Securitatea in Retelele TCP-IP

ACADEMIA DE STUDII ECONOMICE DIN BUCURETI

FACULTATEA DE CIBERNETIC, STATISTIC I INFORMATIC ECONOMIC

SPECIALIZAREA INFORMATIC ECONOMIC

LUCRARE DE DIPLOM

Coordonator tiinific:

Prof. univ. dr. Floarea NstaseAbsolvent:

BUCURETI

2008ACADEMIA DE STUDII ECONOMICE DIN BUCURETI

FACULTATEA DE CIBERNETIC, STATISTIC I INFORMATIC ECONOMIC

SPECIALIZAREA INFORMATIC ECONOMIC

SECURITATEA REELELOR TCP/IP

Coordonator tiinific:

Prof. univ. dr. Floarea NstaseAbsolvent:

BUCURETI

2008CUPRINS

INTRODUCERE.4

1.SECURITATEA REELELOR DE CALCULATOARE....6

1.1.Modelul de securitate n reele..............................................................6

1.2.Obiective de securitate urmarite in realizarea unei reele.....................7

1.3.Categorii de atacuri asupra reelelor de calculatoare.8

1.4.Metode de aprare.......11

2.SECURITATEA PE INTERNET.....14

2.1.Securitatea serviciilor internet.............................................................14

2.2.Funcionarea serviciilor INTERNET..................................................16

2.3.Securitatea prin firewall.........................................................................18

Filtrarea de pachete.........................................................................19

2.4.Securitatea prin criptare.......................................................................20

2.4.1.Istoric. Evoluie......................21

2.4.2.Algoritmi criptografici cu cheie secret.................................22

Algoritmul IDEA..................................................................24

2.4.3.Algoritmi criptografici cu cheie public................................26

Algoritmul RSA....................................................................27

3.IPTABLES VS. ZONE ALARM...................................................................29

3.1.Descriere generala de funcionare.......................................................29

3.2.Reguli de filtrare.Opiuni de filtrare....................................................35CONCLUZII......................................................................................................47BIBLIOGRAFIE...............................................................................................49INTRODUCERESocietatea modern informatizat reprezint deja o realitate, n care se ignor frontierele i se trece peste orice constrngeri de ordin spaial sau temporal. Economia, politic i societatea se bazeaz in ziua de astzi, din ce n ce mai mult, pe aceast infrastructur informatic. De asemenea, guvernele, firmele din sectoarul public i privat, organismele financiare naionale i internaionale, nvmntul, cultura i cercetarea tiinific, beneficiaz toate de aceste forme eficiente de conducere, informare i comunicare.

n aceste circumstane, securitatea informatic a devenit una din componentele majore ale internet-ului. Analitii acestui concept au sesizat o contradicie aparent ntre nevoia de comunicaii i conectivitate, pe de o parte, i necesitatea asigurrii confidenialitii, integritii i autenticitii informaiilor, pe de alt parte. Domeniul relativ nou al securitii informatice caut soluii tehnice pentru rezolvarea acestei contradicii aparente. Viteza i eficiena comunicaiilor "instantanee" de documente i mesaje confer numeroase atuuri actului decizional ntr-o societate modern, bazat pe economie concurenial ns utilizarea serviciilor de pot electronic, Web, transfer electronic de fonduri etc. se bazeaz pe un sentiment, adeseori fals, de securitate a comunicaiilor, care poate transforma potenialele ctiguri generate de accesul rapid la informaii, n pierderi majore, cauzate de furtul de date sau de inserarea de date false ori denaturate.

Sistemele informatice sunt ameninate att din interior ct i din exterior. Pot fi persoane bine intenionate, care fac diferite erori de operare sau persoane ru intenionate, care sacrific timp i bani pentru penetrarea sistemelor informatice. Dintre factorii tehnici care permit fisuri de securitate pot fi anumite erori ale software-ului de prelucrare sau de comunicare sau anumite defecte ale echipamentelor de calcul sau de comunicaie. Folosirea abuziv a unor sisteme reprezint, de asemenea, unul din factorii de risc major privind securitatea sistemelor informatice.

Sistemele sunt vulnerabile la penetrri neautorizate, la distrugeri sau modificri accidentale sau voite de date ori programe. Aceste sisteme pot deservi elemente vitale pentru societate cum ar fi: sisteme militare, bnci, spitale, sisteme de transport, burse de valori, oferind n acelai timp un cadru de comportament antisocial sau de terorism. Tendina actual privind extinderea conectivitii, n special n internet, amplific aceste vulnerabiliti: este din ce n ce mai greu s se localizeze un defect, un punct de acces ilegal n reea, un utilizator cu comportament inadecvat. Se consider c internet-ul este unul din cele mai complexe sisteme create de tehnologia uman care, alturi de sistemul financiar mondial, nu poate fi controlat n totalitate. Vulnerabilitatea sistemelor informatice actuale poate antrena pierderi imense de ordin financiar, direct sau indirect, cum ar fi scurgerea de informaii confideniale cu caracter personal, militar sau economic.Obiectivele acestei lucrri le puteam impari in 2 mari categorii si anume: obiective principale in care urmrim pe de o parte inelegerea realizarii unei reele de calculatoare securizat si pe de alt parte prezentarea unor produse software de tip firewall care ar putea rezolva o mare parte din problemele de securitate; obiective secundare care sunt desprinse din obiectivele principale si urmresc incercarea da a-l face pe cititor sa inteleag problemele de securitate care pot interveni intr-o reea de calculatoare si modul lor de rezolvare precum si modul de utilizare a 2 produse software nelipsite n cadrul nici unei reele care se doreste a fi sigur i stabil reuind sa ina la distana diferite tipuri de atacuri asupra acesteia.

Lucrarea este structurat in 3 mari capitole, fiecare capitol cuprinzand la randul lor mai multe subcapitole.De asemenea putem spune c lucrarea este formata din 2 mari pri i anume: prima parte, partea de teorie n care se vorbeste despre securitatea reelelor de calculatoare i despre securitatea pe internet; i a 2-a parte, partea aplicativ n care se face o comparaie ntre 2 produse software existente pe piaa flosite pentru securizarea sistemelor de calcul si a reelelor de calculatoare i anume 2 firewall-uri: Iptables utilitar existent i folosit pe platformele UNIX (Linux, Freebsd, Darwin) i ZoneAlarm un produs destul de complex i usor de folosit pe platformele Windows.

In primul capitol vom discuta n principal despre securitatea reelelor de calculatoare i anume vom prezenta modelul de securitate in reele, obiectivele de securitate avute in vedere n construirea unei reele de calculatoare.De asemenea vom prezenta i cateva categorii de atacuri asupra reelelor dar i metodele de aprare care pot fi utilizate.

In capitolul al 2-lea vom pune accent pe securitatea n internet.Vom vorbi despre serviciile internet i securitatea acestora apoi n a 2-a parte a capitolului vom discuta despre securitatea prin firewall, filtrarea datelor i securitatea prin criptare unde vom prezenta 2 algoritmi de criptare, unul cu cheie secret i altul cu cheie public.

In cel de-al 3-lea capitol, care cuprinde partea practic a acestei lucrri se va face o comparaie ntre 2 produse de tip firewall utilizate pe 2 platforme diferite: Iptables (Unix) i ZoneAlarm (Windows). 1. SECURITATEA REELELOR DE CALCULATOARE

1.1. Modelul de securitate n reeleModelul de securitate pentru un calculator seamn cu o ceap. Niveluri de securitate nconjoar subiectul ce trebuie protejat. Fiecare nivel izoleaz subiectul i l face mai greu de accesat n alt mod dect cel n cel n care a fost planificat.

1) Securitatea fizic reprezint nivelul exterior al modelului de securitate i const, n general, n ncuierea echipamentelor informatice ntr-un birou sau ntr-o alt incint. Securitatea fizic merit o consideraie special. Problema cea mai mare o constituie salvrile pentru copii de rezerv ale datelor i programelor i sigurana pstrrii suporilor de salvare. In aceste situaii, reelele locale sunt de mare ajutor: dac toate fiierele schimbate frecvent rezist pe un server, aceleai personae (sigure i de ncredere), care lanseaz salvrile pentru mainframe-uri, pot face acelai lucru i la server. Calculatorul, ca orice pies costisitoare, ar trebui s fie protejat i de pericolul furtului. Pstrarea n afara zonelor publice este una dintre cele mai bune forme de protecie. Simpla ncuiere a echipamentelor v-a preveni mutrile ascunse precum i furtul. Intr-un sistem n care prelucrarea este distribuit, prima msur des securitate fizic care trebuie avut n vedere este prevenirea accesului la echipamente. Pentru a nvinge orice alte msuri de securitate, trebuie s se dispun de acces fizic la echipamente. Acest lucru este comun tuturor sistemelor de calcul, distribute sau nu.

2) Securitatea logic const din acele metode care asigur controlul accesului la resursele i serviciile sistemului. Ea are, la rndul ei, mai multe niveluri, mprite n dou grupe mari: niveluri de securitate a accesului (SA) i niveluri de securitate a serviciilor (SS).

3) Securitatea accesului (SA) cuprinde:

accesul la sistem (AS), care este rspunztor de a determina dac i cnd reeaua este accesibil utilizatorilor. El poate fi, de asemenea, rspunztor pentru decuplarea unei staii, ca i de gestiunea evidenei accesului. AS execut, de asemenea, deconectarea forat, dictat de supervizor. AS poate, de exemplu, s previn conectarea n afara orelor deserviciu i s ntrerup toate sesiunile, dup un anumit timp,

accesul la cont (AC), care verific dac utilizatorul care se conecteaz cu un anumit nume i cu o parol exist i are un profil utilizator valid,

drepturile de acces (DA), care determin ce privilegii de conectare are utilizatorul (de exemplu, contul poate avea sesiuni care totalizeaz 4 ore pe zi sau contul poate utiliza doar staia 27).

4) Securitatea serviciilor (SS), care se afl sub SA, controleaz accesul la serviciile sistem, cum ar fi se ateptare, I/O la disc i gestiunea server-ului. Din acest nivel fac parte:

controlul serviciilor (CS), care este responsabil cu funciile de avertizare i de raportare a strii serviciilor, de asemenea, el activeaz i dezactiveaz diferitele servicii,

drepturile la servicii (DS), care determin exact cum folosete un anumit cont un serviciu dat, de exemplu, un cont poate avea numai dreptul de a aduga fiiere la spooler-ul unei imprimante, dar are drepturi depline, de a aduga i terge fiiere, pentru o alt imprimant. Odat stabilit conexiunea, SA valideaz i definete contul. Operaiile ce trebuie executate sunt controlate de SS, care mpiedic cererile ce nu sunt specificate n profilul utilizatorului. Accesul ntr-un sistem de securitate perfect trebuie s se fac prin aceste niveluri de securitate, de sus n jos. Orice sistem care v las s evitai unul sau mai multe niveluri ale modelului de securitate implic riscul de a fi nesigur.

1.2. Obiective de securitate urmarite n realizarea unei reele

Pentru a proiecta i implementa un sistem integrat de securitate al unei reele, trebuie parcurse urmtoarele etape:

1. Este necesar, mai nti, s identificm toate ameninrile mpotriva crora este cerut protecia. Acest proces este unul de analiz i care const n 3 sub-etape:

a. analiza vulnerabilitilor, adic identificarea elementelor potenial slabe ale reelei;

b. evaluarea ameninrilor, adic determinarea problemelor care pot aprea datorit elementelor slabe ale reelei;

c. analiza riscurilor, adic a posibilelor consecine pe care aceste probleme le pot crea.Rezultatul acestei faze de analiz l constituie cerinele de securitate ale reelei.

1. Urmtoarea etap const n definirea politicii de securitate, ceea ce nseamn s se decid:

a. care ameninri trebuie eliminate i care se pot tolera;

b. care resurse trebuie protejate i la ce nivel;

c. cu ce mijloace poate fi implementat securitatea;

d. care este preul msurilor de securitate care poate fi acceptat.Odat stabilite obiectivele politicii de securitate, urmtoarea etap const n selecia serviciilor de securitate. Acestea sunt funcii individuale, care sporesc securitatea reelei. Fiecare serviciu poate fi implementat prin metode variate, numite mecanisme de securitate. Pentru implementarea i utilizarea eficient a mecanismelor de securitate, este nevoie de o sum de activiti numite funcii de gestiune a securitii. Gestiunea securitii ntr-o reea const n controlul i distribuia informaiilor ctre toate sistemele deschise n scopul utilizrii serviciilor i mecanismelor de securitate i al raportrii ctre administratorul reelei a evenimentelor de securitate relevante care pot aprea.Cele mai importante masuri de siguranta sunt clasificate astfel:a. procedurale (ca, de exemplu, selectarea personalului, schimbarea periodic a parolelor etc.);

b. logice (ca, de exemplu, controlul accesului i criptografia);

c. fizice (camere speciale, ui blocate etc.).1.3. Categorii de atacuri asupra reelelor de calculatoare

Ameninrile la adresa securitii unei reele de calculatoare pot avea urmtoarele origini: dezastre sau calamiti naturale, defectri ale echipamentelor, greeli umane de operare sau manipulare, fraude. Primele trei tipuri de ameninri sunt accidental, n timp ce ultima este intenionat. Cteva studii de securitate a calculatoarelor estimeaz c jumtate din costurile implicate de incidente sunt datorate aciunilor voit distructive, un sfert dezastrelor accidentale i un sfert greelilor umane. Acestea din urm pot fi evitate sau, n cele din urm, repetate printr-o mai bun aplicare a regulilor de securitate (salvri regulate de date, discuri oglindite, limitarea drepturilor de acces).

In ameninrile datorate aciunilor voite, se disting dou categorii principale de atacuri: pasive i active.

1) atacuri pasive sunt acelea n cadrul crora intrusul observ informaia ce trece prin canal, fr s interfereze cu fluxul sau coninutul mesajelor. Ca urmare, se face doar analiza traficului, prin citirea identitii prilor care comunic i nvnd lumgimea i frecvena mesajelor vehiculate pe un anumit canal logic, chiar dac coninutul acestora este neinteligibil. Atacurile pasive au urmtoarele caracteristici comune:

nu cauzeaz pagube (nu se terg sau se modific date),

ncalc reguli de confidenialitate,

obiectivul este de a asculta datele schimbate prin reea,

pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legturilor telefonice sau radio, exploatarea radiaiilor electromagnetice emise, rutarea datelor prin noduri adiionale mai puin protejate.

2) atacuri active sunt acelea n care intrusul se angajeaz fie n furtul mesajelor, fie n modificarea, reluarea sau inserarea de mesaje false. Aceasta nseamn c el poate terge, ntrzia sau modifica mesaje, poate s fac inserarea unor mesaje false sau vechi, poate schimba ordinea mesajelor, fie pe o anumit direcie, fie pe ambele direcii ale unui canal logic. Acestea atacuri sunt serioase deoarece modific starea sistemelor de calcul, a date or sau a sistemelor de comunicaii. Exist urmtoarele tipuri de ameninri active:

mascarada - este un tip de atac n care o entitate pretinde a fi o alt entitate. De exemplu, un utilizator cearc s se substituie altuia sau un serviciu pretinde a fi alt serviciu, n intenia de a lua date secrete (numrul crii de credit, parola sau cheia algoritmului de criptare). O mascarad este nsoit, de regul, de o alt ameninare activ, cum ar fi nlocuirea sau modificarea mesajelor,

reluarea se produce atunci cnd un mesaj sau o parte a acestuia este reluat (repetat), n intenia de a produce un efect neautorizat. De exemplu, este posibil reutilizarea informaiei de autentificare a unui mesaj anterior. In conturile bancare, reluarea unitilor de date implic dublri i/sau alte modificri nereale ale valorii conturilor,

modificarea mesajelor face ca datele mesajului s fie alterate prin modificare, inserare sau tergere. Poate fi folosit pentru a se schimba beneficiarul unui credit n transferul electronic de fonduri sau pentru a modifica valoarea acelui credit. O alt utilizare poate fi modificarea cmpului destinatar/expeditor al potei electronice,

refuzul cmpului se produce cnd o entitate nu izbutete s ndeplineasc propria funcie sau cnd face aciuni care mpiedic o alt entitate de la ndeplinirea propriei funcii,

repudierea serviciului se produce cnd o entitate refuz s recunoasc un serviciu executat. Este evident c n aplicaiile de transfer electronic de fonduri este important s se evite repudierea serviciului att de ctre emitor, ct i de destinatar. In cazul atacurilor active se nscriu i unele program create cu scop distructiv i care afecteaz, uneori esenial, securitatea calculatoarelor. Exist o terminologie care poate fi folosit pentru a prezenta diferitele posibiliti de atac asupra unui sistem. Acest vocabular este bine popularizat de povetile despre hackeri. Atacurile presupun, n general, fie citirea informaiilor neautorizate, fie (n cel mai frecvent caz) distrugerea parial sau total a datelor sau chiar a calculatoarelor. Ce este mai grav este posibilitatea potenial de infestare, prin reea sau copieri de dischete, a unui mare numr de maini. Dintre aceste programe distructive amintim urmtoarele:

viruii reprezint programe inserate n aplicaii, care se multiplic singure n alte programe din spaiul rezident de memorie sau de pe discuri; apoi, fie satureaz complet spaiul de memorie/disc i blocheaz sistemul, fie, dup un numr fixat de multiplicri, devin activi i intr ntr-o faz distructiva (care este de regul exponenial),

bomba software este o procedur sau parte de cod inclus ntr-o aplicaie normal, care este activat de un eveniment predefinit. Autorul bombei anun evenimentul, lsnd-o s explodeze, adic s fac aciunile distructive programate,

viermii au efecte similare cu cele ale bombelor i viruilor. Principala diferen este aceea c nu rezid la o locaie fix sau nu se duplic singuri. Se mut n permanen, ceea ce i face deficil de detectat. Cel mai renumit exemplu este viermele Internet-ului, care a scos din funciune o parte din Internet n noiembrie 1988, trapele reprezint accese apeciale la sistem, care sunt rezervate n mod normal pentru proceduri de ncrcare la distan, ntreinere sau pentru dezvoltatorii unor aplicaii. Ele permit ns accesul la sistem, eludnd procedurile de identificare uzuale,

Calul Troian este o aplicaie care are o funcie de utilizare foarte cunoscut i care, ntr-un mod ascuns, ndeplinete i o alt funcie. Nu creaz copii. De exemplu, un hacker poate nlocui codul unui program normal de control login prin alt cod, care face acelai lucru, dar, adiional, copiaz ntr-un fiier numele i parola pe care utilizatorul le tasteaz n procesul de autentificare. Ulterior, folosind acest fiier, hacker-ul v-a penetra foarte uor sistemul.1.4. Metode de aprareImplementarea unor mecanisme de securitate n retelele de calculatoare de arie larg, n particular - Internet-ul, priveste rezolvarea urmtoarele aspecte:1. bombardarea cu mesaje - asa numitul spam - trimiterea de mesaje nedorite, de obicei cu un continut comercial.Acest fenomen este neplcut n cazul unui numr mare de mesaje publicitare nedorite si poate avea efecte mai grave n cazul invadrii intentionate cu mesaje ("flood"), uzual cu un continut nesemnificativ. Pentru utilizatorii de Internet conectati prin intermediul uni modem, numrul mare de mesaje are ca efect cresterea perioadei necesare pentru "descrcarea" postei electronice si deci un cost de conectare mai ridicat.

Exist programe de post electronic care permit vizualizarea antetelor mesajelor primite nainte ca acestea s fie aduse pe calculatorul local, selectarea explicit a mesajelor care se doresc transferate si stergerea celorlalte. n plus, programele de e-mail pot ncorpora facilitti de blocare a mesajelor de tip "spam" prin descrierea de ctre utilizator a unor actiuni specifice de aplicat asupra mesajelor, n functie de anumite cuvinte cheie sau de adresele (listele de adrese) de provenient.

2. rularea unui cod (program) duntor, adesea de tip virus - acesta poate fi un program Java sau ActiveX, respectiv un script JavaScript, VBScript etc. ;

Asemenea programe sunt n general blocate de navigatoarele moderne dar au ajuns s se rspndeasc ca fisiere atasate mesajelor de mail.n general marile firme care produc navigatoare testeaz riguros riscurile impuse de programele duntoare rulate de pe site-uri web, uneori create cu intentii distructive, si intervin n general prin versiuni superioare imediat ce un astfel de risc a fost descoperit si corectat. n plus, cea mai mare parte a programelor de navigare permit utilizarea unor filtre specifice pe baza crora s se decid dac un anumit program va fi rulat sau nu, si cu ce restrictii de securitate (decizia se realizeaz n general pe baza "ncrederii" indicate n mod explicit de utilizator).

3. infectarea cu virui specifici anumitor aplicaii - se previne prin instalarea unor programe antivirus care detecteaz virusii, deviruseaz fisierele infectate si pot bloca accesul la fisierele care nu pot fi "dezinfectate". n acest sens, este important devirusarea fisierelor transferate de pe retea sau atasate mesajelor de mail, mai ales dac contin cod surs sau executabil, nainte de a le deschide / executa.4. accesarea prin reea a calculatorului unui anumit utilizator si "atacul" asupra acestuia.. La nivelul protocoalelor de retea, protejarea accesului la un calculator sau la o retea de calculatoare se realizeaz prin mecanisme de tip fire-wall, prin comenzi specifice; acestea pot fi utilizate si n sens invers, pentru a bloca accesul unui calculator sau a unei retele de calculatoare la anumite facilitti din Internet.5. interceptarea datelor n tranzit i eventual modificarea acestora - snooping. Datele se consider interceptate atunci cnd altcineva dect destinatarul lor le primeste. n Internet, datele se transmit dintr-un router n altul far a fi protejate. Routerele pot fi programate pentru a intercepta, eventual chiar modifica datele n tranzit. Realizarea unei astfel de operatii este destul de dificil, necesitnd cunostinte speciale de programare n retele si Internet, dar exist numeroase programe (de tip hacker) care pot fi utilizate n aceste scopuri, ceea ce duce la cresterea riscului de interceptare a datelor.

Transmisia protejat a datelor trebuie s garanteze faptul c doar destinatarul primeste si citeste datele trimise si c acestea nu au fost modificate pe parcurs (datele primite sunt identice cu cele trimise). Modificarea datelor s-ar putea realiza n mod intentionat, de ctre o persoan care atenteaz la securitatea retelei sau printr-o transmisie defectuoas6. expedierea de mesaje cu o identitate fals, expeditorul impersonnd pe altcineva (pretinde c mesajul a fost trimis de la o alt adres de post electronic)? spoofing. Aceast problem se revolv prin implementarea unor mecanisme de autentificare a expeditorului.Se poate remarca faptul c problemele ridicate la punctele 3 si 4 sunt riscuri generice, specifice pentru utilizatorii care fac schimb de fisiere si respectiv pentru toti cei care sunt conectati la o retea de calculatoare - local sau de arie larg. Problemele de interceptare si autentificare, cele mai importante din punctul de vedere al utilizatorilor obisnuiti, sunt rezolvate prin aplicarea unor tehnici de codificare.

Pentru asigurarea securittii retelei este important implementarea unor mecanisme specifice pornind de la nivelul fizic (protectia fizic a liniilor de transmisie ), continund cu proceduri de blocare a accesului la nivelul retelei (fire-wall), pn la aplicarea unor tehnici de codificare a datelor (criptare), metod specific pentru protectia comunicrii ntre procesele de tip aplicatie care ruleaz pe diverse calculatoare din retea.

mpiedicarea interceptrii fizice este n general costisitoare si dificil de aceea, se prefer implementarea unor mecanisme de asigurare a securittii la nivel logic, prin tehnici de codificare / criptare a datelor transmise care urmresc transformarea mesajelor astfel nct s fie ntelese numai de destinatar; aceste tehnici devin mijlocul principal de protectie a retelelor.

2. SECURITATEA PE INTERNET

2.1. Securitatea serviciilor internet

Reelele de calculatoare locale i de arie larg au schimbat aspectul utilizrii calculatoarelor. Astzi, spre deosebire de trecutul nu prea ndeprtat, n care calculatoarele erau separate i distincte, reelele permit utilizatorilor s strbat instantaneu camere, ri sau ntregul glob pentru a schimba mesaje electronice, pentru a accesa fiiere sau baze de date sau pentru a lucra pe calculatoare situate la mari distane. Un aspect crucial al reelelor de calculatoare, n special al comunicaiilor prin internet, l constituie securitatea informaiilor, devenit una din componentele majore ale internet-ului.Serviciile internet au la baz schimbul de mesaje ntre o surs i un destinatar. Reelele din internet folosesc protocolul IP (Internet Protocol). IP asigur livrarea pachetelor numai dac n funcionarea reelelor nu apar erori. Dac un mesaj este prea lung, IP cere fragmentarea lui n mai multe pachete. Transmiterea pachetelor IP se face ntre calculatoare gazd i nu direct, ntre programele de aplicaie. Din aceste motive, protocolul IP este completat cu un altul, numit TCP (Transmission Control Protocol), care face fragmentarea i asigur transmiterea corect a mesajelor ntre utilizatori. Pachetele unui mesaj sunt numerotate, putndu-se verifica primirea lor n forma n care au fost transmise i reconstituirea mesajelor lungi, formate din mai multe pachete.

Exist trei ci distincte pentru conectarea a dou claculatoare, folosind protocolul IP.

- Cele dou calculatoare pot fi n aceeai reea local. n acest caz, pachetele sunt ncapsulate n pachetele folosite de protocoalele LAN;

- Cele dou calculatoare sunt direct legate printr-o linie serial. Pachetele IP sunt transmise folosind unul din protocoalele SLIP (Serial Line Internet Protocol). CSLIP (Compressed SLIP) sau PPP (Point-to-Point Protocol).

- Dac cele dou calculatoare sunt conectate fiecare la cte o reea local linia telefonic leag cele dou LAN-uri prin intermediul unor bridge-uri; Pachetele IP pot fi ncapsulate n interiorul altor pachete folosite de alte protocoale reea.Funcionarea protocoalelor TCP i IP presupune existena unei comunicri directe ntre noduri (ruter-e sau calculatoare gazd) adiacente din reea. Aceast comunicare este realizat conform unor tehnologii diverse i se supune unor protocoale specifice, bine precizate. Ca urmare, TCP i IP se bazeaz, la rndul lor pe serviciile oferite de alte protocoale. Se obine, n ansamblu, o suit (ierarhie) de protocoale care depind unele de altele, dar care au ca punct central protocoalele TCP/IP. De aceea, ea este denumit suit TCP/IP sau familia de protocoale TCP/IP.Uzual, un sistem terminal are o singur interfa cu subreeaua la care este conectat, n timp ce un sistem intermediar are mai multe interfee, cte una pentru fiecare subreea la care este conectat. Rolul unui sistem intermediar este de a retransmite pachetele pe care le primete de la o subreea, pe o alt subreea aflat pe calea spre sistemul terminal destinatar. Sistemul intermediar este legat la ambele subretele. Figura 2.1 arat un mesaj care traverseaz dou reele.

Aplicaia surs din sistemul terminal 1 comunic un mesaj modulului TCP. Acesta construiete un pachet pe care nivelul IP l paseaz ca o datagram subreelei a. n sistemul intermediar, datagrama ajunge la modulul IP care l ruteaz subreelei b. n sistemul terminal 2, IP extrage mesajul i l transmite aplicaiei receptor prin intermediul modulului TCP. S observm c n sistemul intermediar, pentru recepia dirijarea i retransmiterea datagramelor, sunt necesare doar niveiele IP i interfaa de reea.Cu toate c pot utiliza tehnologii de comunicaie diferite, toate subreteieie sunt tratate uniform n internet. O reea local, una de arie larg sau o simpl legtur punct-la-punct ntre dou sisteme din internet conteaz fiecare ca o subretea. Structura intern a internet-ului este ascuns utilizatorilor Tot ceea ce vd ei este o singur reea foarte mare, ce leag ntre ele sisteme terminale i care le permite astfel accesul la resurse situate oriunde n internet.2.2. Funcionarea serviciilor INTERNET

Cele mai multe servicii sunt furnizate de programe numite server-e. Pentru ca un server s funcioneze, el trebuie s foloseasc un protocol (TCP sau UDP), s aib alocat un port i s fie lansat n execuie - de obicei, la ncrcarea sistemului de operare.

n UNIX exist un fiier cu rol esenial n execuia serviciilor: /etc/services. El conine, n fiecare linie, numele unui serviciu, numrul port-ului, numele protocolu!ui i o list de alias-uri. Acest fiier, a crui securitate este foarte important, este folosit att de ctre server-e ct i de ctre clieni. Server-ele determin din acest fiier numrul propriu de port cu care lucreaz, folosind un apel sistem special: getservicebyname().

Port-urile au alocate numere; cele cuprinse n domeniul 0-1.023 se consider port-uri sigure. Ele sunt restricionate la folosire, fiind accesibile doar superuser-ului. Ca urmare, programele care folosesc aceste port-uri trebuie executate ca root. Acest lucru mpiedic programele obinuite s obin informaii senzitive de la aceste port-uri. Altfel, ar fi posibil pentru un utilizator s creeze, de exemplu, un program care s se prezinte drept telnet, s asculte port-ul 23 i s intercepteze parolele altor utilizatori. Folosind ns calculatoare non-UNIX, IBM-PC cu plci Ethernet, este posibil s se fac conectri la port-uri de ncredere de pe maini UNIX i s se trimit sau s se intercepteze pachete de date.

Exist 2 tipuri distincte de server-e:

cele care se execut continuu. Ele sunt startate automat la lansarea sistemului de operare, pe baza informaiilor din /etc/rc*. Aceste server-e trebuie s rspund rapid la cererile care sosesc din reea, cum ar fi nfsd (Network Filesystem Daemon) i sendmail;

server-e care sunt lansate doar atunci cnd este nevoie de ele. Ele sunt, de obicei, startate de demonul inetd, care poate "asculta" zeci de port-uri i care lanseaz n execuie demonul necesar. n aceast categorie intr servicii ca fingerd (Finger Daemon) i popper (Post Office Protocol Daemon).

Cum am mai spus, lansarea n execuie a server-elor care nu sunt permanent rezidente se face cu ajutorul unui program demon numit inetd. Cu ajutorul fiierului /etc/inetd.conf, acesta determin serviciile reea pe care le gestioneaz. Apoi folosete apelurile sistem bind(), pentru a se conecta la mai multe port-uri, i select(), pentru a obine controlul atunci cnd se face o cerere de conectare la un anumit port. Fiecare linie conine numele serviciului, tipul socket-ului, tipul protocolului, dac se ateapt sau nu cereri n continuare, dup servirea celei care a activat server-ul, numele utilizatorului proprietar al server-ului i numele comenzii executate la activarea serviciului.

O problem deosebit de important din punctul de vedere al securitii este aceea a controlului accesului la server-e. Doar o mic parte din programele server au ncorporate faciliti de limitare a accesului, bazate pe controlul corelaiei dintre adresele IP i numele de host ale celui care face cererea. De exemplu, NFS permite specificarea host-urior care au dreptul de a monta anumite sisteme de fiiere; de asemenea nntp permite precizarea host-urilor care pot citi tirile.

Exist, ns, i alte modaliti, exterioare programelor, prin care se poate controla accesul la sever-e:

programul tcpwrapper, scris de ctre Wietse Venema, este un utilitar care poate "mbrca" un server INTERNET. El permite restricionarea accesului anumitor host-uri la server-e;

se poate folosi un program firewall, plasat ntre server i exterior. Acesta poate proteja ntreaga reea, spre deosebire de tcpwrapper, care protejeaz doar servicii de pe o anumit main.

Se recomand, n general, folosirea unor wrappers i firewalls n conjuncie;de exemplu, primul pentru fiecare calculator i al doilea pentru protecia ntregii reele.2.3. Securitatea prin firewall

Un firewall este un sistem care impune o politic de control al accesului ntre dou reele(Figura 2.2). Un firewall reprezint implementarea acestei politici n termeni de configurare a reelei, unul sau mai multe sisteme gazd i ruter-e cu funciuni speciale, alte msuri de securitate, cum ar fi autentificarea prin metode criptografice a clienilor.

Cu alte cuvinte, un firewall este un mecanism folosit pentru a proteja o reea sigur din punctul de vedere al securitii de una nesigur, n care nu putem avea ncredere.n mod tipic, una din reele este cea intern unei organizaii (sigur, de ncredere), n timp ce cealalt este internet-ul (n care nu avem ncredere din punctul de vedere al securitii). Dat fiind numrul i mai mare de utilizatori muli dintre acetia avnd, din nefericire, statutul de hacker folosirea unui firewall are sens.Dei cele mai multe firewall-uri sunt, n mod curent, interpuse ntre reelele interne i internet, conceptul de firewall nu vizeaz numai acest aspect, existnd suficiente motive pentru folosirea firewall-urilor n oricare internet, inclusiv n reelele cu arie larg (WAN) ale diferitelor companii. Deoarece un firewall este dispus la intersecia dintre dou reele, acesta poate fi folosit i n alte scopuri dect acela de control al accesului: pentru a monitoriza comunicaiile dintre o reea intern i o reea extern. De exemplu, un firewall poate jurnaliza (monitoriza, nregistra) seviciile folosite i cantitatea de date transferat prin conexiuni TCP/IP ntre propria organizaie i lumea exterioar; un firewall poate fi folosit pentru interceptarea i nregistrarea tuturor comunicaiilor dintre reeaua intern i exterior. dac o organizaie are mai multe reele, separate din punct de vedere geografic, fiecare avnd cte un firewall, exist posibilitatea programrii acestor firewall-uri pentru a cripta automat coninutul pachetelor transmise ntre ele. n acest fel, pe suportul internet, organizaia i poate realiza propria reea virtual privat.Filtrarea de pachete este tipul cel mai simplu i primul tip de firewall.Tot traficul Internet este transmis n form de pachete. Un pachet este o cantitate de date de dimensiune limitat pentru a uura prelucrarea lui. Cnd sunt transmise cantiti mari de date, acestea sunt mprite n mai multe pachete numerotate care la partea de recepie sunt reasamblate. Tot traficul Internet : fiierele transferate, paginile web, mesajele electronics sunt transmise n pachete.

n principiu un pachet este o serie de numere digitale , ce const din:

datele n sine de transmis, confirmarea, cererea de la sistemul surs

adresa IP i portul sursa

adresa IP i portul destinaie

informaii despre protocolul utilizat (IP,TCP,UDP) prin care este transmis pachetul

informaie de verificare a eroriiLa filtrarea de pachete numai informaia de protocol i adresa este examinat.

Coninutul i contextul pachetului (relaia fa de alte pachete i aplicaia creia i este destinat) sunt ignorate. Firewall-ul ia n considerare aplicaia de pe host sau din reea creia i este dstinat pachetul i nu tie nimic despre sursa (aplicaia) datelor sosite. Filtrarea const n examiniarea pachetelor sosite i/trimise, i permiterea sau refuzarea transmiterii acestora pe baza regulilor configurabile, numite politici de filtrare.

Regulile filtrelor de pachete pot fi fcute pe urmtoarele criterii:

permite sau refuz pachetul pe baza adresei sursa

permite sau refuz pachetul pe baza portului destinaie

permite sau refuz pachetele pe baza protocolului utilizat

Figura 2.3- Filtrare de pachete pe baza numrului de portCum este indicat n Figura 2.3., filtrarea este realizat pe baza porturilor surs i destinaie .

Filtrarea de pachete este foarte eficient dar nu ofer securitate total. Poate bloca tot traficul, ceea ce ar nsemna securitate absolut. Dar pentru a avea o reea folositoare , trebuie s permit accesul unor pachete.

Punctele slabe sunt:

informaia legat de adresa n cadrul pachetului poate fi falsificat de ctre transmitator (atacator)

data, cererea din pachetul ce a fost acceptat poate n final fi cauza unor lucruri nedorite , atacatorul putnd exploata un bug cunoscut ntr-o aplicaie (de ex, server web) , sau s utilizeze o parol primit pentru a obine acces pe server.

Avantajul filtrrii de pachete este simplitatea relativ i uurina implementrii.2.4. Securitatea prin criptareCriptografia este tiina scrierilor secrete. Ea st la baza multor servicii i mecanisme de securitate folosite n internet, folosind metode matematice pentru transformarea datelor, n intenia de a ascunde coninutul lor sau de a le proteja mpotriva modificrii. Criptografia are o lung istorie, confidenialitatea comunicrii fiind o cerin a tuturor timpurilor. Dac ar trebui s alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu att datorit celebritii mpratului roman de care se leag folosirea lui, ci pentru c principiul su de baz, al substituiei, s-a meninut nealterat aproape dou milenii.2.4.1. Istoric. Evoluie

Mult vreme, eforturile criptografilor au fost dirijate spre ntrirea cifrurilor prin complicarea algoritmului, combinnd substituii i transpoziii asupra unor simboluri sau asupra unor blocuri (grupe de simboluri). Istoria modern a criptografiei cunoate numeroase inovaii n aceast privin. Dou sunt elementele ce au marcat ns cotitura semnificativ n dezvoltarea metodelor criptografice.Primul este legat de dezvoltarea reelelor de calculatoare, al cror stimulent extraordinar s-a manifestat att prin presiunea exercitat de tot mai muli utilizatori (a cror dorin obiectiv este pstrarea secretului i a siguranei asupra potei electronice private, a transferului electronic de fonduri i a altor aplicaii) ct i prin potenarea gamei de instrumente folosite efectiv n execuia algoritmilor de cifrare. Utilizarea calculatoarelor electronice a permis folosirea unor chei de dimensiuni mai mari, sporindu-se atfel rezistena la atacuri criptoanalitice. Cnd cheia secret are o dimeniune convenabil i este suficient de frecvent schimbat, devine practic imposibil spargerea cifrului, chiar dac se cunoate algoritmul de cifrare. Pe aceast idee se bazeaz i standardul american de cifrare a datelor - DES (Data Encryption Standard) larg utilizat de guvernul SUA i de diverse companii internaionale. Propus ntr-o form iniial de IBM n 1975, DES a rezistat evalurii fcute de "sprgtorii de cifruri" de la U.S. National Security Agency (NSA), care au recomandat doar reproiectarea anumitor componente (casete de substituie). DES a fost adoptat ca standard federal n 1977 i a fost folosit intens datorit performanelor de vitez atinse la cifrare (peste 100 de milioane de bii/secund). Din pcate, nu se tie cu certitudine dac cei de la NSA sau de la vreo alt organizaie au reuit sau nu s sparg DES. Experiena a artat ns c orice schem criptografic are o via limitat i c avansul tehnologic reduce, mai devreme sau mai trziu, securitatea furnizat de ea.Al doilea moment important n evoluia criptografiei moderne l-a constituit adoptarea unui principiu diferit de acela al cifrrii simetrice. Whitfield Diffie i Martin Hellman, cercettori la Univeritatea Stanford din California, prin articolul "New Directions in Criptography", publicat n 1976 n revista IEEE Tranactions on Information Theory, au pus bazele "criptografiei asimetrice" cu chei publice. n locul unei singure chei secrete, criptografia asimetric folosete dou chei diferite, una pentru cifrare, alta pentru descifrare. Deoarece este imposibil deducerea unei chei din cealalt, una din chei este fcut public, fiind pus la ndemna oricui dorete s transmit un mesaj cifrat. Doar destinatarul, care deine cea de-a doua cheie, poate descifra i utiliza mesajul. Tehnica cheilor publice poate fi folosit i pentru autentificarea mesajelor, fapt care i-a sporit popularitatea. Nu este, deci, de mirare c guvernul SUA a iniiat adoptarea unui standard de semntur digital bazat pe conceptul de cheie public. Un cifru se definete ca transformarea unui mesaj clar sau text clar n mesaj cifrat ori criptogram. Procesul de transformare a textului clar n text cifrat se numete cifrare sau criptare, iar transformarea invers, a criptogramei n text clar, are denumirea de descifrare sau decriptare. Att cifrarea ct i descifrarea sunt controlate de ctre una sau mai multe chei criptografice.

Exist dou tipuri de sisteme criptografice: simetrice (cu cheie secret) care folosesc aceeai cheie, att la cifrarea ct i la descifrarea mesajelor. asimetrice (cu chei publice) care folosesc chei distincte de cifrare i descifrare (dar legate una de alta). Una din chei este inut secret i este cunoscut doar de proprietarul ei. A doua cheie (perechea ei) este fcut public, de unde i numele de criptografie cu cheie public.2.4.2. Algoritmi criptografici cu cheie secret

Principiile de criptare din algoritmii cu cheie secret au evoluat odat cu aparitia calculatoarelor; ele continu ns s se bazeze pe metodele traditionale, cum ar fi transpozitia si substitutia. Algoritmii cu cheie secret sunt caracterizati de faptul c folosesc aceeasi cheie att n procesul de criptare, ct si n cel de decriptare . Din acest motiv, acesti algoritmi mai sunt cunoscuti sub numele de algoritmi simetrici; pentru aplicarea lor este necesar ca naintea codificrii / decodificrii, att emittorul ct si receptorul s posede deja cheia respectiv. n mod evident, cheia care caracterizeaz acesti algoritmi trebuie s fie secret(Figura 2.4).

Principalul dezavantaj al algoritmilor simetrici const n faptul c impun un schimb de chei private nainte de a se ncepe transmisia de date. Altfel spus, pentru a putea fi utilizati,

este necesar un canal cu transmisie protejat pentru a putea fi transmise cheile de criptare/decriptare.

Figura 2.4- Schema de aplicare a unui algoritm simetric

Securitatea criptrii simetrice (cu cheie secret) depinde de protecia cheii; managementul acestora este un factor vital n securitatea datelor i cuprinde urmtoarele aspecte: generarea cheilor. Pentru cheile de sesiune sau de terminal sunt necesare proceduri automate, funcii matematice i diveri parametri (numrul curent al apelurilor sistem, data, ora etc). distribuia cheilor. Cu privire la transportul cheii secrete, problema este n general rezolvat prin folosirea unei alte chei, numit cheie terminal, pentru a o cripta. Cheile de sesiune - generate numai pentru o comunicaie - sunt transportate criptat cu cheile terminal care, de asemenea, pot fi protejate (cnd sunt memorate) cu alt cheie, numit cheie master. memorarea cheilor. Utilizarea algoritmilor simetrici, n cazul a N entiti care doresc s comunice, implic N(N-1)/2 chei de memorat ntr-un mod sigur. n realitate, nu toate legturile bidirecionale se stabilesc la acelai timp; este motivul pentru care se utilizeaz cheile de sesiune. Cheile terminal, care cripteaz numai date foarte scurte (chei de sesiune), sunt foarte dificil de atacat. ntlnim urmtoarele tipuri de sisteme de criptare cu algoritmi cu cheie secret:

cifrul DES cifrul IDEA;

cifrul FEAL;

cirful LOKI;

cifrul RC6.Algoritmul IDEAUn alt cifru renumit este IDEA (International Data Encryption Algorithm), realizat de doi cercettori la Politehnica Federal din Zrich (ETHZ). Algoritmul IDEA este cel mai bun algoritm din punct de vedere al securitatii si este utilizt mult in INTERNET.

Principiul algoritmului se bazeaza pe amestecul unor operatii algebrice in diferite grupuri,foloseste o cheie de 128 de biti.Cifrarea si descifrarea se fac pe blocuri de 64 biti si este usor de implementat hard si soft:

- XOR

- Adunare modulo 216

- Produs modulo 216+1( operatie vazuta ca o cutie S)

Descrierea formala a algoritmului(Figura 2.5):

Intrare:M =64 biti reprezentand blocul clar, M=(M1,M2,M3,M4);

K0=64 biti reprezentand cheia initiala;

Iesire :C=64 biti reprezentand blocul cifrat.

Figura 2.5- Schema generala a algoritmului IDEAOperatii: + = aduna modulo 216(rezultatul operatiei este un intreg pe 16 biti)

* = inmultirea modulo 216 (rezultatul operatiei este un intreg pe 16 biti)(+) = XOR

Notatii: Mi= 16 biti reprezentand subbloculclar ,i=1..4;

Ci = 16 biti reprezentand subblocul criptat ,i=1..4;

Ki = 16 biti reprezentand subblocul cheii ,i=1..6;

#Ki =16 biti reprezentand inversul numarului Ki fata de operatia + , i=1..4;

@Ki=16 biti reprezentand inversul numarului Ki fata de operatia *,i=1..4;

Figurs 2.6- Pseudonimul algoritmului de criptare/decriptare

Crearea subcheilor este simpla(Figura 2.7). Algoritmul utilizeaza 52 de subchei ( 6 pentru fiecare iteratie si 4 finale).Prima data cei 128 de biti ai cheii sunt divizati in 8 subchei de 16 biti.Acestea sunt primele sub chei pentru algoritm (6 pentru prima iteratie si 2 pt a doua).

Apoi cheia este rotita cu 25 de biti la staina si divizata iar in 8 subchei.Se procedeaza similar pana la obtinerea tuturor subcheilor necesare.

PERUTARE1(K)=permutare definita de implementator , K=64 biti

PERUTARE2(K)=permutare definita de implementator , K=64 biti

STANGA(k,i)=deplasare ciclica spre stanga a lui k cu i pozitii, k=32 biti;

Figura 2.7- Algoritm de generare al cheilor de iteraie

2.4.3. Algoritmi criptografici cu cheie public

n locul unei singure chei secrete, criptografia asimetric folosete dou chei diferite, una pentru cifrare, alta pentru descifrare. Deoarece este imposibil deducerea unei chei din cealalt, una din chei este fcut public, fiind pus la ndemna oricui dorete s transmit un mesaj cifrat. Doar destinatarul, care deine cea de-a doua cheie, poate descifra i utiliza mesajul. Tehnica cheilor publice poate fi folosit i pentru autentificarea meajelor prin semntur digital, fapt care i-a sporit popularitatea.

Fiecare dintre aceste chei poate cripta mesajul, dar un mesaj criptat cu o anumit cheie nu poate fi decriptat dect cu cheia sa pereche.Astfel, n cazul utilizrii unui algoritm asimetric n comunicarea dintre un emittor si un receptor (Figura 2.8), fiecare dintre acestia va detine cte o pereche de chei - public si privat. Emittorul poate cripta mesajul cu cheia public a receptorului, astfel nct doar acesta s poat decripta mesajul cu cheia sa privat. n cazul unui rspuns, receptorul va utiliza cheia public a emittorului astfel nct decriptarea s se poat face exclusiv de ctre emittor (cu cheia sa pereche, privat).

Cheile algoritmilor asimetrici sunt obtinute pe baza unei formule matematice din algebra numerelor mari, pentru numere prime ntre ele, iar din valoarea unei chei nu poate fi dedus valoarea cheii asociate. Remarcm faptul c aplicarea n informatic a calculelor modulo numere prime s-a dovedit extrem de benefic pentru multi algoritmi moderni.

Figura 2.8- Schema de aplicare a unui algoritm asimetric

ntlnim urmtoarele tipuri de sisteme de criptare cu algoritmi cu cheie public: sisteme de cifrare exponenial RSA (Rivert-Shamir-Adleman); cifrul EL GAMAL (EG); standardul DSS de semntur digitalAlgoritmul RSAUn alt algoritm performant a fost descoperit de un grup de cercettori de la MIT - Ronald Rivest, Adi Shamir, Leonard Adelman - si s-a numit cu initialele creatorilor lui: RSA. Acest cifru cu chei publice reprezinta standardul in domeniul semnaturilor digitale si al cofidentialitatii.El se bucura de o foarte mare apreciere atat in mediul guvernamental cat si in cel comercial.RSA este bazat pe cvasi-imposibilitatea actuala de a factoriza numere intregi mari in timp ce a gasi numere prime mari este usor;functiile de criptare/decriptare sunt exponentiale unde exponentul este cheia si calculele se fac in inelul claselor de resturi modulo n.

Fie p si q doua numere prime foarte mari (de exemplu de 100 cifre zecimale)

- cifrarea mesajului X este E(X)=Xe mod(p*q);

- descifrarea mesajului X este D(X)=Xdmod (p*q);

Intregii e si d reprezinta cheile (una publica,cealalta secreta) , p si q sunt secrete iar produsul p*q este facut public.

Baza teoretica este teorema lui Fermat care stabileste ca:

-daca q este un numar prim si daca (X=!0 mod p) atunci Xq-1 = 1modp

Teorema are 2 proprietati asociate:

-daca r-1=k mod p-1 Xr =X mod p;

-daca erd-1=k(p-1)(q-1) atunci Xed =Xde=X mod p; Xed =Xde=X mod q

In cadrul acestei metode modulul n este obtinut prin produsul (secret) a doua numere prime mari :n= p* p astfel incat indicatorul lui Euler , (n)=(p-1)*(q-1) devine mult mai greu de determinat ; se vor face publice e si n iar d va fi tinut secret.Se recomanda alegerea unui d relativ prim cu (n) in intervalul [max(p,q)+1,n-1].In acest caz e se va calcula astfel:

E=inv(d,(n))

Securitatea metodei depinde de difivultatea factorizarii lui n in p si q.Este sugerata utilizarea unor numere prime de 100 cifre ,adica a unui n de 200 cifre zecimale ceea ce cere pentru factorizare mai multe milioane de ani.

Deoarece cifrarea si descifrarea sunt functii mutual inverse metoda RSA poate fi utilizata atat la secretizare cat si la autentificare.Fiecare utilizator A obtine modulul nA si exponentii eA si dA .Apoi A va inregistra intr-un fisier public cheia publica (nA ,eA) in timp ce va tine secreta pe dA .

Un alt utilizator B va putea emite un mesaj secret M utilizand transformarea de cifrare publica a lui A adica ridicarea la putere eA , modulo nA a mesajului :

EA (M)=MeA mod nALa receptie A va obtine mesajul in clar :

DA (EA (M))=MeAdA mod nA =MUtilizatorul A va putea semna un mesaj M catre B calculand:

DA(M)=MdAmod nA

Iar B va autentifica acest mesaj utilizand cheia public a lui A:

EA(DA (M))=MdAeA mod nA =M3.IPTABLES VS. ZONE ALARM3.1. Descriere general de funcionareIptables:

Comanda iptables insereaza si sterge reguli din tabela de filtrare a pachetelor din kernel. Setarile firewall-ului curent sunt pastrate in kernel, si de aceea vor fi pierdute la repornirea calculatorului.Se pot folosi scripturile iptables-save si iptables-restore pentru a salva sau a restaura setarile firewall-ului dintr-un fisier. O alte cale este sa punem comenzile pentru setarea regulilor intr-un script de initializare.

Sunt mai multe lucruri pe care le putem face cu iptables. Pornim la drum cu trei chainu-ri default care nu pot fi sterse INPUT, OUTPUT si FORWARD. Sa privim operatiile care se pot aplica pentru un intreg chain (Figura 3.1):

1. Creearea unui lan nou (-N).

2. Stergerea unui lan gol (care nu contine reguli) (-X).

3. Schimbarea politicii pentru un lan standard (-P).

4. Listarea regulilor dintr-un lan (-L).

5. Stergerea tuturor regulilor dintr-un lna (-F).

6. Resetarea numaratorilor de pachete pentru toate regulile dintr-un lan (-Z).

Sunt mai multe moduri n care se pot manipula regulile ntr-un lan:

1. Adaugarea n coada lanului a unei noi reguli (-A).

2. Insereaza o regula noua la o anumita pozitie n lan (-I). Daca nu este precizat poziia printr-un numr atunci regula este adaugat la nceputul lanului.

3. nlocuieste o regul la o anumit poziie n lan (-R).

4. Sterge o regula la o anumit poziie n lan, sau prima care se potrivete (-D).

Figura 3.1- Mod de utilizare iptables.ZoneAlarm:

Ofer o protecie fr egal mpotriva hackerilor de pe internet. Cu caracteristici precum modul de utilizare "stealth" i un firewall foarte configurabil care poate fi activat cu un click de mouse, ZoneAlarm este un instrument esenial pentru a pstra datele n siguran si a tine la distanta persoanele care doresc sa acceseze neautorizat sistemul.

ZoneAlarm se poate preconfigura pentru toate domeniile de adrese i subreele pe care dorim ca acesta s le accepte. De exemplu reeaua de acas i cea de la serviciu pot intra n zona de ncredere (Trusted). Altfel, firewall-ul poate nvata s se descurce cu reelele noi i necunoscute prin afiarea unei notificari n momentul n care ncercam sa le accesm. n acel moment, le putem accesa, dupa caz, sau putem s le clasifican ca fiind n zonele de incredere (Trusted), zona Internet sau zona fara access (Blocked).

ZoneAlarm este compus din mai multe module (Figura 3.2) i dintre care cele mai importante ar fi: firewall-ul, controlul programelor i modulul spyware.Celelalte module extrem de folositoare sunt: modulul de monitorizare al antivirus-ului, protecia e-mail-urilor, modulul privacy, protecia datelor personale i modulul de alerta i jurnal al firewall-ului.

Firewall-ul cuprinde 2 submodule principale, primul care detecteaz automat reeaua la care suntem conectai i al 2-lea n care se pot construi reguli de blocare sau acceptare a conexiunilor i transferului de pachete dupa adresa IP ca sursa i destinaie, port sursa i port destinaie, protocolul folosit etc.

Modulul de control al programelor se ocupa cu detectarea tuturor programelor care ncearca s acceseze reeaua locala sau internet-ul i a tuturor componentelor utilizate de fiecare program i poate lasa sau bloca aceste programe s acceseze internet-ul, s funcioneze ca server sau chiar s trimit e-mail-uri.

Modulul anti-spyware scaneaza i curata sistem-ul de aplicaiile tip spion totodata blocand acces-ul la site-urile de pe care s-a produs infectarea.

Dintre celelalte module prezente cele mai interesante ar fi ultimele 2 si anume modulul de protecie a datelor personale, n care se pot aduga diverse tipuri da date confideniale precum parole, pin-uri de la credit card, adrese de e-mail, adresa domiciliu, cont bancar etc; o data adugate n baza de date acestea vor fi detectate atunci cand un program va ncerca s le trimita n reeaua internet (exemplu: logarea pe un cont de e-mail din internet explorer ) i ne va cere permisiunea pentru acest lucru; i modulul de alerta i creare jurnal care realizeaz un jurnal al regulilor de filtrare din firewall, a controlului programelor, al spyware-ului, cuprinzand o serie de informaii precum adresa ip sursa, port sursa, adresa ip destinaie, port destinaie, direcia pachtelor, protocol, data, rata, aciune etc.

Figura 3.2- Prezentare general ZoneAlarm

Iptables:

O caracteristica puternica pe care iptables o mosteneste de la ipchains este posibilitatea utilizatorului de a crea lanuri/blocuri (chains) noi, pe langa cele incluse standard (INPUT, OUTPUT si FORWARD). Prin conventie, lanurile (chains) definite de catre utilizator se scriu cu litera mica pentru a le deosebi.

Cand un pachet se potriveste cu o regula a carei inta este un lant (chain) definit de catre utilizator, pachetul incepe sa traverseze lanul definit de catre utilizator. Daca acel lan nu decide soarta pachetul de ndata ce pachetul ajunge la sfarsitul lanului respectiv, pachetul continua traversarea lanului initial.

Considera doua lanuri: INPUT (Tabelul 3.1) (chain-ul inclus default) si TEST (Tanelul 3.2) (un chain definit de utilizator).Tabel 3.1- Blocul standard INPUT Tabel 3.2- Blocul creat: TEST

Regula 1: -p ICMP -j DROP

Regula 2: -p TCP -j test

Regula 3: -p UDP -j DROP

Regula 1: -s 192.168.1.1

Regula 2: -d 192.168.1.1

Considera un pachet TCP venind de la 192.168.1.1 si ducandu-se ctre 1.2.3.4. Acesta intra in blocul INPUT. Regula1 nu se potriveste cu el, Regula2 se potriveste asa ca urmatoarea regula care este examinata este prima din blocul test. Regula1 se potriveste dar nu este specificat nici o tinta, asa ca urmatoarea regul este examinat. Regula2 nu se potriveste asa ca am ajuns la sfarsitul chain-ului. Astfel ne reintoarcem in chain-ul INPUT, unde am examinat Regula2, asa ca examinam Regula3 care nici aceasta nu se potriveste.

Chain-urile definite de catre utilizator pot sari la alte chain-uri definite de catre utilizator (daca se creeaza trasee in cerc, pachetele vor fi ignorate daca intra in bucla).

Exemplu:

Cei mai multi oameni au o singura conexiune PPP spre Internet, i nu vor ca cineva sa intre napoi n reeaua lor.Pentru a rezolva aceasta problem realizam urmatoarele setari pentru firewall:

1. Se creeaza lanul (definit de utilizator) care blocheaz conexiunile noi, cu excepia celor venite din interior: (Figura 3.4)

Figura 3.3- Firewall oprit: afiare lanuri default fara reguli de filtrare.

# iptables -N block # iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT

# iptables -A block -j DROP

Figura 3.4- Creare bloc nou i adaugarea de noi regului n cadrul blocului.

2. Se sare la acest lan din lanurile INPUT si FORWARD: (Figura 3.5)# iptables -A INPUT -j block

# iptables -A FORWARD -j blockFigura 3.5- Crearea referinelor.

Observatii:

1. Cand un pachet vine (sa zicem, prin placa de retea) kernelul se uita intai la destinatia pachetului: aceasta se numeste "routing"(rutare).

2. Daca pachetul este destinat pentru aceasta masin, pachetul trece pe diagram in lanul INPUT. Daca trece de acest lan, orice proces care asteapt acel pachet il va primi.

3. In caz contrar, daca kernelul nu are forwarding-ul pus, sau nu tie cum s direcioneze pachetul, acesta este ignorat. Daca este pus forwarding-ul, si pachetul are ca destinaie o alta interfaa de reea (daca mai ai inca una), atunci pachetul se duce n diagrama noastra direct catre lanul FORWARD. Daca este acceptat pachetul va fi transmis.

4. In final, un program ce ruleaza pe sistem poate trimite pachete. Aceste pachete trec direct in chain-ul OUTPUT: daca este acceptat pachetul isi continua drumul fara sa conteze interfata spre care este destinat.

In cazul ZoneAlarm-ului modulul firewall cuprinde 2 submodule, primul care detecteaza adresa ip a sistemului i reeaua la care ne conectm cerandu-ne s ncadram reeaua n una din cele 2 zone : de ncredere (Trusted) sau Internet (Figura 3.6); i al 2-lea n care putem sa adaugm reguli de filtrare a traficului.

Figura 3.6- Adugarea noii reele depistat de firewall

3.2. Reguli de filtrare.Opiuni de filtrareOperaii pentru o singur regul

Iptables:

Aceasta este baza filtrarii de pachete; manipularea regulilor. Cel mai obinuit, vom folosi comenzile de adugare (-A) i stergere (-D). Celelalte (-I pentru inserare si -R pentru nlocuire) sunt doar extensii ale acestor concepte.

Fiecare regula specifica o multime de conditii pe care un pachet trebuie sa le ndeplineasca i ce sa faca dac acestea sunt ndeplinite (o "tinta" (target)). De exemplu, s-ar putea s dorim s ignoram toate pachetele de tip ICMP care vin de la adresa 127.0.0.1. Deci, n acest caz condiiile noastre sunt ca protocolul sa fie ICMP si ca adresa surs sa fie 127.0.0.1. "tinta" noastra este DROP. 127.0.0.1 este interfat "loopback", pe care o avem chiar daca nu avem conexiune reala de reea. Putem folosi programul "ping" pentru a genera acest tip de pachete (pur si simplu trimite pachete ICMP de tip 8 (echo request) la care toate host-urile ar trebui s rspunda cu pachete ICMP de tip 0 (echo replay)). Aceast program este foarte folositor pentru teste.

Figura 3.7- Generare pachete ICMP

Putem vedea in Figura 3.7 ca primul ping reuete ("-c 3" spune sa sa trimita doar 3 pachete): programul ping va trimite 3 pachete de tip ICMP si va atepta primirea raspunsului pentru fiecare pachet trimis.

Apoi adaugam n coada (-A) lanului "INPUT", o regula ce spune c pentru pachetele de la 127.0.0.1 ("-s 127.0.0.1") de tip ICMP ("-p icmp") trebuie s srim la "DROP" ("-j DROP").Apoi testm regula noastr, folosind al doilea ping (Figura 3.8). Va fi o pauza pana cand programul se d batut s astepte un raspuns care nu va veni niciodat.

Figura 3.8- Stoparea intrrii tuturor pachetelor de tip ICMP.ZoneAlarm:

Ca i in cazul utilitarului iptables, zone alarm prezinta un mdul pentru regulile de filtrare a pachetelor.Acesta perminte adugarea unei noi reguli de filtrare, tergerea unei reguli,modifcarea precum i activarea/dezactivarea i mutarea unei reguli n lista de reguli creat. (Figura 3.9) Figura 3.9- Adugare,modificare,stergere reguli.

Opiuni de filtrare

Am vazut folosirea optiunii "-p" pentru a specifica protocolul, si optiunii "-s" pentru a specifica adresa sursa, dar sunt alte optiuni pe care le putem folosi pentru a preciza caracteristici ale pachetului.

Specificarea IP-ului surs si destinaie:

Iptables: Adresele IP ale sursei ("-s", "--source" sau "--src") si destinatiei ("-d", "--destination" sau "--dst") pot fi specificate in patru moduri. Cea mai obisnuita forma este sa folosesti numele complet, cum ar fi "localhost" sau "www.securityorg.net". Cea de-a doua cale este sa specifici adresa IP cum ar fi "127.0.0.1".

Cea de a treia si a patra cale permite specificarea unui grup de adrese IP, cum ar fi "199.95.207.0/24" sau "199.95.207.0/255.255.255.0". Amandoua specifica orice adresa IP de la 199.95.207.0 pana la 199.95.207.255 inclusiv; cifrele dupa "/" spun care parti din adresa IP sunt semnificative. "/32" sau "/255.255.255.255" este default (se potriveste cu toata adresa IP).

ZoneAlarm: Adresele sursa si destinatie pot fi specificate in mai multe moduri: prin nume, adresa ip, interval de adrese ip, subnet cu specificaea adresei ip si prin gatway cu specificarea adrese MAC.

Specificarea protocolului:

Iptables: Protocolul poate fi specificat prin optiunea "-p" (sau "--protocol").

Protocolul poate fi un numar ( daca stii valorile numerice de protocol pentru IP) sau un nume pentru cazurile speciale de "TCP", "UDP" sau "ICMP". Nu conteaza daca se foloseste sau nu CAPS, asa ca "tcp" merge la fel ca si "TCP".

Numele protocolului poate fi precedat de "!", pentru a inversa, ca si "-p ! tcp" pentru a specifica pachetele care nu sunt TCP.

ZoneAlarm: Protocoalele disponibile care pot fi specificate sunt: TCP, UDP, TCP & UDP, ICMP si IGMP.O data cu specificarea protocolului trebuie specificate si porturile (sursa/destinatie).

Specificarea unei interfee:

Iptables: Optiunea "-i" (sau "--in-interface") si "-o" (sau "--out-interface") specifica numele interfatei cu care sa corespunda. O interfata este dispozitivul fizic prin care intra pachetul ("-i") sau prin care iese pachetul ("-o"). Poti folosi comanda ifconfig pentru a lista interfetele care sunt "sus" (i.e., in stare de functionare in acel moment).

Pachetele care traverseaza chain-ul "INPUT" nu au o interfata de iesire, asa ca orice regula care foloseste "-o" in acest chain nu se va potrivi niciodata. In mod similar pachetele care travereseaza chain-ul OUTPUT nu au o interfata de intrare, asa ca orice regula care foloseste "-i" in acest chain nu se va potrivi niciodata.

Doar pachetele care travereseaza chain-ul FORWARD au o interata de intrare si de iesire. Este perfect valabil sa specifici o interfata care nu exista; regula nu se va potrivi cu nici un pachet pana cand interfata nu este sus. Aceasta este extrem de folositor pentru legaturi PPP de dial-up (de obicei interfete ppp0) si asemanatoare.

Ca un caz special, un nume de interfata terminandu-se cu "+" se va potrivi cu toate interfetele (fie ca exista sau nu) care incep cu acel sir de caractere. De exemplu pentru a specifica o regula care sa se potriveasca tuturor interfetelor PPP, optiunea -i ppp+ ar fi folosita.

ZoneAlarm: Realizeaza filtrarea traficului pe interfata principala a sistemului si dupa adresa ip a acesteia.Nu prezinta optinue de specificare a unei anumite interfete la fel ca utilitarul iptables (eth+, ppp+, loopback)

Opiuni extinse TCP:

Optiunile extinse TCP sunt disponibile in mod automat daca se specifica optiunea "-p tcp". Aceste optiuni sunt urmatoarele (nici una dintre ele nu se vor potrivi cu fragmente):

--tcp-flags - poate fi urmat de semnul optional "!", apoi de doua siruri de flag-uri, care permite filtrarea dupa anumite flag-uri. Primul sir de flag reprezinta mask-ul, flag-urile pe care doresti a le examina. Al doilea sir reprezinta care dintre acestea ar trebui sa fie prezente.De exemplu:

# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

Aceasta comanda spune ca toate flag-urile trebuiesc examinate ("ALL" este sinonim cu "SYN,ACK,FIN,RST,URG,PSH"), dar doar SYN si ACK trebuie sa fie setate. Exista de asemnea un argumente "NONE" similar pentru nici unul dintre acestea.

--syn - In mod optional precedata de semnul "!", este o prescurtare pentru "--tcp-flags SYN,RST,ACK SYN"

--source-port - poate fi urmat de un optional "!", si fie de un singur port, fie de o sir de porturi. Porturile pot fi specificate fie folosind numere fie folosind nume, asa cum sunt specificate in /etc/services.Sirurile se specifica prin doua porturi despartite de ":", sau (pentru a specifica o sir de porturi mai mare sau egal cu un port dat) un port urmat de ":", sau (pentru a specifica o lista de porturi mai mica sau egala decat un port dat) un port precedat de ":".

--tcp-option - urmat de un optional "!" si un numr, se potriveste pentru un pachet cu opiunea TCP egala cu acel numr. Un pachet care nu are un header complet TCP este ignorat automat daca este facuta ncercarea de a se examina headerele TCP.

Opiuni extinse UDP:

Aceste opiuni sunt automat disponibile cand se specifica "-p udp". Acestea sunt: "--source-port", "--sport","--destination-port" i "--dport" care au fost detaliate mai sus.

Opiuni extinse ICMP

Aceste optiuni sunt automat disponibile cand se specifica "-p icmp". Este doar o singura opiune noua:

--icmp-type - urmat de un semnul optional "!", apoi de numele tipului icmp (ex. "host-unreachable"), sau tipul numeric (ex. "3"), sau tipul numeric i codul separate de "/" (ex. "3/3"). O lista a numelor de tipuri de pachete icmp este data folosind "-p icmp --help".

ZoneAlarm:

Opiunile extinse existente pentru protocoalele TCP,UDP si ICMP sunt mai puine la numar faa de cele prezentate n cazul utilitarului iptables i anume: pentru protocolul TCP i UDP se pot specifica doar portul sursa i portul destinaie iar pentru protocolul ICMP se poate specifica doar tipul dintr-o lista predefinit.(Figura 3.10)

Figura 3.10- Adugarea unei noi reguli de filtrare cu specificare de opiuni.

Exemple:

Protecie pentru syn-flood:

# iptables -A FORWARD -p tcp --syn -m limit limit 1/s -j ACCEPT

Pentru scannere de porturi clandestine:

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Pingul morii:

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Alte opiuni ale utilitarelor:

Iptables: Cea mai folositoare optiune este furnizata de modulul "state", care interpreteaza analizele detectorului de conexiuni ale modulului "ip_conntrack". Aceasta este foarte recomandata.

Specificarea modulului "-m state" permite folosirea unei opiuni adiionale de stare "--state". Aceste stari sunt:

NEW - un pachet care creeaza o noua conexiune.

ESTABLISHED - un pachet care apartine unei conexiuni deja stabilite (un pachet replica (replay), sau un pachet care pleaca al unei conexiuni care a primit replayuri).

RELATED - Un pachet care este inrudit, dar care nu este parte a unei conexiuni existente, cum ar fi o eroare ICMP, sau (cu modulul FTP introdus), un pachet care stabileste o conexiune FTP.

INVALID - Un pachet care nu a putut fi identificat pentru niste motive: aceasta include ramanerea fara memorie sau erori ICMP care nu aparin nici unei conexiuni cunoscute. n mod normal aceste pachete ar trebui ignorate.

Un exemplu pentru aceasta puternica optiune de potrivire ar fi:

# iptables -A FORWARD -i ppp0 -m state --state ! NEW -j DROP

ZoneAlarm:

Utilitarul mai prezinta 2 opiuni folositoare i anume cea de protectie a datelor personale, n care se pot adauga diverse tipuri da date confidentiale precum parole, pin-uri de la credit card, adrese de e-mail, adresa domiciliu, cont bancar etc; o data adaugate n baza de date acestea vor fi detectate atunci cand un program va ncerca sa le trimita n reteaua internet (exemplu: logarea pe un cont de e-mail din internet explorer ) i ne va cere permisiunea pentru acest lucru; i cea de alerta i creare jurnal (Figura 3.11) care realizeaz un jurnal al regulilor de filtrare din firewall, a controlului programelor, al spyware-ului, cuprinzand o serie de informatii precum adresa ip sursa, port sursa, adresa ip destinaie, port destinaie, direcia pachtelor, protocol, data, rata, aciune etc.

Figura 3.11- Vizualizare jurnal firewall.

Exemplificare folosire opiuni extinse:

Se dorete blocarea, de pe serverul curent, a conexiunilor la anumite serverele web de pe internet n scopul interzicerii conectarii si descarcarii de informatii sau aplicatii de pe acele servere.Pentru acest lucru vom proceda la construirea unei regului de filtrare care va fi adaugata n lanul (chain-ul) standard OUTPUT.Prin aceasta regula vom spune firewall-ului sa opreasca toate ncercarile de conectare la un anumit server care accepta conexiuni pe portul 80 (web server).

n Figura 3.12 observm ncercarea i reuita de conectare la un server web microsoft pentru descarcarea diverselor aplicaii pentru platofrma Windows.

Figura 3.12- Conectare la server web cu transfer de pachete.

Figura 3.13- Adugare regul de filtrare i incercare nereusit de conectare la server web

n Figura 3.13 observm c, dupa adaugara regulei de filtrare la blocul OUTPUT, pentru blocarea tuturor cererilor de conectarea la serverul microsoft cu ajutorul opiunii d ( adresa destinatie ), opiunii dport ( portul destinatie ) si procesul de conectare este refuzat.

Alte operaii asupra unui intreg lan (chain):

Stergerea unui lan (chain):

i sergerea unui lan este deasemenea simpla, prin folosirea opiunilor "-X" sau "--delete-chain".

# iptables -X test

Sunt cateva restricitii la stergerea de lanuri: acestea trebuie sa fie goale si nu trebuie sa fie tinta nici unei reguli. Nu poti sterge nici unul dintre lanurile incluse standard.

Daca nu specific numele lanului, atunci toate lanurile definite de catre utilizator vor fi sterse daca este posibil.

Stergerea tuturor regulilor unui lan:

Exista un mod simplu de a terge toate regulile dintr-un lan, folosind opiunile "-F" (sau "--flush").

# iptables -F FORWARD

Daca nu este specificat lanul atunci toate lanurile vor fi sterse de reguli.

Listarea unui lan:

Poi lista toate regulile dintr-un lan prin folosirea optiunii "-L" (sau "--list").

"refcnt-ul"(reference count) listat pentru fiecare lan definit de catre utilizator este numarul de reguli care au ca inta acest lan. Acesta trebuie sa fie zero (si chain-ul sa fie gol) inainte ca acest lan sa poat fi ters.

Daca numele lanului este omis, toate lanurile sunt listate, chiar i cele care sunt goale.

Exista trei opiuni care pot fi adaugate la "-L". Opiunea "-n" (numeric) este foarte folositoare deoarece previne iptables n a ncerca sa rezolve IP-urile n nume, care (daca foloseti DNS ca majoritatea oamenilor) va cauza mari intarzieri daca DNS-ul tau nu este setat corect, sau ai filtrat cererile catre DNS. Determina deasemenea ca porturile TCP i UDP sa fie afiate ca numere n loc de nume.

Opiunea "-v" arata toate detaliile regulilor, cum ar fi numaratorii de pachete i biti, comparaiile TOS, interfaa. Altfel aceste detalii sunt omise.

Observa faptul urmator: numaratorii pentru pachete i biti sunt afite folosind sufixele "K", "M" sau "G" pentru 1000, 1,000,000 i respectiv 1,000,000,000. Folosirea lui opiunii "-x" (expandare a numerelor) afieaza numerele n formatul maxim, fara sa conteze cat sunt de mari.

Figura 3.14- Stergere reguli; stergere bloc utilizator;

Resetarea numaratorului (counter):

Este folositoare posibilitatea de a putea s resetezi numaratorii (counters). Aceasta poate fi facuta cu opiune "-Z" (sau "--zero").

Setarea politicii (policy) unui bloc standard:

Am explicat ce se intampla cand un pachet ajunge la capatul unui lan inclus default si am discutat mai devreme cum parcurge un pachet lanurile. In acest caz, politica lanului determina soarta pachetului. Doar lanurile incluse standard (INPUT, OUTPUT i FORWARD) au politici, deoarece daca un pachet ajunge la capatul unui lan definit de catre utilizator, traversarea continua n lanul anterior.

Politica poate fi fie ACCEPT, fie DROP, de exemplu:

# iptables -P FORWARD drop

CONCLUZII

In final putem spune c n realizarea unei reele de calculatoare nu este de ajuns s conectm fizic i logic acele sisteme ci de abia dupa aceea vine munca cea mai grea i anume securizarea acelor sisteme i a ntregii reele pentru o mai buna funcionare, o mai mare stabilitate i o mai lung durat de viat a acesteia.

Astfel pentru realizarea unei reele sigure ar trebui sa inem seam de cateva niveluri de securitate i anume: nivelul fizic i nivelul logic care cuprinde securitatea accesului la sistem, la cont, drepturile de acces, securitatea serviciilor prin controlul serviciilor i drepturile la servicii.In acelasi timp 2 mari obiective trebuie luate n seama: analiza vulnerabilitilor, adic identificarea elementelor potenial slabe ale reelei si definirea politicii de securitate n funcie de rezultatele obiune din analiza vulnerabilitilor. Trebuie cunoscute foarte bine i metodele de atacuri asupra reelelor.Acestea pot fi pasive n cadrul crora intrusul observ informaia ce trece prin canal, fr s interfereze cu fluxul sau coninutul mesajelor; si active n care intrusul se angajeaz fie n furtul mesajelor, fie n modificarea, reluarea sau inserarea de mesaje false.Cunoaterea foarte buna a acestora permite posibilitatea implementrii unor mecanisme de securitate n reelele de calculatoare chiar si de arie larg, n particular - Internet-ul cu ajutorul diverselor utilitare sau prin fore proprii.

Conectarea unui calculator la INTERNET presupune, n general, folosirea sistemului de operare UNIX i a suitei de protocoale TCP/IP. Aceste componente au propriile lor probleme de securitate. Accesul la INTERNET presupune, ns, i folosirea unui set de cteva zeci de servicii, programe, cu numeroase probleme de securitate, fie datorit unor erori n software, fie datorit nencorporrii unor faciliti de securitate potrivite. In general, pentru ca un utilizator s poat lua msurile de securitate adecvate la conectarea n reea, el trebuie s neleag modul n care sistemul de operare UNIX lucreaz cu INTERNET-ul.O soluie la aceste probleme ar putea fi folosirea unor firewall-uri pentru fiecare calculator dar si pentru protecia ntregii reele.Un firewall este un sistem care impune o politic de control al accesului ntre dou reele. Un firewall reprezint implementarea acestei politici n termeni de configurare a reelei, unul sau mai multe sisteme gazd i ruter-e cu funciuni speciale, alte msuri de securitate, cum ar fi autentificarea prin metode criptografice a clienilor.Cu alte cuvinte, un firewall este un mecanism folosit pentru a proteja o reea sigur din punctul de vedere al securitii de una nesigur, n care nu putem avea ncredere.Cel mai simplu i primul tip de firewall ar fi filtrarea de pachete. Tot traficul Internet este transmis n form de pachete. Un pachet este o cantitate de date de dimensiune limitat pentru a uura prelucrarea lui. Cnd sunt transmise cantiti mari de date, acestea sunt mprite n mai multe pachete numerotate care la partea de recepie sunt reasamblate. Tot traficul Internet : fiierele transferate, paginile web, mesajele electronics sunt transmise n pachete.O alta metod de securizare a retelelor ar fi securitatea prin criptare, astfel toate informaiile care ar trebui trimise de la o reea la alta prin intermediul internetului s-ar putea face criptat. Criptografia este tiina scrierilor secrete. Ea st la baza multor servicii i mecanisme de securitate folosite n internet, folosind metode matematice pentru transformarea datelor, n intenia de a ascunde coninutul lor sau de a le proteja mpotriva modificrii. Exist dou tipuri de sisteme criptografice: simetrice (cu cheie secret) care folosesc aceeai cheie, att la cifrarea ct i la descifrarea mesajelor. asimetrice (cu chei publice) care folosesc chei distincte de cifrare i descifrare (dar legate una de alta). Una din chei este inut secret i este cunoscut doar de proprietarul ei. A doua cheie (perechea ei) este fcut public, de unde i numele de criptografie cu cheie public. Algoritmii cu cheie secret sunt caracterizati de faptul c folosesc aceeasi cheie att n procesul de criptare, ct si n cel de decriptare. Algoritmul IDEA, algoritm cu cheie secret, este cel mai bun algoritm din punct de vedere al securitaii si este utilizat mult n INTERNET.Algoritmii cu cheie public folosesc dou chei diferite, una pentru criptare, alta pentru decriptare. Deoarece este imposibil deducerea unei chei din cealalt, una din chei este fcut public, fiind pus la ndemna oricui dorete s transmit un mesaj criptat.Algoritmul RASA este un alt algoritm performant descoperit de un grup de cercettori de la MIT. Acest cifru cu chei publice reprezint standardul n domeniul semnturilor digitale si al cofidentialitaii.

Dupa cum am vazut i din partea aplicativ n concluzie putem spune c folosirea intr-o reea de calculatoare a unor firewall-uri, configurate corect dup nevoile generale ale reelei dar si dup nevoile particulare ale fiecrui sistem pentru filtrare traficului, n paralel cu diveri algoritmi de criptare implementai cu ajutorul unor utilitare specializate sa fac acest lucru, ofer o soluie bun de securitate a ntregii reele precum i o mai mare stabilitate, o mai bun funcionalitate si un numr mult mai mic de probleme care pot aprea pe parcurs.

BIBLIOGRAFIE

1. Floarea Nastase Retele de calculatoare, Editura ASE, 2005;2. SamsNet Securitatea in internet, Editura Teora, 2000;3. McClure S., Scambray J., Kurtz G. Securitatea retelelor, Editura Teora, 2001;4. Parker T., Sportack M. TCP/IP, Editura Teora, 2002;5. Oprea D. Protecia i securitatea sistemelor informaionale, Editura Polirom, 2002;

6. *** - Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protectia vieii private n sectorul comunicaiilor electronice;

7. http://ase.md/~osa/publ/ro/pubro34/19.pdf;

8. http://facultate.regielive.ro/proiecte/calculatoare/criptografia_si_securitatea_retelelor-60792.html;

9. http://www.ibiblio.org/pub/Linux/docs/HOWTO/translations/ro/text/Linux-Packet-Filtering-HOWTO10. http://www.linuxcumsa.ro/Linux/ghidul-administratorilor-de-retea-linux/#introducere_tcp_ip11. http://www.slider.go.ro/texts/project1/cap3node14.htmlFigura 2.1- Protocoale utilizate de un mesaj care traverseaz dou reele

Figgura 2.2- Dispunerea unui firewall

I

33