administrarea retelelor
Post on 14-Jan-2016
68 Views
Preview:
DESCRIPTION
TRANSCRIPT
1
ADMISTRARE DE RETEA
• Bucos Constantin Marian • Betej Bogdan Ilie • Cater Gheorghe • Boicean Oana •
Universitarea ”Politehnica” Timisoara
Facultatea de Electronica si Telecomunicatii Departamentul Comunicatii
Ianuarie 2004
Bucos Constantin Marian – capitolele 2, 3
Betej Bogdan Ilie – capitolul 5
Cater Gheorghe – capitolul 6
Boicean Oana – capitolul 4
1. Cuprins
1. Cuprins...................................................................................................................1
2. Administrarea configuratiei - Administrarea adreselor retelei...............................2
2.1. Rolul adreselor de retea...................................................................................2
2.2. IP Internet Protocol..........................................................................................3
2.3. IPX Internet Packet Exchange.........................................................................3
2.4. Structura claselor de adrese IP.........................................................................4
2.5. Servicii de numire DNS...................................................................................5
2.6. Functionarea sistemului DNS..........................................................................5
3. Controlul congestiei................................................................................................6
3.1. Principii generale ale controlului congestiei...................................................6
3.2. Tipuri de algoritmi pentru controlul congestiei .............................................7
3.3. Politici pentru prevenirea congestiei...............................................................7
3.4. Formarea traficului..........................................................................................8
3.5. Algoritmul galetii gaurite................................................................................8
3.6. Imprastierea pachetelor...................................................................................9
4. Administrarea conturilor de utilizator.....................................................................9
4.1. Conturi de utilizator........................................................................................9
4.2. Autentificarea.................................................................................................10
2
4.3. Protocolul Kerberos.........................................................................................12
5. Administrarea performantelor.......................................................................................14
5.1. Surse de tensiune de rezervă (UPS) ................................................................14
5.2. Protectia datelor...............................................................................................15
5.3. Tratarea erorilor..............................................................................................16
5.4. Administrare platforme software....................................................................17
5.5. Administrarea hardware..................................................................................20
6. Administrarea securitatii...............................................................................................20
6.1. Amenintari de securitate.................................................................................20
6.2. Firewall-uri.....................................................................................................21
6.3. Virusi si alte tipuri de paraziti........................................................................27
7. Biblografie....................................................................................................................31
2. Administrarea configuratiei - Administrarea adreselor retelei
Conform [1] atribuirea adreselor de retea statiilor retelei reprezinta una dintre
primele sarcini pe care trebuie sa le indeplineasca administratorul unei retele in procesul de
configurare a acesteia. Acest proces presupune si pastrarea unei liste cu adrese de retea
pentru realizarea modificarilor ce apar de-a lungul timpului.
2.1. Rolul adreselor de retea
Intr-o retea fiecare statie este identificata printr-o adresa unica, denumita adresa de
control acces media (MAC - Media Access Control Address) sau adresa fizica. Aceasta
adresa, ce este atribuita de producatori fiecarei placi de retea, este pe 48 de biti si permite
trimiterea mesajelor catre statia pe care o identifica. Primii 24 de biti ai adresei reprezinta
producatorul , iar urmatorii 24 sunt atribuiti succesiv.
De asemenea retelele folosesc adrese logice pentru a identifica statiile si pentru a
facilita trimiterea de mesaje intre retele. Aceste adrese logice sunt denumite uzual adrese de
retea, si sunt formate dintr-un numar de retea si un numar de statie. Numarul de retea
identifica unic segmentul de retea caruia ii apartine statia, iar numarul statiei identifica unic
statia dintr-un segment. Fiecare protocol de retea utilizeaza propria schema de adresare
logica a retelei. [1]
3
2.2. IP Internet Protocol
Adresele folosite in protocolul IP sunt numere pe 32 de biti. Fiecare calculator din
retea trebuie sa aiba un numar unic. Daca reteaua este locala si nu are conexiune TCP/IP cu
alte retele se pot alege numere dupa cum se doreste. Insa, pentru masini legate la Internet,
numerele sunt date de catre o organizatie centrala, si anume NIC (Network Information
Center). Pentru citirea mai usoara, adresele IP sunt impartite in patru numere de 8 biti numite
octeti. Alt motiv pentru care se foloseste aceasta notatie este ca adresele IP sunt impartite in
numere de retea, care sunt continute in octetii din fata, si numere de gazde, care reprezinta
restul. Cand cereti de la NIC adrese IP, nu veti obtine cate o adresa pentru fiecare gazda pe
care veti vrea sa o folositi ci veti obtine un numar de retea si veti putea folosi toate adresele
IP valide in cadrul acestei retele. In functie de dimensiunea retelei, partea din adresa IP care
reprezinta numarul de gazda poate fi mic sau mare. Conform [2] exista urmatoarele clase de
retele:
• Clasa A cuprinde retelele de la 1.0.0.0 pana la 127.255.255.255. Numarul de retea
este continut in primul octet. Aceasta ofera un 24 de biti pentru numarul gazdei,
permitand in jur de 16 milioane de gazde.
• Clasa B contine retelele de la 128.0.0.0 pana la 191.255.255.255; numarul de retea
este in primii doi octeti. Aceasta permite 16382 retele cu cate 65024 gazde fiecare.
• Clasa C contine retelele de la 192.0.0.0 pana la 223.255.255.255 cu numarul de retea
fiind continut in primii trei octeti. Aceasta permite existenta a aproape 2 milioane de
retele cu cate 254 de gazde fiecare.
• Clasele D,E si F contin adrese intre 224.0.0.0 pana la 254.0.0.0 si sunt fie
experimentale fie sunt rezervate pentru viitor si nu specifica nici o retea.
2.3. IPX Internet Packet Exchange
Netware IPX este un protocol bazat pe datagrame (fara conexiune). Termenul fara
conexiune inseamna ca atunci cand o aplicatie foloseste IPX pentru a comunica cu alte aplicatii
din cadrul retelei, nu este stabilita nici o conexiune sau cale de date intre cele două aplicatii.
Deci, pachetele IPX sunt trimise catre destinatiile lor, dar nu se garanteaza ai nici nu se verifica
faptul ca acestea ajung sau nu la destinatie.
4
In cazul retelelor ce au la baza protocolul IPX fiecare segment de retea (subretea) are
alocat pe server un numar de retea. Administratorul retelei are posibilitatea de a atribui un
anumit numar in retea. Numarul statiei este atribuit automat la boot-area sistemului de
operare.
2.4. Structura claselor de adrese IP
Clasa A 0 Reţea (7 biţi) Adresa locala (24 biţi)
Clasa B 10 Reţea (14 biţi) Adresa locala (16 biţi)
Clasa C 110 Reţea (21 biţi) Adresa locala (8 biti)
Clasa D 1110 Adresa multicast (28 biţi)
Daca 2 statii sunt localizate in segmente de retea diferite, este necesar un al treilea
parametru pentru a specifica mijloacele in care are loc comunicarea intre retele. Acest al
treilea dispozitiv este gateway-ul.
Gateway [3] – punct din retea care se comporta ca si intrare intr-o alta retea;
dispozitiv conectat simultan la 2 retele de calculatoare, utilizand de obicei protocoale diferite,
si care are rolul de a face conversia informatiei dintr-un format specific uneia dintre retele in
cel specific celeilalte, si apoi de a transmite informatia astfel prelucrata.
Spre deosebire de IPX, protocolul IP nu atribuie automat nici o portiune a adresei IP.
Toti parametrii de configurarea retelei trebuiesc atribuiti de catre administratorul retelei. Pe
langa metoda manuala exista si 2 metode automate: protocolul bootstrap si protocolul
configurarii dinamice a gazdei (DHCP).
Protocolul bootstrap (BootP) a fost prima metoda dezvoltata pentru automatizarea
procesului de configurare IP. Procedura de baza este urmatoarea: in mamentul incarcarii
sistemului statia difuzeaza un mesaj in retea si intreaba daca cineva are configuratia IP a
statiei respective. Un server BootP localizat in acelasi segment de retea examineaza adresa
MAC a statiei si o verifica in tabelul adreselor MAC cunoscute. Daca adresa MAC este in
tabela serverului, acesta returneaza configuratia IP asociata cu adresa MAC a statiei. Daca nu
raspunde nici un server, procesul BootP esueaza si statia nu poate fi utilizata pana cand nu
exista o metoda de atribuire a adresei ce se desfasoara cu succes.[1]
Laptop-urile, care sunt conectate doar ocazional la retea, necesita o adresa de retea
rezerva pentru ele tot timpul. Deoarece exista un numar limitat de adrese de retea intr-un
segment de retea, acest lucru limiteaza teoretic numarul de statii care pot fi conectate.
5
O alta deficienta a BootP o reprezinta efortul administrativ mecesar. Oricand un nou
dispozitiv de retea, care necesita configurarea prin BootP, este pus in functiune sau este
mutat intr-o alta retea, administratorul trebuie sa editeze inregistrarile ce contin adresa
dispozitivului afectat de pe server-ul BootP. Deoarece protocolul BootP utilizeaza adresele
MAC pentru identificarea statiilor, inlocuirea placilor de retea necesita ca actualizarea
serverului BootP.
Pentru a rezolva aceste probleme, o noua strategie de atribuire automata a adreselor
IP a fost dezvoltata. Protocolul de configurare dinamica a gazdei (DHCP) asigura mijloacele
pentru atribuirea dinamica a adreselor IP. Statia transmite o cerere catre serverul DHCP ;
acesta verifica sa vada daca are definita o adresa statica pentru adresa MAC a statiei care a
realizat cererea.. Daca exista se returneaza parametrii configuratiei IP pentru adresa MAC a
statiei, in caz contrar serverul DHCP va selecta o adresa din lista de adrese disponibile si o
atribuie statiei. [1]
2.5. Servicii de numire DNS
Pentru a utiliza mai usor adresele IP, s-a incercat atribuirea de nume unor adrerse IP
utlizate frecvent (adrese de server). Administrarea numelor atribuite se realizeaza greoi fara
un sistem centralizat, deoarece calculatorul client trebuie sa identifice adresa IP a
calculatorului adresat (server) inainte de a initia comunicarea cu acesta. Astfel trebuie
mentinuta o tabela in care sa se memoreze corespondenta intre nume si adresa IP.
In Internet functioneaza un sistem centralizat care gestioneaza corespondenta intre
numele unui domeniu si adresa IP a calculatorului gazda. Acest sistem se numeste Domain
Name Service (sau System) –DNS. Acest proces de identificare dupa nume a unui calculator
gazda necesita o retea de servere DNS. Toate aceste servere sunt conectate la o companie
numita Network Solutions Inc. situata in Virginia – SUA, cunoscuta si sub numele de
InterNIC, si care este insarcinata cu administrarea distribuirii si proprietatii numelor de
domeniu.
2.6. Functionarea sistemului DNS
Structura sistemul DNS este ierarhica. Reteaua de servere DNS administreaza nume
de domenii organizate ierarhic. In varful ierarhiei domeniilor Internet sunt o serie de domenii
numite Top Level Domain (TLD) [4]. Cele mai cunoscute sunt .com, .edu, .gov, .net, .org.
6
Fiecare tara are atribuit un TLD format din doua litere: .ro, .uk, .fr, .de s.a. Alte subdomenii
sunt inregistrate in cadrul unui TLD la InterNIC. Fiecare domeniu inregistrat la InterNIC
trebuie incadrat intr-un TLD. Serverele DNS au capacitatea de a delega autoritatea de
rezolvare a numelor de domeniu. Astfel pentru adresa www.utt.ro serverul DNS va delega
autoritatea spre serverul ce administreaza TLD-ul .ro; care va delega autoritatea spre serverul
DNS administrat local utt.ro care va rezolva domeniul final www.utt.ro
3. Controlul congestiei
Congestia reprezinta acel proces de pierdere a pachetelor, transmise prin retea, din
cauza lipsei de spatiu in buffere-le de stocare a concentratorilor instalati in reteaua respective.
Conform [2] in momentul in care foarte multe pachete sunt prezente intr-o subretea
performantele se degradeaza. Situatia care apare se numeste congestie. Cand numarul de
pachete emise in subretea nu depaseste capacitatea de transport, ele sunt livrate integral, iar
numarul celor livrate este proportional cu numarul celor emise.
Factori care determina congestia:
- pachetele se emit in rafale;
- nu exista suficienta memorie pentru a le pastra pe toate;
- unitatea centrala a ruterului este lenta in executia functiilor sale;
- latimea de banda a liniei de comunicatii este scazuta.
3.1. Principii generale ale controlului congestiei
Intr-o retea congestia poate fi monitorizata prin diversi parametrii:
- procentul din totalul pachetelor care au fost distruse din cauza lipsei spatiului
temporar de memorare;
- lungimea medie a cozilor de asteptare, numar de pachete care sunt retransmise pe
motiv de time-out;
- intarzierea medie a unui pachet;
- deviatia standard a intarzierii unui pachet.
De asemenea poate fi rezervat un bit sau un camp in fiecare pachet, pentru a fi
completat de rutere daca congestia depaseste o anumita valoare de prag. Cand un ruter
detecteaza congestia, el completeaza campurile tuturor pachetelor expediate pentru a-si
preveni vecinii.
7
Deci TCP isi imagineaza ca atunci cind un pachet nu este confirmat in timp util, s-a
pierdut fie pachetul fie confirmarea, deci reteaua este congestionata. Ca atare, trimitatorul
reduce rata de transmisiune, pentru a reduce numarul de pachete din retea.
Dacă toti transmitatorii care detecteaza congestie reduc rata simultan, efectul este ca
ruterele din retea primesc mai putine date la intrare, si au timp sa goleasca pachetele stocate
in memorie trimitindu-le la destinatie. Pentru ca marea majoritate a calculatoarelor din retea
folosesc protocolul TCP, acest comportament duce la disparitia congestiei.
Controlul congestie se poate face prin:
- sporirea resurselor (suplimentare a latimii de banda, folosire de rutere
suplimentare);
- reducerea incarcarii (interzicerea unor servicii, degradarea serviciilor pentru
utilizatori si planificarea cererilor utilizatorilor). [6]
3.2. Tipuri de algoritmi pentru controlul congestiei
Algoritmii pentru controlul congestiei sunt de doua feluri: algoritmi cu bucla deschisa
si algoritmi cu bucla inchisa.
Algoritmii in bucla deschisa se clasifica la randul lor in:
- algoritmi care actioneaza asupra sursei:
- cu feedback implicit;
- cu feedback explicit.
- algoritmi care actioneaza asupra destinatiei.
In algoritmii cu feedback explicit, pachetele sunt trimise inapoi de la punctul unde s-a
produs congestia catre sursa, pentru a o avertiza. In algoritmii impliciti, sursa deduce
existenta congestiei din observatii locale, cum ar fi timpul necesar pentru intoarcerea
confirmarilor. [2]
In general pachetele sunt pierdute din doua motive:
- datorita erorilor de transmisie;
- datorita congestiilor din retea.
Controlul congestiei presupune implementarea de mecanisme adecvate in punctele de
acces si in routerele intermediare. [5]
3.3. Politici pentru prevenirea congestiei
8
Pentru minimizarea congestie se utilizeaza politici corespunzatoare, la diferite
niveluri.
Nivel Politica
Transport Politica de retransmitere
Politica de memorare temporara a pachetelor
Politica de confirmare
Politica de control al fluxului
Determinarea timeout-ului
Retea Plasarea in cozi de asteptare a pachetelor si politici de servire
Politica de distrugere a pachetelor
Algoritmi de dirijare
Gestiunea timpului de viata al pachetelor
Legatura de
date
Politica de retransmitere
Politica de memorare temporara a pachetelor
Politica de confirmare
Politica de control al fluxului
3.4. Formarea traficului
Cauza principala care determina congestia intr-o retea este traficul in rafala. Pentru
controlul congestiei se utilizeaza impunerea unei rate previzibile cu care sa fie transmise
pachetele. Abordarea este larg raspandita in retelele ATM si poarta denumirea de formarea
traficului. Formatarea traficului este folosita penrtu reducerea congestiei intr-o retea.
Conform [2] formarea traficului se ocupa cu uniformizarea ratei medii de
transmitere a datelor. La momentul stabilirii unui circuit virtual, utilizatorul si subreteaua
(clientul si furnizorul) stabilesc un anumit model al traficului pentru acel circuit.
3.5. Algoritmul galetii gaurite
Consideram ca avem calculatorul gazda conectat la retea printr-o interfata continand
o coada interna cu capacitate finita.
9
Algoritmul galetii gaurite, propus de Turner, nu este altceva decat un sistem de cozi
cu un singur server si cu timp de servire constant.
Calculatorul gazda poate pune pe retea cate un pachet la fiecare tact al ceasului. Acest
mecanism transforma un flux neregulat de pachete de la procesele calculatorului gazda intr-
un flux uniform de pachete care se depun pe retea, netezind rafalele si reducand mult sansele
de producere a congestiei.
3.6. Imprastierea pachetelor
In momentul in care nici o metoda nu mai ofera rezultate se apleaza la imprastierea
incarcarii.[5] Procesul presupune aruncarea incarcarii care inunda ruterele. Pachetele care
sunt aruncate sunt alese in functie de aplicatia care ruleaza la un moment dat sau in functie de
clasa de prioritate pe care o are pachetul. Clasele de prioritate sunt organizate ierarhic..
Incadrarea pachetelor intr-o clasa de prioritati presupune existenta unui bit
suplimentar in antet, pentru pastrarea prioritatii.
4. Administrarea conturilor de utilizator
4.1. Conturi de utilizator
User Accounts reprezintă mecanismul de accesare a resurselor unei reţele de către o
persoană. La intrarea în reţea utilizatorul trebuie se identifice prin oferirea corectă a User
Account Name şi Password.
Sunt trei tipuri de User Account: Local, Domain şi Built-in [7]
Retea
Calculator gazda
pachet
Interfata continand o galeata gaurita
10
1. Local User Account permite utilizatorului să se conecteze pe un singur
calculator. Acest cont se află într-o bază de date SAM (Security Accounts
Manager), fiecare calculator are o bază de date SAM diferită, deci pentru ca
un utilizator să poată accesa resursele pe mai mult de un calculator cu ajutorul
Local User Account, utilizatorul trebuie să aibă un cont local pe fiecare
calculator.
2. Domain User Account permite accesul în reţea a unui utilizator ca şi în cazul
Local User Account doar că autentificarea este înregistrată de toate
calculatoarele din domeniu . Această metodă este mai convenabilă atât pentru
utilizator cât şi pentru administratorul reţelei.
3. Built-in User Account sunt conturi create la momentul iniţializării.
Pentru o mai bună administrare a reţelelor trebuie să se stabilească o convenţie de
nume şi o politică/ghid pentru parole. Este avantajoasă alegerea unei scheme de nume
consistentă prin faptul că utilizatorul işi poate alege un nume de cont uşor de memorat şi
administratorul poate găsi mai uşor un utilizator într-o schemă organizată.La alegerea unei
convenţii de nume trebuie respectate următoarele reguli :
• Numele de cont poate conţine de la 1-20 de caractere
• Poate conţine litere mari , mici, numere, dar nu poate conţine caractere
speciale ca : " / \ [ ] : ; | , + = * ? < >
• Numele de cont trebuie sa fie unic în Active Directory
Aspectul important de a avea politică /ghid pentru parole este de a informa utilizatori
asupra acestora.
4.2. Autentificarea
Un utilizator la intrarea intr-o reţea trebuie să se autentifice. Uzual tehnicile de
autentificare se împart în trei categorii fundamentale :
• Autentificare prin cunoştinţe (ceva ce utilizatorul ştie: coduri PIN, coduri de
tranzacţie, parole)
• Autentificare prin posesie (ceva ce utilizatorul are: chei, carduri de
identificare sau alt fel de dispozitive fizice)
• Autentificare prin proprietăţi (identificarea biometrică a utilizatorului cum ar
fi identificarea feţei, imagini ale retinei, şabloane vocale, amprente) [8]
11
Când se doreşte eliminarea memorarii a parolei se poate folosi autentificarea strong
.Spunem ca folosim autentificarea strong atunci când sunt îndeplinite două din condiţiile de
mai sus.[9]
Autentificarea prin parole :
În cele mai multe reţele de calculatoare, protecţia resurselor
se realizează prin login direct folosind parole. Aceasta metodă depinde de capacitatea de
menţinere secretă a parolei.
Această capacitate este afectată de:
• ghicitul sau deducerea parolei
• divulgarea parolei
• folosirea foţei brute(se ghiceşte prin folosirea unor dicţionare de parole sau
prin încercări repetate )
• accesarea fişierului de parole
De aceea se recomandă schimbarea parolei la fiecare trei , şase luni.
Pentru a ascunde parolele decriptate de intruşi , unele sisteme pun la dispoziţie fişiere
«shadow password» . Aceste fişiere au accesul restricţionat. Parolele decriptate sunt ţinute
doar în fişierele «shadow password» care nu pot fi citite de către orice utilizator.
Formatul unui fişier de intrare shadow este următorul:
username:password:lastchg:min:max:warn:inactive:expire:flag
unde:
username- reprezintă numele de intrare a utilizatorului
password- parola
lastchg- data la care a fost schimbată parola ultima dată
min- numărul minim de zile care trebuie să treacă pentru ca parola să poată fi
schimbată din nou
max- numărul maxim de zile pe poate să treacă până când utilizatorul trebuie
să schimbe parola
warn- numărul de zile cu care utilizatorul să fie avertizat că parola expiră
inactive- numărul de zile în care contul poate fi inactive înainte să fie blocat
expire- data când contul va fi blocat
flag- este nefolosit.
12
Deşi scopul principal al fişierului « shadow password » este de a proteja parolele mai
oferă şi alte servicii de securitate.
Unul din aceste servici îl reprezintă « password aging » care este un mecanism care
defineşte un timp de viaţă pentru fiecare parolă., la sfârşitul acest timp acest mecanism
anunţă utilizatorul să schimbe parola,dacă parola nu este schimbată în perioada specificată
parola este îndepărtată şi se blochează automat contul.[10].
Pentru autentificare se poate protocolul Kerberos.
4.3. Protocolul Kerberos
Sistemul de autentificare şi distribuţie a cheilor Kerberos a fost dezvoltat la
Massachusetts Institute of Technology (MIT) pentru a proteja serviciile de reţea oferite de
proiectul Athena .
Scopul sistemului Kerberos este de a permite unui utilizator să se identifice unui
serviciu sau unui server de aplicaţii corespunzător,fără a se necesita trimiterea unor date
secrete care ulterior să poată fi folosite de un utilizator neautorizat. Kerberos necesită
existenţa unui terţ de încredere care serveşte ca centru de distribuţie a cheilor(KDC). KDC-
ul constă din două componente:
• Un server de autentificare (AS1)
• Un număr de servere pentru acordarea biletelor (TGSs2)
În figură se prezintă model Kerberos fundamental şi paşii corespunzători ai
protocolului. Pe partea stângă, rulează utilizatorul. Pentru a folosi serviciile serverului aflat în
partea dreaptă jos, clientul trebuie să se autentifice cu acesta. În această situaţie, este în
sarcina KDC să ofere clientului credenţiale pentru procesul de schimb de autentificare. De
fiecare dată când clientul încearcă să se autentifice serverului, acesta se bazează pe KDC
pentru generarea cheii de sesiune şi distribuirea ei părţilor implicate.
13
Kerberos foloseşte bilete pentru distribuirea cheilor de sesiune.Un bilet este o
înregistrare care poate fi folosită la autentificare. În Kerberos, un bilet este un certificat emis
de KDC şi criptat cu cheia master a serverului. Biletul conţine:
• Cheia de sesiune care va fi utilizată pentru autentificarea între client şi server
• Numele partenerului către care cheia de sesiune a fost emisă
• Un timp de expirare după care cheia de sesiune nu mai este validă
Un bilet Kerberos este întotdeauna criptat cu cheia serverului, cunoscută doar de AS
si de serverul în cauză.
Clientul furnizează AS numele în pasul 1, iar AS caută intrarea corespunzătoare
utilizatorului în baza de date KDC. Parola utilizatorului se foloseşte apoi pentru a cripta un
bilet de acordare a biletului (TGT1) şi TGT-ul este returnat clientului în pasul 2. Clientul cere
utilizatorului să îşi introducă parola, cu care se va cripta TGT. Dacă cheia derivată din parola
utilizatorului poate decripta cu succes TGT, acestuia i se permite accesul.
Pe partea de client, TGT-ul este memorat pentru folosire ulterioară şi anume pentru a
obţine bilete pentru autentificarea în servicii de reţea particulare. Scopul principal al TGT
este deci să faciliteze o singură autentificare pentru utilizatori. Parola este astfel cerută o
singură dată, şi nu de fiecare dată când se cere accesul la un serviciu. Biletele sunt eliberate
de TGS-ul specificat în TGT-ul primit de utilizator. Pentru a obţine un bilet, clientul trimite o
cerere către TGS în pasul 3. Mesajul include numele
serviciului cerut, TGT-ul şi autentificatorul. Acesta din urmă este o informaţie ce poate
proba că a fost generată recent utilizând cheia de sesiune de către client şi server împreună.
14
În particular, autentificatorul conţine numele utilizatorului, adresa de reţea a
clientului şi timpul curent, fiind criptat cu cheia de sesiune returnată în TGT. Autentificatorul
este o schemă simplă pentru a descuraja atacurile replay. Dacă TGS consideră atât biletul cât
şi autentificatorul valid, biletul este returnat în pasul 4. Clientul creează un alt autentificator
şi îl trimite împreună cu biletul de serviciu serverului, în pasul 5. Dacă se cere autentificare
reciprocă, serverul returnează un autentificator în pasul 6.
5. Administrarea platformelor
5.1. Surse de tensiune de rezervă (UPS)
Pentru protecţia calculatoarelor care prin rolul jucat în reţea necesită o funcţionare
neîntreruptă sau a celor pe care pe care se găsesc date importante în cazul fluctuaţiilor de
tensiune sau a întreruperii temporare a alimentării de la reţea este recomandabilă utilizarea
unor surse de rezervă (Unintrreruptible Power Supply).
Acestea sunt compuse în principiu dintr-un acumulator şi convertoare de ca-cc pentru
încărcarea acumulatorilor respectiv cc-ca pentru momentul când preiau ei alimentarea
echipamentelor ataşate. Durata de funcţionare a acestor dispozitive în sarcină este de la
câteva minute la câteva zeci de minute depinzând de mai mulţi factori: numărul de
dispozitive ataşate, puterea consumată de acestea, vechimea acumulatorilor, gradul lor de
încărcare în momentul respectiv.
Există trei tipuri de UPS [12]:
• Online – folosesc un circuit care trece în permanenţă prin baterie. Avantajele
lor sunt: timpul de comutare nul în cazul căderilor de tensiune şi uniformitatea bună a
parametrilor curentului de ieşire. Dezavantajul lor este durata scăzută de viaţă a bateriei.
• Standby sau offline – sunt caracterizate prin existenţa unui circuit de legătură
între intrarea şi ieşirea lor (bypass), comutând pe baterie numai atunci când este necesar. Deşi
timpii de comutare sunt de ordinul milisecundelor folosirea lor nu este recomandată pentru
echipamente foarte importante.
• Line interactive – constituie o combinaţie a celor două anterioare. Astfel atât
timp cât parametrii reţelei se încadrează în parametrii normali, de obicei definibili de către
utilizator, alimentarea se face direct de la reţea. În cazul scăderii tensiunii sub o anumită
15
limită a tensiunii de alimentare diferenţa este asigurată de către acumulator. Sunt cele mai
răspândite.
Preţul unor astfel de dispozitive este dictat de dotarea acestora: număr de dispozitive
posibil a fi deservite simultan, existenţa protecţiei şi pentru o linie telefonică, elemente
inteligente (leduri de autodiagnosticare şi/sau software de management)
Se recomandă folosirea unor astfel de surse în acelaşi timp cu realizarea de copii de
siguranţă a datelor în mod bine planificat.
5.2. Protecţia datelor
În orice reţea există unul sau mai multe calculatoare – de obicei cele cu rolul de
server (de fişiere, de baze de date, de nume de domenii, etc.) – care stochează la un moment
dat date de importante pentru entitatea (compania, universitatea, etc.) proprietară a reţelei
respective precum şi pentru partenerii acelei entităţi. Aceste calculatoare se pot confrunta la
un moment dat cu anumite disfuncţionalităţi. Acestea pot fi de tip hardware – defectarea
mediului curent de stocare a informaţiei, software – coruperea unei aplicaţii şi implicit a
datelor gestionate de ea, atacuri din exterior, sau pur şi simplu atingerea limitei superioare a
capacităţii de stocare. Apare deci nevoia unei soluţii alternative de păstrare a datelor.
Realizarea unor copii de siguranţă a anumitor fişiere - backup - este deci o operaţie
esenţială. Backup-ul poate fi automatizat, realizat prin programarea unor procese pe
calculatorul vizat, care nu necesită intervenţie umană decât în momentul setării preferinţelor,
posibil de implementat în principiu sub orice sistem de operare (ex. în fiecare zi la ora 2AM
(când, in principiu, nu lucrează nimeni) se face o copie de siguranţă a anumitor fişiere
modificate în ziua respectivă) sau întâmplător, determinat de anumite necesităţi cum ar fi
intervenţii sensibile asupra sistemului de operare, necesitând intervenţia unui operator uman.
De obicei backup-ul fişierelor de configuraţie ale sistemului şi aplicaţiile se face mai
rar, pe când fişierele utilizatorilor, care sunt modificate mai des, trebuie salvate mai des.
Bazele de date care prin natura lor suferă schimbări dese ar trebui să fie salvate la câteva ore.
În principiu există trei tipuri de backup [1]:
• Complet: se salvează toate fişierele indiferent dacă au fost modificate sau nu.
• Diferenţial: salvează numai acele fişiere care s-au modificat de la ultimul
backup complet.
16
• Incremental: salvează fişierele care s-au modificat de la ultimul backup
indiferent de tipul acestuia.
Un mod simplu de a proteja datele dacă acestea nu au dimensiuni foarte mari este
utilizarea unui hard-disk secundar pe care un program utilitar să facă o salvare a unor fişiere
critice la anumite intervale de timp. Astfel în cazul apariţiei unor probleme la hard-diskul
principal vom avea la dispoziţie o copie recentă a fişierelor necesare.
Suportul pe care se realizează backup-ul poate fi de diverse tipuri: dischete, discuri
Zip, benzi magnetice, harddiskuri, discuri optice incriptibile/reinsciptibile(CD-R/CD-RW,
DVD-R/RW), etc.
În general dacă este vorba de date care odată salvate trebuie salvate o perioadă
îndelungată fără a le aduce modificări atunci se folosesc suporturi care permit o singură
inscripţionare, acestea având un preţ mai scăzut. Dacă însă este vorba despre fişiere a căror
durată de relevanţă este scăzută atunci este preferat un mediu de stocare ce suportă mai multe
inscripţionări preţul mai mare fiind amortizat prin folosiri multiple.
5.3. Tratarea erorilor
Indiferent de măsurile luate pentru evitarea apariţiei erorilor, într-o anumită măsură
apariţia acestora este inevitabilă. De aceea trebuie luat în calcul un mecanism de lucru pentru
cazurile în care în ciuda tuturor elementelor preventive anumite erori apar, mecanism
denumit în lucrările de specialitate „fault management”.
Ideea este să realizăm în aşa fel sistemele încât acestea să aibă o anumită toleranţă la
erori, astfel că la apariţia unei astfel de erori să sistemul în cauză să nu îşi întrerupă
funcţionarea.
Cea mai evidentă implementare a unor astfel de sisteme este introducerea unor
elemente de redundanţă în construcţia lor. În principiu este vorba de existenţa unui
echipament principal (harddisk, memorie, sursă de tensiune, echipamente de reţea) având
rolul de a efectua sarcinile obişnuite în acel sistem sau reţea şi unul (sau mai multe)
echipamente de rezervă capabile să preia funcţiile primului în cazul defectării acestuia[1].
Avantajul lor este evident: funcţionarea neîntreruptă a sistemelor de calcul sau a
reţelei. Dezavantajul major este la rândul său uşor de dedus: este vorba de costul
implementării unor astfel de soluţii, ajungând la dublarea preţului iniţial ţinând cont că pe
lângă elementele de redundanţă mai trebuie implementate şi soluţii de monitorizare extrem
de fiabile.
17
Pentru acele dispozitive care sunt critice în cadrul sistemului în care funcţionează şi
în acelaşi timp dificil de duplicat, cum ar fi serverele de fişiere, subsistemele cu şanse mari
de defectare trebui identificate şi duplicate. Acestea poartă numele de subsisteme redundante.
O implementare des întâlnită a lor este în serverele de reţea în „şirurile”de harddiskuri.[1]
Sistemul RAID (Redundant Arrays of Inexpensive Disks) foloseşte câteva harddiskuri
obişnuite în sistem „cluster” care pe lângă o funcţionare cu parametrii superiori au meritul că
sunt văzute de sistemul de funcţionare drept un singur volum logic. Astfel datele vitale pot fi
stocate pe două sau mai multe discuri în acelaşi timp, în multe astfel de sisteme înlocuirea
unui disc defect se poate face fără întreruperea funcţionării şi în plus costul lor (o spune zi
numele) este rezonabil în raport cu avantajele aduse.
Datorită preţului ridicat al soluţiilor de tip redundant denumite şi soluţii de tip „hot
backup” nu orice echipament poate fii un candidat potrivit pentru a fii luat în calcul la
achiziţionarea lor ( staţiile de lucru obişnuite cu siguranţă nu)
Există şi un al doilea tip de strategie care este aplicabilă unei categorii de
echipamente de asemenea cu un grad ridicat de importanţă fără a fii însă critice scurte
întreruperi în funcţionarea lor. În cazul lor se asigură existenţa unui echipament similar de
rezervă(mai ales pentru dispozitivele de acelaşi tip răspândite în reţea precum switchuri,
routere etc.), iar personalul calificat va înlocui dispozitivul defect în cel mai scurt timp
posibil.
Strategia se mai numeşte şi „warm backup” sau „warm swap”[1].
5.4. Administrarea Platformelor Software
In cadrul administrării reţelei este una dintre operaţiile cele mai mari consumatoare de
resurse financiare, umane şi de timp. De aceea trebuie acordată o atenţie deosebită acestui
capitol.
Un prim pas esenţial constă în alegerea sistemului (sau sistemelor) de operare din
reţea. Pentru aceasta trebuie să see ţţiinnăă ccoonntt ddee oo sseerriiee ddee ffaaccttoorrii::
•• ssccooppuull rreessppeeccttiivvuulluuii ssiisstteemm ddee ooppeerraarree.. EEssttee aarrgguummeennttuull ddeecciissiivv îînn aalleeggeerreeaa îînnttrree
ddiivveerrsseellee ssiisstteemmee ddee ooppeerraarree eexxiisstteennttee..
•• pprreeţţuull ddee iimmpplleemmeennttaarree eessttee îînnttoottddeeaauunnaa uunn aarrgguummeenntt iimmppoorrttaanntt.. PPooaattee ffii ccrriitteerriiuull ddee
ddeeppaarrttaajjaarree îînnttrree ssiisstteemmee ssiimmiillaarree.. SSee iiaa îînn ccaallccuull aattââtt pprreeţţuull ssiisstteemmuulluuii ddee ooppeerraarree îînn ssiinnee ccââtt
şşii aa eevveennttuuaalleelloorr aapplliiccaaţţiiii ccee vvoorr rruullaa ppee uunn aassttffeell ddee ssiisstteemm
18
•• aarrhhiitteeccttuurraa rreeţţeelleeii şşii ggrraadduull ddee iimmpplleemmeennttaarree llaa mmoommeennttuull rreessppeeccttiivv..
•• aarrhhiitteeccttuurraa ffiizziiccăă oo ppllaattffoorrmmeelloorr eexxiisstteennttee ssaauu aa cceelloorr ccaarree ssee vvoorr aacchhiizziiţţiioonnaa îînn vviiiittoorr..
AAcceesstteeaa ttrreebbuuiiee ssăă aaiibbăă aannuummiittee ccoonnffiigguurraaţţiiii ccaarree ssăă ccoorreessppuunnddăă cceerriinnţţeelloorr ssppeecciiffiiccee aallee
rreessppeeccttiivvuulluuii ssiisstteemm ((ccaappaacciittaattee mmeemmoorriiee,, vviitteezzaa ddee ccaallccuull,, eettcc..))
•• ggrraadduull ddee ffaammiilliiaarriizzaarree aa uuttiilliizzaattoorriilloorr ccuu rreessppeeccttiivvuull ssiisstteemm ddee ooppeerraarree eessttee
iimmppoorrttaanntt îînnttrr--oo rreeţţeeaa mmaaii aalleess ccuu uunn nnuummăărr mmaarree ddee uuttiilliizzaattoorrii.. ÎÎnnssăă pprriinn pprrooggrraammee ddee
iinnssttrruuiirree aa ppeerrssoonnaalluulluuii ssee ppooaattee rreemmeeddiiaa aacceesstt ddeezzaavvaannttaajj..
•• ccoossttuurrii ddee îînnttrreeţţiinneerree îînnsseemmnnâânndd ccoossttuurrii ddee iinnssttaallaarree,, ddee aaddmmiinniissttrraarree,, eettcc.. EEssttee ddee
pprreeffeerraatt ccaazzuull îînn ccaarree ccââtt mmaaii mmuullttee ffuunnccţţiiii ppoott ffii rreeaalliizzaattee llaa ddiissttaannţţăă
•• ssccaallaabbiilliittaatteeaa,, îînn sseennssuull ppoossiibbiilliittăăţţiiii aaddaappttăărriiii rreessppeeccttiivvuulluuii SSOO llaa oo ggaammăă ccââtt mmaaii
llaarrggăă ddee ccoonnffiigguurraaţţiiii şşii ffuunnccţţiiii..
Managementul licenţelor EEssttee uunnuull ddiinn ffaaccttoorriiii cchheeiiee aaii aaddmmiinniissttrrăărriiii rreeţţeelleeii ddeeooaarreeccee llaa nniivveelluull aaccttuuaall,, ccâânndd
aassiissttăămm llaa ssccăăddeerreeaa iimmppoorrttaannttăă aa pprreeţţuulluuii ccoommppoonneenntteelloorr ffiizziiccee ddiinn ssiisstteemm,, ccoossttuurriillee cceellee mmaaii
mmaarrii ddee iimmpplleemmeennttaarree aa uunneeii rreeţţeellee pprroovviinn ddiinn ccoossttuurriillee ddee aacchhiizziiţţiioonnaarree aa pprrooggrraammeelloorr..
PPrrooggrraammeellee ffoolloossiittee ssuunntt ddee ddoouuăă ttiippuurrii::
-- ccoommeerrcciiaallee.. NNeecceessiittăă aacchhiittaarreeaa uunnoorr ttaaxxee ccăăttrree pprroodduuccăăttoorr ppeennttrruu ffoolloossiirreeaa lloorr..
AAcceessttee ttaaxxee ssee aacchhiittăă ppeennttrruu ffiieeccaarree ccooppiiee iinnssttaallaattăă aa rreessppeeccttiivvuulluuii pprrooggrraamm –– uunneeoorrii
ppeennttrruu nnuummăărruull ddee ccooppiiii aallee aapplliiccaaţţiieeii ccaarree rruulleeaazzăă ccoonnccuurreenntt îînn rreeţţeeaa,, ssaauu ppeennttrruu ffiieeccaarree
pprroocceessoorr –– ddeeooccaammddaattăă pprroocceessooaarreellee eexxiisstteennttee ffiizziicc ((ssiisstteemmuull ddee ooppeerraarree ““vveeddee”” ddoouuăă
pprroocceessooaarree îînn ccaazzuull uunnuuii pprroocceessoorr dduuaall ccoorree)) -- îînn ccaazzuull uunnoorr ssiisstteemmee ddee ooppeerraarree ddee ttiipp
sseerrvveerr.. EExx.. ((ffaammiilliiaa ddee SSOO WWiinnddoowwss,, aannuummiittee ddiissttrriibbuuţţiiii ddee UUNNIIXX;; SSGGBBDD –– OOrraaccllee,,
DDBB22,, MMSS SSQQLL,, eettcc))
-- ooppeenn ssoouurrccee:: pprrooggrraammee ccee ppoott ffii ffoolloossiittee îînn mmoodd ggrraattuuiitt ((mmaajjoorriittaatteeaa
ddiissttrriibbuuţţiiiilloorr ddee LLiinnuuxx,, aannuummiittee ddiissttrriibbuuţţiiii ddee UUNNIIXX,, MMyySSQQLL,, OOppeenn OOffffiiccee)),, oo
aalltteerrnnaattiivvăă ddeemmnnăă ddee lluuaatt îînn ccaallccuull..
NNeecceessaarruull ddee ssoofftt şşii ddiissttrriibbuuiirreeaa lluuii
AApplliiccaaţţiiiillee rruullaattee îînnttrr--oo rreeţţeeaa ssuunntt îînn pprriinncciippiiuu ddee ttrreeii ttiippuurrii
-- aapplliiccaaţţiiii iinnddeeppeennddeennttee,, rruulleeaazzăă ddee ssiinnee ssttăăttăăttoorr ppee ffiieeccaarree ssttaaţţiiee îînn ppaarrttee.. ÎÎnn aacceesstt
ccaazz ssee iimmppuunn cceerriinnţţee ssuupplliimmeennttaarree aassuupprraa ppuutteerriiii ddee ccaallccuull aa rreessppeeccttiivveeii ssttaaţţiiii..
-- aapplliiccaaţţiiii ccaarree rruulleeaazzăă ppee uunn sseerrvveerr iiaarr ssttaaţţiiiillee iinntteerraaccţţiioonneeaazzăă ccuu eellee ffăărrăă aa nneecceessiittaa
rreessuurrssee llooccaallee.. CCeerriinnţţeellee ccaarree ssee iimmppuunn aaccuumm ssee aaddrreesseeaazzăă sseerrvveerruulluuii..
19
- aapplliiccaaţţiiii ccoonnssttrruuiittee aassttffeell îînnccââtt rruulleeaazzăă oo ppaarrttee ddiinn pprroocceesseellee nneecceessaarree ppee uunn sseerrvveerr
şşii oo ppaarrttee ppee ffiieeccaarree ssttaaţţiiee îînn ppaarrttee..
Pentru implementarea cu costuri reduse scăzute a unei reţele putem folosi un sistem
de operare de tip open source, un calculator de putere mai mare pe post de server iar
utilizatorii vor interacţiona cu acesta prin intermediul unor staţii cu configuraţii minimale.
Avantajul constă în posibilitatea reutilizării unor sisteme depăşite moral care se pot
achiziţiona la preţuri neglijabile.
EExxeemmpplluu [[1155]]
-- ffoolloossiinndd uunn SS..OO.. GGNNUU//LLiinnuuxx
-- llaa uunn sseerrvveerr ccuu uurrmmăăttooaarreeaa ccoonnffiigguurraaţţiiee:: CCPPUU 22..44GGHHzz,, 22GGbb RRAAMM,, 22 HHDDDD xx
112200GGbb RRAAIIDD ppoossiibbiill aa ffii aacchhiizziiţţiioonnaatt llaa uunn pprreeţţ rreezzoonnaabbiill ssee ppoott aattaaşşaa
-- ppâânnaa llaa 4400 ddee tteerrmmiinnaallee ppeennttrruu lluuccrruu îînn mmoodd tteexxtt ccuu oo ccoonnffiigguurraaţţiiee mmiinniimmăă:: 338866 ccuu
44MMbb RRAAMM
-- ppâânnăă llaa 2200 ddee tteerrmmiinnaallee ppeennttrruu lluuccrruull îînn mmoodd ggrraaffiicc ccuu oo ccoonnffiigguurraaţţiiee mmiinniimmăă::
PPeennttiiuumm llaa 7755MMhhzz ccuu 1166MMBB RRAAMM
--ddaaccãã ppee sseerrvveerr rruulleeaazzãã oo iinnssttaannţţãã aa aapplliiccaaţţiieeii OOppeenn OOffffiiccee ssuunntt nneecceessaarrii 3377MMbb
RRAAMM.. PPeennttrruu ffiieeccaarree nnoouuãã iinnssttaannţţãã rruullaattăă ddee ppee ssttaaţţiiiillee uuttiilliizzaattoorriilloorr mmaaii ssuunntt nneecceessaarrii
ddooaarr 00,,55 MMbb.. PPeennttrruu 4400 tteerrmmiinnaallee ssuunntt nneecceessaarrii 5577MMbb..
EExxeemmpplluull eessttee iilluussttrraatt îînn ffiigguurraa ddee mmaaii jjooss::
Trebuie menţionat că ar fii de dorit ca switchul utilizat să fie de o cât mai bună
calitate deoarece trebuie să facă faţă la volume destul de mari de trafic mai ales pentru lucrul
cu terminale grafice, iar conexiunea dintre server şi acest switch ar trebui să fie de tip Gigabit
(rata de transfer 1Gbps)
20
5.5. Administrarea hardware
În stadiul de achiziţie al echipamentelor trebuie să ţinem cont de câteva criterii:
-- ssăă ffaaccăă ffaaţţăă cceerriinnţţeelloorr iimmppuussee ddee ssiisstteemmuull ddee ooppeerraarree şşii ddee pprrooggrraammeellee ccaarree vvoorr rruullaa ppee
rreessppeeccttiivveellee ppllaattffoorrmmee
-- ddeessttiinnaaţţiiaa rreessppeeccttiivvuulluuii eecchhiippaammeenntt ((iinncclluussiivv îînn vviiiittoorruull pprreevviizziibbiill))
-- pprreeţţuull ssăăuu
-- ttiimmppuull ddee uuzzuurrăă mmoorraallăă aall eecchhiippaammeennttuulluuii
-- ccoossttuull ddee îînnttrreeţţiinneerree aall pprroodduussuulluuii,, ssuunntt şşii aaiiccii ddee pprreeffeerraatt eecchhiippaammeennttee ccee ssee ppoott
aaddmmiinniissttrraa ddee llaa ddiissttaannţţăă
-- iinntteerrooppeerraabbiilliittaatteeaa ccuu cceelleellaallttee eecchhiippaammeennttee ddiinn rreeţţeeaa
-- ssccaallaabbiilliittaattee
EExxiissttăă îînn pprreezzeenntt ppllaattffoorrmmee ddee mmaannaaggeemmeenntt aall rreeţţeelleeii ccaarree ppeerrmmiitt aaddmmiinniissttrraattoorruulluuii
uunneeii rreeţţeellee –– uuttiillee mmaaii aalleess îînn ccaazzuull rreeţţeelleelloorr ddee ttiipp MMAANN ssaauu WWAANN –– ssăă rreeaalliizzeezzee ooppeerraaţţiiii ddee
aaddmmiinniissttrraarree cceennttrraalliizzaattăă aa rreeţţeelleeii.. AAcceessttee pprrooggrraammee ssee ccoommppuunn ddiinn mmoodduullee ddee ttiipp aaggeenntt
ddiissttrriibbuuiittee ppee ttooaattee ssttaaţţiiiillee ddiinn rreeţţeeaa şşii uunn mmoodduull ddee ttiipp mmaannaaggeerr ccaarree ppeerrmmiittee
aaddmmiinniissttrraattoorruulluuii ssăă iinntteerraaccţţiioonneezzee ccuu rreessppeeccttiivveellee ssttaaţţiiii..
AAssttffeell ddee ppllaattffoorrmmee ppeerrmmiitt mmaannaaggeemmeennttuull nnuu nnuummaaii aall ssttaaţţiiiilloorr ddee lluuccrruu ccii şşii aall aallttoorr
eecchhiippaammeennttee ““iinntteelliiggeennttee”” ddiinn rreeţţeeaa ccuumm aarr ffii sswwiittcchhuurrii pprrooggrraammaabbiillee,, rroouutteerree,, UUPPSS--uurrii eettcc..
66.. AAmmeenniinnttaarreeaa sseeccuurriittaattiiii
66..11.. AAmmeenniinnttaarrii ddee sseeccuurriittaattee
Intr-un mediu de reţea, trebuie sa existe garanţia ca datele secrete sunt protejate,
astfel incat doar utilizatorii sa aibă acces la ele. Nu numai protejarea informaţiilor
confidenţiale este importantă, ci şi protejarea operaţiilor efectuate în reţea.
Exista 4 ameninţări majore la securitatea unei reţele:
- accesul ne autorizat
- alterarea electronica a datelor
- furtul de date
- daune intenţionate sau accidentale. [19]
21
Asigurarea securităţii reţelei presupune adoptarea unui set de legi, regulamente si politici, care sa nu lase nimic la voia întâmplării. Elaborarea unei politici de securitate ar putea fi primul pas al unei companii in vederea protejării datelor. Politicile stabilesc orientarea generala si oferă linii directoare pentru administratorii si utilizatorii de reţea, in cazul unor situaţii neprevăzute. Cea mai buna politica de protejare a datelor este prevenirea. Prin prevenirea accesului ne autorizat sau al comportamentului necorespunzător in reţea, datele vor fi in siguranţă.
O prima linie de apărare împotriva utilizatorilor ne autorizaţi este sistemul de autentificare prin parolă. Un alt instrument de prevenire a daunelor accidentale a unor resurse este instruirea utilizatorilor. Aceasta înseamnă că toţi cei care folosesc reţeaua sunt familiarizaţi cu procedurile de operare si de asigurare a securităţii[19].
Un alt factor de protejare a datelor îl reprezintă securitatea fizica a echipamentelor
hardware ale retelei. Gradul de securitate depinde de:
- dimensiunea organizatiei
- confidentialitatea datelor
- resursele disponibile
Modele de securitate
Pentru protejarea datelor si a resurselor hardware sau dezvoltat 2 modele de securitate:
1. partajari protejate prin parola
2. permisiuni de acces.
Aceste modele se mai numesc si securitate la nivel de partajare (share-level), respectiv
securitate la nivel de utilizator (user-level).
6.2. Firewall-uri
Firewall –este un sistem de componente proiectate să controleze accesul la şi din
reţeaua locală şi o reţea externă, pe baza politicilor de securitate valabile în situl propriu şi
denumeşte o gamă largă de produse hardware şi software proiectate să ajute la protecţia
reţelei locale împotriva ameninţărilor externe prin limitarea traficului de reţea care poate să
apară între reţeaua proprie şi Internet.
Tehnologii de bază:
- filtrarea pachetelor ( packet filtering );
- porţile intermediare de aplicaţie( applicaţion proxy gateways).
Caracteristici importante ale unui firewall:
22
- înregistrarea în jurnal, evidenţe de auditare care conţin date statistice şi de securitate
ce pot fi utilizate pentru a ne asigura că reţeaua locală este sigură şi operează eficient;
- avertizarea, pentru a fi atenţionaţi despre evenimentele semnificative, cum ar fi o
tentativă de pătrundere forţată în reţea;
- autentificarea;
- protecţia împotriva protocoalelor şi serviciilor nesigure;
- protecţia informaţiilor despre utilizatori, sisteme, adrese de reţea şi aplicaţiile care
rulează în reţeaua locală de persoanele din afara reţelei;
- pune la dispoziţie o gestiune centralizată a securităţii reţelei faţă de lumea
exterioară;
- translatarea adreselor de reţea(network address translation sau NAT) prin
ascunderea adresei reale de reţea a unui calculator gazdă atunci când acel calculator face
cereri către servere din Internet;
- analizează traficul care intră şi iese din reţeaua LAN şi iau decizii în privinţa
tipurilor de trafic pe care le permit sau le interzic;
Putem crea un firewall propriu folosind un software disponibil prin descărcare din Internet,
cum ar fi TIS(Internet Firewall Toolkit) sau TCP Wrappers în locul unui produs comercial.
Un filtru de pachete decide ce pachete pot călători între reţeaua LAN proprie şi
Internet.
Staţie de lucru
Server
Staţie de lucru
Staţie de lucru
Staţie de lucru
Ruter de filtrare a pachetelor
Internet
23
Pentru a media traficul de reţea între reţeaua LAN proprie şi Internet , poate fi utilizată o gazdă cu două plăci de reţea.
Termenul firewall- a fost adoptat de către experţii în securitate pentru a descrie o
metodă de blocare a pătrunderii intruşilor nedoriţi într-o reţea locală conectată la o reţea mai
mare[21].
OBIECTIV: Ajută la împiedicarea pătrunderii problemelor din alte reţele în reţeaua locală
proprie, fapt care ar putea duce la compromiterea sistemelor şi a datelor.Indeplineşte acest
obiectiv pemiţînd circulaţia unui anumit trafic între reţeaua locală şi Internet şi blocând restul
de trafic.
Obiectivele unui firewall:
- asigură protecţia împotriva protocoalelor şi serviciilor nesigure;
- protejează informaţiile despre utilizatori, sisteme, adrese de reţea şi aplicaţiile care
rulează în reţeaua locală de persoanele curioase din afara reţelei;
- pune la dispoziţie evidenţe de auditare (prin fişiere jurnal) care conţin date statistice şi
de securitate ce pot fi utilizate pentru a ne asigura că reţeaua locală este sigură şi operează
eficient.
Configurarea avertizărilor astfel încât să fim atenţionaţi despre evenimentele
semnificative, cum ar fi o tentativă de pătrundere forţată în reţea;
- pune la dispoziţie o gestiune centralizată a securităţii reţelei faţă de lumea exterioară
Mecanisme utilizate pentru a permite sau a bloca traficul:
- filtre de pachete, formate din rutere şi programe software care rulează pe staţii de
lucru sau pe servere, care iau decizii în funcţie de conţinutul antetului IP din
Server
Server
Server
Calculator gazdă cu două plăci de reţea
Staţie de lucru
Staţie de lucru
Staţie de lucru
Internet
24
pachet.Între câmpurile importante se numără adresele sursă şi destinaţie, tipul de
protocol şi indicatorii de fragmentare.Câmpul de opţiuni este opţional şi aici este
locul în care se defineşte rutarea la sursă pentru o datagramă.Există două opţiuni care
pot fi utilizate de IP pentru rutare:- rutarea liberă la sursă;
- rutarea strictă la sursă;
- ambele opţiuni oferă o listă de adrese prin care datagrama trebuie să treacă.În cazul
rutării libere la sursă, lista trebuie să fie respectată, însă pot fi folosite şi alte rute
pentru a ajunge la fiecare maşină adresată în listă.În cazul rutării stricte la sursă, lista
trebuie respectată cu exactitate, iar în cazul nerespectării, datagrama este respinsă.
- servere intermediare de aplicaţie, mai complexe, care sunt plasate între client şi
lumea exterioară şi acţionează ca un intermediar pentru anumite servicii de reţea;
- gazdele bastion,gazdele de sacrificiu şi zona demilitarizată(DMZ);
Funcţiile noi pe care le putem implementa într-un firewall modern se numără următoarele:
- Lucrul cu memoria cache. Este valabilă în special pentru reţelele care includ servere
Web ce oferă informaţii utilizatorilor din Internet. Prin stocarea locală a datelor
accesate frecvent, un server numai pentru cache (caching server) poate să
îmbunătăţească timpul de răspuns către utilizator şi să salveze un procent însemnat
din lărgimea de bandă a conexiunii la Internet, care în caz contrar ar fi utilizată pentru
aducerea repetată a aceloraşi date.
- Translatarea adreselor. Un firewall configurat corespunzător poate să afişeze în
exterior numai propria adresă de reţea, permiţîndu-vă să utilizaţi orice spaţiu de
adrese IP pentru reţeaua internă.
- Restricţionarea conţinutului. Un număr din ce în ce mai mare de produse ne permit
să restricţionăm tipurile de informaţii la care le este permis accesul utilizatorilor în
Internet, atât prin restricţionarea accesului la adrese URL cunoscute ce conţin
informaţii nedorite, cât şi prin analiza pachetelor de date primite, după anumite
cuvinte cheie.
- Vectorizarea adreselor. Această caracteristică permite firewall-ului să modifice
anumite cereri, cum ar fi cererile http, şi să le trimită către calculatoarele gazdă care
utilizează o adresă diferită de cea găsită în pachetul cerere. Astfel putem să distribuim
o sarcină de lucru pe mai multe servere, chiar dacă utilizatorilor din Internet li se pare
că lucrează cu un singur calculator gazdă.
Modelul
25
OSI Modelul TCP/IP
Protocolul IP plasează informaţiile de antentet în datagrama care poate fi folosită de
filtrul de pachete.
IP este protocolul de bază utilizat pentru mutarea pachetelor dintr-un loc în altul IP pune
la dispoziţie un serviciu de reţea fără conexiune şi fără confirmare. Deoarece IP este fără
conexiune, fiecare pachet este independent. IP analizează informaţiile de antet ale unui
pachet şi foloseşte aceste informaţii pentru a trimite pachetul către destinaţia finală. IP nu
este interesat dacă pachetele ajung în ordinea în care au fost expediate.
IP este fără confirmare. IP nu oferă nici un mecanism pentru a determina dacă un pachet mai
ajunge la destinaţie. Protocolul nu face decât să trimită pachetul şi presupune fie că acesta va
ajunge unde trebuie, fie că un alt protocol va fi responsabil pentru această verificare.
IP nu este interesat de calea pe care circulă un pachet atunci când traversează Internetul.
IP preia datele de stratul gazdă -la-gazdă şi le fragmentează în pachete numite datagrame de
o dimensiune care poate fi transferată prin reţea. La destinaţie, IP reasamblează aceste
datagrame şi le transferă în sus în stiva de protocoale. Pentru ca fiecare pachet să fie livrat,
protocolul Internet plasează adresele IP sursă şi destinaţie în antetul pachetului. De
asemenea efectuează un calcul al sumei de control a informaţiilor din antet pentru a se
asigura de corectitudinea acestora, însă nu efectuează această funcţie şi pentru zona de date a
pachetului. O altă funcţie importantă în Internet este controlul traficului. Mesajul de oprire a
sursei poate fi transmis pentru a comunica unei gazde sursă că gazda destinaţie nu poate ţine
pasul cu viteza de transmitere a pachetelor. Calculatorul destinaţie continuă să trimită aceste
mesaje de oprire până când sursa reduce viteza de transmisie la o valoare acceptabilă.
Aplicaţie Prezentare Sesiune Transport Reţea Legătură de date Stratul fizic
Aplicaţie Transport Reţea Acces La reţea
26
Ruterele folosesc o altă funcţie ICMP valoroasă pentru a comunica unui alt ruter că ştiu o
cale mai bună până la destinaţie. Aceasta se realizează folosind mesajele de redirecţionare.
Ruterele pot folosi, de asemenea, mesajele de depăşire a timpului pentru a indica unui alt
dispozitiv de ce un pachet a fost respins.
Un firewall de tip gazdă ecranată oferă atât protecţia unui filtru de pachete, cât şi
protecţia unei porţi intermediare de aplicaţie.
OO aarrhhiitteeccttuurrăă ddee ssuubbrreeţţeeaa eeccrraannaattăă ffoolloosseeşşttee ddoouuăă ffiillttrree ddee ppaacchheettee ppeennttrruu aa iizzoollaa
rreeţţeeaauuaa LLAANN ddee IInntteerrnneett..
Subreţea LAN Subreţea ecranată internă
Poartă intermediară de aplicaţie Filtru de pachete
Internet
Staţie de lucru
Staţie de lucru
Staţie de lucru
Server
Server
Server
Filtru de pachete
Server intermediar de aplicaţie Filtru de
pachete
Internet
Staţie de lucru
Staţie de lucru
Staţie de lucru
Staţie de lucru
Server
Server
Server
27
6.3. Virusi si alte tipuri de paraziti
Structura formală a viruşilor
•Viruşii Shell: Un virus Shell este unul ce formează un îneliş(shell) în jurul codului
original.În consecinţă, virusul devine program şi programul gazdă original devine o subrutină
internă a codului viral.Un exemplu extrem poate fi cazul în care virusul mută codul original
la o nouă locaţie şi preia identitatea acestuia.Când virusul termină execuţia, el recuperează
codul programului gazdă şi începe execuţia sa.[18]
Viruşii add-on:Mulţi viruşi funcţionează adăugându-şi codul la sfârşitul codului
gazdă(infectat) sau prin relocarea codului gazdă şi adăugarea propriului lor cod la
început.Virusul add-on alterează apoi informaţia de start a programului, executând codul
viral înaintea codului programului principal.Codul gazdă este lăsat aproape neatins; singura
indicaţie vizibilă că un virus este prezent este că fişierul a crescut în dimensiune[18].
Infectarea secvenţei de încărcare(boot) a sistemului de operare
•Secvenţa de boot are, la IBM PC, şase componente:
•A)Rutinele ROM BIOS;
•B)Executarea codului din tabela partiţiilor;
•C)Executarea codului din sectorul de boot;
•D)Executarea codului IO.SYS şi MSDOS.SYS;
•E)Executarea comenzilor Shell din COMMAND.COM;
•F)Executarea fişierului batch AUTOEXEC.BAT.
ROM BIOS
•Când un calculator boot-ează, maşina execută un set de rutine din ROM.Aceste rutine
iniţializează hardware-ul şi furnizează un set de rutine de intrare-ieşire de bază, ce pot fi
folosite pentru accesarea discurilor, ecranului şi tastaturii sistemului.Aceste rutine constituie
BIOS-ul(Basic Input/Output System).
•Rutinele din ROM nu pot fi infectate cu cod viral deoarece sunt prezente într-o memorie
care permite numai citirea
•Câţiva producători furnizează în prezent extensii ROM , ce conţin şi componentele
următoare al secvenţei de boot-are:tabela partiţiilor şi codul din sectorul de boot.Această
tendinţă reduce vulnerabilitatea la infecţii virale dar, de asemenea, poate reduce flexibilitatea
şi configurabilitatea sistemului final.
28
Tabela partiţiilor
•Codul ROM execută un bloc de cod memorat la o bine cunoscută locaţie de pe hard –disc
(cap 0, pista 0, sector 1).Partiţiile logice ale hard-discului , dimensiunea fiecărei partiţii este
memorată în tabela partiţiilor, care conţine şi un bloc de cod responsabil pentru localizarea
blocului de boot pe una din partiţiile logice.Codul din tabela partiţiilor poate fi infectat de un
virus.
Codul din tabela partiţiilor poate fi infectat de un virus, dar lungimea blocului de cod este de
numai 446 de octeţi.Astfel, o abordare obişnuită o reprezintă ascunderea tabelei partiţiilor
originale la o locaţie cunoscută de pe disc şi apoi legarea acestui sector la codul viral din
tabela partiţiilor.Această tehnică este folosită,de exemplu de virusul New Zealand[18].
Sectoarele de boot-are
Codul din tabela partiţiilor localizează primul sector de pe partiţia logică, cunoscut sub
denumirea de sector de boot.(Dacă este introdus un floppy dsk, ROM-ul va executa codul din
sectorul de boot al acestuia, cap 0, pista 0, sector 1 ).Sectorul de boot conţine blocul
parametrilor BIOS(BPB).BPB-ul are informaţii detaliate despre organizarea sistemului de
operare pe disc,precum şi codul de localizare a fişierului IO.SYS.Acest fişier conţine stadiul
următor din secvenţa de boot-are.Sectorul de boot este o ţintă obişnuită pentru
infectare.Spaţiul disponibil în sectorul de boot este limitat la mai puţin de 460 de octeţi
•De aceea, tehnica relocării sectorului original de boot, cât timp se umple primul sector cu
cod viral, este folosită şi aici.
•Un exemplu tipic de astfel de virus de “ sector de boot” a fost virusul Alameda.Acest virus
relocatează sectorul original de boot la pista 39, sector 8, şi-l înlocuieşte cu propriul său cod
viral.Viruşii de sector de boot sunt periculoşi deoarece aceştia capturează controlul
sistemului de calcul chiar din secvenţa de boot-are , înainte ca orice antiviral să devină
activ[19].
MSDOS.SYS, IO.SYS,interpretorul de comenzi
•Sectorul de boot încarcă apoi fişierul IO.SYS, care face mai departe iniţializările de sistem,
apoi încarcă sistemul de operare.Aceste fişiere sistem pot fi subiectul unor infectări
virale.Codul MSDOS.SYS execută apoi programul interpretor de comenzi
COMMAND.COM .Acest program furnizează interfaţa cu utilizatorul.
interpretorul de comenzi
29
–Programul COMMAND.COM poate fi infectat, la fel ca şi orice fişier binar executabil
.COM sau .EXE.Fişierul COMMAND.COM este ţinta preferată a virusului Lehigh, care a
surprins Universitatea Lehigh în 1987.Acest virus provoacă distrugerea datelor de pe hard-
disk,după ce s-a răspândit la 4 fişiere COMMAND.COM.
Fişierele de comenzi AUTOEXEC
•Programul COMMAND.COM, următorul în secvenţa de boot-are, execută o listă de
comenzi memorate în fişierul AUTOEXEC.BAT. Acesta este un fişier text simplu, ce
conţine comenzi ce vor fi executate de interpretor.Un virus poate modifica acest fişier prin
includerea sa la execuţia fişierului.
Infectarea unui program utilizator
•Un al doilea grup major de viruşi se răspândeşte infectând fişiere cu cod
program.Pentru a infecta un fişier cod, virusul trebuie să-şi înscrie codul într-un astfel de
mod încât el să se execute înaintea programului gazdă infectat.Aceşti viruşi apar sub două
forme:
•suprascriere,când virusul îşi scrie propriul cod direct peste programul gazdă,
distrugând parţial sau total codul acestuia.Programul gazdă nu se va mai executa corect după
infectare;
•Fără suprascriere, caz în care virusul relocatează codul gazdă; astfel, codul este
încărcat şi programul gazdă se poate executa normal.O variantă obişnuită pentru fişierele
.COM, este să exploateze faptul că multe dintre acestea conţin un jump la începutul codului
executabil.Virusul poate infecta programele memorând acest jump şi apoi înlocuindu-l cu un
jump la propriul cod
•Când programul infectat se execută, este executat codul virusului.Când virusul se termină,
sare la începutul codului programului original folosind adresa jump memorată.
În cazul viruşilor cu suprascriere, strategia mai complexă de infectare se referă la un mic bloc
din program, deşi programul original este intact.Aceasta înseamnă că programul original
poate fi startat,deşi adesea, el va semnaliza erori sporadice sau va avea un comportament
anormal
Viruşi rezidenţi în memorie
•Cei mai de “succes” viruşi folosesc o varietate de tehnici de rămânere rezidentă în memorie,
odată ce propriul lor cod a fost executat şi programul lor gazdă s-a terminat.Există 2 categorii
de viruşi rezidenţi în memorie:
30
•Tranzient, dacă codul viral este activ numai când porţiunea infectată a programului
gazdă este în curs de execuţie;
•Rezident,dacă se copiază într-un bloc de memorie şi “aranjează” să rămână activ
după ce programul gazdă s-a terminat.Ei sunt cunoscuţi ca viruşi TSR(Terminate and Stay
Rezident
Viruşi rezidenţi în memorie sunt toţi viruşii de sector de boot
(Israeli,Cascade,Traceback).Virusul infectează de asemenea întreruperile standare folosite de
către BIOS, aşa încât el este apelat involuntar de către alte aplicaţii, atunci când acestea fac
cereri de servicii ale sistemului de operare.Întreruperile hardware şi software gestionează
evenimentele asincrone şi apelează funcţiile sistem.
CCâânndd ssoosseeşşttee oo îînnttrreerruuppeerree,, ssiisstteemmuull ddee ooppeerraarree aappeelleeaazzăă rruuttiinnaa aa ccăărreeii aaddrreessăă ssee
ggăăsseeşşttee îînn ttaabbeellaa vveeccttoorriilloorr ssaauu ttaabbeellaa îînnttrreerruuppeerriilloorr..AAcceeaassttăă ttaabbeellăă ccoonnţţiinnee ppooiinntteerr--ii ccăăttrree
rruuttiinneellee ddee ttrraattaarree aaffllaattee îînn RROOMM ssaauu îînn ppoorrţţiiuunniillee DDOOSS--uulluuii rreezziiddeennttee îînn mmeemmoorriiee..UUnn vviirruuss
ppooaattee mmooddiiffiiccaa aacceeaassttăă ttaabbeellăă,, aaşşaa ccăă îînnttrreerruuppeerreeaa ppooaattee ffaaccee ssăă ffiiee eexxeeccuuttaatt ccoodduull
vviirraall((rreezziiddeenntt îînn mmeemmoorriiee))
31
7. Biblografie [1] Phillip T. Rawles , Administering Your Network din “High-Performance Networking Unleashed”, Macmillan Computer Publishing [2] Andrew S. Tanenbaum “Retele de calculatoare” Computer Press Agora 1998, pag. 347-
386
[3] http://searchnetworking.techtarget.com/gDefinition/0,294236,sid7_gci212176,00.html\
[4] Tim Parker, Mark Sportack “TCP/IP” Editura Teora 2002
[5] Adrian Minta Ghe., Performantele retelelor de calculatoare, referat doctorat, Universitatea
Politehnica Bucuresti
[6] http://inginerie.protectia-mediului.ro/calculatoare/ghid_retele/05-3-transport.htm#
Controlul%20congestiei
[7] http //windows.about.com/library/weekly/aa010325a.htm
[8] http://www.dataman.ro
[9] http://www. Information Technology Division.htm
[10] http:// www.ch12_02.htm
[11] http://www. Sistemul de autentificare KERBEROS.htm
[[1122]] LLiivviiuu MMaarriiccaa –– ““BBaatteerriiii iinntteelliiggeennttee.. PPaazznniicciiii ddiinn ccuuttiiee..””,, RReevviissttaa XXttrreemmPPCC,, nnrr.. 4499,,
DDeecceemmbbrriiee 22000033
[[1133]] wwwwww..aappcc..ccoomm
[[1144]] wwwwww..mmuusstteekk..ccoomm//eeuurrooppee
[[1155]] LLiinnuuxx TTeerrmmiinnaall SSeerrvveerr PPrroojjeecctt -- wwwwww..ssnnss..rroo//ddoowwnnllooaadd//ssttuuddiiuu__llttsspp..ppddff
[[1166]] CCaattaalliinn CCoonnssttaannttiinn,, IIoonnuutt BBaallaann,, MMiirrcceeaa MMiihhaallcciiccaa -- ““””CCoonnffiigguurraarreeaa rreetteelleeii””,, RReevviissttaa
CChhiipp,, nnrr.. 55//22000033
[17] Cost Analysis Using CiscoWorks LAN Management Solution - White paper
hhttttpp::////wwhhiitteeppaappeerrss..iinnffoorrmmaattiioonnwweeeekk..ccoomm//ddeettaaiill//RREESS//11005577885588111188__2200..hhttmmll
[18] Victor-Valeriu Patriciu, Monica Pietroşanu-Ene,Ion Bica, Costel Cristea – Securitatea
informatică în Unix şi Internet- Editura Tehnică – 1998.
[19] Ion Bogdacenco- http://www.cahul.iatp.md/netack
[20] Terry William Ogletree – Protecţia reţelelor conectate la Internet- 2001
[21] Terry William Ogletree – The First Line of Defense- P.C.Magazine-12 iunie 2001
[22] Adrian Radu – NET Report – 2001 “The Evolution of the Firewall Industry”.
top related