și se documentează toate operațiile efectuate în ordine cronologică de către o aplicație sau de către sistemul de operare, proces ce se execută în mod continuu.

Unul din cele mai importante lucruri în securitatea unui sistem este posibilitatea jurnalizării evenimentelor. Fișierele jurnalului (logurile) pot fi folosite pentru a descoperi încercarile de atac sau utilizare neautorizată/malicioasă ale resurselor sistemului.

Jurnalele de sistem sunt acele fișiere ce conțin informații despre orice comandă primită către interpretorul de comenzi a sistemului de operare ce documentează cel puțin următoarele elemente: data la care s-a lansat comanda, natura comenzii – aceasta făcând efentual distincția între diferite tipuri de jurnale: de aplicații, de securitate, de audit, etc., statusul ei – modul cum s-a esecutat: dacă s-a efectuat cu succes, dacă este încă în lucru, etc., ora la care s-a încheiat această comandă.

Un alt tip de jurnal este cel ce păstrează informațiile ce păstrează un istoric al rezultatului rulării unei anumite aplicații – cum ar fi de ex. fișierele care păstrează informațiile filtrate de către o aplicație antivirus. Aceste fișiere sunt şi ele împărțite în fișiere care sunt generate la o lansare a unei aplicații – cum ar fi de ex. generarea unei liste cu toate diverele folosite de sistemul de operare – jurnal care este execututat şi se încheie cu salvarea acestui fișier sau jurnale care sunt populate automat de către diferite aplicații – singura limitare fiind cea a spațiului alocat, informațiile din aceastea fiind completate în mod continuu.

Așadar putem vorbi de diferite forme de clasificarea a acestor jurnale. Avem astfel o clasificare care se bazează pe natura aplicațiilor care le generează:

- jurnale ale sistemului de operare – fișiere de sistem de obicei fișiere ce sunt şi securizate la citire/scriere/modificare(figura 5.1.1);

- jurnale de aplicații – fișiere care sunt de obicei nesecurizate, orice utilizator cate poate lansa acea aplicație putând interoga acele fișiere(figura 5.1.1);

- jurnale ale sistemelor de fișiere – forme speciale de fișiere ce conțin informații privind modificările efectuate la nivel de sistem de fișiere, mai exact vorbim de acele sisteme de fişiere cu jurnalizare, sisteme de fişiere care păstrează un istoric (în engleză log) al modificărilor efectuate, istoric actualizat înainte de operarea modificărilor pe sistemul de fişiere. Această tehnică reduce cu mult probabilitatea de corupere a sistemului de fişiere în urma unei pene de curent sau a unei erori în sistem(figura 5.1.1).

26

Figura 5.1.1 Diferite tipuri de loguri(sisteme de operare Windows, Linux; jurnale de aplicații – Mac OS analiză fișier video, jurnale de antiviruși şi firewall )

O altă formă de categorisire este dată de natura completării acestor jurnale:

- jurnale care se completeză în mod continuu – aici intră de obicei jurnalele sistemului de operare, jurnalele sistemelor de fișiere sau chiar jurnalele unor anumite aplicații gen aplicații firewall, aplicații antivirus, etc. De obicei aceste fișiere au o perioadă sau o dimensiune alocată pentru „suprascriere” , adica dacă se depășește o anumită perioadă (de ordinul zilelor, saptămânilor sau lunilor, de obicei 7 zile) sau o anumită dimensiune (de obicei 512KB sau 1024KB=1MB) cele mai vechi evenimente se suprascriu;

- jurnale care se completează o singură dată – şi anume la lansarea unei anumite comenzi sau aplicații – aceste fișiere pot uneori să conțină foarte multe date (de ordinul zecilor de MB, de ex. dimensiunea unui fișier al unei aplicații de scanare antivirus al unui hardisk de 1,5 GB plin cu informații).

27

Mai poate fi definită încă o formă de categorisire bazată pe tipul de fișier generat, în special datorită unei forme de standardizare naturală bazată pe aspectul acestor jurnale, astfel avem:

a. jurnale care păstrează informații în mod text, după anumite reguli definite în antet sau definite ca şi categorii în cadrul său(figura 5.1.2);

Figura 5.1.2 Forme de jurnale, se observă structurarea modului de completare tip cap de tabel (stg) sau tip categorie de informații (dr)

b. jurnale care păstrează informații în format vizual primar – de obicei fișiere de tip xml sau html, ce conțin informații vizuale limitate la tabele simple şi folosirea unei palete limitate de culori şi stiluri de font (figura 5.1.3);

Figura 5.1.3 Forme de jurnale în xml, respectiv html, parțial informații grafice

c. jurnale care păstrează informații în format vizual avansat – de obicei fișiere ce conțin informații preponderent grafice, majoritatea informațiilor transformându-se în reprezentări grafice (figura 5.1.4).

28

Figura 5.1.4 Jurnale în care informația este în mod evident reprezentată grafic

Deși această ultimă formă de categorisire nu este atât de elocventă totuși au generat crearea de aplicații care să transforme fișierele din prima categorie în a doua sau chiar a treia special datorită impactului mult mai sugestiv asupra rezultatelor păstrate în acele jurnale(figura 5.1.4).

Toate aceste jurnale să fie păstrate într-o anumită cale pe sistemul pe care rulează. Dacă pentru jurnalele sistemelor de operare calea trebuie să aibă un statut aparte (în special din cauza securității atașate de aceste jurnale), pentru aplicații de multe ori calea implicită este ori directorul de lucru ori o cale accesibilă de utilizatorul care este logat la momentul lansării.

Ca o regulă generală fișierele de jurnalizare conțin informații cel puțin sensibile dacă nu chiar confidențiale (ex. nume de utilizatori, conturi deshise, aplicații instalate, denumiri de fișiere, informații despre sistem, etc.), şi ar trebui tratate din punct de vedere al securității în mod corespunzător.

29


• Conţinutul poate fi predat în laboratorul de informatică sau într-o sală de curs, eventual cu acces la videoproiector sau flipchart.

CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre diferitele forme de

servicii de jurnalizare şi modul în care informaţiile sunt prezentate utilizatorilor.

Se va insista ca fiecare elev(ă) să cunoască modul în care se găsesc şi se folosesc informaţiile jurnalizate.

EVALUARE

• Se pot folosi probe scrise şi orale sau proba tip eseu.

30

Fişa 5.2 Jurnalele sistemului de operare

Acest material vizează competenţa/rezultat al învăţării: Interpretează jurnalele sistemului de operare şi ale aplicaţiilor

Jurnalele sistemului de operare sunt cele mai prețioase (alături şi de ale unor aplicații speciale gen antivirus, firewall, sau de diagnosticare a echipamentelor şi hardware-ului instalat în sistem) unelte pentru rezolvarea unor probleme apărure în sistem.

Figura 5.2.5 Event viewer – gestionarul jurnalelor de sistem în platforma Windows

Jurnalele sistemului de operare se clasifică – pentru platforma Windows în1

a) Jurnalul de aplicaţii (Application log): Jurnalul de aplicaţii conţine evenimentele înregistrate de programe. De exemplu, un program de baze de date poate înregistra o eroare de fişier în jurnalul de aplicaţii. Evenimentele ce se scriu în jurnalul de aplicaţii sunt determinate de dezvoltatorii programului software.

(figura 5.2.5):

b) Jurnalul de securitate (Security log): Jurnalul de securitate înregistrează evenimente precum încercările valide şi nevalide de Log on, precum şi evenimentele legate de utilizarea resurselor, cum ar fi crearea, deschiderea sau ştergerea de fişiere. De exemplu, când este activată auditarea la Log on, este înregistrat un eveniment în jurnalul de securitate de fiecare dată când un utilizator face Log on pe computer. Trebuie să faceţi Log on ca administrator sau ca membru al grupului de administratori pentru a activa, utiliza şi specifica evenimentele de înregistrat în jurnalul de securitate.

c) Jurnalul de sistem (System log): Jurnalul de sistem conţine evenimente înregistrate de componentele de sistem Windows XP. De exemplu, dacă un driver nu reuşeşte să se încarce în timpul pornirii, va fi înregistrat un eveniment în jurnalul de 1 Sursa http://support.microsoft.com/kb/308427/ro adresă accesibilă in 25.08.2009

31

sistem. Windows XP determină anticipat evenimentele înregistrate de componentele de sistem.

Dacă în plus sistemul este configurat ca controller de domeniu (platforme de tip server), atunci se mai adaugă încă două jurnale:

d) Directory log (Directory service log): conține evenimente privind autentificările servite de serviciul „Windows directory service”. Ca exemplu, toate conexiunile cu probleme dintre server şi restul stațiilor sunt înregistrare în acest log;

e) File Replication service log: jurnal ce conține evenimente provenite de la serviciul „Windows File Replication”.

Dacă sistemul are definită şi funcția de DNS, atunci se mai adaugă:

f) DNS server log: jurnal ce conține evenimente generate de serviciul „Windows DNS service”. Aceste evenimente sunt asociate cu rezolvarea numelor DNS către IP.

Aplicația care gestionează aceaste fișiere se numește Event viewer. Este o aplicație care pornește odată cu lansarea sistemului și oferă posibilități de gestionare jurnalelor de sistem (căutare, salvare, arhivare, etc.).

Fiecare intrare din jurnal este clasificată prin tipul său şi conţine informaţii de antet şi o descriere a evenimentului.

Antetul evenimentului conţine următoarele informaţii despre eveniment: • Date: Data la care s-a produs evenimentul. • Time: Ora la care s-a produs evenimentul. • User: Numele de utilizator al utilizatorului care era conectat când s-a produs

evenimentul. • Computer: Numele computerului pe care s-a produs evenimentul. • Event ID: Un număr care identifică tipul evenimentului. ID-ul evenimentului

poate fi utilizat de reprezentanţii serviciului de asistenţă pentru produs pentru a înţelege ce anume s-a întâmplat în sistem.

• Source: Sursa evenimentului. Aceasta poate fi numele unui program, o componentă de sistem sau o componentă individuală a unui program mare.

• Type: Tipul evenimentului. Există cinci tipuri de evenimente: Error, Warning, Information, Success Audit sau Failure Audit.

• Category: O clasificare a evenimentului în funcţie de sursa evenimentului. Aceasta este utilizată în principal în jurnalul de securitate.

Este de reținut că jurnalul se securitate este accesibil doar utilizatorului administrator.

Evenimentele generate de această aplicație sunt de cinci tipuri. Descrierea fiecărui eveniment înregistrat depinde de tipul evenimentului. Astfel avem:

32

- Information: un eveniment care descrie desfăşurarea cu succes a unei activităţi, cum ar fi o aplicaţie, un driver sau un serviciu. De exemplu, un eveniment de informare este înregistrat când se încarcă cu succes un driver de reţea(figura 5.1.6).

- Warning: un eveniment care nu este neapărat important poate totuşi să indice apariţia unei probleme în viitor. De exemplu, un mesaj de avertizare este înregistrat când spaţiul liber pe disc începe să fie scăzut(figura 5.2.2).

- Error: un eveniment care descrie o problemă importantă, precum eroarea unei activităţi critice. Evenimentele de eroare pot implica pierderi de date sau de funcţionalitate. De exemplu, un eveniment de tip eroare este înregistrat dacă un serviciu nu reuşeşte să se încarce în timpul pornirii(figura 5.2.3).

- Success Audit (în jurnalul de securitate): un eveniment care descrie completarea cu succes a unui eveniment de securitate auditat. De exemplu, un eveniment de tip auditare reuşită este înregistrat când un utilizator face Log on pe computer(figura 5.2.3).

- Failure Audit (în jurnalul de securitate): un eveniment care descrie un eveniment de securitate auditat care nu s-a terminat cu succes. De exemplu, un eveniment de tip auditare nereuşită se înregistrează când un utilizator nu poate accesa o unitate de reţea(figura 5.2.4).

Figura 5.2.2 Ferestră tipică a unui eveniment de tip informare(Information)

33

Figura 5.2.3 Fereastră tipică a unui eventiment de tip alarmă (Warning)

Figura 5.2.4 Fereastră tipică a unui eveniment de tip eroare (Error)

34

Figura 5.2.5 Fereastră tipică pentru evenimentele de tip „aduditare cu succes” (Success Audit)

Figura 5.2.6 Fereastră tipică pentru evenimente de tip „auditare eşuată) (Failure Audit)

35

Este de menţionat că jurnalul de securitate nu este activat de la început şi că trebuie să se modifice cheile responsabile de generarea acestor evenimente folosind Group Policy. Astfel pentru forţarea auditării evenimentelor legate de securitate, va trebui să apelăm le activăm folosind următoarele comenzi:

Se lansează aplicaţia Start / Run / gpedit.mmc care va lansa consola de management Group Policy. Apoi se navighează în calea Computer configuration / Windows settings / Security Settings / Local Policies / Audit Policies şi se vor activa evenimentele ce se doresc a fi urmărite(figura 5.2.7).

Este foarte important ca aceste modificări (în consola de Group Policies) să fie făcute cu foarte mare grijă şi documentate toate modificările efectuate pentru a putea reveni eventual, în cazul în care informaţiile respective nu mai sunt necesare (generează o îngreunare a sistemului – de ex la activarea auditării la modificarea fişierelor de către utilizatori – atât la eveneimentele efectuate cu succes cât şi eşec, dimensiunea fişierelor ajungând la dimensiuni foarte mari, sau ajungând ca sistemul să fie forţat să scrie foarte multe informaţii care nu sunt relevante).

Figura 5.2.7 Activarea auditării serviciilor de securitate (se observă din figură că s-au activat auditarea evenimentelor reuşite sau nereuşite de logon, de modificare a setărilor

de conturi şi a evenimentelor de sistem).

36

Informaţiile care se pot defini sunt descrise succint, uneori cu exemple, pentru a putea fi uşor de înţeles rolul lor (figura 5.2.8).

Figura 5.2.8 Setări de auditare, în partea stângă se observă setarea privind natura evenimentelor ce se doresc auditate(jurnalizate) iar în dreapta se explică care sunt

efectele acestor alegeri (alături de o scurtă descriere a cheii de auditare şi exemplificarea selectării modalităţilor de auditare – în caz de succes sau de eşec –

Succes sau Failure).

Este absolut necesar ca toate jurnalele sistemelor de operare să fie verificate zilnic (şi uneori chiar mai des) pentru a putea preveni eventualele probleme apărute şi pentru a putea lua măsurile de prevenție corespunzătoare(de ex. dacă se observă că anumite aplicații nu mai funcționează corespunzător, să poată fi remediate în timp util, sau să se documenteze asupra atenționărilor semnalate, folosind informațiile oferite).

În mod implicit, dimensiunea iniţială maximă a jurnalului este setată la 512 KO şi când se ajunge la această dimensiune evenimentele noi se suprascriu peste cele vechi. În funcţie de nevoile dvs., aveţi posibilitatea să modificaţi aceste setări sau să goliţi un jurnal de conţinutul său.

Dacă doriţi salvarea datelor jurnalului, aveţi posibilitatea să arhivaţi jurnalele de evenimente în oricare dintre următoarele formate:

• Format fişier jurnal (.evt) • Format fişier text (.txt) • Format fişier text cu delimitator virgulă (.csv)

37

Pentru o mai bună gestionare a acestor fisiere – raportări diferite, căutări încrucişate, etc. se pot folosi diferite programe care “traduc” aceste fisiere în forme vizuale cu detalierea informaţiilor prezentate. Soluţiile profesionale – de obicei folosite pe servere sunt aşa numitele Log Processing System (LPS) care oferă suport pentru procesarea în timp real a logurilor generate de diverse servere din reţeaua dumneavoastră şi raportarea imediată a evenimentelor detectate.

• Permite cunoasterea imediata şi permanentă a stării reţelei, în detaliu. Procesarea logurilor funcţionează pe baza de plug-in-uri configurabile în funcţie de necesităţile de monitorizare a clientului

• Permite analiza oricărui fişier de log, a oricărei aplicaţii, pentru monitorizarea activităţii afacerii şi din alte puncte de vedere decât securitatea tehnologică a informaţiei

• Facilitează separarea alarmelor false de cele reale, reducând cantitatea de munca a personalului tehnic

• Accelereaza procesele de reacţie în caz de atac, prin indicarea clară a zonelor şi staţiilor vulnerabile

Plugin-uri LPS diponibile:

• WSPT - Windows Station Process Tracking - raportează data şi durata execuţiei aplicaţiilor instalate;

• WSSA - Windows Server Share Access - raportează accesul pe un director partajat identificând serverul, utilizatorul, domeniul şi activităţile întreprinse - scriere, citire, modificare;

• GWEL - Generic Windows Event Log - asigură procesarea generică de log-uri Windows privind aplicaţiile rulate şi evenimentele de securitate;

• ASLP - Axigen Server Log Processor - asigură procesarea informaţiilor privind schimburile de corespondenţă;

• WPLA - Web Proxy Log Analyzer - oferă informaţii privind adresele web accesate de utilizatori, durata şi traficul efectuat;

• SPMM - Server Performance Monitoring Module - asigură procesarea datelor specifice funcţionării serverelor - nivelul de solicitare al procesorului, memoria utilizată, spaţiul disponibil pe HDD;

Jurnale ale sistemelor de operare linux

Jurnalizarea în sistemele Linux se face prin intermediul daemonului sysklogd (Linux system logging utilities, diferitele distribuții modificând eventual denumirea sa). Daemonul de jurnalizare sysklogd e alcătuit din 2 programe: syslogd şi klogd.

Syslogd (System Log Daemon) jurnalizează toate programele şi aplicațiile din sistem (în afară de mesajelele kernelului), pe când klogd (Kernel Log Daemon) interceptează şi prelucrează mesajele kernelului.

38

Majoritatea jurnalelor sistemului se află direct în calea /var/log, unele aplicaţii păstrând şi ele într-un director propriu în /var/log, de exemplu apache poate avea ca spațiu de stocare a logurilor directorul /var/log/httpd sau /var/log/apache.

De dorit ca /var/log să aibă alocată o partiție proprie, (mount-ată cu parametrii noexec, nosuid, nodev) din cauză că în cazul unor atacuri aceste fișiere pot căpăta dimensiuni foarte mari şi astfel pot compromite sistemul prin lipsa spațiului necesar funcționării corecte.

Utilizatorii din sistem nu trebuie să aibă acces nici măcar de citire a fișierelor jurnal (cu excepția cazurilor când o aplicație rulează sub alt user decât root(administrator), e nevoie ca acest user să aibă access de scriere în fișierul /var/log/nume-program, care trebuie să aibă atributul append-only - userul poate numai adauga ceva în fișierul respectiv, nu şi șterge.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre serviciile de

jurnalizare ale sistemelor de operare şi modul în care informaţiile conținute în acestea pot fi folosite.

Se va insista ca fiecare elev(ă) să cunoască modul în care se găsesc şi se folosesc informaţiile jurnalizate.

EVALUARE


39

Fişa 5.3 Jurnale de aplicații

Acest material vizează competenţele/rezultate al învăţării: Interpretează jurnalele sistemului de operare şi ale aplicaţiilor

Logurile sau jurnalele aplicațiilor se pot categorisi funcție de natura aplicației (aplicațiile sensibile gen antiviruși, firewall sau aplicații uzuale gen un browser sau altă aplicație) sau funcție de natura informațiilor oferite (păstrate).

Sunt aplicații care generează aceste fișiere special pentru depanare (atunci când apare o eroarea care trebuie să fie analizată şi trimisă dezvoltatorilor, de obicei această posibilitate fiind urmată de trimiterea acelui fișier rezultat) atunci când apar erori grave urmate de cele mai multe ori de închiderea aplicației.

Jurnalele aplicațiilor se pot categorisi şi ele în funcție de criteriile definite la jurnalele sistemelor de operare.

Este de menționat că fișierele de jurnalizare generate de diferite aplicații pot oferi informații foarte utile despre sistem. Să luăm cazul când trebuie să instalăm un diver pe un sistem pentru care nu avem informațiile necesare (nu putem deschide unitatea centrală pentru a identifica placa respectivă). Putem folosi în acest caz o aplicație care poate furniza informații despre aceasta scanând întregul sistem – fișierul rezultat are denumirea de log al aplicației.

Aşadar informațiile generate de diferite aplicații instalate pot oferi foarte multe informații ajutătoare şi în același timp prenţioase pentru persoanele răuvoitoare. Imaginați-vă ce culegere de date poate obține un atacator dacă poate accesa fișierul generat în exemplul prezentat mai sus (informații despre placa de rețea, drivere instalate, hardware utilizat, etc.).

Jurnalizarea este o facilitate foarte importantă pentru orice categorie de aplicație pentru că, funcție de informațiile care le cuprinde, se pot depana şi urmări foarte multe informații vitale pentru o administrare fluidă a sistemului.

Jurnalele cele mai utilizate din această categorie – a jurnalelor de aplicații – sunt cele generate de execuția unor proceduri sau comenzi care ori necesită mult timp şi sunt de obicei lăsate să lucreze, urmând ca la final să se verifice aceste fișiere, ori sunt executate continuu şi necesită doar verificate din când în când pentru a putea verifica starea sistemului (de ex. fișierele generate de activitatea unui firewall sau a unei aplicații ftp).

După cum spuneam şi mai sus informațiile oferite de aceste jurnale pot fi folosite pentru a putea gestiona mult mai bine sistemul, pentru a-l proteja de eventualele breşe

40

de securitate semnalate de aceste jurnale, pentru a defini diferite moduri de lucru care să reducă problemele semnalate, etc.

Auditarea sistemelor informatice.

O politică de securitate bine definită trebuie să urmeze şi o formă de verificare şi analizare a stadiului în care se află. Aceste forme de verificări poartă numele de auditare informatică.

Pentru realizarea un set de politici şi proceduri pentru managementul tuturor proceselor IT într-o organizaţie s-a definit un set îndrumător sub numele de CoBIT. Acest model (în varianta 4.1) ilustrativ se poate modela că o împărţire a IT-ului în 4 domenii şi 34 de procese în line cu responsabilitatea ariilor de acoperire, construire şi monitorizare oferind o soluţie de la cap la coadă pentru întreg conceptul IT. Rezumat la conceptul de arhitectură la nivel de întreprindere, ajută foarte mult să se identifice resursele esenţiale pentru succesul proceselor, de ex. – aplicaţii, informaţii, infrastructură şi oameni.

Acest standard de securitate este promovat de ISACA – organizaţie non-profit ce reuneşte auditori de sisteme informatice de pretutindeni (auditori certificaţi CISA –Certified Information System Auditor).

Interesul pentru securitatea IT s-a manifestat şi prin introducerea unei certificări specifice CISM – Certified Information Security Manager.

Un alt sistem este oferit spre certificare folosindu-se standardul ISO/IEC 17799:2000 – set de politici care odată implementat este sinonim cu atingerea unui nivel ridicat de securitate IT(acest standard este agreat şi de Comisia Europeană). Deşi acest standard conferă băncilor care doresc să implementeze un sistem de internet banking, autorizaţia de funcţionare – autorizaţie care se va face în fiecare an, de către o companie independentă cu competenţe solide în activităţi de securitate informatică, el poate fi folosit ca şi ghid şi pentru celelalte domenii. În mod uzual în ţara noastră se folosesc 3 categorii de auditare:

Auditul specializat – 1 – care asigură conformităţile cu prevederile Ordinului MCTI nr. 16/24.01.2003 este adresat furnizorilor de servicii care doresc eliminarea birocraţiei prin listarea unui singur exemplar de factură fiscală. Este auditat planul de securitate al sistemului informatic, iar analiza este efectuată anual de către o echipă independentă, specializată, care are în componenţă şi membri certificaţi CISA.

Auditul specializat 2 – se referă la auditarea planului de securitate în vederea aplicării prevederilor Ordinului Min. Finanţelor nr. 1077/06.08.2003 şi presupune scanarea de vulnerabilităţi – adică este testată vulnerabilitatea unui sistem informatic la atacuri din afară sau din interiorul reţelei. Este analizat modul în care sunt configurate echipamentele de reţea, sistemele de operare de pe staţii şi servere şi se compară cu recomandările de securitate ale producătorului. Acest tip de audit de securitate este executat de către un specialist certificat şi experimentat pe produsul auditat.

41

Auditul specializat 3 – se referă la securitatea infrastructurii IT. Această formă de audit de securitate presupune know-how, experienţă, specialişti şi certificări.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre serviciile de

jurnalizare ale aplicațiilor şi modul în care aceste informații pot ajuta un utilizator.

Se va insista ca fiecare elev(ă) să cunoască modul în care se găsesc şi se folosesc informaţiile oferite de diferite aplicații în jurnalele generate.

EVALUARE



Fişa rezumat

Clasa ________________ Profesor______________________

Nr. Crt.

Nume şi prenume

elev


1 zz.ll.aaaa2 2 3 4 ... Y


44

V. Bibliografie

1. Ionescu, Dan. (2007). Retele de calculatoare, Alba Iulia: Editura All 2. Georgescu, Ioana. (2006). Sisteme de operare, Craiova: Editura Arves 3. ***.La http://en.wikipedia.org . Informaţii multiple 4. ***.La http://support.microsoft.com . Informaţii multiple 30.04.09 5. ***.La http://www.datasecurity.ro . 02.05.09 6. Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete







http://www.datasecurity.ro/�

1

Securitatea sistemelor de calcul şi a reţelelor de calculatoare

Cuprins I. Introducere ........................................................................................................ 2 II. Documente necesare pentru activitatea de predare ...................................... 4 III. Resurse ............................................................................................................ 5

Tema 1: Noţiuni de bază în securitate – nivele minime de securitate acceptabile ............ 5 Fişa suport 1.1 Noţiuni de securitate a sistemelor de calcul .................................................. 5 Fişa suport 1.2 Noţiuni de securitate a reţelelor de calculatoare ......................................... 14 Fişa suport 1.3 Nivele minime de securitate ........................................................................ 22

Tema 2: Dezvoltarea unei politici de securitate în reţea .................................................... 28 Fişa suport 2.1 Prezentarea soluţiilor de protecţie ............................................................... 28 Fişa suport 2.2 Soluţii de securitate hardware şi software ................................................... 32

Tema 3: Ameninţări de securitate a reţelelor ...................................................................... 37 Fişa suport 3.1 Surse de atac .............................................................................................. 37 Fişa suport 3.2 Tipuri de atacuri informatice ........................................................................ 43

Tema 4: Securizarea unui sistem de operare ..................................................................... 50 Fişa suport 4.1 Securizare în sisteme Windows XP & Vista ................................................ 50 Fişa suport 4.2 Securizarea sistemelor de operare de tip server (Windows 2003/ Windows 2008) .................................................................................................................... 56

Tema 5: Configurarea serviciilor de audit şi jurnalizare la sistemele de operare ........... 59 Fişa suport Configurarea serviciilor de jurnalizare şi audit la sistemele de operare ............ 59

IV. Fişa rezumat .................................................................................................. 65 V. Bibliografie ..................................................................................................... 67

2


Prezentul material de predare, se adresează cadrelor didactice care predau în cadrul liceelor, domeniul Informatică, calificarea Tehnician operator tehnică de calcul.

El a fost elaborat pentru modulul Securitatea sistemelor de calcul şi a reţelelor de calculatoare, ce se desfăşoară în 31 ore, din care:



Tema 1

Noţiuni de bază în

securitate – descrierea

nivelelor minime de

securitate acceptabile

Fişa 1.1 Noţiuni de

securitate a sistemelor de

calcul

1. Identifică fundamentele şi

principiile securităţii

Fişa 1.2 Noţiuni de

securitate a reţelelor de

calculatoare



Fişa 1.3 Nivele minime de

securitate



3. Utilizează instrumente,

proceduri de diagnostic şi

tehnici de depanare pentru

securizare

Tema 2

Dezvoltarea unei politici de

securitate în reţea

Fişa 2.1 Prezentarea

soluţiilor de protecţie



2. Instalează, configurează,

sisteme de securitate

Fişa 2.2 Soluţii de

securitate hardware şi

software

2. Instalează, configurează, sisteme de securitate

Tema 3

Ameninţări de securitate a

reţelelor







3

securizare

Fişa 3.2 Tipuri de atacuri

informatice






securizare

Tema 4

Securizarea unui sistem de

operare

Fişa 4.1 Securizare în

sisteme Windows XP &

Vista






securizare

Fişa 4.2 Securizarea

sistemelor de operare de

tip server (Windows 2003/

Windows 2008)






securizare

Tema 5

Configurarea serviciilor de

audit şi jurnalizare la

sistemele de operare

Fişa 5 Configurarea

serviciilor de jurnalizare şi

audit la sistemele de

operare






securizare

Temele din prezentul material de predare nu acoperă toate conţinuturile prevăzute în curriculumul pentru modulul Securitatea sistemelor de calcul şi a reţelelor de calculatoare. Pentru parcurgerea integrală a modulului în vederea atingerii competenţelor vizate / rezultate ale învăţării profesorul va avea în vedere şi materialul de predare Securitatea sistemelor de calcul şi a reţelelor de calculatoare partea II.

Absolvenţii nivelului 3, liceu, calificarea Tehnician operator tehnica de calcul, vor fi capabili să îndeplinească sarcini cu caracter tehnic de montaj, punere în funcţiune, întreţinere, exploatare şi reparare a echipamentelor de calcul.

4




• Curriculum pentru calificarea Tehnician operator tehnică de calcul, nivelul 3– www.tvet.ro, secţiunea Curriculum sau www.edu.ro , secţiunea învăţământ preuniversitar

• Wikipedia biblioteca electronică cea mai completă.

Precizare privind textele din acest material – o parte din aceste texte se regăsesc într-o formă restrânsă, sau din contră, mai detaliată în multe alte articole regăsite pe Internet. Se porneşte de la premisa că acele texte se regăsesc sub statutul de „Creative Commons”(exemplul cel mai grăitor este faptul că toate documentele de pe wikipedia sunt sub aceste reguli de copyright) ceea ce face posibilă citarea lor (parţială - cu posibilitatea omiterii identităţii, complete – cu obligativitatea citării creatorului materialului respectiv) în vederea generării de nou conţinut. Această lucrare devine la rândul său lucrare cu statut de „Creative Commons” (http://creativecommons.org/ – detalii suplimentare) prin modul în care sunt ordonate şi grupate noţiunile culese din Internet sau create de autor.





http://creativecommons.org/�

5

III. Resurse

Tema 1: Noţiuni de bază în securitate – nivele minime de securitate acceptabile

Fişa suport 1.1 Noţiuni de securitate a sistemelor de calcul

Acest material vizează competenţa/rezultat al învăţării: Identifică fundamentele şi principiile securităţii

Ca o definiţie, sistemul de calcul reprezintă un ansamblu de componente hardware (dispozitive) şi componente software (sistem de operare şi programe specializate) ce oferă servicii utilizatorului pentru coordonarea şi controlul executării operaţiilor prin intermediul programelor.

Principiile de bază ale securităţii sistemelor informatice s-au schimbat relativ puţin în ultimii ani. Există două mari categorii – protecţia la nivel fizic (garduri, uşi cu încuietori, lacăte, etc.) şi la nivel informaţional (accesare prin intermediul unor dispozitive electronice şi/sau a unor aplicaţii software, a informaţiilor dintr-un sistem de clacul – în mod general, în mod particular, informaţiilor dintr-un calculator dintr-o reţea de calculatoare). În cele ce urmează ne vom referi în special la conceptele ce stau la baza securităţii la nivel informaţional.

Fig. 1.1.1 Securitatea sistemelor informatice

Utilizarea echipamentelor de tip router şi aplicarea listelor de control al accesului, împreună cu controlul traficului ce intră şi iese din reţele utilizând soluţii firewall reprezintă şi în prezent, tehnicile principale pentru protecţie perimetrală. Făcând parte din categoria tehnicilor de tip pasiv, cele două nivele de protecţie au fost continuu optimizate din punct de vedere al performanţelor, funcţionalităţilor şi al administrării. Creşterea susţinută a numarului de atacuri şi a complexităţii acestora, precum şi necesitatea de tehnologii de protecţie activă, sunt motivele ce au condus la introducerea în domeniu de noi tehnologii.

Pentru a reduce riscurile de securitate în utilizarea şi administrarea sistemelor IT, cea mai bună strategie este cea pe ansamblu (security in depth). Aceasta presupune evaluarea pe ansamblu a infrastructurii IT şi clasificarea expunerii la riscuri de securitate. Pentru fiecare dintre riscurile identificate trebuie realizate planuri de măsuri,

6

fie pentru reducerea expunerii la acele riscuri (mitigation), fie pentru reducerea impactului odată ce riscul s-a produs (contingency).

La polul opus se află abordarea punctuală, a implementării unui sistem specific de securitate, de exemplu antivirus sau detectarea accesului neautorizat(Intrusion Detection Systems – IDS). Deşi aceste sisteme sunt foarte utile în cadrul ariei specifice de aplicabilitate, această abordare lasă descoperite alte zone cu posibile breşe de securitate.

Pentru a avea o abordare de ansamblu, trebuie pornit de la lucrurile elementare: uniformitatea infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizată, menţinerea la zi a sistemelor din punct de vedere al patch-urilor şi fix-urilor(pentru sistemele de operare şi aplicaţiile instalate), aplicarea unor configurări standard de securitate pe toate serverele şi staţiile de lucru, în funcţie de rolul funcţional al acestora precum şi relizarea unor proceduri standard de utilizare şi administrare.

Mai toate discuţiile despre securitate se rezumă la problemele identificate la diverse sisteme. Ceea ce se uita însa este faptul că pentru a avea un sistem sigur nu e suficient să avem tehnologia corespunzatoare.

Studiile arată că în medie 90% din breşele de securitate identificate nu sunt datorate problemelor tehnologice ci instalării şi configurării necorespunzatoare sau datorită nerespectării unor proceduri de utilizare şi administrare a sistemului. În multe cazuri, aceste proceduri nici nu există. Trebuie deci să privim problema pe ansamblu, adresând tehnologia, oamenii şi procedurile interne ale companiei/organizaţiei.

Fig. 1.1.2 Securitatea la nivel de acces perimetral

7

Fig. 1.1.3 Securitatea la nivel informaţional (software şi hardware)

A privi deci securitatea doar prin prisma problemelor tehnologice este un punct de vedere îngust. Nu ne putem astepta că un sistem care nu a fost instalat şi configurat corespunzător, care nu e menţinut la zi cu patch-urile sau pentru care nu se respectă nişte proceduri simple de utilizare şi administrare, să fie un sistem sigur. Securitatea trebuie să fie o caracteristică intrinsecă a sistemului. Un sistem sigur este unul bine proiectat, implementat, utilizat şi administrat.

Ca şi concepte distincte care tratează problema securităţii deosebim: • securitatea implementată încă din faza de proiectare – security by design • securitatea bazată pe mai multe nivele – security in depth.

Conceptul de „security by design” este foarte bun atunci când posibilităţile de implementare sunt justificate. De multe ori totuşi acest concept impune unele restricţii

8

care limitează foarte mult utilizarea sa în arii diferite, metoda fiind folosită în zone speciale, foarte specializate (zone cu statut de importanţă majoră, ca de ex. reţelele de calculatoare care controlează traficul aerian, laboratoare de cercetare, etc.), zone în care accesul prin definiţie este foarte restrictiv.

Fig. 1.1.4 Exemplu de folosire al conceptului de „security by design” în viaţa de zi cu zi

Acest concept aplicat la „nivel software” generează un principiu de funcţionare al aplicaţiei cu restricţii foarte clare – care de multe ori din pricina acestor limitări devine în scurt timp nefezabil.

9

Fig. 1.1.5 Exemplu de folosire al conceptului de „security by design” la nivel IT

Pentru a exemplifica acest concept la nivel de aplicaţie(software) să presupunem că se citeste de către o aplicaţie un sir de caractere care ar trebui să reprezinte un nume. Dacă se limitează prin definiţie ca acel nume să conţină numai caractere alfabetice (litere mici şi/sau mari) vor fi persoane care se vor simţi ofensate că nu pot introduce nume de tipul „best4you” sau diferite caractere gen „/.$%@” etc. în acest caz acel program ajungând să-şi piardă din start unii utilizatori mai pretenţioşi. Totuşi merită semnalat faptul că implementarea unei astfel de metode este foarte binevenită în unele cazuri când netratarea corespunzătoare a unei astfel de secvenţe citite poate genera probleme de tipul „buffer overflow” generând apariţia unor breşe de securitate ce pot fi folosite în scopuri malefice(cazul când se folosesc caractere speciale ce pot ascunde informaţii tratate distinct ex. dacă se acceptă introducerea unei secvenţe „%n” se poate interpreta ca „salt la linie nouă” de către o funcţie de afişare generând în acel caz o posibilă eroare, cel puţin la nivel estetic – ca formă de prezentare).

„In-depth security” sau „defence in depth” este un principiu bazat pe mai multe „straturi” de securitate în vederea protejării sistemului sau reţelei din care face parte.

10

Fig 1.1.6. Evidenţierea conceptului de „Security in depth”

Trebuie să se înţeleagă că nu contează cât de de bun este fiecare „strat” – privit singular, există cineva mai deştept, cu resurse materiale şi temporale suficiente cât să treacâ de acesta. Acesta este motivul pentru care practicile uzuale de securitate sugerează existenţa mai multor nivele de securitate sau pe scurt „in-depth security”.

Folosirea de nivele(layers) diferite de protecţie, de la diferiţi producători oferă o protecţie substanţial mai bună. Este posibil că un hacker să dezvolte un exploit(vulnerabilitate folosită în scopuri necinstite) care să permită să treacă de diferite tipuri de securitate, sau să înveţe anumite tehnici folosite de unii producatori, permiţându-le să facă acel tip de securitate (acel nivel) inefectiv.

Folosind o securitate bazată pe diferite nivele de protecţie veţi fi protejaţi de majoritatea persoanelor rauvoitoare, cu excepţia celor mai destepţi şi mai dedicaţi. Ca o regulă de bază (nivele minime de securitate instalate) se sugerează următoarele produse:

a) firewall – o barieră protectivă între calculator, reaţeaua internă şi lumea din jur. Traficul din interior şi spre exterior este filtrat, restricţionat, blocând eventualele transmisii nenecesare. Folosind reguli stricte de acces la nivel de aplicaţii şi utilizatori, se poate îmbunătăţi substanţial securitatea sistemului şi a reţelei locale;

11

Fig. 1.1.7 Prezentarea schemei de funcţionare şi poziţionare a unui firewall

b) antivirus – un software instalat cu scopul clar de a te proteja de viruşi, viermi şi alte coduri maliţioase. Majoritatea aplicaţiilor antivirus monitorizează traficul în fiecare moment, scanând în timp ce se navighează pe Internet sau scanând mesajele primite pe mail (cu tot cu ataşamente) şi periodic oferind posibilitatea rulării unei scanări la nivelul întregului sistem în căutarea de cod maliţios;

12

Fig. 1.1.8 Atenţie totuşi la aplicaţiile care se dau drept aplicaţii antivirus

c) Intrusion Detection System (IDS) şi Intrusion Prevention System(IPS o varianta mai specială a IDS) – un dispozitiv sau o aplicaţie folosit(ă) pentru a inspecta întregul trafic dintr-o reţea şi de a trimite mesaje de alertă utilizatorului sau administratorului sistemului cu privire la încercări neautorizate de acces. Principalele metode de monitorizare sunt cele bazate pe semnături şi cele bazate pe anomalii. Funcţie de metodele folosite IDS-ul poate rămâne la stadiul de a alerta utilizatori sau poate fi programat să blocheze automat traficul sau chiar programat să răspundă într-un anumit fel.

Fig. 1.1.9 IDS la nivel software şi hardware (în patea dreptă se observă avantajele folosirii sistmelor de tip IPS pentru protecţia unor instituţii speciale cum ar fi baze

militare, închisori, etc.)

13



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre securitatea

informaţiilor. Demonstraţie – prin evidenţierea noţiunilor de securitate avute la

dispotiţie – uşi prevăzute cu încuietori multiple, carduri de acces, aplicaţii instalate pe calculatoare, etc..

• Se va insista că fiecare elev să înţeleagă necesitatea securizării informaţiei stocate în calculatorul din şcoală – ca exemplu, repectiv calculatorul personal – ca temă de studiu.

EVALUARE


14

Fişa suport 1.2 Noţiuni de securitate a reţelelor de calculatoare

Acest material vizează competenţa/rezultat al învăţării: Identifică fundamentele şi principiile securităţii

Pentru a se putea înţelege ceea ce doreşte a se „apăra” în cadrul reţelei, mai întâi să discutăm de natura atacurilor ce pândesc o reţea de calculatoare. Acestea se identifică în trei mari categorii: confidenţialitate, disponibilitate şi confidenţialitate. Între acestea există o interdependenţă foarte strânsă, evidenţiindu-se faptul că disponibilitatea şi confidenţialitatea sunt efectiv legate de integritate.

Fig. 1.2.1 Metode de protecţie diferenţiate după forma de acces

15

Fig. 1.2.2 Nivele distincte pentru creşterea securităţii unei reţele

Pentru a înţelege ceea ce se ascund în spatele acestor trei noţiuni, să detaliem:

a) Atacuri care se referă la integritatea reţelei ca sumă de echipamente interconectate şi a legaturilor dintre acestea şi/sau la integritatea datelor ce circulă în cadul ei. Această categorie generează politici diferite prin prisma celor două forme de integritate: fizică – a echipamentelor şi legăturilor dintre acestea şi informaţională – relativ la date şi folosirea lor.

Ca definiţii acceptate pentru integritate deosebim: integritatea datelor – se referă la calitatea, autenticitatea, corectitudinea şi acurateţea informaţiilor stocate într-un sistem informatic şi integritatea sistemelor – drept posibilitatea operării corecte şi cu succes a resurselor informatice.

După cum spuneam anterior este un punct foarte sensibil în cadrul securităţii, fără integritatea, confidenţialitatea şi disponibilitatea unui sistem critic, nu mai există, întrucât momentul în care este posibilă efectuarea de operaţii necorespunzătoare în cadrul unui sistem informatic, se pot crea uşor breşe în cadrul celorlalte două proprietăţi.

b) Atacuri care atentează la confidenţialitatea sistemului. Prin aceasta înţlegem informaţia care este disponibilă doar în cazurile în care politicile de securitate sunt în îndeplinite.

16

Confidenţialitatea este foarte importantă(critică de cele mai multe ori) în multe sisteme, mai ales în cazul în care sistemul conţine informaţii sensibile, ca de ex. planurile unui nou prototip, sau informaţii despre clienţi, etc. De multe ori această proprietate este atât de importantă încât este cerută de lege sau prin contract.

c) Atacuri care atentează la disponibilitate se referă la acele forme de atac care încearcă sau chiar reuşesc să facă innutilizabil sistemul prin privarea posibilităţii de a-şi oferi disponibilitatea (răspunsul şi tratarea cererilor existente) utilizatorilor înregistraţi sau pur şi simplu prin punerea sistemului în forma de „negare a serviciilor”.

Este de înţeles necesitatea disponibilităţii atâta timp cât celelalte proprietăţi sunt îndeplinite.

Reţelele şi resursele ataşate de aceastea sunt expuse diferitor tipuri de atacuri potenţiale, cum ar fi: atacuri la integritate (atacuri la autentificare, furtul sesiunilor, atacuri de protocol, tehnici de manipulare – „social engineering”, tehnici de manipulare neglijente, abuz de privilegii explorarea uşilor din spate – „backdoors”), atacuri la confidenţialitate (divulgarea neglijentă, interceptarea informaţiei, acumularea informaţiilor) şi atacuri la disponibilitate (interferenţe, supresii, furnizarea de informaţii neaşteptate) forme de atac detaliate în cele ce urmează.

Atacurile de autentificare – situaţia în care o persoană sau un program reuşeşte să se identifice ca o altă persoană/aplicaţie şi astfel să obţină diferite avantaje nelegitime (spoofing). Include furtul direct de parole (shoulder-surfing) sau prin ghicirea sau dezvăluirea acestora. Această formă de atac se poate contracara de cele mai multe ori prin educarea utilizatorilor.

Furtul sesiunilor – o formă prin care un utilizator care a fost autentificat este „inlocuit” de atacator folosindu-se de toate privilegiile acestuia pentru accesul la informaţii sensibile.

Aici intervine în cazul prevenţiei, crearea de politici privind aplicaţiile pe care utilizatorii le folosesc sau modul în care sunt folosite precum şi prin utilizarea de aplicaţii antivirus.

Atacurile protocoalelor – de multe ori această formă de atac se bazează pe slăbiciunile sistemelor criptografice. Unele forme de atac se bazează până şi pe cronometrarea operaţiilor necesare relizării criptării. Este o formă „elevată”, de multe ori problemele bazându-se pe posibilitatea aflării unor erori matematice sau a unor „slabiciuni” care permit ca o cheie criptografică să fie derivată algebric(sau geometric prin extrapolare).

17

Datorită formei atât de complexe şi elevate, această formă de atac nu poate fi evitată decât printr-o analiză a protocoalelor criptografice de către experţi în domeniu.

Tehnici de manipulare – este o formă de atac care ia amploare prin prisma „încrederii” şi oferirii unor informaţii private, sensibile unor persoane neautorizate. Drept exemplu: atacatorul sună un angajat şi pretinzând a fi un membru al echipei IT din cadrul companiei sau a unei companii recunoscute în domeniul IT, îi cere parola. Prin intermediul acesteia atacatorul folosindu-se de toate privilegiile utilizatorului pentru a-şi începe actul propriu-zis.

La fel ca la cazul atacurilor prin autentificare, ca formă preventivă se indică instruirea utilizatorilor suplimentată de o minimalizare a privilegiilor utilizatorilor pentru a reduce efectele unei tehnici de manipulare reuşite.

Metode de acces neglijente – discutăm aici în special de aplicaţa de tip firewall. Este de menţionat că aceasta este una dintre cele mai răspândite forme, deoarece deşi majoritatea producătorilor de sisteme de operare oferă intr-o formă graturită aplicaţia de tip firewall, mulţi utilizatori din cauza neinformării sau necunoaşterii modului de folosire sau doar din dorinţa de a nu fi „sâcâit” dezactivează acea aplicaţie. Prin prisma administatorului este de menţionat că instalarea unui firewall intr-o formă cât mai cuprinzătoare şi documentată îi poate oferi posibilităţi de evidenţă foarte clară a ceea ce se întâmplă într-o reţea.

O formă binecunoscută de prevenţie este segmentarea resurselor între care nu există relaţii pentru a preveni atacuri din alte zone ale reţelei. Totuşi trebuie menţionată şi necesitatea scanării reţelei pentru a detecta eventualele metode de acces lăsate „descoperite”.

Este de menţionat şi forma mai specilă a metodei de manipulare numită metoda informaţiilor neaşteptate sau a furnizării de informaţii neaştepate. Această metodă se bazează pe apariţia unor erori – generate de introducerea de scenarii care produc astfel de erori sau de invalidarea corectă a datelor de intrare. Cea mai comună formă a acestei metode este conceptul de „buffer underfolw” sau inundarea zonei tampon – care implică ca atacatorul să introducă mai multe date decât aplicaţia poate citi, generând astfel ca programul să se comporte intr-o formă în care proiectantul nu a intenţionat-o.

Ca metodă de prevenţie se recomandă un sistem de detectare a intruziunilor (IDS), efectuarea de update-uri şi instalarea patch-urilor sistemelor de operare şi aplicaţiilor instalate în concordanţă cu o analiză privind condiţiile de limită, integritate şi corectitudine a datelor de intrare oferite aplicaţiilor instalate.

O formă specială de atac este cea a abuzului de privilegii. Este specială şi din cauza faptului că se referă, conform unui studiu realizat la nivel internaţional care oferă

18

drept procent al provenienţelor de atac o valoare de 80% ca fiind cele venite din interior, marea majoritate venind din partea unor angajaţi sau fost angajaţi nemulţumiţi sau în căutarea unor informaţii ce le pot aduce beneficii personale(de ordin material sau nu).

Atacurile prin abuzul de privilegii poate fi relativ uşor de contracarat folosindu-se de minimizarea privilegiilor oferite fiecărui utilizator, precum şi prin distribuirea responsabilităţilor mari printre mai mulţi angajaţi.

O formă mai gravă al aceste metode este cea în care mai mulţi indivizi cooperează astfel încât metodele de contracarare menţionate devin inutile.

Folosirea de Backdoors – este o metodă ce se referă la unele „erori” de cele mai multe ori introduse intenţionate în cadrul aplicaţiilor, „erori” ce pot oferi acces la sistemul pe care rulează. O astfel de metodă este practicată de unii programatori sau angajaţii prin contract – pentru realizarea „suportului” necondiţionat al aplicaţiei respective. O formă gravă a acestei metode este faptul că este foarte greu de depistat şi remediat.

După cum s-a observat exista în formele de atac asupra integrităţii datelor o foarte mare diversifitate de metode, aceasta şi din cauza importanţei acesteia(odată „ingenunchiată” aceasta, accesul la celelalte două – confidenţialitatea şi disponibilitatea – este mult mai simplu) în securitatea unei reţele de calculatoare.

Divulgarea neglijentă are lor în momentul în care informaţia devine accesibilă în mod accidental atacatorului. Un exemplu elocvent: planurile unui nou produs, menţionate accidental într-un mail care a trecut prin Internet şi astfel a ajuns să fie interceptat de către un atacator.

Ca metodă de protecţie se desprinde iarăşi educarea utilizatorilor şi folosirea unor politici de confidenţialitate în concordanţă.

Intercepţia informaţiei – este metoda prin care informaţia este interceptată la momentul trecerii printr-un mediu nesigur, nesupravegheat corespunzător. Ca metodă profilactică se desprinde folosirea de protocoale de criptare precum şi folosirea reţelelor private virtuale (VPN) pentru transferul informaţiilor dintr-o locaţie într-alta.

Metoda acumulării de informaţii se foloseşte de culegerea de informaţii din diferite surse pentru a deduce unele informaţii private. Ex. studierea bugetelor unui departament înainte şi după angajarea unei persoane pot conduce la aflarea salariului acesteia. Întrucât este o metodă destul de complexă, protecţia împotriva ei nu este bine definită, fiind legată de totalitatea politicilor de securitate definite şi folosite.

19

Interferenţele sau bruiajele reprezintă una dintre cele mai răspândite forme de atac la disponibilitatea sistemului. Aici, de departe, cea mai uzuală formă este cea care se bazează pe împiedicarea unui semnal mai slab să fie redirecţionat prin transmiterea unuia mai puternic. O formă cel puţin la fel de răspândită este cea a atacurilor prin inundare, care face ca numărul de procese deschise să fie mai mare decât un sistem a fost proiectat să le efectuieze efectiv(ping flood).

Succesul unor astfel de forme de atac poate fi limitat sau chiar îndepărtat dacă se introduc unele firltre de admisie şi detecţie sau prin adăugarea de capacitate adiţională.

Supresia jurnalizării este un tip special de interferenţă şi este folosit adesea împreună cu alte tipuri de atacuri. Se folosesc metode prin care efectiv se limitează mesajele jurnalizabile sau prin generarea unui trafic atat de mare încât aflarea propriu-zisă a informaţiei utile să fie foarte dificilă. Metodele de prevenţie se bazează pe analiza statistică a jurnalelor şi implementarea de canale de administrare private.

Furnizarea de informaţii neaşteptate se referă la generarea unui anumit comportament care forţează sistemul să intre în incapacitatea de a-şi continua lucrul. Sunt legate, de multe ori, de breşe de securitate găsite întâmplător şi funcţionale doar în condiţii speciale. Ca forme de prevenţie se recomandă utilizatea de update-uri şi fix-uri care să trateze corespunzător situaţiile particulare ce pot genera bolcarea sistemului respectiv.

Întrucât nu există o autoritate centralizată care să asigure managementul reţelelor este necesar instalarea de diferite nivele de securitate pentru siguranţa traficului. Dintre aceste nivele menţionăm: firewalls, routers, Intrusion Detection Systems şi alte componente: VPN, criptari etc.

Obiectivele principale ale securităţii reţelelor de calculatoare sunt de a proteja reţeaua, echipamentele şi mesajele din cadrul ei contra accesului neautorizat şi în general de accesul din afara ei. Se pot diferenţia un număr de 3 mari obiective:

1. Să ofere controlul în toate punctele din cadrul perimetrului reţelei pentru a bloca traficul care este maliţios, neautorizat sau prezintă riscuri pentru siguranţa reţelei.

2. Să detecteze şi să răspundă la încercările de pătrundere în reţea. 3. Să prevină mesajele din cadrul ei să fie interceptate sau modificate.

Este de precizat că setarile de securitate nu pot elimina complet riscurile. Scopul este de a minimiza efectele pe cât posibil şi să elimine riscurile excesive sau nenecesare.

Trebuie avut desemenea în vedere şi faptul că scopul securităţii reţelei este să ofere conectivitatea la un preţ şi o rată risc/cost acceptabilă.

20

Principiile securităţii reţelelor de calculatoare se pot sitetiza şi astfel:

a) „Least privilege” – să se dea acces doar dacă este necesar şi doar pentru ceea ce este obligatoriu; tot accesul pentru conectare, trafic (protocoale, schimb de adrese, şi porturi) să se facă numai dacă este cerut, validat şi cu un risc acceptat.

b) Folosirea de nivele de securitate distincte, care să se întreprătrundă (defense in depth) – vezi fişa 1.1

c) Controlul perimetral – plasarea de controale stricte la fiecare capăt de întrare în reţea.

d) Refuzarea oricăror drepturi care nu sunt specificate prin exemplificare – cât mai restrictiv cu putinţă pentru a se putea contracara orice încercare care încă nu există sau nu a fost documentată.

În acelaşi timp totuşi principiile enumerate mai sus trebuiesc să se întrepatrundă cu urmatoarele:

a) „keep it simple” – trebuie să înţelegi pentru a putea să protejezi; b) Să ascunzi pe cât posibil informaţiile cu privire la reţea – astfel încât atacatorii

să nu poată găsi ţinte directe; c) Tehnologizarea nu este suficientă – o securizare bună constă în mult mai

multe decât cele mai recente tehnologii sau „state-of-the-art” software şi hardware; este nevoie de practică, tehnologii, oameni şi procese.

d) Politici de securitate – necesare pentru a defini nivele de risc şi direcţii generale pentru generarea de practici şi proceduri de securitate şi implementare.

Nu în ultimul rând trebuie menţionat şi rolul utilizatorului final în cadrul intregului concept de securitate, astfel este necesar ca fiecare administrator sau utilizator să incerce să urmeze următoarele sfaturi:

a) jurnalizarea şi monitorizarea – absolut necesară pentru detectarea din timp şi răspunsul prompt la problemele principale;

b) criptarea informaţiilor cruciale care sunt transmise folosind reţele nesigure – informaţiile senzitive care sunt trimise în text simplu pot fi foarte uşor interceptate;

c) nu realizaţi relaţii de încredere bazate pe adrese IP – adresele IP pot fi „spoofed” – „clonate” cu ajutorul unor unelte şi aplicaţii;

d) „weakest link” – un sistem este atât de sigur pe cât este cea mai slabă componentă, sau existenţa unui „backdoor” – breşe de securitate; ca exemplu modemurile din PC pot fi cea mai slabă legatură;

e) Minimizaţi riscul nenecesar – întrucât nu se poate elimina riscul complet, asiguraţ-vă contra riscurilor excesive sau nenecesare (prin realizarea de back-up-uri)

21



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre securitatea

informaţiilor. Se va insista că fiecare elev să înţeleagă necesitatea securizării

informaţiei stocate calculatoarele din diverse domenii cum ar fi: domeniul cercetării, domeniul aeronautic, domeniul firmelor private şi chiar a utilizatorilor de rând.

EVALUARE


22

Fişa suport 1.3 Nivele minime de securitate

Acest material vizează competenţa/rezultat al învăţării: „Identifică fundamentele şi principiile securităţii” şi „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare

Majoritatea companiilor care se ocupă de securitatea sistemelor informatice sunt de acord cu privire la următoarele nivele minime care trebuiesc satisfacute pentru a fi protejaţi la un nivel minim acceptabil:

a) necestitatea instalării unei aplicaţii de tip anti-virus: aceasta aplicaţie este vitală să fie instalată şi mai mult, să aibă toate actualizările la zi în ceea ce priveşte definitiile de viruşi;

b) aplicaţie de tip firewall – această aplicaţie a devenit o cel puţin la fel de importantă componentă ca cea anterioară;

c) aplicaţie de tip anti-spyware care să fie la fel, actualizată cât mai des; d) criptarea informaţiilor cu satut personal, privat; e) este foarte important şi ca utilizatorul să folosească parole căt mai „bune” şi

aici ne referim la lungimea lor (la ora actuală o parolă de 4 caractere se poate sparge într-un timp foate scurt de ordinul zecilor de minute, la o parola de 8 caractere acest lucru ajungând la ordinul zilelor, mai ales dacă conţin simboluri, cifre şi litere atât mici cât şi mari);

f) nu în ultimul rând este foarte important că utilizatorul să aibă o conduită precaută, să nu descarce orice programe găsite pe net, să citească orice mesaj de atenţionare venit din partea aplicaţiilor de tip antivirus, firewall, anti-spyware;

g) realizarea periodică de backup-uri ale datelor pentru a putea fi protejat în cazul unor atacuri reuşite sau incidente de genul incendiilor, innundaţiilor sau altor forme asemănătoare.

În definirea unor nivele minime de securitate trebuies obligatoriu luate în considerare, cum am spun şi mai sus de costuri. În diagrama din figura 1. se poate observa foarte clar ceea ce implică o „complicare” a unei strategii de securitate – evident costuri foarte ridicate(atât în implementare, cât şi în utilizare).

23

Fig. 1.3.1 Diagrama decizională în vederea implementării unor nivele minime de securitate în raport cu costul implementării (relaţia risc/cost)

Concluzionând – soluţia corectă cu privire la toleranţa riscului versus costul implementării şi utilizării – trebuie să ţină cont de următoarele:

a). Costul potenţial în cazul unei breşe de securitate – aici se detaliză cazurile: pierderi fizice – accidente prin care rezultă pierderea încăperilor(cutremur, foc, apă, explozii, etc.) şi/sau echipamentelor(sabotare, furt, etc.), pierderi la nivel de productivitate – diversiunea persoanelor de la posturile lor pentru repararea sau înlocuirea unor echipamente, recostrucţia datelor sau până echipamentele per ansamblu sunt innaccesibile, pierderea la nivel de organizaţie – întreruperea întregii afaceri până la remedierea problemelor apărute, pierderea de informaţii – coruperea, furtul sau pierderea efectivă a datelor de pe o anumită perioadă şi, nu în ultimul rând, pierderea reputaţiei şi a modului în care este percepută acesta de ceilalţi clienţi – drept o consecinţă a unei breşe de securitate foarte serioase sau a unor accidente repetate care pot coduce chiar la pierderea afacerii, scăderea reputaţiei în rândul clienţilor sau cazul în care informaţiile pierdute pot conduce la acţiuni legale(procese deschise pentru despăgubiri);

b). Costul echipamentelor – limitările impuse de încadrarea într-un anumit buget generează limitarea utilizării excesive a echipamentelor de identificare de ultimă generaţie. Este recomandată folosirea totuşi a echipamentelor de ultimă generaţie măcar la punctele cheie, care găzduiesc informaţiile cheie – gen sala serverelor;

c). Combinarea diferitelor tipuri de tehnologii – combinarea unor tehnologii „low-cost” cu altele mai specializate pe diferite nivele de acces, sau zone sensibile, pot oferi un surplus de securitate la un preţ competitiv;

d). Factorul uman – este foarte important ca factorul uman să fie luat foarte în serios la momentul implementării unor strategii de securitate, întrucât restricţiile pot genera frustrări şi scăderea productivităţii;

24

e). Scalabilitatea – implementarea incrementală este un procedeu des folosit, implementarea din mers oferind informaţii clare despre necesităţile reale – descoperite în urma folosirii.

Nivelele minime acceptate pot diferi foarte mult de la o implementare la alta, oricare ar fi acestea totuşi trebuie realizată o balanţă între riscurile acceptate şi implementarea unor reguli de securitate foarte complexe sau, din contră, absurde sau inutile. În cele ce urmează detaliem cele mai la îndemână unelte de securizare la nivel de aplicaţie – aplicaţiile antivirus, aplicaţii de tip firewall şi aplicaţii de tip IDS. Software-ul de tip antimalaware(antivirus, anti-spyware).

Scurt istoric: Majoritatea sunt de părere că primul software de tip antivirus este atribuit lui Bernt Fix în 1987, aceasta fiind prima neutralizare a unui virus informatic(nume de cod Viena), cel puţin prima documentată şi publicată. Începând cu anul 1988 încep să apara primele companii care să produca software dedicat (Dr. Solomon’s Anti-Virus ToolKit, AIDSTEST, AntiVir) urmat în 1990 de aproximativ 19 programe antivirus distincte, printre care apar şi Norton AntiVirus (achiziţionat de Symantec în 1992) şi McAfee VirusScan.

Dacă înainte de răspândirea Internetului majoritatea infectărilor se făceau folosind disketele, odată cu evoluţia interconectării între computere au început adevăratele probleme. Autorii de viruşi au reuşit să-şi diversifice modalităţile de răspândire folosind aplicaţii uzuale cum sunt editoarele de texte (macrourile scrise în diferite limbaje de programare puteau fi rulate prin simpla deschidere cu aplicaţia corespunzătoare), programe de e-mail (Microsoft Outlook Express, Outlook, etc), programe de tip chat (Yahoo messenger, MSN messenger), etc.

Odată cu răspândirea pe scară largă a conexiunilor de tip broad-band, viruşii au început să se înmulţească şi să se răspândească foarte rapid, astfel aplicaţiile de tip antivirus fiind nevoite să-şi actualizeze dicţionarele odată la fiecare 5-10 minute. Cu toate acestea un virus nou, poate să se răspândească cu o aşa viteză încât pâna la momentul depistării şi găsirii modalităţii de neutralizare este posibil să infecteze foarte multe calculatoare (de ordinul sutelor de mii sau chiar milioanelor), aici intervenind şi faptul că nu toti utilizatorii îşi actualizează cât de des cu putinţă software-ul antivirus.

Ca metode de identificare a viruşilor deosebim: a) identificarea bazată pe semnatură (signature based) este cea mai comună

variantă. Pentru identificarea viruşilor cunoscuţi fiecare fişier este scanat ca şi conţinut (întreg şi pe bucăţi) în căutarea informaţiilor păstrate într-un aşa-numit dicţionar de semnături;

b) identificarea bazată pe comportament (malicious activity), în acest caz aplicaţia antivirus monitorizează întregul sistem pentru depistarea de programe suspecte în comportament. Dacă este detectată o comportare suspectă, programul respectiv este investigat suplimentar, folosindu-se de alte metode (semnături, heuristic, analiză de fişier, etc.). Este de menţionat că aceasta metodă poate detecta viruşi noi;

25

c) metoda heuristică (heurisitc-based) este folosită pentru detectarea viruşilor noi şi poate fi efectuată folosind două variante(independent sau cumulat): analiza de fişier şi emulare de fişier. Astfel analiză bazată pe analiza fişierului implică cautarea în cadrul acelui fişier de instrucţiuni „uzuale” folosite de viruşi. Ex. Dacă un fişier are instrucţiuni pentru formatarea discului, acesta este investigat suplimentar. O problemă a acestei variante este necesitatea unor resurse foarte mari pentru analiza fiecărui fişier, rezultând în încetiniri evidente ale sistemului. Cea de-a doua metodă este cea de emulare în care se rulează fişierul respectiv într-un mediu virtual şi jurnalizarea acţiunilor pe care le face. În funcţie de aceste jurnale, aplicaţia poate determina dacă este infectat sau nu acel fişier.

d) un mod relativ nou se bazează pe conceptul de semnături generice – ceea ce s-ar traduce în posibilitatea de a neutraliza un virus folosindu-se de o semnătură comună. Majoritatea viruşilor din ziua de astazi sunt aşa-numiţii – viruşi de mutaţie – ceea ce înseamnă că în decursul răspândirii sale el îşi schimbă acea semnătură de mai multe ori. Aceste semnături generice conţin informaţiile obţiunte de la un virus şi în unele locuri se introduc aşa-numitele wildcard-uri – caractere speciale care pot lipsi sau pot fi distincte – aplicaţia software căutând în acest caz informaţii non-continue.

Observaţii: Este de reţinut că navigând la întamplare se pot găsi o multitudine de aplicaţii care să „pozeze” în aplicaţii de tip antivirus, antispyware sau antimalaware – dar de fapt să fie ele însele viruşi deghizaţi în aplicaţii legitime.

La fel de reţinut este faptul că, cu cât este mai mare dicţionarul de semnături cu atât aplicaţia antivuris devine mai dependentă de resurse(procesor, memorie, timp).

Nu este indicat să se folosească mai multe aplicaţii antivirus instalate, de multe ori acestea intrând în conflict, dar mai important, îngreunându-şi una alteia sarcina.

Aplicaţiile de tip Firewall

O aplicaţie de tip firewall, lucrează îndeaproape cu un program de routare, examinează fiecare pachet de date din reţea (fie cea locală sau cea exterioară) ce va trece prin serverul gateway pentru a determina dacă va fi trimis mai departe spre destinaţie. Un firewall include de asemenea, sau lucrează împreună, cu un server proxy care face cereri de pachete în numele staţiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecţie sunt instalate pe calculatoare ce îndeplinesc numai această funcţie şi sunt instalate în faţa routerelor.

Soluţiile firewall se împart în două mari categorii: prima este reprezentată de soluţiile profesionale hardware sau software dedicate protecţiei întregului trafic dintre reţeaua unei întreprinderi (folosită la nivel de instituţii ex. universităţi, sit-uri Web, etc.) şi Internet; iar cea de a doua categorie este reprezentată de firewall-urile personale dedicate monitorizării traficului pe calculatorul personal. Utilizând o aplicaţie din ce-a de a doua categorie veţi putea preântâmpina atacurile utilizatorilor care încearcă să acceseze sistemul.

26

Ca un caz demn de semnalat – cel al setarii securităţii sistemului informatic la nivel personal se idică ca în situaţia în care dispuneţi pe calculatorul de acasă de o conexiune la Internet, existenţa unui firewall personal vă va oferi un plus de siguranţă transmisiilor de date. Cum astăzi majoritatea utilizatorilor tind să schimbe clasica conexiune dial-up cu modalităţi de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuşite asupra sistemului dumneavoastră creşte. Astfel, mărirea lărgimii de bandă a conexiunii la Internet facilitează posibilitatea de infectare.

Concluzionând, putem spune că un firewall este folosit pentru două scopuri majore: a) pentru a păstra în afara reţelei utilizatorii rău intenţionati; b) pentru a păstra utilizatorii locali (angajaţii, clienţii) în deplină securitate în

reţea.


Politica firewall-ului se poate alege urmând câţiva paşi simpli: • se alege ce servicii va deservi firewall-ul; • se desemnează grupuri de utilizatori care vor fi protejaţi; • se defineşte ce fel de protecţie are nevoie fiecare grup de utilizatori; • pentru serviciul fiecărui grup se descrie modul cum acesta va fi protejat; • se defineşte o regulă generică prin care oricare altă formă de acces este

respinsă.

Politica este foarte posibil să devenă tot mai complicată odată cu trecerea timpului, de aceea este bine să se documenteze toate modificările făcute de-a lungul utilizării ei.

Pentru a înţelege mai bine menirea unui firewall să precizăm ce poate şi ce nu poate să facă. O aplicaţie firewall poate:

a) să monitorizeze căile de pătrundere în reţeaua privată, permiţând în felul acesta o mai bună monitorizare a traficului şi deci o mai uşoară detectare a încercărilor de infiltrare;

b) să blocheze la un moment dat traficul în şi dinspre Internet; c) să selecteze accesul în spaţiul privat pe baza informaţiilor conţinute în

pachete; d) să permită sau să interzică accesul la reţeaua publică, de pe anumite staţii

specificate; e) şi nu în cele din urmă, poate izola spaţiul privat de cel public şi realiza

interfaţa între cele două.

De asemeni, o aplicaţie firewall nu poate: a) să interzică importul/exportul de informaţii dăunătoare vehiculate ca urmare a

acţiunii răutăcioase a unor utilizatori aparţinând spaţiului privat (ex: căsuţa poştală şi ataşamentele);

b) să interzică scurgerea de informaţii de pe alte căi care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);

27

c) să apere reţeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în reţea (USB Stick, dischetă, CD, etc.)

d) să prevină manifestarea erorilor de proiectare ale aplicaţiilor ce realizează diverse servicii, precum şi punctele slabe ce decurg din exploatarea acestor greşeli. Firewall-urile se pot clasifica în funcţie de modul de operare în următoarele categorii :

a) firewall filtru de pachete: în funcţie de protocolul de comunicare utilizat, de adresa IP şi de portul-sursă sau destinaţie, se stabilesc reguli care să permita sau să nu permită trecerea unui pachet de date;

b) firewall server proxy: se utilizează urmatoarele două modele: Circuit Level Gateway (face o filtrare sumară a pachetelor) şi Application Level Gateway (ţine cont de aplicaţiile care schimbă pachete);

c) firewall bazat pe controlul stării conexiunii şi pe istoricul acesteia (dacă o conexiune a fost considerată la un moment dat sigură, se verifică dacă starea actuală a conexiunii este în concordanţă cu cea anterioară).

Un firewall eficient trebuie să includă şi un sistem de detectare a posibilelor atacuri (IDS – Intrusion Detection System), eventual chiar forma avansată: sisteme de prevenire a atacurilor (IPS – Intrusion Prevension System).



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre nivele minime de

securitate. Este indicat de făcut un studiu sub protecţia anonimatului prin care să

se evidenţieze în ce formă sunt satisfacute aceste cerinte minime de către elevii care au calculatoare personale.

• Se va insista ca fiecare elev să înţeleagă necesitatea respectării nivelurilor minime de securitate.

EVALUARE


28

Tema 2: Dezvoltarea unei politici de securitate în reţea

Fişa suport 2.1 Prezentarea soluţiilor de protecţie

Acest material vizează competenţa/rezultat al învăţării: „Identifică fundamentele şi principiile securităţii” şi „Instalează şi configurează sisteme de securitate”

Importanţa aspectelor de securitate în retelele de calculatoare a crescut odată cu extinderea prelucrărilor electronice de date şi a transmiterii acestora prin intermediul reţelelor. În cazul operării asupra unor informatii confidenţiale, este important ca avantajele de partajare şi comunicare aduse de reţelele de calculatoare să fie susţinute de facilităţi de securitate substanţiale. Acest aspect este esenţial în condiţiile în care retelele de calculatoare au ajuns să fie folosite inclusiv pentru realizarea de operaţiuni bancare, cumpărături sau plata unor taxe.

În urma implementării unor mecanisme de securitate într-o reţea de calculatoare, informaţiile nu vor putea fi accesate sau interceptate de persoane neautorizate (curioase sau, eventual, chiar rău intenţionate) şi se va împiedica falsificarea informaţiilor transmise sau utilizarea clandestină a anumitor servicii destinate unor categorii specifice de utilizatori ai reţelelor.

Persoanele care atentează la securitatea reţelelor pot aparţine unor categorii diverse, comiţând delicte mai mult sau mai putin grave: sunt cunoscute cazurile de studenţi care se amuză încercând să fure poşta electronică a celorlalţi, "hacker"-i care testează securitatea sistemelor sau urmăresc să obţină în mod clandestin anumite informaţii, angajaţi care pretind că au atribuţii mai largi decât în realitate, accesând servicii care în mod normal le-ar fi interzise, sau foşti angajaşi care urmăresc să distrugă informaţii ca o formă de răzbunare, oameni de afaceri care încearcă să descopere strategiile adversarilor, persoane care realizează fraude financiare (furtul numerelor de identificare a cărţilor de credit, transferuri bancare ilegale etc.), spioni militari sau industriali care încearcă să descopere secretele/strategiile adversarilor, sau chiar terorişti care fură secrete strategice.

În condiţiile în care pot exista interese atât de numeroase de "spargere" a unei reţele, este evident că proiectanţii resurselor hard şi soft ale acesteia trebuie să ia măsuri de protectie serioase împotriva unor tentative rău intenţionate. Metode de protecţie care pot stopa utilizatorii nedoriţi se pot dovedi inutile sau cu un impact foarte redus asupra unor adversari redutabili - dedicati şi cu posibilităti materiale considerabile cum spuneam şi mai devreme în fişa 1.1.

Problemele de asigurare a securităţii reţelelor pot fi grupate în următoarele domenii interdependente:

• confidenţialiatea se referă la asigurarea accesului la informaţie doar pentru utilizatorii autorizaţi şi împiedicarea accesului pentru persoanele neautorizate;

29

• integritatea se referă la asigurarea consistenţei informaţiilor (în cazul transmiterii unui mesaj prin reţea, integritatea se referă la protecţia împotriva unor tentative de falsificare a mesajului);

• autentificarea asigură determinarea identităţii persoanei cu care se comunică (aspect foarte important în cazul schimbului de informaţii confidenţiale sau al unor mesaje în care identitatea transmiţătorului este esenţială);

• ne-repudierea se referă la asumarea responsabilităţii unor mesaje sau comenzi, la autenticitatea lor. Acest aspect este foarte important în cazul contractelor realizate între firme prin intermediul mesajelor electronice: de exemplu, un contract / comandă cu o valoare foarte mare nu trebuie să poată fi ulterior repudiat(ă) de una din părţi (s-ar putea susţine, în mod fraudulos, că înţelegerea iniţială se referea la o sumă mult mai mică).

Aspectele de securitate enumerate anterior se regăsesc, într-o oarecare măsură, şi în sistemele tradiţionale de comunicaţii: de exemplu, poşta trebuie să asigure integritatea şi confidenţialitatea scrisorilor pe care le transportă. În cele mai multe situatii, se cere un document original şi nu o fotocopie. Acest lucru este evident în serviciile bancare. În mesajele electronice însă, distincţia dintre un original şi o copie nu este deloc evidentă.

Procedeele de autentificare sunt foarte răspândite şi ele: recunoaşterea feţelor, vocilor a scrisului sau a semnăturilor unor persoane pot fi încadrate în această categorie. Semnăturile şi sigiliile sunt metode de autentificare folosite extrem de frecvent. Falsurile pot fi detectate de către experţi în grafologie prin analiza scrisului şi chiar a hârtiei folosite. Evident, aceste metode nu sunt disponibile electronic şi trebuie găsite alte soluţii valabile.

Dintr-un punct de vedere mai pragmatic, implementarea unor mecanisme de securitate în reţelele de calculatoare de arie largă, în particular – Internet-ul, priveşte rezolvarea următoarelpr aspecte:

1. Bombardarea cu mesaje – aşa numitul spam – trimiterea de mesaje nedorite, de obicei cu un conţinut comercial. Acest fenomen este neplăcut în cazul unui număr mare de mesaje publicitare nedorite şi poate avea efecte mai grave în cazul invadării intenţionate cu mesaje ("flood"), uzual cu un continut nesemnificativ. Programele de e-mail pot încorpora facilităţi de blocare a mesajelor de tip "spam" prin descrierea de către utilizator a unor acţiuni specifice de aplicat asupra mesajelor, în funcţie de anumite cuvinte cheie sau de adresele (listele de adrese) de provenienţă.

2. Rularea unui cod (program) dăunător, adesea de tip virus - acesta poate fi un program Java sau ActiveX, respectiv un script JavaScript, VBScript etc.. Asemenea programe sunt în general blocate de navigatoarele moderne dar au ajuns să se răspândească ca fişiere ataşate mesajelor de e-mail, un caz renumit în acest sens fiind cel al virusului "Love Letter" (care deteriorează fişiere de tip sunet şi imagine) şi mutanţilor lui, mai destructivi decât prima versiune. Cea mai mare parte a programelor de navigare permit utilizarea unor filtre specifice pe baza cărora să se decidă dacă un anumit program va fi rulat sau nu, şi cu ce restricţii de securitate (decizia se realizează în general pe baza "încrederii" indicate în mod explicit de utilizător).

30

3. Infectarea cu viruşi specifici anumitor aplicaţii - se previne prin instalarea unor programe antivirus care detectează viruşii, devirusează fisierele infectate şi pot bloca accesul la fişierele care nu pot fi "dezinfectate". În acest sens, este importantă devirusarea fişierelor transferate de pe reţea sau ataşate mesajelor de e-mail, mai ales dacă conţin cod sursă sau executabil, înainte de a le deschide sau executa.

4. Accesarea prin reţea a calculatorului unui anumit utilizator şi "atacul" asupra acestuia. La nivelul protocoalelor de reţea, protejarea accesului la un calculator sau la o reţea de calculatoare se realizează prin mecanisme de tip firewall, prin comenzi specifice. Acestea pot fi utilizate şi în sens invers, pentru a bloca accesul unui calculator sau a unei reţele de calculatoare la anumite facilităţi din Internet.

5. Interceptarea datelor în tranzit şi eventual modificarea acestora – snooping. Datele se consideră interceptate atunci când altcineva decât destinatarul lor le primeşte.

6. În Internet, datele se transmit dintr-un router în altul fără a fi (uzual) protejate. Routerele pot fi programate pentru a intercepta, eventual chiar modifica datele în tranzit. Realizarea unei astfel de operatii este destul de dificilă, necesitând cunostinte speciale de programare în reţele şi Internet, dar există numeroase programe (de tip “hacker”) care pot fi utilizate în aceste scopuri, ceea ce conduc la creşterea riscului de interceptare a datelor. Transmisia protejată a datelor trebuie să garanteze faptul că doar destinatarul primeşte şi citeşte datele trimise şi că acestea nu au fost modificate pe parcurs (datele primite sunt identice cu cele trimise). Modificarea datelor s-ar putea realiza în mod intentionat, de către o persoană care atentează la securitatea reţelei sau printr-o transmisie defectuoasă.

7. Expedierea de mesaje cu o identitate falsă, expeditorul impersonând pe altcineva (pretinde că mesajul a fost trimis de la o altă adresă de postă electronică) – spoofing. Această problemă se revolvă prin implementarea unor mecanisme de autentificare a expeditorului.

Se poate remarca faptul că problemele ridicate la punctele 3 şi 4 sunt riscuri generice, specifice pentru utilizatorii care fac schimb de fişiere şi respectiv pentru toţi cei care sunt conectaţi la o reţea de calculatoare – locală sau de arie largă. Problemele de interceptare şi autentificare, cele mai importante din punctul de vedere al utilizztorilor obisnuiţi, sunt rezolvate prin aplicarea unor tehnici de codificare.

Pentru asigurarea securităţii reţelei este importantă implementarea unor mecanisme specifice pornind de la nivelul fizic (protectia fizică a liniilor de transmisie), continuând cu proceduri de blocare a accesului la nivelul reţelei (firewall), până la aplicarea unor tehnici de codificare a datelor (criptare), metodă specifică pentru protecţia comunicării între procesele de tip aplicaţie care rulează pe diverse calculatoare din reţea.

Împiedicarea interceptării fizice este în general costisitoare şi dificilă; ea se poate realiza mai facil pentru anumite tipuri de medii (de exemplu, detectarea interceptărilor pe fibre optice este mai simplă decât pentru cablurile cu fire de cupru). De aceea, se preferă implementarea unor mecanisme de asigurare a securităţii la nivel logic, prin tehnici de codificare/criptare a datelor transmise care urmăresc transformarea

31

mesajelor astfel încât să fie întelese numai de destinatar; aceste tehnici devin mijlocul principal de protecţie a reţelelor.

Nu trebuie uitată totuşi şi problema numelor de utilizatori şi a parolelor folosite. Autentificarea la un sistem informatic se face în general pe baza unui nume şi a unei parole. Parola este un cuvant (şir de caractere) secret prin care un utilizator face dovada identităţii sale. Deşi implicaţiile stabilirii unei parole greu de ghicit sunt evidente, mulţi utilizatori acordă o mică importanţă acesteia dând prilej unor terţe persoane, de obicei rău voitoare, să afle aceste parole.

Necesitatea reţinerii unui număr mare de parole pune probleme multor utilizatori, de aceea preferându-se stabilirea unor parole simple, a unei parole unice (folosită la mai multe conturi), notarea lor în locuri uşor accesibile (şi vizibile!) etc.

O parolă complexă este un şir de caractere compus din litere minuscule, majuscule, cifre şi simboluri (@#&%*…). Complexitatea parolei este dată şi de numărul de caractere ce o compun, o parolă din minim opt caractere fiind considerată bună. De reţinut că timpul necesar pentru aflarea unei parole creşte odată cu numărul de caractere din care este compusă.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre soluţii de protecţie.

EVALUARE


32

Fişa suport 2.2 Soluţii de securitate hardware şi software

Acest material vizează competenţa/rezultat al învăţării: „Instalează şi configurează sisteme de securitate”

Conceptul de securitate hardware se referă la posibilităţile de a preveni furtul, vandalismul şi pierderea datelor. Se identifică patru mari concepte:

a) securizarea accesului – posibilitatea de a restricţiona şi urmări accesul la reţea (posibilităţile de a îngrădi clădirile şi de a securiza punctele de acces în cadrul unităţii)

b) securizarea infrastructurii – protejarea caburilor, echipamentelor de telecomunicaţii şi dispozitivelor de reţea – gruparea pe cât posibil în locaţii puternic securizate a tututor echipamentelor de comunicaţie, camere de supravegheat – cu conectare wireless pentru zone greu accesibile – firewall-uri la nivel hardware, posibilitatea de a monitoriza modificarea cablării şi a echipamentelor intermediare de comunicaţie – ex. monitorizarea switch-urilor, routerelor etc.;

c) securizarea accesului la calculatoare – folosind lacăte pentru cabluri – mai ales pentru laptopuri – carcase ce se pot închide, eventual cutii securizate ce conţin unităţile centrale ale desktop-urilor;

d) securizarea datelor – în special pentru prevenirea accesului la sursele de date – ca de ex. Hard disk-urile externe vor trebui ţinute în carcase prevăzute cu lacăte, precum şi dispozitive de siguranţă pentru stick-uri USB. O atenţie foarte mare trebuie ofrită soluţiilor de back-up folosite, suporturile acestor date trebuiesc să fie stocate şi transportate în locaţii şi în condiţii foarte sigure(stricte). Întrucât implementarea unei soluţii de securitate foarte puternice este o procedură foarte dificilă ce implică de multe ori costuri foarte mari, cât şi personal calificat şi foarte disciplinat.

Cum s-a menţionat şi în fişa 1.3 se încearcă să se găsească un compromis între nivelul de securizare dorit şi implicaţiile implementării acestor restricţii.

O dezvoltare a ideii de securizare hardware o reprezintă aşa-numitele elemente de monitorizare harware a reţelelor. Aceste soluţii sunt echipamente special concepute a întreţine reţele întregi de calculatoare şi vin să inlocuiască echipamentele uzuale.

De multe ori aceste echipamente conţin un întreg ansamblu de soluţii – firewall, antivirus, criptări, IDS (Intrusion Detection System), VPN (virtial private network), trafic snaping. Aceste soluţii se bazează pe cipuri ASIC (Application-Specific Integrated Circuit) care sunt circuite integrate personalizate să efectuieze o anumită sarcină (se elimină cazurile generale, implementându-se algoritmi speciali, specializaţi şi optimizaţi). Versiuni similare sunt aşa numitele SoC (System on a Cip) care conţin şi alte blocuri funcţionale (procesare pe 32 de biţi, memorie ROM, RAM, EEPROM, Flash).

33

Aceste echipamente totuşi au preţuri foarte mari, prohibitive pentru companiile mici şi mijlocii, ele folosindu-se în special în cadrul marilor companii multi-naţionale.

Menirea unei soluţii de securitate software este de a înlocui şi eventual de a îmbunătăţi soluţia de tip hardware(decizie luată în special din cauza pretului dispozitivelor harware specializate). Astfel şi soluţiile software se pot organiza într-un mod asemănător cu cel prezentat în fişa 2.2, cu precizările următoare:

a) la nivelul „accesului” se pot folosi sistemele de monitorizare folosindu-se de coduri de acces, camere de supraveghere cu detecţia mişcării

b) la nivel de „infrastructură” firewall-uri software, sisteme de monitorizare ale reţelei în vederea detectării de modificări la nivel de cablări, schimbări de configurare, declanşări de alarme, etc.;

c) la nivel de „date” – posibilităţi de backup automate, pastrate în diferite locaţii, programe de criptare, etc;

d) la nivelul „calculatoarelor” - IDS (Intrusion Detection Systems) – care pot monitoriza modificările din cadrul codului programelor şi sesizează activitatea „neobişnuită” a reţelei, folosirea de aplicaţii de detectare a elementelor de tip malaware (virusi, spyware, adware, grayware);

Din alt punct de vedere este foarte important de evidenţiat faptul că aceste soluţii de securitate se mai clasifică şi în funcţie de importanţa lor, astfel, deosebim:

a) aplicaţii de tip firewall – pentru filtrarea datelor din cadrul unei reţele; b) aplicaţii pentru detectarea codurilor dăunătoare: aplicaţii antivirus, aplicaţii

anti-spamware, anti-adware, anti-grayware la nivel de reţea; c) obligativitatea actualizării de patch-uri pentru sistemele de operare şi aplicaţii

instalate pentru a minimiza posibilităţile de infectare folosind breşele de securitate nou apărute.

Toate aceste aplicaţii sunt absolut necesare în orice reţea care este conectată la Internet. Pentru orice companie este forate important ca pe lângă setările de securitate pe calculatoarele utilizatorilor să aibă soluţii de protecţie şi la nivelul reţelei. Întrucât soluţiile de securitate care se pot seta la nivel de desktop (sau laptop) sunt relativ limitate – în special prin prisma puterii de procesare şi de disciplina şi cunosţintele utilizatorilor – rămâne să se instaleze şi configureze soluţii dedicate de securitate la nivel de reţea, soluţii de care să se folosească toţi utilizatorii din cadrul ei.

Conform unui studiu al companiei Blue Coat1

1 Solution Brief: Top Five Security Best Practices for you Web Gateway în 2009, din 06.05.2009, link

care prezintă primele 5 cele mai bune practici de securitate pentru conectarea la internet, se disting direcţiile de urmat în următoarea perioadă (luni, ani) şi anume:

http://networking.ittoolbox.com/research/top-five-security-best-practices-for-your-web-gateway-în-2009-19108

http://networking.ittoolbox.com/research/top-five-security-best-practices-for-your-web-gateway-in-2009-19108�

34

1. Alăturarea la o comunitate de supraveghere(community watch). Multitudinea de ameninţări venite şi de la site-uri populare şi de incredere a condus la schimbarea regulilor de apărare împotriva lor. Astfel, din ce în ce mai multi utilizatori, se unesc în comunităţi de supraveghere păstrate în aşa numitele „cloud services” – reţele între care există relaţii bine-stabilite, de încredere şi dependenţă, bazându-se pe concepte de procesare în reţea(folosindu-se astfel de puterea de procesare oferită de fiecare caclulator din cadrul ei) – pentru a se proteja unii pe alţii. Când o persoană detectează o ameninţare, aceasta este percepută de fiecare utilizator din cadrul norului (cloud) astfel ajungând să se apere fiecare utilizător. Aceste comunităţi sunt un pas foarte important în asigurarea securităţii deoarece conferă avantaje foarte puternice comparativ cu alte soluţii singulare, deoarece are la dispoziţie mai multe resurse şi soluţii defensive.

2. Schimbarea mentaltăţii defensive „one against the Web” (singur impotriva Internetului). Soluţiile personale de protejare împotriva împotriva atacurilor criminale care vizează furtul de date, de orice natură, devin foarte repede „învechite” întrucăt aceste atacuri devin din ce în ce mai complexe şi mai sofisticate tehnologic. Soluţiile personale nu se pot compara cu avantajele unei comunităţi întregi care detectează şi expun aceste atacuri venite că ameninţări din Internet, de pe diferite site-uri. Sistemele de protecţie bazate pe semnături actualizate zilnic sunt forme de protecţie depăşite. Nu se compară aceste soluţii cu ceea ce poate oferi soluţiile cu design hibrid folosite de comunităţile de supraveghere, care se bazează pe servicii de protecţie ce se actualizează odată la 5 minute, beneficiind de serviciile defensive a peste 50 de milioane de utilizatori.

3. Schimbarea politicilor bazate pe „producţie” în politici bazate pe „protecţie”. Dacă soluţia existentă la momentul actual este mai veche de 1 an, atunci această soluţie este bazată pe „producţie” – adică la momentul instalării s-a luat în calcul mărirea productivităţii utilizatorilor prin blocarea de site-uri cu conţinut obscen şi neproductiv(ex. jocuri online). Cum s-a ajuns că peste 90% din conţinutul malaware să vină de la site-uri populare şi „de încredere”, Internetul-ca un tot unitar- a ajuns să fie principalul „furnizor” de acest conţinut. Sunt foarte multe site-uri populare care ajuns să fie infectate astfel ajungând să indice în mod direct surse de descărcare de conţinut malaware. Pentru protejare de atacuri venite din Internet este necesar să se blocheze toate formele de download venite din partea unor site-uri necunoscute sau cu reputaţii ştirbe, blocând astfel o întreagă cale de acces al ameninţarilor de tip malaware în reaţeaua locală.

4. Folosirea de servicii Web real-time (în timp real) de evaluare. Conţinutul Web cuprinde o multitudine de metode de filtrare de adrese URL care actualizează zilnic listele URL statice conţinute de fiecare site. Dar, nici o astfel de listă nu poate oferi o evaluare pentru întregul Internet şi nici măcar nu poate ţine pasul cu modificările frecvente care apar în Internet, sau adăugările de conţinut nou. Serviciile Web care oferă posibilitatea de a evalua site-urile devin unelte foarte puternice şi necesare pentru a suplimenta valoare de protecţie oferită de soluţiile de filtrare de URL. Dealtfel aceste servicii oferă un real ajutor şi utilizatorilor finali, oferind informaţii în timp real cu privire la conţinutul paginilor vizitate, utilizatorii bucurându-se de navigări relativ sigure folosind politici de securitate acceptabile.

5. Protejarea utilizatorilor ce se conecteaza de la distanţă. Posibilitatea de a lucra la distanţă a devenit o foarte importantă unealtă de lucru pentru majoritatea utilizatorilor. A apărut astfel necesitatea de a securiza acesta formă de acces şi mai mult de a concepe reţele care să extindă şi să includă aceşti utilizatori. Adăugarea unui

35

agent te tip client, legat la o comunitate de supraveghere poate proteja mai bine utilizatorii la distanţă. Centralizarea politicilor de management poate oferi protecţia necesară oferită de filtrarea de conţinut şi blocarea de malware de pe sitr-urile detectate de o întreaga reţea defenisivă a unei comunităti de supraveghere.

Producătorii de hardware au venit cu soluţia simplă de a oferi un nivel de securitate crescut folosind funcţii bazate pe parole (maxim 8 caractere) pentru accesul la resursele unui calculator, această formă de acces fiind o formă des întălnită, şi la îndemâna oricui. Este aşa-numita „parolare din BIOS”.

Sunt câteva aspecte care conferă acestei forme de securizare anumite avantaje şi dezavantaje:

- este la îndemâna oricui (se regăseşte în orice laptop sau desktop); - oferă un grad suplimentar de securitate sistemului, reţelei, etc.; - se poate securiza doar setările BIOS sau şi partea de bootare (prin parolarea

doar a BIOS-ului se pot dezactiva de ex. alte surse pentru bootare); - are un număr de 3 încercări pentru a introduce parola validă (privit dintr-un

anumit punct de vedere este un avantaj, dar poate fi şi un dezavantaj); - nu se pot securiza datele de pe HDD (cu excepţia unor cazuri speciale – ex.

seria IBM ThinkPad), acestea fiind accesibile prin montarea în altă unitate; - odată blocat sistemul (s-a depaşit nr de încercări pentru introducerea parolei)

sistemul este blocat şi este necesară intervenţia specializată (posibile soluţii pentru utilizatorul obişnuit: resetarea BIOS-ului prin acţionarea unui buton, setarea unui jumper sau scoaterea bateriei CMOS);

- pentru anumite tipuri de BIOS sunt deja cunoscute unele parole „backdoor” care pot oferi acces pe sistem, făcând această formă de securizare inutilă;

36



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre soluţii de protecţie. Se va propune elevilor să încerce să identifice avantajele folosirii de

astfel de soluţii, fişe de lucru pentru prezentarea unor soluţii existente pe piaţă.

EVALUARE


37

Tema 3: Ameninţări de securitate a reţelelor

Fişa suport 3.1 Surse de atac

Acest material vizează competenţa/rezultat al învăţării: „Identifică fundamentele şi principiile securităţii” şi „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare”

Orice reţea conectată în Internet are un potenţial ridicat de vulnerabilitate în faţa unor atacuri sau acţiuni cu efecte distructive pentru resursele informatice din acea reţea.

Pentru companii a avea facilitatăţi de producţie, birouri şi clienţi răspândiţi geografic pe arii mari înseamnă a rezolva nevoia de a conecta în reţea toţi aceşti utilizatori prin mĳloace rapide, sigure şi de încredere. Securizarea reţelelor informatice a devenit importantă pe măsură ce reţelele informatice au evoluat iar unii utilizatori au nevoie de metode de acces sigure în aceste reţele din locaţii distante.

Numărul de incidente raportate pe tema securităţii în reţele informatice urmează un trend crescător, un nivel îngrĳorător atingând atacurile venite din domeniu public (Internet). Printre cele mai utilizate mĳloace de a produce daune atunci când este vizată o reţea sunt atacuri de tip DoS -Denial of Service (o reţea este “inundată” cu un flux de date generate de atacator pentru a împiedica traficul legitim de date să ajungă la destinaţie în acea reţea), atacuri prin e-mail sau accesul neautorizat pe anumite servere ce conţin date confi denţiale sau aplicaţii de tip critic pentru activitatea unei companii.

SANS Institute a relevat printr-un studiu efectutat în 2002 pe un număr de 400 companii din 30 de ţări, că într-o săptămână s-au înregistrat o medie de 32 de atacuri. Şi asta era în 2002, de atunci aceste atacuri au luat o amploare încredibilă.

Atacurile îşi au originea nu numai din exteriorul reţelei, dar şi din interior de vreme ce parteneri de afaceri sau angajaţi ai companiei se pot conecta în reţea de la distanţă şi tot mai multe aplicaţii se bazează pe tehnologii de tip wireless pentru acces în reţea. Mobilitatea şi accesul la distanţă sunt la fel de necesare în modul nostru de lucru la fel însă şi confidenţialitatea informaţiilor, intimitatea personală şi stabilitatea în reţea ca mediu de lucru utilizat la schimbul de informaţii în timpul activităţii.

V-aţi întrebat vreodată care sunt motivaţiile unui individ care îşi zice hacker de a face ceea ce face? Aceste motivaţii sunt diverse, dar pot fi încadrate în categorii mai generale. Aşadar deosebim:

a) distracţie, „for fun”, prostie(script-kid): sunt cei care fac “prostii” pe net doar ca să se distreze sau să dovedească lor sau altora că sunt posesorii unor skill-uri mai speciale;

38

b) bani(well know hackers), un nivel superior, mult mai profesional de multe ori: sunt cei care fac bani din această “meserie”. Aici sunt incluse şi activităţile de spionaj industrial sau corporatist;

c) răzbunare: clienţi nemulţumiţi, foşti angajaţi, competitori sau oameni care au ceva împotriva cuiva dintr-o companie.

Ca surse de atac se disting două mari categorii:

- atacuri din interiorul reţelei; - atacuri din exteriorul reţelei.

Atacul din interiorul reţelei este forma cea mai devastatoare întrucât utilitatorul are acces la o multitudine de resurse şi deoarece politicile de securitate interne nu sunt atât de bine implementate, sau cel puţin nu sunt definite atât de strict din pricina diversităţii necesare unor utilizatori în a accesa informaţiile răspândite prin cadrul organizaţiei. Mai mult ca regulă generală toţi utilizatori interni intră în categoria utilizatorilor „trusted” – de încredere.

Acesta este şi motivul pentru care, în urma unor informaţii detaliate din cadrul unor rapoarte de securitate s-a observat că riscurile cele mai mari vin de la proprii angajaţi.

Un atac din interior poate fi neintenţionat sau deliberat. În categoria atacurilor neintenţionate întră posibilitatea de a „citi” parola de acces a unei alte persoane, sau divulgarea unor parole, sau prin infectarea calculatorului la care lucrează, expunând întreaga companie la riscul de a se infecta cu un virus.

Cea de-a doua formă de atac este de departe cea mai periculoasă, pentru că de multe ori aceste persoane deţin cunoştinţe avansate şi pot eventual să-şi ascundă şi urmele operaţiilor efectuate. Din păcate nu există o formă sigură de protecţie pentru aceste forme de atac, singura care poate oferi informaţii cu privire la astfel de atacuri fiind auditarea accesului – dar aceasta poate face şi mai mult rău prin prisma stresării suplimentare a utilizatorilor din cadrul organizaţiei.

Pentru a se putea înţelege mai bine atacurile din exterior să facem o comparaţie cu o bancă. Astfel primul pas făcut în direcţia implementării unei defensive eficiente este de a “ridica” un FIREWALL ca o barieră în faţa punctului de intrare în reţea. Este ca şi cum am instala o uşă metalică într-o bancă. Un punct de acces prin care tot traficul este monitorizat pe măsură ce intră sau iese din reţea. Orice intrus cu intenţii suspecte trebuie să fie detectat, aşa că al doilea tip de dispozitive de securitate - camerele de supraveghere – vor fi instalate în spatele porţii metalice, cazul băncii.

Pentru o reţea informatică, al doilea nivel de securitate, furnizat din spatele firewall -ului este făcut prin IDS – Intrusion Detection System sau SDI – Sisteme de Detecţie a Intruziunilor. Aceste sisteme detectează atacurile şi declaşează răspunsuri la aceste

39

atacuri şi mai mult, alertează pe diverse căi administratorul de reţea sau alte persoane abilitate.

Câteodată băncile realizează transfer de bani lichizi şi atunci trebuie să se asigure ca în exterior totul va decurge într-un mod sigur. La fel cum băncile folosesc vehicule blindate pentru protecţia transportului de bani lichizi, reţelele informatice utilizează ca mĳloc de transport a datelor în spaţiul public tunele securizate de date sau VPN (Virtual Private Network), în româneşte: RVP Reţele Virtuale Private. Deoarece în aceste tunele există riscul să se intercepteze informaţiile, iar pachetele de date aflate în tunel să fie compromise în timp ce sunt în tranzit, conţinutul pachetelor de date este obligatoriu să fie criptat!

De cele mai multe ori oamenii vor să aibă acces la facilităţile furnizate de banca din alt oraş sau din altă ţară, aşa că o bancă trebuie să se asigure că oamenii care beneficiază de acces de la distanţă au dreptul de a accesa resursele băncii on-line. În mod similar într-o reţea trebuiesc activate sisteme de autentificare care să verifice identitatea persoanei care trimite şi recepţionează informaţia criptată prin tunelul securizat.

Un plan de securitate puternic este unul conceput pe mai multe layere sau straturi, cum am precizat şi în fişa 1.1, adică implică mai multe soluţii de securitate. În funcţie de fiecare organizaţie sau companie soluţiile diferă. Dar per total soluţiile de securizare se împart în două categorii: soluţii hardware şi soluţii software.

Cum spuneam mai sus, este necesară instalarea unui firewall care să pună o barieră între cei din afara reţelei, cei din interiorul ei şi modul în care se accesează ea.

Astfel, un sistem de tip firewall trebuie să ofere informaţii de tipul:

1. filtrarea traficului – sistemul decide ce pachet de date are permisiunea să treacă prin punctul de acces în concordanţă cu setul de reguli aplicate;

2. inspectarea fluxurilor de date, inspectare de tip Statefull (sau filtrarea dinamică a pachetelor) este utilizată pentru a verifica fiecare nou flux de date ce intră în reţea, şi este abilitatea firewall-ului de a memora starea fiecărui flux de date;

3. NAT – Network Address Translation – reprezintă o tehnică utilizată pentru a “ascunde” adresele private în spaţiul public. Tot traficul generat de utilizatorii unei reţele private va apare în spaţiu public ca un trafic generat de un singur utilizator din spaţiul public.

4. application gateways – sunt folosite de aplicaţii precum FTP (File Transfer Protocol) sau RTSP (Real Time Streaming Protocol). Aceste protocoale trimit pachete IP ce conţin adresa fixată a aplicaţiei (socket sau port);

5. proxy servers – asigură modul ca o aplicaţie să fie utilizată conform cu politica de securitate specific setată;

40

6. detectarea intruziunilor – pe baza unor şabloane firewall -ul detectează un spectru de atacuri înregistrându-le, notificând administratorul de reţea şi activând un set de acţiuni menit să minimizeze efectul impactului unui atac;

7. capacităţi de monitorizare şi management al traficului – evenimentele sunt înregistrate, prelucrate şi prezentate în rapoarte către administratorul de reţea;

8. mĳloace de autentificare – listele de acces furnizează o cale efici entă de a aplica un mĳloc de constrângere unui mare grup de utilizatori aflaţi în spaţiul public.

Un prim pas în aflarea unui mod de penetrare în reţea a unui atacator va fi să afle ce porturi (uşi ascunse) sunt deschise. Pentru aceasta el va face o scanare de porturi. O astfel de metodă totuşi poate fi folosită şi de către administratorul unei reţele pentru a se asigura că este protejat corespunzător.

Scanarea de porturi nu dăunează reţelei sau sistemulu, dar asigură hackerului informaţii care pot fi folosite pentru atacuri. Potenţialii atacatori folosesc aceste scanere exact cum un hoţ intră într-o parcare şi ia fiecare maşină la rând, încercând fiecare uşă pentru a le găsi pe cele deschise.

Ca să exemplificăm voi enumera unele dintre cele mai cunoscute şi populare porturi TCP/UDP aşa cum sunt ele documentate în RFC 1700. Asignarea acestor porturi este făcută de către IANA (Internet Assigned Numbers Authority). În general, un serviciu foloseşte acelaşi număr de port UDP cât şi TCP există totuşi şi excepţii. Iniţial porturile erau curpinse în intervalul 0-255, dar mai târziu acest interval s-a extins de la 0 la 1023.

Aşadar urmează o listă cu cele mai cunoscute porturi:

TCP/UDP port 20: FTP(data) TCP/UDP port 21: FTP(control) TCP/UDP port 23: Telnet TCP/UDP port 25: SMTP TCP/UDP port 53: DNS TCP/UDP port 67: BOOTP server TCP/UDP port 68: BOOTP client TCP/UDP port 69: TFTP TCP/UDP port 80: HTTP TCP/UDP port 88: Kerberos TCP/UDP port 110: POP3 TCP/UDP port 119: NNTP TCP/UDP port 137: NetBIOS serviciul de nume TCP/UDP port 138: NetBIOS datagram TCP/UDP port 139: NetBIOS session TCP/UDP port 194: IRC TCP/UDP port 220: IMAPv3 TCP/UDP port 389: LDAP

41

Porturile din intervalul 1024-64535 sunt denumite registered ports ele fiind folosite de către procese şi aplicaţii. Bineînţeles, asta nu înseamnă că aceste porturi nu sunt ţinte ale atacurilor. De exemplu, portul 1433 folosit de SQL poate reprezenta interes pentru hackeri.

În total avem 65535 porturi TCP (acelaşi număr şi de porturi UDP). Ele sunt folosite de diverse aplicaţii şi servicii. Dacă un port este deschis, el răspunde de fiecare dată când un computer încearcă să-l acceseze prin reţea. Aplicaţiile ce scanează porturi, de tip Nmap, sunt folosite pentru a determina care porturi sunt deschise pe un sistem. Programul trimite pachete pentru o multitudine de protocoale, şi analizând apoi ce răspunsuri primeşte şi ce nu, creează o listă cu porturile ce “ascultă” (listening ports) sau sunt deschise pentru sistemul scanat.

O reţea virtuală privată (VPN) este tehnica prin care realizăm “tunele” în spaţiul public, în Internet, pentru a conecta în mod sigur de exemplu birourile unei companii aflate în mai multe locaţii. Pentru VPN-uri bazate pe protocol IP, traficul din reţea este încapsulat în pachetele IP iar acestea sunt transferate prin tunel. Aceasta încapsulare furnizează calea de separare a reţelelor. Autentificarea furnizează verificarea identităţii, iar criptarea furnizează confidenţialitatea datelor încapsulate.

Protocoale utlizate în crearea de tunele sunt:

MPLS –Multiprotocol Label Switching GRE – Generic Routing Encapsulation PPTP – Point-to-Point Tunnelling Protocol L2TP – Layer 2 Tunnelling Protocol IPSec – Internet Protocol Security

Pentru crearea de VPN-uri, pe scară largă este folosit protocolul IPSec. IPSec asigură separarea reţelelor private de cele publice prin tunelarea pachetelor IP în alte pachete IP asigurând totodată confidenţialitatea şi integritatea datelor. IPSec reprezintă o colecţie de alte protocoale înrudite ce operează la Nivelul Reţea( Nivelul 3 în modelul OSI). Deşi IPSec este folosit de cele mai multe ori ca soluţie completă în creearea de VPN-uri, mai poate fi folosit complementar ca schemă de criptare în cadrul VPN -urilor ce au la bază L2TP sau PPTP.

42



CUM?



EVALUARE


43

Fişa suport 3.2 Tipuri de atacuri informatice

Acest material vizează competenţa/rezultat al învăţării: „Identifică fundamentele şi principiile securităţii” şi „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare”

Când spunem tip de atac ne referim la modul în care un hacker reuşeşte să preia controlul unui sistem şi ce poate el să facă după ce a reuşit penetrarea lui.

Fig. 3.2.1 O clasificare a formelor de atac

Cele mai des întâlnite tipuri de atacuri sunt următoarele:

a) atacuri social engineering; b) atacuri DoS; c) scanări şi spoofing; d) source routing şi alte exploituri de protocoale; e) exploituri de software; f) troieni, viruşi şi worms;

Atacurile de tip social engineering.

44

Spre deosebire de celelalte ripuri de atacuri, aceasta nu implică nici o manipulare tehnologică a harware-ului unui sistem sau a vulnerabilităţii software ale acestuia şi nu necesită skill-uri(cunoştinţe) tehnice foarte dezvoltate. În schimb, social engineering aduce în prim plan omul şi greşelile lui. Atacatorul trebuie doar să posede “people skills”. Ei câştigă încrederea userilor (sau şi mai bine, a adminilor) şi obţin credenţialele cu ajutorul cărora se pot loga pe sisteme. În multe cazuri, această metodă este cea mai uşoară formă de obţinere de acces la un sistem informaţional.

Măsurile de protecţie împotriva acestui tip de atac sunt cel puţin “challenging”. În primul rând deschizi ochii foarte bine atunci când faci angajări. Apoi îţi “educi” personalul IT. Niciodată să nu divulge parole, username-uri sau informaţii legate de sistemele administrate sau reţea. Şi bineînţeles să le explici fenomenul de social engineering. Având în vedere faptul că acest tip de atac are la bază încrederea prea mare în persoanele nepotrivite, naivitatea, frica sau alte “sentimente” de acelaşi gen, principala metodă de apărare este educarea personalului şi nu implementarea de soluţii tehnice.

Atacuri Denial-of-Service (DoS)

Anul 2000, luna februarie. O serie de atacuri DoS au pus la pământ web site-uri că yahoo.com sau buy.com. Vă daţi seama de forţa acestor atacuri, dacă au putut să doboare astfel de “mamuţi”? Atacurile DoS sunt printre cele mai “populare” printre hackeri atunci când este vizată întreruperea serviciilor unei reţele sau ale unui server.

Scopul unui atac DoS este de a genera o cantitate foarte mare de trafic care pune în cap servere, routere sau alte device-uri, astfel ele nemaifiind capabile să funcţioneze normal.

Distributed Denial-of-Service.

Acest tip de atac face cam acelaşi lucru ca şi DoS-ul, numai că se foloseşte pentru atingerea scopului său de către nişte computere intermediare, numite agenţi, pe care rulează nişte aplicaţii (zombies) care au fost instalate pe calculatoare anterior. Hacker-ul activează remote aceste “progrămele” în aşa fel încât toate aceste sisteme intermediare să lanseze atacul DDoS în acelaşi timp. Din cauză că atacul provine de la mai multe calculatoare care pot să fie răspândite prin toată lumea, originea reală a pericolului este foarte greu de găsit. Aşadar DDoS-ul este un pericol dublu. Pe lângă posibilitatea ca reţeaua personală să fie pusă la pământ cu tot cu servere, mai există şi “opţiunea” ca sistemele tale să fie folosite pe post de agenţi intermediari.

Atacul DNS DoS

Acest tip de atac exploatează diferenţele de mărime între DNS querry(interogarea name server-ului) şi DNS response (răspunsul name server-ului). Atacatorul foloseşte serverele de DNS ca şi amplificatoare pentru a mări traficul de DNS. Cum funcţionează chestia asta? Atacatorul işi alege victima şi trimite în numele ei (IP spoofing) DNS

45

querries către diferite servere de DNS. Servere de DNS răspund cu pachete mult mai mari decât cele din querries către ţintă, până când bandwidth-ul acesteia pur şi simplu devine 0. Rezulta un prea frumos atac DoS, adica exact incapacitatea targetului de a mai funcţiona la parametri normali.

Atacul SYN şi LAND

Atacurile de tip SYN (synchronization request) exploatează handshake-ul three-way al protocolului de transport TCP, procesul prin care se stabilişte o sesiune de comunicare între două computere. Deoarece TCP-ul este un protocol de transport connection-oriented, o sesiune sau un link de comunicare one-to-one, trebuie stabilite între cele două sisteme, înainte că ele să poată comunica între ele. Ce este fapt acest handshake

şi ce presupune el? Să zicem că un computer iniţiază comunicarea cu un server. Handshake-ul dintre cele două conţine următorii paşi:

1. Clientul trimite un segment SYN. 2. Serverul trimite înapoi un mesaj ACK şi un SYN, prin care spune clientului că

a primit SYN-ul lui, deasemena trimiţînd şi el la rândul lui SYN-ul propriu.

3. Clientul trimite şi el un ACK prin care îl anunţă pe server că a primit SYN-ul lui.

După ce maşinile au înţeles request-urile reciproce SYN, handshake-ul este complet şi un link one-to-one între cele două este stabilit.

Să zicem că un atacator trimite un SYN înspre un server cu un IP sursă spoofed. Normal că server-ul va trimite înspre client un ACK/SYN. Dar cum IP-ul sursă nu este bun, serverul aşteaptă inutil ACK-ul clientului. El nu va veni. Serverul va pune atunci ACK/SYN-ul trimis către client într-un queue. Acest queue poate stoca un număr limitat de mesaje. Când este full, toate SYN request-urile care vor urma vor fi ignorate. Serverul va ajunge în postura de a ignora orice request venit din partea clienţilor legitimi.

Atacul LAND derivă din cel descris mai sus, cu un mic amendament. În acest caz, atacatorul în loc să trimită SYN-uri cu adrese IP care nu există, trimite pachete SYN cu adresa IP a clientului-target care este victima în acest caz.

Atacul Ping of Death

Mai este cunoscut şi sub numele de large packet ping. Se creează un pachet IP mai mare decât valoarea admisă de specificaţiile protocolului IP, adică 65 536 bytes. Sistemul ţintă este compromis, soluţia fiind un reboot(de multe ori forţat).

Atacul Teardrop

Acest atac are aceleaşi rezultate ca şi cel de sus, dar metoda este alta. Programul teardrop crează fragmente IP care fac parte dintr-un pachet IP. Problema este că

46

aceste fragmente folosesc offset fields (rolul lor este de a indica porţiunea în bytes a acestor fragmente). De exemplu, câmpurile offset din două fragmente normale sunt ceva de genul:


Problema apare atunci când aceste offset-uri se suprapun. Exemplu: fragment1: offset 1 – 200 fragment2: offset 101 - 300

Când computerul ţintă încearcă să reasambleze aceste fragmente în pachetul IP original normal că se generează o problemă(crash, freeze sau reboot).

Flood-ul cu ICMP (ping)

O grămadă de pachete ICMP echo request până când se ocupă toată banda disponibilă. Cred că toată lumea a auzit de flood. Acestui gen de atac i se mai spune şi ping storm. Când luminiţele router-ului sau switch-ului au luat-o razna, şi interogările în reţea sunt fără răspuns, este foarte posibil să fiiţi ţinta unei astfel de “agresiuni”.

Atacul fraggle este tot un fel de ping flood, dar în ce sens? Atacatorul foloseşte un IP clonat (spoofing) şi trimite ping-uri înspre un întreg subnet ca exemplu. Normal că va primi o grămadă de mesaje echo reply de la tot subnetul. Este de menţionat că acest tip de atac a fost folosit în timpul războiului din Kosovo de către hackerii sârbi împotriva siturilor NATO.

Atacul Smurf

Este un fel de agresiune brute force şi foloseşte aceeaşi metodă a flood-ului prin ping, numai că de data asta adresa destinaţie din pachetele ICMP echo request este adresa de broadcast a reţelei. Un router când primeşte astfel de pachete le trimite înspre toate hosturile pe care le “maschează”. Pot rezulta cantităţi mari de trafic şi congestionarea reţelei. Combinaţia dintre atacul fraggle si cel Smurf fac ca reţeaua destinaţie cât şi sursa să fie afectate.

Atacul Mail Bomb

Numele acestui tip de “armă” este edificator. Se trimit aşa de multe mailuri înspre un mail server, încât acesta ajunge în imposibilitatea de a le gestiona, iar userii legitimi nu mai pot beneficia de serviciile acestuia. Din acest tip de atac a derivat unul care presupune “înscrierea” mail serverului la o grămadă de mailing lists.

Scanning-ul şi spoofing-ul

47

Termenul de scanner, în contextul securităţii în IT, se referă la o aplicaţie software folosită de către hackeri pentru determinarea porturilor TCP sau UDP deschise pe un sistem. Dar şi administratorii este indicat să folosească astfel de aplicaţii, pentru a putea detecta vulnerabilităţile pe sistemele proprii.

Fig. 3.2.2 Viruşi si efectul lor

Un virus este un program creat să distrugă datele sau echipamentele unui calculator. Viruşii sunt programe cu dimensiuni foarte mici, ascunşi fie în fişiere executabile fie ataşaţi unor programe (în acest caz sunt numiţi şi paraziţi). Ei au menirea de a distruge date, să se reproducă (ajungând să blocheze hard discul sau chiar să distrugă motoarele de căutare ale acestuia) şi pot distruge chiar şi componente ale calculatorului.

Sunt două categorii de viruşi informatici: - Hardware: virusi informatici care distrug componente hardware precum hard

discul, unităţi optice şi chiar monitorul sau memoria (RAM) unui calculator. Ex. Virusul CIH (1998) care deşi era conţinut în fişiere executabile, avea ca directive să ştergă memoria BIOS şi să o reprogrameze cu linii inutile care făceau calculatorul inutil până la schimbarea cipului.

- Software: acei viruşi informatici meniţi să distrugă fişiere sau programe inclusiv sisteme de operare, să modifice structura unui program, să se multiplice până la refuz (umplerea hard discului la maxim (în acest caz blocând motoarele de căutare al acestuia, acestea cedând şi hard discul devine incapabil să mai funcţioneze), să şteargă în totalitate informaţia aflată pe disc, să încetinească viteza de lucru a calculatorului, ajungând, nu de puţine ori in situaţia de a-l bloca.

Câteva detalii de ştiut: - viruşii se pot înmulţi singuri; - viruşii sunt creaţi de om; - un simplu virus se poate multiplica la nesfârşit; - un virus care se multiplică la nesfârşit este relativ usor de realizat şi chiar şi un

virus atât de simplu este periculos pentru că el va ocupa foarte repede memoria disponibilă şi sistemul se va bloca.

48

Un tip de virus mai periculos este capabil a fi transmis prin reţea şi chiar trece de sistemele de securitate.

Un worm este un program sau un algoritm care se multiplică în cadrul unei reţele de calculatoare şi de obicei este periculos pentru că fie folseşte resursele calculatorului innutil, opreşte întreg sistemul sau îl face innoperabil.

Această categorie de viruşi caută să se auto-transmită mai departe ajutându-se de adrese de e-mail, şi poate uneori să ataşeze şi documente furate (parole, informaţii bancare etc.) din calculatorul infestat.

Numim adware sau spyware orice soft care strânge informaţii pe ascuns despre calculatorul utilizatorului prin intermediul conexiunii la Internet a utilizatorului şi fără ştirea lui, de obicei în scopuri publicitare. Aplicaţiile de tip spyware sunt de obicei ascunse în anumite programe gratuite sau de evaluare care pot fi descărcate de pe Internet. Odată instalate programele de tip spyware monitorizează activitatea utilizatorului pe Internet şi transmit aceste informaţii pe ascuns altcuiva.

Programele de tip spyware pot aduna şi transmite informaţii despre adrese de e-mail, parole şi alte date confidenţiale (ID-ul carţii de credit de ex).

Programele de tip spyware sunt asemănătoare Calului Trojan, care se instalează în timp ce utilizatorul încearcă să instalezi o aplicaţie. Un mod obişnuit de a deveni victima unui spyware este atunci cand se încearcă să se descarce un produs care este disponibi pe Internet, în mod gratuit, sau când se descarcă un program legitim din alte locaţii decât cele ale dezvoltatorului - în acest fel aplicaţia se denumeşte „hijacked”.

Fig. 3.2.4. Viruşii de tip Cal Tojan

Calul Trojan sunt viruşi care se ascund în spatele altor programe lăsând o uşă din spate (backdoor) deschisă prin care un hacker iţi poate controla calculatorul atunci când eşti conectat la internet. Troienii sunt un fel de viruşi spioni, se instalează fără a

49

atrage atenţia asupra lui, spionează în mod discret şi pregăteşte lovitura finală (aceasta putând fi chiar fatală sistemului). De exemplu virusul "SubSeven" creat chiar de către un român, oferă facilităţi programelor pentru administrare de la distanţă. Alte exemplare din categoria troienilor au ca scop principal atacul spre un server, dinspre toate calculatoarele infestate cu acest trojan, trimiţând mii de solicitări pe secundă, făcând serverul să nu mai fie funcţionabil în parametri normali, sau chiar blocându-l.

Spre deosebire de viruşi troienii nu se multiplică singuri, dar pot fi la fel de destructivi ca viruşii.

Unul dintre cele mai întălnite tipuri de „cal Trojan” este acela care imită un antivirus însă introduce de fapt viruşi în calculatorul tău. Ex. Windows Antivirus 2009 – program care prin denumirea şi aspectul său poate păcăli multă lume să-l instaleze.



CUM?



EVALUARE


50

Tema 4: Securizarea unui sistem de operare

Fişa suport 4.1 Securizare în sisteme Windows XP & Vista

Acest material vizează competenţa/rezultat al învăţării: „Instalează, configurează, sisteme de securitate” şi „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare”

Windows XP este succesorul sistemelor de operare Windows Me şi Windows 2000 şi este primul sistem de operare axat pe consumator produs de Microsoft pe modelul kernel-ului şi a arhitecturii NT. Windows XP a fost lansat pe 25 octombrie 2001 şi a fost vândut în 400 de milioane de exemplare în ianuarie 2006, conform unei estimări făcute de un analist IDC.

Cele mai întâlnite ediţii de Windows XP sunt Windows XP Home Edition, a cărui public ţintă sunt utilizatorii care lucrează la domiciliu şi Windows XP Professional, care are facilităţi adiţionale, ca suportul pentru domeniile Windows Server şi suportul pentru două procesoare fizice, şi este făcut pentru utilizatorii avansaţi şi clienţii de business. Windows XP Media Center Edition este îmbunătăţit cu facilităţi multimedia ce permit utilizatorului să înregistreze şi să vizioneze televiziunea digitală, să vizioneze filme DVD şi să asculte muzică. Windows XP Tablet PC Edition este proiectat să poată rula pe platformele PC-urilor tabletă. Au fost lansate deasemenea Windows XP 64-bit Edition pentru procesoarele IA-64 (Itanium) şi Windows XP Professional x64 Edition pentru x86-64.

Windows XP este cunoscut pentru stabilitatea şi eficienţa sa, în contrast cu versiunile 9x de Microsoft Windows. Prezintă o interfaţă semnificant modificată, mai prietenoasă pentru utilizator decât în celelalte versiuni de Windows. Capacităţile de management noi al software-ului au fost introduse pentru a evita "iadul DLL-urilor" care a marcat celelalte versiuni de Windows. Este prima versiune de Windows care necesită activare pentru a combate pirateria informatică, o facilitate care nu a fost primită cu plăcere de toţi utilizatorii. Windows XP a fost criticat pentru vulnerabilităţile legate de securitate, pentru integrarea aplicaţiilor ca Internet Explorer sau Windows Media Player şi pentru aspecte legate de interfaţa implicită a spaţiului de lucru.

Windows XP a fost în lucru încă din 1999, când Microsoft a început să lucreze la Windows Neptune, un sistem de operare care a intenţionat să fie "Home Edition" echivalent lui Windows 2000 Professional. A fost până la urmă unit cu proiectul Whistler, care a devenit mai târziu Winodws XP.

După cum s-a prezentat şi în fişele anterioare, pentru protejarea unui sistem de operare este absolut necesar actualizarea sa la intervale de timp cât mai scurte.

Prezentarea pe scurt a aplicaţiilor care sunt incluse nativ în sistemul de operare Windows XP. Dar mai întâi să vedem diferenţele între variantele Home şi Professional.

51

Windows XP Home Edition este proiectat pentru persoane individuale şi include noi experienţe pentru mediile digitale, reţea şi comunicaţii.

Include un număr de îmbunătăţiri faţă de Windows 2000 Professional. Astfel: • software îmbunătăţit şi compatibilitate hardware • securitate simplificată • log-are simplificată cu nou ecran “welcome” • schimbare de utilizator rapidă • o nouă interfaţă • suport îmbunătăţit pentru multimedia (filme, poze, muzică) • DirectX 8.1 pentru jocuri

Windows XP Professional este sistemul de operare destinat oamenilor de afaceri şi firmelor de toate dimensiunile, precum şi tuturor acelor utilizatori individuali care doresc să exploateze la maximum posibilităţile de calcul oferite de PC. La Windows XP Professional se adaugă accesul la distanţă, securitate, performanţă, uşurinţă în utilizare, posibilităţile de conectare.

Cea mai importantă diferenţă între Windows XP Home Edition şi Windows XP Professional este securitatea, care este simplificată mult pentru Windows XP Home Edition. Fiecare utilizator interactiv al Windows XP Home Edition este presupus a fi un membru al grupului local de proprietari (Owners Local Group), care este echivalentul im Windows XP al lui Windows 2000 Administrator Account. Aceasta înseamnă că oricine se logează la un calculator cu Home Edition are deplinul control. Totuşi facilităţile Backup Operatores, Power Users şi Replicator Groups deţinute de Windows 2000 sau de Windows XP Professional lipsesc la Windows XP Home Edition. În schimb Windows XP Home Edition beneficiază de un nou grup numit: Restricted Users. Părţile administrative ascunse nu sunt disponibile în Home Edition.

Pentru Windows XP deosebim câteva aspecte foarte importante în vederea asigurării unui nivel de securitate minim:

• Activarea serviciului de Restore Point – procedura ce oferă posibilitatea salvării unor stări de moment ale sistemului;

• Discurile fixe – HDD-urile să fie formatate în sistem NTFS – prin acest sistem oferindu-se posibilităţi de administrare foarte importante;

• Activarea Windows Firewall (sau instalarea unui program de la terţi);

• Realizarea de politici clare pentru parole şi obligativitatea introduceri secvenţei CTRL+Alt+Delete pentru logare (anumite programe pot simula această secvenţă pentru realizarea unei conexiuni ascunse);

• Realizarea unor politici la fel de clare privind realizarea de back-up–uri la intervale regulate şi nu numai – pentru protejarea datelor în cazuri nedorite;

52

• Stabilirea unor reguli de acces la Internet Explorer (Zona Local Intranet, pentru site-urile din cadrul organizaţiei sau care se află în spatele firewall-ului utilizatorului, Zona Trusted Sites, pentru site-uri care nu se află în spatele firewall-ului utilizatorului, dar pentru care utilizatorul are încredere totală, Zona Restricted Sites, pentru site-uri cunoscute de utilizator că fiind maliţioase, Zona Internet Zone, pentru restul de site-uri, Zona My Computer, care însă de obicei nu e configurabilă, deoarece controalele ActiveX pe care chiar sistemul de operare le instalează rulează pe setările de securitate din această zonă)

• Nu în ultimul rând este necesară acordarea de atenţie mărită datelor critice cu caracter personal (conturi, parole, documente private) folosindu-se de criptări EFS.

Windows Xp nu vine instalat cu un program antivirus şi de aceea este necesar să se instaleze şi o astfel de aplicaţie (de preferat o soluţie Internet Suite – care conţine şi alte aplicaţii gen anti-spyware, firewall, back-up, etc.).

Windows Vista este cea mai recentă versiune a sistemului de operare Microsoft Windows, proiectată de corporaţia Microsoft. Înainte de anunţul sub acest nume din 22 iulie 2005, Windows Vista a fost cunoscut sub numele de cod Longhorn, după Salonul Longhorn, un bar cunoscut din oraşul Whistler din provincia canadiană Columbia Britanică. Windows Vista a fost lansat în noiembrie 2006 pentru firme şi parteneri de afaceri iar în ianuarie 2007 a fost lansat pentru utlizătorii obişnuiţi. Această lansare vine după mai mult de cinci ani de la apariţia pe piaţă a sistemului de operare Windows XP, fiind cea mai mare dinstanţă între două lansări succesive .

Windows Vista are sute de facilităţi noi, cum ar fi o interfaţă grafică modernă şi un stil vizual nou, Windows Aero, tehnologia de căutare îmbunătăţită, noi unelte multimedia, precum şi sub-sistemele complet remodelate de reţea, audio, imprimare şi afişare (display). Vista va îmbunătăţi comunicarea dintre maşini pe o reţea casnică folosind tehnologia peer-to-peer, şi va facilita folosirea în comun a fişierelor, parolelor, şi mediilor digitale între diverse computere şi dispozitive. Pentru proiectanţii de software, Vista pune de asemenea la dispoziţie versiunea 3.0 a sistemului de proiectare numit .NET Framework.

Noi în Windows Vista sunt şi două structuri pentru tastatură, Română (Legacy) şi Română (Standard), care conţin caracterele ş şi ţ cu virgulă în loc de vechiul standard Windows cu sedilă (ş şi ţ). Acestea se adaugă versiunii consacrate care a fost redenumită Română (Legacy), dar în care nu s-a operat această schimbare.

Foarte mulţi dintre noi au auzit despre protecţia antimalware folosind tehnologii ca "Windows Defender" – aplicaţia antispyware a Microsoft sau "Forefront Client Security" (aplicaţia antivirus destinată protecţiei clienţilor) – servere Windows sau staţii de lucru ce ruleaza sisteme de operare desktop începand cu Windows 2000.

De o securitate îmbunătăţită putem beneficia folosind şi ultima versiune a aplicaţiei "Windows Firewall" inclusă în sistemul de operare Windows Vista.

53

Dar securitate înseamnă mult mai mult decat updatarea sistemului de operare, o aplicaţie antispyware/antivirus sau o aplicaţie firewall.

Un sistem de operare trebuie să ofere încredere utilizatorilor şi să protejeze datele (mai mult sau mai puţin confidenţiale) stocate pe aceste sisteme.

În acest domeniu al securitaţii (protecţia datelor, identitate şi control acces) intră şi tehnologiile "User Account Control" sau "Internet Explorer 7 – Protected Mode".

"User Account Control" - tehnologie care nu există în Windows XP, apărând prima dată în Windows Vista şi în Windows Server 2008 - reduce posibilitatea că o aplicaţie cu privilegii minime (low) să dobândească în mod automat şi necontrolat privilegii sporite şi să aibă acces la fişierele utilizatorului fără consimţământul acestuia.

Această posibilitate există în Windows 2000/XP unde un utilizator (cu drepturi de administrator) putea fi indus în eroare mai uşor să execute un anumit cod (aplicaţie ostilă acelui sistem) şi care putea duce la compromiterea acestuia.

În Windows Vista orice aplicaţie care solicită acces la zone sensibile ale sistemului de operare (fişiere de sistem, registry-ul de sistem) va primi acces să ruleze numai după consimţămantul explicit al utilizatorului.

Windows Vista introduce conceptul de etichetă (label) şi 4 nivele de integritate: low, medium, high şi system.

Când un utilizator se loghează în sistem el capată un nou SID (identificator de securitate) în tokenul sau – de formă S-1-16-etichetă. Acesta este identificatorul său de integritate (sau de incredere)

• S-1-16-16384 system mandatory level • S-1-16-12288 high mandatory level • S-1-16-8192 medium mandatory level • S-1-16-4096 low mandatory level

De fapt fiecare utilizător(subiect) sau obiect din Windows Vista posedă un identificator de integritate prezent în SACL (System Access Control List).

În mod uzual toţi utilizatorii sistemului de operare Windows Vista (inclusiv administratorul) rulează la un nivel de integritate "Medium".

În momentul când un utilizator (administrator) trebuie să-şi eleveze (sporească) privilegiile pentru a rula o aplicaţie ce accesează zone sensibile ale sistemului de operare (sistem de fisiere, registry) nivelul sau de integritate devine "High".

54

Internet Explorer 7 – Protected Mode

Internet Explorer rulează în mod normal la un nivel "Low" de integritate.

Orice aplicaţie care se downloadează din Internet va dobandi un nivel de integritate "Low" (egal cu al procesului Internet Explorer) şi nu va putea să se execute şi să-şi eleveze privilegiile compromiţând sistemul respectiv. Acesta este modul protejat (Protected mode) în care rulează IE7 pe Windows Vista.

Modul protejat oferit de IE7 este o facilitate prezentă numai pe sistemul de operare Windows Vista.

Atenţie! "User Account Control şi Internet Explorer Protected Mode" se pot dezactiva, dar nu este recomandat. În plus, pentru site-urile web din zona Trusted Sites din Internet Explorer 7 – modul protejat (Protected mode) este dezactivat.

Un utilizator poate accesa şi modifica un obiect în Windows Vista numai dacă nivelul sau de integritate este mai mare decat cel al obiectului.

În acest scop în Windows Vista sunt definite 3 politici obligatorii de acces: • No WRITE UP – o entitate nu poate modifica un obiect dacă posedă un nivel de

integritate mai mic decat al obiectului respective • No READ UP – o entitate nu poate citi un obiect dacă poseda un nivel de

integritate mai mic decât al obiectului respective • No EXECUTE UP – o entitate nu poate executa un obiect dacă posedă un nivel

de integritate mai mic decat al obiectului respectiv

Principii de securitate

Putem privi aceste tehnologii şi prin prisma altui principiu de securitate – "principle of least privilege" sau "principle of minimal privilege" - "principiul privilegiului minim" în care utilizatorul trebuie să aibe privilegii minime pentru accesarea unui sistem informatic conform fişei postului şi sarcinilor pe care trebuie să le îndeplinească.

În acest fel, în Windows Vista toţi utilizatorii au acelasi nivel de integritate (încredere) pe un sistem iar privilegiile administrative se folosesc doar în cazul în care este necesar.

Aceste tehnologii de securitate de care am vorbit în acest articol sunt o implementare a modelelor de securitate dezvoltate încă din anii ’70 – modelul de integritate a datelor Biba şi modelul de confidenţialitate a datelor Bell – LaPadula. Mai multe informaţii se găsesc la adresa http://msdn2.microsoft.com/en-us/library/bb625964.aspx şi http://msdn2.microsoft.com/en-us/library/bb625959.aspx .

55



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre soluţii de protecţie. Fiind vorba de cele mai uzuale sisteme de operare utilizate se va face

tot posibilul să se evidenţieze cele mai la îndemână forme de securizare prezentate în această fişă(cu eventuale referiri şi la alte fişe).

EVALUARE

• Se pot folosi probe orale

56

Fişa suport 4.2 Securizarea sistemelor de operare de tip server (Windows 2003/ Windows 2008)


Windows Server 2003 este construit pe structura sistemului Windows 2000 şi include toate facilităţile pe care un client le aşteaptă de la un sistem de operare Windows Server: siguranţă, securitate şi scalabilitate. Familia cuprinde patru produse:

− Windows Web Server 2003 reprezintă o bună platformă pentru dezvoltarea rapidă a aplicaţiilor şi desfăşurarea serviciilor pe Web. Este uşor de administrat şi se poate gestiona, de la o staţie de lucru aflată la distanţă, cu o interfaţă de tip browser.

− Windows Standard Server 2003 este un sistem de operare în reţea care oferă soluţii pentru firmele de toate mărimile. Acceptă partajarea fişierelor şi imprimantelor, oferă conectivitate sigură la Internet, permite desfăşurarea centralizată a aplicaţiilor din spaţiul de lucru, oferă colaborare între angajaţi, parteneri şi clienţi, acceptă multiprocesarea simetrică cu două căi şi până la 4 GO de memorie.

− Windows Enterprise Server 2003 este destinat firmelor medii şi mari. Este un sistem de operare cu funcţionare completă care acceptă până la 8 procesoare de tip Intel Itanium.

− Windows Data Center Server 2003 este o platformă pentru firmele cu un volum mare de tranzacţii şi cu baze de date scalabile. Este cel mai puternic şi mai funcţional sistem de operare pentru servere oferit de Microsoft.

În general, sistemele Windows se compun din trei clase de programe: programele sistemului de bază; programele API (Application Programming Interface) şi programele „maşini virtuale”.

Programele sistemului de bază asigură controlul fişierelor, servicii de comunicare şi control în reţea, controlul maşinii virtuale, controlul memoriei, controlul implementării standardului de interconectare „plag&play”.

Sistemul API cuprinde trei componente: nucleul Windows – Kernel, interfaţa grafică cu echipamentele periferice GDI (Graphic Devices Interface) şi componenta USER. Aceste componente sunt biblioteci de programe adresate programatorului de aplicaţii şi mai puţin utilizatorului obişnuit.

Sistemul „maşini virtuale” asigură interfaţa cu utilizatorul şi aplicaţiile sale, modulele din această clasă fiind apelate de sistemul API. Această componentă asigură încărcarea şi folosirea corectă a spaţiului de adresare. Din această clasă face parte şi programul Explorer.

57

Atunci când se ia în calcul politica de securitate pentru platformele Windows Server 2003 şi 2008 trebuie evaluate obligatoriu următoarele:

• Domain Level Acount Polices – reguli ce se pot seta la nivel de Group Policies, setări care sunt aplicate la întreg domeniul: politici cu privire la parole, blocarea conturilor, autentificarea folosind protocolul Kerberos – tot ceea ce uzual se înţelege prin „acount polices” – politici de cont;

• Audit Policy – posibilităţile de utilizare a politicilor de audit pentru a monitoriza şi forţa setările de securitate instalate. Este obligatoriu să se explice diferitele setări, folosindu-se de exemple, pentru a se înţelege ce informaţii se modifică când acele setări sunt modificate;

• User Rights – tratează diferitele posibilităţi de logon – drepturi şi privilegii ce sunt puse la dispoziţie de sistemul de operare şi oferirea de îndrumare privind care conturi ar trebui să primească drepturi distincte – şi natura acestor drepturi;

• Security Options – tratarea setărilor de securitate cu privire la date criptate cu semnături digitale(digital data signature), statutul conturilor „Administrator” şi „Guest”, accesul la unităţile de dischetă şi CD-ROM(sau echivalent), instalarea driver-elor şi posibilităţile de logare(logon prompts);

• Event Log – configurarea setărilor pentru diferitele jurnale care există sum Windows Server 2003(respectiv 2008);

• System services – utilizarea serviciilor care sunt absolut necesare şi documentarea lor – dezactivarea serviciilor care nu sunt folosite sau necesare. Personalizarea pe cât posibil a acestor servicii – pentru eliminarea setărilor „by default”;

• Software restriction polices – descrierea pe scurt a software-ului instalat şi mecanismele folosite pentru restricţia rulării acestora;

• Additional System Countermeasures – descrierea unor măsuri suplimentare de securitate care sunt necesare, setări care rezultă din discuţia privind rolul acelui server, posibilităţile de implementare, disponibilitatea utilizatorilor şi existenţă personalului calificat – setări cum ar fi:setări care nu pot fi introduse îîntr-o maniera compactă în cadrul Group Policies, setări la nivel de drepturi pe fisiere (NTFS), SNMP, dezactivarea NetBIOS, setări Terminal Services, setări IPsec, Dr. Watson, nu în ultimul rând setările cu privire la Windows Firewall.

• Additional Registry Entries – documentarea modificărilor necesare la nivel de registri;

Este de reţinut faptul că în Windows 2008 s-a pus un accent mai mare pe securitate , ca un exemplu dacă în Windows 2003 server cu SP1 erau în jur de 1700 de setări în Group Polices în Windows 2008 Server a crescut la aproximativ 2400.

58



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre soluţii de protecţie. Se va prezenta în paralel cu fişa 4.1 pentru a se scoate în evidenţă

diferenţele la nivel de securitate între sistemele de operare de tip server şi celelalte.

EVALUARE


59

Tema 5: Configurarea serviciilor de audit şi jurnalizare la sistemele de operare

Fişa suport Configurarea serviciilor de jurnalizare şi audit la sistemele de operare


Auditul sistemelor informatice se defineşte ca examinarea unui sistem informatic şi comparare lui cu prevederile unui standard agreat.

Auditul sistemelor informatice studiază, în primul rând, sistemele şi reţelele de calcul din punct de vedere al examinării eficienţei controlului tehnic şi procedural pentru a minimiza riscurile sistemelor informatice, presupune discuţii cu personalul care stabileşte specificaţiile, dezvolta, testează, conduce, administrează şi utilizează sistemele de calcul. Se obţine astfel garanţia că şi realizează corect şi complet prelucrările pentru care a fost proiectat, iar orice combinaţie de date, alta decât cea corectă şi completă, este semnalată şi nu este generatoare de efecte colaterale pe termen mediu şi lung. În realizarea proceselor de auditarea dezvoltării sistemelor informatice este necesar să se ia în considerare caracteristicile organizaţiei pentru care se proiectează sistemul şi, în primul rând, stabilitatea organizaţiei. Dinamismul schimbărilor în cadrul organizaţiilor, indiferent de dimensiunea acestora, impune adaptarea metodelor de dezvoltare a sistemelor informatice la noile condiţii sau apariţia unor concepte şi metode noi de dezvoltare a acestora.

Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient resursele informaţionale. În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaţii sunt verificările, evaluările şi testările mijloacelor informaţionale, astfel:

- identificarea şi evaluarea riscurilor din sistem; - evaluarea şi testarea controlului din sistem; - verificarea şi evaluarea fizică a mediului informaţional; - verificarea şi evaluarea administrării sistemului informatic; - verificarea şi evaluarea aplicaţilor informatice; - verificarea şi evaluarea securităţii reţelelor de calculatoare; - verificarea şi evaluarea planurilor şi procedurilor de recuperare în caz de

dezastre şi continuare a activităţii; - testarea integrităţii datelor.

Auditul sistemelor informatice nu este un audit financiar şi nici o activitate de expertizare.

Principalele tipuri de audit informatic sunt:

60

- auditul sistemului operational de calcul presupune revizia controalelor sistemelor operaţionale de calcul şi a reţelelor, la diferite niveluri; de exemplu, reţea, sistem de operare, software de aplicaţie, baze de date, controale logice/procedurale, controale preventive /detective /corective etc;

- auditul instalaţiilor IT include aspecte cum sunt securitatea fizică, controalele mediului de lucru, sistemele de management şi echipamentele IT;

- auditul sistemelor aflate în dezvoltare acoperă unul sau ambele aspecte: (1) controalele managementului proiectului şi (2) specificaţiile, dezvoltarea, testarea, implementarea şi operarea controalelor tehnice şi procedurale, incluzând controalele securităţii tehnice şi controalele referitoare la procesul afacerii;

- auditul managementului IT include: revizia organizaţiei, structurii, strategiei, planificării muncii, planificării resurselor, stabilirii bugetului, controlul costurilor etc.; în unele cazuri, aceste aspecte pot fi auditate de către auditorii financiari şi operaţionali, lasând auditorilor informaticieni mai mult aspectele tehnologice;

- auditul procesului IT – revederea proceselor care au loc în cadrul IT cum sunt dezvoltarea aplicaţiei, testarea, implementarea, operaţiile, mentenanţa, gestionarea incidentelor; - auditul managementului schimbarilor prevede revizia planificării şi controlului schimbărilor la sisteme, reţele, aplicaţii, procese, facilităţi etc., incluzând managementul configuraţiei, controlul codului de la dezvoltare, prin testare, la producţie şi managementul schimbărilor produse în organizatie;

- auditul controlului şi securităţii informaţiilor implică revizia controalelor referitoare la confidenţialitatea, integritatea şi disponibilitatea sistemelor şi datelor;

- auditul conformităţii cu legalitatea se referă la copyright, conformitate cu legislaţia, protecţia datelor personale;

Pentru realizarea un set de politici şi proceduri pentru managementul tuturor proceselor IT într-o organizaţie s-a definit un set îndrumător sub numele de CoBIT. Acest model (în varianta 4.1) ilustrativ se poate modela că o împărţire a IT-ului în 4 domenii şi 34 de procese în line cu responsabilitatea ariilor de acoperire, construire şi monitorizare oferind o soluţie de la cap la coadă pentru întreg conceptul IT. Rezumat la conceptul de arhitectură la nivel de întreprindere, ajută foarte mult să se identifice resursele esenţiale pentru succesul proceselor, de ex. – aplicaţii, informaţii, infrastructură şi oameni.

Acest standard de securitate este promovat de ISACA – organizaţie non-profit ce reuneşte auditori de sisteme informatice de pretutindeni (auditori certificaţi CISA –Certified Information System Auditor).

Interesul pentru securitatea IT s-a manifestat şi prin introducerea unei certificări specifice CISM – Certified Information Security Manager.

61

Un alt system de auditare este oferit spre certificare folosindu-se standardul ISO/IEC 17799:2000 – set de politici care odată implementat este sinonim cu atingerea unui nivel ridicat de securitate IT(acest standard este agreat şi de Comisia Europeană).

Deşi acest standard conferă băncilor care doresc să implementeze un system de internet banking, autorizaţia de funcţionare – autorizaţie care se va face în fiecare an, de către o companie independentă cu competenţe solide în activităţi de securitate informatică, el poate fi folosit ca şi ghid şi pentru celelalte domenii.

În mod uzual în ţara noastră se folosesc 3 categorii de auditare:

Auditul specializat – 1 – care asigură conformităţile cu prevederile Ordinului MCTI nr. 16/24.01.2003 este adresat furnizorilor de servicii care doresc eliminarea birocraţiei prin listarea unui singur exemplar de factură fiscală. Este auditat planul de securitate al sistemului informatic, iar analiza este efectuată anual de către o echipă independentă, specializată, care are în componenţă şi membri certificaţi CISA.

Auditul specializat 2 – se referă la auditarea planului de securitate în vederea aplicării prevederilor Ordinului Min. Finanţelor nr. 1077/06.08.2003 şi presupune scanarea de vulnerabilităţi – adică este testată vulnerabilitatea unui sistem informatic la atacuri din afară sau din interiorul reţelei. Este analizat modul în care sunt configurate echipamentele de reţea, sistemele de operare de pe staţii şi servere şi se compară cu recomandările de securitate ale producătorului. Acest tip de audit de securitate este executat de către un specialist certificat şi experimentat pe produsul auditat.

Auditul specializat 3 – se referă la securitatea infrastructurii IT. Această formă de audit de securitate presupune know-how, experienţă, specialişti şi certificări.

Relativ la sistemele de operare şi jurnalizarea informaţiilor din sistem, se deosebesc trei tipuri de jurnale: jurnalul de aplicaţii, jurnalul de securitate şi jurnalul de sistem.

Tipuri de jurnal de evenimente

• Jurnalul de aplicaţii (Application log). Jurnalul de aplicaţii conţine evenimentele înregistrate de programe. De exemplu, un program de baze de date poate înregistra o eroare de fişier în jurnalul de aplicaţii. Evenimentele ce se scriu în jurnalul de aplicaţii sunt determinate de dezvoltatorii programului software.

• Jurnalul de securitate (Security log). Jurnalul de securitate înregistrează evenimente precum încercările valide şi nevalide de Log on, precum şi evenimentele legate de utilizarea resurselor, cum ar fi crearea, deschiderea sau ştergerea de fişiere. De exemplu, când este activată auditarea la Log on, este înregistrat un eveniment în jurnalul de securitate de fiecare dată când un utilizator face Log on pe computer. Trebuie să faceţi Log on ca administrator sau ca membru al grupului de administratori pentru a activa, utiliza şi specifica evenimentele de înregistrat în jurnalul de securitate.

62

• Jurnalul de sistem (System log). Jurnalul de sistem conţine evenimente înregistrate de componentele de sistem. De exemplu, dacă un driver nu reuşeşte să se încarce în timpul pornirii, va fi înregistrat un eveniment în jurnalul de sistem. Sistemele bazate pe platforma Windows determină anticipat evenimentele înregistrate de componentele de sistem.

Modul de interpretare a unui eveniment

Fiecare intrare din jurnal este clasificată prin tipul său şi conţine informaţii de antet şi o descriere a evenimentului.

Antetul evenimentului

Antetul evenimentului conţine următoarele informaţii despre eveniment: • Date: Data la care s-a produs evenimentul. • Time: Ora la care s-a produs evenimentul. • User: Numele de utilizator al utilizatorului care era conectat când s-a produs

evenimentul. • Computer: Numele computerului pe care s-a produs evenimentul. • Event ID: Un număr care identifică tipul evenimentului. ID-ul evenimentului

poate fi utilizat de reprezentanţii serviciului de asistenţă pentru produs pentru a înţelege ce anume s-a întâmplat în sistem.

• Source: Sursa evenimentului. Aceasta poate fi numele unui program, o componentă de sistem sau o componentă individuală a unui program mare.

• Type: Tipul evenimentului. Există cinci tipuri de evenimente: Error, Warning, Information, Success Audit sau Failure Audit.

• Category: O clasificare a evenimentului în funcţie de sursa evenimentului. Aceasta este utilizată în principal în jurnalul de securitate.

Tipuri de evenimente. Descrierea fiecărui eveniment înregistrat depinde de tipul evenimentului. Fiecare eveniment dintr-un jurnal poate fi clasificat într-unul din următoarele tipuri:

• Information: Un eveniment care descrie desfăşurarea cu succes a unei activităţi, cum ar fi o aplicaţie, un driver sau un serviciu. De exemplu, un eveniment de informare este înregistrat când se încarcă cu succes un driver de reţea.

• Warning: Un eveniment care nu este neapărat important poate totuşi să indice apariţia unei probleme în viitor. De exemplu, un mesaj de avertizare este înregistrat când spaţiul liber pe disc începe să fie scăzut.

• Error: Un eveniment care descrie o problemă importantă, precum eroarea unei activităţi critice. Evenimentele de eroare pot implica pierderi de date sau de funcţionalitate. De exemplu, un eveniment de tip eroare este înregistrat dacă un serviciu nu reuşeşte să se încarce în timpul pornirii.

• Success Audit (în jurnalul de securitate): Un eveniment care descrie completarea cu succes a unui eveniment de securitate auditat. De exemplu, un eveniment de tip auditare reuşită este înregistrat când un utilizator face Log on pe computer.

63

• Failure Audit (în jurnalul de securitate): Un eveniment care descrie un eveniment de securitate auditat care nu s-a terminat cu succes. De exemplu, un eveniment de tip auditare nereuşită se înregistrează când un utilizator nu poate accesa o unitate de reţea.

Gestionarea conţinutului jurnalului

În mod implicit, dimensiunea iniţială maximă a jurnalului este setată la 512 KO şi când se ajunge la această dimensiune evenimentele noi se suprascriu peste cele vechi. În funcţie de nevoile dvs., aveţi posibilitatea să modificaţi aceste setări sau să goliţi un jurnal de conţinutul său.

Dacă doriţi salvarea datelor jurnalului, aveţi posibilitatea să arhivaţi jurnalele de evenimente în oricare dintre următoarele formate:

• Format fişier jurnal (.evt) • Format fişier text (.txt) • Format fişier text cu delimitator virgulă (.csv)

Pentru o mai bună gestionare a acestor fisiere – raportări diferite, căutări încrucişate, etc. se pot folosi diferite programe care “traduc” aceste fisiere în forme vizuale cu detalierea informaţiilor prezentate.

Soluţiile profesionale – de obicei folosite pe servere sunt aşa numitele Log Processing System (LPS) care oferă suport pentru procesarea în timp real a logurilor generate de diverse servere din reţea şi raportarea imediată a evenimentelor detectate.

Avantajele unor astfel de sisteme de monitorizare sunt: • Cunoasterea imediată şi permanentă a stării reţelei, în detaliu. Procesarea

logurilor funcţionează pe baza de plug-in-uri configurabile în funcţie de necesităţile de monitorizare a clientului

• Permite analiza oricărui fişier de log, a oricărei aplicaţii, pentru monitorizarea activităţii afacerii şi din alte puncte de vedere decât securitatea tehnologică a informaţiei

• Facilitează separarea alarmelor false de cele reale, reducând cantitatea de munca a personalului tehnic

• Accelereaza procesele de reacţie în caz de atac, prin indicarea clară a zonelor şi staţiilor vulnerabile

Plugin-uri LPS diponibile: WSPT, WSSA, GWEL, ASLP, WPLA, SPMM – acronime ce au următoarea succintă descriere:

- WSPT - Windows Station Process Tracking - raportează data şi durata execuţiei aplicaţiilor instalate;

- WSSA - Windows Server Share Access - raportează accesul pe un director partajat identificând serverul, utilizatorul, domeniul şi activităţile întreprinse - scriere, citire, modificare;

- GWEL - Generic Windows Event Log - asigură procesarea generică de log-uri Windows privind aplicaţiile rulate şi evenimentele de securitate;

- ASLP - Axigen Server Log Processor - asigură procesarea informaţiilor privind schimburile de corespondenţă;

- WPLA - Web Proxy Log Analyzer - oferă informaţii privind adresele web accesate de utilizatori, durata şi traficul efectuat;

64

- SPMM - Server Performance Monitoring Module - asigură procesarea datelor specifice funcţionării serverelor - nivelul de solicitare al procesorului, memoria utilizată, spaţiul disponibil pe HDD;



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre soluţii de protecţie. Se va insista pe diferitele forme de jurnalizare şi modul în care se pot

citi informaţiile din ele. EVALUARE


65


Fişa rezumat

Clasa ________________ Profesor______________________ Nr. Crt.

Nume şi prenume elev

Competenţa 1 Competenţa 2 Competenţa 3 Observaţii A 1 A 2 A X A 1 A 2 A 3 A 1 A 2 A 3 1 zz.ll.aaaa2 2 3 4 ... Y


66













67

V. Bibliografie

1. Ionescu, Dan. (2007). Retele de calculatoare, Alba Iulia: Editura All 2. Georgescu, Ioana. (2006). Sisteme de operare, Craiova: Editura Arves 3. ***.La http://en.wikipedia.org. Informaţii multiple, 30.04.09 4. ***.La http://support.microsoft.com. Informaţii multiple, 30.04.09 5. ***.La http://www.datasecurity.ro/?p=24, 02.05.09 6. ***.La http://www.cisco.com. Informaţii multiple, 07.05.09 7. ***.La http://www.referate.ro. Informaţii multiple, 09.05.09 8. ***.La http://www.clubitc.ro . Informaţii multiple, 09.05.09 9. ***.La http://facultate.regielive.ro. Informaţii multiple, 09.05.09 10. ***.La http://alexbobica.com. Informaţii multiple, 09.05.09 11. ***.La http://www.hackersblog.org. Informaţii multiple, 09.05.09 12. ***.La http://www.gecadnet.ro/securitate/sentinet/. Informaţii multiple, 07.05.09 13. Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete







http://www.datasecurity.ro/?p=24�

http://www.cisco.com/�

http://www.referate.ro/�

http://www.clubitc.ro/�



http://alexbobica.com/�

http://www.hackersblog.org/�

http://www.gecadnet.ro/securitate/sentinet/�

Securitatea sistemelor de calcul şi a reţelelor de calculatoare

Cuprins I. Introducere ...................................................................................................... 2 II. Documente necesare pentru activitatea de predare .................................... 4 III. Resurse .......................................................................................................... 5

Tema 6: Actualizarea permanentă a sistemului prin aplicarea de patch-uri şi update-uri .............................................................................................................................. 5

Fişa suport 6.1 Actualizarea sistemelor de operare ................................................. 5 Fişa suport 6.2 Actualizarea aplicaţiilor software .................................................... 11

Tema 7: Instalarea şi configurarea firewallului ................................................................ 14 Fişa suport 7.1 Rolul şi menirea unui firewall ......................................................... 14 Fişa suport 7.2 Configurarea unui firewall .............................................................. 19

Tema 8: Metode de securizare a reţelelor wireless .......................................................... 23 Fişa suport 8.1 Standarde de securitate pentru reţelele wireless ........................... 23 Fişa suport 8.2 Configurarea unei reţele wireless .................................................. 29 Fişa suport 8.3 Testarea securităţii unei reţele de tip wireless ............................... 34

Tema 9: Mijloace de fraudă pe Internet ............................................................................. 38 Fişa suport 9.1 Forme de înşelăciune în Internet ................................................... 38 Fişa suport 9.2 Mijloace şi metode de protecţie privind frauda pe internet ............. 42

IV. Fişa rezumat ................................................................................................ 45 V. Bibliografie ................................................................................................... 47

2


Prezentul material de predare, se adresează cadrelor didactice care predau în cadrul liceelor, domeniul Informatică, calificarea Tehnician operator tehnică de calcul.

El a fost elaborat pentru modulul Securitatea sistemelor de calcul şi a reţelelor de calculatoare, ce se desfăşoară în 31 ore, în următoarea structură:



Tema 6

Actualizarea permanenta

a sistemului prin

aplicarea de patch-uri şi

update-uri

Fişa 6.1 Actualizarea

sistemului de operare

3. Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare 4. Asigură mentenanţa preventivă a calculatoarelor şi reţelelor de calculatoare

Fişa 6.2 Actualizarea

aplicaţiilor software

4. Asigură mentenanţa preventivă a calculatoarelor şi reţelelor de calculatoare

Tema 7


firewallului

Fişa 7.1 Rolul şi menirea

unui firewall 2. Instalează, configurează, sisteme de securitate

Fişa 7.2 Configurarea

unui firewall

3. Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare

Tema 8

Metode de securizare a

reţelelor wireless

Fişa 8.1 Standarde de

securitate pentru reţelele

wireless


Fişa 8.2 Configurarea

unei reţele wireless


Fişa 8.3 Testarea

securităţii unei reţele de

tip wireless

2. Instalează, configurează, sisteme de securitate 3. Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare

3

Tema 9

Mijloace de fraudă pe

internet

Fişa 9.1 Forme de

înşelăciune în internet

4. Asigură mentenanţa preventivă a calculatoarelor şi reţelelor de calculatoare

Fişa 9.2 Mijloace şi

metode de protecţie

privind frauda pe internet

3. Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare 4. Asigură mentenanţa preventivă a calculatoarelor şi reţelelor de calculatoare

Temele din prezentul material de predare nu acoperă toate conţinuturile prevăzute în curriculumul pentru modulul Securitatea sistemelor de calcul şi a reţelelor de calculatoare. Pentru parcurgerea integrală a modulului în vederea atingerii competenţelor vizate / rezultate ale învăţării profesorul va avea în vedere şi materialul de predare Securitatea sistemelor de calcul şi a reţelelor de calculatoare partea I.

Absolvenţii nivelului 3, şcoală postliceală, calificarea Tehnician operator tehnică de calcul, vor fi capabili să îndeplinească sarcini cu caracter tehnic de montaj, instalare, punere în funcţiune, întreţinere, exploatare şi reparare a echipamentelor de calcul.

4



• Standardul de Pregătire Profesională pentru calificarea Tehnician operator tehnică de calcul, nivelul 3– www.tvet.ro, secţiunea SPP sau www.edu.ro , secţiunea învăţământ preuniversitar

• Curriculum pentru calificarea Tehnician operator tehnică de calcul, nivelul 3– www.tvet.ro, secţiunea Curriculum sau www.edu.ro , secţiunea învăţământ preuniversitar





III. Resurse

Tema 6: Actualizarea permanentă a sistemului prin aplicarea de patch-uri şi update-uri

Fişa suport 6.1 Actualizarea sistemelor de operare

Acest material vizează competenţa / rezultat al învăţării : „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizarea sistemelor de calcul şi a reţelelor de calculatoare” şi „Asigură mentenanţa preventivă a calculatoarelor şi reţelelor de calculatoare”.

Pentru a elimina riscurile de securitate datorate vulnerabilităţilor cunoscute, va trebui să aplicăm patch-uri şi fix-uri de securitate pentru sistemele de operare şi aplicaţii. Eliminarea vulnerabilităţilor cunoscute este de fapt prima măsură de securitate care trebuie luată, deoarece aceste vulnerabilităţi vor fi primele încercate de un atacator sau exploatate de către un vierme.

Figura 6.1.1 Posibile breşe de securitate din cauza neactualizărilor făcute la sistemele de operare

În ultima perioadă s-a mărit numărul atacurilor de acest tip care exploatează vulnerabilităţi cunoscute. Fereastra de timp dintre publicarea vulnerabilităţii (respectiv a patch-ului corespunzător) şi apariţia unui atac scade din ce în ce mai mult, dar totuşi nu

6

este suficient. În mai toate cazurile, sistemele afectate nu fuseseră actualizate, deşi exista fix-ul corespunzător. Este foarte important să ne actualizăm la timp sistemele de operare şi aplicaţiile din punct de vedere al patch-urilor şi fix-urilor de securitate. Doar aşa putem fi siguri că suntem protejaţi în proporţie minimă, dar nu şi suficientă.

Înainte de a da vina pe administratorii de reţea, să ne gândim că există un număr destul de mare de patch-uri şi fix-uri care sunt publicate periodic şi care trebuie descărcate, testate şi apoi aplicate în mod sistematic pe toate calculatoare din reţea. Este evidentă necesitatea unui proces de Patch Management care să permită o abordare structurată versus reacţia ad-hoc la incidente de securitate. De aici şi necesitatea de a se folosi aplicaţii care să automatizeze acest proces.

Acest proces de management al patch-urilor trebuie să se alăture celorlalte procese operaţionale existente în cadrul unei companii. Patch Management se integrează de fapt în disciplinele de Change Management şi Configuration Management, aşa cum sunt descrise de Microsoft Operations Framework (MOF) sau IT Infrastructure Library (ITIL).

Putem împărţi procesul de management al patch-urilor în mai multe faze: mai întâi se va face o analiză a vulnerabilităţilor cunoscute asupra sistemelor existente folosind, de obicei, un instrument automat şi se va inventaria patch-urile necesare pentru aceste vulnerabilităţi. De asemenea, va trebui să se testeze în condiţii de laborator patch-urile pentru a verifica modul în care afectează funcţionarea sistemelor şi/sau a aplicaţiilor existente(instalate). Apoi va urma procesul de instalare a patch-urilor, care pentru reţele medii-mari trebuie să fie automatizat, precum şi verificarea instalării cu succes a acestora.

Microsoft Baseline Security Analyzer (MBSA) 1.2 poate fi folosit pentru a analiza sistemele existente şi a inventaria vulnerabilităţile descoperite pentru sistemele de operare Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 precum şi a altor produse Microsoft: Internet Explorer, Windows Media Player, IIS, SQL Server, Exchange, Microsoft Office, Microsoft Data Access Components, Microsoft Virtual Machine, MSXML, BizTalk Server, Commerce Server, Content Management Server şi Host Integration Server.

7

Figura 6.1.2 Conectori în Microsoft Visio special concepuţi pentru MSBA

MBSA adaugă o interfaţă grafică la utilitarul linie de comandă HFNetCheck şi foloseşte un fişier MSSECURE.XML ce poate fi downloadat de la Microsoft şi conţine informaţii despre toate patch-urile disponibile în acel moment. Astfel se pot crea rapoarte pentru sistemele scanate ce afişează patch-urile care nu au fost încă instalate pe sisteme. MBSA este capabil să identifice de asemenea vulnerabilităţi cunoscute la servicii şi aplicaţii. MBSA poate scana o singură maşină sau mai multe folosind un rang de adrese IP sau toate calculatoarele din domeniu, cu condiţia să aibă permisiuni administrative.

Atenţie: MBSA poate face doar analiza sistemelor, nu şi instalarea propriu-zisă a patch-urilor.

8

Figura 6.1.3 O posibilă reprezentare grafică realizată (Microsoft Visio) după o scanare cu MBSA.

Ca soluţii care să asigure instalarea şi urmărirea update-urilor efectuate avem aplicaţia System Management Server (SMS 2003) un produs complex pentru inventarierea hardware-ului şi software-ului, pentru instalarea automată de software precum şi management al sistemelor. Folosind instrumentele de inventariere de software şi un pachet numit Software Updates Scanning Tool (bazat pe MBSA 1.2) ce poate fi downloadat gratuit de pe site-ul Microsoft se pot analiza sistemele şi inventaria vulnerabilităţile. SMS poate produce rapoarte privind update-urile şi Service Pack-urile instalate, lista update-urilor disponibile ce trebuie aplicate pe fiecare calculator etc. În plus, SMS poate face şi instalarea patch-urilor folosind facilităţile de distribuţie de software. SMS este foarte util pentru reţele medii-mari.

Figura 6.1.4 O posibila implementare a unui server SMS

Nu este de neglijat nici faptul ca sunt unele vulnerabilităţi, cei drept mai puţine, care privesc diferite drivere instalate pe calculator. Ori de căte ori este posibil este necesar să se realizeze aceste actualizări, dar numai după o atentă citire a documentaţiei de explicare a noii versiuni şi eventuala testare într-un mediu sigur.

Modalităţi de actualizare a sistemelor de operare.

9

Actualizarea unui sistem de operare poate fi făcută manual sau automat. Sistemele de operare bazate pe platforma Windows oferă un întreg serviciu care să se ocupe de această problemă numit Automatic Updates.

Figura 6.1.5 Activarea Automatic Updates se realizează imediat după terminarea instalării sistemului de operare

Versiunile de Windows din magazine sunt deja învechite în momentul vânzării, deoarece până la producerea discurilor şi comercializarea acestora trec luni întregi. De aceea, după instalare, trebuie încărcate update-urile corespunzătoare. Deoarece aceste Windows Update-uri au atins între timp o dimensiune apreciabilă, mulţi utilizatori renunţă la descărcarea regulată, de unde rezultă numeroase breşe de securitate, prin care viruşii se înmulţesc exploziv.

Cu Service Pack 2, Microsoft a trecut la administrarea sistemului cu ajutorul funcţiei Automatic Updates. Această funcţie menţine securitatea calculatorului la un nivel ridicat, deoarece vulnerabilităţile găsite de hackeri sunt închise prin instalarea automată a actualizărilor noi. Apelând funcţia de update-uri automate via Start-Settings-Control Panel-System-Automatic Updates sunt la dispoziţie diverse opţiuni, care vor permite alegerea modului în care să se procedeze cu actualizările. Recomandat este modul Automatic, unde se stabileşte ora şi intervalul descărcărilor şi al instalării prin meniul aferent. În plus, este posibilă alegerea opţiunii Notify Me But Don't Automaticaly Download or Install Them, care informează de disponibilitatea unor noi update-uri şi întreabă utilizatorul dacă doreşte să le descarce imediat sau mai târziu. Astfel se pot evita o serie de fluctuaţii de performanţă ale legăturii de internet şi eventualele reporniri necesare vor fi efectuate numai după terminarea lucrărilor importante.

10

Totodată cu Service Pack 2, Microsoft nu a pus la dispoziţie doar diferite corecturi ale unor erori din sistemul de operare, ci a adăugat şi multe funcţii noi. Una dintre ele este reprezentată de aşa-numitul Security Center, care supraveghează permanent starea anumitor funcţii importante. Astfel, se verifică dacă firewall-ul instalat este activ, dacă antivirusul folosit este adus la zi sau dacă au fost instalate toate update-urile pentru sistemul de operare.

Dacă una dintre componentele supravegheate aici nu este activă sau actualizată, utilizatorul este anunţat de acest lucru printr-un mesaj în bara de stare. Pentru a efectua modificări Security Center se foloseşte interfaţa acestuia, la care se ajunge prin Control Panel.

Din acea interfaţă se poate avea acces la cele trei componente monitorizate: firewall-ul, actualizarea automată şi protecţia antivirus.


• Conţinutul poate fi predat în laboratorul de informatică.

CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre inspectarea vizuală a

componentelor şi pornirea calculatorului

Demonstraţie – folosind cazul actualizării sistemului de operare Windows, moduri de actualizare operaţie efectuată de către cadru didactic.

Exerciţiu - prin inspectarea vizuală a patch-urilor şi fixurilor ce ar trebui efectuate (cele critice, respectiv, noncritice) de către elev

Se va discuta şi indica toate optiunile de actualizare disponibile în serviciul Automatic Updates şi întreg conţinutul modulului Security Center. Se va aloca suficient tip cat să se înţeleagă necesitatea actualizării continue şi constante a sistemului de operare.

Se recomandă să se evidenţieze lupta continua a dezvoltatorilor de sisteme de operare pentru îmbunătăţirea breşlor de securitate gasite.

EVALUARE

• Practică, lucrare scrisă.

11

Fişa suport 6.2 Actualizarea aplicaţiilor software

Acest material vizează competenţa / rezultat al învăţării „Asigură mentenanţa preventivă a calculatoarelor şi reţelelor de calculatoare”.

Ameninţările informatice tot mai numeroase nu sunt simple poveşti inventate de producatorii de software pentru a-şi vinde mai bine produsele, ci chiar produc pagube serioase companiilor afectate, spun cercetatori independenţi, care sfătuiesc managerii să nu permită excepţii de la cele mai severe reguli de procedură în domeniu.

Piaţa mondială de aplicaţii de securitate va cunoaşte un adevarat boom, cu o rată anuală de creştere de circa 16,2%, încasările mondiale urmând să ajungă la 11,4 miliarde de dolari (9,43 miliarde de euro) pe an în 2009, conform companiei de analiza a pieţelor Gartner. Cu toate acestea, efortul respectiv nu poate opri valul de ameninţări informatice, nici marile corporaţii nefiind absolut ferite de astfel de probleme.

"Responsabilii companiilor presupun că dacă cumpară un soft, de preferinţă cât mai scump, problemele acestea se rezolvă, însa în mod evident greşesc", a declarat un specialist al Secure Computing, companie specializată în domeniul securităţii informatice.

Nici un soft nu e infailibil: vulnerabilităţi în sistemele informatice se descoperă aproape zilnic, iar în perioada de timp până când producătorul soft corectează eroarea, sistemele sunt vulnerabile. Sistemele de comunicare online îi avantajeaza astfel pe piraţii Internetului, care în perioada de timp până la actualizarea aplicaţiei soft pot căpăta acces la resursele companiilor. De la lista de clienţi, până la lista cu salarii şi de la datele de identitate ale clientilor sau angajatilor până la proiectele cele mai secrete din laboratoarele companiei.

Una din principalele cauze ale problemelor cu securitatea informatică este nevoia ca aplicaţiile software să fie uşor de utilizat de angajaţi, spun experţii Secure Computing. "Atunci când se instalează o aplicaţie nouă, oamenii vor ca angajaţii să aibă acces la ea imediat şi renunţă la început la setările de securitate", a explicat specialistul Secure Computing.

Programul de întreţinere a aplicaţiilor şi aducerea lor la zi pentru o mai buna protecţie faţă de vulnerabilităţi este la fel de importantă ca şi cumpărarea soluţiei de securitate informatică, a spus la rândul său un analist al Gartner. Peste 90% din companii au un soft de protecţie antivirus, dar 30% dintre aceste companii au în continuare probleme legate de pierderea datelor, computere infectate şi altele asemenea, relevă un studiu Gartner.

O data cu noile programe realizate special de piraţii Internetului pentru a fura parole şi date confidenţiale, ameninţarea atinge riscul maxim, spun specialiştii în domeniu. Aplicaţiile software anti-spyware sunt la început de drum, nici cele mai performante nefiind de fapt capabile să detecteze toate ameninţările. Programele spyware sunt

12

responsabile de aproximativ 50% din toate problemele software raportate de clienţii Microsoft, al cărui sistem de operare se află pe mai bine de 90% din computerele lumii. În miezul verii, specialiştii în domeniu au avertizat că sistemele informatice instalate de hoteluri de exemplu, sunt extrem de vulnerabile în faţa atacurilor propriilor clienţi. Cu un laptop şi o conexiune oferită chiar de hotel, un vizitator poate avea acces nu doar la serviciile premium (room service, posturi TV cu plată, note de plată pentru minibar). Un specialist în informatică poate accesa direct baza de date, putând observa şi ceea ce fac ceilalţi clienţi.

Figura 6.2.1 O posibilă schemă privind securitatea unui hotel (sau orice altă formă)

În noua eră digitală nici şoferii nu scapă de bătăi de cap. Oficiali din industria auto şi o serie de analişti independenţi au avertizat că interesul crescut al hackerilor de a crea viruşi pentru aparatura electronică pune în pericol şi sistemele computerizate ale vehiculelor.

Aplicaţiile software care necesită update-uri se pot împărţi după conceptele: „the good”, „the bad” şi „the ugly”. Aceste concepte se referă la:

- „The good”: aici intră aspectele pozitive ale realizărilor de actualizări la versiuni cât mai noi, mai recente ale software-ului instalat. Menţionăm: uşurinţa în folosire, eficacitatea – exemplul cel mai util este la aplicaţiile de tip antivirus care beneficiază de actualizări multiple uneori chiar la nivel de minute, uşurinţa de realizare – cele mai multe aplicaţii având inclusă o opţiune de actualizare automată, în caz contrar procedeul implică „verifică locaţia X, serverul Y, descarcă noua versiune dacă este cazul” şi implementarea ei care decurge intr-un mod simplu şi fără complicaţii de cele mai multe ori;

- „The bad”: aici intervin aşa numitele părţi negative ale actualizărilor. Menţionăm aici – realizarea unei actualizări poate să facă innaccesibile documentele salvate anterior, o actualizare care să se facă printr-o modificare de licenţă şi în acest caz existând pericolul de a îeşi din legalitate cu produsul respectiv, tot aici intră şi cazurile când nu se fac actualizările, sau nu se fac la timp – existând riscul de a rămâne vulnerabili la o breşă de securitate care să fi fost eliminată între-timp;

- „The ugly”: Aici sunt părţile cele mai deranjante în realizarea unor actualizări şi anume imposibilitatea de a le face – drepturi insuficiente, restricţii de acces pe serverele ce conţin aceste actualizări, conexiunea la internet – sau faptul că odată făcute apar disfuncţionalităţi la alte programe instalate sau acea actualizare să se facă în contratimp cu partenerii care folosesc aceeaşi aplicaţie rezultând în incompatibilităţi de versiuni, sau cazul cel mai paranoic, când acea actualizare poate deschide o altă

13

breşă de securitate cu mult mai periculoasă ca cea/cele pe care le-a remediat(sau serverele de pe care se face acea actualizare să fi fost afectate de un virus sau un Trojan care să infecteze respectivele fişiere de actualizare).

Concluzionând putem separa clar două categorii mari de actualizări de aplicaţii software:

- aplicaţiile de securitate – aici intrând aplicaţiile antivirus, anti-spyware, aplicaţiile firewall, etc. care au un satut cu totul special, recomandându-se să se facă actualizările cat de curând posibil şi,

- aplicaţiile uzuale care, de obicei realizează update-uri la distanţe mai mari de timp, de multe ori actualizarea implicând înlocuirea propriu-zisă a aplicaţiei iniţiale.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre actualiyarea

aplicaţiilor software

Demonstraţie - prin explicarea şi expunerea de către cadrul didactic a informaţiilor privind actualizarea unor aplicaţii uzuale

Exerciţiu - prin inspectarea vizuală a componentelor şi pornirea calculatorului de către elev

EVALUARE

• În scris.

14

Tema 7: Instalarea şi configurarea firewallului

Fişa suport 7.1 Rolul şi menirea unui firewall

Acest material vizează competenţa / rezultat al învăţării : „Instalează şi configurează sisteme de securitate a sistemelor de calcul şi a reţelelor de calculatoare”.

Definiţii:

Un firewall se poate defini ca fiind un paravan de protecţie ce poate ţine la distanţă traficul Internet, de exemplu hackerii, viermii şi anumite tipuri de viruşi, înainte ca aceştia să pună probleme sistemului. În plus, acest paravan de protecţie poate evita

participarea computerului la un atac împotriva altora, fără cunoştinţa utiliyatorului. Utilizarea unui paravan de protecţie este importantă în special dacă calculatorul este conectat în permanenţă la Internet.

Figura 6.3.1 Funcţia primordială a unui firewall.

O alt definiţie – un firewall este o aplicaţie sau un echipament hardware care monitorizează şi filtrează permanent transmisiile de date realizate între PC sau reţeaua locală şi Internet, în scopul implementării unei "politici" de filtrare. Această politică poate însemna:

• protejarea resurselor reţelei de restul utilizatorilor din alte reţele similare – Internetul -> sunt identificaţi posibilii "musafiri" nepoftiţi, atacurile lor asupra PC-ului sau reţelei locale putând fi oprite.

15

• Controlul resurselor pe care le vor accesa utilizatorii locali.

Mod de funcţionare:

De fapt, un firewall, lucrează îndeaproape cu un program de routare, examinează fiecare pachet de date din reţea (fie cea locală sau cea exterioară) ce va trece prin serverul gateway pentru a determina dacă va fi trimis mai departe spre destinaţie. Un firewall include de asemenea sau lucrează împreună cu un server proxy care face cereri de pachete în numele staţiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecţie sunt instalate pe calculatoare ce îndeplinesc numai această funcţie şi sunt instalate în faţa routerelor.

Figura 6.3.2 O posibilă implementare a unui firewall.

Soluţiile firewall se împart în două mari categorii: prima este reprezentată de soluţiile profesionale hardware sau software dedicate protecţiei întregului trafic dintre reţeaua unei întreprinderi (instituţii, serverele marilor companii publice) şi Internet; iar cea de a doua categorie este reprezentată de firewall-urile personale dedicate monitorizării traficului pe calculatorul personal. Utilizând o aplicaţie din ce-a de a doua categorie se poate preântâmpina atacurile colegilor lipsiţi de fair-play care încearcă să acceseze prin mijloace mai mult sau mai puţin ortodoxe resurse de pe PC-ul dumneavoastră.

În situaţia în care dispuneţi pe calculatorul de acasă de o conexiune la Internet, un firewall personal vă va oferi un plus de siguranţă transmisiilor de date. Cum astăzi majoritatea utilizatorilor tind să schimbe clasica conexiune dial-up cu modalităţi de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuşite asupra sistemului dumneavoastră creşte. Astfel, mărirea lărgimii de bandă a conexiunii la Internet facilitează posibilitatea de "strecurare" a intruşilor nedoriţi.

Astfel, un firewall este folosit pentru două scopuri:

16

• pentru a păstra în afara reţelei utilizatorii rău intenţionati (viruşi, viermi cybernetici, hackeri, crackeri)

• pentru a păstra utilizatorii locali (angajaţii, clienţii) în reţea

Politici de lucru:


Pentru a putea defini politica firewall-ului, sunt necesare unele răspunsuri la următoarele întrebări:

• ce servicii va deservi firewall-ul ? • ce grupuri de utilizatori care vor fi protejaţi ? • de ce fel de protecţie are nevoie fiecare grup de utilizatori ? • cum va fi protejat fiecare grup(detaliere privind şi natura serviciilor din cadrul

grupurilor)?

La final este necesar să se scrie o declaraţie prin care oricare alte forme de access sunt o ilegalitate. Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să fie simplă şi la obiect.

Figura 6.3.3 Diferite politici implementate într-un firewall

17

Clasificări:

Firewallurile pot fi clasificate după: • Layerul (stratul) din stiva de reţea la care operează • Modul de implementare

În funcţie de layerul din stiva TCP/IP (sau OSI) la care operează, firewall-urile pot fi: • Layer 2 (MAC) şi 3 (datagram): packet filtering. • Layer 4 (transport): tot packet filtering, dar se poate diferenţia între

protocoalele de transport şi există opţiunea de "stateful firewall", în care sistemul ştie în orice moment care sunt principalele caracteristici ale următorului pachet aşteptat, evitând astfel o întreagă clasă de atacuri

• Layer 5 (application): application level firewall (există mai multe denumiri). În general se comportă ca un server proxy pentru diferite protocoale, analizând şi luând decizii pe baza cunoştinţelor despre aplicaţii şi a conţinutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat application firewall pentru email.

Deşi nu este o distincţie prea corectă, firewallurile se pot împărţi în două mari categorii, în funcţie de modul de implementare:

• dedicate, în care dispozitivul care rulează software-ul de filtrare este dedicat acestei operaţiuni şi este practic "inserat" în reţea (de obicei chiar după router). Are avantajul unei securităţi sporite.

• combinate cu alte facilităţi de networking. De exemplu, routerul poate servi şi pe post de firewall, iar în cazul reţelelor mici acelaşi calculator poate juca în acelaţi timp rolul de firewall, router, file/print server, etc.

Concluzii:

Un firewall poate să: - monitorizeze căile de pătrundere în reţeaua privată, permiţând în felul acesta o

mai bună monitorizare a traficului şi deci o mai uşoară detectare a încercărilor de infiltrare;

- blocheze la un moment dat traficul în şi dinspre Internet; - selecteze accesul în spaţiul privat pe baza informaţiilor conţinute în pachete.

- permită sau interzică accesul la reţeaua publică, de pe anumite staţii specificate;

- şi nu în cele din urmă, poate izola spaţiul privat de cel public şi realiza interfaţa între cele două.

De asemeni, o aplicaţie firewall nu poate: - interzice importul/exportul de informaţii dăunătoare vehiculate ca urmare a

acţiunii răutăcioase a unor utilizatori aparţinând spaţiului privat (ex: căsuţa poştală şi ataşamentele); - interzice scurgerea de informaţii de pe alte căi care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);

- apăra reţeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în reţea (USB Stick, dischetă, CD, etc.)

18

- preveni manifestarea erorilor de proiectare ale aplicaţiilor ce realizează diverse servicii, precum şi punctele slabe ce decurg din exploatarea acestor greşeli.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre rolul şi menirea unui

firewall

Demonstraţie - prin explicarea şi evidenţierea modului de acţionare a unui firewall de către cadru didactic

EVALUARE

• În scris, probă practică sau proiect comun – configurarea unui firewall.

19

Fişa suport 7.2 Configurarea unui firewall

Acest material vizează competenţa / rezultat al învăţării : „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizarea sistemelor de calcul şi a reţelelor de calculatoare”.

Tehnologia firewall se bazează pe folosirea porturilor. Porturile nu sunt altceva decât nişte numere plasate într-un anumit loc bine definit în pachetul de date. Fiecare aplicaţie foloseşte anumite porturi deci anumite numere .

Figura 7.2.1 Configurari diferite privind implementarea unui firewall

Deşi un anumit serviciu poate avea un port asignat prin definiţie, nu există nici o restricţie ca aplicaţia să nu poată asculta şi alte porturi. Un exemplu comun este cel al protocolului de poştă electronică Simple Mail Transfer Protocol (SMTP). Acest serviciu are portul asignat 25. Posibil ca furnizorul de internet să blocheze acest port pentru a evita folosirea unui server de mail pe calculatorul propriu. Nimic nu ne opreşte însă să configurăm un server de mail pe un alt port. Motivul principal pentru care anumite

20

servicii au porturi asignate implicit este acela ca un client să poată găsi mai uşor un anumit serviciu pe o gazdă aflată la distanţă. Câteva exemple: serverele FTP ascultă portul 21; serverele HTTP sunt pe portul 80; aplicaţiile client de genul File Transfer Protocol (FTP) folosesc porturi asignate aleator de obicei mai mari ca 1023.

Există puţin peste 65000 porturi împărţite în porturi bine cunsocute (0–1023), porturi înregistrate (1024–49151) şi porturi dinamice (49152–65535). Deşi sunt sute de porturi cu aplicaţiile corespunzătore, în practică mai puţin de 100 sunt utilizate frecvent. în tabelul 1 putem vedea cele mai frecvente porturi şi protocolul care îl foloseşte. Trebuie să menţionăm că aceste porturi sunt primele vizate de un spărgător pe calculatorul victimei.

Tabel 1 Porturi comune şi protocoale

Port Serviciu Protocol 21 FTP TCP 22 SSH TCP 23 Telnet TCP 25 SMTP TCP 53 DNS TCP/UDP

67/68 DHCP UDP 69 TFTP UDP 79 Finger TCP 80 HTTP TCP 88 Kerberos UDP

110 POP3 TCP 111 SUNRPC TCP/UDP 135 MS RPC TCP/UDP 139 NB Session TCP/UDP 161 SNMP UDP 162 SNMP Trap UDP 389 LDAP TCP 443 SSL TCP 445 SMB over IP TCP/UDP 1433 MS-SQL TCP

O bună practică de siguranţă este blocarea acestor porturi dacă nu sunt folosite. Se recomandă folosirea practicii least privilege. Acest principiu constă în acordarea accesului minimal, strict necesar desfăşurării activităţii unui serviciu. Să nu uităm că securitatea este un proces fără sfârşit. Dacă un port este inchis astăzi nu înseamna ca va rămâne aşa şi mâine. Se recomanda testarea periodică a porturilor active. De asemenea aplicaţiile au grade de siguranţă diferite; SSH este o aplicaţie relativ sigură pe când Telnet-ul este nesigur.

21

Prezentarea firewall-ului inclus în Windows XP SP2

Figura 7.2.2 Windows firewall inclus odata cu Windows XP SP2

Componenta firewall are funcţia de a supraveghea comunicaţia sistemului precum şi a aplicaţiilor instalate cu internetul sau reţeaua şi să blocheze în caz de nevoie conexiunile nedorite. Ea asigură protecţia PC-ului împotriva pro-gramelor dăunătoare şi a hacker-ilor. Spre deosebire de versiunea anterioară, Windows Firewall este activat în Service Pack 2 imediat după instalare şi blochează majoritatea programelor care comunică cu internetul. De aceea, mulţi utilizatori preferă să îl dezactiveze în loc să îl configureze. Pentru o configurare optima nu sunt necesare decât câteva setări de bază.

Dacă un program instalat împreună cu sistemul de operare încearcă să iniţieze o legătură la internet sau la reţeaua internă, apare o fereastră de informare care întreabă cum doriţi să trataţi această comunicare. Sunt la dispoziţie opţiunea de a bloca sau a permite conexiunea. În funcţie de selecţie, firewall-ul din XP stabileşte automat o regulă. Dacă unei aplicaţii trebuie să îi fie permis să realizeze legături, în registrul Exceptions se pot stabili reguli permanente corespunzătoare. În meniul Programs se obţine o listă cu toate aplicaţiile instalate de sistemul de operare, ale căror setări de conectare pot fi definite după preferinţe.

22

Aplicaţiile individuale nu sunt de multe ori enumerate în listă. Acestea pot fi introduse în listă cu ajutorul opţiunii Add Program, indicând apoi calea spre executabil printr-un clic pe Browse. Din motive de siguranţă se pot defini suplimentar, la Ports, ce interfeţe şi ce protocol - TCP sau UDP - poate utiliza programul. În aceeaşi fereastră se află şi butonul Change Scope, cu ajutorul căruia este posibilă introducerea de diverse adrese IP ale sistemelor cu care programul are voie să realizeze o conexiune. Dacă aceste date nu sunt încă definite, aplicaţia este în măsură să comunice pe toate porturile şi cu toate sistemele ceea ce, funcţie de aplicaţie, are ca urmare diverse riscuri de securitate.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii cu privire la modul de

definire al unei reguli de „accept” şi a unei reguli de „blocat” la un firewall

Demonstraţie - prin explicarea şi evidenţierea de către cadru didactic a modului de definire a regulilor unui firewall (de preferat aplicaţii distincte, cât mai variate)

Exerciţiu - prin realizarea si definirea unor reguli de către elevi

EVALUARE

• Se pot folosi probe practice, scrise şi orale

23

Tema 8: Metode de securizare a reţelelor wireless

Fişa suport 8.1 Standarde de securitate pentru reţelele wireless

Acest material vizează competenţa / rezultat al învăţării : „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizarea sistemelor de calcul şi a reţelelor de calculatoare”.

Prima astfel de reţea a fost pusă în funcţiune în 1971 la Universitatea din Hawai sub forma unui proiect de cercetare numit ALOHANET. Topologia folosită era de tip stea bidirecţională şi avea ca noduri constituente un număr de şapte calculatoare împrăştiate pe patru insule din arhipelag ce comunicau cu un nod central aflat pe insula Oahu doar prin legături radio.

Figura 8.1.1 Posibilităţi de conectare wireless, de aici şi necesitatea securizării accesului

Iniţial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo unde amplasarea de cabluri ar fi fost tehnic imposibilă. Ca şi în alte cazuri din istoria tehnicii de calcul, primele soluţii produse pe scară largă au fost cele proprietare (nestandard) şi orientate pe diverse nişe de piaţă, dar odată cu sfârşitul anilor ‘90 acestea au fost înlocuite de cele standard şi generice cum ar fi cele descrise de familia de standarde 802.11 emise de IEEE.

Versiunea iniţială a standardului IEEE 802.11 lansată în 1997 prevedea două viteze (1 şi 2 Mbps) de transfer a datelor peste infraroşu sau unde radio. Transmisia prin

24

infraroşu rămâne până astăzi o parte validă a standardului, fară a avea însă implementări practice.

Au apărut atunci cel puţin şase implementări diferite, relativ interoperabile şi de calitate comercială, de la companii precum Alvarion (PRO.11 şi BreezeAccess-II), BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus şi AirSurfer Pro), Symbol Technologies (Spectrum24) şi Proxim (OpenAir). Un punct slab al acestei specificaţii era că permitea o varietate mare a designului, astfel încât interoperabilitatea era mereu o problemă. 802.11 a fost rapid înlocuit (şi popularizat) de 802.11b în 1999 ce aducea, pe lângă multe îmbunătăţiri în redactare, şi o viteză crescută de transmisie a datelor de până la 11Mbps. Adoptarea pe scară largă a reţelelor 802.11 a avut loc numai după ce 802.11b a fost ratificat ca standard, iar produsele diverşilor producători au devenit interoperabile.

Cam în aceeaşi perioadă (1999) a apărut şi 802.11a, o versiune pentru banda de 5GHz a aceluiaşi protocol. Acesta a fost urmat de 802.11g, în iulie 2003, ce aducea performanţe sporite, atât în ceea ce priveşte viteza de transmisie (ce urca la 54Mbps), cât şi distanţa de acoperire în jurul antenei.

Standardul aflat în prezent în elaborare de către IEEE este 802.11n – acesta aduce şi el îmbunătăţiri, cum ar fi o viteză teoretică de transmisie de 270Mbps.

Ca în cazul oricărei tehnici de transmisie sau comunicaţie care se dezvoltă rapid şi ajunge să fie universal folosită, apare la un moment dat necesitatea de a implementa diverse tehnici de protecţie a informatiilor transmise prin reţelele de acest tip. În cazul 802.11, securitatea se referă atât la topologia şi componenţa reţelei (i.e. asigurarea accesului nodurilor autorizate şi interzicerea accesului celorlalte în reţea), cât şi la traficul din reţea (i.e. găsirea şi folosirea unei metode de securizare a datelor, de criptare, astfel încât un nod care nu este parte din reţea şi care, deci, nu a fost autentificat să nu poată descifra „conversaţiile” dintre două sau mai multe terţe noduri aflate în reţea). Un ultim aspect al securităţii îl constituie autentificarea fiecărui nod, astfel încât orice comunicaţie originată de un nod să poată fi verificată criptografic sigur ca provenind, într-adevăr, de la nodul în cauză.

25

Figura 8.1.2 Posibilitaţi de conectare folosind conexiuni wireless

Primele tehnici de securitate ce au fost folosite în astfel de reţele au fost cele din clasa „security by obscurity”, adică se încerca atingerea siguranţei prin menţinerea secretă a specificaţiilor tehnice şi/sau prin devierea de la standard – nu de puţine ori în măsură considerabilă. Aceste tehnici însă, aşa cum s-a arătat mai devreme, au adus în mare parte neajunsuri implementatorilor, deoarece făceau echipamentele diferiţilor producători vag interoperabile. Alte probleme apăreau din însăşi natura proprietară a specificaţiilor folosite.

Tehnicile de generaţia întâi (WEP)

Prima tehnică de securitate pentru reţele 802.11 ce a fost cuprinsă în standard (implementată de marea majoritate a producătorilor de echipamente) a fost WEP - Wired Equivalent Privacy. Această tehnică a fost concepută pentru a aduce reţelele radio cel puţin la gradul de protecţie pe care îl oferă reţelele cablate – un element important în această direcţie este faptul că, într-o reţea 802.11 WEP, participanţii la trafic nu sunt protejaţi unul de celălalt, sau, altfel spus, că odată intrat în reţea, un nod are acces la tot traficul ce trece prin ea. WEP foloseşte algoritmul de criptare RC-4 pentru confidenţialitate şi algoritmul CRC-32 pentru verificarea integrităţii datelor. WEP a avut numeroase vulnerabilităţi de design care fac posibilă aflarea cheii folosite într-o celulă (reţea) doar prin ascultarea pasivă a traficului vehiculat de ea. Prin metodele din prezent, o celulă 802.11 WEP ce foloseşte o cheie de 104 biţi lungime poate fi „spartă” în aproximativ 3 secunde de un procesor la 1,7GHz.

26

Filtrarea MAC

O altă formă primară de securitate este şi filtrarea după adresa MAC (Media Access Control address), cunoscută sub denumiri diverse precum Ethernet hardware address (adresă hardware Ethernet), adresă hardware, adresa adaptorului de reţea (adaptor - sinonim pentru placa de reţea), BIA - built-in address sau adresa fizică, şi este definită ca fiind un identificator unic asignat plăcilor de reţea de către toţi producătorii.

Adresa MAC constă într-o secvenţă numerică formată din 6 grupuri de câte 2 cifre hexadecimale (în baza 16) de tipul 00-0B-E4-A6-78-FB. Primele 3 grupuri de câte două caractere (în acest caz 00-0B-E4) identifică întotdeauna producătorul plăcii de reţea (RealTek, Cisco, etc.), iar următorii 6 digiţi identifică dispozitivul în sine.

O formă des utilizată de securizare a unei reţele wireless rămâne şi această filtrare după adresa MAC. Această politică de securitate se bazează pe faptul că fiecare adresa MAC este unică şi aşadar se pot identifica clar persoanele (sistemele) care vor trebui să aibă acces. Dacă într-o primă fază această adresă era fixată, noile adrese se pot modifica, astfel această formă de securizare îşi pierde din valabilitate. Totuşi deşi există riscul ca prin aflarea unui MAC valid din cadrul unei reţele, folosind un program de tip snnifer, şi schimbându-şi MAC-ul în cel nou, atacatorul va putea avea acces legitim, mulţi administratori folosesc în continuare aceasta formă de securizare, datorită formei foarte simple de implementare. De aceea, această formă de parolare este necesară să se completeze şi cu alte securizări enunţate mai sus.

Tehnicile de generaţia a doua (WPA, WPA2)

Având în vedere eşecul înregistrat cu tehnica WEP, IEEE a elaborat standardul numit 802.11i, a cărui parte ce tratează securitatea accesului la reţea este cunoscută în practică şi ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publice şi private, mesaje cu cod de autentificare (MAC), precum şi metode extensibile de autentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni în întâmpinarea utilizatorilor casnici sau de arie restrânsă, IEEE a dezvoltat şi o variantă mai simplă a standardului şi anume WPA-PSK (< Pre-Shared Key mode). În acest mod, în loc de un certificat şi o pereche de chei (publică şi privată), se foloseşte o singură cheie sub forma unei parole care trebuie cunoscută de toţi membrii reţelei.

Apariţia interesului şi necesităţii pentru administrarea centralizată a securităţii

Odată cu apariţia unor astfel de tehnici şi metode avansate de securizare a accesului la mediul de transmisie, s-a făcut simţită şi nevoia de a administra o astfel de structură de autentificare dintr-o locaţie centrală. Aşa se face că tot mai multe dispozitive de tip Access Point (echipamentele ce fac legătura dintre reţeaua cablată şi cea transportată prin unde radio, având un rol primordial în menţinerea securităţii reţelei) pot fi configurate automat dintr-un punct central. Există chiar seturi preconfigurate de echipamente ce sunt destinate de către producător implementării de hotspot-uri (locuri unde se poate beneficia de acces la Internet prin 802.11 gratis sau contra cost). Aceste seturi conţin de obicei un echipament de gestiune a reţelei, o consolă de administrare, un terminal de taxare şi unul sau mai multe Access Point-uri.

27

Atunci când sunt puse în funcţiune, acestea funcţionează unitar, accesul şi activitatea oricărui nod putând fi atent şi în detaliu supravegheată de la consola de administrare.

Apariţia interesului şi necesităţii pentru integrarea cu alte sisteme de securitate

Imediat după perfectarea schemelor de administrare centralizată a securităţii în reţelele 802.11, a apărut necesitatea integrării cu sistemele de securitate ce existau cu mult înainte de implementarea reţelei 802.11 în acel loc. Această tendinţă este naturală; cu cât interfaţa de administrare a unui sistem alcătuit din multe componente este mai uniformă, cu atât administrarea sa tinde să fie mai eficientă şi mai predictibilă – ceea ce duce la creşterea eficienţei întregului sistem.

Figura 8.1.3 Necesitatea securizării unei reţele wireless

WPA a fost prima tehnologie care a facilitat integrarea pe scară largă a administrării reţelelor radio cu cele cablate, deoarece se baza pe principii comune descrise de standardul 802.1X. Astfel, o companie poate refolosi întreaga infrastructură pentru au-tentificarea şi autorizarea accesului în reţeaua sa cablată şi pentru reţeaua radio. WPA poate fi integrat cu RADIUS, permiţând astfel administrarea şi supravegherea unei reţele de dimensiuni mari ca şi număr de noduri participante la trafic (e.g. un campus universitar, un hotel, spaţii publice) dintr-un singur punct, eliminând astfel necesitatea supravegherii fizice a aparaturii de conectare (i.e. porturi de switch).

28



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre standardele de

securitate

EVALUARE


29

Fişa suport 8.2 Configurarea unei reţele wireless

Acest material vizează competenţa / rezultat al învăţării : „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare”.

Datorită scăderii corturilor echipamentelor de reţea şi dezvoltării foarte rapide produselor destinate creării şi configurării unei reţele wireless s-a impus introducerea de standarde care să asigure compatibilitatea şi unitatea definirii modelelor de reţele wireless.

Standardul IEEE (Institute of Electrical and Electronic Engineers) 802.11 este un set de standarde pentru reţele de tip WLAN(wireless local area network). Din cadrul acestui standard cel mai usual este IEEE 802.11b, numit şi Wi-Fi – folosind acest standard se pot trimite date cu 1, 2, 5.5 sau 11Mbps folosind banda de 2.4-2.5 GHz. Pentru condiţii ideale, distanţele scurte, fără surse care să atenuieze sau să interfereze standardul IEEE 802.11b operează la 11Mbps, mai mult decât poate oferi standardul “cu fir” Ethernet(10Mbps). În condiţii mai puţin ideale, conexiuni folosind vireze de 5.5, 2 sau chiar 1Mbps sunt folosite.

Standardul IEEE 802.11 mai are şi componentele IEEE 802.11a – cu o rată maximă de transfer de 54Mbps, folosind frecvenţe de 5Ghz – de aceea oferind un semnal mai curat şi o rată de transfer mai mare, şi standardul IEEE 802.11g – care are aceeaşi rată maximă de transfer de 54Mbps, folosind frecvenţe în banda S ISM.

Cel mai nou standard inclus este IEEE 802.11n – care încă nu a fost implementat final – el având următoarele limitări teoretice: rată maximă de transfer de 600 Mbps, funcţionare în benzile de frecvenţă 5GHz şi/sau 2.4 GHz şi o rază de acţiune în interior de ~ 300m. Acest standard se preconizează a se lansa oficial în 2010.

În standardul IEEE 802.11 se deosebesc două moduri de operare: modul infrastructură sau modul ad-hoc.

Modul infrastructură este folosit pentru a conecta calculatoare folosindu-se adaptoare wireless la o reţea legată „prin fire”. Ca exemplu: o firmă poate avea deja o reţea Ethernet cablată. Folosindu-se de modul infrastructură un laptop sau un alt calculator care nu are o conectare Ethernet cablată se poate conecta totuşi la reţeaua existentă folosind un nod de reţea denumit Access Point – AP – pentru a realiza un „bridge” (pod) între reţeaua cablată şi reţeaua wireless.

30

Figura 8.2.1 Modul „infrastructură” pentru o reţea wireless.

În cadrul acestui mod funcţional datele care sunt transmise de un client wireless către un client din reţeaua cablată sunt mai întâi preluate de AP care trimite la rândul lui datele mai departe.

Modul funcţional „Ad-hoc”

Acest mod de conectare este folosit pentru conectarea directă a două sau mai multe calculatoare, fără a mai fi nevoie de un AP(fară necesitatea unui echipament distinct de comunicare). Acest mod de comunicare totuşi este limitat la 9 clienţi, care pot să-şi trimită datele direct între ei.

Figura 8.2.2 Reprezentarea modulului „Ad-hoc”

31

Pentru configurarea unei reţele wireless de tip „infrastructură” sunt necesare a se parcurge următoarele etape (denumirile pot diferi de la un producător al echipamentului la altul):

a) Wireless Mode: Partea de wireless poate funcţiona în mai multe moduri şi poate diferi funcţie de producător sau versiune de firmware. Modurile pot fi:

- AP (Access Point), este modul cel mai des utilizat, fiind specific modului Infrastructure, în care două device-uri wireless nu sunt conectate direct, ci prin intermediul routerului sau Access Point-ului.

- Client, în acest mod partea radio conectează wireless portul WAN din router la un punct distant. Se foloseşte de exemplu în cazul unei conexiuni wireless cu providerul.

- Ad-Hoc, în acest mod clienţii se pot conecta direct intre ei :) , conexiunea dintre ei nu mai trece prin router.

- Client Bridged, în acest mod partea radio conecteaza wireless partea LAN a routerului cu un punct distant. Astfel partea LAN va fi în aceeaşi reţea cu partea LAN a punctului distant.

b) Wireless Network Mode: Standardul conexiunii wireless (B, G sau A) ales trebuie să fie suportat atat de router cât şi de device-urile wireless din reţea. În banda de 2,4 Ghz pot fi folosite standardele B şi G, iar în banda de 5 GHz standardul A. Viteza maximă pentru standardul B este 11 Mbps, iar pentru G şi A este 54 Mbps. Dacă în reţea aveţi device-uri care folosesc standarde diferite puteţi seta Mixed.

c) SSID (Security Set Identifier) sau Wireless Network Name: este numele asociat reţelei wireless. Default acest parametru este setat cu numele producătorului sau modelul de router sau Access Point. Din motive de securitate modificaţi această valoare cu un termen fară legătura cu producatorul, modelul sau date personale.

d) Wireless Chanel: Puteti seta unul din cele 13 canale disponibile pentru Europa.

e) Wireless Broadcast SSID: dacă setati Enable veţi afişa numele (SSID) în reţea. Dacă este Disable când veţi scana spectrul, reţeaua nu va fi afişată.

Odată parcurse etapele de mai sus reţeaua este creată – dar nu are setată nici o securitate. Este foarte important să se configureze şi această parte de securitate.

Astfel pentru securizarea unei reţele avem opţiunile:

WEP (Wired Equivalent Protection) este o metodă de criptare: - folosind 64 biti (10 caractere hexa) sau 128 biti (26 caractere hexa).

Caracterele hexa sunt: 0-9 şi A-F; - autentificare Open sau Shared Key.

Acum aceasta criptare WEP cu 64 biti poate fi spartă în câteva minute, iar cea cu 128 biţi în câteva ore, folosind aplicaţii publice.

WPA-PSK (WPA Preshared Key sau WPA-Personal) este o metodă mult mai sigură decât WEP. WPA2 este metoda cea mai sigură de criptare, fiind o variantă îmbunătăţită a metodei WPA. Şi aceste criptări (WPA şi WPA2) pot fi sparte dacă

32

parola conţine puţine caractere sau este un cuvânt aflat în dicţionar. Pentru a face imposibilă spargerea acestei criptări folosiţi parole lungi, generate aleator.

Pentru definirea unei reţele wireless bazată pe modelul ad-hoc nu sunt necesare echipamente distincte (router sau access point). Pentru acest mod nu sunt necesare decât că dispositivele ce se doresc a se conecta să conţină un adaptor wireless funcţional. Toate dispozitivele de acest gen au opţiunea de „ad-hoc”, opţiune care trebuie selectată pe toate dispozitivele ce se doresc a se conecta.

Un alt exemplu privind o astfel de reţea este prezentat în figura 3.

Figura 8.2.3 Exemplu privind o reţea bazată pe modelul „Ad-hoc”.

33



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre configurarea unei

reţele wireless

Demonstraţie - prin explicarea modului de configurarea a unei reţele wireless (de preferat să se folosească diferite modele de routere, de la producători diferiţi)

Exerciţiu – evidenţierea setărilor de către fiecare elev

EVALUARE

• Se pot folosi probe scrise sau orale

34

Fişa suport 8.3 Testarea securităţii unei reţele de tip wireless

Acest material vizează competenţa / rezultat al învăţării : „Instalează, configurează, sisteme de securitate” şi „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizare”.

Marea majoritate trăiesc cu certitudinea că un hacker este un personaj negativ care nu vrea decât să atace calculatoare din diverse motive. De fapt şi cei care studiază problemele de securitate fac acelaşi lucru. Există chiar şi un fel de cod de conduită în acest sector, odată ce a fost descoperită o gaură de securitate într-un sistem, hackerul ar trebui să-l anunţe pe cel care deţine sistemul de vulnerabilitate înainte de a face publică descoperirea.

Figura 8.2.1 Aplicaţie folosită pentru testarea securităţii wireless

Dicţionarul de jargon conţine mai multe definiţii ale cuvantului hacker, cele mai multe fiind legate de obsesia pentru tehnică şi de dorinţa de a rezolva probleme şi a depăşi limite. Există o comunitate, o cultură, formată din programatori experţi şi magicieni în ceea ce priveşte reţelele, care îşi are originea în primele experimente ARPAnet. Membrii acestei culturi au creat termenul de hacker. Hackerii au construit Internetul. Hackerii menţin World Wide Web funcţional. Dacă această comunitate numeşte pe cineva cracker, atunci înseamnă că persoana respectivă este un hacker. Conceptul de hacker nu este limitat doar la tehnică. Există oameni care aplică atitudinea unui hacker şi în alte domenii, cum ar fi electronica şi muzica. Termenul poate fi asociat celui mai înalt nivel din orice ştiinţă sau artă. Hackerii programatori recunosc aceste spirite înzestrate şi în alte persoane. Unele persoane spun că atitudinea unui hacker este independentă de domeniu. În continuarea acestui document ne vom concentra pe deprinderile şi atitudinea unui hacker programator, şi pe tradiţia celor care au impus denumirea de hacker.

Mai există un grup de oameni care se autodeclară hackeri, dar care nu sunt. Acesti oameni (în special adolescenţi) nu fac altceva decât să atace calculatoare pe Internet şi să folosească ilegal sistemul telefonic. Hackerii adevăraţi numesc aceste persoane

35

crackeri şi nu vor să aibă nici o legătură cu ei. Majoritatea hackerilor adevaraţi cred că crackerii sunt leneşi, iresponsabili şi nu foarte inteligenţi, şi simplul fapt de a fi capabil să intri în anumite calculatoare nu te face să fi hacker, la fel cum a fi capabil să porneşti o maşină fără chei nu te face un inginer auto. Din nefericire, mulţi jurnalişti şi scriitori au fost păcăliţi să folosească cuvântul hacker pentru a descrie crackeri; acest lucru îi irita pe hackerii adevăraţi. Diferenţa esenţială dintre un hacker şi un cracker este următoarea: hackerii construiesc lucruri, pe când crackerii nu fac altceva decât să distrugă.

Pentru testarea securităţii este necesar să apelăm la unele unelte care le-ar folosi persoanele rău-voitoare pentru a ne invada reţeaua.

În cadrul etapelor de investigare a nivelului de securitate, de multe ori se apelează la programe care se regăsesc la limita legalităţii, de aceea este foarte important că toate aceste teste să se efectuieze în deplină siguranţă (datele necesare să fie păstrate într-o formă securizată) şi obligatoriu cu acordul persoanelor implicate.

Din etapele necesare „spargeii” securităţii unei reţele menţionăm:

- Aflarea SSID – de acea este foarte important să se schimbe numele implicit şi să se dezactiveze „broadcasting”-ul sau anunţarea lui de către echipament. Majoritatea aplicaţiilor simple de scanare nu vor detecta în acest fel SSID-ul. Pentru detecţia SSID-ului se pot totuşi folosi două metode: metoda pasivă – implică „mirosirea” („sniffing”) pachetelor din jur, existând astfel posibilitatea de a intercepta informaţiile cu privire la AP, SSID şi STA – şi metoda activă – metoda implică ca STA să trimită cereri de probă folosind SSID să se testeze dacă AP răspunde. Dacă STA nu are SSID la începutul transmisiei, STA va transmite cererea cu SSID necompletat, iar la această cerere majoritatea AP vor răspunde oferindu-şi SSID pentru a „completa” pachetul de probă trimis de STA. AP va fi necesar să aibă configurată posibilitatea de a ignora cererile venite cu SSID necompletat.

- Urmează partea de „brute force” – pentru aflarea modalităţii de criptare a reţelei. WEB foloseşte un sistem criptic simetric numit RC4, folosind o cheie (64 sau 128 biţi) pentru a-şi proteja pachetele de date. Utilizatorul poate folosi o parte din cheie – „partea publică” – cea care va fi folosită la conectarea tuturor calculatoarelor din reţea. Adevărata cheie din cadrul algoritmului RC4 este generată pe baza unui algoritm de generare a unor numere, dar o „scăpare” în acest algoritm face ca lungimea cheii de criptare să se limiteze la 22 de biţi. Astfel un atacator poate culege suficiente informaţii cât să poată obţine acea cheie. Este indicat să se folosească securizarea de tip WPA2 – care este mult mai sigură (din pacate şi aceasta formă de securizare este posibil de „spart” – dar este mai mare consumatoare de timp şi necesită şi programe şi abilităţi deosebite).

- Realizarea documentaţiei de final în care să se precizeze breşele de securitate şi ceea ce se poate remedia.

36

Pentru o siguranţă sporită este indicat să se apeleze la reţele VPN definite peste aceste reţele wireless, special pentru a conferi nivele suplimentare de securitate (să urmeze logica schemei „security in depth”).

Figura 8.2.2 Tester hardware specializat pentru testarea reţelei wireless

Este de menţionat că au apărut echipamente specializate care sunt construite special pentru testarea securităţii unei astfel de reţele, majoritatea oferind următoarele:

- Funcţionare în benzi multiple(de multe ori ajustabile) 2,4 sau 5 GHZ; - Uşurinţă în utilizare şi configurare; - Măsurători cu privire la gradul de încărcare al reţelei şi descoperirea utilizatorilor

care folosesc intensiv reţeaua, inclusiv AP-urile cele mai încărcate; - Descoperirea accesului neautorizat în reţea; - Verificarea ariei de acoperire al reţelei pentru extinderi ulterioare sau

îmbunătătirea celei existente; - Monitorizarea clienţilor conectaţi, puterea şi calitatea semnalului; - Portabilitatea.

37



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii prin care se va evidenţia

modalităţile de testare a securităţii unei reţele wireless

EVALUARE


38

Tema 9: Mijloace de fraudă pe Internet

Fişa suport 9.1 Forme de înşelăciune în Internet

Acest material vizează competenţa / rezultat al învăţării : „Asigură mentenanţa preventivă a calculatoarelor şi reţelelor de calculatoare”.

Considerente legale:

Figura 9.1.1 Fradua prin Internet

Activitatea informatică presupune numeroase forme contractuale definite generic contracte informatice. Acestea pot fi de mai multe feluri: contracte de furnizare de echipament (hardware), contracte de asistenţă tehnică (computer service), contracte de furnizare de programe (software), cele mai variate forme de prestări de servicii, prelucrări de date (multiprogramming), contracte de consultanţă, etc. Îmbrăcând elementele mai multor categorii de contracte şi elemente specifice activităţii informatice aceste contracte innominati au caracteristici comune contractelor de prestări servicii, de asigurare de reţea, ale contractelor de credit sau de cont curent, ale contractelor de vânzare – cumparare sau de tranzacţie.Folosirea frauduloasă a numerelor de carţi de credit la cumpărarea de bunuri prin Internet constituie infracţiune în convenţie prevăzută de art. 215 alin. 3 raportat la art. 215 alin.2 din C.Pen.10

Fapta constă în inducerea în eroare a vânzătorului cu prilejul incheierii unui contract de vânzare – cumpărare fiind săvârşită în aşa fel încât fără această eroare cel înşelat nu ar fi încheiat sau executat contractul în condiţiile stipulate în protocoale şi în contracte de adeziune în materie, fapta sancţionată cu pedeapsa prevazută în alin. 2, întrucât inducerea în eroare a fost facută prin mijloace frauduloase în scopul de a obţine un folos material injust.

39

Tipuri şi metode de înşelătorii

Ameninţările informatice devin din ce în ce mai sofisticate, iar majoritatea utilizatorilor de computere şi Internet sunt expuşi atacurilor. Potrivit unui studiu efectuat de către compania de securitate Trend Micro, în 2007 atacurile prin intermediul Internetului au înregistrat cea mai explozivă evoluţie, iar cele desfaşurate prin intermediul mesageriei electronice au menţinut un ritm de creştere constant.

Oficialii Trend Micro au atras atenţia asupra fenomenului de automatizare a atacurilor informatice, prin tehnologii web 2.0, precum Javascript sau Flash, prin care utilizatorii pot deveni victime doar printr-o simplă accesare a unei adrese web „contaminate” sau în urma vulnerabilităţii unei aplicaţii software sau a unui sistem de operare, care nu sunt actualizate la zi cu ultimele specificaţii tehnice.

„Cele mai multe amenintari vin din zona în care legislatia este permisivă şi unde cunoştinţele tehnice scăzute permit înmulţirea vulnerabilităţilor”, au declarat, pentru Financial Director, reprezentanţii companiei româneşti de securitate informatică BitDefender.

Multe companii româneşti nu iau în seamă acest tip de atac informatic, fie din ignoranţă, fie din lipsa de fonduri, pentru asigurarea de măsuri adecvate. Totuşi, managerul unei companii trebuie să fie conştient că Bucureştiul, unde sunt concentrate majoritatea afacerilor de la noi, ocupă locul şaşe între oraşele lumii la capitolul phishing, potrivit unui raport asupra fraudei elctronice făcut public în luna septembrie de către compania americană de securitate Symantec.

Primele poziţii în top sunt ocupate de Karlsruhe (Germania), Moscova şi Londra. Capitala noastră este precedată de Paris şi Amsterdam, dar este în faţa unor oraşe ca Munchen şi Copenhaga.

Specialiştii în securitate recomandă companiilor implementarea unui sistem IT bazat pe mai multe nivele de protecţie, care să le apere reţelele informatice şi utilizatorii de diferitele tipuri de atacuri. Totusi, oricât de multe măsuri preventive se aplică, factorul uman rămâne de cele mai multe ori decisiv. Utilizatorii sunt sfătuiţi să trateze cu maximă atenţie paginile web care solicită, instalarea de software, să nu accepte instarea de aplicaţii direct din browserul de Internet, decât dacă sursa este de încredere, iar pagina respectivă aparţine într-adevăr companiei în drept. Trebuie să fim atenţi la programele şi fişierele descărcate de pe Internet sau via email şi să menţinem programele de securitate actualizate, spun experţii în securitate.

În România se pot pierde anual până la 200 de milioane de euro din cauza angajaţilor, ca urmare a atacurilor de tip phishing şi a gestionării improprii a mesajelor e-mail, afirmă specialiştii firmei româneşti de securitate Gecad Net. Principalul pericol îl reprezintă scurgerile de informaţii confidenţiale. Gecad citează un studiu realizat de

40

Forrester Reternet search, din care rezultă că la nivel global doar 49% dintre mesajele de e-mail sunt trimise respectând standardele de securitate. Cel puţin 20% dintre mesaje prezintă riscuri de divulgare a unor informaţii private.

Peste 40% dintre utilizatorii români care folosesc aplicaţii de mesagerie electronică, precum yahoo messenger, au fost ţintă unor atacuri informatice, potrivit unui sondaj online efectuat de furnizorul de soluţii de securitate Gecad Net. Dintre respondenţii sondajului, 35,1% au declarat că au avut o astfel de experienţă de cel puţin două ori, iar 7,3% s-au confruntat cel puţin o dată cu un astfel de atac.

Interesant este că peste un sfert dintre cei care au răspuns chestionarului Gecad Net (26,3%) au considerat că este posibil să fi trecut printr-o astfel de situaţie, fără să-şi fi dat seama. 31,2% dintre utilizatori sunt siguri că nu s-au confruntat niciodată cu un atac prin intermediul mesageriei instant.

Încercările de înşelătorie electronică efectuate prin intermediul aplicaţiilor de mesagerie tip instant sunt operate prin mai multe modalităţi. Una dintre ele ar fi trimiterea unui fisier infectat sau a unui link către un website de tip phishing. Dacă utilizatorul interacţionează fără precauţie, nu numai că poate pierde bani, dar calculatorul său poate fi inclus într-o reţea de computere care acţionează, fără voia proprietarilor, că putere de procesare a unor atacuri mai complexe. O altă modalitate, prin care un hacker poate profita, este data de exploatarea unei vulnerabilităţi la nivelul aplicaţiei de mesagerie, care poate permite controlul total al calculatorului, de la distanţă.

Clasificari termeni: 1. Furtul de parole – metode de a obţine parolele altor utilizatori; 2. Inginerie socială – convingerea persoanelor să divulge informaţii

confidenţiale; 3. Greşeli de programare şi backdoors – obţinerea de avantaje de la sistemele

care nu respectă specificaţiile sau înlocuire de software cu versiuni compromise; 4. Defecte ale autentificării – înfrângerea mecanismelor utilizate pentru

autentificare; 5. Defecte ale protocoalelor – protocoalele sunt impropriu proiectate sau

implementate; 6. Scurgere de informaţii – utilizarea de sisteme ca DNS pentru a obţine

informaţii care sunt necesare administratorilor şi bunei funcţionări a reţelei, dar care pot fi folosite şi de atacatori;

7. Refuzul serviciului – încercarea de a opri utilizatorii de a putea utiliza sistemele lor.

Clasificari de date empirice: • Furtul de informaţii externe (privitul peste umar la monitorul altei persoane); • Abuzul extern al resurselor (distrugerea unui hard disk); • Mascarea (înregistrarea şi redarea ulterioara a transmisiunilor de pe o reţea); • Programe dăunătoare (instalarea unui program cu scopuri distructive);

41

• Evitarea autentificării sau autorizării (spargerea parolelor); • Abuz de autoritate (falsificări de înregistrări); • Abuz intenţionat (administrare proastă intenţionată); • Abuz indirect (utilizarea unui alt sistem pentru a crea un program rău

intenţionat).

Clasificări bazate pe acţiune:

– modelul este focalizat doar pe informaţia în tranzit şi prezintă patru categorii de atacuri:

• Întreruperea – un bun al sistemului este distrus sau devine neutilizabil sau nedisponibil;

• Interceptarea – o parte neautorizată obţine accesul la un bun al sistemului; • Modificarea – o parte neautorizată care nu numai că obţine acces, dar îl şi

modifică; • Falsificarea – o parte neautorizată înserează obiecte contrafăcute în sistem.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre importanţa securizării

modului de navigare pe Internet şi modalităţile uzuale de fradudă folosite

EVALUARE

• Probe orale

42

Fişa suport 9.2 Mijloace şi metode de protecţie privind frauda pe internet

Acest material vizează competenţa / rezultat al învăţării : „Utilizează instrumente, proceduri de diagnostic şi tehnici de depanare pentru securizarea sistemelor de calcul şi a reţelelor de calculatoare” şi „Asigură mentenanţa preventivă a calculatoarelor şi reţelelor de calculatoare”.

Figura 9.2.1 O viziune cu privire la modalităţile de comitere a unei fraude

Nu judeca dupa aparenţe. Oricât de impresionant sau profesional realizat ar fi un site web aceasta nu înseamnă că oferă şi garanţie. La momentul actual există software care poate ajuta la creearea de site-uri cu aspect profesional în foarte scurt timp ceea ce înseamnă că autorii fraudelor pot crea fără mare greutate site-uri perfect asemanatoare cu cele ale comercianţilor online legali.

Fii atent la datele personale pe care le furnizezi online.Dacă primeşti e-mail-uri de la persoane pe care nu le cunoşti, prin care ţi se solicită date personale, cum ar fi numarul cardului de credit sau parola, nu trimite aceste date fără a afla mai multe despre persoana care îţi solicită aceste date. Infractorii folosesc aceste mesaje pentru a solicita date personale importante pretinzând că reprezintă spre exemplu un administrator de sistem sau un Internet Service Provider. În timp ce tranzacţiile securizate cu site-urile de comerţ electronic cunoscute sunt sigure, în special dacă este utilizat un card de credit, mesajele nesecurizate spre destinatari necunoscuţi nu sunt deloc sigure.

Atenţie specială asupra comunicaţiilor online cu persoane care îşi ascund adevarata identitate. Dacă primiţi un e-mail în care cineva refuză să-şi dezvăluie identitatea completă sau utilizează un e-mail care nu conţine nici o informaţie utilă pentru identificare, acest lucru poate reprezenta o indicaţie ca respectiva persoana nu vrea să lase nici o informaţie prin care aţi putea să o contactaţi pentru a reglementa ulterior o situaţie de bunuri nelivrate pentru care plata a fost deja efectuata în avans.

43

Atenţie la taxele ce trebuie plătite în avans. În general trebuie avută o mare grijă asupra vânzătorilor online de bunuri sau servicii care solicită trimiterea imediată de cecuri sau ordine de plată la o cutie poştală înainte de recepţia bunurilor sau realizarea serviciilor promise. Desigur companiile de tip ”.com” care sunt la începutul activităţii, deşi neavând o recunoaştere prealabilă, pot fi totuşi capabile de livrarea bunurilor sau serviciilor solicitate la un preţ rezonabil. În consecinţă, căutarea de referinţe online pentru companii care nu vă sunt cunoscute reprezintă un prim pas ce trebuie făcut înainte de a avea încredere într-o astfel de companie.

Figura 9.2.2 Modalităţi pentru protejarea contra fraudelor online (platformă software)

Utilizarea Internetului

Internetul este un instrument de creştere a puterii individuale, dând oamenilor acces la informaţie, de asemenea, Internetul creează cadrul stabilirii unor noi contacte cu oameni şi facilitează activitatea de comerţ. Internetul este într-o continuă creştere ca un mediu de distribuţie şi comunicare, urmând să devină o parte din viaţa de zi cu zi.

Efectul asupra companiilor de afaceri

Internetul afectează şi schimbă modul tradiţional de realizare a afacerilor. Toate companiile trebuie să aibă o prezenţă activă pe Internet.

Internetul oferă posibilitatea transferării în mare viteză a unor volume foarte mari de informaţii la un cost redus.

44

Datorita faptului că oricine din lume se poate conecta la Internet fără restricţii, acesta este considerat ca fiind public. Ca orice entitate deschisă accesului public, prezenta pe Internet implică un risc considerabil, atât pentru persoane, cât mai ales pentru companii. Fiind un spaţiu deschis, Internetul permite persoanelor rău intenţionate să producă daune celorlalţi indivizi mai mult decât orice altă reţea.

În contextul în care informaţia a devenit foarte valoroasă, tentaţiile de fraudare a sistemelor care o conţin au devenit din ce în ce mai mari. Având ca motiv fie interese financiare, fie pur şi simplu distracţia, infracţionalitatea si-a gasit loc şi în reţelele de calculatoare.


• Conţinutul poate fi predat în laboratorul de informatică (sau sală de curs dotată cu videoproiector si/sau flipchart).

CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre modalităţile de

fraudă, exemple din cotidian

EVALUARE



Fişa rezumat

Clasa ________________ Profesor______________________

Nr. Crt.

Nume şi prenume

elev


A 1 A 2 A X A 1 A 2 A 3 A 1 A 2 A 3

1 zz.ll.aaaa1

2

3

4

...

Y












Notă: acest format de fişă este un instrument detaliat de înregistrare a progresului elevilor. Pentru fiecare elev se pot realiza mai multe astfel de fişe pe durata derulării modulului, aceasta permiţând evaluarea precisă a evoluţiei elevului, în acelaşi timp furnizând informaţii relevante pentru analiză.

47

V. Bibliografie

1. Ionescu, Dan. (2007). Retele de calculatoare, Alba Iulia: Editura All 2. Georgescu, Ioana. (2006). Sisteme de operare, Craiova: Editura Arves 3. ***.La http://en.wikipedia.org. Informaţii multiple, 30.04.09 4. ***.La http://support.microsoft.com/. Informaţii multiple, 30.04.09 5. ***.La http://www.datasecurity.ro/?p=24, 02.05.09 6. Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete







http://www.datasecurity.ro/?p=24�

1

Asamblarea unui sistem de calcul

Cuprins I. Introducere ................................................................................................................... 2 II. Documente necesare pentru activitatea de predare .................................................... 4 III. Resurse ...................................................................................................................... 5

Tema 1. Descrierea componentelor şi parametrilor unui sistem de calcul ................... 5 Fişa suport 1.1. Carcasa sistemelor de calcul .......................................................... 5 Fişa suport 1.2. Sursa de alimentare a sistemelor de calcul .................................... 7 Fişa suport 1.3. Placa de bază a unui sistem de calcul .......................................... 11 Fişa suport 1.4. Procesoarele sistemelor de calcul ................................................ 14 Fişa suport 1.5. Sistemul de răcire a calculatoarelor .............................................. 17 Fişa suport 1.6. Tipurile de memorie a sistemelor de calcul ................................... 20 Fişa suport 1.7. Plăcile de extensie a sistemelor de calcul ..................................... 24 Fişa suport 1.8. Unităţile de stocare a sistemelor de calcul .................................... 28 Fişa suport 1.9. Compararea componentelor unui sistem desktop cu cel al unui ... 33

Tema 2. Instalarea componentelor unui sistem de calcul .......................................... 37 Fişa suport 2.1. Deschiderea carcasei şi instalarea sursei de alimentare .............. 37 Fişa suport 2.2. Ataşarea componentelor la placa de bază şi instalarea acesteia în carcasă ................................................................................................................... 39 Fişa suport 2.3. Instalarea componentelor din locaşurile interne şi externe .......... 43 Fişa suport 2.4. Instalarea plăcilor de extensie ...................................................... 45 Fişa suport 2.5. Conectarea cablurilor interne ........................................................ 47 Fişa suport 2.6. Reataşarea panourilor laterale şi conectarea cablurilor externe ... 50

Tema 3. Verificarea funcţionării unui sistem de calcul ............................................... 52 Fişa suport Inspectarea vizuală a componentelor şi pornirea calculatorului .......... 52


2


Prezentul material de predare, se adresează cadrelor didactice care predau în cadrul liceelor, domeniul Electronică şi automatizări, calificarea Tehnician operator tehnică de calcul.

El a fost elaborat pentru modulul Asamblarea unui sistem de calcul, ce se desfăşoară în 33 ore, în următoarea structură:


Competenţe Teme Fise suport

1. Identifică componentele unui sistem de calcul conform specificaţiilor

• Tema 1 Descrierea componentelor şi parametrilor unui sistem de calcul

• Fişa suport 1.1 Carcasa sistemelor de calcul

• Fişa suport 1.2 Sursa de alimentare a sistemelor de calcul

• Fişa suport 1.3 Placa de bază a unui sistem de calcul

• Fişa suport 1.4 Procesoarele sistemelor de calcul

• Fişa suport 1.5 Sistemul de răcire a calculatoarelor

• Fişa suport 1.6 Tipurile de memorie a sistemelor de calcul

• Fişa suport 1.7 Plăcile de extensie a sistemelor de calcul

• Fişa suport 1.8 Unităţile de stocare a sistemelor de calcul

• Fişa suport 1.9 Compararea componentelor unui sistem desktop cu cel al unui Laptop

2. Instalează componentele unui sistem de calcul conform

• Tema 2 Instalarea componentelor unui sistem de calcul

• Fişa suport 2.1 Deschiderea carcasei şi instalarea sursei de alimentare

• Fişa suport 2.2 Ataşarea


specificaţiilor componentelor la placa de bază şi instalarea acesteia în carcasă

• Fişa suport 2.3 Instalarea componentelor din locaşurile interne şi externe

• Fişa suport 2.4 Instalarea plăcilor de extensie

• Fişa suport 2.5 Conectarea cablurilor interne

• Fişa suport 2.6 Reataşarea panourilor laterale şi conectarea cablurilor externe

3. Verificară funcţionarea unui sistem de calcul

• Tema 3 Verificarea funcţionării unui sistem de calcul

• Fişa suport Inspectarea vizuală a componentelor şi pornirea calculatorului

Absolvenţii nivelului 3, liceu, calificarea Tehnician operator tehnica de calcul, vor fi capabili să îndeplinească sarcini cu caracter tehnic de montaj, punere în funcţiune, întreţinere, exploatare şi reparare a echipamentelor de calcul.



• Standardul de Pregătire Profesională pentru calificarea Tehnician echipamente de calcul, nivelul 3 avansat – www.tvet.ro, secţiunea SPP sau www.edu.ro , secţiunea învăţământ preuniversitar

• Curriculum pentru calificarea Tehnician echipamente de calcul, nivelul 3 avansat – www.tvet.ro, secţiunea Curriculum sau www.edu.ro , secţiunea învăţământ preuniversitar





5

III. Resurse

Tema 1. Descrierea componentelor şi parametrilor unui sistem de calcul

Fişa suport 1.1. Carcasa sistemelor de calcul

Acest material vizează competenţa / rezultat al învăţării : Identifică componentele unui sistem de calcul

Carcasa unui sistem de calcul este o cutie realizată din oţel, aluminiu, plastic sau o combinaţie a acestora şi care are scopul de a protejeaza şi susţine componentele interne ale calculatorului.

Forma şi dimensiunea carcaselor este foarte variată. Termenul de specialitate folosit pentru descrierea formei şi dimensiunii unei carcase se numeşte forma de factor. În momentul în care vorbim de forma de factor internă (dimensiunile interne ale carcasei pentru a putea oferii spaţiu componentelor interne), acesta poate fi de două tipuri: Desktop şi Turn (Tower). Forma de factor externă (dimensiunile externe a carcasei, care trebuie să încapă într-un spaţiu definit) este importantă mai ales la carcasele sistemelor rack-abile (rack-mountable) şi blade (servere).

Figura 1.1 Diferite carcase ale sistemelor de calcul

În general, alegerea carcasei se va realiza în primul rând în funcţie de forma şi dimensiunea blăcii de bază. Alţi factor de alegere ar fi spaţiul pentru unităţi de stocare interne sau externe, sursa de alimentare, ventilaţie, aspect şi afişaj electronic. Indiferent de alegere, carcasa trebuie să fie rezistentă, uşor de întreţinută şi să aibă spaţiu suficient pentru o extindere ulterioară.

O altă funcţiile a unei carcase este aceea de a menţine componentele la o temperatură adecvată. Acesta se realizează prin ventilatoarele de carcasă care mişcă aerul în interiorul acestuia. Cu cât sistemul de calcul este mai utilizat şi mai ales cu cât

puterea de calcul este mai mare, se produce o cantitate mai mare de căldură ce trebuie evacuată, prin urmare se vor instala un număr corespunzător de ventilatoare.

Pe lângă protecţie faţă de factorii de mediu, carcasele previn deteriorarea componentelor din cauza descărcării electricităţii statice. Componentele interne ale calculatorului sunt împământate prin ataşarea acestora la structura carcasei.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre specificaţiile tehnice

(formă, dimensiune, şi altele) ale carcaselor şi a funcţiilor acestora. Demonstraţie - prin desfacerea şi explicarea diferitelor carcase de către

cadru didactic

EVALUARE


Fişa suport 1.2. Sursa de alimentare a sistemelor de calcul


Sursa de alimentare transformă curentul alternativ (AC), care provine dintr-o priză, în curent continuu (DC), acesta având un voltaj mai scăzut. Toate componentele unui calculator se alimentează cu curentul continuu.

Figura 1.2.1 Sursă de alimentare

Sursa trebuie să asigure suficientă energie electrică pentru toate componentele instalate şi să permită adăugarea ulterioară de noi componente.

Majoritatea surselor de alimentare actuale se potrivesc formei de factor ATX. Aceste surse pot fi uşor înlocuite fiind potrivite majorităţii sistemelor de calcul. Sursele ATX sunt capabile ca la semnalul plăcii de bază, în momentul opririi calculatorului să întrerupă curentul.

Conectorii sursei de alimentare

Sunt în general codati, adică proiectaţi pentru a fi inseraţi într-o singură direcţie. Firele sunt colorate pentru a evidenţia faptul că îl parcurge un curent de un anumit voltaj. Pentru conectarea anumitor componente şi diverse zone de pe placa de bază sunt folosite conectori diferiţi:

• Molex - conector codat utilizat la conectarea unei unităţi optice sau unităti de stocare (Hard Disk).

Figura 1.2.2

• Berg (mini-Molex) - folosit la conectarea unei unităţii de dischetă sau a unei plăci grafice AGP.

Figura 1.2.3

• Serial ATA (SATA) - conector codat utilizat la conectarea unei unităţi optice sau unităti de stocare (Hard Disk). În cazul lipsei unei astfel de cablu, pentru conectarea unei unităţi SATA se va folosi un adaptor.

Figura 1.2.4

• Placa de bază este conectată prin conectori de 20 sau 24 de pini, având câte doua rânduri a câte 10 respectiv 12 pini. Acesta se numeşte P1. În cazul în care placa de bază are conector de 24 de pini se poate conecta fie o sursa cu un cablu de 24 de pini, fie un cablu de 20 de pini şi un al doilea de 4 pini pentru a forma cei 24 de pini.

Figura 1.2.5

Culoare pin pin Culoare 1 13 2 14 3 15 4 16 5 17 6 18 7 19 8 20 9 21 10 22 11 23 12 24

Figura 1.2.6 Firele dintr-un conector ATX de 24 de pini

• Standardele mai vechi de surse de alimentare (AT) foloseau doi conectori necodaţi numiţi P8 şi P9 pentru conectarea la placa de baza. Aceştea puteau fi conectaţi greşit, putând astfel deteriora placa de bază sau sursa de alimentare. Instalarea presupunea alinierea celor doi conectori astfel încât firele negre să fie împreuna la mijloc.

Culoare pin P8 P8 P8 P8 P8 P8 P9 P9 P9 P9

Figura 1.2.7 Firele dintr-o pereche de conectori AT

• Conector de alimentare auxiliar de 4 sau 8 pini care alimentează diversele zonele ale plăcii de bază.

Figura 1.2.8

Cablurile, conectorii şi componentele sunt proiectate în aşa fel încât să se potrivească perfect. Dacă conectorii nu se potrivesc, nu se forţează. Prin conectarea incorectă se poate deteriora atât conectorul cât şi echipamentul sau sursa de alimentare. Problemele de inserare pot fi cauzate atât de fire îndoite sau obiecte străine cât şi de poziţia incorectă a conectorilor.

Nu desfaceţi sursa de alimentare. Condensatoarele din interiorul sursei de alimentare pot rămâne încarcate pentru o perioadă lungă de timp.

Pot fi amintite şi de cele patru mărimi de bază în electricitate:

• Voltaj (V) - Tensiunea - măsoară forţa necesară pentru impingerea electronilor prin circuit - se măsară în Volţi (V)

• Curent (I) - măsoară cantitatea de electroni care trece printr-un circuit - se măsară în Amperi (A)

• Putere (P) - măsoară presiunea necesară pentru impingerea electronilor prin circuit înmulţit cu numărul de electroni care circulă în acel circuit- se măsară în Watt (W)

• Rezistenţa (R) - este măsura prin care circuitul se opune trecerii curentului - se măsară în Ohmi


• Conţinutul poate fi predat în laboratorul de informatică. CUM?



(putere, tip şi altele) ale surselor de alimentare şi a funcţiilor acestora (ce face, pentru ce componente face, tipuri de cabluri şi conectori), dar şi măsurile de protecţie şi siguranţă (curentul poate ucide).

Demonstraţie - prin explicarea şi prezentarea diferitelor surse de alimentare de către cadru didactic

EVALUARE


Fişa suport 1.3. Placa de bază a unui sistem de calcul


Placa de bază este circuitul integrat principal şi conţine magistralele (Bus), sau căile circuitelor electrice, ce se găsesc într-un sistem de calcul.

Magistralele permit circularea datelor între diferitele componente care alcătuiesc un calculator. Placa de bază este cunoscută şi sub numele de placă de sistem, backplane, motherboard, sau placă principală.

Figura 1.3.1 Plăci de bază

Factorul de formă al plăcii de bază depinde de dimensiunea şi forma acestuia, ca şi în cazul carcasei calculatorului. Factorul de formă descrie aşezarea fizică a diferitelor componente şi echipamente pe placă. Diferiţii factori de formă pentru plăcile de bază sunt următoarele: AT, ATX, Mini-ATX, Micro-ATX, ITX, LPX, NLX, BTX.

Placa de bază găzduieşte socket-ul unităţii sau unităţilor centrale de procesare în care se introduce acestea (UCP), chip set-ul (interfaţa dintre FSB-ul processorului, memoria principală şi magistralele periferice), sloturile de memorie (RAM), chipurile de memorie non-volatilă (ROM - BIOS), sloturile de extensie şi circuitele încorporate care interconectează placa de bază cu celelalte componente. Conectorii interni (alimentare şi date) şi externi şi diferitele porturi sunt de asemenea aşezate pe placa de bază.

Socket-ul unităţii centrale, a procesorului determină tipul de procesor sau procesoare ce pot fi instalate pe acea placă de bază. Deasemenea, sistemul de răcire a pocesorului trebuie să fie compatibil cu acest socket, instalarea radiatorului şi al ventilatorului trebuie să se efectueze în aşa fel încât să securizeze procesorul, să fie în contact cu acesta pentru a o putea răcii însă să-l protejeze de greutatea sistemul de răcire. Socket-urile diferă de la un producător la altul, ca urmare trebuie avut mare grijă la alegerea făcută.

Chip set-ul este un set de componente foarte importante de pe placa de bază. Acesta este compus din diferite circuite integrate cu rolul de a controla modul de

interacţiune al sistemului hardware cu UCP şi placa de bază, controlând performanţa întregului sistem de calcul.

Chip set-ul plăcii de bază permite procesorului să comunice şi să interacţioneze cu celelalte componente din calculator şi să schimbe date cu aceştea, şi stabileşte câtă memorie poate fi adăugată la placa de bază.

Chip set-urile sunt împărţite în doua componente distincte: Northbridge şi Southbridge. Scopul acestora variază în funcţie de producător, dar în general northbridge-ul conectează procesorul la componetele de viteză foarte mare, controlând accesul la memorie (RAM) şi placa video, şi vitezele la care UCP-ul poate comunica cu aceştea. Southbridge-ul comunică cu componentele de viteză mică şi medie, prin porturile ISA, PCI, IDE, SATA, şi altele.

Figura 1.3.2 Arhitectura şi comunicarea Chip set-ului

FSB-ul (Front Side Bus) este magistrala de date dintre procesor şi Northbridge. Există la unele procesoare şi Back Side Bus, acesta fiind conexiunea dintre procesor şi cache (de obicei L2).

Transferul de date a FSB-ului este determinat de lăţimea de bandă, de viteza (numărul de cicluri pe secundă) şi de numărul de transferuri de date pe ciclu. Transferul per ciclu diferă în funcţie de tehnologiile folosite de către producători.

Pentru eficientizarea comunicării într-un sistem de calcul anumite componente trebuie să se sincronizeze. Memoria şi procesorul unui sistem de calcul trebuie să comunice la frecvenţa FSB-ului, sau la multiplul acestuia.

Mulţi producători integrează în placa de bază anumite componente, cum ar fi placa grafică, audio, reţea, USB, şi altele. Sloturile de extensie sunt şi ele foarte importante la

o placă de bază, oferind posibilitatea îmbunătăţirii acestuia prin adăugarea de componente care fie înlocuiesc unele integrate fie le completează pe acestea, oferind porturi externe pentru conectarea perifericelor la sistemul de calcul.

Memoria non-volatilă de pe placa de bază conţinând BIOS-ul sau Firmware-ul, este folosit de către sistemul de calcul la pornire, verificând componentele fizice prin procesul POST (Power On Self Test).

Detaliile fiecărei plăci de bază pot fi găsite atât în manualul oferit de producător cât şi pe pagina web al producătorului. Înainte de asamblarea unui sistem de calcul se vor consulta aceste surse.



CUM?



(tip, formă, conţinut şi altele) ale plăcilor de bază şi a funcţiilor acestora (ce face, cum face, pentru ce componente face, parametrii), dar şi măsurile de protecţie şi siguranţă (ESD).

Demonstraţie - prin explicarea şi prezentarea diferitelor plăci de bază de către cadru didactic

EVALUARE


Fişa suport 1.4. Procesoarele sistemelor de calcul


Procesorul / unitatea centrala de prelucrare (UCP) este creierul calculatorului, efectuând maioritatea calculelor din sistemul de calcul, operaţii aritmetice şi logice.

Funcţiile procesorului includ operaţii de citire şi scriere din şi în memoria principală, prelucrarea informaţiilor primite şi controlul comunicaţiilor, operaţii de coordonare (IRQ) şi control al dispozitivelor I/O.

Tipul procesorului folosit este determinat de socketul de pe placa de bază, acesta fiind interfaţa dintre cei doi. Pe parcursul anilor au apărut mai multe tipuri de procesoare pe diferite socketuri. Primele procesoare erau proiectate să efectueze operaţii pe 4 biţi, aztăzi însă unităţile de prelucrare funcţionează în mare parte pe 32 sau chiar 64 de biţi.

Figura 1.4 Procesoare ale sistemelor de calcul

Folosind arhitectura pin grid array (PGA), procesoarele actuale se inserează pe placa de bază fără a folosi forţa (ZIF - zero insertion force). Sunt unele procesoare mai vechi care insă se inserează asemenea plăcilor de extensie, în sloturi.

Unitatea de procesare execută un program, o secvenţă de instrucţiuni stocate în prealabil. Procesorul execută programul prin procesarea fiecărei secvenţe de date după cum este ghidat de program şi de setul de instrucţiuni. În timp ce unitatea centrală de procesare execută un pas din program, instrucţiunile rămase şi datele sunt stocate în apropiere într-o memorie specială numită cache. Această memorie este mult mai rapidă decât memoria principală. Procesorul verifică mai întâi dacă informaţia dorită este stocată în cache şi doar în cazul în care nu este va utiliza memoria principală. Memoria cache este împărţită pe trei niveluri: L1, L2, L3.

Din punct de vedere a capacităţii logice, există două arhitecturi majore de procesoare:

• Reduced Instruction Set Computer (RISC) – Aceste arhitecturi folosesc un set de instrucţiuni de dimensiuni mici, însă le execută foarte rapid.

• Complex Instruction Set Computer (CISC) – Aceste arhitecturi folosesc un set de instrucţiuni mai mare, efectuând mai puţini paşi pentru o operaţie.

Puterea unui procesor este măsurată prin viteza şi cantitatea de date procesată. Viteza unui procesor este evaluată în ciclii pe secundă. Cantitatea de date pe care un procesor o poate procesa la un moment dat depinde de magistrala de date a acestuia, adică de front side bus (FSB). Cu cât magistrala este mai mare, cu atât este mai puternic procesorul, având o viteză mai mare.

Viteza procesorului depinde în primul rând de ciclul de timp (clock rate) al acestuia. Practic este vorba de cicluri per secundă, ce se măsoară în hertz.

Înmulţind ciclului de timp cu un factor de multiplicare, se pot atinge diferite viteze de lucru.

Modificând valoarea factorului de multiplicare prevăzut de producător, se poate creşte viteza procesorului faţă de specificaţiile originele ale producătorului, acest process având denumirea de Overclocking.

Overclocking-ul nu este o metodă sigură de creştere a performanţei unui calculator şi poate avea efecte negative sau chiar defectarea procesorului.

O nouă tehnologie de proiectarea a rezultat apariţia generaţiilor de procesoare având mai multe unităţi centrale de prelucrare pe acelaşi cip (Multicore - Dual Core, Quad Core). Acestea sunt capabile să proceseze concurent mai multe instructiuni, însă atât sistemul de operare cât şi aplicaţiile instalate trebuie să poată folosi aceste capacităţi. Viteza acestor procesoare este mai mare şi datorită faptului că unele componente al acestora (interfaţa cu magistrala sau cache-ul L2) sunt folosite în comun de unităţile din acel cip, dar şi din cauza distanţei foarte mici dintre unităţi ce permite un ciclu de timp mai rapid.

Hyper-threading este o tehnică dezvoltată de un producător de procesoare, rezultând o creşterea de performanţă (până la 30%) datorită faptului că se execută simultan mai multe segmente de cod în parallel. Pentru sistemele de operare, procesoarele care folosesc hyperthreading, deşii fizic este unul singur, apar ca două procesoare.



CUM?



(tip, arhitectura, capacitate, viteză şi altele) ale procesoarelor şi a funcţiilor acestora (ce face, cum face, pentru ce componente face, parametrii), dar şi măsurile de protecţie şi siguranţă (ESD).

Demonstraţie - prin explicarea şi prezentarea diferitelor procesoare de către cadru didactic

EVALUARE


Fişa suport 1.5. Sistemul de răcire a calculatoarelor


Componentele sistemelor de calcul generează cantităţi mari de căldură în momentul funcţionării. Pentru ca aceste componente (processor, placă grafică, unităţi de stocarea datelor) să funcţioneze la parametrii optimi, este nevoie să se evacueze căldura generată.

Sistemul de răcire este compus în general din două componente: radiator şi ventilator, acestea fiind combinate sau îmbunătăţite prin unele tehnici şi metode. O metodă de reducere a căldurii generate o reprezintă aşa-numitul softcooling, adică o răcire prin acţiune software. Acest process nu răceşte, însă prin reglarea funcţionării unor componente ale sistemului de calcul, se controlează producerea de căldură de către aceştia.

Figura 1.5 Sisteme de răcire

Sistemele noi de calcul sunt proiectate în aşa fel încât în cazul supraîncălzirii se închid automat pentru a prevenii deteriorarea componentelor. Unele procesoare au mecanisme încorporate de reducere a vitezei sau chiar oprirea în cazul supraîncălzirii.

Răcirea întregului sistemului de calcul se realizează prin folosirea ventilatoarelor (Fan). Acestea trag aer rece în carcasă şi elimină aer cald din acesta, această circulaţie a aerului eficientizând răcirea componentelor interne.

Lipsa de ventilare corepunzătoare poate avea mai multe cause.

• Una din probleme ar putea fi numărul insufficient de ventilatoare sau nefuncţionarea unora din cele existente.

• Componentele interne, la rândul lor, pot perturba circulaţia aerului prin poziţia lor în sistemul de calcul.

• Praful depus pe ventilatoare poate îngreuna funţionarea acestora, rezultând o viteza mai scăzută şi automat o cantitate de aer mişcată mai mică.

Răcirea componentelor se poate realiza şi prin ataşarea unor radiatoare (heat sink) la acestea. Ele absorb căldura de la componentele la care sunt ataşate si îl elimină având

o suprafaţă mare. Radiataorele funcţionează pe baza transferului de energie termală, fiind realizate din metal (cupru sau aluminiu) elimină repede căldura. Materialul fiind conductor termal, o suprafaţă mai mare înseamnă o răcire mai bună.

Pentru eficientizarea trasferului de căldură de la componentă la radiator se utilizează o pasta termică, numită thermal compound. Acesta se aplică între componentă şi radiator, având o capacitate de absorbţie şi degajare a căldurii foatre mare.

Răcirea doar prin utilizarea de radiatoare se numeşte răcire pasivă. Ataşând un ventilator la radiatorul poziţionat pe componentă se obţine răcire activă.

O metodă deosebită de răcire a unor componente este pe bază de lichide sau gaze lichefiate. Acestea (apă, heliu, nitrogen) sunt canalizate prin nişte ţevi pentru a oferii răcirea dorită.

Reducerea curentului oferit unei componente are ca rezultat o reducere a căldurii produse, iar o creştere a vitezei de lucru a unei componente va fi urmat de producerea unei cantităţi mai mari de căldură. Overclocking-ul este o tehnică care are ca rezultat creşterea performanţei unei componete a sistemului de calcul, însă în acest caz este nevoie de o răcire substanţială aplicată acelei componente.

NU se vor atinge sistemele de răcire în timpul (posibilitate de accidentare a persoanei în cauză datorită rotaţiei ventilatoarelor dar şi a încălzirii radiatoarelor, precum şi deteriorarea a ventilatoarelor prin oprire forţată) şi imediat după funcţionarea acestora (radiatoarele putând fiind încă încălzite). Oprirea ventilatoarelor din mers poate cauza supraîncălzirea şi deteriorarea componentelor ventilate de acesta.

Idiferent ce sistem de răcire se foloseşte, ea trebuie fixată. Radiatoarele nu vor răcii sufficient dacă nu sunt în contact cu componentele iar ventilatoarele se pot deteriora şi pot transmite vibraţii întregului sistem producând zgomot.



CUM?



(tip, conectivitate şi altele) ale sistemelor de răcire şi a funcţiilor acestora (ce face, cum face, pentru ce componente face, parametrii), dar şi măsurile de mentenanţă şi siguranţă (praful şi pericolul de acccidentări).

Demonstraţie - prin explicarea şi prezentarea diferitelor sisteme de răcire de către cadru didactic

EVALUARE


Fişa suport 1.6. Tipurile de memorie a sistemelor de calcul


Memoriile calculatoarelor sunt acele componente care sunt folosite pentru stocarea de informaţii temporar sau permanent. Există două tipuri de memorii folosite în sistemele de calcul: volatilă şi non-volatilă.

Memoria volatilă - RAM

Random Access Memory (RAM) este o memorie care stochează temporar date şi programe, şi care îşi prierde conţinutul la închiderea calculatoruliu pentru că poate păstra informaţiile doar atât timp cât este alimentat.

Cu cât cantitatea de memorie RAM a unui calculator este mai mare, acesta va putea stoca cu atât mai multe informaţii, crescând astfel performanţa sistemului de calcul.

Există mai mult tipuri de RAM:

• DRAM – RAM-ul activ (Dynamic RAM), reprezintă memoria principală. Necesită reîncărcare periodică pentru a nu pierde informaţiile stocate, adică este activ.

• SRAM – RAM-ul static (Static RAM), este folosit în calitate de memorie cache fiind mult mai rapid decât DRAM-ul

• FPM RAM – Fast Page Mode RAM – memorie ce suportă indexarea în vederea accesului mai rapid

• EDO RAM – Extended Data Out RAM – memorie ce suprapune accesările consecutive de informaţii, accelerând timpul de access

• SDRAM – memorie DRAM sincronică – se sincronizează cu magistrala de memorie

• DDR SDRAM – memorie cu o rată de transfer dublă faţă de SDRAM deoarece se face transferul de informaţie de două ori într-un ciclu

• DDR2 SDRAM – variantă îmbunătăţită a DDR SDRAM-ului prin scăderea zgomotului şi a interfeţelor între fire

• RDRAM – RAMBus DRAM – au o rată de transfer foarte mare, sunt însă rar folosite

Module de memorie

Iniţial calculatoare aveau RAM-ul instalat pe placa de bază sub forma unor chip-uri individuale, numite chip-uri dual inline package (DIP), erau greu de instalat şi se desprindeau destul de des. Pentru rezolvarea aceastor probleme, s-au introdus modulele de memorie, acestea fiind circuite integrate speciale având ataşate chip-urile RAM. Aceste module sunt de mai multe tipuri:

• SIMM - Single Inline Memory Module - au configuraţii de 30 respectiv 72 de pini

• DIMM - Dual Inline Memory Module - conţin chipuri SDRAM, DDR SDRAM, DDR2 SDRAM şi au configuraţii de 168, 184 si de 240 de pini

• SO-DIMM - Small Outline DIMM - DIMM-uri folosite în Laptop-uri sau alte echipamente cum ar fi imprimante sau routere şi au configuraţii de 72, 144 şi 200 de pini

• RIMM - RAMBus Inline Memory Module – conţin chip-uri RDRAM cu configuraţia de 184 de pini

• SO-RIMM - Small Outline RIMM – versiune mică a DIMM-ului utilizat în Laptop-uri

Modulele de memorie pot avea o faţă sau două feţe, conţinând RAM pe una sau pe ambele părţi ale modului.

Figura 1.6.1 Modul de memorie

Cache

Aşa cum a fost menţionat mai sus, memoria SRAM este folosită ca memorie cache pentru stocarea datelor folosite cel mai frecvent. SRAM permite procesorului să acceseze mai repede date pe care în mod normal ar trebui să le citească din memoria principală, care este mai lentă.

Există trei tipuri de memorie cache:

• L1 – cache intern, integrat în procesor • L2 – cache extern, integrat în processor (iniţial era montat pe placa de bază) • L3 – cache extern, montat pe placa de bază, sau integrat în unele processoare

Verificarea erorilor

În momentul în care datele nu sunt salvate corect în chip-urile RAM, pot aparea erori de memorie. Pentru depistarea şi corectarea acestora sistemele de calcul folosesc diferite metode.

Tipuri de memorie:

• Nonparity – acest tip de memorie nu verifică erorile în memorie • Parity – aceste memorii conţin opt biţi pentru informaţii şi un bit pentru

verificarea de erori, acel bit fiind denumit bit de paritate • ECC – memoria cu cod de corectare poate detecta erori pe mai mulţi biţi însă

poate corecta erori pe un singur bit din memorie

Memoria non-volatilă - ROM

Chipurile de memorie Read-Only Memory (ROM) sunt localizate pe placa de bază, conţinând BIOS-ul şi instrucţiunile de bază folosite la pornirea (boot) calculatorului.

Chip-urile ROM sunt memorii non-volatile, adică îşi pastrează conţinutul chiar şi după ce a fost oprită alimentarea. Conţinutul acestora este înscripţionat în ele în momentul sau după fabricare şi nu poate fi şters sau modificat prin mijloace obişnuite.

Datorită dezvoltărilor, cu timpul au apărut mai multe tipuri de ROM: • ROM - Read Only Memory - înscripţionat în timpul fabricării, nu poate fi şters sau

rescris • PROM - Programmable Read Only Memory - înscripţionat după fabricare, nu

poate fi şters sau rescris ulterior (one-time programmable ROM) • EPROM - Electronically Programmable Read Only Memory - înscripţionat după

fabricare, poate fi şterş şi rescris de mai multe ori cu echipamente speciale prin expunerea la raze UV puternice

• EEPROM (Flash ROM – utilizat şi la carduri de memorie sau despozitive de stocare USB) - Electronically Erasable Programmable Read Only Memory - înscripţionat după fabricare, poate fi şterş şi rescris cu ajutorul curentului electric.

ROM poate fi găsit şi sub denumirea de firmware, însă firmware reprezintă de fapt software-ul păstrat într-un chip ROM.

Figura 1.6.2 Chip ROM



CUM?



(tip, capacitatea şi altele) ale memoriilor unui sistem de calcul şi a funcţiilor acestora (ce face, cum face, pentru ce componente face, parametrii), dar şi măsurile de protecţie şi siguranţă (ESD).

Demonstraţie - prin explicarea şi prezentarea diferitelor memorii de către cadru didactic

EVALUARE


Fişa suport 1.7. Plăcile de extensie a sistemelor de calcul


Plăcile de extensie sunt componente ce se pot ataşa la placa de bază prin intermediul unor porturi de extensie (sloturi de expansiune), oferind funcţionalităţi suplimentare sistemul de calcul prin îmbunătăţirea componentelor acestuia sau adăugarea de noi componente. Astfel fiecare calculator poate fi personalizat şi dotat în funcţie de necesităţi.

Pentru a adăuga o placă de extensie la un sistem de calcul este nevoie ca placa de bază să conţină un port de extensie corespunzător, compatibil cu noua componentă.

Standardele de porturi de explansiune sunt următoarele: ISA, EISA, MCA, PCI, AGP, PCI-Express. La acestea se pot conecta diferite componente cum ar fi: placă grafică, placă de sunet, placă de reţea, modem, adaptoare SCSI şi contoalere RAID, plăci de extenia porturilor (USB, paralel, serial).

Placa grafică sau video

Figura 1.7.1 Placă grafică

Este folosit pentru a oferii iesiri video acelor plăci de bază care nu au integrat o astfel de unitate, sau să o îmbunătăţească pe cea care există. Unele plăci video au funcţii multiple (captură video, TV tuner, decodor MPAG-2 sau MPEG-4, sau multiple porturi de ieşire video – VGA, DVI, S-Video, sau altele)

Sunt unele plăci grafice care necesită nu una, ci două sloturi de expansiune, în aceste cazuri placa de bază trebuie să ofere această posibilitate.

Plăcile grafice au un processor propriu numit Graphics processing unit (GPU) optimizat pentru accelerare grafică. Aceste procesoare există şi pe placa de bază în cazul plăcii grafice integrate în acesta, însă mai puţin performante decât cele dedicate.

Firmware-ul, sau BIOS-ul plăcii video controlează modul în care acesta comunică cu hardware-ul şi software-ul sistemul de calcul. Modificarea acestuia se poate realiza pentru îmbunătăţirea performanţei (overclocking), însă cu posibile probleme ireversibile.

Memoria plăcii grafice reprezintă una din criteriile de selecţie a acestora. În cazul plăcilor video integrate în placa de bază, memoria lor este împrumutată din cea principală (din RAM). Plăcile dedicate au însă memorie proprie, ce funcţionează la o viteză superioară RAM-ului şi care poate fi reglat din software. Unele plăci oferă şi posibilitatea ca pe lângă memoria dedicată oferită să utilizeze şi din RAM-i.

Placa de sunet sau audio

Figura 1.7.2 Placă audio

Pentru a produce sunete, sistemul de calcul are nevoie de o componentă care să le producă, acesta fiind placa de sunet. Acestea sunt adesea integrate pe placa de bază sau se pot conecta la acesta prin porturi de extensie, oferind ieşiri şi intrări audio. Indiferent de tipul plăcii, toate convertesc semnalul digital în analog, transformând sunetul într-un format perceptibil omului. Calitatea acestui sunet depinde de placa audio dar şi de programul instalat care o controlează.

Numărul de intrări şi ieşiri diferă, însă sunt trei conectori pe care îi găsim la fiecare placă de sunte: line out, line in şi microfon.

De la cele simple şi până la cele profesionale (5.1 sau 7.1), toate plăcile audio au afişate simboluri care să identifice diferitele porturi, care sunt codate după culori.

În cazul în care placa de bază nu are integrat o placă de sunet, dar nici nu putem conecta una la placa de bază pentru că acesta nu are porturi corespunzătoare, putem ataşa o placă audio prin portul USB.

Placa de reţea

Figura 1.7.3 Plăci de reţea cu, respective fără fir

Pentru a se putea conecta la o reţea, un sistem de calcul are nevoie de o placă de reţea Network Interface Card (NIC). Fie că e vorba de o reţea cablată sau una fără fir (wireless), comunicarea se poate realiza cu condiţia de a avea o adresă unică prin care să se poată identifica fiecare nod al reţelei. Aceasta adresă este dată de placa de reţea, fiecare având inscripţionat din momentul fabricării o adresă MAC, notată în fexazecimal pe 48 de biţi. Acesta este stocat în ROM-ul de pe placa de reţea.

Plăcile de reţea pot fi integrate pe placa de bază sau se pot ataşa la acesta prin porturi de extensie, sau se pot conecta la calculator prin porturile USB respectiv prin PC Card-uri (în cazul Laptop-urilor).

În cazul conectării la o reţea cablată, placa de reţea va avea un conector RJ45 (cele vechi aveau conectori BNC) iar în cazul reţelelor fără fir placa va avea o antenă prin care va comunica cu echipamentul de reţea. Distanţa pe care se pot conecta calculatoarele la reţea depinde atât de standardul implementat cât şi de echipamentele folosite. În cazul reţelelor fără fir pot intervenii şi probleme cauzate de puterea antenelor respectiv de obstacolele dintre emiţător şi receptor (placa de reţea).

Comunicarea fără fir este una foarte vulnerabilă, de aceea se folosec diferite criptări. Dacă emiţătorul criptează semnalul, receptorul va trebui să-l decripteze, însă nu este sufficient să poată decripta semnalul, trebuie să găsească mai întâi emiţătorul pe baza SSID-ului acestuia.

Pe lângă aceste setări, emiţătorul şi receptorul trebuie să folosească fie acelaşi standard (802.11a, 802.11b, 802.11g, 802.11n) fie una compatibilă. Aceste standarde funcţionează pe diferite frecvenţe, distanţe şi transfer de date.

Modemul

Denumirea componentei vine de la funcţia acestuia: modulator-demodulator.

Fiecare modem are funcţie dublă, primeşte semnal analog pe firul de telefon şi îl transformă în digital pentru a fi înţeles de calculator iar în momentul în care primeşte

http://en.wikipedia.org/wiki/802.11b�

http://en.wikipedia.org/wiki/802.11g�

http://en.wikipedia.org/wiki/802.11n�

semnal digital de la sistemul de calcul îl transformă în analog pentru a putea fi trimis prin firul de telefon.

Există două tipuri de modemuri: extern şi intern.

Modemul extern primeşte semnalul de la furnizorul de Internet ( Internet Service Provider - ISP ) prin cablul de telefon (conector RJ11) sau prin wireless (telefonie mobilă – Cellular modem), şi se conectează la calculator fie prin portul Ethernet, USB, sau Serial.

Modemul intern se conectează la placa de bază printr-un port de expansiune, primind în acelasi mod semnalul de la ISP ca şi in cazul modemului extern. Softmodem-ul este un modem intern, destul de limitat din punc de vedere hardware şi care foloseşte resursele calculatorului pentru a efectua operaţiile funcţionale.



CUM?



(tip, conectivitatea şi altele) ale plăcilor de extensie şi a funcţiilor acestora (ce face, cum face, pentru ce face, parametrii), dar şi măsurile de protecţie şi siguranţă (ESD).

Demonstraţie - prin explicarea şi prezentarea diferitelor plăci de extensie de către cadru didactic

EVALUARE


Fişa suport 1.8. Unităţile de stocare a sistemelor de calcul


Stocarea informaţiilor unui sistem de calcul se poate realiza pe medii de stocare magnetice sau optice. Ehipamentele care citesc sau scriu informaţii pe aceste medii se numesc unităţi de stocare.

Unităţile de stocare se pot clasifica astfel:

• unităţi interne - se conecrează la placa de bază prin cablu de date şi alimentare corespunzătoare

• unităţi externe(portabile) – se conectează la sistemul de calcul prin porturile externe ale acestuia (USB, FireWire, SCSI, SATA)

Unitatea de dischetă

Figura 1.8.1 Unitate de dischetă

Primul mediu de stocare magnetic, care a evoluat dealungul timpului de la dimensiuni de 8 inch, la cea actuală de 3,5 inch. Este o tehnologie învechită, însă se mai utilizează de către anumite ramuri din domeniului IT, unde se folosesc sisteme de calcul şi sisteme de operare mai vechi.

Datorită spaţiului de stocare mic (1,44 MB) şi posibilităţilor de deteriorare dar şi a costurilor, această tehnologie începe să dispară.

Hard Disk

Figura 1.8.2 Unitate Hard Disk

Este o unitate de stocare magnetică, non-volatilă, care fie este instalată în interiorul unui calculator, fie este conectată la acesta printr-un port extern. Este folosit pentru a stoca date permanent, în format digital.

Sistemul de operare şi aplicaţiile sunt instalate pe hard disk, mai exact pe o partiţie a acestuia. Capacitatea unei unităţi se măsoară în gigabiti (GB), acesta ajungând în momentul de faţă la 2 TB. Viteza acestor unităţi se măsoară în de rotaţii pe minut (RPM), media fiind de 7,200 rpm iar cele industriale ajungând la 15,000 rpm. Se pot utiliza mai multe hard disk-uri într-un sistem de calcul, cu condiţia ca acestea să aibă conectivitate compatibilă cu placa de bază.

Unităţi optice

Figura 1.8.3 Unitate optică internă şi externă

Aceste unităţi de stocare folosesc tehnologia laser pentru a citi sau scrie date de pe sau pe mediul optic. Unele echipamente pot doar citii, altele pot să scrie şi să şi citească. Aceste echipamente se pot instala în calculator sau se pot conecta la ecesta prin porturi externe, asemănător Hard Disk-ului

Există trei tipuri de unităţi optice:

• Compact disc (CD) • Digital versatile disc (DVD) • Blue-ray disc (BD)

Mediile CD, DVD sau Blue-ray diferă atât din punct de vedere al spaţiului disponibil cât şi a vitezei de citire respectiv scriere. Ele pot fi înregistrate anterior (read-only), inscriptibile (scriere o singură dată) sau reinscriptibile (citire şi scriere multiplă). Aceste medii au apărut succesiv, DVD-ul fiind o îmbunătăţire a CD-ului, iar Blue-ray aparând ca o dezvoltare a formatului DVD. Ca şi dimensiune fizică, toate mediile au două frome: standard (12 cm) şi mini (8 cm).

Mediile optice sunt de mai multe tipuri:

• CD-ROM – CD read-only - înregistrat în prealabil, nu poate fi inscripţionat. • CD-R – CD recordable – neînregistrat în prealabil, poate fi inscripţionat o singură

dată. • CD-RW – CD rewritable - neînregistrat în prealabil, poate fi inscripţionat, şterş şi

reinscripţionat de mai multe ori. • DVD-ROM – DVD read-only - înregistrat în prealabil.

• DVD-RAM – DVD random access memory - poate fi inscripţionat, şterş şi reinscripţionat de mail multe ori – incompatibil cu alte tipuri DVD.

• DVD+/-R – DVD recordable - neînregistrat în prealabil, poate fi inscripţionat o singură dată.

• DVD+/-RW – DVD rewritable - neînregistrat în prealabil, poate fi inscripţionat, şterş şi reinscripţionat de mai multe ori.

• BD - ROM – Blue-ray disc read-only – înregistrat în prealabil, nu poate fi inscripţionat.

• BD - R – Blue-ray disc recordable – neînregistrat în prealabil, poate fi inscripţionat o singură dată.

• BD –RE – Blue-ray disc rewritable – neînregistrat în prealabil, poate fi inscripţionat, şterş şi reinscripţionat de mai multe ori.

Tipuri de interfeţe

Atât hard-disk-urile cât şi unităţile optice se pot conecta la un calculator prin intermediul a diferite tipuri de interfeţe. Pentru a putea instala o unitate de stocare în calculator, interfaţa acestuia trebuie să fie compatibilă cu conectivitatea, cu controller-ul de pe placa de bază. Astfel de interfeţe sunt:

• IDE – Integrated Drive Electronics, cunoscută şi sub denumirea Advanced Technology Attachment (ATA) – tehnologie mai veche, foloseşte conectori cu 40 de pini.

• EIDE – Enhanced Integrated Drive Electronics, cunoscut şi ca ATA-2 - o versiune mai noua a controller-ului IDE, foloseşte un conectori de 40 de pini.

• PATA – Parallel ATA este o versiune ATA cu transmisie paralelă • SATA – Serial ATA este o versiune ATA cu transmisie serială, cu conectori cu 7

pini. • SCSI – Small Computer System Interface - acceptă conectarea până la 15 unităţi

de stocare, folosind conectori de 50, 60 sau 80 de pini.

Unităţile de stocare (magnetice sau optice) care folosesc diversele interfeţe ATA pot fi setate pentru mai multe roluri (Master, Slave, Cable select). Aceste roluri sunt importante la recunoaşterea sistemului de calcul a mai multor echipamente conecate pe acelaşi tip de interfaţă. Aceste setări se realizează prin intermediul jumper-ilor.

Unităti flash

Aceste echipamante, fie ele stick-uri USB sau carduri de memorie, folosesc o tehnologie care nu necesită alimentare pentru stocarea şi mentinerea datelor. Conecatrea lor se realizează prin porturi externe, folosind tehonogia hot-swapping (conectare în timpul funcţionării sistemului de calcul).

Figura 1.8.4 Unităţi flash

Oferă vantaje majore faţă de tradiţionalele unităţi de stocare:

• ne având părţi mobile sunt mai fiabile si mai durabile • oferă portabilitate • viteză de transfer este foarte mare • compatibile cu toate sistemele de operare • compatibile cu foarte mult sisteme de calcul (stick-urile se pot utiliza la PC,

Laptop, PDA şi altele, iar cardurile de memorie pot fi folosite la PC, Laptop, PDA, Telefoane mobile, Aparate foto, şi altele)

Unităţi de stocare pe bandă magnetică

Utilizat mai ales pentru salvări de arhive, foloseşte ca şi support de stocare a datelor bandă magnetică. Sunt folosite datorită capacităţii de a stoca datele stabil pentru o perioadă foarte lungă.

Salvarea de date pe aceste benzi este destul de rapidă, însă datorită vitezei de căutare foarte scăzute (nu are cap de citire care să sară la locul dorit) nu sunt practice pentru uzul obişnuit. Capacitatea de stocare a acestor benzi magnetice poate atinge sute de GB.



CUM?



(tip, capacitatea şi altele) ale unităţilor de stocare şi a funcţiilor acestora (ce face, cum face, pentru ce componente face, parametrii)

Demonstraţie - prin explicarea şi prezentarea diferitelor unităţi de stocare de către cadru didactic

EVALUARE


Fişa suport 1.9. Compararea componentelor unui sistem desktop cu cel al unui


Cele două tipuri de calculatoare au aproximativ aceleaşi componente şi funcţii însă forma şi modul de operare diferă substanţial.

Figura 1.9.1 Sisteme Desktop şi Laptop

Forma şi modul de funcţionare a componentelor unui sistem desktop sunt în mare măsură standardizate, astfel că schimbarea lor nu reprezintă o problema majoră. Componentele unui sistem desktop foarte probabil se potrivesc la altul, chiar dacă este produs de un alt fabricant.

Nu acelaşi lucru se poate spune despre Laptop-uri. Datorită faptului că fiecare producător îşi dezvoltă propriul echipament, acestea nu sunt standardizate. Tocmai din aceasta cauză componentele unui Laptop nu se potrivesc cu cele ale unui Desktop, dar nici cu ale Laptop-urilor de la alţi producători.

Pe lângă faptul că componentele nu sunt compatibile, Laptop-urile au componente integrate pe care la desktop-uri trebuie ataşate prin porturi externe, sau care nici nu există. O astfel de componentă este acumulatorul. Acesta este integrat în structura unui laptop, însă poate fi detaşat foarte uşor.

Figura 1.9.2 Laptop şi acumulatorul acestuia

Funcţia acestuia este de a oferi alimentare sistemului pe o perioadă limitată, când acesta nu este conectat la curent. Aceste acumulatoare diferă de la producător la producător atât din punct de vedere al formei cât şi al modului de funcţionare (voltaj, materialul conţinut sau altele). Componentele Laptop-urilor de la diferiţi fabricanţi

consumă energie în mod diferit, ca urmare şi acumulatoarele funcţionează diferit. Timpul de autonomie a bateriilor variază după modul de funcţionare dar şi după dimensiunea lor (număr celule). Mobilitatea laptopurilor se datorează în primul rând acestei componente.

În momentul conectării sistemului la alimentarea cu current din priză, acumulatorul va avea funcţia sursei de alimentare folosit la desktop-uri, adică va transforma curentul alternativ în curent continuu, utilizat de componetele acestuia. Conectând sistemul la priză, se va încărca şi acumulatorul, ceea ce se poate realiza atât în timpul utilizării laptop-ului cât şi pe perioada cât acesta este oprit. Perioada de încărcare variază în funcţie de tipul acumulatorului dar şi de utilizarea sau nu a Laptop-ului (încărcarea va fi mai rapidă dacă sistemul este oprit).

Gestionarea consumului acumulatorului este rezolvat de un process de administrare numit Power Management, şi există două tipuri:

• Advanced Power Management (APM) • Advanced Configuration and Power Interface (ACPI)

APM, cronologic este primul tip de process de administrare a energiei folosit la Laptop-uri. Acestă funcţie era încorporată în BIOS.

Noile echipamente folosesc ACPI, acesta având caracteristici şi funcţionalităţi superioare predecesorului. Este controlat de către sistemul de operare, însă se pot face unele setări şi în BIOS.

Opţiuni de alimentare există şi la Desktop şi la Laptop, însă în cazul celui din urmă sunt mai detaliate, având o importanţă mai mare gestionarea energiei.

Mobilitatea Laptop-urilor este datorat nu doar autonomiei oferite de accumulator. Integrarea unor componente folosite în cazul Desktop-urilor ca echipamente de ieşire sau intrare, completează funcţiile care fac din Laptop un echipament portabil. Tastatura, mouse-ul (sub formă de touchpad) şi monitorul, sunt toate integrate în aceste calculatoare.

Greutatea Laptop-urilor este încă un motiv pentru care au devenit atât de populare, continuând şi în momentul de faţă să apară vatiante mai uşoare şi mai reduse ca dimensiune.

Componentele interne ale acestor calculatoare speciale, au fost create în aşa fel încât să încapă într-o carcasă cât mai mică însă să ofere dacă se poate performanţe cât mai apropiate de desktop-uri.

Placa de bază

Datorită spaţiului redus, dimensiunea plăcilor de bază în cazul Laptop-urilor este mult mai redus decât la Desktop-uri, funcţionalităţile oferite însă sunt apropiate. Schimabarea sau adăugarea de componente este destul de laborioasă, ca urmare se încearcă integrarea cât mai multor porturi şi componente chiar dacă performaţa acestora nu ajunge la cele ale unui Desktop.

Unitatea centrala de prelucrare - Procesorul

Indiferent că sunt facute pentru Desktop sau Laptop, funcţia lor este identică, nu şi performanţele.

Aceste procesoare sunt gândite şi realizate în aşa fel încât să producă cât mai puţină căldură, ne fiind posibil integrarea unui sistem de răcire aşa cum se utilizează la Desktop-uri. Scăderea căldurii degajate se realizează în primul rând prin faptul că aceste unităţi centrale de prelucare utilizează mai putină energie, pe de altă parte însă au capacitatea de aş regla viteza de funcţionare după necesităţi. Aceste caracteristici însă au ca urmare scăderea performanţei procesorului.

Memoria

Cum spaţiul este foarte restrâns în interiorul unui laptop, şi aceste componente sunt mai mici ca dimensiuni faţă de cele ale desktop-urilor.

Tipurile de module de memorie folosite în laptop-uri sunt:

• SO-DIMM - Small Outline DIMM – cu configuraţii de 72, 144 şi 200 de pini • SO-RIMM - Small Outline RIMM – versiune mică a DIMM-ului

Unităţi de stocare

Tipurile de unităţi de stocare utilizare la Desktopuri sunt prezente şi în Laptop-uri, într-o variantă minimizată. Fie medii magnetice sau optice ele pot fi integrate sau se pot ataşa prin porturile externe.

Figura 1.9.3 Unităţi de stocare utiliazate la Laptopuri

Carduri de extensie

Pentru adaugarea de noi componente, conectarea de adaptoare precum în cazul Desktop-urilor nu este posibilă. Totuşi pentru completarea funcţionalităţilor oferite, Laptop-urile pot utiliza carduri de extensie, numite PC Card. Acestea folosesc standardul PCMCIA şi sunt de trei tipuri( I, II, III ) oferind diferite dispositive (memorie, hard disk, modem, placă de reţea). Noile PC Card-uri, numite PC ExperessCard sunt de

două tipuri (cu 34 şi 45 de pini) oferind diferite dispositive (Firewire, TV Tuner, placă de reţea wireless, cititor de carduri).

Figura 1.9.4 Card de extensie

Pe lângă componentele mai sus menţionate laptop-urile pot avea incorporate camera web, cititoare de amprente sau altele.



CUM?



(tip, performanţe şi altele) ale componentelor unui laptop comparativ cu cel al unui desktop şi a funcţiilor acestora (ce face, cum face, parametrii)

Demonstraţie - prin explicarea şi prezentarea comparativă a diferitelor componente ale unui laptop şi desktop de către cadru didactic

EVALUARE


Tema 2. Instalarea componentelor unui sistem de calcul

Fişa suport 2.1. Deschiderea carcasei şi instalarea sursei de alimentare

Acest material vizează competenţa / rezultat al învăţării : Instalează componentele unui sistem de calcul conform specificaţiilor

Înainte de a începe asamblarea unui sistem de calcul trebuie luate câteva măsuri:

• Documentare (manualul oferit de producătorul componentelor şi Internet-ul) asupra componentelor ce vor forma sistemul de calcul – componentele trebuie să fie compatibile şi asamblarea lor poate crea probleme în lipsa unei documentări atente.

• Pregătirea zonei de lucru – lumina, spaţiul (accesul la zona de lucru), ventilaţia şi aerisirea trebuie să fie adecvate, sculele să fie la îndemână însă fără a deranja, iar folosirea unui covor şi a unei brăţări antistatice sunt indispensabile.

Figura 2.1.1 Carcasa şi sursa de alimentare a unui sistem de calcul

Descărcarea electrostatică (ESD) poate deteriora componentele sistemelor de calcul. În lipsa unui covor sau al unei brăţări antistatice este important ca periodic să se atingă un obiect legat la împământare pentru ca descărcarea statică să se producă pe acesta şi nu pe componente.

Figura 2.1.2 Brăţară şi saltea antistatică

Asamblarea unui sistem începe cu deschiderea carcasei urmat de instalarea într-o ordine logică a diferitelor componente. Există mai multe modalităţi de deschidere a carcaselor, în funcţie de arhitectura acestuia şi de producător. Sunt unele la care se

detaşează un singur panou lateral, altele la care panourile sunt pe ambele părţi detaşabile, şi sunt carcase la care se detaşează şi partea superioară. Modul corect de deschidere este oferit de producător sau se găseşte pe Internet. În funcţie de tipul sau modelul carcasei, unele au şuruburi ce vor trebui desfăcute la deschidere, altele au mecanisme de închidere.

Instalarea sursei de alimentare se va realiza prin alinierea orificiilor acestuia cu cele de pe carcasă, urmat de securizarea prin şuruburi. Sursele conţin ventilatoare ce pot crea vibraţii, de aceea suruburile trebuie strânse foarte bine. Atenţie la poziţia sursei, acesta putând fi instalat într-o singură poziţie.

La instalarea sursei de alimentare este însă foarte important să nu se folosească brăţara antistatică, şi mai ales atunci când sistemul este conectat la alimentare şi este sub tensiune. După instalarea sursei, brăţara antistatică aflată pe încheietura mânii, va fi conectată la un obiect împământat.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre deschiderea carcasei şi

instalarea sursei de alimentare, precum şi despre măsurile necesare înainte de asamblarea unui calculator

Demonstraţie - prin explicarea şi efectuarea deschiderii carcasei şi instalării unei surse de alimentare de către cadru didactic

Exerciţiu - prin deschiderea carcasei şi instalarea unei surse de alimentare de către elev

EVALUARE


Fişa suport 2.2. Ataşarea componentelor la placa de bază şi instalarea acesteia în carcasă


Ataşarea componentelor la placa de bază se va face înainte de instalarea acestuia în carcasa sistemului de calcul. Astfel, procesorul şi sistemul de răcire al acestuia, precum şi modulele de memorie vor fi instalate pe placa de bază mai uşor, având un spaţiu de lucru mai mare.

Atât placa de bază cât şi procesorul sau memoriile pot fi deteriorare de descărcările electrostatice, de aceea folosirea saltelei şi brăţării antistatice este foarte importantă.

Înainte de ataşarea componentelor se va consulta manualul oferit de producătorul plăcii de bază şi al componentelor ce urmează a fi instalate, dar şi pagina web al producătorului.

Instalarea procesorului şi a sistemului de răcire al acestuia este cea mai grea parte a asamblării unui sistem de calcul. Trebuie acordat o atenţie foarte mare documentării şi verificării. Procesul de instalare poate fi uşor diferit în funcţie de generaţia, de tipul şi de producătorul unităţii central de procesare. Erorile din acesta fază a instalării pot avea efecte foarte neplăcute (deteriorare processor sau chiar şi placă de bază).

Procesorul va fi ales în funcţie de socket-ul de pe placa de bază, iar conectarea la acesta se va realiza fără a folosi forţă. UCP-urile actuale folosesc tehnologia ZIF (Zero Insertion Force), adică nu este nevoie de a apăsa procesorul pentru ca acesta să intre în socket-ul de pe placa de bază.

Dacă procesorul nu se potriveşte, nu se forţează. Acestea nu se pot conecta în orice poziţie, fiind foarte important alinierea pini-lor corespunzător socket-ului de pe placa de bază.

Figura 2.2.1 Instalarea procesorului pe placa de bază

Manevrarea procesorului se va face fără atingerea contactelor acestuia. Impurităţile de pe mână pot avea ca rezultat un contact imperfect între processor şi placa de bază, rezultând erori de comunicare sau chiar defectarea acestora.

Socket-ul are ataşat un mechanism de blocare, care prin ajutorul unui mâner strânge ferm procesorul, pentru ca acesta să nu se poată misca.

Pentru un transfer termic mai eficient, după introducerea procesorului în socket, pe suprafaţa acestuia se va aplica o pastă termoconductoare, numată Thermal Compound. Cantitatea folosită nu trebuie să fie exagerată pentru că după poziţionarea sistemului de răcire, surplusul de pastă va trebui şters. În cazul reinstalării unui processor, se va îndepărta vechiul strat de pastă şi se va curăţa suprafaţa cu alcool izopropilic, după care se va aplica un nou strat.

Sistemul de răcire poate fi pasiv (radiator) sau activ (radiator şi ventilator), însă în ambele cazuri acesta trebuie fixat foarte bine. Radiatoarele nu vor răcii suficient dacă nu sunt în contact cu procesorul (pasta de pe procesor) iar ventilatoarele se pot deteriora şi pot transmite vibraţii întregului sistem producând zgomot. Din cauza necesităţii fixării foarte rigide a sistemului de răcire, ataşarea acestuia la placa de bază necesită o oarecare forţă, dar şi atenţie la securizare.

După ataşarea sistemului de răcire, se va conecta cablul de alimentare al acestuia la placa de bază.

Figura 2.2.2 Instalarea sistemului de răcire a procesorului

A nu se încerca pornirea unui sistem de calcul fără sistemul de răcire al procesorului instalat. UCP-ul se va supraîncălzi într-un timp foarte scurt provocând avarierea sau chiar distrugerea acestuia. În cazul în care se vor folosii tehnici de overclocking, se va acorda o atenţie sporită, asigurând o răcire adecvată.

Modulele de memorie sunt de mai multe tipuri, iar ataşarea lor la placa de bază depinde de slot-urile acestuia. Trebuie acordat o atenţie sporită la alinierea modulului faţă de slot, acesta putând fi conectat într-un singur sens. Conectarea se va realiza prin împingerea verticală a modulului până în momentul în care dispozitivele laterale de prindere ale slotului se închid şi fixează memoria.

Figura 2.2.3 Instalarea memoriei pe placa de bază

Sloturile de memorie ale plăcii de bază sunt numerotate, iar modulele de memorie se vor instala în acestea începând cu prima poziţe. În cazul în care primul slot este lăsat liber, s-ar putea ca sistemul de calcul să nu recunoască memoria. Atunci când placa de bază permite conectarea modulelor în dual channel (tehnologie ce permite un acces mai mare la memorie), acestea se vor putea conecta corespunzător. Marcarea acestor sloturi este realizată prin colorit diferit al perechilor. Nu este obligatoriu, dar este recomandat ca modulele de memorie instalate în dual channel să fie identice.

După conectarea componentelor mai sus amintite la placa de bază, acesta din urmă va trebui instalat în carcasă. Înainte însă, se vor monta distanţierele (plastic sau metal) pe interiorul carcasei, acestea având rolul de a ţine la distanţă placa de bază de porţiunile metalice ale carcasei.

Instalarea plăcii de bază se va face în aşa fel încât porturile de I/O de pe acesta să se alinieze cu spaţiul liber al carcasei, iar găurile plăcii de bază să fie aliniate cu distanţierele instalate. Securizarea plăcii se va realiza prin suruburi strânse bine (prin găurile aliniate la distanţiere), însă fără a deterioara placa de bază.

Figura 2.2.4 Instalarea plăcii de bază în carcasă

Figura 2.2.5 Conectarea plăcii de bază la sursa de alimentare

Conectarea plăcii de bază la sursa de alimentare se va realiza prin cablurile prezentate în Fişa suport 1.2.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre ataşarea corectă a

componentelor (procesor, sistem de racire, memorie) la placa de bază, şi instalarea acestuia în carcasă

Demonstraţie - prin explicarea şi ataşarea (practic) corectă a componentelor la placa de bază, şi instalarea acestuia în carcasă de către cadru didactic

Exerciţiu - prin ataşarea (practic) corectă a componentelor la placa de bază, şi instalarea acestuia în carcasă de către elev

EVALUARE


Fişa suport 2.3. Instalarea componentelor din locaşurile interne şi externe


Unităţile de stocare a sistemelor de calcul se pot instala în carcasă în două locaşuri, interne (dimensiune de 3,5) şi externe (dimensiune de 3,5 respectiv 5,25 inch). Denumirea acestor locaşuri este dat de locatia mediului de stocare de date. Cu alte cuvinte, în cazul în care datele sunt stocate pe un mediu care rămâne în interiorul carcasei, unitatea respectivă de stocare este internă, iar în cazul în care datele se stochează pe medii externe, unităţile respective sunt externe.

Hard disk-urile sunt unităţi ce se instalează în locasurile interne. Acesta se poziţionează în locaşul de 3,5 inch având găurile pentru şuruburi aliniate cu cele ale carcasei, conectorii cablurilor de date şi alimentare fiind orientate spre interiorul carcasei. Fixarea unităţilor se realizează prin suruburi ce sunt introduse în aceste găuri. Echipamentul, în final, va fi conectat la sursa de alimentare şi la placa de bază.

Unitatea de dischetă se va instala în locaşul extern de 3,5 inch. Instalarea se va realiza asemănător hard disk-ului, doar tipurile de cabluri conectate fiind diferite.

Unităţile optice (CD, DVD, BD) vor fi instalate în locaşurile externe de 5,25 inch. Instalarea se va realiza asemănător hard disk-ului.

Pentru detalii legate de conectarea acestor componente la sursa de alimentare respectiv placa de bază, se vor consulta Fişele support 1.2, 1.8 şi 2.5.

Figura 2.3 Instalarea unităţii optice şi a hard disk-ului


• Conţinutul poate fi predat în laboratorul de informatică. CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre instalarea diferitelor

componente (Hard disk, unitatte dischetă, unităţi optice) în locaşurile interne respectiv externe

Demonstraţie - prin explicarea şi instalarea (practic) diferitelor componente în locaşurile interne respectiv externe de către cadru didactic

Exerciţiu - prin instalarea (practic) diferitelor componente în locaşurile interne respectiv externe de către elev

EVALUARE


Fişa suport 2.4. Instalarea plăcilor de extensie


Conectarea plăcilor de extensie se va putea realiza doar dacă placa de bază are sloturi de expansiune compatibile cu aceştia. Exemple de standardele de sloturi sunt următoarele: ISA, EISA, MCA, PCI, AGP, PCI-Express.

Pentru detalii legate de tipuri de plăci de extensie, se va consulta Fişa suport 1.7.

Indiferent de ce placă de extensie dorim să instalăm (placă grafică, placă de sunet, placă de reţea, modem, adaptoare SCSI şi contoalere RAID, plăci de extenia porturilor), procedura va fi relativ identică.

După selectarea unei plăci de extensie compatibilă cu placa de bază, acesta se va alinia cu slotul corespunzător şi se va introduce în acesta apăsând uşor până când intră complet în slot. În cazul în care nu se potriveşte, nu se forţează. Fixarea acestor componente se realizează prin suruburi sau mecanisme corespunzătoare.

Unele plăci grafice sau de sunet vor trebui alimentaţe suplimentar, în acest caz ele se vor conecta printr-un cablu de alimentare la placa de bază sau sursa de alimentare.

Figura 2.4 Instalare placă grafică



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre instalarea diferitelor

plăci de extensie (video, audio, reţea şi altele)

Demonstraţie - prin explicarea şi instalarea (practic) diferitelor plăci de extensie de către cadru didactic

Exerciţiu - prin instalarea (practic) diferitelor plăci de extensie de către elev

EVALUARE


Fişa suport 2.5. Conectarea cablurilor interne


Toate componentele unui sistem de calcul trebuie conectate la alimentare, fie direct la sursă de alimentare fie la placa de bază. Placa de bază şi unităţile de stocare vor fi conectate direct la sursa de alimentare. Ventilatoarele (de pe carcasă sau cele care fac parte din sistemul de răcire al unei componente) şi butoanele de pornire sau repornire a sistemului de calcul vor fi alimentate prin legătură la placa de bază. Cablurile folosite diferă în funcţie echipament şi de generaţia acestuia. Tipurile de cabluri utilizate în acest scop sunt prezentate în Fişa suport 1.2. Poziţia corectă de conectare a acestora este dată de forma conectorului, de aceea în cazul în care un cablu nu se potriveşte la un anume conector, locul acestuia probabil nu este acela şi nu se va forţa.

Transferul de date într-un sistem de calcul este realizat fie prin slot-urile de expansiune fie prin cabluri de date. Transferul de date al unităţilor de stocare se realizează prin cabluri ce diferă în funcţie de echipament şi de generaţia acestuia.

Tipurile de interfeţe ale cablurilor utilizate în acest scop sunt prezentate în Fişa suport 1.8. Interfaţa componentei decide ce tip de cablu poate fi conectat la acesta, însă această interfaţă trebuie să existe şi pe placa de bază.

Cablurile de date utilizate la unităţile de dischetă şi unităţile de stocare (IDE, EIDE, PATA) trebuie conectate la echipamente în aşa fel încât pinul 1 al cablului să fie orientat spre conectorul de alimentare al acestuia. Acest pin 1 este colorat diferit faţă de restul firelor pentru a fi uşor de recunoscut. Conectarea incorectă a cablului unităţii de dischetă va avea ca rezultat posibila deteriorare a acestuia, eroarea fiind vizibilă prin aprinderea led-ului unităţii, fără a se mai stinge. Cablul acestei unităţi poate fi deosebit de cele utilizate la unităţile de stocare prin faptul că are 7 fire răsucite.

Figura 2.5.1 Cablu de date Unitate Dischetă şi PATA

Interfeţele SATA folosesc cabluri de date la care pinul 1 nu necesită o atenţie deosebită pentru că conectarea se poate realiza doar într-o singură poziţie.

Figura 2.5.2 Cablu de date SATA

Cablurile de date de tip SCSI au o caracteristică aparte, ele trebuie terminate. La capătul cablului trebuie ataşat un dispozitiv numit terminator, rolul acestuia fiind de a împiedica reflexia semnalului. În cazul terminării cablului prin conectarea unei anumite unităţi (de exeplu de stocare) acesta va îndeplinii funcţia terminatorului.

Figura 2.5.3 Cablu de date SCSI

Ca şi în cazul cablurilor de alimentare, poziţia corectă de conectare a acestora este dată de forma conectorului, de aceea în cazul în care un cablu nu se potriveşte la un anume conector, locul acestuia probabil nu este acela şi nu se va forţa.

Majoritatea componentelor care efectuează transferul de date prin slot-urile de expansiune prin care sunt conectate la placa de bază, vor fi alimentate tot prin intermediul acestor slot-uri. Unele componente pot fi totusi alimentate suplimentar.

Figura 2.5.4 Conectarea cablurilor interne la un hard disk PATA



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre instalarea cablurilor

interne (alimentare şi date)

Demonstraţie - prin explicarea şi instalarea (practic) diferitelor cablurilor interne de către cadru didactic

Exerciţiu - prin instalarea (practic) diferitelor cablurilor interne de către elev

EVALUARE


Fişa suport 2.6. Reataşarea panourilor laterale şi conectarea cablurilor externe


După conectarea tuturor componentelor, carcasa sistemului va trebui închisă prin repoziţionarea panourilor laterale îndepărtate la începutul asamblării. Acestea se vor fixa cu şuruburi sau prin mecanismul de închidere.

Se va acorda o atenţie sporită la părţile ascuţite pentru evitarea accidentelor.

Asamblarea unui calculator implică şi conectarea componentelor externe (monitor, tastatură, mouse, cablu de reţea, unitate de stocare externă) şi a perifericelor (imprimantă, scanner, şi altele). În acest scop sunt folosite porturile externe ale plăcii de bază. Pentru conectarea diferitelor cabluri externe (DVI, VGA, PS/2, USB, RJ45, Paralel, Serial şi altele), conectorii acestora trebuie aliniaţi la porturile calculatorului şi apăsate uşor până se introduc în totalitate. Anumiţi conectori au şi mecanisme de fixare care fie se înşurubează (DVI, VGA, Paralel, Serial) fie se blochează automat (RJ45).

Figura 2.6 Cabluri de date externe

După conectarea cablurilor externe se va conecta şi cablul de alimentare la sursa de alimentare, sistemul de calcul fiind pregătit pentru pornire.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre reataşarea panourilor

externe şi conecatrea cablurilor externe (alimentare şi date)

Demonstraţie - prin explicarea şi reataşarea (practic) panourilor externe şi conecatrea (practic) cablurilor externe de către cadru didactic

Exerciţiu - prin reataşarea (practic) panourilor externe şi conecatrea (practic) cablurilor externe de către elev

EVALUARE


Tema 3. Verificarea funcţionării unui sistem de calcul

Fişa suport Inspectarea vizuală a componentelor şi pornirea calculatorului

Acest material vizează competenţa / rezultat al învăţării : Verificară funcţionarea unui sistem de calcul

Manualul oferit de producătorul componentelor, dar şi pagina web al producătorului trebuie consultate înaintea asamblării unui sistem de calcul. Inspectarea vizuală se va realiza şi pe baza acestor surse.

Asamblarea unui sistem de calcul trebuie efectuat cu mare atenţie la detalii. Datorită faptului că componentele sunt fabricate de numeroşi producători, în ciuda standardizărilor pot exista incompatibilităţi, însă există şi posibilitatea ca diferitele generaţii de componente să fie incompatibile deşii sunt de la acelaşi producător.

Din această cauză verificarea vizuală a conectărilor corecte este foarte importantă. Poziţia ciudată a unei componente poate însemna o conectare incorectă ce va cauza probleme. Se vor verifica atât componentele interne cât şi cele externe. Conectările şi fixările incorecte pot cauza vibraţii (sursa de alimentare, ventilatoare, unităţi de stocare), căldură excesivă (procesor, placă grafică) sau erori de transfer de date (procesor, memorie, unităţi de stocare). Cablurile conectate necorespunzător pot deteriora atât componenta cât şi întregul sistem, de aceea se vor verifica atât cele de curent cât şi cele de date. Remedierea greşelilor, erorilor în acest stagiu poate prevenii deteriorările şi costurile ulterioare.

Având toate componentele conectate corespunzător se poate pornii sistemul de calcul.

Figura 3.1 Imagine afişată la pornirea unui sistem de calcul

Placa de bază a calculatoarelor conţine un cip special numit CMOS ce conţine un program special numit BIOS (Basic Imput/Output System). La pornirea (boot)

calculatorului, acesta lansează un test de verificare a componentelor numit POST (Power On Self Test). Dacă anumite componente sunt defecte sau nu sunt conectate corespunzător, ele sunt detectate în această fază iar sistemul de calcul va semnala acest lucru prin emiterea unor semnale sonore (beep) şi eventual vizuale. Semnalele emise diferă în funcţie de producător, pentru identificarea corectă a acestora consultaţi documentaţia plăcii de bază. Dacă POST-ul nu detectează erori înseamnă că sistemul de calcul funcţionează.

BIOS-ul poate fi accesat apăsând în timpul POST-ului o tastă sau o combinaţie de taste, în funcţie de producător. Odată accesat programul se pot verifica date legate de funcţionarea sistemului de calcul, se pot modifica unele setări şi se pot seta drepturi de acces la sistem respectiv BIOS.

Figura 3.2 BIOS-ul unui sistem de calcul

Atenţie la schimbările efectuate în BIOS, o modificare greşită a setărilor poate avea ca rezultat nefuncţionarea sistemului de calcul. Dacă nu se ştie exact care vor fi consecinţele unor schimbări efectuate, se va ieşi din program fără a salva modificările.



CUM?


• Se pot utiliza: Prezentări multimedia conţinând informaţii despre inspectarea vizuală a

componentelor şi pornirea calculatorului

Demonstraţie - prin explicarea şi inspectarea vizuală a componentelor şi pornirea calculatorului de către cadru didactic

Exerciţiu - prin inspectarea vizuală a componentelor şi pornirea calculatorului de către elev

EVALUARE


55


Fişa rezumat

Clasa ________________ Profesor______________________

Nr. Crt.

Nume şi prenume

elev


1 zz.ll.aaaa1 2 3 4 ... Y


56













V. Bibliografie

1. ***.IT Essentilas PC Hardware and Software.Cisco 2. ***.La http://en.wikipedia.org/wiki/Computer_hardware . 30.04.09 3. ***.La http://en.wikipedia.org/wiki/Personal_computer. 30.04.09 4. ***.La http://en.wikipedia.org/wiki/Desktop_computer. 30.04.09 5. ***.La http://en.wikipedia.org/wiki/Computer_case. 30.04.09 6. ***.La http://en.wikipedia.org/wiki/Computer_power_supply. 30.04.09 7. ***.La http://en.wikipedia.org/wiki/Motherboard. 30.04.09 8. ***.La http://en.wikipedia.org/wiki/Comparison_of_computer_form_factors.

30.04.09 9. ***.La http://en.wikipedia.org/wiki/Chipset. 30.04.09 10. ***.La http://en.wikipedia.org/wiki/Northbridge_(computing). 30.04.09 11. ***.La http://en.wikipedia.org/wiki/Southbridge_(computing). 30.04.09 12. ***.La http://en.wikipedia.org/wiki/Bus_(computing). 30.04.09 13. ***.La http://en.wikipedia.org/wiki/CPU_socket. 30.04.09 14. ***.La http://en.wikipedia.org/wiki/Front_Side_Bus. 30.04.09 15. ***.La http://en.wikipedia.org/wiki/Back_side_bus. 30.04.09 16. ***.La http://en.wikipedia.org/wiki/Central_processing_unit. 02.05.09 17. ***.La http://en.wikiversity.org/wiki/Introduction_to_Computers/Processor.

02.05.09 18. ***.La http://en.wikipedia.org/wiki/Microprocessor. 02.05.09 19. ***.La http://en.wikipedia.org/wiki/Clock_rate. 02.05.09 20. ***.La http://en.wikipedia.org/wiki/Hyperthreading. 02.05.09 21. ***.La http://en.wikipedia.org/wiki/CPU_cache. 02.05.09 22. ***.La http://en.wikipedia.org/wiki/Complex_instruction_set_computer. 02.05.09 23. ***.La http://en.wikipedia.org/wiki/Reduced_instruction_set_computer. 02.05.09 24. ***.La http://en.wikipedia.org/wiki/Computer_cooling. 02.05.09 25. ***.La http://en.wikipedia.org/wiki/Computer_memory. 03.05.09 26. ***.La http://en.wikipedia.org/wiki/Non-volatile_memory. 03.05.09 27. ***.La http://en.wikipedia.org/wiki/Read-only_memory. 03.05.09 28. ***.La http://en.wikipedia.org/wiki/Volatile_memory. 03.05.09 29. ***.La http://en.wikipedia.org/wiki/Static_random_access_memory. 03.05.09 30. ***.La http://en.wikipedia.org/wiki/Dynamic_random_access_memory. 03.05.09 31. ***.La http://en.wikipedia.org/wiki/Flash_memory. 03.05.09 32. ***.La http://en.wikipedia.org/wiki/Expansion_card. 03.05.09 33. ***.La http://en.wikipedia.org/wiki/Graphics_card. 03.05.09 34. ***.La http://en.wikipedia.org/wiki/Sound_card. 03.05.09 35. ***.La http://en.wikipedia.org/wiki/Network_card . 03.05.09 36. ***.La http://en.wikipedia.org/wiki/Wireless_network_card. 03.05.09 37. ***.La http://en.wikipedia.org/wiki/Modem. 03.05.09 38. ***.La http://en.wikipedia.org/wiki/Softmodem. 03.05.09 39. ***.La http://en.wikipedia.org/wiki/Floppy_disk_drive. 07.05.09 40. ***.La http://en.wikipedia.org/wiki/Hard_disk_drive. 07.05.09 41. ***.La http://en.wikipedia.org/wiki/External_Hard_Drive. 07.05.09 42. ***.La http://en.wikipedia.org/wiki/Optical_disc. 07.05.09 43. ***.La http://en.wikipedia.org/wiki/CD-ROM. 07.05.09 44. ***.La http://en.wikipedia.org/wiki/DVD-ROM. 07.05.09 45. ***.La http://en.wikipedia.org/wiki/Blu-ray_disc. 07.05.09 46. ***.La http://en.wikipedia.org/wiki/Advanced_Technology_Attachment. 07.05.09 47. ***.La http://en.wikipedia.org/wiki/S-ATA . 07.05.09 48. ***.La http://en.wikipedia.org/wiki/SCSI. 07.05.09

http://en.wikipedia.org/wiki/Computer_hardware�

http://en.wikipedia.org/wiki/Personal_computer�

http://en.wikipedia.org/wiki/Desktop_computer�

http://en.wikipedia.org/wiki/Computer_case�

http://en.wikipedia.org/wiki/Computer_power_supply�

http://en.wikipedia.org/wiki/Motherboard�

http://en.wikipedia.org/wiki/Comparison_of_computer_form_factors�

http://en.wikipedia.org/wiki/Chipset�

http://en.wikipedia.org/wiki/Northbridge_(computing)�

http://en.wikipedia.org/wiki/Southbridge_(computing)�

http://en.wikipedia.org/wiki/Bus_(computing)�

http://en.wikipedia.org/wiki/CPU_socket�

http://en.wikipedia.org/wiki/Front_Side_Bus�

http://en.wikipedia.org/wiki/Back_side_bus�

http://en.wikipedia.org/wiki/Central_processing_unit�

http://en.wikiversity.org/wiki/Introduction_to_Computers/Processor�

http://en.wikipedia.org/wiki/Microprocessor�

http://en.wikipedia.org/wiki/Clock_rate�

http://en.wikipedia.org/wiki/Hyperthreading�

http://en.wikipedia.org/wiki/CPU_cache�

http://en.wikipedia.org/wiki/Complex_instruction_set_computer�

http://en.wikipedia.org/wiki/Reduced_instruction_set_computer�

http://en.wikipedia.org/wiki/Computer_cooling�

http://en.wikipedia.org/wiki/Computer_memory�

http://en.wikipedia.org/wiki/Non-volatile_memory�

http://en.wikipedia.org/wiki/Read-only_memory�

http://en.wikipedia.org/wiki/Volatile_memory�

http://en.wikipedia.org/wiki/Static_random_access_memory�

http://en.wikipedia.org/wiki/Dynamic_random_access_memory�

http://en.wikipedia.org/wiki/Flash_memory�

http://en.wikipedia.org/wiki/Expansion_card�

http://en.wikipedia.org/wiki/Graphics_card�

http://en.wikipedia.org/wiki/Sound_card�

http://en.wikipedia.org/wiki/Network_card�

http://en.wikipedia.org/wiki/Wireless_network_card�

http://en.wikipedia.org/wiki/Modem�

http://en.wikipedia.org/wiki/Softmodem.%2003.05.09�

http://en.wikipedia.org/wiki/Floppy_disk_drive�

http://en.wikipedia.org/wiki/Hard_disk_drive�

http://en.wikipedia.org/wiki/External_Hard_Drive�

http://en.wikipedia.org/wiki/Optical_disc�

http://en.wikipedia.org/wiki/CD-ROM�

http://en.wikipedia.org/wiki/DVD-ROM�

http://en.wikipedia.org/wiki/Blu-ray_disc�

http://en.wikipedia.org/wiki/Advanced_Technology_Attachment�

http://en.wikipedia.org/wiki/S-ATA�

http://en.wikipedia.org/wiki/SCSI�

49. ***.La http://en.wikipedia.org/wiki/USB_flash_drive. 07.05.09 50. ***.La http://en.wikipedia.org/wiki/Memory_cards. 07.05.09 51. ***.La http://en.wikipedia.org/wiki/Tape_drive. 07.05.09 52. ***.La http://en.wikipedia.org/wiki/Laptop#Components. 07.05.09 53. ***.La http://en.wikibooks.org/wiki/How_To_Assemble_A_Desktop_PC/Assembly.

10.05.09 54. ***.La http://en.wikipedia.org/wiki/Booting. 13.05.09 55. ***.La http://www.karbosguide.com/books/pcarchitecture/start.htm. 30.04.09 - do

not copy !!!!!!!!!!!

http://en.wikipedia.org/wiki/USB_flash_drive�

http://en.wikipedia.org/wiki/Memory_cards�

http://en.wikipedia.org/wiki/Tape_drive�

http://en.wikipedia.org/wiki/Laptop#Components�

http://en.wikibooks.org/wiki/How_To_Assemble_A_Desktop_PC/Assembly�

http://en.wikipedia.org/wiki/Booting�

http://www.karbosguide.com/books/pcarchitecture/start.htm�

Mentenanţa sistemelor de calcul şi a reţelelor de calculatoare

Cuprins

I. Introducere ................................................................................................................... 3 II. Documente necesare pentru activitatea de predare .................................................... 5 III. Resurse ...................................................................................................................... 6

Tema 1. Utilizarea trusei de scule şi a documentaţiei de firmă în procesul de instalare ..................................................................................................................................... 6

Fişa suport 1.1. Utilizarea trusei de scule ................................................................. 6 Fişa suport 1.2. Utilizarea documentaţiei de firmă în procesul de instalare ............ 12 Fişa suport 1.3. Întreţinerea şi îngrijirea corectă a sculelor .................................... 14

Tema 2. Norme de protecţia muncii şi de securitate .................................................. 16 Fisa suport 2.1 Norme de protecţia muncii ............................................................. 16 Fisa suport 2.2 Norme de securitate ...................................................................... 18

Tema 3. Explicarea scopului mentenanţei (întreţinerii preventive) ............................. 21 Fişa suport 3.1 Scopul întreţinerii preventive .......................................................... 21 Fişa suport 3.2 Identificarea situaţiilor problemă .................................................... 24 Fişa suport 3.3 Identificarea problemelor generate de drivere ............................... 29 Fişa suport 3.4 Paşii procesului de depanare ......................................................... 31

Tema 4. Întreţinerea sistemelor informatice ............................................................... 36 Fişa suport 4.1 Întreţinerea calculatoarelor portabile şi desktop ............................. 36 Fişa suport 4.2 Întreţinerea altor dispozitive portabile ............................................ 38

Tema 5. Mentenanţa unităţii centrale ......................................................................... 41 Fişa suport 5.1 Operaţiuni de curăţare a procesorului şi a plăcii de bază .............. 41 Fişa suport 5.2 Operaţiuni de curăţare a dispozitivelor din interiorul unităţii centrale ............................................................................................................................... 44

Tema 6. Mentenanţa dispozitivelor periferice ............................................................. 49 Fişa suport 6.1 Întreţinerea monitorului, tastaturii şi a mousului ............................. 49 Fişa suport 6.2 Întreţinerea imprimantelor şi a scanerului ...................................... 52

Tema 7 Mentenanţa software a sistemelor desktop şi laptop .................................... 55 Fişa suport 7.1 Actualizarea programelor ............................................................... 55 Fişa suport 7.2 Întreţinerea logică a harddiskului ................................................... 58 Fişa suport 7.3 Devirusarea ................................................................................... 60 Fişa suport 7.4 Remedierea problemelor frecvente ................................................ 64 Fişa suport 7.5 Protecţia Datelor ............................................................................ 68

Tema 8 Mentenanţa reţelelor de date ........................................................................ 73 Fişa suport 8.1 Inspecţia vizuala a reţelei si a echipamentelor ............................... 73 Fişa suport 8.2 Întreţinerea echipamentelor de reţea ............................................. 76 Fişa suport 8.3 Verificarea funcţionării reţelelor de date ........................................ 79 Fişa suport 8.4 Monitorizarea conexiunilor locale ................................................... 82

IV. Fişa rezumat ......................................................................................................... 86 V. Bibliografie ................................................................................................................ 88


Prezentul material de predare, se adresează cadrelor didactice care predau în cadrul liceelor, domeniul Electronica automatizări, calificarea Tehnician operator tehnică de calcul.

El a fost elaborat pentru modulul Mentenanţa sistemelor de calcul şi a reţelelor de calculatoare, ce se desfăşoară în 50 ore, din care:



25.1 Realizează mentenanţa hardware a sistemelor de calcul desktop şi laptop utilizând instrumente adecvate, conform specificaţiilor

• Tema 1. Utilizarea trusei de scule şi a documentaţiei de firmă în procesul de instalare

• Fişa suport 1.1. Utilizarea trusei de scule

• Fişa suport 1.2. Utilizarea documentaţiei de firmă în procesul de instalare

• Fişa suport 1.3. Întreţinerea şi îngrijirea corectă a sculelor

• Tema 2. Norme de protecţia muncii şi de securitate

• Fisa 2.1 Norme de protecţia muncii

• Fisa 2.2 Norme de securitate

• Tema 3. Explicarea scopului mentenanţei (întreţinerii preventive)

• Fişa suport 3.1 Scopul întreţinerii preventive

• Fişa suport 3.2 Identificarea paşilor problemă

• Fişa suport 3.3 Identificarea problemelor generate de drivere

• Fişa suport 3.4 Paşi procesului de depanare

• Tema 4. Întreţinerea sistemelor informatice

• Fişa suport 4.1 Întreţinerea calculatoarelor portabile şi desktop

• Fişa suport 4.2 Întreţinerea altor dispozitive portabile

• Tema 5. Mentenanţa unităţii centrale

• Fişa suport 5.1 Operaţiuni de curăţare a procesorului şi a plăcii de bază

• Fişa suport 5.2 Operaţiuni de curăţare a dispozitivelor din interiorul unităţii


centrale

• Tema 6. Mentenanţa dispozitivelor periferice

• Fişa suport 6.1 Întreţinerea monitorului tastaturii şi a mausului

• Fişa suport 6.2 Întreţinerea imprimantelor şi a scanerului

25.2 Realizează mentenanţa software a sistemelor de calcul desktop şi laptop utilizând programe adecvate, conform specificaţiilor

• Tema 7 Mentenanţa software a sistemelor desktop si laptop

• Fişa suport 7.1 Actualizarea programelor

• Fişa suport 7.2 Întreţinerea logică a harddiskului

• Fişa suport 7.3 Devirusarea

• Fişa suport 7.4 Remedierea problemelor frecvente

• Fişa suport 7.5 Protecţia Datelor

25.3 Verifică funcţionalitatea reţelelor de date cu ajutorul instrumentelor software şi hardware specifice

• Tema 8 Mentenanţa reţelelor de date

• Fişa suport 8.1 Inspecţia vizuala a reţelei si a echipamentelor

• Fişa suport 8.2 Întreţinerea echipamentelor de reţea

• Fişa suport 8.3 Verificarea funcţionării reţelelor de date

• Fişa suport 8.4 Monitorizarea conexiunilor locale






• Legea nr.319/2006 a securităţii şi sănătăţii în muncă

• H.G. nr.1425/2006 pentru aprobarea Normelor metodologice de aplicare a legii 319/2006

• ORDIN nr. 163 din 28/02/2007 pentru aprobarea Normelor generale de apărare împotriva incendiilor – secţiunea a 4-a.





III. Resurse

Tema 1. Utilizarea trusei de scule şi a documentaţiei de firmă în procesul de instalare

Fişa suport 1.1. Utilizarea trusei de scule

Acest material vizează competenţa / rezultat al învăţării : „Realizează mentenanţa hardware a sistemelor de calcul desktop şi laptop utilizând instrumente adecvate, conform specificaţiilor”

Un tehnician în munca lui se foloseşte de diverse scule. Aproape orice trusa de scule conţine una sau mai multe şurubelniţe drepte (figura 1.1.1).

Figura 1.1.1 Şurubelniţa în linie Figura 1.1.2 Şurubelniţa în cruce

Aceasta trebuie aleasă în aşa fel încât lăţimea şurubelniţei (1.5 mm – 4 mm) să fie cât fanta şurubului pentru a nu defecta şurubul sau şurubelniţa.

Marea majoritate a şuruburilor, precum cele care asigura capacul carcasei (sau panourile laterale), unităţile optice, unităţile floppy, hardisk-urile, sursa de alimentare, plăcile adaptoare sau ventilatoarele sunt de regula cu cap în cruce. Pentru acestea se folosesc atât la fixare cât şi la desfacere şurubelniţe în cruce (figura 1.1.2) specifice mărimii şurubului.

La şuruburile cu cap îngropat alegeţi cu grija tipul şurubelniţei în cruce pentru că deteriorarea capului şurubului va face imposibila desfacerea acestuia

Aceleaşi şuruburi pot prezenta opţional şi cap hexagonal.

Figura 1.1.3 Şurubelniţa tubulara Figura 1.1.4 Şurubelniţa cu cap stelat

Nu strângeţi excesiv şuruburile !

Anumite mărci de calculatoare au adoptat şuruburi cu cap stelat (figura 1.1.4).

Figura 1.1.5 Şurubelniţa cu vârfuri interschimbabile Figura 1.1.6 Penseta

Pentru a ocupa mai puţin spaţiu suntem tentaţi să folosim şurubelniţe cu vârfuri interschimbabile (figura 1.1.5).

Anumite echipamente precum o tabla interactivă pot prezenta şi şuruburi care se pot desface sau strânge cu chei hexagonale.

Figura 1.1.7 Penseta din plastic Figura 1.1.8 Cleşte cu vârf ascuţit

Atunci când dorim să mutăm un jumper dintr-o poziţie în alta putem folosi o penseta (figura 1.1.6). Aceasta poate fi îmbrăcată în plastic pentru izolare. Daca am scăpat acest jumper pe placa de baza şi nu dorim să o zgâriem putem folosi o penseta din plastic (figura 1.1.7).

Dacă extragerea jumper-ului din hardisk se poate dovedi o operaţie delicată cu ajutorul pensetei atunci putem folosi cleştele cu vârf plat. Dar deopotrivă acesta poate fi folosit pentru îndreptarea pinilor la cipuri sau la apucarea altor piese mici.

Daca aţi îndoit din greşeala pini la mufa PS2 atunci cleştele plat nu vă poate ajuta prea mult şi este nevoie de un cleşte cu vârf ascuţit (figura 1.1.8).

Când dorim să tăiem un cablu şi să-l pregătim pentru sertizare ar trebui să folosim un cleşte de tăiat fire (figura 1.1.9). Dacă trebuie să dezizolăm un cablu atunci folosim un cleşte de dezizolat (figura 1.1.10).

Figura 1.1.9 Figura 1.1.10 Figura 1.1.11

Cleşte de tăiat fire Cleşte de dezizolat Cleşte de sertizat

Pentru sertizarea cablurilor UTP trebuie să folosim un cleşte de sertizat (figura 1.1.11). Pentru sertizarea prizelor UTP moderne şi respectiv, a panoului de conectare, din dulapul de comunicaţie (patch panel-ului), se foloseşte cleştele krone (figura 1.1.12). Din ce în ce mai rar este folosit cleştele pentru extras circuite integrate (figura 1.1.13) care se mai găseşte încă în trusele specializate. În mod similar insertorul (figura 1.1.14)

Figura 1.1.12 Figura 1.1.13 Figura 1.1.14 Cleşte Krone Extractor Insertor

Aceste încă pot fi folosite pentru extragerea sau inserarea circuitelor de BIOS din plăcile de baza sau adaptoare mai vechi, respectiv a microcontrolerelor din soclurile de pe plăcile de test.

O problema majoră a componentelor electronice o reprezintă depunerea de praf. Praful se poate îndepărta de pe componentele calculatorului cu ajutorul următoarelor: aspirator PC, spray cu aer comprimat, pensula antistatică, şerveţel speciale antistatice1

pe care s-a pulverizat soluţie gata preparată (figura 1.1.17), cârpă înmuiată în apă sau în soluţie moale de detergent cu apă.

Figura 1.1.15 Figura 1.1.16 Figura 1.1.17 Pensule Soluţie de curăţat dischete Spray cu soluţie şi şerveţel

Aspiratorul se poate folosi atunci când se doreşte îndepărtarea prafului din calculator se face într-o încăpere. Spray-ul cu aer comprimat poate fi o alternativă, dar sar putea să fie insuficient. Daca alegeţi o pensula, căutaţi una antistatică. La folosirea pensulelor similare cu cele din figura 1.1.15 aveţi grija la perii acestora care pot sa se agate foarte uşor si pot ramane in socluri sau printre contactele pieselor de pe plăcile calculatorului. Pentru unităţile optice se foloseşte pentru curăţarea lentilei de praf un cd de curăţare. La unitatea de dischete se foloseşte o discheta speciala ce are, în loc de suport magnetic, un materiale textil ce in prealabil se umezeşte în soluţia cu care aceasta este însoţită (figura 1.1.16)

Daca lucraţi seara sau nu aveţi suficienta lumină pentru a localiza un jumper folosiţi o lanternă.

Dar nu ne putem apuca de lucru daca nu avem in vedere electricitatea statica si modul de descărcare al acesteia. Pentru aceasta se recomanda folosirea unui covoraş antistatic împreuna cu o brăţara antistatică.

Figura 1.1.18 Folosirea brăţării antistatice

Utilizarea cleştelui Krone

a) vedere din stânga b)vedere din dreapta c) sertizarea efectiva

Figura 1.1.19 Aşezarea cleştelui Krone

Daca ne-am grăbit şi am greşit putem extrage un fir sertizat cu ajutorul cârligului cu care este dotat cleştele Krone (figura 1.1.19)

Figura 1.1.20 Extragere fir sertizat

Transportul componentelor se realizează în cutii speciale (figura 1.1.21), pungi ce oferă protecţie la şocuri (figura 1.1.22)

Figura 1.1.21 Cutie transport Harddisk Figura 1.1.22 Punga ce oferă protecţie

la şocuri

Figura 1.2.23 Pungi antistatice

Plăcile adaptoare, memoria, placa de bază pot fi transportate în pungi antistatice. La mânuirea componentelor calculatorului folosiţi brăţara antistatică.


UNDE? Conţinutul poate fi predat în laboratorul de informatică sau laborator tehnologic.

CUM?

Se recomandă utilizarea calculatoarelor pentru activităţile de fixare a noilor cunoştinţe.

Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.

Ca materiale suport se pot folosi:

O prezentare ce poate sa cuprindă:

o pentru fiecare din scule: denumire, rol şi mod de utilizare.

o Se mai pot studia pe lângă cele enumerate.

Scule de mână: oglinda

Instrumente de diagnostic: multimetru digital, adaptor de control

Instrumente de lipit: un ciocan de lipit electric cu puterea de 30-60W, pompa de fludor(pentru absorbirea aliajului de lipit la dezlipire), fludor (LP 60)- pentru lipituri colofoniu(sacâz) pentru îndepărtarea oxidului (decapant)

Alte consumabile: banda izolatoare, mufe RJ-45, manşoane, alcool izopropilic, pasta termica(termoconductoare), şervetele de curăţat monitoare, coliere de plastic

Alte echipamente: lampa, scule organizate in truse

Demonstraţie

o Folosirea ambalajelor de protecţie

Activităţi interactive, de genul următor:

a. Activităţi de asociere între numele sculelor şi imaginii lor (realizarea de către elevi a unei prezentări cu scule echivalente)

b. Activităţi referitoare la căutarea de modele constructive ale sculelor

Ca materiale de evaluare se pot folosi:

o Probe practice şi scrise

Fişa suport 1.2. Utilizarea documentaţiei de firmă în procesul de instalare

Acest material vizează competenţa / rezultat al învăţării :” Realizează mentenanţa hardware a sistemelor de calcul desktop şi laptop utilizând instrumente adecvate, conform specificaţiilor”

Utilizarea documentaţiei presupune consultarea acesteia atunci când tehnicianul foloseşte un produs nou, sau un produs utilizat destul de rar.

În documentaţia de firmă a unui produs putem găsi: instrucţiuni referitoare la despachetare2, instalare, folosire3

Documentaţia unei plăci de bază poate să cuprindă: informaţii de siguranţă (siguranţa electrică, siguranţa de operare), instalarea procesorului, instalarea radiatorului şi a ventilatorului, instalarea memoriei, instalarea plăcii de bază, instalarea sursei de alimentare şi cuplarea acesteia la placa de bază, instalarea plăcilor de extensie, instalarea unităţilor de disc (SATA, PATA, unitatea de dischetă), informaţii privind conectarea cablurilor panoului frontal, enumerarea dispozitivelor periferice ce se pot conecta la placa de bază prin porturile puse la dispoziţie de aceasta, informaţii referitoare la prima pornire, paşi privind actualizarea BIOS-ului, scurta descriere a folosirii utilitarelor care însoţesc placa de bază, a unor opţiuni din BIOS, informaţii despre depanarea plăcii de bază, diverse întrebări frecvente, modul de instalare a driverelor pentru diverse sisteme de operare.

, întreţinere sau instalare hardware sau software.

Documentaţia unei placi adaptoare poate sa cuprindă: modul de cuplare a altor subsisteme la aceasta, modul de instalare a driverelor pentru diverse sisteme de operare, caracteristici tehnice.

Documentaţia unităţii optice poate să cuprindă: prezentarea părţii din faţă, prezentarea părţii din spate, instalarea şi conectarea unităţii, schema de conectare a cablurilor, caracteristici tehnice.

Documentaţia unui ventilator poate să cuprindă: caracteristici tehnice şi descriere generală.

Documentaţia unei unităţi de harddisk (sau floppy) poate să cuprindă: descriere conectori, etapele de montare ale unităţii, caracteristici tehnice.

Documentaţia carcasei poate sa cuprindă: caracteristicile, descrierea carcasei, modul de instalare, descrierea panoului din spate, modul în care se cuplează cablurile de alimentare, detalii despre alimentarea sursei

Documentaţia unui dispozitiv flash (stick) poate să cuprindă: descrierea părţilor componente, instalare, caracteristici tehnice.

Documentaţia unei imprimante poate să cuprindă: caracteristici tehnice generale, viteze de lucru şi rezoluţii, sisteme de operare suportate şi dimensiuni şi greutate.

Documentaţia unui calculator portabil poate să cuprindă: indicaţii privind identificarea componentelor, indicaţii privind indicatorii luminoşi ai acestuia, pregătirea calculatorului portabil pentru folosire, elemente de utilizare, utilizarea unităţii optice, elemente privind securizarea calculatorului portabil, etape pentru întreţinere, metode de gestionare a consumului de energie, utilizarea bateriei, conectarea calculatorului portabil la reţea, descrierea modului de folosire a cardurilor ce se pot conecta la calculatorul portabil, modul

de conectare a dispozitivelor externe şi etapele ce ţin de configurarea calculatorului portabil, modul de pornire al acestuia, elemente ce ţin de siguranţa utilizatorului.

Documenatia unui aparat de măsura4 poate sa cuprindă: domeniile de măsurare, precizia si instrucţiuni de folosire.

Documentaţia care insoteste aparatul poate sa cuprindă caracteristici la mai multe modele. Identificaţi modelul aparatului si citiţi documentaţia corespunzătoare


UNDE? Conţinutul poate fi predat în laboratorul de informatică

CUM? Se recomandă utilizarea calculatoarelor pentru activităţile de fixare a noilor cunoştinţe.


Ca materiale suport se pot folosi: manuale tehnice ale plăcilor de bază ale calculatoarelor din dotare sau altele găsite pe internet

Sarcini de căutarea pe diverse teme în manualele componentelor sau perifericelor:

o pentru fiecare din documentaţie aleasa – elevii sa facă un scurt rezumat.


a. Activităţi de comparare a caracteristicilor a mai multe modele de placi de baza


o Probe orale şi scrise

Fişa suport 1.3. Întreţinerea şi îngrijirea corectă a sculelor


Se urmăreşte:

1. Găsirea uşoara a sculelor, pregătite pentru utilizare imediată

2. Curăţarea sculelor (după terminarea intervenţiei asupra sistemului, trebuie curăţate sculele folosite )

3. Păstrarea ordonată a sculelor şi a consumabilelor în cutii şi casete (grijă, practice, curate, durabile, să protejeze sculele) exemplu: vezi figura 1.3.4

Figura 1.3.1 Organizator piese mici Figura 1.3.2 Cleşte ruginit

4. Se recomandă agăţarea sculelor de mână – dacă acestea o permit (acest lucru va permite sa aveţi grijă faţă de muchii şi vârfuri); in cazul surubelnitelor este vorba despre gaura de agatare (figura 1.3.3)

Figura 1.3.3 Surubelnita Figura 1.3.4 Trusa scule retea

5. Întreţinerea sculelor: curăţarea periodică în vederea evitării deteriorării lor (curăţare de rugină, ungerea, etc.)

6. Înlocuirea sculelor uzate.

Neîntreţinerea sculelor le poate face pe acestea greu de utilizat, îl pot predispune pe cel care le foloseşte la accidente.

Sculele se pot depozita in cutii de scule ce poate asigura protecţia la efecte exterioare: lovituri, presări, murdărie şi umiditate. Cutiile în care sunt păstrate sculele trebuie să fie trainice. Sculele ruginite se pot curata cu ajutorul unui burete de sarma după care se ung. Alte scule precum un tester de cablu UTP sunt livrate în huse. După folosirea acestuia puneţi-l înapoi în husă


UNDE? Conţinutul poate fi predat în laboratorul de informatică sau în laborator tehnologic.

CUM? Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.


a. Ungerea cleştilor,

b. Ştergerea sculelor după utilizarea lor

c. Verificarea aparatelor de măsura

Evaluare şi îndrumare în cadrul practicii

a. Activităţi de tip observare la locurile de desfăşurare a practicii; se urmăreşte ca elevii să îşi organizeze locul de muncă;

b. Se va atrage atenţia elevilor la organizarea locului de munca, prin exemple de la locurile de practică sau când profesorul face o demonstraţie


o Probe practice

Tema 2. Norme de protecţia muncii şi de securitate

Fisa suport 2.1 Norme de protecţia muncii


Exemplu de reguli specifice ce trebuie respectate în laboratorul de informatica:

Generale:

- Operatorii (sau depanatorii) care lucrează cu aparate şi montaje, au obligaţia de a folosi numai tensiunea pentru care acestea au fost construite .

- Aparatele supuse reparaţiilor vor fi scoase de sub tensiune; se interzice efectuarea montajelor sub tensiune.

- Este interzis lucrul cu conductori neizolaţi şi mâini ude .

- Pentru protecţia reţelei electrice, respectiv a echipamentelor, alimentarea de la reţea se va face printr-un tablou cu siguranţe .

- Pentru protecţia lucrătorilor părţile metalice ale aparatelor sub tensiune vor fi legate la pământ .

- Este interzis folosirea sculelor cu mânere neizolate.

- Este interzisă folosirea cablurilor neizolate sau defecte.

- Este interzis manevrarea cablurilor şi a mufelor de legătură dintre componentele sistemelor de calcul dacă acestea sunt încă conectate la reţeaua electrică.

- Nu este permisă apăsarea cu brutalitate pe tastatură, atingerea monitorului cu degetele sau alte obiecte, să zgârie carcasa unităţii centrale sau monitorul.

Organizatorice:

- în cabinetul de informatică/laborator tehnologic:

o nu se consumă mâncare, apă sau băuturi răcoritoare.

o este obligatorie păstrarea curăţeniei şi a ordinii

- utilizatorii cabinetului de informatică/laborator tehnologic au obligaţia să recunoască şi să anunţe orice potenţial pericol

Specifice şcolilor1

- În cabinetul de informatica elevii sunt foarte atenţi la indicaţiile şi cerinţele profesorului.

:

1 Extras din ROI (Regulament de ordine interioară)

- Nu este permis elevilor să introducă în calculator stick-uri, CD-uri sau DVD-uri aduse de acasă. Ele trebuie predate profesorului la intrarea în cabinetul de informatică şi vor fi recuperate la sfârşitul orei.

- este nevoie să contribuie la realizarea curăţeniei pentru ca activitatea să se desfăşoare în condiţii igienice.

- Relaţiile elev - elev, şi elev - profesor trebuie să fie de respect reciproc pentru menţinerea unui climat optim de lucru.

Nerespectarea acestor reguli atrage după sine producerea de accidente neplăcute, accidente de care elevii sunt direct răspunzători.

Sancţiuni:

- Elevii răspund material precum şi moral în faţa consiliului profesoral al clasei pentru stricăciunile cauzate intenţionat sau nu, aşa cum au semnat în procesul verbal la începutul fiecărui semestru.



CUM?



O prezentare multimedia care să cuprindă noţiuni din “Norme generale de protecţia muncii, 2002”


a. Activităţi de tip observare la locurile de desfăşurare a practicii; se urmăreşte ca elevii să respecte regulile de protecţia a muncii;

b. Activităţi de tip rebus: referitor la normele de protecţia muncii


o Probe practice si scrise

Fisa suport 2.2 Norme de securitate


Ca tehnician, trebuie sa fiţi conştient de numeroasele riscuri de la locul de munca şi ar trebui sa va luaţi masurile de precauţie necesare pentru a le evita.

Se recomandă să lucraţi în condiţii de siguranţă la locul de muncă în aşa fel încât aceasta să devină o rutină. Respectaţi toate procedurile de siguranţa şi utilizaţi instrumentele adecvate pentru fiecare activitate. Aceasta politică vă va ajuta să nu vă răniţi sau să avariaţi echipamentele.

Menţineţi locul de munca sigur prin respectarea normelor generale de protecţie din fişa suport 2.1 şi a următoarelor reguli:

• Nu desfaceţi monitorul unui calculator dacă nu sunteţi instruit în acest domeniu

• Nu purtaţi în timpul lucrului bijuterii şi ceasuri

• Nu priviţi undele laser localizate în interiorul calculatorului.

• Asiguraţi-vă că există extinctor şi trusa de prim ajutor este disponibilă.

• Acoperiţi marginile tăioase cu bandă izolatoare când lucraţi în apropierea acestora.

Când lucraţi, ar trebui să urmaţi întotdeauna aceste reguli de baza:

• Folosiţi suprafeţe antistatice (covoare sau mese special proiectate) pentru a reduce şansele ca descărcările electrostatice (ESD) să vă deterioreze echipamentul.

• Păstraţi materialele periculoase şi toxice într-un dulap închis (ex.: alcool izopropilic).

• Curăţaţi podeaua de orice ar putea să facă o persoana să se împiedice.

• Curăţaţi locul de munca la intervale regulate.

Ar trebui să acţionaţi cu prudenţă atunci când mutaţi echipamente de calculatoare dintr-un loc în altul.

Folosirea sculelor conform destinaţiei lor

De foarte multe ori suntem tentaţi să folosim o şurubelniţa dreaptă pe post de levier. Aceasta sar putea deteriora. Evitarea folosirii sculelor deteriorate (accidente prin mânere deteriorate, şurubelniţele uzate distrug capetele şuruburilor, ocupă spaţiu)

Figura 2.2.1 Ochelari de protecţie

La curăţarea de praf a pieselor de calculator cu pensula sau cu aer comprimat se recomandă purtarea echipamentului de protecţie format din ochelari (figura 2.2.1) şi masca de praf. Nu suflaţi praful cu gura. Particule de saliva ar putea ajunge şi deteriora componentele electronice.

Recunoaşterea mediilor operaţionale optime privesc aspecte ca: grija pentru cel care lucrează prin: identificarea operaţiilor repetitive care ar putea genera tulburări asupra fizicului uman, eliminarea acestora prin operaţii complementare şi grijă privind modul de mânuire a aparatelor din dotare şi funcţionarea acestora

În ceea ce priveşte tehnicianul acesta trebuie să ridice, susţină, aşeze, să împingă, să tragă, sau să se deplaseze cu un monitor ori cu o unitate centrală. Acestea au o greutate nu foarte mare dacă ne referim doar la unul, două. Însă dacă trebuie să descărcăm dintr-o maşină (camion sau dubă) deja putem considera o muncă repetitivă. Dacă mai ţinem cont că aceste ar putea fi noi atunci sunt împachetate în cutii de carton şi pot ocupa un volum dublu. Trebuie să ţinem cont că nu toţi putem efectua deplasări cu astfel de greutăţi. De asemenea am putea suferi de diverse leziuni şi se pot transforma în probleme serioase de sănătate. Bineînţeles că într-o firmă, mai trebuie zugrăvit şi atunci pregătirea încăperii ar putea presupune mutarea mobilierului.

Nu mutaţi de unul singur echipamente sau mobilier ce: depăşeşte 20-25 kg, au volum foarte mare, sunt greu de prins, pot fi instabile sau se dezechilibrează, nu permit asigurarea lor în timpul transportului, împiedică vizibilitatea, implică poziţii sau mişcări incomode, iluminat insuficientv

Principalele drepturi şi obligaţii ale lucrătorului, precum şi obligaţiile angajatorului sunt stipulate în Legea nr.319/2006 a securităţii şi sănătăţii în muncă şi în H.G. nr.1425/2006 pentru aprobarea Normelor metodologice de aplicare a legii.

După repararea unui calculator trebuie întocmit un raport. Această sarcină un tehnician o poate face în cel mult o oră în funcţie de complexitatea raportului. Dacă însă trebuie să introducă date ce s-ar putea întinde pe o perioadă mai mare de timp, sau să parcurgă o documentaţie, acesta trebui să ţină cont de mai multe reguli când lucrează la calculator.

Poziţia corecta la calculator se refera la: capul să fie centrat pe mijlocul monitorului, la o lungime de braţ de acesta şi cu marginea de sus a ecranului la nivelul sprâncenelor; umerii ţinuţi confortabil în jos şi cu spatele drept, menţinând curbura lombară; coatele trebuie să fie relaxate, apropiate de corp la aproximativ 900 ; încheieturile relaxate într-o poziţie neutră, fără să se sprijine de marginea biroului; genunchii trebuie să fie puţin mai jos decât coapsele; scaunul împins uşor înainte; gâtul drept, fără a fi înclinat faţă-spate;

degetele uşor îndoite spre palmă; tălpile lipite de pardoseala. După o oră de lucru în faţa monitorului se recomandă o pauză de 10 minute.

În încăperile unde funcţionează calculatoarele pot fi montate sisteme de aer condiţionat. Se recomandă controlul filtrelor mecanicevi

Înainte de a vă apuca de repararea/demontarea unui calculator este bine ca acesta să fie oprit, respectiv monitorul oprit şi deconectat de la reţeaua electrică.

pentru eliminarea prafului de pe acestea, dacă unitatea în care lucraţi nu are un contract de service pentru aceste echipamente.

În cursul operaţiei de dezasamblare este bine să fim ordonaţi pentru ca apoi la asamblare să regăsim uşor piesele ce trebuie asamblate. Piesele mici (distanţiere, şuruburi, etc.) ar fi bine să le păstrăm în cutii (organizatoare – figura 1.3.1)



CUM? Clasa poate fi organizată frontal sau pe grupe de 3-4 elevi.


O prezentare multimedia care să cuprindă următoarele noţiuni

o Echipamente de protecţie pentru scule, pentru om, pentru echipamente (se vor reaminti echipamentele ce fac referire la descărcarea electrostatica: pungi, brăţara, covoraş) .

o Se poate face referire la Ordin nr. 310 din 07/08/1996 privind aprobarea Normelor specifice de securitate a muncii pentru prelucrarea automată a datelor

o Se poate face referire la Legea din 1963 privind securitatea birourilor, magazinelor şi căilor ferate

o Se poate face referire la ORDIN nr. 163 din 28/02/2007 pentru aprobarea Normelor generale de apărare împotriva incendiilor


a. Activităţi de tip rebus pentru conştientizarea normelor de securitate

b. Urmărirea elevilor pentru întrebuinţarea echipamentelor de protecţie şi respectarea normelor



Tema 3. Explicarea scopului mentenanţei (întreţinerii preventive)

Fişa suport 3.1 Scopul întreţinerii preventive

Acest material vizează competenţa / rezultat al învăţării :” Realizarea mentenanţei hardware a sistemelor de calcul desktop şi laptop utilizând instrumente adecvate, conform specificaţiilor”

Reducerea riscului de apariţie a problemelor hardware sau software se poate face prin control sistematic şi periodic, al hardware-ului şi software-ului pentru a asigura funcţionarea corespunzătoare.

Reducerea timpului de nefuncţionare al calculatorului şi a costului reparaţiilor.

Întreţinere hardware:

Asiguraţi-vă că partea hardware operează corespunzător:

Verificaţi starea componentelor, în funcţie de condiţiile de mediu: lunar (birou cu trafic mare de persoane în care se fumează şi în care nu se efectuează curăţenie zilnic), trimestrial (birou cu trafic mic de persoane în care se fumează şi în care se efectuează curăţenie zilnic) sau anual (birou cu trafic mic de persoane în care nu se fumează şi se efectuează curăţenie zilnic). Verificarea poate fi condiţionată de reclamaţiile utilizatorului cu privire la diverse disfuncţionalităţi ale sistemului de calcul (echipamente oprite: scoase din priză, echipamente cuplate la alimentare necorespunzător: ştecher cuplat pe jumătate sau semi-decuplat din cauza rearanjării biroului), echipamente zgomotoase (zgomote neobişnuite: ventilatore prinse de carcase necorespunzător, unitate optică uzată).

Reparaţi sau înlocuiţi componentele uzate (cordoane de alimentare defecte, triplu-ştechere uzate, unităţi optice prăfuite sau uzate, unitate de dischetă prăfuită sau blocată, etc.).

Păstraţi componentele curate (odată cu verificarea componentelor este bine şi efectuarea curăţării lor, curăţaţi tastatura şi mouse-ul, îndepărtaţi praful de pe ventilatoare, îndepărtaţi praful din sursa de alimentare, îndepărtaţi praful de pe componentele din interiorul calculatorului).

Creaţi un program de întreţinere hardware (stabiliţi acest program împreună cu utilizatorii acestor echipamente, încercaţi să respectaţi acest program pentru buna funcţionare a echipamentelor) .

Verificaţi şi asiguraţi cablurile nefolosite: acestea ar putea cădea deasupra ventilatorului sau între paletele lui (posibil exemplu în figura 3.1.1 a cu conectorul şi b cu firele) şi iar putea rupe paletele sau l-ar putea frâna ne mai asigurând un flux de aer suficient pentru răcirea radiatorului procesorului, sistemului sau plăcii video.

a) b) c)

Figura 3.1.1 Aşezarea cablurilor

Creaţi back-up-uri de siguranţă (în funcţie de importanţa datelor)

Beneficiile întreţinerii preventive

Reducerea timpilor de nefolosire a calculatorului.

Curăţarea la timp de praf poate reduce timpul de nefuncţionare al calculatorului de la câteva săptămâni (timpul în care am avea bani să investim într-o piesă nouă, precum placa de bază sau placa video) la câteva ore necesare curăţării unui calculator

Reducerea costurilor de reparaţii (dacă din neglijenţă se arde o placă de bază,

sau din cauza răcirii defectuoase se arde un procesor – observaţi preţurile lor).

Reducerea pierderilor de productivitate a lucrătorilor

• Creşteţi securitatea datelor (creare de back-up-uri regulate).

• Extindeţi durata de viaţă a componentelor (prin îndepărtarea regulată a prafului)

• Creşteţi stabilitatea echipamentelor

• Reduceţi costurile de reparaţie

• Reduceţi numărul de echipamente defecte


UNDE? Conţinutul poate fi predat în laboratorul de informatică sau în laborator tehnologic




Demonstraţia:

o Elevii sa facă o planificare a întreţinerii a unui laborator cu 25 calculatoare.


a. Activităţi de planificare a întreţinerii

b. Activităţi de efectuare a întreţinerii:

• Verificarea spaţiului disponibil pe disc: ştergerea fişierelor temporare, ştergerea sau salvarea fişierelor folosite mai rar

• Verificarea funcţionarii imprimantei: pagina de test, calitatea imprimării, starea consumabilelor

• Verificarea logurilor: eliminarea cauzelor care generează erori

• Reorganizarea datelor salvate pe disc

• Verificarea permisiilor pe directoare



Fişa suport 3.2 Identificarea situaţiilor problemă


Verifică problemele evidente:

• Cabluri externe necuplate (sau cuplate necorespunzător)

a) b) c)

Figura 3.2.1 Cuplă externă de date montată incorect

În figura 3.2.1 în imaginea (a) este afişată o cuplă parţial desprinsă ceea ce va duce la lipsa semnalului pentru video-proiector. În imaginea (b) este afişată o cuplă neasigurată, ceea ce poate duce la o lipsa a semnalului în timpul unei prezentări la o simplă atingere a cablului. În imaginea (c) a aceleaşi figură cupla de date este asigurată parţial ce ar putea duce la o lipsa a semnalului la video-proiector dacă dintr-un motiv sau altul decidem să schimbăm poziţia acestuia.

a) corect b) incorect

Figura 3.2.2 Cuplă de alimentare

În figura 3.2.2 în imaginea (a) este afişată o cuplă de alimentare montată corect, iar în imaginea (b) este montată incorect. După cum se observă în aceste imagini este suficient ca 4 mm să nu fie folosiţi atunci când cuplăm spre alimentare din 18 mm efectivi ai cuplei

Atenţie! Cuplarea incorectă a alimentării creşte riscul de incendiu. Un cuplaj imperfect al alimentării poate determina stricarea aparatului alimentat, respectiv a cablului prin mici scântei ce se produc între contactele cuplelor de alimentare, încălzirea până la topire a contactelor dacă scânteile persistă. O dată cu topirea contactelor se pot topi şi carcasele sau protecţiile şi de aici riscul de incendiu

• Cablu interne necuplate sau cuplate necorespunzător

Cel mai adesea se poate întâmplă să decuplăm unitatea optică şi să uităm să o reconectăm. Dar atunci când ne grăbim, putem omite cuplarea corectă ca cuplelor (figura 3.2.3 a si b).

a) b) c)

Figura 3.2.3 Cuplarea firelor de alimentare

Recunoaşteţi un cuplaj imperfect prin miros şi zgomot caracteristic.

• Ordine de încărcare incorectă în BIOS (verificaţi aceste setări)

Figura 3.2.4 Ordine de căutare a sistemului de operare

În figura 3.2.4 se poate observa ordinea în care calculatorul caută să încarce sistemul de operare. Dacă în unitatea optică se află un cd nebootabil va trece peste acestea la unitatea de discheta şi abia apoi la harddisc. Dacă în unitatea floppy se află o dischetă nebootabilă există posibilitatea ca sistemul dă se blocheze fără să se încarce un sistem de operare. Pentru a funcţiona calculatorul se scoate discheta şi se reporneşte sistemul sau la următoare repornire se schimbă ordinea de încărcare lăsându-se harddisk-ul primul.

• Întrerupătorul de pe sursă se află în poziţia oprit (verificaţi starea lui, figura 3.2.5) sau întrerupător de pornire în aşteptare (figura 3.2.6a– led portocaliu)

a) oprit b) pornit a) în aşteptare b) pornit – led verde Figura 3.2.5 Figura 3.2.6 Buton de pornire a sursei unui PC Buton cu semnalizare luminoasă a stării de funcţionare

• Sursa de protecţie este oprită (se porneşte de la butonul dedicat)

• Dispozitivul este defect (figura 3.2.7 a curea transmisie sărită, figura 3.2.8 unitate floppy blocata cu tăbliţa protectoare a dischetei)

a) b) Figura 3.2.8

Figura 3.2.7 Curea de transmisie sărită Unitate floppy blocată

Figura 3.2.9 Pini îndoiţi din cauza manipulării incorecte

Alte posibile defecte: ventilator blocat la sursa de alimentare datorită transportului, curea de transmisie ruptă la unitatea optică, ansamblu radiator-ventilator desprins de pe soclu din cauza transportului, pini îndoiţi la microprocesor datorită manipulării incorecte (figura 3.2.9)

Verificaţi toate cablurile dacă sunt conectate la locurile lor.

Îndepărtaţi şi reconectaţi cablurile.

Reporniţi calculatorul sau dispozitivele de reţea.

Când depanaţi, porniţi calculatorul şi ascultaţi codul transmis sub formă de semnal sonor. Reţineţi semnalul sonor şi căutaţi (în manualul plăcii de bază, pe site-ul ) pentru a determina codul specific hardware-ului în cauză.

În cazul în care calculatorul porneşte, şi se opreşte după testul POST, investigaţi setările BIOS pentru a determina unde se găseşte problema. Uitaţi-vă în manualul plăcii de bază pentru a vă asigura că setările BIOS sunt corecte.

La curăţarea sau înlocuirea ventilatorului, verificaţi mai întâi dacă calculatorul este în garanţie. Puteţi pierde garanţia dacă vă apucaţi să înlocuiţi sau să curăţaţi ventilatorul sursei (figura 3.2.10 ). Dacă ventilatorul este gripat şi are firele lipite în placa sursei se recomandă înlocuirea sursei.

În timpul funcţionarii monitorului, culorile pot avea într-un colţ tendinţa către culoarea mov. În acest caz se poate folosi funcţia de demagnetizarea a monitorului ce este apelabilă în meniul afişat pe ecran la apăsarea unui buton de control.

Figura 3.2.10 Sursa de alimentare Figura 3.2.11 Mesaje pe monitor

Atunci când pe monitor apar alte informaţii decât cele la care vă aşteptaţi să apară (figura 3.2.11), sau monitorul afişează doar culori de bază intermitent (roşu, albastru, etc.) sau imaginea este neclară, sau imaginea baleiază vertical sau orizontal, încercaţi să opriţi monitorul şi să-l porniţi din nou. Dacă nu se remediază problema, decuplaţi-l de la alimentare, respectiv cupla de date, ştergeţi-l de praf, şi recuplaţi-l din nou. Dacă este în garanţie şi problema persistă duceţi-vă şi reclamaţi defectul.

Probleme legate de garanţie

Atrage-ţi atenţia clientului asupra transportării echipamentelor de calcul. Acesta trebuie să se facă în cutiile originale cu ajutorul distanţierelor sau suporţilor (polistiren, carton, pungă antistatică, etc.) furnizaţi la cumpărarea produsului, manualelor tehnice şi a cd-urilor de instalare. Nerespectarea condiţiilor de transport poate duce la pierderea garanţiei.






Prezentări multimedia ale elevilor ce vor cuprinde:

o Situaţiile problema întâlnite frecvent.


a. Verificări asupra parţii hardware pusa la dispoziţie

Fişa suport 3.3 Identificarea problemelor generate de drivere


Verificaţi periodic dacă driverele instalate funcţionează corect. Starea lor se poate verifica mai întâi în Device Manger. Dacă aici nu sunt semnalate probleme puteţi folosi programele de diagnostic propuse de producător. Există, de asemenea, programe generale de la terţi care pot identifica componentele hardware şi pot preciza starea de funcţionare a acestora şi în unele cazuri pot testa diverşi parametrii de funcţionare.

Dacă un dispozitiv hardware nu funcţionează, conectaţi-va ca utilizator diferit. Pot exista setări în profil care nu mai permit navigarea pe internet sau accesarea unui dispozitiv; se remediază prin recrearea profilului.

Verificaţi dacă calculatorul are instalate ultimele update-uri prin accesare paginilor producătorilor de hardware sau prin folosirea opţiunii Microsoft Update (în cazul sistemelor de operare Microsoft)

Ghidaţi-vă în căutarea soluţiei prin folosirea de programe de diagnostic, ce permit rezolvarea problemelor.

Dacă informaţiile furnizate de driver nu sunt suficiente (figura 3.3.1 a), folosiţi instrumente de la terţi sau de la producător pentru a diagnostica dispozitivelor (programe de diagnosticare hardware – figura 3.3.1 b). Observaţi în figura 3.3.1 b parametrii citiţi din interfaţa harddiskului. Coloana Worst indică valorile maximale ale parametrilor hardiskului.

a) Informaţii despre harddisk b) program de diagnoză al harddiskului

Figura 3.3.1 Informaţii despre harddisk

Device Manager: semnul ! indică că dispozitivul acţionează incorect, semnul X indică că dispozitivul este dezactivat.

Figura 3.3.2 Placa video la care nu a fost instalat driverul

O placă video la care nu a fost instalat driver-ul poate determina afişarea incorectă a imaginilor pe ecranul monitorului (figura 3.3.2) sau nu lucrează la parametrii prevăzuţi de producător.

Puteţi fi împiedicaţi să instalaţi un driver dacă nu aveţi suficiente drepturi pe calculatorul respectiv sau este virusat.

Actualizarea driverelor nu este întotdeauna încununată cu succes şi atunci se recomandă revenirea la driverul anterior (opţiunea rollback driver).







a. Completarea de către elevi (individual sau grup) a unei harţi de tip pânza de păianjen

b. Instalarea unui driver



Fişa suport 3.4 Paşii procesului de depanare


Primul pas în procesul de depanare constă în adunarea de informaţii de identificare despre client: numele companiei, numele persoanei de contact, adresa, număr de telefon fix/ mobil. Tot în acest pas ne referim la informaţii despre calculator: numele producătorului şi modelul, informaţii despre sistemul de operare, descrierea configuraţiei sistemului (seriile: plăcii de bază, a memoriilor a harddiskului, a plăcilor adaptoare) tipuri de conexiuni. O altă serie de informaţii se referă la descrierea problemei obţinute prin întrebări deschise:

“Ce tipuri de probleme ai cu computerul sau cu reţeaua ?”

“Care este mediul în care lucraţi cu calculatorul ?”

“Care a fost ultimul program instalat ?”

“Ce făceaţi când aţi identificat problema ?”

“Ce sistem de operare aveţi instalat pe calculator ?”

“Care a fost ultima actualizare a sistemului de operarea sau a programelor pe care aţi instalat-o ?”

După ce aţi înţeles despre ce este vorba şi aveţi nevoie de lămuriri suplimentare folosiţi întrebări închise (Da/nu):

“Aţi schimbat recent parola?”

“Mai foloseşte cineva calculatorul înafara de dumneavoastră ?”

“Calculatorul a întâmpinat problem la pornire ?”

“A fost afişat vreun mesaj de eroare ?”

“Calculatorul este conectat în reţea cu alte calculatoare ?”

Al doilea pas consta în verificarea problemelor evidente. Problema poate fi mai simplă decât îşi imaginează clientul. Verificarea problemelor poate salva timp preţios: verificarea tensiunilor (priză de alimentare, ieşiri sursă, conectare cabluri), verificarea unităţilor să nu aibă discuri nebootabile (în unitatea de discheta sau optică), verificarea setărilor de BIOS (figura 3.2.4), conectarea ca alt utilizator, verificarea alimentarii dispozitivelor, verificarea setărilor de afişare, deconectaţi şi reconectaţi componente, verificaţi starea led-urilor şi puterea semnalului, recalibraţi dispozitivul, verificaţi erorile afişate pe ecranul dispozitivului, verificaţi stare consumabilelor (hârtie, ribon /cerneală/tonner), blocarea hârtiei în imprimantă. Dacă până acum nu s-a rezolvat problema, continuaţi cu pasul următor din procesul de depanare

Al treilea pas constă în încercarea soluţiile rapide. Pot furniza informaţii suplimentare, chiar dacă acestea nu rezolvă problema. Printre aceste soluţii putem aminti: folosirea modului de siguranţă, folosirea opţiunea “Last Know Good Configuration”, dezinstalarea

aplicaţiilor instalate recent, verificarea conflictelor în managerul de dispositive (figura 3.2.10), ştergerea fişierelor temporare, reparaţi problemele de pe harddisk, executaţi o defragmentare, reporniţi calculatorul, conectaţi-vă ca alt utilizator eliminaţi sau deconectaţi periferice inutile. Reţineţi fiecare soluţie încercată. Cereţi mai multe informaţii de la client dacă cele de până acum nu vă ajută. Dacă aţi găsit problema în acest stadiu, documentaţi-o şi începeţi de la sfârşitul procesului de depanare.

Al patrulea pas constă în adunarea de informaţii din computer, dacă informaţiile primite de la client nu ajută la rezolvarea problemei.

Când apar erori cu privire la sistem, utilizator, sau programe, programul Event Viewer (figura 3.3.1) este actualizat cu informaţii despre erori: ce problemă a apărut (Figura 3.3.1 eticheta Description), data şi ora problemei (Figura 3.3.1 eticheta Date şi Time), gravitatea problemei, sursa problemei (Figura 3.3.1 eticheta Source), numărul de înregistrare în Event Viewer (Figura 3.3.1 eticheta Event ID) şi ce utilizator a fost conectat la calculator când a apărut problema (Figura 3.3.1 eticheta User).

Figura 3.3.1 Folosire Event viewer

În Windows Vista observaţi ce probleme a mai avut clientul cu calculatorul prin intermediul utilitarului “Rapoarte şi soluţii probleme” (Problem Reports and Solutions), figura 3.3.2

Figura 3.3.2 Serviciul de centralizare şi raportare a erorilor

În Windows Xp puteţi găsi rapoarte similare prin localizarea şi deschiderea fişierelor de log salvate de “Dr. Watson for Windows” (figura 3.3.3).

Figura 3.3.3 Locul de centralizare a erorilor din programe în Windows XP

Vedeţi programele încărcate la un moment dat cu ajutorul programului Process Explorer. Puteţi elimina fişierele temporare cu ajutorul utilitarului CClenear. Dezactivaţi aplicaţiile din statup cu ajutorul utilitarului msconfig (figura 3.3.4 b).

a) Sistem Information b) MsConfig Figura 3.3.4 Utilitare de diagnostic

Urmaţi o procedura logică şi organizată (aceasta se perfecţionează în timp în funcţie de persoana care se ocupă); exemplu de procedură:

1. Căutaţi informaţii pe internet despre rezolvarea problemei

2. Aplicaţi diverse metode

3. Reţineţi soluţiile încercate şi timpul pentru aplicarea lor

4. Reţineţi soluţia salvatoare şi încercaţi să găsiţi cauza

Aflaţi informaţii despre dispozitive şi testaţi capacităţile acestora cu programe de la producător (figura 3.2.10 b)

Eliminaţi câte o variabilă pe rând (dacă pentru problema în cauză aveţi sau găsiţi mai multe soluţii). Rezolvarea problemelor este o deprindere, care se perfecţionează în timp.

În cazul imprimantelor verificaţi dacă imprimanta la care se listează este cea dorită.

Primul şi ultimul pas implica un mod eficient de comunicare (cu clientul dacă lucraţi într-un service, colegul dacă lucraţi într-o firmă în care aveţi rol de întreţinere). Cereţi clientului cât mai multe detalii referitoare la problema de rezolvat.

Pasul al cincilea constă în evaluarea problemei şi punerea în aplicare a soluţiei. Cercetare soluţiilor posibile se poate face cu ajutorul: experienţa în rezolvarea problemelor, alţi tehnicieni, căutarea pe internet , informaţii din grupuri de lucru din Internet, întrebările frecvente de pe site-ul producătorului, manualele calculatorului, forumuri on-line, site-uri tehnice. Încercaţi soluţiile în ordinea priorităţii. Încercaţi, mai întâi, soluţiile uşoare. După o încercare nereuşită anulaţi modificările pe care le-aţi făcut. Modificările inutile ar putea complica găsirea soluţiei.

Încheie cu clientul. Discutaţi soluţia cu clientul. Asiguraţi-vă că clientul confirmă că problema a fost rezolvată. Documentaţi procesul: descrierea problemei (ex. ventilator sursă gripat), soluţia (ex. înlocuit ventilator sursă), componentele folosite (ex. ventilator nou), timpul petrecut în rezolvarea problemei (ex. 10 min)



CUM?



Ca materiale suport se pot folosi: întrebări deschise şi închise, coli de hârtie pentru scrierea datelor

O prezentare multimedia care să cuprindă noţiunile:

o Paşii procesului de depanare


a. Activităţi de tip rebus cu noţiunile învăţate

b. Joc de rol client – tehnician service folosind cele doua tipuri de întrebări

c. Sarcini pentru folosirea programelor EventViwer, Problem Reports and Solutions, Dr. Watson, Msconfig, sistem Information, process explorer, CClener


o Probe orale, practice şi scris

Tema 4. Întreţinerea sistemelor informatice

Fişa suport 4.1 Întreţinerea calculatoarelor portabile şi desktop


Întreţinerea unui calculator (portabil sau desktop) însemnă în primul rând evitarea şocurilor mecanice. În acest scop se pot folosi o geantă de transport atunci când luăm calculatorul portabil în diverse călătorii. În cazul calculatoarelor desktop se recomandă transportarea lor în cutia furnizată la cumpărare. Se recomandă să nu se folosească calculatorul portabil în timpul deplasării pe teren accidentat. Este indicat ca în cazul unei astfel de deplasări calculatorul portabil să fie închis, sau setat pe un mod de aşteptare. Nu obturaţi locaşurile de aerisire, când lucraţi. Încercaţi să aşezaţi laptopul pe o suprafaţă plană, pentru o mai bună aerisire. Se recomandă să nu transportaţi sau să ridicaţi calculatorul portabil ţinându-l doar de ecran. Nu folosiţi laptopul în condiţii vitrege. După transport, când există diferenţe de temperatură aşteptaţi câteva minute până la punerea în funcţiune. Pentru a nu pierde date în timp ce lucraţi la un calculator portabil nu utilizaţi, respectiv nu activaţi dispozitive ce pot întrerupe funcţionarea sistemului. Salvaţi datele în mod suplimentar pe un CD sau DVD sau alt dispozitiv de stocare. Pentru protecţia datelor, în timp ce navigaţi pe internet sau folosiţi dispozitive externe folosiţi o soluţie de securitate (o suita de programe ce cuprinde antivirus, antispyware, firewall, etc.) pentru verificarea integrităţii acestora.

Înainte de apleca la drum încărcaţi bateria.

La calculatoarele desktop nu aşezaţi unitatea centrală în locuri ce nu permit ventilaţia.

O atenţie deosebită trebuie acordată ecranului. În acest sens reglaţi luminozitatea pentru a avea cea mai bună vizibilitate. La birou, în cazul calculatorului portabil, dacă situaţia v-o permite, folosiţi un monitor extern. Dacă nu folosiţi un monitor extern programaţi pauzele pentru oprirea monitorului la nivelul cel mai scurt convenabil. Citiţi cu atenţie manualul de utilizare al calculatorului portabil referitor la folosirea modului de economisire a energie şi a setărilor referitoare la ecran.

Curăţarea carcasei calculatorului portabil se face cu ajutorul unei cârpe moi, înmuiată în apă curată sau soluţie de apă şi detergent slab. Nu folosiţi cârpa prea umedă, pentru a nu pătrunde apă în carcasa aparatului. Dacă nu dispuneţi de cârpe sau nu ştiţi dacă detergentul este slab, se pot folosi şerveţele speciale şi soluţie (vezi figura 1.20). Nu se recomandă folosirea soluţiilor abrazive, acestea ar putea distruge ecranul. Soluţiile nu se aplică direct pe ecran. Acestea se aplică pe cârpă sau şerveţel şi apoi se şterge ecranul.

Nu folosiţi pentru materiale care se încarcă electrostatic.

Pentru a proteja calculatorul, instalaţi sau folosiţi o sursă de protecţie, dacă nu o aveţi deja instalată. Verificaţi la sursa de curent neîntreruptibil (UPS) dacă are baterii adecvate. Dacă timpul de menţinere fără curent a scăzut considerabil înlocuiţi bateria sau bateriile. Menţineţi locul în care este aşezat UPS curat. Verificaţi cablurile conectate la UPS pentru a evita problemele de conectivitate.


UNDE? Conţinutul poate fi predat în laboratorul de informatică sau laborator tehnologic

CUM?





o Elemente de întreţinere a calculatoarelor portabile şi desktop


a. Aplicarea noţiunilor învăţate

b. Prezentarea in mod concurenţial a propriilor opinii referitoare la curatarea calculatorului personal



Fişa suport 4.2 Întreţinerea altor dispozitive portabile

Acest material vizează competenţa / rezultat al învăţării: ”Realizează mentenanţa hardware a sistemelor de calcul desktop şi laptop utilizând instrumente adecvate, conform specificaţiilor”

Întreţinerea unui dispozitiv portabil (palmtop, telefon mobil, aparat foto) însemnă în primul rând evitarea şocurilor mecanice. În acest scop se pot folosi o geantă de transport atunci când luăm dispozitivul în diverse călătorii. Vezi câteva exemple în figura 4.2.1

a) Husă aparat foto b) Toc telefon mobil c) Geantă laptop Figura 4.2.1 Exemple de posibilităţi de transport ale dispozitivelor portabile

Asiguraţi dispozitivul în interiorul husei sau genţii, dacă aceasta este mai mare, pentru o bună protecţie.

O atenţie deosebită trebuie acordată ecranului dispozitivului portabil. În acest sens reglaţi luminozitatea pentru a avea cea mai bună vizibilitate, dacă dispozitivul o permite. Citiţi cu atenţie manualul de utilizare al calculatorului portabil referitor la folosirea modului de economisire a energie şi a setărilor referitoare la ecran.

Curăţarea dispozitivului portabil se face cu ajutorul unei cârpe moi, înmuiată în apă curată sau cu apă şi detergent slab. Se recomandă să nu folosiţi cârpa prea umedă, pentru a nu pătrunde apă în carcasa aparatului. Dacă nu dispuneţi de cârpe sau nu ştiţi dacă detergentul este slab, se pot folosi şerveţele speciale şi soluţie (vezi figura 1.1.20). Nu se recomandă folosirea soluţiilor abrazive, acestea ar putea distruge ecranul. Soluţiile nu se aplică direct pe ecran. Acestea se aplică pe cârpă sau şerveţel şi apoi se şterge ecranul.

Folosiţi capacul de protecţie al aparatului foto, dacă are, pentru protejarea obiectivului. Când cuplaţi sau decuplaţi un aparat foto la USB e bine să fie oprit. Folosiţi doar tipurile de carduri recomandate de producător. Nu curăţaţi senzorul aparatului foto dacă nu e cazul (ex.: vedeţi puncte de praf pe imagine7

Nu decuplaţi bateria telefonului mobil decât dacă doriţi să o schimbaţi. În marea majoritate a cazurilor, se folosesc cleme de plastic care în timp se slăbesc şi pot determina întreruperea alimentării telefonului.

). Curăţarea senzorului depinde de mediul în care efectuaţi pozele sau de cate ori schimbaţi obiectivele.

Update-rile firmware pentru aceste dispozitive sunt recomandate a fi făcute de către servisurile specializate, deoarece cablurile furnizate cu aparatele (foto, mobile sau palmtopuri) nu sunt întotdeauna dedicate şi acestui scop.

Citiţi cu atenţie manualul de instrucţiuni privind utilizarea aparatului. Operarea în necunoştinţă de cauză poate determina blocarea aparatului (sunt comenzi care pot

necesita timp pentru execuţie). Nu formataţi cardurile de memorie dacă nu e strict necesar; dacă informaţiile (fotografiile) nu se salvează integral pe card atunci se recomandă formatarea. Dar de asemenea poate fi suficient o simplă ştergere a informaţiilor (pozelor) pentru a pregăti o noua sesiune de folosire (fotografiere).

Interesaţi-vă înainte de a cumpăra aparatul unde sunt servisurile pentru operaţii în garanţie.

În caz de ştergere accidentală a informaţiilor (pozelor) se pot folosi programe de recuperare.

O atenţie deosebită trebuie acordată video-proiectoarelor, deşi nu sunt întotdeauna echipamente portabile, tindem să le luăm cu noi în diverse călătorii. Atenţia trebuie să o acordăm mai ales la oprirea echipamentelor de acest gen. În marea majoritatea a cazurilor procesul de oprire poate dura de la 1 la 5 minute, timp necesar răcirii lămpii proiectorului. Dacă video-proiector trebuie transportat folosiţi cutia originală, dacă nu este prea voluminoasă sau procuraţii o husă.

Înainte de a pleca la drum încărcaţi bateria.







o Întreţinerea dispozitivelor portabile.


a. Joc de rol client- vânzător

b. Aplicarea noţiunilor învăţate

c. Completarea unei harţi de tip pânza de păianjen cu referire la întreţinerea telefonului inteligent

d. Prezentarea in mod concurenţial a propriilor opinii referitoare la curatarea unui palmtop


Tema 5. Mentenanţa unităţii centrale

Fişa suport 5.1 Operaţiuni de curăţare a procesorului şi a plăcii de bază


Procesorul este un circuit integrat care include un număr foarte mare de elemente de circuit electronic clasic - tranzistori. El lucrează în strânsă colaborare cu placa de bază, pe care este montat într-un soclu (sau slot). În funcţie de tipul soclului (sau slotului), o placă de bază poate suporta numai anumite tipuri de procesoare.

a) b)

Figura 5.1.1 Procesoare

Daca până acum o caracteristică foarte importanta era frecventa, acum patru caracteristici sunt deopotrivă de importante: numărul de nuclee, frecvenţa acestora, frecvenţa magistralei sistemului (FSB) şi cantitatea de memorie cache.

Asiguraţi-vă cu brăţara antistatică când umblaţi cu procesorul

În figura 5.1.1 sunt afişate 2 procesoare, observaţi diferenţele privind mărimea contactului între procesor şi radiator în imaginea (a) de aproximativ 1 cm2 iar în figura (b) de aproape 3 cm2.

Nu atingeţi cu mâna pini sau contactele procesorului

Componenta termică

Exemple: vaselina siliconică (figura 5.1.1 b) sau pasta termoconductoare8 (figura 5.1.1a) bazata pe nitrat de argint sau particule foarte fine de oxid de aluminiu si nitrit de brom.

Atenţie ! Nu aplicaţi în exces componenta termică; întindeţi uniform pasta conductoare

a) b)

Figura 5.1.2 Folosirea brăţării antistatice la o curăţare periodică

a) b)

Figura 5.1.3 Soclu procesor cu impurităţi

Placa de bază

Când curăţaţi placa de bază, aveţi grijă după ce aţi înlăturat procesorul din soclu, din pensula pot să cadă peri (figura 5.1.3 b) sau din greşeală puteţi scăpa o scamă (figura 5.1.3 a) După cum observaţi sunt destul de greu vizibile astfel de impurităţi şi pot împiedica contactul între procesor şi soclu.

Se recomandă înlocuirea bateriei de BIOS dacă după o perioadă îndelungată de utilizare a calculatorului nu mai rămân setările salvate în BIOS. Scoaterea bateriei de pe placa de bază se face uşor cu ajutorul unei şurubelniţe se apasă pe clema de fixare (figura 5.1.4)

Figura 5.1.4 Scoaterea bateriei

În caz de uitare a parolei de BIOS acesta se poate reseta. Pentru a vedea cum consultaţi manualul plăcii de bază. De multe ori acest lucru este indicat pe placa de bază ca în figura 5.1.5

a) cu dipswitch b) cu jumper

Figura 5.1.5 Resetare BIOS







o Operaţiuni de curăţare a plăcii de baza si a procesorului.





Fişa suport 5.2 Operaţiuni de curăţare a dispozitivelor din interiorul unităţii centrale


Memoria RAM

Se curăţă de praf cu ajutorul unei pensule sau cu un tampon înmuiat în alcool izopropilic. Se verifică dacă acestea sunt aşezate corect în soclurile lor.

Unităţi interne: harddisk-ul

Figura 5.2.1 Harddisk

La fel ca pe ventilatoare pe unităţile de tip harddisck se poate acumula, în timp, praf (figura 5.2.1). Acesta dăunează unităţii pentru că determină încălzirea acesteia. Pentru curăţare se decuplează cupla de alimentare, cupla de date, se deşurubează şuruburile de fixare, se scoate din locaşul intern şi se curăţa extern cu o pensulă.

Dacă unitatea de harddisk trebuie transportată, atunci aceasta se face în cutii (figura 1.1.28) sau pungi speciale (figura 1.1.29) .

Plăci adaptoare: video, sunet, reţea, etc.

Se curăţă de praf cu ajutorul unei pensule. Se verifică dacă acestea sunt bine prinse în carcasă, respectiv cuplate cu soclul din placa de bază. Plăcile adaptoare, memoria, placa de bază pot fi transportate în pungi antistatice (figura 1.1.30). La mânuirea lor folosiţi brăţara antistatică (figura 1.1.25).

Radiatoare

Curăţarea radiatoarelor se face cu aer comprimat sau prin spălare şi uscare. Suprafaţa care va prelua căldura de la procesor se va şterge ulterior cu şerveţel înmuiat în alcool izopropilic. Această parte nu se va mai atinge cu mâna pentru a nu lăsa urme de grăsime (figura 5.2.2 c).

a) b) c)

Figura 5.2.2 Curăţarea ansamblului ventilator – radiator

Ventilatoare

Pentru curăţarea lor este bine ca aceste să se desfacă din sursa de alimentare, carcasă procesor sau procesor video. De regulă sunt asigurate în 4 şuruburi. Atenţie la desfacere s-ar putea să găsiţi şi sisteme antivibraţie (şuruburi speciale sau coliere din cauciuc sau plastic). Curăţaţi de praf paletele ventilatoarelor, pentru că acesta îl vor face să funcţioneze din ce în ce mai greu. Pentru această operaţie puteţi folosi o pensulă (figura 5.1.7 a). Dacă ventilatorul este înţepenit sau se mişcă greu sau are joc radial se recomandă înlocuirea lui cu unul nou.

Se recomandă verificarea periodică a ventilatoarelor

Sursa de alimentare

Observaţi ventilatorul sursei, dacă este încărcat de praf, curăţaţi-l (vezi figura 5.2.3)

Figura 5.2.3 Ventilator al sursei îmbibat de praf Figura 5.2.4 Ventilator de carcasă

Carcasa

Poate prezenta ventilatoare în spate pentru o mai bună aerisire, respectiv un filtru pentru ventilatorul procesorului. Nu lăsaţi ca filtru să se îmbâcsească precum cel din figura 5.2.4

Figura 5.2.5 Filtru ventilator procesor îmbâcsit Figura 5.2.6 Praf în interiorul carcasei

Este importantă şi curăţarea carcasei pentru că după cum observaţi în figura 5.2.6, se strânge praf şi în interiorul acesteia.

De regula carcasa, în timpul transportului, poate fi asigurată într-o cutie de carton pe care puteţi să o deschideţi uşor cu o foarfecă (figura 1.1.22) sau un cuter, dacă a fost în prealabil sigilată (sau calculatorul este nou).

Cabluri de interconectare

Sursa de alimentare este cuplata la reţeaua electrică prin intermediul cablului de alimentare. Când cuplaţi sau decuplaţi cablu de alimentare cu o mână prindeţi de conector şi cu alta va sprijiniţi pe carcasă/priză

Nu trageţi de cabluri

Decuplaţi ştecherul de alimentare de la priza de alimentare ţinând cu o mână de ştecher şi cu cealaltă de priză şi apoi ştecherul de alimentare din sursa în mod similar

Proceduri de curăţare pentru curăţarea desktop-urilor

Întreţinere hardware:

Asiguraţi-vă că partea hardware operează corespunzător:

Verificaţi starea componentelor (stare condensatori – să nu fie umflaţi, crăpaţi sau lipicioşi or aspect de ruginit, conectori – bine cuplaţi, funcţionarea ventilatoarelor de răcire: din sursa de alimentare, al procesorului, de pe placa video, de pe carcasa dacă e cazul).

Reparaţi sau înlocuiţi componentele uzate (ventilatoare zgomotoase).

Păstraţi componentele curate (Îndepărtaţi praful de pe ventilatoare, din sursa de alimentare, de pe componentele din interiorul calculatorului; curăţaţi mouse-ul şi tastatura).

La curăţarea prafului (o dată pe an după caz) se recomandă îndepărtarea plăcii de bază. Aceasta poate fi asigurată în carcasă prin două sau mai multe şuruburi. La diverse modele pe lângă şuruburi (cu sau fără distanţiere metalice) se folosesc distanţiere din plastic. Neprinderea tuturor şuruburilor sau distanţierelor pot duce la jocul plăcii de bază în locaşuri, imposibilitatea prinderii corecte a plăcilor adaptoare, distrugerea plăcii de bază şi a plăcilor de extensie, sau probleme de contact.

Cablurile nefolosite pot fi asigurate cu ajutorul bridelor de plastic.

Unitatea optică

Dacă unitatea optică nu este folosită un timp se poate recurge la un disc de curăţare ca cel din figura 1.1.19. Verificaţi manualul tehnic al unităţii de scriere dacă nu interzice folosirea acestor tipuri de disk-uri.

Unitatea floppy

Unitatea floppy se poate controla periodic dacă nu are cumva blocată în interior o dischetă, dacă permite introducerea unei dischete, dacă nu are tăbliţa protectoare a dischetei blocată în interior, dacă nu are alte corpuri străine. Verificare se face prin demontarea unităţii şi a capacului protector (vezi figura 4.1.12).

Figura 5.2.7 Unitate de dischetă la care a fost desfăcut capacul protector

Discurile optice care dintr-un motiv sau altul le-am murdărit se curăţă radial, pentru a asigura o cât mai mică zgâriere a discului.







a. Aplicarea noţiunilor învăţate pe grupe: curatarea dispozitivelor din interiorul unitatii centrale

b. Inventarul dispozitivelor din interiorul unitatii centrale



Tema 6. Mentenanţa dispozitivelor periferice

Fişa suport 6.1 Întreţinerea monitorului, tastaturii şi a mousului


Monitorul se curăţă cu o cârpă umezită în soluţie de apă şi detergent. Dacă soluţia nu este la îndemână se poate folosi şerveţele speciale ce au fost în prealabil stropite cu soluţie specială.

Dacă nu este folosit o perioadă îndelungată de timp se poate folosi o husă antistatică9

La modelele LCD cablu de alimentare poate să cadă dacă nu este bine fixat. La modele CRT pot fi frecvente cazurile de contact imperfect similare cu cele din figura 3.2.2 b), atunci când utilizatorul schimbă poziţia monitorului pe masa de lucru şi cablu nu este bine fixat.

În lucru de zi cu zi folosim tastatura şi mouse-ul. Acestea trebuie curăţate periodic pentru că adună foarte uşor praf.

Figura 6.1.1 Mouse optic – locurile unde se acumulează mizeria

Mouse-ul se poate curăţa cu o cârpă umezită în soluţie de curăţat şi apoi ştergeţi zona murdară. Dacă vă tremură cursorul pe ecran înseamnă că a cumulat scamă în zona senzorului optic. Îndepărtaţi această scamă cu un beţişor de urechi.

Tastatura se poate murdări în multe feluri (mâncăm deasupra ei, o folosim cu mâinile murdare, etc.)

Figura 6.1.2 Curăţarea tastaturii cu un beţigaş special

Dacă ajunge mizerie sub taste se recomandă scuturarea tastaturi. Dacă se murdăresc butoanele acestea se pot curăţa cu ajutorul unei cârpe înmuiată în soluţie slabă (apă cu detergent) sau cu soluţii precum cea din figura 1.1.21. Dacă marginile tastelor sunt murdare atunci acestea se pot curăţa cu ajutorul unui beţişor special ca în figura 6.1.2. Scoaterea tastelor poate duce la distrugerea clemelor de fixare.

Dacă scăpaţi tastatura cu fir de pe birou este posibil ca firul acesteia să se smulgă din conexiunea lui – tastatura ar deveni inutilizabila. Desfaceţi cu grijă tastatura şi reconectaţi cablul (figura 6.1.3)

Figura 6.1.3 Recuperarea tastaturii defecte

Dacă tastatura nu este folosită o perioadă îndelungată de timp se poate folosi o husă antistatică pentru protecţia la praf

La dispozitivele fără fir de tip tastatura/mouse verificaţi bateriile. Aceste se pot descărca şi pot duce la nefuncţionarea tastaturii sau mousului.



CUM?





o Întreţinerea monitorului, tastaturii şi a mousului



Fişa suport 6.2 Întreţinerea imprimantelor şi a scanerului


Imprimantele au multe componente mobile şi necesită un nivel mai ridicat de întreţinere fata de alte dispozitive electronice.

ATENŢIE: Aveţi grijă să scoateţi imprimanta din priza înainte de a începe orice tip de întreţinere.

Modalităţii de întreţinere a unei imprimante:

Folosiţi programele de monitorizare si de diagnosticare de la producător.

a) b)

Figura 6.2.1 Program de monitorizare al cartuşelor

Programe de monitorizare a imprimantei (figura 6.2.1) poate arăta starea curentă a cartuşului. Când acest program vă semnalizează o problemă cu cartuşul verificaţi nivelul său de cerneală (dacă este transparent) sau schimbaţi-l cu unul nou.

Imprimantele matriceale au suprafeţe rotative ce ar trebui curăţate cu o cârpa umedă.

Mecanismul de manevrare a hârtiei pentru imprimante si scannere poate colecta particule de hârtie în timp. Curăţaţi zona respectivă cu o cârpă umedă sau cu aspiratorul de calculator.

Curăţaţi imprimanta laser cu un aspirator special (nu cu cel folosit acasă) daca scapă toner. Deconectaţi imprimanta laser, înainte de curăţare din cauza tensiunilor mari.

Hârtia de imprimată şi cerneala

Tipul corect de hârtie ajută imprimanta să funcţioneze mai bine; de regulă se foloseşte hârtia de copiator; dacă folosiţi alt tip de hârtie asiguraţi-vă că imprimanta poate tipări de aceasta setând-o în mod corespunzător.

Tipurile de hârtie disponibile pot fi folosite în imprimantele cu cerneală şi laser.

Unele tipuri de hârtie, în special hârtia fotografică şi foliile transparente, au marcate faţa imprimabilă cu o săgeată pe ambalaj.

Producătorul va recomanda marca şi tipul de cerneală ce pot fi utilizate.

Sunt imprimante care pot folosi mai multe tipuri de cartuşe (cartuşe cu capacităţi diferite şi/sau funcţionalităţi diferite). Alegeţi-le pe cele mai convenabile.

Dacă aţi greşit tipul de cerneală utilizat, imprimanta ar putea să nu funcţioneze sau calitatea imprimării poate fi redusă.

Ar trebui sa evitaţi reumplerea cartuşului pentru ca acesta poate sa curgă

În timpul funcţionării imprimantele cu jet de cerneală pot genera listări neclare10

Poate va trebui sa folosiţi o imprimanta dedicata imprimării codurilor de bare. Acestea au probleme caracteristice precum: imprimanta nu tipăreşte decât o parte din datele trimise, tipăreşte codul de bare dar acesta nu poate fi citit, imprimanta semnalează diverse erori (de alimentare, de banda, etc.)

, listări cu linii orizontale, culori nepotrivite. Daca o imprimantă cu jet nu este utilizată pentru o perioadă mai mare de 10 zile se poate întâmpla ca cartuşul sau cartuşele să nu mai listeze. La cartuşele cu cap incorporat, dacă imprimanta nu listează se poate ca să nu se fi dezlipit complet sigiliile de pe cartuşe.

11

O serie de probleme pot fi generate de folosirea imprimantelor în reţea. Calculatorul la care este conectată imprimanta este blocat sau închis – porniţi/ reporniţi calculatorul. Imprimanta este închisă – porniţi imprimanta.

Suprafaţa scanner-ului trebuie să fie păstrata curata. Dacă sticla se murdăreşte, verificaţi manualul de utilizare oferit de producător pentru recomandările privind curăţarea.

Pentru a preveni lichidul să se scurgă în carcasa scanner-ului, nu pulverizaţi soluţie de geamuri direct pe echipament. Umeziţi o cârpa cu soluţie de curăţat si apoi aplicaţi uşor pe sticlă.

Dacă interiorul sticlei devine murdar, verificaţi manualul pentru instrucţiuni despre cum să deschideţi unitatea şi să scoateţi geamul din scanner.

Daca este posibil, curăţaţi meticulos ambele părţi ale geamului

Atunci când nu folosiţi scanner-ul, ţineţi capacul închis.

Nu aşezaţi nimic greu pe scanner deoarece puteţi avaria carcasa sau componentele interne.

În cazul scanner-ului de mână, puneţi-l într-un loc sigur.

Dacă dispozitivul nu este folosit o perioadă îndelungată de timp se poate folosi o husă antistatică pentru protecţia la praf







o Întreţinerea imprimantelor şi a scanerului

Demonstraţia practică

o Schimbarea ribonului, cartuşului la o imprimanta cu jet, respectiv una cu laser


1. Căutarea pe internet a consumabilelor pentru un anumit model de imprimanta; căutarea cartuşelor originale de capacitate mai mare (vezi cele de la HP); căutarea cartuşelor de tip pachet (HP şi Canon)

2. Aplicarea noţiunilor învăţate



Tema 7 Mentenanţa software a sistemelor desktop şi laptop Întreţinerea software este definită în standardul IEEE 1219:1998 ca modificarea a produsului software, după livrare clientului, pentru a corecta erorile, a îmbunătăţi performanţele sau atributele sau pentru a se adapta unui mediu în schimbare. Întreţinerea este necesară pentru a satisface necesităţile clientului. Standardul internaţional ISO/IEC 14764:200612

• Întreţinerea corectivă: ce constă în modificarea unui produs software pentru a corecta problemele apărute

defineşte următoarele categorii de întreţinere:

• Întreţinerea adaptivă: ce constă în modificarea unui produs software pentru a fi utilizat într-un mediu în schimbare

• Întreţinerea perfectivă: ce constă în modificarea unui produs software pentru a îmbunarăţi performanţele şi a uşura întreţinerea

• Întreţinere preventivă: ce constă în modificarea unui produs software ce a fost livrat clientului pentru a detecta şi corecta erorile incipiente înainte de a se transforma în erori critice

Fişa suport 7.1 Actualizarea programelor

Acest material vizează competenţa / rezultat al învăţării : „Realizează mentenanţa software a sistemelor de calcul desktop şi laptop utilizând programe adecvate, conform specificaţiilor”

Actualizaţi periodic sistemul de operare. Actualizaţi zilnic programul antivirus. Actualizaţi la nevoie programele dedicate dispozitivelor (driverele). Actualizarea se poate face in mai multe feluri: automat (direct din internet), manual (dintr-un director - local sau din reţea) sau programat prin programarea actualizărilor.

Pentru ca Windows să instaleze actualizările importante pe măsură ce acestea devin disponibile, activaţi actualizarea automată. Actualizările importante furnizează beneficii semnificative, cum ar fi securitatea şi fiabilitatea îmbunătăţite. Atât in Windows Xp cât şi în Vista actualizările se pot referi atât la sistemul de operare (figura 7.1.1 a, la Windows XP şi figura 7.1.1 c la Windows Vista) cât şi la alte aplicaţii furnizate de Microsoft (figura 7.1.1 b, la Windows XP).

a) b) c)

Figura 7.1.1 Opţiuni de actualizare

După actualizarea sistemului de operare se poate trece la actualizarea antivirusului13

(figura 7.1.2).

Figura 7.1.2 Procesul de actualizare al unui antivirus

Programele antivirus contribuie la protejarea computerelor împotriva viruşilor, viermilor, cailor troieni precum şi a altor "invadatori" care pot ataca un computer. Viruşii, viermii şi ceilalţi asemenea lor se dedau deseori la acţiuni răuvoitoare, cum ar fi ştergerea de fişiere, accesarea de date personale sau utilizarea computerului pentru a ataca alte computere.

Se poate preveni "îmbolnăvirea" unui computer prin instalarea unui program antivirus. Deseori nu este suficient doar instalarea programului antivirus. Pentru eficienţa protecţiei se recomandă actualizarea regulată a programului antivirus. Executaţi procesul de actualizare până când antivirusul raportează că numai sunt actualizări disponibile

Antivirusul nu ar trebui să lipsească de pe calculatorul nici unui utilizator conectat la Internet.

Figura 7.1.3 Finalizarea procesului de actualizare

Actualizarea aplicaţilor de orice fel se poate face automat prin activarea butonului de „Update” aflat de regulă într-un meniul de ajutor (Help) sau într-o fereastră despre (About). Actualizarea manuală se face prin navigarea la pagina producătorului şi descărcarea ultimei versiuni disponibile, dacă e cazul. După descărcare face-ţi o copie de siguranţă a vechii aplicaţii si a datelor pe un suport extern şi apoi instalaţi actualizarea.



CUM?



Ca materiale suport se pot folosi: sistemul de operare Windows XP preinstalat, un antivirus, un browser neactualizat


o Actualizarea automata a sistemului de operare

o Actualizarea driverelor


1. elevii execută comenzi dintr-o fisa de lucru ce cuprinde paşii privind actualizarea manuală a Windows XP cu SP1 şi respectiv sp3, Net Framework 3.5, automat IE8 şi programat celelalte actualizări necesare sistemului de operare

2. elevii execută comenzi dintr-o fisa de lucru ce cuprinde paşii privind actualizarea manuala a unui antivirus (dintr-un director până la o anumită dată), automat restul actualizărilor necesare

3. elevii execută comenzi dintr-o fisa de lucru ce cuprinde paşii privind actualizarea manuala a unei aplicaţii (Browser de internet: Mozila Firefox)



Fişa suport 7.2 Întreţinerea logică a harddiskului


La început, hard-disk-ul este gol, deci tot spaţiul disponibil pe el este liber. Spaţiul de pe disc este împărţit în aşa-numite blocuri. Începând cu instalarea sistemului de operare, pe disc sunt create directoare si sunt copiate fişiere. Acestea încep sa ocupe în ordine blocurile de spaţiu liber, la rând, astfel încât se formează o zona compacta de spaţiu ocupat, urmata de zona rămasa libera.

Dar în timpul funcţionarii computerului, unele fişiere sunt modificate, si se modifică şi dimensiunile lor. Dacă dintr-un fişier se şterg unele date, fişierul rămâne mai mic, şi în spaţiul ocupat de el iniţial rămâne un loc "gol" prin eliberarea spaţiului care fusese ocupat de datele şterse. Acest loc "gol" este luat în evidenţă de către sistemul de fişiere, ca sa poată fi folosit la nevoie. Alteori, un fişier se poate mari prin adăugarea de date în el, şi atunci nu mai încape în spaţiul ocupat iniţial, deci va fi mutat în alta parte. Dacă este mutat integral în zona libera, spaţiul ocupat de el înainte de mutare rămâne iarăşi liber, tot ca un "gol" în interiorul zonei ocupate.

Practic, zona ocupata ajunge sa fie alcătuita din fragmente, deci spunem ca este fragmentată. Uneori fişierul care s-a mărit nu este mutat, ci o parte din el rămâne pe loc, ocupând blocurile pe care le ocupase si înainte de a se mari, iar partea sa care este în plus este plasata în alt loc, la începutul zonei libere sau chiar într-un "gol" existent în zona de spaţiu ocupat. În acest caz, chiar fişierul spunem ca este fragmentat.

În acest fel, cu timpul, spaţiul ocupat si spaţiul liber de pe disc ajung sa fie tot mai fragmentate, blocuri ocupate alternând cu blocuri libere. De asemenea, si fişierele ajung sa fie fragmentate, uneori un fişier mare fiind alcătuit din multe fragmente risipite pe tot discul, după cum s-a găsit spaţiu disponibil la plasarea (copierea sau salvarea) lui pe disc. Cu cât procentul de fragmentare este mai mare, cu atât sistemul de operare va lucra mai greu cu datele de pe disc, si mai ales cu fişierele mari. De aceea, din când în când se impune efectuarea operaţiei de defragmentare.

Figura 7.2.1 Posibilităţile de întreţinere a discului

Defragmentarea constă în rearanjarea fişierelor si directoarelor pe disc, astfel încât ele sa nu mai fie fragmentate (deci sa ocupe un spaţiu compact pe disc), si între ele sa nu mai rămână blocuri goale, deci si zona de spaţiu liber sa fie compacta, continua.



CUM?





o Remedierea problemelor software apărute


o Rularea programului de scanare a discului, de defragmentare



2. Joc de rol client- tehnician service



Fişa suport 7.3 Devirusarea


Faptul că un program se autointitulează antivirus şi se laudă că poate detecta nu ştiu câte zeci de mii de viruşi, nu este o garanţie a eficienţei sale. Măsurarea capacităţii de detecţie a viruşilor nu este un lucru la îndemâna oricui.

Alegerea unuia programa antivirus se face luând în calcul aspecte ca: preţul, gradul de ocupare a resurselor, viteza de scanare, interfaţa, modulele auxiliare etc.

Marea majoritate a programelor antivirus tind să se transforme în soluţii de securitate având la baza varietatea de "invadatori" care pot ataca un computer-ul şi de aceea pot să includă: antivirusul propriuzis, firewall, antiadware, antispyware, antiphishing, antispam, alte utilitare de protecţie

Calculatoarele se pot contamina :

La citirea dischetelor, CD-urile, DVD-urile sau stick-urile purtătoare de viruşi, care provin de la un alt calculator.

Prin posta electronica (e-mail) a devenit esenţiala în zilele noastre pentru o comunicare eficienta si pentru transferul rapid de informaţii. Creatorii viruşilor de calculator au speculat imediat acest lucru, astfel ca răspândirea prin email a viruşilor se face mai simplu si mai rapid ca niciodată.

Politica de securitate slaba: sistem de operare neactualizat, folosirea contului cu drepturi depline (administrator sau cu rol de administrator)

Prin folosirea de programe din surse necunoscute: reţele de file sharing (descărcare şi instalare: ex. fişiere cu extensie dublă)

Prin folosirea de programelor de personalizare avansata a Windows-ului (programe care protejează monitorul, programe de optimizare, pachete de iconiţe, etc.), programe ce aduc funcţii suplimentare browserelor (toolbar-uri)

Odată infectat un sistem cu un virus devine din ce în ce mai dificil de îndepărtat daca începe să corupă fişierele Windows şi are controlul asupra componentelor lui (ce sunt cheia operaţiilor desfăşurate).

Recunoaşteţi un sistem infectat dacă întâlniţi unul sau mai multe din următoarele semne:

Rularea greoaie a programelor

Reporniri ale sistemului nejustificate

Erori la aplicarea update-urilor sistemului de operare sau chiar a antivirusului

Schimbarea paginii implice a browserului de internet

Paginile de internet se încarcă mai greu decât de obicei fără să folosiţi în parelel alte programe care ocupa lăţimea banda de internet

Aplicaţiile de securitate nu mai pot fi accesate sau nu-şi mai îndeplinesc rolul

Găsiţi fişiere cu nume ciudate în structura de directoare a sistemului de operare

Spaţiul liber de pe hard disk se reduce simţitor

Apar pe ecran tot felul de ferestre sau sunt rulate tot felul de aplicaţii nedorite

Prietenii vă spun că primesc de la dumneavoastră prin e-mail tot felul de mesaje cu ataşamente periculoase.

După cum am arătat mai sus, virusul poate folosi componentele sistemului pentru a se ascunde şi pentru a prevenii găsirea şi scoaterea de către un software antivirus. De asemenea unii viruşi (din ce în ce mai mulţi) pot să blocheze execuţia altor programe de securitate. Dacă nu puteţi instala sau rula o aplicaţie de securitate însemna ca este imposibila scanarea şi detectarea lor. Cea mai buna metodă de scoatere a lor este atunci când viruşii nu rulează, dar de cele mai multe ori pornesc o dată cu Windows-ul. O cale de scanare şi curăţare a unui virus(cu scopul de evita instalarea Windows-ului) este pornirea sistemului folosind un disc oferit de unele companii antivirus (de regula numit Rescue Disk). Cu ajutorul acestora se efectuează o scanare independentă de sistemul de operare instalat pe sistem, totul rulând de pe CD/DVD sau stick.

O alta soluţie este scanarea hard disk-ului pe un alt calculator. Aceasta soluţie nu este la îndemână totdeauna pentru ca sistemul poate fi un laptop sau poate fi sigilat.

O alta soluţie care nu întotdeauna da rezultate este scanarea on-line. Aceasta scanare va poate ajuta cu informaţii despre virusul care îl aveţi în sistem. După detecţia lui trebuie să luaţi măsuri suplimentare pentru eliminare: căutarea pe internet a programului sau setarilor care reduc sau acoperă vulnerabilitatea sistemului de operare sau aplicaţiilor, programe ce permit ştergere sau dezinfectarea.

a) b)

Figura 7.3.1 Eliminare virus

Figura 7.3.1 arată ferestrele de informare ale unui program antivirus ce elimină un virus ce a infectat un program (a) şi respectiv eliminarea unui virus de sine stătător

a) b)

Figura 7.3.2 Detecţie virus

Figura 7.3.2 arată ferestrele de informare ale unui program antivirus ce detectează un virus la scanare: sursa a unui virus (fişier text) (a) şi program executabil detectat la o simpla afişare a fişierelor.

Nu tot timpul avem bani să investim în antiviruşi şi suntem tentaţi să instalam versiuni de evaluare. Ce se întâmpla dacă acestea expira şi nu mai scanează, respectiv nu mai detectează viruşi. Puteţi avea probleme suplimentare de genul: nu mai puteţi deschide un document Word. De ce ? Word-ul, înainte de a deschide documentul cere o verificare pentru viruşi. Antivirusul nu v-a executa sarcina de scanare si Word-ul nu mai deschide documentul.

Daca virusul constă din fişiere separate acesta poate coexista ca fişier ascuns in directorul rădăcina al discului amovibil. Daca sistemul este in prealabil infectat nu puteţi vedea fişiere ascunse cu aplicaţiile native ale Windows-ului gen: Windows Explorer. Aveţi nevoie de un utilitar de gestiunea a fişierelor care au propriile rutine de afişare a fişierelor ascunse.

Figura 7.3.3 Exemple de fişiere de tip virus aflate în directorul rădăcina al dispozitivelor amovibile

Figura 7.3.4 Exemple de fişiere de tip virus ascuns în coşul de gunoi al stick-ului



CUM?





o Devirusarea unui stick



Fişa suport 7.4 Remedierea problemelor frecvente


Exemplu de problemă ce poate să apară în Windows XP: când porniţi calculatorul vă apare un mesaj de eroare care vă anunţă că fişierul ntoskrnl.exe este lipsă sau a fost deteriorat. Pentru reuşita depanării folosiţi site-ul Microsoft14

În mod curent nu avem nevoie numai de sistemul de operare şi antivirus, mai folosim şi aplicaţii de la terţi cum ar fi: programe de contabilitate, programe de evidenţă a salariilor, programe de evidenţă a cărţilor într-o bibliotecă, baze de date cu legislaţia curentă, etc. De regulă când cumpăram astfel de programe este bine să ne asigurăm o perioadă de suport.

ce vă explică rularea unor comenzi în sesiunea de Recovery Console pornită cu ajutorul cd-ului de instalare. Bine înţeles căutarea se face cu ajutorul altui calculator.

Figura 7.4.1 Eroare într-un program de la terţi

În cazul apariţiei oricărei erori ce nu este documentată în manualul de utilizare şi instalare al aplicaţie precum cea din figura 7.3.5 este bine să ne asigurăm, că sistemul de operare este adus la zi, că avem o copie a datelor introduse şi printr-o captură de ecran ataşată unui e-mail trebuie anunţat imediat furnizorul sau producătorul programului respectiv.

O altă serie de probleme ce pot să apară sunt cele legate de tipărirea documentelor. În mod implicit utilizatorii deţin drepturi pentru a imprima documente. Dacă nu aveţi acest drept cereţi acest drept administratorului reţelei. Dacă sunteţi administrator aveţi grijă ca grupul Everyone să aibă asociat dreptul de imprimare.

Dacă doriţi să imprimaţi la o imprimanta de reţea ce nu este instalată local aveţi grijă ca userul definit pe calculator să facă parte din grupul Administrators sau PowerUsers.

Dacă imprimarea la o imprimantă de reţea s-a întrerupt verificaţi dacă imprimanta mai are hârtie, cerneală în cartuşe sau tonner, dacă nu a fost oprită, setat documentul de imprimat pe aşteptare sau nu aveţi prioritate necesară la listare.

Nefuncţionare unor dispozitive poate fi determinată de configurarea greşită a acestora. Citiţi cu atenţie manualele de instalare a dispozitivelor. Nu totdeauna actualizarea unui driver determină funcţionarea mai bună a dispozitivului.

Pentru a vedea la un moment dat programele încărcate în memorie se poate folosi programul Task Manager. Acest program ne permite să oprim acele programe care se blochează la un moment dat în memorie.

Un prim set de instrumente de diagnosticare sunt instrumentele de testare a memoriei. Printre acestea putem aminti Memtest8615

(figura 7.4.2) şi Windows Memory Diagnostic (figura 7.4.3). Se recomandă folosirea instrumentelor de testare a memoriei atunci când am cumpărat memorii noi. Memoriile, de regulă, sunt printre componentele cele mai de încredere ale sistemului. Totuşi simptomele unei memorii defecte pot varia de la blocarea unei aplicaţii la închiderea completă a calculatorului sau repornirea sistemului de operare.

Figura 7.4.2 Memtest86

Dacă aţi testat deja memoria cu un utilitar de testare este bine să faceţi un al doilea test dar cu alt utilitar pentru a fi siguri. Utilitarului Windows Memory Diagnostic (WMD) se poate descărca de pe internet pentru Windows Xp şi este inclus in Vista. El face teste ale memoriei până când este oprit. De obicei o simplă rulare a testului ar trebui să fie suficientă. În Windows Vista puteţi apela acest program de diagnostic din grupul uneltelor de administrare din Control Panel.

WMD este capabil să identifice modulul de memorie defect prin folosirea opţiunii “View errors by memory module”. Dacă totuşi programul identifică un modul defect: opriţi calculatorul, deconectaţi-l de la alimentare, extrageţi modulul defect, reţineţi soclul în care a fost, curăţaţi de praf modulul şi slotul, inseraţi din nou modulul, porniţi calculatorul şi reluaţi testul. Dacă WDM raportează, din nou, erori schimbaţi memoria presupusă defectă cu una care o ştiţi că nu este defectă şi reluaţi testul. Dacă WDM nu mai raportează erori înseamnă că prima memorie este defectă. Dacă WDM mai raportează erori contactaţi producătorul plăcii de bază.

Dacă testul de memorie eşuează se recomandă schimbarea imediată a memoriei, chiar dacă nu întâmpinaţi încă probleme.

Figura 7.4.3 Utilitarului Microsoft Memory Diagnostic

Un alt instrument de diagnosticare se numeşte Startup Repair. Putem folosi acest utilitar atunci când avem probleme cu pornirea sistemului de operare Windows Vista. Acest utilitar se găseşte pe discul cu Windows Vista. Activarea lui se face prin activarea opţiunilor adiţionale ale ferestrei System Recovery Options. Utilitarul Startup Repair face mai multe test precum: o verificare a actualizărilor instalate, un test al discului sistem o diagnoză asupra cauzelor erorilor discului, etc

Figura 7.4.4 Utilitarul Startup Repair



CUM?








Fişa suport 7.5 Protecţia Datelor


Verificaţi cu clientul : data ultimului backup şi conţinutul acestuia.

Dacă nu este creat nici un backup, creaţi unul; aveţi grijă cu ce program faceţi backup. Folosiţi mai întâi programul disponibil cu sistemul de operare. Testaţi mai multe programe. Alegeţi acel program ale cărui facilităţi vă avantajează.

Figura 7.5.1 Microsoft Back-up în Windows XP

Se recomandă salvarea datelor pe un alt mediu (alt hardisk, unitate de bandă sau dvduri) decât cele pe care au fost instalate.

Pornirea utilitarului de backup în cazul sistemelor Windows se face prin alegerea opţiunii Backup din meniul Start.

a) Ce salvăm în copiei de siguranţă b) Selectarea fişierelor şi directoarelor

Figura 7.5.2 Opţiunile programului Backup

Se pot salva prin intermediul programului de backup: toate informaţiile, copii de siguranţă numai pentru fişiere sau numai datele sistemului (figura 7.5.2 a). Dacă se alege a doua

opţiune suntem invitaţi la pasul următor să alegem fişierele şi directoarele ce vor fi salvate (figura 7.5.2 b). Apoi se alege numele fişierului sau mediul de stocare unde se va realiza copia de siguranţă (figura 7.5.3 a). Şi în final recapitularea opţiunilor de bakup (figura 7.5.3 b). Dacă la acest pas nu ne convine unul din parametri stabiliţi încă mai putem reveni şi modifica. Odată apăsat pe butonul Finish se porneşte crearea copiei de siguranţă (figura 7.5.5).

a) Alegerea destinaţiei b) Recapitularea opţiunilor

Figura 7.5.3 Paşii de încheiere a backului

La clic pe butonul Advanced în figura 7.5.3 b se poate opta pentru tipul copiei de siguranţă. Dacă se alege opţiunea Normal vor fi copiate în copia de siguranţă fişierele selectate şi acestea vor fi marcate că au fost salvate. Pentru opţiunea Copy fişierele sunt salvate în copia de siguranţă dar nu sunt marcate că au fost salvate. Opţiunea Incremental permite salvarea fişierelor indiferent dacă acestea au fost salvate la copia de siguranţă anterioară sau au fost modificate de atunci. Opţiunea Diferential permite salvarea numai a acelor fişiere care au fost modificate de la copia anterioară de siguranţă, iar opţiunea Daily va salva doar fişierele modificate astăzi (figura 7.5.4)

Figura 7.5.4 Tipuri de copii de siguranţa Figura 7.5.5 Crearea efectivă

Dacă sistemul din diverse motive nu mai poate fi folosit şi aveţi nevoie de datele salvate în ultima copie de siguranţă trebuie să reinstalaţi sistemul de operare şi abia apoi să refaceţi copia de siguranţă. Parametrii pentru linia de comandă ai programului de Microsoft Backup nu permit restaurarea datelor în modul Recovery Console sau din linia de comandă.

O altă opţiune a Windows XP este folosirea utilitarului System Restore. Acest utilitar poate fi folosit pentru a aduce calculatorul la o stare anterioară.Ca să poată fi adus la o stare anterioară se recomandă crearea unui punct de restaurare. În figura 7.5.6 după introducerea numelui punctului de restaurare se da clic pe butonul Create.

Figura 7.5.6 Crearea unui punct de restaurare Figura 7.5.7 Stare System Restore

După crearea punctului de restaurare se poate ieşi din aplicaţie sau se poate reveni pentru a vedea punctul de restaurare creat. Dacă această System restore este activ (figura 7.5.7) atunci puteţi observa şi alte puncte de restaurare crete la instalarea sau actualizarea diverselor aplicaţii. În figura 7.5.8 Se observă zilele (îngroşate în imagine) din lună în care au fost create puncte de restaurare.

Figura 7.5.8 Puncte de restaurare

Punctele de restaurare pot fi accesate şi în modul de siguranţă (SafeMode).

Integritatea datelor din backup (verificaţi backup existent). Disponibilitatea mediului pentru restaurarea datelor (aveţi acces la el; chiar şi când sistemul nu mai funcţionează ?)

Daca nu poate fi creat backup-ul rugaţi clientul să semneze un formular prin care datele existente pot fi şterse





Ca materiale suport se pot folosi: programe de back-up

Demonstraţia:

o Crearea unui back-up folosind opţiunile programelor de backup


o Crearea şi restaurarea unei copii de siguranţă.

Tema 8 Mentenanţa reţelelor de date

Fişa suport 8.1 Inspecţia vizuala a reţelei si a echipamentelor

Acest material vizează competenţa / rezultat al învăţării : „Verifică funcţionalitatea reţelelor de date cu ajutorul instrumentelor software şi hardware specifice”

Inspecţia vizuală a echipamentelor trebuie efectuată periodic. În funcţie de amplasarea lor această periodicitate a verificării poate fi mai mare sau mai mică. Aceasta preîntâmpină efecte ca: distrugerea cablurilor de legătură respectiv a prizelor de reţea.

Figura 8.1.1 Prize smulse din locaşurile lor Figura 8.1.2 Cablu sertizat incorect, fără

lamela de contact

Deplasarea echipamentelor sau meselor pe care sunt aşezate acestea fără să se ţină cont de aceste conexiuni ale calculatoarelor pot determina smulgerea prizelor din pereţi (figura 8.1.1), deteriorarea cablurilor când acestea sunt trase fără să fi fost asigurate cu manşoane de protecţie: ruperea clemei de siguranţa, desprinderea izolaţie din clema de strângere (figura 8.1.2)

Dacă trebuie să înlocuiţi vreun cablu UTP fiţi atenţi la ce tip de cablu vă cumpăraţi pentru că apoi veţi avea probleme cu aşezarea firelor în ordinea corectă (figura 8.1.3).

Figura 8.1.3 Cabluri UTP

Stânga: cablu UTP la care se disting firele albe Dreapta: cablu UTP la care firele cu alb nu se deosebesc între ele

Dacă trebuie să înlocuiţi o priză de reţea atenţie la modelul de priză pe care îl veţi alege (figura 8.1.4).

74

Figura 8.1.4 Prize reţea

Stânga: priză UTP similară cu cea de telefon Dreapta: priză UTP la care firele sunt sertizate cu ajutorul cleştelui Krone

La cablurile de reţea trase înafara clădirii aveţi grijă să folosiţi cablu STP, prize metalice sau ecranate, legate la masa echipamentelor.

La extinderea reţelei, pozaţi cablul în jgheabul adecvat şi folosiţi cablu dur. Pentru evitarea deteriorării accidentale sau intenţionate a reţelei instalaţi cablurile în zone cu trafic redus: pe pereţi, la înălţime. Când trebuie să conectaţi un nou calculator la o priză de reţea folosiţi cablu moale (pathcord). Dacă nu dispuneţi de jgheab pentru extensia reţelei aranjaţi cabluri având în vedere ca nimeni să nu se împiedice de ele. Dacă reţeaua este certificată folosiţi cabluri de marcăxvi

Dacă intervine o mutare a echipamentelor dintr-o clădire în alta e bine să avem o hartă a prizelor de reţea. Această hartă ne ajută să identificăm fiecare birou la ce switch sau dulap de comunicaţie este conectat.

. Se recomandă testarea fiecărui cablu nou instalat.






Demonstraţia:

o Arătarea diferenţelor între diferite tipuri şi calităţi ale cablurilor UTP

o Arătarea diferenţelor între diferite tipuri şi calităţi ale prizelor de reţea



75

b. Sertizarea unui cablu UTP, montarea unei prize de reţea, verificarea cablului sertizat cu un tester UTP



76

Fişa suport 8.2 Întreţinerea echipamentelor de reţea


Munca de verificare periodică a tehnicianului înseamnă verificarea funcţionarii echipamentelor de reţea: hub-uri, swich-uri, routere, media convertoare

Figura 8.2.1 Router în funcţiune Figura 8.2.2 Leduri indicatoare ale routerului

Dacă ledurile unui swich sau hub, corespunzătoare legăturilor, sunt stinse înseamnă că calculatorul sau dispozitivul aflat la capătul celălalt al firului este oprit sau decuplat.

Figura 8.2.3 Media convertor Figura 8.2.4 Vederi detaliu a media convertorului

La un media convertor dacă ledul corespunzător etichetei “Link” este stins atunci înseamnă că conexiunea este oprită. Dacă ledul corespunzător etichetei „Fiber” este stins înseamnă că fibra este întreruptă sau decuplată.

Recunoaşteţi un echipament de reţea (hub sau swich) defect după faptul ca o dată alimentat va indica că are conexiuni cu calculatoare sau alte dispozitive deşi acestea nu au fost conectate: figura 8.2.5 a) hub defect, b) detaliu cu led aprins ce indica conexiune dar la hub nu este conectat nici un cablu UTP.

Mai puteţi recunoaşte hub sau swich defect dacă vă blochează ruterul şi nu mai puteţi folosi conexiunea la internet. Dacă ruterul care se blochează este conectat la hub defect prin intermediul altor swich-uri sau hub-uri v-a trebui să izolaţi problema prin verificare fiecărui hub sau swich în parte.

Cablurile de reţea montate pe pereţi trebui protejate în jgheaburi. Cablurile de legătură dintre calculator şi priza de reţea trebuie inspectate periodic pentru că se pot uza (prin ruperea cheii, desprinderea din mufă a cămăşii de protecţie) şi pot aduce disfuncţionalităţi reţelei.

77

a) b)

Figura 8.2.5 Hub defect

Swichurile se pot comporta similar hub-urilor in cazul nefuncţionării sau funcţionarii defectoase. La problemele cu swicuri sau hub –ri se recomanda: curatarea lor de praf, oprirea functionari lor peste noapte; daca pronlema persista se recomanda inlocuirea lor.

In cazul ruterelor, pe langa cele prezentate mai sus se mai pot efectua următoarele: resetarea respectiv actualizarea firmware. Resetarea aduce ruterul la starea originala (din fabricatie). Aceasta se face de regula prin apăsarea unui buton pentru un interval de 10 - 15 secunde. Citiţi documentaţia echipamentul pentru modul de accesare al butonului (de regula poate fi ascuns si acţionabil cu un ac sau cu agrafa). Actualizarea firmware poate aduce imbunatatiri substanţiale routerului. Se cauta fisierul de actualizare pe site-ul producătorului. Se descarcă local. Se urmează instrucţiunile producătorului privind actualizarea firmware.

Nu se face actualizare firmware prin wireless







o Modalitati de întreţinere a echipamentelor de reţea

Demonstraţia:

o Actualizare firmware la un router

78


a. Înlocuirea unui swich

b. Verificarea unui cablu de retea



79

Fişa suport 8.3 Verificarea funcţionării reţelelor de date


Verificarea funcţionării reţelelor de date se poate face fizic prin observarea ledurilor indicatoare de la placa de reţea a sistemului de calcul şi respectiv ledul indicator corespunzător calculatorului în swich.

Verificarea funcţionării reţelelor de date se poate face logic prin comenzi specifice.

Cu ajutorul comenzii ping se poate determina dacă există comunicaţie între calculatoare şi respectiv echipamente.

Într-o reţea locala dacă dorim să verificăm comunicaţia dintre staţia curentă şi router iar acesta are adresa de ip: 192.168.2.1 vom da comanda ca în figura 8.3.1 în Windows XP respectiv figura 8.3.2 în Windows Vista

a) b) Figura 8.3.1 Sesiune Comand prompt în Windows XP ilustrând folosirea comenzii ping

Figura 8.3.2 Sesiune Comand prompt în Windows Vista ilustrând folosirea comenzii

ping

Ca să verificăm comunicaţia în reţea, trebuie să aflăm ip-ul staţiei cu ajutorul comenzii ipconfig

a) fără parametri b) cu parametrul “all”

Figura 8.3.3 Comanda Ipconfig

80

În figura 8.3.3 a adresa IP asociată staţiei în mod automat. Acest lucru se vede mai exact în figura 8.3.3 b pentru ca la câmpurile “Autoconfiguration Enabled” şi “DHCP Enabled” au setată valoarea „Yes”. Se poate observa de asemenea şi adresa MAC în dreptul câmpului “Physical address”. Această adresă MAC poate fi aflată foarte uşor şi prin folosirea comenzii arp.

Când schimbaţi un server DHCP cu altul, calculatoarele din reţea trebuie să primească o nouă adresă IP. Aceasta se face cu comanda “ipconfig /renew”. Pentru succesul acestei operaţii este nevoie să eliberaţi adresa IP curentă. Această eliberare se face cu adresa “ipconfig /release”

Pentru a accesa un calculator în reţea, ne este mai uşor să reţinem numele calculatorului decât adresa sa de IP. Atât în Windows XP cât şi în Windows Vista se poate afla numele calculatorului folosind comanda “hostaname” în Command Prompt. Se poate verifica comunicaţia cu un alt calculator din reţea prin precizarea numelui calculatorului în loc de adresa IP la comanda ping.

Figura 8.3.4 Conflict de adrese IP semnalat în Windows 2003

La peste 100 de calculatoare într-o reţea pot apărea probleme referitoare la reţinerea IP-urilor alocate calculatoare (figura 8.3.4). Pentru uşurarea acestui demers creaţi o listă în care memoraţi biroul din care face parte calculator, numele sau şi adresa IP alocată.

Figura 8.3.4 Opţiunea flushdns a comenzii ipconfig

Numele de DNS pot fi memorate local. Dacă acesta se schimbă, sau schimbăm furnizorul de internet este posibil să avem nevoie să ştergem aceste nume (figura 8.3.4).

Pentru a verifica comunicarea între două calculatoare în internet se poate folosi şi comanda tracert. În plus această comandă arată locurile prin care pachetele trec până ajung la destinaţie (figura 8.3.8)

81

Figura 8.3.8 Comanda tracert





Ca materiale suport se pot folosi: testere pentru fire


o comenzi de verificare a funcţionării reţelelor de date

Demonstraţia:

o aplicarea comenzilor





82

Fişa suport 8.4 Monitorizarea conexiunilor locale Acest material vizează competenţa / rezultat al învăţării : „Verifică funcţionalitatea reţelelor de date cu ajutorul instrumentelor software şi hardware specifice”

Dacă dorim să afişăm diverse statici referitoare la numele de NetBIOS ale conexiunii curente folosim comanda nbtstat (figura 8.4.1 b).

a) parametrul a b) parametrul n

Figura 8.4.1 Comanda nbtstat

Dacă dorim să aflăm numele de netbios a unui computer din reţea folosim comanda nbtstat cu parametrul a urmată de adresa IP a calculatorului respectiv (figura 8.4.1 a).

Dacă avem drept de administrare pe calculatorul pe care operăm şi acesta funcţionează greu din cauză că mai mulţi utilizatori sau conecta la el pentru a copia fişiere putem identifica cine s-a conectat prin verificare sesiunilor, respectiv a fişierelor deschise (figurile 8.4.2 şi 8.4.3)

Figura 8.4.2 Fişiere deschise Windows XP

83

Figura 8.4.3 Sesiuni în Windows Vista

Monitorizarea conexiunii locale se poate face deopotrivă prin capturarea pachetelor cu aplicaţii dedicate. Printre aceste aplicaţii putem aminti Microsoft Network Monitor şi Wireshark Protocol Analyzerxvii

Putem folosi aceste programe să studiem funcţionarea protocoalelor de reţea, pentru îmbunătăţirea securităţii reţelei şi funcţionalităţii ei. Pe lângă traficul care priveşte calculatorul local putem observa şi traficul propus spre difuzare: traficul generat de calculatoare pentru crearea listei de nume NetBIOS (pentru compatibilitatea cu sisteme de operare ca Windows 98 sau Windows 95), traficul generat de rutere ce au activate opţiunea de Upnp, etc. .

. Cu ajutorul acestor programe se pot captura, afişa şi salva pachete transmise şi recepţionate de către adaptoarele de reţea ale calculatorului local.

Un pachet captat de programele de mai sus apare ca un cadru. Cadrele de reţea conţin informaţii precum: adresa sursă, adresa destinaţie, protocolul folosit, datele efectiv transmise, producătorul plăcii de reţea, adresa MAC a plăcii de reţea, dimensiunea pachetelor, etc.(figura 8.4.4).

84

Figura 8.4.4 Programul Microsoft Network Monitor – captarea pachetelor trimise şi primite de comanda ping

Informaţiile furnizate de aceste programe pot fi filtrate şi salvate pentru o analiză ulterioară.





Ca materiale suport se pot folosi: testere pentru fire

Demonstraţia:

o monitorizarea traficului local


b. monitorizarea traficului de difuzare

85




Fişa rezumat Clasa ________________ Profesor______________________

Nr. Crt.

Nume şi prenume

elev


A 1 A 2 A X A 1 A 2 A 3 A 1 A 2 A 3

1 zz.ll.aaaa2

2

3

4

...

Y












Notă: acest format de fişă este un instrument detaliat de înregistrare a progresului elevilor. Pentru fiecare elev se pot realiza mai multe astfel de fişe pe durata derulării modulului, aceasta permiţând evaluarea precisă a evoluţiei elevului, în acelaşi timp furnizând informaţii relevante pentru analiză.

88

V. Bibliografie 1. Donald, Lisa. şi Chellis, James (2003) MCSE Windows XP Profesional, Editura

All,

2. Mueller, Scott.(2003) PC Depanare şi modernizare – ediţia a IV-a, Bucureşti , Editura Teora

3. Mueller, Scott şi Zacker Craig.(2000) PC Depanare şi modernizare – ediţia a III-a, Bucureşti , Editura Teora

4. Enache, Ionel (2002) Organizarea ergonomica a muncii de birou, Bucureşti

5. Revista CHIP – Octombrie 2007

Referinţe electronice:

1 ***. La http://www.nierle1.com/en/article/4291/Data-Flash_TFT-LCD-PDA_Cleaning_Kit.html. 08.06.2009 2 ***. La http://www.aline.ro/manuale/ . 11.05.2009 3 ***. La http://support.dell.com/support/edocs/systems/latxt2/ro/SFITS/ro_SFITS.pdf. 11.05.2009 4 ***. La http://www.sanace.com/Multimeters/DT-830B_Specs.pdf 08.09.2009 v*** La http://www.ergonomie.ro/ . 29.05.2009 vi *** La http://www.airconditioning.ro/images/publicistica/U0505/U0505.htm . 06.06.2009 7 *** La http://www.youtube.com/watch?v=qi6S3jHA21w. 08.08.2009 8 ***. La http://bursa.rol.ro/Pasta-termoconductoare-Arctic-Silver-Alumina-14g.html . 15.04.2009 9 ***. La http://www.adcomputers.ro/birotica-huse-c-75_181_183.html?zenid=43e2e74facd0847743fadb33d1e19c38. 09.06.2009 10 ***. La http://www.tinfactory.ro/ro/support.php 11.05.2009 11 ***. La http://www.paxar-emea.com/ro/support/products/printers/barcodeprinterfaq.html . 17.05.2009 12 ***. La http://www2.computer.org/portal/web/swebok/html/ch6. 16.07.2009 13 ***. La http://www.avira.ro/ro/informatii_virusi/despre_malware.html . 14.05.2009 14 ***. La http://support.microsoft.com/kb/314477/ro . 09.06.2009 15 ***. La http://www.memtest86.com/. 13.08.2009 xvi ***. La http://www.mondoplast.ro/Cablu-UTP-cat5-nextraCOM-NUTP-5e-10k-pg_ft-3821. 11.08.2009 xvii ***. La http://openmaniak.com/ro/wireshark.php. 12.08.2009

http://www.nierle1.com/en/article/4291/Data-Flash_TFT-LCD-PDA_Cleaning_Kit.html�

http://support.dell.com/support/edocs/systems/latxt2/ro/SFITS/ro_SFITS.pdf�

http://www.sanace.com/Multimeters/DT-830B_Specs.pdf�

http://www.ergonomie.ro/�

http://www.airconditioning.ro/images/publicistica/U0505/U0505.htm�

http://www.youtube.com/watch?v=qi6S3jHA21w�

http://bursa.rol.ro/Pasta-termoconductoare-Arctic-Silver-Alumina-14g.html�

http://www.adcomputers.ro/birotica-huse-c-75_181_183.html?zenid=43e2e74facd0847743fadb33d1e19c38�

http://www.adcomputers.ro/birotica-huse-c-75_181_183.html?zenid=43e2e74facd0847743fadb33d1e19c38�

http://www.tinfactory.ro/ro/support.php�

http://www.paxar-emea.com/ro/support/products/printers/barcodeprinterfaq.html�

http://www2.computer.org/portal/web/swebok/html/ch6�

http://www.avira.ro/ro/informatii_virusi/despre_malware.html�

http://www.memtest86.com/�

http://www.mondoplast.ro/Cablu-UTP-cat5-nextraCOM-NUTP-5e-10k-pg_ft-3821�

http://openmaniak.com/ro/wireshark.php�

Retele de Calculatoare_didactica

Documents

Transcript of Retele de Calculatoare_didactica