1

ADMISTRARE DE RETEA

• Bucos Constantin Marian • Betej Bogdan Ilie • Cater Gheorghe • Boicean Oana •

Universitarea ”Politehnica” Timisoara

Facultatea de Electronica si Telecomunicatii Departamentul Comunicatii

Ianuarie 2004

Bucos Constantin Marian – capitolele 2, 3

Betej Bogdan Ilie – capitolul 5

Cater Gheorghe – capitolul 6

Boicean Oana – capitolul 4

1. Cuprins

1. Cuprins...................................................................................................................1

2. Administrarea configuratiei - Administrarea adreselor retelei...............................2

2.1. Rolul adreselor de retea...................................................................................2

2.2. IP Internet Protocol..........................................................................................3

2.3. IPX Internet Packet Exchange.........................................................................3

2.4. Structura claselor de adrese IP.........................................................................4

2.5. Servicii de numire DNS...................................................................................5

2.6. Functionarea sistemului DNS..........................................................................5

3. Controlul congestiei................................................................................................6

3.1. Principii generale ale controlului congestiei...................................................6

3.2. Tipuri de algoritmi pentru controlul congestiei .............................................7

3.3. Politici pentru prevenirea congestiei...............................................................7

3.4. Formarea traficului..........................................................................................8

3.5. Algoritmul galetii gaurite................................................................................8

3.6. Imprastierea pachetelor...................................................................................9

4. Administrarea conturilor de utilizator.....................................................................9

4.1. Conturi de utilizator........................................................................................9

4.2. Autentificarea.................................................................................................10

2

4.3. Protocolul Kerberos.........................................................................................12

5. Administrarea performantelor.......................................................................................14

5.1. Surse de tensiune de rezervă (UPS) ................................................................14

5.2. Protectia datelor...............................................................................................15

5.3. Tratarea erorilor..............................................................................................16

5.4. Administrare platforme software....................................................................17

5.5. Administrarea hardware..................................................................................20

6. Administrarea securitatii...............................................................................................20

6.1. Amenintari de securitate.................................................................................20

6.2. Firewall-uri.....................................................................................................21

6.3. Virusi si alte tipuri de paraziti........................................................................27

7. Biblografie....................................................................................................................31

2. Administrarea configuratiei - Administrarea adreselor retelei

Conform [1] atribuirea adreselor de retea statiilor retelei reprezinta una dintre

primele sarcini pe care trebuie sa le indeplineasca administratorul unei retele in procesul de

configurare a acesteia. Acest proces presupune si pastrarea unei liste cu adrese de retea

pentru realizarea modificarilor ce apar de-a lungul timpului.

2.1. Rolul adreselor de retea

Intr-o retea fiecare statie este identificata printr-o adresa unica, denumita adresa de

control acces media (MAC - Media Access Control Address) sau adresa fizica. Aceasta

adresa, ce este atribuita de producatori fiecarei placi de retea, este pe 48 de biti si permite

trimiterea mesajelor catre statia pe care o identifica. Primii 24 de biti ai adresei reprezinta

producatorul , iar urmatorii 24 sunt atribuiti succesiv.

De asemenea retelele folosesc adrese logice pentru a identifica statiile si pentru a

facilita trimiterea de mesaje intre retele. Aceste adrese logice sunt denumite uzual adrese de

retea, si sunt formate dintr-un numar de retea si un numar de statie. Numarul de retea

identifica unic segmentul de retea caruia ii apartine statia, iar numarul statiei identifica unic

statia dintr-un segment. Fiecare protocol de retea utilizeaza propria schema de adresare

logica a retelei. [1]

3

2.2. IP Internet Protocol

Adresele folosite in protocolul IP sunt numere pe 32 de biti. Fiecare calculator din

retea trebuie sa aiba un numar unic. Daca reteaua este locala si nu are conexiune TCP/IP cu

alte retele se pot alege numere dupa cum se doreste. Insa, pentru masini legate la Internet,

numerele sunt date de catre o organizatie centrala, si anume NIC (Network Information

Center). Pentru citirea mai usoara, adresele IP sunt impartite in patru numere de 8 biti numite

octeti. Alt motiv pentru care se foloseste aceasta notatie este ca adresele IP sunt impartite in

numere de retea, care sunt continute in octetii din fata, si numere de gazde, care reprezinta

restul. Cand cereti de la NIC adrese IP, nu veti obtine cate o adresa pentru fiecare gazda pe

care veti vrea sa o folositi ci veti obtine un numar de retea si veti putea folosi toate adresele

IP valide in cadrul acestei retele. In functie de dimensiunea retelei, partea din adresa IP care

reprezinta numarul de gazda poate fi mic sau mare. Conform [2] exista urmatoarele clase de

retele:

• Clasa A cuprinde retelele de la 1.0.0.0 pana la 127.255.255.255. Numarul de retea

este continut in primul octet. Aceasta ofera un 24 de biti pentru numarul gazdei,

permitand in jur de 16 milioane de gazde.

• Clasa B contine retelele de la 128.0.0.0 pana la 191.255.255.255; numarul de retea

este in primii doi octeti. Aceasta permite 16382 retele cu cate 65024 gazde fiecare.

• Clasa C contine retelele de la 192.0.0.0 pana la 223.255.255.255 cu numarul de retea

fiind continut in primii trei octeti. Aceasta permite existenta a aproape 2 milioane de

retele cu cate 254 de gazde fiecare.

• Clasele D,E si F contin adrese intre 224.0.0.0 pana la 254.0.0.0 si sunt fie

experimentale fie sunt rezervate pentru viitor si nu specifica nici o retea.

2.3. IPX Internet Packet Exchange

Netware IPX este un protocol bazat pe datagrame (fara conexiune). Termenul fara

conexiune inseamna ca atunci cand o aplicatie foloseste IPX pentru a comunica cu alte aplicatii

din cadrul retelei, nu este stabilita nici o conexiune sau cale de date intre cele două aplicatii.

Deci, pachetele IPX sunt trimise catre destinatiile lor, dar nu se garanteaza ai nici nu se verifica

faptul ca acestea ajung sau nu la destinatie.

4

In cazul retelelor ce au la baza protocolul IPX fiecare segment de retea (subretea) are

alocat pe server un numar de retea. Administratorul retelei are posibilitatea de a atribui un

anumit numar in retea. Numarul statiei este atribuit automat la boot-area sistemului de

operare.

2.4. Structura claselor de adrese IP

Clasa A 0 Reţea (7 biţi) Adresa locala (24 biţi)

Clasa B 10 Reţea (14 biţi) Adresa locala (16 biţi)

Clasa C 110 Reţea (21 biţi) Adresa locala (8 biti)

Clasa D 1110 Adresa multicast (28 biţi)

Daca 2 statii sunt localizate in segmente de retea diferite, este necesar un al treilea

parametru pentru a specifica mijloacele in care are loc comunicarea intre retele. Acest al

treilea dispozitiv este gateway-ul.

Gateway [3] – punct din retea care se comporta ca si intrare intr-o alta retea;

dispozitiv conectat simultan la 2 retele de calculatoare, utilizand de obicei protocoale diferite,

si care are rolul de a face conversia informatiei dintr-un format specific uneia dintre retele in

cel specific celeilalte, si apoi de a transmite informatia astfel prelucrata.

Spre deosebire de IPX, protocolul IP nu atribuie automat nici o portiune a adresei IP.

Toti parametrii de configurarea retelei trebuiesc atribuiti de catre administratorul retelei. Pe

langa metoda manuala exista si 2 metode automate: protocolul bootstrap si protocolul

configurarii dinamice a gazdei (DHCP).

Protocolul bootstrap (BootP) a fost prima metoda dezvoltata pentru automatizarea

procesului de configurare IP. Procedura de baza este urmatoarea: in mamentul incarcarii

sistemului statia difuzeaza un mesaj in retea si intreaba daca cineva are configuratia IP a

statiei respective. Un server BootP localizat in acelasi segment de retea examineaza adresa

MAC a statiei si o verifica in tabelul adreselor MAC cunoscute. Daca adresa MAC este in

tabela serverului, acesta returneaza configuratia IP asociata cu adresa MAC a statiei. Daca nu

raspunde nici un server, procesul BootP esueaza si statia nu poate fi utilizata pana cand nu

exista o metoda de atribuire a adresei ce se desfasoara cu succes.[1]

Laptop-urile, care sunt conectate doar ocazional la retea, necesita o adresa de retea

rezerva pentru ele tot timpul. Deoarece exista un numar limitat de adrese de retea intr-un

segment de retea, acest lucru limiteaza teoretic numarul de statii care pot fi conectate.

5

O alta deficienta a BootP o reprezinta efortul administrativ mecesar. Oricand un nou

dispozitiv de retea, care necesita configurarea prin BootP, este pus in functiune sau este

mutat intr-o alta retea, administratorul trebuie sa editeze inregistrarile ce contin adresa

dispozitivului afectat de pe server-ul BootP. Deoarece protocolul BootP utilizeaza adresele

MAC pentru identificarea statiilor, inlocuirea placilor de retea necesita ca actualizarea

serverului BootP.

Pentru a rezolva aceste probleme, o noua strategie de atribuire automata a adreselor

IP a fost dezvoltata. Protocolul de configurare dinamica a gazdei (DHCP) asigura mijloacele

pentru atribuirea dinamica a adreselor IP. Statia transmite o cerere catre serverul DHCP ;

acesta verifica sa vada daca are definita o adresa statica pentru adresa MAC a statiei care a

realizat cererea.. Daca exista se returneaza parametrii configuratiei IP pentru adresa MAC a

statiei, in caz contrar serverul DHCP va selecta o adresa din lista de adrese disponibile si o

atribuie statiei. [1]

2.5. Servicii de numire DNS

Pentru a utiliza mai usor adresele IP, s-a incercat atribuirea de nume unor adrerse IP

utlizate frecvent (adrese de server). Administrarea numelor atribuite se realizeaza greoi fara

un sistem centralizat, deoarece calculatorul client trebuie sa identifice adresa IP a

calculatorului adresat (server) inainte de a initia comunicarea cu acesta. Astfel trebuie

mentinuta o tabela in care sa se memoreze corespondenta intre nume si adresa IP.

In Internet functioneaza un sistem centralizat care gestioneaza corespondenta intre

numele unui domeniu si adresa IP a calculatorului gazda. Acest sistem se numeste Domain

Name Service (sau System) –DNS. Acest proces de identificare dupa nume a unui calculator

gazda necesita o retea de servere DNS. Toate aceste servere sunt conectate la o companie

numita Network Solutions Inc. situata in Virginia – SUA, cunoscuta si sub numele de

InterNIC, si care este insarcinata cu administrarea distribuirii si proprietatii numelor de

domeniu.

2.6. Functionarea sistemului DNS

Structura sistemul DNS este ierarhica. Reteaua de servere DNS administreaza nume

de domenii organizate ierarhic. In varful ierarhiei domeniilor Internet sunt o serie de domenii

numite Top Level Domain (TLD) [4]. Cele mai cunoscute sunt .com, .edu, .gov, .net, .org.

6

Fiecare tara are atribuit un TLD format din doua litere: .ro, .uk, .fr, .de s.a. Alte subdomenii

sunt inregistrate in cadrul unui TLD la InterNIC. Fiecare domeniu inregistrat la InterNIC

trebuie incadrat intr-un TLD. Serverele DNS au capacitatea de a delega autoritatea de

rezolvare a numelor de domeniu. Astfel pentru adresa www.utt.ro serverul DNS va delega

autoritatea spre serverul ce administreaza TLD-ul .ro; care va delega autoritatea spre serverul

DNS administrat local utt.ro care va rezolva domeniul final www.utt.ro

3. Controlul congestiei

Congestia reprezinta acel proces de pierdere a pachetelor, transmise prin retea, din

cauza lipsei de spatiu in buffere-le de stocare a concentratorilor instalati in reteaua respective.

Conform [2] in momentul in care foarte multe pachete sunt prezente intr-o subretea

performantele se degradeaza. Situatia care apare se numeste congestie. Cand numarul de

pachete emise in subretea nu depaseste capacitatea de transport, ele sunt livrate integral, iar

numarul celor livrate este proportional cu numarul celor emise.

Factori care determina congestia:

- pachetele se emit in rafale;

- nu exista suficienta memorie pentru a le pastra pe toate;

- unitatea centrala a ruterului este lenta in executia functiilor sale;

- latimea de banda a liniei de comunicatii este scazuta.

3.1. Principii generale ale controlului congestiei

Intr-o retea congestia poate fi monitorizata prin diversi parametrii:

- procentul din totalul pachetelor care au fost distruse din cauza lipsei spatiului

temporar de memorare;

- lungimea medie a cozilor de asteptare, numar de pachete care sunt retransmise pe

motiv de time-out;

- intarzierea medie a unui pachet;

- deviatia standard a intarzierii unui pachet.

De asemenea poate fi rezervat un bit sau un camp in fiecare pachet, pentru a fi

completat de rutere daca congestia depaseste o anumita valoare de prag. Cand un ruter

detecteaza congestia, el completeaza campurile tuturor pachetelor expediate pentru a-si

preveni vecinii.

7

Deci TCP isi imagineaza ca atunci cind un pachet nu este confirmat in timp util, s-a

pierdut fie pachetul fie confirmarea, deci reteaua este congestionata. Ca atare, trimitatorul

reduce rata de transmisiune, pentru a reduce numarul de pachete din retea.

Dacă toti transmitatorii care detecteaza congestie reduc rata simultan, efectul este ca

ruterele din retea primesc mai putine date la intrare, si au timp sa goleasca pachetele stocate

in memorie trimitindu-le la destinatie. Pentru ca marea majoritate a calculatoarelor din retea

folosesc protocolul TCP, acest comportament duce la disparitia congestiei.

Controlul congestie se poate face prin:

- sporirea resurselor (suplimentare a latimii de banda, folosire de rutere

suplimentare);

- reducerea incarcarii (interzicerea unor servicii, degradarea serviciilor pentru

utilizatori si planificarea cererilor utilizatorilor). [6]

3.2. Tipuri de algoritmi pentru controlul congestiei

Algoritmii pentru controlul congestiei sunt de doua feluri: algoritmi cu bucla deschisa

si algoritmi cu bucla inchisa.

Algoritmii in bucla deschisa se clasifica la randul lor in:

- algoritmi care actioneaza asupra sursei:

- cu feedback implicit;

- cu feedback explicit.

- algoritmi care actioneaza asupra destinatiei.

In algoritmii cu feedback explicit, pachetele sunt trimise inapoi de la punctul unde s-a

produs congestia catre sursa, pentru a o avertiza. In algoritmii impliciti, sursa deduce

existenta congestiei din observatii locale, cum ar fi timpul necesar pentru intoarcerea

confirmarilor. [2]

In general pachetele sunt pierdute din doua motive:

- datorita erorilor de transmisie;

- datorita congestiilor din retea.

Controlul congestiei presupune implementarea de mecanisme adecvate in punctele de

acces si in routerele intermediare. [5]

3.3. Politici pentru prevenirea congestiei

8

Pentru minimizarea congestie se utilizeaza politici corespunzatoare, la diferite

niveluri.

Nivel Politica

Transport Politica de retransmitere

Politica de memorare temporara a pachetelor

Politica de confirmare

Politica de control al fluxului

Determinarea timeout-ului

Retea Plasarea in cozi de asteptare a pachetelor si politici de servire

Politica de distrugere a pachetelor

Algoritmi de dirijare

Gestiunea timpului de viata al pachetelor

Legatura de

date

Politica de retransmitere

Politica de memorare temporara a pachetelor

Politica de confirmare

Politica de control al fluxului

3.4. Formarea traficului

Cauza principala care determina congestia intr-o retea este traficul in rafala. Pentru

controlul congestiei se utilizeaza impunerea unei rate previzibile cu care sa fie transmise

pachetele. Abordarea este larg raspandita in retelele ATM si poarta denumirea de formarea

traficului. Formatarea traficului este folosita penrtu reducerea congestiei intr-o retea.

Conform [2] formarea traficului se ocupa cu uniformizarea ratei medii de

transmitere a datelor. La momentul stabilirii unui circuit virtual, utilizatorul si subreteaua

(clientul si furnizorul) stabilesc un anumit model al traficului pentru acel circuit.

3.5. Algoritmul galetii gaurite

Consideram ca avem calculatorul gazda conectat la retea printr-o interfata continand

o coada interna cu capacitate finita.

9

Algoritmul galetii gaurite, propus de Turner, nu este altceva decat un sistem de cozi

cu un singur server si cu timp de servire constant.

Calculatorul gazda poate pune pe retea cate un pachet la fiecare tact al ceasului. Acest

mecanism transforma un flux neregulat de pachete de la procesele calculatorului gazda intr-

un flux uniform de pachete care se depun pe retea, netezind rafalele si reducand mult sansele

de producere a congestiei.

3.6. Imprastierea pachetelor

In momentul in care nici o metoda nu mai ofera rezultate se apleaza la imprastierea

incarcarii.[5] Procesul presupune aruncarea incarcarii care inunda ruterele. Pachetele care

sunt aruncate sunt alese in functie de aplicatia care ruleaza la un moment dat sau in functie de

clasa de prioritate pe care o are pachetul. Clasele de prioritate sunt organizate ierarhic..

Incadrarea pachetelor intr-o clasa de prioritati presupune existenta unui bit

suplimentar in antet, pentru pastrarea prioritatii.

4. Administrarea conturilor de utilizator

4.1. Conturi de utilizator

User Accounts reprezintă mecanismul de accesare a resurselor unei reţele de către o

persoană. La intrarea în reţea utilizatorul trebuie se identifice prin oferirea corectă a User

Account Name şi Password.

Sunt trei tipuri de User Account: Local, Domain şi Built-in [7]

Retea

Calculator gazda

pachet

Interfata continand o galeata gaurita

10

1. Local User Account permite utilizatorului să se conecteze pe un singur

calculator. Acest cont se află într-o bază de date SAM (Security Accounts

Manager), fiecare calculator are o bază de date SAM diferită, deci pentru ca

un utilizator să poată accesa resursele pe mai mult de un calculator cu ajutorul

Local User Account, utilizatorul trebuie să aibă un cont local pe fiecare

calculator.

2. Domain User Account permite accesul în reţea a unui utilizator ca şi în cazul

Local User Account doar că autentificarea este înregistrată de toate

calculatoarele din domeniu . Această metodă este mai convenabilă atât pentru

utilizator cât şi pentru administratorul reţelei.

3. Built-in User Account sunt conturi create la momentul iniţializării.

Pentru o mai bună administrare a reţelelor trebuie să se stabilească o convenţie de

nume şi o politică/ghid pentru parole. Este avantajoasă alegerea unei scheme de nume

consistentă prin faptul că utilizatorul işi poate alege un nume de cont uşor de memorat şi

administratorul poate găsi mai uşor un utilizator într-o schemă organizată.La alegerea unei

convenţii de nume trebuie respectate următoarele reguli :

• Numele de cont poate conţine de la 1-20 de caractere

• Poate conţine litere mari , mici, numere, dar nu poate conţine caractere

speciale ca : " / \ [ ] : ; | , + = * ? < >

• Numele de cont trebuie sa fie unic în Active Directory

Aspectul important de a avea politică /ghid pentru parole este de a informa utilizatori

asupra acestora.

4.2. Autentificarea

Un utilizator la intrarea intr-o reţea trebuie să se autentifice. Uzual tehnicile de

autentificare se împart în trei categorii fundamentale :

• Autentificare prin cunoştinţe (ceva ce utilizatorul ştie: coduri PIN, coduri de

tranzacţie, parole)

• Autentificare prin posesie (ceva ce utilizatorul are: chei, carduri de

identificare sau alt fel de dispozitive fizice)

• Autentificare prin proprietăţi (identificarea biometrică a utilizatorului cum ar

fi identificarea feţei, imagini ale retinei, şabloane vocale, amprente) [8]

11

Când se doreşte eliminarea memorarii a parolei se poate folosi autentificarea strong

.Spunem ca folosim autentificarea strong atunci când sunt îndeplinite două din condiţiile de

mai sus.[9]

Autentificarea prin parole :

În cele mai multe reţele de calculatoare, protecţia resurselor

se realizează prin login direct folosind parole. Aceasta metodă depinde de capacitatea de

menţinere secretă a parolei.

Această capacitate este afectată de:

• ghicitul sau deducerea parolei

• divulgarea parolei

• folosirea foţei brute(se ghiceşte prin folosirea unor dicţionare de parole sau

prin încercări repetate )

• accesarea fişierului de parole

De aceea se recomandă schimbarea parolei la fiecare trei , şase luni.

Pentru a ascunde parolele decriptate de intruşi , unele sisteme pun la dispoziţie fişiere

«shadow password» . Aceste fişiere au accesul restricţionat. Parolele decriptate sunt ţinute

doar în fişierele «shadow password» care nu pot fi citite de către orice utilizator.

Formatul unui fişier de intrare shadow este următorul:

username:password:lastchg:min:max:warn:inactive:expire:flag

unde:

username- reprezintă numele de intrare a utilizatorului

password- parola

lastchg- data la care a fost schimbată parola ultima dată

min- numărul minim de zile care trebuie să treacă pentru ca parola să poată fi

schimbată din nou

max- numărul maxim de zile pe poate să treacă până când utilizatorul trebuie

să schimbe parola

warn- numărul de zile cu care utilizatorul să fie avertizat că parola expiră

inactive- numărul de zile în care contul poate fi inactive înainte să fie blocat

expire- data când contul va fi blocat

flag- este nefolosit.

12

Deşi scopul principal al fişierului « shadow password » este de a proteja parolele mai

oferă şi alte servicii de securitate.

Unul din aceste servici îl reprezintă « password aging » care este un mecanism care

defineşte un timp de viaţă pentru fiecare parolă., la sfârşitul acest timp acest mecanism

anunţă utilizatorul să schimbe parola,dacă parola nu este schimbată în perioada specificată

parola este îndepărtată şi se blochează automat contul.[10].

Pentru autentificare se poate protocolul Kerberos.

4.3. Protocolul Kerberos

Sistemul de autentificare şi distribuţie a cheilor Kerberos a fost dezvoltat la

Massachusetts Institute of Technology (MIT) pentru a proteja serviciile de reţea oferite de

proiectul Athena .

Scopul sistemului Kerberos este de a permite unui utilizator să se identifice unui

serviciu sau unui server de aplicaţii corespunzător,fără a se necesita trimiterea unor date

secrete care ulterior să poată fi folosite de un utilizator neautorizat. Kerberos necesită

existenţa unui terţ de încredere care serveşte ca centru de distribuţie a cheilor(KDC). KDC-

ul constă din două componente:

• Un server de autentificare (AS1)

• Un număr de servere pentru acordarea biletelor (TGSs2)

În figură se prezintă model Kerberos fundamental şi paşii corespunzători ai

protocolului. Pe partea stângă, rulează utilizatorul. Pentru a folosi serviciile serverului aflat în

partea dreaptă jos, clientul trebuie să se autentifice cu acesta. În această situaţie, este în

sarcina KDC să ofere clientului credenţiale pentru procesul de schimb de autentificare. De

fiecare dată când clientul încearcă să se autentifice serverului, acesta se bazează pe KDC

pentru generarea cheii de sesiune şi distribuirea ei părţilor implicate.

13

Kerberos foloseşte bilete pentru distribuirea cheilor de sesiune.Un bilet este o

înregistrare care poate fi folosită la autentificare. În Kerberos, un bilet este un certificat emis

de KDC şi criptat cu cheia master a serverului. Biletul conţine:

• Cheia de sesiune care va fi utilizată pentru autentificarea între client şi server

• Numele partenerului către care cheia de sesiune a fost emisă

• Un timp de expirare după care cheia de sesiune nu mai este validă

Un bilet Kerberos este întotdeauna criptat cu cheia serverului, cunoscută doar de AS

si de serverul în cauză.

Clientul furnizează AS numele în pasul 1, iar AS caută intrarea corespunzătoare

utilizatorului în baza de date KDC. Parola utilizatorului se foloseşte apoi pentru a cripta un

bilet de acordare a biletului (TGT1) şi TGT-ul este returnat clientului în pasul 2. Clientul cere

utilizatorului să îşi introducă parola, cu care se va cripta TGT. Dacă cheia derivată din parola

utilizatorului poate decripta cu succes TGT, acestuia i se permite accesul.

Pe partea de client, TGT-ul este memorat pentru folosire ulterioară şi anume pentru a

obţine bilete pentru autentificarea în servicii de reţea particulare. Scopul principal al TGT

este deci să faciliteze o singură autentificare pentru utilizatori. Parola este astfel cerută o

singură dată, şi nu de fiecare dată când se cere accesul la un serviciu. Biletele sunt eliberate

de TGS-ul specificat în TGT-ul primit de utilizator. Pentru a obţine un bilet, clientul trimite o

cerere către TGS în pasul 3. Mesajul include numele

serviciului cerut, TGT-ul şi autentificatorul. Acesta din urmă este o informaţie ce poate

proba că a fost generată recent utilizând cheia de sesiune de către client şi server împreună.

14

În particular, autentificatorul conţine numele utilizatorului, adresa de reţea a

clientului şi timpul curent, fiind criptat cu cheia de sesiune returnată în TGT. Autentificatorul

este o schemă simplă pentru a descuraja atacurile replay. Dacă TGS consideră atât biletul cât

şi autentificatorul valid, biletul este returnat în pasul 4. Clientul creează un alt autentificator

şi îl trimite împreună cu biletul de serviciu serverului, în pasul 5. Dacă se cere autentificare

reciprocă, serverul returnează un autentificator în pasul 6.

5. Administrarea platformelor

5.1. Surse de tensiune de rezervă (UPS)

Pentru protecţia calculatoarelor care prin rolul jucat în reţea necesită o funcţionare

neîntreruptă sau a celor pe care pe care se găsesc date importante în cazul fluctuaţiilor de

tensiune sau a întreruperii temporare a alimentării de la reţea este recomandabilă utilizarea

unor surse de rezervă (Unintrreruptible Power Supply).

Acestea sunt compuse în principiu dintr-un acumulator şi convertoare de ca-cc pentru

încărcarea acumulatorilor respectiv cc-ca pentru momentul când preiau ei alimentarea

echipamentelor ataşate. Durata de funcţionare a acestor dispozitive în sarcină este de la

câteva minute la câteva zeci de minute depinzând de mai mulţi factori: numărul de

dispozitive ataşate, puterea consumată de acestea, vechimea acumulatorilor, gradul lor de

încărcare în momentul respectiv.

Există trei tipuri de UPS [12]:

• Online – folosesc un circuit care trece în permanenţă prin baterie. Avantajele

lor sunt: timpul de comutare nul în cazul căderilor de tensiune şi uniformitatea bună a

parametrilor curentului de ieşire. Dezavantajul lor este durata scăzută de viaţă a bateriei.

• Standby sau offline – sunt caracterizate prin existenţa unui circuit de legătură

între intrarea şi ieşirea lor (bypass), comutând pe baterie numai atunci când este necesar. Deşi

timpii de comutare sunt de ordinul milisecundelor folosirea lor nu este recomandată pentru

echipamente foarte importante.

• Line interactive – constituie o combinaţie a celor două anterioare. Astfel atât

timp cât parametrii reţelei se încadrează în parametrii normali, de obicei definibili de către

utilizator, alimentarea se face direct de la reţea. În cazul scăderii tensiunii sub o anumită

15

limită a tensiunii de alimentare diferenţa este asigurată de către acumulator. Sunt cele mai

răspândite.

Preţul unor astfel de dispozitive este dictat de dotarea acestora: număr de dispozitive

posibil a fi deservite simultan, existenţa protecţiei şi pentru o linie telefonică, elemente

inteligente (leduri de autodiagnosticare şi/sau software de management)

Se recomandă folosirea unor astfel de surse în acelaşi timp cu realizarea de copii de

siguranţă a datelor în mod bine planificat.

5.2. Protecţia datelor

În orice reţea există unul sau mai multe calculatoare – de obicei cele cu rolul de

server (de fişiere, de baze de date, de nume de domenii, etc.) – care stochează la un moment

dat date de importante pentru entitatea (compania, universitatea, etc.) proprietară a reţelei

respective precum şi pentru partenerii acelei entităţi. Aceste calculatoare se pot confrunta la

un moment dat cu anumite disfuncţionalităţi. Acestea pot fi de tip hardware – defectarea

mediului curent de stocare a informaţiei, software – coruperea unei aplicaţii şi implicit a

datelor gestionate de ea, atacuri din exterior, sau pur şi simplu atingerea limitei superioare a

capacităţii de stocare. Apare deci nevoia unei soluţii alternative de păstrare a datelor.

Realizarea unor copii de siguranţă a anumitor fişiere - backup - este deci o operaţie

esenţială. Backup-ul poate fi automatizat, realizat prin programarea unor procese pe

calculatorul vizat, care nu necesită intervenţie umană decât în momentul setării preferinţelor,

posibil de implementat în principiu sub orice sistem de operare (ex. în fiecare zi la ora 2AM

(când, in principiu, nu lucrează nimeni) se face o copie de siguranţă a anumitor fişiere

modificate în ziua respectivă) sau întâmplător, determinat de anumite necesităţi cum ar fi

intervenţii sensibile asupra sistemului de operare, necesitând intervenţia unui operator uman.

De obicei backup-ul fişierelor de configuraţie ale sistemului şi aplicaţiile se face mai

rar, pe când fişierele utilizatorilor, care sunt modificate mai des, trebuie salvate mai des.

Bazele de date care prin natura lor suferă schimbări dese ar trebui să fie salvate la câteva ore.

În principiu există trei tipuri de backup [1]:

• Complet: se salvează toate fişierele indiferent dacă au fost modificate sau nu.

• Diferenţial: salvează numai acele fişiere care s-au modificat de la ultimul

backup complet.

16

• Incremental: salvează fişierele care s-au modificat de la ultimul backup

indiferent de tipul acestuia.

Un mod simplu de a proteja datele dacă acestea nu au dimensiuni foarte mari este

utilizarea unui hard-disk secundar pe care un program utilitar să facă o salvare a unor fişiere

critice la anumite intervale de timp. Astfel în cazul apariţiei unor probleme la hard-diskul

principal vom avea la dispoziţie o copie recentă a fişierelor necesare.

Suportul pe care se realizează backup-ul poate fi de diverse tipuri: dischete, discuri

Zip, benzi magnetice, harddiskuri, discuri optice incriptibile/reinsciptibile(CD-R/CD-RW,

DVD-R/RW), etc.

În general dacă este vorba de date care odată salvate trebuie salvate o perioadă

îndelungată fără a le aduce modificări atunci se folosesc suporturi care permit o singură

inscripţionare, acestea având un preţ mai scăzut. Dacă însă este vorba despre fişiere a căror

durată de relevanţă este scăzută atunci este preferat un mediu de stocare ce suportă mai multe

inscripţionări preţul mai mare fiind amortizat prin folosiri multiple.

5.3. Tratarea erorilor

Indiferent de măsurile luate pentru evitarea apariţiei erorilor, într-o anumită măsură

apariţia acestora este inevitabilă. De aceea trebuie luat în calcul un mecanism de lucru pentru

cazurile în care în ciuda tuturor elementelor preventive anumite erori apar, mecanism

denumit în lucrările de specialitate „fault management”.

Ideea este să realizăm în aşa fel sistemele încât acestea să aibă o anumită toleranţă la

erori, astfel că la apariţia unei astfel de erori să sistemul în cauză să nu îşi întrerupă

funcţionarea.

Cea mai evidentă implementare a unor astfel de sisteme este introducerea unor

elemente de redundanţă în construcţia lor. În principiu este vorba de existenţa unui

echipament principal (harddisk, memorie, sursă de tensiune, echipamente de reţea) având

rolul de a efectua sarcinile obişnuite în acel sistem sau reţea şi unul (sau mai multe)

echipamente de rezervă capabile să preia funcţiile primului în cazul defectării acestuia[1].

Avantajul lor este evident: funcţionarea neîntreruptă a sistemelor de calcul sau a

reţelei. Dezavantajul major este la rândul său uşor de dedus: este vorba de costul

implementării unor astfel de soluţii, ajungând la dublarea preţului iniţial ţinând cont că pe

lângă elementele de redundanţă mai trebuie implementate şi soluţii de monitorizare extrem

de fiabile.

17

Pentru acele dispozitive care sunt critice în cadrul sistemului în care funcţionează şi

în acelaşi timp dificil de duplicat, cum ar fi serverele de fişiere, subsistemele cu şanse mari

de defectare trebui identificate şi duplicate. Acestea poartă numele de subsisteme redundante.

O implementare des întâlnită a lor este în serverele de reţea în „şirurile”de harddiskuri.[1]

Sistemul RAID (Redundant Arrays of Inexpensive Disks) foloseşte câteva harddiskuri

obişnuite în sistem „cluster” care pe lângă o funcţionare cu parametrii superiori au meritul că

sunt văzute de sistemul de funcţionare drept un singur volum logic. Astfel datele vitale pot fi

stocate pe două sau mai multe discuri în acelaşi timp, în multe astfel de sisteme înlocuirea

unui disc defect se poate face fără întreruperea funcţionării şi în plus costul lor (o spune zi

numele) este rezonabil în raport cu avantajele aduse.

Datorită preţului ridicat al soluţiilor de tip redundant denumite şi soluţii de tip „hot

backup” nu orice echipament poate fii un candidat potrivit pentru a fii luat în calcul la

achiziţionarea lor ( staţiile de lucru obişnuite cu siguranţă nu)

Există şi un al doilea tip de strategie care este aplicabilă unei categorii de

echipamente de asemenea cu un grad ridicat de importanţă fără a fii însă critice scurte

întreruperi în funcţionarea lor. În cazul lor se asigură existenţa unui echipament similar de

rezervă(mai ales pentru dispozitivele de acelaşi tip răspândite în reţea precum switchuri,

routere etc.), iar personalul calificat va înlocui dispozitivul defect în cel mai scurt timp

posibil.

Strategia se mai numeşte şi „warm backup” sau „warm swap”[1].

5.4. Administrarea Platformelor Software

In cadrul administrării reţelei este una dintre operaţiile cele mai mari consumatoare de

resurse financiare, umane şi de timp. De aceea trebuie acordată o atenţie deosebită acestui

capitol.

Un prim pas esenţial constă în alegerea sistemului (sau sistemelor) de operare din

reţea. Pentru aceasta trebuie să see ţţiinnăă ccoonntt ddee oo sseerriiee ddee ffaaccttoorrii::

•• ssccooppuull rreessppeeccttiivvuulluuii ssiisstteemm ddee ooppeerraarree.. EEssttee aarrgguummeennttuull ddeecciissiivv îînn aalleeggeerreeaa îînnttrree

ddiivveerrsseellee ssiisstteemmee ddee ooppeerraarree eexxiisstteennttee..

•• pprreeţţuull ddee iimmpplleemmeennttaarree eessttee îînnttoottddeeaauunnaa uunn aarrgguummeenntt iimmppoorrttaanntt.. PPooaattee ffii ccrriitteerriiuull ddee

ddeeppaarrttaajjaarree îînnttrree ssiisstteemmee ssiimmiillaarree.. SSee iiaa îînn ccaallccuull aattââtt pprreeţţuull ssiisstteemmuulluuii ddee ooppeerraarree îînn ssiinnee ccââtt

şşii aa eevveennttuuaalleelloorr aapplliiccaaţţiiii ccee vvoorr rruullaa ppee uunn aassttffeell ddee ssiisstteemm

18

•• aarrhhiitteeccttuurraa rreeţţeelleeii şşii ggrraadduull ddee iimmpplleemmeennttaarree llaa mmoommeennttuull rreessppeeccttiivv..

•• aarrhhiitteeccttuurraa ffiizziiccăă oo ppllaattffoorrmmeelloorr eexxiisstteennttee ssaauu aa cceelloorr ccaarree ssee vvoorr aacchhiizziiţţiioonnaa îînn vviiiittoorr..

AAcceesstteeaa ttrreebbuuiiee ssăă aaiibbăă aannuummiittee ccoonnffiigguurraaţţiiii ccaarree ssăă ccoorreessppuunnddăă cceerriinnţţeelloorr ssppeecciiffiiccee aallee

rreessppeeccttiivvuulluuii ssiisstteemm ((ccaappaacciittaattee mmeemmoorriiee,, vviitteezzaa ddee ccaallccuull,, eettcc..))

•• ggrraadduull ddee ffaammiilliiaarriizzaarree aa uuttiilliizzaattoorriilloorr ccuu rreessppeeccttiivvuull ssiisstteemm ddee ooppeerraarree eessttee

iimmppoorrttaanntt îînnttrr--oo rreeţţeeaa mmaaii aalleess ccuu uunn nnuummăărr mmaarree ddee uuttiilliizzaattoorrii.. ÎÎnnssăă pprriinn pprrooggrraammee ddee

iinnssttrruuiirree aa ppeerrssoonnaalluulluuii ssee ppooaattee rreemmeeddiiaa aacceesstt ddeezzaavvaannttaajj..

•• ccoossttuurrii ddee îînnttrreeţţiinneerree îînnsseemmnnâânndd ccoossttuurrii ddee iinnssttaallaarree,, ddee aaddmmiinniissttrraarree,, eettcc.. EEssttee ddee

pprreeffeerraatt ccaazzuull îînn ccaarree ccââtt mmaaii mmuullttee ffuunnccţţiiii ppoott ffii rreeaalliizzaattee llaa ddiissttaannţţăă

•• ssccaallaabbiilliittaatteeaa,, îînn sseennssuull ppoossiibbiilliittăăţţiiii aaddaappttăărriiii rreessppeeccttiivvuulluuii SSOO llaa oo ggaammăă ccââtt mmaaii

llaarrggăă ddee ccoonnffiigguurraaţţiiii şşii ffuunnccţţiiii..

Managementul licenţelor EEssttee uunnuull ddiinn ffaaccttoorriiii cchheeiiee aaii aaddmmiinniissttrrăărriiii rreeţţeelleeii ddeeooaarreeccee llaa nniivveelluull aaccttuuaall,, ccâânndd

aassiissttăămm llaa ssccăăddeerreeaa iimmppoorrttaannttăă aa pprreeţţuulluuii ccoommppoonneenntteelloorr ffiizziiccee ddiinn ssiisstteemm,, ccoossttuurriillee cceellee mmaaii

mmaarrii ddee iimmpplleemmeennttaarree aa uunneeii rreeţţeellee pprroovviinn ddiinn ccoossttuurriillee ddee aacchhiizziiţţiioonnaarree aa pprrooggrraammeelloorr..

PPrrooggrraammeellee ffoolloossiittee ssuunntt ddee ddoouuăă ttiippuurrii::

-- ccoommeerrcciiaallee.. NNeecceessiittăă aacchhiittaarreeaa uunnoorr ttaaxxee ccăăttrree pprroodduuccăăttoorr ppeennttrruu ffoolloossiirreeaa lloorr..

AAcceessttee ttaaxxee ssee aacchhiittăă ppeennttrruu ffiieeccaarree ccooppiiee iinnssttaallaattăă aa rreessppeeccttiivvuulluuii pprrooggrraamm –– uunneeoorrii

ppeennttrruu nnuummăărruull ddee ccooppiiii aallee aapplliiccaaţţiieeii ccaarree rruulleeaazzăă ccoonnccuurreenntt îînn rreeţţeeaa,, ssaauu ppeennttrruu ffiieeccaarree

pprroocceessoorr –– ddeeooccaammddaattăă pprroocceessooaarreellee eexxiisstteennttee ffiizziicc ((ssiisstteemmuull ddee ooppeerraarree ““vveeddee”” ddoouuăă

pprroocceessooaarree îînn ccaazzuull uunnuuii pprroocceessoorr dduuaall ccoorree)) -- îînn ccaazzuull uunnoorr ssiisstteemmee ddee ooppeerraarree ddee ttiipp

sseerrvveerr.. EExx.. ((ffaammiilliiaa ddee SSOO WWiinnddoowwss,, aannuummiittee ddiissttrriibbuuţţiiii ddee UUNNIIXX;; SSGGBBDD –– OOrraaccllee,,

DDBB22,, MMSS SSQQLL,, eettcc))

-- ooppeenn ssoouurrccee:: pprrooggrraammee ccee ppoott ffii ffoolloossiittee îînn mmoodd ggrraattuuiitt ((mmaajjoorriittaatteeaa

ddiissttrriibbuuţţiiiilloorr ddee LLiinnuuxx,, aannuummiittee ddiissttrriibbuuţţiiii ddee UUNNIIXX,, MMyySSQQLL,, OOppeenn OOffffiiccee)),, oo

aalltteerrnnaattiivvăă ddeemmnnăă ddee lluuaatt îînn ccaallccuull..

NNeecceessaarruull ddee ssoofftt şşii ddiissttrriibbuuiirreeaa lluuii

AApplliiccaaţţiiiillee rruullaattee îînnttrr--oo rreeţţeeaa ssuunntt îînn pprriinncciippiiuu ddee ttrreeii ttiippuurrii

-- aapplliiccaaţţiiii iinnddeeppeennddeennttee,, rruulleeaazzăă ddee ssiinnee ssttăăttăăttoorr ppee ffiieeccaarree ssttaaţţiiee îînn ppaarrttee.. ÎÎnn aacceesstt

ccaazz ssee iimmppuunn cceerriinnţţee ssuupplliimmeennttaarree aassuupprraa ppuutteerriiii ddee ccaallccuull aa rreessppeeccttiivveeii ssttaaţţiiii..

-- aapplliiccaaţţiiii ccaarree rruulleeaazzăă ppee uunn sseerrvveerr iiaarr ssttaaţţiiiillee iinntteerraaccţţiioonneeaazzăă ccuu eellee ffăărrăă aa nneecceessiittaa

rreessuurrssee llooccaallee.. CCeerriinnţţeellee ccaarree ssee iimmppuunn aaccuumm ssee aaddrreesseeaazzăă sseerrvveerruulluuii..

19

- aapplliiccaaţţiiii ccoonnssttrruuiittee aassttffeell îînnccââtt rruulleeaazzăă oo ppaarrttee ddiinn pprroocceesseellee nneecceessaarree ppee uunn sseerrvveerr

şşii oo ppaarrttee ppee ffiieeccaarree ssttaaţţiiee îînn ppaarrttee..

Pentru implementarea cu costuri reduse scăzute a unei reţele putem folosi un sistem

de operare de tip open source, un calculator de putere mai mare pe post de server iar

utilizatorii vor interacţiona cu acesta prin intermediul unor staţii cu configuraţii minimale.

Avantajul constă în posibilitatea reutilizării unor sisteme depăşite moral care se pot

achiziţiona la preţuri neglijabile.

EExxeemmpplluu [[1155]]

-- ffoolloossiinndd uunn SS..OO.. GGNNUU//LLiinnuuxx

-- llaa uunn sseerrvveerr ccuu uurrmmăăttooaarreeaa ccoonnffiigguurraaţţiiee:: CCPPUU 22..44GGHHzz,, 22GGbb RRAAMM,, 22 HHDDDD xx

112200GGbb RRAAIIDD ppoossiibbiill aa ffii aacchhiizziiţţiioonnaatt llaa uunn pprreeţţ rreezzoonnaabbiill ssee ppoott aattaaşşaa

-- ppâânnaa llaa 4400 ddee tteerrmmiinnaallee ppeennttrruu lluuccrruu îînn mmoodd tteexxtt ccuu oo ccoonnffiigguurraaţţiiee mmiinniimmăă:: 338866 ccuu

44MMbb RRAAMM

-- ppâânnăă llaa 2200 ddee tteerrmmiinnaallee ppeennttrruu lluuccrruull îînn mmoodd ggrraaffiicc ccuu oo ccoonnffiigguurraaţţiiee mmiinniimmăă::

PPeennttiiuumm llaa 7755MMhhzz ccuu 1166MMBB RRAAMM

--ddaaccãã ppee sseerrvveerr rruulleeaazzãã oo iinnssttaannţţãã aa aapplliiccaaţţiieeii OOppeenn OOffffiiccee ssuunntt nneecceessaarrii 3377MMbb

RRAAMM.. PPeennttrruu ffiieeccaarree nnoouuãã iinnssttaannţţãã rruullaattăă ddee ppee ssttaaţţiiiillee uuttiilliizzaattoorriilloorr mmaaii ssuunntt nneecceessaarrii

ddooaarr 00,,55 MMbb.. PPeennttrruu 4400 tteerrmmiinnaallee ssuunntt nneecceessaarrii 5577MMbb..

EExxeemmpplluull eessttee iilluussttrraatt îînn ffiigguurraa ddee mmaaii jjooss::

Trebuie menţionat că ar fii de dorit ca switchul utilizat să fie de o cât mai bună

calitate deoarece trebuie să facă faţă la volume destul de mari de trafic mai ales pentru lucrul

cu terminale grafice, iar conexiunea dintre server şi acest switch ar trebui să fie de tip Gigabit

(rata de transfer 1Gbps)

20

5.5. Administrarea hardware

În stadiul de achiziţie al echipamentelor trebuie să ţinem cont de câteva criterii:

-- ssăă ffaaccăă ffaaţţăă cceerriinnţţeelloorr iimmppuussee ddee ssiisstteemmuull ddee ooppeerraarree şşii ddee pprrooggrraammeellee ccaarree vvoorr rruullaa ppee

rreessppeeccttiivveellee ppllaattffoorrmmee

-- ddeessttiinnaaţţiiaa rreessppeeccttiivvuulluuii eecchhiippaammeenntt ((iinncclluussiivv îînn vviiiittoorruull pprreevviizziibbiill))

-- pprreeţţuull ssăăuu

-- ttiimmppuull ddee uuzzuurrăă mmoorraallăă aall eecchhiippaammeennttuulluuii

-- ccoossttuull ddee îînnttrreeţţiinneerree aall pprroodduussuulluuii,, ssuunntt şşii aaiiccii ddee pprreeffeerraatt eecchhiippaammeennttee ccee ssee ppoott

aaddmmiinniissttrraa ddee llaa ddiissttaannţţăă

-- iinntteerrooppeerraabbiilliittaatteeaa ccuu cceelleellaallttee eecchhiippaammeennttee ddiinn rreeţţeeaa

-- ssccaallaabbiilliittaattee

EExxiissttăă îînn pprreezzeenntt ppllaattffoorrmmee ddee mmaannaaggeemmeenntt aall rreeţţeelleeii ccaarree ppeerrmmiitt aaddmmiinniissttrraattoorruulluuii

uunneeii rreeţţeellee –– uuttiillee mmaaii aalleess îînn ccaazzuull rreeţţeelleelloorr ddee ttiipp MMAANN ssaauu WWAANN –– ssăă rreeaalliizzeezzee ooppeerraaţţiiii ddee

aaddmmiinniissttrraarree cceennttrraalliizzaattăă aa rreeţţeelleeii.. AAcceessttee pprrooggrraammee ssee ccoommppuunn ddiinn mmoodduullee ddee ttiipp aaggeenntt

ddiissttrriibbuuiittee ppee ttooaattee ssttaaţţiiiillee ddiinn rreeţţeeaa şşii uunn mmoodduull ddee ttiipp mmaannaaggeerr ccaarree ppeerrmmiittee

aaddmmiinniissttrraattoorruulluuii ssăă iinntteerraaccţţiioonneezzee ccuu rreessppeeccttiivveellee ssttaaţţiiii..

AAssttffeell ddee ppllaattffoorrmmee ppeerrmmiitt mmaannaaggeemmeennttuull nnuu nnuummaaii aall ssttaaţţiiiilloorr ddee lluuccrruu ccii şşii aall aallttoorr

eecchhiippaammeennttee ““iinntteelliiggeennttee”” ddiinn rreeţţeeaa ccuumm aarr ffii sswwiittcchhuurrii pprrooggrraammaabbiillee,, rroouutteerree,, UUPPSS--uurrii eettcc..

66.. AAmmeenniinnttaarreeaa sseeccuurriittaattiiii

66..11.. AAmmeenniinnttaarrii ddee sseeccuurriittaattee

Intr-un mediu de reţea, trebuie sa existe garanţia ca datele secrete sunt protejate,

astfel incat doar utilizatorii sa aibă acces la ele. Nu numai protejarea informaţiilor

confidenţiale este importantă, ci şi protejarea operaţiilor efectuate în reţea.

Exista 4 ameninţări majore la securitatea unei reţele:

- accesul ne autorizat

- alterarea electronica a datelor

- furtul de date

- daune intenţionate sau accidentale. [19]

21

Asigurarea securităţii reţelei presupune adoptarea unui set de legi, regulamente si politici, care sa nu lase nimic la voia întâmplării. Elaborarea unei politici de securitate ar putea fi primul pas al unei companii in vederea protejării datelor. Politicile stabilesc orientarea generala si oferă linii directoare pentru administratorii si utilizatorii de reţea, in cazul unor situaţii neprevăzute. Cea mai buna politica de protejare a datelor este prevenirea. Prin prevenirea accesului ne autorizat sau al comportamentului necorespunzător in reţea, datele vor fi in siguranţă.

O prima linie de apărare împotriva utilizatorilor ne autorizaţi este sistemul de autentificare prin parolă. Un alt instrument de prevenire a daunelor accidentale a unor resurse este instruirea utilizatorilor. Aceasta înseamnă că toţi cei care folosesc reţeaua sunt familiarizaţi cu procedurile de operare si de asigurare a securităţii[19].

Un alt factor de protejare a datelor îl reprezintă securitatea fizica a echipamentelor

hardware ale retelei. Gradul de securitate depinde de:

- dimensiunea organizatiei

- confidentialitatea datelor

- resursele disponibile

Modele de securitate

Pentru protejarea datelor si a resurselor hardware sau dezvoltat 2 modele de securitate:

1. partajari protejate prin parola

2. permisiuni de acces.

Aceste modele se mai numesc si securitate la nivel de partajare (share-level), respectiv

securitate la nivel de utilizator (user-level).

6.2. Firewall-uri

Firewall –este un sistem de componente proiectate să controleze accesul la şi din

reţeaua locală şi o reţea externă, pe baza politicilor de securitate valabile în situl propriu şi

denumeşte o gamă largă de produse hardware şi software proiectate să ajute la protecţia

reţelei locale împotriva ameninţărilor externe prin limitarea traficului de reţea care poate să

apară între reţeaua proprie şi Internet.

Tehnologii de bază:

- filtrarea pachetelor ( packet filtering );

- porţile intermediare de aplicaţie( applicaţion proxy gateways).

Caracteristici importante ale unui firewall:

22

- înregistrarea în jurnal, evidenţe de auditare care conţin date statistice şi de securitate

ce pot fi utilizate pentru a ne asigura că reţeaua locală este sigură şi operează eficient;

- avertizarea, pentru a fi atenţionaţi despre evenimentele semnificative, cum ar fi o

tentativă de pătrundere forţată în reţea;

- autentificarea;

- protecţia împotriva protocoalelor şi serviciilor nesigure;

- protecţia informaţiilor despre utilizatori, sisteme, adrese de reţea şi aplicaţiile care

rulează în reţeaua locală de persoanele din afara reţelei;

- pune la dispoziţie o gestiune centralizată a securităţii reţelei faţă de lumea

exterioară;

- translatarea adreselor de reţea(network address translation sau NAT) prin

ascunderea adresei reale de reţea a unui calculator gazdă atunci când acel calculator face

cereri către servere din Internet;

- analizează traficul care intră şi iese din reţeaua LAN şi iau decizii în privinţa

tipurilor de trafic pe care le permit sau le interzic;

Putem crea un firewall propriu folosind un software disponibil prin descărcare din Internet,

cum ar fi TIS(Internet Firewall Toolkit) sau TCP Wrappers în locul unui produs comercial.

Un filtru de pachete decide ce pachete pot călători între reţeaua LAN proprie şi

Internet.

Staţie de lucru

Server

Staţie de lucru

Staţie de lucru

Staţie de lucru

Ruter de filtrare a pachetelor

Internet

23

Pentru a media traficul de reţea între reţeaua LAN proprie şi Internet , poate fi utilizată o gazdă cu două plăci de reţea.

Termenul firewall- a fost adoptat de către experţii în securitate pentru a descrie o

metodă de blocare a pătrunderii intruşilor nedoriţi într-o reţea locală conectată la o reţea mai

mare[21].

OBIECTIV: Ajută la împiedicarea pătrunderii problemelor din alte reţele în reţeaua locală

proprie, fapt care ar putea duce la compromiterea sistemelor şi a datelor.Indeplineşte acest

obiectiv pemiţînd circulaţia unui anumit trafic între reţeaua locală şi Internet şi blocând restul

de trafic.

Obiectivele unui firewall:

- asigură protecţia împotriva protocoalelor şi serviciilor nesigure;

- protejează informaţiile despre utilizatori, sisteme, adrese de reţea şi aplicaţiile care

rulează în reţeaua locală de persoanele curioase din afara reţelei;

- pune la dispoziţie evidenţe de auditare (prin fişiere jurnal) care conţin date statistice şi

de securitate ce pot fi utilizate pentru a ne asigura că reţeaua locală este sigură şi operează

eficient.

Configurarea avertizărilor astfel încât să fim atenţionaţi despre evenimentele

semnificative, cum ar fi o tentativă de pătrundere forţată în reţea;

- pune la dispoziţie o gestiune centralizată a securităţii reţelei faţă de lumea exterioară

Mecanisme utilizate pentru a permite sau a bloca traficul:

- filtre de pachete, formate din rutere şi programe software care rulează pe staţii de

lucru sau pe servere, care iau decizii în funcţie de conţinutul antetului IP din

Server

Server

Server

Calculator gazdă cu două plăci de reţea

Staţie de lucru

Staţie de lucru

Staţie de lucru

Internet

24

pachet.Între câmpurile importante se numără adresele sursă şi destinaţie, tipul de

protocol şi indicatorii de fragmentare.Câmpul de opţiuni este opţional şi aici este

locul în care se defineşte rutarea la sursă pentru o datagramă.Există două opţiuni care

pot fi utilizate de IP pentru rutare:- rutarea liberă la sursă;

- rutarea strictă la sursă;

- ambele opţiuni oferă o listă de adrese prin care datagrama trebuie să treacă.În cazul

rutării libere la sursă, lista trebuie să fie respectată, însă pot fi folosite şi alte rute

pentru a ajunge la fiecare maşină adresată în listă.În cazul rutării stricte la sursă, lista

trebuie respectată cu exactitate, iar în cazul nerespectării, datagrama este respinsă.

- servere intermediare de aplicaţie, mai complexe, care sunt plasate între client şi

lumea exterioară şi acţionează ca un intermediar pentru anumite servicii de reţea;

- gazdele bastion,gazdele de sacrificiu şi zona demilitarizată(DMZ);

Funcţiile noi pe care le putem implementa într-un firewall modern se numără următoarele:

- Lucrul cu memoria cache. Este valabilă în special pentru reţelele care includ servere

Web ce oferă informaţii utilizatorilor din Internet. Prin stocarea locală a datelor

accesate frecvent, un server numai pentru cache (caching server) poate să

îmbunătăţească timpul de răspuns către utilizator şi să salveze un procent însemnat

din lărgimea de bandă a conexiunii la Internet, care în caz contrar ar fi utilizată pentru

aducerea repetată a aceloraşi date.

- Translatarea adreselor. Un firewall configurat corespunzător poate să afişeze în

exterior numai propria adresă de reţea, permiţîndu-vă să utilizaţi orice spaţiu de

adrese IP pentru reţeaua internă.

- Restricţionarea conţinutului. Un număr din ce în ce mai mare de produse ne permit

să restricţionăm tipurile de informaţii la care le este permis accesul utilizatorilor în

Internet, atât prin restricţionarea accesului la adrese URL cunoscute ce conţin

informaţii nedorite, cât şi prin analiza pachetelor de date primite, după anumite

cuvinte cheie.

- Vectorizarea adreselor. Această caracteristică permite firewall-ului să modifice

anumite cereri, cum ar fi cererile http, şi să le trimită către calculatoarele gazdă care

utilizează o adresă diferită de cea găsită în pachetul cerere. Astfel putem să distribuim

o sarcină de lucru pe mai multe servere, chiar dacă utilizatorilor din Internet li se pare

că lucrează cu un singur calculator gazdă.

Modelul

25

OSI Modelul TCP/IP

Protocolul IP plasează informaţiile de antentet în datagrama care poate fi folosită de

filtrul de pachete.

IP este protocolul de bază utilizat pentru mutarea pachetelor dintr-un loc în altul IP pune

la dispoziţie un serviciu de reţea fără conexiune şi fără confirmare. Deoarece IP este fără

conexiune, fiecare pachet este independent. IP analizează informaţiile de antet ale unui

pachet şi foloseşte aceste informaţii pentru a trimite pachetul către destinaţia finală. IP nu

este interesat dacă pachetele ajung în ordinea în care au fost expediate.

IP este fără confirmare. IP nu oferă nici un mecanism pentru a determina dacă un pachet mai

ajunge la destinaţie. Protocolul nu face decât să trimită pachetul şi presupune fie că acesta va

ajunge unde trebuie, fie că un alt protocol va fi responsabil pentru această verificare.

IP nu este interesat de calea pe care circulă un pachet atunci când traversează Internetul.

IP preia datele de stratul gazdă -la-gazdă şi le fragmentează în pachete numite datagrame de

o dimensiune care poate fi transferată prin reţea. La destinaţie, IP reasamblează aceste

datagrame şi le transferă în sus în stiva de protocoale. Pentru ca fiecare pachet să fie livrat,

protocolul Internet plasează adresele IP sursă şi destinaţie în antetul pachetului. De

asemenea efectuează un calcul al sumei de control a informaţiilor din antet pentru a se

asigura de corectitudinea acestora, însă nu efectuează această funcţie şi pentru zona de date a

pachetului. O altă funcţie importantă în Internet este controlul traficului. Mesajul de oprire a

sursei poate fi transmis pentru a comunica unei gazde sursă că gazda destinaţie nu poate ţine

pasul cu viteza de transmitere a pachetelor. Calculatorul destinaţie continuă să trimită aceste

mesaje de oprire până când sursa reduce viteza de transmisie la o valoare acceptabilă.

Aplicaţie Prezentare Sesiune Transport Reţea Legătură de date Stratul fizic

Aplicaţie Transport Reţea Acces La reţea

26

Ruterele folosesc o altă funcţie ICMP valoroasă pentru a comunica unui alt ruter că ştiu o

cale mai bună până la destinaţie. Aceasta se realizează folosind mesajele de redirecţionare.

Ruterele pot folosi, de asemenea, mesajele de depăşire a timpului pentru a indica unui alt

dispozitiv de ce un pachet a fost respins.

Un firewall de tip gazdă ecranată oferă atât protecţia unui filtru de pachete, cât şi

protecţia unei porţi intermediare de aplicaţie.

OO aarrhhiitteeccttuurrăă ddee ssuubbrreeţţeeaa eeccrraannaattăă ffoolloosseeşşttee ddoouuăă ffiillttrree ddee ppaacchheettee ppeennttrruu aa iizzoollaa

rreeţţeeaauuaa LLAANN ddee IInntteerrnneett..

Subreţea LAN Subreţea ecranată internă

Poartă intermediară de aplicaţie Filtru de pachete

Internet

Staţie de lucru

Staţie de lucru

Staţie de lucru

Server

Server

Server

Filtru de pachete

Server intermediar de aplicaţie Filtru de

pachete

Internet

Staţie de lucru

Staţie de lucru

Staţie de lucru

Staţie de lucru

Server

Server

Server

27

6.3. Virusi si alte tipuri de paraziti

Structura formală a viruşilor

•Viruşii Shell: Un virus Shell este unul ce formează un îneliş(shell) în jurul codului

original.În consecinţă, virusul devine program şi programul gazdă original devine o subrutină

internă a codului viral.Un exemplu extrem poate fi cazul în care virusul mută codul original

la o nouă locaţie şi preia identitatea acestuia.Când virusul termină execuţia, el recuperează

codul programului gazdă şi începe execuţia sa.[18]

Viruşii add-on:Mulţi viruşi funcţionează adăugându-şi codul la sfârşitul codului

gazdă(infectat) sau prin relocarea codului gazdă şi adăugarea propriului lor cod la

început.Virusul add-on alterează apoi informaţia de start a programului, executând codul

viral înaintea codului programului principal.Codul gazdă este lăsat aproape neatins; singura

indicaţie vizibilă că un virus este prezent este că fişierul a crescut în dimensiune[18].

Infectarea secvenţei de încărcare(boot) a sistemului de operare

•Secvenţa de boot are, la IBM PC, şase componente:

•A)Rutinele ROM BIOS;

•B)Executarea codului din tabela partiţiilor;

•C)Executarea codului din sectorul de boot;

•D)Executarea codului IO.SYS şi MSDOS.SYS;

•E)Executarea comenzilor Shell din COMMAND.COM;

•F)Executarea fişierului batch AUTOEXEC.BAT.

ROM BIOS

•Când un calculator boot-ează, maşina execută un set de rutine din ROM.Aceste rutine

iniţializează hardware-ul şi furnizează un set de rutine de intrare-ieşire de bază, ce pot fi

folosite pentru accesarea discurilor, ecranului şi tastaturii sistemului.Aceste rutine constituie

BIOS-ul(Basic Input/Output System).

•Rutinele din ROM nu pot fi infectate cu cod viral deoarece sunt prezente într-o memorie

care permite numai citirea

•Câţiva producători furnizează în prezent extensii ROM , ce conţin şi componentele

următoare al secvenţei de boot-are:tabela partiţiilor şi codul din sectorul de boot.Această

tendinţă reduce vulnerabilitatea la infecţii virale dar, de asemenea, poate reduce flexibilitatea

şi configurabilitatea sistemului final.

28

Tabela partiţiilor

•Codul ROM execută un bloc de cod memorat la o bine cunoscută locaţie de pe hard –disc

(cap 0, pista 0, sector 1).Partiţiile logice ale hard-discului , dimensiunea fiecărei partiţii este

memorată în tabela partiţiilor, care conţine şi un bloc de cod responsabil pentru localizarea

blocului de boot pe una din partiţiile logice.Codul din tabela partiţiilor poate fi infectat de un

virus.

Codul din tabela partiţiilor poate fi infectat de un virus, dar lungimea blocului de cod este de

numai 446 de octeţi.Astfel, o abordare obişnuită o reprezintă ascunderea tabelei partiţiilor

originale la o locaţie cunoscută de pe disc şi apoi legarea acestui sector la codul viral din

tabela partiţiilor.Această tehnică este folosită,de exemplu de virusul New Zealand[18].

Sectoarele de boot-are

Codul din tabela partiţiilor localizează primul sector de pe partiţia logică, cunoscut sub

denumirea de sector de boot.(Dacă este introdus un floppy dsk, ROM-ul va executa codul din

sectorul de boot al acestuia, cap 0, pista 0, sector 1 ).Sectorul de boot conţine blocul

parametrilor BIOS(BPB).BPB-ul are informaţii detaliate despre organizarea sistemului de

operare pe disc,precum şi codul de localizare a fişierului IO.SYS.Acest fişier conţine stadiul

următor din secvenţa de boot-are.Sectorul de boot este o ţintă obişnuită pentru

infectare.Spaţiul disponibil în sectorul de boot este limitat la mai puţin de 460 de octeţi

•De aceea, tehnica relocării sectorului original de boot, cât timp se umple primul sector cu

cod viral, este folosită şi aici.

•Un exemplu tipic de astfel de virus de “ sector de boot” a fost virusul Alameda.Acest virus

relocatează sectorul original de boot la pista 39, sector 8, şi-l înlocuieşte cu propriul său cod

viral.Viruşii de sector de boot sunt periculoşi deoarece aceştia capturează controlul

sistemului de calcul chiar din secvenţa de boot-are , înainte ca orice antiviral să devină

activ[19].

MSDOS.SYS, IO.SYS,interpretorul de comenzi

•Sectorul de boot încarcă apoi fişierul IO.SYS, care face mai departe iniţializările de sistem,

apoi încarcă sistemul de operare.Aceste fişiere sistem pot fi subiectul unor infectări

virale.Codul MSDOS.SYS execută apoi programul interpretor de comenzi

COMMAND.COM .Acest program furnizează interfaţa cu utilizatorul.

interpretorul de comenzi

29

–Programul COMMAND.COM poate fi infectat, la fel ca şi orice fişier binar executabil

.COM sau .EXE.Fişierul COMMAND.COM este ţinta preferată a virusului Lehigh, care a

surprins Universitatea Lehigh în 1987.Acest virus provoacă distrugerea datelor de pe hard-

disk,după ce s-a răspândit la 4 fişiere COMMAND.COM.

Fişierele de comenzi AUTOEXEC

•Programul COMMAND.COM, următorul în secvenţa de boot-are, execută o listă de

comenzi memorate în fişierul AUTOEXEC.BAT. Acesta este un fişier text simplu, ce

conţine comenzi ce vor fi executate de interpretor.Un virus poate modifica acest fişier prin

includerea sa la execuţia fişierului.

Infectarea unui program utilizator

•Un al doilea grup major de viruşi se răspândeşte infectând fişiere cu cod

program.Pentru a infecta un fişier cod, virusul trebuie să-şi înscrie codul într-un astfel de

mod încât el să se execute înaintea programului gazdă infectat.Aceşti viruşi apar sub două

forme:

•suprascriere,când virusul îşi scrie propriul cod direct peste programul gazdă,

distrugând parţial sau total codul acestuia.Programul gazdă nu se va mai executa corect după

infectare;

•Fără suprascriere, caz în care virusul relocatează codul gazdă; astfel, codul este

încărcat şi programul gazdă se poate executa normal.O variantă obişnuită pentru fişierele

.COM, este să exploateze faptul că multe dintre acestea conţin un jump la începutul codului

executabil.Virusul poate infecta programele memorând acest jump şi apoi înlocuindu-l cu un

jump la propriul cod

•Când programul infectat se execută, este executat codul virusului.Când virusul se termină,

sare la începutul codului programului original folosind adresa jump memorată.

În cazul viruşilor cu suprascriere, strategia mai complexă de infectare se referă la un mic bloc

din program, deşi programul original este intact.Aceasta înseamnă că programul original

poate fi startat,deşi adesea, el va semnaliza erori sporadice sau va avea un comportament

anormal

Viruşi rezidenţi în memorie

•Cei mai de “succes” viruşi folosesc o varietate de tehnici de rămânere rezidentă în memorie,

odată ce propriul lor cod a fost executat şi programul lor gazdă s-a terminat.Există 2 categorii

de viruşi rezidenţi în memorie:

30

•Tranzient, dacă codul viral este activ numai când porţiunea infectată a programului

gazdă este în curs de execuţie;

•Rezident,dacă se copiază într-un bloc de memorie şi “aranjează” să rămână activ

după ce programul gazdă s-a terminat.Ei sunt cunoscuţi ca viruşi TSR(Terminate and Stay

Rezident

Viruşi rezidenţi în memorie sunt toţi viruşii de sector de boot

(Israeli,Cascade,Traceback).Virusul infectează de asemenea întreruperile standare folosite de

către BIOS, aşa încât el este apelat involuntar de către alte aplicaţii, atunci când acestea fac

cereri de servicii ale sistemului de operare.Întreruperile hardware şi software gestionează

evenimentele asincrone şi apelează funcţiile sistem.

CCâânndd ssoosseeşşttee oo îînnttrreerruuppeerree,, ssiisstteemmuull ddee ooppeerraarree aappeelleeaazzăă rruuttiinnaa aa ccăărreeii aaddrreessăă ssee

ggăăsseeşşttee îînn ttaabbeellaa vveeccttoorriilloorr ssaauu ttaabbeellaa îînnttrreerruuppeerriilloorr..AAcceeaassttăă ttaabbeellăă ccoonnţţiinnee ppooiinntteerr--ii ccăăttrree

rruuttiinneellee ddee ttrraattaarree aaffllaattee îînn RROOMM ssaauu îînn ppoorrţţiiuunniillee DDOOSS--uulluuii rreezziiddeennttee îînn mmeemmoorriiee..UUnn vviirruuss

ppooaattee mmooddiiffiiccaa aacceeaassttăă ttaabbeellăă,, aaşşaa ccăă îînnttrreerruuppeerreeaa ppooaattee ffaaccee ssăă ffiiee eexxeeccuuttaatt ccoodduull

vviirraall((rreezziiddeenntt îînn mmeemmoorriiee))

31

7. Biblografie [1] Phillip T. Rawles , Administering Your Network din “High-Performance Networking Unleashed”, Macmillan Computer Publishing [2] Andrew S. Tanenbaum “Retele de calculatoare” Computer Press Agora 1998, pag. 347-

386

[3] http://searchnetworking.techtarget.com/gDefinition/0,294236,sid7_gci212176,00.html\

[4] Tim Parker, Mark Sportack “TCP/IP” Editura Teora 2002

[5] Adrian Minta Ghe., Performantele retelelor de calculatoare, referat doctorat, Universitatea

Politehnica Bucuresti

[6] http://inginerie.protectia-mediului.ro/calculatoare/ghid_retele/05-3-transport.htm#

Controlul%20congestiei

[7] http //windows.about.com/library/weekly/aa010325a.htm

[8] http://www.dataman.ro

[9] http://www. Information Technology Division.htm

[10] http:// www.ch12_02.htm

[11] http://www. Sistemul de autentificare KERBEROS.htm

[[1122]] LLiivviiuu MMaarriiccaa –– ““BBaatteerriiii iinntteelliiggeennttee.. PPaazznniicciiii ddiinn ccuuttiiee..””,, RReevviissttaa XXttrreemmPPCC,, nnrr.. 4499,,

DDeecceemmbbrriiee 22000033

[[1133]] wwwwww..aappcc..ccoomm

[[1144]] wwwwww..mmuusstteekk..ccoomm//eeuurrooppee

[[1155]] LLiinnuuxx TTeerrmmiinnaall SSeerrvveerr PPrroojjeecctt -- wwwwww..ssnnss..rroo//ddoowwnnllooaadd//ssttuuddiiuu__llttsspp..ppddff

[[1166]] CCaattaalliinn CCoonnssttaannttiinn,, IIoonnuutt BBaallaann,, MMiirrcceeaa MMiihhaallcciiccaa -- ““””CCoonnffiigguurraarreeaa rreetteelleeii””,, RReevviissttaa

CChhiipp,, nnrr.. 55//22000033

[17] Cost Analysis Using CiscoWorks LAN Management Solution - White paper

hhttttpp::////wwhhiitteeppaappeerrss..iinnffoorrmmaattiioonnwweeeekk..ccoomm//ddeettaaiill//RREESS//11005577885588111188__2200..hhttmmll

[18] Victor-Valeriu Patriciu, Monica Pietroşanu-Ene,Ion Bica, Costel Cristea – Securitatea

informatică în Unix şi Internet- Editura Tehnică – 1998.

[19] Ion Bogdacenco- http://www.cahul.iatp.md/netack

[20] Terry William Ogletree – Protecţia reţelelor conectate la Internet- 2001

[21] Terry William Ogletree – The First Line of Defense- P.C.Magazine-12 iunie 2001

[22] Adrian Radu – NET Report – 2001 “The Evolution of the Firewall Industry”.