mihai mojzi - securitatea sistemelor de calcul si a retelelor de calculatoare - partea ii

8/7/2019 Mihai Mojzi - Securitatea sistemelor de calcul si a retelelor de calculatoare - partea II

1/49

nvmntul profesional i tehnic n domeniul TIC

Proiect cofinanat din Fondul Social European n cadrul POS DRU 2007-2013

Beneficiar Centrul Naional de Dezvoltare a nvmntului Profesional i Tehnic

str. Spiru Haret nr. 10-12, sector 1, Bucureti-010176, tel. 021-3111162, fax. 021-3125498,[email protected]

Securitatea sistemelor de calcul i a reelelor de calculatoare

Material de predare partea a II-a

Domeniul: Electronic automatizri

Calificarea: Tehnician operator tehnic de calcul

Nivel 3

2009
mailto:[email protected]:[email protected]:[email protected]


2/49

AUTOR:

MOJZI MIHAI profesor gradul II

COORDONATOR:

LADISLAU EICA - Informatician

CONSULTAN:

IOANA CRSTEA expert CNDIPT

ZOICA VLDU expert CNDIPT

ANGELA POPESCU expert CNDIPT

DANA STROIE expert CNDIPT

Acest material a fost elaborat n cadrul proiectului nvmntul profesional i tehnic ndomeniul TIC, proiect cofinanat din Fondul Social European n cadrul POS DRU 2007-2013

2


3/49

Cuprins

I. Introducere ............................................................................................................ 4II. Documente necesare pentru activitatea de predare ........................................... 6III. Resurse ............................................................................................................... 7

Tema 6: Actualizarea permanent a sistemului prin aplicarea de patch-uri i update-uri .. .7Fia suport 6.1 Actualizarea sistemelor de operare ................................................................. 7Fia suport 6.2 Actualizarea aplicaiilor software ................................................................. 13

Tema 7: Instalarea i configurarea firewallului .....................................................................16Fia suport 7.1 Rolul i menirea unui firewall .......................................................................16

Fia suport 7.2 Configurarea unui firewall ............................................................................21

Tema 8: Metode de securizare a reelelor wireless ..................................................................25Fia suport 8.1 Standarde de securitate pentru reelele wireless ............................................25

Fia suport 8.2 Configurarea unei reele wireless ..................................................................31Fia suport 8.3 Testarea securitii unei reele de tip wireless ...............................................36

Tema 9: Mijloace de fraud pe Internet ..................................................................................40Fia suport 9.1 Forme de nelciune n Internet ...................................................................40Fia suport 9.2 Mijloace i metode de protecie privind frauda pe internet ...........................44

IV. Fia rezumat ..................................................................................................... 47V. Bibliografie ........................................................................................................49

3


4/49

I. Introducere

Materialele de predare reprezint o resurs suport pentru activitatea de predare,instrumente auxiliare care includ un mesaj sau o informaie didactic.

Prezentul material de predare, se adreseaz cadrelor didactice care predau n cadrul

liceelor, domeniul Informatic, calificarea Tehnician operator tehnic de calcul.El a fost elaborat pentru modulul Securitatea sistemelor de calcul i a reelelor decalculatoare, ce se desfoar n 31 ore, n urmtoarea structur:

Laborator tehnologic 16 ore

Tema Fia suport Competene vizate

Tema 6

Actualizarea permanenta

a sistemului prin

aplicarea de patch-uri i

update-uri

Fia 6.1 Actualizareasistemului de operare

3. Utilizeaz instrumente,proceduri de diagnostic i tehnici

de depanare pentru securizare4. Asigur mentenana preventiva calculatoarelor i reelelor decalculatoare

Fia 6.2 Actualizarea

aplicaiilor software

4. Asigur mentenana preventiva calculatoarelor i reelelor decalculatoare

Tema 7

Instalarea i configurarea

firewallului

Fia 7.1 Rolul i menirea

unui firewall

2. Instaleaz, configureaz,sisteme de securitate

Fia 7.2 Configurarea

unui firewall

3. Utilizeaz instrumente,proceduri de diagnostic i tehnicide depanare pentru securizare

Tema 8

Metode de securizare a

reelelor wireless

Fia 8.1 Standarde de

securitate pentru reelele

wireless

3. Utilizeaz instrumente,proceduri de diagnostic i tehnicide depanare pentru securizare

Fia 8.2 Configurarea

unei reele wireless

3. Utilizeaz instrumente,proceduri de diagnostic i tehnici

de depanare pentru securizare

Fia 8.3 Testarea

securitii unei reele de

tip wireless

2. Instaleaz, configureaz,sisteme de securitate3. Utilizeaz instrumente,proceduri de diagnostic i tehnicide depanare pentru securizare

Tema 9 Fia 9.1 Forme de

nelciune n internet

4. Asigur mentenana preventiva calculatoarelor i reelelor decalculatoare

4


5/49

Tema Fia suport Competene vizate

Mijloace de fraud pe

internet

Fia 9.2 Mijloace i

metode de protecie

privind frauda pe internet

3. Utilizeaz instrumente,proceduri de diagnostic i tehnicide depanare pentru securizare4. Asigur mentenana preventiv

a calculatoarelor i reelelor decalculatoare

Temele din prezentul material de predare nu acoper toate coninuturile prevzute ncurriculumul pentru modulul Securitatea sistemelor de calcul i a reelelor decalculatoare. Pentru parcurgerea integral a modulului n vederea atingeriicompetenelor vizate / rezultate ale nvrii profesorul va avea n vedere i materialulde predare Securitatea sistemelor de calcul i a reelelor de calculatoare partea I.

Absolvenii nivelului 3, coal postliceal, calificarea Tehnician operator tehnic de

calcul, vor fi capabili s ndeplineasc sarcini cu caracter tehnic de montaj, instalare,punere n funciune, ntreinere, exploatare i reparare a echipamentelor de calcul.

5


6/49

II. Documente necesare pentru activitatea de predare

Pentru predarea coninuturilor abordate n cadrul materialului de predare cadruldidactic are obligaia de a studia urmtoarele documente:

Standardul de Pregtire Profesional pentru calificarea Tehnician operatortehnic de calcul, nivelul 3 www.tvet.ro, seciunea SPP sau www.edu.ro ,seciunea nvmnt preuniversitar

Curriculum pentru calificarea Tehnician operator tehnic de calcul, nivelul 3www.tvet.ro, seciunea Curriculum sau www.edu.ro , seciunea nvmntpreuniversitar

6
http://www.tvet.ro/http://www.edu.ro/http://www.tvet.ro/http://www.edu.ro/http://www.tvet.ro/http://www.edu.ro/http://www.tvet.ro/http://www.edu.ro/


7/49

III. Resurse

Tema 6: Actualizarea permanent a sistemului prin aplicarea depatch-uri i update-uri

Fia suport 6.1 Actualizarea sistemelor de operare

Acest material vizeaz competena / rezultat al nvrii : Utilizeaz instrumente,proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor decalcul i a reelelor de calculatoare i Asigur mentenana preventiv acalculatoarelor i reelelor de calculatoare.

Pentru a elimina riscurile de securitate datorate vulnerabilitilor cunoscute, vatrebui s aplicm patch-uri i fix-uri de securitate pentru sistemele de operare i

aplicaii. Eliminarea vulnerabilitilor cunoscute este de fapt prima msur de securitatecare trebuie luat, deoarece aceste vulnerabiliti vor fi primele ncercate de un atacatorsau exploatate de ctre un vierme.

Figura 6.1.1 Posibile bree de securitate din cauza neactualizrilor fcute la sistemelede operare

n ultima perioad s-a mrit numrul atacurilor de acest tip care exploateazvulnerabiliti cunoscute. Fereastra de timp dintre publicarea vulnerabilitii (respectiv a


8/49

patch-ului corespunztor) i apariia unui atac scade din ce n ce mai mult, dar totui nueste suficient. n mai toate cazurile, sistemele afectate nu fuseser actualizate, deiexista fix-ul corespunztor. Este foarte important s ne actualizm la timp sistemele deoperare i aplicaiile din punct de vedere al patch-urilor i fix-urilor de securitate. Doaraa putem fi siguri c suntem protejai n proporie minim, dar nu i suficient.

nainte de a da vina pe administratorii de reea, s ne gndim c exist un numrdestul de mare de patch-uri i fix-uri care sunt publicate periodic i care trebuiedescrcate, testate i apoi aplicate n mod sistematic pe toate calculatoare din reea.Este evident necesitatea unui proces de Patch Management care s permit oabordare structurat versus reacia ad-hoc la incidente de securitate. De aici inecesitatea de a se folosi aplicaii care s automatizeze acest proces.

Acest proces de management al patch-urilor trebuie s se alture celorlalte proceseoperaionale existente n cadrul unei companii. Patch Management se integreaz defapt n disciplinele de Change Management i Configuration Management, aa cum

sunt descrise de Microsoft Operations Framework (MOF) sau IT Infrastructure Library(ITIL).

Putem mpri procesul de management al patch-urilor n mai multe faze: mai ntise va face o analiz a vulnerabilitilor cunoscute asupra sistemelor existente folosind,de obicei, un instrument automat i se va inventaria patch-urile necesare pentru acestevulnerabiliti. De asemenea, va trebui s se testeze n condiii de laborator patch-urilepentru a verifica modul n care afecteaz funcionarea sistemelor i/sau a aplicaiilorexistente(instalate). Apoi va urma procesul de instalare a patch-urilor, care pentru reelemedii-mari trebuie s fie automatizat, precum i verificarea instalrii cu succes aacestora.

Microsoft Baseline Security Analyzer (MBSA) 1.2 poate fi folosit pentru a analizasistemele existente i a inventaria vulnerabilitile descoperite pentru sistemele deoperare Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 precumi a altor produse Microsoft: Internet Explorer, Windows Media Player, IIS, SQL Server,Exchange, Microsoft Office, Microsoft Data Access Components, Microsoft VirtualMachine, MSXML, BizTalk Server, Commerce Server, Content Management Server iHost Integration Server.

8


9/49

Figura 6.1.2 Conectori n Microsoft Visio special concepui pentru MSBA

MBSA adaug o interfa grafic la utilitarul linie de comand HFNetCheck ifolosete un fiier MSSECURE.XML ce poate fi downloadat de la Microsoft i conineinformaii despre toate patch-urile disponibile n acel moment. Astfel se pot crearapoarte pentru sistemele scanate ce afieaz patch-urile care nu au fost nc instalatepe sisteme. MBSA este capabil s identifice de asemenea vulnerabiliti cunoscute laservicii i aplicaii. MBSA poate scana o singur main sau mai multe folosind un rangde adrese IP sau toate calculatoarele din domeniu, cu condiia s aib permisiuniadministrative.

Atenie: MBSA poate face doar analiza sistemelor, nu i instalarea propriu-zis apatch-urilor.

9


10/49

Figura 6.1.3 O posibil reprezentare grafic realizat (Microsoft Visio) dup o scanarecu MBSA.

Ca soluii care s asigure instalarea i urmrirea update-urilor efectuate avemaplicaia System Management Server (SMS 2003) un produs complex pentru

inventarierea hardware-ului i software-ului, pentru instalarea automat de softwareprecum i management al sistemelor. Folosind instrumentele de inventariere desoftware i un pachet numit Software Updates Scanning Tool (bazat pe MBSA 1.2) cepoate fi downloadat gratuit de pe site-ul Microsoft se pot analiza sistemele i inventariavulnerabilitile. SMS poate produce rapoarte privind update-urile i Service Pack-urileinstalate, lista update-urilor disponibile ce trebuie aplicate pe fiecare calculator etc. nplus, SMS poate face i instalarea patch-urilor folosind facilitile de distribuie desoftware. SMS este foarte util pentru reele medii-mari.

Figura 6.1.4 O posibila implementare a unui server SMS

Nu este de neglijat nici faptul ca sunt unele vulnerabiliti, cei drept mai puine, careprivesc diferite drivere instalate pe calculator. Ori de cte ori este posibil este necesars se realizeze aceste actualizri, dar numai dup o atent citire a documentaiei deexplicare a noii versiuni i eventuala testare ntr-un mediu sigur.

Modaliti de actualizare a sistemelor de operare.

10


11/49

Actualizarea unui sistem de operare poate fi fcut manual sau automat. Sistemelede operare bazate pe platforma Windows ofer un ntreg serviciu care s se ocupe deaceast problem numit Automatic Updates.

Figura 6.1.5 Activarea Automatic Updates se realizeaz imediat dup terminareainstalrii sistemului de operare

Versiunile de Windows din magazine sunt deja nvechite n momentul vnzrii,deoarece pn la producerea discurilor i comercializarea acestora trec luni ntregi. Deaceea, dup instalare, trebuie ncrcate update-urile corespunztoare. Deoareceaceste Windows Update-uri au atins ntre timp o dimensiune apreciabil, muli utilizatorirenun la descrcarea regulat, de unde rezult numeroase bree de securitate, princare viruii se nmulesc exploziv.

Cu Service Pack 2, Microsoft a trecut la administrarea sistemului cu ajutorul funcieiAutomatic Updates. Aceast funcie menine securitatea calculatorului la un nivel ridicat,deoarece vulnerabilitile gsite de hackeri sunt nchise prin instalarea automat aactualizrilor noi. Apelnd funcia de update-uri automate via Start-Settings-ControlPanel-System-Automatic Updates sunt la dispoziie diverse opiuni, care vor permitealegerea modului n care s se procedeze cu actualizrile. Recomandat este modulAutomatic, unde se stabilete ora i intervalul descrcrilor i al instalrii prin meniulaferent. n plus, este posibil alegerea opiunii Notify Me But Don't AutomaticalyDownload or Install Them, care informeaz de disponibilitatea unor noi update-uri i

ntreab utilizatorul dac dorete s le descarce imediat sau mai trziu. Astfel se potevita o serie de fluctuaii de performan ale legturii de internet i eventualele repornirinecesare vor fi efectuate numai dup terminarea lucrrilor importante.

11


12/49

Totodat cu Service Pack 2, Microsoft nu a pus la dispoziie doar diferite corecturiale unor erori din sistemul de operare, ci a adugat i multe funcii noi. Una dintre eleeste reprezentat de aa-numitul Security Center, care supravegheaz permanentstarea anumitor funcii importante. Astfel, se verific dac firewall-ul instalat este activ,dac antivirusul folosit este adus la zi sau dac au fost instalate toate update-urile

pentru sistemul de operare.

Dac una dintre componentele supravegheate aici nu este activ sau actualizat,utilizatorul este anunat de acest lucru printr-un mesaj n bara de stare. Pentru a efectuamodificri Security Center se folosete interfaa acestuia, la care se ajunge prin ControlPanel.

Din acea interfa se poate avea acces la cele trei componente monitorizate: firewall-ul,actualizarea automat i protecia antivirus.

Sugestii metodologiceUNDE?

Coninutul poate fi predat n laboratorul de informatic.

CUM?

Clasa poate fi organizat frontal sau pe grupe.

Se pot utiliza: Prezentri multimedia coninnd informaii despre inspectarea vizual a

componentelor i pornirea calculatorului

Demonstraie folosind cazul actualizrii sistemului de operare Windows,moduri de actualizare operaie efectuat de ctre cadru didactic.

Exerciiu - prin inspectarea vizual a patch-urilor i fixurilor ce ar trebuiefectuate (cele critice, respectiv, noncritice) de ctre elev

Se va discuta i indica toate optiunile de actualizare disponibile nserviciul Automatic Updates i ntreg coninutul modulului Security Center.Se va aloca suficient tip cat s se neleag necesitatea actualizriicontinue i constante a sistemului de operare.

Se recomand s se evidenieze lupta continua a dezvoltatorilor desisteme de operare pentru mbuntirea brelor de securitate gasite.

EVALUARE

Practic, lucrare scris.

12


13/49

Fia suport 6.2 Actualizarea aplicaiilor software

Acest material vizeaz competena / rezultat al nvrii Asigur mentenanapreventiv a calculatoarelor i reelelor de calculatoare.

Ameninrile informatice tot mai numeroase nu sunt simple poveti inventate deproducatorii de software pentru a-i vinde mai bine produsele, ci chiar produc pagubeserioase companiilor afectate, spun cercetatori independeni, care sftuiesc manageriis nu permit excepii de la cele mai severe reguli de procedur n domeniu.

Piaa mondial de aplicaii de securitate va cunoate un adevarat boom, cu o ratanual de cretere de circa 16,2%, ncasrile mondiale urmnd s ajung la 11,4miliarde de dolari (9,43 miliarde de euro) pe an n 2009, conform companiei de analizaa pieelor Gartner. Cu toate acestea, efortul respectiv nu poate opri valul de ameninriinformatice, nici marile corporaii nefiind absolut ferite de astfel de probleme.

"Responsabilii companiilor presupun c dac cumpar un soft, de preferin ct maiscump, problemele acestea se rezolv, nsa n mod evident greesc", a declarat unspecialist al Secure Computing, companie specializat n domeniul securitiiinformatice.

Nici un soft nu e infailibil: vulnerabiliti n sistemele informatice se descoperaproape zilnic, iar n perioada de timp pn cnd productorul soft corecteaz eroarea,sistemele sunt vulnerabile. Sistemele de comunicare online i avantajeaza astfel pepiraii Internetului, care n perioada de timp pn la actualizarea aplicaiei soft pot

cpta acces la resursele companiilor. De la lista de clieni, pn la lista cu salarii i dela datele de identitate ale clientilor sau angajatilor pn la proiectele cele mai secretedin laboratoarele companiei.

Una din principalele cauze ale problemelor cu securitatea informatic este nevoiaca aplicaiile software s fie uor de utilizat de angajai, spun experii SecureComputing. "Atunci cnd se instaleaz o aplicaie nou, oamenii vor ca angajaii s aibacces la ea imediat i renun la nceput la setrile de securitate", a explicat specialistulSecure Computing.

Programul de ntreinere a aplicaiilor i aducerea lor la zi pentru o mai bunaprotecie fa de vulnerabiliti este la fel de important ca i cumprarea soluiei desecuritate informatic, a spus la rndul su un analist al Gartner. Peste 90% dincompanii au un soft de protecie antivirus, dar 30% dintre aceste companii au ncontinuare probleme legate de pierderea datelor, computere infectate i alteleasemenea, relev un studiu Gartner.

O data cu noile programe realizate special de piraii Internetului pentru a fura parolei date confideniale, ameninarea atinge riscul maxim, spun specialitii n domeniu.Aplicaiile software anti-spyware sunt la nceput de drum, nici cele mai performantenefiind de fapt capabile s detecteze toate ameninrile. Programele spyware sunt

13


14/49


15/49

bre de securitate cu mult mai periculoas ca cea/cele pe care le-a remediat(sauserverele de pe care se face acea actualizare s fi fost afectate de un virus sau unTrojan care s infecteze respectivele fiiere de actualizare).

Concluzionnd putem separa clar dou categorii mari de actualizri de aplicaii

software:- aplicaiile de securitate aici intrnd aplicaiile antivirus, anti-spyware,

aplicaiile firewall, etc. care au un satut cu totul special, recomandndu-se s se facactualizrile cat de curnd posibil i,

- aplicaiile uzuale care, de obicei realizeaz update-uri la distane mai mari detimp, de multe ori actualizarea implicnd nlocuirea propriu-zis a aplicaiei iniiale.

Sugestii metodologiceUNDE? Coninutul poate fi predat n laboratorul de informatic.

CUM?


Se pot utiliza:

Prezentri multimedia coninnd informaii despre actualiyarea

aplicaiilor software

Demonstraie - prin explicarea i expunerea de ctre cadrul didactic ainformaiilor privind actualizarea unor aplicaii uzuale

Exerciiu - prin inspectarea vizual a componentelor i pornireacalculatorului de ctre elev

EVALUARE

n scris.

15


16/49

Tema 7: Instalarea i configurarea firewallului

Fia suport 7.1 Rolul i menirea unui firewall

Acest material vizeaz competena / rezultat al nvrii : Instaleaz i configureazsisteme de securitate a sistemelor de calcul i a reelelor de calculatoare.

Definiii:

Un firewall se poate defini ca fiind un paravan de protecie ce poate ine ladistan traficul Internet, de exemplu hackerii, viermii i anumite tipuri de virui, nainteca acetia s pun probleme sistemului. n plus, acest paravan de protecie poate evita

participarea computerului la un atac mpotriva altora, fr cunotina utiliyatorului.Utilizarea unui paravan de protecie este important n special dac calculatorul esteconectat n permanen la Internet.

Figura 6.3.1 Funcia primordial a unui firewall.

O alt definiie un firewall este o aplicaie sau un echipament hardware caremonitorizeaz i filtreaz permanent transmisiile de date realizate ntre PC sau reeaualocal i Internet, n scopul implementrii unei "politici" de filtrare. Aceast politic poatensemna:

protejarea resurselor reelei de restul utilizatorilor din alte reele similare Internetul -> sunt identificai posibilii "musafiri" nepoftii, atacurile lor asupra PC-ului saureelei locale putnd fi oprite.

16


17/49

Controlul resurselor pe care le vor accesa utilizatorii locali.

Mod de funcionare:

De fapt, un firewall, lucreaz ndeaproape cu un program de routare, examineaz

fiecare pachet de date din reea (fie cea local sau cea exterioar) ce va trece prinserverul gateway pentru a determina dac va fi trimis mai departe spre destinaie. Unfirewall include de asemenea sau lucreaz mpreun cu un server proxy care facecereri de pachete n numele staiilor de lucru ale utilizatorilor. n cele mai ntlnite cazuriaceste programe de protecie sunt instalate pe calculatoare ce ndeplinesc numaiaceast funcie i sunt instalate n faa routerelor.

Figura 6.3.2 O posibil implementare a unui firewall.

Soluiile firewall se mpart n dou mari categorii: prima este reprezentat desoluiile profesionale hardware sau software dedicate proteciei ntregului trafic dintrereeaua unei ntreprinderi (instituii, serverele marilor companii publice) i Internet; iarcea de a doua categorie este reprezentat de firewall-urile personale dedicatemonitorizrii traficului pe calculatorul personal. Utiliznd o aplicaie din ce-a de a douacategorie se poate prentmpina atacurile colegilor lipsii de fair-play care ncearc s

acceseze prin mijloace mai mult sau mai puin ortodoxe resurse de pe PC-uldumneavoastr.

n situaia n care dispunei pe calculatorul de acas de o conexiune la Internet, unfirewall personal v va oferi un plus de siguran transmisiilor de date. Cum astzimajoritatea utilizatorilor tind s schimbe clasica conexiune dial-up cu modaliti deconectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacurireuite asupra sistemului dumneavoastr crete. Astfel, mrirea lrgimii de band aconexiunii la Internet faciliteaz posibilitatea de "strecurare" a intruilor nedorii.

Astfel, un firewall este folosit pentru dou scopuri:

17


18/49

pentru a pstra n afara reelei utilizatorii ru intenionati (virui, viermicybernetici, hackeri, crackeri)

pentru a pstra utilizatorii locali (angajaii, clienii) n reea

Politici de lucru:

nainte de a construi un firewall trebuie hotrt politica sa, pentru a ti care va fifuncia sa i n ce fel se va implementa aceast funcie.

Pentru a putea defini politica firewall-ului, sunt necesare unele rspunsuri laurmtoarele ntrebri:

ce servicii va deservi firewall-ul ? ce grupuri de utilizatori care vor fi protejai ? de ce fel de protecie are nevoie fiecare grup de utilizatori ? cum va fi protejat fiecare grup(detaliere privind i natura serviciilor din cadrul

grupurilor)?

La final este necesar s se scrie o declaraie prin care oricare alte forme de accesssunt o ilegalitate. Politica va deveni tot mai complicat cu timpul, dar deocamdat estebine s fie simpl i la obiect.

Figura 6.3.3 Diferite politici implementate ntr-un firewall

18


19/49

Clasificri:

Firewallurile pot fi clasificate dup: Layerul (stratul) din stiva de reea la care opereaz Modul de implementare

n funcie de layerul din stiva TCP/IP (sau OSI) la care opereaz, firewall-urile pot fi: Layer 2 (MAC) i 3 (datagram): packet filtering. Layer 4 (transport): tot packet filtering, dar se poate diferenia ntre

protocoalele de transport i exist opiunea de "stateful firewall", n care sistemul tie norice moment care sunt principalele caracteristici ale urmtorului pachet ateptat,evitnd astfel o ntreag clas de atacuri

Layer 5 (application): application level firewall (exist mai multe denumiri). ngeneral se comport ca un server proxy pentru diferite protocoale, analiznd i lunddecizii pe baza cunotinelor despre aplicaii i a coninutului conexiunilor. De exemplu,un server SMTP cu antivirus poate fi considerat application firewall pentru email.

Dei nu este o distincie prea corect, firewallurile se pot mpri n dou maricategorii, n funcie de modul de implementare:

dedicate, n care dispozitivul care ruleaz software-ul de filtrare este dedicatacestei operaiuni i este practic "inserat" n reea (de obicei chiar dup router). Areavantajul unei securiti sporite.

combinate cu alte faciliti de networking. De exemplu, routerul poate servi ipe post de firewall, iar n cazul reelelor mici acelai calculator poate juca n acelai timp

rolul de firewall, router, file/print server, etc.Concluzii:

Un firewall poate s:- monitorizeze cile de ptrundere n reeaua privat, permind n felul acesta o

mai bun monitorizare a traficului i deci o mai uoar detectare a ncercrilor deinfiltrare;

- blocheze la un moment dat traficul n i dinspre Internet;- selecteze accesul n spaiul privat pe baza informaiilor coninute n pachete.

- permit sau interzic accesul la reeaua public, de pe anumite staiispecificate;

- i nu n cele din urm, poate izola spaiul privat de cel public i realiza interfaantre cele dou.

De asemeni, o aplicaie firewall nu poate:- interzice importul/exportul de informaii duntoare vehiculate ca urmare a

aciunii rutcioase a unor utilizatori aparinnd spaiului privat (ex: csua potal iataamentele);- interzice scurgerea de informaii de pe alte ci care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);

- apra reeaua privat de utilizatorii ce folosesc sisteme fizice mobile deintroducere a datelor n reea (USB Stick, dischet, CD, etc.)

19


20/49

- preveni manifestarea erorilor de proiectare ale aplicaiilor ce realizeaz diverseservicii, precum i punctele slabe ce decurg din exploatarea acestor greeli.

Sugestii metodologice

UNDE? Coninutul poate fi predat n laboratorul de informatic.

CUM?


Se pot utiliza:

Prezentri multimedia coninnd informaii despre rolul i menirea unuifirewall

Demonstraie - prin explicarea i evidenierea modului de acionare a unuifirewall de ctre cadru didactic

EVALUARE

n scris, prob practic sau proiect comun configurarea unui firewall.

20


21/49

Fia suport 7.2 Configurarea unui firewall

Acest material vizeaz competena / rezultat al nvrii : Utilizeaz instrumente,proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor decalcul i a reelelor de calculatoare.

Tehnologia firewall se bazeaz pe folosirea porturilor. Porturile nu sunt altcevadect nite numere plasate ntr-un anumit loc bine definit n pachetul de date. Fiecareaplicaie folosete anumite porturi deci anumite numere .

Figura 7.2.1 Configurari diferite privind implementarea unui firewall

Dei un anumit serviciu poate avea un port asignat prin definiie, nu exist nici orestricie ca aplicaia s nu poat asculta i alte porturi. Un exemplu comun este cel alprotocolului de pot electronic Simple Mail Transfer Protocol (SMTP). Acest serviciu

are portul asignat 25. Posibil ca furnizorul de internet s blocheze acest port pentru aevita folosirea unui server de mail pe calculatorul propriu. Nimic nu ne oprete ns sconfigurm un server de mail pe un alt port. Motivul principal pentru care anumite

21


22/49

servicii au porturi asignate implicit este acela ca un client s poat gsi mai uor unanumit serviciu pe o gazd aflat la distan. Cteva exemple: serverele FTP ascultportul 21; serverele HTTP sunt pe portul 80; aplicaiile client de genul File TransferProtocol (FTP) folosesc porturi asignate aleator de obicei mai mari ca 1023.

Exist puin peste 65000 porturi mprite n porturi bine cunsocute (01023), porturinregistrate (102449151) i porturi dinamice (4915265535). Dei sunt sute de porturicu aplicaiile corespunztore, n practic mai puin de 100 sunt utilizate frecvent. ntabelul 1 putem vedea cele mai frecvente porturi i protocolul care l folosete. Trebuies menionm c aceste porturi sunt primele vizate de un sprgtor pe calculatorulvictimei.

Tabel 1 Porturi comune i protocoale

Port Serviciu Protocol21 FTP TCP

22 SSH TCP

23 Telnet TCP

25 SMTP TCP

53 DNS TCP/UDP

67/68 DHCP UDP

69 TFTP UDP

79 Finger TCP80 HTTP TCP

88 Kerberos UDP

110 POP3 TCP

111 SUNRPC TCP/UDP

135 MS RPC TCP/UDP

139 NB Session TCP/UDP

161 SNMP UDP

162 SNMP Trap UDP

389 LDAP TCP

443 SSL TCP

445 SMB over IP TCP/UDP

1433 MS-SQL TCP

O bun practic de siguran este blocarea acestor porturi dac nu sunt folosite. Se

recomand folosirea practicii least privilege. Acest principiu const n acordareaaccesului minimal, strict necesar desfurrii activitii unui serviciu. S nu uitm csecuritatea este un proces fr sfrit. Dac un port este inchis astzi nu nseamna ca

22


23/49

va rmne aa i mine. Se recomanda testarea periodic a porturilor active. Deasemenea aplicaiile au grade de siguran diferite; SSH este o aplicaie relativ sigurpe cnd Telnet-ul este nesigur.

Prezentarea firewall-ului inclus n Windows XP SP2

Figura 7.2.2 Windows firewall inclus odata cu Windows XP SP2

Componenta firewall are funcia de a supraveghea comunicaia sistemului precumi a aplicaiilor instalate cu internetul sau reeaua i s blocheze n caz de nevoieconexiunile nedorite. Ea asigur protecia PC-ului mpotriva pro-gramelor duntoare ia hacker-ilor. Spre deosebire de versiunea anterioar, Windows Firewall este activat nService Pack 2 imediat dup instalare i blocheaz majoritatea programelor carecomunic cu internetul. De aceea, muli utilizatori prefer s l dezactiveze n loc s lconfigureze. Pentru o configurare optima nu sunt necesare dect cteva setri de baz.

Dac un program instalat mpreun cu sistemul de operare ncearc s iniieze olegtur la internet sau la reeaua intern, apare o fereastr de informare care ntreabcum dorii s tratai aceast comunicare. Sunt la dispoziie opiunea de a bloca sau apermite conexiunea. n funcie de selecie, firewall-ul din XP stabilete automat o regul.Dac unei aplicaii trebuie s i fie permis s realizeze legturi, n registrul Exceptions

23


24/49

se pot stabili reguli permanente corespunztoare. n meniul Programs seobine o listcu toate aplicaiile instalate de sistemul de operare, ale cror setri de conectare pot fidefinite dup preferine.

Aplicaiile individuale nu sunt de multe ori enumerate n list. Acestea pot fi

introduse n list cu ajutorul opiunii Add Program, indicnd apoi calea spre executabilprintr-un clic pe Browse. Din motive de siguran se pot defini suplimentar, la Ports, ceinterfee i ce protocol - TCP sau UDP - poate utiliza programul. n aceeai fereastr seafl i butonul Change Scope, cu ajutorul cruia este posibil introducerea de diverseadrese IP ale sistemelor cu care programul are voie s realizeze o conexiune. Dacaceste date nu sunt nc definite, aplicaia este n msur s comunice pe toateporturile i cu toate sistemele ceea ce, funcie de aplicaie, are ca urmare diverse riscuride securitate.

Sugestii metodologiceUNDE? Coninutul poate fi predat n laboratorul de informatic.

CUM?


Se pot utiliza:

Prezentri multimedia coninnd informaii cu privire la modul de definireal unei reguli de accept i a unei reguli de blocat la un firewall

Demonstraie - prin explicarea i evidenierea de ctre cadru didactic amodului de definire a regulilor unui firewall (de preferat aplicaii distincte,ct mai variate)

Exerciiu - prin realizarea si definirea unor reguli de ctre elevi

EVALUARE

Se pot folosi probe practice, scrise i orale

24


25/49

Tema 8: Metode de securizare a reelelor wireless

Fia suport 8.1 Standarde de securitate pentru reelele wireless

Acest material vizeaz competena / rezultat al nvrii : Utilizeaz instrumente,proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor de

calcul i a reelelor de calculatoare.

Prima astfel de reea a fost pus n funciune n 1971 la Universitatea din Hawaisub forma unui proiect de cercetare numit ALOHANET. Topologia folosit era de tipstea bidirecional i avea ca noduri constituente un numr de apte calculatoaremprtiate pe patru insule din arhipelag ce comunicau cu un nod central aflat pe insulaOahu doar prin legturi radio.

Figura 8.1.1 Posibiliti de conectare wireless, de aici i necesitatea securizriiaccesului

Iniial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo undeamplasarea de cabluri ar fi fost tehnic imposibil. Ca i n alte cazuri din istoria tehniciide calcul, primele soluii produse pe scar larg au fost cele proprietare (nestandard) iorientate pe diverse nie de pia, dar odat cu sfritul anilor 90 acestea au fostnlocuite de cele standard i generice cum ar fi cele descrise de familia de standarde802.11 emise de IEEE.

Versiunea iniial a standardului IEEE 802.11 lansat n 1997 prevedea dou viteze(1 i 2 Mbps) de transfer a datelor peste infrarou sau unde radio. Transmisia prin

25


26/49

infrarou rmne pn astzi o parte valid a standardului, far a avea nsimplementri practice.

Au aprut atunci cel puin ase implementri diferite, relativ interoperabile i decalitate comercial, de la companii precum Alvarion (PRO.11 i BreezeAccess-II),

BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus iAirSurfer Pro), Symbol Technologies (Spectrum24) i Proxim (OpenAir). Un punct slabal acestei specificaii era c permitea o varietate mare a designului, astfel nctinteroperabilitatea era mereu o problem. 802.11 a fost rapid nlocuit (i popularizat) de802.11b n 1999 ce aducea, pe lng multe mbuntiri n redactare, i o vitezcrescut de transmisie a datelor de pn la 11Mbps. Adoptarea pe scar larg areelelor 802.11 a avut loc numai dup ce 802.11b a fost ratificat ca standard, iarprodusele diverilor productori au devenit interoperabile.

Cam n aceeai perioad (1999) a aprut i 802.11a, o versiune pentru banda de5GHz a aceluiai protocol. Acesta a fost urmat de 802.11g, n iulie 2003, ce aduceaperformane sporite, att n ceea ce privete viteza de transmisie (ce urca la 54Mbps),ct i distana de acoperire n jurul antenei.

Standardul aflat n prezent n elaborare de ctre IEEE este 802.11n acestaaduce i el mbuntiri, cum ar fi o vitez teoretic de transmisie de 270Mbps.

Ca n cazul oricrei tehnici de transmisie sau comunicaie care se dezvolt rapid i

ajunge s fie universal folosit, apare la un moment dat necesitatea de a implementadiverse tehnici de protecie a informatiilor transmise prin reelele de acest tip. n cazul802.11, securitatea se refer att la topologia i componena reelei (i.e. asigurareaaccesului nodurilor autorizate i interzicerea accesului celorlalte n reea), ct i latraficul din reea (i.e. gsirea i folosirea unei metode de securizare a datelor, decriptare, astfel nct un nod care nu este parte din reea i care, deci, nu a fostautentificat s nu poat descifra conversaiile dintre dou sau mai multe tere noduriaflate n reea). Un ultim aspect al securitii l constituie autentificarea fiecrui nod,astfel nct orice comunicaie originat de un nod s poat fi verificat criptografic sigurca provenind, ntr-adevr, de la nodul n cauz.

26


27/49

Figura 8.1.2 Posibilitai de conectare folosind conexiuni wireless

Primele tehnici de securitate ce au fost folosite n astfel de reele au fost cele dinclasa security by obscurity, adic se ncerca atingerea siguranei prin meninereasecret a specificaiilor tehnice i/sau prin devierea de la standard nu de puine ori nmsur considerabil. Aceste tehnici ns, aa cum s-a artat mai devreme, au adus nmare parte neajunsuri implementatorilor, deoarece fceau echipamentele diferiilorproductori vag interoperabile. Alte probleme apreau din nsi natura proprietar aspecificaiilor folosite.

Tehnicile de generaia nti (WEP)

Prima tehnic de securitate pentru reele 802.11 ce a fost cuprins n standard(implementat de marea majoritate a productorilor de echipamente) a fost WEP -Wired Equivalent Privacy. Aceast tehnic a fost conceput pentru a aduce reeleleradio cel puin la gradul de protecie pe care l ofer reelele cablate un elementimportant n aceast direcie este faptul c, ntr-o reea 802.11 WEP, participanii latrafic nu sunt protejai unul de cellalt, sau, altfel spus, c odat intrat n reea, un nodare acces la tot traficul ce trece prin ea. WEP folosete algoritmul de criptare RC-4pentru confidenialitate i algoritmul CRC-32 pentru verificarea integritii datelor. WEPa avut numeroase vulnerabiliti de design care fac posibil aflarea cheii folosite ntr-ocelul (reea) doar prin ascultarea pasiv a traficului vehiculat de ea. Prin metodele dinprezent, o celul 802.11 WEP ce folosete o cheie de 104 bii lungime poate fi spartn aproximativ 3 secunde de un procesor la 1,7GHz.

27


28/49

Filtrarea MAC

O alt form primar de securitate este i filtrarea dup adresa MAC (Media AccessControl address), cunoscut sub denumiri diverse precum Ethernet hardware address(adres hardware Ethernet), adres hardware, adresa adaptorului de reea (adaptor -

sinonim pentru placa de reea), BIA - built-in address sau adresa fizic, i este definitca fiind un identificator unic asignat plcilor de reea de ctre toi productorii.

Adresa MAC const ntr-o secven numeric format din 6 grupuri de cte 2 cifrehexadecimale (n baza 16) de tipul 00-0B-E4-A6-78-FB. Primele 3 grupuri de cte doucaractere (n acest caz 00-0B-E4) identific ntotdeauna productorul plcii de reea(RealTek, Cisco, etc.), iar urmtorii 6 digii identific dispozitivul n sine.

O form des utilizat de securizare a unei reele wireless rmne i aceast

filtrare dup adresa MAC. Aceast politic de securitate se bazeaz pe faptul c fiecareadresa MAC este unic i aadar se pot identifica clar persoanele (sistemele) care vortrebui s aib acces. Dac ntr-o prim faz aceast adres era fixat, noile adrese sepot modifica, astfel aceast form de securizare i pierde din valabilitate. Totui deiexist riscul ca prin aflarea unui MAC valid din cadrul unei reele, folosind un programde tip snnifer, i schimbndu-i MAC-ul n cel nou, atacatorul va putea avea acceslegitim, muli administratori folosesc n continuare aceasta form de securizare, datoritformei foarte simple de implementare. De aceea, aceast form de parolare estenecesar s se completeze i cu alte securizri enunate mai sus.

Tehnicile de generaia a doua (WPA, WPA2)

Avnd n vedere eecul nregistrat cu tehnica WEP, IEEE a elaborat standardulnumit 802.11i, a crui parte ce trateaz securitatea accesului la reea este cunoscut npractic i ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publicei private, mesaje cu cod de autentificare (MAC), precum i metode extensibile deautentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni nntmpinarea utilizatorilor casnici sau de arie restrns, IEEE a dezvoltat i o variantmai simpl a standardului i anume WPA-PSK (< Pre-Shared Key mode). n acest mod,n loc de un certificat i o pereche de chei (public i privat), se folosete o singur

cheie sub forma unei parole care trebuie cunoscut de toi membrii reelei.Apariia interesului i necesitii pentru administrarea centralizat a securitii

Odat cu apariia unor astfel de tehnici i metode avansate de securizare aaccesului la mediul de transmisie, s-a fcut simit i nevoia de a administra o astfel destructur de autentificare dintr-o locaie central. Aa se face c tot mai multedispozitive de tip Access Point (echipamentele ce fac legtura dintre reeaua cablat icea transportat prin unde radio, avnd un rol primordial n meninerea securitiireelei) pot fi configurate automat dintr-un punct central. Exist chiar seturipreconfigurate de echipamente ce sunt destinate de ctre productor implementrii de

hotspot-uri (locuri unde se poate beneficia de acces la Internet prin 802.11 gratis saucontra cost). Aceste seturi conin de obicei un echipament de gestiune a reelei, oconsol de administrare, un terminal de taxare i unul sau mai multe Access Point-uri.

28


29/49

Atunci cnd sunt puse n funciune, acestea funcioneaz unitar, accesul i activitateaoricrui nod putnd fi atent i n detaliu supravegheat de la consola de administrare.

Apariia interesului i necesitii pentru integrarea cu alte sisteme de securitate

Imediat dup perfectarea schemelor de administrare centralizat a securitii n

reelele 802.11, a aprut necesitatea integrrii cu sistemele de securitate ce existau cumult nainte de implementarea reelei 802.11 n acel loc. Aceast tendin este natural;cu ct interfaa de administrare a unui sistem alctuit din multe componente este maiuniform, cu att administrarea sa tinde s fie mai eficient i mai predictibil ceea ceduce la creterea eficienei ntregului sistem.

Figura 8.1.3 Necesitatea securizrii unei reele wireless

WPA a fost prima tehnologie care a facilitat integrarea pe scar larg a administrriireelelor radio cu cele cablate, deoarece se baza pe principii comune descrise destandardul 802.1X. Astfel, o companie poate refolosi ntreaga infrastructur pentru au-tentificarea i autorizarea accesului n reeaua sa cablat i pentru reeaua radio. WPA

poate fi integrat cu RADIUS, permind astfel administrarea i supravegherea uneireele de dimensiuni mari ca i numr de noduri participante la trafic (e.g. un campusuniversitar, un hotel, spaii publice) dintr-un singur punct, eliminnd astfel necesitateasupravegherii fizice a aparaturii de conectare (i.e. porturi de switch).

29


30/49



CUM?


Se pot utiliza:

Prezentri multimedia coninnd informaii despre standardele desecuritate

EVALUARE

Se pot folosi probe scrise i orale

30


31/49

Fia suport 8.2 Configurarea unei reele wireless

Acest material vizeaz competena / rezultat al nvrii : Utilizeaz instrumente,proceduri de diagnostic i tehnici de depanare pentru securizare.

Datorit scderii corturilor echipamentelor de reea i dezvoltrii foarte rapideproduselor destinate crerii i configurrii unei reele wireless s-a impus introducerea destandarde care s asigure compatibilitatea i unitatea definirii modelelor de reelewireless.

Standardul IEEE (Institute of Electrical and Electronic Engineers) 802.11 este unset de standarde pentru reele de tip WLAN(wireless local area network). Din cadrulacestui standard cel mai usual este IEEE 802.11b, numit i Wi-Fi folosind aceststandard se pot trimite date cu 1, 2, 5.5 sau 11Mbps folosind banda de 2.4-2.5 GHz.Pentru condiii ideale, distanele scurte, fr surse care s atenuieze sau s interferezestandardul IEEE 802.11b opereaz la 11Mbps, mai mult dect poate oferi standardulcu fir Ethernet(10Mbps). n condiii mai puin ideale, conexiuni folosind vireze de 5.5, 2sau chiar 1Mbps sunt folosite.

Standardul IEEE 802.11 mai are i componentele IEEE 802.11a cu o ratmaxim de transfer de 54Mbps, folosind frecvene de 5Ghz de aceea oferind unsemnal mai curat i o rat de transfer mai mare, i standardul IEEE 802.11g care areaceeai rat maxim de transfer de 54Mbps, folosind frecvene n banda S ISM.

Cel mai nou standard inclus este IEEE 802.11n care nc nu a fost implementat final el avnd urmtoarele limitri teoretice: rat maxim de transfer de 600 Mbps,funcionare n benzile de frecven 5GHz i/sau 2.4 GHz i o raz de aciune n interiorde ~ 300m. Acest standard se preconizeaz a se lansa oficial n 2010.

n standardul IEEE 802.11 se deosebesc dou moduri de operare: modul infrastructursau modul ad-hoc.

Modul infrastructur este folosit pentru a conecta calculatoare folosindu-seadaptoare wireless la o reea legat prin fire. Ca exemplu: o firm poate avea deja o

reea Ethernet cablat. Folosindu-se de modul infrastructur un laptop sau un altcalculator care nu are o conectare Ethernet cablat se poate conecta totui la reeauaexistent folosind un nod de reea denumit Access Point AP pentru a realiza unbridge (pod) ntre reeaua cablat i reeaua wireless.

31


32/49

Figura 8.2.1 Modul infrastructur pentru o reea wireless.

n cadrul acestui mod funcional datele care sunt transmise de un client wirelessctre un client din reeaua cablat sunt mai nti preluate de AP care trimite la rndul luidatele mai departe.

Modul funcional Ad-hoc

Acest mod de conectare este folosit pentru conectarea direct a dou sau mai multecalculatoare, fr a mai fi nevoie de un AP(far necesitatea unui echipament distinct decomunicare). Acest mod de comunicare totui este limitat la 9 clieni, care pot s-itrimit datele direct ntre ei.

Figura 8.2.2 Reprezentarea modulului Ad-hoc

32


33/49

Pentru configurarea unei reele wireless de tip infrastructur sunt necesare a separcurge urmtoarele etape (denumirile pot diferi de la un productor al echipamentuluila altul):

a) Wireless Mode: Partea de wireless poate funciona n mai multe moduri ipoate diferi funcie de productor sau versiune de firmware.

Modurile pot fi:- AP (Access Point), este modul cel mai des utilizat, fiind specific modului

Infrastructure, n care dou device-uri wireless nu sunt conectate direct, ci prinintermediul routerului sau Access Point-ului.

- Client, n acest mod partea radio conecteaz wireless portul WAN din routerla un punct distant. Se folosete de exemplu n cazul unei conexiuni wireless cuproviderul.

- Ad-Hoc, n acest mod clienii se pot conecta direct intre ei :) , conexiuneadintre ei nu mai trece prin router.

- Client Bridged, n acest mod partea radio conecteaza wireless partea LAN arouterului cu un punct distant. Astfel partea LAN va fi n aceeai reea cu partea LAN a

punctului distant.b) Wireless Network Mode: Standardul conexiunii wireless (B, G sau A) ales

trebuie s fie suportat atat de router ct i de device-urile wireless din reea. n bandade 2,4 Ghz pot fi folosite standardele B i G, iar n banda de 5 GHz standardul A. Vitezamaxim pentru standardul B este 11 Mbps, iar pentru G i A este 54 Mbps. Dac nreea avei device-uri care folosesc standarde diferite putei seta Mixed.

c) SSID (Security Set Identifier) sau Wireless Network Name: este numeleasociat reelei wireless. Default acest parametru este setat cu numele productoruluisau modelul de router sau Access Point. Din motive de securitate modificai aceastvaloare cu un termen far legtura cu producatorul, modelul sau date personale.

d) Wireless Chanel: Puteti seta unul din cele 13 canale disponibile pentruEuropa.

e) Wireless Broadcast SSID: dac setati Enable vei afia numele (SSID) nreea. Dac este Disable cnd vei scana spectrul, reeaua nu va fi afiat.

Odat parcurse etapele de mai sus reeaua este creat dar nu are setat nici osecuritate. Este foarte important s se configureze i aceast parte de securitate.

Astfel pentru securizarea unei reele avem opiunile:

WEP (Wired Equivalent Protection) este o metod de criptare:- folosind 64 biti (10 caractere hexa) sau 128 biti (26 caractere hexa).

Caracterele hexa sunt: 0-9 i A-F;- autentificare Open sau Shared Key.

Acum aceasta criptare WEP cu 64 biti poate fi spart n cteva minute, iar cea cu128 bii n cteva ore, folosind aplicaii publice.

WPA-PSK (WPA Preshared Key sau WPA-Personal) este o metod mult maisigur dect WEP. WPA2 este metoda cea mai sigur de criptare, fiind o variantmbuntit a metodei WPA. i aceste criptri (WPA i WPA2) pot fi sparte dac

33


34/49

parola conine puine caractere sau este un cuvnt aflat n dicionar. Pentru a faceimposibil spargerea acestei criptri folosii parole lungi, generate aleator.

Pentru definirea unei reele wireless bazat pe modelul ad-hoc nu sunt necesareechipamente distincte (router sau access point). Pentru acest mod nu sunt necesare

dect c dispositivele ce se doresc a se conecta s conin un adaptor wirelessfuncional. Toate dispozitivele de acest gen au opiunea de ad-hoc, opiune caretrebuie selectat pe toate dispozitivele ce se doresc a se conecta.

Un alt exemplu privind o astfel de reea este prezentat n figura 3.

Figura 8.2.3 Exemplu privind o reea bazat pe modelul Ad-hoc.

34


35/49



CUM?


Se pot utiliza:

Prezentri multimedia coninnd informaii despre configurarea uneireele wireless

Demonstraie - prin explicarea modului de configurarea a unei reelewireless (de preferat s se foloseasc diferite modele de routere, de la

productori diferii)

Exerciiu evidenierea setrilor de ctre fiecare elev

EVALUARE

Se pot folosi probe scrise sau orale

35


36/49

Fia suport 8.3 Testarea securitii unei reele de tip wireless

Acest material vizeaz competena / rezultat al nvrii : Instaleaz, configureaz,sisteme de securitate i Utilizeaz instrumente, proceduri de diagnostic itehnici de depanare pentru securizare.

Marea majoritate triesc cu certitudinea c un hacker este un personaj negativcare nu vrea dect s atace calculatoare din diverse motive. De fapt i cei care studiazproblemele de securitate fac acelai lucru. Exist chiar i un fel de cod de conduit nacest sector, odat ce a fost descoperit o gaur de securitate ntr-un sistem, hackerular trebui s-l anune pe cel care deine sistemul de vulnerabilitate nainte de a facepublic descoperirea.

Figura 8.2.1 Aplicaie folosit pentru testarea securitii wireless

Dicionarul de jargon conine mai multe definiii ale cuvantului hacker, cele maimulte fiind legate de obsesia pentru tehnic i de dorina de a rezolva probleme i adepi limite. Exist o comunitate, o cultur, format din programatori experi imagicieni n ceea ce privete reelele, care i are originea n primele experimenteARPAnet. Membrii acestei culturi au creat termenul de hacker. Hackerii au construit

Internetul. Hackerii menin World Wide Web funcional. Dac aceast comunitatenumete pe cineva cracker, atunci nseamn c persoana respectiv este un hacker.Conceptul de hacker nu este limitat doar la tehnic. Exist oameni care aplicatitudinea unui hacker i n alte domenii, cum ar fi electronica i muzica. Termenulpoate fi asociat celui mai nalt nivel din orice tiin sau art. Hackerii programatorirecunosc aceste spirite nzestrate i n alte persoane. Unele persoane spun catitudinea unui hacker este independent de domeniu. n continuarea acestui documentne vom concentra pe deprinderile i atitudinea unui hacker programator, i pe tradiiacelor care au impus denumirea de hacker.

Mai exist un grup de oameni care se autodeclar hackeri, dar care nu sunt. Acestioameni (n special adolesceni) nu fac altceva dect s atace calculatoare pe Internet is foloseasc ilegal sistemul telefonic. Hackerii adevrai numesc aceste persoane

36


37/49

crackeri i nu vor s aib nici o legtur cu ei. Majoritatea hackerilor adevarai cred ccrackerii sunt lenei, iresponsabili i nu foarte inteligeni, i simplul fapt de a fi capabils intri n anumite calculatoare nu te face s fi hacker, la fel cum a fi capabil s pornetio main fr chei nu te face un inginer auto. Din nefericire, muli jurnaliti i scriitori aufost pclii s foloseasc cuvntul hacker pentru a descrie crackeri; acest lucru i iritape hackerii adevrai. Diferena esenial dintre un hacker i un cracker este

urmtoarea: hackerii construiesc lucruri, pe cnd crackerii nu fac altceva dect sdistrug.

Pentru testarea securitii este necesar s apelm la unele unelte care le-ar folosipersoanele ru-voitoare pentru a ne invada reeaua.

n cadrul etapelor de investigare a nivelului de securitate, de multe ori se apeleazla programe care se regsesc la limita legalitii, de aceea este foarte important ctoate aceste teste s se efectuieze n deplin siguran (datele necesare s fie pstrate

ntr-o form securizat) i obligatoriu cu acordul persoanelor implicate.

Din etapele necesare spargeii securitii unei reele menionm:

- Aflarea SSID de acea este foarte important s se schimbe numele implicit is se dezactiveze broadcasting-ul sau anunarea lui de ctre echipament. Majoritateaaplicaiilor simple de scanare nu vor detecta n acest fel SSID-ul. Pentru detecia SSID-ului se pot totui folosi dou metode: metoda pasiv implic mirosirea (sniffing)pachetelor din jur, existnd astfel posibilitatea de a intercepta informaiile cu privire laAP, SSID i STA i metoda activ metoda implic ca STA s trimit cereri de prob

folosind SSID s se testeze dac AP rspunde. Dac STA nu are SSID la nceputultransmisiei, STA va transmite cererea cu SSID necompletat, iar la aceast cereremajoritatea AP vor rspunde oferindu-i SSID pentru a completa pachetul de probtrimis de STA. AP va fi necesar s aib configurat posibilitatea de a ignora cererilevenite cu SSID necompletat.

- Urmeaz partea de brute force pentru aflarea modalitii de criptare areelei. WEB folosete un sistem criptic simetric numit RC4, folosind o cheie (64 sau128 bii) pentru a-i proteja pachetele de date. Utilizatorul poate folosi o parte din cheie partea public cea care va fi folosit la conectarea tuturor calculatoarelor dinreea. Adevrata cheie din cadrul algoritmului RC4 este generat pe baza unui algoritm

de generare a unor numere, dar o scpare n acest algoritm face ca lungimea cheii decriptare s se limiteze la 22 de bii. Astfel un atacator poate culege suficiente informaiict s poat obine acea cheie. Este indicat s se foloseasc securizarea de tip WPA2 care este mult mai sigur (din pacate i aceasta form de securizare este posibil despart dar este mai mare consumatoare de timp i necesit i programe i abilitideosebite).

- Realizarea documentaiei de final n care s se precizeze breele desecuritate i ceea ce se poate remedia.

37


38/49

Pentru o siguran sporit este indicat s se apeleze la reele VPN definite pesteaceste reele wireless, special pentru a conferi nivele suplimentare de securitate (surmeze logica schemei security in depth).

Figura 8.2.2 Tester hardware specializat pentru testarea reelei wireless

Este de menionat c au aprut echipamente specializate care sunt construitespecial pentru testarea securitii unei astfel de reele, majoritatea oferind urmtoarele:

- Funcionare n benzi multiple(de multe ori ajustabile) 2,4 sau 5 GHZ;- Uurin n utilizare i configurare;-

Msurtori cu privire la gradul de ncrcare al reelei i descoperirea utilizatorilorcare folosesc intensiv reeaua, inclusiv AP-urile cele mai ncrcate;- Descoperirea accesului neautorizat n reea;- Verificarea ariei de acoperire al reelei pentru extinderi ulterioare sau

mbunttirea celei existente;- Monitorizarea clienilor conectai, puterea i calitatea semnalului;- Portabilitatea.

38


39/49



CUM?


Se pot utiliza:

Prezentri multimedia coninnd informaii prin care se va evideniamodalitile de testare a securitii unei reele wireless

EVALUARE

Se pot folosi probe scrise i orale

39


40/49

Tema 9: Mijloace de fraud pe Internet

Fia suport 9.1 Forme de nelciune n Internet

Acest material vizeaz competena / rezultat al nvrii : Asigur mentenanapreventiv a calculatoarelor i reelelor de calculatoare.

Considerente legale:

Figura 9.1.1 Fradua prin Internet

Activitatea informatic presupune numeroase forme contractuale definite genericcontracte informatice. Acestea pot fi de mai multe feluri: contracte de furnizare deechipament (hardware), contracte de asisten tehnic (computer service), contracte defurnizare de programe (software), cele mai variate forme de prestri de servicii,prelucrri de date (multiprogramming), contracte de consultan, etc. mbrcndelementele mai multor categorii de contracte i elemente specifice activitii informaticeaceste contracte innominati au caracteristici comune contractelor de prestri servicii, deasigurare de reea, ale contractelor de credit sau de cont curent, ale contractelor devnzare cumparare sau de tranzacie.Folosirea frauduloas a numerelor de cari decredit la cumprarea de bunuri prin Internet constituie infraciune n convenie prevzut

de art. 215 alin. 3 raportat la art. 215 alin.2 din C.Pen.10

Fapta const n inducerea n eroare a vnztorului cu prilejul incheierii unuicontract de vnzare cumprare fiind svrit n aa fel nct fr aceast eroare celnelat nu ar fi ncheiat sau executat contractul n condiiile stipulate n protocoale i ncontracte de adeziune n materie, fapta sancionat cu pedeapsa prevazut n alin. 2,ntruct inducerea n eroare a fost facut prin mijloace frauduloase n scopul de a obineun folos material injust.

40


41/49

Tipuri i metode de neltorii

Ameninrile informatice devin din ce n ce mai sofisticate, iar majoritatea utilizatorilorde computere i Internet sunt expui atacurilor. Potrivit unui studiu efectuat de ctrecompania de securitate Trend Micro, n 2007 atacurile prin intermediul Internetului au

nregistrat cea mai exploziv evoluie, iar cele desfaurate prin intermediul mesagerieielectronice au meninut un ritm de cretere constant.

Oficialii Trend Micro au atras atenia asupra fenomenului de automatizare aatacurilor informatice, prin tehnologii web 2.0, precum Javascript sau Flash, prin careutilizatorii pot deveni victime doar printr-o simpl accesare a unei adrese webcontaminate sau n urma vulnerabilitii unei aplicaii software sau a unui sistem deoperare, care nu sunt actualizate la zi cu ultimele specificaii tehnice.

Cele mai multe amenintari vin din zona n care legislatia este permisiv i undecunotinele tehnice sczute permit nmulirea vulnerabilitilor, au declarat, pentruFinancial Director, reprezentanii companiei romneti de securitate informaticBitDefender.

Multe companii romneti nu iau n seam acest tip de atac informatic, fie dinignoran, fie din lipsa de fonduri, pentru asigurarea de msuri adecvate. Totui,managerul unei companii trebuie s fie contient c Bucuretiul, unde sunt concentratemajoritatea afacerilor de la noi, ocup locul ae ntre oraele lumii la capitolul phishing,

potrivit unui raport asupra fraudei elctronice fcut public n luna septembrie de ctrecompania american de securitate Symantec.

Primele poziii n top sunt ocupate de Karlsruhe (Germania), Moscova i Londra.Capitala noastr este precedat de Paris i Amsterdam, dar este n faa unor orae caMunchen i Copenhaga.

Specialitii n securitate recomand companiilor implementarea unui sistem ITbazat pe mai multe nivele de protecie, care s le apere reelele informatice i utilizatorii

de diferitele tipuri de atacuri. Totusi, orict de multe msuri preventive se aplic, factoruluman rmne de cele mai multe ori decisiv. Utilizatorii sunt sftuii s trateze cumaxim atenie paginile web care solicit, instalarea de software, s nu accepteinstarea de aplicaii direct din browserul de Internet, dect dac sursa este dencredere, iar pagina respectiv aparine ntr-adevr companiei n drept. Trebuie s fimateni la programele i fiierele descrcate de pe Internet sau via email i s meninemprogramele de securitate actualizate, spun experii n securitate.

n Romnia se pot pierde anual pn la 200 de milioane de euro din cauzaangajailor, ca urmare a atacurilor de tip phishing i a gestionrii improprii a mesajelor

e-mail, afirm specialitii firmei romneti de securitate Gecad Net. Principalul pericol lreprezint scurgerile de informaii confideniale. Gecad citeaz un studiu realizat de

41


42/49

Forrester Reternet search, din care rezult c la nivel global doar 49% dintre mesajelede e-mail sunt trimise respectnd standardele de securitate. Cel puin 20% dintremesaje prezint riscuri de divulgare a unor informaii private.

Peste 40% dintre utilizatorii romni care folosesc aplicaii de mesagerie

electronic, precum yahoo messenger, au fost int unor atacuri informatice, potrivitunui sondaj online efectuat de furnizorul de soluii de securitate Gecad Net. Dintrerespondenii sondajului, 35,1% au declarat c au avut o astfel de experien de celpuin dou ori, iar 7,3% s-au confruntat cel puin o dat cu un astfel de atac.

Interesant este c peste un sfert dintre cei care au rspuns chestionarului GecadNet (26,3%) au considerat c este posibil s fi trecut printr-o astfel de situaie, fr s-ifi dat seama. 31,2% dintre utilizatori sunt siguri c nu s-au confruntat niciodat cu unatac prin intermediul mesageriei instant.

ncercrile de neltorie electronic efectuate prin intermediul aplicaiilor demesagerie tip instant sunt operate prin mai multe modaliti. Una dintre ele ar fitrimiterea unui fisier infectat sau a unui link ctre un website de tip phishing. Dacutilizatorul interacioneaz fr precauie, nu numai c poate pierde bani, darcalculatorul su poate fi inclus ntr-o reea de computere care acioneaz, fr voiaproprietarilor, c putere de procesare a unor atacuri mai complexe. O alt modalitate,prin care un hacker poate profita, este data de exploatarea unei vulnerabiliti la nivelulaplicaiei de mesagerie, care poate permite controlul total al calculatorului, de ladistan.

Clasificari termeni:1. Furtul de parole metode de a obine parolele altor utilizatori;2. Inginerie social convingerea persoanelor s divulge informaii

confideniale;3. Greeli de programare i backdoors obinerea de avantaje de la sistemele

care nu respect specificaiile sau nlocuire de software cu versiuni compromise;4. Defecte ale autentificrii nfrngerea mecanismelor utilizate pentru

autentificare;5. Defecte ale protocoalelor protocoalele sunt impropriu proiectate sau

implementate;6. Scurgere de informaii utilizarea de sisteme ca DNS pentru a obineinformaii care sunt necesare administratorilor i bunei funcionri a reelei, dar care potfi folosite i de atacatori;

7. Refuzul serviciului ncercarea de a opri utilizatorii de a putea utilizasistemele lor.

Clasificari de date empirice: Furtul de informaii externe (privitul peste umar la monitorul altei persoane); Abuzul extern al resurselor (distrugerea unui hard disk); Mascarea (nregistrarea i redarea ulterioara a transmisiunilor de pe o reea); Programe duntoare (instalarea unui program cu scopuri distructive);

42


43/49

Evitarea autentificrii sau autorizrii (spargerea parolelor); Abuz de autoritate (falsificri de nregistrri); Abuz intenionat (administrare proast intenionat); Abuz indirect (utilizarea unui alt sistem pentru a crea un program ru

intenionat).

Clasificri bazate pe aciune:

modelul este focalizat doar pe informaia n tranzit i prezint patru categorii deatacuri:

ntreruperea un bun al sistemului este distrus sau devine neutilizabil saunedisponibil;

Interceptarea o parte neautorizat obine accesul la un bun al sistemului; Modificarea o parte neautorizat care nu numai c obine acces, dar l i

modific; Falsificarea o parte neautorizat nsereaz obiecte contrafcute n sistem.



CUM?


Se pot utiliza:

Prezentri multimedia coninnd informaii despre importana securizriimodului de navigare pe Internet i modalitile uzuale de fradud folosite

EVALUARE

Probe orale

43


44/49

Fia suport 9.2 Mijloace i metode de protecie privind frauda pe internet

Acest material vizeaz competena / rezultat al nvrii : Utilizeaz instrumente,proceduri de diagnostic i tehnici de depanare pentru securizarea sistemelor decalcul i a reelelor de calculatoare i Asigur mentenana preventiv acalculatoarelor i reelelor de calculatoare.

Figura 9.2.1 O viziune cu privire la modalitile de comitere a unei fraude

Nu judeca dupa aparene. Orict de impresionant sau profesional realizat ar fi unsite web aceasta nu nseamn c ofer i garanie. La momentul actual exist softwarecare poate ajuta la creearea de site-uri cu aspect profesional n foarte scurt timp ceeace nseamn c autorii fraudelor pot crea fr mare greutate site-uri perfectasemanatoare cu cele ale comercianilor online legali.

Fii atent la datele personale pe care le furnizezi online.Dac primeti e-mail-uride la persoane pe care nu le cunoti, prin care i se solicit date personale, cum ar finumarul cardului de credit sau parola, nu trimite aceste date fr a afla mai multedespre persoana care i solicit aceste date. Infractorii folosesc aceste mesaje pentru a

solicita date personale importante pretinznd c reprezint spre exemplu unadministrator de sistem sau un Internet Service Provider. n timp ce tranzaciilesecurizate cu site-urile de comer electronic cunoscute sunt sigure, n special dac esteutilizat un card de credit, mesajele nesecurizate spre destinatari necunoscui nu suntdeloc sigure.

Atenie special asupra comunicaiilor online cu persoane care i ascundadevarata identitate. Dac primii un e-mail n care cineva refuz s-i dezvluieidentitatea complet sau utilizeaz un e-mail care nu conine nici o informaie utilpentru identificare, acest lucru poate reprezenta o indicaie ca respectiva persoana nuvrea s lase nici o informaie prin care ai putea s o contactai pentru a reglementaulterior o situaie de bunuri nelivrate pentru care plata a fost deja efectuata n avans.

44


45/49

Atenie la taxele ce trebuie pltite n avans. n general trebuie avut o maregrij asupra vnztorilor online de bunuri sau servicii care solicit trimiterea imediat dececuri sau ordine de plat la o cutie potal nainte de recepia bunurilor sau realizareaserviciilor promise. Desigur companiile de tip .com care sunt la nceputul activitii,dei neavnd o recunoatere prealabil, pot fi totui capabile de livrarea bunurilor sau

serviciilor solicitate la un pre rezonabil. n consecin, cutarea de referine onlinepentru companii care nu v sunt cunoscute reprezint un prim pas ce trebuie fcutnainte de a avea ncredere ntr-o astfel de companie.

Figura 9.2.2 Modaliti pentru protejarea contra fraudelor online (platform software)

Utilizarea Internetului

Internetul este un instrument de cretere a puterii individuale, dnd oamenilor acces la

informaie, de asemenea, Internetul creeaz cadrul stabilirii unor noi contacte cuoameni i faciliteaz activitatea de comer. Internetul este ntr-o continu cretere ca unmediu de distribuie i comunicare, urmnd s devin o parte din viaa de zi cu zi.

Efectul asupra companiilor de afaceri

Internetul afecteaz i schimb modul tradiional de realizare a afacerilor. Toatecompaniile trebuie s aib o prezen activ pe Internet.

Internetul ofer posibilitatea transferrii n mare vitez a unor volume foarte mari de

informaii la un cost redus.

45


46/49

Datorita faptului c oricine din lume se poate conecta la Internet fr restricii,acesta este considerat ca fiind public. Ca orice entitate deschis accesului public,prezenta pe Internet implic un risc considerabil, att pentru persoane, ct mai alespentru companii. Fiind un spaiu deschis, Internetul permite persoanelor ru intenionates produc daune celorlali indivizi mai mult dect orice alt reea.

n contextul n care informaia a devenit foarte valoroas, tentaiile de fraudare asistemelor care o conin au devenit din ce n ce mai mari. Avnd ca motiv fie interesefinanciare, fie pur i simplu distracia, infracionalitatea si-a gasit loc i n reelele decalculatoare.


Coninutul poate fi predat n laboratorul de informatic (sau sal de cursdotat cu videoproiector si/sau flipchart).

CUM?


Se pot utiliza:

Prezentri multimedia coninnd informaii despre modalitile defraud, exemple din cotidian

EVALUARE

Se pot folosi probe orale

46


47/49

IV. Fia rezumat

Unitatea de nvmnt__________________

Fia rezumat

Clasa________________ Profesor______________________

Nr.Crt.

Nume iprenume

elev

Competena 1 Competena 2 Competena 3Observaii

A 1 A 2 A X A 1 A 2 A 3 A 1 A 2 A 3

1 zz.ll.aaaa1

2

3

4...

Y

1 zz.ll.aaaa reprezint data la care elevul a demonstrat c a dobndit cunotinele, abilitile i aptitudinile vizate prin activitatea respectiv


48/49

Competene care trebuie dobndite

Aceast fi de nregistrare este fcut pentru a evalua, n mod separat, evoluialegat de diferite competene. Acest lucru nseamn specificarea competenelor tehnice

generale i competenelor pentru abiliti cheie, care trebuie dezvoltate i evaluate.Profesorul poate utiliza fiele de lucru prezentate n auxiliar i/sau poate elabora altelucrri n conformitate cu criteriile de performan ale competenei vizate i despecializarea clasei.

Activiti efectuate i comentarii

Aici ar trebui s se poat nregistra tipurile de activiti efectuate de elev,materialele utilizate i orice alte comentarii suplimentare care ar putea fi relevantepentru planificare sau feed-back.

Prioriti pentru dezvoltarePartea inferioar a fiei este conceput pentru a meniona activitile pe care

elevul trebuie s le efectueze n perioada urmtoare ca parte a viitoarelor module.Aceste informaii ar trebui s permit profesorilor implicai s pregteasc elevul pentruceea ce va urma.

Competenele care urmeaz s fie dobndite

n aceast csu, profesorii trebuie s nscrie competenele care urmeaz a fidobndite. Acest lucru poate implica continuarea lucrului pentru aceleai competene

sau identificarea altora care trebuie avute in vedere. Resurse necesare

Aici se pot nscrie orice fel de resurse speciale solicitate:manuale tehnice, reete,seturi de instruciuni i orice fel de fie de lucru care ar putea reprezenta o surs deinformare suplimentar pentru un elev care nu a dobndit competenele cerute.

Not: acest format de fi este un instrument detaliat de nregistrare a progresuluielevilor. Pentru fiecare elev se pot realiza mai multe astfel de fie pe durataderulrii modulului, aceasta permind evaluarea precis a evoluiei elevului, nacelai timp furniznd informaii relevante pentru analiz.


49/49

mihai mojzi - securitatea sistemelor de calcul si a retelelor de calculatoare - partea ii

Documents