Intr in Securitatea Retelelor

Embed Size (px)

Citation preview

  • 8/12/2019 Intr in Securitatea Retelelor

    1/29

  • 8/12/2019 Intr in Securitatea Retelelor

    2/29

    2

    Tehnici de baz care asigur securitatea informaiei n interneti intranet

    Datorit faptului c numrul calculatoarelor era din ce n ce mai mare precum i a

    faptului c la fiecare din acestea se stocau ceva informaii din diverse domenii, a devenitnecesar schimbul operativ de informaii la distan. Astfel au aprut reelele de calculatoare.Astzi echipamentele care se pot conecta la o reea s-au diversificat astfel c dintr-o reea decomunicaii pot face parte calculatoare, laptopuri, imprimante, telefoane, PDA-uri etc.Avantajele imediate ale folosirii unei reele de comunicaii sunt: schimbul de informaii,transferul de date, utilizarea comun a resurselor, partajarea sarcinilor, protecia datelor etc.Realizarea unei reele implic i costuri ns acestea trebuie puse n legtur cu avantajeoferite. Pentru buna funcionare a unei reele de calculatoare trebuie avute n vedere i unelesarcini administrative cum ar fi optimizarea ntreinerii i asigurarea disponibilitii. n cazuldefectrii unor componente singulare reeaua trebuie s fie n continuare disponibil, funciilecomponentelor defecte trebuind s fie preluate de alte componente. Cu ct mai complexe si

    mai mari sunt componentele reelei, cu att devine mai important deinerea de instrumente delucru care sa permit administrarea i intreinerea uoara a reelei. Posibilitatea diagnosticriii intreinerii la distan a reelei faciliteaz service-ul n aceast direcie.

    Comunicaiile ntre echipamentele interconectate fizic i logic ntr-o reea se realizeaz pebaza unor suite de reguli de comunicare i formate impuse pentru reprezentarea i transferuldatelor, numite protocoale. Se folosesc numeroase suite de protocoale dar scopul oricreireele de comunicaii este acela de a permite transmisia informaiilor ntre oricare douechipamente, indiferent de productor, de sistemul de operare folosit sau de suita de

    protocoale aleas. Echipamentele de interconectare (modem, hub, switch, bridge, router,access point) sunt responsabile de transferul informaiilor n uniti de date specifice (cadre,

    pachete, datagrame, segmente, celule) i de conversiile de format ce se impun, precum i deasigurarea securitii comunicaiilor. Probleme specifice de securitate se identific att nnodurile reelei, precum i pe cile de comunicaie (cablu sau mediu wireless).

    Pentru asigurarea securitii trebuie luate msuri n concordan cu tipul reei. Reelele decalculatoare pot fi clasificate dup mai multe criterii, astfel avnd:

    Dupa tehnologia de transmisie putem avea reele cu un singur canal de comunicare(broadcast), reele care dispun de numeroase conexiuni ntre perechi de calculatoareindividuale (punct la punct, pe scurt p2p).

    Dupa mrimea reelei: reele locale LAN, reele metropolitane MAN, de arie ntins

    WAN.n cadul reelelor locale sau de arie larg se disting i unele subtipuri, definite de

    comunicaiile wireless prin unde radio, n funcie de tehnologia folosit, puterea de emisie iaria de acoperire:

    reele personale (PAN Personal Area Network) numite i piconet, asociate tehniciiBluetooth (BTH);

    reele locale wireless (WLAN Wireless Local Area Network) asociate n generalcomunicaiilor n standard IEEE 802.11, denumite si reele WiFi;

    reele wireless de arie larg (WWAN Wireless Wide Area Network) create pe bazatehnologiilor de arie larg (ATM Asynghronous Transfer Mode, WiMax

    Worldwide Interoperability for Microwave Access s.a.).

  • 8/12/2019 Intr in Securitatea Retelelor

    3/29

    3

    Reelele la nivel global formeaz o reea numit Internet. Internet se refer la World WideWeb, reeaua mondial unic de computere interconectate prin protocoalele (regulile) decomunicare Transmission Control Protocol i Internet Protocol, numite pe scurt TCP/IP.

    Intranet-ul este definit ca o legatur semi-permanent ntre un Wan (Wide Area Network)

    i o filial a companiei. Fiind vorba de conexiuni LAN-LAN, riscul din punct de vedere alsecuritii este cel mai mic (se presupune c firmele au ncredere n filialele lor). n astfel decazuri, compania are control asupra reelelei / nodurilor destinaie ct i asupra celei surs.Spre deosebire de Intranet, care este relativ izolat, Extranetul este destinat comunicrii cu

    partenerii, clienii, furnizorii i cu angajaii la distan. Securizarea unei reele de dimensiunimari necesit ndrumri i instrumente adecvate.

    Dupa topologie: reele tip magistral (bus), reele tip stea (star), reele tip inel (ring),reele combinate. Prin topologie se ntelege dispunerea fizica n teren a calculatoarelor,cablurilor i a celorlalte componente care alcatuiesc reeaua, deci se refer la configuraiaspaial a reelei, la modul de interconectare i ordinea existent ntre componentele reelei.

    La instalarea unei reele, problema principal este alegerea topologiei optime i acomponentelor adecvate pentru realizare. Atunci cand se alege topologia unei reele uncriteriu foarte important care se are n vedere este cel al performanei reelei. De asemenea,topologia unei reele implic o serie de condiii: tipul cablului utilizat, traseul cablului, etc.Topologia unei reele poate determina i modul de comunicare a calculatoarelor n reea. ndomeniul reelelor locale sunt posibile mai multe topologii, din care doar trei sunt largraspandite: linie, inel i stea.

    Dupa tipul sistemului de operare utilizat: reele peer-to-peer (de la egal la egal), reelebazate pe server.

    Dupa tipul mediului de transmisie a semnalelor: reele prin medii ghidate (cablu coaxial,

    perechi de fire rsucite, fibr optic), reele prin medii neghidate (transmitere n infrarou,unde radio, microunde).

    Dupa tipul utilizatorilor putem avea reele private (de uz industrial, militar, civil) saupublice.

    Dupa tipul accesului la mediu putem avea ethernet, token ring, token bus, arcnet etc.

    Un exemplu pentru faptul c atunci cnd se vorbete de securitatea comunicaiilor trebuies se in seama de tipul reelei i al comunicaiei este acela c trebuie fcut distincie ntre

    procesele de comunicaie n timp real care se realizeaz n cazul transmisiilor vocale sauvideo i cele de transfer al informaiilor sub form de fiiere. Apar riscuri mari de securitate naplicaiile de tip peer-to-peer (p2p), precum Skype, n care se desfsoar procese decomunicaie n timp real, dar i atacuri la securitatea reelei n paralel cu acestea, fa deserviciul de transfer al fiierelor, care este mai puin critic din punct de vedere al timpului derulare, ceea ce permite efectuarea unor teste de asigurare a securitii sistemului.

    Principalele componente ale unei reele de calculatoare, care asigur funcionalitateaacesteia i care contribuie la asigurarea securitii informaiei n internet i intranet sunt:

    Clieni i ServereAdesea cnd o reea se dezvolta i sunt adugate mai multe PC-uri, unul dintre ele va

    aciona ca un server, un centru de stocare i dispecerizare a fiierelor i aplicaiilor(programelor) utilizate de clieni (utilizatori). Serverele gestioneaz i accesul utilizatorilor la

    echipamentele conectate n reea, partajate de utilizatori (imprimante, periferice etc.).

  • 8/12/2019 Intr in Securitatea Retelelor

    4/29

    4

    Definirea unuia din PC-uri ca i server este util n ideea de a extinde capacitatea unui singurcalculator n direcia stocrii i gestionarii informaiilor partajate, versus extinderea fiecruiPC (raiuni de costuri-performane). Fiecare PC conectat la un server se numete client pentrudifereniere ca i funcie n reea. ntr-o reea nu este neaprat necesar s existe un serverdedicat (numai pentru funcii de server).

    Conexiuni i cablajeExist 3 tipuri primare de cablare (medii fizice) n reele:

    cablu torsadat (Twisted pair = TP), unul dintre standardele industriale cele mairspndite (n Romnia)

    cablu coaxial, asemntor celor din reelele de televiziune (ca i aspect), n curs dedispariie n domeniu, inclusiv n Romnia

    cablu optic (fibra optic), utilizat n conexiunile dintre segmente de reele n reele demare areal (metropolitane etc.), i/sau n domenii agresive (corozive, cu vibraii etc.)reprezentnd un mediu fizic de mare performan (viteze, fiabilitate) dar i un premai ridicat .

    Plcile / adaptoarele de conectare la reele (NIC-urile)NIC-urile, plcile/adaptoare de reea (uzual numite n Romnia) sunt instalate n carcasa

    PC-ului, fiind conectate cu placa de baz, respectiv cu panoul din spate al PC-ului (mufe RJ45). La calculatoarele portabile (notebook-uri) aceste plci sunt de regul inserate nconexiuni (sloturi) accesibile din exterior sub forma unor interfee de tip PCMCI, avndforma cunoscut sub denumirea de PC Card. NIC-urile de tip Ethernet vor putea fi conectatedoar la medii fizice adecvate, respectiv reele rapide sau lente (10/100Mhz). n ultimii ani

    NIC-urile sunt prevzute cu mai multe standarde, sub denumirea de plci combo (conexiunitip Coaxial 10Base2, respctiv UTP/ 10Base-T). Pe cele mai moderne placi de baza din PC-uriexist mai nou moda ncorporrii i a plcilor de tip NIC, ceea ce duce la noi avantaje (pre)dar i dezavantaje (n situaii de defectare a oricrei placi). Unele NIC-uri suport deasemenea conexiuni fr fir, utiliznd tehnologii radio sau IR (infrarou) pentrutransmisiuni prin aer. Aceste NIC-uri au funciuni logice ca i ale celor clasice (fir), avnddiferene majore n partea de interfee fizice / traductori. Standarde precum PCI (PeripheralComponent Interconnect) i ISA (Industry Standard Architecture) sunt disponibile att la

    plcile standard PC, ct i pe plcile de reea pentru portabile (notebook, laptop, agendemanageriale).

    Hub-uri (repetoare)Sunt simple dispozitive active care conecteaz grupuri de utilizatori. HUB-urile sunt

    transparente la traficul de date, fiiere, e-mailuri, informaiile primite pe un port fiind

    distribuite pe toate celelalte porturi active. Este cunoscut ca un dispozitiv "neinteligent", elneopernd activ n aa numitul domeniu de coliziuni (conexiunile dintre PC-uri nefiind tratate,dispozitivul mbuntind doar nivelul semnalelor), motiv pentru care este cunoscut i carepetor. Dat fiind evoluia/scderea preurilor pentru dispozitivele active inteligente (switch-uri, rutere) n acest moment HUB-ul nu mai reprezint o soluie promovat de firmele despecialitate pentru extinderea reelelor de calculatoare, exceptnd situaiile utilizate ca simplurepetor. Ca i repetoare exist i dispozitive dedicate, ele avnd n general i alte elemente deadaptare la extinderi ale reelelor, n funcie de mediul fizic de extensie, cum ar fi spreexemplu extensia n exteriorul unei cldiri a unei reele.

  • 8/12/2019 Intr in Securitatea Retelelor

    5/29

    5

    Puncte de AccesReelele fr fir utilizeaz Puncte de Acces (Acces Point) dispozitive care au funciuni

    asemntoare cu a hub-urilor i, mai nou cu a switch-urilor i a router-elor i interfeespecializate transmisiilor fr fir (aer-aer). Ele acioneaz i ca puni de legtur (bridges)ntre reele "cablate" i reele rapide Ethernet.

    Comutatoare (switch-uri)Reprezint dispozitive active - mai inteligente dect HUB-urile, proiectate pentru a

    gestiona eficient lrgimea de band utilizat de ctre utilizatori i/sau grupuri de utilizatori.Ele pot interpreta adresele din pachetul de date i direciona fluxurile ctre segmentele reelei,fr a produce transmisii oarbe i fr a suprancrca traficul cu pachete de date cudestinaiile necunoscute. Pentru a izola transmisiile ntre porturi, switch-ul stabilete oconexiune temporar ntre surs i destinaie, oprind-o atunci cnd transferul a luat sfrit. Unswitch este similar cu un sistem telefonic cu linii private/personalizate.

    Router-e (Routers)Comparativ cu hub-urile i switch-urile, router-ele sunt dispozitive active mai inteligente.

    Ele utilizeaz adrese pentru pachetele de date pentru a determina care router sau staie delucru va primi urmtorul pachet. Bazat pe o hart a reelei reprezentat ca i o tabel deroutare, router-ele pot asigura cel mai eficient traseu al datelor ctre destinaie. n cazul ncare o legtur ntre dou router-e se defecteaz, router-ele pot reface trasee alternative pentrua pstra fluena traficului de date.

    Dezvoltarea reelelor a condus la impunerea unor standarde universal acceptate de toi,care au scopul de a unifica diverse variante ale tehnologiilor folosite si definete un set dereguli generale. Standardele sunt aprobate de organizaii internaionale, cum ar fi: OSI(International Standards Organisation), ECMA (European Computer Manufacturer'sAssociation), IEEE (Institute of Electrical and Electronical Engineers), ANSI.

    Elaborareastandardelor pentru reele a devenit necesar datorit diversificrii echipamentelor i

    serviciilor, care a condus la apariia de reele eterogene din punctul de vedere al tipurilor deechipamente folosite. ISO a elaborat un model arhitectural de referin pentru interconectareacalculatoarelor, cunoscut sub denumirea de modelul arhitectural ISO-OSI (Open SystemInterconnection).

    Modelul ISO-OSI

    Proiectarea, ntreinerea i administrarea reelelor de comunicaii se poate face maieficient prin folosirea unui model de reea stratificat. Modelul ISO-OSI mparte arhitectura

    reelei n apte nivele (Layers), construite unul deasupra altuia, adaugnd funcionalitateserviciilor oferite de nivelul inferior. Fiecare nivel are rolul de a ascunde nivelului superiordetaliile de transmisie ctre nivelul inferior i invers. Nivelele superioare beneficiaz deserviciile oferite de cele inferioare n mod transparent. Acest model permite realizarea demodule software necesare funcionrii reelei care implementeaz diferite funcii (codare,criptare, mpachetare, fragmentare etc.). Modelul nu precizeaz cum se construiesc nivelele,dar insist asupra serviciilor oferite de fiecare i specific modul de comunicare ntre nivele

    prin intermediul interfeelor. Fiecare producator poate construi nivelele aa cum dorete, nsfiecare nivel trebuie sa furnizeze un anumit set de servicii. Proiectarea arhitecturii pe niveledetermin extinderea sau mbuntirea facil a sistemului.

  • 8/12/2019 Intr in Securitatea Retelelor

    6/29

    6

    n figura de mai jos, calculatoarele A i B sunt reprezentate pe baza modelului OSI.Transferul datelor de la A la B, respectiv de la B la A, se face pe traseele marcate cu liniecontinu.

    Modelul ISO-OSI

    Nivelul fizic(Physical Layer) are rolul de a transmite datele de la un calculator la altulprin intermediul unui canal de comunicaie. Datele sunt vzute la acest nivel ca un ir de bii.Problemele tipice sunt de natur electric: nivelele de tensiune, durata impulsurilor de

    tensiune, cum se iniiaz i cum se oprete transmiterea semnalelor electrice, asigurareapstrrii formei semnalului propagat. La acest nivel natura sursei de informaie (date, voce,audio, video) nu se mai cunoaste, ceea ce face ca procesul de comunicaie s fie considerattransparent.

    Nivelul legaturiide date(Data Link Layer) corecteaz erorile de transmitere aprute lanivelul fizic, realiznd o comunicare corect ntre dou noduri adiacente ale reelei. La acestnivel biii sunt mprii n cadre, adic pachete ncapsulate cu antet (H - header) i marcajfinal (T - trail), care includ adresele sursei (SA - Source Address) i destinaiei (DA Destination Address) pentru a se putea expedia datele ntre calculatoare. Cadrele sunttransmise individual, putand fi verificate i confirmate de ctre receptor.

    Nivelul reea(Network Layer) asigur dirijarea unitilor de date ntre nodurile surs idestinaie, trecnd eventual prin noduri intermediare (routing ). Este foarte important ca fluxulde date s fie astfel dirijat nct s se evite aglomerarea anumitor zone ale reelei. n uneleLAN-uri, funcia nivelului de reea se reduce la cea de stocare (buffering) i retransmisie a

    pachetelor. n WAN-uri, la acest nivel se realizeaz operaia de rutare a pachetelor, adicstabilirea cilor optime de transmisie ntre noduri. Interconectarea reelelor cu arhitecturidiferite este o funcie a nivelului reea.

    Nivelul transport (Transport Layer) realizeaz o conexiune ntre doua calculatoaregazd (host) detectnd i corectnd erorile pe care nivelul reea nu le trateaz (rspunde desigurana transferului datelor de la surs la destinaie). Este nivelul aflat n mijlocul ierarhiei,asigurnd nivelelor superioare o interfa independent de tipul reelei utilizate. Funciile

    principale sunt: stabilirea unei conexiuni sigure ntre doua maini gazd, iniierea transferului,

  • 8/12/2019 Intr in Securitatea Retelelor

    7/29

    7

    controlul fluxului de date i inchiderea conexiunii. La acest nivel mesajele de mari dimensiunipot fi fragmentate n uniti mai mici, cu lungime impus, procesate i transmise independentunul de altul. La destinaie, acelai nivel rspunde de refacerea corect a mesajului prinordonarea fragmentelor indiferent de cile pe care au fost transmise i de ordinea sosiriiacestora.

    Nivelul sesiune(Session Layer) stabilete i ntreine conexiuni (sesiuni) ntre proceseleaplicaiei, rolul su fiind acela de a permite proceselor s stabileasc "de comun acord"caracteristicile dialogului i s sincronizeze acest dialog. O sesiune ncepe doar dac legturantre noduri este stabilit, deci este orientat pe conexiune. Nivelul sesiune este considerat cafiind interfaa dintre utilizator i reea.

    Nivelul prezentare (Presentation Layer) realizeaz operaii de transformare a datelor nformate nelese de entitaile ce intervin ntr-o conexiune. La acest nivel se realizeaz icodificarea datelor (compresie, criptare) i reprezentarea lor n formatul standard acceptat, deexemplu, prin codarea ASCII (American Standard Code for Information Interchange) acaracterelor. Tot aici se supervizeaz comunicaiile n reea cu imprimantele, monitoarele,

    precum si formatele n care se transfer fiierele.La nivelul aplicaie (Application Layer) se implementeaz algoritmii software care

    convertesc mesajele n formatul acceptat de un anumit terminal de date real. Transmisia serealizeaz n formatul standard specific reelei. Nivelul aplicaie nu comunic cu aplicaiile cicontroleaz mediul n care se execut aplicaiile, punndu-le la dispoziie servicii decomunicaie. Printre functiile nivelului aplicatie se af: identificarea partenerilor decomunicaie, determinarea disponibilitii acestora i autentificarea lor, sincronizareaaplicaiilor cooperante i selectarea modului de dialog, stabilirea responsabilitilor pentrutratarea erorilor, identificarea constrngerilor asupra reprezentrii datelor, transferulinformaiei.

    Acestor nivele li se asociaz seturi de protocoale, denumite protocoale OSI. Un protocolde comunicare reprezint un set de reguli care determin formatul i modalitatea n care datelesau informaia pot fi trimise sau primite. Pe lnga modul de mpartire pe vertical, n modelulOSI se mai apeleaz la unul pe orizontal, adic fiecare start este subdivizat pe orizontal - naceste locuri aflandu-se protocoalele. Ca i principiu, un protocol M dintr-un strat 4 alcalculatorului surs va comunica n calculatorul destinaie cu protocolul M din stratul 4 almainii respective.

    Primele trei nivele de la baza ierarhiei (fizic, legatur de date, reea) sunt considerate caformnd o subreea de comunicaie. Subreeaua este raspunztoare pentru realizareatransferului efectiv al datelor, pentru verificarea corectitudinii transmisiei i pentru dirijarea

    fluxului de date prin diversele noduri ale reelei.Modelul OSI este foarte general, pur teoretic i asigur o mare flexibilitate n cazul

    dezvoltrii reelelor prin separarea diverselor funcii ale sistemului pe nivele specifice.Numrul relativ mare de nivele din acest model face necesar utilizarea unui mare numr deinterfee i a unui volum crescut de secvene de control. De aceea, n numeroase cazuriModelul OSI nueste implementat n intregime de productori, nivelele sesiune i prezentare

    putnd s lipseasca (unele din funciile atribuite acestora n modelul OSI fiind preluate de altenivele). Modelul OSI este un model orientativ, strict teoretic.

    Drept exemplu de realizare a unui transfer de date ntre doua maini gazd vom prezentamodul n care se citete o pagin web aflat pe un calculator situat la mare distan. n primul

    rnd utilizatorul lanseaz un program pentru vizualizarea paginilor web (browser). Browser-ul

  • 8/12/2019 Intr in Securitatea Retelelor

    8/29

    8

    este entitatea aplicaie care va "negocia" obinerea paginii solicitate. La nivelul aplicaie se vaidentifica existena resursei cerute de client (clientul este browserul, care-l reprezinta peutilizator) i a posesorului. Se realizeaz autentificarea serverului i se stabilete dac acestaeste disponibil. Nivelul sesiune va stabili o conexiune ntre procesul client i procesul serverapoi nivelul transport se va ocupa de ntreinerea conexiunii i de corectarea erorilor netratate

    la nivelul reea. n final, nivelul reea va asigura transferul datelor n secvene (pachete),stabilind drumul acestora ntre server i client.

    Modelul arhitectural TCP/IP

    Modelul TCP/IP a fost utilizat de reeaua ARPANET i de succesorul acesteia,INTERNET, numele provenind de la protocoalele care stau la baza modelului: TCP(Transmission Control Protocol) i IP (Internet Protocol). Obiectivul central avut n vedere la

    proiectarea reelei a fost acela de a se putea interconecta fra probleme mai multe tipuri dereele, iar transmisia datelor sa nu fie afectat de distrugerea sau defectarea unei pari a reelei,n acelai timp arhitectura reelei trebuind s permit rularea unor aplicaii cu cerintedivergente, de la transferul fiierelor i pn la transmiterea datelor n timp real

    (videoconferine). Suita de protocoale TCP/IP gestioneaz toate datele care circul prinInternet.

    Modelul TCP/IP are patru nivele i este diferit de modelul OSI, dar se pot face echivalrintre acestea.

    Modelul OSI vs. Modelul TCP/IP

    Nivelulde acces la reea(Network Access) nglobeaz funciile nivelelor OSI 1 i 2. Peacest nivel se definesc standardele de reele (Ethernet, Fast Ethernet, GigaEthernet,10GigaEthernet, Token-Bus, Token-Ring, WLAN, WIFI, Bluetooth etc.) i protocoalele

    pentru comunicaii seriale PPP (Point-to-Point Protocol) i SLIP (Serial Line InternetProtocol). Legtura cu nivelul Internet este fcut de dou protocoale de adresare ARP(Address Resolution Protocol) i RARP (Reverse Address Resolution Protocol). ARPcomunic la cerere, pe baza adresei IP a unui echipament, adresa fizic (MAC) de 6 octei aacestuia (RFC 826). RARP furnizeaz la cerere adresa IP dat unui echipament cu adresa

  • 8/12/2019 Intr in Securitatea Retelelor

    9/29

    9

    MAC, pe baza unor tabele de adrese (RFC 903). ARP i RARP se utilizeaz numai ninteriorul unui LAN. Aceste protocoale nu folosesc IP pentru ncapsularea datelor.

    Pe nivelul Internet, se folosesc protocoalele IP (Internet Protocol), ICMP (InternetControl Message Protocol) i IGMP (Internet Group Management Protocol).

    Nivelul internet este axul central al arhitecturii, rolul sau fiind acela de a permitegazdelor s emit pachete n reea i de a asigura transferul lor ntre surs i destinaie(lucreaz asemntor cu nivelul reea din modelul OSI). n versiunea 4 erau definite adrese IPde 4 octei, exprimai n format zecimal cu separare prin puncte (dotted-decimal notation),

    pentru localizarea sistematic a sursei i destinaiei, ntr-o anumit reea sau subreea decalculatoare. Versiunea 6 a protocolului IP (IPv6) definete adrese de 128 de bii, respectiv 16octei, adic un spaiu de adrese extrem de larg. IPv6 nu mai folosete sume de control penivelul Internet, controlul erorilor revenind nivelelor legtur de date i celui de transport.IPv6 include protocoalele de securitate care erau doar opionale n versiunea anterioar a

    protocolului IP. O alt facilitate se refer la utilizarea IPv6 pentru comunicaii mobile (MIPv6

    - Mobile IPv6) care evit o serie de probleme de rutare.Nivelul transport echivalent ca nume i funcionalitate cu nivelul OSI 4 este proiectat

    astfel ncat s permit dialogul ntre entitile pereche din gazdele surs i destinaie. Penivelul de transport se folosesc dou tipuri de protocoale, cu i fr conexiune.

    TCP (Transmission Control Protocol) este un protocol orientat pe conexiune, asemeneasistemelor telefonice. Permite controlul traficului, confirmarea sau infirmarea recepieicorecte a mesajelor, retransmisia pachetelor i ordonarea corect a fragmentelor unui mesaj.La destinaie, procesul TCP receptor reasambleaz mesajele primite, reconstituind dateleiniiale. TCP realizeaz controlul fluxului de date pentru a evita situaia n care untransmitor rapid inund un receptor lent cu mai multe mesaje decat poate acesta s

    prelucreze. Un protocol de transport asemntor TCP este SCTP (Stream ControlTransmission Protocol) care permite transmisia n paralel a mai multor fluxuri(multistreaming), util n numeroase aplicaii de tip multimedia (de exemplu, transmisiasimultan a mai multor imagini dintr-o aplicaie web).

    UDP (User Datagram Protocol) este un protocol de transport fr conexiune, asemntorsistemului potal clasic, mai puin sigur dect TCP dar mai puin pretenios. Acesta estedestinat aplicaiilor care doresc s utilizeze propria secveniere i control propriu al fluxului inu mecanismele asigurate de TCP. Este un protocol folosit n aplicaii pentru carecomunicarea rapid este mai important dect acurateea transmisiei, aa cum sunt aplicaiilede transmitere a sunetului i imaginilor video.

    Nivelul aplicaie din modelul TCP/IP include funciile nivelelor OSI superioare 5, 6 i 7.Nivelul aplicaie conine protocoalele de nivel nalt care ofer direct servicii de reeautilizatorului. Printre aceste protocoale gsim:

    SMTP (Simple Mail Transfer Protocol) permite diferitelor calculatoare care folosescTCP/IP s comunice prin pota electronic (electronic-mail). Acest protocol stabilesteconexiunea punct-la-punct ntre clientul SMTP i serverul SMTP, asigur transferul mesajului

    prin TCP, nstiineaz utilizatorul despre noul mesaj primit, dup care se desface legturadintre client i server.

    POP (Post-Office Protocol) este protocolul prin care utilizatorul i preia mesajele dincsua postal proprie. Spre deosebire de versiunea POP2, POP3 permite accesul de ladistan al utilizatorului la csua sa postal.

  • 8/12/2019 Intr in Securitatea Retelelor

    10/29

    10

    IMAP (Internet Message Access Protocol) versiunea 4 este echivalent ca funcionalitatecu POP3, adic permite clientului preluarea de la distan a mesajelor de e-mail din csua

    postal proprie.

    FTP (File Transfer Protocol) este un protocol de transfer al fisierelor ntre calculatoare,mai precis un limbaj comun care permite comunicarea ntre oricare dou sisteme de operare(WINDOWS, LINUX/UNIX etc) folosind programe FTP pentru client i server. FTPfoloseste dou conexiuni TCP pentru transferul sigur al datelor simultan cu controlulcomunicaiei.

    SFTP (Simple File Transfer Protocol) este o versiune simplificat a FTP, bazat pe osingur conexiune TCP.

    TELNET (Virtual Terminal Connection Protocol) este un protocol de terminal virtualcare permite conectarea unui utilizator de la distan la anumite calculatoare-gazd.

    FINGER (Finger User-information Protocol) este un protocol care permite obinerea deinformaii publice despre utilizatorii unei reele.

    SSH (Secure Shell Protocol) ofer mai multe servicii de reea (post electronic, transferde fiiere, conexiuni la distan s.a.) n mod securizat, folosind algoritmi de criptare.

    BOOTP (BOOTstrap Protocol) este apelat de un utilizator pentru aflarea adresei IP. Acestprotocol foloseste UDP pentru transportul mesajelor.

    DHCP (Dynamic Host Configuration Protocol), succesor al protocolului BOOTP, permiteutilizarea unui numr limitat de adrese IP de ctre mai muli utilizatori. Clientul solicitserverului DHCP o adres IP. Acesta i aloc o adres dintr-un domeniu de adrese cunoscut,eventual i furnizeaz i masca de reea. Alocarea este rapid i dinamic.

    HTTP (HyperText Transfer Protocol), protocolul generic al serviciului de web, este

    folosit de utilizatorii web i de serverele WWW pentru transferul unor fisiere de tip text,imagine, multimedia, n format special (hypertext), prin intermediul unui limbaj de editareHTML (HyperText Markup Language). Varianta securizat a acestuia este HTTPS (HTTPSecure) i ofer protecie fa de tentativele de interceptare a comunicaiei.

    NTP (Network Time Protocol) este cel mai precis protocol de timp din Internet. Acestasincronizeaz ceasurile interne din dou sau mai multe calculatoare, cu o precizie de 1 - 50 msfa de timpul standard oficial.

    SNMP (Simple Network Management Protocol) este folosit pentru supraveghereafuncionrii reelelor bazate pe TCP/IP (controlul statistic al traficului, performanelor,modului de configurare i securizare) .

    IRC (Internet Relay Chat) este un protocol de comunicaie n timp real, fie de tipconferin, cu mai muli utilizatori, fie de comunicare n pereche de tip unul-la-unul. IRCfoloseste TCP i opional TLS.

  • 8/12/2019 Intr in Securitatea Retelelor

    11/29

    11

    Atacuri asupra reelelor de comunicaii

    Conexiunea la Internet reprezint o facilitate dar creeaz de cele mai multe ori mariprobleme de securitate pentru reelele de comunicaii, asupra acestora putnd avea loc diverseatacuri. n funcie de vulnerabilitile reelei, atacurile se pot manifesta pe mai multe planuri:

    accesare neautorizat a reelei sau a unor resurse ale acesteia din interiorul organizaieisau din afara acesteia;

    tentative de perturbare sau de ntrerupere a funcionrii reelei la nivel fizic (prinfactori mecanici, de ntrerupere a unor cabluri sau scoatere din funciune a unorechipamente din reea; factori electrici, de bruiaj n cazul reelelor radio, semnale deinterferen n reelele cablate);

    tentative de ntrerupere sau de ncrcare excesiv a traficului din reea printransmiterea unui numr foarte mare de pachete ctre unul sau mai multe noduri dinreea (flooding);

    atacuri soft asupra echipamentelor de reea care concentreaz i dirijeaz fluxurile nnoduri critice (switch, router, access point etc.) prin modificarea fiierelor deconfigurare i a drepturilor de acces stabilite de personalul autorizat;

    modificarea sau distrugerea informaiei, adic atacul la integritatea fizic a datelor; preluarea i folosirea neautorizat a informaiilor, adic nclcarea confidenialitii i

    a dreptului de autor.

    Atacurile asupra reelelor de comunicaii pot fi clasificate dup mai multe criterii.

    n funcie de locul de unde se execut, atacurile pot fi: locale (local) sau de la distan(remote).

    Atacurile locale presupun spargerea securitii unei reele de calculatoare de ctre unutilizator local, adic o persoan care face parte din reea i care dispune de un cont i de o

    parol de utilizator care i dau drept de acces la o parte din resursele sistemului. De asemenea,persoana respectiv poate s aib cunostine despre arhitectura sistemului de securitate alreelei, putnd astfel lansa atacuri mult mai periculoase, principalele riscuri constnd naccesarea informaiilor la care nu are drept de acces, gsirea punctelor vulnerabile ale reelei

    prin ncrcarea unor programe care s scaneze reeaua.

    Riscul de atac local poate fi redus prin:

    acordarea utilizatorilor locali privilegiile minim necesare efecturii sarcinilor zilnice,potrivit funciei i rolului fiecruia n companie;

    monitorizarea activitilor din reea pentru a sesiza eventualele ncercri de depire aatribuiilor, eventual i n afara orelor de program;

    impunerea de restricii de acces pe cele mai importante echipamente din reea; distribuirea responsabilitilor mari ntre mai muli angajai.Este recomandat ca acordarea privilegiilor de utilizare a resurselor reelei s se fac

    inndu-se seama de nivelul de ncredere, de vechimea n reea i comportamentul membruluirespectiv.

    Atacul la distan (remote attack) este un atac lansat mpotriva unei reele decomunicaii sau a unui echipament din reea, fa de care atacatorul nu deine nici un fel de

    control. Accesul de la distan la resursele unei reele este mai riscant dect accesul din

  • 8/12/2019 Intr in Securitatea Retelelor

    12/29

    12

    reeaua local deoarece n Internet sunt cteva miliarde de utilizatori ceea ce face ca numrulposibililor atacatori externi s fie mult mai mare dect al celor interni. Prin aplicarea uneipolitici de securitate corecte i a unor soluii de securitate performante, riscul atacurilor localepoate fi minimizat.

    Etape n realizarea unui atac la distan:

    Etapa de informare, n care atacatorul trebuie s obin informaii despre administratorulreelei, despre echipamentele din reea, despre sisteme de operare folosite, despre puncte devulnerabilitate, despre topologia reelei, despre politicile de securitate etc. Aceast etap derecunoatere este considerat un atac n sine, fiind un pas precedent oricrui atac informatic.Cea mai mare importan o are colectarea informaiei despre administratorul de reea, aceastaaducnd cele mai multe informaii utile atacatorului. Cnd calculatorul-int deine o soluiede securitate, eforturile de atac sunt diminuate.

    Etapa de testare, care presupune crearea unei clone a intei i testarea atacului asupraacesteia, pentru a se vedea modul n care reacioneaz. Realiznd aceste experimente pe uncalculator-clon, atacatorul nu atrage atenia asupra sa pe durata simulrii iar ansele ataculuireal, care va fi lansat ulterior, vor fi foarte mari. Dac se fac experimente direct pe inta real,

    pentru atacator exist riscul s fie detectat i se pot alege cele mai eficiente contramsuri.

    Etapa de lansare a atacului asupra reelei. Pentru a avea cele mai mari sanse, atacultrebuie s dureze puin i s fie efectuat n intervalele cnd inta este mai vulnerabil.

    Extrem de periculoase sunt atacurile combinate, n care una sau mai multe persoanefurnizeaz informaii din interiorul reelei i altele din exterior lanseaz atacul de la distanfolosind acele informaii. n cazul acestor atacuri mascarea atacului este foarte bun iaransele sistemului de securitate al reelei de a reaciona la timp i eficient sunt mult diminuate.

    n funcie de modul n care acioneaz, ca surs i destinaie, atacurile pot fi centratepeo singur entitate (de exemplu, este atacat un anumit server din reea de pe un singurechipament) sau pot fi distribuite (lansate din mai multe locaii sau ctre mai multe mainisimultan).

    Un alt criteriu de clasificare este acela al interaciunii atacatorului cu informaia obinutn urma unui atac reuit, putnd avea atacuri pasive i atacuri active.

    Atacurile pasive sunt acelea n cadrul carora intrusul observ informaia ce trece prin"canal", far s interfereze cu fluxul sau coninutul mesajelor. Ca urmare, se face doar analizatraficului, prin citirea identitii parilor care comunic i "nvand" lungimea i frecvenamesajelor vehiculate pe un anumit canal logic, chiar dac coninutul acestora este

    neinteligibil. Atacurile pasive pot fi de dou feluri: de citire i nregistrare a coninutului mesajelor, de exemplu, n serviciul de post

    electronic; de analiz a traficului.Atacul pasiv de simpl observare sau de ascultare a traficului (eavesdropping) poate fi

    simplu realizat n reelele wireless cu echipamente de radiorecepie acordate pe frecvena delucru a reelei. Interceptarea pachetelor transmise n reea (packet sniffing) reprezint deasemenea un atac pasiv deosebit de periculos deoarece intrusul este conectat la reeaua decomunicaie (de exemplu, pe un port la unui switch nesecurizat fizic) i poate prelua din

    pachete informaiile transmise n clar.

  • 8/12/2019 Intr in Securitatea Retelelor

    13/29

    13

    Atacurile pasive au urmatoarele caracteristici comune:

    nu cauzeaz pagube (nu se terg / modifica date); ncalc regulile de confidenialitate prin furtul de informaii din reea; sunt avantajate de rutarea pachetelor prin noduri de reea mai puin protejate, cu risc

    crescut; observ modificrile din reea (noi echipamemente introduse, schimbarea,

    configurrilor etc.); sunt greu sau chiar imposibil de detectat.Aceste atacuri pot fi realizate printr-o varietate de metode, cum ar fi supravegherea

    legaturilor telefonice sau radio, exploatarea radiaiilor electromagnetice emise, rutarea datelorprin noduri aditionale mai putin protejate. Pentru contracararea acestor atacuri se dezvoltsisteme de prevenie i detecie a intruilor n reea, fie ca soluii software, fie cu echipamentededicate (de exemplu, prin msurtori de cmp radiat pentru stabilirea ariei de acoperire aunei reele wireless).

    Din punct de vedere al acestor atacuri, reelele optice sunt cel mai bine protejate, fiindpractic imposibil interceptarea traficului fr a se sesiza prezena intrusului. Riscurile celemai mari de atac pasiv, de intercepie a informaiilor din reea (date propriu-zise sau deidentificare) apar n reelele wireless. Reelele cablate, cu cabluri cu conductoare metalice,sunt vulnerabile la atacuri pasive n nodurile de comunicaie de tip hub sau switch. Atacurile

    pasive nedetectate care au ca finalitate preluarea cheilor de criptare reprezint un risc majorpentru reea, ntruct prin necunoasterea cheilor compromise se creeaz bree n sistemul desecurizare a informaiilor prin criptarea traficului.

    Atacurile activesunt acele atacuri n care intrusul se angajeaz fie n furtul mesajelor,fie n modificarea, reluarea sau inserarea de mesaje false, fie prin suprancrcarea reelei cu

    pachete (flooding). Aceasta nseamn ca el poate terge, ntrzia sau modifica mesaje, poates fac inserarea unor mesaje false sau vechi, poate schimba ordinea mesajelor, fie pe oanumit direcie, fie pe ambele direcii ale unui canal logic. Aceste atacuri sunt serioasedeoarece modific starea sistemelor de calcul, a datelor sau a sistemelor de comunicaii.Aceste atacuri se pot clasifica n:

    Mascarada- este un tip de atac n care o entitate din reea (client, server, utilizator,serviciu) pretinde a fi o alta entitate. De exemplu, un utilizator ncearc sa se substituealtuia sau un serviciu pretinde a fi un alt serviciu, n intenia de a lua date secrete(numarul carii de credit, parola sau cheia algoritmului de criptare). O "mascarad"este nsoit, de regul, de o alt ameninare activ, cum ar fi nlocuirea saumodificarea mesajelor. Multe dintre atacurile de acest tip pot fi evitate prin adoptareaunor politici de securitate adecvate, care presupun responsabilizarea utilizatorilor,implementarea unor metode de acces robuste, folosirea unor metode de autentificarect mai eficiente.

    Reluarea - se produce atunci cnd un mesaj sau o parte a acestuia este reluat(repetat), n intenia de a produce un efect neautorizat (autentificarea atacatoruluifolosind informaii de identificare valide, transmise de un utilizator autorizat alreelei). De exemplu, este posibil reutilizarea informaiei de autentificare a unuimesaj anterior. n conturile bancare, reluarea unitilor de date implic dublri i/saualte modificri nereale ale valorii conturilor. Sistemul de gestionare a resurselor i demonitorizare a accesului poate depista intenia de acces fraudulos de pe un anumit

    nod din reea i, pe baza politicii de securitate, poate s l treac n carantin, pe o

  • 8/12/2019 Intr in Securitatea Retelelor

    14/29

    14

    perioad de timp limitat n care se verific existena atacului, i ulterior s i interzictotal accesul n reea pe baza adresei fizice, a celei de reea sau de pe un anumit contde utilizator de pe care s-a produs atacul. De cele mai multe ori acest atac esteconsiderat pasiv, dar dac se iau n considerare efectele pe care le poate avea, inclusivinterceptarea i distrugerea informaiilor transmise prin reea, este mai indicat

    includerea lui n categoria atacurilor active. Modificarea mesajelor - face ca datele mesajului sa fie alterate prin modificare,

    inserare sau tergere. Poate fi folosit pentru a se schimba beneficiarul unui credit ntransferul electronic de fonduri sau pentru a modifica valoarea acelui credit. O altutilizare poate fi modificarea cmpului destinatar/expeditor al potei electronice. Unastfel de atac se ntlneste n reelele wireless bazate pe WEP, cu vulnerabiliti alemecanismului de criptare. Atacatorul reuete s intercepteze pachetele, s decriptezedatele i s modifice informaiile, dup care le cripteaz din nou, cu acelasi algoritm,i corecteaz CRC-ul (componenta de verificare a erorilor) pentru ca datelemodificate s fie considerate valide la destinaie. Acest tip de atac este denumit iatac subtil, fiind extrem de dificil de depistat. Falsificarea datelor i a mesajelor este

    posibil i prin atacul de tip omul-din-mijloc cnd atacatorul se afl ntr-un nodintermediar dintr-un link de comunicare i poate intercepta mesajele transmise desurs substituindu-le cu mesaje proprii, cu informaii false.

    Refuzul serviciului- se produce cnd o entitate nu izbutete s ndeplineasca propriafuncie sau cnd face aciuni care mpiedic o alta entitate de la ndeplinirea proprieifuncii. Acest lucru se realizeaz prin suprancrcarea serverelor cu cereri din parteaatacatorului i consumarea resurselor, astfel nct acele servicii s nu poat fi oferitei altor utilizatori. Ca urmare a acestui atac, conexiunile existente se nchid, fiindnecesar reautentificarea utilizatorilor, atacatorul profitnd de acest moment pentru aintercepta datele de identificare, informaii despre reea i conturi de utilizareautorizat.

    Repudierea serviciului- se produce cnd o entitate refuz s recunoasc un serviciudeja executat. Este evident c n aplicaiile de transfer electronic de fonduri esteimportant sa se evite repudierea serviciului att de catre emitor, ct i de ctredestinatar. Dac utilizatorul neag folosirea serviciului i refuz plata acestuia,furnizorul trebuie s dispun de dovezi solide care s mpiedice repudierea serviciuluin context legal.

    Din aceeai categorie a atacurilor active, fac parte si programele cu scopuri distructive(virus, worm, spy, spam) care afecteaz securitatea echipamentelor i a informaiilor din reea,fie prin preluarea unor informaii confideniale, fie prin distrugerea parial sau total a

    datelor, a sistemului de operare i a altor programe software, i chiar prin distrugeri de naturhardware. Rspndirea acestor programe n reea se face prin diverse servicii de reea maipuin protejate (ex. sisteme de post electronic, de sharing de fiiere, de mesagerie n timpreal etc.) sau prin intermediul mediilor de stocare externe (CD, DVD, removable disk) atuncicnd mecanismele de transfer de fiiere nu sunt verificate cu programe specializate dedetectare a viruilor i a viermilor de reea. De asemenea, rularea unor programe de protecie asistemelor, de tip antivirus sau antispy, devine de cele mai multe ori ineficient dac acesteanu sunt corect configurate i nu dispun de liste actualizate (up-date) cu semnturile celor mainoi virui sau ale altor elemente de atacare a reelei. Dintre aceste programe distructiveamintim urmatoarele:

  • 8/12/2019 Intr in Securitatea Retelelor

    15/29

    15

    Viruii - reprezint programe inserate n aplicaii, care se multiplic singure n alteprograme din spatiul rezident de memorie sau de pe discuri, apoi, fie satureazcomplet spaiul de memorie/disc i blocheaz sistemul, fie, dupa un numar fixat demultiplicri, devin activi i intr ntr-o faz distructiv (care este de regulexponential). Ptrunderea unui virus ntr-o reea de comunicaii o face vulnerabil la

    orice form de atac, tentativ de fraud sau de distrugere. Infectarea se poate producede oriunde din reea. Cei mai muli virui ptrund n sistem direct din Internet, prinserviciile de download, atunci cnd se fac up-date-uri pentru driverele componentelorsau pentru diferite programe software, inclusiv pentru sistemul de operare. De multeori sursele de virui de reea sunt mascate de serviciile gratuite oferite de diferiteservere din Internet, de aceea fiind indicat folosirea up-date-urilor oferite numai defirme consacrate, surse autentice de software, cu semnturi recunoscute ca fiindvalide de ctre sistemele de operare.

    Bomba software - este o procedura sau parte de cod inclus intr-o aplicaie"normal", care este activat de un eveniment predefinit (lansarea n execuie a unui

    program, deschiderea unui document sau fiier ataat transmis prin pot electronic,

    o anumit dat calendaristic, accesarea unui anumit site web etc.). Viermii de reea - au efecte similare cu cele ale bombelor i viruilor. Principalele

    diferene fa de acestea sunt acelea c i schimb permanent locaia fiind dificil dedetectat i c nu se multiplic singuri. Cel mai renumit exemplu este viermeleInternet-ului care a reuit s scoat din funciune un numr mare de servere dinInternet n noiembrie 1988.

    Trapele- reprezint ci de acces la sistem care sunt rezervate n mod normal pentruproceduri de ncrcare de la distan, ntreinere sau pentru dezvoltatorii unoraplicaii. Din cauza faptului c permit accesul nerestricionat la sistem sau pe bazaunor date simple de identificare, acestea devin puncte vulnerabile ale reelei care fac

    posibil accesul neautorizat al unor intrui n reea. Calul Troian- este o aplicaie care are o funcie de utilizare foarte cunoscut i care,ntr-un mod ascuns, ndeplinete i o alt funcie. Un astfel de program este dificil deobservat deoarece nu creeaz copii. De exemplu, un hacker poate nlocui codul unui

    program normal de autentificare prin alt cod, care face acelai lucru, dar, adiional,copiaz ntr-un fiier numele i parola pe care utilizatorul le tasteaz n procesul deautentificare. Contramsurile folosite n acest caz constau n rularea programelorantivirus cu liste de semnturi ct mai complete i prin folosirea unor protocoale decomunicaii i programe securizate pentru accesarea serviciilor de Internet.

    Reelele botnetreprezint un atac extrem de eficient din Internet prin care atacatoriii creeaz o reea din calculatoare deja compromise de o aplicaie de tip malware,

    numite i computere bot, pe care le comand un botmaster. Prin intermediul acesteireele i al programelor de aplicaii de Internet (de exemplu, e-mail, chat IRC Internet Relay Chat), sunt lansate diverse atacuri (spam, spyware, adware, keylogger,sniffer, DDoS s.a.). Aceste reele acumuleaz o putere de procesare extrem de mareconsumnd resursele calculatoarelor cooptate pentru execuia aplicaiilor. n general,atacurile distribuite n reea sunt dificil de urmrit i de anihilat. Controlul reelelor

    botnet se poate face centralizat, peer-to-peer sau aleator. Pentru combaterea acestorreele, este necesar ntreruperea cilor de comand i control al lor.

    O categorie aparte de atac asupra informaiilor stocate sau transmise n reea o reprezint

    atacurile criptografice, prin care se ncearc extragerea informaiilor din mesajele criptate.

  • 8/12/2019 Intr in Securitatea Retelelor

    16/29

    16

    Cnd se transmite un mesaj, pentru asigurarea confidenialitii, acesta este criptat cuajutorul unui algoritm, generndu-se text cifrat (engl. ciphertext). Receptorul autorizat trebuies poat recupera textul clar aplicnd un algoritm asupra textului cifrat. Adversarul, caredispune de textul cifrat dar nu cunoate anumite detalii ale algoritmului aplicat de emitor,trebuie s nu fie capabil s reconstituie textul clar. Operaia prin care emitorul transform

    textul clar n text cifrat se numete criptaresau, uneori, cifrare (engl. encryption). Operaiaprin care receptorul obine textul clar din textul cifrat se numete decriptare sau descifrare(engl. decryption).

    Atacurile criptografice se aplic direct mesajelor cifrate n vederea obinerii informaieioriginale n clar i/sau a cheilor de criptare i de decriptare. tiina care se ocup cu studiulmetodelor de obinere a nelesului informaiilor criptate, fr a avea acces la informaiasecret necesar n mod normal pentru aceasta estre criptanaliza iar criptanalistul este

    persoana care se ocup cu criptanaliza mesajelor cu caracter secret. Scopul metodelor decriptanaliz este descoperirea mesajelor n clar (M) i/sau a cheii (K) din mesajul criptat (C).

    Atacurile criptografice pot fi de mai multe tipuri: Brut (brute force), prin ncercarea tuturor combinaiilor posibile fie de chei de criptare,fie de simboluri din text pentru deducerea textului n clar. Atacul devine ineficient

    atunci cnd lungimea cheii este suficient de mare, astfel numrul de ncercri fiindfoarte mare, depindu-se capacitatea de procesare a celor mai performante sistemede calcul ori durata de procesare criptanalitic fiind mai mare dect perioada devalabilitate a informaiilor transmise.

    Asupra textului criptat (cipher text attack) interceptat, prin analiza cruia se ncearcgsirea textului original sau a cheii de criptare.

    Asupra unui text n clar cunoscut (known plain-text attack), pentru care s-a aflatcriptograma i pe baza cruia se face o extrapolare pentru deducerea altor poriuni dinmesaj.

    Asupra unor texte criptate alese (chosen cipher-text attack), pentru care se obincriptogramele asociate unor texte folosind algoritmi de criptare cu chei publice i seurmreste aflarea cheilor de decriptare.

    Atacurilor sus amintite li se mai adaug un alt tip de atac, i anume aciunea decumprare a cheii, adic aflarea cheii fr nici un efort de criptanaliz, prin alte mijloacedect cele tehnice (santaj la adresa persoanelor care o dein, furt sau scurgeri de informaii dela persoane sau din documente scrise sau n fomat electronic etc.). Acest procedeu este unuldintre cele mai puternice atacuri lansate la adresa unor surse din interiorul reelei. Pentru

    prentmpinarea lui este util responsabilizarea personalului, eliminarea breselor de securitate

    a documentelor, eventual dubla criptare a datelor astfel nct secretul lor s nu depind de osingur persoan.

    Pentru protejarea mpotriva atacurilor criptografice s-au creat algoritmi din ce n ce maicompleci, ca regul general, un algoritm fiind considerat sigur dac cea mai puincostisitoare metod prin care poate fi atacat (ca timp de procesare, spaiu de memorie, pre)este atacul brut. La crearea acestor algoritmi se au n vedere urmtoarele:

    Asigurarea confidenialitii, care are drept obiectiv mpiedicarea nelegerii mesajuluicriptat interceptat de ctre adversar;

    Asigurarea autenticitii, care are ca obiectiv detectarea, de ctre receptor a mesajelorcreate sau modificate de un adversar activ;

  • 8/12/2019 Intr in Securitatea Retelelor

    17/29

    17

    Asigurarea non-repudiabilitii mesajelor, adic emitentul s nu poat nega faptul c atransmis un anumit mesaj, iar receptorul s nu poat crea mesaje care s parautentice;

    Verificarea prospeimii are ca obiectiv detectarea, de ctre receptor, a eventualelorcopii ale unui mesaj (autentic) mai vechi. Este posibil ca un adversar s intercepteze,

    de exemplu, un ordin de transfer de bani n favoarea sa i apoi s transmit bnciimultiple copii ale ordinului respectiv iar fr a verifica prospeimea, banca va efectuade mai multe ori transferul de bani. Doar verificarea autenticitii mesajelor nu arrezolva problema deoarece fiecare copie este identic cu originalul, deci esteautentic.

    Autentificarea entitilor, care are drept obiectiv verificarea, de ctre o entitate, aidentitii entitii cu care comunic.

    Stabilirea cheiiare ca obiectiv obinerea, de ctre partenerii de comunicaie legitimi, aunui ir de bii, numit cheie, ce urmeaz a fi utilizat la asigurarea confideniialitii ila verificarea autenticitii mesajelor. Cheia obinut trebuie s fie cunoscut doar dectre partenerii care doresc s comunice. Autentificarea nu are sens dect dac serealizeaz i verificarea integritii mesajului.

  • 8/12/2019 Intr in Securitatea Retelelor

    18/29

    18

    Soluiile teoretice i practice de reducere/eliminare a pericolelor

    Securitatea unei reele de calculatoare poate fi afectat de mai muli factori, cum ar fi:dezastre sau calamiti naturale, defectri ale echipamentelor, greeli umane de operare saumanipulare, fraude. Primele trei tipuri de ameninri sunt accidentale, n timp ce ultima esteintenionat. Studiile efectuate au artat ca jumtate din costurile implicate de incidente suntdatorate aciunilor voit distructive, un sfert dezastrelor accidentale i un sfert greelilorumane. Acestea din urma pot fi evitate sau, n cele din urm, reparate printr-o mai bunaaplicare a regulilor de securitate (salvri regulate de date, discuri oglindite, limitareadrepturilor de acces). Fr a depinde de mediul fizic prin care se realizeaz (cablu metalic,fibr optic sau mediul wireless) sau de specificul reelei de transmisie a informaiilor (decalculatoare, de telefonie fix sau mobil, de televiziune prin cablu, de distribuie a energieielectrice), securitatea comunicaiilor reprezint un aspect esenial al serviciilor oferite, fiindcritic n cazul informaiilor cu caracter secret din aplicaii fianciar-bancare, militare,guvernamentale i nu numai acestea. Vulnerabilitile reelelor de comunicaii i ale

    sistemelor informatice actuale pot antrena pierderi uriae de ordin financiar i nu numai.Aceste aspecte impun o analiz minuioas a riscurilor i vulnerabilitilor diferitelor reele decomunicaii, precum i gsirea soluiilor, strategiilor, tehnicilor i protocoalelor de securitatecare s previn aceste aspecte neplcute.

    Pentru asigurarea securitii unei reele s-au creat aa numitele servicii de securitate careau scopul de a asigura securitatea aplicaiilor precum i a informaiilor stocate pe suport sautransmise prin reea. Cnd este vorba despre securitatea unei reele apar mai multe aspecte,cum ar fi: securizarea accesului fizic i logic, securitatea serviciilor de reea, secretizareainformaiilor etc.

    n funcie de importana informaiilor, de caracterul public sau privat al reelei de

    comunicaii, indiferent de terminalul folosit (calculator, laptop, telefon mobil, PDA, iPOD,bancomat etc.) se elaboreaz anumite politici de securitate care, pe baza analizei de securitate,exprim cel mai bine principiile care stau la baza adoptrii unei anumite strategii desecuritate, implementat prin diverse msuri specifice, cu tehnici i protocoale adecvate.Pentru o analiz complet a securitii trebuie avute n vedere toate aspectele referitoare la oreea de comunicaii, interne i externe, hardware i software, factorul uman i de tip automat,tipurile de reea, topologiile i mediile de transmisie, protocoalele de comunicaii, aplicaiilerulate, riscurile de securitate i, nu n ultimul rnd, costurile.

    Vulnerabilitile reelelor se manifest pe toate nivelele OSI, fiind necesar adoptareaunor msuri de securitate adecvate fiecrui nivel i fiecrui model de reea n parte.

    Toate acestea arat c trebuie avute n vedere, cu prioritate, dou aspecte principale legatede securitatea reelelor:

    integritatea i disponibilitatea resurselor unei reele, fizice sau logice, indiferent dedefectele de funcionare, hard sau soft, de perturbaii sau de tentative de ntrerupere acomunicaiilor;

    caracterul privat al informaiilor, exprimat ca fiind dreptul individual de a controla saude a influena care informaie referitoare la o persoan poate fi memorat n fisiere saun baze de date din reea i cine are acces la acestea, reeaua fiind responsabil dempiedicarea ncercrilor ilegale de sustragere a informaiilor, precum si de ncercrilede modificare ale acestora.

  • 8/12/2019 Intr in Securitatea Retelelor

    19/29

    19

    Comunicaiile ntre echipamentele interconectate fizic i logic ntr-o reea se realizeaz pebaza protocoalelor de comunicaii. Prin protocolse nelege o suit de reguli de comunicare iformate impuse pentru reprezentarea i transferul datelor ntre dou sau mai multecalculatoare sau echipamente de comunicaie. Se folosesc numeroase suite de protocoale darscopul oricrei reele de comunicaii este acela de a permite transmisia informaiilor ntre

    oricare dou echipamente, indiferent de productor, de sistemul de operare folosit sau de suitade protocoale aleas.

    Un concept de baz, care apare n mecanismele IP pentru autentificare iconfidenialitate, este asociaia de securitate (SA - SecurityAssociation). SA este o relaieunidirecional ntre o surs i o destinaie care asigur servicii de securitate traficului efectuat

    pe baza ei, putnd fi privit ca un ansamblu de date de tip nume de algoritm - cheie, carereprezint capabilitile criptografice comune entitilor participante la asociere, adic grupuride utilizatori autorizai s foloseasc o anumit reea, denumit reea virtual privat(VPN -Virtual Private Network). Protocoalele de securitate pentru reelele de comunicaii suntdefinite pentru a stabili modul n care sunt oferite serviciile de securitate. Aceste protocoale

    de securizare a comunicaiilor pot lucra pe diferite nivele ale modelului OSI, ntre acestearegsind:

    pe nivelul legturii de date: protocoale de tunelare, precum L2TP (Layer2 TunnellingProtocol) care, dei definit pe acest nivel, opereaz de fapt pe nivelul OSI 5, desesiune;

    pe nivelul de reea: IPsec (IP Security) ofer servicii de autentificare, de control alaccesului, de confidenialitate i integritate a datelor;

    pe nivelul de transport: TLS (Transport Layer Security), SSL (Secure Socket Layer),protocolul Handshake de autentificare mutual a clienilor i serverelor i negociereaalgoritmilor de criptare naintea desfsurrii propriu-zise a transmisiei datelor;

    pe nivelul de aplicaie: SSH (Secure Shell), PGP (Pretty Good Privacy), S/MIME(Secure Multipurpose Internet Mail Extension).

    De cele mai multe ori, se definesc suite de protocoale de securitate cum ar fi: IPSec,KERBEROS, SESAME i altele. Implementarea suitelor de protocoale de securitate nreelele de comunicaii se face cu mai multe servere de reea dedicate diferitelor servicii, cumar fi: servere de autentificare, servere de certificare, servere de distribuie a cheilor de criptare,servere de gestiune a cheilor de criptare etc.

    Protocolul IPSec (Internet Protocol Security)

    IPSec este o suit de protocoale pentru securizarea comunicaiilor peste stiva TCP/IP.Aceast suit se bazeaz pe folosirea funciilor matematice i a algoritmilor de criptare iautentificare pentru a asigura confidenialitatea, integritatea i non-repudierea informaiilordin fiecare pachet IP transmis pe reea. IPSec este la ora actual una dintre cele mai folositemetode de securizare a transmisiei pe Internet, alturi de SSL (Secure Sockets Layer) i TLS(Transport Layer Security). Spre deosebire de acestea, protocoalele IPSec se regsesc lanivelul 3 al stivei TCP/IP i la nivelul 3 al stivei ISO-OSI, ceea ce face posibil securizareatuturor aplicaiilor care folosesc stiva TCP/IP. IPSec are o arhitectur de tip end-to-end,compatibil att cu stiva IPv4, ct i cu IPv6, unde integrarea funciilor de securizare estenativ, nc de la proiectarea stivei pe 128 de octei. Un router sau un server pe care sunt

    activate protocoalele de securitate IPsec se numete poart de securitate (securiy gateway)

  • 8/12/2019 Intr in Securitatea Retelelor

    20/29

    20

    sau "zid" de protecie (firewall). n general, asigurarea securitii unei transmisii se realizeazla ambele capete ale cii de comunicaie, cu dou echipamente care folosesc IPSec lucrnd n

    pereche (IPsec peers). Prin suita IPSec pot fi securizate comunicaiile ntre dou sau maimulte calculatoare independente, ntre dou sau mai multe subreele aflate fiecare n spateleunui gateway care se ocup de folosirea funciilor criptografice pentru fiecare subreea aflat

    n administrarea sa, precum i ntre un calculator independent i o subreea aflat n spateleunui gateway. IPSec se bazeaz pe proprietile criptografice ale unor modele precum Diffie-Hellman, RSA sau DSA i a algoritmilor de criptare i autentificare, cum sunt DES, 3 DES,AES, MD5, SHA1.

    IPsec ofer urmtoarele servicii de securitate pe nivelul IP al reelelor TCP/IP:

    integritatea conexiunii - asigur faptul c n procesul de comunicaie nu intervinentiti neautorizate care s modifice datele sau s genereze mesaje false n reea;

    autentificarea sursei de date - permite identificarea sursei i asigurarea autenticitiimesajelor;

    criptarea datelor - asigur confidenialitatea mesajelor transmise i imposibilitateaprelurii neautorizate a informaiilor;

    protecia la atacuri n reea - detecteaz pachetele repetitive, replici ale aceluiaipachet, care se transmit la infinit n reea i pot produce blocaje sau saturarea reelei(flooding).

    IPsec ofer posibilitatea unei comunicri sigure n reelele de arie larg (WAN), naplicaii precum:

    Definirea reelelor virtuale private (VPN Virtual Private Network), n care uzualIPsec este configurat s foloseasc protocolul ESP n modul tunel pentru furnizareaconfidenialitii. Pentru o organizaie cu mai multe reele locale, aflate n diferite

    locaii, traficul intern reelelor locale nu este securizat n timp ce traficul ntre acesteautilizeaz IPsec pentru securizare. IPsec este activat n echipamentele de acces lareeaua de arie larg, de exemplu n gateway, router sau firewall. Operaiile decriptare/decriptare i de autentificare executate de IPsec sunt transparente pentrustaiile de lucru i serverele din reelele locale.

    Accesul securizat de la distan prin reeua public de Internet la un sistem n care esteimplementat protocolul IPsec. Se poate apela la un furnizor de Internet (ISP - InternetService Provider) pentru a obine accesul securizat la o reea privat.

    mbuntirea securitii aplicaiilor distribuite care au o serie de mecanisme desecuritate incluse. Principala caracteristic a IPsec care i permite s securizeze ogam att de larg de aplicaii distribuite (e-mail, transfer de fiiere, acces Web etc.),este faptul c pentru ntregul trafic IP se pot utiliza mecanismele de criptare si/sauautentificare.

    Pentru o asociaie de securitate, ca i identificatori, avem un numr aleator denumitidentificator de securitate (SPI - Security Parameter Index), o adres IP de destinaie i un

    protocol de securitate (AH sau ESP).

    Identificatorul de securitate const ntr-un sir de bii cu semnificaie local, inclus nantetele AH i ESP pentru a permite destinaiei s selecteze SA-ul pentru procesarea

    pachetului recepionat;

  • 8/12/2019 Intr in Securitatea Retelelor

    21/29

    21

    Adresa IP de destinaie este adresa nodului de destinaie al asociaiei de securitate,care poate fi un calculator-gazd (host) sau un echipament de comunicaie al reelei(router, firewall, access point);

    Identificatorul protocolului de securitate indic pentru care protocol, AH sau ESP,lucreaz SA. Dac este necesar utilizarea ambelor protocoale de securitate n

    Internet (AH si ESP), atunci se creeaz i se configureaz legturile dintre dou saumai multe asociaii de securitate.

    Pentru ca n momentul securizrii traficului fiecare entitate s cunoasc parametrii desecurizare pentru fiecare tip de trafic este folosit identificatorul SPI - Security Parameter

    Index, un index pe baza de date SAD. Folosind acest index i valoarea adresei IP dindestinaia pachetului ce urmeaz a fi supus procesului de criptare sau autentificare, fiecareentitate IPSec tie exact ce transformare trebuie realizat pe fiecare pachet IP pentru ca acestas poat fi decriptat la receptor i corect interpretat.

    Procesul de decriptare este asemntor n momentul recepiei unui pachet astfel securizat.n cazul n care sunt mai mult de doi participani la asocierea de securitate, n cazul traficuluide tip multicast, asocierea de securitate este furnizat pentru ntregul grup i este prezent pefiecare sistem participant. Pot exista, deasemenea, mai multe asocieri de securitate pentru unacelai grup de entiti, fiecare cu diverse nivele de securitate n interiorul grupului.

    n funcie de al tipului entitii participante la IPSec putem avea modelul de trafic:

    Site-to-Site sau LAN-to-LAN, n cazul n care entitile sunt dou gateway-uri desecuritate care realizeaz operaii criptografice pentru subreele protejate aflate nadministrarea lor.

    Remote-Access sau Dial-Up VPN, n cazul n care entitile sunt un gateway desecuritate care are n administrare o subreea i un calculator independent care dorete

    s comunice cu acea subreea.

    Aceast manier de clasificare se preteaz n exclusivitate tipului de ncapsulare tunel,neavnd sens pentru tipul transport, n principal datorit faptului c un pachet trimis pe reeaare dou seturi de adrese IP: un set "extern", reprezentat de adresele IP are calculatorului i algateway-ului cruia se adreseaz, i un set de adrese IP "intern", reprezentat de adresa IP aunei maini din interiorul reelei i a unei adrese IP noi a calculatorului, obinut de la acelgateway pentru a avea adresabilitate de nivel IP n interiorul reelei la care acest calculator seconecteaz. Procedeul prin care un calculator obine, n momentul negocierii IPSec, o adresde la gateway pentru a avea acces ntr-o reea intern este numit mode-confign scenariile detip IKEv1 sau configurare remoten cele de IKEv2.

    n momentul negocierii de IKE a parametrilor asocierii de securitate se realizeaz i fazade autentificare mutual sau unilateral a entitilor, existnd mai multe modaliti de a realizaaceast autentificare:

    PSK - Pre-Shared Key : pentru autentificare, fiecare entitate are pre-configurat ocheie secret, o parol. n momentul realizrii negocierii IKE, entitile trimit aceastcheie pe reea, spre a fi verificat de entitile omoloage i verific, la rndul lor, c oanumit entitate-pereche are o anumit cheie secret.

    PKI -Public KeyInfrastructure: pentru autentificare este folosit un sistem de tip PKI.Fiecare entitate are un certificat digital semnat de o autoritate de certificare public

    sau intern companiei, dar de ncredere pentru toate entitile participante n IPSec. n

  • 8/12/2019 Intr in Securitatea Retelelor

    22/29

    22

    faza de autentificare din IKE, fiecare entitate i trimite certificatul digital ctreomologi spre a fi verificat i verific la rndul ei validitatea acelui certificat digital.

    EAP -Extensible Authentication Protocol: la rndul su un framework, de data aceastade autentificare, EAP nu realizeaz autentificare per se, ci ofer o schem de mesajede autentificare ce folosete metode specifice, cum sunt MD5, GTC, TLS, SIM,

    AKA. n faza de autentificare, EAP este folosit ca extensie a protocolului IKEv2,acest framework nefiind suportat n IKEv1.

    Cele mai multe implementri de IPSec ncearc s realizeze pe ct posibil optimizareautilizrii resurselor computaionale disponibile. Un exemplu n acest sens este nchidereatunelului IPSec n cazul n care nu se mai trimit date pentru o anumit durat de timp, saudac lrgimea de band ocupat pentru o anumit conexiune este nul. Dac aceasta esteconfiguraia implicit, pentru anumite conexiuni se poate dori suprascrierea ei i meninereaacelei conexiuni. Una dintre posibilitile puse la dispoziie de standard se numete DPD -

    Dead Peer Detection. Acesta este un mecanism de timp keepalivecare presupune trimiterea

    unui pachet ntre capetele conexiunii, la un interval stabilit.Cu toate "msurile de siguran" luate n cazul IPSec, au fost raportate i unele

    vulnerabiliti n anumite configuraii ale acestuia, acestea putnd fi exploatate de atacatoripentru a sustrage informaii confideniale. Aceste atacuri sunt posibile cnd IPSec foloseteESP (Encapsulating Security Payload) n modul de funcionare tunnel cu opiuneaconfidentiality only, sau opiunea integrity protection oferit de modulul AH sau de un

    protocol de nivel mai ridicat. Dac un atacator poate intercepta i modifica comunicaiileIPSec i ICMP ntre dou servere de tip security gateway, exploatnd aceast vulnerabilitate

    poate lansa atacuri de tip Destination Address Rewriting, IP Options modification i ProtocolField modification, astfel fcnd posibil sustragerea de informaii din datele transferatefolosind IPsec. Ca i soluie este recomandat s se configureze ESP astfel nct s foloseasc

    att opiunea confidentiality, ct i integrity protection i s se foloseasc protocolul AHalturi de ESP pentru a oferi protecia integritii.

    Protocolul Kerberos

    Protocolul Kerberos1a fost proiectat la Massachusetts Institute of Technology (MIT), njurul anului 1984 pentru a proteja serviciile de reea oferite de proiectul Athena. Scopulprotocolului Kerberos era s extind noiunea de autentificare, autorizare i contabilizare amediului MIT.

    Kerberos a fost proiectat pe baza modelului client-server i asigur autentificareamutual, adic att utilizatorul ct i serverul se autentific unul fa de cellalt. nterminologia Kerberos, un domeniu administrativ se numete realm. Se presupune c oricecompanie sau organizaie care dorete s ruleze Kerberos poate crea un realm identificat unic

    printr-un nume. Teoretic, Kerberos poate suporta mai bine de 100.000 de utilizatori. Kerberosse bazeaz pe modelul client / server. Protocolul n sine const dintr-un schimb de mesajentre un client i o serie de servere, fiecare cu o alt misiune.

    1n mitologia greac, cerberul (Kerberos) este numele unui cine de paz cu trei capete al lui Hades, a crui

    misiune era s pzeasc intrarea n lumea de dedesubt.

  • 8/12/2019 Intr in Securitatea Retelelor

    23/29

    23

    Utilizatorii, clienii i serviciile de reea instaniate pe un host n particular se consider nmod tipic parteneri. Fiecare partener este identificat n mod unic de un identificator de

    partener. Un identificator de partener are n componen trei cmpuri, fiecare fiind un irterminat cu null de pn la 40 de caractere. Aceste trei cmpuri sunt:

    Numele partenerului, NAME Numele instanei, INSTANCE Numele realm-ului, REALMMesajele protocolului Kerberos sunt protejate mpotriva atacurilor de ascultare

    (eavesdropping) i de reluare a mesajelor (replay), scopul sistemului Kerberos fiind acela de apermite unui client ce ruleaz n numele unui utilizator anume s se identifice unui serviciusau unui server de aplicaii corespunztor, fr a se necesita trimiterea unor date secrete careulterior s poat fi folosite de un atacator la impersonarea utilizatorului. Pentru a realiza acestlucru, modelul Kerberos necesit existena unui ter de ncredere care servete ca centru dedistribuie a cheilor (KDC) n realm-ul Kerberos. Kerberos utilizeaz tehnici simetrice de

    criptare i ofer un sistem de mesaje criptate numite tichete, care asigur n mod securizatncrederea reciproc dintre dou entiti din reea. Utiliznd Kerberos, parolele nu mai sunttransmise prin reea, nici mcar criptate. n cazul n care un tichet Kerberos este interceptatacesta rmne protejat deoarece este criptat cu algoritmi robusti de criptare. Odat ce oentitate-client obine un tichet ctre un anume server, tichetul este pstrat pe calculatorul local

    pn la expirare, fcnd astfel din Kerberos un sistem de autentificare foarte eficient. Depindede implementare, dar n mod uzual un tichet Kerberos expir dup opt ore. Fiecare entitate dinreea, fie client, fie server, deine o cheie secret, cunoscut doar de ea i de KDC. Aceastcheie constituie dovada identitii unei entiti. Pentru o comunicare sigur ntre dou entitidin reeaua public, KDC genereaz o cheie a sesiunii. Pentru implementarea protocoluluiKerberos trebuie acordat o atenie deosebit stocrii parolelor fiecrui client, motiv pentrucare serverul central trebuie s fie o main foarte sigur. KDC menine o baz de date cuinformaii despre fiecare partener din cadrul sistemului. Deoarece securitatea este foarteimportant, aceast informaie este redus la un minim posibil pentru a efectua cu succesautentificarea. Astfel, dei baza de date Kerberos este la nivel de utilizator, aceasta nu conineinformaii cum ar fi numere de telefon sau adrese, neutilizate n mod curent la autentificare, ciurmtoarele:

    Identificatorul partenerului Cheia master Kp (sau parola dac este utilizator) Data expirrii identitii Data ultimei modificri a nregistrrii Identitatea partenerului care a operat modificarea Timpul maxim de via a biletelor emise partenerului Unele atribute Unele date interne de implementare invizibile la exterior cum ar fi versiunea cheilor,

    versiunea cheii master sau indicatori ctre valori vechi ale nregistrrii.

    Cheia master (Kp) a fiecrui partener trebuie inut secret, de aceea toate aceste chei secodific cu o cheie master a KDC. Pe lng o protecie sporit, aceast metod permitedistribuirea bazei de date ntre servere fr riscul de a fi capturat de un potenial atacator.Cheia master KDC nu se pstreaz n aceeai baz de date, ci se opereaz separat.

    Un centru de distribuie a cheilor are dou pri:

  • 8/12/2019 Intr in Securitatea Retelelor

    24/29

    24

    un server de autentificare (Authentication Server - AS); un server de alocare a tichetelor (Ticket Granting Server - TGS).AS i TGS sunt componente separate logic dar pot fi procese care ruleaz pe aceeai

    main. Aceasta trebuie s fie protejat cu grij i securizat fizic, deoarece un intrus ar putea

    compromite uor ntreg sistemul de la acest nivel. Un tichet este un certificat emis de KDC icriptat cu cheia master a serverului. Printre altele, un tichet conine:

    Cheia de sesiune care va fi utilizat pentru autentificarea ntre client i server Numele partenerului ctre care cheia de sesiune a fost emis Un timp de expirare dup care cheia de sesiune nu mai este validPentru nelegerea principiul de funcionare a protocolului, explicm noiunile:

    Serverul TGS (Ticket Granting Server) ofer tichete de tip sesiune pentru accesareaaltor resurse. De obicei, TGS ruleaz n KDC;

    Tichetul TGT (Ticket Granting Ticket) reprezint un jeton de validare a unui tichetKerberos care atest faptul c o entitate a fost deja autentificat i ne asigur cutilizatorii nu mai trebuie s reintroduc parola dup un login iniial, pn la expirareatichetului;

    Tichetul de sesiune ST (Session Ticket) reprezint un jeton de sesiune care permiteaccesul la resurse protejate. Pentru accesarea oricrei aplicaii care utilizeazKerberos este necesar un tichet de sesiune valid.

    Paii protocolului Kerberos sunt (a se vedea figura de mai sus):

    pasul 1

    Utilizatorul unui sistem client, utiliznd un username i o parol sau un smart card, seautentific fa de server-ul de autentificare (AS din KDC). Clientul de login furnizeaz ASnumele, iar AS caut intrarea corespunztoare utilizatorului n baza de date KDC.

    pasul 2

    Cu parola cerut de client utilizatorului se va cripta TGT. Dac cheia derivat din parolautilizatorului poate decripta cu succes TGT, acestuia i se permite accesul. Pe partea de client,

    TGT-ul este memorat pentru folosire ulterioar i anume pentru a obine bilete pentru

    1 2 3 4

    5

    6

  • 8/12/2019 Intr in Securitatea Retelelor

    25/29

    25

    autentificarea n servicii de reea particulare. Scopul principal al TGT este deci s faciliteze osingur autentificare pentru utilizatori. Parola este astfel cerut o singur dat, i nu de fiecaredat cnd se cere accesul la un serviciu.

    pasul 3

    Biletele sunt eliberate de TGS-ul specificat n TGT-ul primit de utilizator. Pentru a obineun bilet, clientul trimite o cerere ctre TGS.

    pasul 4

    Dac TGS consider att biletul ct i autentificatorul valid, biletul este returnat.

    Mesajul include numele serviciului cerut, TGT-ul i autentificatorul. Acesta din urmeste o informaie ce poate proba c a fost generat recent utiliznd cheia de sesiune de ctreclient i server mpreun. n particular, autentificatorul conine numele utilizatorului, adresade reea a clientului i timpul curent, fiind criptat cu cheia de sesiune returnat n TGT.Autentificatorul descurajeaz atacurile replay.

    pasul 5Clientul creeaz un alt autentificator i l trimite mpreun cu biletul de serviciu

    serverului.

    pasul 6

    Dac se cere autentificare reciproc, serverul returneaz un autentificator.

    Aa cum a fost descris pn acum, modelul Kerberos nu ofer dect serviciul deautentificare. n sine, el nu ofer informaii despre autorizarea clientului n a folosi anumiteservicii de reea. n general, sunt trei posibiliti pentru atingerea problemei autorizrii, i

    anume: baza de date Kerberos ar putea conine informaii de autorizare pentru fiecare serviciu

    i s emit bilete doar utilizatorilor autorizai. un serviciu dedicat poate menine informaiile de autorizare prin liste de acces pentru

    fiecare serviciu i permiterea clientului s obin certificate sigilate de apartenen lalist. n acest caz clientul ar prezenta serviciului certificarea n locul biletuluiKerberos.

    fiecare serviciu poate menine propria informaie de autorizare cu ajutorul opional alunui serviciu care stocheaz aceste liste de acces i ofer certificri de apartenen lalist.

    Modelul Kerberos se bazeaz pe faptul c fiecare serviciu cunoate cu exactitate cine suntutilizatorii si i ce form de autorizare este potrivit pentru acetia. n consecin Kerberosfolosete cea de-a treia metod. Pentru simplificarea implementrii celei de a treia metode,Kerberos folosete modelul de autorizare bazat pe liste de control al accesului. Orice serviciucare consider c i se potrivete acest tip de autorizare poate ncorpora a bibliotec cu funciiadecvate. Utilizarea acestui model presupune c serviciul verific dac o identitate verificataparine unei liste de acces.

    Primele trei versiuni ale Kerberos au fost folosite doar n cadrul MIT, n prezentnemaifiind folosite. Prima versiune fcut publica a fost Kerberos V4, versiune ce a cunoscuto rspndire important n afara MIT. Deoarece unele medii necesitau funcionaliti

    neacoperite de Kerberos V4, iar altele aveau o structur diferit de modelul MIT, n 1989 a

  • 8/12/2019 Intr in Securitatea Retelelor

    26/29

    26

    nceput lucrul la Kerberos V5. n septembrie 1993, Kerberos V5 a fost specificat ca standardInternet n RFC 1510 [KOHL93]. MIT a dezvoltat i testat Kerberos V5 pe Ultrix, SunOS,Solaris i Linux, fiind portat i pe alte sisteme de ctre teri. Dei similare ca i concept,Kerberos V4 i V5 sunt substanial diferite i chiar sunt n competiie pentru dominaia pe

    pia. Pe scurt, Kerberos V4 are o baz de instalare mai mare, este mai simplu i are o

    performan mai mare dect V5, ns lucreaz doar cu adrese IP. Kerberos V5 pe de alt parte,are o baz de instalare mai redus, este mai complicat i implicit mai puin eficient, darprezint mai mult funcionalitate dect V4.

    n ciuda faptului c este disponibil codul surs pentru Kerberos V4 i V5, MIT nu-lsusine oficial i nu ofer suport. Unele companii ns ofer contra cost versiuni comerciale deimplementri Kerberos. Informaii despre versiunile freeware i comerciale se gsesc nKerberos FAQ publicat periodic n grupul de tiri comp.protocols.kerberos.

    Printre protocoalele criptografice implementate de Kerberosse afl: Protocolul Needham-Schroeder, Protocolul Kerberos V4.

    Slbiciunile lui Kerberos

    Utilizarea sistemului Kerberos mbuntete securitatea aplicaiilor n reea dar, prezinti unele deficiene:

    Dependena de criptosistem: implementarea de referin de la MIT pentru KerberosV4 utilizeaz DES pentru a codifica mesajele. nainte ca restriciile de export alesistemelor criptografice s fie ridicate, rspndirea utilizrii lui Kerberos a fost destulde dificil.

    Dependena fa de protocolul Internet: Kerberos V4 necesit utilizarea adreselor detip IP, ceea ce l face nepotrivit n anumite medii.

    Ordinea octeilor n mesaj: n Kerberos V4, host-ul care trimite mesajul ordon octeiin conformitate cu ordinea sa natural. Receptorul este responsabil de a re-ordonaocteii pentru a se potrivi modului su nativ. n timp ce acest lucru va uuracomunicarea ntre host-uri cu aceeai ordine a octeilor, comunicarea cu un tip diferitde host poate afecta interoperabilitatea.

    Timpul de via al tichetului: limita de via de aproximativ 21 de ore a unui ticheteste un neajuns major n Kerberos V4, deoarece mpiedic acordarea de tichete unorsarcini care ruleaz mult vreme.

    naintarea autentificrii: Kerberos V4 nu permite ca un tichet emis unui client de peun host s fie trimis altui host sau utilizat de alt client.

    Numirea utilizatorilor: n Kerberos V4, numele sunt compuse din trei componente:nume, instan i domeniu, fiecare avnd maxim 40 de caractere, aceste dimensiunidovedindu-se prea mici pentru unele aplicaii.

    Necesitatea autentificrii inter-domenii Dubla criptare: TGT-ul emis de AS este codificat de dou ori cnd este returnat la

    client i numai o dat cnd este trimis la TGS. Autentificarea mesajului: algoritmul de sum de control din Kerberos V4 nu este

    documentat sau publicat, de aceea nu exist dovezi despre slbiciunea sau tria sa.Totui, faptul c un algoritm nu a fost spart pn n prezent nu nseamn c algoritmuleste sigur.

  • 8/12/2019 Intr in Securitatea Retelelor

    27/29

    27

    n Kerberos V5, multe dintre probleme prezentate anterior au fost luate n seam laproiectarea acestuia. Una din marile probleme este aceea c sistemul Kerberos se bazeaz ncontinuare pe parole bine alese i pe faptul c acestea sunt inute secrete. Dac un atacator

    poate primi acces la parola unui utilizator, Kerberos nu poate distinge ntre cei doi. Oproblem oarecum nrudit a Kerberos V5 este i faptul c nu e rezistent la atacuri reply.

    Protocolul SESAME

    Protocolul SESAME (Secure European System for Applicxations in a MultivendorEnvironment) este rezultatul unui proiect al Asociaiei Fabricanilor Europeni de Calculatoare(ECMA European Computer Manufacturer Asociation) propus pentru optimizarea iextinderea protocolului Kerberos pentru controlul distribuit al accesului n reea. SESAMEfoloseste o tehnic de autorizare i control al accesului similar celei aplicate de protocolulKerberos, cu autentificare a clientului de ctre AS. Suplimentar, este necesar i autentificarea

    de ctre un server de privilegii (PAS Privilege Attribute Server) care elibereaz un certificatde privilegii (PAC Privilege Attribute Certificate) dup prezentarea unei dovezi deautenticitate. Certificatul este semnat cu cheia privat a serverului emitent. n certificat sespecific identitatea i rolul utilizatorului, grupul organizaional cruia i aparine, permisiunii restricii impuse, condiii de utilizare a certificatului. Dup obinerea certificatului, clientulse adreseaz serverului KDS (Key Distribution Center Server), conform RFC 3634, pentruobinerea tichetului de serviciu.

    SESAME a adoptat terminologia introdus de cadrele de securitate ISO/IEC. nparticular, se folosete termenul departenerpentru a referi o persoan sau entitate nregistrati autentificabil. Cnd joac un rol activ (spre exemplu cnd solicit acces), partenerul senumete iniiator. Cnd joac un rol pasiv (spre exemplu este accesat), partenerul se numete

    int. Un serviciu este un set abstract de funcionaliti care poate fi implementat de un numrde servere separate. Referindu-ne la modelul client / server, componentele aplicaiei client

    joac rolul de iniiatori comunicnd cu componentele aplicaiei server care joac rolul deint.

    Obiectivul primar al proiectului SESAME este producerea de tehnologie pentru controlulaccesului n sisteme distribuite, adic s ofere servicii de autentificare, control al accesului,confidenialitate i integritate a datelor.

    Arhitectura sistemului SESAME folosete o ierarhie de chei cu dou niveluri:

    o cheie simpl - stabilit i utilizat ntre un SACM iniiator i PVF-ul SACM-uluiint, pentru a proteja PAC-urile corespunztoare precum si informaiile de stabilire acheilor.

    o cheie de dialog - derivat din cheia simpl cu o funcie de dispersie cu sens unic(one-way function). Scopul acesteia este de a proteja datele schimbate ntr-un contextde securitate. Pentru protecia integritii i a confidenialitii se pot stabili chei dedialog separate, permind ca mecanisme cu puteri de criptare diferite s fie utilizateconform cu legislaia local.

    SESAME este proiectat pentru sisteme deschise, cu echipamente de la diferii productori(multi-vendor), pentru servicii de autentificare, de confidenialitate si integritate a datelor, deautorizare si control al accesului n aplicaii distribuite n reea.

  • 8/12/2019 Intr in Securitatea Retelelor

    28/29

    28

    n modelul SESAME se folosete o tehnic similar cu Kerberos pentru autorizare icontrolul accesului. Dac un client dorete s utilizeze un serviciu, el nu trebuie doarautentificat de AS, ci drepturile sale autentificate de un server de privilegii (PAC). n

    principiu, un PAC const att din privilegiile utilizatorilor ct i informaia de controlcorespunztoare. Privilegiile utilizatorilor sunt date precum identitatea utilizatorului, rolul,

    grupul organizaional, permisiunile de securitate, iar informaiile de control spun unde i cndse poate folosi PAC-ul i dac poate fi delegat sau nu. PAC este conceptual similar cu uncertifica de control al accesului, aa cum se specific n (ISO / IEC, 1993b). n modelulSESAME, un PAS genereaz un PAC la prezentarea unei dovezi de autentificare, iar PAC-uleste semnat digital cu cheia privat a PAS-ului corespunztor.

    Printre versiunile modelului SESAME se evideniaz SESAME V3 care folosetecriptografia cu chei publice, oferind o posibilitate de a genera i distribui certificate de chei

    publice.

    Modelul poate fi descris astfel:

    pasul 1

    se Aflat la o staie de lucru pentru a se loga, clientul prezint numele, parola i rolulsolicitat. Mesajul KRB_AS_REQ ajunge la AS, solicitndui-se un TGT. Formatul mesajuluieste aproximativ acelai cu cel din cadrul protocolului Kerberos.

    pasul 2

    AS genereaz un tichet PAS i o cheie simpl corespunztoare i returneaz mesajulKRB_AS_REP lui APA. Schimbul Kerberos AS are ca rezultat achiziia unui bilet PAS i acheii simple corespunztoare, care sunt depozitate n SACM la partea iniiatoare. De acumnainte, toate interaciunile ntre DSS i client sunt efectuate de SACM-ul iniiator.

    pasul 3

    SACM-ul iniiator trimite un mesaj KRB_PAS_REQ ctre PAS. Mesajul include atttichetul PAS ct i rolul utilizatorului. Lund n calcul rolul solicitat, PAS-ul genereaz unPAC, l semneaz cu cheia sa privat i n plus genereaz un bilet KDS.

    pasul 4

    PAS-ul returneaz un mesaj KRB_PAS_REP SACM-ului iniiator, iar acest mesajinclude att PAC ct i biletul KDS. n plus fa de acestea, mesajul poate include valori decontrol necesare dac PAC-ul este delegabil. Mesajul KRB_PAS_REP este codificat cu cheiasimpl cunoscut de SACM-ul iniiator i de PAS. SACM-ul iniiator pstreaz toateinformaiile primite pn acum, n spe biletele PAS i KDC, PAC-ul, valorile de control i

    cheia simpl. Un program de manipulare a utilizatorilor poate accesa atributele n PAC prinapeluri API corespunztoare, aa nct spre exemplu, un utilizator poate fi informat cu ceprivilegii lucreaz n mod curent. Cu condiia ca aceti pai de iniializare au fost parcuri cusucces, orice aplicaie pe partea iniiatorului poate invoca componenta SACM prin apeluricorespunztoare. Dac pentru orice motiv PAC-ul memorat de SACM nu este valid sau estenepotrivit, SACM solicit un nou PAC de la PAS.

    pasul 5

    Dac un client dorete s foloseasc un server de aplicaii specific pe partea int, el cereSACM-ului iniiator s solicite un bilet corespunztor prin trimiterea mesajuluiKRB_TGS_REQ ctre KDS.

  • 8/12/2019 Intr in Securitatea Retelelor

    29/29

    29

    pasul 6

    Dac KDS are o cheie secret cu PVF-ul corespunztor SACM-ului int, KDS-ulreturneaz un mesaj KRB_TGS_REP ctre SACM-ul iniiator.

    pasul 7

    SACM-ul iniiator genereaz un mesaj SES_INIT_CTXT care conine un bilet deserviciu, un pachet coninnd seminele cheilor de integritate i confidenialitate, precum iPAC-ul. Cnd protocolul de comunicaie transmite marcajul de stabilire a contextului de laSACM-ul iniiator la cel int, acesta din urm l nainteaz PVF-ului su pentru verificare.PVF-ul proceseaz informaia pentru a extrage cheia simpl i utilizeaz pachetul cheii dedialog pentru a genera dou chei de dialog, i anume cheia de confidenialitate i cheia deintegritate.

    pasul 8

    Dac biletul este valid i dac se solicit autentificare reciproc, SACM-ul intreturneaz SACMului iniiator n, mesajul SES_INIT_CTXT_COMPLETE. Acum estestabilit un context de securitate ntre SACMurile iniiator i int, orice aplicaie putnd folosiacest context pentru transmisie de date. Dup ce aplicaia a terminat, se solicit terminareacontextului prin trimiterea SES_CTXT_ABORT.

    SESAME V3 ofer autentificare, confidenialitate, integritatea datelor i servicii deautorizare i control al accesului. Drept urmare, SESAME este o alternativ interesant laKerberos. Un alt avantaj este faptul c SESAME nu este un sistem proprietar. n schimb,rdcinile sale sunt n munca ECMA i nu este legat de o platform specific sau protocolanume. De la nceput, SESAME a fost proiectat pentru un mediu multi-vendor, iar acestobiectiv se dovedete util cnd se realizeaz integrarea unui sistem n organizaii mari sauclustere de organizaii cooperante.

    Acestor protocoale li se mai adaug i altele, cum ar fi: Protocolul RADIUS, ProtocolulDIAMETER, Protocolul de Autentificare Extins (EAP).