Você está na página 1de 55

Cuprins

Argument..........................................................................................................................2
Cap I. Noiuni de baz n securitatea sistemelor de calcul...............................................7
Noiuni de securitate a reelelor de calculatoare..................................................8
Nivele minime de securitate................................................................................13
Cap II. Soluii de securitate hardware i software..........................................................18
Dezvoltarea unei politici de securitate n reea..................................................19
Soluii de securitate hardware i software.........................................................22
Ameninri de securitate a reelelor...................................................................25
Cap III. Securizarea unui sistem de operare....................................................................29
Tipuri de atacuri informatice..............................................................................30
Securizarea unui sistem de operare.....................................................................34
Securizarea sistemelor de operare de tip server.................................................38
Norme de protecia muncii.Reguli de ergonomie.Norme de protecia muncii...............40
Bibliografie......................................................................................................................41
Anexe..............................................................................................................................42

Argument

Ca o definiie, sistemul de calcul reprezint un ansamblu de componente hardware (dispozitive)


i componente software (sistem de operare i programe specializate) ce ofer servicii utilizatorului
pentru coordonarea i controlul executrii operaiilor prin intermediul programelor.

Principiile de baz ale securitii sistemelor informatice s-au schimbat relativ puin n
ultimii ani. Exist dou mari categorii protecia la nivel fizic (garduri, ui cu ncuietori, lacte, etc.)
i la nivel informaional (accesare prin intermediul unor dispozitive electronice i/sau a unor aplicaii
software, a informaiilor dintr-un sistem de clacul).

Securitatea sistemelor informatice

Ca i concepte distincte care trateaz problema securitii deosebim:

securitatea bazat pe mai multe nivele security in depth;


securitatea implementat nc din faza de proiectare security by design.

Pentru a reduce riscurile de securitate n utilizarea i administrarea sistemelor IT, cea mai bun
strategie este cea pe ansamblu (security in depth). Aceasta presupune evaluarea pe ansamblu a
infrastructurii IT i clasificarea expunerii la riscuri de securitate. Pentru fiecare dintre riscurile
identificate trebuie realizate planuri de msuri, fie pentru reducerea expunerii la acele riscuri
(mitigation), fie pentru reducerea impactului odat ce riscul s-a produs (contingency).

La polul opus se afl abordarea punctual (limitat n a oferi protecie doar la un anumit nivel), a
implementrii unui sistem specific de securitate, de exemplu antivirus sau detectarea accesului
neautorizat (Intrusion Detection Systems IDS). Dei aceste sisteme sunt foarte utile n cadrul ariei
specifice de aplicabilitate, aceast abordare las descoperite alte zone cu posibile bree de securitate.

Pentru a avea o abordare de ansamblu, trebuie pornit de la lucrurile elementare: uniformitatea


infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizat, meninerea la zi a
sistemelor din punct de vedere al patch-urilor i fix-urilor (pentru sistemele de operare i aplicaiile
instalate), aplicarea unor configurri standard de securitate pe toate serverele i staiile de lucru, n
funcie de rolul funcional al acestora precum i realizarea unor proceduri standard de utilizare i
administrare.

Studiile arat c n medie 90% din breele de securitate identificate nu sunt datorate problemelor
tehnologice ci instalrii i configurrii necorespunztoare sau datorit nerespectrii unor proceduri de
utilizare i administrare a sistemului. n multe cazuri, aceste proceduri nici nu exist. Trebuie deci s
privim problema pe ansamblu, adresnd tehnologia, oamenii i procedurile interne ale
companiei/organizaiei.

Securitatea la nivel de acces perimetral i la nivel informaional

Securitatea trebuie s fie o caracteristic intrinsec a sistemului. Un sistem sigur este unul bine
proiectat, implementat, utilizat i administrat.

Conceptul de security by design este foarte bun atunci cnd posibilitile de implementare
sunt justificate. De multe ori totui acest concept impune unele restricii care limiteaz foarte mult
utilizarea sa n arii diferite, metoda fiind folosit n zone speciale, foarte specializate (zone cu statut de
importan major, ca de ex. reelele de calculatoare care controleaz traficul aerian, laboratoare de
cercetare, etc.), zone n care accesul prin definiie este foarte restrictiv.

Exemplu de folosire al conceptului de security by design n viaa de zi cu zi

Acest concept aplicat la nivel software genereaz un principiu de funcionare al aplicaiei cu


restricii foarte clare i puternice care de multe ori din pricina acestor limitri devine n scurt timp
inutil.

In-depth security sau defence in depth este un principiu bazat pe mai multe straturi de
securitate n vederea protejrii sistemului sau reelei din care face parte.

Evidenierea conceptului de Security in depth

Trebuie s se neleag c nu conteaz ct de de bun este fiecare strat privit singular, exist
cineva mai detept, cu resurse materiale i temporale suficiente ct s treac de acesta. Acesta este
motivul pentru care practicile uzuale de securitate sugereaz existena mai multor nivele de securitate
sau pe scurt in-depth security.

Folosirea de nivele(layers) diferite de protecie, de la diferii productori ofer o protecie


substanial mai bun.

Folosind o securitate bazat pe diferite nivele de protecie vei fi protejai de majoritatea


persoanelor ruvoitoare, cu excepia celor mai detepi i mai dedicai. Ca o regul de baz (nivele
minime de securitate instalate) se sugereaz urmtoarele produse:
a) firewall o barier protectiv ntre calculator, reeaua intern i lumea din jur. Traficul din interior i
spre exterior este filtrat, restricionat, blocnd eventualele transmisii nenecesare. Folosind reguli stricte
de acces la nivel de aplicaii i utilizatori, se poate mbunti substanial securitatea sistemului i a
reelei locale;
b) antivirus un software instalat cu scopul clar de a te proteja de virui, viermi i alte coduri maliioase.
Majoritatea aplicaiilor antivirus monitorizeaz traficul n fiecare moment, scannd n timp ce se
navigheaz pe Internet sau scannd mesajele primite pe mail (cu tot cu ataamente) i periodic oferind
posibilitatea rulrii unei scanri la nivelul ntregului sistem n cutarea de cod maliios;

Atenie totui la aplicaiile care se dau drept aplicaii antivirus


c) Intrusion Detection System (IDS) i Intrusion Prevention System(IPS o varianta mai special a
IDS) un dispozitiv sau o aplicaie folosit() pentru a inspecta ntregul trafic dintr-o reea i de a
trimite mesaje de alert utilizatorului sau administratorului sistemului cu privire la ncercri
neautorizate de acces. Principalele metode de monitorizare sunt cele bazate pe semnturi i cele bazate

pe anomalii. Funcie de metodele folosite IDS-ul poate rmne la stadiul de a alerta utilizatori sau
poate fi programat s blocheze automat traficul sau chiar programat s rspund ntr-un anumit fel.

IDS la nivel software i hardware

Capitolul I
Noiuni de baz n securitatea sistemelor de
calcul

Noiuni de securitate a reelelor de calculatoare

Pentru a se putea nelege ceea ce dorete a se apra n cadrul reelei, se vor prezenta mai nti
natura atacurilor ce pndesc o reea de calculatoare. Acestea se identific n trei mari categorii:
confidenialitate, disponibilitate i integritate. ntre acestea exist o interdependen foarte strns,
evideniindu-se faptul c disponibilitatea i confidenialitatea sunt efectiv legate de integritate.

Nivele distincte pentru creterea securitii unei reele

Pentru a nelege ceea ce se ascund n spatele acestor trei noiuni, s detaliem:


a)

Atacuri care se refer la integritatea reelei ca sum de echipamente interconectate i a


legturilor dintre acestea i/sau la integritatea datelor ce circul n cadrul ei. Aceast categorie
genereaz politici diferite prin prisma celor dou forme de integritate: fizic a echipamentelor i
legturilor dintre acestea i informaional relativ la date i folosirea lor. Ca definiii acceptate pentru
integritate deosebim: integritatea datelor se refer la calitatea, autenticitatea, corectitudinea i
acurateea informaiilor stocate ntr-un sistem informatic i integritatea sistemelor drept posibilitatea
operrii corecte i cu succes a resurselor informatice.

b)

Atacuri care atenteaz la confidenialitatea sistemului. Prin aceasta nelegem informaia care
este disponibil doar n cazurile n care politicile de securitate sunt ndeplinite. De multe ori aceast
proprietate este att de important nct este cerut de lege sau prin contract.

c)

Atacuri care atenteaz la disponibilitate se refer la acele forme de atac care ncearc sau chiar
reuesc s fac inutilizabil sistemul prin privarea posibilitii de a-i oferi disponibilitatea (rspunsul i
tratarea cererilor existente) utilizatorilor nregistrai sau pur i simplu prin punerea sistemului n forma
de negare a serviciilor.

Reelele i resursele ataate de acestea sunt expuse diferitor tipuri de atacuri poteniale, cum ar fi:
atacuri la integritate (atacuri la autentificare, furtul sesiunilor, atacuri de protocol, tehnici de
manipulare social engineering, tehnici de manipulare neglijente, abuz de privilegii explorarea
uilor din spate backdoors), atacuri la confidenialitate (divulgarea neglijent, interceptarea
informaiei, acumularea informaiilor) i atacuri la disponibilitate (interferene, supresii, furnizarea de
informaii neateptate) forme de atac detaliate n cele ce urmeaz.

Atacurile de autentificare situaia n care o persoan sau un program reuete s se identifice


ca o alt persoan/aplicaie i astfel s obin diferite avantaje nelegitime (spoofing). Include furtul
direct de parole (shoulder-surfing) sau prin ghicirea sau dezvluirea acestora. Aceast form de atac se
poate contracara de cele mai multe ori prin educarea utilizatorilor.

Furtul sesiunilor o form prin care un utilizator care a fost autentificat este nlocuit de
atacator folosindu-se de toate privilegiile acestuia pentru accesul la informaii sensibile. n cazul
preveniei, este obligatorie crearea de politici privind aplicaiile pe care utilizatorii le folosesc sau
modul n care sunt folosite precum i prin utilizarea de aplicaii antivirus.

Atacurile protocoalelor de multe ori aceast form de atac se bazeaz pe slbiciunile


sistemelor criptografice. Este o form elevat, de multe ori problemele bazndu-se pe posibilitatea
aflrii unor erori matematice sau a unor slabiciuni care permit ca o cheie criptografic s fie derivat
algebric(sau geometric prin extrapolare). Datorit formei att de complexe i elevate, aceast form de
atac nu poate fi evitat dect printr-o analiz a protocoalelor criptografice de ctre experi n domeniu.

Tehnici de manipulare este o form de atac care ia amploare prin prisma ncrederii i
oferirii unor informaii private, sensibile unor persoane neautorizate. Ca form preventiv se indic
instruirea utilizatorilor suplimentat de o minimalizare a privilegiilor utilizatorilor pentru a reduce
efectele unei tehnici de manipulare reuite.

Metode de acces neglijente discutm aici n special de aplicaia de tip firewall. Muli
utilizatori din cauza neinformrii sau necunoaterii modului de folosire sau doar din dorina de a nu fi
scit dezactiveaz aceast aplicaie. O form binecunoscut de prevenie este segmentarea
resurselor ntre care nu exist relaii pentru a preveni atacuri din alte zone ale reelei.

O form special de atac este cea a abuzului de privilegii. Este special i din cauza faptului c
se refer, la atacurile venite din interior (peste 80%), marea majoritate venind din partea unor angajai
sau fost angajai nemulumii sau n cutarea unor informaii ce le pot aduce beneficii personale(de
ordin material sau nu). Atacurile prin abuzul de privilegii poate fi relativ uor de contracarat folosinduse de minimizarea privilegiilor oferite fiecrui utilizator, precum i prin distribuirea responsabilitilor
mari printre mai muli angajai.

Folosirea de Backdoors este o metod ce se refer la unele erori de cele mai multe ori
introduse intenionate n cadrul aplicaiilor, erori ce pot oferi acces la sistemul pe care ruleaz. O
form grav a acestei metode este faptul c este foarte greu de depistat i remediat.

Dup cum s-a observat exista n formele de atac asupra integritii datelor o foarte mare
diversitate de metode, aceasta i din cauza importanei acesteia (odat ngenunchiat aceasta,
accesul la celelalte dou confidenialitatea i disponibilitatea este mult mai simplu) n securitatea
unei reele de calculatoare.

Divulgarea neglijent are lor n momentul n care informaia devine accesibil n mod
accidental atacatorului. Ca metod de protecie se desprinde iari educarea utilizatorilor i folosirea
unor politici de confidenialitate n concordan.

Intercepia informaiei este metoda prin care informaia este interceptat la momentul trecerii
printr-un mediu nesigur, nesupravegheat corespunztor. Ca metod profilactic se desprinde folosirea
de protocoale de criptare precum i folosirea reelelor private virtuale (VPN) pentru transferul
informaiilor dintr-o locaie ntr-alta.

10

Metoda acumulrii de informaii se folosete de culegerea de informaii din diferite surse


pentru a deduce unele informaii private. ntruct este o metod destul de complex, protecia
mpotriva ei nu este bine definit, fiind legat de totalitatea politicilor de securitate definite i folosite.

Interferenele sau bruiajele reprezint una dintre cele mai rspndite forme de atac la
disponibilitatea sistemului. O form foarte rspndit este cea a atacurilor prin inundare, care face ca
numrul de procese deschise s fie mai mare dect un sistem a fost proiectat s le efectueze efectiv
(ping flood). Succesul unor astfel de forme de atac poate fi limitat sau chiar ndeprtat dac se introduc
unele filtre de admisie i detecie sau prin adugarea de capacitate adiional.

Supresia jurnalizrii este un tip special de interferen i este folosit adesea mpreun cu alte
tipuri de atacuri. Se folosesc metode prin care efectiv se limiteaz mesajele jurnalizabile sau prin
generarea unui trafic att de mare nct aflarea propriu-zis a informaiei utile s fie foarte dificil.
Metodele de prevenie se bazeaz pe analiza statistic a jurnalelor i implementarea de canale de
administrare private.

Furnizarea de informaii neateptate se refer la generarea unui anumit comportament care


foreaz sistemul s intre n incapacitatea de a-i continua lucrul. Ca forme de prevenie se recomand
utilizarea de update-uri i fix-uri care s trateze corespunztor situaiile particulare ce pot genera
blocarea sistemului respectiv.

ntruct nu exist o autoritate centralizat care s asigure managementul reelelor este necesar
instalarea de diferite nivele de securitate pentru sigurana traficului. Dintre aceste nivele menionm:
firewalls, routers, Intrusion Detection Systems i alte componente: VPN, criptari etc.

Obiectivele principale ale securitii reelelor de calculatoare sunt de a proteja reeaua,


echipamentele i mesajele din cadrul ei contra accesului neautorizat i n general de accesul din afara
ei. Se pot diferenia un numr de 3 mari obiective:
1. S ofere controlul n toate punctele din cadrul perimetrului reelei pentru a bloca traficul care
este maliios, neautorizat sau prezint riscuri pentru sigurana reelei.
2. S detecteze i s rspund la ncercrile de ptrundere n reea.
3. S previn mesajele din cadrul ei s fie interceptate sau modificate.

11

Este de precizat c setrile de securitate nu pot elimina complet riscurile. Scopul este de a
minimiza efectele pe ct posibil i s elimine riscurile excesive sau nenecesare (mitigation i
contingency).

Trebuie avut de-asemenea n vedere i faptul c scopul securitii reelei este s ofere
conectivitatea la un pre i o rat risc/cost acceptabil.

Principiile securitii reelelor de calculatoare se pot sintetiza i astfel:


a) Least privilege s se dea acces doar dac este necesar i doar pentru ceea ce este obligatoriu;
b) Folosirea de nivele de securitate distincte, care s se ntreptrund (defense in depth).Controlul
perimetral plasarea de controale stricte la fiecare capt de reea;
c) Refuzarea oricror drepturi care nu sunt specificate prin exemplificare.

n acelai timp totui principiile enumerate mai sus trebuiesc s se ntreptrund cu urmtoarele:
a) keep it simple trebuie s nelegi pentru a putea s protejezi;
b) S ascunzi pe ct posibil informaiile cu privire la reea;
c) Tehnologizarea nu este suficient o securizare bun const n mult mai multe dect cele mai recente
tehnologii sau state-of-the-art software i hardware;
d) Politici de securitate absolut necesare pentru a defini nivele de risc i direcii generale pentru
generarea de practici i proceduri de securitate i implementare.

Nu n ultimul rnd trebuie menionat i rolul utilizatorului final n cadrul ntregului concept de
securitate, astfel este necesar ca fiecare administrator sau utilizator s ncerce s urmeze urmtoarele
sfaturi:
a) jurnalizarea i monitorizarea absolut necesar pentru detectarea din timp i rspunsul prompt la
problemele principale;
b) criptarea informaiilor cruciale care sunt transmise folosind reele nesigure informaiile senzitive
care sunt trimise n text simplu pot fi foarte uor interceptate;
c) nu realizai relaii de ncredere bazate pe adrese IP adresele IP pot fi spoofed clonate cu
ajutorul unor unelte i aplicaii;
d) weakest link un sistem este att de sigur pe ct este cea mai slab component;
e) Minimizai riscul nenecesar ntruct nu se poate elimina riscul complet, asigurai-v contra riscurilor
excesive sau nenecesare (prin realizarea de back-up-uri)

12

Nivele minime de securitate

Majoritatea companiilor care se ocup de securitatea sistemelor informatice sunt de acord cu


privire la urmtoarele nivele minime care trebuiesc satisfcute pentru a fi protejai la un nivel minim
acceptabil:
a) necesitatea instalrii unei aplicaii de tip anti-virus: aceasta aplicaie este vital s fie instalat i mai
mult, s aib toate actualizrile la zi n ceea ce privete definiiile de virui;
b) aplicaie de tip firewall aceast aplicaie a devenit o cel puin la fel de important component ca cea
anterioar;
c) aplicaie de tip anti-spyware care s fie la fel, actualizat ct mai des;
d) criptarea informaiilor cu statut personal, privat;
e) este foarte important i ca utilizatorul s foloseasc parole ct mai bune i aici ne referim la
lungimea lor (la ora actual o parol de 4 caractere se poate sparge ntr-un timp foarte scurt de ordinul
zecilor de minute, la o parola de 8 caractere acest lucru ajungnd la ordinul zilelor, mai ales dac
conin simboluri, cifre i litere att mici ct i mari);
f) nu n ultimul rnd este foarte important ca utilizatorul s aib o conduit precaut, s nu descarce orice
programe gsite pe net, s citeasc orice mesaj de atenionare venit din partea aplicaiilor de tip
antivirus, firewall, anti-spyware;
g) realizarea periodic de backup-uri ale datelor pentru a putea fi protejat n cazul unor atacuri reuite sau
incidente de genul incendiilor, inundaiilor sau altor forme asemntoare.

13

n definirea unor nivele minime de securitate trebuiesc obligatoriu luate n considerare, cum am
spun i mai sus costurile. n diagrama se poate observa foarte clar ceea ce implic o complicare a
unei strategii de securitate evident costuri foarte ridicate(att n implementare, ct i n utilizare).

Diagrama decizional n vederea implementrii unor nivele minime de securitate

Concluzionnd soluia corect cu privire la tolerana riscului versus costul implementrii i


utilizrii trebuie s in cont de urmtoarele:
a). Costul potenial n cazul unei bree de securitate aici se detaliaz cazurile: pierderi fizice
accidente prin care rezult pierderea ncperilor(cutremur, foc, ap, explozii, etc.) i/sau
echipamentelor(sabotare, furt, etc.), pierderi la nivel de productivitate diversiunea persoanelor de la
posturile lor pentru repararea sau nlocuirea unor echipamente, reconstrucia datelor sau pn
echipamentele per ansamblu sunt inaccesibile, pierderea la nivel de organizaie ntreruperea ntregii
afaceri pn la remedierea problemelor aprute, pierderea de informaii coruperea, furtul sau
pierderea efectiv a datelor de pe o anumit perioad i, nu n ultimul rnd, pierderea reputaiei i a
modului n care este perceput acesta de ceilali clieni drept o consecin a unei bree de securitate
foarte serioase sau a unor accidente repetate care pot conduce chiar la pierderea afacerii, scderea
reputaiei n rndul clienilor sau cazul n care informaiile pierdute pot conduce la aciuni
legale(procese deschise pentru despgubiri);
b). Costul echipamentelor limitrile impuse de ncadrarea ntr-un anumit buget genereaz
limitarea utilizrii excesive a echipamentelor de identificare de ultim generaie. Este recomandat
folosirea totui a echipamentelor de ultim generaie mcar la punctele cheie, care gzduiesc
informaiile cheie gen sala serverelor;
c). Combinarea diferitelor tipuri de tehnologii combinarea unor tehnologii low-cost cu
altele mai specializate pe diferite nivele de acces, sau zone sensibile, pot oferi un surplus de securitate
la un pre competitiv;
14

d). Factorul uman este foarte important ca factorul uman s fie luat foarte n serios la
momentul implementrii unor strategii de securitate, ntruct restriciile pot genera frustrri i scderea
productivitii;
e). Scalabilitatea implementarea incremental este un procedeu des folosit, implementarea
din mers oferind informaii clare despre necesitile reale descoperite n urma folosirii.

Nivelele minime acceptate pot diferi foarte mult de la o implementare la alta, oricare ar fi acestea
totui trebuie realizat o balan ntre riscurile acceptate i implementarea unor reguli de securitate
foarte complexe sau, din contr, absurde sau inutile.

Software-ul de tip antimalaware(antivirus, anti-spyware).

Scurt istoric: Majoritatea sunt de prere c primul software de tip antivirus este atribuit lui Bernt
Fix n 1987, aceasta fiind prima neutralizare a unui virus informatic(nume de cod Viena), cel puin
prima documentat i publicat. ncepnd cu anul 1988 ncep s apar primele companii care s
produc software dedicat (Dr. Solomons Anti-Virus ToolKit, AIDSTEST, AntiVir) urmat n 1990 de
aproximativ 19 programe antivirus distincte, printre care apar i Norton AntiVirus (achiziionat de
Symantec n 1992) i McAfee VirusScan.

Ca metode de identificare a viruilor deosebim:


a) identificarea bazat pe semntur (signature based) este cea mai comun variant. Pentru identificarea
viruilor cunoscui fiecare fiier este scanat ca i coninut (ntreg i pe buci) n cutarea informaiilor
pstrate ntr-un aa-numit dicionar de semnturi;
b) identificarea bazat pe comportament (malicious activity), n acest caz aplicaia antivirus
monitorizeaz ntregul sistem pentru depistarea de programe suspecte n comportament. Dac este
detectat o comportare suspect, programul respectiv este investigat suplimentar, folosindu-se de alte
metode (semnturi, heuristic, analiz de fiier, etc.). Este de menionat c aceasta metod poate detecta
virui noi;
c) metoda heuristic (heurisitc-based) este folosit pentru detectarea viruilor noi i poate fi efectuat
folosind dou variante(independent sau cumulat): analiza de fiier i emulare de fiier. Astfel analiz
bazat pe analiza fiierului implic cutarea n cadrul acelui fiier de instruciuni uzuale folosite de
virui. Cea de-a doua metod este cea de emulare n care se ruleaz fiierul respectiv ntr-un mediu
virtual i jurnalizarea aciunilor pe care le face.
d) un mod relativ nou se bazeaz pe conceptul de semnturi generice ceea ce s-ar traduce n
posibilitatea de a neutraliza un virus folosindu-se de o semntur comun. Majoritatea viruilor din
ziua de astzi sunt aa-numiii virui de mutaie ceea ce nseamn c n decursul rspndirii sale el
i schimb acea semntur de mai multe ori. Aceste semnturi generice conin informaiile obinute de
la un virus i n unele locuri se introduc aa-numitele wildcard-uri caractere speciale care pot lipsi
sau pot fi distincte aplicaia software cutnd n acest caz informaii non-continue.

15

Observaii: Este de reinut c navignd la ntmplare se pot gsi o multitudine de aplicaii care s
pozeze n aplicaii de tip antivirus, antispyware sau antimalaware dar de fapt s fie ele nsele virui
deghizai n aplicaii legitime.
Aplicaiile de tip Firewall

O aplicaie de tip firewall, lucreaz ndeaproape cu un program de rutare, examineaz fiecare


pachet de date din reea (fie cea local sau cea exterioar) ce va trece prin serverul gateway pentru a
determina dac va fi trimis mai departe spre destinaie. Un firewall include de asemenea, sau lucreaz
mpreun, cu un server proxy care face cereri de pachete n numele staiilor de lucru ale utilizatorilor.
n cele mai ntlnite cazuri aceste programe de protecie sunt instalate pe calculatoare ce ndeplinesc
numai aceast funcie i sunt instalate n faa routerelor.

Soluiile firewall se mpart n dou mari categorii: prima este reprezentat de soluiile
profesionale hardware sau software dedicate proteciei ntregului trafic dintre reeaua unei
ntreprinderi (folosit la nivel de instituii ex. universiti, sit-uri Web, etc.) i Internet; iar cea de a
doua categorie este reprezentat de firewall-urile personale dedicate monitorizrii traficului pe
calculatorul personal. Utiliznd o aplicaie din ce-a de a doua categorie vei putea prentmpina
atacurile utilizatorilor care ncearc s acceseze sistemul.
Concluzionnd, putem spune c un firewall este folosit pentru dou scopuri majore: pentru a pstra n
afara reelei utilizatorii ru intenionai i pentru a pstra utilizatorii locali (angajaii, clienii) n
deplin securitate n reea.

nainte de a construi un firewall trebuie hotrt politica sa, pentru a ti care va fi funcia sa i n
ce fel se va implementa aceast funcie.

Politica firewall-ului se poate alege urmnd civa pai simpli:

se alege ce servicii va deservi firewall-ul;


se desemneaz grupuri de utilizatori care vor fi protejai;
se definete ce fel de protecie are nevoie fiecare grup de utilizatori;
pentru serviciul fiecrui grup se descrie modul cum acesta va fi protejat;
se definete o regul generic prin care oricare alt form de acces este respins.

Politica este foarte posibil s devin tot mai complicat odat cu trecerea timpului, de aceea este
bine s se documenteze toate modificrile fcute de-a lungul utilizrii ei.

16

Pentru a nelege mai bine menirea unui firewall s precizm ce poate i ce nu poate s fac. O
aplicaie firewall poate:
a)
b)
c)
d)
e)

s monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o mai bun
monitorizare a traficului i deci o mai uoar detectare a ncercrilor de infiltrare;
s blocheze la un moment dat traficul n i dinspre Internet;
s selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete;
s permit sau s interzic accesul la reeaua public, de pe anumite staii specificate;
i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa ntre cele
dou.
De asemeni, o aplicaie firewall nu poate:

a) s interzic importul/exportul de informaii duntoare vehiculate ca urmare a aciunii rutcioase a


unor utilizatori aparinnd spaiului privat (ex: csua potal i ataamentele);
b) s interzic scurgerea de informaii de pe alte ci care ocolesc firewall-ul (acces prin dial-up ce nu
trece prin router);
c) s apere reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor n
reea (USB Stick, dischet, CD, etc.)
d) s previn manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii, precum i
punctele slabe ce decurg din exploatarea acestor greeli.

Firewall-urile se pot clasifica n funcie de modul de operare n urmtoarele categorii :


a) firewall filtru de pachete: n funcie de protocolul de comunicare utilizat, de adresa IP i de portulsurs sau destinaie, se stabilesc reguli care s permita sau s nu permit trecerea unui pachet de date;
b) firewall server proxy: se utilizeaz urmtoarele dou modele: Circuit Level Gateway (face o filtrare
sumar a pachetelor) i Application Level Gateway (ine cont de aplicaiile care schimb pachete);
c) firewall bazat pe controlul strii conexiunii i pe istoricul acesteia (dac o conexiune a fost considerat
la un moment dat sigur, se verific dac starea actual a conexiunii este n concordan cu cea
anterioar).
Un firewall eficient trebuie s includ i un sistem de detectare a posibilelor atacuri (Intrusion
Detection System).

17

18

Capitolul 2
Soluii de securitate hardware i software

Dezvoltarea unei politici de securitate n reea

Importana aspectelor de securitate n reelele de calculatoare a crescut odat cu extinderea


prelucrrilor electronice de date i a transmiterii acestora prin intermediul reelelor. n cazul operrii
asupra unor informaii confideniale, este important ca avantajele de partajare i comunicare aduse de
reelele de calculatoare s fie susinute de faciliti de securitate substaniale. Acest aspect este esenial
n condiiile n care reelele de calculatoare au ajuns s fie folosite inclusiv pentru realizarea de
operaiuni bancare, cumprturi sau plata unor taxe.

19

Persoanele care atenteaz la securitatea reelelor pot aparine unor categorii diverse, comind
delicte mai mult sau mai puin grave: sunt cunoscute cazurile de studeni care se amuz ncercnd s
fure pota electronic a celorlali, "hacker"-i care testeaz securitatea sistemelor sau urmresc s
obin n mod clandestin anumite informaii, angajai care pretind c au atribuii mai largi dect n
realitate, accesnd servicii care n mod normal le-ar fi interzise, sau foti angajai care urmresc s
distrug informaii ca o form de rzbunare, oameni de afaceri care ncearc s descopere strategiile
adversarilor, persoane care realizeaz fraude financiare (furtul numerelor de identificare a crilor de
credit, transferuri bancare ilegale etc.), spioni militari sau industriali care ncearc s descopere
secretele/strategiile adversarilor, sau chiar teroriti care fur secrete strategice.

Problemele de asigurare a securitii reelelor pot fi grupate n urmtoarele domenii


interdependente:

confidenialiatea se refer la asigurarea accesului la informaie doar pentru utilizatorii


autorizai i mpiedicarea accesului pentru persoanele neautorizate;
integritatea se refer la asigurarea consistenei informaiilor (n cazul transmiterii unui mesaj
prin reea, integritatea se refer la protecia mpotriva unor tentative de falsificare a mesajului);
autentificarea asigur determinarea identitii persoanei cu care se comunic (aspect foarte
important n cazul schimbului de informaii confideniale sau al unor mesaje n care identitatea
transmitorului este esenial);
ne-repudierea se refer la asumarea responsabilitii unor mesaje sau comenzi, la
autenticitatea lor. Acest aspect este foarte important n cazul contractelor realizate ntre firme prin
intermediul mesajelor electronice: de exemplu, un contract / comand cu o valoare foarte mare nu
trebuie s poat fi ulterior repudiat() de una din pri (s-ar putea susine, n mod fraudulos, c
nelegerea iniial se referea la o sum mult mai mic).

Aspectele de securitate enumerate anterior se regsesc, ntr-o oarecare msur, i n sistemele


tradiionale de comunicaii: de exemplu, pota trebuie s asigure integritatea i confidenialitatea
scrisorilor pe care le transport. n cele mai multe situaii, se cere un document original i nu o
fotocopie. Acest lucru este evident n serviciile bancare. n mesajele electronice ns, distincia dintre
un original i o copie nu este deloc evident.

Procedeele de autentificare sunt foarte rspndite i ele: recunoaterea feelor, vocilor a scrisului
sau a semnturilor unor persoane pot fi ncadrate n aceast categorie. Semnturile i sigiliile sunt
metode de autentificare folosite extrem de frecvent. Falsurile pot fi detectate de ctre experi n
grafologie prin analiza scrisului i chiar a hrtiei folosite. Evident, aceste metode nu sunt disponibile
electronic i trebuie gsite alte soluii valabile.

20

Dintr-un punct de vedere mai pragmatic, implementarea unor mecanisme de securitate n reelele
de calculatoare de arie larg, n particular Internet-ul, privete rezolvarea urmtoarelor aspecte:
1. Bombardarea cu mesaje aa numitul spam trimiterea de mesaje nedorite, de obicei cu un coninut
comercial. Programele de e-mail pot ncorpora faciliti de blocare a mesajelor de tip "spam" prin
descrierea de ctre utilizator a unor aciuni specifice de aplicat asupra mesajelor, n funcie de anumite
cuvinte cheie sau de adresele (listele de adrese) de provenien.
2. Rularea unui cod (program) duntor, adesea de tip virus - acesta poate fi un program Java sau
ActiveX, respectiv un script JavaScript, VBScript etc. Cea mai mare parte a programelor de navigare
permit utilizarea unor filtre specifice pe baza crora s se decid dac un anumit program va fi rulat
sau nu, i cu ce restricii de securitate.
3. Infectarea cu virui specifici anumitor aplicaii - se previne prin instalarea unor programe antivirus
care detecteaz viruii, deviruseaz fiierele infectate i pot bloca accesul la fiierele care nu pot fi
"dezinfectate". n acest sens, este important devirusarea fiierelor transferate de pe reea sau ataate
mesajelor de e-mail, mai ales dac conin cod surs sau executabil, nainte de a le deschide sau
executa.
4. Accesarea prin reea a calculatorului unui anumit utilizator i "atacul" asupra acestuia. La nivelul
protocoalelor de reea, protejarea accesului la un calculator sau la o reea de calculatoare se realizeaz
prin mecanisme de tip firewall, prin comenzi specifice. Acestea pot fi utilizate i n sens invers, pentru
a bloca accesul unui calculator sau a unei reele de calculatoare la anumite faciliti din Internet.
5. Interceptarea datelor n tranzit i eventual modificarea acestora snooping. Datele se consider
interceptate atunci cnd altcineva dect destinatarul lor le primete. Transmisia protejat a datelor
trebuie s garanteze faptul c doar destinatarul primete i citete datele trimise i c acestea nu au fost
modificate pe parcurs (datele primite sunt identice cu cele trimise).
6. Expedierea de mesaje cu o identitate fals, expeditorul impersonnd pe altcineva (pretinde c mesajul
a fost trimis de la o alt adres de post electronic) spoofing. Aceast problem se rezolv prin
implementarea unor mecanisme de autentificare a expeditorului.

Pentru asigurarea securitii reelei este important implementarea unor mecanisme specifice
pornind de la nivelul fizic (protecia fizic a liniilor de transmisie), continund cu proceduri de blocare
a accesului la nivelul reelei (firewall), pn la aplicarea unor tehnici de codificare a datelor (criptare),
metod specific pentru protecia comunicrii ntre procesele de tip aplicaie care ruleaz pe diverse
calculatoare din reea.

21

mpiedicarea interceptrii fizice este n general costisitoare i dificil; ea se poate realiza mai facil
pentru anumite tipuri de medii (de exemplu, detectarea interceptrilor pe fibre optice este mai simpl
dect pentru cablurile cu fire de cupru). De aceea, se prefer implementarea unor mecanisme de
asigurare a securitii la nivel logic, prin tehnici de codificare/criptare a datelor transmise care
urmresc transformarea mesajelor astfel nct s fie nelese numai de destinatar; aceste tehnici devin
mijlocul principal de protecie a reelelor.

Nu trebuie uitat totui i problema numelor de utilizatori i a parolelor folosite. Autentificarea la


un sistem informatic se face n general pe baza unui nume i a unei parole. Parola este un cuvnt (ir
de caractere) secret prin care un utilizator face dovada identitii sale. Dei implicaiile stabilirii unei
parole greu de ghicit sunt evidente, muli utilizatori acord o mic importan acesteia dnd prilej unor
tere persoane, de obicei ru voitoare, s afle aceste parole.

Necesitatea reinerii unui numr mare de parole pune probleme multor utilizatori, de aceea
preferndu-se stabilirea unor parole simple, a unei parole unice (folosit la mai multe conturi), notarea
lor n locuri uor accesibile (i vizibile!) etc.

O parol complex este un ir de caractere compus din litere minuscule, majuscule, cifre i
simboluri (@#&%*). Complexitatea parolei este dat i de numrul de caractere ce o compun, o
parol din minim opt caractere fiind considerat bun. De reinut c timpul necesar pentru aflarea unei
parole crete odat cu numrul de caractere din care este compus.

22

Soluii de securitate hardware i software

Conceptul de securitate hardware se refer la posibilitile de a preveni furtul, vandalismul i


pierderea datelor. Se identific patru mari concepte:
a) securizarea accesului posibilitatea de a restriciona i urmri accesul la reea (posibilitile de a
ngrdi cldirile i de a securiza punctele de acces n cadrul unitii)
b) securizarea infrastructurii protejarea caburilor, echipamentelor de telecomunicaii i dispozitivelor de
reea gruparea pe ct posibil n locaii puternic securizate a tuturor echipamentelor de comunicaie,
camere de supravegheat cu conectare wireless pentru zone greu accesibile firewall-uri la nivel
hardware, posibilitatea de a monitoriza modificarea cablrii i a echipamentelor intermediare de
comunicaie ex. monitorizarea switch-urilor, routerelor etc.;
c) securizarea accesului la calculatoare folosind lacte pentru cabluri mai ales pentru laptopuri
carcase ce se pot nchide, eventual cutii securizate ce conin unitile centrale ale desktop-urilor;
d) securizarea datelor n special pentru prevenirea accesului la sursele de date ca de ex. Hard diskurile externe vor trebui inute n carcase prevzute cu lacte, precum i dispozitive de siguran pentru
stick-uri USB. O atenie foarte mare trebuie oferit soluiilor de back-up folosite, suporturile acestor
date trebuiesc s fie stocate i transportate n locaii i n condiii foarte sigure(stricte).
Implementarea unei soluii de securitate foarte puternice este o procedur foarte dificil ce implic de
multe ori costuri foarte mari, ct i personal calificat i foarte disciplinat.

Cum s-a menionat i n fia 1.3 se ncearc s se gseasc un compromis ntre nivelul de
securizare dorit i implicaiile implementrii acestor restricii. O dezvoltare a ideii de securizare
hardware o reprezint aa-numitele elemente de monitorizare hardware a reelelor. Aceste soluii sunt
echipamente special concepute a ntreine reele ntregi de calculatoare i vin s nlocuiasc
echipamentele uzuale.

De multe ori aceste echipamente conin un ntreg ansamblu de soluii firewall, antivirus,
criptri, IDS (Intrusion Detection System), VPN (virtial private network), trafic snaping. Aceste soluii
se bazeaz pe cipuri ASIC (Application-Specific Integrated Circuit) care sunt circuite integrate
personalizate s efectueze o anumit sarcin (se elimin cazurile generale, implementndu-se algoritmi
speciali, specializai i optimizai). Versiuni similare sunt aa numitele SoC (System on a Cip) care
conin i alte blocuri funcionale (procesare pe 32 de bii, memorie ROM, RAM, EEPROM, Flash).
Aceste echipamente totui au preuri foarte mari, prohibitive pentru companiile mici i mijlocii, ele
folosindu-se n special n cadrul marilor companii multi-naionale.
23

Menirea unei soluii de securitate software este de a nlocui i eventual de a mbunti soluia de
tip hardware(decizie luat n special din cauza preului dispozitivelor hardware specializate). Astfel i
soluiile software se pot organiza ntr-un mod asemntor cu cel prezentat n fia 2.2, cu precizrile
urmtoare:
a) la nivelul accesului se pot folosi sistemele de monitorizare folosindu-se de coduri de acces, camere
de supraveghere cu detecia micrii
b) la nivel de infrastructur firewall-uri software, sisteme de monitorizare ale reelei n vederea
detectrii de modificri la nivel de cablri, schimbri de configurare, declanri de alarme, etc.;
c) la nivel de date posibiliti de backup automate, pstrate n diferite locaii, programe de criptare,
etc;
d) la nivelul calculatoarelor - IDS (Intrusion Detection Systems) care pot monitoriza modificrile din
cadrul codului programelor i sesizeaz activitatea neobinuit a reelei, folosirea de aplicaii de
detectare a elementelor de tip malaware (virui, spyware, adware, grayware);

Din alt punct de vedere este foarte important de evideniat faptul c aceste soluii de securitate se
mai clasific i n funcie de importana lor, astfel, deosebim:
a) aplicaii de tip firewall pentru filtrarea datelor din cadrul unei reele;
b) aplicaii pentru detectarea codurilor duntoare: aplicaii antivirus, aplicaii anti-spamware, antiadware, anti-grayware la nivel de reea;
c) obligativitatea actualizrii de patch-uri pentru sistemele de operare i aplicaii instalate pentru a
minimiza posibilitile de infectare folosind breele de securitate nou aprute.

Toate aceste aplicaii sunt absolut necesare n orice reea care este conectat la Internet. Pentru
orice companie este foarte important ca pe lng setrile de securitate pe calculatoarele utilizatorilor s
aib soluii de protecie i la nivelul reelei. ntruct soluiile de securitate care se pot seta la nivel de
desktop (sau laptop) sunt relativ limitate n special prin prisma puterii de procesare i de disciplina i
cunotinele utilizatorilor rmne s se instaleze i configureze soluii dedicate de securitate la nivel
de reea, soluii de care s se foloseasc toi utilizatorii din cadrul ei.

Conform unui studiu al companiei Blue Coat care prezint primele 5 cele mai bune practici de
securitate pentru conectarea la internet, se disting direciile de urmat n urmtoarea perioad (luni, ani)
i anume:
a) Alturarea la o comunitate de supraveghere (community watch). Din ce n ce mai muli utilizatori, se
unesc n comuniti de supraveghere pstrate n aa numitele cloud services reele ntre care exist
relaii bine-stabilite, de ncredere i dependen, bazndu-se pe concepte de procesare n
reea(folosindu-se astfel de puterea de procesare oferit de fiecare calculator din cadrul ei) pentru a
se proteja unii pe alii. Cnd o persoan detecteaz o ameninare, aceasta este perceput de fiecare
utilizator din cadrul norului (cloud) astfel ajungnd s se apere fiecare utilizator. Aceste comuniti
24

b)

c)

d)

e)

sunt un pas foarte important n asigurarea securitii deoarece confer avantaje foarte puternice
comparativ cu alte soluii singulare, deoarece are la dispoziie mai multe resurse i soluii defensive.
Schimbarea mentalitii defensive one against the Web (singur mpotriva Internetului). Soluiile
personale de protejare mpotriva atacurilor criminale care vizeaz furtul de date, de orice natur, devin
foarte repede nvechite ntruct aceste atacuri devin din ce n ce mai complexe i mai sofisticate
tehnologic. Sistemele de protecie bazate pe semnturi actualizate zilnic sunt forme de protecie
depite. Nu se compar aceste soluii cu ceea ce se poate oferi prin soluiile cu design hibrid folosite
de comunitile de supraveghere, care se bazeaz pe servicii de protecie ce se actualizeaz odat la 5
minute, beneficiind de serviciile defensive a peste 50 de milioane de utilizatori.
Schimbarea politicilor bazate pe producie n politici bazate pe protecie. Dac soluia existent la
momentul actual este mai veche de 1 an, atunci aceast soluie este bazat pe producie adic la
momentul instalrii s-a luat n calcul mrirea productivitii utilizatorilor prin blocarea de site-uri cu
coninut obscen i neproductiv(ex. jocuri online). Cum s-a ajuns ca peste 90% din coninutul malaware
s vin de la site-uri populare i de ncredere, Internetul-ca un tot unitar - a ajuns s fie principalul
furnizor de acest coninut. Pentru protejare de atacuri venite din Internet este necesar s se blocheze
toate formele de download venite din partea unor site-uri necunoscute sau cu reputaii tirbe, blocnd
astfel o ntreag cale de acces al ameninrilor de tip malaware n reeaua local.
Folosirea de servicii Web real-time (n timp real) de evaluare. Coninutul Web cuprinde o multitudine
de metode de filtrare de adrese URL care actualizeaz zilnic listele URL statice coninute de fiecare
site. Serviciile Web care ofer posibilitatea de a evalua site-urile devin unelte foarte puternice i
necesare pentru a suplimenta valoare de protecie oferit de soluiile de filtrare de URL. Dealtfel
aceste servicii ofer un real ajutor i utilizatorilor finali, oferind informaii n timp real cu privire la
coninutul paginilor vizitate, utilizatorii bucurndu-se de navigri relativ sigure folosind politici de
securitate acceptabile.
Protejarea utilizatorilor ce se conecteaz de la distan. Posibilitatea de a lucra la distan a devenit o
foarte important unealt de lucru pentru majoritatea utilizatorilor. Adugarea unui agent de tip client,
legat la o comunitate de supraveghere poate proteja mai bine utilizatorii la distan. Centralizarea
politicilor de management poate oferi protecia necesar oferit de filtrarea de coninut i blocarea de
malware de pe site-urile detectate de o ntreaga reea defensiv a unei comuniti de supraveghere.
Productorii de hardware au venit cu soluia simpl de a oferi un nivel de securitate crescut folosind
funcii bazate pe parole (maxim 8 caractere) pentru accesul la resursele unui calculator, aceast form
de acces fiind o form des ntlnit, i la ndemna oricui. Este aa-numita parolare din BIOS.
Sunt cteva aspecte care confer acestei forme de securizare anumite avantaje i dezavantaje:

este la ndemna oricui (se regsete n orice laptop sau desktop);


ofer un grad suplimentar de securitate sistemului, reelei, etc.;
se poate securiza doar setrile BIOS sau i partea de bootare (prin parolarea doar a BIOS-ului se pot
dezactiva de ex. alte surse pentru bootare);
are un numr de 3 ncercri pentru a introduce parola valid (privit dintr-un anumit punct de vedere
este un avantaj, dar poate fi i un dezavantaj);
nu se pot securiza datele de pe HDD (cu excepia unor cazuri speciale ex. seria IBM ThinkPad),
acestea fiind accesibile prin montarea n alt unitate;
odat blocat sistemul (s-a depit nr de ncercri pentru introducerea parolei) sistemul este blocat i
este necesar intervenia specializat (posibile soluii pentru utilizatorul obinuit: resetarea BIOS-ului
prin acionarea unui buton, setarea unui jumper sau scoaterea bateriei CMOS);
pentru anumite tipuri de BIOS sunt deja cunoscute unele parole backdoor care pot oferi acces pe
sistem, fcnd aceast form de securizare inutil;

25

Ameninri de securitate a reelelor

Atacurile i au originea nu numai din exteriorul reelei, dar i din interior de vreme ce parteneri
de afaceri sau angajai ai companiei se pot conecta n reea de la distan i tot mai multe aplicaii se
bazeaz pe tehnologii de tip wireless pentru acces n reea. Mobilitatea i accesul la distan sunt la fel
de necesare n modul nostru de lucru la fel ns i confidenialitatea informaiilor, intimitatea personal
i stabilitatea n reea ca mediu de lucru utilizat la schimbul de informaii n timpul activitii.

Deosebim urmtoarele categorii de atacatori sau hackers:


a) pentru distracie, for fun, prostie(script-kid): sunt cei care fac prostii pe net doar ca s se distreze
sau s dovedeasc lor sau altora c sunt posesorii unor skill-uri mai speciale;
b) pentru bani(well know hackers), un nivel superior, mult mai profesional de multe ori: sunt cei care fac
bani din aceast meserie. Aici sunt incluse i activitile de spionaj industrial sau corporatist;
c) pentru rzbunare: clieni nemulumii, foti angajai, competitori sau oameni care au ceva mpotriva
cuiva dintr-o companie.

Ca surse de atac se disting dou mari categorii:


-

atacuri din interiorul reelei;


atacuri din exteriorul reelei.

Atacul din interiorul reelei este forma cea mai devastatoare ntruct utilizatorul are acces la o
multitudine de resurse i deoarece politicile de securitate interne nu sunt att de bine implementate,
sau cel puin nu sunt definite att de strict din pricina diversitii necesare unor utilizatori n a accesa
informaiile rspndite prin cadrul organizaiei. Mai mult ca regul general toi utilizatori interni intr
n categoria utilizatorilor trusted de ncredere.

Acesta este i motivul pentru care, n urma unor informaii detaliate din cadrul unor rapoarte de
securitate s-a observat c riscurile cele mai mari vin de la proprii angajai.
Un atac din interior poate fi neintenionat sau deliberat. n categoria atacurilor neintenionate ntr
posibilitatea de a citi parola de acces a unei alte persoane, sau divulgarea unor parole, sau prin
infectarea calculatorului la care lucreaz, expunnd ntreaga companie la riscul de a se infecta cu un
26

virus. Cea de-a doua form de atac este de departe cea mai periculoas, pentru c de multe ori aceste
persoane dein cunotine avansate i pot eventual s-i ascund i urmele operaiilor efectuate. Din
pcate nu exist o form sigur de protecie pentru aceste forme de atac, singura care poate oferi
informaii cu privire la astfel de atacuri fiind auditarea accesului dar aceasta poate face i mai mult
ru prin prisma stresrii suplimentare a utilizatorilor din cadrul organizaiei.

Pentru a se putea nelege mai bine atacurile din exterior s facem o comparaie cu o banc.
Astfel primul pas fcut n direcia implementrii unei defensive eficiente este de a ridica un
FIREWALL ca o barier n faa punctului de intrare n reea. Este ca i cum am instala o u metalic
ntr-o banc. Un punct de acces prin care tot tracul este monitorizat pe msur ce intr sau iese din
reea. Orice intrus cu intenii suspecte trebuie s fie detectat, aa c al doilea tip de dispozitive de
securitate - camerele de supraveghere vor fi instalate n spatele porii metalice, cazul bncii.
Pentru o reea informatic, al doilea nivel de securitate, furnizat din spatele firewall-ului este fcut prin
IDS Intrusion Detection System sau SDI Sisteme de Detecie a Intruziunilor. Aceste sisteme
detecteaz atacurile i declaeaz rspunsuri la aceste atacuri i mai mult, alerteaz pe diverse ci
administratorul de reea sau alte persoane abilitate.

Cteodat bncile realizeaz transfer de bani lichizi i atunci trebuie s se asigure ca n exterior
totul va decurge ntr-un mod sigur. La fel cum bncile folosesc vehicule blindate pentru protecia
transportului de bani lichizi, reelele informatice utilizeaz ca mijloc de transport a datelor n spaiul
public tuneluri securizate de date sau VPN (Virtual Private Network), n romnete: RVP Reele
Virtuale Private. Deoarece n aceste tuneluri exist riscul s se intercepteze informaiile, iar pachetele
de date aflate n tunel s fie compromise n timp ce sunt n tranzit, coninutul pachetelor de date este
obligatoriu s fie criptat!

De cele mai multe ori oamenii vor s aib acces la facilitile furnizate de banca din alt ora sau
din alt ar, aa c o banc trebuie s se asigure c oamenii care beneficiaz de acces de la distan au
dreptul de a accesa resursele bncii on-line. n mod similar ntr-o reea trebuiesc activate sisteme de
autentificare care s verifice identitatea persoanei care trimite i recepioneaz informaia criptat prin
tunelul securizat.

Un plan de securitate puternic este unul conceput pe mai multe layere sau straturi, cum am
precizat i n fia 1.1, adic implic mai multe soluii de securitate. n funcie de fiecare organizaie
sau companie soluiile difer.

27

Diagrama privind sursele de atac asupra unei reele

Cum spuneam mai sus, este necesar instalarea unui firewall care s pun o barier ntre cei din
afara reelei, cei din interiorul ei i modul n care se acceseaz ea.

Astfel, un sistem de tip firewall trebuie s ofere urmtoarele informaii:


1.

filtrarea traficului sistemul decide ce pachet de date are permisiunea s treac prin punctul
de acces( n concordan cu setul de reguli aplicate);

2.

inspectarea fluxurilor de date, inspectare de tip Statefull (sau filtrarea dinamic a pachetelor)
este utilizat pentru a verifica fiecare nou flux de date ce intr n reea, i este abilitatea firewall-ului
de a memora starea fiecrui flux de date;

3.

NAT Network Address Translation reprezint o tehnic utilizat pentru a ascunde


adresele private n spaiul public.

4.

application gateways sunt folosite de aplicaii precum FTP (File Transfer Protocol) sau
RTSP (Real Time Streaming Protocol). Aceste protocoale trimit pachete IP ce conin adresa fixat a
aplicaiei (socket sau port);

5.

proxy servers asigur modul ca o aplicaie s fie utilizat conform cu politica de securitate
specific setat;

6.

detectarea intruziunilor pe baza unor abloane firewall-ul detecteaz un spectru de atacuri


nregistrndu-le, notificnd administratorul de reea i activnd un set de aciuni menit s minimizeze
efectul impactului unui atac;

7.

capaciti de monitorizare i management al traficului evenimentele sunt nregistrate,


prelucrate i prezentate n rapoarte ctre administratorul de reea;
28

8.

mijloace de autentificare listele de acces furnizeaz o cale eficient de a aplica un mijloc de


constrngere unui mare grup de utilizatori aflai n spaiul public.

Un prim pas n aflarea unui mod de penetrare n reea a unui atacator va fi s afle ce porturi (ui
ascunse) sunt deschise. Pentru aceasta el va face o scanare de porturi. O astfel de metod totui poate
fi folosit i de ctre administratorul unei reele pentru a se asigura c este protejat corespunztor.

Scanarea de porturi nu duneaz reelei sau sistemului, dar asigur hackerului informaii care pot
fi folosite pentru atacuri.

n total avem 65535 porturi TCP (acelai numr i de porturi UDP). Ele sunt folosite de diverse
aplicaii i servicii. Dac un port este deschis, el rspunde de fiecare dat cnd un computer ncearc
s-l acceseze prin reea. Aplicaiile ce scaneaz porturi, de tip Nmap, sunt folosite pentru a determina
care porturi sunt deschise pe un sistem. Programul trimite pachete pentru o multitudine de protocoale,
i analiznd apoi ce rspunsuri primete i ce nu, creeaz o list cu porturile ce ascult (listening
ports) sau sunt deschise pentru sistemul scanat.

Urmtoarele porturi sunt cele mai uzuale(cunoscute): 20: FTP(data), 21: FTP(control),
22: SFTP, 23: Telnet, 25: SMTP, 67: BOOTP server, 68: BOOTP client, 80: http, 88: Kerberos, 110:
POP3, 119: NNTP, 194: IRC, 220: IMAPv3, 389: LDAP

Porturile din intervalul 1024-64535 sunt denumite registered ports ele fiind folosite de ctre
procese i aplicaii. Bineneles, asta nu nseamn c aceste porturi nu sunt inte ale atacurilor. De
exemplu, portul 1433 folosit de SQL poate reprezenta interes pentru hackeri.

O reea virtual privat (VPN) este tehnica prin care realizm tunele n spaiul public, n
Internet, pentru a conecta n mod sigur de exemplu birourile unei companii aflate n mai multe locaii.
Pentru VPN-uri bazate pe protocol IP, traficul din reea este ncapsulat n pachetele IP iar acestea sunt
transferate prin tunel. Aceasta ncapsulare furnizeaz calea de separare a reelelor. Autentificarea
furnizeaz verificarea identitii, iar criptarea furnizeaz confidenialitatea datelor ncapsulate.
Protocoale utilizate n crearea de tuneluri sunt: MPLS Multiprotocol Label Switching, GRE
Generic Routing Encapsulation, PPTP Point-to-Point Tunnelling Protocol, L2TP Layer 2
Tunnelling Protocol i nu n ultimul rnd IPSec Internet Protocol Security
29

Pentru crearea de VPN-uri, pe scar larg este folosit protocolul IPSec. IPSec asigur separarea
reelelor private de cele publice prin tunelarea pachetelor IP n alte pachete IP asigurnd totodat
confidenialitatea i integritatea datelor. IPSec reprezint o colecie de alte protocoale nrudite ce
opereaz la Nivelul Reea( Nivelul 3 n modelul OSI). Dei IPSec este folosit de cele mai multe ori ca
soluie complet n crearea de VPN-uri, mai poate fi folosit complementar ca schem de criptare n
cadrul VPN-urilor ce au la baz L2TP sau PPTP.

Capitolul 3
Securizarea unui sistem de operare
30

Tipuri de atacuri informatice

Cnd spunem tip de atac ne referim la modul n care un hacker reuete s preia controlul unui
sistem i ce poate el s fac dup ce a reuit penetrarea lui.

Cele mai des ntlnite tipuri de atacuri sunt urmtoarele:


a)
b)
c)
d)
e)

atacuri social engineering;


atacuri DoS;
scanri i spoofing;
source routing i alte exploituri de protocoale;
exploituri de software;
31

f) troieni, virui i worms;

Atacurile de tip social engineering. Social engineering aduce n prim plan omul i greelile
lui. Atacatorul trebuie doar s posede people skills sau carism. Ei ctig ncrederea utilizatorilor
(sau i mai bine, a administratorilor) i obin drepturi cu ajutorul crora se pot conecta pe sisteme. n
multe cazuri, aceast metod este cea mai uoar form de obinere de acces la un sistem
informaional. Principala metod de aprare este educarea personalului i nu implementarea de soluii
tehnice.

Atacuri Denial-of-Service (DoS). Anul 2000, luna februarie. O serie de atacuri DoS au pus la
pmnt web site-uri c yahoo.com sau buy.com. V dai seama de fora acestor atacuri, dac au putut
s doboare astfel de mamui? Atacurile DoS sunt printre cele mai populare printre hackeri atunci
cnd este vizat ntreruperea serviciilor unei reele sau ale unui server. Scopul unui atac DoS este de a
genera o cantitate foarte mare de trafic care pune n imposibilitatea de a mai rspunde ntr-un timp
rezonabil a serverelor, routere-lor sau altor echipamente, astfel ele nemaifiind capabile s funcioneze
normal.

Distributed Denial-of-Service. Acest tip de atac face cam acelai lucru ca i DoS-ul, numai c
se folosete n atingerea scopului su de computere intermediare, numite ageni, pe care ruleaz unele
aplicaii (zombies) care au fost instalate pe calculatoare anterior. Hacker-ul activeaz de la distan
aceste progrmele n aa fel nct toate aceste sisteme intermediare s lanseze atacul DDoS n
acelai timp. Din cauz c atacul provine de la mai multe calculatoare care pot s fie rspndite prin
toat lumea, originea real a pericolului este foarte greu de gsit. Aadar DDoS-ul este un pericol
dublu. Pe lng posibilitatea ca reeaua personal s fie pus la pmnt cu tot cu servere, mai exist i
opiunea ca sistemele tale s fie folosite pe post de ageni intermediari n alte atacuri.

Atacul DNS DoS. Acest tip de atac exploateaz diferenele de mrime ntre DNS querry
(interogarea name server-ului) i DNS response (rspunsul name server-ului). Atacatorul folosete
serverele de DNS ca i amplificatoare pentru a mri traficul de DNS.

Atacul SYN. Atacurile de tip SYN (synchronization request) exploateaz handshake-ul threeway al protocolului de transport TCP, procesul prin care se stabilete o sesiune de comunicare ntre
dou computere. Deoarece TCP-ul este un protocol de transport connection-oriented, o sesiune sau un
link de comunicare unu la unu, one-to-one, trebuie stabilite ntre cele dou sisteme, nainte c ele s
poat comunica ntre ele. S zicem c un atacator trimite un SYN nspre un server cu un IP surs
spoofed - inexistent. Normal c server-ul va trimite nspre client un ACK/SYN. Dar cum IP-ul surs
32

nu este bun, serverul ateapt inutil ACK-ul clientului. El nu va veni. Serverul va pune atunci
ACK/SYN-ul trimis ctre client ntr-o coad de ateptare. Aceast coad poate stoca un numr limitat
de mesaje. Cnd este plin, toate SYN request-urile care vor urma vor fi ignorate i serverul va ajunge
n postura de a ignora orice cerere venit din partea clienilor legitimi.

Atacul LAND deriv din cel descris mai sus, cu precizarea c n acest caz, atacatorul n loc s
trimit SYN-uri cu adrese IP care nu exist, trimite pachete SYN cu adresa IP a clientului-target care
este victima n acest caz.

Atacul Ping of Death. Mai este cunoscut i sub numele de large packet ping. Se creeaz un
pachet IP mai mare dect valoarea admis de specificaiile protocolului IP, adic 65 536 bytes.
Sistemul int este compromis, soluia fiind un reboot (de multe ori forat sistemul blocndu-se).

Atacul Teardrop. Acest atac are aceleai rezultate ca i Ping of death, dar metoda este alta.
Programul teardrop creeaz fragmente IP care fac parte dintr-un pachet IP. Problema este c aceste
fragmente folosesc offset fields (rolul lor este de a indica poriunea n bytes a acestor fragmente).
Problema apare atunci cnd aceste offset-uri se suprapun. Cnd computerul int ncearc s
reasambleze aceste fragmente n pachetul IP original normal c va genera o problem (resetare,
blocare sau eroare de sistem).

Flood-ul cu ICMP (ping). Se bazeaz pe o mulime de pachete ICMP echo request pn cnd
se ocup toat banda disponibil. Acestui gen de atac i se mai spune i ping storm deoarece luminiele
router-ului sau switch-ului lumineaz intermitent, cu vitez foarte mare i interogrile n reea rmn
fr rspuns.

Atacul fraggle este tot un fel de ping flood. Atacatorul folosete un IP clonat (spoofing) i trimite
ping-uri nspre un ntreg subnet ca exemplu. Este de menionat c acest tip de atac a fost folosit n
timpul rzboiului din Kosovo de ctre hackerii srbi mpotriva siturilor NATO.

Atacul Smurf. Este un fel de agresiune brute force i folosete aceeai metod a flood-ului prin
ping, numai c de data asta adresa destinaie din pachetele ICMP echo request este adresa de broadcast
a reelei. Un router cnd primete astfel de pachete le trimite nspre toate hosturile pe care le
mascheaz. Pot rezulta cantiti mari de trafic i congestionarea reelei. Combinaia dintre atacul
fraggle si cel Smurf fac ca reeaua destinaie ct i sursa s fie afectate.

33

Atacul Mail Bomb. Numele acestui tip de arm este edificator. Se trimit aa de multe mailuri
nspre un mail server, nct acesta ajunge n imposibilitatea de a le gestiona, iar userii legitimi nu mai
pot beneficia de serviciile acestuia. Din acest tip de atac a derivat unul care presupune nscrierea
mail serverului la o grmad de mailing lists-liste uneori legitime, care ofer tot felul de informaii.

Scanning-ul i spoofing-ul. Termenul de scanner, n contextul securitii n IT, se refer la o


aplicaie software folosit de ctre hackeri pentru determinarea porturilor TCP sau UDP deschise pe un
sistem. Dar i administratorii este indicat s foloseasc astfel de aplicaii, pentru a putea detecta
vulnerabilitile pe sistemele proprii.

Un virus este un program creat s distrug datele sau echipamentele unui calculator. Viruii
sunt programe cu dimensiuni foarte mici, ascuni fie n fiiere executabile fie ataai unor programe (n
acest caz sunt numii i parazii). Ei au menirea de a distruge date, s se reproduc (ajungnd s
blocheze hard discul sau chiar s distrug motoarele de cutare ale acestuia) i pot distruge chiar i
componente ale calculatorului.

Sunt dou categorii de virui informatici:


- Hardware: virusi informatici care distrug componente hardware precum hard discul, uniti
optice i chiar monitorul sau memoria (RAM) unui calculator. Ex. Virusul CIH (1998) care dei era
coninut n fiiere executabile, avea ca directive s terg memoria BIOS i s o reprogrameze cu linii
inutile care fceau calculatorul inutil pn la schimbarea cipului.
- Software: acei virui informatici menii s distrug fiiere sau programe inclusiv sisteme de
operare, s modifice structura unui program, s se multiplice pn la refuz (umplerea hard discului la
maxim (n acest caz blocnd motoarele de cutare al acestuia, acestea cednd i hard discul devine
incapabil s mai funcioneze), s tearg n totalitate informaia aflat pe disc, s ncetineasc viteza de
lucru a calculatorului, ajungnd, nu de puine ori in situaia de a-l bloca.

Cteva detalii de tiut:


-

viruii se pot nmuli singuri;


viruii sunt creai de om;
un simplu virus se poate multiplica la nesfrit;
un virus care se multiplic la nesfrit este relativ usor de realizat i chiar i un virus att de simplu
este periculos pentru c el va ocupa foarte repede memoria disponibil i sistemul se va bloca.

34

Un worm este un program sau un algoritm care se multiplic n cadrul unei reele de
calculatoare i de obicei este periculos pentru c fie folsete resursele calculatorului innutil, oprete
ntreg sistemul sau l face innoperabil.

Aceast categorie de virui caut s se auto-transmit mai departe ajutndu-se de adrese de email, i poate uneori s ataeze i documente furate (parole, informaii bancare etc.) din calculatorul
infestat.

Numim adware sau spyware orice soft care strnge informaii pe ascuns despre calculatorul
utilizatorului prin intermediul conexiunii la Internet a utilizatorului i fr tirea lui, de obicei n
scopuri publicitare. Aplicaiile de tip spyware sunt de obicei ascunse n anumite programe gratuite sau
de evaluare care pot fi descrcate de pe Internet. Odat instalate programele de tip spyware
monitorizeaz activitatea utilizatorului pe Internet i transmit aceste informaii pe ascuns altcuiva.

Programele de tip spyware pot aduna i transmite informaii despre adrese de e-mail, parole i
alte date confideniale (ID-ul carii de credit de ex).

Viruii de tip Cal Tojan

Calul Trojan sunt virui care se ascund n spatele altor programe lsnd o u din spate
(backdoor) deschis prin care un hacker ii poate controla calculatorul atunci cnd eti conectat la
internet. Troienii sunt un fel de virui spioni, se instaleaz fr a atrage atenia asupra lui, spioneaz n
mod discret i pregtete lovitura final (aceasta putnd fi chiar fatal sistemului). Alte exemplare din
categoria troienilor au ca scop principal atacul spre un server, dinspre toate calculatoarele infestate cu
acest trojan, trimind mii de solicitri pe secund, fcnd serverul s nu mai fie funcionabil n
parametri normali, sau chiar blocndu-l.
35

Spre deosebire de virui troienii nu se multiplic singuri, dar pot fi la fel de destructivi ca viruii.

Unul dintre cele mai ntlnite tipuri de cal Trojan este acela care imit un antivirus ns
introduce de fapt virui n calculatorul tu. Ex. Windows Antivirus 2009 program care prin
denumirea i aspectul su poate pcli mult lume s-l instaleze.

Securizarea unui sistem de operare

Windows XP este succesorul sistemelor de operare Windows Me i Windows 2000 i este


primul sistem de operare axat pe consumator produs de Microsoft pe modelul kernel-ului i a
arhitecturii NT. Windows XP a fost lansat pe 25 octombrie 2001 i a fost vndut n 400 de milioane de
exemplare n ianuarie 2006, conform unei estimri fcute de un analist IDC.

Cele mai ntlnite ediii de Windows XP sunt Windows XP Home Edition, a crui public int
sunt utilizatorii care lucreaz la domiciliu i Windows XP Professional, care are faciliti adiionale, ca
suportul pentru domeniile Windows Server i suportul pentru dou procesoare fizice, i este fcut
pentru utilizatorii avansai i clienii de business. Windows XP Media Center Edition este mbuntit
cu faciliti multimedia ce permit utilizatorului s nregistreze i s vizioneze televiziunea digital, s
vizioneze filme DVD i s asculte muzic. Windows XP Tablet PC Edition este proiectat s poat rula
pe platformele PC-urilor tablet. Au fost lansate deasemenea Windows XP 64-bit Edition pentru
procesoarele IA-64 (Itanium) i Windows XP Professional x64 Edition pentru x86-64.

Windows XP este cunoscut pentru stabilitatea i eficiena sa, n contrast cu versiunile 9x de


Microsoft Windows. Prezint o interfa semnificant modificat, mai prietenoas pentru utilizator
dect n celelalte versiuni de Windows. Capacitile de management noi al software-ului au fost
introduse pentru a evita "iadul DLL-urilor" care a marcat celelalte versiuni de Windows. Este prima
versiune de Windows care necesit activare pentru a combate pirateria informatic, o facilitate care nu
a fost primit cu plcere de toi utilizatorii. Windows XP a fost criticat pentru vulnerabilitile legate

36

de securitate, pentru integrarea aplicaiilor ca Internet Explorer sau Windows Media Player i pentru
aspecte legate de interfaa implicit a spaiului de lucru.

Windows XP Home Edition este proiectat pentru persoane individuale i include noi
experiene pentru mediile digitale, reea i comunicaii. Include un numr de mbuntiri fa de
Windows 2000 Professional. Astfel:

software mbuntit i compatibilitate hardware


securitate simplificat
log-are simplificat cu nou ecran welcome
schimbare de utilizator rapid
o nou interfa
suport mbuntit pentru multimedia (filme, poze, muzic)
DirectX 8.1 pentru jocuri

Windows XP Professional este sistemul de operare destinat oamenilor de afaceri i firmelor de


toate dimensiunile, precum i tuturor acelor utilizatori individuali care doresc s exploateze la
maximum posibilitile de calcul oferite de PC. La Windows XP Professional se adaug accesul la
distan, securitate, performan, uurin n utilizare, posibilitile de conectare.

Cea mai evident deosebire ns ntre Windows XP Home Edition i Windows XP Professional
este securitatea, care este simplificat pentru Windows XP Home Edition. Fiecare utilizator interactiv
al Windows XP Home Edition este presupus a fi un membru al grupului local de proprietari (Owners
Local Group), care este echivalentul Windows XP al lui Windows 2000 Administrator Account.
Aceasta nseamn c oricine se logeaz la un calculator cu Home Edition are deplinul control. Totui
facilitile Backup Operatores, Power Users i Replicator Groups deinute de Windows 2000 sau de
Windows XP Professional lipsesc la Windows XP Home Edition. n schimb Windows XP Home
Edition beneficiaz de un nou grup numit: Restricted Users. Prile administrative ascunse nu sunt
disponibile n Home Edition.

Pentru Windows XP deosebim cteva aspecte foarte importante n vederea asigurrii unui nivel de
securitate minim:

discurile s fie formatate n sistem NTFS prin acest sistem oferindu-se posibiliti de
administrare foarte importante;
activarea Windows Firewall (sau instalarea unui program de la teri);
realizarea de politici clare pentru parole i obligativitatea introduceri secvenei
CTRL+Alt+Delete pentru logare (anumite programe pot simula aceast secven pentru realizarea unei
conexiuni ascunse);

37

Realizarea unor politici la fel de clare privind realizarea de backupuri la intervale regulate i
nu numai pentru protejarea datelor n cazuri nedorite;
Activarea serviciului de Restore Point procedura ce ofer posibilitatea salvrii unor stri de
moment ale sistemului;
Stabilirea unor reguli de acces la Internet Explorer (Zona Local Intranet, pentru site-urile din
cadrul organizaiei sau care se afl n spatele firewall-ului utilizatorului, Zona Trusted Sites, pentru
site-uri care nu se afl n spatele firewall-ului utilizatorului, dar pentru care utilizatorul are ncredere
total, Zona Restricted Sites, pentru site-uri cunoscute de utilizator c fiind maliioase, Zona Internet
Zone, pentru restul de site-uri, Zona My Computer, care ns de obicei nu e configurabil, deoarece
controalele ActiveX pe care chiar sistemul de operare le instaleaz ruleaz pe setrile de securitate din
aceast zon)
Nu n ultimul rnd este necesar acordarea de atenie mrit datelor critice cu caracter
personal (conturi, parole, documente private) folosindu-se de criptri EFS.
Windows Xp nu vine instalat cu un program antivirus i de aceea este necesar s se instaleze i o astfel
de aplicaie (de preferat o soluie Internet Suite care conine i alte aplicaii gen anti-spyware,
firewall, back-up, etc.).

Windows Vista este cea mai recent versiune a sistemului de operare Microsoft Windows,
proiectat de corporaia Microsoft. nainte de anunul sub acest nume din 22 iulie 2005, Windows
Vista a fost cunoscut sub numele de cod Longhorn, dup Salonul Longhorn, un bar cunoscut din
oraul Whistler din provincia canadian Columbia Britanic. Windows Vista a fost lansat n noiembrie
2006 pentru firme i parteneri de afaceri iar n ianuarie 2007 a fost lansat pentru utilizatorii obinuii.
Aceast lansare vine dup mai mult de cinci ani de la apariia pe pia a sistemului de operare
Windows XP, fiind cea mai mare distan ntre dou lansri succesive .

Windows Vista are sute de faciliti noi, cum ar fi o interfa grafic modern i un stil vizual
nou, Windows Aero, tehnologia de cutare mbuntit, noi unelte multimedia, precum i subsistemele complet remodelate de reea, audio, imprimare i afiare (display). Vista va mbunti
comunicarea dintre maini pe o reea casnic folosind tehnologia peer-to-peer, i va facilita folosirea n
comun a fiierelor, parolelor, i mediilor digitale ntre diverse computere i dispozitive. Pentru
proiectanii de software, Vista pune de asemenea la dispoziie versiunea 3.0 a sistemului de proiectare
numit .NET Framework.

De o securitate mbuntit putem beneficia folosind i ultima versiune a aplicaiei "Windows


Firewall" inclus n sistemul de operare Windows Vista. Dar securitate nseamn mult mai mult dect
updatarea sistemului de operare, o aplicaie antispyware/antivirus sau o aplicaie firewall. Un sistem
de operare trebuie s ofere ncredere utilizatorilor i s protejeze datele (mai mult sau mai puin
confideniale) stocate pe aceste sisteme. n acest domeniu al securitii (protecia datelor, identitate i
control acces) intr i tehnologiile "User Account Control" sau "Internet Explorer 7 Protected
Mode".

38

"User Account Control" - tehnologie care nu exist n Windows XP, aprnd prima dat n
Windows Vista i n Windows Server 2008 - reduce posibilitatea c o aplicaie cu privilegii minime
(low) s dobndeasc n mod automat i necontrolat privilegii sporite i s aib acces la fiierele
utilizatorului fr consimmntul acestuia.

Aceast posibilitate exist n Windows 2000/XP unde un utilizator (cu drepturi de administrator)
putea fi indus n eroare mai uor s execute un anumit cod (aplicaie ostil acelui sistem) i care putea
duce la compromiterea acestuia.

n Windows Vista orice aplicaie care solicit acces la zone sensibile ale sistemului de operare
(fiiere de sistem, registry-ul de sistem) va primi acces s ruleze numai dup consimmantul explicit
al utilizatorului.

Windows Vista introduce conceptul de etichet (label) i 4 nivele de integritate: low, medium ,
high i system. n mod uzual toi utilizatorii sistemului de operare Windows Vista (inclusiv
administratorul) ruleaz la un nivel de integritate "Medium".

n momentul cnd un utilizator (administrator) trebuie s-i eleveze (sporeasc) privilegiile pentru
a rula o aplicaie ce acceseaz zone sensibile ale sistemului de operare (sistem de fiiere, registry)
nivelul sau de integritate devine "High".

Internet Explorer ruleaz n mod normal la un nivel "Low" de integritate. Orice aplicaie care se
descarc din Internet va dobndi un nivel de integritate "Low" (egal cu al procesului Internet Explorer)
i nu va putea s se execute i s-i eleveze privilegiile compromind sistemul respectiv. Acesta este
modul protejat (Protected mode) n care ruleaz IE7 pe Windows Vista. Modul protejat oferit de IE7
este o facilitate prezent numai pe sistemul de operare Windows Vista.

Atenie! "User Account Control i Internet Explorer Protected Mode" se pot dezactiva, dar nu
este recomandat. n plus, pentru site-urile web din zona Trusted Sites din Internet Explorer 7 modul
protejat (Protected mode) este dezactivat.

39

Un utilizator poate accesa i modifica un obiect n Windows Vista numai dac nivelul sau de
integritate este mai mare dect cel al obiectului.

n acest scop n Windows Vista sunt definite 3 politici obligatorii de acces:

No WRITE UP o entitate nu poate modifica un obiect dac posed un nivel de integritate


mai mic dect al obiectului respective
No READ UP o entitate nu poate citi un obiect dac poseda un nivel de integritate mai mic
dect al obiectului respective
No EXECUTE UP o entitate nu poate executa un obiect dac posed un nivel de integritate
mai mic dect al obiectului respectiv

Principii de securitate
Putem privi aceste tehnologii i prin prisma altui principiu de securitate "principle of least privilege"
sau "principle of minimal privilege" - "principiul privilegiului minim" n care utilizatorul trebuie s
aibe privilegii minime pentru accesarea unui sistem informatic conform fiei postului i sarcinilor pe
care trebuie s le ndeplineasc.

n acest fel, n Windows Vista toi utilizatorii au acelai nivel de integritate (ncredere) pe un
sistem iar privilegiile administrative se folosesc doar n cazul n care este necesar.

Aceste tehnologii de securitate sunt o implementare a modelelor de securitate dezvoltate nc din


anii 70 modelul de integritate a datelor Biba i modelul de confidenialitate a datelor Bell
LaPadula.
Mai multe informaii se gsesc la adresa http://msdn2.microsoft.com/en-us/library/bb625964.aspx i
http://msdn2.microsoft.com/en-us/library/bb625959.aspx .

Securizarea sistemelor de operare de tip server


40

Windows Server 2003 este construit pe structura sistemului Windows 2000 i include toate
facilitile pe care un client le ateapt de la un sistem de operare Windows Server: siguran,
securitate i scalabilitate. Familia cuprinde patru produse:

Windows Web Server 2003 reprezint o bun platform pentru dezvoltarea rapid a aplicaiilor i
desfurarea serviciilor pe Web. Este uor de administrat i se poate gestiona, de la o staie de lucru
aflat la distan, cu o interfa de tip browser.
Windows Standard Server 2003 este un sistem de operare n reea care ofer soluii pentru firmele
de toate mrimile. Accept partajarea fiierelor i imprimantelor, ofer conectivitate sigur la Internet,
permite desfurarea centralizat a aplicaiilor din spaiul de lucru, ofer colaborare ntre angajai,
parteneri i clieni, accept multiprocesarea simetric cu dou ci i pn la 4 GO de memorie.
Windows Enterprise Server 2003 este destinat firmelor medii i mari. Este un sistem de operare cu
funcionare complet care accept pn la 8 procesoare de tip Intel Itanium.
Windows Data Center Server 2003 este o platform pentru firmele cu un volum mare de tranzacii
i cu baze de date scalabile. Este cel mai puternic i mai funcional sistem de operare pentru servere
oferit de Microsoft.

n general, sistemele Windows se compun din trei clase de programe: programele sistemului de
baz; programele API (Application Programming Interface) i programele maini virtuale.

Programele sistemului de baz asigur controlul fiierelor, servicii de comunicare i control n


reea, controlul mainii virtuale, controlul memoriei, controlul implementrii standardului de
interconectare plag&play.

Sistemul API cuprinde trei componente: nucleul Windows Kernel, interfaa grafic cu
echipamentele periferice GDI (Graphic Devices Interface) i componenta USER. Aceste componente
sunt biblioteci de programe adresate programatorului de aplicaii i mai puin utilizatorului obinuit.

Sistemul maini virtuale asigur interfaa cu utilizatorul i aplicaiile sale, modulele din
aceast clas fiind apelate de sistemul API. Aceast component asigur ncrcarea i folosirea corect
a spaiului de adresare. Din aceast clas face parte i programul Explorer.

Atunci cnd se ia n calcul politica de securitate pentru platformele Windows Server 2003 i 2008
trebuie evaluate obligatoriu urmtoarele:
41

Domain Level Acount Polices reguli ce se pot seta la nivel de Group Policies, setri care
sunt aplicate la ntreg domeniul: politici cu privire la parole, blocarea conturilor, autentificarea
folosind protocolul Kerberos tot ceea ce uzual se nelege prin acount polices politici de cont;

Audit Policy posibilitile de utilizare a politicilor de audit pentru a monitoriza i fora


setrile de securitate instalate. Este obligatoriu s se explice diferitele setri, folosindu-se de exemple,
pentru a se nelege ce informaii se modific cnd acele setri sunt modificate;

User Rights trateaz diferitele posibiliti de logon drepturi i privilegii ce sunt puse la
dispoziie de sistemul de operare i oferirea de ndrumare privind care conturi ar trebui s primeasc
drepturi distincte i natura acestor drepturi;

Security Options tratarea setrilor de securitate cu privire la date criptate cu semnturi


digitale(digital data signature), statutul conturilor Administrator i Guest, accesul la unitile de
dischet i CD-ROM(sau echivalent), instalarea driver-elor i posibilitile de logare(logon prompts);

Event Log configurarea setrilor pentru diferitele jurnale care exist sum Windows Server
2003(respectiv 2008);

System services utilizarea serviciilor care sunt absolut necesare i documentarea lor
dezactivarea serviciilor care nu sunt folosite sau necesare. Personalizarea pe ct posibil a acestor
servicii pentru eliminarea setrilor by default;

Software restriction polices descrierea pe scurt a software-ului instalat i mecanismele


folosite pentru restricia rulrii acestora;

Additional System Countermeasures descrierea unor msuri suplimentare de securitate care


sunt necesare, setri care rezult din discuia privind rolul acelui server, posibilitile de implementare,
disponibilitatea utilizatorilor i existen personalului calificat setri cum ar fi:setri care nu pot fi
introduse ntr-o maniera compact n cadrul Group Policies, setri la nivel de drepturi pe fisiere
(NTFS), SNMP, dezactivarea NetBIOS, setri Terminal Services, setri IPsec, Dr. Watson, nu n
ultimul rnd setrile cu privire la Windows Firewall.

Additional Registry Entries documentarea modificrilor necesare la nivel de registri;


Este de reinut faptul c n Windows 2008 s-a pus un accent mai mare pe securitate , ca un exemplu
dac n Windows 2003 server cu SP1 erau n jur de 1700 de setri n Group Polices n Windows 2008
Server a crescut la aproximativ 2400.

42

Norme de protecia muncii.Reguli de ergonomie.Norme


de protecia muncii

Calculatoarele i echipamentele periferice nu vor utilizate n condiii necorespunztoare de


lucru.
Se evit utilizarea cablurilor tiate, rupte, neizolate, se asigur protecia tuturor cablurilor cu
ajutorul suporturilor pentru cabluri.
Este interzis dezasamblarea calculatoarelor, detaarea carcaselor, efectuarea reglajelor sau
accesul la componentele interne ale calculatoarelor.
Manevrarea mufelor i a cablurilor de legtur dintre componentele sistemelor de calcul se
face numai dup ce acestea au fost deconectate de la reeaua electric.
Nu se umbl la alimentarea la prize a calculatorului sau a dispozitivelor periferice.
Se utilizeaz tastaturi detaabile.
Se utilizeaz scaune reglabile.
Se asigur iluminarea ncperii pentru a evita oboseala ochilor.
Se asigur dotarea ferestrelor cu jaluzele pentru a mpiedica strlucirea sau reflexia luminii.

Reguli de siguran

Utilizarea surselor de curent continuu -UPS (Uninterruptible Power Supply).


Salvarea periodic a fiierelor, efectuare de backup complet al datelor.

Reguli de ergonomie

Se utilizeaz tastaturi ergonomice, tastele se lovesc scurt, se asigur o poziionare corect a


minilor la introducerea datelor;
Nu se sprijin ncheieturile pe mas deoarece acest lucru limiteaz micrile;
Pauz de 10 minute dup fiecare 50 minute lucrate la calculator;
Poziionarea adecvat a principalelor dispozitive periferice: monitorul, tastatura, mouse-ul
Utilizarea de scaune reglabile;
Luminozitate i aerisirea ncperii;

Eliminarea surselor de zgomot.

Bibliografie
43

1) Rhodes-Ousley, M., Bragg, R., Strassberg, K., Network security: The complete reference,
McGraw-Hill, 2003.
2) Tanenbaum, A.S., Computer Networks, 4th edition, Prentice-Hall, New Jersey, 2003
3) Bragg, Roberta. Windows 2000 Security. New Riders, 2001.
4) Andress, Mandy.Surviving Security. SAMS, 2001.
5) Zwicky, Elizabeth, et al. Building Internet Firewalls, 2nd Edition. O'Reilly & Associates, 2000.
6) Northcutt, Stephen and Judy Novak. Network Intrusion Detection: An Analyst's Handbook, 2nd
Edition. New Riders, 2000.

44

Anexe

Termen
Additional Registry

Explicaie
Documentarea modificrilor necesare la nivel de registri;
45

Termen

Explicaie

Entries

Additional System
Countermeasures

Descrierea unor msuri suplimentare de securitate care sunt necesare, setri


care rezult din discuia privind rolul acelui server, posibilitile de
implementare, disponibilitatea utilizatorilor i existen personalului calificat
setri cum ar fi:setri care nu pot fi introduse ntr-o maniera compact n
cadrul Group Policies, setri la nivel de drepturi pe fisiere (NTFS), SNMP,
dezactivarea NetBIOS, setri Terminal Services, setri IPsec, Dr. Watson, nu
n ultimul rnd setrile cu privire la Windows Firewall.

Adware

Varianta de spyware care nu extrage date de marketing, ci doar transmite


reclame

Antivirus

Software instalat cu scopul clar de a te proteja de virui, viermi i alte coduri


maliioase.

Application gateways

Referitor la firewall sunt folosite de aplicaii precum FTP (File Transfer


Protocol) sau RTSP (Real Time Streaming Protocol). Aceste protocoale trimit
pachete IP ce conin adresa fixat a aplicaiei (socket sau port).

Application log sau


Jurnalul de aplicaii

Conine evenimentele nregistrate de programe. De exemplu, un program de


baze de date poate nregistra o eroare de fiier n jurnalul de aplicaii.
Evenimentele ce se scriu n jurnalul de aplicaii sunt determinate de
dezvoltatorii programului software.

Atacuri de tip Backdoors

Metod ce se refer la unele erori de cele mai multe ori introduse


intenionate n cadrul aplicaiilor, erori ce pot oferi acces la sistemul pe care
ruleaz. O astfel de metod este practicat de unii programatori sau angajaii
prin contract pentru realizarea suportului necondiionat al aplicaiei
respective. Face parte din gama atacurilor la integritate.

Atacuri la
confidenialitate

Informaia care este disponibil doar n cazurile n care politicile de securitate


sunt ndeplinite. De multe ori aceast proprietate este att de important nct
este cerut de lege sau prin contract.

Atacuri la disponibilitate

Se refer la acele forme de atac care ncearc sau chiar reuesc s fac
inutilizabil sistemul prin privarea posibilitii de a-i oferi disponibilitatea
(rspunsul i tratarea cererilor existente) utilizatorilor nregistrai sau pur i
simplu prin punerea sistemului n forma de negare a serviciilor.

Atacuri la integritate

Atacuri care se refer la integritatea reelei ca sum de echipamente


interconectate i a legturilor dintre acestea i/sau la integritatea datelor ce
circul n cadrul ei. Aceast categorie genereaz politici diferite prin prisma
celor dou forme de integritate: fizic a echipamentelor i legturilor dintre
acestea i informaional relativ la date i folosirea lor.

Atacurile de
autentificare

Situaia n care o persoan sau un program reuete s se identifice ca o alt


persoan/aplicaie i astfel s obin diferite avantaje nelegitime. Face parte
din gama atacurilor la integritate.

Atacurile protocoalelor

Este o form de atac ce se bazeaz pe slbiciunile sistemelor criptografice.


46

Termen

Explicaie
Unele forme de atac asupra protocoalelor se bazeaz pn i pe cronometrarea
operaiilor necesare realizrii criptrii. Este o form elevat, de multe ori
problemele bazndu-se pe posibilitatea aflrii unor erori matematice sau a
unor slabiciuni care permit ca o cheie criptografic s fie derivat
algebric(sau geometric prin extrapolare). Face parte din gama atacurilor la
integritate.

Audit Policy

Posibilitile de utilizare a politicilor de audit pentru a monitoriza i fora


setrile de securitate instalate. Este obligatoriu s se explice diferitele setri,
folosindu-se de exemple, pentru a se nelege ce informaii se modific cnd
acele setri sunt modificate

Auditul sistemelor
informatice

Reprezint activitatea de colectare i evaluare a unor probe pentru a determina


dac sistemul informatic este securizat, menine integritatea datelor prelucrate
i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i
utilizeaz eficient resursele informaionale. n cadrul unei misiuni de audit a
sistemului informatic cele mai frecvente operaii sunt verificrile, evalurile i
testrile mijloacelor informaionale.

Auditul specializat 1

Asigur conformitile cu prevederile Ordinului MCTI nr. 16/24.01.2003 este


adresat furnizorilor de servicii care doresc eliminarea birocraiei prin listarea
unui singur exemplar de factur fiscal. Este auditat planul de securitate al
sistemului informatic, iar analiza este efectuat anual de ctre o echip
independent, specializat, care are n componen i membri certificai CISA.

Auditul specializat 2

Se refer la auditarea planului de securitate n vederea aplicrii prevederilor


Ordinului Min. Finanelor nr. 1077/06.08.2003 i presupune scanarea de
vulnerabiliti adic este testat vulnerabilitatea unui sistem informatic la
atacuri din afar sau din interiorul reelei. Este analizat modul n care sunt
configurate echipamentele de reea, sistemele de operare de pe staii i servere
i se compar cu recomandrile de securitate ale productorului. Acest tip de
audit de securitate este executat de ctre un specialist certificat i
experimentat pe produsul auditat.

Auditul specializat 3

Se refer la securitatea infrastructurii IT. Aceast form de audit de securitate


presupune know-how, experien, specialiti i certificri.

Backup

Proces prin care se realizeaz salvarea unor date n vederea asigurrii unor
copii de siguran.

Bre de securitate

Defect de aplicaie(pentru securizarea informatic) sau de construcie (pentru


securizarea fizic) prin care se poate accesa date sau locaii fr s existe
autentificare.

Capaciti de
monitorizare i
management al traficului

Referitor la firewall evenimentele sunt nregistrate, prelucrate i prezentate


n rapoarte ctre administratorul de reea.

Community watch

Comunitate de supraveghere concept legat de o metod nou de detectare a


programelor malware bazat pe conceptul de cloud-computing
47

Termen

Explicaie

Contingency

Planuri de msuri de securitate pentru reducerea expunerii la riscuri grave,


odat ce s-a produs o bre de securitate.

Controlul perimetral

Plasarea de controale stricte la fiecare capt de intrare n reea.


Se mpart n:
- pierderi fizice: cutremur, foc, sau sabotare, furt;

Cost potenial n cazul


breelor de securitate
(contingency)

- pierderi la nivel de productivitate: timpul ct dureaz remedierea unor


probleme survenite prin prisma relocrii personalului;
- pierderea la nivel de organizaie: ntreruperea ntregii afaceri pn la
remedierea problemelor aprute;
- pierderea de informaii: coruperea, furtul sau pierderea efectiv a datelor
de pe o anumit perioad;
- pierderea reputaiei: modul n care este perceput acesta de ceilali clieni.

Criptarea informaiilor

Criptarea informaiilor este procesul de ascundere a informaiei pentru a o


face ilizibil fr cheia de descifrare sau fr cunotine speciale. Criptarea
poate fi folosit pentru a asigura discreia i/sau intimitatea informaiilor
sensibile.

Detectarea intruziunilor

Referitor la firewall pe baza unor abloane firewall-ul detecteaz un spectru


de atacuri nregistrndu-le, notificnd administratorul de reea i activnd un
set de aciuni menit s minimizeze efectul impactului unui atac.

Distributed Denial-ofService

Acest tip de atac este derivat din DoS, numai c se folosete n atingerea
scopului su de computere intermediare, numite ageni, pe care ruleaz unele
aplicaii (zombies) care au fost instalate pe calculatoare anterior i sunt lansate
la distan (remote) sau programat.

Divulgarea neglijent

Metod prin care informaia devine accesibil n mod accidental atacatorului.


Face parte din gama atacurilor la confidenialitate.

DNS DoS

Tip de atac exploateaz diferenele de mrime ntre DNS querry (interogarea


name server-ului) i DNS response (rspunsul name server-ului).

Domain Level Acount


Polices

Reguli ce se pot seta la nivel de Group Policies, setri care sunt aplicate la
ntreg domeniul: politici cu privire la parole, blocarea conturilor,
autentificarea folosind protocolul Kerberos tot ceea ce uzual se nelege prin
acount polices politici de cont

DoS Denial-of-Service

Scopul unui atac DoS este de a genera o cantitate foarte mare de trafic care
pune n imposibilitatea de a mai rspunde ntr-un timp rezonabil a serverelor,
routere-lor sau altor echipamente, astfel ele nemaifiind capabile s
funcioneze normal.

48

Termen

Explicaie

Event Log

Configurarea setrilor pentru diferitele jurnale care exist sum Windows


Server 2003(respectiv 2008)

Filtrarea traficului

Referitor la firewall sistemul decide ce pachet de date are permisiunea s


treac prin punctul de acces ( n concordan cu setul de reguli aplicate).

Firewall

O barier protectiv ntre calculator, reeaua intern i lumea din jur.

Fix sau update

Modificri ale comportrii unui sistem de operare prin care se elimin unele
defecte detectate sau se aduc mbuntiri noi. Microsoft pentru produsele sale
folosete denumirea de hotfix

Flood-ul cu ICMP (ping)

Se bazeaz pe o mulime de pachete ICMP echo request pn cnd se ocup


toat banda disponibil. Acestui gen de atac i se mai spune i ping storm
deoarece luminiele router-ului sau switch-ului lumineaz intermitent, cu
vitez foarte mare i interogrile n reea rmn fr rspuns.

Fraggle

Derivat al ping flood. Atacatorul folosete un IP clonat (spoofing) i trimite


ping-uri nspre un ntreg subnet ca exemplu.

Furnizarea de informaii
neateptate

Metod ce se refer la generarea unui anumit comportament care foreaz


sistemul s intre n incapacitatea de a-i continua lucrul. Sunt legate, de multe
ori, de bree de securitate gsite ntmpltor i funcionale doar n condiii
speciale. Face parte din gama atacurilor la disponibilitate.

Furtul sesiunilor

O form prin care un utilizator care a fost autentificat este nlocuit de


atacator folosindu-se de toate privilegiile acestuia pentru accesul la informaii
sensibile. Face parte din gama atacurilor la integritate.

GRE Generic Routing


Encapsulation

Este descris n RFC 1701. Pachetului iniial (payload packet/original packet) i


se adaug un antet GRE (GRE Header) i un antet de expediere privind modul
de transfer specificat conform protocolului de reea (delivery header). n
antetul GRE se specific ruta pe care se va trimite forat pachetul la destinaie,
fr a se lua alte decizii de rutare.

IDS Intrusion
Detection Systems

Sistem de detectarea a accesului neautorizat. Exist implementri hardware


(ex. camere cu detectarea micrii) precum i implementri software
(detectarea accesului neautorizat la diferite echipamente)

Inspectarea fluxurilor de
date

Referitor la firewall inspectare de tip Statefull (sau filtrarea dinamic a


pachetelor) este utilizat pentru a verifica fiecare nou flux de date ce intr n
reea, i este abilitatea firewall-ului de a memora starea fiecrui flux de date.

Integritatea datelor

Se refer la calitatea, autenticitatea, corectitudinea i acurateea informaiilor


stocate ntr-un sistem informatic

Integritatea sistemelor

Se refer la posibilitatea operrii corecte i cu succes a resurselor informatice.

Intercepia informaiei

Metod prin care informaia este interceptat la momentul trecerii printr-un


mediu nesigur, nesupravegheat corespunztor. Face parte din gama atacurilor
la confidenialitate.
49

Termen

Explicaie

Interferenele sau
bruiajele

Aici, de departe, cea mai uzual form este cea care se bazeaz pe
mpiedicarea unui semnal mai slab s fie redirecionat prin transmiterea unuia
mai puternic. O form cel puin la fel de rspndit este cea a atacurilor prin
inundare, care face ca numrul de procese deschise s fie mai mare dect un
sistem a fost proiectat s le efectueze efectiv (ping flood). Face parte din gama
atacurilor la disponibilitate.

IP Internet Protocol

Internet Protocol (IP) este un protocol prin care datele sunt trimise de la un
calculator la altul prin intermediu Internetului. Fiecare calculator, pe Internet
are cel puin o adres IP unic, care l identific ntre toate computerele de pe
Internet.

IPS Intrusion
Prevention Systems

Variant special de IDS prin care se pot defini reguli prin care s se rspund
automat la anumite semnale detectate de IDS. Ex. pentru un sistem de
supraveghere s porneasc nregistrarea cu 5 secunde nainte de detectarea
micrii de ctre camer.

IPSec Internet
Protocol Security

Este o grup de protocoale care asigur securitatea unei reele VPN. IPSec
este o funcie de layer 3 i de aceea nu poate interaciona cu alte protocoale de
layer 3, cum ar fi IPX si SNA. IPSec este printre cele mai folosite protocoale
pentru pstrarea confidenialitii i autenticitii pachetelor trimise prin IP.

Jurnalizarea

Metod prin care se urmresc toate fenomenele care survin n timpul rulrii
unor servicii(n cazul sistemelor de operare) sau aplicaii. Exist trei tipuri
principale pentru cele ale sistemelor de operare: jurnalele de securitate,
jurnalele de aplicaii i jurnalele de sistem

L2TP Layer 2
Tunnelling Protocol

Layer 2 Tunneling Protocol, sau L2TP, este o combinaie dintre un protocol al


firmei Cisco Systems (L2F) i cel al firmei Microsoft denumit Point-to-Point
Tunneling Protocol (PPTP). Fiind conceput pentru a suporta orice alt protocol
de rutare, incluznd IP, IPX i AppleTalk. L2TP poate fi rulat pe orice tip de
reea WAN,

LAND

Deriv din SYN, cu precizarea c n acest caz, atacatorul n loc s trimit


SYN-uri cu adrese IP care nu exist, trimite pachete SYN cu adresa IP a
clientului-target care este victima n acest caz.

Layers

Nivele

Mail Bomb

Se trimit aa de multe mailuri nspre un mail server, nct acesta ajunge n


imposibilitatea de a le gestiona, iar userii legitimi nu mai pot beneficia de
serviciile acestuia.

Malware

Tip de software proiectat pentru infiltrarea i/sau deteriorarea unui sistem al


unui computer, sau a unei reele de computere, fr acceptarea proprietarului
computerului sau a reelei.

Metoda abuzului de
privilegii

Este special i din cauza faptului c se refer, conform unui studiu realizat la
nivel internaional care ofer drept procent al provenienelor de atac o
valoare de 80% ca fiind cele venite din interior, marea majoritate venind din
50

Termen

Explicaie
partea unor angajai sau fost angajai nemulumii sau n cutarea unor
informaii ce le pot aduce beneficii personale (de ordin material sau nu). Face
parte din gama atacurilor la integritate.

Metoda acumulrii de
informaii

Metod ce se bazeaz pe culegerea de informaii din diferite surse pentru a


deduce unele informaii private. Face parte din gama atacurilor la
confidenialitate.

Metoda informaiilor
neateptate

Aceast metod derivat din metoda de manipulare se bazeaz pe apariia


unor erori generate de introducerea de scenarii care produc astfel de erori
sau de invalidarea corect a datelor de intrare. Cea mai comun form a
acestei metode este conceptul de buffer underfolw sau inundarea zonei
tampon. Face parte din gama atacurilor la integritate.

Metode de acces
neglijente

Noiune strns legat de aplicaia de tip firewall. Este de menionat c aceasta


este una dintre cele mai rspndite forme, deoarece, dei majoritatea
productorilor de sisteme de operare ofer intr-o form gratuit aplicaia de tip
firewall, muli utilizatori din cauza neinformrii sau necunoaterii modului de
folosire sau doar din dorina de a nu fi scit dezactiveaz acea aplicaie.
Prin prisma administratorului este de menionat c instalarea unui firewall
ntr-o form ct mai cuprinztoare i documentat i poate oferi posibiliti de
eviden foarte clar a ceea ce se ntmpl ntr-o reea. Face parte din gama
atacurilor la integritate.

Mijloace de autentificare

Referitor la firewall listele de acces furnizeaz o cale eficient de a aplica un


mijloc de constrngere unui mare grup de utilizatori aflai n spaiul public.

Mitigation

Planuri de msuri de securitate pentru reducerea expunerii la riscuri de


producere a breelor de securitate.

MPLS (Multi Protocol


Label Switching)

Comutarea Multiprotocol cu Etichete (Multi Protocol Label Switching)


reprezint o nou arhitectur n care nodurile terminale adaug o etichet unui
pachet IP ce identific drumul spre destinatie, iar pachetele sunt directionate
pe baza etichetei, fr inspectarea header-ului initial.

NAT Network Address


Translation

Referitor la firewall reprezint o tehnic utilizat pentru a ascunde


adresele private n spaiul public.

Parolare din BIOS

Soluie oferit de productorii de hardware pentru a oferi un nivel de


securitate crescut folosind funcii bazate pe parole (maxim 8 caractere) pentru
accesul la resursele unui calculator.

Patch

Modificare a unei aplicaii prin care se elimin unele defecte detectate sau se
aduc mbuntiri noi. Este specific doar aplicaiilor. De cele mai multe ori
sunt confundate cu schimbri de versiuni (ex. 10.1.23a n 10.1.25 sau 8 n 8.1)

Ping of Death

Cunoscut i ca large packet ping. Se creeaz un pachet IP mai mare dect


valoarea admis de specificaiile protocolului IP, adic 65 536 bytes.

PPP point-to-point
protocol

Cea mai simpl topologie de conexiune ntre dou noduri, presupune o


legtur permanent ntre dou terminaii. Topologiile de tip switched point51

Termen

Explicaie
to-point sunt modelele de baz a telefoniei convenionale.

PPPoE, point-to-point
protocol over Ethernet,

Este un protocol de reea pentru ncapsularea cadrelor PPP n cadre Ethernet.


Este folosit mai ales pentru servicii broadband, cum ar fi DSL. Ofer
facilitile standard PPP, cum ar fi autentificare, criptare i compresie.

PPTP Point-to-Point
Tunnelling Protocol

Reprezint o extensie a Point-to-Point Protocol (PPP), care ncapsuleaza


datele, IPX sau NetBEUT n pachetele IP. Acest protocol este folosit n mod
fundamental de echipamentele ISP, deoarece duce la un numitor comun
participantii la sesiuni de comunicatii. Este cea mai cunoscuta dintre optiunile
pentru securitatea transferului de date n reteaua VPN. Dezvoltat de Microsoft
si inclus n Windows NT v 4.0 pentru a fi folosit cu serviciul de rutare si acces
de la distanta (Routing & Remote Access Service).

Principiul keep it
simple

Principiu de securitate prin care se cere ca toate modificrile, adugirile sau


suprimrile de reguli de securitate s fie documentate trebuie s nelegi
pentru a putea s protejezi

Principiul Least
privilege

Principiu de securitate prin care se convine s se dea acces doar dac este
necesar i doar pentru ceea ce este obligatoriu; tot accesul pentru conectare,
trafic (protocoale, schimb de adrese, i porturi) s se fac numai dac este
cerut, validat i cu un risc acceptat.

Principiul weakest
link

Principiu de securitate prin care se dezvolt ideea c un sistem este att de


sigur pe ct este cea mai slab component. Este de menionat c exist i o
component foarte important de altfel, bazat pe existena unor backdoors
riscuri ce trebuie documentate i tratate printr-o politic corespunztoare.

Proxy servers

Referitor la firewall asigur modul ca o aplicaie s fie utilizat conform cu


politica de securitate specific setat.

Registered ports

Porturile din intervalul 1024-64535 sunt denumite registered ports ele fiind
folosite de ctre procese i aplicaii.

Relaia risc/cost n
securitate

Relaia dintre cele dou concepte se traduce n felul urmtor: cu ct cresc


costurile implementrii, cu att riscurile sunt mai mici. Nu trebuie totui
trecut o anumit limit acceptabil n ceea ce privete acest raport dup un
anumit prag, costurile devin de cele mai multe ori nejustificate ex. protecie
contra unor inundaii la un centru aflat ntr-o zon arid, cu foarte puine
precipitaii. Aceast relaie trebuie studiat foarte bine la momentul crerii
politicilor de securitate i implicit la stabilirea nivelelor minime de securitate.

Router

Dispozitiv hardware sau software care conecteaz dou sau mai multe reele
de calculatoare.

Scalabilitate

Se refer la implementarea incremental, procedeu des ntlnit, implementarea


din mers oferind informaii clare despre necesitile reale.

Scanning

n contextul securitii n IT, se refer la o aplicaie software folosit de ctre


hackeri pentru determinarea porturilor TCP sau UDP deschise pe un sistem.

52

Termen

Explicaie

Security by design

Strategie bazat pe un concept foarte restrictiv, de tipul pentru a trebuie


s altfel nu se poate!. Ex. Acces la o camer doar dac exist autentificare
prin cheie i parol; sau ca o politic pentru un firewall accept orice
pachete de la adresa , blocheaz restul adreselor! Este aplicabil doar n zone
speciale, specializate (instituii militare de ex.)

Security in depth

Se refer la o strategie de securitate bazat pe mai multe nivele. Presupune


evaluarea pe ansamblu a infrastructurii IT i clasificarea expunerii la riscuri de
securitate i pentru fiecare dintre riscurile identificate trebuie realizate planuri
de msuri.

Security log sau Jurnalul


de securitate

nregistreaz evenimente precum ncercrile valide i invalide de Log on,


precum i evenimentele legate de utilizarea resurselor, cum ar fi crearea,
deschiderea sau tergerea de fiiere. Trebuie s facei Log on ca administrator
sau ca membru al grupului de administratori pentru a activa, utiliza i
specifica evenimentele de nregistrat n jurnalul de securitate.

Security Options

Tratarea setrilor de securitate cu privire la date criptate cu semnturi


digitale(digital data signature), statutul conturilor Administrator i Guest,
accesul la unitile de dischet i CD-ROM(sau echivalent), instalarea driverelor i posibilitile de logare(logon prompts);

Shoulder-surfing

Furtul direct de parole

Sistem de calcul

Un ansamblu de componente hardware (dispozitive) i componente software


(sistem de operare i programe specializate) ce ofer servicii utilizatorului
pentru coordonarea i controlul executrii operaiilor prin intermediul
programelor.

Smurf

Tip de agresiune brute force i folosete aceeai metod a flood-ului prin ping,
numai c de data asta adresa destinaie din pachetele ICMP echo request este
adresa de broadcast a reelei. Un router cnd primete astfel de pachete le
trimite nspre toate hosturile pe care le mascheaz. Pot rezulta cantiti mari
de trafic i congestionarea reelei. Combinaia dintre atacul fraggle si cel
Smurf fac ca reeaua destinaie ct i sursa s fie afectate.

Snooping

Interceptarea datelor n tranzit i eventual modificarea acestora

Social engineering

Noiune echivalent pentru Tehnici de manipulare

Software restriction
polices

Descrierea pe scurt a software-ului instalat i mecanismele folosite pentru


restricia rulrii acestora

Spam

Trimiterea de mesaje nedorite, de obicei cu un coninut comercial. Acest


fenomen este neplcut n cazul unui numr mare de mesaje publicitare
nedorite i poate avea efecte mai grave n cazul invadrii intenionate cu
mesaje ("flood"), uzual cu un continut nesemnificativ.

Spoofing

Expedierea de mesaje cu o identitate fals, expeditorul impersonnd pe


altcineva (pretinde c mesajul a fost trimis de la o alt adres de post

53

Termen

Explicaie
electronic)

Spyware

Denumirea dat unei categorii de programe de calculator, de obicei ataat unor


programe gratuite (jocuri gratuite, programe de schimbat fiiere, etc.) care
este folosit pentru a capta date de marketing (prin a analiza ce situri caut
utilizatorul, de exemplu: mod, tiri, sport, .a.m.d.) i de a transmite eventual
acelui utilizator reclame conform datelor de marketing extrase de spyware.

Supresia jurnalizrii

Tip special de interferen i este folosit adesea mpreun cu alte tipuri de


atacuri. Se folosesc metode prin care efectiv se limiteaz mesajele
jurnalizabile sau prin generarea unui trafic att de mare nct aflarea propriuzis a informaiei utile s fie foarte dificil. Face parte din gama atacurilor la
disponibilitate.

SYN

Atacurile de tip SYN (synchronization request) exploateaz handshake-ul


three-way al protocolului de transport TCP, procesul prin care se stabilete o
sesiune de comunicare ntre dou computere. Deoarece TCP-ul este un
protocol de transport connection-oriented, o sesiune sau un link de
comunicare unu la unu, one-to-one, trebuie stabilite ntre cele dou sisteme,
nainte c ele s poat comunica ntre ele.

System log sau Jurnalul


de sistem

Conine evenimente nregistrate de componentele de sistem. De exemplu,


dac un driver nu reuete s se ncarce n timpul pornirii, va fi nregistrat un
eveniment n jurnalul de sistem.

System services

Utilizarea serviciilor care sunt absolut necesare i documentarea lor


dezactivarea serviciilor care nu sunt folosite sau necesare. Personalizarea pe
ct posibil a acestor servicii pentru eliminarea setrilor by default;

Teardrop

Programul teardrop creeaz fragmente IP care fac parte dintr-un pachet IP.
Aceste fragmente folosesc offset fields (rolul lor este de a indica poriunea n
bytes a acestor fragmente). Problema apare atunci cnd aceste offset-uri se
suprapun.

Tehnici de manipulare

Este o form de atac care ia amploare prin prisma ncrederii i oferirii unor
informaii private, sensibile unor persoane neautorizate. Face parte din gama
atacurilor la integritate.

Trojan Horse Calul


Troian

Virui care se ascund n spatele altor programe lsnd o u din spate


(backdoor) deschis prin care un hacker ii poate controla calculatorul atunci
cnd eti conectat la internet. Troienii sunt un fel de virui spioni, se
instaleaz fr a atrage atenia asupra lui, spioneaz n mod discret i
pregtete lovitura final (aceasta putnd fi chiar fatal sistemului). Nu se
multiplic singuri.

User Account Control

Tehnologie introdus odat cu lansarea sistemului de operare Windows Vista


i Windows Server 2008 - reduce posibilitatea c o aplicaie cu privilegii
minime (low) s dobndeasc n mod automat i necontrolat privilegii sporite
i s aib acces la fiierele utilizatorului fr consimmntul acestuia.

54

Termen

Explicaie

User Rights

Trateaz diferitele posibiliti de logon drepturi i privilegii ce sunt puse la


dispoziie de sistemul de operare i oferirea de ndrumare privind care conturi
ar trebui s primeasc drepturi distincte i natura acestor drepturi

Virus

Program creat s distrug datele sau echipamentele unui calculator. Viruii


sunt programe cu dimensiuni foarte mici, ascuni fie n fiiere executabile fie
ataai unor programe (n acest caz sunt numii i parazii).

VPN Virtual Private


Network

reea de comunicaii folosit de obicei n cadrul unei companii, organizaii,


etc., bazat pe o reea public i de aceea nesigur, dar care totui poate
asigura confidenialitatea comunicrilor. Expresia nseamn pe romnete "o
reea aproape particular". Mesajele din traficul VPN pot fi deci transmise
prin intermediul infrastructurii unei reele publice de date (ex: Internet)
folosind protocoalele standard, sau prin intermediul unei reele private a
furnizorului de servicii internet cu un nivel al Service Level Agreement (SLA)
stabilit prealabil ntre clientul serviciului VPN i furnizorul acestui serviciu.

Worm

Program sau un algoritm care se multiplic n cadrul unei reele de


calculatoare i de obicei este periculos pentru c fie folsete resursele
calculatorului inutil, oprete ntreg sistemul sau l face inoperabil.

55