descrierea unei reţele de calculatoare la nivel conceptual

Upload: romania-reiki

Post on 20-Jul-2015

134 views

Category:

Documents


0 download

TRANSCRIPT

1

2

1. CONCEPTUL DE REEA

Reeaua de calculatoare (network) este un ansamblu de calculatoare (sisteme de calcul) interconectate prin intermediul unor medii de comunicaie (cablu coaxial, fibra optica, linie telefonica , ghid de unde ) in scopul utilizrii in comun de catre mai muli utilizatori a tuturor resurselor fizice ( hardware ) , logice ( software de baz si aplicaii ) i informaionale ( baze de date, fiiere ) , asociate calculatoarelor din reea. Toate reelele au anumite componente , funcii i caracteristici comune: utilizatori reelei. Clieni - Calculatore de lucru (terminale , staii de lucru ) care Mediu de comunicaie - Modul si elemente n care sunt acceseaz resursele partajate in reea de un server. conectate calculatoarele in reea. Date partajate - Fiiere puse la dispoziie de serverele de reea. Imprimate sau alte periferice partajate Resurse - Fiiere , imprimante si alte componente care pot fi folosite de utilizatorii reelei. Principale componente ale unei reele Rolul principal al unei reele este de a permite partajarea urmtoarelor trei categorii de resurse: 1. Resurse fizice 2. Resurse logice 3. Resurse informaionale Servere - Calculatore care ofer resurse partajate pentru

Partajarea resurselor fizice

3

- reprezint posibilitatea utilizrii in comun , de mai muli utilizatori, a unitilor de discuri, imprimante , scanner etc.

Partajarea resurselor logice (programe ) - sunt un ansamblu de programe sistem sau de aplicaii. Avantajele sunt : - costul mai mic al instalrii programelor - posibiliti rapide de actualizare a programelor. Dezavantajul principal const n configurarea dificil a sistemului. Partajarea resurselor informaionale (Baze de date , fiiere ) - sunt reprezentate de aceste fiiere , n funcie de modul cum a fost configurat reeaua exist trei posibiliti de partajare a resurselor informaionale - n cadrul partajrii directe ,fiierul de pe un calculator este trimis direct pe un alt calculator. - Fiierul sau baza de date , pot fi trimise ntr-un loc intermediar, de unde poate fi luat mai trziu. - Stocarea permanent a informaiilor ntr-un loc intermediar , de unde poate fi accesat de orice calculator. Pentru clasificarea reelelor de calculatoare se pot utiliza mai multe criterii , care depind de parametrii care sunt analizai pentru a realiza de partajarea. Funcie de rspndirea geografic , implicit de dimensiuni , reelele se mpart : Reele locale (LAN), Se ntind pe o suprafa mic , cum ar fi o cldire sau un campus sau utilizate pentru a conecta calculatoarele unei firme n scopul schimbului de informaii i utilizrii n comun a anumitor dispozitive periferice. Acest tip de reea este destul de dificil d proiectat , deoarece ntr-o astfel de reea se pot conecta sute de calculatoare , utilizate de utilizatori cu drepturi foarte diferite .Transmiterea informaiilor se face folosind un singur cablu liniar sau de tip inel la care sunt legate toate calculatoarele , permind viteze de transfer de10 100 Mbps. Reelele LAN se recomand pentru aplicaii de business si educaionale. Reele metropolitane (MAN ) ,4

Sunt LAN - uri extinse ce acoper birouri nvecinate sau cartiere alturate. Pe acelai cablu (eventual doua cabluri) se transmit date , voce i chiar televiziuni prin cablu. Reele teritoriale (WAN ) Lucreaz la nivelul unei regiuni sau la nivel mondial avnd distana ntre staiile de lucru de ordinul miilor de kilometrii. Cuprind multiple reele LAN si sunt compuse din calculatoare si sub reeaua de comunicaii. Calculatoarele pe care se execut programele utilizatorilor se numesc host -gazde. Subreeaua de comunicaii transmite mesajele de la o gazd la alta i se compune din liniile de transmisie (numite linii sau canale ) si elemente de comutare a mesajelor (calculatoare specializate care transmit mai departe informaiile primite , numite noduri de comutare a pachetelor sau rutere ). Subreeaua se compune dint-un numr oarecare de linii telefonice , cu ajutorul crora informaiile se transmit de la o gazd la alta, prin parcurgerea succesiv a anumitor segmente . O astfel de subreea se numete punct la - punct sau subreea cu comutare de pachete. Cele mai des utilizate topologii pentru aceste subreele sunt stea , inel , arbore , complet sau neregulat; Reeaua WAN poate fi de dou tipuri: Simpl prevzut cu modemuri i acces la servere de la distan , pentru a permite conectarea utilizatorilor. Complex - prin legare sutelor de domenii de reea la metri distan , folosind routere i filtre pentru micorarea costurilor i mrirea vitezei de transmisie a datelor. O alt clasificare este n funcie de complexitatea organizrii reelei: a. Reele reale Care necesit la instalare i administrare prezenta unor specialiti. Exemplu: reeaua Netware a firmei Novell . b. Reele false Arat i lucreaz ca o reea , dar nu folosete echipamente speciale de reea. Calculatoarele sunt conectate direct prin intermediul porturilor seriale sau paralele. Ele ofer aceleai faciliti , dar exploatarea este mai lent . Acest tip de reea se recomand pentru conectarea unui laptop la un calculator desktop pentru copiere ocazional de fiiere. Reele radio Sunt utilizate pentru a lega ntre ele calculatore , fr a se utiliza firul ca element de legtur. Astfel ,pentru ca un calculator s poat accesa reeaua de pe uscat, de pe ap sau5

din aer, se utilizeaz legtura radio cu ajutorul creia se pot transmite sau primi faxuri, mesaje de pot electronic,se pot citi fiiere, etc. Au viteze mai mici de transmitere (1-2 Mbps) i o rat mai mare a erorilor, n schimb permit legturi n orice situaie; Internet-ul Este cea mai important reea de calculatoare, n urma interconectrii a mii de utilizatori, din toat lumea, a devenit de fapt o reea de reele. Precursorul Internetului dateaz din 1965, cnd Agenia pentru Proiecte de Cercetare naintate de Aprare a Ministerului Aprrii, a creat prima reea de computere interconectate sub numele ARPAnet. Exist un ir ntreg de metode de cuplare fizic a unui calculator sau aparat inteligent( smart ) la Internet. Acces prin linie telefonic fix Utilizatorul unui calculator cheam programul de comunicaie, care mai nti se conecteaz la modem. Modemul este o component a calculatorului care convertete semnale digitale n semnale analogice. sau de ADSL Legtura de la placa de reea la ruter se poate face: Printr-un fir Fr fir (wireless) - Acces printr-un controler de comunicaii dedicat - Acces prin reele de telefonie celular, mobil - Acces prin reeaua de cablu de TV Reeaua Internet conine milioane de fiiere accesibile public folosind serviciul FTP (fiind un protocol care asigur un standard comun pentru mutarea fiierelor de la un computer la altul de-a lungul unei reele) . Conectarea la un server FTP se poate face prin : Conectarea n Mod Anonim Se realizeaz prin conectare drept utilizator Anonymous, cnd nu exist un cont special pe un server de FTP. Conectare cu Nume de Utilizator i Parol Trebuie s existe un cont acordat de ctre administratorul server-ului FTP, mai largi dect pentru un utilizator Anonymous.6

Acces la un rute (sau modem ADSL) conectat la reeau fix de telefonie

NAVIGAREA PE WEB Conectarea la serviciul WWW se face prin lansarea de execuie a browser -ului, calculatoarele aflate n interaciune schimb ntre ele diverse informaii ajungndu-se n final la pagina Web dorit. O adres Web este alctuit din: Protocol Adresa calculatorului unde pagina Web ce se dorete a fi accesat este stocat

INTERNET EXPLORER Este aplicaia cea mai utilizat a browser -ului, fiind livrat cu kit-ul de instalare al interfeei grafice Windows. Aplicaia Internet Explorer este un produs al firmei Microsoft i este un instrument perfect de navigare. NETSCAPE NAVIGATOR Este un produs al firmei Netscape Communications i este unul dintre cele mai rspndite programe de navigare ,iar interfaa grafic este mai bun i permite utilizatorului mai multe faciliti. Internet-ul este definit ca un sistem mondial de reele de calculatore

interconectate , care nlesnete serviciile de comunicare a datelor cum ar fi deschiderea unei sesiuni de lucru la distan, transferul de fiiere, pota electronic i grupurile de discuii. POSTA ELECTRONICA Este un serviciu ce semnific utilizarea unei reele pentru transmiterea i recepionarea de mesaje, avnd urmtoarele funcii: a) Compunerea b) Transferul c) Raportarea d) Dispoziia

7

n funcie de tehnologia de transmisie, reele de calculatore se mpart : Reele cu difuzare Au un singur canal de comunicaie care este accesibil tuturor calculatoarelor din reea. Fiecare calculator transmite mesaje scurte numite pachete, primite de toate celelalte calculatoare; O variant a trimiterii de pachete este aceea n care toate calculatoarele din reea sunt destinatari ai pachetului, operaiunea numindu-se n acest caz difuzare de pachete. Pentru unele reele se poate defini i operaiunea de trimitere multipl, care const n trimiterea pachetelor ctre o submulime a calculatoarelor din reea;

Reele punct la punct Dispun de mai multe conexiuni ntre calculatoarele reelei. Transmiterea mesajului se face prin parcugerea unui traseu ce conine unul sau mai multe calculatoare; uneori exist mai multe trasee posibile i atunci intervin algoritmii de dirijare care caut traseele cele mai scurte. Dup topologia reelelor pot fi: Reele cu topologie tip magistral (bus) - Este cea mai folosit cnd se realizeaz reele locale de mici dimensiuni. Acest model se mai numete i magistral liniar deoarece exist un singur cablu care leag toate calculatoarele din reea. - Avantajul este acela c, n cazul ruperii unui cablu sau defectrii unui calculator, nu se ajunge la oprirea ntregii reele. - Dezavantajul este c, atunci cnd dorete s transmit date, calculatorul trebuie s lupte " (s atepte eliberarea cablului) Este o metod uzual de conectare, permite transmiterea mesajelor ntre calculatoare folosind principiul expus la reele cu difuzare ; Reele cu topologie tip inel - Conecteaz fiecare calculator de alte dou (calculatoarele fiind aezate n cerc ). Datele transmise de un calculator trec prin toate calculatoarele intermediare .8

- Performanele unei reele inel sunt ceva mai mari dect ale unei reele de tip magistral.

Reele cu topologie tip stea - Folosete un calculator central care va fi conecta cu toate celelalte calculatoare prin cabluri directe . - Transferurile de date se realizeaz prin intermediul calculatorului central de mare putere , iar reeaua va avea performane ridicate, ns defectarea acestuia duce la oprirea reelei. Reele cu topologie tip arbore - Calculatoarele sunt legate ierarhizat Reele cu topologie tip complet - Toate calculatoarele sunt legate ntre ele pentru a asigura existena unei legturi ntre oricare din punctele reelei, n caz de defectare a unui cablu. Reele cu topologie de tip neregulat De obicei sunt reele realizate fizic n care s-a pornit de la topologie care apoi a fost extins fr a se respecta una din topologiile prezentate anterior.

9

Dup criteriul funciei calculatoarelor din reea, adic al existenei sau nu al unui calculator numit server, se deosebesc: Reele per sau peer to -peer Se numesc reele ntre egali ntruct toate calculatoarele sunt tratate la fel , fr a se mai insista pe faptul ca unele sunt mai bune dect altele. Reelele peer-to-peer sunt numite i grupuri de lucru (Work groups ), acest termen desemnnd un numr mic de persoane. De obicei , o reea peer-to-peer este format din cel mult 10 calculatoare i implic costuri mai mici dect cele bazate pe server.

Retea de tip peer to peer Reele bazate pe server -(client/server) n care exist un calculator puternic , cu performane deosebite , care deservete cererile celorlalte calculatoare i asigur securitatea datelor din reea ,au devenit modelul standard pentru interconectarea n reea. Serverul poate fi dedicat sau nededicat , i este calculatorul care conduce practic reeaua; un server dedicat funcioneaz doar ca server . Calculatorul central (serverul) poate fi un calculator obinuit pe care este instalat un sistem de operare pentru reea : NetWare , Unix, Windows NT/2000. Acest calculator central controleaz toate resursele comune (uniti de discuri , imprimante , plottere , modemuri ,fiiere etc ), asigur securitatea datelor i sistemului , realizeaz comunicaii ntre staiile de lucru. - Serverele se numesc dedicate deoarece sunt optimizate s deserveasc rapid cererile clienilor din reea i s asigure securitatea fiierelor i a directoarelor avnd urmtoarele funcii principale: este un calculator care

10

- serverul de date i tiprire , administreaz accesul la date i imprimant . Datele sunt prelucrate cu o aplicaie de pe calculatorul utilizatorului , dar se pstreaz pe server i sunt tiprite la o imprimant legat de server ; - serverul de aplicaii , administreaz accesul la aplicaii i date . Datele sunt pstrate pe server , la fel i aplicaiile , iar utilizatorul are pe calculatorul su doar rezultatele executrii aplicaiilor dorite . Utilizeaz metodologia client/server ; - serverul de pot electronic , administreaz transferul de masaje electronice ntre calculatoarele din reea ; - serverul fax , administreaz traficul de mesaje fax ntre calculatoarele din reea; - serverul de comunicaii , administreaz transferul de date i mesaje e-mail ntre calculatoarele din reea ; - serverul de directore , administreaz informaiile din reea din punct de vedere al pstrri , gestionrii ,localizrii i msurilor de protecie.

RETEA BAZATA PE SERVER

ntr-o reea pot fi configurate mai multe servere. Repartizarea sarcinilor pe diferite servere asigur executarea fiecreia in cel mai eficient mod posibil. Un server de reea i sistemul de operare lucreaz mpreun, n mod unitar. Indiferent de ct de puternic sau performant este un server , el este inutil fr sistem de operare care s valorifice resursele sale fizice. Anumite sisteme de operare avansate , cum ar fi Microsoft Windows NT Server, au fost concepute astfel nct s beneficieze de cele mai moderne echipamente hardware cu care este dotat un server.11

Avantaje: Principalul avantaj al reelelor bazate pe server este partajarea resurselor. Un servere este proiectat pentru a oferi acces la mai multe fiiere i imprimante , asigurnd n acelai timp fiecrui utilizator performanele i securitatea necesar . Partajarea datelor n cazul reelelor bazate pe servere poate fi administrat i controlat centralizat .Resursele sunt localizate de obicei ntr-un server central , fiind mai uor de detectat i de ntreinut dect cele distribuite pe diferite calculatoare . Securitatea Principalul motiv pentru care se recurge la o reea bazat pe server l reprezint nevoia de securitate . Politica de securitate este stabilit de un administrator , care o aplic pentru fiecare calculator i utilizator din reea . Numr de utilizatori O reea bazat pe server poate avea mii de utilizatori . Utilitatea de monitorizare disponibile n prezent permit gestionarea unei reele bazate pe server cu un numr mare de utilizatori . Consideraii referitoare la hardware Partea de hardware a calculatoarelor client poate fi limitat la nevoile utilizatorului , deoarece calculatoarele client nu au nevoie de memorie RAM i spaiu pe disc suplimentare , ca n cazul serverelor . Un calculator client obinuit trebuie s includ cel puin un procesor 486 i pn la 16 MB memorie RAM .

Retele combinate ntr-o reea combinat funcioneaz dou tipuri de sisteme de operare pentru a asigura ceea ce muli administratori consider a fi o reea complet. Un sistem de operare pentru reele bazate pe server , cum ar fi Microsoft Windows NT Server sau Novell Net Ware , asigur partajarea aplicaiilor i a datelor importante . Calculatoarele client pot rula un sistem de operare cum ar fi Windows NT Workstation sau Windows 95 . Ambele pot accesa resurse de pe serverul desemnat i simultan pot partaja propriile hard discuri , pentru a pune la dispoziie datele respective .

12

Windows NT Server

Windows for Workgroup Windows 95

WindowsNT Imprimanta

Workstation

Reele combinate includ servere dedicate i calculatoare obinuite

ARHITECTURA DE REEA Termenul de arhitectur de reea definete structura global precum i componentele, cum ar fi echipamentele hardware i software-ul de sistem. n domeniul topologiilor pentru reelele de calculatoare s-au realizat i unele standardizri: Ethernet TokenRing AplleTalk ArcNet

Indiferent de topologia utilizat, arhitectura standard a unei reele Ehternet este urmtoarea. Server-e Staii de lucru Echipamente de comunicaii Serverul de reea este acel calculator din reea care conine unitile de disc, imprimant sau alte resurse partajate. Sunt n general echipamente cu dou procesoare Intel Pentium II, cu frecvene variind ntre 300MHz i 1000MHz, ROM-128MB. De exemplu ntr-o reea Windows NT Server,exist diferite tipuri de servere:

13

Servere de fiiere i de tiprire Administreaz folosirea resurselor de tip fiier i imprimant. Servere de aplicaii Pun la dispoziia clienilor componenta server a aplicaiilor de tip client/server, precum i datele respective. Servere de pot Transferul de mesaje electronice ntre utilizatorii reelei sunt gestionate. Servere de fax Gestioneaz traficul de mesaje fax n/i dinspre reea, partajnd una sau mai multe plci de fax-modem. Servere de comunicaii Gestioneaz fluxul de date i mesaje e-mail transmise ntre reeaua serverului i alte reele, care folosesc modemuri i linii telefonice pentru a se conecta la server. Servere de directoare Permit utilizatorilor s localizeze, s stocheze i s protejeze informaiile din reea. Staia de lucru Este un calculator obinuit care lucreaz sub un sistem de operare i care este folosit de utilizatori obinuii.

14

SECURITATEA REELELOR n primele decenii ale existenei lor, reelele de calculatoare au fost folosite de cercettorii din universiti pentru trimiterea potei electronice i de ctre funcionarii corporaiilor pentru a partaja imprimantele. n aceste condiii, problema securitii nu atrgea prea mult atenia. Dar acum , cnd milioane de ceteni folosesc reele pentru operaiuni bancare, cumprturi i plata taxelor, securitatea reelei apare la orizont o mare problem potenial. Vom studia securitatea reelei din mai multe unghiuri, evideniind numeroase pericole i discutnd muli algoritmi i protocoale destinate a face reelele mai sigure. Securitatea este un subiect vast i acoper o multitudine de imperfeciuni. n forma sa cea mai simpl, ea asigur c persoane curioase nu pot citi sau, i mai ru, modifica mesajele adresate altor destinatari. Ea se ocup de cei care ncearc de la distan s apeleze servicii, dei nu sunt autorizai s le foloseasc. De asemenea securitatea implic verificarea dac un mesaj, ce pretinde c vine de la IRS i spune: Pltete pn vineri, provine ntradevr de la IRS i nu de la Mafie. Securitatea se ocup de probleme legate de capturarea i falsificarea mesajelor autorizate i de cei ce ncearc s nege faptul c au trimis anumite mesaje. Majoritatea problemelor de securitate sunt cauzate intenionat de persoane ru voitoare care ncearc s obin anumite beneficii, s atrag atenia, sau s provoace ru cuiva. Civa dintre cei care comit n mod obinuit astfel de fapte sunt menionai n fig. 1. Din aceast list trebuie s rezulte clar c realizarea unei reele sigure implic ceva mai mult dect pstrarea ei fr erori de programare. Aceasta implic surclasarea unor adversari serioi. Arhivele poliiei arat c cele mai multe atacuri nu au fost svrite de strini prin ascultarea unor linii telefonice, ci de angajai ranchiunoi. n consecin, sistemele de securitate ar trebui proiectate innd seama de acest fapt. Adversar Student Sprgtor Responsabil de vnzri Om de afaceri Fost funcionar Contabil Pentru a descoperi planul strategic de marketing al competitorului Pentru a se rzbuna c a fost concediat Pentru a sustrage bani de la o companie15

Scop Pentru a se distra furnd pota electronic a celorlali Pentru a testa securitatea sistemului cuiva; pentru a fura date Pentru a pretinde c reprezint toat Europa, nu numai Andorra

Agent de vnzri arlatan Spion Terorist

Pentru a nega o promisiune fcut clientului prin posta electronic Pentru a fura numere de cri de credit i a le vinde Pentru a afla puterea militar a inamicului sau secrete industriale Pentru a fura secrete legate de conflicte armate

Fig. 1 Cteva persoane ce genereaz probleme de securitate i motivele acestora. Problemele securitii reelei pot fi mprite , n mare, n patru domenii strns interconectate: confidenialitate, autentificare, nerepudiere i controlul integritii. Pstrarea secretului, denumit de asemenea i confidenialitate, se refer la pstrarea informaiei departe de utilizatorii neautorizai. Aceasta este ceea ce vine n mintea oamenilor atunci cnd se gndesc la securitatea reelei. Autentificarea reprezint determinarea identitii persoanei cu care vorbeti nainte de a dezvlui informaii importante sau de a intra ntr-o afacere. Nerepudierea implic semnturi: cum s dovedeti c un client a fcut ntr-adevr o comand pentru zece milioane de nimicuri de 89 ceni fiecare, dac, mai trziu pretinde c preul era de 69 de ceni? Sau poate susine c nu a fcut nici o comand. n fine, cum poi fi sigur c un mesaj pe care l-ai primit a fost cel trimis cu adevrat i nu unul pe care un adversar rutcios l-a modificat n tranzit sau l-a msluit? Toate aceste aspecte apar i n sistemele tradiionale, dar cu cteva diferene semnificative. Integritatea i confidenialitatea sunt realizate prin folosirea potei nregistrate i prin sigilarea documentelor. Jefuirea trenului ce duce pota este mai greu de realizat dect era n vremurile de demult. De asemenea, oamenii pot de obicei s spun ce diferen este ntre un document original i o fotocopie i adeseori numai primul are valoare pentru ei. Oamenii autentific ali oameni prin recunoaterea feelor, vocilor i scrisului lor. Dovada semnrii se face prin semnturi pe scrisori cu antet, sigilii etc. falsificarea poate fi de obicei detectat prin scris, hrtie i experi n grafologie. Nici una din aceste opiuni nu este disponibil electronic. Evident, sunt necesare alte soluii. nainte de a intra n prezentarea acestor soluii, merit s consumm cteva minute pentru a stabili unde anume n stiva de protocoale se situeaz securitatea reelei. Probabil c nu exist un singur loc. fiecare nivel poate contribui cu ceva. La nivelul fizic, ascultarea firelor poate fi zdrnicit prin ncapsularea liniilor de transmisie n tuburi sigilate coninnd gaz de argon la presiuni nalte. Orice ncercare de a perfora tubul va duce la pierderi de gaz, reducnd presiunea i trgnd alarma. Cteva sisteme militare folosesc aceast tehnic.16

La nivelul legtur de date, pachetele trimise pe o linie punct la punct pot fi codificate cnd prsesc una din maini i decodificate cnd intr n cealalt. Toate detaliile pot fi manipulate la nivelul legtur de date, fr ca nivelurile mai nalte s aib cunotin de ceea ce se petrece. Aceast soluie eueaz totui, atunci cnd pachetele trebuie s traverseze mai multe rutere, deoarece pachetele trebuie decriptate n fiecare ruter, fcndu-le astfel vulnerabile la atacurile din interiorul ruterelor. De asemenea, ea nu permite ca anumite sesiuni s fie protejate (de e. acelea ce implic cumprturi on-line folosind cri de credit), iar altele nu. Cu toate acestea, criptarea legturii, cum este numit aceast metod, poate fi adugat cu uurin la orice reea i este adeseori util. La nivelul reea, pot fi instalate ziduri de protecie pentru a pstra pachetele n interior sau pentru a pstra pachetele n afara acestuia. Securitatea IP funcioneaz de asemenea la acest nivel. La nivelul transport, pot fi criptate conexiuni ntregi, de la un capt la cellalt, adic de la un proces la cellalt. Pentru o securitate maxim, este necesar securitatea capt la capt(end to - end security). n sfrit, problemele cum sunt autentificarea utilizatorilor i nerepudierea nu pot fi tratate dect la nivelul aplicaiei. Exceptnd securitatea de la nivelul fizic, aproape toat securitatea se bazeaz pe principii criptografice.

Criptografia

17

Metode de securizare a reelelor Filtrarea accesului n reea firewall Un firewall se poate defini ca fiind un paravan de protecie ce poate ine la distan traficul Internet, de exemplu hackerii, viermii i anumite tipuri de virui, nainte ca acetia s pun probleme sistemului. n plus, acest paravan de protecie poate evita participarea computerului la un atac mpotriva altora, fr cunotina utilizatorului.

Utilizarea unui paravan de protecie este important n special dac calculatorul este conectat n permanen la Internet.

Figura 4.1.1 Funcia primordial a unui firewall. O alt definiie un firewall este o aplicaie sau un echipament hardware care monitorizeaz i filtreaz permanent transmisiile de date realizate ntre PC sau reeaua local i Internet, n scopul implementrii unei "politici" de filtrare. Aceast politic poate nsemna:

protejarea resurselor reelei de restul utilizatorilor din alte reele similare

Internetul -> sunt identificai posibilii "musafiri" nepoftii, atacurile lor asupra PC-ului sau reelei locale putnd fi oprite.18

controlul resurselor pe care le vor accesa utilizatorii locali.

Mod de funcionare: De fapt, un firewall, lucreaz ndeaproape cu un program de routare, examineaz fiecare pachet de date din reea (fie cea local sau cea exterioar) ce va trece prin serverul gateway pentru a determina dac va fi trimis mai departe spre destinaie. Un firewall include de asemenea sau lucreaz mpreun cu un server proxy care face cereri de pachete n numele staiilor de lucru ale utilizatorilor. n cele mai ntlnite cazuri aceste programe de protecie sunt instalate pe calculatoare ce ndeplinesc numai aceast funcie i sunt instalate n faa routerelor.

Figura 4.1.2 O posibil implementare a unui firewall. Soluiile firewall se mpart n dou mari categorii: prima este reprezentat de soluiile profesionale hardware sau software dedicate proteciei ntregului trafic dintre reeaua unei ntreprinderi (instituii, serverele marilor companii publice) i Internet; iar cea de a doua categorie este reprezentat de firewall-urile personale dedicate monitorizrii traficului pe calculatorul personal. Utiliznd o aplicaie din ce-a de a doua categorie se poate prentmpina atacurile colegilor lipsii de fair-play care ncearc s acceseze prin mijloace mai mult sau mai puin ortodoxe resurse de pe PC-ul dumneavoastr. n situaia n care dispunei pe calculatorul de acas de o conexiune la Internet, un firewall personal v va oferi un plus de siguran transmisiilor de date. Cum astzi majoritatea utilizatorilor tind s schimbe clasica conexiune dial-up cu modaliti de conectare mai19

eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuite asupra sistemului dumneavoastr crete. Astfel, mrirea lrgimii de band a conexiunii la Internet faciliteaz posibilitatea de "strecurare" a intruilor nedorii.

Astfel, un firewall este folosit pentru dou scopuri:

pentru a pstra n afara reelei utilizatorii ru intenionati (virui, viermi

cybernetici, hackeri, crackeri)

pentru a pstra utilizatorii locali (angajaii, clienii) n reea

Politici de lucru: nainte de a construi un firewall trebuie hotrt politica sa, pentru a ti care va fi funcia sa i n ce fel se va implementa aceast funcie. Pentru a putea defini politica firewall-ului, sunt necesare unele rspunsuri la urmtoarele ntrebri:

ce servicii va deservi firewall-ul ? ce grupuri de utilizatori care vor fi protejai ? de ce fel de protecie are nevoie fiecare grup de utilizatori ? cum va fi protejat fiecare grup(detaliere privind i natura serviciilor din cadrul

grupurilor)? La final este necesar s se scrie o declaraie prin care oricare alte forme de access sunt o ilegalitate. Politica va deveni tot mai complicat cu timpul, dar deocamdat este bine s fie simpl i la obiect.

20

Figura 4.1.3 Diferite politici implementate ntr-un firewall Clasificri: Firewallurile pot fi clasificate dup:

Layerul (stratul) din stiva de reea la care opereaz Modul de implementare

n funcie de layerul din stiva TCP/IP (sau OSI) la care opereaz, firewall-urile pot fi:

Layer 2 (MAC) i 3 (datagram): packet filtering. Layer 4 (transport): tot packet filtering, dar se poate diferenia ntre

protocoalele de transport i exist opiunea de "stateful firewall", n care sistemul tie n orice moment care sunt principalele caracteristici ale urmtorului pachet ateptat, evitnd astfel o ntreag clas de atacuri

Layer 5 (application): application level firewall (exist mai multe denumiri). n

general se comport ca un server proxy pentru diferite protocoale, analiznd i lund decizii pe baza cunotinelor despre aplicaii i a coninutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat application firewall pentru email.

21

Dei nu este o distincie prea corect, firewallurile se pot mpri n dou mari categorii, n funcie de modul de implementare:

dedicate, n care dispozitivul care ruleaz software-ul de filtrare este dedicat

acestei operaiuni i este practic "inserat" n reea (de obicei chiar dup router). Are avantajul unei securiti sporite.

combinate cu alte faciliti de networking. De exemplu, routerul poate servi i

pe post de firewall, iar n cazul reelelor mici acelai calculator poate juca n acelai timp rolul de firewall, router, file/print server, etc. Concluzii: Un firewall poate s: - monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o mai bun monitorizare a traficului i deci o mai uoar detectare a ncercrilor de infiltrare; - blocheze la un moment dat traficul n i dinspre Internet; - selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete. - permit sau interzic accesul la reeaua public, de pe anumite staii specificate; - i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaa ntre cele dou. De asemeni, o aplicaie firewall nu poate: - interzice importul/exportul de informaii duntoare vehiculate ca urmare a aciunii rutcioase a unor utilizatori aparinnd spaiului privat (ex: csua potal i ataamentele); - interzice scurgerea de informaii de pe alte ci care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router); - apra reeaua privat de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor n reea (USB Stick, dischet, CD, etc.) - preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverse servicii, precum i punctele slabe ce decurg din exploatarea acestor greeli.22

Tehnologia firewall se bazeaz pe folosirea porturilor. Porturile nu sunt altceva dect nite numere plasate ntr-un anumit loc bine definit n pachetul de date. Fiecare aplicaie folosete anumite porturi deci anumite numere .

Figura 4.1.4 Configurri diferite privind implementarea unui firewall Dei un anumit serviciu poate avea un port asignat prin definiie, nu exist nici o restricie ca aplicaia s nu poat asculta i alte porturi. Un exemplu comun este cel al protocolului de pot electronic Simple Mail Transfer Protocol (SMTP). Acest serviciu are portul asignat 25. Posibil ca furnizorul de internet s blocheze acest port pentru a evita folosirea unui server de mail pe calculatorul propriu. Nimic nu ne oprete ns s configurm un server de mail pe un alt port. Motivul principal pentru care anumite servicii au porturi asignate implicit este acela ca un client s poat gsi mai uor un anumit serviciu pe o gazd aflat la distan. Cteva exemple: serverele FTP ascult portul 21; serverele HTTP sunt pe portul 80; aplicaiile client de genul File Transfer Protocol (FTP) folosesc porturi asignate aleator de obicei mai mari ca 1023. Exist puin peste 65000 porturi mprite n porturi bine cunoscute (01023), porturi nregistrate (102449151) i porturi dinamice (4915265535). Dei sunt sute de porturi cu aplicaiile corespunztore, n practic mai puin de 100 sunt utilizate frecvent. n

23

tabelul 1 putem vedea cele mai frecvente porturi i protocolul care l folosete. Trebuie s menionm c aceste porturi sunt primele vizate de un sprgtor pe calculatorul victimei. Tabel 1 Porturi comune i protocoale Port 21 22 23 25 53 67/68 69 79 80 88 110 111 135 139 161 162 389 443 445 1433 Serviciu FTP SSH Telnet SMTP DNS DHCP TFTP Finger HTTP Kerberos POP3 SUNRPC MS RPC NB Session SNMP SNMP Trap LDAP SSL SMB over IP MS-SQL Protocol TCP TCP TCP TCP TCP/UDP UDP UDP TCP TCP UDP TCP TCP/UDP TCP/UDP TCP/UDP UDP UDP TCP TCP TCP/UDP TCP

O bun practic de siguran este blocarea acestor porturi dac nu sunt folosite. Se recomand folosirea practicii least privilege. Acest principiu const n acordarea accesului24

minimal, strict necesar desfurrii activitii unui serviciu. S nu uitm c securitatea este un proces fr sfrit. Dac un port este nchis astzi nu nseamn ca va rmne aa i mine. Se recomanda testarea periodic a porturilor active. De asemenea aplicaiile au grade de siguran diferite; SSH este o aplicaie relativ sigur pe cnd Telnet-ul este nesigur. Prezentarea firewall-ului inclus n Windows XP SP2

Figura 4.1.5 Windows firewall inclus odat cu Windows XP SP2 Componenta firewall are funcia de a supraveghea comunicaia sistemului precum i a aplicaiilor instalate cu internetul sau reeaua i s blocheze n caz de nevoie conexiunile nedorite. Ea asigur protecia PC-ului mpotriva pro-gramelor duntoare i a hacker-ilor. Spre deosebire de versiunea anterioar, Windows Firewall este activat n Service Pack 2 imediat dup instalare i blocheaz majoritatea programelor care comunic cu internetul. De aceea, muli utilizatori prefer s l dezactiveze n loc s l configureze. Pentru o configurare optima nu sunt necesare dect cteva setri de baz.25

Dac un program instalat mpreun cu sistemul de operare ncearc s iniieze o legtur la internet sau la reeaua intern, apare o fereastr de informare care ntreab cum dorii s tratai aceast comunicare. Sunt la dispoziie opiunea de a bloca sau a permite conexiunea. n funcie de selecie, firewall-ul din XP stabilete automat o regul. Dac unei aplicaii trebuie s i fie permis s realizeze legturi, n registrul Exceptions se pot stabili reguli permanente corespunztoare. n meniul Programs se obine o list cu toate aplicaiile instalate de sistemul de operare, ale cror setri de conectare pot fi definite dup preferine. Aplicaiile individuale nu sunt de multe ori enumerate n list. Acestea pot fi introduse n list cu ajutorul opiunii Add Program, indicnd apoi calea spre executabil printrun clic pe Browse. Din motive de siguran se pot defini suplimentar, la Ports, ce interfee i ce protocol - TCP sau UDP - poate utiliza programul. n aceeai fereastr se afl i butonul Change Scope, cu ajutorul cruia este posibil introducerea de diverse adrese IP ale sistemelor cu care programul are voie s realizeze o conexiune. Dac aceste date nu sunt nc definite, aplicaia este n msur s comunice pe toate porturile i cu toate sistemele ceea ce, funcie de aplicaie, are ca urmare diverse riscuri de securitate.Protecia reelei anti-virus i antimalware Datorit conotaiei, se folosete termenul de virus pentru totalitatea malware-ului, totui pentru formele de prevenie se pstreaz denumirile de: anti-virui, anti-malware, antispyware, anti-adware i anti-phishing. Anti-virui Scurt istoric: Majoritatea sunt de prere c primul software de tip antivirus este atribuit lui Bernt Fix n 1987, aceasta fiind prima neutralizare a unui virus informatic(nume de cod Viena), cel puin prima documentat i publicat. ncepnd cu anul 1988 ncep s apara primele companii care s produca software dedicat (Dr. Solomons Anti-Virus ToolKit, AIDSTEST, AntiVir) urmat n 1990 de aproximativ 19 programe antivirus distincte, printre care apar i Norton AntiVirus (achiziionat de Symantec n 1992) i McAfee VirusScan. Dac nainte de rspndirea Internetului majoritatea infectrilor se fceau folosind disketele, odat cu evoluia interconectrii ntre computere au nceput adevratele probleme. Autorii de virui au reuit s-i diversifice modalitile de rspndire folosind aplicaii uzuale cum sunt editoarele de texte (macrourile scrise n diferite limbaje de programare puteau fi rulate prin simpla deschidere cu aplicaia corespunztoare), programe de e-mail (Microsoft26

Outlook Express, Outlook, etc), programe de tip chat (Yahoo messenger, MSN messenger), etc. Odat cu rspndirea pe scar larg a conexiunilor de tip broad-band, viruii au nceput s se nmuleasc i s se rspndeasc foarte rapid, astfel aplicaiile de tip antivirus fiind nevoite s-i actualizeze dicionarele odat la fiecare 5-10 minute. Cu toate acestea un virus nou, poate s se rspndeasc cu o aa vitez nct pna la momentul depistrii i gsirii modalitii de neutralizare este posibil s infecteze foarte multe calculatoare (de ordinul sutelor de mii sau chiar milioanelor), aici intervenind i faptul c nu toti utilizatorii i actualizeaz ct de des cu putin software-ul antivirus. Ca metode de identificare a viruilor deosebim: 1. identificarea bazat pe semnatur (signature based) este cea mai comun variant. Pentru identificarea viruilor cunoscui fiecare fiier este scanat ca i coninut (ntreg i pe buci) n cutarea informaiilor pstrate ntr-un aa-numit dicionar de semnturi; 2. identificarea bazat pe comportament (malicious activity), n acest caz aplicaia antivirus monitorizeaz ntregul sistem pentru depistarea de programe suspecte n comportament. Dac este detectat o comportare suspect, programul respectiv este investigat suplimentar, folosindu-se de alte metode (semnturi, heuristic, analiz de fiier, etc.). Este de menionat c aceasta metod poate detecta virui noi; 3. metoda heuristic (heurisitc-based) este folosit pentru detectarea viruilor noi i poate fi efectuat folosind dou variante(independent sau cumulat): analiza de fiier i emulare de fiier. Astfel analiz bazat pe analiza fiierului implic cautarea n cadrul acelui fiier de instruciuni uzuale folosite de virui. Ex. Dac un fiier are instruciuni pentru formatarea discului, acesta este investigat suplimentar. O problem a acestei variante este necesitatea unor resurse foarte mari pentru analiza fiecrui fiier, rezultnd n ncetiniri evidente ale sistemului. Cea de-a doua metod este cea de emulare n care se ruleaz fiierul respectiv ntr-un mediu virtual i jurnalizarea aciunilor pe care le face. n funcie de aceste jurnale, aplicaia poate determina dac este infectat sau nu acel fiier. 4. un mod relativ nou se bazeaz pe conceptul de semnturi generice ceea ce sar traduce n posibilitatea de a neutraliza un virus folosindu-se de o semntur comun. Majoritatea viruilor din ziua de astazi sunt aa-numiii virui de mutaie ceea ce nseamn c n decursul rspndirii sale el i schimb acea semntur de mai multe ori. Aceste27

semnturi generice conin informaiile obinute de la un virus i n unele locuri se introduc aa-numitele wildcard-uri caractere speciale care pot lipsi sau pot fi distincte aplicaia software cutnd n acest caz informaii non-continue. Anti-spyware Ca rspuns la apariia aplicaiilor de tip spyware, companiile care produceau software de tip anti-virus au nceput s ofere i aplicaii (care apoi au devenit din ce n ce mai complexe, integrnd foarte multe module, pentru fiecare tip de malware) contra acestora. Instalarea unei astfel de aplicaii la momentul actual este considerat un must-do obligatorie intrnd n categoria nivel minim de securitate. Dei ideea iniial a acestor aplicaii era spre beneficiul utilizatorilor n final prin culegerea informaiilor care sunt cel mai cutate, elocvente, ducnd astfel la o dezvoltare natural i concret a furnizorilor de servicii online, abuzul a condus la interzicerea sa, n special prin faptul ca se efectueaz de cele mai multe ori fr acceptul utilizatorilor. Anti-adware Aplicaiile Anti-adware se refer la orice utilitar software care scaneaz sistemul i ofer posibiliti de dezinfecie sau eliminare a diferitelor forme de malware gen: adware, spyware, keyloggers, trojans, etc.. Unele dintre aceste programe sunt nedetectabile de ctre programele antivirus instalate i astfel se definete ca nivel minim de securitate alturi de programele anti-virus, anti-spyware i, mai nou, anti-phishing. Anti-phishing Pe lng cteva aplicaii software care pot oferi o oarecare protecie contra efectelor de phising, se definesc i alte posibiliti, care se pot folosi i pentru protecia contra viruilor, spyware-ului sau adware-ului i anume: instruirea utilizatorilor. O astfel de tehnic poate fi foarte eficient, mai ales acolo unde aceast tehnic se bazeaz i pe un feedback puternic. Pentru aceasta este de menionat urmtoarele reguli ce trebuie urmrite: - Folosirea de conexiuni sigure (https). Model prin care se impune ca toate formele prin care se transmit date cu caracter confidenial s se realizeze ntr-un mod sigur.

28

- Care este sit-ul? Utilizatorul este ateptat s confirme adresa din bara de adrese cum c acesta este efectiv sit-ul pe care voia s intre, sau sa-l foloseasc (i nu altul, de ex. www.banca.ro cu www.sitefantoma.banca.ro). - folosirea de certificate i verificarea lor. Dei necesit mai multe cunotine aceast form este foarte important prin prisma faptului c sunt oferite foarte multe informaii n acest certificat, informaii care pot face ca acel site s devin trusted credibil pentru toate aplicaiile care se descarc de pe el. Tot la aceste certificate trebuiesc verificate i autoritile care le-au emis. - click-ul la ntmplare: apsarea la ntmplare pe butoanele care confirm anumite aciuni, n sperana c vor disprea anumite ferestre i lucrul va reveni la normal conduce la foarte mari bree de securitate. - lipsa de interes: este datorat n special firmelor care nu doresc s treac la diferite forme avansate de securizare i certificare, forme care sunt deseori foarte costisitoare. - forma de comunicaie: deoarece modelul de securitate se bazeaz pe foarte muli participani la comunicaie: utilizatori, client de browser, dezvoltatori, auditori, webserver, etc. face ca aceast form de comunicare s fie foarte dificil. - abonarea la servicii care ofer liste cu sit-uri care au fost catalogate ca sit-uri fantom au aprut foarte multe astfel de liste care vin s ajute utilizatorii prin introducerea unui aa numit page ranking - sau rang de acreditare. Observaii: Este de reinut c navignd la ntmplare se pot gsi o multitudine de aplicaii care s pozeze n aplicaii de tip antivirus, antispyware sau antimalware dar de fapt s fie ele nsele virui deghizai n aplicaii legitime. La fel de reinut este faptul c, cu ct este mai mare dicionarul de semnturi cu att aplicaia antivuris devine mai dependent de resurse(procesor, memorie, timp). Nu este indicat s se foloseasc mai multe aplicaii antivirus instalate, de multe ori acestea intrnd n conflict, dar mai important, ngreunndu-i una alteia sarcina. Este foarte important realizarea actualizrii ct mai des a aplicaiei anti-malware instalate (fie ea antivirus, antispyware, antiadware, etc.) i a sistemelor de operare pentru a putea fi protejai mcar la nivel normal. Pentru suplimentarea modalitilor de protecie se29

vor organiza diferite forme de instruire a persoanelor care fac administrare reelei pentru a putea fi la zi cu cunotinele i noutile din domeniu. Este foarte important i stabilirea de diferite politici de lucru prin care s se realizeze, periodic, verificri de jurnale, de aplicaii instalate (poate sunt oferite mbuntiri la nivel de aplicaie sau de securizare), de modaliti de lucru.

30

Securizarea accesului printr-un router wireless

Prima reea wireless a fost pus n funciune n 1971 la Universitatea din Hawai sub forma unui proiect de cercetare numit ALOHANET. Topologia folosit era de tip stea bidirecional i avea ca noduri constituente un numr de apte calculatoare mprtiate pe patru insule din arhipelag ce comunicau cu un nod central aflat pe insula Oahu doar prin legturi radio.

Figura 4.3.1 Posibiliti de conectare wireless, de aici i necesitatea securizrii accesului

Iniial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo unde amplasarea de cabluri ar fi fost tehnic imposibil. Ca i n alte cazuri din istoria tehnicii de calcul, primele soluii produse pe scar larg au fost cele proprietare (nestandard) i orientate pe diverse nie de pia, dar odat cu sfritul anilor 90 acestea au fost nlocuite de cele standard i generice cum ar fi cele descrise de familia de standarde 802.11 emise de IEEE. Versiunea iniial a standardului IEEE 802.11 lansat n 1997 prevedea dou viteze (1 i 2 Mbps) de transfer a datelor peste infrarou sau unde radio. Transmisia prin31

infrarou rmne pn astzi o parte valid a standardului, fr a avea ns implementri practice. Au aprut atunci cel puin ase implementri diferite, relativ interoperabile i de calitate comercial, de la companii precum Alvarion (PRO.11 i BreezeAccess-II), BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus i AirSurfer Pro), Symbol Technologies (Spectrum24) i Proxim (OpenAir). Un punct slab al acestei specificaii era c permitea o varietate mare a designului, astfel nct interoperabilitatea era mereu o problem. 802.11 a fost rapid nlocuit (i popularizat) de 802.11b n 1999 ce aducea, pe lng multe mbuntiri n redactare, i o vitez crescut de transmisie a datelor de pn la 11Mbps. Adoptarea pe scar larg a reelelor 802.11 a avut loc numai dup ce 802.11b a fost ratificat ca standard, iar produsele diverilor productori au devenit interoperabile. Cam n aceeai perioad (1999) a aprut i 802.11a, o versiune pentru banda de 5GHz a aceluiai protocol. Acesta a fost urmat de 802.11g, n iulie 2003, ce aducea performane sporite, att n ceea ce privete viteza de transmisie (ce urca la 54Mbps), ct i distana de acoperire n jurul antenei. Standardul aflat n prezent n elaborare de ctre IEEE este 802.11n acesta aduce i el mbuntiri, cum ar fi o vitez teoretic de transmisie de 270Mbps. Ca n cazul oricrei tehnici de transmisie sau comunicaie care se dezvolt rapid i ajunge s fie universal folosit, apare la un moment dat necesitatea de a implementa diverse tehnici de protecie a informaiilor transmise prin reelele de acest tip. n cazul 802.11, securitatea se refer att la topologia i componena reelei (i.e. asigurarea accesului nodurilor autorizate i interzicerea accesului celorlalte n reea), ct i la traficul din reea (i.e. gsirea i folosirea unei metode de securizare a datelor, de criptare, astfel nct un nod care nu este parte din reea i care, deci, nu a fost autentificat s nu poat descifra conversaiile dintre dou sau mai multe tere noduri aflate n reea). Un ultim aspect al securitii l constituie autentificarea fiecrui nod, astfel nct orice comunicaie originar de un nod s poat fi verificat criptografic sigur ca provenind, ntr-adevr, de la nodul n cauz.

32

Figura 4.3.2 Posibiliti de conectare folosind conexiuni wireless Primele tehnici de securitate ce au fost folosite n astfel de reele au fost cele din clasa security by obscurity, adic se ncerca atingerea siguranei prin meninerea secret a specificaiilor tehnice i/sau prin devierea de la standard nu de puine ori n msur considerabil. Aceste tehnici ns, au adus n mare parte neajunsuri implementatorilor, deoarece fceau echipamentele diferiilor productori vag interoperabile. Alte probleme apreau din nsi natura proprietar a specificaiilor folosite de aceste echipamente. Filtrarea MAC O form primar de securitate este filtrarea dup adresa MAC (Media Access Control address), cunoscut sub denumiri diverse precum Ethernet hardware address (adres hardware Ethernet), adres hardware, adresa adaptorului de reea (adaptor - sinonim pentru placa de reea), BIA - built-in address sau adresa fizic, i este definit ca fiind un identificator unic asignat plcilor de reea de ctre toi productorii. Adresa MAC const ntr-o secven numeric format din 6 grupuri de cte 2 cifre hexadecimale (n baza 16) de tipul 00-0B-E4-A6-78-FB. Primele 3 grupuri de cte dou caractere (n acest caz 00-0B-E4) identific ntotdeauna productorul plcii de reea (RealTek, Cisco, Intel, VIA, etc.), iar urmtorii 6 digii identific dispozitivul n sine.33

Dac ntr-o prim faz aceast adres era fixat, noile adrese se pot modifica, astfel aceast form de securizare i pierde din valabilitate. Noile dispozitive pot s-i modifice aceasta secven numeric doar prin intermediul driverului folosit. Este de reinut c aceast adres MAC este n continuare unic, doar c driverul folosit poate face aceast convenie, fr a exista posibilitatea de a modifica aceast adres i la nivel fizic, real. Astfel acum exist riscul de ca prin aflarea unui MAC valid din cadrul unei reele, folosind un program de tip snnifer, i schimbndu-i MAC-ul n cel nou (clonnd la nivel software prin intermediul driverului folosit placa cu MAC-ul aflat), atacatorul va putea avea acces legitim, fiind autentificat n cadrul reelei. Dar totui muli administratori folosesc n continuare aceasta form de securizare, datorit formei foarte simple de implementare, motiv pentru care este absolut necesar ca aceast form de parolare s se completeze i cu alte modaliti de securizare enunate n continuare. Tehnicile de generaia nti (WEP) Prima tehnic de securitate pentru reele 802.11 ce a fost cuprins n standard (implementat de marea majoritate a productorilor de echipamente) a fost WEP - Wired Equivalent Privacy. Aceast tehnic a fost conceput pentru a aduce reelele radio cel puin la gradul de protecie pe care l ofer reelele cablate un element important n aceast direcie este faptul c, ntr-o reea 802.11 WEP, participanii la trafic nu sunt protejai unul de cellalt, sau, altfel spus, c odat intrat n reea, un nod are acces la tot traficul ce trece prin ea. WEP folosete algoritmul de criptare RC-4 pentru confidenialitate i algoritmul CRC-32 pentru verificarea integritii datelor. WEP a avut numeroase vulnerabiliti de design care fac posibil aflarea cheii folosite ntr-o celul (reea) doar prin ascultarea pasiv a traficului vehiculat de ea. Prin metodele din prezent, o celul 802.11 WEP ce folosete o cheie de 104 bii lungime poate fi spart n aproximativ 3 secunde de un procesor la 1,7GHz. Tehnicile de generaia a doua (WPA, WPA2) Avnd n vedere eecul nregistrat cu tehnica WEP, IEEE a elaborat standardul numit 802.11i, a crui parte ce trateaz securitatea accesului la reea este cunoscut n practic i ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publice i private, mesaje cu cod de autentificare (MAC), precum i metode extensibile de autentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni n ntmpinarea utilizatorilor casnici sau de arie restrns, IEEE a dezvoltat i o variant mai simpl a standardului i anume WPA-PSK (< Pre-Shared Key mode). n acest mod, n loc de un certificat i o pereche34

de chei (public i privat), se folosete o singur cheie sub forma unei parole care trebuie cunoscut de toi membrii reelei(parol ce poate fi de 64 sau 128 de bii). Totui nici aceast form de securizare nu este invincibil din cauza unor erori n algoritmii de criptare care pot face ca aceast cheie s poat fi restrans, n urma unor date suficiente, la o rafinare a cutrilor, ce poate face spargerea sa ntr-un timp relativ scurt (de ordinul zilelor). Odat cu apariia unor tehnici i metode avansate de securizare a accesului la mediul de transmisie, s-a fcut simit i nevoia de a administra o astfel de structur de autentificare dintr-o locaie central, aa numita centralizare a accesului i managementului. Aa se face c tot mai multe dispozitive de tip Access Point (echipamentele ce fac legtura dintre reeaua cablat i cea transportat prin unde radio, avnd un rol primordial n meninerea securitii reelei) pot fi configurate automat dintr-un punct central. Exist chiar seturi preconfigurate de echipamente ce sunt destinate de ctre productor implementrii de hotspot-uri (locuri unde se poate beneficia de acces la Internet prin 802.11 gratis sau contra cost). Aceste seturi conin de obicei un echipament de gestiune a reelei, o consol de administrare, un terminal de taxare i unul sau mai multe Access Point-uri. Atunci cnd sunt puse n funciune, acestea funcioneaz unitar, accesul i activitatea oricrui nod putnd fi atent i n detaliu supravegheat de la consola de administrare. Imediat dup perfectarea schemelor de administrare centralizat a securitii n reelele 802.11, a aprut necesitatea integrrii cu sistemele de securitate ce existau cu mult nainte de implementarea reelei 802.11 n acel loc. Aceast tendin este natural; cu ct interfaa de administrare a unui sistem alctuit din multe componente este mai uniform, cu att administrarea sa tinde s fie mai eficient i mai predictibil ceea ce duce la creterea eficienei ntregului sistem.

35

Figura 4.3.3 Necesitatea securizrii unei reele wireless WPA a fost prima tehnologie care a facilitat integrarea pe scar larg a administrrii reelelor radio cu cele cablate, deoarece se baza pe principii comune descrise de standardul 802.1X. Astfel, o companie poate refolosi ntreaga infrastructur pentru autentificarea i autorizarea accesului n reeaua sa cablat i pentru reeaua radio. WPA poate fi integrat cu RADIUS, permind astfel administrarea i supravegherea unei reele de dimensiuni mari ca i numr de noduri participante la trafic (e.g. un campus universitar, un hotel, spaii publice) dintr-un singur punct, eliminnd astfel necesitatea supravegherii fizice a aparaturii de conectare (i.e. porturi de switch). Datorit scderii corturilor echipamentelor de reea i dezvoltrii foarte rapide produselor destinate crerii i configurrii unei reele wireless s-a impus introducerea de standarde care s asigure compatibilitatea i unitatea definirii modelelor de reele wireless. Standardul IEEE (Institute of Electrical and Electronic Engineers) 802.11 este un set de standarde pentru reele de tip WLAN(wireless local area network). Din cadrul acestui standard cel mai uzual este IEEE 802.11b, numit i Wi-Fi folosind acest standard se pot trimite date cu 1, 2, 5.5 sau 11Mbps folosind banda de 2.4-2.5 GHz. Pentru condiii ideale, distanele scurte, fr surse care s atenueze sau s interfereze standardul IEEE 802.11b opereaz la 11Mbps, mai mult dect poate oferi standardul cu fir Ethernet(10Mbps). n condiii mai puin ideale, conexiuni folosind vireze de 5.5, 2 sau chiar 1Mbps sunt folosite.

36

Standardul IEEE 802.11 mai are i componentele IEEE 802.11a cu o rat maxim de transfer de 54Mbps, folosind frecvene de 5Ghz de aceea oferind un semnal mai curat i o rat de transfer mai mare, i standardul IEEE 802.11g care are aceeai rat maxim de transfer de 54Mbps, folosind frecvene n banda S ISM. Cel mai nou standard inclus este IEEE 802.11n care nc nu a fost implementat final el avnd urmtoarele limitri teoretice: rat maxim de transfer de 600 Mbps, funcionare n benzile de frecven 5GHz i/sau 2.4 GHz i o raz de aciune n interior de ~ 300m. Acest standard se preconizeaz a se lansa oficial n 2010. n standardul IEEE 802.11 se deosebesc dou moduri de operare: modul infrastructur sau mdul ad-hoc. Modul infrastructur este folosit pentru a conecta calculatoare folosindu-se adaptoare wireless la o reea legat prin fire. Ca exemplu: o firm poate avea deja o reea Ethernet cablat. Folosindu-se de modul infrastructur un laptop sau un alt calculator care nu are o conectare Ethernet cablat se poate conecta totui la reeaua existent folosind un nod de reea denumit Access Point AP pentru a realiza un bridge (pod) ntre reeaua cablat i reeaua wireless.

Figura 4.3.4 Modul infrastructur pentru o reea wireless. n cadrul acestui mod funcional datele care sunt transmise de un client wireless ctre un client din reeaua cablat sunt mai nti preluate de AP care trimite la rndul lui datele mai departe. Modul funcional Ad-hoc37

Acest mod de conectare este folosit pentru conectarea direct a dou sau mai multe calculatoare, fr a mai fi nevoie de un AP(fr necesitatea unui echipament distinct de comunicare). Acest mod de comunicare totui este limitat la 9 clieni, care pot s-i trimit datele direct ntre ei.

Figura 4.3.5 Reprezentarea modulului Ad-hoc Pentru configurarea unei reele wireless de tip infrastructur sunt necesare a se parcurge urmtoarele etape (denumirile pot diferi de la un productor al echipamentului la altul): a) Wireless Mode: Partea de wireless poate funciona n mai multe moduri i poate diferi funcie de productor sau versiune de firmware. Modurile pot fi: - AP (Access Point), este modul cel mai des utilizat, fiind specific modului Infrastructure, n care dou device-uri wireless nu sunt conectate direct, ci prin intermediul routerului sau Access Point-ului. - Client, n acest mod partea radio conecteaz wireless portul WAN din router la un punct distant. Se folosete de exemplu n cazul unei conexiuni wireless cu providerul. - Ad-Hoc, n acest mod clienii se pot conecta direct intre ei :) , conexiunea dintre ei nu mai trece prin router. - Client Bridged, n acest mod partea radio conecteaza wireless partea LAN a routerului cu un punct distant. Astfel partea LAN va fi n aceeai reea cu partea LAN a punctului distant.

38

b) Wireless Network Mode: Standardul conexiunii wireless (B, G sau A) ales trebuie s fie suportat atat de router ct i de device-urile wireless din reea. n banda de 2,4 Ghz pot fi folosite standardele B i G, iar n banda de 5 GHz standardul A. Viteza maxim pentru standardul B este 11 Mbps, iar pentru G i A este 54 Mbps. Dac n reea avei deviceuri care folosesc standarde diferite putei seta Mixed. c) SSID (Security Set Identifier) sau Wireless Network Name: este numele asociat reelei wireless. Default acest parametru este setat cu numele productorului sau modelul de router sau Access Point. Din motive de securitate modificai aceast valoare cu un termen far legtura cu producatorul, modelul sau date personale. d) Wireless Chanel: Puteti seta unul din cele 13 canale disponibile pentru Europa. e) Wireless Broadcast SSID: dac setati Enable vei afia numele (SSID) n reea. Dac este Disable cnd vei scana spectrul, reeaua nu va fi afiat. Odat parcurse etapele de mai sus reeaua este creat dar nu are setat nici o securitate. Este foarte important s se configureze i aceast parte de securitate. Astfel pentru securizarea unei reele avem opiunile: WEP (Wired Equivalent Protection) este o metod de criptare: - folosind 64 biti (10 caractere hexa) sau 128 biti (26 caractere hexa). Caracterele hexa sunt: 0-9 i A-F; - autentificare Open sau Shared Key. Acum aceasta criptare WEP cu 64 biti poate fi spart n cteva minute, iar cea cu 128 bii n cteva ore, folosind aplicaii publice. WPA-PSK (WPA Preshared Key sau WPA-Personal) este o metod mult mai sigur dect WEP. WPA2 este metoda cea mai sigur de criptare, fiind o variant mbuntit a metodei WPA. i aceste criptri (WPA i WPA2) pot fi sparte dac parola conine puine caractere sau este un cuvnt aflat n dicionar. Pentru a face imposibil spargerea acestei criptri folosii parole lungi, generate aleator. Filtrarea MAC, prezentat mai sus este n continuare folosit pe scar larg, oferind acel minim minimorum necesar securizrii la nivel minimal. Aceast form de securizare implic introducerea ntr-o list de acces a tuturor adreselor MAC ale dispozitivelor ce se doresc a fi interconectate. Dispozitivele care se pot conecta la aceste echipamente (AP sau routere wireless) s-au diversificat n ultimul timp foarte mult, de la39

clasicile calculatoare sau laptopuri, ajungnd la console de jocuri, telefoane, sisteme multimedia, imprimante sau echipamente de ni gen televizoare, figidere sau rame foto. Pentru definirea unei reele wireless bazat pe modelul ad-hoc nu sunt necesare echipamente distincte (router sau access point). Pentru acest mod nu sunt necesare dect c dispositivele ce se doresc a se conecta s conin un adaptor wireless funcional. Toate dispozitivele de acest gen au opiunea de ad-hoc, opiune care trebuie selectat pe toate dispozitivele ce se doresc a se conecta. Un exemplu privind o astfel de reea este prezentat n figura 4.3.6. Diferena ntre aceste dispzitive vine de la faptul c exist un numr limitat de conexiuni posibile (9 la numr) care pot fi integrate n acelai timp n reea. Avantajele unor astfel de conexiuni se bazeaz n special pe faptul c se pot realiza conexiuni de vitez mare, cauza fiind de obicei distana mic ntre echipamente, fapt ce conduce la pierderi mici de pachete transmise.

Figura 4.3.6 Exemplu privind o reea bazat pe modelul Ad-hoc.

40

4.3. Vulnerabilitatea reelelor

O reea de calculatoare este o structura deschisa la care se pot conecta noi tipuri de echipamente. Acest lucru conduce la o lrgire necontrolat a cercului utilizatorilor cu acces nemijlocit la resursele reelei. Vulnerabilitatea reelelor se manifest pe dou planuri:

posibilitatea modificrii sau distrugerii informaiei, adic atacul la integritatea posibilitatea folosirii neautorizate a informaiilor, adic scurgerea lor din cercul

ei fizica;

de utilizatori stabilit. Trebuie avute in vedere, cu prioritate, doua aspecte legate de securitatea informatic:

integritatea resurselor unei reele, adic disponibilitatea lor indiferent de

defectele de funcionare, hard sau soft, de ncercrile ilegale de sustragere a informaiilor precum si de ncercrile de modificare a informaiilor;

caracterul privat, adic dreptul individual de a controla sau influena ce

informaie referitoare la o persoan, poate fi memorata in fiiere sau baze de date i cine are acces la aceste date. O reea sigur este aceea n ale crei componente (resurse i operaii) se poate avea ncredere, adic furnizeaz servicii de calitate i corecte. Deoarece o reea este alctuit din componente diferite ea reprezint o zona convenabil pentru diferite atacuri sau operaii ilegale, lucru care conduce la concluzia c protecia a devenit unul din aspectele operaionale vitale ale unei reele. Securitatea i n special caracterul privat trebuie s constituie obiectul unei analize atente n cazul reelelor. Reelele sunt ansambluri complexe de calculatoare. Este foarte dificil s se obin o schem complet a tuturor entitilor si operaiilor existente la un moment dat, astfel nct reelele sunt vulnerabile la diferite tipuri de atacuri sau abuzuri. Complexitatea este generat de dispersarea geografic, uneori internaional a componentelor (nodurilor) reelei, implicarea mai multor organizaii in administrarea unei singure reele, existenta unor41

tipuri diferite de calculatoare i sisteme de operare, existena unui numr mare de entiti. n viitorul imediat, reelele de calculatoare vor deveni o parte esenial din viaa sociala i individual. De funcionarea lor corect depinde activitatea guvernamental, comercial, industrial i chiar personal. Pe msur ce calculatoarele personale pot fi conectate de acas n reele, o serie de activiti pot fi fcute de persoane particulare. Trebuie avute n vedere tipurile de date pe care persoanele le pot citi, care sunt celelalte persoane cu care pot comunica, la ce programe au acces. Tot mai multe informaii memorate in fiiere devin posibil de corelat prin intermediul reelelor. Aceasta asociere de fiiere privind persoanele poate avea consecine nefaste asupra caracterului privat individual. Informaia este vulnerabil la atac, n orice punct al unei reele, de la introducerea ei pn la destinaia final. n particular, informaia este mai susceptibil la atac atunci cnd trece prin liniile de comunicaii. Msurile puternice de control ale accesului, bazate pe parole, scheme de protecie n sisteme de operare, fac mai atractive asupra liniilor reelei dect asupra calculatoarelor gazda.

4.3.1. Categorii de atacuri asupra reelelor

Ameninrile la adresa securitii unei reele de calculatoare pot avea urmtoarele origini: dezastre sau calamiti naturale, defectri ale echipamentelor, greeli umane de operare sau manipulare, fraude. Cteva studii de securitate a calculatoarelor estimeaz c jumtate din costurile implicate de incidente sunt datorate aciunilor voit distructive, un sfert dezastrelor accidentale i un sfert greelilor umane. n ameninrile datorate aciunilor voite, se disting dou categorii principale de atacuri: pasive si active. Atacuri pasive sunt acelea n cadrul crora intrusul observa informaia ca trece prin canal fr s interfereze cu fluxul sau coninutul mesajelor. Ca urmare se face doar analiza traficului, prin citirea identitii prilor care comunic i nvnd lungimea i frecvena mesajelor vehiculate pe un anumit canal logic, chiar dac coninutul este neinteligibil. Atacurile pasive au urmtoarele caracteristici comune:

nu cauzeaz pagube (nu se terg sau se modifica date); ncalc regulile de confidenialitate; obiectivul este de a asculta datele schimbate prin reea;42

pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legturilor telefonice sau radio, exploatarea radiaiilor electromagnetice emise, rutarea datelor prin noduri adiionale mai puin protejate. Atacuri active - sunt acelea n care intrusul se angajeaz fie n furtul mesajelor, fie n

modificarea, reluarea sau inserarea de mesaje false. Aceasta nseamn c el poate terge, ntrzia sau modifica mesaje, poate sa fac inserarea unor mesaje false sau vechi, poate schimba ordinea mesajelor, fie pe o anumit direcie, fie pe ambele direcii ale unui canal logic. Aceste atacuri sunt serioase deoarece modific starea sistemelor de calcul, a datelor sau a sistemelor de comunicaii. Exist urmtoarele tipuri de ameninri active:

mascarada este un tip de atac in care o entitate pretinde a fi o alta entitate. De

exemplu, un utilizator ncearc s se substituie altuia sau un serviciu pretinde a fi un alt serviciu, n intenia de a lua date secrete (numrul crii de credit, parola sau cheia algoritmului de criptare). O mascarad este nsoit, de regul de o alt ameninare activa, cum ar fi nlocuirea sau modificarea mesajelor;

reluarea se produce atunci cnd un mesaj sau o parte a acestuia este reluata

(repetat), n intenia de a produce un efect neautorizat. De exemplu este posibil reutilizarea informaiei de autentificare a unui mesaj anterior. n conturile bancare, reluarea unitilor de date implic dublri si/sau alte modificri nereale ale valorii conturilor;

modificarea mesajelor face ca datele mesajului sa fie alterate prin modificare,

inserare sau tergere. Poate fi folosit pentru a se schimba beneficiarul unui credit. O alt utilizare poate fi modificarea cmpului destinatar/expeditor al potei electronice;

refuzul serviciului se produce cnd o entitate nu izbutete s ndeplineasc

propria funcie sau cnd face aciuni care mpiedic o alt entitate de la ndeplinirea propriei funcii;

repudierea serviciului se produce cnd o entitate refuz s recunoasc un

serviciu executat. Este evident c n aplicaiile de transfer electronic de fonduri este important s se evite repudierea serviciului att de ctre emitor, ct i de ctre destinatar. n cazul atacurilor active se nscriu si unele programe create cu scop distructiv si care afecteaz, uneori esenial, securitatea calculatoarelor. Exista o terminologie care poate fi folosita pentru a prezenta diferitele posibiliti de atac asupra unui sistem. Acest vocabular este bine popularizat de povetile despre hackeri. Atacurile presupun, in general, fie citirea informaiilor neautorizate, fie distrugerea parial sau totala a datelor sau chiar a calculatoarelor. Ce este mai grav este posibilitatea potenial de infestare, prin reea sau chiar43

copieri de dischete, a unui mare numr de maini. Dintre aceste programe distructive amintim urmtoarele:

viruii reprezint programe inserate n aplicaii care se multiplic singure n

alte programe din spaiul rezident de memorie sau de pe discuri. Apoi fie satureaz complet spaiul de memorie/disc i blocheaz sistemul, fie dup un numr fixat de multiplicri, devin activi si intr ntr-o faz distructiv;

bomba software - este o procedura sau parte de cod inclusa intr-o aplicaie

"normala", care este activata de un eveniment predefinit. Autorul bombei anun evenimentul, lsnd-o s "explodeze", adic s fac aciunile distructive programate;

viermii - au efecte similare cu cele ale bombelor i viruilor. Principala

diferen este aceea ca nu rezida la o locaie fix sau nu se duplic singuri. Se muta n permanent, ceea ce i face dificil de detectat. Cel mai renumit exemplu este Viermele internetului-ului, care a scos din funciune o parte din internet n noiembrie 1988;

trapele - reprezint accese speciale la sistem, care sunt rezervate n mod normal

pentru proceduri de ncrcare de la distan, ntreinere sau pentru dezvoltatorii unor aplicaii. Ele permit ns accesul la sistem, eludnd procedurile de identificare uzuale;

Calul Troian - este o aplicaie care are o funcie de utilizare foarte cunoscut i

care, ntr-un mod ascuns, ndeplinete i o alt funcie. Nu creeaz copii. De exemplu, un hacker poate nlocui codul unui program normal de control "login" prin alt cod, care face acelai lucru, dar, adiional, copiaz ntr-un fiier numele i parola pe care utilizatorul le tasteaz n procesul de autentificare. Ulterior, folosind acest fiier, hacker-ul va penetra foarte uor sistemul.

4.3.2. Hackerii Hackerii sunt pasionai ai informaticii, care, de obicei au ca scop spargerea anumitor coduri, baze de date, pagini web etc. Ei sunt considerai infractori, in majoritatea statelor lumii. Hackerii adevrai nu distrug, de obicei, pagini inofensive, cum ar fi paginile personale. intele obinuite ale atacurilor hackerilor sunt sistemele importante, care au protecii avansate si conin informaii strict secrete, cum ar fi bazele de date ale Pentagonului sau cele de la NASA. Odat obinute, aceste fiiere (informaii) sunt publicate pe tot Internetul, pentru a fi vizionate sau folosite de cat mai multe persoane. Orice hacker adevrat trebuie sa respecte un Cod de legi al hackerilor, care este bine stabilit, cunoscut si respectat.44

Hackeri amatori: Exista hackeri care atac inte aleatoare, oriunde si oricnd au ocazia. De exemplu, atacurile tot mai frecvente asupra Yahoo si Hotmail au blocat motoarele de cutare si conturile de mail respective pentru cteva zile, aducnd prejudicii de milioane de dolari. Aceste atacuri (care reprezint o nclcare destul de grava a Codul de legi al hackerilor) au de obicei in spate persoane care au fost curioi numai sa vad ce se ntmpla sau au dorit sa se distreze. Aceti atacatori virtuali nu sunt hackeri adevrai, pentru ca nu-si scriu singuri programele cu care ataca, procurndu-le de pe Internet sau din alte surse. Aceti hackeri amatori sunt singurii care ajung in fata justiiei. Motivul este simplu. Acei hackeri adevrai care i pot scrie singuri programele cu care ataca, sunt, de obicei destul de inteligeni pentru a face anumite sisteme care sa induc in eroare pe toi aceea care ar ncerca sa determine sursa atacului. Crackeri: Crackerii reprezint un stil anumit de hacker, care sunt specializai in spargerea programelor shareware, sau care necesita un anumit cod serial. Singurii care sunt prejudiciai de aceasta categorie de hackeri sunt cei care scriu si proiecteaz programele sparte. Sistemele de protecie ale aplicaiilor respective pot fi nfrnte prin doua metode: Introducerea codului, care poate fi gsit fie pe internet, fie cu ajutorul unui program special. A doua metoda este folosita pentru sistemele de protecie mai avansate, care necesita chei hardware (care se instaleaz pe porturile paralele ale computerului si trimit un semnal codat de cate ori le este cerut de ctre programul software), sunt patch-urile. Ele sunt programele care sunt fcute special pentru anumite aplicaii software, care odat lansate modifica codul executabil, inhibnd instruciunile care cer cheia hardware. Patch-urile si bibliotecile de coduri seriale se gsesc cel mai des pe Internet. Ele sunt fcute de anumite persoane (care sunt cteodat foti angajai ai firmelor care au scris software-ul respectiv) care vor doar sa aduc pagube firmei proiectante. Dei pare ciudat, cracking-ul este considerata piraterie computerizata, reprezentnd o infraciune serioas. Totui, foarte rar sunt depistai cei care plaseaz patch-uri si coduri seriale pe Internet. Hackerii adevrai i scriu singuri software-ul ce le e necesar. Multe dintre aceste programe, dup ce sunt testate, sunt publicate pe Internet. Bineneles, programele folosite pentru spargerea serverelor de la Pentagon sau pentru decodarea fiierelor codate pe 64 bii nu se vor gsi aa de uor pe internet, ele fiind inute secrete de realizatorii lor.

4.3.3. Mass E - Mail-eri45

Mass E - Mail-eri sau spameri sunt acei hackeri care transmit cantiti enorme de e-mail (sau alt fel de informaii), coninnd oferte nesolicitate, sau informaii aleatoare, transmise in scopul de a bloca anumite servere. Majoritatea site-urilor importante cum ar fi Yahoo, Amazon.com sau Hotmail au anumite sisteme de filtrare care ar trebui sa protejeze serverele respective de atacurile cu cantiti enorme de informaii. Aceste capcane sunt ns uor de evitat. In ultimul timp serverele precizate mai sus precum si multe altele au fost supuse la puternice atacuri cu informaii, la care nu puteau face fata. S-au trimis mesaje la o capacitate de aproape un MB/secunda, dei serverele respective suportau un trafic obinuit de pana la 1 - 1,5 GB sptmnal. Spamerii, prin atacurile lor prejudiciaz cu sute de milioane de dolari serverelor int. Tot odat sunt afectai si utilizatorii serverelor respective, traficul fiind complet blocat, trimiterea sau primirea mesajele sau utilizarea altor servicii asemntoare fiind imposibila. Cum se pot trimite cantiti att de mari de informaii, la o viteza uimitoare, fr ca hackerii respectivi sa fie localizai fizic. Este relativ simplu pentru ei: transmit mesajele de pe aproximativ 50 de adrese de mail, dup care deviaz informaia transmisa prin mai multe puncte din lume (diferite servere). Astfel, este foarte de greu sa fie detectai, echipele de specialiti de la FBI lucrnd sptmni (chiar luni) ntregi pentru a prinde infractorul virtual, de multe ori neajungnd la rezultate concrete. Singura problema (a hackerilor) care apare in cazul acestor devieri succesive ale informaiei este aceea ca unul din serverele prin care trece informaia in drumul ei ctre inta finala se poate bloca. Informaia nu va ajunge in ntregime la destinaie, puterea atacului scznd substanial. Astfel de cazuri se pot considera atacurile din ultimul timp, serverele afectate nefiind cele vizate de hackeri. 4.3.4. Protecii mpotriva hackerilor Acestea probleme sunt importante pentru foarte muli utilizatori de computere, care utilizeaz in mod regulat Internet-ul. Exista protecii mpotriva atacurilor hackerilor. Singura problema este aceea ca regulile si proteciile sunt fcute pentru a fi nclcate. Deci, orict de complexe si de sigure ar prea sistemele dumneavoastr de securitate, ele pot fi ocolite si sparte. Exista totui anumite metode care, deocamdat, ar putea ngreuna puin viaa hackerilor, mai ales a spammeri-lor (acesta fiind cel mai folosit in ultimul timp). Aceste ar trebui in primul rnd aplicate de providerii de Internet (ISP): Vor trebui eliminate toate fiierele necunoscute de pe servere (care ar uura atacurile hackerilor), astfel nct se va tine o stricta evidenta a lor. Eliminarea pachetelor care au alt header decat propria adresa de IP (pachete msluite). Ele pot fi folosite de unii utilizatori sub pretextul necesitrii anonimatului.46

Exista ns alte modalitii de ai pstra anonimatul, folosind sisteme de criptare si a unor servere specializate. Interzicerea comportamentelor specifice scanrii porturilor. Astfel se pot dezactiva programele care scaneaz zeci de mii de porturi din ntreaga lume, pentru a face o lista cu cele vulnerabile. Scanarea atenta a serverelor de sniffere, programele care rein informaiile importante care intra si ies dintr-un server (username-uri, parole, numere de cari de credit etc). Pe lng metodele de protecie prezentate mai sus exista si multe, multe altele, mai mult sau mai puin vulnerabile. Pn la aducerea securitii la un nivel acceptabil mai este mult de lucru.

47