ghid ro
Post on 16-Jul-2015
170 views
Embed Size (px)
TRANSCRIPT
Page 1 of 39
\
Page 2 of 39
Cuprins
1. Sistemele de operare Windows
1.1. Configurarea si administrarea retelelor locale
2. Sistemele de operare Linux
2.1. Instalarea sistemului de operare Debian
2.2. Configurarea elementelor de retea
3. Sistemele de operare Machintosh
3.1. Instalarea sistemului de operare Mac OS
3.2. Configurarea sistemului de operare Mac OS X
4. Retele de calculatoare
4.1. Proiectarea retelelor de calculatoare
4.2. Implementarea retelelor de calculatoare
4.3. Testarea retelelor de calculatoare
4.4. Intretinerea unei retele de calculatoare
5. Reguli de securitate si protectie a muncii
5.1. Drepturi
5.2. Restrictii
5.3. Permisiuni
6. Standarde de calitate in cadrul retelelor de calculatoare
Page 3 of 39
1.Sistemele de operare Windows
1.1 Configurarea si administrarea retelelor locale
Configurarea sistemului de operare Windows Server:
Trebuie s configurai host-urile, care execut Windows 2000 Server, Windows Server
2003, sau sistemul de operare Windows Server 2008 nainte de a putea utiliza host-urile cu
SAN Volume Controller.
nainte de a ncepe:
nainte de a configura sistemul de operare Windows gazd, trebuie s v asigurai c
urmtoarele sarcini au fost indeplinite:
Ai instalat corespunztor adaptorul host bus i driver de pe host.
Despre aceste sarcini:
Dup ce sarcinile prealabile au fost indeplinite urmtorii pai generali sunt necesari
pentru configurarea sistemului de operare Windows host:
Proceduri:
1. Stabileste host-ul sistemului SAN Volume Controller pe Fiber Channel SAN
2. Instaleaza driverul Multipathing potrivit pentru sistemul tau de host pentru a
permite gestionarea mai multor ci la San Volume Controller.
3. Creaza sistemul de host pe SAN Volume Controller folosind WWPNs
(Worldwide port names).
4. Creeaza volume /partitii pe host-ul tau, folosind instruciunile din publicaiile
sistemului host.
Administrarea retelelor locale
Un administrator LAN ofer sprijinul i gestionarea reelei locale ntr-o organizaie sau
companie non-profit. Gestionarea consta ntr-o serie de funcii care au de a face cu
ntreinerea reelei, supravegherea mbuntirea i upgrade-ul de reelei locale, sau LAN,
precum i implementarea i meninerea sistemelor de backup, care poate fi presetat n
serviciu, n cazul unei cderi de reea.
Ca parte din ntreinerea periodic, administratorul va monitoriza activitatea de zi cu zi
de pe reea, asigurndu-se c resursele companiei sunt folosite in moduri care sunt n
standardele stabilite pentru angajati. De multe ori, administratorul de reea va efectua teste
aleatorii de diferite programe i protocoale de pe reea, pentru a se asigura c toate
componentele de lucru sunt n limite rezonabile. Ca parte a ntreinerii n curs de desfurare a
reelei, el sau ea va urmri, de asemenea, statutul software-ului i acorduri de licen,
asigurndu-se c fiecare licen este rennoit la timpul potrivit.
Page 4 of 39
Un administrator de retea trebuie sa aiba grija sa upgrade-ze software-ul existent sau sa
instaleze un nou software. Upgrade-urile pot include instalarea de noi versiuni ale software-
ului existent, sau gestionarea remedierilor pe care productorul de software le poate elibera
periodic.Odat ce exist un grad rezonabil de certitudine c upgrade-ul va funciona bine n
reea, administratorul face modificrile necesare la servere i alte echipamente, precum i
modificarea de fiiere de pe desktop care acceseaz reeaua, dac este necesar.
O parte important a activitii unui administrator de reea LAN este de a crea i de a
gestiona un mijloc de redundanta pentru reea. Aceasta nseamn crearea unui plan sau o serie
de planuri care va permite companiei s continue s funcioneze cu puin timp n caz de eec
de reea, care necesit adesea crearea unui server de backup i aranjarea att pentru serverul
principal i pentru cel de rezerv o actualizare zilnica. Administratorul de reea va rula
diagnoza de pe serverul de backup mpreun cu un server de backup, administratorul testeaz
n mod regulat o surs secundar de energie care poate alimenta reeaua, dac este necesar.
Implementarea i meninerea unei reele redundante care pot prelua funciile n mai puin de
un minut asigur faptul c angajaii pot continua s lucreze cu o sum minim de ntrziere.
Page 5 of 39
2.Sistemele de operare Linux
2.1 Instalarea sistemului de operare Debian
Dup achiziionarea imaginii DVD aceasta trebuie scrispe un DVD Blank cu orice
program specializat. DVD-ul astfel realizat va fi bootabil, facilitnd instalarea uoar pe orice
sistem modern.
Pentru nceperea instalrii este necesars etarea ordinii de boot din cadrul BIOS-ului
sistemului, n cazul n care aceasta nu este deja activat. Pentru acest pas, se va apsa tasta F8
i se va selecta CD ROM-ul pe prima poziie.
Dup ce sistemul gsete DVD-ul bootabil, scris la pasul anterior, va ncrca un meniu
de nceput:
Pentru a continua procesul de instalare, putem alege ntre dou variante de set-up, n
mod text (Install), respectiv n mod grafic (Graphical install).
Vom prezenta modul de instalare n mod grafic; modul text este aproape similar, difer
n principal prin prezentare. Dup ncrcarea modului grafic, primul lucru ce trebuie fcut,
este selectarea limbii (recomandat este engleza, pentru pstrarea numelor), urmeaz apoi
selectarea regiunii.
Pentru selecia tastaturii, trebuie ales modelul de tastatur legat la sistemul pe care se
ncearc instalarea cel mai des utilizat ns, este modelul American English.
Dup aceste opiuni, programul de instalare va ncrca diversele module de care are
nevoie pentru a trece la pasul urmtor, unde vor fi cerute diverse informaii legate de sistem.
Din acestea, prima cerin este specificarea numelui sistemului curent folosit n special
pentru identificarea sistemului n cadrul unei reele.
Page 6 of 39
Pe lng selectarea unui hostname, ni se va cere,de asemenea, i introducerea numelui
domeniului din care computerul va face parte. Pentru instalare, am ales hostname-ul
computer1 i domeniul firma_mea.com.
n prealabil, s-a fcut configurarea automat a prii de reea, prin DHCP (dac acest
serviciu este existent n reeaua la care este conectat sistemul n momentul instalrii). Se
recomand de asemenea ca sistemul s fie legat la reeaua Internet n momentul instalrii,dac
acest lucru este posibil. n acest fel se va facilita managerului de instalare, obinerea celor mai
noi versiuni de pachete.
Procesul de instalare este automatizat n mare proporie, iar utilizatorul nu este contient
de mare parte din acesta; la pasul anterior au fost detectate i setate plcile de reea pentru a
putea beneficia de serviciul DHCP. Pe msur ce instalarea progreseaz, vor fi detectate i
alte device-uri asociate sistemului.
Pasul urmtor implic partiionarea hard-disk-ului pe care se va instala sistemul de
operare. Se recomand instalarea pe un hard-disk dedicat, dar este posibil i instalarea pe o
partiie logic a unui disc deja utilizat. Pentru nceptori, sau n cazul n care nu avem nevoie
de o configuraie de partiionare specific, se recomand modul guided, care va face toate
setrile automat sunt prezentate 5 opiuni n continuare.
Modul guided:
use the largest continuous free space
use entire disk
use entire disk and setup LVM
use entire disk and setup encrypted LVM
Modul manual ne permite configurarea prtiilor pentru cazuri specifice, i este
recomandat utilizatorilor avansai.
Implicit se recomand opiunea guided use entire disk, care va specifica faptul c
dorim s folosim un ntreg disc pentru instalare (cum este recomandat). Opiunile ce folosesc
LVM(sau Logical Volume Manager) ofer posibilitatea de a crea i administra partea de
stocare a server-ului ntr-un mod eficient, prin adugarea, tergearea i redimensionarea
partiiilor dup nevoi. Aceast opiune nu este recomandat dect userilor avansai.
Page 7 of 39
Mai sus avem un exemplu de partiionare automat, pe un disc de 8.6 GB. Sistemul are
nevoie implicit de 2 partiii separate: una principal i una pentru memoria virtual(swap). n
unele cazuri se recomand chiar o a treia partiie boot. Linux poate folosi mai multe tipuri
de sisteme de fiiere, din care putem aminti ext2 i ext3 (cu jurnalizare). Ca analogie, sistemul
de operare Windows folosete sisteme de fiiere precum FAT sau NTFS. Observm de
asemenea opiunea mount point care specific unde va fi montat partiia respectiv.
n cazul partiiei de swap (memorie virtual) se recomand ca aceasta s aib
dimensiunea n jur de dublul memoriei RAM disponibile (dac, de exemplu, sistemul are 1GB
de RAM, se recomandun swap de 2GB) n cazul calculatoarelor personale. Dac sistemul
vizat are rol de server, atunci recomandarea este ca swap-ul s fie ct mai mic posibil (pn la
jumtate din RAM), astfel nct s fie predominant utilizarea memoriei RAM (care este mult
mai rapid) se recomand de asemenea monitorizarea memoriei virtuale i creterea
capacitii memoriei RAM n cazul n care acest lucru este necesar.
De asemenea, n cazul serverelor care necesit performancrescut, este recomandat
pstrarea prtiei de swap pe un disc fizic separat de cel pe care este fcut instalarea motivul
este simplu: capetele disc-ului nu trebuie s se deplaseze la fel de mult fiind pe device-uri
separate, de unde reiese un timp de acces mai mic, deci performan crescut.
Apsnd butonul Continue vom fi ntrebai dac vrem ca modificrile fcute de noi s
fie salvate. ATENIE: aceste schimbri vor duce la pierderea oricror date aflate deja pe disc-
ul pe care se ncearc instalarea!
Page 8 of 39
n continuare, programul va ncepe procesul propriu-zis de instalare, prin copierea
fiierelor de baz ale sistemului.
Imaginea ilustrat mai sus constituie momentul n care ni se va cere parol pentru
utilizatorul root. n capitolele urmtoare, utilizatorul root are drepturi supreme n sistemul
nostru. De aceea, se recomand alegerea unei parole sigure. O parol bun va avea cel puin 8
litere, va conine att cifre ct i o combinaie de litere mari i mici. De asemenea, se
recomand ca parola aleas s nu fie bazat pe un cuvnt ce poate fi gsit n dicionare: un
exemplu de parol bun ar fi hKi291Lz pe cnd o parol precum netscape sau utopia
sunt exemple de parole slabe.
n continuare, programul de instalare ne va cere numele complet ct i numele de
utilizator principal pe care l va folosi administratorul sistemului pentru sarcini uzuale.
Practica comun n cadrul sistemului de operare Linux este ca administratorul s
foloseasccontul root exclusiv pentru sarcini de administrare, iar pentru celelalte s
foloseasc un user cu privilegii normale, pentru a crete gradul de securitate al sistemului
unele programe chiar atenioneaz utilizatorul c ruleaz sub contul root, i c acest mod de
lucru nu este recomandat.
Pasul urmtor implic configurarea Packet Manager-ului (apt Advanced Package
Tool), un utilitar specific distribuiei Debian, care nlesnete procesul de instalare a
pachetelor adiionale foarte mult. Mai nti este scanat mediul de pe care s-a fcut instalarea
n cazul de fa, primul DVD din setul distribuiei i apoi suntem ntrebai dacdeinem i
alte DVD-uri cu pachete suplimentare. Pentru aceast instalare vom selecta opiunea no,
adic nu, nu mai avem alte DVD-uri cu pachete suplimentare.
Page 9 of 39
n imaginea urmtoare, suntem ntrebai dac dorim s configurm Packet Manager-ul
astfel nct s foloseascun mirror pentru a spori numrul de pachete disponibile (ntruct
instalm de pe un singur DVD, deci selecia noastr este limitat), ct i pentru a actualiza
pachetele de care dispunem deja, la cele mai noi versiuni existente.
Suntem de asemenea avertizai c acest pas poate avea ca efect descrcarea de pe
Internet a unui volum mare de date. Pentru performan maxim, se recomand n general
alegerea unui mirror apropiat ca locaie geografic (preferabil n cadrul reelei
metropolitane, deoarece ansele unei conexiuni bune sunt mult mai mari). n exemplul curent,
am selectat yes -> Romnia -> ftp.ro.debian.org. n general, indiferent de locaie,
regul pentru stabilirea numelui mirror-ului este simpl: ftp..debian.org.
De asemenea, suntem ntrebai dac dorim s selectm un proxy (n cazul n care este
nevoie de unul), dar n general, acest pas poate fi srit. n cele ceurmeaz, Packet Managerul
se va configura, i i va ncepe activitatea acest proces poate dura o perioad de timp.
Dup terminarea procesului de configurare, urmeaz selectarea software-ului ce va fi
instalat pe sistemul nostru. n exemplul curent, vom instala att programele de baz, ct i
mediul vizual, urmnd ca n capitolele urmtoare s instalm i s configurm individual
software-ul de care avem nevoie. Selectarea pachetelor este destul de simpl, dup cum se
vede n imaginea de mai jos:
Page 10 of 39
n imaginea de mai jos avem ilustrat procesul de descrcare a datelor de pe internet.
Acest pas poate dura o perioad destul de lungde timp, depinznd de calitatea conexiunii.
ncrcarea sistemului de operare se face printr-un bootloader. Printre cele mai
cunoscute astfel de programe se afl i GRUB, de altfel inclus n instalare. Vom fi ntrebai
Page 11 of 39
dac dorim s instalm GRUB chiar n MBR (Master Boot Record) primul sector de 512
bytes al hard-disk-ului.
Avantajul principal al GRUB este acela c permite o multitudine de opiuni, de la multi-
boot, la selectarea unui numr destul de mare de parametrii, iar cazul n care avem instalate
mai multe sisteme de operare, regimul multi-boot poate fi foarte util nselectarea acestuia. De
regul, se face o selecie implicit(DEFAULT) care va fi ncrcat automat dup o perioad
de timp, dac nu se nregistreaz nici un fel de aciune din partea utilizatorului.
n cazul n care avem un singur sistem de operare instalat, ncrcarea loader-ului n
MBR este o soluie potrivit; chiar i n cazul n care alte sisteme de operare nu au fost
detectate, acestea se pot aduga mai trziu dar nu vor fi accesibile la bootare pn atunci.
De regul, dac mai exist alte sisteme de operare instalate, acestea vor fi detectate
automat, i vor fi adugate n fiierul de configurare GRUB.
Acesta este ultimul pas n cadrul instalrii distribuiei Debian, urmnd a fi atenionai c
urmeaz un reboot. Este recomandat de asemenea, s nlturm DVD-ul cu ajutorul cruia am
fcut instalarea, sau s schimbm ordinea dispozitivelor de pe care se va ncerca procesul de
bootare altfel, vom ajunge din nou n meniul de instalare, ceea ce nu ne dorim.
Page 12 of 39
2.2 Configurarea elementelor de retea
Pentru a permite accesul unui sistem Debian la internet sau alte medii de comunicare,
interfeele de reea trebuie s fie corect configurate. Orice sistem Debian poate avea mai multe
astfel de interfee, fiecare cu o adresde internet (adres IP) diferit. Urmnd diversele
standarde i tehnologii existente, sistemele Linux pun la dispoziia utilizatorilor o serie de
denumiri pentru aceste interfee:
Interfaa lo sau loopback device, este o interfa care simbolizeaz un pseudo-
dispozitiv, avnd mereu adresa 127.0.0.1, i reprezint sistemul n cauz. Putem spune despre
aceast interfa c reprezint adresa local a sistemului.
Interfeele ethernet eth0, eth1, etc- reprezint interfeele pentru dispozitivele de
reea ethernet
Interfeele wireless LAN wlan0, wlan1, wifi0, wifi1, etc- sunt interfee pentru
dispozitivele wireless
Alte interfee pentru medii token-ring (tr0, tr1) sau PPP (ppp0, pp1, )
Urmnd protocolul TCP, orice interfa conectat la o reea (fie local, fie extern cum
ar fi internet-ul) va avea o adres IP de 32 bii unic n acea reea. Urmnd protocolul mai nou
ipv6, pentru care versiunile mai noi de kernel au suport nativ, interfeele ce vor funciona
conform acestui protocol vor avea adrese de 128 de bii. Pentru mai multe detalii referitoare la
protocolul TCP, ct i conceptele de adres IP i subretele, consultai capitolul respectiv.
Configurarea elementelor de reea ntr-un sistem Linux se poate face n mod tradiional,
prin folosirea utilitarelor incluse n pachetul net-tools, mai exact prin programele ifconfig i
route.Utilitare mai noi exist, cu funcionalitate crescut precum programul ip din pachetul
iproute ns att acestea ct i cele mai vechi pot fi folosite cu succes.
Utilizarea comenzii ifconfig
Comanda ifconfig poate fi folosit att pentru afiarea informaiilor despre interfeele
de reea prezente, ct i pentru configurarea acestora. Rularea programului fr nici un fel de
parametru, va avea ca efect afiarea pe ecran, a unor informaii generale despre fiecare
interfa n parte:
Page 13 of 39
n exemplul de mai sus, putem identifica dou interfee existene: eth0(cu adresa ip
192.168.2.102 acest tip de adres ne spune i faptul c ne aflm n cadrul unei reele locale)
i lo. Rularea ifconfig cu primul parametru reprezentnd numele unei interfee, va afia
informaii exclusiv despre acea interfa, ignorndu-le pe restul ifconfig eth0. Dezactivarea
interfeelor n consol se poate face prin intermediul programului ifconfig:
ifconfig interfata [protocol] down
Rulnd comanda ifconfig eth0 inet down(sau pur i simplu ifconfig eth0 down),
utilizatorul va dezactiva interfaa eth0 sunt necesare drepturi de root pentru executare. n
cazul n care interfaa grafic ruleaz, aceastcomand s-ar putea s nu funcioneze corect,
deoarece imediat cum interfaa este dezactivat, programul de gestiune al conexiunilor de
reea o va reactiva automat. Parametrul [protocol]este opional i poate fi folosit pentru
dezactivarea selectiv, din moment ce o interfa poate rspunde pe mai multe protocoale;
dac am folosi inetdrept protocol, interfaa nu ar mai fi activ pe protocolul TCP/IP.
Activarea interfeelor n consol se face n mod similar:
ifconfig interfata [protocol]up (adresa_ip) netmask (masca) broadcast (adresa broadcast)
S presupunem c am dori s modificm adresa ip a interfeei eth0. n acest caz, ar
trebui s oprim interfaa folosind directiva down, iar apoi s reactivm interfaa conform
sintaxei de mai sus, cu noua adresip:
ifconfig eth0 up 192.168.2.100 netmask 255.255.255.0 broadcast 192.168.2.255
Page 14 of 39
Alternativ, se poate folosi comanda ip pentru operaiuni similare cu cele de mai
devreme:
ip addr del dev eth0 local (adresa_ip) pentru a dezactiva interfaa eth0 ip addr add
dev eth0 local (adresa/masca) broadcast (adresa_broadcast)
pentru a porni o interfa cu setrile menionate.
Pe lng folosirea utilitarelor de consol, mai putem folosi i utilitarele puse la
dispoziie prin interfaa vizual. Aplicaia responsabil de gestiunea elementelor reelei se
poate gsi n meniul System -> Administration -> Network unde utilizatorul va putea observa
o list cu toate interfeele de reea disponibile n sistem, pe care le poate configura dup
necesiti. n final, n cazul n care utilizatorul dorete, poate s facorice fel de schimbri
legate de reea, alternd coninutul fiierului /etc/network/interfaces(numai prin intermediul
contului de root, accesulfiind restricionat). Orice schimbare trebuie neaprat urmat de
repornirea serviciului de reea prin executarea comenzii /etc/init.d/networking restart.
Configurarea detaliat a interfeelor
Pentru a uura munca administratorilor, Debian ofer o alternativ de nivel nalt de
configurarea particularizat a interfeelor de reea, prin intermediul utilitarelor ifup i
ifdown. ntregul sistem se nvrte n jurul fiierului /etc/network/interfaces, n care sunt
descrise n amnunt toate interfeele active din sistem. Comenzile ifdown i ifup
dezactiveaz, respectiv activeaz interfaa pasat prin parametru. Modul normal de lucru
pentru modificarea setrilor interfeelor de reea urmeaz urmtorii pai:
1. ifdown interfata dezactiveaz interfaa dorit
2. editor_text /etc/network/interfaces modific coninutul fiierului interfaces dup
necesiti, folosind un editor text la alegere.
3. ifup interfata reactiveazinterfaa dorit
Pentru mai multe detalii legate de modul n care poate fi modificat fiierul
/etc/network/interfaces consultai man interfaces respectiv man ifup.
Interfee de reea virtuale
Linux este recunoscut pentru facilitile de comunicare n reele, datoritflexibilitii i
siguranei pe care le ofer. Un avantaj major al sistemelor Linux este capacitatea de a defini o
serie de interfee virtuale pe lng cele reale, existente n sistem. Din punctul de vedere al
kernel-ului, interfeele (precum eth0) nu sunt altceva dect nite obiecte prin care se face
asocierea cu un dizpotiv hardware responsabil cu trimiterea i primirea pachetelor.
Urmnd aceast arhitectur, se pot configura mai multe interfee virtuale asociate unui
singur dispozitiv hardware, astfel nct acesta s poat rspunde la mai multe adrese ip.
S presupunem c avem o interfa eth0 legat de o plac de reea normal, ce rspunde
la adresa ip 192.168.120.129. Presupunnd c dorim ca sistemul s fie apelabil i la adresa
192.168.3.100 fr a aduga o nouplac de reea, trebuie s definim o interfa virtual,
asociat celei deja existente. Aceasta va funciona ca o interfa adiional, total separat din
punct de vedere funcional n esen, ar fi ca i cnd sistemul ar mai avea nc o plac de
Page 15 of 39
reea. Numirea interfeelor virtuale se bazeaz pe legarea de dispozitivul hardware ntr-un fel
sau altul. Din moment ce interfeele reale ale sistemului (precum eth0) sunt legate direct, orice
interfa virtual legat la aceeai plac de reea va avea un nume de genul eth0:indice,
unde indice reprezint un identificator unic, numeric al interfeei virtuale.
Pentru a demonstra acest concept, vom aduga n continuare o nouinterfaa virtual
prin comanda:
ifconfig eth0:1 192.168.3.100 netmask 255.255.255.0
Aceast adugare, va avea ca efect i actualizarea tabelei de rutare a kernel-ului, astfel
nct aceasta s reflecte noua configuraie. Schimbarea este ns temporar, i va fi pierdut
odat cu repornirea sistemului. Pentru a face astfel de schimbri permanente ntr-un sistem
Debian, trebuie modificat fiierul /etc/network/interfaces, prin adugarea urmtoarelor linii:
auto eth0:1
iface eth0:1 inet static
address 192.168.3.100
netmask 255.255.255.0
Ca rezultat imediat, putem face un sistem s rspund la mai multe adrese ip
concomitent, folosind o singur interfa fizic.
Vizualizarea tabelei de rutare
Tabela de rutare n cadrul unui sistem Linux conine date ce permit kernel-ului s ia
decizii n legtur cu pachetele TCP pe care le primete. Prin rutarea unui pachet nelegem
manevrarea sa n scopul de a-l trimite mai departe n cadrul reelei. n cazul n care destinaia
unui pachet este un sistem din reeaua local, atunci procesul de rutare este unul direct. n caz
contrar, procesul se numete rutare indirect.
Pentru afiarea tabelei de rutare (sau pentru modificarea sa) se poate folosi comanda
route.
Page 16 of 39
Tabela prezentat mai sus poate fi interpretat n felul urmtor:
1.Toate sistemele ale cror adres ip ncepe cu 192.168.120.* vor fi rutate prin interfaa
eth0.
2.Cuvntul cheie default poate fi interpretat cu sensul de altfel i specific faptul c
sistemul cu adresa 192.168.120.2 va gestiona tot restul de trafic (mai puin ce s-a menionat
pn la acest punct, adic toate adresele posibile mai puin cele din reeaua 192.168.120.*)
Tabela este interpretat linie cu linie, ncepnd de sus i mergnd n jos. Dup tratarea
tuturor cazurilor, cuvntul default se va referi mereu la restul de adrese.
Denumirea sistemului
Kernel-ul sistemului introduce un concept numit numele de sistem sau hostname.
Distribuia Debian i seteaz hostname-ul prin intermediul unui script executat n cadrul
procesului de boot, numit /etc/init.d/hostname.sh.
Acesta va seta numele n sistem n funcie de coninutul fiierului /etc/hostname. E
important de tiut c numele de sistem nu este acelai lucru cu FQDN (Fully Qualified
Domain Name se poate afla prin executarea comenzii hostname f), ci mai degrab un nume
necalificat.
Rezolvarea numelor de internet
Numele de internet (precum www.yahoo.com) trebuie s fie convertite n adrese IP,
astfel nct s poatfi utilizate. Aceast conversie se face prin cadrul serverelor DNS (Domain
Name Server), ce conin liste prin intermediul crora se poate face asocierea ntre un nume de
internet i o adres ip.
n Linux, exist o serie de programe ce folosesc nume de sistem (hostname) n loc de
adrese ip, i ca atare, se ateapt ca acestea s poat fi rezolvate ntr-o adres ip. Un bun
exemplu este chiar suita GNOME care se folosete de alias-ul localhost pentru a se referi la
maina curent.
Din acest motiv (i multe altele), a fost conceput un sistem gradual de rezolvare al
adreselor ip din nume de sistem. Librriile folosite pentru traducerea numelor n adrese ip
stabilete o ordine clar a sistemelor pe care le va apela pentru a-i ndeplini sarcina. Aceast
ordine se poate stabili prin fiierul /etc/nsswitch.conf, care va determina ce servicii sunt
folosite pentru traducerea numelor.
Page 17 of 39
n acest scop linia cea mai semnificativ din fiserul nsswitch.conf va fi linia care ncepe
cu irul de caractere hosts:. Serviciile menionate n ordinea n care vor fi folosite i apar cu
apelative precum files, dns, mdns4, i altele, i sunt separate prin spaii. n mod implicit,
ordinea fireasc va fi files urmat de dns, nsemnnd c nainte ca librria de rezolvare a
numelor s ntrebe server-ul DNS configurat n sistem pentru aflarea unei adrese ip, aceasta
va consulta o list local de hostnames n principiu pentru a reduce traficul de reea, i
pentru a spori viteza aplicaiilor.
Aceast list local de nume de sistem poate fi modificat de utilizatori pentru marcarea
numelor comune de exemplu ntr-o reea local, unde utilizatorul va tii cu siguran c
staiile vor avea adrese ip fixe, acesta va putea s numeasc staiile astfel nct s fie mai uor
de accesat n vederea micorrii timpului de acces.
Fiierul ce conine lista de nume (referitn nsswitch.conf prin cuvntul cheie files) este
localizat n /etc/hosts:
127.0.0.1 localhost
127.0.1.1 staie.staie
Formatul acestui fiier este unul simplu: fiecare linie reprezinto asociere adres ip
nume separate prin spaiu de tabulare.
Cuvntul cheie dns din cadrul fiierului nsswitch.conf se referla serviciul DNS folosit
pentru a rezolva numele de sistem. Librria nsrcinat cu rezolvarea numelor (numit
resolver) va folosi coninutul fiierului /etc/resolv.conf pentru parametrii de configurare. Un
rol major al acestui fiier este listarea adreselor IP a tuturor serverelor de nume (DNS) ce vor
fi folosite pentru determinarea adreselor ip. Pentru mai multe informaii despre fiierul
resolv.conf, accesai comanda man resolv.conf.
Page 18 of 39
3.Sistemele de operare Machintosh
3.1 Instalarea sistemului de operare Mac OS
/*Nota: In acest ghid vom folosi Mac OS X Leopard*/
In urmatoarele pagini va vom indruma (prin pasi) in instalarea sistemului de operare
Mac OS X.
Cerinte de sistem
Cerintele de sistem necesare rularii acestui sistem de operare. Acestea sunt recomandate
de producator. Daca respectati cerintele dar intampinati probleme referitoare la acestea, va
rugam contactati producatorul
Procesor Intel
Un DVD/CD-Rom intern/extern
Cel putin 1GB RAM (se recomanda RAM aditional)
Un display incrporat sau und display extern conectat la o placa Apple, suportata de
calculatorul dummneavoastra
Cel putin 5GB de spatiu liber pe HDD/SSD, sau 7GB daca doriti si instalarea kit-ului de
developer
Atentie!: Pentru a evita pierderea de date, coruperea discului de instalare sau alte erori,
nu scoateti CD-ul de instalare e toata perioada instalarii.
Pasul 1: Introduceti discul de instalare Mac OS X in unitatea optica.
La pornirea calculatorului, installer-ul se va deschide automat.
Pasul 2: Urmariti instructiunile de pe ecran.
Selectati limba dorita si apoi apasati pe sageata de inaintare. Veti fi intampinati de imaginea
de bun venit.
Page 19 of 39
Acum, puteti afla mai multe informatii apasand pe More Information sau puteti continua
instalarea, folosind butornul Continiue.
Pasul 3: Selectati o destinatie
In acest panou, puteti selecta locul de instalare a Sistmului de Operare. In josul ecranului este
scris spatiul necesar instalarii si spatiul disponibil.
Pasul 4: Stabiliti parametrii de instalare a sistemului
Selectati butonul Options pentru a configura instalarea. In cazul in care nu ati mai
avut Mac OS X pe acest calculator, va aparea optiunea Install Mac OS X, in caz contrar va
aparea Upgrade Mac OS X.
Puteti selecta modul de instalare dintre uramtoarele:
Stergeti si Instalati (Erase and Install) Aceasta optiune sterge toate datele de pe
partitia selectata si instaleaza sistemul
Arhivati si Instalati (Archive and Install) Aceasta optiune arhiveaza toate datele de
pe partitia instalata. Arhiva este stocata intr-un folder numit Previous Sistem
(Sistemul Anterior) dupa care restul datelor de pe partitie vor fi sterse.
Page 20 of 39
Atentie!: Stergerea este definitiva! In cazul in care aveti ceva inportant pe partitie, este
recomandata inchiderea installer-ului (nu scoaterea discului) si salvarea datelor pe alta
partitie/mediu de stocare.
Pasul 5: Instalarea pachetelor software aditionale.
Instalarea implicita include toate utilitatile necesare rularii sistemului de operare Mac
OS X. Totusi, Mac OS X Install Disc contine si utilitati aditionale (drivere pentru imprimanta,
fonturi, teme si pachete de limba). Daca doriti instalarea acestora, apasati butonul
Customize din panoul Install Summary screen.Va aparea o noua fereastra Custom
Install. Apasati pe sageti pentru a visualiza anumite componente. Selectati software-
ul/software-urile dorit/dorite si apasati Done.
/*Nota: Puteti folosi acest disc pentru a instala aceste componente si mai tarziu.*/
Cand sunteti pregatiti pentru a instala Mac OS X si software-ul selectat, apasati Install
din panoul Install Summary screen. Acum nu trebuie decat sa asteptati. Installer-ul este
automat si veti fii instiintat la terminarea acestuia.
Page 21 of 39
3.2 Configurarea sistemului de operare Mac OS X
Dupa instalare, calculatorul se va restarta automat. La portnire, ajutorul de instalare va
aparea pentru a va indruma in configurarea corecta a noului sistem, incluzand crearea unui
Cont de Utilizator, crearea unui Apple ID si a unui cont .Mac, configurarea conexiunii la
internet si inregistrare sistemului de operarare Mac OS X.
Intrebari Frecvente:
Cum parasesc instalarea Mac OS X?
Alegeti Mac OS X Installer > Quit Mac OS X Installer
Cum folosesc tastatura in timpul instalarii?
Folositi tasta TAB pentru a naviga intre butoane
Apasati pe tasta Sageata Jos pentru a deschide meniurile
Folositi tasta Space pentru a selecta obiectele dorite
Instalarea nu vrea sa porneasca
Daca instalarea nu vrea sa porneasa, restartati compterul apasand tasta C pentru a
porni calculatorul folosind discul de instalare;
Daca instalarea continua sa nu porneasca, restartati computerul apasand butonul
mouse-ului sau al trackpad-ului pentru a scoate discul. Dupa ce calculatorul porneste,
introduceti din nou discul de instalare. Folositi Startup Disk preferences pentru a selecta
discul de instalare ca fiind discul de pornire, apoi restartati computerul.
Instalarea nu poate pregati HDD-ul dumneavoastra
Daca primiti un mesaj The installer cant repair your disk trebuie sa faceti o copie
de rezerva a datelor, apoi sa instalati folosind optiunea Erase and Install.
Instalarea nu poate gasi Hard Disk-ul dumneavoastra
Reinstalati driverele dispuse de compania care a creat hard diskul;
Asigurati-va ca driverele suporta Mac OS X .
Instalarea nu avut succes
Deconectati orice dispozitiv de care nu aveti nevoie in timpul instalarii;
Page 22 of 39
Porniti instalarea Mac OS X, selectati limba dorita si apasati pe sageata inainte. Din
meniul Utilities accesati Disk Utility. Alegeti partitia pe care vreti sa instalati si apasati
pe Repair Disk;
Dupa aceea parasiti Disk Utility si continuati instalarea.
Daca inca nu reusiti, instalati folosind optiunea Erase and Install
Instalarea a fost intrerupta si nu mai puteti porni calculatorul
Restartati computerul apasand butnul mouse-ului sau al trackpad-ului pentru a scoate
discul de instalare;
Daca computerul nu porneste folosind sistemul de operare care il foloseati inainte,
restartati apasad tasta Option pentru a selecta un disc de pornire;
Daca compterul nu porneste nici asa, inserati discul de instalare Mac OS X si apasati
tasta C in timp ce restartati. Deschideti meniul Startup Disk preferences si selectati un disc
de pornire.
Page 23 of 39
4.Retele de calculatoare
4.1 Proiectarea retelelor de calculatoare
Reeaua de calculatoare reprezinta un grup de dou sau mai multe calculatoare
conectate, astfel incat sa permita comunicarea si transferul de date intre ele.
Calculatoarele dintr-o reea sunt numite noduri.
n funcie de aria de ntindere, reelele se pot clasifica n:
Local Area Network (LAN) reea local, n care calculatoarele sunt localizate
foarte aproape unele de altele, n aceeai unitate sau cldire;
Metropolitan Area Network (MAN) reea metropolitan, se ntinde pe teritoriul
unui ora sau al unui spaiu aglomerat;
Wide Area Network (WAN) reea de larg acoperire: sunt conectate calculatoare
aflate la mare distan (chiar n alt ar);
Global Area Network (GAN) reea global, cuprinde toat lumea; cea mai mare i
renumit reea global este Internetul
Dup arhitectura reelei, acestea pot fi:
reele PTP (peer to peer) toate staiile au capaciti si responsabiliti echivalente
(fiecare calculator are acces la resursele, programele, bazele de date aflate pe celelalte
calculatoare);
reele client/server fiecare calculator este fie client, fie server; server-ul
coordoneaz activitatea n reea i accesul clienilor la resursele reelei.
Din punct de vedere al dotrii hardware al fiecrui nod din reea, acesta poate fi:
terminal inteligent deine capacitate proprie de procesare i poate prelua o parte
din instruciunile de procesare de la server;
terminal neinteligent nu deine capacitate proprie de procesare i funcioneaz ca
un mod de accesare la computerul principal sau la alt echipament.
Dup topologie (aranjarea geometric a nodurilor reelei) reelele pot fi:
magistral (bus) calculatoarele sunt aezate analog cu locurile dintr-un autobuz;
stea (star) calculatoarele sunt aezate sub form de stea;
inel (ring) calculatoarele sunt aezate n cerc.
Page 24 of 39
Este bine de amintit ca diferitele topologii se pot configura impreuna, obtinandu-se
retele de o mare complexitate.
4.2 Implementarea retelelor de calculatoare
1. Design-ul reelei fizice.
Local Area Network design
Proiectarea LAN const n selectarea dispozitivelor corespunztoare, cum ar fi hub-uri,
poduri, ntreruperi i routerele. Criterii pentru selectarea dispozitivelor LAN includ
urmtoarele:
Numrul de porturi necesare la diferite niveluri
Viteza (10Mbps/100Mbps/1Gbps sau altele)
Considerente mass-media, cum ar fi Ethernet, Token Ring etc
Suport pentru protocoale de reea diferite, cum ar fi TCP, VOIP, etc
Uor de configurat, i de ntreinut
Management (SNMP, etc)
Disponibilitate
Documentaie
Magistrala PTP
Stea
Inel
Page 25 of 39
Wide Area Network design
Diverse tehnologii WAN sunt disponibile pentru conectarea resurselor ntreprinderii.
Cteva tehnologii importante sunt prezentate mai jos:
Leased lines
Synchronous Optical Network (SONET)
Frame Relay
Asynchronous Transfer Mode (ATM)
Tehnologia pe care se potriveste cu cerintele unei intreprinderi depinde de limea
benzii i cerinele QoS, cerinele de securitate, precum i cerinele de aplicare.
2. Cerinele de acces de la distan:
Companiile sunt n cretere spre a deveni mubile. Acest lucru ofera capacitatea de acces
de la distan pentru directori, clieni i furnizori. Dispozitivele sunt alese innd seama de
cerinele de acces de la distan ale companiei. Mai multe tehnologii pot fi folosite pentru
accesul de la distan, inclusiv PPP, Multilink PPP, ISDN sau modem de cablu. O atenie
deosebit trebuie acordat fie software-ului sau autentificarea suportului dispozitivelor WAN
i autorizarea metodelor care urmeaz s fie adoptate de ctre Societate.
3. Testarea:
Elaborarea unor metode de testare adecvate pentru verificarea unui campus sau a reelei
companiei. Metodele de testare trebuie s includ conectivitatea, accesibilitatea,
disponibilitatea, i load testings.
4.3 Testarea retelelor de calculatoare
Testarea unei retele in Linux
Putei testa cu uurin reeaua Linux/UNIX folosind comenziile standard dd si scp.
Folosii dd pentru a crea un fiier mare.
Folosii scp pentru a copia fiiere de la un sistem la altul sistem. Scp copiaz fiiere
ntre hosturi ntr-o reea.
Pasul # 1: Creai un fiier mare
Utilizai comanda dd, dup cum urmeaz pentru a crea un fiier de dimensiuni mari (de
exemplu, 1024M x 2count = 2GB):
$ Dd if = / dev / zero = / tmp / big.file bs = 1024M count = 50
Pasul # 2: Utilizai scp pentru a transfera fiiere.
Acum, copiai un fiier de gazd de la distan folosind scp:
$ Scp / tmp / big.file [email protected] :/ tmp
Orice eroare sau accident indic o problem.
Page 26 of 39
Testarea unei reele in Mac
Pentru a iniia un test ping n Mac OS X:
1. Deschide Terminalul navignd la /Applications/Utilities.
2. n fereastra terminalului scrie ping , unde este hostnameul sau
adresa IP a serverului la care vrei sa dai ping. Comanda ar trebui s arate astfel:
ping www.vmware.com
sau
ping 192.168.x.x
3. Apas Enter.
Un rspuns ping efectuat cu succes ar trebui sa arate astfel:
[[email protected]]$ ping myservername
PING myservername (10.0.0.1) 56(84) bytes of data.
64 bytes from myservername (10.0.0.1): icmp_seq=0 ttl=64 time=0.025 ms
64 bytes from myservername (10.0.0.1): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from myservername (10.0.0.1): icmp_seq=2 ttl=64 time=0.032 ms
64 bytes from myservername (10.0.0.1): icmp_seq=3 ttl=64 time=0.028 ms
--- server ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3092ms
rtt min/avg/max/mdev = 0.025/0.028/0.032/0.005 ms, pipe 2
Rspunsul are cateva elemente notabile:
Linii repetitive artnd ca bytii au fost trimii, i timpul transferului(in milsecunde).
Statistica faptului c pachetele au fost primite cu pierdere minima sau fr pierderi.
Un rspuns ping efectuat fr succes ar trebui sa arate astfel:
[[email protected]]$ ping myservername
PING myservername (10.0.0.1) 56(84) bytes of data.
--- server ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3017ms
Rspunsul frr succes este determinat de urmatoarele:
Nici un raspuns de la server dupa trimiterea comandei.
Statistica faptului c nici un pachet nu a fost trmis sau primit, cu pierdere complet de
pachete.
4. Pentru a oprii pingul, dup vederea unui numr suficient de rezultate, apas Ctrl+C.
Page 27 of 39
Testarea unei reele n Windows
Cea mai uoar metod de a verifica conectivitatea ntr-o reea este folosind ping.
5. Pornete terminalul si introdu comanda
ping , unde este hostnameul sau adresa IP a serverului la care vrei sa
dai ping.
Comanda ar trebui s arate astfel:
ping 192.168.x.x sau ping www.website.com
6. Apas Enter
Rspunsul are cateva elemente notabile:
Linii repetitive artnd ca bytii au fost trimii, i timpul transferului(in milsecunde).
Statistica faptului c pachetele au fost primite cu pierdere minima sau fr pierderi.
Page 28 of 39
4.4 Intretinerea unei retele de calculatoare
Intretinerea unui server
ntreinerea unui server este procesul prin care se asigur updatarea si funcionarea
serverului astfel incat reeaua de calculatoare s funcioneze bine. ntreinerea serverului este
datoria administatorului de reea si este vital pentru performana reelei.
Lista de verificare a operaiilor zilnice:
Efectuarea de controale fizice ale mediului
Verific daca condiiile de mediu sunt urmrite i meninute
Verific temperatura si umiditatea pentru a se asigura c sistemele de mediu,
cum ar fi nclzirea i setrile de aer condiionat sunt n condiii acceptabile, i c ele
funcioneaz n specificaiile productorului de hardware.
Asigurai-v c reeaua fizic i hardware-le anexe, cum ar fi routere, switch-
uri, hub-uri, cabluri fizice, i conectori sunt operaionale.
Verific backup-ul
Asigurai-v c strategia minima recomandata de backup zilnic online este
complet.
Verific dac operaia de backup anterior este complet.
Analizeaz i rspunde erorilor si avertizrilor n timpul operaiei de backup.
Urmreste procedurile stabilite de stocare.
Verific folosirea diskului
Urmai lista de verificare i nregistreaz litera de unitate, desemnarea i
spaiul disponibil pe disc.
Creai o list cu toate unitile i le eticheteze n trei categorii: uniti cu
jurnalele de tranzacie, uniti cu cozile, i alte uniti.
Verificai discurile cu fiierele jurnal de tranzacii.
Verificai discurile cu cozi SMTP.
Verificai alte discuri.
Utilizai monitoare server pentru a verifica spaiu liber pe disc.
Verificai performana pe discuri.
Litera
unitaii
Desemnarea (uniti cu jurnalele de
tranzacie, uniti cu cozile, i alte uniti)
Spaiu liber
MB
Spaiu
liber %
Page 29 of 39
Jurnalele evenimentelor
Verific jurnalele apicaiilor i a sistemului asupra serverului pentru a vedea
toate erorile.
Verific jurnalele apicaiilor i a sistemului asupra serverului Exchange pentru
a vedea toate erorile.
Notez avertismentele si erorile repetitive.
Rspunde eecurilor si avertismentelor descoperite.
Lista de verificare de ntreinere sptmnal:
Creaz rapoarte
Utilizai date de zi cu zi din jurnalul de evenimente i System Monitor pentru a
crea rapoarte.
Raportul privind utilizarea discului.
Creaz rapoarte cu privire la memorie i utilizarea procesorului.
Generez rapoarte privind uptime-ul i disponibilitatea.
Rapoarte de incidente
Listeaz incidentele generate, resolvate si in curs.
Creaz soluii pentru incidente nerezolvate.
Crearea unui document de depozitar pentru ghiduri de troubleshooting i post-
mortem despre ntreruperi.
Antivirus Defense
Efectuai o scanare antivirus pe fiecare computer.
Verificai actualizrile anti-virusului periodic.
Page 30 of 39
5.Reguli de securitate si protectie a muncii
Linux:
Vom prezenta metodele de securitate mai avansate, disponibilie utilizand clientul Apache:
Mai intai, vom verifica daca subdirectoarele apache sunt detinute de root, si au un mod de
755.
[[email protected] xinetd.d]$ ls -l /etc/apache
drwxr-xr-x 7 root root 4096 Aug 23 10:24 conf
drwxr-xr-x 2 root root 4096 Aug 27 08:44 logs
(instalarea Apache poate fi localizata in directorul cu calea /usr/local/apache sau in alta parte
daca instalarea s-a facut manual)
[[email protected] xinetd.d]$ ls l /usr/sbin/*http*
-rwxr-xr-x 1 root root 259488 Aug 2 05:22 /usr/sbin/httpd
-rwxr-xr-x 1 root root 270248 Aug 2 05:22
/usr/sbin/httpd.worker
Folosind aceeasi modalitate, httpd binary trebuie detinut de root cu un mod de 511. Se poate
crea un subdirector in afara arborelui de fisiere normal Apache ca si DocumentRoot. Acesta
poate fi modificat de alti utilizatori, din moment ce root nu poate executa sau crea fisiere
acolo.
Includerile Server Side (ISS) produc riscuri aditionale, deoarece fisierele cu ISS activat pot
rula scripturi si programe CGI folosind permisiunile utilizatorilor sau grupurilor. Pentru a
dezactiva abilitatea de a rula scripturi si programe de pe pagini ISS, inlocuiti Include cu
IncludeNOEXEC in directorul cu optiuni. Utilizatorii pot inca folosi comanda
pentru a executa scripturi CGI daca acestea sunt in directoare
desemnate de directive ScriptAlias.
ScriptAliased CGI sunt recomandate non-ScriptAliased CGI. Limitarea CGI asupra unor
directoare speciale da administratorului control asupra caror scripturi pot fi rulate.
Setari de system:
Pentru a preveni utilizatorii sa creeze fisiere .htacces care pot suprascrie optiunile de
securitate, schimbati fisierul de configurare a serverului astfel incat sa contina liniile :
AllowOverride None
Page 31 of 39
Pentru a preveni utilizatorii sa aceseze intreg filesystem-ul, incepand cu root, adaugati
urmatoarele linii in fisierul de configurare a serverului :
Order Deny,Allow
Deny from all
Pentru a garanta acces la directoare individuale, adaugati liniile :
Order Deny,Allow
Allow from all
Order Deny,Allow
Allow from all
Daca folositi Apache versiunea 1.3 sau mai mare, apache va recomanda sa adaugati
urmatoarea linie in fisierul de configurare a serverului :
UserDir disabled root
Modulul mod_security ruleaza pe majoritatea versiunilor de Apache, insa va fi probabil sa
descarcati codul sursa de pe www.modsecurity.org si sa il complati folosind apxs sau apsx2.
Mod_security permite imbunatatirea securitatii web serverului Apache asigurand setari de
configurare aditionale in fisierul httpd.conf. Aceste setari va permit sa filtrati/inspectati tot
traficul sau doar traficul sau doar traficul non-static (DynamicOnly). Mai multe informatii
puteti gasi pe www.modsecurity.org.
Ciclului de via al unui calculator i se pot aplica modele de securitate, care s prevad operaii sigure i corecte. Ameninrile la care sunt expuse calculatoarele pe durata ciclului de via sunt:
- instalarea iniial: lipsa proteciei antivirus, configurri incorecte, parole slabe pentru conturile de administrare
- configurrile iniiale de securitate: folosind machete neverificate, machete implicite (ex. machetele implicite de tipul Secutity Templates)
- configurrile suplimentare, n funcie de rolul ndeplinit de calculatoare: ar putea fi incorecte, insuficiente, incomplet testate
- aplicarea actualizrilor de securitate pentru sistemele de operare i aplicaii: fr testri serioase
Page 32 of 39
- ncheierea activitii: atenie la echipamentele care pstreaz informaii, la hard discurile rmase i care pot fi refolosite cu rea intenie.
Schi de securitate pentru conturile utilizatorilor Conturile sunt folosite cu scopul de asigura accesul utilizatorilor la resursele reelei. Numai utilizatorii cunoscui i a cror identitate poate fi verificat vor avea acces la resursele reelei. Fiecrui utilizator i corespunde un cont utilizator i o parol. Dac un intrus atacator obine acces la un cont privilegiat atunci va obine acces autorizat la resursele reelei. Conturilor utilizatorilor le sunt asociate aciunile pe care ei le pot ntreprinde: utilizatori diferii au nevoie de reguli de securitate diferite:
- Utilizatori externi utilizatori anonimi care au acces la serviciile Web cu aspect public, utilizatori Web autentificai, care au acces la site-urile Web protejate, utilizatori parteneri
- Utilizatori interni angajai i conducere (personalul organizaiei), de cele mai multe ori utilizatori neprivilegiai
- Administratori utilizatori cu privilegii administrative, conturi folosite de servicii, aplicaii, componente sistem, administratori ai datelor, administratori ai serviciilor
Conturile utilizatorilor dobndesc privilegii din urmtoarele surse: - Drepturi user rights - Permisiuni la resurse (ACL, DACL) - Aria de vizibilitate - conturi locale, conturi n domeniu - Apartenena la grupuri
Privite astfel vulnerabilitile principale ale conturilor sunt: - Parolele prea slabe, identice pentru mai multe conturi, nemodificate la timp, pstrate
local, scrise pe hrtie i uitate - Privilegii prea mari i prea multe pentru utilizatori n raport cu sarcinile i aciunile
lor
- Folosirea conturilor contul Administrator folosit atunci cnd nu este nevoie, conturi active chiar dac nu mai sunt folosite
Schia de securitate pentru conturi, inclusiv cele din domeniu, se va construi pornind de la premiza c fiecrui cont i sunt asociate numai acele privilegii care i sunt strict necesare. n acelai timp, fiecare cont va fi folosit numai n scopul pentru care a fost creat.
Windows :
Securitatea reelelor este guvernat de trei principii fundamentale:
I. Aprarea n profunzime Aprarea n profunzime este definit drept o combinaie de operaii, persoane (execut operaiile) i tehnologii legate de securitate reelei. Aprarea n profunzime presupune existena mai multor niveluri de aprare, de protecie. Un singur nivel de protecie este de cele mai multe ori insuficient. n eventualitatea existenei mai multor straturi sau niveluri de protecie, dac unul dintre ele este spart, atunci cele rmase vor putea oferi pe mai departe protecia necesar.
II. Privilegiul minim
Privilegiul minim este acordarea unui minim de privilegii pentru fiecare utilizator al
resurselor reelei. Privilegiile maxime induc vulnerabiliti, poteniale bree de securitate care pot fi fructificate.
Page 33 of 39
III. Minimizarea suprafeei de atac
Ameninri Ameninarea este pericolul sau vulnerabilitatea care se poate materializa la un moment dat. Ameninrile vin din direcii diferite: de la un atacator care tie foarte bine ce vrea s obin, de la aplicaii prost sau insuficient configurate, de la utilizatori care i depesc ndatoririle. Ameninrile se materializeaz uneori n atacuri.
Atacurile au motivaii din cele mai diverse: rzbunare, spionaj, publicitate, satisfacie personal (inclusiv hobby), terorism.
Cele mai multe ameninri, respectiv atacuri, survin pe fondul unor vulnerabiliti comune, obinuite:
- parole slabe cnd nu se folosesc deloc parole, parolele folosite sunt cele implicite sau unele predictibile;
- software neupgradat nu s-au aplicat corecii de securitate (patchuri) pentru vulnerabiliti cunoscute;
- hardware i software incorect configurat utilizatorii au prea multe privilegii, aplicaiile ruleaz folosind un cont sistem;
- inginerii sociale dintre ingineriile sociale cea mai simpl este resetarea parolei de administrare sau a altei parole, ca urmare a unei cereri venite prin telefon de la o
persoana creia nu i se verific identitatea; - securitate slab la conexiunile la Internet porturile nefolosite nu sunt securizate,
router, switch, firewall sunt folosite impropriu.
- transfer necriptat de date pachetele ce compun operaiile de autentificare circul n clar n reea sau date importante sunt transmise necriptat prin Internet.
De cele mai multe ori atacurile se desfoar respectnd acelai model: 1. amprentarea n acest stadiu atacatorul studiaz reeaua. Va obine toate informaiile public disponibile, despre organizaie, conducere, angajai, va scana porturile pe toate calculatoarele la care poate ajunge, va accesa toate resursele disponibile prin Internet.
2. penetrarea Dup identificarea i localizarea vulnerabilitilor urmeaz ncercarea, testarea accesului la reea i la resursele din reea. Cel mai expus loc: serverul de web. 3. evaluarea privilegiilor dup penetrarea reelei are loc evaluarea privilegiilor: atacatorul ncearc s obin privilegii de administrare sau de nivel component a sistemului. Eventual ncearc folosirea unui cont sistem pentru crearea unui cont nou de utilizator cu privilegii de administrare. De multe ori configurarea implicit i las atacatorului suficient libertate pentru a obine acces n reea fr prea mult efort. 4. exploatarea dup obinerea privilegiilor necesare, atacatorul exploateaz situaia 5. tergerea urmelor n final atacatorul va ncerca s-i tearg urmele spre a nu-i fi detectate aciunile. Vor fi terse conturile create i intrrile relevante din jurnale.
Schi de securitate pentru autentificarea utilizatorilor Autentificarea valideaz corectitudinea informaiilor de acreditare (credentials) pe care le posed un utilizator. Pentru reelele Microsoft Windows, metodele de autentificare difer n funcie de locul i modul n care un cont acceseaz reeaua. Proiectul de securitate referitor la autentificare va trata toate tipurile de autentificri folosite n reea, inclusiv aplicaiile care folosesc propriile protocoale de autentificare. Autentificrile sunt diferite n funcie de modul n care utilizatorul se conecteaz la reeaua local LAN: direct, de la distan (remote), sau prin Internet.
Vulnerabilitile cele mai cunoscute sunt: - parole transmise n clar (necriptat)
Page 34 of 39
- parole interceptate de programele cal troian - software mai vechi care folosete metode slabe de autentificare - criptri slabe - interceptarea pachetelor de autentificare
Cerinele de autentificare vor fi determinate pornind de la: 1) identificarea cerinelor de autentificare n funcie de sistemul de operare folosit (Windows 95, Windows 98, Windows XP, 2000, Windows Vista, Windows 7, etc.)
2) identificarea cerinelor de compatibilitate ale aplicaiilor 3) strategia impus pentru autentificare Protocoalele folosite de sistemele de operare Microsoft Windows pentru
autentificare sunt: LAN Manager Folosit de sisteme de operare mai vechi; Nesigur;
Folosete challenge and response; NTLM Folosit de sistemul de operare Windows NT 4.0; Folosit de sistemele de operare Windows 2000 si urmtoarele pentru conturile locale; Folosete challenge and response; NTLM v.2 Apare la Windows 95 i urmtoarele; Este un NTLM mai sigur, prin adugarea securitii la nivel de sesiune i a criptrii; Autentific mutual clientul i serverul; Kerberos Folosit pentru conturile din domeniu, ncepnd cu Windows 2000: Autentific mutual clientul i serverul; Accept smart card; Soluie Microsoft pentru securitatea reelelor
EFS - Encrypting File System
Encrypting File System este soluia pentru pstrarea sigur a datelor pe hard discuri formatate NTFS. EFS permite utilizatorilor s-i cripteze propriile fiiere. Criptarea i decriptatea fiierelor se face prin folosirea unui certificat special destinat acestui scop.
Fiecare model de router are o interfa de administrare, care de obicei poate fi accesat ntr-un
browser, navignd la o adres de tipul 192.168.N.N sau 10.0.N.N. Excepie fac routerele de la
Apple (Airport Extreme i Express) pentru configurarea crora se folosete aplicaia Airport
Utility din Mac OS X. Consultai documentaia routerului pentru a afla adresa precum i
datele de acces (username/parol).
n cazul routerului din exemplul nostru, adresa interfeei de administrare este 192.168.1.1.
Deschidem browser-ul, in bara de navigare tastam 192.168.1.1 si apasam Enter. Va aprea o
fereastra de dialog unde trebuie sa trecem user name (nume utilizator) si password (parola). n
cazul nostru ele sunt user name: admin si password: admin. Apasam Enter.
Securitate cross-platform
Pentru c reeaua lui Steve are un amestec de hardware vechi 802.11b i 802.11g nou, el ar
trebui s utilizeze WPA (Wi-Fi Protected Access), pentru a o proteja. Un dispozitiv 802.11b
poate fi modernizat pentru a funciona cu WPA, iar un dispozitiv mai vechi va lucra mult mai
lent i ar putea afecta performana general a reelei.
Page 35 of 39
Cel mai bun mod de a asigura o reea cu un amestec de Mac-uri i PC-uri Windows este de a permite WPA/WPA2 Personal de pe staia-baz AirPort.
WPA Personal este deosebit de util ntr-o reea mixt-platforma, deoarece Windows (XP sau Vista), Mac OS X 10.3.8 i mai trziu, iPhone, i alte platforme pot apoi folosi toate aceeasi parola pentru a accesa reeaua. Aproape toate adaptoarele Wi-Fi fabricate mai tarziu 1999 au WPA Personal construit n sau pot fi modernizate pentru a-l utiliza.
Dac cineva vrea s modernizeze securitatea reelei sale, el ar putea sa se asigure c tot
echipamentul su n reea este compatibil cu protocolul WPA2 Personal (care, printre altele,
utilizeaz criptare mai puternic dect WPA Personal). AirPort Extreme hardware realizat din
2003 sprijin WPA2 Personal.Dar de cele mai multe ori in reelele de domiciliu, simplu WPA
veche va fi bine.
Pentru a activa WPA sau WPA2 Personal, cineva ar trebui s deschid AirPort Utility,
selectai staia de baz, duceti-va la panoul wireless, selectai WPA/WPA2 Personal din
meniul de securitate wireless drop-down, apoi introducei i verificai parola.
Pentru un nivel mai inalt de securitate a unei retele Macintosh se sugereaza :
Utilizarea parolelor cat mai complexe, sau criptate.
Instalarea unui software anti-virus.
Evitarea utilizarii softurilor sau fisierelor necunoscute, cand antivirusul este inactiv, dar si
cand acesta este activ.
Updatarea la zi a tuturor softurilor.
Probleme in materie de securitate pot aparea si din partea utilizatorului, pentru asta este
recomandat ca personalul sa fie intstruit corect pentru a utiliza calculatorul intr-un mod
adecvat. Preventiv se pot instala softuri ce interzic accesul la anumite locatii sau resurse din
cadrul calculatorului sau a internetului.
Page 36 of 39
Aditional, recomandat este de a utiliza mereu software licentiat pentru a avea acces mai usor
la metode de combatere a problemelor ce pot aparea.
6. Standarde de calitate in cadrul retelelor de
calculatoare
Aspecte ale calitii n reele
n prezent se vorbete tot mai mult de convergen, termen aplicat reelelor care
integreaz transportul de date cu cel de fluxuri vocale i video prin aceeai infrastructur.
Aceasta caracteristic aduce suplee i evolutivitate reelelor. Aplicaii precum telefonia prin
Internet, video-conferina, nvmntul la distan vor putea profita de convergen,
accelerndu-i penetrarea.
Pentru ca toate aceste aplicaii s poat fi ntrebuinate, furnizorii trebuie s asigure un
anumit nivel de calitate a serviciilor (Quality of Service - QoS) oferite de reea aplicaiilor.
Calitatea serviciilor este acel aspect al calitii n reelele de calculatoare care se refer la
relaia ce exist ntre proprietile reelei i ateptrile asupra acestora n termeni de parametri
de performan: debitul, pierderea de pachere i ntrzierea.
Cellalt aspect al calitii privete adecvarea ntre proprieti i ateptri la un nivel mai
nalt, acela al utilizatorilor aplicaiilor de reea. Cuantificarea efectelor pe care parametrii QoS
i variaia lor le au asupra calitii percepute de utilizatori (User-Perceived Quality - UPQ)
pentru aplicaii necesit definirea de msuri ale acestei caliti. De exemplu, pentru telefonia
prin Internet (numit i telefonie IP sau Voice over IP - VoIP), efectul parametrilor QoS se
traduce printr-o variaie a calitii comunicaiei, msura cea mai potrivit pentru UPQ n acest
caz. Pe de alt parte, pentru un transfer de fiier, factorii de interes pot fi timpul necesar
pentru transfer sau eficacitatea acestuia.
Cele dou aspecte ale calitii - QoS i UPQ - nu sunt independente, aadar studiul
comportamentului aplicaiile de reea necesit punerea n relaie a parametrilor QoS i a
calitii la nivelul aplicaiilor. Aceasta ne permite s prezicem dac o anumit conexiune este
satisfctoare pentru o aplicaie i s estimm calitatea perceput pentru aceast aplicaie.
Calitatea serviciilor
Cele dou probleme principale ale reelelor de azi sunt lipsa de predictibilitate i absena
diferenierii serviciilor. Prima e cauzat de faptul c pachetele sunt rutate independent spre
destinaie, deci nu se pot oferi aplicaiilor garanii privind resursele. Cea de-a doua provine
din tratarea n acelai mod a pachetelor. Fiecare aplicaie are n schimb cerine diferite, iar
cnd ntrzierile sau pierderile de pachete depesc aceste limite, aplicaiile devin literalmente
inutilizabile. Ambele probleme pot conduce la o degradare a calitii serviciilor, degradare ce
trebuie msurat i controlat dup cum artm n continuare.
Page 37 of 39
Parametrii QoS
Traficul la intrarea ntr-un ruter sau comutator poate s depeasc capacitatea acestuia
la ieire, de aceea exist memorii tampon pentru stocarea temporar a pachetelor. Aceste
memorii introduc ns ntrzieri suplimentare ale traficului, care se adaug celor de transmisie
i propagare. n plus, ntrzierile prezint o variaie n timp, numit n englez "jitter".
Datorit faptului c memoria tampon este finit, aceasta se poate umple, ceea ce conduce la
pierderi de pachete pe perioada ct traficul la intrare depete capacitatea la ieire. Un alt
parametru QoS este debitul, msura cantitii de date transferate printr-o seciune de reea.
Cei trei parametri menionai - ntrzierea, pierderile de pachete i debitul - sunt legai
printr-o relaie cu dou grade de libertate. Dac unul din parametri este fixat, ceilali doi devin
interdependeni. n plus, exist o lege de conservare n ceea ce i privete. De pild, ntrzierea
global ntr-un element de reea depinde de caracteristicile acestuia i poate fi doar partajat
n mod diferit ntre diversele fluxuri de trafic.
Metodologia de msurare a acestor parametri de performan este definit de dou
organisme principale, IETF (Internet Engineering Task Force) i UIT-T (Uniunea
Internaional de Telecomunicaii, divizia Telecomunicaii), prin diverse standarde i
documente normative, cum ar fi I.380.
Controlul QoS
Un flux de trafic oarecare trebuie s partajeze reeaua cu fluxurile celorlalte aplicaii.
Pentru a-l proteja de acestea, dou tehnici trebuie ntrebuinate simultan n reea:
- Metode de control al QoS-ului la nivelul nodurilor;
- Metode de control al QoS-ului de la o frontier la alta.
Nivelul nodurilor este cel care permite un control direct al modului de tratare a
pachetelor, de aceea este prima etap n crearea unui comportament global predictibil al
reelelor. Ruterele care stau la baza unei reele cu QoS controlabil trebuie s fie capabile s
clasifice, s gestioneze n cozi de ateptare i s planifice pachete din aceste cozi, n mod
diferit pentru tipurile distincte de trafic.
Clasificarea este operaia prin care traficul ce intr ntr-un ruter este mprit n clase, n
funcie de diverse criterii (de exemplu adresele IP surs i destinaie), astfel nct s fie
posibil tratarea lor diferit.
Fiecrei clase i corespunde o coad de ateptare dedicat. Mecanismele de gestiune a
acestor cozi i a resursei memorie tampon asociate permit controlul pierderilor de pachete.
Tehnicile cele mai utilizate din aceasta categorie sunt: respingerea ultimului pachet, detecia
aleatoare avansat (RED), detecia aleatoare avansat cu ponderi (WRED), RED cu n i n
afar (RIO) i notificarea explicit de congestie (ECN).
Page 38 of 39
Planificarea este mecanismul prin care pachetele din diversele cozi de ateptare sunt
desemnate pentru expediere. Ea permite controlul ntrzierii - prin momentul la care un pachet
este expediat - i al debitului - prin numrul de pachete dintr-o clas expediate n unitatea de
timp. Disciplinele de planificare cele mai cunoscute sunt: primul intrat-primul ieit (FIFO),
prioritate strict (SP), algoritmul "round robin" propriu-zis sau cu ponderi (RR, respectiv
WRR) i planificarea echitabil cu ponderi (WFQ).
Soluiile de la o frontier la alta sunt importante deoarece permit un control al QoS-ului
de la un capt la altul al unei conexiuni. Printr-un mecanism de tipul IntServ (Integrated
Services), bazat pe protocolul RSVP, o aplicaie poate rezerva resursele necesare i obine
astfel garantarea condiiilor pe toat durata rulrii. O alt abordare, DiffServ (Differentiated
Services), propune tratarea diferit a claselor n funcie de importana lor.
Faptul c n prezent rutarea n Internet se face pe baza unei singure metrici pentru
definirea rutei celei mai scurte este prea constrngtor ntr-un mediu cu difereniere de
servicii, cci o singur metric nu poate reprezenta cerinele diverselor clase de trafic. Rutarea
QoS propune folosirea mai mult metrici n mod simultan, astfel nct fiecare clas de trafic s
fie rutat pe calea care corespunde cel mai bine exigenelor aplicaiilor respective. Exemple
de astfel de tehnici sunt rutarea pe baz de constrngeri (CBR) i comutarea de etichete
(MPLS).
Calitatea perceput de utilizatori (UPQ)
Determinarea caracteristicilor de performan ale unui reele, n sensul de calitate a
serviciilor, este numai primul pas n nelegerea comportamentului la nivelul aplicaiilor de
reea. Fiecare aplicaie necesit un nivel minim de QoS pentru a rula n conformitate cu
cerinele utilizatorilor. De aceea este vital s privim aplicaiile din punctul de vedere al
interaciunii lor cu reelele de calculatoare i s corelm parametrii QoS cu calitatea perceput
de utilizatori, UPQ .
Aplicaiile pot fi mprite n clase, n funcie de interactivitatea lor i sensibilitatea la
pierderi de pachete i erori. UIT-T, de pild, identific ase clase de serviciu, fiecare avnd
cerine specifice, i recomand limite superioare pentru ntrzierea medie i variaia acesteia,
rata de pierderi de pachete i de erori (recomandarea Y.1541). Pentru VoIP acestea sunt de
400 ms, 50 ms, 10-3, respectiv 10-4. ns nu se specific dependena exact a calitii
percepute n raport cu parametrii de performan. Aceasta necesit un studiu mai aprofundat
pentru fiecare aplicaie n parte.
Concluzia
Calitatea perceput este aspectul cel mai important al calitii din perspectiva utilitii,
valorii reelelor de calculatoare.
Aceast abordare permite definirea exigenelor aplicaiilor, n termenii relaiei dintre
calitatea perceput de utilizator i parametrii de performan a reelei. Devine deci posibil un
management al calitii i pentru reelele informatice (eventual poate chiar o certificare de
Page 39 of 39
tipul ISO 9000). n aceste condiii considerm c este datoria utilizatorilor s-i exprime
cerinele ctre furnizorii de servicii i s contribuie astfel la ameliorarea calitii oferite.