Securitatea Retelelor - Referat Masterat

download Securitatea Retelelor - Referat Masterat

of 29

description

Securitatea retelelor - referat masterat

Transcript of Securitatea Retelelor - Referat Masterat

UNIVERSITATEA xxx FACULTATEA DE INGINERIE ELECTRIC MASTERAT: xxx

REFERAT Tehnologii Informaionale i de Telecomunicaii

SECURITATEA IN RETELE LAN

CUPRINS 1.Introducere 1.1.Definitii si clasificari 1.2.Medii de transmitere a informatiilor in LAN-uri 1.3.Arhitectura retelei 1.4.Stiva ISO/OSI 1.5.Protocoalele TCP/IP 1.6.Metoda de acces la mediu CSMA/CD 1.7.Adresarea IP 1.7.1.Clase de adrese IP 1.7.2.Subretele si masti de retea 2. Implementarea retelelor LAN folosind cabluri de tip TP 2.1.Cablurile de tip TP (Twisted Pair perechi rasucite) 2.2.Cardurile de retea - NIC (Network Interface Card) 2.3.Standardul 10BaseT 3.Interconectarea retelelor locale 3.1.Introducere 3.2.Echipamente de interconectare 3.2.1.Repetoare (Hub-uri) 3.2.2.Switch-urile 3.2.3.Podurile (Bridge-uri) 3.2.4.Routerele 3.2.5.Pasarele (Gateways) 4.Securitatea retelei 4.1.Protocolul DHCP 4.2.Securizarea retelei 4.3.Firewall-uri 4.4.Proxy-uri 4.5.Filtrele de pachete 5.Retele VPN 5.1.Point-to-Point Tunneling Protocol (PPTP) 5.2.Layer 2 Tunneling Protocol (L2TP) 5.3.IPsec

2

1.Introducere 1.1.Definitii si clasificari O retea de calculatoare este un set de statii care sunt conectate intre ele si care sunt capabile sa schimbe mesaje. Exista mai multe tipuri de retele: LAN, WAN si VPN (Virtual Private Network). Clasificarea retelelor in functie de distanta dintre elementele prin care se propaga informatia: 0,1m 1m 10m 100m 1km 10km 100km 1000km 10000km module sau placi de sisteme retea de incapere retea in cladire retea in campus retea in localitate retea nationala retea continentala retea mondiala circuite LAN MAN WAN INTERNET Arhitectura(topologia) unei retele - Bus sau magistrala. In cazul in care se conecteaza retele intre ele avem un backbone - Star punctual de conectare este hub-ul iar el este transparent pt clientii retelei - Inel - Inele intersectate o anumita statie face legatura intre doua inele - Arborescenta - Completa (Mesh) folosita in retelele radio, orice 2 statii sunt conectate intre ele - Neregulate 1.2.Medii de transmitere a informatiilor in LAN-uri Adaptoare de retea: - care utilizeaza perechi de conductoare - care utilizeaza cabluri: - coaxiale - torsadate - wireless - optice fibre optice 1.3.Arhitectura retelei INTRANET

-

Exista doua arhitecturi de retea (mai raspindite): peer-to-peer - fiecare statie are aceleasi capacitati si responsabilitati, sint mai ieftine si mai simple d.p.d.v. al designului, dar nu ofera aceleasi performante in cazul traficului intens. client/server - necesita computere dedicate pentru a servi cererile unor altor computere. O aplicatie server asteapta un client sa initieze un contact.

3

1.4.Stiva ISO/OSI MODELUL ISO/OSI(International Standard Organization/Open System Interconnection) divide arhitectura unei retele pe 7 nivele, iar fiecare acopera diferite activitati, echipamente si protocoale. 7. Nivelul Aplicatie permite proceselor aplicatie sa acceseze serviciile de retea si sa administreze comunicatia intre aplicatii. Acest nivel reprezinta serviciile care sunt folosite de aplicatii

software cum ar fi transfer de fisiere, accesul la baze de date si servicii de e-mail. Atributii: - accesul la retea - controlul fluxului - recuperarea dupa aparitia unei erori.

Figura 1. Stiva ISO/OSI 6.Nivelul Prezentare determina formatul folosit pentru a schimba date intre calculatoarele din retea. Se poate numi si translatorul de retea. In cazul calculatorului care transmite, acest nivel se ocupa cu translatarea datelor dintr-un format trimis de la nivelul Aplicatie, intr-un format intermediar recunoscut. Operatia inversa este executata la calculatorul care primeste datele. Atributii: - conversia datelor - compresia si criptarea datelor pentru reducerea numarului de biti ce urmeaza a fi transmisi - functie de redirectare care este un software ce accepta cereri I/O si le trimite resurselor de pe server 5.Nivelul Sesiune permite la doua aplicatii aflate pe calculatoare diferite sa initieze, sa foloseasca si sa incheie o conexiune, numita sesiune. Atributii: - recunoasterea numelor si securitatea necesara pentru a facilita comunicarea intre doua aplicatii pe retea - sincronizarea intre taskurile utilizator prin managementul punctelor de revenire in fluxul de date.In acest fel, daca reteaua cade, numai datele de dupa ultimul punct de revenire trebuie retransmise De asemenea acest nivel implementeaza controlul dialogului intre procesele care sunt in comunicare prin setarea partii care transmite, cand si cat. 4.Nivelul Transport ofera controlul fluxului, tratarea erorilor si este implicat in transmiterea si receptionarea pachetelor. Acest nivel asigura ca pachetele sa fie fara erori, intr-o ordine, fara pierderi sau duplicari. Atributii: - impachetarea mesajelor, prin diviziunea celor mari si gruparea celor mici, ceea ce duce la transmiterea lor eficienta - despachetarea la celalat capat, asamblarea mesajelor originale si trimiterea unui mesaj de primire (ACK) 3.Nivelul Retea Atributii: - adresarea mesajelor prin translatarea adreselor logice(nume,IP) in adrese fizice(MAC) - determinarea rutei de la sursa la destinatie. Astfel alege calea pe care data trebuie sa o urmeze in functie de conditiile de pe retea, prioritatea serviciilor si alti factori.

4

-

rezolvarea problemelor legate de traffic prin comutarea pachetelor, routare si controlul congestiilor

Daca calculatorul destinatie nu poate primi datele din cauza marimii prea mari, atunci nivelul Retea alocat calculatorului expeditor sparge pachetul mare de date in unitati de mici dimensiuni. 2.Nivelul Legatura de Date trimite cadre de date de la nivelul Retea la nivelul Fizic. La nivelul opuse(destinatar) impacheteaza bitii in stare bruta in cadre de date si le transmite nivelului Retea. Un cadru de date este o structura logica, in care poate fi plasata date. Prezinta un delimitator de inceput si sfarsit, fata de pachetele de la nivelul superior care nu prezinta decat un preambul(header). Este format din doua subnivele: - MAC (Medium Access Control) control al accesului la mediu - LLC (Logical Link Control) legatura logica de date Atributii: - controlul erorilor - controlul fluxului informaional - gestiunea legturii Pentru detectia erorilor cel mai rspndit cod utilizat pentru protocoalele legturilor de date este CRC-ul. Astfel pentru un mesaj dat avnd k bii, transmitorul genereaz o secven de n bii numit secven de control a mesajului (CRC), astfel nct mesajul rezultat const din k+n bii i este divizibil cu cteva numere predeterminate. Receptorul va divide mesajul primit la acelai numr i dac restul este zero, nseamn c recepia s-a fcut fr erori. Adresarea MAC Mecanismul de adresare MAC implic dou cmpuri de adres n cadrul MAC. Dei formatul detaliat al cadrelor MAC nu este unic, depinznd de metoda pentru controlul accesului la mediu, formatul lor general arat ca n figura urmatoare.

Figura 2. Formatul general la cadrelor MAC Adresa destinaiei se poate referi la un sistem sau la un grup de sisteme. Dac toi biii adresei destinaie sunt 1 atunci cadrul respectiv va fi copiat de ctre toate sistemele din reea (adres broadcast - difuziune). Adresa sursei corespunde unui singur sistem. Cmpurile de adres conin 16 bii sau 48 bii. ntr-o reea local cmpurile de adres au aceeai dimensiune n toate cadrele MAC generate. Adresarea MAC poate fi administrat - local - global Adresele de 16 bii sunt administrate local. Cu o adres administrat local se atribuie fiecrui sistem din reeaua local o adres MAC unic pentru acea reea. Pentru fixarea adresei se folosesc comutatoarele de pe placa NIC (Network Interface Card) sau o funcie software. Dac se utilizeaz adresarea administrat global fiecare sistem din orice reea de pe glob are o adres unic. Administrarea global a adreselor este coordonat de IEEE.

5

Figura 3. Cmpuri de adres MAC Productorilor de echipamente de reea (NIC) li se atribuie, la cerere i contra unei taxe, o valoare pentru cei 24 bii cu ponderea cea mai mare, ei fiind responsabili pentru a folosi o adres MAC unic n ceilali 24 bii, de pondere mic, pentru fiecare plac NIC fabricat. La unele plci NIC cu adresarea administrat global prestabilit din fabricaie este posibil nlocuirea acesteia, printr-o funcie software, cu o adres administrat local. Ca un mecanism de filtrare a adreselor MAC este posibil ca subnivelul LLC s cear recepionarea i a unor cadre MAC cu adrese de destinaie diferite de cea a propriului sistem (adrese de grup, spre exemplu). Un exemplu(ipconfig /all) de adresa MAC : 00-D0-59-36-AD-7A 1.Nivelul Fizic se ocupa cu transmiterea bitilor pe cablul de retea. Defineste cuplarea cablului la adaptorul de retea si de asemenea ce tehnica se va folosi pentru transmiterea bitilor. Atributii: - codarea datelor si sincronizarea bitilor, asigurandu-se ca transmiterea unui bit 1 duce la receptionarea unui bit 1 - delimiteaza lungimea unui bit si translatarea lui intr-un impuls electric sau optic specific retelei.

Figura 4. Modelul nivelului fizic

6

Cand datele sunt transmise prin retea ele trec prin toate cele 7 nivele unde li se ataseaza un preambul(header) specific. In cazul nivelului Legatura de Date se ataseaza si un postscript(trailer) pentru a specifica sfarsitul cadrului.

Figura 5. Adaugarea header-elor la trecerea prin nivele. La nivelul 2 se ataseaza si un trailer la sfarsitul cadrului. 1.5.Protocoalele TCP/IP TCP/IP reprezint un grup de protocoale a crui denumire este dat de principalele sale standarde. TCP (Transmission Control Protocol) i IP (Internet Protocol). Aceste protocoale pot fi folosite pentru comunicaii n cadrul oricrui set de reele interconectate. Protocoalele TCP/IP stau la baza unei mari reele, numite Internet, care a nceput cu mai bine de 20 de ani n urm cu reeaua ARPA (Advanced Research Projects Agency) i care acum regrupeaz mii de reele, utiliznd acelai ansamblu de protocoale, pentru a oferi o interfa unic utilizatorilor lor. Software-ul de reea, nglobnd o mare parte din protocoalele TCP/IP, este disponibil pe o gam larg de calculatoare care folosesc diferite sisteme de operare. Dintre serviciile de aplicaie oferite utilizatorilor de reea Internet, cel mai frecvent folosite sunt: - pota electronic (e-mail) - transferul de fiiere - conexiunea la un calculator distant (remote login). Autoritatea suprem care dirijeaz evoluia reelei Internet este este o organizaie constituit din membri voluntari, numit Internet Society (ISOC). n cadrul acestei oraganizaii exist un consiliu, numit Internet Architecture Board (IAB), care are responsabilitatea tehnic a evoluiei reelei. El aprob standarde noi, aloc resurse i ia decizii privind reeaua. Un alt organism, IETF (Internet Engineering Task Force), are sarcina de a dezbate, periodic, probleme pe termen scurt: Public rapoarte i documentaie, sugereaz acceptarea unor idei propuse pe baz de voluntariat sau propune adoptarea unor noi standarde. Documentaia Internet, inclusiv standardele, este publicat sub forma unor documente RFC (Request for Comments). Documentul RFC 1540, intitulat Internet Official Protocol Standards, detaliaz lista tuturor documentelor RFC. Arhitectura TCP/IP Arhitectura stratificat a unei reele TCP/IP este prezentat, prin comparaie cu modelul OSI, n figura urmatoare. Protocoalele TCP/IP sunt conceptual organizate n patru niveluri care se sprijin pe un al cincilea nivel, reprezentat de ansamblul circuitelor necesare pentru transmiterea semnalelor de date. Nivelul cel mai de jos dintre cele patru, numit interfa reea, face ca funcionarea nivelului imediat superior, numit internet i echivalent nivelului reea din modelul OSI, s nu depind de reeaua fizic utilizat pentru comunicaii i de tipul legturii de date.

7

O interfa reea poate fi constituit dintr-un driver reea, cnd sistemul este conectat la o reea local, sau un subsistem mai complex care utilizeaz un anumit protocol al legturii de date (spre exemplu HDCL, atunci cnd reeaua utilizeaz comutatoare de pachete).

Figura 6. Stiva OSI/ISO si echivalenta cu arhitectura TCP/IP O reea individual TCP/IP poate fi o reea local, utiliznd diferite protocoale de subnivel MAC (802.3, 802.4, 802.5 etc), poate fi o reea care folosete legturi de date de mare distan de tipul circuitelor punct-la-punct nchiriate sau comutate, cu un suport fizic oarecare. Protocoalele TCP/IP trateaz toate reelele la fel. n esen, protocoalele TCP/IP definesc o reea abstract care nu ine seama de detaliile reelelor fizice componente. Interconectarea reelelor fizice se realizeaz prin intermediul ruterilor. Stabilirea rutelor se face lund ca baz reeaua de destinaie. n felul acesta volumul informaiei necesare pentru rutare depinde de numrul reelelor interconectate i nu de numrul sistemelor din reea. Nivelul interfa reea accept mesajele de la nivelul internet i le pregtete pentru transmiterea pe un anumit tip de legtur de date (reea fizic). Pe de alt parte nivelul interfa reea analizeaz fiecare cadru recepionat de placa NIC i determin, dup biii de control ai cadrului, care este protocolul de nivel internet cruia trebuie s i se transmit datele din cadrul recepionat. Nivelul internet realizeaz funciunile de rutare i de releu pentru transmiterea pachetelor de la sistemul surs la sistemul destinaie. La acest nivel se utilizeaz mai multe protocoale, dintre care se remarc : Protocolul Internet (Internet Protocol - IP) care asigur un serviciu de transmitere a datelor fr conexiune. Protocolul ICMP (Internet Control Message Protocol) folosete serviciile IP (mesajul ICMP ocup cmpul de date al IP) asigurnd un mecanism prin care ruterii i sistemele din reea comunic informaii privind situaiile de funcionare anormal. Protocolul ARP (Address Resolution Protocol) permite unui sistem s determine adresa fizic (MAC) a unui alt sistem din aceeai reea fizic cunoscnd adresa IP (de nivel reea) a acestuia. Protocolul RARP (Reverse Address Resolution Protocol) permite unui sistem si obin, atunci cnd n-o cunoate, adresa IP proprie. Nivelul transport asigur comunicaia ntre programele de aplicaie. O astfel de comunicaie este numit adesea comunicaie cap-la-cap. Nivelul transport poate regla fluxul datelor, poate asigura livrarea datelor fr erori i n secven. La nivelul transport fluxul datelor ce trebuie transmise se mparte n pachete i fiecare pachet este trecut, mpreun cu adresa de destinaie, ctre nivelul internet pentru transmisiune.

8

Cnd mai multe programe de aplicaie beneficiaz, n acelai sistem, de serviciile reelei, nivelul transport trebuie s accepte datele de la acestea i s le treac spre nivelul inferior, adugnd fiecrui mesaj informaia necesar pentru identificarea programelor de aplicaie. Sunt folosite dou protocoale de transport: UDP (User Datagram Protocol) TCP (Transmission Control Protocol). Protocolul UDP asigur un serviciu fr conexiune folosind IP pentru transportul mesajelor. Acest protocol, mai simplu dect TCP, nu garanteaz livrarea mesajului la recepie fr erori, fr pierderi, fr duplicate, n ordinea n care au fost emise. Programele de aplicaie care utilizeaz UDP ar trebui s-i asume responsabilitatea deplin pentru soluionarea acestor aspecte ale transmisiunii. Protocolul TCP asigur un serviciu cu conexiune garantnd livrarea corect, n ordine, a mesajelor la recepie. La elaborarea unui program de aplicaie se alege protocolul de transport n funcie de necesitile impuse de aplicaie. Nivelul aplicaie asigur utilizatorilor reelei, prin intermediul programelor de aplicaie, o gam larg de servicii. Dintre acestea cele mai frecvent folosite sunt: - SMTP (Simple Mail Transfer Protocol) - FTP (File Transfer Protocol) - Telnet Remote Login - SNMP (Simple Network Management Protocol). Protocolul SMTP este folosit pentru transferul mesajelor de pot electronic. Utilizatorul poate transmite mesaje sau fiiere altui utilizator conectat la Internet sau la un alt tip de reea, avnd ns o conexiune cu Internet. Protocolul FTP permite utilizatorilor transferul de fiiere, n ambele sensuri, ntre un sistem local i unul distant. Fiierele pot conine fie texte (caractere ASCII sau EBCDIC), fie date pur binare. Protocolul Telnet permite unui utilizator s se identifice ntr-un sistem distant prin intermediul sistemului local. Acest protocol stabilete o relaie client-server ntre sistemul local (client) i aplicaia Telnet distant (server), permind deci funcionarea unui sistem local n regim de terminal virtual conectat la un sistem distant. Protocolul SNMP este folosit pentru administrarea de la distan a echipamentelor de interconectare a reelelor. 1.6.Metoda de acces la mediu CSMA/CD Metodele de acces sunt un set de reguli care defineste cum poate pune si extrage un calculator date de pe retea. Acestea previn accesul simultan asupra mediului de transmisie prin asigurarea faptului ca doar un calculator poate pune date pe retea la un moment dat. Tehnologiile LAN se bazeaza pe una din urmatoarele tehnici: - CSMA/CD (Carrier Sense Multiple Access with Collision Detection) process multiplu cu sesizarea purtatoarei si detectarea coliziunilor - Token Passing - utilizarea de Jeton(Tokens) in cazul retelelor Token Ring - Demand Priority prioritatea cererilor CSMA/CD Fiecare calculator din retea inclusiv clienti si servere, verifica daca exista trafic pe cablul de retea.Daca exista date in trasmitere pe cablu atunci nici o statie nu poate transmite pana cand acestea au ajuns la destinatie si linia este libera. Daca doua calculatoare sau mai multe calculatoare vor trimite date in acelasi timp, atunci va apare o coliziune, iar ele se vor opri din transmisie pentru o perioada arbitrara de timp, iar apoi vor incerca iarasi. In aceasta ide vom intelege si insemnatatea numelui. Calculatoarele verifica sau simt mediu de transmisie(carrier sense). Sunt mai multe calculatoare care incearca sa trimita date (multiple access) si in acelasi timp asculta reteaua pentru a vedea daca nu s-a produs o coliziune(collision detection).

9

In acest fel se considera ca aceasta tehnologie este una concurentiala, deoarece statiile concureaza pentru a trimite date. In cazul metodei CSMA/CA (Collision Avoidance) fiecare calculator semnalizeaza intentia de a transmite, pentru a evita coliziunile. 1.7.Adresarea IP Identificarea in retele utilizind protocolul TCP/IP se face pe baza adresei IP. Astfel, fiecare retea din Internet ar avea adresa ei numerica unica, numita adresa de retea. Administratorii de retea ar trebui sa se asigure ca fiecare dispozitiv gazda din retea foloseste un numar de gazda unic. La ora actuala folosindu-se versiunea 4 (IPv4), ce utilizeaza o adresa binara de 32 biti. Fiecare adresa este exprimata prin 4 octeti, ceea ce ar permite 4.294.967.296 adrese.In prezent se lucreaza la definirea celei de a doua versiuni de adrese IP, IPv6, ce vor avea o lungime de 128 biti si clasificari complet noi, in vederea cresterii eficientei. Cea mai mica valoare posibila ar fi 0.0.0.0, iar cea mai mare, 255.255.255.255 (ambele valori sint insa rezervate si nu pot fi alocate unor sisteme individuale). Diferentele dintre clase constau in numarul de biti alocati pentru retea fata de cel alocat pentru adresele dispozitvelor gazda. 1.7.1.Clase de adrese IP Exista cinci clase: A, B, C, D si E. Exista clase rezervate ce se numesc adrese IP private. Dintre acestea enumeram cele care incep cu 192. sau cu 10.Acestea sunt ignorate de catre echipamentele de rutare ceea ce duce la invizibilitatea celor ce le folosesc. Pentru toate clasele adresele cu toti bitii de identificare a gazdei pe zero se folosesc pentru identificarea retelei, iar adresa cu toti bitii de identificare a gazdei pe unu se utilizeaza pentru difuzare multipunct in cadrul retelei respective). Pentru clasa A, adresa 127.0.0.0 este rezervata pentru teste in bucla inchisa. CLASA A B C D E Incepe cu 0 10... 110... 1110... 11110... Identificator retea 7 biti 14 biti 21 biti 28 biti Folosite in cercetare Identificator gazda 24 biti 16 biti 8 biti 0 biti Folosite in cercetare Nr de retele 127 16.382 2.097.150 2^28 Folosite in cercetare Nr gazde 16.777.21 4 65.543 254 0 Folosite in cercetare Intervalul de adrese 1.0.0.0 126.0.0.0 128.1.0.0 191.254.0.0 192.0.1.0 223.255.254.0 224.0.0.0 239.255.255.254 240.0.0.0 255.255.255.255

Deficiente ale sistemului Spatiile de adrese IP au fost folosite nejudicios de-a lungul anilor, consumind un numar considerabil de adrese potentiale. Daca de exemplu o companie avea nevoie de 400 de adrese IP, o singura adresa de clasa C (permitind 254 adrese) nu era suficienta. S-ar fi folosit doua adrese de clasa C, dar acest lucru ar fi generat doua domenii separate in cadrul companiei, ce ar fi marit dimensiunea tabelelor de rutare din Internet. Ca alternativa, s-a trecut la adrese din clasa B, care ofera suficiente adrese dar iroseste inutil 65.534 - 400 = 65.134 adrese. Din fericire, s-au dezvoltat extensii ale protocolului IP care maresc eficienta lui: - mastile de subretea - mastile de subretea de lungime variabila (VLSM) - CIDR

10

1.7.2.Subretele si Masti de retea Impartirea in subretele (subnetting) a inceput pe la mijlocul anlui 1980 (!). In acea perioada, organizatiile incepeau sa dispuna de un numar din ce in ce mai mare de relete locale (LAN), ce puteau fi tratare ca subretele. In cazul unor retele multiple, fiecare subretea se conecteaza la Internet printr-un punct comun: router cu rolul de poarta de acces (gateway) al retelei respective. In interiorul retelei private, portiunea din adresa gazda din cadrul adresei IP poate fi subdivizata pentru a identifica subretelele. O adresa IP folosita pentru impartirea in subretele are trei componente: - adresa retelei - adresa subretelei - adresa gazda Adresele gazda si subretea sint extrase din portiunea de adresa gazda adresei IP originale. Astfel, posibilitatea de impartire in subretele depinde direct de tipul de adresa IP care este impartita. Cu cit sint mai multi biti de adresa gazda in adresa IP, cu atit se pot crea mai multe subretele si gazde. Subretelele sint identificate folosind o adresa pseudo-IP numita masca de subretea. O masca de subretea este si ea un numar pe 32 de biti. Ea este folosita pentru a comunica sistemelor finale (inclusiv routere si alte calculatoare gazda) citi biti din adresa IP sint folositi pentru identificarea retelei si a subretelei. Acesti biti se numesc prefix extins de retea. Bitii ramasi identifica gazdele in cadrul subretelei. Bitii din masca cu rol de identificare a numarului de retea sint setati pe 1, iar cei corespunzatori gazdelor sint pusi pe zero. De ex, o masca de tipul 255.255.255.192 (unde 255 = 1111111 in binar, iar 192 = 11000000 in binar), ar furniza 64 de adrese gazda matematic posibile pentru fiecare subretea. Insa numai 62 din aceste adrese sint efectiv disponibile (ca de obicei). Prima adresa gazda (cu toti bitii corespnzatori pe zero) este utilizate pentru identificarea subretelai insasi. Ultima adresa (cu bitii corespunzatori pusi pe 1), este folosita pentru difuzari IP. Masca trebuie definita a.i. sa nu fie mai mare decat cate sisteme am si nici prea mica pentru ca nu voi mai vedea toate sistemele. IP-ul routerului trebuie sa fie inclus in interiorul mastii deoarece un sistem nu poate adresa o adresa IP pe care nu o vede. De asemenea IP-ul Poartii de Iesire(GateWay) trebuie inclus in masca. Exemplu masca 255.255.255.0 este folosita pt a vedea o clasa C. Masca 255.255.252.0 pt 2 clase C iar 255.255.240.0 pentru 4 clase C. Numarul de subretele posibile (matematic) depinde insa de tipul clasei din care face parte adresa IP care a fost impartita in subretele. Pentru o adresa IP de clasa B avem: Nr. de Nr. de Nr de biti Masca adrese adrese gazda din prefixul de de subretea utilizabile de retea subretea utilizabile per subretea ------------------------------------------------------------------2 255.255.192.0 2 16382 3 255.255.224.0 6 8190 4 255.255.240.0 14 4094 5 255.255.248.0 30 2046 6 255.255.252.0 62 1022 7 255.255.254.0 126 510 8 255.255.255.0 254 254 9 255.255.255.128 510 126 10 255.255.255.192 1022 62 11 255.255.255.224 2046 30 12 255.255.255.240 4094 14 13 255.255.255.248 8190 6 14 255.255.255.252 16382 2 Exemplu de impartire in subretele

11

De exemplu, trebuie impartita o adresa de clasa C 193.168.125.0, aceasta fiind adresa de baza, catre care Internetul va calcula rute. Ultimul octet este divizat: 3 biti sint adaugati numarului de retea pentru a forma prefixul extins de retea, iar cei 5 ramasi sint folositi pentru a identifica gazdele: Numarul Adresa Adresa subretelei binara zecimala ------------------------------------------------------------------Baza 11000001.10101000.011111101.00000000 193.168.125.0 Subretea 0 11000001.10101000.011111101.000-00000 193.168.125.0 Subretea 1 11000001.10101000.011111101.001-00000 193.168.125.32 Subretea 2 11000001.10101000.011111101.010-00000 193.168.125.64 Subretea 3 11000001.10101000.011111101.011-00000 193.168.125.96 Subretea 4 11000001.10101000.011111101.100-00000 193.168.125.128 Subretea 5 11000001.10101000.011111101.101-00000 193.168.125.160 Subretea 6 11000001.10101000.011111101.110-00000 193.168.125.192 Subretea 7 11000001.10101000.011111101.111-00000 193.168.125.224 Subretele 0 si 7, desi matematic posibile, chiar daca sint definite intr-un router, nu sint in mod normal utilizabile, ele fiind rezervate. Ele sint in tabel doar pentru a demonstra cresterea cimpului binar de adresa de subretea. Gazdele din fiecare subretea sint definite incrementind restul de cinci biti din ultimul octet. Sint 32 de combinatii posibile de 0 si 1. Valorile minime si maxima sint rezervate (iarasi), reiesind un numar utilizabil in practica de 30 de gazde de subretea. Un dispozitiv cu adresa IP 193.168.125.193 ar fi prima gazda din subreteaua 6. Urmatoarele gazde ar fi numerotate pina la 193.168.125.223, moment in care subreteaua ar fi complet populata si nu ar mai putea fi adaugata gazde. Variable Length Subnet Masks (VLSM) Impartirea in subretele are o limitare: se utilizeaza doar o singura masc de subretea pentru o intreaga retea. Astfel, dupa selectarea unei masti, nu se pot folosi subretele de dimensiuni diferite. Solutia a aparut in 1987. VLSM face posibila o utilizare mai eficienta a spatiului de adrese al unei organizatii. Classless Interdomain Routing (CIDR) CIDR = Rutarea inter-domenii fara clase, este o adaugire relativ recenta la arhitectura de adrese IP, pe la inceputul anilor 1990. Problemele existente erau epuizarea adreseler IPv4 nealocate (spatiul de adrese din clasa B erau in pericol, se estima chiar o zi "finala", undeva prin martie 1994), precum si cresterea in dimensiuni rapida si substantiala a tabelelor de rutare. Solutia pe termen lung va fi un IP complet nou, IPv6. Pe termen scurt, s-a incercat eliminarea ineficientelor clase de adrese in favoarea unei arhitecturi de adrese mai flexibile. A aparut astfel CIDR, care are ca facilitati: - eliminarea organizarii pe clase a rutelor - reunirea imbunatatita a subretelelor - gruparea in supraretele Functionarea CIDR Arhitectura CIDR a fost o abatere de la traditie. S-a inlocuit reprezentarea cu 8, 16 si 24 de biti a claselor A, B si C, cu un prefix de retea generalizat. Acest prefix putea avea orice lungime, nu numai 8/16/24. S-a permis construirea de spatii de adresa de retea in concordanta cu dimensiunile retelelor. Fiecare adresa de retea conforma CIDR este comunicata impreuna cu o masca pe biti. Ea indica lungimea prefixului de retea. De ex, 192.125.61.8/20 indica o adresa CIDR cu 20 de biti alocati pentru adresa de retea. Adresa IP poate fi orice adresa valida matematic, indiferent de apartenenta originala la

12

clasa A, B sau C. Routerele conforme specificatiilor CIDR examineaza numarul de dupa "/" pentru a determina numarul de retea. Cu o adresa dn clasa C se puteau asigura adrese pentru maxim 254 de gazde. Utilizind CIDR, limitarile sint eliminate. In binar, zona care stocheaza numarul de retea al aceste adrese are valoarea 11000000.01111101.00111101. Primii 20 de biti indica numarul de retea. Numarul de retea ar fi: 11000000.01111101.0011 iar cel gazda: 1101.00001000 Astfel, o adresa IPv4 cu prefix de retea de 20 biti are 12 biti ramasi pentru identificarea gazdelor. Matematic, ar insemna 4094 adrese gazde utilizabile. 2. Implementarea retelelor LAN folosind cabluri de tip TP 2.1.Cablurile de tip TP (Twisted Pair perechi rasucite) Cele mai utilizate medii de transmitere a informatiilor in LAN. Structura: - 8 fire izolate de cupru rasucite pentru a forma 4 perechi - invelis exterior din plastic Figura 7. Structura cablului TP

Tipuri: - UTP (Unshielded TP) neprotejat(figura) - STP (Shielded TP) protejat (are cate un invelis de ecranare pentru fiecare pereche si inca un invelis de ecranare pentru tot cablul), realizate din staniol - ScTP (Screened TP) se utilizeaza doar un strat ecranator pentru intreg cablul Scuturile (de la STP si ScTP) trebuie legate la pamant la ambele capete pentru a evita efectul de antena. Functionare: Doar doua perechi sunt efectiv folosite. Una asigura transmiterea impulsurilor intr-un sens iar cealalta transmiterea in celalalt sens. Celelalte fire sunt folosite la telefonia digitala si video(asa precizeaza standardul). Fiecare pereche utilizata este alcatuita dintr-un fir de masa si dintr-un fir activ. Rasucirea firelor este o modalitate excelenta de a ecrana atat din exterior cat si din interior. Motivul torsadarii este rejectarea perturbatiilor electromagnetice(curentii indusi de campul electromagnetic, aflati in ochiuri se anuleaza reciproc). In functie de gama frecventelor care se vrea rejectata se stabileste pasul de torsadare. Categorii de calitate CAT: - CAT5 suporta viteze de pana la 100Mbps - CAT6,7 viteze superioare, pas mic de torsadare Conectori: RJ-45 (Registered Jack 45) de tip mama si tata. Introducerea cablului in conectori se realizeaza cu unelte speciale. De asemenea trebuie respectate conventiile de culoare si de pozitionare.

13

Conventii de numerotare: Numerotarea incepe de la pinul din stanga (numarul 1) si tine pana la pinul din dreapta (numarul 8). Doar 4 pini intervin in comunicarea datelor: - 1 TD+ (Transmission Data +) - 2 TD- (Transmission Data -) - 3 RD+ (Received Data +) - 6 RD- (Received Data -)

Reguli de mufare: In general, un cablu va fi mufat la ambele capete. Exista doua situatii: - Mufare crossover (incrucisata) (cablul va conecta 2 calculatoare) Este clar ca firele de transmisie dintr-o parte trebuie sa fie fire de receptie in cealalta parte (apare o incrucisare-cross).

- Mufare straight-trough (cablul va conecta un calculator cu un hub sau switch) Avem corespondente exacte intre transmisie si receptie.

2.2.Cardurile de retea - NIC (Network Interface Card) Network Interface Card" (cartela de interfata cu reteaua). NIC, in sistemul OSI, acopera deja al doilea nivel, cel al legaturii de date, pe linga cel al legaturii fizice. NIC nu este altceva decit o placa cu circuit imprimat, ce se implanteaza fie intr-un slot de pe placa de baza a unui calculator ISA,PCI, PCMCIA. NIC este considerat ca fiind si de nivel 2 pentru ca fiecare cartela de acest gen contine un numar serial unic, denumit MAC ("Media Access Control"), utilizat pentru controlul comunicatiei de date dintre sistemul gazda (calculator sau dispozitiv periferic) si retea. Toate interfetele Ethernet au o adresa unica pe 48 de biti, furnizata de fabricant. Se mai numeste si adresa MAC (Media Access Control). Figura 8. Placa de retea

14

Soclul liber de pe placa se foloseste pentru a o memorie in care se poate scrie BIOS-ul, util in retele Novell pentru boot-are de pe placa de retea. - Soclul de memorie, care se poate folosi la memorarea mesajelor, atunci cand se asteapta eliberarea liniei. - Procesorul este folosit pentru translatarea mesajelor ce sunt transmise si primite pe canalul de comunicatie - AUI interfata cu unitati de transfer si management a datelor, pentru distante scazute.

Figura 9. Partile componente ale unui NIC Un transceiver (transmitter/receiver) converteste un tip de semnal in altul, din punct de vedere fizic. Sunt doua tipuri de transceivere: - interne pentru semnalul venit prin UTP la mufa RJ45 - externe(AUI) pentru conectarea la alt tip de retea Ethernet

Figura 10. Montarea unui transceiver 2.3.Standardul 10BaseT Transmisia la 10Mbps, n banda de baz i pe un segment de cablu torsadat (twisted pair). Conform acestui standard, singura modalitate de conectare a dou staii este printr-o legtur punct-la-punct, de unde necesitatea utilizrii repetoarelor multiport(HUB), pentru conectarea a mai mult de dou staii, formndu-se astfel o topologie stelar. La nivelul MAC se implementeaz identic protocolul 802.3. Rsucirea firelor este necesar pentru a reduce distorsiunile electromagnetice, prin faptul c un cmp electromagnetic extern va aciona n mod egal asupra celor dou fire. Pentru un cablu cu mai multe perechi de fire rsucite, paii de rsucire trebuie s fie diferii pentru fiecare pereche, i ei se calculeaz n aa fel ca diafonia ntre perechi s devin minim. Astzi, datorit progreselor n tehnologia de realizare a cablurilor TP, ele prevd o band de frecvene de sute de megahertzi, utilizndu-se uzual pentru transmisii de date la 100Mbps. Cablurile actuale vor fi folosite la viteze de sute de Mbps, chiar n reelele Gigabit, oferind pentru distane scurte de pn la 100 m, performane comparabile cu fibra optic. Dup modul de realizare a ecranrii cablurilor (prevederea unui nveli protector legat la mas): cablul ecranat STP (Shielded Twisted Pair), cablu care prevede att ecran de protecie (nveli protector) pentru fiecare pereche de fire, ct i o ecranare global, pentru tot cablul;

15

cablul FTP (Foiled Twisted Pair), care prevede doar un unic ecran (folie de ecranare) global pentru ntreg cablul; cablul UTP (Unshielded Twisted Pair), care constituie varianta TP ne-ecranat.

Clasificarea cablurilor torsadate folosite n transmisiile de date Categorie Aplicaii CAT 1, numit Cuprinde cablurile folosite numai n telefonia clasic, Telecommunication analogic. CAT 2 (Low Speed Data) Cuprinde cablurile pentru telefonia analogic i digital, dar care ofer servicii de transmitere de date la viteze inferioare CAT 3 (High Speed Data) Definete cablurile folosite la realizarea reelelor locale cu viteze de pn la 10Mbps, n special a reelelor de tip 10BaseT i a reelelor Token Ring la 4Mbps CAT 4 (Low Loss, High Definete cabluri cu performane ridicate n ceea ce Performance Data) privete atenuarea i viteza de transmisie, fiind folosite la viteze de cteva zeci de Mbps, precum n reele de tip Token Ring la 16Mbps CAT 5 Se folosesc actualmente n reelele ce opereaz pn la 100Mbps, precum 100BaseT. CAT 6 si CAT 7 Vor opera pn la viteze de 200, respectiv 600Mbps, pas mic de torsadare Principalele funcii ale unui transceiver 100BaseT: transmisia datelor primite de la interfaa 802.3, date codificate Manchester, ctre mediu, respectiv ctre perechea de linii de transmisie date TD (Transmit Data); n lipsa datelor de transmis, se transmite pe linie un semnal idle, care este da fapt o secven specific de impulsuri; recepia datelor de pe perechea de linii RD (Receive Data) i transmiterea ctre interfa; detectarea semnalului de coliziune n mediu (pe liniile RD) i elaborarea semnalului corespunztor ctre interfa; generarea de semnal de test pentru circuitele de detectare a coliziunii (semnal SQET); funcia de jabber, detectarea cadrelor de lungime incorect; funcia de buclare (loop-back) prin care datele transmise ctre mediu sunt transmise n ecou napoi ctre interfa; funcia de test integritate a legturilor, bazat pe faptul c dac o perioad de timp (50 150ms) nu se primete semnal de date sau semnal idle, se consider cdere de linie. Un segment 10BaseT este constituit dintr-un cablu torsadat cu urmtoarele caracteristici: impedana de 100, ca in telefonie; lungimea de maxim 100m; 3.Interconectarea retelelor locale 3.1.Introducere O problem care apare, n primul rnd pentru ntreprinderile care au mai multe reele locale, plasate n zone diferite, este interconectarea acestor reele. Reelele locale pot fi interconectate n mai multe moduri, aa cum se arat n continuare. Interconectare direct Dou sau mai multe reele locale, de acelai tip sau de tipuri diferite (CSMA/CD, Token Bus, Token Ring), plasate n apropiere una de alta, pot fi conectate direct, prin echipamente de interconectare, pentru a forma o reea local extins .

LAN 1

EI

LAN 2

E

16

EI Echipament de interconectare

LAN 3

Figura 10. Interconectare direct

Interconectare prin legturi de distan mare oferite de reelele de telecomunicaii de arie mare (WAN) Dou sau mai multe reele locale, localizate n zone distanate una de alta, pot fi interconectate folosind suporturi de transmisiune oferite de reeaua de telecomunicaii care acoper practic tot globul. Aceste legturi permit, de regul, viteze mai mici dect cele din reelele locale. Pot fi astfel folosite, pentru legturile pe distan mare, circuite telefonice vocale analogice, ce permit cu modemuri adecvate debite de pn la 28,8 kb/s, circuite telefonice vocale digitale (64 kb/s) sau canale digitale de debite mai mari oferite de reeaua de telecomunicaii digital. Pot fi folosite i canale digitale din alte tipuri de reele WAN, cum ar fi spre exemplu reelele publice de date cu comutaie de pachete.

LAN 1

EI

Reea de telecomunicaii

EI

LAN 2

Figura 11. Interconectare prin circuite de telecomunicaii de distan mare Interconectare prin intermediul reelelor de debit mare, cum ar fi reeaua pe fibr optic FDDI. Aceast reea va constitui artera principal (backbone) i la ea se ataeaz numai reele locale.

Reea local FDDI

LAN 1

EI

EI

LAN 2

Figura 12.

Interconectare prin reea FDDI

3.2.Echipamente de interconectare Echipamentele utilizate pentru interconectarea reelelor locale sunt de mai multe tipuri, fiecare fiind folosit cu un anumit scop, adecvat pentru o anumit form de interconectare. 3.2.1.Repetoare Repetorul permite prelungirea arhitecturii unei reele CSMA/CD. n felul acesta pot fi depite constrngerile relative la lungimile segmentelor. Repetorul poate fi conectat i n alte puncte ale segmentului, nu numai la o extremitate a sa i poate retransmite semnalele pe mai multe segmente de cablu care alctuiesc o structur de tip arbore. De asemenea, repetorul se utilizeaz pentru a face legtura ntre medii de transmisiune diferite, cum ar fi: cablu coaxial fibr optic, cablu coaxial pereche rsucit, cablu 10 BASE 5 cablu 10 BASE 2.

Repetor FizicFizic Fizic

Fizic 17

Figura 13.

Repetorul n raport cu modelul OSI

El nu interpreteaz cadrele pe care le recepioneaz ci doar le repet bit cu bit pe celelalte segmente, fiind astfel transparent la protocoalele utilizate la nivelul legtur de date. La reelele n inel repetoarele nu sunt folosite. De fapt n aceste reele fiecare sistem acioneaz ca un repetor. Un exemplu de repetor intr-o retea LAN este HUB-ul(Host Unit Broadcast). Scopul unui hub este de a regenera si a resincroniza d.p.d.v. al timpului semnalele din retea, deci actioneaza tot la nivel fizic. Hub-ul este cunoscut si sub denumirea de repeater multiport. Un cadru este trimis catre toate statiile iar numai statia destinatar il va accepta. Numarul de caburi care pot fi conectate la acest dispozitiv pot fi chiar si 24. Exista doua motive pentru folosirea unui hub: - crearea unui punct central de conectare a cablurilor - cresterea fiabilitatii retelei (un cablu oarecare se poate defecta fara a perturba intreaga retea).

Figura 14. Hubul repetor multiport Preferabil este sa se foloseasca switch-ul, care recunoaste adresele fiecarei statii n parte. 3.2.2.Switch-urile Sunt echipamente care arata ca un hub, insa difera ca mod de operare. Astfel el cunoaste destinatia dar nu stie unde se afla. Pentru a rezolva problema foloseste urmatorul algoritm. - trimite cadrul catre toate statiile - raspunde destinatia pe un anumit port care este memorat in memoria switch-ului - se stabileste o conexiune individuala cu aceasta Performantele unui switch depind de: - capacitatea de memorare a adreselor MAC - dimensiunea magistralelor interne pentru deservirea conexiunilor individuale 3.2.3.Poduri Podul (bridge) este un echipament inteligent care interconecteaz reele LAN de acelai tip sau diferite. Podul ofer de asemenea posibilitatea extinderii, dincolo de limitele impuse de norma CSMA/CD sau Token Ring. Un pod poate realiza i o funcie de filtrare a cadrelor ntre dou reele. El determin, pe baza adresei de destinaie din cadru, dac este cazul sau nu s transmit cadrul de pe o reea pe alta. n felul acesta podul poate izola o parte din traficul de reea generat pe o reea local pentru a nu ptrunde n alte reele atunci cnd nu este cazul. n raport cu modelul OSI podul opereaz n subnivelul MAC, fiind transparent la protocoalele nivelurilor aflate deasupra acestui subnivel. Aplicaie Prezentare Sesiune Transport Reea Legtur Fizic Legtur Fizic Legtur Fizic Figura 15. cu modelul OSI Pod Podul n raport Aplicaie Prezentare Sesiune Transport Reea Legtur Fizic

18

Se comport, din punct de vedere al accesului la reea, ca o staie. Dac trebuie s transmit un cadru ntr-o reea el trebuie s atepte disponibilitatea reelei la fel ca un sistem oarecare din acea reea. Rezult c mesajele recepionate sunt temporar memorate de ctre pod i apoi emise n reeaua n care se afl sistemul destinatar. Desigur, dac ntr-o reea apar coliziuni, el nu le propag n alt reea. 3.2.4.Routeri Ruterul este un echipament folosit prin excelen pentru interconectarea mai multor reele locale de tipuri diferite. Pentru aceasta ns sistemele din diferitele reele trebuie s utilizeze acelai protocol de nivel 3. n timp ce podul opereaz cu adresele fizice ale sistemelor (din cadrele MAC) ruterul utilizeaz adresele logice, de reea, ale sistemelor. Aceste adrese sunt administrate de nivelul 3 i sunt cu totul independente de tipul reelei locale. Toate sistemele din acea reea logic au aceeai adres logic de subreea. Ruterul interconecteaz reele logice diferite. Ruterul asigur posibilitatea rutrii mesajelor de la surs la destinaie atunci cnd exist mai multe ci posibile ntre cele dou puncte. n raport cu modelul OSI el opereaz la nivelul reea. Aplicaie Prezentare Sesiune Transport Reea Legtur Fizic Reea Legtur Fizic Aplicaie

RuterReea Legtur Fizic

Prezentare Sesiune Transport Reea Legtur Fizic

Figura 16.

Ruterul n raport cu modelul OSI

Capacitatea de a opera la nivelul reea i permite ruterului s determine cel mai bun traseu, printr-o serie de legturi de date, de la o reea local n care se afl sistemul surs la reeaua local n care se afl sistemul de destinaie. Un sistem de ruteri poate asigura mai multe trasee active ntre cele dou reele, fcnd posibil transmiterea mesajelor de la surs la destinaie pe ci diferite. Mesajele pot ajunge la destinaie n alt ordine dect cea de la emisie, dar nivelurile superioare din astfel de reele trebuie s fie capabile s restabileasc ordinea iniial a mesajelor. Exist o categorie de ruteri care pot deveni poduri atunci cnd nu recunosc protocolul de reea al cadrului i, n consecin, nu pot face operaia de rutare, lucrnd cu adresele fizice. Un astfel de echipament, suplu i modular, care poate fi configurat i ca pod i ca ruter, este cunoscut, n limba englez sub denumirile: bridge-router si il vom numi n continuare B-ruter.

19

Modul n care se transmite mesajul printr-un ruter este prezentat n figura urmatoare. Sistem surs Niveluri superioare Nivel reea Pachet Nivel legtur de date Cadru Nivel fizic Ruter Funcia de rutare Sistem destinatar Niveluri superioare Nivel reea Pachet Nivel legtur de date Cadru Fizic Pachet Nivel legtur de date Cadru Nivel fizic

Pachet Nivel legtur de date Cadru Fizic

LAN 1 Figura 17.

LAN 2

Transmiterea mesajului printr-un ruter

Routerul un dispozitiv hardware care conecteaza doua sau mai multe retele. Ele sint de obicei asa-numitele "backbone devices", conectind diferite tehnologii de retea intre ele si ascunzind eventualele diferente. Fiecare router prezinta doua sau mai multe adrese IP pentru ca fiecare adresa IP contine prefixul ce specifica o retea fizica. Inainte ca un pachet sa fie transmis catre softul de routare, el este examinat. Daca este corupt, atunci e ignorat. Daca nu, se consulta o tabela de routare care spune unde urmeaza sa fie trimis. Prin definitie, un router nu propaga pachetele "broadcast", dar un router poate fi configurat sa distribuie tipuri particulare de broadcast. 3.2.5.Pasarele Pasarela (gateway) este un echipament fundamental diferit de un repetor, pod, ruter sau comutator. Ea realizeaz o conversie de protocol pentru toate cele apte niveluri OSI, opernd la nivelul aplicaie. Pasarela permite ca un program de aplicaie, care ruleaz pe un sistem n conformitate cu o anumit arhitectur de reea, s comunice cu un alt program aplicaie ce ruleaz ntr-un sistem corespunztor unei alte arhitecturi de reea. Sarcina unei pasarele este de a face conversia de la un set de protocoale de comunicaie la un alt set de protocoale de comunicaie. Aceasta include urmtoarele funciuni: conversia formatului de mesaj (inclusiv dimensiunea mesajelor i codul de reprezentare a caracterelor) translatarea adreselor (mecanismul de adresare, structura adreselor) conversia de protocol (informaia pentru controlul protocolului la fiecare nivel, segmentarea mesajelor, controlul fluxului, detecia erorilor). Deoarece o pasarel realizeaz funciuni mult mai complexe dect un ruter, ea este mai lent i implic o instalare mai dificil.

20

Funcie pasarel Prezentare Sesiune Transport Reea Legtur Fizic

Reea 1 Figura 18. Structura unei pasarele

Reea 2

Gateways in retele LAN O retea locala poate fi conectata la Internet prin intermediul unui gateway, care este un calculator conectat atit la reteaua locala, cit si la Internet. Datele care trebuiesc trimise spre Internet sint trimise la interfata de retea a computerului gateway, si abia apoi acesta le trimite spre Internet. Invers, datele venite din Internet ajung la gateway, care le va trimite la recipientul corect din reteaua locala. Termenul "default gateway" este utilizat pentru a identifica routerul care conecteaza un LAN la internet. Un gateway face mai mult decit un simplu router, el face si conversie de protocoale intre retele.

Figura 19. Configurarea unei retele LAN ce foloseste un gateway 4.Securitatea retelei 4.1.Protocolul DHCP Dynamic Host Configuration Protocol DHCP - este o modalitate rapida si simpla de a asigna adrese IP unui numar mare de clienti. Exista nevoia de a defini un interval de IP-uri valide si de a le asigna automat clientilor din retea; de asemenea, a aparut nevoia de a defini o durata de viata unui IP. Functionarea DHCP DHCP implementeaza un model client-server si un agent cu rol de releu (relay agent). Acest agent gestioneaza interactiunea dintre clienti si server. Deoarece clientul este principalul partener de comunicatie in aceasta situatie, el initiaza toate sesiunile cu serverul, lucru care are loc in faza de bootare. DHCP are urmatoarele facilitati: - suporta alocarea dinamica - suporta alocarea statica - repartizeaza adrese - suporta repartizarea persistenta - reintegreaza repartitiile expirate In esenta, DHCP este insarcinat cu manipularea a doua seturi de date: repartitiile (IPurile alocate) si fondul de adrese (IP-uri disponibile). Repartitiile sint alocate clientilor conform unei proceduri, care este destul de simpla.

21

Cum primesc clientii numere IP Iata modul de functionare a DHCP din acest punct de vedere: 1. Clientul cere un IP printr-o difuzare de tip DhcpDiscover. Daca clientul are o repartitie persistenta, poate cere acea repartitie initial. 2. Serverul alege un IP din fondul de adrese si intoarce un pachet DhcpOffer cu un IP disponibil atasat. 3. In cazul in care clientul doreste mai multe oferte IP, o va alege pe prima sau pe cea cu repartitia dorita. 4. Clientul difuzeaza un pachet DhcpRequest cu un identificator pentru un server si trece in asteptare 5. Fiecare server care analizeaza pachetul si nu isi detecteaza identificatorul va ignora pachetul. Dupa ce serverul cu identificatorul corespunzator primeste pachetul, el va trimite un DhcpAck (sau DhcpNak - daca IP-ul cerut este deja alocat, ceea ce inseamna ca repartitia a expirat). 6. Dupa ce clientul primeste pachetul DhcpAck, el incepe sa foloseasca IP-ul alocat. In cazul in care primeste DhcpNak, va rula de la inceput secventa de cerere a unui IP. Daca IP-ul reprezinta o problema din punct de vedere al clientului, acesta trimite un pachet DhcpDecline catre server si reia secventa de cerere a unui IP. Functionarea intr-o retea LAN: - in etapa de lansare SO se emite o cerere de alocare IP insotita de adresa MAC a emitatorului catre toata reteaua - va primi un raspuns de la primul server DHCP impreuna cu o adresa IP, masca, gateway-ul si serverele DNS In Universitatea din Suceava,DHCP aloca unui utilizator nou o adresa IP nerutabila cu care nu poate face mai nimic. Trebuie luat legatura cu administratorul de sistem si memorata adresa sa intr-un tabel NAT. NAT Networking Addressing Table tabel de adresare in retea este o solutie care permite ca in zona retelei locale sa se utilizeze exclusiv adrese private. Routerul converteste toate cererile modificand headerul care insoteste pachetul de date a.i. acestea sa apara originate de catre router si nu de sistemul din spatele lui. Avantaje : - exista o singura adresa IP publica si se pot deservi oricate adrese IP private - ofera protectie pentru flood - ignora informatiile care nu adreseaza o adresa din tabela de NAT-are - toti cei din reteaua locala nu exista pentru reteaua Internet un sistem local nu poate oferi un serviciu in afara zonei locale cum ar fi un setarea unui server Se poate defini un DMZ zona demilitarizata a.i. toate sistemele sa primeasca informatii din reteaua WAN indiferent de continutul tabelei de NAT-are. In cazul in care intr-un LAN exista 2 sau mai multe sisteme cu aceleasi adrese IP routerul le ignora cererile ceea inseamna ca nu vor functiona ambele. 4.2.Securizarea retelei Firewall-urile si serverele proxy, ca si criptarea si autentificarea, sint proiectate pentru asigurarea securitatii datelor. Motivatia este simpla: daca se dispune de o conexiune la Internet, teoretic, oricine, oriunde s-ar afla in lume, poate accesa reteaua (in anumite conditii, evident). Daca nu exista nici un mecanism de securitate, orice persoana care are acces la Internet, de oriunde din lume, poate folosi TCP/IP pentru a trece prin gateway-ul retelei locale, catre orice masina din retea. Ideea este de a proteja doua lucruri: datele, stocate in retea si echipamentele hardware, conectate la retea. Intrusii sau hackerii pot intra in retea si pot modifica orice, pot accesa orice fel de date sau chiar pot cauza deteriorari fizice ale sistemelor. Exista multe moduri in care intrusii pot accesa o retea: - exploatind brese de securitate din sistemele de operare si aplicatii - inginerie sociala, care consta in convingerea cuiva, sub diferite pretexte, sa comunice nume si parole asociate. Rolul unui firewall este sa previna patrunderile neautorizate.

22

O alta problema de securitate: blocarea serviciului (denial of service). Are loc cind hackerii nu va permit folosirea normala a propriilor sisteme. Blocare serviciului are multe forme. Un exemplu tipic este inundarea unui serviciu (gen email), adica acelui serviciu ii sint trimise atit de multe date incit devine supraincarcat si se blocheaza sau ruleaza in bucla infinita. Exista mai multe modalitati de protejare a retelei. O metoda ar fi anonimatul: daca nimeni nu stie nimic despre reteaua dv, atunci datele sint in siguranta. Insa este o falsa securitate, pentru ca exista o multime de moduri prin care se poate afla ce se afla pe Internet. Cea mai raspindita forma de securitate se numeste securitatea la nivel de gazda (host security) si se refera la securizarea separata a fiecarei masini din retea. Va bazati pe acest tip de securitate cind setati permisiunile de acces in Windows sau permisiunile UNIX pentru fisiere si directoare. Este suficienat insa o singura bresa pentru ca intreaga retea sa fie deschisa hackerilor. De asemnea, pentru ca securitatea la nivel de gazda nu este aplicata egal tuturor masinilor, pot fi exploatate serviciile unei masini slab protejate pentru a accesa o masina cu securitate puternica. 4.3. Firewalls Un firewall este un computer, un router sau orice alt dispozitiv de comunicatie care controleaza fluxul de date intre retele. In general, un firewall este prima linie impotriva atacurilor din afara retelei. Poate fi implementat: - hardware - este un router special cu filtre aditionale si capacitati de management - software - ruleaza pe un sistem de operare oarecare si transforma un PC intr-un firewall. Conceptual, dispozitivele firewall pot actiona la : - nivelul "Retea" - sint de obicei foarte rapide. Ele controleaza traficul pe baza adreselor sursa si destinatie, precum si a numerelor de port - nivelul "Aplicatie" - nu permit traficul direct intre retele. De obicei ele sint computere care ruleaza servere proxy. Acestea pot implementa proceduri de securitate specifice. De exemplu, se poate configura asa incit sa permita functionarea numai a protocolul de email. Din cadrul aplicatiilor firewall ce ofera o protectie buna la atacurile tipice din retea putem aminti de Zone Alarm, Agnitum Outpost si Firewall-urile integrate din Windows XP si unele variante din Linux. De exemplu in Windows XP se deschide icoana ce reprezinta conexiunea curenta spre Internet si se activeaza firewall-ul.

Figura 20. Activarea firewall-ului din Windows XP Din optiunea Settings se pot configura serviciile ce pot fi accesate de utilizatorii de pe Internet.

23

Figura 21. Serviciile ce pot fi accesate prin Firewall si suportul pentru mesaje ICMP Rolul firewall-urilor Tipul de securitate important este securitatea la nivel de retea. Presupune securizarea tuturor punctelor de acces la retea. Componenta cheia este acest firewall o masina care se comporta ca o interfata intre retea si Internet, avind doar preocuparea securitatii. Un firewall are mai multe roluri: - permite accesul la retea numai din anumite locatii - interzice utilizatorilor neautorizati sa obtina acces la retea - forteaza traficul dinspre retea spre Internet sa treaca prin anumite puncte securizate - previne atacurile de tipul blocarea serviciului - impune restrictii asupra actiunilor pe care un utilizator de pe Internet le poate face in retea Conceptul de firewall presupune canalizarea intregului trafic catre si dinspre retea prin unul sau mai multe puncte care sint configurate pentru a controla accesul si serviciile. Utilizarea firewall-urilor Multe persoane considera un firewall ca fiind o singura masina, ceea ce uneori este adevarat. Exista masini dedicate doar acestei functii. Totusi, termenul firewall se refera mai mult la functiile indeplinite decit la un dispozitiv fizic. Un firewall poate consta din mai multe masini care conlucreaza, sau pot fi folosite mai multe programe cu functie de firewall. Firewall-urile pot sa indeplineasca si alte functii decit simpla monitorizare a accesului la retea. Firewall-urile nu sint invincibile. Ele sint vulnerabile din cauza defectelor de proiectare, sau a implementarii (care necesita timp si bani pentru instalare si configurare). Un firewall ofera un singur punct de implementare a securitatii din retea, deci eventualele schimbari se fac pe o singura masina si nu pe toate celelalte din retea (de ex, se poate interzice accesul FTP anonim). Firewall-urile pot aplica politici de securitate la nivelul intregii retele, interzicind de exemplu accesul la anumite servicii de pe Internet pentru toti utilizatorii din retea. Totusi, orice firewall are limitari. Ele sint utile doar pentru conexiunea retea-Internet. Ele nu opresc persoanele din retea sa faca orice vor altor masini din retea. Ele nu pot proteja impotriva patrunderilor neautorizate daca aveti alte conexiuni, ca un calculator care este conectat printr-un modem la Internet prin intermediul unui ISP (conexiune care nu trece printr-un firewall). Un firewall nu poate preveni multe probleme distribuite prin Internet, cum sint virusii si caii troieni. Exista doua moduri principale de implementare: - construirea unui firewall propriu din servicii de retea elementare.

24

- cumpararea unui produs comercial. La instalarea unui firewall, manual sau comercial, se pot controla mai multe fatete, depinde de administrator daca doreste sau nu activarea lor. Unele din aceste fatete ar fi: - serverele proxy - filtrele de pachete.

4.4. Proxy-uri Solutie care permite accesarea informatiei de dupa un router logic. Reprezinta un sistem de intermediere a traficului, adica primeste cererile, identifica raspunsurile, le memoreaza si le trimite solicitantului. Poseda o adresa IP publica si una privata deci este un sistem cu doua placi de retea. Avantajul este CACHE-ul folosit de proxy. Fiecare pagina are o data si o ora de expirare. De asemenea se poate folosi un proxy transparent in sensul ca cererea din router este redirectata catre un proxy. Serverele proxy Un astfel de server este plasat intre retea si Internet si accepta cereri pentru un serviciu, le analizeaza si le trimite mai departe, in functie de permisiuni. Serviciul de proxy ofera o conexiune cu rol de inlocuitor pentru acel serviciu, motiv pentru care se comporta ca un intermediar (proxy). Serverul proxy se plaseaza la mijloc, ascunde anumite informatii, dar permite desfasurarea serviciului prin el. Ideea este ca, fara proxy, adresa IP a masinii gazda este trimisa in pachete, prin Internet. Hackerii pot determina dimensiunea retelei, de exemplu. Un server proxy schimba adresa IP cu adresa lui si foloseste o tabela interna pentru a redirecta traficul care soseste si care pleaca spre destinatiile corecte. Pentru exterior va fi vizibila o singura adresa IP (a serverului proxy). Serverele proxy sint intotdeauna implementate prin software si nu trebuie sa faca parte dintr-un pachet de firewall, desi sint de obicei incluse. Windows XP suporta impartirea conexiunii la Internet(Internet Sharing) folosind optiunea Network Setup Wizard din Start/Settings/Network Connections. Insa solutia aceasta nu functioneaza intotdeauna. O solutie mult mai buna pentru un server proxy este aplicatia software FreeProxy (www.handcraftedsoftware.org)

Figura 22. Interfata aplicatiei FreeProxy Se configureaza programul prin creearea unui serviciu IP in care se alege placa de retea ce face legarura la Intenet. Sistemul pe care functioneaza aceasta aplicatie are doua placi de retea si se comporta ca un gateway (capitolul 3.2.5. figura 19).

25

Figura 23. Setarea unui gateway Optiunea Permissions ofera selectia unui serviciu Proxy si a drepturilor ce pot fi oferite diversilor utilizatori. Pornirea serverului Proxy se executa prin selectarea optiunii Start/Stop. Odata executata, aplicatia Proxy ramane rezidenta in memorie si porneste automat la deschiderea calculatorului si initializarea sistemului de operare. Pe celelate calculatoare, care au acces prin acest proxy server trebuie realizate cateva setari. Astfel din Control Panel avem Internet Options, Connections si apoi Lan Settings unde trebuie bifata optiunea de folosire a unui server Proxy si introdusa adresa IP impreuna cu portul de acces al acestuia.

Figura 24. Pornirea serverului Proxy 4.5.Filtrele de pachete Un astfel de sistem permite pachetelor sa treaca din retea catre Internet si invers, dar selectiv. Pachetele sint identificate dupa tipul aplicatiei care le-a construit (unele informatii se afla in antet). Antetul unui pachet TCP/IP contine adresele IP sursa si destinatie, porturile sursa si destinatie si asa mai departe. Daca se decide blocarea oricarui trafic FTP, de exemplu, software-ul de filtrare a pachetelor va detecta toate pachetele care au numarul de port 20 sau 21 si le va interzice trecerea. Unii cred ca se poate ocoli un sistem de filtrare schimbind numarul portului, lucru posibil intr-o oarecare masura. Totusi, deoarece software-ul de filtrare este rezident in reteaua dv, el poate determina catre ce interfata se indreapta pachetul si de unde provine. In consecinta, chiar daca numerele de port TCP sint diferite, software-ul de filtrare poate uneori sa blocheze corect traficul. Se poate folosi software-ul de filtrare a pachetelor in mai multe moduri. Cel mai obisnuit, se blocheaza un serviciu, gen FTP sau Telnet. Se pot desemna de asemenea masini care trebuiesc impiedicate sau lasate sa acceseze reteaua de exemplu, daca se constata ca o anumita retea a fost sursa unor probleme, se poate comanda software-ul asa incit sa respinga orice pachet de la acea retea. In unele cazuri se pot bloca toate serviciile, sau se poate permite numai anumitor servicii, gen email, se treaca prin filtru.

26

5.Retele VPN O solutie alternative o constituie o retea VPN (Virtual Private Network). Retelele VPN sint bazate pe o infrastructura accesibila in mod public, cum ar fi Internetul sau reteaua de telefonie. Ele prezinta diferite forme de criptare si au de obicei procedee solide de autentificare a utilizatorului. In esenta, VPN este o forma de WAN; diferenta este utilizare de retele publice mai degraba decit linii private (inchiriate). O VPN are aceleasi servicii intranet ca si WAN, dar suporta si servicii de acces la distanta (liniile inchiriate, din cazul WAN, nu se extind de obicei la case particulare si nu se aplica in cazul calatoriilor). Un utilizator VPN se poate conecta printr-un ISP (Internet Service Provider) in modul obisnuit, eliminind costurile legate de accesul la distante mari. Utilizatorul poate initia o cerere "tunnel" catre serverul destinatie. Serverul autentifica utilizatorul si creeaza celalalt capat al "tunelului". Softul VPN cripteaza datele, le formateaza in pachete IP (pentru compatibiliate Internet) si le trimite prin "tunel", unde sint decriptate la celalalt capat. Exista citeva "tunneling protocol": - Point-to-Point Tunneling Protocol (PPTP) - Layer 2 Tunneling Protocol (L2TP) - IP security (IPsec) 5.1.Point-to-Point Tunneling Protocol (PPTP) Este resultatul cooperariii dintre mai multe firme (3Com, US Robotics, Microsoft etc). Utilizatorii pot sa se conecteze telefonic (dial-in) la furnizorul de servicii Internet (ISP) local si apoi sa se conecteze securizat printr-un tunel virtual la reteaua corporatiei lor. PPTP este un protocol orientat pe modelul client/server, proiectat special pentru asigurarea de tuneluri virtuale prin retele IP utilizind PPP si nivelul 2. PPTP suporta mai multe conexiuni PPP printr-un singur tunel PPTP. Aceste tuneluri virtuale sint denumite in general retele virtuale private (VPN Virtual Private Networks).

Figura 20. Structura PPTP Cea mai uzuala implementare este de a oferi serviciul prin un punct de prezenta (Point of Presence POP) dial-up. Dupa ce conexiunea fizica a fost stabilita si utilizatorul autentificat, PPTP se bazeaza pe PPP pentru crearea diagramelor. Apoi PPTP incapsuleaza pachetele PPP pentru transmisia prin tunelul IP. Canalul de control separat PPTP foloseste doua canale pentru a suporta conexiunea: un canal de date unul de control - ruleaza peste legatura TCP, portul 1723. Acest canal contine informatii referitoare la starea legaturii si mesaje de management. Mesajele de management sint responsabile cu stabilitarea, gestionarea si inchiderea tunelului PPTP. Suportul pentru mai multe protocoale

-

27

O facilitate interesanta a PPTP este suportul pentru protocoale gen NetBEUI, IPX sau AppleTalk. Deoarece PPTP este un protocol de nivelul 2, el include si un antet de mediu de transmisie care ii permite sa opereze prin ethernet sau conexiuni PPP. Autentificarea si securitatea datelor Criptarea si atentificarea datelor nu fac parte din PPTP. Acesta se bazeaza pe functiile protocolul PPP. Tipuri de tuneluri PPTP Calculatorul utilizatorului va determina capatul tunelului: - fie un server de acces de la distanta (Remote Access Server RAS) al ISP-ului - fie chiar calculatorul respectiv. Exista tuneluri voluntare si tuneluri obligatorii. Intr-un tunel voluntar, utilizatorul initiaza conexiunea PPTP catre un calculator din corporatie. In acest caz, ISP nu trebuie decit sa asigure servicii IP elementare. Daca ISP asigura un server RAS, clientul are nevoie doar de PPP. In orice caz, utilizatorul nu are control asupra tunelului. In cazul tunelurilor obligatorii, avantajul este ca folosirea Internetului poate fi controlata de corporatii; de asemenea, au capacitatea de a grupa traficul, mai multi clienti PPP putind fi grupati intr-o singura conexiune PPTP catre intranetul companiei. 5.2.Layer 2 Tunneling Protocol (L2TP) Este asemanator cu PPTP, combinind PPTP cu protoculul Layer 2 Forwarding (L2F) de la firma Cisco. Avanyajul este ca poate fi compatibil cu alte medii de transfer, precum ATM, si cu alte retele pe baza de pachete, gen X.25. L2F La fel ca si PPTP, L2F a folosit PPP ca suport pentru asigurarea conexiunii initiale si a serviciilor precum autentificarea. Spre deosebire de PPTP, L2F a folosit Terminal Access Controller Access- Control System (TACACS) protocol brevetat de Cisco, care ofera autentificare, autorizare si administrare. L2F foloseste si el definitii de conexiuni tunel. Suporta si un nivel suplimentar de autentificare. L2F ofera autentificare la nivel de gateway sau firewall. Suportul pentru IPsec IPsec difera de celelalte servicii pentru ca este o specificatie deschisa care suporta nu numai autentificarea, dar si securitatea. Ca si PPTP, L2TP apeleaza la PPP pentru stabilirea conexiunii. L2TP se asteapta ca PPP sa stabileasca conexiunea fizica, sa faca autentificarea initiala, sa creeze datagramele si, dupa terminarea sesiunii, sa inchida conexiunea. Dar L2TP va comunica cu celalalt nod pentru a determina daca nodul care face apelul este autorizat si daca punctul final doreste sa suporte conexiune L2TP. Daca nu, sesiunea este inchisa. Ca si PPTP, L2TP defineste doua tipuri de mesaje: - de date - de control - folosite pentru a stabili si mentine tunelul virtual si pentru a controla transmisia si receptia datelor. Spre deosebire de PPTP, care necesitat doua canale, L2TP combina canalele de date si de control intr-un singur flux. Intr-o retea IP, acest lucru se prezinta sub forma impachetarii datelor si a mesajelor intr-o datagrama UDP. Datele utile constau in esente din pachetul PPP, minus elementele de incadrare specifice mediului de transmisie. Deoarece L2TP este de nivel 2, el trebuie sa includa un antet pentru mediul de transmisie cu scopul de a-i indica nivelului superior modul in care trebuie transmis pachetul. Aceasta transmisie poate avea loc pe ethernet, retele frame relay, X.25, ATM, sau prin legatura PPP initiala. Pentru reducerea congestionarii retelei, L2TP suporta controlul fluxului. Acesta este implementat intr-un concentrator de acces L2TP (L2TP Access Concentrator LAC), care functioneaza ca server de acces la retea, si un server L2TP de acces la retea (L2TP Network Access Server LNS), care are rolul de a asigura accesul la reteaua corporatiei. Mesajele de

28

control contin informatii privind ratele de transmisie si parametrii zonelor tampon. Comunicindu-si reciproc aceste informatii, serverele LAC si LNS pot controla fluxul de date.

Figura 21. Structura L2TP O alta metoda pentru reducerea incarcarii retelei este compresia anteturilor pachetelor. L2TP suporta tot doua clase de conexiuni, intr-o maniera asemanatoare cu PPTP: tuneluri voluntare si obligatorii. 5.3.IPsec Deoarece protocolul TCP/IP nu ofera nici un fel de protectie, au aparut mai multe metode de a umple acest gol. De aceea, s-a lucrat la un set de protocoale numite IPsec. Documentele pentru aceste standard au fost gindite pentru standardul IPv6 (publicate in 1995), dar au fost modificate pentru adaptarea lor la IPv4. Specificatiile imparteau conceptele solutiei in doua clase: - autentificare - criptare Portiunea de autentificare este tratata printr-un antet de autentificare (Authtentication Header AH), iar criptarea este tratata prin datele utile de incapsulare pentru asigurarea securitatii (Encapsulating Security Payload EPS).

29