security net

7/25/2019 Security Net

1/36

1

Securitatea reelelor Microsoft


2/36

Concepte generaleSecuritatea reelelor de calculatore este un subiect destul de complicatdarfoarte actual,n condiiile n care, din ce n ce mai multe persoane au

acces lacalculatoare conectate n reea i la resursele distribuite n diferite reeledecalculatoare. Nu numai administratorii ci i utilizatorii trebuie s fieinteresai desecuritatea reelelor, s neleag riscurile i s aplice cele mai potrivitesoluiipentru asigurarea securitii datelor i a transmisiilor de date. Securitateareelelor i a calculatoarelor care le compun se refer la datele pstrate,inclusiv mesajele e-mail, baze de date cu coninut confidenial, tranzaciiicomponente de tranzacii de tipul e-commerce. Pentru c tot mai mulispecialiti ! sunt preocupai de asigurarea securitii reelelor decalculatoareau aprut organizaii specializate. S"NS #$ttp%&&'''.sans.org( este lider

ncercetarea, certificarea i instruirea n domeniul securitii informaiei.nstitutulS"NS #SysAdmin, Audit, Network, Security( a fost nfiinat n )*+* caorganizaie de cercetare i colarizare. l pune la dispoziia celorinteresaicunotinele i eperiena profesionitilor n securitate !. uletineleinformative,rezumate ale studiilor i cercetrilor, alerte de securitate identificate suntinformaii gratuite i sunt ntotdeauna o surs de inspiraie pentrurezolvareaproblemelor i a incidentelor de securitate.valuarea gradului de protecie a unei reele sau a unui calculator

pornete dela identificarea ameninrilor i a vulnerabilitilor% ameninrile suntpericolecare pot influena buna funcionare, iar vulnerabilitile sunt puncteleslabe princare se pot eercita atacuri at/t din interiorul c/t i din eteriorul reelei.0elemai comune ameninri, care gsesc din pcate i bree de securitate,respectiv vulnerabiliti prin care pot manifesta, sunt% furtul de date, furtul

de


3/36

coduri surs ale aplicaiilor aflate n dezvoltare, furtul de identitate prinfolosireainformaiilor i a datelor cu caracter privat ca urmare a epunerii acestora

ntrun

mod necontrolat, instalarea i lansarea n eecuie a soft'are-uluimaliiosi, nu n ultimul r/nd, dezastrele naturale.

"sigurarea securitii folosete conceptul de management al riscurilor cuscopulde a gsi cele mai bune rspunsuri i reacii n faa ameninrilorcunoscute.1anagementul riscurilor are la baz studiul atent al criteriilor i condiiilordeapariie a riscurilor, impactul ameninrii asupra reelei i acalculatoarelor careo compun, valoarea estimat a pagubelor i costurile implementriisoluiilorcare pot asigura securitatea. 2n urma unei astfel de evaluri se poatedecidecare este rspunsul cel mai bun n faa ameninrilor i care sunt celemai bunereacii la apariia incidentelor de securitate.2

2n domeniul reelelor de calculatoare, securitatea se refer la adoptareadectre administratorul de reea a celor mai potrivite strategii, care sprotejezereeaua i resursele accesibile prin reea fa de accesul neautorizat. 2nplus,administratorul de reea va avea grij s msoare i s monitorizezeperiodiceficiena 3 sau lipsa de eficien 3 a msurilor implementate.

4n posibil scenariu de securitate a reelelor ncepe cu autentificareautilizatorilor, n mod normal prin folosirea unui cont de utilizator i a uneiparole.Parola este ceva ce utilizatorul 5tie, cunoate6 i se spune despreautentificarea de acest tip c este o autentificare cu un singur factor.

"utentificarea prin doi factori folosete n plus ceva ce 5are6 utilizatorul,cum arfi un jeton, un card, un telefon mobil. "utentificarea prin trei factoricuprinde i

ceva 5ce este6 utilizatorul% amprenta digital sau palmar, imagineascanat a


4/36

retinei, amprenta vocal. 7 dat autentificat, ar trebui s intre nfunciuneprocedurile i politicile de acces prin care utilizatorul este autorizat sfoloseasc numai anumite resurse i servicii disponibile n reea.

"utentificareai autorizarea utilizatorilor nu sunt suficiente n faa unui soft'are maliiostrimisprin reea, cum sunt viruii, viermii, caii troieni. Protecia antivirus isistemelede detecie a intruziunilor ar putea fi o soluie bun n acest caz. "r mai finevoie de proceduri specializate pentru monitorizarea traficului de date

n reea,n cutarea traficului neateptat i pentru identificarea comportamentuluineobinuit, c$iar bizar, al unor servicii sau aplicaii. venimentele trebuie

jurnalizate i analizate ulterior. Se nt/mpl s fie nevoie c/teodat detransmisii criptate de date ntre calculatoare din reea, cu scopul de aasiguraconfidenialitatea informaiilor.Securitatea reelelor este o component a sistemului de securitate ainformaiei.Securitatea informaiei se refer n general la protejarea informaiei i asistemelor informatice fa de accesul neautorizat, utilizarea, epunerea,modificarea i distrugerea informaiei. Securitatea are n vedereasigurareaconfidenialitii, integritii i a disponibilitii informaiei. Procedurile istrategiile de securitate implementate au rolul de a specificaadministratorilor iutilizatorilor n general cum s foloseasc aplicaiile i ec$ipamenteleastfel

nc/t s asigure securitatea informaiei la nivelul organizaiei.3

Aprarea n profunzime i managementul riscului

nformaia trebuie protejat pe toat durata de via, de la obinere p/nlautilizarea ei final, complet. a va fi protejat c/nd se afl n micare, lafel cai n varianta static. nformaia poateparcurge mai multe stadii de prelucrare iva trebui s fie protejat i n timpulprelucrrii.8obusteea oricrui sistem este egal cu

cea a verigii celei mai slabe. 9olosindstrategia aprrii n profunzime, dac o


5/36

procedur de aprare nu este suficientpentru a asigura protecia datelor, atunciurmtoarea va putea oferi proteciaateptat.

2n sens larg, procesul de management alriscului const din%). identificarea i estimarea valorii bunurilor care au legtur cuinformaia,cu pstrarea i folosirea ei n siguran. Se includ aici% persoane,

ncperi i cldiri, componentele $ard'are, cele soft'are, datele nseleindiferent de forma n care sunt pstrate 3 format electronic, tiprituri,manuscrise.:. evaluarea ameninrilor% condiii de for major identificabile,accidente,acte de rea voin care i au originea n interiorul sau n eteriorulorganizaiei.;. evaluarea vulnerabilitilor i, pentru fiecare vulnerabilitate identificat,estimarea probabilitii ca aceast vulnerabilitate s fie eploatat,folosit< va fi nevoie i de identificarea i evaluarea politicilor,procedurilor, standardelor care ar putea fi aplicate n calitate decontramsuri asociate vulnerabilitilor identificate.=. calcularea impactului pe care l are fiecare vulnerabilitate asuprabunurilor< va fi folosit analiza cantitativ i calitativ.>. identificarea, selectarea i implementarea contramsurilor potrivite%politici, proceduri de securitate.?. evaluarea eficienei aplicrii politicilor i procedurilor de securitateE*. 0ertificatul este asociat #5map6(unui cont utilizator local sau din domeniu.ste cea mai sigur metod de autentificare pentruserverele S >.E

"utentificarea utilizatorilor aflai la distan #remote( este necesar ncondiiile

folosirii coneiunilor prin linii telefonice #dial-up( sau prin +%- #(irtual&rivate


18/36

Network3 reea virtual privat(. Pot fi folosite urmtoarele protocoaledeautentificare%0M"P Challange )andshake Authentication &rotocol, protocol

de autentificare de tipul*challenge response+.9olosete pentru 5hash6 algoritmul essage Digest -#1@>(< )asha /opti, a t0cea, a sta lini/tit1 acest algoritmcodific rspunsul la provocarea pe care o lanseazserverul aflat la distan #fat de utilizator(.Parola trebuie pstrat nActive Directory folosindcriptarea reversibil #reversible encryption(, ceea ceintroduce vulnerabiliti. Pe de alt parte, 0M"P nupermite criptarea datelor.1S-0M"P Similar cu 0M"P< nu cere ca parola s fie accesibil princriptare reversibil.1S-0M"P v.: nclude% autentificarea mutual, c$ei separate pentrutrimitere i recepionare, c$ei de sesiune generateautomat, pornind de la parola utilizatorului.17

"P-!AS 2'tensible Authentication &rotocol3 !ransport LayerSecurity< ofer% autentificare, integritatea datelor,confidenialitate< folosete autentificarea mutual,negocierea algoritmilor de criptare< transmiterea &

recepionarea c$eilor de sesiune este sigur< esteasigurat integritatea mesajului.Poate fi folosit mpreun cu cardurile 5smart card6 i estecel mai sigur protocol de autentificare.Autentificarea multifactor este tipul de autentificare prin care i se cereutilizatorului s ofere mai multe informaii de acreditare #credentials(,cum ar fi%coduri de acces #PN( , componente fizice #c$ei, jetoane(, informaiibiometrice

individuale #voce, amprente(. "utentificarea multifactor crete siguranaaccesului i a lucrului n reea. ste recomandat mai ales pentruutilizatorii dela distan, acolo unde verificarea identitii lor nu este posibil. steevidentutilitatea acestor metode pentru conturile care au privilegii deadministrare, canivel suplimentar de securitate.Schi de securitate pentru date

Securitatea datelor se definete i prin controlul asupra modului n careare loc


19/36

accesul la date. 0ontrolul se eercit prin asignarea permisiunilor.Potenialiiatacatori ar putea, n anumite condiii, s suprascrie permisiunile pentrua

controla ei accesul la date. Pentru controlul accesului la resurse sefolosescdou tipuri de informaii% jetoanele soft'are de acces ale utilizatorilor ilistele@"0A&"0A #Discretionary Access Control List(% jetoanele indic ngeneraldrepturile utilizatorilor, @"0A&"0A arat permisiunile la obiectele din

ActiveDirectory i la cele din sistemul de fiiere N!9S, respectiv, dosare ifiiere.0/nd utilizatorul este autentificat, calculatorul pe care acesta l folosetevaprimi i va pstra un jeton care conine% identificatorul de securitate alcontuluiutilizatorului #S@(, identificatorii S@ ai fiecrui grup #local sau dindomeniu( dincare face parte utilizatorul i lista drepturilor de care dispune #userrights(. 2nsituaia accesului la o resurs, S@-urile din jeton se compar cu cele@"0A&"0A asociate resursei.@atele #informaiile( dintr-o organizaie sunt vulnerabile fa deameninriinterne i eterne, provenite de cele mai multe ori prin% incorecta configurare a permisiunilor insuficienta securitate fizic a datelor i a accesului la suporturile dedate stricciuni aduse datelor #alterare, criptare incorect(18

Configurarea3 la nivel fizic i logic 3 a securitii datelor va ncepentotdeauna de la asigurarea minimului de permisiuni de acces la datepentrutoi utilizatorii, respectiv pentru fiecare dintre ei% utilizatorii vor avea unminimde permisiuni. suficient numai pentru eercitarea atribuiilor deserviciu.

"FGF@AFP este un modelul folosit pentru implementarea securitiipornind de

la rolurile ndeplinite de utilizatori ntr-o organizaie. 1odelul plaseazconturi n


20/36

grupuri, grupurile n alte grupuri #locale domeniului( i le asociazacestora dinurm permisiuni i 3 dac este cazul 3 drepturi.Permisiunile N!9S funcioneaz c/nd un utilizator acceseaz resurse

aflate peun volum N!9S< volumul poate fi local sau la distan. Permisiunile departajareau efect c/nd este vorba de date aflate n reea, la distan fa deutilizator.!oate obiectele 3 dosare i fiiere 3 aflate n componena unui volumN!9S auun proprietar, care are ntotdeauna permisiunea de a controlapermisiunileasociate acelei resurse. "ceast posibilitate a proprietarului ar putea fi oarmsubversiv n politica de securitate.$fs3 encrypted file system3 este un instrument puternic n protejarea isigurana datelor. 9olosit incorect ns, poate face ca utilizatori legitimi snumai poat avea acces la datele de care au nevoie. "colo unde eistpoliticireferitoare la criptarea datelor trebuie s eiste i unele pentrurecuperareadatelor criptate.Schia de securitate a transmisiei de date@atele sunt vulnerabile i pe timpul transmiterii< vulnerabilitile cele maicunoscute n aceast situaie sunt legate de eecuia a unor operaiiruvoitoare%1onitorizarea neautorizat areelei i a traficului de datedin reea7bservarea traficului de autentificare

0itirea pac$etelor e-mail7bservarea traficului de management0itirea pac$etelor de criptare wirelessPclal #Spoofing( dentificarea i folosirea abuziv a adreselorP pentru a face ca pac$etele s par a fitransmise din reeaua local9alsificarea pac$etelor 01P!rimiterea de email-uri falsificate1odificarea #alterarea(

datelornterceptarea i modificarea datelor


21/36

Denial of service #negareaserviciului(nundarea unui calculator & serviciu cumesaje

9olosirea mai multor calculatoare care trimitmesaje inund/nd reeaua.19

Schia de securitate pentru transmiterea datelor are ca punct de plecaresecurizarea comunicaiilor prin reea, nivelurile modelului cu patru straturi#niveluri( implementat de protocolul !0P&P. 9iecare nivel este vulnerabil

n felulsu< pe de alt parte nu tot traficul trebuie securizat ntotdeauna.1etode de securizare recomandateaplicaieSecure Socket Layer #SSA(, !ransport Layer Security#!AS(, S&11 #Security ultiuse #nternet ail2'tensions, +E:.)reeaPSec!unel PSecAegtura de dateSwitch-uri n loc de hub-uri

"utentificare la nivel de port

fizicSecuritate strict la nivel fizic% ncperi, cabluri,ec$ipamente, incinte8estricii de acces la reeaua A"N din zone de accespublicSecuritatea reelei perimetru!erminologia din domeniul securitii reelelor de calculatoare includetermenulde zon demilitarizat sau @1 #demilitari3ed 3one(. @1 este o

subreeafizic sau logic care conine servicii cu vizibilitate etern% servere deweb, demail, servere @NS. 8eeaua @1 se mai numete i reeaua perimetru,cu

nelesul c restul reelei, rmas dup decuparea zonei @1, esteprotejat,marcat printr-o frontier de securitate. Scopul eistenei reelelor @1sau

perimetru este cel de a aduga un nivel suplimentar de securitate pentrureeaua A"N a unei organizaii. 0omponentele din @1 i numai ele sunt


22/36

epuse ctre eterior. Pac$etele de date dintre reeaua @1 i reeauaA"Nvor fi filtrate pentru ca restul reelei s fie protejat de eventualeleintruziuni ale

atacatorilor. 9iltrele vor asigura comunicaia limitat, strict controlat,dintrecomponentele @1 i componentele reelei A"N. 8olul de legtur intrereeaua @1 i nternet, pe de o parte, i reeaua A"N pe de alt parteeste

ndeplinit de serviciile firewall.8eeaua perimetru #@1( conine% coneiunile directe la nternet legturi I"N dedicate20

subreele ecranate, zone protejate special pentru c sunt epuseaccesului din reele publice clieni BPN coneiuni wireless+ulnerabilitile cunoscute provin din aceea c perimetrul este zonacu ceamai mare expunere la reelele publice, nternet. acces de la distan.conexiuni cu birouri /filiale. sucursale0 aflate la distan*

Bulnerabilitileapar prin% epunerea intenionat sau neintenionat a informaiilor despre reea%scanarea porturilor, !0P&4@P, scanarea perimetrului 01P, analizapac$etelor controlul incomplet asupra infrastructurii% servere Ieb neautorizate,coneiuni uitate, clieni BPN necontrolai, aplicaii necontrolate epunerea voluntar sau involuntar a calculatoarelor% urmrile suntatacuri asupra serviciilor, epunerea informaiilor despre conturi, viermi

email, acces neautorizat la date, distrugerea datelor.Perimetrul este, prin definiie, un loc unde ncrederea este limitat% sepresupune c zona nu este sigur, c poate fi oric/nd atacat.Securitateaperimetrului se construiete cu un 'firewall) sau paravan de securitatei cuec$ipamente $ard'are specializate. Soluia 1icrosoft pentru servicii detipfirewall este serverul #nternet Security and Acceleration Server #S"(ist urmtoarele tipuri de configurare a serverului firewall, respectiv deconstituire a perimetrului%


23/36

'host bastion)3 serverulfirewall este coneiuneaprincipal pentru accesulla nternet al

calculatoarelor dinreeaua intern. 0afirewall, calculatorulbastion este proiectat s leapere pe celelalte mpotrivaatacurilor direcionate ctreinterior. astionul folosete douadaptoare de reea% unul conectat la reeaua intern, unul la reeauanternet. "ceast configuraie izoleaz fizic reeaua intern de intruii

din nternet.21 Configuraie 'cu trei dini)numit c/teodat i cu 5treipicioare6 - ofer utilizatorilor dinnternet acces limitat laresursele reelei, interzic/ndtraficul nedorit cu calculatoareledin A"N. Se folosete un firewall cutrei adaptoare de reea% unulconectat la A"N, unul la reeauaecranat, protejat #alta dec/t A"N( i al treilea la nternet. zoleaztraficul intern i reeaua intern de nternet i permite accesul limitatdin nternet i din reeaua local la reeaua ecranat. Configuraie 'spate nspate) 1 plaseazsubreeaua ecranat ntredou firewall-uri% unulconectat la nternet, cellalt

la reeaua local, intern.ist un singur punct deacces din nternet la reeaualocal i acela cere s treciprin dou firewall-uri.1ecanismele de securitate implementate prin serviciile firewall sunt% 9iltrarea pac$etelor 8eguli noi de rutare a pac$etelor nspecia strii pac$etelor

%atewayntre aplicaii


24/36

Servicii publicate i care devin astfel disponibile 3 n condiii controlate3 din reeaua nternet "utentificarea utilizatorilor n vederea accesului ctre eterior, ctrereeaua nternet

@etectarea intruilor, respectiv utilizatori din afar care ncearc accesla resursele protejate prin firewall22

"eacii la apariia incidentelor de securitateSecuritatea reelelor este n fond un eerciiu de prevenire%evenimentelemajore ar putea s nu apar, dac activitatea de prevenire a avut loc idactoate procedurile stabilite au fost aplicate corect. @e multe ori ns,

aprareaproiectat este strpuns de atacatori. 2n urma unui atac nu mai rm/ndec/tminimizarea pagubelor, aprecierea rapid a urmrilor i rspunsul laapariiaincidentului. Procedura de rspuns se compune din paii de urmat dupapariia incidentului.

"uditul este modalitatea prin care se pot nregistra #nscrie, pstra(evenimentele petrecute deja. Ournalele acestor evenimente pot relevainformaiidespre atacuri ntreprinse asupra resurselor reelei.Politica de audit a unei organizaii trebuie s includ rspunsuri laurmtoarele

ntrebri% 0e tipuri de evenimente vor fi supraveg$eate #audit(H 0e instrumente de audit se vor folosiH 0um vor fi investigate evenimentele care au trezit suspiciuniH 0/t timp vor fi pstrate jurnaleleH

0ine analizeaz evenimentele i c/t de desH 0um s fie pstrate dovezileHProcedura de rspuns la incidente conine paii i aciunile de ntreprinsdupapariia incidentului. Scopul eistenei procedurii este limitarea pagubelori

ncercarea de a rspunde organizat, controlat i eficient la un incidentpetrecutanterior.Planul de declanare a rspunsului este o activitate organizatoric carecuprinde 3 la r/ndul ei 3 mai muli pai%


25/36

)( 0onstituirea i instruirea ec$ipei care gestioneaz rspunsurile laincidente

security net

Documents