Securitatea reţelelor TCP/IP

Coordonator ştiinţific: Prof. univ. dr. Floarea Năstase

Absolvent:

Bucuresti2008

CUPRINS

IntroducereSecuritatea reţelelor de calculatoare

Model de securitate. Obiective. Categorii de atacuri. Metode de aparăre.

Securitatea pe Internet Funcţionarea serviiciilor internet. Securitatea serviciilor.

Securitatea prin firewall. Securitatea prin criptare.

Aplicaţii tip firewall de filtrare a pachetelorIptables vs. ZoneAlarm

Descriere generala. Reguli de filtrare. Optiuni de filtrare.

Obiective

Prezentarea problemelor de securitate in reţelele de calculatoare

Utilizarea si compararea a 2 aplicaţii care pot rezolva o parte din problemele de securitate aparute intr-o retea de calculatoare

Partea teoretica

În aceasta parte s-a discutat în principal despre securitatea reţelelor de calculatoare şi anume despre modelul de securitate în reţele, obiectivele de securitate avute în vedere în construirea unei reţele de calculatoare.De asemenea s-au prezenta şi cateva categorii de atacuri asupra reţelelor dar şi metodele de apărare care pot fi utilizate.

În continuare s-a pus accent pe securitatea în internet.S-a vorbit despre serviciile internet şi securitatea acestora apoi în a 2-a parte a capitolului s-a discutat despre securitatea prin firewall, filtrarea datelor şi securitatea prin criptare unde s-au prezenta 2 algoritmi de criptare, unul cu cheie secretă şi altul cu cheie publică.

Partea de aplicatie

Vom utiliza şi compara 2 produse de tip firewall pentru filtrarea datelor, utilizate pe platforme diferite, Iptables (Unix) şi ZoneAlarm (Windows) astfel:

Descriere generala a produselor. Metode de filtrare: lanţuri(chains), reguli. Optiuni de filtrare. Alte optiuni ale utilitarelor. Exemple.

Descriere generalaComanda iptables insereaza şi şterge reguli din tabela de

filtrare a pachetelor.

Comanda iptables insereaza şi sterge reguli din tabela de filtrare a pachetelor din kernel. Setările firewall-ului curent sunt păstrate în kernel, şi de aceea vor fi pierdute la repornirea calculatorului.Se pot folosi scripturile iptables-save si iptables-restore pentru a salva sau a restaura setările firewall-ului dintr-un fisier. O alte cale este sa punem comenzile pentru setarea regulilor într-un script de initializare.

Sunt mai multe lucruri pe care le putem face cu iptables. Pornim la drum cu trei lanţuri/blocuri (chains) standard care nu pot fi şterse INPUT, OUTPUT şi FORWARD asupra carora se pot face diverse operatii.

Descriere generalaZoneAlarm este compus din mai multe module dintre care

cele mai importante ar fi: firewall-ul şi controlul programelor.

Firewall-ul cuprinde 2 submodule, primul care detecteaza automat reţeaua la care suntem conectaţi şi al 2-lea în care se pot construi reguli de blocare sau acceptare a conexiunilor şi transferului de pachete dupa adresa IP ca sursa şi destinaţie, port sursa si port destinaţie, protocol folosit etc.

Modulul de control al programelor se ocupa cu detectarea tuturor programelor care încearca sa acceseze reţeaua locala sau internet-ul şi a tuturor componentelor utilizate de fiecare program şi poate lasa sau bloca aceste programe sş acceseze internet-ul, să functioneze ca server sau chiar sa trimită e-mail-uri.

Descriere generala

Iptables:

Zone Alarm:

Metode şi opţiuni de filtrare

Iptables:

Operaţiile care se pot aplica pentru un întreg lanţ:Creearea unui lanţ nou (-N).Stergerea unui lanţ gol (care nu conţine reguli) (-X).Schimbarea politicii pentru un lanţ default (-P).Listarea regulilor dintr-un lanţ (-L).Stergerea tuturor regulilor dintr-un lanţ (-F).

Sunt mai multe moduri în care se pot manipula regulile într-un lanţ:

Adăugarea în coada lanţ-ului a unei noi reguli (-A).Inserează o regulă nouă la o anumită poziţie în lanţ (-I). Înlocuieste o regulă la o anumită poziţie în lanţ (-R).Sterge o regulă la o anumită poziţie în lanţ, sau prima care se

potriveşte (-D).

Metode şi opţiuni de filtrareZone Alarm:

În cazul ZoneAlarm-ului modulul firewall cuprinde 2 submodule, primul care detectează adresa ip a sistemului şi reţeaua la care ne conectam cerandu-ne să încadrăm reţeaua în una din cele 2 zone : de incredere (Trusted) sau Internet ; si al 2-lea modul în care putem sa adăugam,ştergem,modifica,muta,activa/dezactiva reguli de filtrare a traficului.

Metode şi opţiuni de filtrareOpţiuni de filtrare:

Atat cu Iptables cat ;i cu Zone Alarm pot fi specificate diverse opţiuni pentru regulile de filtrare a traficului cum ar fi:

Ip-ul sursă şi destinaţie Protocolul: TCP, UDP, ICMP, IGMP; Interfaţa: eth+, ppp+, lo; Portul sursa şi destinaţie în cazul protocoalelor TCP şi UDP Tipul pachetelor TCP sau ICMP

Alte optiuniIptables:

Cea mai folositoare opţiune este furnizată de modulul "state", care interpreteaza analizele detectorului de conexiuni ale modulului "ip_conntrack“.

Specificarea modulului "-m state" permite folosirea unei opţiuni adiţionale de stare "--state". Aceste stari sunt:

NEW - un pachet care creeaza o noua conexiune ESTABLISHED - un pachet care aparţine unei conexiuni deja

stabilite (un pachet replică (reply), sau un pachet care pleacă al unei conexiuni care a primit replayuri).

RELATED - un pachet care este înrudit, dar care nu este parte a unei conexiuni existente, cum ar fi o eroare ICMP, sau (cu modulul FTP introdus), un pachet care stabileste o conexiune FTP.

INVALID - un pachet care nu a putut fi identificat pentru niste motive: aceasta include ramanerea fara memorie sau erori ICMP care nu aparţin nici unei conexiuni cunoscute. În mod normal aceste pachete ar trebui ignorate.

Alte opţiuniZone Alarm:

Prezinta 2 opţiuni folositoare şi anume cea de protecţie a datelor personale, în care se pot adăuga diverse tipuri de date confidenţiale precum parole, pin-uri de la credit card, adrese de e-mail, adresa domiciliu, cont bancar etc; o data adăugate în baza de date acestea vor fi detectate atunci cand un program va încerca sa le trimită în reţeaua internet (exemplu: logarea pe un cont de e-mail din internet explorer ) şi ne va cere permisiunea pentru trimitere sau nu; şi cea de alertă şi creare jurnal care realizează un jurnal al regulilor de filtrare din firewall, a controlului programelor cuprinzand o serie de informaţii precum adresa ip-ului sursa, port sursa, adresa ip destinaţie, port destinaţie, directia pachtelor, protocol, data, rata, acţiune etc.

Asemănări si deosebiri: Iptables prezinta optiunea de filtrare a traficului dupa o anumita interfata

(eth+,ppp+,lo) pe cand în zone alarm nu exista filtrarea se face dupa interfata detectata de acesta la inceput.

Zone Alarm-ul asigura filtrarea pachetelor pe directia de iesire (OUTPUT) in modulul de control al programelor(permite sau blocheaza acele conexiuni catre exterior prin monitorizarea programelor care incearca sa faca acest lucru) dar si prin adaugarea de reguli avand ca optiune ip-ul destinatie sau portul destinatie.

Cu Iptables filtrarea se face in aceeasi tabela de reguli pentru INPUT ,OUTPUT si FORWARD.FORWARD-ul este prezent doar in cadrul utiliatruli iptables.

Iptables preyinta mai multe tipuri de actiuni care de pot aplica unei reguli (accept,drop,reject,return) pe cand Zone Alarm-ul are doar 2: allow si block.

In general cele 2 produse au acceleasi optinui de filtrare, existand mai multe in cazul utilitarului iptables.

Filtrarea se face in ambele cazuri pe baza adugarii de reguli care sa se potriveasca cu anumite tipuri de conexiuni,pachete etc.

Zone Alarm are incluse si alte module folositoare pt securitate cum ar fi: Modulul anti-spyware Modulul de protectie a datelor personale

Ambele produse permit crearea de jurnale (logs) pentru datele filtrate

Exemple:Cei mai mulţi oameni au o singura conexiune PPP spre

Internet, şi nu vor ca cineva să intre înapoi în reţeaua lor.Pentru a rezolva această problemă realizăm urmatoarele setări pentru firewall:

Se creeaza lanţul (definit de utilizator) care blocheaza conexiunile noi, cu excepţia celor venite din interior:

# iptables -N block # iptables -A block -m state --state ESTABLISHED,RELATED -j

ACCEPT # iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT # iptables -A block -j DROP

Se sare la acest lanţ din lanţurile INPUT si FORWARD:

# iptables -A INPUT -j block # iptables -A FORWARD -j block

Exemple: Exemple:

Protecţie pentru syn-flood:

# iptables -A FORWARD -p tcp --syn -m limit –limit 1/s -j ACCEPT

Pentru scannere de porturi clandestine:

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Pingul morţii:

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Concluzii

Dupa cum am vazut şi din partea aplicativă în concluzie putem spune că folosirea intr-o reţea de calculatoare a unor firewall-uri, configurate corect după nevoile generale ale reţelei dar si după nevoile particulare ale fiecărui sistem pentru filtrare traficului, în paralel cu diverşi algoritmi de criptare implementaţi cu ajutorul unor utilitare specializate sa facă acest lucru, oferă o soluţie bună de securitate a întregii reţele precum şi o mai mare stabilitate, o mai bună funcţionalitate si un număr mult mai mic de probleme care pot apărea pe parcurs.

Bibliografie Floarea Nastase – “Retele de calculatoare”, Editura ASE, 2005; SamsNet – “Securitatea in internet”, Editura Teora, 2000; McClure S., Scambray J., Kurtz G. – “Securitatea retelelor”,

Editura Teora, 2001; Parker T., Sportack M. – “TCP/IP”, Editura Teora, 2002; Oprea D. – “Protecţia şi securitatea sistemelor informaţionale”,

Editura Polirom, 2002; http://ase.md/~osa/publ/ro/pubro34/19.pdf; http://facultate.regielive.ro/proiecte/calculatoare/

criptografia_si_securitatea_retelelor-60792.html; http://www.ibiblio.org/pub/Linux/docs/HOWTO/translations/ro/

text/Linux-Packet-Filtering-HOWTO http://www.linuxcumsa.ro/Linux/ghidul-administratorilor-de-retea-

linux/#introducere_tcp_ip http://www.slider.go.ro/texts/project1/cap3node14.html